Pháp luật bảo vệ dữ liệu cá nhân trong quan hệ lao động tại Việt Nam

1. Một số vấn đề khái quát chung

1.1. Khái niệm dữ liệu cá nhân trong quan hệ lao động

Dữ liệu cá nhân (DLCN) trong quan hệ lao động trước hết xuất phát từ khái niệm chung về DLCN. Về mặt ngôn ngữ, DLCN là các số liệu, tư liệu hoặc biểu hiện thông tin gắn với một con người cụ thể. Về phương diện pháp lý, nhiều văn kiện quốc tế đã tiếp cận tương đồng về nội hàm DLCN. Công ước Bảo vệ cá nhân liên quan đến việc xử lý tự động dữ liệu cá nhân ra đời vào ngày 28/01/1981 (gọi là Công ước 108) xem DLCN là mọi thông tin liên quan đến cá nhân đã được xác định^[1]. Hướng dẫn của OECD và Quy định chung về bảo vệ dữ liệu (GDPR) tiếp tục mở rộng phạm vi sang các trường hợp cá nhân có thể được nhận dạng trực tiếp hoặc gián tiếp thông qua định danh, đặc điểm sinh lý, kinh tế, văn hóa hoặc xã hội^[2]. Đáng chú ý, GDPR thừa nhận dữ liệu đã được giả danh vẫn là DLCN nếu có thể truy ngược danh tính thật. Một số quốc gia châu Á như Nhật Bản và Trung Quốc sử dụng thuật ngữ “thông tin cá nhân” (personal information) trong luật chuyên ngành nhưng bản chất cũng hướng tới dữ liệu liên quan đến cá nhân nhận dạng hoặc có thể nhận dạng được[3].

Trong quan hệ lao động, DLCN được hiểu là mọi thông tin của người lao động (NLĐ) hoặc cá nhân người sử dụng lao động (NSDLĐ), được thể hiện dưới bất kỳ phương tiện, dạng thức nào, miễn là có thể xác định một con người cụ thể. DLCN trong lĩnh vực này hàm chứa các đặc tính cơ bản: (i) gắn với một cá nhân xác định; (ii) có khả năng phân biệt giữa các cá nhân; (iii) bao gồm tổ hợp nhiều loại thông tin khác nhau về cùng một người; và (iv) có thể được thu thập, lưu trữ, xử lý dưới nhiều hình thức.

Bên cạnh các đặc điểm chung, DLCN trong quan hệ lao động mang tính đặc thù. Thứ nhất, tính bắt buộc và sự phụ thuộc vào quyền quản lý của NSDLĐ khiến NLĐ buộc phải cung cấp dữ liệu như điều kiện của tuyển dụng, ký kết và thực hiện quan hệ lao động. Thứ hai, DLCN trong môi trường lao động có phạm vi và mức độ nhạy cảm cao, không chỉ dừng lại ở thông tin định danh mà còn bao gồm dữ liệu sức khỏe, tài chính, kỷ luật, đánh giá hiệu suất hay thông tin gia đình. Thứ ba, dữ liệu được hình thành và xử lý liên tục trong suốt vòng đời quan hệ lao động và tiếp tục được lưu trữ sau khi chấm dứt để đáp ứng yêu cầu pháp lý, thống kê và giải quyết tranh chấp.

Như vậy, DLCN trong quan hệ lao động là một dạng dữ liệu có tính nhận diện, nhạy cảm và phụ thuộc nhiều vào quyền lực quản lý của NSDLĐ, đòi hỏi cơ chế bảo vệ chặt chẽ và toàn diện hơn so với dữ liệu cá nhân thông thường.

1.2. Pháp luật bảo vệ dữ liệu cá nhân trong quan hệ lao động

Pháp luật bảo vệ DLCN trong quan hệ lao động là hệ thống quy phạm điều chỉnh hoạt động thu thập, xử lý, lưu trữ và sử dụng dữ liệu liên quan đến NLĐ và cá nhân NSDLĐ trong suốt quá trình thiết lập, duy trì và chấm dứt quan hệ lao động. Khác với bảo mật thông tin, bảo vệ DLCN hướng đến bảo đảm quyền tự quyết thông tin của cá nhân và ngăn ngừa mọi hành vi xâm phạm, sử dụng sai mục đích dữ liệu, qua đó bảo vệ quyền riêng tư và phẩm giá con người tại nơi làm việc.

*  Cơ sở của pháp luật bảo vệ dữ liệu cá nhân trong quan hệ lao động

Cơ sở của pháp luật bảo vệ DLCN bắt nguồn từ các quyền con người cơ bản, đặc biệt là quyền riêng tư được ghi nhận rộng rãi trong pháp luật quốc tế. Các văn kiện quan trọng như Hiến chương về các Quyền cơ bản của Liên minh châu Âu và Công ước châu Âu về Nhân quyền khẳng định nghĩa vụ tôn trọng đời sống riêng tư, chỉ cho phép xử lý dữ liệu theo mục đích xác định, trên cơ sở đồng ý và bảo đảm an toàn cho cá nhân dữ liệu[4]. Điều 17 của Công ước Quốc tế về các Quyền Dân sự và Chính trị năm 1966 cũng tái khẳng định nguyên tắc không được can thiệp tùy tiện hoặc bất hợp pháp vào quyền riêng tư của cá nhân. Những nguyên tắc này tạo nền tảng xây dựng pháp luật bảo vệ DLCN trong quan hệ lao động ở nhiều quốc gia, hướng tới cân bằng giữa quyền riêng tư và yêu cầu quản lý lao động.

*  Chủ thể của pháp luật bảo vệ dữ liệu cá nhân trong quan hệ lao động

Pháp luật bảo vệ DLCN điều chỉnh ba nhóm chủ thể chính. (i) chủ thể dữ liệu gồm NLĐ và cá nhân NSDLĐ những người có quyền được biết, đồng ý, truy cập, chỉnh sửa và được bảo vệ khỏi việc sử dụng trái phép dữ liệu của mình; (ii) bên kiểm soát và xử lý dữ liệu chủ yếu là NSDLĐ, người quyết định mục đích và phương thức xử lý dữ liệu phục vụ quản lý nhân sự; (iii) các chủ thể thứ ba như công đoàn, đại diện NSDLĐ và cơ quan nhà nước có vai trò hỗ trợ, giám sát hoặc can thiệp khi xảy ra vi phạm.

Về chủ thể dữ liệu, NLĐ và cá nhân NSDLĐ là chủ thể dữ liệu, có quyền biết, đồng ý, truy cập, chỉnh sửa, hạn chế hoặc yêu cầu xóa dữ liệu và được bảo đảm an toàn thông tin; đồng thời phải cung cấp dữ liệu trung thực, sử dụng đúng mục đích và không tiết lộ dữ liệu ngoài phạm vi công việc, kể cả trong quan hệ lao động mang tính gia đình.

Về bên kiểm soát và xử lý dữ liệu, NSDLĐ là bên kiểm soát và xử lý dữ liệu, chịu trách nhiệm cao nhất về tính hợp pháp, minh bạch và an toàn, chỉ được thu thập dữ liệu cần thiết, không chuyển giao trái phép và phải bảo đảm cơ chế để chủ thể dữ liệu thực hiện quyền của mình.

Về bên thứ ba, các tổ chức đại diện và cơ quan nhà nước là bên thứ ba, mặc dù không tham gia thường xuyên vào quan hệ lao động, họ có thể tiếp cận dữ liệu khi thực hiện chức năng như giải quyết khiếu nại, thanh tra hay hỗ trợ thương lượng

1.3. Ý nghĩa của pháp luật bảo vệ dữ liệu cá nhân trong quan hệ lao động

Pháp luật bảo vệ DLCN trong quan hệ lao động là yêu cầu cấp thiết trong bối cảnh số hóa, khi dữ liệu trở thành yếu tố trung tâm của quản trị nhân sự và tiềm ẩn nguy cơ bị lạm dụng. Pháp luật bảo vệ DLCN giúp duy trì nhân phẩm, quyền riêng tư và các quyền cơ bản của NLĐ, hạn chế tình trạng giám sát quá mức, phân tích hành vi hay can thiệp bằng công nghệ như AI và hệ thống giám sát tự động. Đồng thời, nó mở rộng phạm vi bảo vệ đối với cá nhân NSDLĐ khi NLĐ có thể tiếp cận dữ liệu riêng tư trong các quan hệ lao động đặc thù, qua đó bảo đảm sự bình đẳng và tôn trọng lẫn nhau.

Bên cạnh đó, khung pháp lý về bảo vệ DLCN tạo nền tảng cho sự công bằng và minh bạch trong xử lý thông tin, ngăn ngừa phân biệt đối xử và giảm rủi ro lộ lọt dữ liệu trong quản trị nhân sự. Điều này giúp doanh nghiệp vận hành hệ thống dữ liệu an toàn, tuân thủ pháp luật và củng cố niềm tin trong môi trường lao động.

Trong dài hạn, bảo vệ DLCN giữ vai trò chiến lược đối với sự phát triển của thị trường lao động trong nền kinh tế số, góp phần nâng cao năng lực cạnh tranh, ổn định hoạt động kinh doanh và hỗ trợ quản lý nhà nước đối với các mô hình việc làm mới. Vì vậy, hoàn thiện pháp luật bảo vệ DLCN là điều kiện quan trọng để xây dựng môi trường lao động hiện đại, minh bạch và bền vững.

2. Quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong quan hệ lao động

2.1. Cơ sở của quyền bảo vệ dữ liệu cá nhân

Quyền đối với DLCN, hay quyền bảo vệ DLCN, là một thành tố quan trọng của quyền riêng tư con người và được pháp luật cũng như các chuẩn mực quốc tế thừa nhận như một quyền cơ bản của công dân, được công nhận trong pháp luật của các quốc gia và các chuẩn mực quốc tế về quyền con người. Trong hệ thống pháp luật Việt Nam, quyền riêng tư, bí mật cá nhân và gia đình, được ghi nhận xuyên suốt và nhất quán trong các văn bản pháp luật nền tảng như Hiến pháp 2013, Bộ luật Dân sự (BLDS) 2015 và Bộ luật Lao động (BLLĐ) 2019.

Hiến pháp 2013 khẳng định nguyên tắc bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và gia đình, đồng thời thừa nhận quyền được bảo đảm an toàn thông tin, danh dự và uy tín thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, và quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác[5]. Đây là nền tảng hiến định để các đạo luật khác cụ thể hóa cơ chế bảo vệ DLCN. Quy định này thể hiện cam kết của Nhà nước trong việc bảo vệ nhân quyền cơ bản, vừa là cơ sở pháp lý cho việc điều chỉnh thu thập và xử lý DLCN trong các quan hệ xã hội, bao gồm cả quan hệ lao động.

Dựa trên cơ sở này, BLDS 2015 đã cụ thể hóa quyền đối với đời sống riêng tư và thông tin cá nhân bằng hệ thống quy định mang tính bao quát và trực tiếp. Điều 38 BLDS khẳng định đời sống riêng tư, bí mật cá nhân và bí mật gia đình là bất khả xâm phạm; việc thu thập, lưu giữ, sử dụng và công khai thông tin cá nhân chỉ được thực hiện khi có sự đồng ý của chủ thể, trừ trường hợp pháp luật có quy định khác. Đồng thời, BLDS đặt ra nghĩa vụ bảo mật thông tin trong quan hệ hợp đồng, theo đó các bên không được tiết lộ hoặc sử dụng thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình mà mình biết được trong quá trình giao kết và thực hiện hợp đồng cho mục đích riêng hoặc mục đích trái pháp luật (khoản 4 Điều 38 và khoản 2 Điều 387).

Hợp đồng lao động, xét về bản chất pháp lý, là một dạng hợp đồng dân sự đặc thù; do đó, quy định này có ý nghĩa trực tiếp trong việc ràng buộc NSDLĐ phải bảo mật DLCN của NLĐ mà họ có được trong quá trình tuyển dụng và quản lý lao động.

Trong lĩnh vực lao động, BLLĐ 2019 đã tiếp thu và chuyển hóa các quyền riêng tư thành những quy định cụ thể, gắn với bối cảnh quan hệ việc làm và được thể hiện chủ yếu dưới dạng hợp đồng lao động. Theo khoản 6 Điều 3 BLLĐ, người làm việc không có quan hệ lao động là người làm việc không trên cơ sở thuê mướn bằng hợp đồng lao động, dựa trên định nghĩa này, có thể thấy quan hệ lao động trong pháp luật Việt Nam đầu tiên phải được giao kết bằng hợp đồng, hơn nữa không phải tất cả người làm việc đều nằm trong phạm vi pháp luật bảo vệ DLCN trong quan hệ lao động, mà chỉ có NLĐ làm việc trên cơ sở thuê mướn bằng hợp đồng lao động mà thôi.

Hệ thống pháp luật Việt Nam đã ghi nhận tương đối đầy đủ các quyền nhân thân làm nền tảng cho bảo vệ DLCN trong lao động và dần đặt sự quan tâm rất lớn đối với vấn đề về dữ liệu cá nhân. Việc xây dựng Luật Bảo vệ DLCN 2025 (có hiệu lực vào ngày 01/01/2026) riêng biệt được phát triển dựa trên Nghị định số 13/2023/NĐ-CP về bảo vệ DLCN trước đó, đồng thời bổ sung các quy định chi tiết trong BLLĐ về bảo vệ DLCN đặt trong bối cảnh quan hệ lao động, từ đó không chỉ bảo vệ hiệu quả quyền riêng tư và nhân phẩm của NLĐ mà còn tạo môi trường pháp lý minh bạch, tin cậy cho doanh nghiệp

2.2. Nội dung của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong quan hệ lao động

* Về nguyên tắc bảo vệ dữ liệu

Theo quy định tại Điều 3 Luật Bảo vệ DLCN 2025, bảo vệ DLCN bao gồm những nguyên tắc sau:

- Nguyên tắc thứ nhất: Tuân thủ Hiến pháp và hệ thống pháp luật có liên quan trong bảo vệ dữ liệu cá nhân. Nguyên tắc này đặt nền tảng cho toàn bộ cơ chế bảo vệ DLCN trong quan hệ lao động, phản ánh yêu cầu thượng tôn pháp luật và tính thống nhất của hệ thống pháp luật Việt Nam, bất kỳ hành vi xử lý dữ liệu nào trái với Hiến pháp hoặc vượt quá phạm vi pháp luật cho phép đều bị xem là vi phạm quyền con người.

- Nguyên tắc thứ hai: Chỉ được thu thập và xử lý DLCN trong phạm vi, mục đích cụ thể, rõ ràng và phù hợp quy định pháp luật. Nguyên tắc này nhấn mạnh rằng việc thu thập và xử lý DLCN trong quan hệ lao động chỉ được thực hiện khi có căn cứ pháp lý, mục đích rõ ràng và trong phạm vi cần thiết, qua đó bảo đảm sự cân bằng giữa quyền quản lý của NSDLĐ và quyền riêng tư của NLĐ

- Nguyên tắc thứ ba: bảo đảm tính chính xác, cập nhật của DLCN và chỉ được lưu trữ trong thời gian phù hợp với mục đích xử lý, nguyên tắc này bảo đảm tính chính xác và lưu trữ có thời hạn của dữ liệu, tạo ra điểm thuận lợi trong việc quản lý, trích xuất, giám sát, kiểm soát DLCN của NSDLĐ.

- Nguyên tắc thứ tư: Thực hiện đồng bộ, hiệu quả các biện pháp thể chế, kỹ thuật và con người để bảo vệ dữ liệu cá nhân, nhấn mạnh việc bảo vệ DLCN phải thực hiện đồng bộ và hiệu quả trên ba phương diện: thể chế, kỹ thuật và con người. Điều này yêu cầu Luật Bảo vệ DLCN được triển khai thực tiễn, gắn kết với các văn bản pháp luật khác, dù có thể gây khó khăn trong áp dụng do sự phân tán quy định.

- Nguyên tắc thứ năm: Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh và xử lý nghiêm minh các hành vi vi phạm pháp luật về bảo vệ DLCN. Nguyên tắc này nhấn mạnh khía cạnh chủ động và phòng ngừa trong bảo vệ DLCN, phản ánh tư duy quản trị rủi ro hiện đại coi việc bảo vệ dữ liệu không chỉ là phản ứng sau khi vi phạm xảy ra, mà là một quá trình liên tục, mang tính phòng vệ sớm và hệ thống.

- Nguyên tắc thứ sáu: Bảo vệ DLCN gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế, xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ DLCN với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Nguyên tắc này thể hiện đặc trưng của cách tiếp cận Việt Nam trong quản lý và bảo vệ DLCN, mang tính toàn diện và cân bằng giữa quyền con người với lợi ích công cộng và lợi ích quốc gia

* Về quyền bảo vệ dữ liệu cá nhân của chủ thể dữ liệu

Theo khoản 1 Điều 4 Luật Bảo vệ DLCN, chủ thể DCLN được bảo đảm một loạt quyền cơ bản nhằm kiểm soát và bảo vệ dữ liệu của mình. Thứ nhất, chủ thể dữ liệu có quyền được biết về các hoạt động thu thập, lưu trữ, sử dụng và xử lý DLCN. Thứ hai, họ có quyền đồng ý hoặc không đồng ý đối với việc xử lý DLCN, cũng như yêu cầu rút lại sự đồng ý đã cho. Thứ ba, chủ thể dữ liệu có quyền xem, chỉnh sửa hoặc yêu cầu cập nhật DLCN khi thông tin không chính xác hoặc không đầy đủ. Thứ tư, họ có quyền yêu cầu cung cấp dữ liệu, xóa dữ liệu, hạn chế việc xử lý DLCN và gửi yêu cầu phản đối việc xử lý dữ liệu trong những trường hợp phù hợp. Thứ năm, chủ thể dữ liệu được quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại theo quy định pháp luật nếu quyền của họ bị xâm phạm. Ngoài ra, họ có quyền yêu cầu cơ quan có thẩm quyền hoặc các tổ chức, cá nhân liên quan thực hiện các biện pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

 * Về nghĩa vụ của chủ thể dữ liệu

Theo khoản 2 Điều 4 Luật Bảo vệ DLCN 2025 quy định hướng tới chủ thể DLCN không chỉ là quyền mà còn bao gồm cả nghĩa vụ, điều này tạo nên cơ chế không chỉ phụ thuộc vào nghĩa vụ của chủ thể kiểm soát dữ liệu hay cơ quan quản lý, mà chính chủ thể DLCN cũng phải thực hiện nghĩa vụ bảo vệ với chính DLCN của mình

Luật Bảo vệ DLCN 2025 hiện chủ yếu tập trung vào bảo vệ DLCN của NLĐ và đặt ra trách nhiệm cho NSDLĐ (Điều 25), trong khi quyền được bảo vệ DLCN của chính cá nhân NSDLĐ chưa được đề cập rõ ràng. Mặc dù cả hai chủ thể đều là đối tượng của pháp luật bảo vệ DLCN, nhưng trong bối cảnh quan hệ lao động, việc cụ thể hóa quyền và nghĩa vụ liên quan đến DLCN của cả NLĐ lẫn cá nhân NSDLĐ là cần thiết để đảm bảo sự cân bằng và minh bạch. Vì thế không thể phủ nhận trách nhiệm của NLĐ trong việc bảo vệ DLCN của cá nhân NSDLĐ, trong phạm vi nào đó, NLĐ có thể chính là bên có quyền và trách nhiệm đối với DLCN của NSDLĐ, chẳng hạn như việc giữ bí mật thông tin gia đình, tôn giáo, đời tư, tài chính,... của cá nhân NSDLĐ, không tiết lộ hoặc sử dụng trái phép các dữ liệu nhạy cảm mà họ tiếp cận trong quá trình làm việc.

Trong quá trình làm việc, NLĐ có thể tiếp cận các thông tin đời tư, gia đình, tôn giáo, tài chính hay các dữ liệu nhạy cảm khác của NSDLĐ; do đó, họ vẫn có nghĩa vụ bảo mật, không tiết lộ và không sử dụng trái phép những thông tin này. Đây là nghĩa vụ phát sinh từ bản chất “ủy quyền thực hiện công việc” trong quan hệ lao động, chứ không phải từ chế định kiểm soát hay xử lý dữ liệu trong nghĩa hẹp của luật DLCN. Chính vì vậy, để bảo đảm sự cân bằng và minh bạch, hệ thống pháp luật cần có quy định chuyên biệt cho quan hệ lao động nhằm xác định rõ quyền và nghĩa vụ bảo vệ dữ liệu của cả NLĐ và NSDLĐ, thay vì chỉ áp dụng khái niệm chung của Luật Bảo vệ DLCN vốn được thiết kế chủ yếu cho các quan hệ quản lý, kinh doanh và cung cấp dịch vụ.

Theo khoản 2 Điều 4 tại Luật Bảo vệ DLCN 2025 xác định rõ bốn nghĩa vụ cơ bản của chủ thể DLCN: (i) tự bảo vệ dữ liệu cá nhân, (ii) tôn trọng và bảo vệ dữ liệu của người khác, (iii) cung cấp dữ liệu đầy đủ, chính xác khi cần thiết, và (iv) tuân thủ pháp luật về bảo vệ DLCN cũng như tham gia phòng chống các hành vi xâm phạm dữ liệu. Phân tích từ góc độ học thuật, quy định này thể hiện việc Việt Nam tiếp cận DLCN theo hướng trung tập: ngoài việc đặt trách nhiệm lên các bên kiểm soát và xử lý dữ liệu, luật còn trực tiếp trao cho chủ thể dữ liệu vai trò chủ động trong việc bảo vệ thông tin của chính mình. Việt Nam nhấn mạnh rằng chủ thể dữ liệu cũng phải có trách nhiệm với dữ liệu của chính mình, qua đó vừa đảm bảo quyền lợi vừa nâng cao ý thức tuân thủ pháp luật trong cộng đồng người sở hữu dữ liệu.

* Trách nhiệm bảo vệ dữ liệu cá nhân của bên kiểm soát và xử lý dữ liệu

Theo Luật Bảo vệ DLCN 2025, bên kiểm soát và xử lý dữ liệu có trách nhiệm tuân thủ nguyên tắc đồng ý của chủ thể dữ liệu, tiếp nhận và thực hiện quyền rút lại đồng ý hoặc hạn chế xử lý dữ liệu (Điều 10), đồng thời chỉnh sửa dữ liệu khi có yêu cầu hoặc theo quy định pháp luật để đảm bảo, cập nhật tính chính xác và đầy đủ (Khoản 2, Điều 13). Họ cũng phải xóa hoặc hủy dữ liệu khi được yêu cầu, áp dụng các biện pháp an toàn và thông báo khi không thể thực hiện (Khoản 3, 5, Điều 14), cung cấp dữ liệu cho chủ thể hoặc bên thứ ba theo pháp luật và cân bằng quyền lợi các bên liên quan (Khoản 5, Điều 16), đồng thời giám sát việc công khai dữ liệu để ngăn chặn xử lý trái phép và bảo đảm an toàn, toàn vẹn thông tin (Điều 16). Việc chuyển giao DLCN, bao gồm xuyên biên giới, chỉ được thực hiện khi có sự đồng ý của chủ thể hoặc theo pháp luật, tuân thủ mục đích, bảo mật và báo cáo cơ quan quản lý khi cần thiết (Điều 17, Điều 20).

Điều 37 Luật Bảo vệ DLCN 2025 quy định một hệ thống trách nhiệm phân tầng giữa ba nhóm chủ thể: bên kiểm soát dữ liệu, bên xử lý dữ liệu và bên kiểm soát đồng thời xử lý dữ liệu. Bên kiểm soát dữ liệu gánh trách nhiệm trọng yếu như xác định mục đích và phương tiện xử lý, áp dụng biện pháp bảo mật, bảo đảm quyền của chủ thể dữ liệu, thông báo vi phạm và chịu trách nhiệm về thiệt hại. Bên xử lý dữ liệu chỉ được hoạt động khi có thỏa thuận với bên kiểm soát và phải tuân thủ đúng chỉ dẫn cùng các yêu cầu bảo mật. Chủ thể vừa kiểm soát vừa xử lý phải thực hiện toàn bộ nghĩa vụ của cả hai bên. Quy định này tạo một khung trách nhiệm rõ ràng và nhất quán trong hoạt động xử lý dữ liệu; tuy nhiên, khi áp dụng vào quan hệ lao động, trọng tâm vẫn đặt nặng nghĩa vụ lên NSDLĐ, cho thấy cần tiếp tục cụ thể hóa trách nhiệm của NLĐ đối với DLCN của cá nhân NSDLĐ để bảo đảm tính cân bằng trong quan hệ dữ liệu.

Điều 25 Luật Bảo vệ DLCN 2025 tạo lập một khung pháp lý chuyên biệt cho việc xử lý DLCN trong toàn bộ quá trình quan hệ lao động, từ giai đoạn tuyển dụng, đến quản lý, sử dụng và chấm dứt quan hệ lao động. Quy định này thể hiện nỗ lực của pháp luật Việt Nam trong việc đưa chuẩn mực bảo vệ dữ liệu vào lĩnh vực lao động vốn chứa đựng nhiều loại dữ liệu nhạy cảm và dễ bị lạm dụng.

Ở giai đoạn tuyển dụng, Điều 25 xác lập nguyên tắc tối thiểu hóa dữ liệu: bên tuyển dụng chỉ được yêu cầu thông tin phục vụ tuyển dụng và chỉ được sử dụng cho đúng mục đích, trừ khi có thỏa thuận mở rộng. Quy định yêu cầu sự đồng ý của người dự tuyển và đặt nghĩa vụ phải xóa hoặc hủy dữ liệu nếu không tuyển dụng, nhằm ngăn ngừa tình trạng lưu trữ kéo dài hoặc sử dụng lại dữ liệu cho mục đích khác, một rủi ro phổ biến trong thực tiễn tuyển dụng.

Đối với giai đoạn quản lý và sử dụng lao động, Điều 25 tiếp tục khẳng định nguyên tắc tuân thủ pháp luật lao động, pháp luật dữ liệu và các luật liên quan, đồng thời yêu cầu NSDLĐ chỉ lưu trữ dữ liệu trong thời hạn cần thiết. Khi quan hệ lao động chấm dứt, dữ liệu phải được xóa hoặc hủy trừ trường hợp có thỏa thuận hoặc quy định khác… Theo khoản 3 của Điều 25 điều chỉnh việc thu thập dữ liệu bằng công nghệ giám sát như camera, hệ thống chấm công tự động, định vị, NSDLĐ chỉ được áp dụng các biện pháp công nghệ phù hợp pháp luật, minh bạch với NLĐ, và tuyệt đối không xử lý dữ liệu thu thập bằng biện pháp trái pháp luật. Quy định này phản ánh sự thận trọng của nhà làm luật trước nguy cơ giám sát công nghệ xâm phạm đời tư trong môi trường làm việc.

Tổng thể, Điều 25 thiết lập một chuẩn mực bảo vệ dữ liệu có tính cân bằng giữa quyền riêng tư của NLĐ và nhu cầu quản lý của NSDLĐ. Tuy nhiên, hệ thống quyền, nghĩa vụ vẫn nghiêng mạnh về bảo vệ NLĐ, trong khi quyền được bảo mật dữ liệu của NSDLĐ chưa được quy định rõ, cho thấy yêu cầu cần tiếp tục hoàn thiện pháp luật để phản ánh đặc thù song phương của quan hệ lao động

Điều 36 Luật Bảo vệ DLCN 2025 thiết lập cơ chế quản lý nhà nước theo hướng thống nhất nhưng phân cấp rõ ràng. Chính phủ giữ vai trò chỉ đạo chung, trong khi Bộ Công an là cơ quan đầu mối quản lý xuyên suốt, trừ những nội dung thuộc thẩm quyền Bộ Quốc phòng. Các bộ, ngành khác thực hiện quản lý dữ liệu trong phạm vi lĩnh vực của mình, còn UBND cấp tỉnh đảm nhiệm triển khai và giám sát tại địa phương.

2.3. Về thuận lợi và sự phù hợp tất yếu

Khung pháp luật Việt Nam về bảo vệ DLCN đã có những bước hoàn thiện đáng kể với Luật Bảo vệ DLCN 2025, tạo nền tảng pháp lý thống nhất và phù hợp với xu hướng số hóa trong lĩnh vực lao động. Một điểm tiến bộ quan trọng là việc chuyển từ định nghĩa theo liệt kê sang phân loại theo tính chất, tách bạch dữ liệu cơ bản và dữ liệu nhạy cảm, qua đó xác định mức độ bảo mật và nghĩa vụ ứng phó khi phát sinh vi phạm. Cách tiếp cận này giúp làm rõ phạm vi các quyền mà NLĐ có thể yêu cầu, đặc biệt đối với dữ liệu có mức độ tác động cao.

Thứ nhất, về nguyên tắc xử lý, Luật Bảo vệ DLCN 2025 bổ sung các nguyên tắc mang tính định hướng như tuân thủ Hiến pháp, bảo đảm lợi ích quốc gia – dân tộc, và phòng ngừa rủi ro trong xử lý dữ liệu, đồng thời nhấn mạnh yêu cầu cân bằng giữa lợi ích cá nhân và lợi ích công cộng. Đây là điểm thể hiện tính linh hoạt và đặc thù của pháp luật Việt Nam trong điều chỉnh các quan hệ dữ liệu phát sinh trong môi trường lao động.

Thứ hai, pháp luật cũng quy định rõ hơn về quyền và nghĩa vụ của chủ thể dữ liệu. Ngoài các quyền tiếp cận, cải chính, phản đối hoặc yêu cầu xóa dữ liệu, Luật Bảo vệ DLCN 2025 thiết lập nghĩa vụ của chủ thể dữ liệu, bao gồm cả NLĐ và cá nhân NSDLĐ, nhằm bảo đảm trách nhiệm song song trong bảo vệ thông tin cá nhân. Dự thảo Nghị định hướng dẫn đặt ra thời hạn phản hồi yêu cầu của cá nhân trong vòng 02 ngày làm việc, tối đa 10 ngày, qua đó nâng cao tính minh bạch và trách nhiệm giải trình của NSDLĐ.

Thứ ba, Luật Bảo vệ DLCN 2025 bổ sung hướng dẫn chi tiết cho NSDLĐ trong hoạt động tuyển dụng, quản lý và sử dụng lao động, đặc biệt liên quan đến thu thập và sử dụng dữ liệu phục vụ đánh giá, giám sát, hoặc quản trị nguồn nhân lực. Đây là điểm tiến bộ mà nhiều hệ thống pháp luật chưa quy định cụ thể trong luật bảo vệ dữ liệu chung. Nhìn chung, thực trạng pháp luật hiện hành cho thấy Việt Nam đang từng bước xây dựng cơ chế bảo vệ DLCN phù hợp với bối cảnh mới, đồng thời tạo điều kiện thuận lợi để doanh nghiệp đáp ứng yêu cầu quản lý nhân sự trong thời kỳ chuyển đổi số.

2.4. Về những khó khăn bất cập khi áp dụng

Bên cạnh những bước tiến quan trọng, hệ thống pháp luật Việt Nam về bảo vệ DLCN trong quan hệ lao động vẫn bộc lộ nhiều hạn chế.

Thứ nhất, pháp luật chưa xác định rõ giới hạn dữ liệu NSDLĐ được thu thập và cung cấp cho bên thứ ba. Điều 21 BLLĐ liệt kê nội dung hợp đồng lao động nhưng không quy định thông tin nào bị cấm thu thập hoặc chỉ được xử lý trong điều kiện đặc thù. Trong các mô hình lao động nền tảng, việc NSDLĐ hoặc doanh nghiệp công nghệ yêu cầu dữ liệu vượt mức cần thiết diễn ra phổ biến, trong khi NLĐ không có khả năng thương lượng. Đồng thời, NLĐ khi khiếu nại cũng có thể tiết lộ dữ liệu của cá nhân NSDLĐ vượt phạm vi cho phép, tạo rủi ro pháp lý cho cả hai phía.

Thứ hai, Bộ luật Lao động (BLLĐ) chưa đưa ra cơ chế chuyên biệt để bảo vệ DLCN trong lĩnh vực lao động. Quyền về bí mật đời tư, bí mật cá nhân chỉ được thể hiện gián tiếp qua nghĩa vụ cung cấp thông tin và nội dung hợp đồng, nhưng không xác định giới hạn dữ liệu được phép thu thập. Quy định yêu cầu NLĐ phải “cung cấp thông tin theo yêu cầu của NSDLĐ” tạo ra nguy cơ thu thập quá mức, trong khi NLĐ, vốn là bên yếu thế, khó thực hiện quyền từ chối, dẫn đến khả năng bị xâm phạm dữ liệu hoặc phân biệt đối xử dựa trên DLCN.

Thứ ba, cơ chế thẩm quyền giải quyết tranh chấp về DLCN trong quan hệ lao động còn phân tán và chồng chéo. Hệ thống cơ quan lao động theo BLLĐ, cơ quan chuyên trách bảo vệ dữ liệu theo Luật Bảo vệ DLCN 2025 (Bộ Công an) và Tòa án theo Bộ luật Dân sự đều có thẩm quyền tiếp nhận khiếu nại. Việc tồn tại ba hướng xử lý song song khiến cả NLĐ và cá nhân NSDLĐ khó xác định nơi giải quyết phù hợp khi xảy ra vi phạm, qua đó làm giảm tính hiệu lực của hệ thống bảo vệ.

Thứ tư, pháp luật chưa bảo vệ đầy đủ nhóm người làm việc không có quan hệ lao động, nhóm dễ bị tổn thương trong nền kinh tế số. BLLĐ chỉ điều chỉnh NLĐ theo hợp đồng, trong khi quyền DLCN của người làm việc tự do, làm việc trên nền tảng lại thuộc phạm vi Luật Bảo vệ DLCN và thẩm quyền của Bộ Công an. Sự phân tách này dẫn tới khoảng trống trong bảo vệ dữ liệu, đặc biệt với các mô hình việc làm mới vốn không phù hợp hoàn toàn với khái niệm “quan hệ lao động truyền thống”.

Thứ năm, Luật Bảo vệ DLCN 2025 còn thiếu quy định cụ thể về thời hạn lưu trữ, xóa - hủy và khử nhận dạng dữ liệu trong quan hệ lao động. Việc chỉ quy định “xóa dữ liệu khi hết thời hạn theo pháp luật” nhưng không xác định rõ thời hạn tạo ra khoảng trống, khiến dữ liệu có thể bị lưu giữ quá lâu, tăng nguy cơ rò rỉ hoặc lạm dụng. Cơ chế “thỏa thuận” thời hạn lưu trữ cũng không khả thi trong bối cảnh bất cân xứng quyền lực, khiến NLĐ khó kiểm soát thông tin cá nhân của mình.

3. Một số kiến nghị hoàn thiện và giải pháp nâng cao hiệu quả thực thi pháp luật bảo vệ dữ liệu cá nhân trong quan hệ lao động Việt Nam

3.1. Một số kiến nghị hoàn thiện

Thứ nhất, Luật Bảo vệ DLCN 2025 và dự thảo Nghị định quy định chi tiết một số điều của Luật Bảo vệ DLCN (ngày 12/9/2025) đã làm rõ hơn phạm vi và nội hàm của DLCN cơ bản và DLCN nhạy cảm. Tuy nhiên, trong quan hệ lao động, nhiều loại dữ liệu phản ánh nhân thân, đời tư hoặc hoạt động cá nhân của NLĐ và NSDLĐ được thu thập và sử dụng thường xuyên nhằm phục vụ công tác quản lý nhân sự, tổ chức lao động và thực hiện hợp đồng lao động. Do đó, trong các quy định về hợp đồng lao động, cần thiết phải bổ sung danh mục và phạm vi các loại DLCN nhạy cảm trong lĩnh vực lao động được phép thu thập và xử lý, giới hạn ở những dữ liệu thực sự cần thiết cho mục đích thực hiện công việc, quản lý lao động hoặc giải quyết khiếu nại, tố cáo, tranh chấp lao động. Các dữ liệu này, về nguyên tắc, vẫn thuộc nhóm dữ liệu cá nhân nhạy cảm và phải được bảo vệ theo chế độ nghiêm ngặt; đồng thời, pháp luật cần ghi nhận khả năng công khai, chuyển giao hoặc cung cấp cho bên thứ ba trong những trường hợp cần thiết theo quy định của pháp luật, trên cơ sở mục đích cụ thể và phạm vi cần thiết, nhằm hạn chế nguy cơ xâm phạm quyền riêng tư.

Thứ hai, cần bổ sung các quy định về quyền riêng tư trong quan hệ lao động tại Bộ luật Lao động, làm cơ sở pháp lý cho việc tiếp tục cụ thể hóa các quy định về bảo vệ DLCN trong lĩnh vực lao động. Trên cơ sở đó, cần làm rõ quyền từ chối hoặc quyền không đồng ý của NLĐ đối với các yêu cầu thu thập, xử lý DLCN không thực sự cần thiết cho việc giao kết, thực hiện hoặc chấm dứt hợp đồng lao động. Đặc biệt trong bối cảnh lao động qua nền tảng số và lao động thông qua ứng dụng, pháp luật cần đồng thời quy định nghĩa vụ của NSDLĐ trong việc chứng minh tính cần thiết, tương xứng và mục đích cụ thể của việc thu thập dữ liệu, cũng như thiết lập nguyên tắc không được từ chối tuyển dụng, hạn chế cơ hội việc làm hoặc áp dụng các hình thức bất lợi khác đối với NLĐ chỉ vì họ thực hiện quyền từ chối cung cấp dữ liệu không cần thiết.

Thứ ba, cần phải xây dựng cơ chế phân định và thống nhất thẩm quyền giải quyết các tranh chấp liên quan đến bảo vệ DLCN trong quan hệ lao động. BLLĐ và Luật Bảo vệ DLCN 2025 cần rà soát và điều chỉnh toàn diện các quy định pháp luật liên quan để làm rõ vai trò, phạm vi và trách nhiệm cụ thể của từng cơ quan trong giải quyết các vụ việc liên quan đến bảo vệ DLCN trong quan hệ lao động. Thống nhất quy định rõ thẩm quyền chính thức, thẩm quyền phối hợp và quy trình chuyển giao vụ việc khi xảy ra tranh chấp về DLCN, đồng thời xác định trách nhiệm hướng dẫn và hỗ trợ NLĐ và cá nhân NSDLĐ trong việc khiếu nại, tố cáo

Thứ tư, mở rộng bảo hộ cho người làm việc không có quan hệ lao động. Pháp luật lao động và luật bảo vệ DLCN cần ghi nhận quyền riêng tư của “người làm việc không trong quan hệ lao động” và các nguyên tắc cơ bản về bảo vệ dữ liệu ngay cả khi không tồn tại hợp đồng lao động chính thức. Đồng thời, ghi nhận quyền riêng tư và các nguyên tắc bảo vệ dữ liệu áp dụng cho lao động nền tảng, lao động tự do, xác định cơ sở pháp lý cho việc thu thập, xử lý dữ liệu trong các mô hình việc làm mới; đồng thời quy định rõ đầu mối tiếp nhận và trình tự xử lý khiếu nại đối với nhóm này.

Thứ năm, pháp luật cần xác định rõ thời hạn tối đa mà NSDLĐ hoặc các nền tảng số được phép lưu trữ dữ liệu cá nhân của NLĐ và ứng viên, phân biệt rõ giữa giai đoạn tuyển dụng, đang làm việc và sau khi chấm dứt quan hệ lao động. Đồng thời, cần thiết lập nghĩa vụ pháp lý bắt buộc đối với NSDLĐ và các nền tảng cung ứng dịch vụ trong việc thông báo cho NLĐ, người ứng tuyển biết về thời hạn lưu trữ, mục đích sử dụng và biện pháp bảo vệ dữ liệu cá nhân của họ. Ngoài ra, quy định về việc “thỏa thuận thời hạn lưu trữ dữ liệu giữa NLĐ và NSDLĐ” nên được xem xét điều chỉnh theo hướng bảo vệ bên yếu thế, quy định thời hạn tối đa được lưu trữ và mục đích lưu trữ, vì trong thực tiễn quan hệ lao động, NLĐ thường không có khả năng thương lượng bình đẳng, đặc biệt trong các mô hình làm việc trên nền tảng số hoặc hợp đồng điện tử soạn sẵn

Thứ sáu, BLLĐ Việt Nam hiện nay tuy đã có những quy định nhằm bảo vệ bí mật kinh doanh cho NSDLĐ nhưng chưa chú ý tới bảo vệ DLCN, bí mật cá nhân cho cá nhân NSDLĐ. Điều này đặt ra sự bất bình đẳng quyền và nghĩa vụ, khi mà NSDLĐ chịu trách nhiệm quản lý, thu thập và xử lý dữ liệu của NLĐ nhưng đồng thời lại không được bảo vệ dữ liệu cá nhân của chính mình. Do đó, cần bổ sung quy định rõ ràng nhằm bảo vệ quyền lợi cá nhân NSDLĐ, bảo gồm quyền hạn chế phạm DLCN mà mình phải cung cấp cho NLĐ, quyền được thông báo và đồng ý khi DLCN của cá nhân NSDLĐ được chia sẻ với bên thứ ba; quyền khiếu nại, tố cáo và khởi kiện khi DLCN bị xâm phạm; đồng thời quy định cơ quan tiếp nhận, xử lý và giải quyết khiếu nại một cách minh bạch, đảm bảo quyền lợi của cá nhân NSDLĐ. Những quy định này không chỉ cân bằng quyền lợi giữa NSDLĐ và NLĐ mà còn thúc đẩy môi trường lao động an toàn, minh bạch và tôn trọng quyền riêng tư của tất cả các bên, phù hợp với chỉ thị xây dựng quan hệ lao động hài hòa, ổn định.

3.2. Giải pháp nâng cao hiệu quả thực thi

* Đối với NSDLĐ

Thứ nhất, thiết lập và thực thi quy chế nội bộ về bảo vệ dữ liệu, quy định rõ phạm vi thu thập, mục đích xử lý, thời hạn lưu trữ, điều kiện chia sẻ và cơ chế tiêu hủy. Quy chế cần được rà soát định kỳ và gắn với trách nhiệm của bộ phận hoặc cá nhân phụ trách.

Thứ hai, bảo đảm cơ chế thông báo và đồng ý minh bạch, mọi xử lý dữ liệu phải dựa trên sự đồng ý rõ ràng, tự nguyện và có thể rút lại của NLĐ, đồng thời lưu giữ bằng chứng phục vụ kiểm tra, giám sát.

Thứ ba, tăng cường biện pháp bảo mật kỹ thuật và kiểm soát truy cập nhằm hạn chế tối đa rủi ro rò rỉ, xâm nhập hoặc sử dụng trái phép dữ liệu trong môi trường số hóa nhân sự.

Thứ tư, xây dựng quy trình tiếp nhận khiếu nại và ứng phó sự cố dữ liệu, bảo đảm khả năng phát hiện, phản ứng và báo cáo kịp thời; với doanh nghiệp nhỏ, có thể kết hợp giải pháp thuê ngoài hoặc quy trình nội bộ tinh gọn.

Thứ năm, tổ chức đào tạo định kỳ và xây dựng văn hóa bảo mật trong doanh nghiệp, kết hợp vai trò giám sát của tổ chức đại diện NLĐ để bảo đảm minh bạch và trách nhiệm.

Thứ sáu, chủ động hợp tác với cơ quan quản lý trong hoạt động thanh tra, kiểm tra và thực hiện biện pháp khắc phụ, đồng thời, cá nhân NSDLĐ cần tự áp dụng biện pháp quản lý, phân quyền và giám sát dữ liệu liên quan đến mình nhằm bảo vệ quyền lợi hợp pháp.

* Đối với NLĐ

Bảo vệ DLCN trong quan hệ lao động chỉ thực sự hiệu quả khi NLĐ chủ động nâng cao năng lực tự bảo vệ. NLĐ là đối tượng trực tiếp chịu rủi ro khi dữ liệu bị thu thập, xử lý hoặc tiết lộ trái phép, nên việc trang bị nhận thức và kỹ năng là điều kiện thiết yếu.

Thứ nhất, NLĐ cần tăng cường hiểu biết pháp luật về quyền DLCN và quyền riêng tư được quy định trong Bộ luật Lao động và Luật Bảo vệ DLCN. Việc nắm rõ quyền truy cập, chỉnh sửa, xóa hoặc phản đối xử lý giúp NLĐ chủ động giám sát và yêu cầu NSDLĐ tuân thủ quy định, đặc biệt trong quá trình ký kết hợp đồng và tiếp nhận thông báo thu thập dữ liệu.

Thứ hai, NLĐ phải trang bị kỹ năng bảo mật và quản lý dữ liệu trong môi trường số hóa. Việc cung cấp thông tin chỉ nên thực hiện đối với chủ thể có thẩm quyền và mục đích hợp pháp; hạn chế dùng thiết bị cá nhân truy cập hệ thống nội bộ; thường xuyên thay đổi mật khẩu, kích hoạt xác thực hai lớp và quản lý quyền truy cập. Khi phát hiện vi phạm, NLĐ cần lưu giữ chứng cứ và báo cáo kịp thời cho bộ phận nhân sự, công đoàn hoặc cơ quan có thẩm quyền.

Thứ ba, NLĐ cần chủ động tham gia và giám sát việc xây dựng, ban hành và thực thi chính sách nội bộ về bảo vệ dữ liệu trong doanh nghiệp. Thông qua công đoàn và các cơ chế phản hồi, NLĐ có thể góp phần hoàn thiện quy trình xử lý dữ liệu và phát hiện sớm các hành vi vi phạm.

NLĐ chỉ có thể bảo vệ tốt quyền của mình khi hiểu biết đầy đủ, hành động chủ động và phối hợp chặt chẽ với cơ chế quản lý nội bộ của doanh nghiệp. Đây là điều kiện quan trọng để xây dựng môi trường lao động an toàn và tôn trọng DLCN.

* Đối với cơ quan nhà nước

Thứ nhất, hoàn thiện pháp luật và hướng dẫn thi hành. Cần nhanh chóng ban hành văn bản dưới luật thống nhất giữa Luật Bảo vệ DLCN và Bộ luật Lao động, làm rõ quy trình xử lý dữ liệu, trách nhiệm của NSDLĐ và quyền của NLĐ trong môi trường số.

Thứ hai, tăng cường giám sát và xử lý vi phạm. Cần nâng cao năng lực thanh tra lao động và cơ quan chuyên trách an ninh mạng trong tiếp nhận, xác minh, điều tra và xử lý vi phạm; thiết lập hệ thống khiếu nại, cảnh báo trực tuyến; và áp dụng chế tài đủ mạnh đối với hành vi xâm phạm dữ liệu của NLĐ.

Thứ ba, phát triển hạ tầng và tiêu chuẩn bảo mật. Nhà nước cần ban hành tiêu chuẩn kỹ thuật về bảo vệ dữ liệu lao động, hướng dẫn áp dụng các biện pháp như mã hóa, phân quyền truy cập, ẩn danh hóa và xây dựng cơ sở dữ liệu lao động vận hành trên hạ tầng bảo mật cao.

Thứ tư, thúc đẩy phối hợp liên ngành và hợp tác quốc tế. Cần thiết lập cơ chế phối hợp thực chất giữa các cơ quan quản lý và mở rộng hợp tác kỹ thuật với mô hình cơ quan giám sát dữ liệu nhằm nâng cao năng lực quản trị và tiệm cận thông lệ quốc tế.

Việc triển khai đồng bộ các giải pháp này giúp củng cố cơ chế bảo vệ dữ liệu trong quan hệ lao động, bảo đảm quyền riêng tư của NLĐ và nâng cao tính minh bạch, trách nhiệm của NSDLĐ.

Bảo vệ dữ liệu cá nhân trong quan hệ lao động là yêu cầu tất yếu trong bối cảnh số hóa, khi dữ liệu ngày càng nhạy cảm và rủi ro xâm phạm tăng cao. Việt Nam đã có bước tiến quan trọng với Luật Bảo vệ DLCN 2025, nhưng vẫn cần tiếp tục hoàn thiện để khắc phục các khoảng trống về khái niệm, thẩm quyền và phạm vi áp dụng. Việc xây dựng cơ chế minh bạch, thống nhất và cân bằng giữa quyền quản lý của NSDLĐ và quyền riêng tư của NLĐ sẽ là nền tảng để hình thành môi trường lao động hiện đại, an toàn và bền vững, phù hợp xu thế quản trị lao động số.

NGUYỄN HIỀN LƯƠNG (Học viên cao học K31, ngành Luật Kinh tế, Trường Đại học Luật Hà Nội)