English
中文 (中国)
日本語
Trong bối cảnh nền kinh tế số phát triển nhanh chóng và dữ liệu cá nhân trở thành một loại tài sản thiết yếu trong chuỗi giá trị toàn cầu, việc ban hành một đạo luật chuyên biệt về bảo vệ dữ liệu cá nhân tại Việt Nam không chỉ mang ý nghĩa nội tại về pháp quyền, mà còn là yêu cầu bắt buộc nhằm đáp ứng tiêu chuẩn quốc tế, tạo hành lang pháp lý vững chắc cho môi trường đầu tư tại Việt Nam và thương mại xuyên biên giới.
Từ ngày 1 tháng 7 năm 2023, Nghị định số 13/2023/NĐ-CP (“Nghị định 13”) về bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực, đánh dấu bước khởi đầu chính thức trong việc xây dựng khung pháp lý điều chỉnh hoạt động thu thập, lưu trữ, xử lý và chia sẻ dữ liệu cá nhân. Tuy nhiên, Nghị định 13 về tính chất vẫn chỉ là một văn bản dưới luật, được ban hành trong điều kiện chưa có Luật Bảo vệ Dữ liệu Cá nhân – điều vốn là thông lệ phổ biến tại hầu hết các quốc gia có hệ thống pháp luật tiên tiến.
Việc chưa có luật mang hàm nghĩa hạn chế nhất định về giá trị pháp lý, tính ổn định và năng lực cưỡng chế, đặc biệt trong những tình huống xung đột quyền lợi giữa chủ thể dữ liệu và các bên xử lý dữ liệu có yếu tố nước ngoài.
Thực tiễn cũng cho thấy, các tổ chức đa quốc gia và đối tác nước ngoài thường đặt ra điều kiện về mức độ bảo vệ dữ liệu tương đương với Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu hoặc các tiêu chuẩn quốc tế tương ứng, nhằm bảo đảm quyền riêng tư và giảm thiểu rủi ro pháp lý khi chuyển dữ liệu xuyên biên giới.
Trong bối cảnh Việt Nam ngày càng tích cực tham gia vào các hiệp định thương mại thế hệ mới như CPTPP, EVFTA hay DEPA, việc xây dựng một Luật Bảo vệ Dữ liệu Cá nhân có hiệu lực pháp lý cao hơn, toàn diện hơn là bước đi tất yếu, thể hiện cam kết mạnh mẽ của Nhà nước trong việc đồng bộ hóa pháp luật với chuẩn mực toàn cầu.
Mặt khác, sự phát triển nhanh chóng của công nghệ như trí tuệ nhân tạo (AI), Internet vạn vật (IoT), nền tảng số và thương mại điện tử đang đặt ra những thách thức mới về quyền kiểm soát dữ liệu, nguy cơ rò rỉ thông tin cá nhân và các hành vi xâm phạm quyền riêng tư ở quy mô lớn. Điều này đòi hỏi không chỉ những quy định mang tính hướng dẫn, chung chung mà là một đạo luật có hiệu lực bao quát, chi tiết, mang tính nền tảng và có thể tạo điều kiện áp dụng đồng bộ giữa các cơ quan nhà nước, doanh nghiệp và tổ chức xã hội.
Vì vậy, việc Luật Bảo vệ Dữ liệu Cá nhân được thông qua ngày 26 tháng 6 năm 2025 có hiệu lực từ ngày 1 tháng 1 năm 2026 không chỉ hợp pháp hóa các quy định hiện hành trong Nghị định 13 mà còn được kỳ vọng mở rộng phạm vi điều chỉnh, nâng cao năng lực bảo vệ quyền cá nhân, tăng cường minh bạch trong xử lý dữ liệu, đồng thời góp phần củng cố niềm tin của nhà đầu tư tại Việt Nam và người tiêu dùng trong một xã hội số hóa toàn diện.
Những điểm nổi bật trong Luật Bảo vệ Dữ liệu Cá nhân có hiệu lực từ năm 2026
Một trong những bước tiến đáng chú ý của Luật Bảo vệ Dữ liệu Cá nhân là việc lần đầu tiên luật hóa khái niệm và phân loại dữ liệu cá nhân một cách có hệ thống, xây dựng dựa trên những nội dung đã được ban hành từ trước tại khoản 3 và khoản 4 Nghị định 13. Cụ thể, theo quy định tại khoản 2 và khoản 3 Điều 2 Luật Bảo vệ Dữ liệu Cá nhân, dữ liệu cá nhân được chia thành hai nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm các thông tin định danh thông thường như họ tên, ngày sinh, số điện thoại, email, mã số định danh cá nhân, hình ảnh cá nhân. Trong khi đó, dữ liệu cá nhân nhạy cảm bao gồm các thông tin có khả năng gây ảnh hưởng nghiêm trọng đến quyền và lợi ích hợp pháp của cá nhân như thông tin về tình trạng sức khỏe, quan điểm chính trị, xu hướng giới tính, dữ liệu sinh trắc học, vị trí thời gian thực, hoặc thông tin tài chính.
Cách tiếp cận này không chỉ giúp xác định mức độ bảo vệ cần thiết mà còn là cơ sở để áp dụng các nghĩa vụ pháp lý tương ứng, đặc biệt trong các trường hợp xử lý dữ liệu mà không có sự đồng ý của chủ thể.
Một trong các điểm quan trọng nhất của Luật này được đánh giá, bàn luận, thắc mắc nhiều trong suốt quá trình xây dựng Luật có liên quan đến việc quy định cụ thể, chi tiết hơn các nghĩa vụ bảo vệ dữ liệu trong quá trình các tổ chức xử lý dữ liệu cá nhân.
Theo đó, Luật Bảo vệ Dữ liệu Cá nhân quy định rõ các yêu cầu pháp lý đối với từng hoạt động xử lý dữ liệu, bao gồm: yêu cầu rút lại sự đồng ý và yêu cầu hạn chế xử lý dữ liệu cá nhân (Điều 10); việc thu thập, phân tích, tổng hợp dữ liệu cá nhân (Điều 11); mã hóa và giải mã dữ liệu cá nhân (Điều 12); chỉnh sửa dữ liệu cá nhân (Điều 13); xóa, hủy hoặc khử nhận dạng dữ liệu cá nhân (Điều 14); cung cấp dữ liệu cá nhân (Điều 15); công khai dữ liệu cá nhân (Điều 16); chuyển giao dữ liệu cá nhân (Điều 17); cũng như các hoạt động khác trong xử lý dữ liệu cá nhân (Điều 18).
Các quy định này không chỉ thiết lập các chuẩn mực bảo vệ dữ liệu rõ ràng hơn cho người dùng, mà còn tạo khuôn khổ pháp lý minh bạch cho doanh nghiệp kinh doanh tại Việt Nam và tổ chức trong quá trình xây dựng hệ thống tuân thủ.
Liên quan đến điều kiện xử lý dữ liệu cá nhân, bên cạnh nguyên tắc đồng ý là nền tảng chính, Luật Bảo vệ Dữ liệu Cá nhân cũng cho phép xử lý mà không cần sự đồng ý của chủ thể trong một số trường hợp cụ thể.
Theo quy định tại khoản 1 Điều 19, dữ liệu cá nhân có thể được xử lý không cần sự đồng ý khi cần thiết để bảo vệ quyền, lợi ích hợp pháp, tính mạng, sức khỏe của cá nhân hoặc người khác; phục vụ lợi ích công, hoạt động quản lý nhà nước hoặc để ngăn chặn các nguy cơ đe dọa đến an ninh quốc gia, trật tự an toàn xã hội.
Trong các trường hợp này, bên kiểm soát hoặc xử lý dữ liệu có trách nhiệm chứng minh tính hợp pháp của việc miễn trừ và phải tuân thủ các yêu cầu giám sát nội bộ theo khoản 2 Điều 19 Luật Bảo vệ dữ liệu cá nhân, bao gồm xây dựng quy trình xử lý, đánh giá rủi ro, kiểm tra định kỳ và tiếp nhận phản ánh. Quy định này nhằm đảm bảo rằng dù không có sự đồng ý, việc xử lý dữ liệu vẫn phải đặt trong khuôn khổ trách nhiệm và minh bạch, tránh lạm dụng và bảo vệ tối đa quyền lợi của chủ thể dữ liệu.
Một nội dung quan trọng và có ảnh hưởng trực tiếp đến doanh nghiệp xuyên biên giới là quy định về chuyển dữ liệu cá nhân ra nước ngoài. Theo quy định tại khoản 1 Điều 20, hoạt động chuyển dữ liệu cá nhân xuyên biên giới bao gồm không chỉ việc chuyển dữ liệu từ hệ thống lưu trữ tại Việt Nam sang nước ngoài, mà còn bao gồm cả trường hợp sử dụng nền tảng xử lý dữ liệu đặt ngoài lãnh thổ Việt Nam đối với dữ liệu được thu thập tại Việt Nam.
Để bảo đảm an toàn và kiểm soát rủi ro, Luật yêu cầu cơ quan, tổ chức, cá nhân thực hiện chuyển dữ liệu phải lập hồ sơ đánh giá tác động và gửi cho cơ quan chuyên trách về bảo vệ dữ liệu cá nhân trong thời hạn 60 ngày kể từ thời điểm bắt đầu chuyển dữ liệu, theo khoản 2 Điều 20. Việc đánh giá tác động này chỉ cần thực hiện một lần trong suốt thời gian hoạt động và được cập nhật định kỳ, theo quy định tại khoản 3.
Bên cạnh đó, Luật trao quyền cho cơ quan chuyên trách được kiểm tra định kỳ hoặc đột xuất và có thể yêu cầu ngừng hoạt động chuyển dữ liệu nếu phát hiện việc sử dụng dữ liệu gây nguy hại đến quốc phòng, an ninh quốc gia (khoản 4 và khoản 5 Điều 20 Luật Bảo vệ dữ liệu cá nhân).
Tuy nhiên, để đảm bảo tính linh hoạt trong thực tiễn, Luật cũng xác định một số trường hợp được miễn trừ đánh giá tác động, chẳng hạn như chuyển dữ liệu của cơ quan nhà nước có thẩm quyền, sử dụng dịch vụ đám mây nội bộ hoặc việc chủ thể tự chuyển dữ liệu cá nhân của mình (khoản 6 Điều 20).
Cách tiếp cận này cho thấy nỗ lực của Việt Nam trong việc cân bằng giữa bảo vệ chủ quyền dữ liệu và tạo điều kiện cho hoạt động số hóa, đồng thời yêu cầu doanh nghiệp kinh doanh tại Việt Nam rà soát lại toàn bộ hạ tầng lưu trữ, nền tảng kỹ thuật và quy trình xử lý dữ liệu để đảm bảo tuân thủ trước khi thực hiện chuyển dữ liệu xuyên biên giới.
Về công nghệ trí tuệ nhân tạo, điện toán đám mây và các công nghệ tiên tiến mới nhất trong thời đại số hóa, Luật Bảo vệ Dữ liệu Cá nhân đã có quy định riêng tại Điều 30 để kiểm soát việc xử lý dữ liệu cá nhân trong các môi trường công nghệ này.
Trước sự phát triển nhanh chóng của các công nghệ mới như trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data), chuỗi khối (blockchain), vũ trụ ảo (metaverse) và điện toán đám mây, việc xử lý dữ liệu cá nhân trong không gian công nghệ tiên tiến phải được thực hiện đúng mục đích, trong phạm vi cần thiết và bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu. Đây là nguyên tắc cốt lõi nhằm tránh tình trạng thu thập tràn lan, phân tích sâu quá mức hoặc sử dụng dữ liệu vào mục đích thứ cấp không minh bạch.
Ngoài ra, Luật yêu cầu các hệ thống và dịch vụ vận hành trên nền tảng AI, dữ liệu lớn hoặc điện toán đám mây phải tích hợp biện pháp bảo mật phù hợp, đồng thời áp dụng phương thức định danh, xác thực và phân quyền truy cập để kiểm soát quyền truy xuất dữ liệu (khoản 3 Điều 30 Luật Bảo vệ dữ liệu cá nhân). Riêng với trí tuệ nhân tạo, tại khoản 4, Luật yêu cầu phân loại xử lý theo mức độ rủi ro và có biện pháp bảo vệ dữ liệu tương ứng.
Các quy định chặt chẽ này cho thấy sự tiếp cận thận trọng của Việt Nam đối với công nghệ có khả năng đưa ra quyết định tự động và tiềm ẩn nguy cơ sai lệch thuật toán, gây nên sai sót mang tính hệ thống có khả năng gây nên hậu quả nghiêm trọng và đặc biệt nghiêm trọng.
Đáng lưu ý, Luật nghiêm cấm việc sử dụng các công nghệ nêu trên để phát triển hệ thống gây tổn hại đến quốc phòng, an ninh quốc gia hoặc xâm phạm đến danh dự, nhân phẩm, tính mạng, tài sản của cá nhân khác (khoản 5 Điều 30 Luật Bảo vệ dữ liệu cá nhân).
Như vậy, bên cạnh yêu cầu tuân thủ pháp luật, nhà cung cấp dịch vụ và tổ chức công nghệ còn phải cân nhắc yếu tố đạo đức và chuẩn mực văn hóa trong quá trình thiết kế, triển khai và vận hành các hệ thống xử lý dữ liệu cá nhân tại Việt Nam.
Luật Bảo vệ Dữ liệu Cá nhân 2026: Bước tiến hội nhập và định hình chuẩn mực bảo vệ quyền riêng tư tại Việt Nam
Với việc ban hành Luật Bảo vệ Dữ liệu Cá nhân, Việt Nam đã đánh dấu bước chuyển mình mạnh mẽ trong quá trình hoàn thiện thể chế bảo vệ quyền riêng tư trong kỷ nguyên số. Không chỉ nội luật hóa nhiều nguyên tắc và cơ chế tương đồng với Quy định Bảo vệ Dữ liệu chung của Liên minh châu Âu (GDPR) – như hệ thống quyền của chủ thể dữ liệu, các cơ sở pháp lý hợp pháp để xử lý, nghĩa vụ đánh giá tác động (DPIA), hay cơ chế kiểm soát chuyển dữ liệu xuyên biên giới – Luật còn thể hiện rõ định hướng chủ động đối với các rủi ro mới trong kỷ nguyên công nghệ số.
Đáng chú ý, Việt Nam là một trong số ít quốc gia Đông Nam Á quy định riêng về việc bảo vệ dữ liệu cá nhân trong các môi trường công nghệ cao như trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây. Các hệ thống ứng dụng các công nghệ này phải phân loại rủi ro, tích hợp biện pháp kỹ thuật bảo mật và thiết kế kiểm soát truy cập ngay từ đầu. Cách tiếp cận này không chỉ phù hợp với nguyên tắc “privacy by design” của quốc tế, mà còn đặt nền móng cho sự phát triển có trách nhiệm trong các lĩnh vực công nghệ mới nổi.
So với các nước ASEAN, Việt Nam đang nổi lên như quốc gia đầu tiên ban hành đạo luật chuyên biệt về bảo vệ dữ liệu cá nhân ở cấp độ quốc gia. Trong khi Thái Lan vẫn áp dụng các đạo luật theo hướng khung chưa ổn định hoặc Singapore áp dụng Luật theo hướng điều chỉnh ngành phân biệt rõ giữa khu vực công và tư, Luật mới của Việt Nam mang tính toàn diện hơn, bao quát cả khu vực công và tư, cả dữ liệu nhạy cảm lẫn dữ liệu phổ thông.
Trong bối cảnh dữ liệu ngày càng trở thành tài sản chiến lược, Luật Bảo vệ Dữ liệu Cá nhân không chỉ là công cụ bảo vệ quyền con người, mà còn là yếu tố cấu thành năng lực cạnh tranh của quốc gia. Đây là bước chuẩn bị quan trọng để Việt Nam hội nhập sâu hơn vào các dòng chảy dữ liệu xuyên biên giới và thu hút đầu tư tại Việt Nam vào lĩnh vực công nghệ có trách nhiệm, minh bạch và an toàn.
ASL Law là công ty luật độc lập và cung cấp đầy đủ dịch vụ được tín nhiệm cao của Việt Nam gồm các luật sư giàu kinh nghiệm và tài năng. ASL Law được Legal500, Asia Law, WTR và Asia Business Law Journal xếp hạng là Công ty Luật hàng đầu tại Việt Nam. Có trụ sở tại Hà Nội và Thành phố Hồ Chí Minh, mục đích chính của ASL LAW là cung cấp lời tư vấn và giải pháp lý thiết thực, hiệu quả và hợp pháp nhất cho khách hàng trong nước và quốc tế. Nếu cần sự trợ giúp, Quý khách hàng có thể gửi email liên hệ tới [email protected].
Liên hệ với công ty Luật ASL LAW để được tư vấn về Luật sở hữu trí tuệ tại Việt Nam và quốc tế.
BÀI VIẾT HỮU ÍCH LIÊN QUAN
