Luật dữ liệu của Việt Nam và ứng dụng thực tiễn? (1/2)

Dù sinh sau đẻ muộn, Luật Bảo vệ Dữ liệu Cá nhân dường như đã chọn một con đường riêng thay vì kế thừa hoàn toàn các triết lý pháp lý tiến bộ từ GDPR. Từ việc đặt 'sự đồng ý' làm nền tảng gần như tuyệt đối, tạo ra thách thức cho các hoạt động cơ bản như chống gian lận, cho đến việc thiếu vắng 'Quyền được Lãng quên' trong không gian mạng, luật mới đã tạo ra một khung pháp lý với những khác biệt sâu sắc. Những khác biệt trên giấy tờ này tạo ra các vướng mắc thực tiễn

Nếu so với nhiều nước trong khu vực ĐNA và các quốc gia có thế mạnh về công nghệ thông tin như Trung Quốc, Nhật, thì quả thực Việt Nam đã đi khá chậm trong việc ban hành một đạo luật riêng về bảo vệ dữ liệu cá nhân. Ngày 26/6/2025 Quốc hội đã ban hành Luật số 91/2025/QH15 về Bảo vệ dữ liệu cá nhân (sau đây viết tắt Luật DLCN).

Tuy sinh sau đẻ muộn nhưng dường như luật này vẫn chưa kế thừa được các tiến bộ mà các đạo luật bảo vệ dữ liệu cá nhân khác trên thế giới đã đề ra, đặc biệt trong đó phải so sánh với GDPR.

Hãy cùng phân tích Luật DLCN dưới góc nhìn của một nhà nghiên cứu legal tech.

1. Vấn đề sự đồng ý (consent) và lợi ích chính đáng

Nếu so sánh với GDPR. sự khác biệt lớn nhất nằm ở lý do tại sao một công ty được phép xử lý dữ liệu của bạn.

  • Luật DLCN : Vận hành dựa trên một mô hình lấy sự đồng ý (consent) làm trung tâm một cách nghiêm ngặt. Đối với hầu hết các hoạt động thương mại, nếu một công ty muốn sử dụng dữ liệu của bạn, họ cần có sự cho phép rõ ràng và chủ động từ bạn.
  • GDPR: Cung cấp một bộ chìa khóa linh hoạt hơn. Mặc dù sự đồng ý là một lựa chọn, GDPR còn cho phép xử lý dữ liệu dựa trên các cơ sở khác như: lợi ích chính đáng (legitimate interests), sự cần thiết của hợp đồng (contractual necessity), thực hiện nghĩa vụ pháp lý, lợi ích thiết yếu, nhiệm vụ công. [1] Điều này cho phép các hoạt động thiết yếu được thực hiện mà không cần phải hỏi xin sự đồng ý mỗi lần, miễn là công ty thực hiện một cuộc đánh giá rủi ro nghiêm ngặt để đảm bảo lợi ích của họ không vượt qua quyền của bạn.

Tuy nhiên hãy xem xét một hoạt động cơ bản: phòng chống gian lận thanh toán trên một trang thương mại điện tử.

  • Theo mô hình của EU: Một cửa hàng trực tuyến có thể phân tích dữ liệu giao dịch (địa chỉ IP, lịch sử mua hàng) để tự động chặn các giao dịch đáng ngờ. Họ làm điều này dựa trên “lợi ích chính đáng” là bảo vệ chính mình và khách hàng khỏi thiệt hại tài chính. Điều này hoàn toàn hợp lý và khách hàng cũng mong đợi được bảo vệ.
  • Theo mô hình của Việt Nam: Do không có cơ sở pháp lý “lợi ích chính đáng”, cửa hàng sẽ phải yêu cầu sự đồng ý rõ ràng từ khách hàng để “sử dụng dữ liệu của bạn cho mục đích chống gian lận”. Nếu khách hàng không đồng ý hoặc bỏ qua, về mặt pháp lý, cửa hàng không thể thực hiện biện pháp kiểm tra bảo mật này.

Với yêu cầu phải được người dùng đồng ý và “biết rõ về mục đích xử lý dữ liệu cá nhân” (điểm a khoản 2 Điều 9), các nhà phát triển dường như không có cách nào khác ngoài viết một cái ToS/EULA dài 100 trang mà không ai đọc và yêu cầu người dùng tick vào.

2. Quyền được biến mất: Xóa dữ liệu và “Quyền được Lãng quên”

Cả hai khung pháp lý đều cấp cho bạn “quyền được xóa dữ liệu”. Nhưng EU đã đi một bước xa hơn mang tính quyết định.

  • Quyền xóa của Việt Nam: Bạn có thể yêu cầu một công ty mạng xã hội xóa hồ sơ của bạn khỏi máy chủ của họ. (điểm d, khoản 1, Điều 4).
  • “Quyền được lãng quên” của EU: Quyền này mở rộng ra không gian công cộng. Bạn không chỉ có thể yêu cầu xóa hồ sơ, mà còn có thể buộc các công cụ tìm kiếm như Google phải gỡ bỏ các liên kết dẫn đến hồ sơ đó khỏi kết quả tìm kiếm.

Tuy nhiên, quyền yêu cầu chủ thể xóa dữ liệu cá nhân thể hiện ở bề mặt không đồng nghĩa với tất cả các chủ thể phải xóa tất cả dữ liệu có liên quan (metadata, index). Hãy tưởng tượng tình huống thực tế, ông A đã có một khoản nợ nhỏ được giải quyết 15 năm trước. Một tờ báo địa phương đã đăng một bài viết về vụ việc vào thời điểm đó.

  • Theo Luật DLCN: Ông A có thể yêu cầu tờ báo xóa bài viết (họ có thể từ chối vì lý do tự do báo chí). Nhưng ông không có quyền pháp lý rõ ràng để yêu cầu Google hay Cốc Cốc ngừng hiển thị liên kết đến bài báo cũ và gây bất lợi đó khi ai đó tìm kiếm tên ông. Quá khứ số của ông vẫn mãi mãi dễ dàng bị tìm thấy.
  • Theo GDPR: Ông An có một con đường thứ hai. Ông có thể nộp đơn trực tiếp cho Google, lập luận rằng thông tin này đã lỗi thời và không còn phù hợp. Google sau đó phải cân nhắc giữa quyền riêng tư của ông và lợi ích công chúng. Nếu Google đồng ý, họ sẽ gỡ bỏ chỉ mục (de-index) liên kết đó. Bài báo vẫn tồn tại, nhưng nó đã bị “lãng quên” khỏi cánh cổng thông tin chính của công chúng. [2]

Quyền được lãng quên là một công cụ danh tính số mạnh mẽ mà người dùng ở Việt Nam chưa có. Vấn đề được lãng quên này mình đã từng phân tích về mặt giải pháp kỹ thuật tại bài viết này, sẽ được tiếp tục đề cập sâu hơn ở phần 2 của bài viết, dưới tác động của việc đào tạo và sử dụng AI.

3. Người bảo vệ dữ liệu (DPO)

Các nhà làm luật đã lường trước được vấn khó khăn khi thi hành đối với doanh nghiệp nhỏ và siêu nhỏ và đưa ra một cơ chế miễn trừ quan trọng tại Điều 38 (Điều khoản thi hành) đối với yêu cầu về Người bảo vệ dữ liệu (khoản 2 Điều 33). Các ngoại lệ của miễn trừ bao gồm: Việc miễn trừ này không áp dụng nếu các doanh nghiệp này, dù nhỏ, tham gia vào các hoạt động có rủi ro cao, bao gồm:

  • Xử lý dữ liệu cá nhân của số lượng lớn chủ thể.
  • Kinh doanh dịch vụ xử lý dữ liệu cá nhân.
  • Trực tiếp xử lý dữ liệu cá nhân nhạy cảm.

Tuy nhiên, trên thực tế người lao động khi đi xin việc vẫn thường xuyên sử dụng mẫu SYLL trên mạng có sẵn thông tin về “quan điểm tôn giáo” (điểm a, khoản 4, Nghị định 13/2023/NĐ-CP), thông tin về tài khoản ngân hàng để trả lương (điểm h, khoản 4). Vậy việc sở hữu, đọc hồ sơ thông tin này có làm mất quyền được miễn áp dụng của SME hay không?

Mặt khác, theo định nghĩa tại Nghị định 80/2021/NĐ-CP, thì doanh nghiệp có trên 10 lao động và tổng doanh thu của năm không quá 03 tỷ đồng (*) được xếp hạng là doanh nghiệp nhỏ. Trên thực tế những doanh nghiệp như vậy liệu có đủ nhân lực để bố trí DPO sau thời hạn “ân hạn” 5 năm theo quy định tại khoản 2 Điều 38 Luật DLCN hay không, khi doanh nghiệp này có thể chỉ đơn giản bao gồm 01 giám đốc, 01 kế toán, 01 quản đốc và 08 công nhân (NLĐ trực tiếp tham gia sản xuất)?

(*) hoạt động trong lĩnh vực nông nghiệp, lâm nghiệp, thủy sản; lĩnh vực công nghiệp và xây dựng.

4. Chuyển dữ liệu xuyên biên giới

Làm thế nào để dữ liệu di chuyển xuyên biên giới?

  • Luật DLCN: Sử dụng mô hình “giấy phép” theo từng trường hợp giống như cách tiếp cận của Nghị định 13. Các công ty phải chuẩn bị một Hồ sơ Đánh giá Tác động chi tiết cho từng luồng dữ liệu ra nước ngoài và nộp cho cơ quan chức năng.
  • GDPR : Áp dụng mô hình “khung pháp lý”. Dữ liệu có thể lưu chuyển tự do miễn là nó được bảo vệ bởi một cơ chế đáng tin cậy, chẳng hạn như ký các “Điều khoản Hợp đồng Mẫu” (SCCs) đã được phê duyệt trước.

Vấn đề này trở nên rõ ràng khi xem xét việc sử dụng dịch vụ đám mây (như Microsoft 365) hoặc mạng phân phối nội dung (CDN). [3]

  • Theo mô hình của Việt Nam: Một công ty Việt Nam sử dụng Microsoft 365 sẽ gặp khó khăn trong việc xác định dữ liệu của họ sẽ được xử lý ở đâu—Ireland, Phần Lan, hay Áo? Vị trí này thay đổi liên tục. Việc phải nộp “giấy phép” cho mọi điểm đến tiềm năng là không khả thi. Nó tạo ra sự không chắc chắn về mặt pháp lý và cản trở việc sử dụng các công cụ làm việc tiêu chuẩn toàn cầu.
  • Theo mô hình của EU: Công ty chỉ cần ký SCCs với Microsoft một lần. Hợp đồng này bao trùm toàn bộ cơ sở hạ tầng toàn cầu của Microsoft, mang lại sự rõ ràng và khả năng dự đoán cho doanh nghiệp.

Góc độ bất khả thi về kỹ thuật khi áp dụng cơ chế ‘giấy phép’ này sẽ được phân tích sâu hơn tại Bài 2 trong series này.

5. Dữ liệu cá nhân trong Quản lý Nhân sự

Hãy xem xét kỹ quy định tại Điểm c, Khoản 1, Điều 25:

“Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;”

Quy định này tạo ra một nghĩa vụ mặc định rất nghiêm ngặt: nếu ứng viên không được tuyển dụng, dữ liệu của họ phải bị xóa. “Lối thoát” duy nhất là phải có một “thỏa thuận khác”.

Các vấn đề thực tiễn nảy sinh:

Vấn đề an toàn pháp lý: Giả sử một công ty không tuyển dụng một ứng viên và tuân thủ luật bằng cách xóa toàn bộ hồ sơ của họ. Một tháng sau, ứng viên đó khởi kiện công ty vì cho rằng họ bị phân biệt đối xử (ví dụ: vì giới tính, tuổi tác). Công ty sẽ tự bảo vệ mình như thế nào? Họ không còn bất kỳ bằng chứng nào: hồ sơ ứng tuyển, kết quả phỏng vấn, so sánh với ứng viên được chọn… để chứng minh rằng quyết định tuyển dụng của họ là hợp pháp, dựa trên năng lực và không có sự phân biệt đối xử. Quy định này, nếu áp dụng máy móc, sẽ tước đi khả năng phòng vệ chính đáng của doanh nghiệp.

Vấn đề lưu trữ nguồn ứng viên tiềm năng (talent pool): Một thực hành nhân sự rất phổ biến và hiệu quả là lưu giữ hồ sơ của những ứng viên về nhì, những người rất có năng lực nhưng không phù hợp với vị trí hiện tại. Doanh nghiệp muốn giữ lại thông tin này để liên hệ khi có một vị trí khác phù hợp hơn mở ra trong tương lai. Quy định mặc định “phải xóa” sẽ giết chết thực hành này.

Sự mơ hồ của “Thỏa thuận khác”: Làm thế nào để có được một “thỏa thuận khác” hợp lệ?

Liệu một ô đánh dấu (checkbox) trên đơn ứng tuyển với nội dung “Tôi đồng ý cho công ty lưu giữ hồ sơ của tôi cho các cơ hội việc làm trong tương lai” có đủ mạnh không? Trong bối cảnh xin việc, liệu sự đồng ý này có được coi là “tự nguyện” (consent) hay không, khi ứng viên có thể cảm thấy họ bắt buộc phải đồng ý để tăng cơ hội được xem xét?

Tài liệu tham khảo:

[1] Data Protection Commission (2019) Guidance Note: Legal Bases for Processing Personal Data

[2] Google and the Right to Be Forgotten (Case C-131/12, Google Spain)

[3] VNGCloud (2024) Mạng phân phối nội dung (CDN) là gì?

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *