Luật Dữ liệu Việt Nam (P2): Phạt để làm gì nếu không gỡ?

Khi dữ liệu cá nhân bị rò rỉ và phát tán, điều nạn nhân cần nhất là một công cụ gỡ bỏ nhanh. Tuy nhiên, Luật Dữ liệu 2025 lại không cung cấp cơ chế này. Thay vào đó, luật chỉ tập trung vào việc xử phạt kẻ làm lộ, khiến nạn nhân phải "tự bơi" trong cuộc chiến dọn dẹp hậu quả.

Trong phần 1, chúng ta đã phân tích các nền tảng của Luật Bảo vệ dữ liệu cá nhân 2025. Phần 2 này sẽ đi thẳng vào bài toán gai góc nhất: khi dữ liệu đã bị phát tán, quyền xóa của nạn nhân liệu có thực sự được bảo vệ, hay chỉ là một điều luật nằm trên giấy?

Lời tác giả: Dự định ban đầu của mình trong series này là viết 2 phần: 1 phần về tổng quan các vấn đề tồn tại của Luật DLCN 2025. Phần 2 sẽ chú trọng về góc độ khuyết điểm trong bối cảnh sử dụng và huấn luyện AI. Tuy nhiên, mình phát hiện một vấn đề còn cấp bách hơn về khuyết điểm của Luật DLCN nên tập trung phân tích nó trong bài viết này, và vấn đề Luật DLCN và AI có lẽ sẽ được dời sang phần 3

Hãy tưởng tượng một buổi sáng, bạn nhận được tin nhắn từ bạn bè: toàn bộ thông tin cá nhân của bạn—từ số điện thoại, email đến địa chỉ nhà—đang được rao bán công khai trên một kênh Telegram với hàng chục ngàn thành viên.[1] Dữ liệu đó nhanh chóng bị sao chép, đăng tải lại trên các “paste site” ẩn danh và lan truyền với tốc độ chóng mặt. Bạn trở thành nạn nhân của một vụ rò rỉ dữ liệu.

Luật Bảo vệ dữ liệu cá nhân 2025 đã trao cho bạn “quyền yêu cầu xóa dữ liệu”. Nhưng giữa một mớ hỗn độn các đường link, các bot tự động và diễn đàn vô chủ, quyền này sẽ được thực thi ra sao? Ai là người bạn có thể cầu cứu, và liệu yêu cầu của bạn có đủ sức mạnh để gỡ bỏ dấu vết kỹ thuật số của mình khỏi Internet?

Vấn đề cốt lõi là, dù luật đã công nhận quyền, đặt ra nghĩa vụ cho bên làm lộ dữ liệu và lập nên cơ quan chuyên trách, nó lại bỏ trống một khoảng cực kỳ quan trọng: một cơ chế thực thi nhanh và hiệu quả để buộc các nền tảng trung gian (như mạng xã hội, nhà cung cấp dịch vụ lưu trữ, công cụ tìm kiếm) phải gỡ bỏ nội dung rò rỉ. Kết quả là, việc xử phạt kẻ vi phạm có thể làm đẹp các báo cáo thống kê, nhưng nạn nhân vẫn phải đơn độc trong cuộc chiến dọn dẹp “rác” dữ liệu của chính mình.

1. Lời hứa của Luật pháp và những khoảng trống

Luật DLCN 2025 xác lập một khung pháp lý nền tảng: chủ thể dữ liệu có quyền yêu cầu xóa, khiếu nại, khởi kiện; bên kiểm soát dữ liệu có nghĩa vụ xử lý yêu cầu và thông báo cho cơ quan chức năng trong 72 giờ khi xảy ra sự cố.[2] Một cơ quan chuyên trách bảo vệ dữ liệu cá nhân trực thuộc Bộ Công an cũng được thành lập để quản lý và xử lý vi phạm.[3]

Tuy nhiên, khi soi chiếu vào kịch bản rò rỉ, các quy định này bộc lộ những điểm yếu chí mạng:

Thứ nhất, nghĩa vụ xóa dữ liệu bị ràng buộc bởi một điều kiện lạ. Điều 14 của luật quy định việc xóa dữ liệu theo yêu cầu của cá nhân đi kèm với việc người đó phải “chấp nhận rủi ro, thiệt hại” có thể xảy ra. Điều khoản này không chỉ gây hoang mang mà còn có thể bị diễn giải theo hướng đẩy trách nhiệm về phía nạn nhân, thay vì tập trung vào nghĩa vụ của bên làm lộ dữ liệu.

Thứ hai, mô hình xử lý tập trung vào chuỗi quan hệ ban đầu. Luật thiết kế cơ chế xử lý xoay quanh mối quan hệ “bên kiểm soát ↔ bên xử lý ↔ bên thứ ba”. Khi dữ liệu của bạn bị một công ty A làm rò rỉ, công ty A có nghĩa vụ yêu cầu các đối tác của mình xóa dữ liệu đó. Nhưng khi thông tin đã bị tung lên một diễn đàn ở nước ngoài hay một kênh chat mã hóa, công ty A đã hoàn toàn mất kiểm soát. Lời “yêu cầu” của họ tới các nền tảng này không có trọng lượng pháp lý và gần như vô giá trị.

Thứ ba, cơ quan chuyên trách thiên về vai trò điều tra, không phải hỗ trợ nạn nhân gỡ bỏ. Luật mô tả cơ quan này là nơi “tiếp nhận thông báo, xử lý hành vi vi phạm, phối hợp…”. Đây là một cơ quan thực thi pháp luật, tập trung vào việc tìm và phạt thủ phạm. Nó không được thiết kế như một “trung tâm một cửa” để người dân gửi yêu cầu gỡ bỏ nội dung trên các nền tảng và nhận được hỗ trợ xử lý nhanh chóng.

2. Vì sao quyền xóa lại tê liệt? Bài học từ quốc tế

Khoảng trống lớn nhất của luật Việt Nam chính là sự thiếu vắng một cơ chế “Notice-and-Action” (Thông báo và Hành động) dành cho người dân. Đây là điểm khác biệt căn bản so với cách tiếp cận của châu Âu.

Tại Liên minh châu Âu (EU), Đạo luật Dịch vụ Kỹ thuật số (DSA) đã thay đổi cuộc chơi. Điều 16 của DSA buộc các nhà cung cấp dịch vụ lưu trữ (hosting providers) phải thiết lập các kênh báo cáo điện tử dễ tiếp cận và thân thiện với người dùng.[4] Khi một cá nhân phát hiện dữ liệu của mình bị đăng tải bất hợp pháp, họ có thể gửi một thông báo chuẩn hóa, chỉ rõ vị trí (URL) và lý do. Nền tảng nhận được thông báo phải xử lý một cách “kịp thời, siêng năng, không tùy tiện và khách quan”, sau đó phản hồi về quyết định của mình cho người báo cáo. Đây chính là công cụ trực tiếp mà nạn nhân ở Việt Nam đang thiếu: một con đường chính thức để buộc các nền tảng phải lắng nghe và hành động.

Bên cạnh đó, luật của Việt Nam cũng chưa có cơ chế “delisting” (gỡ khỏi danh sách kết quả tìm kiếm). Tại EU, “quyền được lãng quên” cho phép cá nhân yêu cầu các công cụ tìm kiếm như Google gỡ bỏ các đường link dẫn đến thông tin cá nhân nhạy cảm, sai lệch hoặc cũ khỏi kết quả tìm kiếm theo tên của họ. Trong vụ kiện mang tính bước ngoặt Google v. CNIL, Tòa án Công lý Châu Âu đã xác định rằng quyền này áp dụng trên tất cả các phiên bản tên miền của công cụ tìm kiếm trong phạm vi EU (ví dụ: google.de, google.fr…).[5] Mặc dù phạm vi không phải là toàn cầu, đây vẫn là một vũ khí mạnh mẽ để “giảm phát tán” và khiến các thông tin độc hại trở nên khó tìm kiếm hơn. Như đã phân tích tại Phần 1 của bài viết Việt Nam hiện chưa có một quy định tương đương.

3. “Phạt để làm gì nếu không gỡ?” – Lỗ hổng trong tư duy thực thi

Câu hỏi này theo mình là mấu chốt của vấn đề. Việc một công ty bị phạt hàng tỉ đồng vì làm lộ dữ liệu có thể là một thắng lợi về mặt quản lý nhà nước, nhưng nó không giúp ích gì cho người đang bị quấy rối vì số điện thoại bị phát tán, hay gia đình bị đe dọa vì địa chỉ nhà bị công khai.

Sự tập trung vào thực thi quyền xóa đang là xu hướng toàn cầu. Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) đã khởi động Khuôn khổ Thực thi Phối hợp (CEF) cho năm 2025, với trọng tâm chính là kiểm tra việc thực thi quyền yêu cầu xóa dữ liệu (Điều 17 GDPR) trên toàn khối. 30 cơ quan bảo vệ dữ liệu quốc gia sẽ cùng nhau điều tra cách các công ty xử lý yêu cầu xóa, cho thấy đây là một ưu tiên hàng đầu.[6] Điều này nhấn mạnh một triết lý: quyền của người dân chỉ thực sự tồn tại khi nó có thể được thực thi trong thực tế, chứ không phải chỉ khi kẻ vi phạm bị trừng phạt.

4. Đề xuất giải pháp “Notice-and-Erase” cho Việt Nam

Để quyền xóa không còn là “hổ giấy”, Việt Nam cần xây dựng một hệ sinh thái gỡ bỏ thực thụ, học hỏi từ các mô hình quốc tế. Một giải pháp “Notice-and-Erase” cấp quốc gia có thể bao gồm việc thiết lập:

  1. Nghĩa vụ của nền tảng: Luật hóa nghĩa vụ của các nhà cung cấp dịch vụ lưu trữ và mạng xã hội phải thiết lập kênh báo cáo chuyên biệt cho dữ liệu cá nhân bị lộ, xử lý nhanh và thông báo kết quả, tương tự mô hình của DSA.[7]
  2. Cổng điện tử một cửa: Có thể tham khảo mô hình một số quốc gia khác, xây dựng một cổng thông tin quốc gia để người dân nộp yêu cầu gỡ bỏ nội dung chứa dữ liệu cá nhân bị rò rỉ.[8] Yêu cầu này (kèm URL, ảnh chụp màn hình) sẽ được tự động chuyển đến các nhà cung cấp dịch vụ số có hoạt động tại Việt Nam, đồng thời theo dõi thời hạn xử lý (ví dụ: 48-72 giờ).
  3. Cơ chế “delisting” trong nước: Đặt ra nghĩa vụ cho các công cụ tìm kiếm phải gỡ bỏ các liên kết hiển thị dữ liệu cá nhân bị lộ khỏi kết quả tìm kiếm tại Việt Nam khi có yêu cầu hợp lệ.
  4. Lệnh xóa nhanh (Fast-track orders): Để trao cho nạn nhân một công cụ thực sự hữu hiệu, Việt Nam cần học hỏi mô hình ‘lệnh gỡ bỏ hành chính’ đã được triển khai thành công ở Úc.[9] Thay vì đẩy người dân vào con đường tố tụng tại tòa án vốn tốn kém và chậm chạp, cơ quan chuyên trách bảo vệ dữ liệu cần được trao thẩm quyền để ban hành các lệnh xóa nhanh có thời hạn 24-48 giờ. Đây là một giải pháp hiện đại, lấy người dân làm trung tâm, và đã chứng tỏ hiệu quả vượt trội trong việc bảo vệ các nạn nhân khỏi các tổn hại trên không gian mạng, một cách tiếp cận tương tự cũng được áp dụng thông qua các nghĩa vụ pháp lý nghiêm ngặt tại Đức.[10]

Một cơ chế ‘lệnh xóa nhanh’ hiệu quả không thể chỉ dừng lại ở các nền tảng mạng xã hội. Nó phải có thẩm quyền đa tầng, cho phép cơ quan quản lý ra lệnh gỡ bỏ không chỉ một bài đăng trên Facebook, mà còn có thể buộc các nhà cung cấp dịch vụ lưu trữ (hosting providers) phải gỡ bỏ toàn bộ một trang web độc hại. Luật pháp hiện đại như DSA của EU đã phân định rõ trách nhiệm của lớp hạ tầng này. Nếu không có quyền lực nhắm vào các nhà cung cấp hosting, mọi nỗ lực gỡ bỏ sẽ chỉ như ‘cắt cỏ trên bề mặt’ trong khi gốc rễ của vấn đề vẫn còn nguyên.

  1. Công nhận “Trusted Flaggers” (Người báo cáo tin cậy): Thay vì để gánh nặng báo cáo hoàn toàn lên vai cá nhân, Việt Nam nên trao quyền cho các tổ chức xã hội dân sự. Cơ quan chuyên trách có thể xây dựng một quy trình để công nhận các tổ chức uy tín (như hiệp hội người tiêu dùng, các tổ chức bảo vệ quyền riêng tư) trở thành ‘Người báo cáo tin cậy’, tương tự Điều 22 của DSA. Các báo cáo từ những ‘cờ xanh’ này sẽ được các nền tảng hoạt động tại Việt Nam ưu tiên xử lý. Điều này không chỉ giúp gỡ bỏ nội dung độc hại nhanh hơn mà còn tạo ra một hệ sinh thái bảo vệ người dùng bền vững, nơi các chuyên gia có thể hỗ trợ trực tiếp cho các nạn nhân.

5. Trước khi luật thay đổi, nạn nhân có thể làm gì?

Trong lúc chờ đợi một khung pháp lý hoàn thiện hơn, các nạn nhân không hoàn toàn bất lực. Dưới đây là một số cách tự cứu mình trước:

  • Gửi yêu cầu trực tiếp: Gửi yêu cầu xóa tới bên làm rò rỉ dữ liệu gốc, yêu cầu họ thực hiện nghĩa vụ theo Điều 14 – không chỉ tự xóa mà còn phải yêu cầu các bên thứ ba đang nắm giữ dữ liệu xóa theo.
  • Báo cáo cho cơ quan chức năng: Tố giác hành vi vi phạm và mua bán dữ liệu với cơ quan chuyên trách thuộc Bộ Công an.
  • Tận dụng công cụ của nền tảng: Sử dụng các biểu mẫu báo cáo lạm dụng (abuse report) của mạng xã hội, nhà cung cấp dịch vụ hosting. Nhiều nền tảng toàn cầu đã áp dụng quy trình theo chuẩn DSA của EU, và đây có thể là một kênh hiệu quả.[11]
  • Yêu cầu “delisting”: Gửi yêu cầu gỡ bỏ kết quả tìm kiếm trực tiếp tới Google, Bing và các công cụ khác khi thông tin cá nhân của bạn hiện ra qua các truy vấn bằng tên.

Kết luận

Luật Bảo vệ dữ liệu cá nhân 2025 dù là một bước tiến, nhưng nó mới chỉ xây dựng được nền móng. Để bảo vệ người dân một cách thực chất trong kỷ nguyên số, đặc biệt là khi sự cố rò rỉ dữ liệu đã xảy ra, chúng ta cần nhiều hơn là quyền trên giấy và các mức phạt. Việt Nam cần một hệ sinh thái gỡ bỏ nhanh chóng, hiệu quả và lấy nạn nhân làm trung tâm. Bài toán không phải là “làm sao để phạt nặng hơn”, mà là “làm sao để gỡ nhanh hơn”. Kinh nghiệm từ khắp thế giới đã cho thấy con đường để dịch chuyển quyền trên giấy thành hành động ngoài đời thực.

[1] https://dantri.com.vn/phap-luat/lua-dao-shipper-gia-tai-sao-du-lieu-don-hang-dia-chi-cua-khach-bi-lo-20250802003423921.htm

[2] Khoản 1 Điều 23

[3] Điêm a khoản 1 Điều 33

[4] https://www.eu-digital-services-act.com/Digital_Services_Act_Article_16.html

[5] https://ppc.land/german-court-ruling-shows-how-eus-digital-services-act-enables-business-censorship/

[6] https://www.edpb.europa.eu/news/news/2025/cef-2025-launch-coordinated-enforcement-right-erasure_en

[7] Tham khảo mô hình Ofcom của Anh, https://www.ofcom.org.uk/online-safety, ARCOM của Pháp https://www.arcom.fr/nos-missions

[8] Công dân Úc có thể báo cáo trực tiếp các nội dung trực tuyến có hại tới eSafety qua một cổng thông tin trực tuyến. Các loại nội dung này bao gồm bắt nạt trên mạng, nội dung lạm dụng trẻ em, và đặc biệt là lạm dụng dựa trên hình ảnh” (image-based abuse)—tức là chia sẻ hình ảnh hoặc video nhạy cảm của ai đó mà không có sự đồng ý của họ, một dạng rò rỉ dữ liệu cá nhân rất nghiêm trọng. https://www.esafety.gov.au/. Tương tự, tại New Zealand, một tổ chức phi chính phủ (Netsafe) được thành lập để giúp thực thi về an toàn trên mạng. Họ được chính phủ chỉ định làm cơ quan được hê duyệt theo luật HDCA. https://netsafe.org.nz/our-work/helpline-services/the-harmful-digital-communications-act

[9] https://www.esafety.gov.au/newsroom/whats-on/online-safety-act

[10] German Network Enforcement Act (Netzwerkdurchsetzungsgesetz), hay NetzDG

[11] https://au.pcmag.com/digital-life/91783/these-countries-ask-google-to-remove-the-most-content

Tags

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *