Khoảng trống pháp lý trước nạn mua bán dữ liệu
Ngày 15/5 tại Hà Nội, Trường Đại học Luật TP HCM tổ chức Hội thảo quốc tế lần thứ II với chủ đề “Bảo vệ dữ liệu cá nhân trong môi trường số từ khía cạnh pháp lý”, thu hút đông đảo chuyên gia, nhà nghiên cứu, đại diện cơ quan quản lý, luật sư, doanh nghiệp và tổ chức quốc tế tham dự.
Phát biểu khai mạc hội thảo, TS. Lê Trường Sơn, Hiệu trưởng Trường Đại học Luật TP HCM nhấn mạnh dữ liệu cá nhân hiện không còn đơn thuần là thông tin riêng tư mà đã trở thành loại tài sản đặc biệt gắn trực tiếp với quyền con người, quyền công dân và sự an toàn của mỗi cá nhân trong môi trường số.
Theo TS. Lê Trường Sơn, việc Quốc hội khóa XV thông qua Luật Bảo vệ dữ liệu cá nhân năm 2025 là bước tiến pháp lý quan trọng trong tiến trình hoàn thiện hệ thống pháp luật Việt Nam trước yêu cầu chuyển đổi số và hội nhập quốc tế. Tuy nhiên, ông cho rằng thách thức lớn nhất hiện nay là làm sao để các quy định của luật thực sự đi vào cuộc sống, đủ sức bảo vệ người dân trước các hành vi thu thập, khai thác và lạm dụng dữ liệu ngày càng tinh vi.
Đại diện Đại sứ quán Đan Mạch tại Việt Nam, bà Mette Ekeroth, Phó Trưởng phái đoàn Đại sứ quán Đan Mạch tại Việt Nam nhận định dữ liệu cá nhân đang trở thành “nguồn tài nguyên mới” của nền kinh tế số, nhưng đồng thời cũng kéo theo nhiều nguy cơ về quyền riêng tư và niềm tin số của người dân.
Theo bà Mette Ekeroth, việc xây dựng cơ chế pháp lý hiệu quả về bảo vệ dữ liệu cá nhân cần vừa phù hợp với điều kiện thực tiễn của từng quốc gia, vừa bảo đảm khả năng tương thích với các chuẩn mực quốc tế nhằm thúc đẩy hợp tác và phát triển kinh tế số bền vững. Bà cũng nhấn mạnh pháp luật phải liên tục được cập nhật trước tốc độ thay đổi quá nhanh của công nghệ.
Tại phiên thảo luận đầu tiên với chủ đề “Hành vi vi phạm về dữ liệu cá nhân và biện pháp xử lý”, nhiều chuyên gia cho rằng hệ thống pháp luật hiện hành vẫn tồn tại khoảng trống lớn trong xử lý các hành vi vi phạm liên quan đến dữ liệu cá nhân.
Trình bày tham luận về vi phạm pháp luật hình sự liên quan đến dữ liệu cá nhân, TS. Trần Thanh Thảo, Giảng viên Khoa Luật Hình sự, Trường ĐH Luật TP HCM cho rằng nhiều hành vi nguy hiểm hiện chưa được quy định đầy đủ trong Bộ luật Hình sự, đặc biệt là hành vi “cản trở hoạt động bảo vệ dữ liệu cá nhân”.
Theo nhóm nghiên cứu, dù Luật Bảo vệ dữ liệu cá nhân năm 2025 đã xác định đây là hành vi bị nghiêm cấm, nhưng đến nay vẫn chưa có tội danh cụ thể trong Bộ luật Hình sự để xử lý, dẫn đến khoảng trống pháp lý trong thực tiễn.
TS. Trần Thanh Thảo, Giảng viên Khoa Luật Hình sự, Trường ĐH Luật TP HCM cho biết kinh nghiệm từ Pháp và Canada cho thấy nhiều quốc gia không chỉ bảo vệ dữ liệu cá nhân mà còn chú trọng bảo vệ cả hoạt động thực thi pháp luật liên quan đến dữ liệu, bao gồm xử lý nghiêm các hành vi cản trở kiểm tra, giám sát hoặc không hợp tác với cơ quan có thẩm quyền.
Bên cạnh đó, nhóm nghiên cứu cũng kiến nghị bổ sung tội danh về vi phạm nghĩa vụ bảo mật và an toàn dữ liệu cá nhân. Theo các chuyên gia, nhiều vụ rò rỉ dữ liệu hiện nay không bắt nguồn từ các cuộc tấn công mạng trực tiếp mà xuất phát từ việc các tổ chức, doanh nghiệp không thực hiện đầy đủ nghĩa vụ bảo mật, dẫn đến dữ liệu bị đánh cắp, phát tán hoặc sử dụng trái phép.
Ở góc độ xử phạt hành chính, TS. Trần Thị Thu Hà, Trưởng Bộ môn Luật Hành chính, Khoa Luật hành chính - Nhà nước, Trường ĐH Luật TP HCM nhận định pháp luật hiện hành vẫn chủ yếu tập trung vào các vi phạm mang tính thủ tục, trong khi nhiều hành vi xâm phạm trực tiếp quyền của chủ thể dữ liệu chưa được điều chỉnh đầy đủ.
Theo TS. Trần Thị Thu Hà, các quy định liên quan đến chuyển dữ liệu cá nhân ra nước ngoài hiện vẫn còn thiếu cơ chế xử lý đối với những trường hợp chuyển dữ liệu không có căn cứ pháp lý hoặc không bảo đảm mức độ an toàn tương đương cho người dùng.
Bà cũng cho rằng pháp luật hiện chưa chú trọng đúng mức đến trách nhiệm quản trị dữ liệu của doanh nghiệp như xây dựng chính sách bảo vệ dữ liệu, tiếp nhận khiếu nại, bảo đảm an ninh hệ thống hay tiêu hủy dữ liệu không cần thiết.
Từ kinh nghiệm của Liên minh châu Âu và Úc, các chuyên gia đề xuất Việt Nam cần sớm bổ sung cơ chế xử lý nghiêm đối với các hành vi vi phạm trách nhiệm quản trị dữ liệu nhằm nâng cao tính phòng ngừa và trách nhiệm giải trình của doanh nghiệp.
Bảo vệ dữ liệu không còn là chuyện riêng tư
Tại phiên làm việc thứ hai về quyền của chủ thể dữ liệu và trách nhiệm của các bên liên quan, nhiều chuyên gia nhấn mạnh bảo vệ dữ liệu cá nhân giờ đây không chỉ là vấn đề công nghệ hay quyền riêng tư, mà đã trở thành nội dung quan trọng gắn với quản trị quốc gia, an ninh dữ liệu và sự phát triển của nền kinh tế số.
Trong tham luận về trách nhiệm dân sự, PGS.TS. Phan Hoài Nam, Phó Trưởng Khoa Luật Quốc tế - đồng tác giả cùng GS.TS. Đỗ Văn Đại, Phó Hiệu trưởng Trường Đại học Luật TP HCM cho rằng cơ chế bồi thường thiệt hại hiện nay chưa đủ mạnh để bảo vệ nạn nhân bị xâm phạm dữ liệu cá nhân.
Theo nhóm nghiên cứu, mức bồi thường tổn thất tinh thần tối đa 10 tháng lương cơ sở hiện nay là chưa tương xứng với hậu quả mà nạn nhân phải gánh chịu khi dữ liệu cá nhân bị phát tán trên môi trường mạng.
Các chuyên gia kiến nghị mở rộng quyền quyết định mức bồi thường cho tòa án dựa trên mức độ thiệt hại thực tế, thay vì áp dụng mức trần cứng như hiện nay. Đồng thời, nhóm nghiên cứu cũng đề xuất xây dựng cơ chế “bồi thường thiệt hại định trước” trong các hợp đồng xử lý dữ liệu nhằm tăng tính răn đe và giảm khó khăn trong chứng minh thiệt hại.
Trong tham luận về quyền của chủ thể dữ liệu, PGS.TS. Nguyễn Thị Phương Hoa, Trưởng Khoa Luật Hình sự, ĐH Luật TP HCM nhấn mạnh quyền được thông báo khi xảy ra vi phạm dữ liệu cá nhân là quyền đặc biệt quan trọng nhưng hiện vẫn chưa được quy định đầy đủ tại Việt Nam.
Theo bà, kinh nghiệm từ Liên minh châu Âu và Úc cho thấy khi xảy ra sự cố rò rỉ dữ liệu có nguy cơ ảnh hưởng đến quyền lợi cá nhân, bên xử lý dữ liệu phải thông báo rõ cho người dùng về loại dữ liệu bị ảnh hưởng, hậu quả có thể phát sinh cũng như các biện pháp khắc phục.
Trong khi đó, quy định hiện nay tại Việt Nam chủ yếu mới tập trung vào dữ liệu ngân hàng, tài chính hoặc sinh trắc học, chưa bao quát đầy đủ các loại dữ liệu khác.
Khép lại hội thảo, TS. Nguyễn Thị Ánh Hồng, Trưởng Bộ môn Luật Hình sự, Khoa Luật Hình sự, Trường ĐH Luật TP HCM cho rằng Việt Nam cần sớm bổ sung quy định cụ thể hơn về trách nhiệm của bên thứ ba, nghĩa vụ minh bạch trong hoạt động xử lý dữ liệu cũng như cơ chế phối hợp giữa các cơ quan thực thi.
