Cần hoàn thiện luật liên quan đến bảo vệ dữ liệu cá nhân trong môi trường số
Thông tin dữ liệu cá nhân hiện nay không chỉ được nhìn nhận như là những thông tin riêng tư gắn liền với mỗi cá nhân, mà đã trở thành nguồn tài nguyên quan trọng đối với hoạt động quản trị quốc gia, phát triển kinh tế số và xây dựng xã hội số.
Đây là nội dung được thông tin tại hội thảo quốc tế “Bảo vệ dữ liệu cá nhân trong môi trường số từ khía cạnh pháp lý” do Trường Đại học Luật TP Hồ Chí Minh tổ chức, ngày 18/4.
Bảo vệ dữ liệu cá nhân là yêu cầu cấp thiết
Phát biểu khai mạc hội thảo, GS.TS Đỗ Văn Đại, Phó Hiệu trưởng Trường Đại học Luật TP Hồ Chí Minh nhấn mạnh, bảo vệ dữ liệu cá nhân không còn là vấn đề riêng của lĩnh vực công nghệ mà đã trở thành một yêu cầu cấp thiết của hệ thống pháp luật hiện đại. Việc Quốc hội khóa XV thông qua Luật Bảo vệ dữ liệu cá nhân là một dấu mốc có ý nghĩa quan trọng, thể hiện quyết tâm của Nhà nước ta trong việc bảo vệ quyền con người, quyền công dân và quyền riêng tư của cá nhân trong môi trường số.
Tuy nhiên, để các quy định pháp luật được thực thi hiệu quả, cần tiếp tục nghiên cứu chuyên sâu về các hành vi vi phạm, biện pháp xử lý, quyền của chủ thể dữ liệu và trách nhiệm của các bên liên quan. Hội thảo là diễn đàn học thuật nhằm đánh giá thực trạng pháp luật Việt Nam, trao đổi kinh nghiệm quốc tế và đề xuất các giải pháp hoàn thiện trong thời gian tới.
Tham luận tại hội thảo, TS Trần Thanh Thảo đã chia sẻ các khía cạnh liên quan đến hành vi vi phạm pháp luật hình sự về dữ liệu cá nhân, pháp luật nước ngoài và kinh nghiệm cho Việt Nam. Tác giả tập trung phân tích, đánh giá một cách hệ thống các quy định của Bộ luật Hình sự hiện hành liên quan đến hành vi vi phạm dữ liệu cá nhân; đồng thời làm rõ thực tiễn áp dụng và những hạn chế còn tồn tại, đặc biệt trong bối cảnh chuyển đổi số diễn ra mạnh mẽ.
Trên cơ sở tham khảo kinh nghiệm một số quốc gia như Pháp, Nga, Úc và Canada, TS Trần Thanh Thảo đề xuất một số kiến nghị mang tính định hướng. Trước hết, cần xây dựng các tội danh riêng về vi phạm quy định bảo vệ dữ liệu cá nhân trong Bộ luật Hình sự. Qua đó, khẳng định dữ liệu cá nhân là một khách thể độc lập, có giá trị riêng biệt và cần được bảo vệ tương xứng. Bên cạnh đó, việc quy định các hành vi vi phạm cần được thiết kế theo hướng bao quát toàn bộ vòng đời của dữ liệu, từ thu thập, ghi nhận, lưu trữ, xử lý, sử dụng, chia sẻ hoặc công bố, chuyển giao (bao gồm cả chuyển giao xuyên biên giới) cho đến xóa, hủy hoặc khử nhận dạng dữ liệu, nhằm bảo đảm kiểm soát rủi ro pháp lý ở từng công đoạn.
Tăng chế tài nhằm đảm bảo răn đe
Tại hội thảo, TS Trần Thị Thu Hà tập trung phân tích thực trạng quy định xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân tại Việt Nam và đề xuất hướng hoàn thiện trên cơ sở tham khảo kinh nghiệm quốc tế. Tham luận chỉ ra, dù Việt Nam đã ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 cùng các văn bản hướng dẫn, nhưng vẫn thiếu một nghị định chuyên biệt về xử phạt vi phạm hành chính trong lĩnh vực này. Các quy định hiện hành còn phân tán ở nhiều nghị định khác nhau, chủ yếu tiếp cận dưới khái niệm “thông tin cá nhân”, chưa phản ánh đầy đủ phạm vi của “dữ liệu cá nhân”. Đồng thời, các quy định về mức xử phạt tuy đã được xác định ở mức cao nhưng chưa được cụ thể hóa, gây khó khăn trong áp dụng và làm giảm hiệu quả thực thi.
Trên cơ sở đó, tham luận nhấn mạnh sự cần thiết ban hành một nghị định riêng nhằm thiết lập khuôn khổ pháp lý thống nhất, minh bạch và khả thi hơn. Nghị định này cần xác định rõ các hành vi vi phạm, đặc biệt trong các lĩnh vực như dữ liệu cá nhân nhạy cảm, quyền của chủ thể dữ liệu, chuyển dữ liệu ra nước ngoài và trách nhiệm của các bên liên quan. Đồng thời, cần đa dạng hóa hình thức xử phạt, không chỉ dừng ở phạt tiền mà còn bổ sung các biện pháp như tước giấy phép, đình chỉ hoạt động, tịch thu tang vật hoặc trục xuất, đồng thời tăng mức phạt đối với các hành vi nghiêm trọng.
Với tham luận về “Hành vi vi phạm pháp luật dân sự về dữ liệu cá nhân, pháp luật nước ngoài và kinh nghiệm cho Việt Nam”, PGS.TS Phan Hoài Nam nhận định, pháp luật Việt Nam đã có những quy định cơ bản về bảo vệ dữ liệu cá nhân dưới khía cạnh dân sự. Tuy nhiên, những cơ chế xử lý đối với các vi phạm dân sự vẫn đang được dựa trên các quy định truyền thống tại Bộ luật Dân sự, Bộ luật Tố tụng Dân sự hiện hành mà chưa ghi nhận những cơ chế, quy định chuyên biệt để xử lý những vi phạm có tính đặc thù về bảo vệ dữ liệu cá nhân trong bối cảnh những vi phạm này đều được xảy ra trên không gian mạng, khó truy vết, cũng như khó xác định thiệt hại dân sự đối với chủ thể dữ liệu cá nhân.
Từ kinh nghiệm quốc tế và một số nước, học giả đã đề xuất một số kiến nghị và giải pháp cụ thể nhằm hoàn thiện khung pháp luật dân sự điều chỉnh về lĩnh vực này, như: cần cải thiện các quy định liên quan đến xác định thiệt hại và mở rộng phạm vi trách nhiệm của bên kiểm soát và bên xử lý dữ liệu cá nhân; chế tài đối với các vi phạm; xây dựng một cơ chế độc lập về việc tiến hành khởi kiện tập thể đối với những tranh chấp dân sự liên quan; thiết lập một khuôn khổ trách nhiệm nghiêm ngặt đối với các chủ thể kiểm soát và xử lý dữ liệu;...
Tham gia thảo luận, PGS.TS Nguyễn Thị Phương Hoa khẳng định, Luật Bảo vệ dữ liệu cá nhân năm 2025 cùng các văn bản pháp luật có liên quan đã ghi nhận một hệ thống quyền cơ bản và quan trọng của chủ thể dữ liệu, bao gồm quyền đồng ý, rút lại sự đồng ý, quyền tiếp cận, chỉnh sửa, xóa hoặc hạn chế xử lý dữ liệu, quyền phản đối, cũng như quyền khiếu nại, khởi kiện và yêu cầu bồi thường thiệt hại.
Việc xác định rõ các quyền này song song với nghĩa vụ của các chủ thể kiểm soát và xử lý dữ liệu đã tạo nền tảng pháp lý minh bạch, góp phần nâng cao khả năng chủ động bảo vệ quyền và lợi ích hợp pháp của cá nhân trong môi trường số. Tuy nhiên, trên cơ sở so sánh với chuẩn mực quốc tế, tham luận chỉ ra rằng pháp luật Việt Nam về quyền của chủ thể dữ liệu cá nhân vẫn cần tiếp tục hoàn thiện.
Nhiều ý kiến cũng cho rằng, kinh nghiệm của Liên minh châu Âu và một số quốc gia như Pháp, Nga, Canada, Úc cũng chỉ ra, cần có quy định về trách nhiệm của bên thứ ba và người quản lý dữ liệu; tăng cường nghĩa vụ công khai, minh bạch trong quản lý dữ liệu; bổ sung trách nhiệm thông báo khi xảy ra vi phạm và hoàn thiện cơ chế thông báo cho chủ thể dữ liệu.
Đồng thời, cần quy định cụ thể trách nhiệm của các chủ thể trong các lĩnh vực đặc thù, nhạy cảm. Bên cạnh đó, cần hoàn thiện Bộ luật Hình sự theo hướng bổ sung các biện pháp tư pháp đặc thù và hoàn thiện Bộ luật Tố tụng hình sự về xử lý vật chứng liên quan đến dữ liệu cá nhân. Kế đó, cần nâng cao hiệu quả thực thi pháp luật, tác giả kiến nghị ban hành văn bản hướng dẫn về các quy định có liên quan đến trách nhiệm bảo vệ dữ liệu cá nhân, trách nhiệm pháp lý từ các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Cuối cùng, cần tăng cường năng lực cho cơ quan thực thi; đồng thời nâng cao nhận thức và trách nhiệm tuân thủ của các bên liên quan trong bảo vệ dữ liệu cá nhân trong thời gian tới.
