Trong kỷ nguyên số, mỗi cú nhấp chuột, mỗi lượt tìm kiếm hay một lần dừng xem video đều nhanh chóng biến thành dữ liệu. Đây chính là “nhiên liệu” vận hành toàn bộ hệ sinh thái số, từ mạng xã hội, thương mại điện tử đến trí tuệ nhân tạo (AI). Giá trị vì thế không chỉ nằm ở sản phẩm hay dịch vụ, mà ở khả năng hiểu và dự đoán hành vi con người.

Các nền tảng lớn như Facebook hay TikTok không trực tiếp “bán” dữ liệu cá nhân, mà kiếm tiền bằng cách sử dụng dữ liệu để vận hành hệ thống quảng cáo nhắm mục tiêu. Dựa trên hành vi, sở thích và lịch sử tương tác người dùng, các nền tảng này giúp doanh nghiệp tiếp cận đúng nhóm khách hàng tiềm năng, đồng thời cá nhân hóa nội dung nhằm giữ chân người dùng và gia tăng giá trị khai thác. Điều này cũng lý giải vì sao dữ liệu được ví như “mỏ vàng” bởi khả năng tự tạo ra giá trị kinh tế, tối ưu dịch vụ và thúc đẩy đổi mới.

Tuy nhiên, đi cùng với giá trị là những rủi ro ngày càng rõ nét. Hoạt động thu thập, khai thác, thậm chí mua bán dữ liệu cá nhân trái phép đang trở nên phổ biến và tinh vi hơn, trong khi nhận thức và mức độ tuân thủ vẫn chưa theo kịp.

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân (có hiệu lực từ ngày 1/1/2026) được kỳ vọng sẽ thiết lập lại khuôn khổ pháp lý và chuẩn mực xử lý dữ liệu. Để làm rõ những chuyển biến trong khung pháp lý, những tác động trực tiếp đến doanh nghiệp và người dùng, cũng như cách Việt Nam đang định hình thị trường dữ liệu trong giai đoạn mới, Mekong ASEAN đã có cuộc trao đổi cùng ông Lưu Xuân Vĩnh, Luật sư điều hành hãng luật Asia Legal về nội dung này.

Mekong ASEAN: Ông đánh giá như thế nào về khung pháp lý hiện nay về bảo vệ dữ liệu cá nhân tại Việt Nam sau khi Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực?

Ông Lưu Xuân Vĩnh: Nếu nhìn lại chặng đường hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam, chúng ta sẽ thấy một sự chuyển mình rất rõ rệt. Theo thống kê từ Bộ Công an trong quá trình xây dựng dự thảo Luật, tính đến năm 2024, Việt Nam có khoảng 69 văn bản pháp luật liên quan trực tiếp đến vấn đề này. Nghe thì có vẻ nhiều, nhưng thực tế các văn bản này chưa tạo được một "tiếng nói chung" về khái niệm hay nội hàm của "dữ liệu cá nhân".

Trong bối cảnh đó, Nghị định 13/2023/NĐ-CP ra đời có thể xem là một bước tiến quan trọng khi lần đầu tiên đưa ra được định nghĩa pháp lý tương đối đầy đủ về dữ liệu cá nhân. Tuy nhiên, ở thời điểm đó, Nghị định 13 vẫn chỉ dừng lại ở dạng văn bản dưới luật mang tính đặt nền móng và định hướng ban đầu, chưa đủ sức nặng để giải quyết triệt để mọi vấn đề phát sinh trong thực tế.

Mọi thứ chỉ thực sự thay đổi kể từ khi Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP được ban hành. Với việc cả hai văn bản này cùng có hiệu lực kể từ ngày 1/1/2026, tôi cho rằng bức tranh pháp lý về bảo vệ dữ liệu tại Việt Nam đã chính thức bước sang một trang mới, toàn diện và hoàn thiện hơn rất nhiều.

Luật Bảo vệ dữ liệu cá nhân và Nghị định 356 không chỉ gói gọn trong các nguyên tắc xử lý hay quyền của chủ thể dữ liệu, mà còn đặt ra yêu cầu tuân thủ bằng những quy định trách nhiệm cực kỳ cụ thể trong việc thu thập, lưu trữ và sử dụng dữ liệu. Đặc biệt, để luật không chỉ nằm trên giấy, Luật Bảo vệ dữ liệu cá nhân đã đưa ra những chế tài xử phạt có tính răn đe rất mạnh – có thể lên đến 5% doanh thu của năm trước liền kề hoặc tối đa 3 tỷ đồng nếu không xác định được doanh thu. Đây thực sự là một tiếng chuông báo động cho bất kỳ doanh nghiệp, tổ chức nào còn đang lơ là trong vấn đề tuân thủ pháp luật bảo vệ dữ liệu cá nhân.

Bên cạnh đó, Bộ Công an đang tích cực lấy ý kiến cho dự thảo nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân. Đây được xem là "mảnh ghép cuối" để hoàn thiện hệ thống pháp luật. Khi cơ chế xử phạt này chính thức vận hành, nó sẽ tạo ra một áp lực tuân thủ rất lớn, giúp môi trường kinh tế số của Việt Nam trở nên an toàn và minh bạch hơn.

Trong thời đại mà dữ liệu cá nhân là nguồn tài nguyên thiết yếu của doanh nghiệp nhưng cũng là miếng mồi ngon của tội phạm mạng… thì việc có một danh sách các hành vi bị xem là vi phạm sẽ hỗ trợ doanh nghiệp và người dân rất nhiều trong quá trình kiện toàn bộ máy quản trị, dễ dàng thi hành Luật Bảo vệ dữ liệu cá nhân và Nghị định 356 trên cơ sở hiểu đúng để tuân thủ.

Mekong ASEAN: Nếu đặt trong tương quan với các khung pháp lý như là Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu hay các quốc gia trong khu vực, ông nhìn nhận thế nào về hệ thống pháp luật của Việt Nam trong lĩnh vực bảo vệ dữ liệu cá nhân?

Ông Lưu Xuân Vĩnh: Xét trong tương quan với các khung pháp lý quốc tế như GDPR của Liên minh châu Âu hay quy định của một số quốc gia trong khu vực, có thể thấy hệ thống pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam hiện nay đã có mức độ tiệm cận khá cao với thông lệ quốc tế.

Nếu xét về cấu trúc và các nguyên tắc cốt lõi, chúng ta đã xây dựng được những trụ cột rất vững chắc, không hề thua kém các chuẩn mực toàn cầu. Từ những nguyên tắc xử lý dữ liệu, quyền của chủ thể dữ liệu cho đến nghĩa vụ của các bên xử lý và yêu cầu về bảo mật, an toàn thông tin...tất cả đều tương đồng với những nguyên tắc cơ bản của GDPR. Điều này giúp các doanh nghiệp quốc tế khi vào Việt Nam hay doanh nghiệp Việt Nam bước ra thế giới đều có một "ngôn ngữ chung" về pháp lý.

Ở một số khía cạnh, quy định của Việt Nam thậm chí còn có xu hướng chặt chẽ hơn so với GDPR. Ví dụ, yêu cầu về sự đồng ý của chủ thể dữ liệu, căn cứ pháp lý để xử lý dữ liệu cá nhân được thiết kế theo hướng kiểm soát chặt, nhằm hạn chế rủi ro ngay từ đầu. Đối với nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân xuyên biên giới, Việt Nam yêu cầu mỗi doanh nghiệp đều phải lập, lưu giữ và gửi một bộ hồ sơ đến Bộ Công an; thay vì “chỉ lập hồ sơ khi có rủi ro” như cách tiếp cận của GDPR. Điều này cho thấy Việt Nam không chỉ tham khảo thông lệ quốc tế mà còn có sự điều chỉnh, tính toán kỹ lưỡng nhằm phù hợp với hạ tầng công nghệ thông tin và bối cảnh quản lý trật tự xã hội trong nước.

Mekong ASEAN: Từ kinh nghiệm tư vấn doanh nghiệp, theo ông có khoảng cách giữa quy định pháp luật và mức độ tuân thủ, thực thi bảo vệ dữ liệu cá nhân hiện nay hay không?

Ông Lưu Xuân Vĩnh: Trên thực tế, vấn đề bảo vệ dữ liệu cá nhân ở Việt Nam không phải đến khi có Luật Bảo vệ dữ liệu cá nhân mới được đặt ra, mà đã bắt đầu từ năm 2023 với việc ban hành Nghị định 13 (có hiệu lực từ ngày 1/7/2023). Tuy nhiên, qua quá trình tư vấn và làm việc trực tiếp với doanh nghiệp, tôi nhận thấy một khoảng cách tương đối lớn giữa quy định pháp lý và mức độ tuân thủ.

Đối với doanh nghiệp, phần lớn doanh nghiệp vẫn đang ở giai đoạn “biết là có luật”, tức là đã có ý thức về sự tồn tại của quy định, nhưng chưa thực sự xem việc bảo vệ dữ liệu cá nhân là một vấn đề cần ưu tiên trong hệ thống quản trị. Việc áp dụng các biện pháp cụ thể, từ xây dựng quy trình, kiểm soát nội bộ cho đến đầu tư công nghệ, nhìn chung còn rời rạc và mang tính “giải pháp tình thế” nhiều hơn là chủ động tuân thủ. Điều này cho thấy chuyển biến về nhận thức đã bắt đầu hình thành, nhưng chuyển biến về hành vi thì chưa thực sự rõ rệt và chưa đủ mạnh để tạo thành một chuẩn mực vận hành mới trong doanh nghiệp.

Một điểm mới tác động trực tiếp đến doanh nghiệp là nghĩa vụ thông báo vi phạm dữ liệu cá nhân.

Theo Điều 23.1 của Luật Bảo vệ dữ liệu cá nhân, trong trường hợp phát hiện hành vi vi phạm có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu hoặc bên thứ ba phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất trong vòng 72 giờ kể từ thời điểm phát hiện vi phạm.

Quy định này buộc doanh nghiệp chủ động xây dựng kịch bản ứng phó, hệ thống giám sát và cơ chế xử lý nhanh, thay vì phản ứng bị động. Do đó, việc đáp ứng thời hạn 72 giờ sẽ là thách thức nếu doanh nghiệp chưa có sự chuẩn bị đầy đủ về nguồn lực và quy trình.

Cùng với đó, trong năm 2026, doanh nghiệp sẽ đối mặt với áp lực tuân thủ khi nhiều luật liên quan đến dữ liệu và công nghệ cùng có hiệu lực, như Luật An ninh mạng, Luật Trí tuệ nhân tạo, Luật Chuyển đổi số….Các văn bản quy phạm pháp luật này có sự giao thoa, đòi hỏi doanh nghiệp phải tiếp cận vấn đề bảo vệ dữ liệu cá nhân một cách tổng thể, có hệ thống, thay vì triển khai rời rạc.

Ở góc độ dài hạn, doanh nghiệp sẽ buộc phải chuyển từ tư duy “tuân thủ để tránh rủi ro” sang “bảo vệ dữ liệu như một yếu tố cốt lõi của phát triển bền vững”. Khi đó, việc đảm bảo an toàn dữ liệu không chỉ nhằm đáp ứng yêu cầu pháp lý, mà còn trở thành nền tảng để xây dựng niềm tin với khách hàng và nâng cao năng lực cạnh tranh trên thị trường.

Đối với người dùng, thực tế cho thấy nhiều người vẫn khá “vô tư” khi chia sẻ dữ liệu cá nhân trên mạng xã hội, nền tảng trực tuyến hay các công cụ AI, mà chưa nhận thức đầy đủ rủi ro. Những thông tin này có thể bị thu thập, phân tích và lợi dụng cho các mục đích xấu như lừa đảo, giả mạo hay xâm phạm đời tư. Rủi ro không chỉ dừng ở việc “lộ thông tin”, mà còn ở việc dữ liệu bị tổng hợp và sử dụng ngoài tầm kiểm soát của người dùng.

Một điểm đáng chú ý là trong dự thảo Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân (được công bố vào 16/3/2026), không chỉ tổ chức, doanh nghiệp mà ngay cả chủ thể dữ liệu cũng có thể trở thành đối tượng chịu chế tài trong một số trường hợp. Điều này cho thấy cách tiếp cận mới: Trách nhiệm bảo vệ dữ liệu không còn là nghĩa vụ một chiều, mà đòi hỏi cả chủ thể dữ liệu cũng phải chủ động.

Vì vậy, với Luật Bảo vệ dữ liệu cá nhân, chủ thể dữ liệu sẽ phải cân nhắc kỹ lưỡng trước khi đồng ý cung cấp dữ liệu cá nhân, chú ý hơn đến mục đích sử dụng và phạm vi xử lý thông tin cá nhân, đồng thời sẵn sàng thực hiện các quyền như phản đối xử lý hay yêu cầu xóa dữ liệu cá nhân khi cảm thấy thiếu minh bạch.

Mekong ASEAN: Trong bối cảnh nhận thức còn chưa đồng đều và áp lực từ các quy định mới ngày càng rõ nét, việc thay đổi là không thể trì hoãn. Theo ông, Luật Bảo vệ dữ liệu cá nhân đang buộc doanh nghiệp tái cấu trúc cách thu thập và quản trị dữ liệu như thế nào để đáp ứng các yêu cầu mới?

Ông Lưu Xuân Vĩnh: Một số lĩnh vực đặc thù, xử lý dữ liệu cá nhân ở quy mô lớn như tài chính – ngân hàng, bảo hiểm, thương mại điện tử hay các nền tảng mạng xã hội, truyền thông trực tuyến…Bên cạnh việc tuân thủ Luật Bảo vệ dữ liệu cá nhân, các doanh nghiệp hoạt động trong những lĩnh vực này còn chịu sự điều chỉnh nghiêm ngặt của pháp luật chuyên ngành. Chính vì vậy, áp lực thay đổi là cực kỳ lớn và mang tính hệ thống, xuyên suốt qua nhiều văn bản quy phạm pháp luật khác nhau.

Tuy nhiên, dù ở lĩnh vực nào, tôi cho rằng các nghĩa vụ cơ bản vẫn sẽ xoay quanh 3 trụ cột chính. Thứ nhất là về trách nhiệm thiết lập quy định, quy trình và xác định trách nhiệm xử lý dữ liệu cá nhân. Doanh nghiệp không còn có thể thu thập và sử dụng dữ liệu cá nhân theo cách “buộc người dùng phải đồng ý” hoặc thu thập “càng nhiều càng tốt” như trước nữa, mà thay vào đó phải xây dựng quy trình rõ ràng cho từng khâu, từ thu thập, xin sự đồng ý, lưu trữ, xử lý cho đến chia sẻ dữ liệu cá nhân trong các phòng ban, bộ phận và chia sẻ ra bên ngoài.

Các nghĩa vụ pháp lý giờ đây được chuẩn hóa thành từng yêu cầu cụ thể, buộc doanh nghiệp phải thiết lập cơ chế kiểm soát nội bộ thật chặt chẽ để đảm bảo mọi hoạt động diễn ra đều có căn cứ pháp luật để áp dụng, có bằng chứng để phục vụ trách nhiệm giải trình, xác minh, xử lý khi có sự cố.

Thứ hai là về hệ thống quản trị nội bộ. Việc bảo vệ dữ liệu không còn là trách nhiệm riêng của bộ phận IT, mà trở thành trách nhiệm chung của cả doanh nghiệp, đòi hỏi phải có sự kết hợp của nhiều bộ phận trong doanh nghiệp như pháp chế, quản trị rủi ro, an ninh mạng, quản trị nhân sự.... Điều này kéo theo việc phân công lại vai trò, thiết lập các bộ phận hoặc vị trí phụ trách dữ liệu, đồng thời chuẩn hóa các quy trình vận hành nội bộ để đảm bảo tính tuân thủ xuyên suốt.

Thứ ba là về yếu tố kỹ thuật và công nghệ thông tin. Đối với các doanh nghiệp xử lý dữ liệu ở quy mô lớn, việc tuân thủ pháp luật cần được hỗ trợ bởi các biện pháp kỹ thuật tương ứng, bao gồm bảo mật hệ thống, mã hóa dữ liệu, kiểm soát truy cập và cơ chế giám sát rủi ro an ninh mạng.

Mekong ASEAN: Trong bối cảnh dữ liệu ngày càng trở thành một tài sản quan trọng nhưng thường tập trung ở các doanh nghiệp lớn, theo ông, sàn giao dịch dữ liệu quốc gia có thể tạo ra một sân chơi công bằng hơn cho tất cả các doanh nghiệp không?

Ông Lưu Xuân Vĩnh: Trước đây, đúng là dữ liệu chủ yếu nằm trong tay các doanh nghiệp lớn, những đơn vị có nguồn lực để tự thu thập, lưu trữ và phân tích dữ liệu ở quy mô lớn. Điều này tạo ra một lợi thế đáng kể, khiến các doanh nghiệp nhỏ khó tiếp cận và khai thác dữ liệu như một tài sản phục vụ cho hoạt động kinh doanh của mình.

Chính sách thí điểm sàn giao dịch dữ liệu quốc gia của Việt Nam đã được định hướng, thiết kế như một nơi để các bộ dữ liệu đã qua xử lý, chuẩn hóa và đảm bảo tuân thủ pháp lý có thể được đưa vào giao dịch, chia sẻ, cấp quyền truy cập…

Như vậy về mặt lý thuyết, quyền tiếp cận với dữ liệu sẽ được mở rộng. Các doanh nghiệp, không phân biệt quy mô, đều có thể tiếp cận dữ liệu thông qua cơ chế thị trường, thay vì phụ thuộc hoàn toàn vào khả năng tự thu thập.

Với nguồn dữ liệu được phân loại rõ ràng, các dữ liệu cá nhân đã được khử nhận dạng, dữ liệu có chứng nhận, xác thực uy tín, đủ điều kiện giao dịch… thông qua sàn giao dịch dữ liệu, doanh nghiệp sẽ giảm đáng kể chi phí và rủi ro pháp lý so với việc chứng minh nguồn dữ liệu hợp pháp, chứng minh sự đồng ý của chủ sở hữu dữ liệu, từ đó chủ động hơn trong việc xây dựng chính sách quản trị dữ liệu, tạo dựng niềm tin với người dùng – yếu tố cốt lõi để phát triển bền vững trong kỷ nguyên số.

Mekong ASEAN: Theo ông, cơ chế vận hành sàn giao dịch dữ liệu nên như thế nào để vừa phù hợp, vừa đảm bảo hiệu quả, thúc đẩy kinh tế mà lại vừa bảo vệ được quyền lợi của các bên liên quan?

Ông Lưu Xuân Vĩnh: Tôi cho rằng mô hình “Nhà nước dẫn dắt, doanh nghiệp đồng hành” sẽ phù hợp để hướng tới mục tiêu trên. Trong đó, Nhà nước đóng vai trò dẫn dắt đường lối, xây dựng khung chính sách, ban hành tiêu chuẩn, thiết lập cơ chế giám sát và bảo vệ quyền lợi các chủ thể. Còn doanh nghiệp, đặc biệt là các doanh nghiệp viễn thông, doanh nghiệp công nghệ trong nước, sẽ đảm nhiệm việc triển khai hạ tầng kỹ thuật, phát triển công cụ phân tích và vận hành hệ thống ở cấp độ chuyên sâu.

Để sàn giao dịch dữ liệu vận hành hiệu quả, cần tích hợp đồng bộ các giải pháp công nghệ. Chẳng hạn, công nghệ chuỗi khối (blockchain) để xác thực và truy xuất nguồn gốc dữ liệu, AI để xử lý và gia tăng giá trị dữ liệu, cùng với hợp đồng điện tử và chữ ký số nhằm đảm bảo tính pháp lý. Đồng thời, cần xây dựng hệ thống đánh giá tín nhiệm minh bạch dựa trên lịch sử giao dịch, chất lượng dữ liệu, phản hồi và khiếu nại. Đây là một yếu tố quan trọng trong việc củng cố niềm tin giữa các bên tham gia giao dịch trên sàn giao dịch dữ liệu.

Đối với chủ thể dữ liệu, họ cần chủ động bảo vệ thông tin cá nhân ngay từ đầu, cần hiểu rõ mình đang chia sẻ dữ liệu ở mức độ nào và cho mục đích gì. Không phải mọi dữ liệu đều có thể chia sẻ một cách tùy tiện, đặc biệt là các dữ liệu cá nhân nhạy cảm. Việc cung cấp dữ liệu cần đi kèm với sự cân nhắc về rủi ro và lợi ích.

Chính vì thế, trách nhiệm vận hành sàn giao dịch dữ liệu lúc này không thuộc về riêng ai mà đến từ cả ba phía: Nhà nước – Doanh nghiệp – Người dùng. Khi các bên cùng vận hành có trách nhiệm, sàn giao dịch dữ liệu mới thực sự trở thành đòn bẩy cho kinh tế số, đồng thời bảo đảm được an ninh và chủ quyền dữ liệu của quốc gia trong dài hạn.

Mekong ASEAN: Xin cám ơn ông về cuộc trao đổi này!