Những nội dung cần xem xét kỹ lưỡng trước khi thông qua Dự thảo Luật bảo vệ dữ liệu cá nhân

Trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ, bảo vệ dữ liệu cá nhân đã trở thành một ưu tiên hàng đầu tại nhiều quốc gia, trong đó có Việt Nam. Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân đã đặt nền móng cho khung pháp lý bảo vệ dữ liệu, và Dự thảo Luật Bảo vệ Dữ liệu Cá nhân (“Dự thảo”)[1], đã trình Quốc hội vào tại kỳ họp thứ 9 (tháng 5/2025) và dự kiến sẽ thông qua tại kỳ họp này, được kỳ vọng sẽ hoàn thiện một đạo luật quan trọng bậc nhất của Việt Nam trong việc bảo vệ dữ liệu cá nhân. Với 68 điều khoản trải dài từ quy định chung đến trách nhiệm của các bên liên quan, Dự thảo thể hiện nỗ lực xây dựng một khung pháp lý toàn diện. Tuy nhiên, một số nội dung trong dự thảo còn thiếu rõ ràng, khó thực thi, hoặc chưa phù hợp với thực tiễn kinh tế, xã hội và pháp lý của Việt Nam.

Các nội dung cần xem xét kỹ trong Dự thảo

1. Quy định về Chuyên gia Bảo vệ Dữ liệu Cá nhân (Điều 39 Dự thảo)

Điều 39 yêu cầu mọi tổ chức, doanh nghiệp, cá nhân phải có tối thiểu một (01) Chuyên gia Bảo vệ Dữ liệu Cá nhân (DPO) phù hợp với ngành nghề kinh doanh, trừ các doanh nghiệp nhỏ và khởi nghiệp trong 5 năm đầu (trừ trường hợp trực tiếp kinh doanh xử lý dữ liệu cá nhân). DPO được chia thành ba loại: đủ năng lực công nghệ và pháp lý, hoặc công nghệ, hoặc pháp lý.

Vấn đề cần xem xét:

• Thiếu tiêu chuẩn cụ thể: Điều 39 không quy định rõ tiêu chuẩn chuyên môn (chứng chỉ, kinh nghiệm, hoặc trình độ học vấn) cho DPO, dẫn đến nguy cơ các tổ chức bổ nhiệm DPO không đủ năng lực, làm giảm hiệu quả giám sát tuân thủ.
• Gánh nặng cho SMEs: Với hơn 97% doanh nghiệp Việt Nam là doanh nghiệp nhỏ và vừa (SMEs) (theo Tổng cục Thống kê, 2024)[2], yêu cầu bổ nhiệm DPO tạo áp lực tài chính lớn, đặc biệt là trong bối cảnh Việt Nam chưa có quy định cụ thể về tiêu chuẩn, đào tạo và cấp chứng nhận cho DPO. Chi phí tuyển dụng hoặc đào tạo DPO ước tính từ 50-100 triệu đồng/năm, vượt quá khả năng của nhiều SMEs, đặc biệt ở vùng nông thôn.
• Thiếu nguồn nhân lực: Thị trường lao động Việt Nam hiện thiếu chuyên gia bảo vệ dữ liệu. Theo một thống kê gần đây cho thấy Việt Nam còn thiếu khoảng 700.000 chuyên gia an ninh mạng được đào tạo, chưa kể số lượng chuyên gia bảo vệ dữ liệu còn thấp hơn nhiều, thậm chí là chưa được công nhận chính thức như chuyên gia an ninh mạng. Kinh nghiệm các quốc gia đã thực thi luật bảo vệ dữ liệu cá nhân phần lớn (khoảng 80%) DPO là các chuyên gia từ lĩnh vực pháp lý. Do đó, việc yêu cầu hàng trăm nghìn, thậm chí hàng triệu tổ chức, doanh nghiệp tại Việt Nam bổ nhiệm DPO trong thời gian ngắn là việc không khả thi và gây nên sự lãng phí to lớn. Chưa kể khi bị ép buộc, các doanh nghiệp, tổ chức sẽ tìm cách đối phó mà không thực hiện tuân thủ thực chất để bảo vệ dữ liệu cá nhân của người lao động, người dùng, khách hàng và rộng hơn là của người dân.
• So sánh với GDPR[3]: GDPR chỉ yêu cầu bổ nhiệm DPO trong một số trường hợp cụ thể, đó là, (1) Cơ quan công quyền (trừ tòa án khi thực hiện chức năng tư pháp); (2) Tổ chức giám sát thường xuyên, có hệ thống, quy mô lớn; (3) Tổ chức xử lý dữ liệu nhạy cảm (sức khỏe, tiền án) hoặc dữ liệu hình sự quy mô lớn. Điều này cho phép các tổ chức, doanh nghiệp SMEs giảm gánh nặng tài chính, nhân lực trong quá trình tuân thủ quy định. So sánh với các quy định của GDPR, các quy định tại Dự thảo về DPO quá khắt khe, và có phần không phù hợp với bối cảnh và nền kinh tế non trẻ và đang phát triển của Việt Nam. GDPR cũng đảm bảo tính độc lập của DPO, trong khi Điều 39 Dự thảo không đề cập đến vấn đề này, khiến DPO có thể chịu áp lực từ lãnh đạo doanh nghiệp trong quá trình thực trách nhiệm của mình theo quy định của pháp luật. Bên cạnh đó, chúng tôi thấy Dự thảo khi quy định đến DPO chỉ nhắm đến khu vực tư mà chưa nghĩ rộng ra một cách đáng kể các tổ chức thuộc khu vực công cũng phải tuân thủ các quy định bảo vệ dữ liệu cá nhân này một cách còn nghiêm ngặt hơn cả khu vực tư. Vai trò của cơ quan quản lý không chỉ chăm chăm giám sát, kiểm soát khu vực tư mà còn tạo ra sự công bằng cho cả hai khu vực.

Đề xuất:

• Linh hoạt hóa yêu cầu DPO, chỉ bắt buộc với các tổ chức xử lý dữ liệu nhạy cảm hoặc quy mô lớn.
• Quy định rõ tiêu chuẩn chuyên môn và cho phép thuê ngoài DPO.
• Quy định sự tuân thủ đối với DPO không chỉ đối với khu vực tư mà cả đối với các khu vực công, nơi xử lý rất nhiều dữ liệu của công dân cũng phải tuân thủ các quy định này.
• Đảm bảo tính độc lập của DPO thông qua quy định báo cáo trực tiếp lên cấp cao nhất và cấm sa thải vì thực hiện nhiệm vụ.

2. Đánh giá tác động xử lý dữ liệu cá nhân (Điều 45 Dự thảo)

Điều 45 yêu cầu Bên kiểm soát dữ liệu cá nhân và Bên kiểm soát và xử lý dữ liệu cá nhân lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Data Protection Impact Assessment - DPIA) từ khi bắt đầu xử lý dữ liệu, gửi bản chính cho Cơ quan Chuyên trách Bảo vệ Dữ liệu Cá nhân trong 60 ngày, và cập nhật định kỳ 6 tháng/lần khi có thay đổi.

Vấn đề cần xem xét:

• Yêu cầu DPIA quá rộng: Việc yêu cầu mọi tổ chức thực hiện DPIA, bất kể quy mô hoặc mức độ xử lý dữ liệu, tạo gánh nặng hành chính không cần thiết cho SMEs và các tổ chức phi lợi nhuận. Trong khi đó, GDPR chỉ yêu cầu DPIA khi xử lý dữ liệu có nguy cơ cao đối với quyền của chủ thể dữ liệu (Điều 35 GDPR).
• Áp lực thời gian: Yêu cầu gửi DPIA trong 60 ngày và cập nhật 6 tháng/lần là quá gắt gao, đặc biệt với các tổ chức thiếu nhân sự chuyên môn hoặc công cụ quản lý dữ liệu.
• Năng lực cơ quan quản lý: Cơ quan chuyên trách bảo vệ cữ liệu cá nhân (Bộ Công an, A05) phải xử lý hàng trăm nghìn, thậm chí hàng triệu hồ sơ DPIA từ các tổ chức, doanh nghiệp trên cả nước, trong khi chưa rõ năng lực nhân sự và hạ tầng của cơ quan này là một áp lực không nhỏ, liệu trong một thời gian ngắn tới cơ quan chuyên trách có thể gánh vác trách nhiệm này. Đây là một câu hỏi rất quan trọng để Quốc hội cần xem xét kỹ trước khi bấm nút thông qua Dự thảo này.

Đề xuất:

• Chỉ yêu cầu DPIA cho các hoạt động xử lý dữ liệu có nguy cơ cao, tương tự như quy định tại GDPR.
• Cung cấp mẫu DPIA và hướng dẫn chi tiết trên Cổng Thông tin Quốc gia về Bảo vệ Dữ liệu Cá nhân (Điều 52).
• Gia hạn thời gian gửi DPIA (ví dụ, 120 ngày) và giảm tần suất cập nhật (ví dụ, 1 năm/lần) cho SMEs sau thời gian miễn trừ tuân thủ bảo vệ dữ liệu cá nhân của các đơn vị này.

Đại diện Cơ quan soạn thảo và Cơ quan thẩm tra lắng nghe tại buổi thảo luận về Dự thảo Luật bảo vệ dữ liệu cá nhân. Nguồn: Quốc hội 

3. Chuyển Dữ liệu Cá nhân Ra Nước Ngoài (Điều 46)

Điều 46 quy định về việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, yêu cầu lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài, gửi bản chính trong 60 ngày, và chịu kiểm tra hàng năm bởi Cơ quan Chuyên trách. Cơ quan này có quyền ngừng chuyển dữ liệu nếu phát hiện vi phạm lợi ích quốc gia.

Vấn đề cần xem xét:

• Phạm vi quá rộng: Điều 46 áp dụng cho mọi hoạt động chuyển dữ liệu ra nước ngoài, bao gồm cả việc sử dụng nền tảng đám mây quốc tế (như AWS, Google Cloud, Microsoft 365), vốn phổ biến trong các doanh nghiệp công nghệ Việt Nam cũng như các doanh nghiệp thông thường. Điều này có thể hạn chế khả năng cạnh tranh của các doanh nghiệp số, đặc biệt trong lĩnh vực fintech và thương mại điện tử.
• Thiếu tiêu chí rõ ràng: Quy định về việc ngừng chuyển dữ liệu khi “vi phạm lợi ích quốc gia” không nêu rõ tiêu chí, tạo nguy cơ áp dụng tùy tiện và thiếu minh bạch. Chúng tôi đề nghị luật hóa tiêu chí này mà không đưa các tiêu chí này xuống các văn bản dưới luật. Vì đây là các quy định cấm và cũng là các quy định quan trọng nên việc đưa vào trong luật là cần thiết và tạo sự thống nhất về sau. 
• So sánh với GDPR: Tại GDPR từ Điều 44 tới Điều 50[4] quy định chuyển dữ liệu ra ngoài EU dựa trên các cơ chế rõ ràng từ (i) Quyết định Phù hợp, (ii) Điều khoản Hợp đồng Chuẩn, (iii) Quy tắc Ràng buộc Doanh nghiệp, kèm hướng dẫn chi tiết từ Hội đồng bảo vệ dữ liệu châu Âu (European Data Protection Board – EDPB). Điều 46 của Dự thảo thiếu các cơ chế tương tự, gây khó khăn cho doanh nghiệp quốc tế hoạt động tại Việt Nam.

Đề xuất:

• Xây dựng các cơ chế chuyển dữ liệu cụ thể, rõ ràng và phù hợp với bối cảnh của Việt Nam cũng như tạo thuận lợi cho hoạt động kinh doanh hợp pháp của các doanh nghiệp, các tập đoàn đa quốc gia tại Việt Nam.
• Làm rõ tiêu chí “vi phạm lợi ích quốc gia” tại Dự thảo để đảm bảo minh bạch.
• Miễn trừ yêu cầu hồ sơ đánh giá tác động cho các hoạt động chuyển dữ liệu quy mô nhỏ hoặc sử dụng nền tảng đám mây đạt chuẩn quốc tế mà các quốc gia khác đã miễn trừ việc tuân thủ cho các tổ chức này.

4. Biện pháp bảo vệ Dữ liệu cá nhân nhạy cảm (Điều 50)

Điều 50 yêu cầu áp dụng các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm, khuyến khích sử dụng tiêu chuẩn phù hợp với ngành nghề, thông báo cho chủ thể dữ liệu, và đánh giá tín nhiệm bảo vệ dữ liệu cá nhân.

Vấn đề cần xem xét:

• Thiếu danh mục cụ thể: Mặc dù Điều 12 giao Chính phủ quy định danh mục dữ liệu cá nhân nhạy cảm, Dự thảo không đưa ra một định nghĩa để có các cơ sở và tiêu chí để có thể xác định loại dữ liệu này có thể gây nên sự thay đổi thất thường và khó lường đối với tổ chức doanh nghiệp trong quá trình tuân thủ. Chúng tôi đồng ý với quy định rằng để cho Chính phủ quy định danh sách này. Tuy nhiên, quốc hội với vai trò của mình cần phải có những giới hạn nhất định đối với các định nghĩa gần như “tối quan trọng” này để có thể giúp doanh nghiệp, tổ chức không phải quá tốn kém và khó khăn trong việc tuân thủ những quy định thay đổi liên tục từ những văn bản hướng dẫn luật.
• Khuyến khích không bắt buộc: Việc “khuyến khích” áp dụng tiêu chuẩn bảo vệ thay vì bắt buộc có thể dẫn đến sự không thống nhất trong thực thi, đặc biệt trong các ngành nhạy cảm như y tế, tài chính, và ngân hàng.
• Gánh nặng đánh giá tín nhiệm: Yêu cầu đánh giá tín nhiệm (Điều 43) liên quan đến dữ liệu nhạy cảm đòi hỏi tổ chức hợp tác với Tổ chức Xếp hạng Tín nhiệm, nhưng chi phí và quy trình này chưa được làm rõ, có thể tạo thêm rào cản cho SMEs, cũng như toàn thể các doanh nghiệp, tổ chức tại Việt Nam phải tốn thêm rất nhiều chi phí và công sức cho việc đánh giá xếp loại tín nhiệm này.
• So sánh với GDPR: Tại Điều 9 của GDPR định nghĩa rõ dữ liệu nhạy cảm (sức khỏe, sinh trắc học, tôn giáo, v.v.) và áp dụng các biện pháp bảo vệ nghiêm ngặt, kèm hướng dẫn từ EDPB. Điều 50 của Dự thảo thiếu sự chi tiết này, làm giảm hiệu quả bảo vệ đối với các dữ liệu nhạy cảm.

Đề xuất:

• Dự thảo cần có những tiêu chí và định nghĩa để định vị danh sách tối quan trọng trong Dự thảo đó là dữ liệu cơ bản và dữ liệu nhạy cảm.
• Quy định bắt buộc các tiêu chuẩn bảo vệ cho dữ liệu nhạy cảm trong các ngành y tế, tài chính, và công nghệ.
• Giảm chi phí đánh giá tín nhiệm cho SMEs thông qua hỗ trợ tài chính hoặc đơn giản hóa quy trình đối với loại hình và quy mô của kiểu doanh nghiệp này.

Dự thảo Luật Bảo vệ Dữ liệu cá nhân là một bước tiến quan trọng trong việc xây dựng khung pháp lý bảo vệ dữ liệu tại Việt Nam. Tuy nhiên, các quy định tại Điều 39, 45, 46, và 50 cần được xem xét kỹ lưỡng để đảm bảo tính khả thi và phù hợp với bối cảnh Việt Nam. Những vấn đề như thiếu tiêu chuẩn cụ thể, gánh nặng hành chính, và hạn chế về nguồn lực đòi hỏi các điều chỉnh linh hoạt, học hỏi từ GDPR, và sự hỗ trợ mạnh mẽ từ Nhà nước. Chỉ khi khắc phục được các thách thức này, Dự thảo mới có thể vừa bảo vệ quyền lợi của chủ thể dữ liệu vừa thúc đẩy đổi mới số, nâng cao vị thế của Việt Nam và tạo điều kiện thuận lợi để doanh nghiệp, tổ chức hoạt động và phát triển trong nền kinh tế toàn cầu.