Luật Dữ Liệu mới, được thông qua vào cuối tháng 11 năm 2024 và có hiệu lực từ ngày 1/7/2025, tập trung chủ yếu vào việc thiết lập cơ sở dữ liệu tổng hợp quốc gia và trung tâm dữ liệu phục vụ mục đích quản lý nhà nước. Tuy nhiên, luật này cũng đưa ra những quy định về dữ liệu số (dưới đây gọi là dữ liệu) liên quan đến khu vực tư nhân, bao gồm sản phẩm và dịch vụ dữ liệu. Chính phủ hiện đang soạn thảo ba nghị định hướng dẫn chi tiết các nội dung quan trọng trong Luật Dữ Liệu, bao gồm: Dự Thảo Nghị Định Sản Phẩm & Dịch Vụ Dữ liệu, Dự Thảo Nghị Định Dữ Liệu Cốt Lõi & Dữ Liệu Quan Trọng và Dự Thảo Nghị Định Khung.

Bài viết này sẽ thảo luận về một số điểm chính trong Luật Dữ Liệu và các dự thảo nghị định liên quan. Bài viết được thực hiện bởi Hà Thanh Phúc và Trịnh Phương Thảo.

1)         Công an sẽ rà soát và giám sát hoạt động dữ liệu

Bộ Công an (BCA) tiếp tục được trao quyền quản lý toàn bộ hoạt động liên quan đến dữ liệu, ngoại trừ dữ liệu thuộc phạm vi quản lý của Bộ Quốc Phòng. Ngoài ra, điều này cho thấy Việt Nam coi dữ liệu là một vấn đề an ninh, và các hành vi vi phạm liên quan đến dữ liệu có thể dẫn đến trách nhiệm pháp lý nghiêm trọng. Quy định này có thể làm gia tăng đáng kể chi phí tuân thủ đối với các doanh nghiệp và công ty tại Việt Nam trong trường hợp muốn tuân thủ đầy đủ các quy định không rõ ràng này (xem phân tích bên dưới).

1.         Ngành nghề kinh doanh có điều kiện

Việc sửa đổi Luật Đầu Tư 2020 vào cuối năm 2024 yêu cầu các doanh nghiệp hoạt động trong các lĩnh vực (i) sản phẩm và dịch vụ trung gian dữ liệu, (ii) phân tích và tổng hợp dữ liệu, hoặc (iii) dịch vụ sàn dữ liệu phải đáp ứng một số điều kiện nhất định. Theo Luật Dữ Liệu quy định rằng:

a. Dịch vụ sàn dữ liệu có thể bị giới hạn chỉ dành cho doanh nghiệp nhà nước và đơn vị cung cấp dịch vụ công, khả năng là không bao gồm doanh nghiệp tư nhân; và

b. Chỉ các nhà cung cấp dịch vụ phân tích và tổng hợp dữ liệu có khả năng gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, đạo đức xã hội hoặc sức khỏe cộng đồng, mà các tiêu chí này được quy định chi tiết trong Dự Thảo Nghị Định Sản Phẩm & Dịch Vụ Dữ Liệu, mới thuộc diện phải tuân thủ điều kiện kinh doanh.

Theo Dự Thảo Nghị Định Sản Phẩm & Dịch Vụ Dữ Liệu, các doanh nghiệp trong lĩnh vực này phải đáp ứng các yêu cầu nghiêm ngặt. Đáng chú ý, tất cả các doanh nghiệp này phải duy trì một khoản ký quỹ tối thiểu 5 tỷ VND tại một ngân hàng thương mại Việt Nam để giải quyết các khoản đền bù và chi phí trong trường hợp bị thu hồi giấy phép.

2.         Dữ liệu cốt lõi và dữ liệu quan trọng

Việc chuyển “dữ liệu cốt lõi” (tức là dữ liệu có ảnh hưởng trực tiếp đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng) và dữ liệu quan trọng (tức là dữ liệu có thể tác động đến các lĩnh vực trên) ra nước ngoài phải tuân thủ các quy định quốc phòng, an ninh, lợi ích công cộng, quyền và lợi ích hợp pháp của chủ thể dữ liệu. Các dự thảo nghị định gần đây đưa ra một số quy định quan trọng, bao gồm:

• Phạm vi dữ liệu cốt lõi và dữ liệu quan trọng rộng: Nhiều loại dữ liệu được phân loại là dữ liệu cốt lõi và dữ liệu quan trọng, trong đó có dữ liệu cá nhân cơ bản của từ 1 triệu người trở lên (được coi là dữ liệu quan trọng).

• Danh sách dữ liệu cốt lõi không đầy đủ: Dự Thảo Nghị Định Dữ Liệu Cốt Lõi & Dữ Liệu Quan Trọng không đưa ra một danh mục liệt kê toàn bộ dữ liệu quan trọng. Thay vào đó, nghị định này bao gồm một điều khoản bao quát “dữ liệu khác trong hoạt động quản lý nhà nước chưa công bố”, mà điều này trao quyền quyết định lớn cho cơ quan quản lý.

3.         Yêu cầu nghiêm ngặt đối với chuyển dữ liệu xuyên biên giới

Doanh nghiệp chuyển dữ liệu cốt lõi và dữ liệu quan trọng (bao gồm cả dữ liệu cá nhân) ra nước ngoài phải (i) tự đánh giá rủi ro đối với hoạt động chuyển dữ liệu; và (ii) nộp báo cáo đánh giá tác động của việc chuyển dữ liệu qua biên giới. Khác với Nghị Định 13/2023 và Dự Thảo Luật Bảo Vệ Dữ Liệu Cá Nhân (Dự Thảo Luật BVDLCN), trong đó yêu cầu nộp báo cáo chỉ mang tính thủ tục, Dự Thảo Nghị Định Khung đưa ra cơ chế phê duyệt chặt chẽ hơn, cụ thể:

• Dữ liệu cốt lõi chỉ được phép chuyển ra nước ngoài nếu nhận được kết quả đánh giá "đạt" từ cơ quan có thẩm quyền.

• Dữ liệu quan trọng có thể được chuyển đi nếu cơ quan có thẩm quyền không phản đối trong vòng 5 ngày kể từ ngày nộp hồ sơ.

Ngoài ra, chủ sở hữu dữ liệu cốt lõi và dữ liệu quan trọng, cũng như cơ quan quản lý dữ liệu, phải tuân thủ các quy định bảo vệ dữ liệu do Chính phủ ban hành.

4.         Khái niệm không rõ ràng về "chủ sở hữu dữ liệu"

Luật Dữ Liệu giới thiệu khái niệm "chủ sở hữu dữ liệu", là một người có quyền quyết định về việc xây dựng, phát triển, bảo vệ, quản lý, xử lý, sử dụng và trao đổi giá trị của dữ liệu mà họ sở hữu (các quyền như vậy, Quyền Chủ Sở Hữu Dữ Liệu). Tuy nhiên, vẫn chưa rõ để được coi là một chủ sở hữu dữ liệu, liệu (i) một người có cần phải đồng thời có quyền sở hữu dữ liệu và Quyền Chủ Sở Hữu Dữ Liệu để được công nhận là chủ sở hữu dữ liệu hay (ii) chỉ cần có Quyền Chủ Sở Hữu Dữ Liệu là đã đủ để được coi là chủ sở hữu dữ liệu.

Cách hiểu thứ hai có vẻ là cách đọc hợp lý của luật. Điều này là bởi quyền sở hữu dữ liệu là một khái niệm còn nhiều tranh cãi và nếu áp dụng, sẽ gây ra nhiều vấn đề về mặt thực tiễn và pháp lý. Cả Nghị Định 13/2023 và Dự Thảo Luật BVDLCN đều không công nhận quyền sở hữu của chủ thể dữ liệu đối với dữ liệu cá nhân của mình. Theo Bộ Luật Dân Sự 2015, nếu một cá nhân sở hữu một tài sản, họ có quyền chiếm hữu, sử dụng và định đoạt tài sản đó mà không bị người khác xâm phạm. Do đó, nếu một cá nhân "sở hữu" danh sách tên theo quy định của Luật Dữ Liệu, liệu điều đó có ảnh hưởng đến quyền của các cá nhân có tên trong danh sách sử dụng tên của chính họ hay không?

Tuy nhiên, cách diễn giải thứ hai cũng không phải không có vấn đề, vì vẫn chưa rõ cơ sở nào để một cá nhân có hoặc phát sinh Quyền Chủ Sở Hữu Dữ Liệu.

5.         Việc cho phép buôn bán dữ liệu cá nhân chưa được quy định rõ ràng

Theo Luật Dữ Liệu, các loại dữ liệu bị cấm giao dịch bao gồm: (i) dữ liệu gây nguy hại đến quốc phòng, an ninh, đối ngoại, cơ yếu; (ii) dữ liệu không được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác; và (iii) các loại dữ liệu khác bị cấm giao dịch theo quy định của pháp luật. Dựa trên cách diễn đạt này, có vẻ như việc mua bán dữ liệu cá nhân bị cấm, vì cả Nghị định 13/2023 và Dự Thảo Luật BVDLCN đều cấm mua bán dữ liệu cá nhân dưới bất kỳ hình thức nào (quy định này khiến mua bán dữ liệu cá nhân thuộc mục (iii) đã nêu).

Tuy nhiên, trong một tuyên bố gần đây, Bộ Công An có vẻ có quan điểm khác, cho rằng dữ liệu cá nhân có thể được giao dịch trên các nền tảng dữ liệu nếu có sự đồng ý của chủ thể dữ liệu. Điều này dường như mâu thuẫn với các quy định hiện hành, tạo ra sự không rõ ràng về khung pháp lý đối với giao dịch dữ liệu cá nhân.

6.         Khả năng chồng chéo với các luật khác

Với phạm vi điều chỉnh rộng, Luật Dữ Liệu điều chỉnh hầu hết các hoạt động liên quan đến dữ liệu số, bao gồm dữ liệu cá nhân, dẫn đến khả năng chồng chéo với các văn bản pháp luật khác, đặc biệt là các quy định liên quan đến bảo vệ dữ liệu cá nhân. Mặc dù Luật Dữ Liệu đã cố gắng giải quyết vấn đề chồng chéo này, nhưng các quy định về vấn đề này vẫn chưa rõ ràng:

·         Đối với các luật được ban hành trước Luật Dữ Liệu: Nếu các quy định của các văn bản này không trái với các “nguyên tắc” của Luật Dữ Liệu, thì các quy định đó sẽ được áp dụng. Tuy nhiên, chưa rõ thuật ngữ “nguyên tắc” ở đây chỉ giới hạn trong các nguyên tắc được quy định tại Điều 5 của Luật Dữ Liệu hay bao gồm toàn bộ các quy định khác của Luật này.

·         Đối với các luật được ban hành sau Luật Dữ Liệu: Nếu có sự không thống nhất giữa các quy định, phải xác định cụ thể nội dung thực hiện hoặc không thực hiện theo quy định của Luật Dữ Liệu và nội dung thực hiện theo quy định của luật khác đó. Nguyên tắc này đặt ra lo ngại về khả năng xung đột thẩm quyền giữa các cơ quan nhà nước, do cách hiểu khác nhau có thể dẫn đến tranh chấp về việc quy định nào sẽ được ưu tiên áp dụng.