Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) đã được Quốc hội thông qua vào ngày 26/6/2025 và sẽ chính thức có hiệu lực từ ngày 1/1/2026. Văn bản pháp lý này quy định về việc bảo vệ quyền riêng tư và an ninh dữ liệu cá nhân tại Việt Nam trong bối cảnh chuyển đổi số. Mục tiêu là thiết lập khung pháp lý để bảo vệ quyền cơ bản của con người trong việc xử lý dữ liệu cá nhân và đảm bảo an ninh dữ liệu.
Luật quy định rõ ràng về các hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, đồng thời làm rõ quyền của chủ thể dữ liệu (cá nhân) và nghĩa vụ của các tổ chức, doanh nghiệp trong việc xử lý dữ liệu cá nhân. Quy định mới cũng tạo cơ sở để doanh nghiệp nâng cao uy tín, xây dựng lòng tin với khách hàng và tạo lợi thế cạnh tranh.
Tạp chí Kinh tế Việt Nam/VnEconomy đã có cuộc phỏng vấn độc quyền với ông Ronni K. Gothard Christiansen, chuyên gia bảo mật quyền riêng tư và là CEO kiêm sáng lập AesirX.
Ông Ronni K. Gothard Christiansen là một doanh nhân Đan Mạch, đã có hơn 25 năm kinh nghiệm trong lĩnh vực MarTech, phần mềm, công nghệ tiếp thị, bảo mật dữ liệu và mã nguồn mở (open source). Ông nổi tiếng với công việc phân tích các rủi ro thực tế trên website, như cookie, pixel, các đoạn mã theo dõi và các phần mềm phát triển của bên thứ ba, nhằm giúp doanh nghiệp tuân thủ Luật Bảo vệ dữ liệu cá nhân của châu Âu (GDPR), Chỉ thị ePrivacy, Luật Bảo vệ quyền riêng tư của California (CCPA), cũng như các luật dữ liệu mới tại châu Á, bao gồm Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân của Việt Nam.
Ông là người sáng lập AesirX – một nền tảng tiên phong giúp doanh nghiệp tuân thủ luật dữ liệu thông qua các công nghệ first-party data và các giải pháp bảo vệ quyền riêng tư theo chuẩn quốc tế.
Vừa qua, ông đã có bài phát biểu chi tiết về Luật Dữ liệu mới của Việt Nam và Luật Bảo vệ dữ liệu cá nhân tại hội nghị Vietnam Cloud & Datacenter Convention 2025. Vậy theo ông, Luật Bảo vệ dữ liệu cá nhân sẽ ảnh hưởng như thế nào đến các doanh nghiệp đang hoạt động tại Việt Nam?
Khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực, các doanh nghiệp sẽ phải coi dữ liệu cá nhân như một loại vốn hoặc tài sản được nhà nước quản lý. Họ phải nắm rõ mình đang thu thập dữ liệu gì, vì mục đích nào, chia sẻ cho ai, và phải chứng minh được mọi quy trình đều tuân thủ pháp luật.
Từ ngày 1/1/2026, Việt Nam sẽ có một khung pháp lý dữ liệu đầy đủ hơn, trong đó, Luật Bảo vệ dữ liệu cá nhân là trụ cột, quy định toàn diện về quyền và nghĩa vụ trong việc bảo vệ dữ liệu cá nhân. Nghị định 13/2023/NĐ-CP sẽ là văn bản hướng dẫn chính cho đến khi một Nghị định mới được ban hành theo Luật số 91/2025/QH15. Dự thảo Nghị định cũng đã được công bố lấy ý kiến. Cùng với Luật Bảo vệ Dữ liệu cá nhân, Luật Dữ liệu số 60/2024/QH15, hiệu lực thi hành từ ngày 1/7/2025, sẽ điều chỉnh dữ liệu số nói chung, bao gồm cả dữ liệu không phải dữ liệu cá nhân, các nền tảng dữ liệu và luồng dữ liệu xuyên biên giới.
Một điểm đáng chú ý là đối với dữ liệu cá nhân, luật mới cho phép các doanh nghiệp đánh giá tác động về quyền riêng tư và đánh giá rủi ro theo Luật Bảo vệ dữ liệu cá nhân, thay thế các đánh giá rủi ro và đánh giá chuyển dữ liệu mà Luật Dữ liệu yêu cầu. Nói cách khác, những yêu cầu như đánh giá tác động, quy tắc đồng thuận hay xử lý dữ liệu nhạy cảm vốn đã có trong Nghị định 13 nay được luật hóa, và nghị định mới sắp tới sẽ bổ sung chi tiết hơn, như danh mục dữ liệu nhạy cảm, quy trình, biểu mẫu và cơ chế thông báo.
Khi vận hành thực tế, tác động của luật sẽ xuất hiện rõ ở những điểm mà doanh nghiệp tiếp xúc trực tiếp với dữ liệu, như website, ứng dụng, hệ thống quản lý khách hàng, công cụ marketing hay dịch vụ điện toán đám mây. Cách làm “thu thập dữ liệu trước, xin phép sau” sẽ không còn phù hợp, doanh nghiệp cần xây dựng kiến trúc “xin đồng thuận trước khi theo dõi” và kiểm soát minh bạch luồng dữ liệu, đặc biệt khi dữ liệu được chia sẻ tới các hệ thống ở nhiều quốc gia.
Luật cũng quy định mức phạt cao đối với các vi phạm nghiêm trọng liên quan đến chuyển dữ liệu ra nước ngoài, với mức tối đa 5% doanh thu năm trước. Trong trường hợp 5% doanh thu thấp hơn ba tỷ đồng, cơ quan quản lý vẫn có thể áp dụng mức phạt tối đa ba tỷ đồng.
Từ góc nhìn chuyên môn, tác động trước tiên sẽ thấy rõ ở mảng thu thập dữ liệu trên website và việc tuân thủ kỹ thuật. Với các quy trình nội bộ hoặc dữ liệu không phát sinh trên nền tảng web, doanh nghiệp nên phối hợp với các hãng luật trong nước chuyên về bảo vệ dữ liệu để được hỗ trợ toàn diện, đảm bảo tuân thủ đầy đủ luật pháp và quản trị dữ liệu một cách bài bản.
Vậy theo ông, những ngành nào tại Việt Nam sẽ thay đổi mạnh mẽ nhất khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực?
Một số ngành tại Việt Nam dự kiến sẽ chuyển biến rõ rệt từ Luật Bảo vệ dữ liệu cá nhân, bao gồm y tế và bảo hiểm, tài chính – ngân hàng – tín dụng, quảng cáo, mạng xã hội và các dịch vụ trực tuyến, cũng như các lĩnh vực công nghệ như big data, trí tuệ nhân tạo, blockchain, thực tế ảo và điện toán đám mây.
Thực tế, các ngân hàng, tổ chức tín dụng, công ty bảo hiểm, doanh nghiệp viễn thông, nền tảng số, thương mại điện tử, adtech, hay bất kỳ doanh nghiệp nào sử dụng nhiều AI hoặc điện toán đám mây đều xử lý lượng lớn dữ liệu cá nhân nhạy cảm, nên sẽ chịu tác động nhiều hơn.
Theo Luật Dữ liệu, các tổ chức nắm giữ thông tin cần phân loại dữ liệu thành các nhóm: cốt lõi, quan trọng và các loại khác. Việc chuyển dữ liệu cốt lõi hoặc quan trọng ra nước ngoài sẽ cần thực hiện theo các quy định kiểm soát chặt chẽ khi có hướng dẫn chi tiết từ cơ quan quản lý. Dù luật không phân ngành cụ thể, các lĩnh vực tài chính và hạ tầng thiết yếu gần như chắc chắn quản lý nhiều loại dữ liệu được xem là cốt lõi hoặc quan trọng.
Đáng chú ý, dự thảo Nghị định hướng dẫn cũng nêu rằng dữ liệu liên quan đến hành vi người dùng và việc sử dụng dịch vụ viễn thông, mạng xã hội hay truyền thông trực tuyến được coi là dữ liệu nhạy cảm. Điều này đồng nghĩa rằng hầu hết các hoạt động theo dõi hành vi, phân tích profiling trên website, ứng dụng hay nền tảng thương mại điện tử đều cần đồng thuận rõ ràng, có thể chứng minh được, cùng với cơ chế quản trị nghiêm ngặt để đảm bảo tuân thủ luật.
Luật Bảo vệ dữ liệu cá nhân sẽ chỉ còn khoảng 4-5 tuần nữa là có hiệu lực, vậy thực trạng các website .vn hiện nay đang như thế nào?
Theo kết quả phân tích từ AesirX Privacy Scanner và các đánh giá sâu hơn trên hàng nghìn tên miền .vn, cho thấy:
Thứ nhất, phần lớn các website vẫn áp dụng kiểu “thu thập dữ liệu trước, hỏi sau”. Các công cụ phân tích dữ liệu, pixel quảng cáo và SDK như Google Analytics 4, Tag Manager, Meta, TikTok, Hotjar hay các CDP thường được kích hoạt ngay khi trang web tải xong, trước khi người dùng có cơ hội đưa ra lựa chọn hay đồng thuận.
Thứ hai, những website có công cụ quản lý đồng thuận (CMP) hay banner thông báo quyền riêng tư cũng chưa thực hiện đúng cách. Trong số rất ít trang áp dụng CMP, công cụ này thường chỉ quản lý cookies, không bao quát tất cả các công nghệ theo dõi như SDK, lưu trữ cục bộ, nhận diện vân tay thiết bị hay tracker trong ứng dụng. Khi người dùng từ chối hoặc bỏ qua thông báo, các script không cần thiết vẫn thường được thực thi, nghĩa là dữ liệu vẫn bị thu thập.
Công cụ CMP thường là dịch vụ SaaS đặt bên ngoài Việt Nam, tức ngay cả “công cụ bảo mật” cũng đang xuất dữ liệu ra nước ngoài, kể cả trong những ngành mà Luật Dữ liệu Việt Nam xem là đặc biệt hoặc nhạy cảm.
Thứ ba, việc chuyển dữ liệu ra nước ngoài diễn ra âm thầm và mặc định. Trong nhiều trường hợp, dữ liệu được gửi tới các server tại Mỹ, châu Âu hoặc nơi khác ngay khi trang tải, mà không có ghi chú rõ ràng trong chính sách quyền riêng tư, cũng như không có dấu hiệu rằng hồ sơ chuyển dữ liệu hay đánh giá tác động kiểu Luật Bảo vệ Dữ liệu Cá nhân đã được thực hiện.
Liệu các doanh nghiệp Việt Nam có đang đánh giá thấp rủi ro liên quan đến Luật Bảo vệ dữ liệu cá nhân không, thưa ông?
Thật sự là có, có cả về rủi ro pháp lý lẫn tác động thương mại. Bởi vì, khi Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực và Nghị định hướng dẫn đi vào áp dụng, các doanh nghiệp sẽ phải đáp ứng các yêu cầu rõ ràng về các vấn đề như hồ sơ đồng thuận, mức độ phục vụ yêu cầu của chủ thể dữ liệu, hồ sơ chuyển dữ liệu xuyên biên giới hay trách nhiệm quản trị dữ liệu.
Bên cạnh đó, doanh nghiệp cũng có thể gặp rủi ro trong thương mại, quan hệ đối tác. Ngày nay, khách hàng và đối tác toàn cầu thường quan tâm đến những vấn đề như “Dữ liệu của chúng tôi được lưu ở đâu?”, “Website sử dụng những tracker nào?”, “Doanh nghiệp có tuân thủ luật quốc gia của mình không?”
Doanh nghiệp không trả lời được những câu hỏi này sẽ nguy cơ mất hợp đồng, đặc biệt trong các lĩnh vực tài chính, BPO, cloud và SaaS.
Tôi thường nói với các doanh nghiệp rằng tuân thủ dữ liệu sẽ trở thành nền tảng cơ bản như thuế hay kế toán.
Vậy, các doanh nghiệp Việt Nam nên chuẩn bị gì trước khi Luật có hiệu lực đầy đủ?
Thứ nhất, doanh nghiệp hãy quét website và hệ thống, dùng các công cụ như AesirX Privacy Scanner (miễn phí) để phát hiện tất cả tracker, cookie, SDK và các endpoint – kèm thông tin các quốc gia mà dữ liệu đi qua.
Thứ hai, lập bản đồ và phân loại luồng dữ liệu. Xác định dữ liệu cá nhân thu thập từ đâu, kênh nào, lưu trữ và xử lý ở đâu (trong hay ngoài Việt Nam). Bao gồm cloud, CDP, CRM, nền tảng marketing, công cụ hỗ trợ.
Thứ ba, triển khai “consent-before-tracking” (chỉ thu thập dữ liệu khi đã có sự đồng thuận). Hệ thống quản lý sự đồng ý của người dùng phải thực sự chặn mọi công cụ theo dõi - như Google Tag Manager, công cụ phân tích hành vi, các phần mềm quản lý dữ liệu khách hàng và các loại trình theo dõi khác - cho đến khi người dùng đồng ý một cách rõ ràng. Việc chặn này cũng cần được thực hiện cả ở phía máy chủ và hệ thống biên, không chỉ trên trình duyệt.
Thứ tư, nên thay các công cụ theo dõi của bên thứ ba bằng các giải pháp do chính doanh nghiệp quản lý tại Việt Nam, nếu có thể. Các loại phông chữ, hình ảnh, video cũng nên được lưu trữ trong nước thay vì sử dụng các hệ thống phân phối nội dung quốc tế.
Thứ năm, hoàn thiện đầy đủ tài liệu và quy trình quản trị dữ liệu. Lập hồ sơ cho mọi hoạt động chuyển dữ liệu ra nước ngoài, bao gồm các điểm truyền dữ liệu và biện pháp bảo vệ kèm theo. Lưu trữ nhật ký về sự đồng ý của người dùng và quy trình xử lý yêu cầu của họ liên quan đến dữ liệu cá nhân. Xây dựng kế hoạch ứng phó sự cố và phân công rõ ràng trách nhiệm cho từng bộ phận, tương tự như vai trò của người phụ trách bảo vệ dữ liệu.
Phương châm của tôi là: “Collect less, respect more” – thu thập ít hơn, tôn trọng nhiều hơn. Điều này giúp giảm rủi ro, xây dựng niềm tin và giúp việc tuân thủ Luật Bảo vệ dữ liệu cá nhân dễ chứng minh hơn.
Lưu ý rằng cần tuân thủ không chỉ dữ liệu từ website, app hay giải pháp e-commerce, mà cả dữ liệu nội bộ và các quy trình khác. Vì vậy, tôi khuyến nghị tìm luật sư trong nước chuyên về bảo vệ dữ liệu để đảm bảo toàn bộ quy trình dữ liệu nội bộ cũng được bao phủ.
Theo ông, khi Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu đi vào thực thi, Việt Nam sẽ có những cơ hội gì?
Ngoài các rủi ro cần quản lý, Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu cũng mở ra những cơ hội rất lớn nếu Việt Nam triển khai đúng hướng. Có ít nhất ba lợi thế nổi bật.
Thứ nhất, tăng niềm tin của người dùng và khách hàng. Khi doanh nghiệp có thể khẳng định: “Dữ liệu của bạn được lưu trữ tại Việt Nam và tuân theo luật Việt Nam”, cùng với việc sử dụng hệ thống xin đồng ý, phân tích dữ liệu và các công cụ gắn thẻ đều đặt máy chủ trong nước, đây trở thành một lợi thế cạnh tranh mạnh. Điều này đặc biệt quan trọng trong các ngành như tài chính, y tế, chính phủ và cả các doanh nghiệp B2B quốc tế.
Thứ hai, thúc đẩy hạ tầng và dịch vụ số trong nước. Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân tạo ra nhu cầu rõ rệt đối với các dịch vụ cloud, trung tâm dữ liệu, công cụ phân tích và các giải pháp do doanh nghiệp tự quản lý tại Việt Nam. Những nhà cung cấp trong nước vừa có hiệu năng tốt, vừa tích hợp sẵn các tính năng tuân thủ pháp lý sẽ có ưu thế lớn.
Thứ ba, khả năng xuất khẩu mô hình “hạ tầng số có chủ quyền”. Nếu Việt Nam chứng minh được rằng phát triển kinh tế số và bảo vệ dữ liệu có thể đi cùng nhau, mô hình này hoàn toàn có thể được nhân rộng sang các nước ASEAN khác. Đây không chỉ là xuất khẩu phần mềm, mà còn là chia sẻ một mô hình quản trị dữ liệu hiệu quả và thực tiễn.
Khi được triển khai tốt, Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu không chỉ là các quy định kiểm soát, mà còn đóng vai trò như một chính sách thúc đẩy công nghiệp số của Việt Nam.
Như ông nói, mô hình quản trị dữ liệu này có thể nhân rộng ra các nước ASEAN khác. Vậy, Việt Nam có thể trở thành một trong những quốc gia tiên phong ở châu Á trong việc phát triển mô hình dữ liệu chủ quyền không?
Hoàn toàn có thể. Việt Nam thực tế đang đi trước trong nhiều khía cạnh, như đã có Nghị định 13 về bảo vệ dữ liệu cá nhân và sắp có Luật Dữ liệu cùng Luật Bảo vệ dữ liệu cá nhân, tạo nên một khung pháp lý khá toàn diện. Chính phủ cũng dành sự quan tâm lớn đến chủ quyền dữ liệu, vai trò của trung tâm dữ liệu quốc gia và hạ tầng cloud. Hệ sinh thái công nghệ của Việt Nam có lực lượng phát triển trẻ, đông và giàu năng lực.
Nếu Việt Nam ưu tiên dữ liệu do chính người dùng cung cấp trực tiếp (first-party data) và thực hiện nghiêm nguyên tắc “chỉ theo dõi khi có sự đồng ý”, thay vì đi theo mô hình adtech dựa trên giám sát như nhiều nơi khác, chúng ta hoàn toàn có thể trở thành hình mẫu của khu vực về cách xây dựng một nền kinh tế số hiện đại, tôn trọng quyền riêng tư và bền vững.
Để thực hiện tuân thủ Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân, cần có nhân sự hiểu biết về lĩnh vực này. Ông đánh giá thế nào về tiềm năng nhân lực công nghệ, các kỹ sư và doanh nghiệp Việt Nam trong lĩnh vực công nghệ bảo vệ quyền riêng tư?
Tôi đã có nhiều năm làm việc với các kỹ sư Việt Nam và nhận thấy họ thực sự rất giỏi, đặc biệt là ở các mảng mã nguồn mở, nền tảng web, điện toán đám mây và các công nghệ hiện đại.
Đồng thời, tôi cũng muốn chia sẻ rằng hầu hết đội ngũ phát triển sản phẩm AesirX của chúng tôi đều là nhân sự Việt Nam. Chúng tôi thiết kế và xây dựng các công cụ về quyền riêng tư và quản lý đồng ý ngay tại Việt Nam, với kỹ sư Việt Nam, rồi xuất khẩu giải pháp toàn cầu thông qua công ty mẹ tại Mỹ. Vì vậy, tôi không chỉ tin tưởng vào kỹ sư Việt Nam mà toàn bộ chiến lược sản phẩm của chúng tôi dựa trên năng lực của họ.
Đối với việc tuân thủ Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân, có một điểm mới mẻ là nhân sự phải có khả năng kết hợp kiến thức về luật, quản trị và kỹ thuật. Khi các kỹ sư Việt Nam nắm vững Luật Bảo vệ dữ liệu cá nhân, Luật Dữ liệu và khái niệm hạ tầng số có chủ quyền, tôi tin rằng Việt Nam có thể trở thành nhà xuất khẩu hàng đầu các giải pháp và dịch vụ công nghệ quyền riêng tư tại châu Á và xa hơn.
Nội dung đầy đủ của bài viết được đăng tải trên Tạp chí Kinh tế Việt Nam số 48-2025 phát hành ngày 1/12/2025. Kính mời Quý độc giả tìm đọc tại đây:
Link: https://premium.vneconomy.vn/dat-mua/an-pham/tap-chi-kinh-te-viet-nam-so-482025.html
