Bảo vệ bí mật kinh doanh cho doanh nghiệp trong bối cảnh chuyển đổi số: Nhận diện thách thức và đề xuất giải pháp hoàn thiện pháp luật

Bài báo nghiên cứu "Bảo vệ bí mật kinh doanh cho doanh nghiệp trong bối cảnh chuyển đổi số: Nhận diện thách thức và đề xuất giải pháp hoàn thiện pháp luật" do Mai Thị Diệu Hòa (Phòng Cảnh sát quản lý hành chính về trật tự xã hội, Công an Thành phố Đà Nẵng) thực hiện.

Tóm tắt:

Xu hướng chuyển đổi số đang tái định hình mô hình hoạt động của doanh nghiệp và cách thức tạo ra giá trị trong nền kinh tế Việt Nam hiện nay. Trong bối cảnh đó, bí mật kinh doanh - vốn là một trong những tài sản phi vật chất có giá trị cao - ngày càng trở thành mục tiêu tấn công của các hành vi xâm phạm thông qua môi trường mạng. Tuy nhiên, khung pháp luật Việt Nam hiện hành vẫn còn nhiều khoảng trống, chưa thích ứng kịp với đặc điểm của bí mật kinh doanh trong thời đại số cả về nội dung bảo vệ lẫn cơ chế xử lý vi phạm. Bài viết tập trung phân tích đặc trưng của bí mật kinh doanh trong không gian số, đánh giá thực trạng pháp lý hiện hành ở Việt Nam, chỉ ra những vấn đề bất cập và đề xuất các giải pháp hoàn thiện nhằm đảm bảo hiệu quả bảo vệ quyền và lợi ích chính đáng của doanh nghiệp trong bối cảnh chuyển đổi số.

Từ khóa: bí mật kinh doanh, chuyển đổi số, tài sản trí tuệ, dữ liệu doanh nghiệp, pháp luật sở hữu trí tuệ.

1. Bối cảnh chuyển đổi số và sự nổi lên của bí mật kinh doanh với vai trò là tài sản trọng yếu

Chuyển đổi số không chỉ là sự thay đổi về công nghệ, mà còn là quá trình tái cấu trúc toàn diện mô hình kinh doanh, quản trị và sản xuất dựa trên nền tảng dữ liệu, trí tuệ nhân tạo và kết nối mạng. Trong bối cảnh đó, thông tin - từ dữ liệu hành vi người dùng, mô hình phân tích đến thuật toán vận hành - trở thành nguồn lực chiến lược để thiết lập lợi thế cạnh tranh.

Tài sản trí tuệ trong thời đại số không còn chỉ là sáng chế, nhãn hiệu hay kiểu dáng công nghiệp truyền thống. Thay vào đó, bí mật kinh doanh (BMKD) nổi lên như một dạng tài sản phi vật chất có giá trị đặc biệt, bởi nó phản ánh năng lực nghiên cứu phát triển (R&D), sự khác biệt hóa sản phẩm, công thức nội bộ hoặc chiến lược thị trường mà doanh nghiệp phải mất nhiều năm tích lũy. Khác với sáng chế hay nhãn hiệu, BMKD không bắt buộc phải đăng ký để được pháp luật bảo hộ mà sự bảo vệ phụ thuộc vào tính bí mật, giá trị thương mại và biện pháp bảo mật được áp dụng bởi chính chủ thể kinh doanh.

Trong bối cảnh chuyển đổi số, khi các yếu tố cấu thành BMKD đều có thể được số hóa và lưu trữ, chia sẻ trên nền tảng mạng thì ranh giới giữa "tài sản bảo mật" và "thông tin thông thường" ngày càng trở nên mong manh. Chính vì thế, trong thời kỳ số hóa, việc bảo vệ BMKD không chỉ là một yêu cầu chiến lược của doanh nghiệp mà còn là một thách thức lớn đặt ra đối với pháp luật và cơ chế thực thi pháp lý.

2. Nhận diện đặc điểm pháp lý của bí mật kinh doanh trong bối cảnh chuyển đổi số

2.1. Khái niệm bí mật kinh doanh

Bí mật kinh doanh trong lý luận pháp lý truyền thống được hiểu là thông tin có giá trị thương mại, chưa được công bố rộng rãi và được chủ thể hợp pháp áp dụng các biện pháp hợp lý để giữ bí mật. Mô hình này đã được nội luật hóa trong Luật Sở hữu trí tuệ Việt Nam và các điều ước quốc tế mà Việt Nam là thành viên. Tuy nhiên, khi nền kinh tế vận hành trên nền tảng số, cách thức tạo lập, lưu trữ và khai thác BMKD đã có nhiều thay đổi căn bản, dẫn đến sự xuất hiện của những đặc điểm pháp lý mới, đòi hỏi pháp luật phải kịp thời thích ứng.

2.2. Đặc điểm pháp lý của bí mật kinh doanh trong môi trường số

2.2.1. Tính phi vật chất, linh hoạt và dễ bị sao chép

Một trong những đặc trưng nổi bật của BMKD trong môi trường số là tính phi vật chất. Trước đây, BMKD có thể được thể hiện dưới dạng hồ sơ in giấy, bản thiết kế thủ công hay bản mô tả quy trình sản xuất. Ngày nay, hầu hết thông tin bí mật đều tồn tại dưới dạng số hóa - từ file văn bản, cơ sở dữ liệu, đoạn mã lập trình đến mô hình học máy (machine learning models).

Tính phi vật chất này mang lại sự linh hoạt trong khai thác, lưu trữ và chia sẻ nội bộ doanh nghiệp nhưng cũng đồng nghĩa với nguy cơ bị sao chép, chuyển giao hoặc rò rỉ mà không để lại dấu vết rõ ràng. Chỉ cần một hành vi truy cập trái phép vào hệ thống nội bộ hoặc một email gửi nhầm, một lượng lớn dữ liệu bí mật có thể bị lộ ra ngoài nhanh chóng, khó truy vết và gần như không thể thu hồi.

Việc chứng minh một thông tin bị xâm phạm là “bí mật kinh doanh” cũng trở nên khó khăn hơn. Trái ngược với tài sản trí tuệ có đăng ký, BMKD không có hồ sơ pháp lý làm cơ sở chứng minh quyền. Tòa án, cơ quan thực thi thường yêu cầu doanh nghiệp phải chứng minh 3 yếu tố: (1) thông tin đó không phải kiến thức thông thường; (2) có giá trị thương mại thực sự; (3) đã được bảo mật bằng các biện pháp hợp lý. Trong môi trường số, 3 yếu tố này rất khó nhận diện nếu doanh nghiệp không có chính sách quản trị dữ liệu bài bản.

2.2.2. Khả năng bị xâm phạm xuyên biên giới, xuyên thời gian thực

Nếu như trước đây, hành vi xâm phạm BMKD thường đòi hỏi tiếp cận vật lý như trộm cắp tài liệu, sao chép hồ sơ hoặc lén ghi âm, ghi hình thì nay, với sự hỗ trợ của công nghệ, hành vi xâm phạm có thể được thực hiện từ xa, trong thời gian thực và trên phạm vi toàn cầu. Một đoạn mã độc cài vào hệ thống, một liên kết lừa đảo (phishing) hay một quyền truy cập bị đánh cắp đều có thể mở ra cánh cửa xâm nhập trái phép vào toàn bộ kho dữ liệu mật.

Chính yếu tố “phi biên giới” và “tức thời” đã tạo ra thách thức lớn cho cơ chế pháp lý truyền thống vốn dựa trên các tiêu chí không gian, thời gian cụ thể. Luật Sở hữu trí tuệ (SHTT) Việt Nam chưa đưa ra các hướng dẫn cụ thể để xác định thẩm quyền xử lý trong các vụ việc xâm phạm BMKD qua mạng có yếu tố nước ngoài, cũng như chưa có cơ chế phối hợp tư pháp xuyên quốc gia đủ hiệu lực để bảo vệ BMKD bị rò rỉ từ nước ngoài.

Trong các hiệp định như CPTPP, EVFTA, Việt Nam đã cam kết xây dựng các cơ chế pháp lý hiệu quả để xử lý hành vi xâm phạm BMKD, trong đó có quy định về hành vi “thu thập, sử dụng hoặc tiết lộ thông tin bằng phương pháp trái phép thông qua mạng máy tính” (xem Điều 18.78 CPTPP). Tuy nhiên, các nghĩa vụ quốc tế này vẫn chưa được cụ thể hóa đầy đủ trong pháp luật quốc nội.

2.2.3. Bí mật kinh doanh và mối liên hệ chặt chẽ với dữ liệu cá nhân, dữ liệu lớn và trí tuệ nhân tạo

BMKD trong môi trường số không còn chỉ là công thức sản phẩm hay quy trình kỹ thuật. Ngày càng nhiều doanh nghiệp xem dữ liệu người dùng, hồ sơ khách hàng, hành vi tương tác hoặc thậm chí mô hình huấn luyện AI là những tài sản bí mật có giá trị cốt lõi. Ví dụ: thuật toán đề xuất của một sàn thương mại điện tử; tập dữ liệu huấn luyện chatbot sử dụng dữ liệu nội bộ hoặc mô hình phân tích rủi ro tín dụng của ngân hàng đều có thể được coi là BMKD.

Tuy nhiên, nhiều  BMKD có thể đồng thời chứa dữ liệu cá nhân, hoặc là đối tượng điều chỉnh của các luật khác như Luật An ninh mạng 2018, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Điều này đặt ra câu hỏi pháp lý phức tạp: liệu dữ liệu vừa là thông tin cá nhân vừa là bí mật kinh doanh thì phải áp dụng cơ chế bảo vệ nào? liệu một cá nhân có quyền yêu cầu doanh nghiệp công khai, sửa hoặc xóa dữ liệu thuộc BMKD của doanh nghiệp không?

Pháp luật hiện hành vẫn chưa làm rõ cơ chế phân định giữa quyền sở hữu doanh nghiệp đối với dữ liệu có tính chất BMKD và quyền bảo vệ dữ liệu cá nhân của người dùng. Việc thiếu hướng dẫn thống nhất dễ dẫn đến xung đột trong thực thi, đặc biệt khi doanh nghiệp bị cáo buộc “che giấu thông tin” với lý do bảo vệ BMKD.

2.2.4. Khả năng tự động tái tạo bí mật kinh doanh qua các mô hình trí tuệ nhân tạo

Một đặc điểm mới và phức tạp trong thời kỳ chuyển đổi số là khả năng các mô hình AI tái tạo hoặc suy luận ngược BMKD mà không cần truy cập trực tiếp vào dữ liệu nguồn. Ví dụ, một mô hình ngôn ngữ lớn (LLM) có thể được huấn luyện trên tập dữ liệu chứa thông tin bí mật, sau đó qua các truy vấn thích hợp tiết lộ thông tin giống hoặc gần giống với BMKD ban đầu. Việc này có thể xảy ra một cách vô tình và nằm ngoài ý chí của chủ thể sở hữu mô hình.

Vấn đề pháp lý đặt ra là: Trách nhiệm thuộc về ai khi AI vô tình “rò rỉ” thông tin học được? Chủ sở hữu AI có nghĩa vụ ngăn chặn khả năng tiết lộ BMKD không? Pháp luật hiện chưa có câu trả lời rõ ràng. Trong khi đó, thực tế ngày càng cho thấy rủi ro “rò rỉ gián tiếp” qua AI đang trở thành mối đe dọa nghiêm trọng đối với các doanh nghiệp công nghệ và tài chính.

3. Thực trạng pháp luật Việt Nam về bảo vệ bí mật kinh doanh trong bối cảnh chuyển đổi số

Pháp luật Việt Nam về bảo vệ BMKD hiện nay được thiết kế dựa trên nền tảng của Luật SHTT, được hỗ trợ bởi một số quy định trong pháp luật lao động, hình sự, dân sự, an ninh mạng và pháp luật xử lý vi phạm hành chính. Mặc dù đã có những bước tiến nhất định, nhất là sau các đợt sửa đổi Luật SHTT năm 2022 và việc ban hành Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân, nhưng nhìn chung, khung pháp lý hiện hành vẫn bộc lộ nhiều hạn chế cả về phạm vi điều chỉnh lẫn cơ chế bảo vệ, đặc biệt trong môi trường số.

3.1. Quy định về bí mật kinh doanh trong Luật Sở hữu trí tuệ - Định hướng bảo vệ nhưng thiếu khả năng vận hành thực tiễn

Theo khoản 23 Điều 4 Luật SHTT (sửa đổi 2022), BMKD được định nghĩa là thông tin thu được từ hoạt động đầu tư tài chính, trí tuệ, công sức; chưa được công bố và có khả năng sử dụng trong kinh doanh. Điều 84 Luật này tiếp tục đặt ra 3 điều kiện tích lũy để xác lập BMKD: (1) không phải hiểu biết thông thường; (2) có giá trị thương mại; (3) đã được bảo mật bằng biện pháp hợp lý.

Về mặt lý thuyết, định nghĩa BMKD như trên tương thích với tiêu chuẩn quốc tế, đặc biệt là Điều 39.2 của Hiệp định TRIPS. Tuy nhiên, trong thực tiễn xét xử và thực thi, các quy định này bộc lộ nhiều điểm mơ hồ khi áp dụng trong môi trường số:

Thứ nhất, luật chưa quy định cụ thể về “biện pháp hợp lý để bảo mật” trong điều kiện số hóa. Một doanh nghiệp sử dụng mã hóa cơ bản, gán mật khẩu cho dữ liệu nội bộ có được xem là “đã thực hiện biện pháp hợp lý”? Nếu dữ liệu được lưu trên nền tảng đám mây thuê ngoài (cloud) thì liệu chủ doanh nghiệp có phải chịu trách nhiệm về lỗ hổng bảo mật phía nhà cung cấp không? Các câu hỏi này cho thấy việc thiếu hướng dẫn kỹ thuật khiến quy định pháp lý trở nên khó vận dụng.

Thứ hai, việc chứng minh thông tin có “giá trị thương mại” trong môi trường số thường khó khăn, nhất là khi nó chưa được hiện thực hóa thành sản phẩm hay doanh thu cụ thể. Ví dụ, một thuật toán chưa triển khai thực tế nhưng có tiềm năng thương mại lớn - liệu đã đủ điều kiện là BMKD chưa? Pháp luật Việt Nam chưa đưa ra tiêu chí đánh giá định lượng hoặc định tính về giá trị thương mại trong bối cảnh này.

Thứ ba, hệ thống pháp luật hiện vẫn thiếu cơ chế xác lập hoặc công nhận một thông tin là BMKD một cách chính thức như hình thức ghi nhận, xác thực, lưu ký hoặc chứng thực pháp lý. Điều này khiến doanh nghiệp khi bị xâm phạm gặp nhiều trở ngại trong việc chứng minh quyền của mình trước cơ quan chức năng hoặc tòa án.

3.2. Pháp luật lao động và nghĩa vụ bảo mật trong quan hệ nội bộ còn ở mức khuyến khích

Một trong những nguồn rò rỉ BMKD lớn nhất đến từ chính nội bộ doanh nghiệp - nhân viên, đối tác, chuyên gia kỹ thuật. Tuy nhiên, Bộ luật Lao động năm 2019 hiện chỉ đề cập đến nghĩa vụ giữ bí mật một cách gián tiếp và mang tính khuyến nghị. Điều 15 và Điều 21 quy định các bên có thể thỏa thuận về nội dung bảo mật nhưng không bắt buộc phải ký thỏa thuận bảo mật riêng biệt. Điều này dẫn đến tình trạng nhiều doanh nghiệp, đặc biệt là doanh nghiệp nhỏ và vừa (SMEs) không chú trọng hoặc thậm chí bỏ qua yếu tố bảo mật trong hợp đồng lao động.

Bên cạnh đó, Điều 122 và 130 Bộ luật này quy định các chế tài đối với hành vi vi phạm kỷ luật hoặc gây thiệt hại, nhưng mức độ xử lý chủ yếu dừng ở kỷ luật lao động hoặc bồi thường vật chất trong phạm vi hạn chế. Với BMKD có giá trị lớn như thuật toán trị giá hàng tỷ đồng thì các chế tài hiện hành hoàn toàn không đủ sức răn đe nếu không có hành lang pháp lý bổ sung từ lĩnh vực sở hữu trí tuệ hoặc hình sự.

Việc thiếu quy định về các thỏa thuận sau nghỉ việc như thỏa thuận không cạnh tranh (non-compete agreement), thỏa thuận không chiêu dụ (non-solicitation agreement) khiến doanh nghiệp không thể ngăn chặn nhân viên cũ sử dụng BMKD cho các đối thủ, dù họ có thể không tiết lộ công khai thông tin. Đây là điểm yếu rõ rệt của pháp luật Việt Nam so với thông lệ quốc tế.

3.3. Pháp luật hình sự - Bảo vệ gián tiếp và chưa thực sự hiệu quả

Trong Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung 2017) không có một tội danh độc lập nào mang tên “xâm phạm BMKD”. Thay vào đó, pháp luật hình sự bảo vệ BMKD thông qua các điều khoản gián tiếp như:

Điều 288: Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông;

Điều 289: Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông;

Điều 352Điều 353: Các tội liên quan đến bí mật công tác, bí mật Nhà nước.

Tuy nhiên, các điều luật trên chủ yếu hướng đến việc bảo vệ an toàn mạng, dữ liệu của tổ chức nhà nước hoặc người dùng cá nhân, chưa tập trung vào khía cạnh thương mại của BMKD như tài sản của doanh nghiệp. Hơn nữa, các yếu tố cấu thành tội phạm trong các điều luật này thường đòi hỏi hậu quả rõ ràng hoặc giá trị lớn, khiến doanh nghiệp khó xử lý hành vi xâm phạm BMKD nhỏ nhưng nguy hiểm tiềm tàng (ví dụ: rò rỉ bản kế hoạch chiến lược). Do đó, thực tiễn rất ít vụ xâm phạm BMKD được xử lý hình sự, chủ yếu phải chuyển sang tranh chấp dân sự kéo dài và kém hiệu quả.

3.4. Pháp luật dữ liệu, an ninh mạng và mối liên hệ chưa thống nhất với BMKD

Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là bước tiến lớn trong việc thiết lập nền tảng bảo vệ dữ liệu tại Việt Nam. Tuy nhiên, Nghị định này lại tách biệt hoàn toàn dữ liệu cá nhân với dữ liệu thương mại hoặc BMKD. Điều này dẫn đến nguy cơ mâu thuẫn trong trường hợp một loại thông tin đồng thời mang hai tính chất: vừa là dữ liệu cá nhân (ví dụ lịch sử giao dịch khách hàng), vừa là dữ liệu doanh nghiệp (ví dụ thuật toán phân tích hành vi người tiêu dùng).

Tương tự, Luật An ninh mạng năm 2018 và Luật Giao dịch điện tử năm 2023 cũng không có điều khoản chuyên biệt nào đề cập đến BMKD mà chủ yếu tập trung vào bảo vệ hạ tầng, dữ liệu quốc gia và xác thực điện tử. Do đó, khung pháp luật về dữ liệu tại Việt Nam vẫn còn thiếu tính liên kết hệ thống giữa BMKD và các dạng dữ liệu đặc thù khác.

3.5. Nghĩa vụ quốc tế và việc nội luật hóa còn chậm

Việt Nam là thành viên của nhiều điều ước quốc tế có quy định bảo vệ BMKD, nổi bật là: Hiệp định TRIPS - Điều 39; Hiệp định CPTPP - Điều 18.78; Hiệp định EVFTA - Điều 12.47. Các Hiệp định này yêu cầu thành viên phải thiết lập “biện pháp pháp lý phù hợp” để ngăn chặn hành vi sử dụng, tiết lộ trái phép BMKD, bao gồm cả các hành vi xảy ra qua phương tiện điện tử.

Tuy nhiên, tiến độ nội luật hóa các cam kết này tại Việt Nam còn chậm. Ngoại trừ Luật SHTT có một số cập nhật kỹ thuật (2022) thì chưa có văn bản dưới luật chuyên biệt nào hướng dẫn thực thi Điều 18.78 CPTPP - đặc biệt là về khía cạnh truy cập bất hợp pháp vào thông tin số, biện pháp bảo mật hợp lý trong môi trường số hoặc nghĩa vụ chứng minh trong tranh chấp liên quan đến BMKD số.

4. Giải pháp hoàn thiện pháp luật bảo vệ bí mật kinh doanh trong bối cảnh chuyển đổi số

Bảo vệ BMKD trong nền kinh tế số không thể chỉ dựa trên cách tiếp cận truyền thống vốn đặt trọng tâm vào quy định khung trong Luật SHTT. Sự thay đổi nhanh chóng của công nghệ, đặc biệt là dữ liệu lớn, trí tuệ nhân tạo và kết nối toàn cầu đòi hỏi hệ thống pháp luật phải dịch chuyển theo hướng tích hợp, linh hoạt và có tính thực thi cao. Dưới đây, tác giả đề xuất một số nhóm giải pháp có tính hệ thống nhằm hoàn thiện pháp luật Việt Nam để bảo vệ BMKD một cách hiệu quả hơn trong thời đại số hóa.

4.1. Hoàn thiện các quy định nội luật theo hướng chuyên biệt hóa và hiện đại hóa

4.1.1. Sửa đổi Luật SHTT theo hướng công nghệ hóa khái niệm và điều kiện bảo hộ BMKD

Việc sửa đổi Luật SHTT cần tiếp cận từ bản chất mới của BMKD trong môi trường số. Cụ thể:

Bổ sung định nghĩa rộng hơn về “bí mật kinh doanh”, bao gồm cả thuật toán, mã nguồn, mô hình học máy, hệ thống phân tích dữ liệu, tập dữ liệu đã qua xử lý - những loại hình ngày càng phổ biến trong thực tiễn doanh nghiệp hiện đại.

Quy định rõ tiêu chí “biện pháp hợp lý để bảo vệ BMKD”, có thể liệt kê mở các biện pháp công nghệ được chấp nhận như mã hóa, quản lý phân quyền, nhật ký truy cập hệ thống, bảo mật đám mây, chứng thực điện tử, blockchain…

Làm rõ yêu cầu “giá trị thương mại” không nên chỉ dừng ở lợi nhuận hiện hữu, mà cần tính đến giá trị tiềm năng, giá trị trong đổi mới sáng tạo, khả năng tạo lợi thế cạnh tranh.

Sự rõ ràng này không chỉ giúp doanh nghiệp tự bảo vệ tốt hơn, mà còn là cơ sở pháp lý minh bạch để các cơ quan tố tụng, trọng tài, thanh tra xử lý tranh chấp hiệu quả.

4.1.2. Xây dựng nghị định chuyên biệt về bảo vệ BMKD

Một trong những bất cập lớn của pháp luật hiện hành là thiếu hướng dẫn cụ thể về BMKD dưới dạng văn bản dưới luật, do đó cần xây dựng Nghị định chuyên biệt đảm bảo các nội dung sau:

Phân loại các loại hình BMKD trong môi trường số;

Các bước và chuẩn mực trong việc thiết lập hệ thống bảo mật BMKD;

Cơ chế xác lập giá trị chứng cứ đối với BMKD, như lưu ký tại cơ quan chứng thực điện tử hoặc sử dụng blockchain để đóng dấu thời gian (timestamp);

Nguyên tắc xử lý vi phạm, bao gồm cả các hành vi xâm nhập trái phép hệ thống lưu trữ BMKD qua mạng máy tính.

Nghị định này có thể tham khảo mô hình các nước OECD, nơi BMKD được bảo vệ bằng cả cơ chế dân sự lẫn hình sự, tùy theo tính chất nghiêm trọng và hậu quả của hành vi vi phạm.

4.2. Thiết lập cơ chế bảo vệ nội bộ chặt chẽ cho doanh nghiệp

Việc bảo vệ BMKD không chỉ là nhiệm vụ của Nhà nước mà còn là trách nhiệm chủ động của doanh nghiệp, do đó pháp luật cần quy định rõ:

4.2.1. Bắt buộc thỏa thuận bảo mật và không cạnh tranh trong quan hệ lao động

Bộ luật Lao động cần bổ sung các quy định có tính bắt buộc hoặc khuyến nghị mạnh về việc ký kết:

Thỏa thuận bảo mật thông tin (NDA) giữa doanh nghiệp và người lao động;

Thỏa thuận không cạnh tranh (non-compete agreement) trong một khoảng thời gian và địa bàn hợp lý sau khi nghỉ việc;

Thỏa thuận không chiêu dụ nhân sự hoặc khách hàng cũ nhằm ngăn ngừa nguy cơ “rò rỉ mềm” BMKD.

Đồng thời, các điều khoản này cần được quy chuẩn hóa về mặt nội dung để đảm bảo không trái với quyền tự do lao động, nhưng vẫn bảo vệ được lợi ích hợp pháp của doanh nghiệp.

4.2.2. Quy định trách nhiệm bảo mật thông tin trong các hợp đồng thương mại

Luật Thương mại và Bộ luật Dân sự nên bổ sung điều khoản về nghĩa vụ bảo mật đối với các bên tham gia hợp đồng, đặc biệt trong các giao dịch có liên quan đến chuyển giao công nghệ, dịch vụ tư vấn, phân phối, đại lý…

Việc vi phạm nghĩa vụ bảo mật cần được mặc nhiên hiểu là vi phạm hợp đồng với hệ quả pháp lý nghiêm khắc, bao gồm cả bồi thường thiệt hại và chấm dứt hợp đồng.

4.3. Bổ sung tội danh hình sự và tăng cường chế tài xử lý hành vi xâm phạm BMKD

Để đảm bảo tính răn đe trong môi trường mà rủi ro kỹ thuật luôn hiện hữu, pháp luật hình sự cần được cập nhật phù hợp theo hướng sau:

4.3.1. Bổ sung tội danh riêng về “xâm phạm bí mật kinh doanh”

Tội danh này cần được thiết kế độc lập trong Bộ luật Hình sự, với các hành vi cấu thành bao gồm: (1) Truy cập trái phép vào hệ thống để lấy BMKD; (2) Tiết lộ, truyền bá, sử dụng BMKD trái phép, dù không vì mục đích kinh doanh; (3) Hành vi tổ chức, giúp sức, môi giới hành vi xâm phạm BMKD.

Các yếu tố định khung trên có thể dựa trên giá trị bị xâm phạm, mức độ ảnh hưởng và mục đích trục lợi.

4.3.2. Tăng mức xử phạt hành chính trong các nghị định liên quan

Nghị định số 99/2013/NĐ-CP ngày 29/8/2023 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực sở hữu công nghiệp cần được sửa đổi để tăng mức phạt đối với hành vi xâm phạm BMKD, đặc biệt nếu hành vi xảy ra qua phương tiện điện tử. Theo đó, các hành vi cần nghiên cứu bổ sung gồm: Rò rỉ dữ liệu từ hệ thống nội bộ; Sao chép trái phép phần mềm, thuật toán nội bộ; Không tuân thủ nghĩa vụ bảo mật theo hợp đồng hoặc thỏa thuận.

4.4. Thiết lập cơ chế trọng tài và xét xử chuyên biệt cho tranh chấp về BMKD

Các tranh chấp về BMKD thường mang tính kỹ thuật cao, đòi hỏi sự hiểu biết sâu về công nghệ, mô hình kinh doanh và dữ liệu số. Do đó:

Thứ nhất, có thể xem xét thành lập tòa chuyên trách hoặc tổ trọng tài chuyên môn về sở hữu trí tuệ - dữ liệu - BMKD trong các trung tâm trọng tài thương mại lớn;

Thứ hai, tăng cường bồi dưỡng kiến thức công nghệ thông tin và SHTT số cho thẩm phán, kiểm sát viên và chuyên viên thanh tra;

Thứ ba, thiết lập cơ chế bảo mật thông tin trong quá trình tố tụng, ví dụ phiên xét xử kín, niêm phong hồ sơ, hạn chế sao chép chứng cứ nhằm đảm bảo không làm BMKD tiếp tục bị lộ trong quá trình giải quyết tranh chấp.

4.5. Nội luật hóa đầy đủ các nghĩa vụ quốc tế và thúc đẩy hợp tác tư pháp quốc tế

Việc nội luật hóa các cam kết từ CPTPP, EVFTA, TRIPS cần được thúc đẩy với các bước cụ thể như: Soạn thảo thông tư, nghị định hướng dẫn thực thi Điều 18.78 CPTPP về bảo vệ BMKD; Tham gia các điều ước quốc tế song phương và đa phương về tương trợ tư pháp trong lĩnh vực sở hữu trí tuệ và dữ liệu; Thúc đẩy hợp tác giữa Việt Nam và các tổ chức quốc tế như WIPO, ASEAN IPR Platform để cập nhật hướng dẫn thực tiễn.

5. Kết luận và kiến nghị chính sách

Trong kỷ nguyên kinh tế số, BMKD không còn là những công thức sản phẩm truyền thống hay quy trình sản xuất khép kín mà đã mở rộng phạm vi sang các dữ liệu phi cấu trúc, mô hình phân tích hành vi, thuật toán trí tuệ nhân tạo và hệ thống vận hành kỹ thuật số của doanh nghiệp. Chính điều này khiến BMKD trở thành mục tiêu tấn công chủ yếu trong các hành vi gián điệp kinh tế hiện đại và là “tài sản dễ bị tổn thương nhất” khi doanh nghiệp triển khai chuyển đổi số nhưng thiếu hệ thống bảo vệ tương thích.

Tuy pháp luật Việt Nam đã có những quy định cơ bản để bảo vệ BMKD, đặc biệt trong Luật Sở hữu trí tuệ, Bộ luật Lao động và một số văn bản có liên quan song những quy định này vẫn mang tính nguyên tắc, chưa phản ánh đầy đủ bản chất “động” của BMKD trong môi trường số hóa. Cơ chế xác lập quyền, bảo vệ quyền và xử lý hành vi xâm phạm vẫn còn phân mảnh, chủ yếu dựa vào sự chủ động của doanh nghiệp, trong khi thiếu vắng khung pháp lý hướng dẫn cụ thể hoặc các thiết chế hỗ trợ về mặt kỹ thuật và tố tụng.

Việc thiếu các quy định chuyên biệt và thiếu cơ chế xử lý linh hoạt không chỉ khiến việc thực thi quyền sở hữu đối với BMKD trở nên khó khăn mà còn tạo ra khoảng trống pháp lý khiến Việt Nam có nguy cơ trở thành “môi trường rủi ro pháp lý” cho đầu tư và đổi mới sáng tạo, đặc biệt trong các ngành công nghệ cao, dịch vụ số và khởi nghiệp sáng tạo (start-up).

Từ các phân tích trên, tác giả đề xuất các nhóm kiến nghị sau:

Về lập pháp: sửa đổi Luật SHTT theo hướng công nghệ hóa khái niệm BMKD, cụ thể hóa biện pháp bảo mật hợp lý, và công nhận các loại hình BMKD mới. Đồng thời, ban hành một Nghị định chuyên biệt về bảo vệ BMKD, làm rõ tiêu chí xác lập, cơ chế chứng minh và trình tự xử lý vi phạm trong môi trường số.

Về tổ chức thực thi: xây dựng hệ thống tòa án, trọng tài và thanh tra có kiến thức chuyên sâu về BMKD và công nghệ; thiết lập quy trình bảo mật thông tin trong quá trình giải quyết tranh chấp; thúc đẩy đào tạo cho các chủ thể tiến hành tố tụng và doanh nghiệp về phương thức bảo vệ BMKD.

Về hợp tác quốc tế và nội luật hóa cam kết: cần cụ thể hóa đầy đủ các nghĩa vụ từ CPTPP, EVFTA, TRIPS… thông qua các văn bản dưới luật và thỏa thuận song phương. Đồng thời, Việt Nam cần đẩy mạnh hợp tác với các tổ chức quốc tế để tiếp cận thực tiễn tiến bộ trong xử lý hành vi xâm phạm BMKD qua môi trường mạng và xuyên biên giới.

Về hỗ trợ doanh nghiệp: khuyến khích xây dựng hệ thống quản trị dữ liệu nội bộ đạt tiêu chuẩn bảo mật quốc tế, thiết lập văn hóa bảo vệ tài sản phi vật chất ngay từ khâu tuyển dụng, ký kết hợp đồng, đào tạo và chấm dứt quan hệ lao động. Đồng thời, Nhà nước nên có chính sách hỗ trợ doanh nghiệp vừa và nhỏ (SMEs) trong việc áp dụng công nghệ quản lý và xác lập BMKD bằng công cụ điện tử.

Bảo vệ BMKD không chỉ là một yêu cầu pháp lý mang tính kỹ thuật mà còn là đòn bẩy chiến lược giúp doanh nghiệp bảo vệ lợi thế cạnh tranh, bảo vệ đổi mới sáng tạo và gìn giữ sự an toàn trong vận hành số. Việc hoàn thiện pháp luật về BMKD không thể chậm trễ nếu Việt Nam thực sự mong muốn trở thành một nền kinh tế số an toàn, cạnh tranh và bền vững.

Tài liệu tham khảo:

Chính phủ. (2013). Nghị định số 99/2013/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực sở hữu công nghiệp.

Chính phủ. (2023). Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Quốc hội. (2015). Bộ luật Hình sự (sửa đổi, bổ sung 2017). Văn bản hợp nhất số 01/VBHN-VPQH.

Quốc hội. (2018). Luật An ninh mạng, số 24/2018/QH14.

Quốc hội. (2019). Bộ luật Lao động. Văn bản hợp nhất số 10/VBHN-VPQH.

Quốc hội. (2022). Luật Sở hữu trí tuệ (sửa đổi, bổ sung năm 2022). Văn bản hợp nhất số 07/VBHN-VPQH.

Quốc hội. (2023). Luật Giao dịch điện tử, số 20/2023/QH15.

Vũ Thị Hồng (2023). Bảo vệ bí mật kinh doanh dưới góc độ pháp luật sở hữu trí tuệ và an ninh mạng. Tạp chí Luật học, (4), 45-55.

Nguyễn Minh Tuấn (2022). Giải pháp hoàn thiện pháp luật bảo vệ bí mật kinh doanh trong nền kinh tế số. Tạp chí Nghiên cứu Lập pháp, (23), 67-75.

World Trade Organization (WTO). (1994). Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS).

Government of Canada. (2018). Comprehensive and Progressive Agreement for Trans-Pacific Partnership (CPTPP), Article 18.78.

European Union - Vietnam. (2020). EU-Vietnam Free Trade Agreement (EVFTA), Chapter 12.

OECD. (2021). Trade Secrets Protection and Innovation. OECD Publishing. https://doi.org/10.1787/6fba743f-en

IBM Security. (2023). Cost of a Data Breach Report. IBM and Ponemon Institute.

World Intellectual Property Organization (WIPO). (2024). WIPO Lex Database on Trade Secret Laws. Truy cập tại: https://www.wipo.int/wipolex/en/

 

Legal protection of trade secrets amid digital transformation: Challenges and recommendations for Vietnam

Mai Thi Dieu Hoa

Department of Administrative Management of Social Order

Police Department of Da Nang City

Abstract:

The ongoing trend of digital transformation is fundamentally reshaping business models and value creation processes in the Vietnamese economy. In this evolving landscape, trade secrets, valuable intangible assets, are increasingly vulnerable to cyberattacks. Despite their growing importance, the current Vietnamese legal framework remains inadequate in addressing the unique challenges posed by the digital environment, both in terms of protective measures and enforcement mechanisms. This article examines the distinctive nature of trade secrets in the digital space, critically analyzes the existing legal regulations in Vietnam, identifies key shortcomings, and proposes comprehensive solutions to enhance the protection of businesses’ legitimate rights and interests amid digital transformation

Keywords: trade secrets, digital transformation, intellectual property, corporate data, intellectual property law.

Tạp chí Công Thương