Tóm tắt:

Trong kỷ nguyên số, dữ liệu cá nhân không chỉ là tài sản cá nhân, mà còn là nền tảng quan trọng để xây dựng Chính phủ số. Tuy nhiên, việc bảo vệ dữ liệu cá nhân đang đối mặt với nhiều thách thức trong bối cảnh chuyển đổi số nhanh chóng tại Việt Nam. Các vụ vi phạm dữ liệu cá nhân ngày càng gia tăng, gây ảnh hưởng nghiêm trọng đến quyền lợi của người dân và uy tín của Chính phủ. Để giải quyết vấn đề này, việc xây dựng một khung pháp lý bảo vệ dữ liệu cá nhân hoàn chỉnh, chặt chẽ và hiệu quả là cấp thiết. Khung pháp lý này không chỉ giúp bảo vệ quyền và lợi ích hợp pháp của người dân mà còn góp phần tạo lập môi trường kinh doanh an toàn, thu hút đầu tư và phát triển kinh tế số. Bài viết này phân tích hiện trạng bảo vệ dữ liệu cá nhân tại Việt Nam, những thách thức đang đối mặt và đề xuất các giải pháp để xây dựng khung pháp lý bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số.

Từ khóa: dữ liệu cá nhân, Chính phủ số, chuyển đổi số, khung pháp lý, bảo vệ dữ liệu, vi phạm dữ liệu.

1. Đặt vấn đề

Mặc dù Việt Nam đã có những bước tiến đáng kể trong việc xây dựng khung pháp lý về bảo vệ dữ liệu cá nhân, tình hình hiện tại vẫn đối mặt với nhiều thách thức. Luật An toàn thông tin mạng năm 2015 và Nghị định số 13/2023/NĐ-CP đã cung cấp các quy định quan trọng, trong khi Nghị định số 59/2022/NĐ-CP là bước tiến quan trọng trong việc xây dựng công dân số và Chính phủ số. Tuy nhiên, các vụ rò rỉ dữ liệu cá nhân ngày càng tăng, gây ảnh hưởng nghiêm trọng đến quyền lợi của người dân. Đặc biệt, các cơ quan nhà nước, đáng lẽ phải bảo vệ dữ liệu cá nhân, lại vi phạm pháp luật, đặt ra câu hỏi về hiệu quả của hệ thống hiện hành.

Do đó, việc xây dựng và hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân là cấp thiết, giúp bảo vệ quyền lợi của người dân và tạo môi trường kinh doanh an toàn, thúc đẩy kinh tế số. Bài nghiên cứu này tập trung vào khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam, đặc biệt trong bối cảnh xây dựng Chính phủ số. Mục tiêu của nghiên cứu là phân tích và đánh giá khung pháp lý hiện hành, xác định những khoảng trống pháp lý và thách thức trong thực tiễn, đồng thời so sánh với các quốc gia có nền kinh tế số phát triển và có các quy định về bảo vệ dữ liệu cá nhân tương đối hoàn thiện như Singapore. Qua đó, nhóm tác giả sẽ đề xuất các giải pháp hoàn thiện nhằm đảm bảo quyền riêng tư của công dân trong quá trình số hóa.

2. Khái niệm chung về bảo vệ dữ liệu cá nhân trong bối cảnh xây dựng chính phủ số

2.1. Khái niệm về bảo vệ dữ liệu cá nhân

Trong bối cảnh Việt Nam đang đẩy việc xây dựng Chính phủ điện tử hướng đến Chính phủ số, việc xác định rõ phạm vi và phân loại dữ liệu cá nhân đóng vai trò nền tảng trong việc thiết lập một hệ thống pháp luật hiệu quả. Theo đó, dữ liệu cá nhân được định nghĩa là thông tin biểu thị dưới dạng ký hiệu, văn bản, số liệu, hình ảnh, âm thanh hoặc các hình thức tương tự trong môi trường điện tử, có khả năng gắn liền hoặc xác định một cá nhân cụ thể, được phân loại thành hai nhóm chính: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Dữ liệu cá nhân cơ bản bao gồm các thông tin cơ bản, dễ dàng thu thập và thường được sử dụng để nhận dạng và liên hệ với cá nhân, như họ tên, số điện thoại, địa chỉ email, địa chỉ nhà, ngày sinh và giới tính. Trong khi đó, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm những thông tin có thể gây tổn hại nghiêm trọng đến cá nhân nếu bị tiết lộ hoặc sử dụng không đúng mục đích.

Như vậy, bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định pháp luật. Điều này bao gồm việc thu thập, lưu trữ, xử lý, sử dụng và chia sẻ dữ liệu cá nhân một cách an toàn và hợp pháp. Mục tiêu của bảo vệ dữ liệu cá nhân là ngăn ngừa sự lạm dụng, rò rỉ, xâm nhập trái phép hoặc sử dụng thông tin cá nhân một cách không đúng mục đích, từ đó bảo vệ quyền lợi và sự riêng tư của cá nhân.

2.2. Tầm quan trọng của việc phát triển Chính phủ số

Theo Tổ chức Hợp tác và Phát triển kinh tế (OECD), Chính phủ số thiết lập một hệ sinh thái đa chiều, nơi các cơ quan chính phủ, tổ chức phi chính phủ, doanh nghiệp, tổ chức xã hội và công dân tương tác thông qua mạng lưới cơ sở dữ liệu điện tử do chính phủ cung cấp. [1] Qua đó cho thấy, phát triển Chính phủ số không chỉ tập trung vào việc tối ưu hóa hiệu quả hoạt động, mà còn hướng tới việc tái cấu trúc mô hình vận hành, thay đổi phương thức cung cấp dịch vụ dựa trên nền tảng công nghệ số và dữ liệu. Điều này cho phép các doanh nghiệp tham gia tích cực vào quá trình cung ứng dịch vụ công, tạo ra một hệ sinh thái cộng tác toàn diện.

Dưới tác động của toàn cầu hóa, quá trình chuyển đổi sang Chính phủ số trở thành một yếu tố cốt lõi trong chiến lược phát triển của các quốc gia. Chính phủ số cho phép tối ưu hóa quy trình hành chính, giảm thiểu thủ tục hành chính truyền thống và nâng cao hiệu suất hoạt động của chính quyền và công dân. Bên cạnh đó, Chính phủ số còn đóng vai trò quan trọng trong việc gia tăng khả năng tiếp cận thông tin về hoạt động của các cơ quan nhà nước cho người dân và doanh nghiệp.

Nhìn chung, mục tiêu cốt lõi của Chính phủ số là nâng cao chất lượng cuộc sống của người dân, do đó, việc cung cấp dịch vụ công nhanh chóng, thuận tiện và hiệu quả không chỉ giúp tiết kiệm thời gian, chi phí mà còn góp phần xây dựng một nền hành chính hiện đại, phục vụ tốt hơn nhu cầu của xã hội. Hệ thống Chính phủ số còn hỗ trợ công dân trong việc tiếp cận các thông tin quan trọng, giúp họ tham gia vào quá trình ra quyết định chính trị và xã hội, từ đó nâng cao vai trò và quyền lợi của công dân trong nền chính trị và xã hội.

3. Thực tiễn về bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số tại Việt Nam

3.1. Thực tiễn các hành vi vi phạm về bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số tại Việt Nam

3.1.1. Ứng dụng giả mạo VNeID và các trang web giả mạo cơ quan nhà nước

Lợi dụng việc một số người dân chưa nắm bắt được các thông tin đến việc cài đặt và cập nhật thông tin trên ứng dụng VNeID, một số đối tượng đã tạo ra ứng dụng VNeID giả mạo với giao diện giống như ứng dụng VNeID thật của cơ quan nhà nước, sau đó phát triển và phân phối ứng dụng giả mạo trên các cửa hàng ứng dụng không chính thức. (Hình 1)

Ảnh 1. Ứng dụng giả mạo VNeID - Nguồn: Báo Điện tử tiếng nói Việt Nam VOV.
Hình 1: Hình ảnh ứng dụng giả mạo VNeID - Nguồn: Báo Điện tử tiếng nói Việt Nam VOV

Phần mềm độc hại khi được cài đặt vào máy nạn nhân thì kẻ tấn công sẽ có quyền: truy cập bộ nhớ, vị trí, danh bạ, ứng dụng,… đặc biệt là có quyền đọc, nhận và gửi tin nhắn SMS trên máy. Từ đó, các đối tượng lừa đảo dễ dàng kiểm soát được ứng dụng tài khoản ngân hàng trên điện thoại của người dân, chiếm đoạt các thông tin cá nhân và tài sản của người dân. (Hình 2)

Ảnh 2. Website giả mạo Bộ tài chính - Nguồn: Báo Điện tử Chính phủ.
Ảnh 2. Website giả mạo Bộ tài chính - Nguồn: Báo Điện tử Chính phủ.

Những tháng đầu năm 2025, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC, thuộc Cục An toàn thông tin) đã ghi nhận 125.593 địa chỉ website giả mạo cơ quan, tổ chức. [2] Các đối tượng sử dụng website giả mạo này để lừa đảo, gây thiệt hại cho người dân trên không gian mạng, đồng thời gây thiệt hại đến uy tín của chính cơ quan, tổ chức bị giả mạo.

3.1.2. Thông tin công khai không được kiểm soát

Trên các trang phản ánh ý kiến về dịch vụ công, thông tin cá nhân của người dân thường bị công khai trực tiếp, bao gồm căn cước công dân (CCCD), số điện thoại, địa chỉ nơi cư trú, tình trạng hôn nhân, hình ảnh cá nhân,… Việc này vô tình tạo điều kiện cho các đối tượng xấu thu thập dữ liệu cá nhân để trục lợi. Thông tin có thể bị lợi dụng cho các mục đích như lừa đảo, giả mạo danh tính, bán dữ liệu cho bên thứ ba hoặc sử dụng trong các hành vi phi pháp khác. (Hình 3)

Ảnh 3. Thông tin cá nhân của người dân bị công khai - Nguồn: Cổng Dịch vụ công Quốc gia.
Ảnh 3. Thông tin cá nhân của người dân bị công khai - Nguồn: Cổng Dịch vụ công Quốc gia.

Do đó, cần có các biện pháp bảo vệ thông tin cá nhân chặt chẽ hơn, chẳng hạn như ẩn hoặc mã hóa một phần dữ liệu nhạy cảm, giới hạn quyền truy cập vào thông tin cá nhân và nâng cao ý thức bảo mật cho người dân khi sử dụng dịch vụ công trực tuyến.

3.1.3. Chính sách quyền riêng tư chưa được đảm bảo

Tại Báo cáo kết quả rà soát, đánh giá cổng dịch vụ công cấp tỉnh từ góc độ người dùng năm 2024 do Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) và Chương trình Phát triển Liên Hợp Quốc (UNDP) tại Việt Nam thực hiện đã chỉ ra rằng, có đến 60 cổng dịch vụ công chưa đạt ở tiêu chí về bảo vệ dữ liệu cá nhân, quyền riêng tư; 39 cổng dịch vụ công chưa đạt ở tiêu chí về mức độ tiếp cận với người khuyết tật; hầu hết các cổng dịch vụ mới chỉ đạt mức trung bình về độ tương thích; không có cổng dịch vụ công nào đạt quá 50% số tiêu chí ở mức tốt. (Hình 4)

Bảo vệ dữ liệu cá nhân
Ảnh 4. Báo cáo Đánh giá 63 Cổng dịch vụ công cấp tỉnh từ góc độ người dùng năm 2024 - Nguồn: Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) và Chương trình Phát triển Liên Hợp Quốc (UNDP) tại Việt Nam.

Những con số này phản ánh thực trạng bảo vệ dữ liệu cá nhân chưa được quan tâm đúng mức, dẫn đến nguy cơ rò rỉ thông tin cá nhân của người dân, tạo cơ hội cho các đối tượng xấu khai thác dữ liệu phục vụ mục đích lừa đảo, mạo danh hoặc thương mại hóa dữ liệu trái phép.

3.2. Đánh giá kết quả áp dụng pháp luật bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số tại Việt Nam

3.2.1. Một số kết quả đã đạt được

Sự hoàn thiện không ngừng của khung pháp lý về bảo vệ dữ liệu cá nhân đã tác động tích cực đến nhận thức và hành vi của các cơ quan, tổ chức trong việc đảm bảo vệ dữ liệu cá nhân. Theo đó, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, đã bước đầu đặt nền móng cho hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam. Với Nghị định này, công dân có quyền được biết và được cung cấp thông tin chi tiết về các hoạt động xử lý dữ liệu cá nhân liên quan đến mình.

Trong 2 năm 2019 - 2020, Bộ Công an đã phát hiện hàng trăm cá nhân và tổ chức liên quan đến hoạt động mua bán dữ liệu cá nhân trái phép, đồng thời triệt phá thành công một số đường dây mua bán dữ liệu quy mô lớn. Theo đó, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan hành vi mua bán dữ liệu cá nhân, số lượng dữ liệu cá nhân bị thu thập và mua bán trái phép được phát hiện lên tới gần 1.300GB, bao gồm nhiều dữ liệu nội bộ và dữ liệu nhạy cảm.[3]

Trong bối cảnh yêu cầu cấp thiết về bảo vệ dữ liệu cá nhân của công dân, các cơ quan thuộc Chính phủ Việt Nam đang triển khai các biện pháp bảo vệ dữ liệu cá nhân dựa trên chức năng và nhiệm vụ được phân công. Tuy nhiên, việc phân công trách nhiệm bảo vệ dữ liệu cá nhân cho nhiều cơ quan dựa trên chức năng và nhiệm vụ được giao, trong khi thiếu một tổ chức chuyên trách, cho thấy sự cần thiết của việc xây dựng một khung pháp lý toàn diện, kết hợp với khung công nghệ tuân thủ và cơ chế giám sát, đánh giá hiệu quả.

Với nỗ lực hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam, Bộ Công an đang dự thảo Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân. Luật này được kỳ vọng sẽ thiết lập một hành lang pháp lý vững chắc, nâng cao năng lực bảo vệ dữ liệu cá nhân của các tổ chức và cá nhân trong nước, đồng thời thúc đẩy việc sử dụng dữ liệu cá nhân một cách hợp pháp để phục vụ phát triển kinh tế và xã hội.

3.2.2. Những tồn tại, hạn chế

a. Quy định trong Hiến pháp năm 2013 và pháp luật về bảo vệ dữ liệu cá nhân có sự chồng chéo

Hiện nay, hệ thống pháp luật Việt Nam mới chỉ có một văn bản quy phạm pháp luật ở cấp Nghị định, cụ thể là Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân, đưa ra định nghĩa về dữ liệu cá nhân và các quy định liên quan đến bảo vệ dữ liệu cá nhân. Thực trạng này dẫn đến phạm vi điều chỉnh của Nghị định chưa bao quát đầy đủ các lĩnh vực và quan hệ xã hội phức tạp, đồng thời chưa hoàn toàn tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân và bí mật gia đình được ghi nhận trong Hiến pháp năm 2013.

Theo khoản 2 Điều 14 Hiến pháp năm 2013, chỉ có văn bản luật được quyền quy định các nội dung liên quan tới hạn chế quyền con người, quyền công dân trong trường hợp cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an ninh xã hội, đạo đức xã hội, sức khỏe cộng đồng. Tuy nhiên, trong dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến quy định một số trường hợp liên quan tới xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu.

b. Sự thiếu đồng bộ trong chủ trương, chính sách của Đảng, Nhà nước về bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số

Hệ thống pháp luật Việt Nam ghi nhận sự tồn tại của 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân, song vẫn tồn tại sự thiếu thống nhất trong việc định nghĩa và xác định nội hàm của các khái niệm “dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân”. Cụ thể, có 10 thuật ngữ liên quan đến thông tin cá nhân, được diễn giải theo nhiều cách khác nhau, bao gồm: “dữ liệu cá nhân”, “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”, “thông tin cá nhân trên môi trường mạng”, “thông tin bí mật đời tư”, “thông tin về đời sống riêng tư”, “bí mật gia đình”, “quyền bất khả xâm phạm về đời sống riêng tư”, “cơ sở dữ liệu điện tử” và “thông tin của người tiêu dùng”. [4]

Mặc dù, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, nhằm đưa ra định nghĩa chính thức cho các khái niệm này. Tuy nhiên, do tính chất là một văn bản dưới luật, Nghị định vẫn cần được củng cố bằng một văn bản luật để đảm bảo tính thống nhất và hiệu lực trong thực tiễn áp dụng. Điều này đặt ra yêu cầu phải thống nhất về thuật ngữ “dữ liệu cá nhân” ở tầm văn bản Luật, bảo đảm sự đồng bộ về nội dung, phạm vi và cách thức trong trường hợp áp dụng cụ thể.

c. Công tác bảo vệ dữ liệu cá nhân chưa được chú trọng, quan tâm

Trong quá trình xây dựng Chính phủ số tại Việt Nam, dữ liệu cá nhân đóng vai trò then chốt, là nền tảng cho việc cung cấp các dịch vụ công trực tuyến và nâng cao hiệu quả hoạt động của cơ quan nhà nước. Tuy nhiên, thực tiễn cho thấy, công tác bảo vệ dữ liệu cá nhân của các chủ thể tham gia vào quá trình thu thập dữ liệu vẫn còn tồn tại nhiều hạn chế, đặt ra những thách thức đối với việc xây dựng một khung pháp lý vững chắc. Một số bộ, ngành, địa phương thuê dịch vụ hạ tầng công nghệ thông tin tiềm ẩn nhiều rủi ro về an ninh an toàn thông tin do chưa thực sự quản lý, kiểm soát được dữ liệu nhà nước trên hạ tầng của doanh nghiệp. [5]

3. Kinh nghiệm Singapore về bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số ở một số quốc gia trên thế giới

Trong quá khứ, Singapore từng là thuộc địa của Vương quốc Anh và chịu ảnh hưởng sâu sắc từ hệ thống pháp luật Anh theo truyền thống thông luật. Với sự kế thừa nền tảng pháp lý cũng như cách tiếp cận về bảo vệ dữ liệu cá nhân từ Anh, ngày 15/10/2012, Quốc hội Singapore đã thông qua Đạo luật Bảo vệ Dữ liệu Cá nhân năm 2012 (PDPA) được thiết kế để quản lý việc thu thập, sử dụng và tiết lộ dữ liệu cá nhân tại Singapore của bất kỳ tổ chức tư nhân nào, bao gồm cả những tổ chức không có trụ sở thực tế tại Singapore.

Singapore không chỉ đơn thuần sao chép mô hình từ Vương quốc Anh, mà còn phát huy và điều chỉnh linh hoạt để phù hợp với điều kiện khu vực châu Á và định hướng “quốc gia thông minh”. PDPA nhấn mạnh đến tính hợp lý của mục đích xử lý dữ liệu, cho phép các doanh nghiệp có không gian linh hoạt hơn trong hoạt động đổi mới và cung cấp dịch vụ. Bên cạnh đó, Singapore đã sớm đưa vào các nội dung mang tính cập nhật như xử lý dữ liệu không nhận dạng, báo cáo vi phạm dữ liệu bắt buộc, và cơ chế chấp thuận ngầm (deemed consent) – điều chưa phổ biến trong các phiên bản DPA cũ của Vương quốc Anh.

Để thực thi hiệu quả PDPA, một cơ quan quản lý trung ương chịu trách nhiệm thực thi Đạo luật đã được thành lập với tên gọi Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) với sự quản lý của Cơ quan Phát triển Truyền thông và Thông tin. Theo đó, PDPC có vai trò trung tâm trong việc bảo đảm rằng các tổ chức tại Singapore tuân thủ đúng quy định pháp luật về thu thập, sử dụng và chia sẻ dữ liệu cá nhân. PDPC có nhiều quyền hạn, bao gồm tiến hành điều tra để xác minh việc tuân thủ PDPA, ra lệnh cho một tổ chức ngừng thu thập hoặc tiết lộ dữ liệu, ra lệnh hủy dữ liệu và áp dụng các biện pháp trừng phạt tài chính. Một trong những đặc điểm nổi bật của PDPC là xây dựng và áp dụng các cơ chế linh hoạt như “Deemed Consent” hay “Data Protection Trustmark” – hệ thống chứng nhận cho tổ chức tuân thủ tốt quy định bảo vệ dữ liệu. PDPA đã tạo ra một Sổ đăng ký Không gọi điện (Sổ đăng ký DNC). Theo PDPA, bất kỳ cá nhân hoặc tổ chức nào bị kết tội gửi tin nhắn tiếp thị qua điện thoại đến các số điện thoại Singapore mà không kiểm tra Sổ đăng ký DNC sẽ phải chịu khoản tiền phạt lên tới 10.000 USD cho mỗi tin nhắn được gửi.

4. Giải pháp hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số

Một hệ thống pháp luật minh bạch, rõ ràng và phù hợp không chỉ bảo vệ quyền lợi của người dân mà còn tạo ra một môi trường thúc đẩy phát triển kinh tế - xã hội. Để tăng cường pháp chế trong lĩnh vực bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số tại Việt Nam, cần triển khai đồng bộ các giải pháp tổ chức - pháp lý, bao gồm:

Thứ nhất, xây dựng khung pháp lý thống nhất và toàn diện về “dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân”, tiến tới hoàn thiện dự thảo Luật Bảo vệ Dữ liệu cá nhân. Việc áp dụng thống nhất các thuật ngữ, quy định, nội hàm, phạm vi, nội dung và trách nhiệm liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân không chỉ góp phần hoàn thiện dự thảo Luật Bảo vệ Dữ liệu cá nhân, mà còn tạo ra một hành lang pháp lý vững chắc cho việc sử dụng dữ liệu cá nhân như một nguồn tài nguyên quan trọng trong kỷ nguyên số. Sự thống nhất này tạo điều kiện thuận lợi cho việc quản lý nhà nước, phòng ngừa và đấu tranh chống tội phạm, đồng thời bảo vệ quyền và lợi ích hợp pháp của công dân.

Thứ hai, cần hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân. Cụ thể, cần thiết lập các tiêu chuẩn và quy trình bảo vệ riêng biệt cho ba cấp độ dữ liệu, bao gồm: (1) Bảo vệ dữ liệu cá nhân cơ bản, bao gồm các thông tin và các thông tin khác mà việc tiết lộ có thể gây ra những tác động tiêu cực đáng kể cho chủ thể dữ liệu; và (3) Bảo vệ dữ liệu đặc biệt, bao gồm các thông tin có giá trị cao hoặc liên quan đến an ninh quốc gia, đòi hỏi các biện pháp bảo mật nghiêm ngặt nhất. Việc phân loại và áp dụng các biện pháp bảo vệ tương ứng sẽ giúp các cơ quan nhà nước có liên quan xác định rõ trách nhiệm và triển khai các giải pháp kỹ thuật, nghiệp vụ phù hợp, đảm bảo an toàn cho dữ liệu cá nhân ở mọi cấp độ.

Thứ ba, thành lập Ủy ban Bảo vệ Dữ liệu Cá nhân dựa trên mô hình PDPC của Singapore. PDPC là cơ quan chính phủ chịu trách nhiệm giám sát và thực thi PDPA tại Singapore. Ủy ban này đóng vai trò then chốt trong việc giám sát và xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, đồng thời đưa ra các hướng dẫn và khuyến nghị để nâng cao nhận thức và năng lực bảo vệ dữ liệu cá nhân của các tổ chức và cá nhân. Mặc dù Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, tiến tới xây dựng Luật Dữ liệu và Luật Bảo vệ Dữ liệu Cá nhân. Tuy nhiên, hiện tại, chưa có một cơ quan chuyên trách để giám sát, xử lý vi phạm và đảm bảo thực thi hiệu quả các quy định pháp luật liên quan. Việc thành lập một Ủy ban độc lập về bảo vệ dữ liệu cá nhân không chỉ là một xu thế tất yếu trong bối cảnh toàn cầu hóa hiện nay, mà còn là một biện pháp quan trọng để bảo vệ quyền lợi của công dân, nâng cao niềm tin vào Chính phủ số và đảm bảo an toàn thông tin trong kỷ nguyên số.

5. Kết luận

Vấn đề bảo vệ dữ liệu cá nhân không phải là một chủ đề nghiên cứu mới, nhưng trong bối cảnh chuyển đổi số và xây dựng Chính phủ số, vấn đề này đặt ra nhiều thách thức quan trọng về mặt pháp lý và thực tiễn. Nghiên cứu tập trung làm rõ các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân, so sánh với các tiêu chuẩn quốc tế và pháp luật của các quốc gia có hệ thống bảo vệ dữ liệu phát triển. Đặc biệt, nghiên cứu chỉ ra những vướng mắc trong việc thực thi pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam, nhất là trong quá trình số hóa các dịch vụ công. Đồng thời, nhóm tác giả đã xác định một số tình huống thực tế liên quan đến việc xử lý dữ liệu cá nhân trong các dịch vụ công trực tuyến, hệ thống cơ sở dữ liệu quốc gia và các nền tảng số do cơ quan nhà nước quản lý. Kết quả nghiên cứu giúp cung cấp cái nhìn toàn diện hơn về khung pháp lý bảo vệ dữ liệu cá nhân trong quá trình xây dựng Chính phủ số ở Việt Nam, từ đó đưa ra những khuyến nghị thiết thực cho các nhà hoạch định chính sách, chuyên gia pháp lý và các bên liên quan nhằm tăng cường bảo vệ quyền riêng tư trong xây dựng Chính phủ số.

 

Tài liệu trích dẫn:

1. Organisation for Economic Co-operation and Development (OECD) (2014). Recommendation of the Council on Digital Government.

2. Hồng Sơn (2025). Phát hiện hơn 125.000 website giả mạo cơ quan, tổ chức để lừa đảo. Thời báo Ngân hàng. <https://thoibaonganhang.vn/phat-hien-hon-125000-website-gia-mao-co-quan-to-chuc-de-lua-dao-160630.html> truy cập ngày 19/02/2025.

3. Quý Nguyên (2023). Phát hiện số lượng lớn dữ liệu cá nhân bị thu thập, mua bán trái phép. Tạp chí điện tử Luật sư Việt Nam. Truy cập tại <https://lsvn.vn/phat-hien-gan-1-300-gb-voi-hang-ti-du-lieu-ca-nhan-bi-thu-thap-mua-ban-trai-phep-1686148396-a131335.html>.

4. Nguyễn Hương & Phạm Huyền (2024). Cần thiết xây dựng, ban hành Luật Bảo vệ dữ liệu cá nhân. Báo Công an Nhân dân. <https://cand.com.vn/van-de-hom-nay-thoi-su/can-thiet-xay-dung-ban-hanh-luat-bao-ve-du-lieu-ca-nhan-bai-cuoi--i724905/>, truy cập ngày 12/12/2024.

5. Bộ Công an (2024). Dự thảo Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân.

Tài liệu tham khảo:

1. Chính phủ (2013). Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân.

2. Quốc hội (2013). Hiến pháp năm 2013.

3. Quốc hội (2015). Bộ luật Dân sự năm 2015, sửa đổi, bổ sung năm 2021.

4. Quốc hội (2015). Bộ luật Hình sự năm 2015, sửa đổi, bổ sung năm 2017.

5. Quốc hội (2015). Luật An toàn thông tin mạng năm 2015.

6. Quốc hội (2024). Dự thảo Luật Dữ liệu.

7. Quốc hội (2025). Dự thảo Luật Bảo vệ dữ liệu cá nhân.

8. Thủ tướng Chính phủ (2021). Quyết định số 942/QĐ-TTg về Phê duyệt Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021 - 2025, định hướng đến năm 2030.

9. Parliament of Singapore (2012). Personal Data Protection Act 2012 of Singapore.

The Minister for Communications and Information (2013). Personal Data Protection (Do Not Call Registry) Regulations 2013 of Singapore.

10. Anh Thư (2025). Đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội, Cổng thông tin điện tử Bộ Tư pháp, truy cập tại <https://moj.gov.vn/qt/tintuc/Pages/hoat-dong-cua-lanh-dao-bo.aspx?ItemID=6809>.

11. Bộ Công an (2024). Báo cáo Đánh giá tác động của chính sách đề nghị xây dựng Luật Dữ liệu.

12. Bộ Công an (2024). Dự thảo Báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân.

13. Duy Phong (2024). Đặt nền móng góp phần hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam, Tạp chí Tuyên giáo, truy cập tại <https://www.tuyengiao.vn/dat-nen-mong-gop-phan-hoan-thien-he-thong-phap-luat-ve-bao-ve-du-lieu-ca-nhan-cua-viet-nam-154624>.

14. Đỗ Thị Tâm (2023). Cơ hội, thách thức trong xây dựng chính phủ điện tử hướng tới chính phủ số ở Việt Nam hiện nay, Tạp chí Quản lý Nhà nước, truy cập tại <https://www.quanlynhanuoc.vn/2023/04/27/co-hoi-thach-thuc-trong-xay-dung-chinh-phu-dien-tu-huong-toi-chinh-phu-so-o-viet-nam-hien-nay/>.

15. Hoàng Thị Kim Chi (2023). Thực trạng và giải pháp xây dựng chính phủ điện tử hướng tới chính phủ số ở Việt Nam. Tạp chí Tổ chức nhà nước. Số 10, tr.21-24.

16. Minh Hiển (2024). Hoàn thiện hàng lang pháp lý, nâng cao năng lực bảo vệ dữ liệu cá nhân, Báo Điện tử Chính phủ, Truy cập tại <https://baochinhphu.vn/hoan-thien-hang-lang-phap-ly-nang-cao-nang-luc-bao-ve-du-lieu-ca-nhan-102240926111856533.htm>.

17. Mai Tiến Dũng (2018). Xây dựng Chính phủ điện tử hướng tới Chính phủ số và nền kinh tế số ở Việt Nam, Cổng Thông tin điện tử Chính phủ, truy cập tại <https://egov.chinhphu.vn/xay-dung-chinh-phu-dien-tu-huong-toi-chinh-phu-so-va-nen-kinh-te-so-o-viet-nam-a-NewsDetails-37599-14-186.html>.

18. Quỳnh Nga (2022). Lộ dữ liệu cá nhân gia tăng: Trách nhiệm thuộc về ai? Báo Công Thương. Truy cập tại <https://congthuong.vn/lo-du-lieu-ca-nhan-gia-tang-trach-nhiem-thuoc-ve-ai-215187.html>.

19. Ủy ban quốc gia về Chuyển đổi số (2023). Báo cáo về Chuyển đổi số năm 2023 của Bộ Thông tin và Truyền thông - Cơ quan thường trực.

20. Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) và Chương trình Phát triển Liên Hợp quốc (UNDP) tại Việt Nam (2024). Báo cáo Đánh giá 63 Cổng dịch vụ công (DVC) cấp tỉnh từ góc độ người dùng năm 2024.

21. Ủy ban quốc gia về Chuyển đổi số (2023). Báo cáo về Chuyển đổi số năm 2023 của Bộ Thông tin và Truyền thông - Cơ quan thường trực.

22. Ee-ing Ong (2020). Singapore Report: Data Protection in the Internet. In: Moura Vicente, D., de Vasconcelos Casimiro, S. (eds) Data Protection in the Internet. Ius Comparatum - Global Studies in Comparative Law, vol 38. Springer, Cham. <https://doi.org/10.1007/978-3-030-28049-9_13>.

23. N.Ganesan (1996). Democracy in Singapore. Asian Journal of Political Science, 4(2), 63-79. <https://doi.org/10.1080/02185379608434084>

The legal framework for personal data protection in the context of digital government development in Vietnam

 

Nguyen Minh Thu1

Do Thi Kim Luong1

Tran Thi Thanh Mai1

1University of Law, Vietnam National University - Hanoi

Abstract:

In the digital age, personal data has become not only a valuable individual asset but also a critical foundation for building a digital government. However, the protection of personal data in Vietnam faces growing challenges amidst the country's rapid digital transformation. Incidents of data breaches are on the rise, posing serious threats to individual rights and damaging the reputation of the Government. This highlights the urgent need for a comprehensive, stringent, and effective legal framework for personal data protection. Such a framework would safeguard citizens' legitimate rights and interests while fostering a secure business environment, attracting investment, and supporting the development of the digital economy. This study examines the current status of personal data protection in Vietnam, identifies key challenges, and proposes legal and policy solutions to strengthen personal data protection in the context of digital government development.

Keywords: personal data, digital government, digital transformation, legal framework, data protection, data breach.