Sự bùng nổ của kỷ nguyên số và các công nghệ đột phá như Trí tuệ nhân tạo (AI), Dữ liệu lớn (Big Data), Chuỗi khối (Blockchain), Vũ trụ ảo (Metaverse) và Điện toán đám mây (Cloud) đang đặt ra những thách thức chưa từng có đối với quyền an toàn thông tin và quyền riêng tư của công dân. Khối lượng dữ liệu khổng lồ được thu thập mỗi ngày trở thành nguồn tài nguyên vô giá nhưng cũng tiềm ẩn nguy cơ rò rỉ, thao túng và định hình hành vi người dùng ngoài tầm kiểm soát.
Để thiết lập một hành lang pháp lý vững chắc, thiết lập ranh giới vận hành an toàn cho các công nghệ tương lai, Quốc hội đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân 2025 và sẽ chính thức có hiệu lực thi hành từ ngày 01/01/2026. Một trong những điểm nhấn cốt lõi, mang tính chất bước ngoặt của đạo luật này là quy định bắt buộc phải phân loại các hệ thống AI theo mức độ rủi ro trước khi tiến hành xử lý dữ liệu cá nhân.
Bước ngoặt pháp lý: Kiểm soát rủi ro từ các hệ thống trí tuệ nhân tạo và công nghệ cao
Theo quy định tại Điều 30 Luật Bảo vệ dữ liệu cá nhân 2025, việc quản trị, khai thác và vận hành thông tin trong môi trường công nghệ cao không còn là không gian tự do của các nhà phát triển, mà đã bị siết chặt bởi các tiêu chí kỹ thuật và đạo đức nghiêm ngặt:
- Bắt buộc phân loại rủi ro hệ thống: Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo không còn được triển khai đại trà theo cơ chế chung hay áp dụng chung một bộ quy tắc lỏng lẻo. Doanh nghiệp, tổ chức nghiên cứu và phát triển AI bắt buộc phải thực hiện phân loại theo mức độ rủi ro (từ thấp, trung bình đến cao và đặc biệt nghiêm trọng) để từ đó xây dựng, tích hợp các biện pháp bảo vệ tương ứng với từng cấp độ.
- Nguyên tắc giới hạn và bảo mật thiết kế (Privacy by Design): Dữ liệu cá nhân nằm trong các môi trường công nghệ phức tạp như dữ liệu lớn, AI, chuỗi khối, vũ trụ ảo và điện toán đám mây chỉ được phép xử lý đúng mục đích ban đầu đã cam kết và giới hạn trong phạm vi tối thiểu cần thiết. Hệ thống vận hành phải được tích hợp sẵn các giải pháp mã hóa, bảo mật nền tảng ngay từ khâu thiết kế, sử dụng phương thức xác thực, định danh phù hợp và cơ chế phân quyền truy cập nghiêm ngặt.
- Rào cản đạo đức và an ninh quốc gia: Luật cấm tuyệt đối việc sử dụng, phát triển hoặc thương mại hóa các hệ thống xử lý dữ liệu lớn, AI, chuỗi khối, vũ trụ ảo hay điện toán đám mây có hành vi dùng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội. Đồng thời, quá trình xử lý và thuật toán ra quyết định phải phù hợp với chuẩn mực đạo đức, văn hóa và thuần phong mỹ tục của Việt Nam, không được tạo ra sự phân biệt đối xử hoặc định kiến xã hội.
Sáu nguyên tắc tối cao về bảo vệ dữ liệu cá nhân
Mọi hoạt động thu thập, phân tích, lưu trữ và chia sẻ thông tin số tại Việt Nam kể từ mốc thời gian này đều phải vận hành xoay quanh 6 nguyên tắc nền tảng được quy định cốt lõi tại Điều 3:
Nguyên tắc hợp pháp và minh bạch: Tuân thủ toàn diện quy định của Hiến pháp, Luật Bảo vệ dữ liệu cá nhân 2025 và các văn bản hướng dẫn liên quan. Chủ thể dữ liệu phải được thông báo đầy đủ về việc ai đang xử lý dữ liệu của mình, xử lý như thế nào và có quyền kiểm soát nguồn thông tin đó.
Nguyên tắc mục đích và giới hạn lưu trữ: Chỉ được thu thập, xử lý dữ liệu đúng phạm vi, mục đích cụ thể, rõ ràng đã được đồng ý trước. Dữ liệu phải đảm bảo tính chính xác, được chỉnh sửa, cập nhật, bổ sung khi cần thiết và chỉ được lưu trữ trong khoảng thời gian phù hợp để hoàn thành mục đích xử lý, trừ các trường hợp đặc biệt do pháp luật chuyên ngành quy định.
Nguyên tắc chủ động phòng ngừa và thực thi đồng bộ: Tổ chức vận hành phải kết hợp chặt chẽ các biện pháp về thể chế nội bộ, giải pháp kỹ thuật công nghệ tiên tiến và đào tạo nhận thức con người để chủ động phát hiện, ngăn chặn, đấu tranh xử lý nghiêm minh mọi hành vi vi phạm. Quá trình này phải đảm bảo hài hòa quyền lợi của chủ thể dữ liệu với lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội lành mạnh.
Lộ trình áp dụng và cơ chế miễn trừ, ưu đãi cho nhóm doanh nghiệp SME, Startup
Hiểu rõ việc áp dụng các tiêu chuẩn công nghệ và bảo mật dữ liệu khắt khe có thể tạo ra gánh nặng lớn về chi phí tuân thủ (compliance cost) đối với các doanh nghiệp vừa và nhỏ, Luật thiết lập một cơ chế chuyển tiếp và miễn trừ rất linh hoạt tại Điều khoản thi hành nhằm cân bằng giữa an toàn dữ liệu và động lực phát triển kinh tế:
Nhóm doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp (Startup)
Được quyền chủ động lựa chọn thực hiện hoặc không thực hiện một số quy định kiểm soát chuyên sâu liên quan đến nhân sự bảo vệ dữ liệu và đánh giá tác động (cụ thể tại Điều 21, Điều 22 và khoản 2 Điều 33) trong thời gian tối đa là 05 năm kể từ ngày Luật có hiệu lực thi hành (tức đến hết năm 2030).
Nhóm hộ kinh doanh và doanh nghiệp siêu nhỏ
Được miễn trừ hoàn toàn và lâu dài việc thực hiện các quy định thủ tục phức tạp tại Điều 21, Điều 22 và khoản 2 Điều 33 nhằm tập trung tối đa nguồn lực vào hoạt động sản xuất kinh doanh cốt lõi, giảm thiểu các thủ tục hành chính không cần thiết.
Điều kiện loại trừ (Bắt buộc tuân thủ, không có ngoại lệ)
Cơ chế ưu đãi hoặc miễn trừ nêu trên sẽ ngay lập tức mất hiệu lực đối với bất kỳ hộ kinh doanh hay doanh nghiệp nhỏ/siêu nhỏ nào nếu họ rơi vào các trường hợp kinh doanh đặc thù sau:
- Kinh doanh dịch vụ xử lý dữ liệu cá nhân chuyên nghiệp (các công ty dịch vụ dữ liệu, marketing, cung cấp giải pháp phần mềm trung gian).
- Trực tiếp xử lý các nguồn dữ liệu cá nhân mang tính chất nhạy cảm (như thông tin y tế, hồ sơ tài chính, dữ liệu sinh trắc học khuôn mặt/vân tay, vị trí thời gian thực, quan hệ gia đình).
- Xử lý dữ liệu cá nhân với quy mô số lượng lớn chủ thể dữ liệu (vượt quá ngưỡng quy định của Chính phủ đối với tệp khách hàng hoặc người dùng hệ thống).
Cẩm nang hành động dành cho doanh nghiệp trước giờ G (01/01/2026)
Để không rơi vào thế bị động và tránh các chế tài phạt tiền nặng nề từ Luật sửa đổi Luật Xử lý vi phạm hành chính (với mức phạt có thể lên đến hàng trăm triệu đồng hoặc tính theo tỷ lệ doanh thu tùy thuộc vào luật chuyên ngành tương ứng), các doanh nghiệp cần lập tức triển khai lộ trình rà soát hệ thống theo các bước sau:
- Bước 1: Kiểm toán dữ liệu nội bộ (Data Audit): Xác định rõ doanh nghiệp đang thu thập những loại dữ liệu nào, lưu trữ ở đâu (On-premise hay Cloud), ai có quyền truy cập và dữ liệu đó có thuộc nhóm “dữ liệu cá nhân nhạy cảm” hay không.
- Bước 2: Đánh giá và phân loại rủi ro mô hình AI: Nếu doanh nghiệp có sử dụng các thuật toán máy học (Machine Learning) hoặc AI để chấm điểm tín dụng, gợi ý sản phẩm, phân tích hành vi khách hàng, cần phối hợp với bộ phận công nghệ để phân loại mức độ rủi ro của thuật toán theo quy định tại Điều 30.
- Bước 3: Triển khai giải pháp kỹ thuật bảo mật: Tích hợp các biện pháp mã hóa dữ liệu tự động, thiết lập cơ chế định danh, xác thực đa yếu tố (MFA) cho nhân sự tiếp cận dữ liệu và xây dựng quy trình ứng phó khẩn cấp khi xảy ra sự cố rò rỉ thông tin.
- Bước 4: Chuẩn hóa văn bản pháp lý và chính sách bảo mật: Cập nhật lại toàn bộ Điều khoản sử dụng dịch vụ (Terms of Service), Chính sách bảo mật (Privacy Policy) trên website/ứng dụng và mẫu hợp đồng lao động để đảm bảo có sự đồng ý rõ ràng, tự nguyện của chủ thể dữ liệu trước khi xử lý.
Bảng tổng hợp đối chiếu nghĩa vụ tuân thủ theo quy mô doanh nghiệp
| Tiêu chí phân loại doanh nghiệp | Nghĩa vụ áp dụng Điều 21, 22, 33(2) | Thời hạn thực thi | Điều kiện ràng buộc bắt buộc |
| Doanh nghiệp lớn / Tập đoàn | Bắt buộc tuân thủ 100% | Từ ngày 01/01/2026 | Không có ngoại lệ. |
| Doanh nghiệp nhỏ / Startup | Được quyền lựa chọn thực hiện | Miễn trừ có thời hạn 05 năm (Đến 31/12/2030) | Phải dừng miễn trừ nếu xử lý dữ liệu nhạy cảm hoặc xử lý quy mô lớn. |
| Doanh nghiệp siêu nhỏ / Hộ kinh doanh | Miễn trừ hoàn toàn | Lâu dài (Sau ngày 01/01/2026) | Phải dừng miễn trừ nếu kinh doanh dịch vụ xử lý dữ liệu chuyên nghiệp. |
Ý kiến chuyên gia: Việc phân tách rõ ràng nghĩa vụ theo quy mô và lĩnh vực hoạt động thể hiện tư duy lập pháp mang tính thực tiễn cao, một mặt siết chặt quản lý các kẽ hở công nghệ lớn, mặt khác nuôi dưỡng không gian đổi mới sáng tạo cho các doanh nghiệp khởi nghiệp công nghệ số tại Việt Nam.