Improving state management of online personal data protection in China
Yuan Jun
Công ty Luật TNHH Nhật Doanh (Shanghai-China)
(Quanlynhanuoc.vn) – Bài viết phân tích cơ sở lý luận, khung pháp luật và thực tiễn quản lý nhà nước về bảo vệ dữ liệu cá nhân trên mạng ở Trung Quốc, trên cơ sở cập nhật các văn bản chính thức đến ngày 05/6/2026, gồm Luật Bảo vệ thông tin cá nhân năm 2021, Luật An ninh dữ liệu năm 2021, Luật An ninh mạng sửa đổi, bổ sung năm 2025 có hiệu lực từ ngày 01/01/2026, quy định quản lý an ninh dữ liệu mạng có hiệu lực từ ngày 01/01/2025, biện pháp kiểm toán tuân thủ bảo vệ thông tin cá nhân có hiệu lực từ ngày 01/5/2025, biện pháp quản lý an toàn ứng dụng công nghệ nhận diện khuôn mặt có hiệu lực từ ngày 01/6/2025, biện pháp quản lý dịch vụ công về xác thực danh tính mạng quốc gia có hiệu lực từ ngày 15/7/2025, biện pháp chứng nhận xuất cảnh thông tin cá nhân có hiệu lực từ ngày 01/01/2026 và biện pháp tạm thời quản lý dịch vụ tương tác nhân cách hóa bằng trí tuệ nhân tạo ban hành tháng 4/2026. Từ đó đề xuất giải pháp hoàn thiện quản lý nhà nước theo hướng dựa trên rủi ro, trách nhiệm giải trình, phối hợp liên ngành và cân bằng giữa việc bảo vệ quyền cá nhân, bảo đảm an ninh dữ liệu và thúc đẩy lưu thông dữ liệu hợp pháp.
Từ khóa: Bảo vệ dữ liệu cá nhân; thông tin cá nhân; quản lý nhà nước; Trung Quốc; an ninh dữ liệu; quản trị số; trí tuệ nhân tạo.
Abstract: This article analyses the theoretical foundations, legal framework, and state management practices of online personal data protection in China, based on official legal and policy documents updated as of 5 June 2026. It covers the Personal Information Protection Law 2021, the Data Security Law 2021, the amended Cybersecurity Law effective from 1 January 2026, the Network Data Security Management Regulation effective from 1 January 2025, the Personal Information Protection Compliance Audit Measures effective from 1 May 2025, the Facial Recognition Technology Application Security Management Measures effective from 1 June 2025, the National Network Identity Authentication Public Service Measures effective from 15 July 2025, the Personal Information Outbound Certification Measures effective from 1 January 2026, and the 2026 Interim Measures on AI Anthropomorphic Interaction Services. The article identifies implementation challenges and proposes solutions to improve state management, grounded in risk governance, accountability, inter-agency coordination, and a balance among individual rights, data security, and lawful data flows.
Keywords: Personal data protection; personal information; state management; China; data security; digital governance; artificial intelligence.
1. Đặt vấn đề
Sự phát triển của Internet, nền tảng số, thương mại điện tử, trí tuệ nhân tạo và chính phủ số đã khiến dữ liệu cá nhân trở thành một nguồn lực đặc biệt trong quản trị quốc gia hiện đại. Ở Trung Quốc, quy mô người dùng Internet rất lớn, khiến vấn đề bảo vệ dữ liệu cá nhân trên mạng có ý nghĩa không chỉ ở phương diện quyền riêng tư mà còn ở phương diện an ninh dữ liệu, trật tự thị trường, niềm tin xã hội và năng lực cạnh tranh của nền kinh tế số. Theo thông tin công bố dựa trên báo cáo thống kê lần thứ 56 về phát triển internet của Trung Quốc, tính đến tháng 6/2025, Trung Quốc có khoảng 1,123 tỷ người dùng internet, tỷ lệ phổ cập internet đạt 79,7% và số trạm 5G đạt khoảng 4,55 triệu1. Quy mô này cho thấy, mọi thay đổi trong quản trị dữ liệu cá nhân tại Trung Quốc đều có tác động xã hội rất lớn.
Trong môi trường mạng, dữ liệu cá nhân không còn chỉ là các thông tin định danh truyền thống, như: họ tên, số định danh, địa chỉ, số điện thoại hoặc ảnh chân dung. Dữ liệu cá nhân còn bao gồm địa chỉ IP, định danh thiết bị, dữ liệu vị trí, cookie, lịch sử truy cập, dữ liệu giao dịch, hồ sơ hành vi, dữ liệu sinh trắc học, dữ liệu sức khỏe, dữ liệu trẻ em và dữ liệu suy đoán được tạo ra từ phân tích bằng thuật toán. Dữ liệu càng được kết nối, xử lý và phân tích tự động thì khả năng tạo giá trị càng lớn, nhưng rủi ro xâm phạm quyền cá nhân, phân biệt đối xử, lừa đảo, đánh cắp danh tính và lạm dụng thương mại cũng tăng lên.
Bài viết sử dụng phương pháp phân tích, tổng hợp các tài liệu, văn bản chính thức của Trung Quốc và các thông tin được công bố trên Cổng thông tin của Quốc vụ viện, Tân Hoa Xã, Trung tâm Thông tin mạng Internet Trung Quốc và Văn phòng Ủy ban An ninh mạng và Thông tin hóa Trung ương. Các tài liệu cập nhật sau ngày 05/6/2026 chưa được đưa vào phạm vi rà soát của bài viết.
2. Cơ sở lý luận về quản lý nhà nước đối với bảo vệ dữ liệu cá nhân trên mạng
Từ góc độ quản lý nhà nước, bảo vệ dữ liệu cá nhân trên mạng là hoạt động của Nhà nước nhằm xây dựng và tổ chức thực thi hệ thống nguyên tắc, tiêu chuẩn, quyền, nghĩa vụ, cơ chế giám sát và chế tài đối với toàn bộ quá trình xử lý dữ liệu cá nhân trong môi trường số. Nội dung bao gồm: quản lý việc thu thập, lưu trữ, sử dụng, phân tích, chia sẻ, chuyển giao, công khai, xóa, ẩn danh hóa và bảo mật dữ liệu cá nhân; đồng thời bảo đảm chủ thể dữ liệu có khả năng biết, đồng ý, truy cập, chỉnh sửa, rút lại sự đồng ý, yêu cầu xóa, khiếu nại và yêu cầu bồi thường khi quyền bị xâm phạm.
Bảo vệ dữ liệu cá nhân có quan hệ chặt chẽ nhưng không đồng nhất với việc bảo vệ quyền riêng tư. Bảo vệ dữ liệu cá nhân rộng hơn vì điều chỉnh toàn bộ chu trình dữ liệu, kể cả những dữ liệu không hoàn toàn bí mật nhưng có khả năng nhận diện hoặc tác động đến một cá nhân. Vì vậy, trong môi trường mạng, ngay cả dữ liệu tưởng như thông thường, như: số điện thoại, tài khoản nền tảng, vị trí truy cập, hành vi tiêu dùng hoặc lịch sử tìm kiếm vẫn có thể trở thành dữ liệu rủi ro cao nếu được kết hợp, phân tích và sử dụng cho mục đích ngoài dự kiến.
Quản lý nhà nước về bảo vệ dữ liệu cá nhân cần được đặt trong mối quan hệ ba chiều. (1) Bảo vệ quyền và lợi ích hợp pháp của cá nhân, nhất là quyền tự chủ thông tin, quyền được biết, quyền kiểm soát và quyền được cứu trợ. (2) Bảo đảm an ninh dữ liệu, an ninh mạng và trật tự quản lý quốc gia, đặc biệt đối với dữ liệu quan trọng, dữ liệu quy mô lớn và dữ liệu do cơ quan nhà nước nắm giữ. (3) Thúc đẩy lưu thông dữ liệu hợp pháp để phục vụ đổi mới sáng tạo, thương mại số, dịch vụ công trực tuyến, trí tuệ nhân tạo và phát triển kinh tế số.
Nếu chỉ nhấn mạnh quyền cá nhân mà thiếu cơ chế lưu thông dữ liệu, chính sách có thể làm tăng chi phí tuân thủ và cản trở sự đổi mới. Ngược lại, nếu chỉ coi dữ liệu là nguồn lực phát triển mà xem nhẹ quyền của chủ thể dữ liệu, xã hội có thể đối mặt với tình trạng thu thập dữ liệu quá mức, giám sát thương mại, mua bán dữ liệu trái phép, định giá phân biệt và suy giảm niềm tin vào chính phủ số. Do đó, yêu cầu trung tâm của quản lý nhà nước là cân bằng giữa bảo vệ và khai thác, giữa an toàn và phát triển, giữa quản lý tập trung và trách nhiệm giải trình của từng chủ thể xử lý dữ liệu.
3. Khung pháp luật và mô hình quản lý nhà nước về bảo vệ dữ liệu cá nhân trên mạng ở Trung Quốc
3.1. Hệ thống pháp luật theo hướng kết hợp quyền cá nhân, an ninh dữ liệu và quản trị nền tảng
Trung Quốc xây dựng hệ thống pháp luật về bảo vệ dữ liệu cá nhân trên cơ sở 3 trụ cột chính: Luật An ninh mạng, Luật An ninh dữ liệu và Luật Bảo vệ thông tin cá nhân. Luật Bảo vệ thông tin cá nhân năm 2021 xác định mục tiêu bảo vệ quyền và lợi ích liên quan đến thông tin cá nhân, quy phạm về hoạt động xử lý thông tin cá nhân và thúc đẩy việc sử dụng thông tin cá nhân hợp lý. Luật này định nghĩa thông tin cá nhân là các loại thông tin được ghi nhận bằng phương thức điện tử hoặc phương thức khác liên quan đến thể nhân đã được nhận diện hoặc có thể được nhận diện, không bao gồm thông tin đã được ẩn danh hóa; đồng thời coi xử lý thông tin cá nhân là các hoạt động thu thập, lưu trữ, sử dụng, gia công, truyền dẫn, cung cấp, công khai và xóa thông tin.
Luật An ninh dữ liệu năm 2021 có phạm vi rộng hơn, đặt dữ liệu trong mối quan hệ với an ninh quốc gia, lợi ích phát triển và quản trị dữ liệu. Luật này định nghĩa dữ liệu là mọi ghi nhận thông tin bằng phương thức điện tử hoặc phương thức khác; xử lý dữ liệu bao gồm thu thập, lưu trữ, sử dụng, gia công, truyền dẫn, cung cấp và công khai; đồng thời xác lập nguyên tắc phát triển và an ninh song hành. Đáng chú ý, luật quy định các cơ quan quản lý ngành, lĩnh vực có trách nhiệm giám sát dữ liệu thuộc phạm vi quản lý của mình, còn cơ quan quản lý không gian mạng có vai trò điều phối quản lý an ninh dữ liệu mạng.
Luật An ninh mạng được thông qua năm 2016 và sửa đổi theo quyết định ngày 28/10/2025, có hiệu lực theo bản sửa đổi từ ngày 01/01/2026, tiếp tục giữ vai trò nền tảng trong quản lý an ninh mạng, dữ liệu mạng và bảo vệ thông tin cá nhân. Bản sửa đổi 2025 đáng chú ý vì chính thức đưa nội dung về an toàn và phát triển trí tuệ nhân tạo vào hệ thống pháp luật an ninh mạng, đồng thời nhấn mạnh việc sử dụng trí tuệ nhân tạo và công nghệ mới nhằm nâng cao năng lực bảo vệ an ninh mạng.
Bên cạnh ba đạo luật nêu trên, quy định quản lý an ninh dữ liệu mạng của Quốc vụ viện được ban hành năm 2024 và có hiệu lực từ ngày 01/01/2025 là văn bản quan trọng, giúp cụ thể hóa việc quản lý an ninh dữ liệu mạng. Quy định này xác lập mục tiêu quy phạm hoạt động xử lý dữ liệu mạng, bảo đảm an ninh dữ liệu mạng, thúc đẩy sử dụng dữ liệu hợp pháp, hợp lý và hiệu quả; đồng thời áp dụng cho hoạt động xử lý dữ liệu mạng trong lãnh thổ Trung Quốc và trong một số trường hợp xử lý dữ liệu cá nhân của thể nhân Trung Quốc ở ngoài lãnh thổ Trung Quốc.
3.2. Nguyên tắc xử lý thông tin cá nhân và quyền của chủ thể dữ liệu
Luật Bảo vệ thông tin cá nhân năm 2021 của Trung Quốc đặt ra các nguyên tắc cơ bản như hợp pháp, chính đáng, cần thiết, thiện chí; mục đích xử lý phải rõ ràng, hợp lý, liên quan trực tiếp đến mục đích xử lý; việc thu thập thông tin phải giới hạn trong phạm vi tối thiểu cần thiết và không được thu thập quá mức. Các nguyên tắc này cho thấy, Trung Quốc đã chuyển từ cách tiếp cận bảo mật kỹ thuật đơn thuần sang cách tiếp cận quản trị toàn bộ vòng đời thông tin cá nhân.
Luật cũng thiết lập các căn cứ xử lý thông tin cá nhân, trong đó có sự đồng ý của cá nhân, yêu cầu cần thiết để giao kết hoặc thực hiện hợp đồng mà cá nhân là một bên, thực hiện nghĩa vụ pháp định, ứng phó tình huống khẩn cấp về y tế công cộng hoặc bảo vệ tính mạng, sức khỏe, tài sản, hoạt động báo chí, giám sát dư luận vì lợi ích công trong phạm vi hợp lý và các căn cứ khác do pháp luật quy định. Cách quy định này giúp tránh việc tuyệt đối hóa sự đồng ý, nhưng vẫn yêu cầu mọi hoạt động xử lý phải có căn cứ hợp pháp.
Đối với thông tin cá nhân nhạy cảm, thông tin trẻ em, thông tin sinh trắc học và thông tin có thể gây ảnh hưởng lớn đến quyền lợi cá nhân, yêu cầu quản lý phải cao hơn. Việc quản lý theo mức độ rủi ro là cần thiết vì dữ liệu vị trí thời gian thực, dữ liệu khuôn mặt, dữ liệu sức khỏe, dữ liệu tài chính và dữ liệu của trẻ em, nếu bị lộ hoặc lạm dụng, có thể dẫn đến hậu quả nghiêm trọng hơn so với dữ liệu định danh cơ bản. Vì vậy, việc hoàn thiện quản lý nhà nước không thể chỉ dừng ở việc ban hành quy định chung, mà cần xây dựng quy trình cụ thể cho từng nhóm dữ liệu có rủi ro cao.
Một điểm đáng chú ý trong mô hình Trung Quốc là việc nhấn mạnh trách nhiệm của người xử lý thông tin cá nhân. Theo Luật Bảo vệ thông tin cá nhân, người xử lý thông tin cá nhân phải chịu trách nhiệm về hoạt động xử lý của mình và áp dụng các biện pháp cần thiết để bảo đảm an toàn thông tin cá nhân. Đây là cơ sở để phát triển các công cụ quản lý mới như đánh giá tác động, kiểm toán tuân thủ, chứng nhận, báo cáo sự cố, xử phạt và yêu cầu khắc phục.
3.3. Kiểm toán tuân thủ và chuyển từ quản lý sự vụ sang quản trị rủi ro
Biện pháp kiểm toán tuân thủ bảo vệ thông tin cá nhân do Văn phòng Quản lý không gian mạng Trung Quốc ban hành vào tháng 02/2025, có hiệu lực từ ngày 01/5/2025, là bước cập nhật quan trọng trong cơ chế thực thi. Văn bản này định nghĩa kiểm toán tuân thủ bảo vệ thông tin cá nhân là hoạt động giám sát nhằm kiểm tra, đánh giá việc xử lý thông tin cá nhân có tuân thủ pháp luật và quy định hành chính hay không.
Điểm mới của văn bản là yêu cầu người xử lý thông tin cá nhân tự tổ chức hoặc ủy thác cho tổ chức chuyên môn thực hiện kiểm toán định kỳ; riêng chủ thể xử lý thông tin cá nhân của hơn 10 triệu người phải thực hiện kiểm toán ít nhất 2 năm một lần. Cơ quan có chức năng bảo vệ thông tin cá nhân có thể yêu cầu kiểm toán bởi tổ chức chuyên môn khi phát hiện hoạt động xử lý có rủi ro lớn, có khả năng xâm hại quyền lợi của nhiều cá nhân hoặc khi xảy ra sự cố an toàn làm rò rỉ, sửa đổi, mất mát, hủy hoại thông tin cá nhân của từ 1 triệu người trở lên hoặc thông tin cá nhân nhạy cảm của từ 100 nghìn người trở lên2.
Về phương diện quản lý nhà nước, quy định kiểm toán tuân thủ cho thấy, Trung Quốc đang chuyển từ mô hình xử lý vi phạm sau sự cố sang mô hình phòng ngừa, đánh giá rủi ro và trách nhiệm giải trình. Kiểm toán không chỉ có ý nghĩa kỹ thuật mà còn là công cụ buộc tổ chức xử lý dữ liệu, lập bản đồ dữ liệu, kiểm soát mục đích xử lý, rà soát sự đồng ý, đánh giá việc chuyển giao cho bên thứ ba, kiểm tra cơ chế lưu trữ và xóa dữ liệu, cũng như chứng minh sự tuân thủ khi bị thanh tra, kiểm tra. Tuy nhiên, hiệu quả của kiểm toán phụ thuộc vào chất lượng tổ chức kiểm toán, tiêu chuẩn chuyên môn, tính độc lập, khả năng phát hiện rủi ro thực chất và cơ chế xử lý khi báo cáo kiểm toán cho thấy có vi phạm. Nếu kiểm toán chỉ trở thành thủ tục hình thức, chi phí tuân thủ tăng nhưng quyền của chủ thể dữ liệu không được bảo vệ tốt hơn. Vì vậy, cần hoàn thiện tiêu chuẩn kiểm toán, cơ sở dữ liệu về tổ chức kiểm toán, trách nhiệm nghề nghiệp và cơ chế hậu kiểm.
3.4. Quản lý dữ liệu xuyên biên giới: từ kiểm soát chặt sang phân tầng rủi ro
Dữ liệu xuyên biên giới là một trong những vấn đề phức tạp nhất trong việc bảo vệ dữ liệu cá nhân tại Trung Quốc. Trong bối cảnh thương mại điện tử, điện toán đám mây, chuỗi cung ứng số, dịch vụ phần mềm và các tập đoàn công nghệ xuyên quốc gia, việc chuyển dữ liệu ra nước ngoài là nhu cầu thực tế. Tuy nhiên, nếu quản lý lỏng lẻo, dữ liệu cá nhân và dữ liệu quan trọng có thể vượt khỏi phạm vi kiểm soát của pháp luật trong nước; nếu quản lý quá chặt, hoạt động kinh doanh và đổi mới sáng tạo có thể gặp khó khăn.
Quy định thúc đẩy và lưu thông dữ liệu xuyên biên giới ban hành ngày 22/3/2024 đã điều chỉnh cách tiếp cận theo hướng phân loại, phân tầng và tạo thuận lợi hơn cho các dòng dữ liệu hợp pháp. Văn bản này xác định các trường hợp miễn thực hiện đánh giá an ninh dữ liệu xuất cảnh, ký hợp đồng mẫu hoặc chứng nhận bảo vệ thông tin cá nhân, ví dụ dữ liệu phát sinh trong thương mại quốc tế, vận tải xuyên biên giới, hợp tác học thuật, sản xuất xuyên quốc gia và tiếp thị mà không chứa thông tin cá nhân hoặc dữ liệu quan trọng; một số trường hợp cần thiết để thực hiện hợp đồng cá nhân như mua sắm xuyên biên giới, chuyển tiền, thanh toán, đặt vé máy bay, khách sạn, xin thị thực, dịch vụ thi cử; hoặc trường hợp chuyển thông tin cá nhân dưới 100 nghìn người từ đầu năm, không bao gồm thông tin nhạy cảm3.
Đồng thời, quy định năm 2024 vẫn duy trì các ngưỡng phải đánh giá an ninh dữ liệu xuất cảnh, bao gồm trường hợp nhà vận hành cơ sở hạ tầng thông tin quan trọng cung cấp thông tin cá nhân hoặc dữ liệu quan trọng ra nước ngoài, hoặc chủ thể khác cung cấp dữ liệu quan trọng, cung cấp từ 1 triệu người trở lên thông tin cá nhân hoặc từ 10 nghìn người trở lên thông tin cá nhân nhạy cảm kể từ ngày 01/01 của năm đó4. Cách thiết kế này phản ánh nỗ lực cân bằng giữa an ninh dữ liệu và lưu thông dữ liệu.
Biện pháp chứng nhận xuất cảnh thông tin cá nhân, ban hành ngày 17/10/2025 và có hiệu lực từ ngày 01/01/2026, tiếp tục hoàn thiện cơ chế dữ liệu xuyên biên giới. Văn bản này quy định chứng nhận là một phương thức hợp pháp để người xử lý thông tin cá nhân cung cấp thông tin cá nhân ra ngoài Trung Quốc; việc chứng nhận áp dụng đối với trường hợp không phải nhà vận hành cơ sở hạ tầng thông tin quan trọng và có quy mô xuất cảnh từ 100 nghìn đến dưới 1 triệu thông tin cá nhân hoặc dưới 10 nghìn thông tin nhạy cảm, không bao gồm dữ liệu quan trọng5.
Về quản lý nhà nước, hướng đi đáng chú ý là Trung Quốc không chỉ đặt ra thủ tục kiểm soát mà còn xây dựng hệ sinh thái tuân thủ, bao gồm đánh giá an ninh, hợp đồng mẫu, chứng nhận, danh mục âm trong khu thương mại tự do, tiêu chuẩn kỹ thuật và hướng dẫn chính sách. Đây là mô hình quản lý động, có khả năng điều chỉnh theo mức độ rủi ro và nhu cầu phát triển kinh tế số.
3.5. Quản lý dữ liệu sinh trắc học, danh tính số và dịch vụ trí tuệ nhân tạo
Dữ liệu sinh trắc học, đặc biệt là dữ liệu khuôn mặt, là nhóm dữ liệu nhạy cảm có rủi ro cao vì khó thay đổi, có khả năng nhận diện trực tiếp và có thể bị sử dụng trong giám sát, xác thực, mở khóa thiết bị, thanh toán hoặc kiểm soát ra vào. Biện pháp quản lý an toàn ứng dụng công nghệ nhận diện khuôn mặt do Văn phòng Quản lý không gian mạng Trung Quốc và Bộ Công an ban hành ngày 21/3/2025, có hiệu lực từ ngày 01/6/2025, yêu cầu việc xử lý thông tin khuôn mặt phải có mục đích cụ thể, có sự cần thiết đầy đủ, áp dụng phương thức ít ảnh hưởng nhất đến quyền cá nhân và có biện pháp bảo vệ nghiêm ngặt.
Văn bản này cũng yêu cầu thông báo rõ ràng, dễ hiểu về mục đích, phương thức, thời hạn lưu trữ, tính cần thiết và ảnh hưởng đến quyền cá nhân; trường hợp xử lý dựa trên sự đồng ý phải có sự đồng ý riêng biệt, tự nguyện, rõ ràng và trên cơ sở được thông tin đầy đủ; cá nhân có quyền rút lại sự đồng ý. Đối với thông tin khuôn mặt của trẻ em dưới 14 tuổi, phải có sự đồng ý của cha mẹ hoặc người giám hộ và có quy tắc xử lý riêng6. Cùng năm, Văn phòng Quản lý không gian mạng Trung Quốc còn ban hành thông báo yêu cầu chủ thể xử lý dữ liệu khuôn mặt, với quy mô lưu trữ từ 100 nghìn người trở lên, phải thực hiện thủ tục đăng ký tại cơ quan quản lý không gian mạng cấp tỉnh7.
Về danh tính số, biện pháp quản lý dịch vụ công về xác thực danh tính mạng quốc gia ban hành ngày 23/5/2025 và có hiệu lực từ ngày 15/7/2025 xây dựng cơ chế cấp “mã mạng” và “chứng nhận mạng” dựa trên giấy tờ tùy thân hợp pháp, nhằm phục vụ đăng ký và xác thực danh tính trên môi trường internet mà không trực tiếp cung cấp thông tin danh tính dạng rõ. Văn bản này quy định người sử dụng có thể tự nguyện领, người dưới 14 tuổi cần sự đồng ý của cha mẹ hoặc người giám hộ và khi người dùng đã dùng mã mạng, chứng nhận mạng để xác thực thì nền tảng internet không được yêu cầu cung cấp thêm thông tin danh tính dạng rõ, trừ trường hợp pháp luật có quy định khác hoặc người dùng đồng ý8.
Đối với trí tuệ nhân tạo, bản sửa đổi Luật An ninh mạng có hiệu lực từ ngày 01/01/2026 đã đưa nội dung về an toàn và phát triển trí tuệ nhân tạo vào luật. Đặc biệt, biện pháp tạm thời quản lý dịch vụ tương tác nhân cách hóa bằng trí tuệ nhân tạo được ban hành ngày 10/4/2026 và dự kiến có hiệu lực từ ngày 15/7/2026. Văn bản này áp dụng đối với dịch vụ sử dụng trí tuệ nhân tạo để cung cấp tương tác cảm xúc liên tục mô phỏng đặc điểm nhân cách, mô hình tư duy và phong cách giao tiếp của thể nhân; đồng thời nhấn mạnh nguyên tắc phát triển và an toàn song hành, quản lý bao dung thận trọng và phân loại, phân cấp9.
Các cập nhật nêu trên cho thấy, Trung Quốc đang chuyển sang quản lý dữ liệu cá nhân theo từng công nghệ và từng tình huống rủi ro cụ thể. Đây là điểm đáng chú ý trong quản lý nhà nước hiện đại: pháp luật chung tạo nền tảng, còn quy định chuyên ngành điều chỉnh các rủi ro mới như nhận diện khuôn mặt, danh tính số, trí tuệ nhân tạo, dữ liệu trẻ em và dữ liệu xuyên biên giới.
4. Một số vấn đề đặt ra đối với quản lý nhà nước về bảo vệ dữ liệu cá nhân trên mạng ở Trung Quốc
Thứ nhất, hệ thống văn bản ngày càng đầy đủ, nhưng nguy cơ phân tán thẩm quyền vẫn còn. Bảo vệ dữ liệu cá nhân ở Trung Quốc liên quan đến nhiều cơ quan như cơ quan quản lý không gian mạng, công an, công nghiệp và công nghệ thông tin, quản lý thị trường, tài chính, y tế, giáo dục, giao thông và chính quyền địa phương. Mô hình này có ưu điểm là huy động được năng lực quản lý chuyên ngành, nhưng cũng có thể tạo ra sự chồng chéo, khác biệt trong tiêu chuẩn thực thi và gánh nặng tuân thủ cho doanh nghiệp nếu thiếu cơ chế điều phối hiệu quả.
Thứ hai, yêu cầu đồng ý và minh bạch có nguy cơ bị hình thức hóa. Nhiều nền tảng số có thể thiết kế chính sách quyền riêng tư dài dòng, khó hiểu, sử dụng cơ chế “đồng ý hoặc không được sử dụng dịch vụ”, hoặc lồng ghép nhiều mục đích xử lý trong một lựa chọn đồng ý chung. Khi đó, đồng ý không còn là sự lựa chọn thực chất của cá nhân mà trở thành một thủ tục hợp thức hóa việc thu thập dữ liệu. Đây là vấn đề phổ biến trong quản trị dữ liệu cá nhân ở các quốc gia có nền tảng số phát triển mạnh.
Thứ ba, việc bảo vệ dữ liệu cá nhân trong khu vực công đặt ra những thách thức riêng. Cơ quan nhà nước vừa là chủ thể quản lý vừa là chủ thể xử lý lượng lớn dữ liệu cá nhân trong các dịch vụ công như quản lý dân cư, y tế, giáo dục, an sinh, giao thông, thuế và quản lý đô thị. Nếu thiếu cơ chế phân quyền truy cập, nhật ký xử lý, kiểm toán nội bộ, nguyên tắc tối thiểu hóa và giám sát độc lập, dữ liệu khu vực công có thể trở thành nguồn rủi ro rất lớn.
Thứ tư, dữ liệu xuyên biên giới vẫn là điểm nhạy cảm giữa an ninh dữ liệu và hội nhập kinh tế số. Các quy định năm 2024 và 2025 đã tạo thuận lợi hơn cho việc chuyển dữ liệu hợp pháp, nhưng trên thực tế, doanh nghiệp vẫn cần hướng dẫn cụ thể về việc xác định dữ liệu quan trọng, dữ liệu nhạy cảm, ngưỡng số lượng, chứng nhận, hợp đồng và trách nhiệm của bên tiếp nhận ở nước ngoài. Nếu tiêu chí không đủ rõ ràng, doanh nghiệp có thể vừa lo ngại rủi ro pháp lý, vừa chậm trễ trong hoạt động kinh doanh xuyên biên giới.
Thứ năm, sự phát triển nhanh của trí tuệ nhân tạo làm xuất hiện các rủi ro mới đối với thông tin cá nhân. Các hệ thống AI cần dữ liệu huấn luyện quy mô lớn, trong đó có thể chứa thông tin cá nhân hoặc dữ liệu suy đoán về cá nhân. Dịch vụ tương tác nhân cách hóa, chatbot cảm xúc, trợ lý ảo, công cụ sinh ảnh, giọng nói và video có thể thu thập dữ liệu nhạy cảm về tâm lý, thói quen, mối quan hệ, sở thích, sức khỏe và hành vi của người dùng. Các quy định năm 2026 cho thấy Trung Quốc đã nhận diện rủi ro này, nhưng cơ quan thực thi sẽ cần năng lực chuyên môn cao hơn so với quản lý nền tảng truyền thống.
Thứ sáu, cơ chế cứu trợ cho cá nhân cần tiếp tục được làm rõ. Khi dữ liệu bị lộ, bị mua bán, bị sử dụng sai mục đích hoặc gây thiệt hại do quyết định tự động, cá nhân thường khó chứng minh thiệt hại, khó xác định chủ thể chịu trách nhiệm và khó theo đuổi thủ tục khiếu nại kéo dài. Nếu cơ chế bồi thường và khiếu nại không đủ thuận tiện, quyền của chủ thể dữ liệu có thể được ghi nhận bằng văn bản nhưng khó được thực thi trong đời sống.
5. Giải pháp hoàn thiện quản lý nhà nước về bảo vệ dữ liệu cá nhân trên mạng ở Trung Quốc
5.1. Hoàn thiện cơ chế điều phối liên ngành và chuẩn hóa hướng dẫn thực thi
Tiếp tục hoàn thiện cơ chế điều phối liên ngành, trong đó cơ quan quản lý không gian mạng giữ vai trò đầu mối, nhưng có sự phân công rõ ràng giữa các cơ quan quản lý chuyên ngành. Đối với các lĩnh vực có rủi ro cao như tài chính, y tế, giáo dục, lao động, thương mại điện tử, viễn thông, giao thông, bảo hiểm và dịch vụ công, cần ban hành hướng dẫn chuyên ngành về phân loại dữ liệu, căn cứ xử lý, thời hạn lưu trữ, chia sẻ dữ liệu, xử lý sự cố và cơ chế khiếu nại. Cần xây dựng bộ hướng dẫn thống nhất về thông báo quyền riêng tư, thiết kế đồng ý, rút lại đồng ý, xử lý yêu cầu truy cập, chỉnh sửa, xóa dữ liệu và phản đối việc xử lý. Thông báo quyền riêng tư phải ngắn gọn, dễ hiểu, có cấu trúc theo lớp, thể hiện rõ dữ liệu nào được thu thập, mục đích xử lý, bên nhận dữ liệu, thời hạn lưu trữ, phương thức thực hiện quyền và kênh liên hệ. Cách làm này giúp giảm tình trạng “đồng ý hình thức” và tăng khả năng kiểm soát thực tế của cá nhân.
Đối với doanh nghiệp nhỏ và vừa, nên có bộ công cụ tuân thủ tối thiểu, biểu mẫu đánh giá rủi ro, mẫu chính sách quyền riêng tư và quy trình xử lý các yêu cầu của chủ thể dữ liệu. Đối với các nền tảng lớn, việc tổ chức xử lý dữ liệu nhạy cảm hoặc dữ liệu quy mô lớn yêu cầu tuân thủ cao hơn, bao gồm đánh giá tác động, kiểm toán định kỳ, cán bộ phụ trách bảo vệ thông tin cá nhân, báo cáo sự cố và cơ chế kiểm soát bên thứ ba.
5.2. Chuyển mạnh sang quản trị rủi ro và trách nhiệm giải trình
Quản lý nhà nước cần chuyển từ tư duy cấp phép, hậu kiểm sự vụ sang quản trị rủi ro trên toàn bộ vòng đời dữ liệu. Mọi hệ thống xử lý dữ liệu cá nhân quy mô lớn cần có bản đồ dữ liệu, phân loại dữ liệu, đánh giá mục đích xử lý, đánh giá rủi ro đối với quyền cá nhân, phương án bảo vệ kỹ thuật, phương án ứng cứu sự cố và kế hoạch xóa hoặc ẩn danh dữ liệu khi đã hết mục đích. Cần tăng cường tính thực chất của cơ chế kiểm toán tuân thủ. Báo cáo kiểm toán phải đánh giá được rủi ro thực tế, không chỉ kiểm tra hồ sơ. Cơ quan quản lý nên xây dựng tiêu chuẩn năng lực đối với tổ chức kiểm toán, cơ chế xử lý xung đột lợi ích, trách nhiệm pháp lý khi báo cáo sai lệch và hệ thống xếp hạng tuân thủ theo nhóm ngành. Kết quả kiểm toán đối với các nền tảng lớn có thể được sử dụng làm căn cứ để ưu tiên thanh tra, cảnh báo rủi ro hoặc yêu cầu khắc phục.
Trách nhiệm giải trình cần được thiết kế thành nghĩa vụ chứng minh. Người xử lý thông tin cá nhân phải chứng minh được vì sao thu thập dữ liệu, thu thập trong phạm vi nào, lưu trữ trong bao lâu, chia sẻ cho ai, áp dụng biện pháp bảo vệ nào và phản hồi yêu cầu của cá nhân như thế nào. Khi xảy ra vi phạm, việc không chứng minh được việc tuân thủ phải được xem là tình tiết làm tăng trách nhiệm.
5.3. Tăng cường bảo vệ dữ liệu sinh trắc học, trẻ em và người yếu thế
Dữ liệu khuôn mặt, dữ liệu giọng nói, dấu vân tay, mống mắt, dữ liệu sức khỏe, dữ liệu trẻ em và dữ liệu tâm lý cần được xếp vào nhóm rủi ro cao. Với nhóm dữ liệu này, các yêu cầu riêng về đồng ý, lưu trữ cục bộ, mã hóa, giới hạn thời hạn, đánh giá tác động, đăng ký và kiểm toán cần được áp dụng nghiêm ngặt. Đặc biệt, không nên cho phép sử dụng nhận diện khuôn mặt như phương thức bắt buộc nếu có thể cung cấp phương thức thay thế hợp lý, thuận tiện và ít xâm phạm hơn.
Đối với dữ liệu trẻ em, cần tăng cường nghĩa vụ giải thích bằng ngôn ngữ dễ hiểu; cơ chế đồng ý của cha mẹ hoặc người giám hộ; hạn chế quảng cáo hành vi; hạn chế hồ sơ hóa; hạn chế chia sẻ cho bên thứ ba; và tăng cường chế tài đối với hành vi thu thập dữ liệu quá mức. Trong các dịch vụ AI tương tác cảm xúc, cần thiết kế cơ chế cảnh báo, giới hạn thời gian sử dụng, can thiệp khi có dấu hiệu phụ thuộc quá mức và bảo vệ dữ liệu tâm lý, cảm xúc của trẻ em.
Đối với người cao tuổi, người khuyết tật và nhóm yếu thế, cần bảo đảm quyền tiếp cận dịch vụ số không phụ thuộc hoàn toàn vào việc cung cấp dữ liệu sinh trắc học hoặc việc sử dụng công nghệ phức tạp. Việc bảo vệ dữ liệu cá nhân phải gắn với nguyên tắc công bằng số, tránh tạo ra rào cản mới trong việc tiếp cận dịch vụ công, dịch vụ y tế, tài chính và an sinh xã hội.
5.4. Hoàn thiện quản lý dữ liệu xuyên biên giới theo hướng minh bạch, dự báo được
Để bảo đảm cả an ninh dữ liệu và lưu thông dữ liệu hợp pháp, Trung Quốc cần tiếp tục làm rõ danh mục dữ liệu quan trọng, tiêu chí xác định dữ liệu nhạy cảm, phương pháp tính ngưỡng số lượng, điều kiện áp dụng miễn trừ, trách nhiệm của bên tiếp nhận ở nước ngoài và cơ chế xử lý khi dữ liệu bị rò rỉ sau khi chuyển ra nước ngoài. Các chính sách hỏi – đáp định kỳ của cơ quan quản lý có ý nghĩa tích cực, nhưng cần được hệ thống hóa thành cẩm nang tuân thủ dễ áp dụng cho doanh nghiệp. Cần tiếp tục phát triển cơ chế danh mục âm trong khu thương mại tự do, hợp đồng mẫu, chứng nhận bảo vệ thông tin cá nhân và đánh giá an ninh theo mức độ rủi ro. Những trường hợp rủi ro thấp nên ưu tiên cơ chế khai báo, lưu hồ sơ và hậu kiểm; những trường hợp liên quan đến dữ liệu quan trọng, dữ liệu nhạy cảm quy mô lớn, cơ sở hạ tầng thông tin quan trọng hoặc quốc gia, khu vực có mức bảo vệ thấp hơn cần được thẩm định chặt chẽ hơn.
Về dài hạn, Trung Quốc có thể tiếp tục thúc đẩy sự tương thích với các tiêu chuẩn quốc tế, công nhận lẫn nhau trong một số lĩnh vực, cơ chế chứng nhận xuyên biên giới và tiêu chuẩn bảo vệ thông tin cá nhân trong chuỗi cung ứng số. Điều này giúp giảm chi phí tuân thủ, tăng niềm tin của đối tác và tránh biến việc bảo vệ dữ liệu thành rào cản kỹ thuật không cần thiết đối với thương mại số.
5.5. Hoàn thiện cơ chế cứu trợ, bồi thường và giám sát xã hội
Một hệ thống bảo vệ dữ liệu cá nhân hiệu quả không thể chỉ dựa vào việc thanh tra, xử phạt của cơ quan nhà nước. Cần phát triển cơ chế khiếu nại trực tuyến thuận tiện để cá nhân có thể phản ánh việc thu thập, sử dụng, chia sẻ hoặc tiết lộ dữ liệu trái pháp luật; theo dõi quá trình xử lý; yêu cầu xóa, chỉnh sửa hoặc bồi thường; và nhận tư vấn về cách tự bảo vệ dữ liệu. Cần hướng dẫn rõ hơn về bồi thường thiệt hại do vi phạm dữ liệu cá nhân, bao gồm thiệt hại vật chất, tổn thất tinh thần, chi phí phòng ngừa và khắc phục hậu quả, thiệt hại do đánh cắp danh tính, thiệt hại do phân biệt đối xử bằng thuật toán và thiệt hại do mất quyền kiểm soát dữ liệu. Khi dữ liệu của nhiều người bị xâm phạm, cần phát huy cơ chế kiện công ích, đại diện người tiêu dùng, tổ chức xã hội và cơ quan kiểm sát để giảm chi phí tự bảo vệ quyền của từng cá nhân.
Giám sát xã hội cũng cần được tăng cường thông qua việc công khai thông tin vi phạm, cảnh báo rủi ro, xếp hạng tuân thủ của các nền tảng lớn và khuyến khích báo chí, hiệp hội ngành nghề, tổ chức bảo vệ người tiêu dùng tham gia phát hiện hành vi lạm dụng dữ liệu. Tuy nhiên, việc công khai phải bảo đảm không làm lộ thêm dữ liệu của người bị ảnh hưởng.
5.6. Xây dựng văn hóa dữ liệu và đạo đức công vụ số
Cuối cùng, bảo vệ dữ liệu cá nhân không chỉ là vấn đề kỹ thuật hoặc pháp lý, mà còn là vấn đề văn hóa quản trị. Cơ quan nhà nước cần xây dựng đạo đức công vụ số, trong đó cán bộ, công chức chỉ được truy cập, sử dụng, chia sẻ dữ liệu cá nhân trong phạm vi nhiệm vụ, có căn cứ pháp lý, có nhật ký truy cập và chịu trách nhiệm khi lạm dụng dữ liệu. Dữ liệu công phải được quản trị theo nguyên tắc phân quyền, tối thiểu hóa, bảo mật, kiểm toán và xóa hoặc ẩn danh khi không còn mục đích xử lý.
Doanh nghiệp cần coi bảo vệ dữ liệu cá nhân là một phần của quản trị doanh nghiệp, trách nhiệm xã hội và tài sản niềm tin, không chỉ là chi phí tuân thủ. Việc đầu tư vào bảo mật, kiểm toán, đào tạo nhân sự, thiết kế quyền riêng tư ngay từ đầu và minh bạch với người dùng sẽ giúp doanh nghiệp giảm rủi ro pháp lý và nâng cao uy tín trên thị trường.
Đối với người dân, cần tăng cường giáo dục kỹ năng số: nhận diện các yêu cầu thu thập dữ liệu bất thường, quản lý mật khẩu, thiết lập quyền riêng tư, thận trọng khi cung cấp dữ liệu sinh trắc học, kiểm tra quyền truy cập của ứng dụng, cảnh giác với lừa đảo và biết cách khiếu nại khi quyền được bảo vệ bị xâm phạm. Khi xã hội có văn hóa dữ liệu tốt, pháp luật mới có điều kiện để đi vào đời sống.
6. Kết luận
Bảo vệ dữ liệu cá nhân trên mạng ở Trung Quốc đang chuyển từ giai đoạn thiết lập khung pháp lý nền tảng sang giai đoạn tinh chỉnh, chuyên biệt hóa và thực thi theo mức độ rủi ro. Luật Bảo vệ thông tin cá nhân năm 2021, Luật An ninh dữ liệu năm 2021, Luật An ninh mạng sửa đổi, bổ sung năm 2025, Quy định quản lý an ninh dữ liệu mạng năm 2024, cùng các văn bản mới về kiểm toán tuân thủ, dữ liệu xuyên biên giới, nhận diện khuôn mặt, danh tính số và trí tuệ nhân tạo đã tạo nên hệ thống quản lý tương đối toàn diện.
Điểm nổi bật của mô hình Trung Quốc là kết hợp bảo vệ quyền cá nhân với an ninh dữ liệu, quản lý nền tảng và thúc đẩy phát triển kinh tế số. Tuy nhiên, hệ thống này cũng đối mặt với các thách thức về phối hợp liên ngành, đồng thuận về hình thức, bảo vệ dữ liệu khu vực công, chi phí tuân thủ, chuyển dữ liệu xuyên biên giới, dữ liệu sinh trắc học và rủi ro từ trí tuệ nhân tạo.
Trong thời gian tới, trọng tâm của việc hoàn thiện quản lý nhà nước không chỉ là ban hành thêm văn bản mà còn là nâng cao chất lượng thực thi. Cần chuẩn hóa hướng dẫn, thực chất hóa kiểm toán tuân thủ, phân tầng rủi ro, bảo vệ nhóm dữ liệu nhạy cảm, hoàn thiện cơ chế cứu trợ, bảo đảm lưu thông dữ liệu hợp pháp và xây dựng văn hóa dữ liệu trong khu vực công cũng như khu vực tư. Cách tiếp cận này giúp Trung Quốc vừa bảo vệ quyền cá nhân, vừa củng cố an ninh dữ liệu và tạo nền tảng pháp lý cho sự phát triển kinh tế số bền vững.
Chú thích:
1. Xinhua/Government of China (2025). China has over 1.12 billion internet users, boosting its cultural and AI prowess. Updated 21/7/2025. https://english.www.gov.cn/archive/statistics/202507/21/content_WS687dd259c6d0868f4e8f4501.html
2. China Cyberspace Administration (2025). 个人信息保护合规审计管理办法 [Measures for Personal Information Protection Compliance Audits], Lệnh số 18, ban hành ngày 12/02/2025, có hiệu lực ngày 01/5/2025. https://www.cac.gov.cn/2025-02/14/c_1741233507681519.htm
3, 4. China Cyberspace Administration (2024). 促进和规范数据跨境流动规定 [Provisions on Promoting and Regulating Cross-border Data Flows], Lệnh số 16, ban hành và có hiệu lực ngày 22/3/2024. https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
5. China Cyberspace Administration; State Administration for Market Regulation (2025). 个人信息出境认证办法 [Measures for Personal Information Outbound Certification], Lệnh số 20, ban hành ngày 14/10/2025, có hiệu lực kể từ ngày 01/01/2026. https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm
6. China Cyberspace Administration; Ministry of Public Security (2025). 人脸识别技术应用安全管理办法 [Measures for the Security Management of Facial Recognition Technology Applications], Lệnh số 19, ban hành ngày 13/3/2025, có hiệu lực ngày 01/6/2025. https://www.cac.gov.cn/2025-03/21/c_1744174262156096.htm
7. China Cyberspace Administration (2025). 关于开展人脸识别技术应用备案工作的公告 [Notice on carrying out filing for facial recognition technology applications], ngày 30/5/2025. https://www.cac.gov.cn/2025-05/30/c_1750315544241157.htm
8. Ministry of Public Security and five other departments (2025). 国家网络身份认证公共服务管理办法 [Measures for the Administration of National Network Identity Authentication Public Services], Lệnh số 173, ban hành ngày 19/5/2025, có hiệu lực ngày 15/7/2025. https://www.cac.gov.cn/2025-05/23/c_1749711107835487.htm
9. China Cyberspace Administration and four other departments (2026). 人工智能拟人化互动服务管理暂行办法 [Interim Measures for the Administration of Artificial Intelligence Anthropomorphic Interaction Services]. Lệnh số 21, ban hành ngày 10/4/2026, có hiệu lực ngày 15/7/2026. https://www.cac.gov.cn/2026-04/10/c_1777558395078289.htm
Tài liệu tham khảo:
1. National People’s Congress of the People’s Republic of China. 中华人民共和国个人信息保护法. Personal Information Protection Law of the People’s Republic of China, thông qua ngày 20/8/2021. Công bố trên China Cyberspace Administration. https://www.cac.gov.cn/2021-08/20/c_1631050028355286.htm
2. National People’s Congress of the People’s Republic of China. 中华人民共和国数据安全法. Data Security Law of the People’s Republic of China, thông qua ngày 10/6/2021. Công bố trên China Cyberspace Administration. https://www.cac.gov.cn/2021-06/11/c_1624994566919140.htm
3. National People’s Congress of the People’s Republic of China. 中华人民共和国网络安全法. Cybersecurity Law of the People’s Republic of China, thông qua năm 2016, sửa đổi theo Quyết định ngày 28/10/2025, bản công bố ngày 29/12/2025. https://www.cac.gov.cn/2025-12/29/c_1768735112911946.htm
4. China Cyberspace Administration (2026). 专家解读|《网络安全法》修改,积极应对人工智能治理安全挑战 [Giải thích chuyên gia về sửa đổi Luật An ninh mạng và thách thức quản trị AI], ngày 02/01/2026. https://www.cac.gov.cn/2026-01/02/c_1769093523928606.htm
5. State Council of the People’s Republic of China (2024). 网络数据安全管理条例. Nghị định của Quốc vụ viện số 790, ban hành ngày 24/9/2024, có hiệu lực kể từ ngày 01/01/2025. https://www.cac.gov.cn/2024-09/30/c_1729384452307680.htm
6. China Cyberspace Administration. 部门规章. Danh mục văn bản quy phạm cấp bộ trong lĩnh vực quản lý không gian mạng. https://www.cac.gov.cn/wxzw/zcfg/bmgz/A09370303index_1.htm
