Model of a specialized agency for personal data protection – International legal experiences and implications for Vietnam
ThS. Nguyễn Thị Vinh Hương
Trường Đại học Thương mại
(Quanlynhanuoc.vn) – Tại Việt Nam hiện nay cơ quan chuyên trách bảo vệ dữ liệu cá nhân được thiết lập dưới hình thức một đơn vị nghiệp vụ trực thuộc Bộ Công an nhưng đối chiếu với các chuẩn mực quốc tế, mô hình này vẫn tồn tại những rào cản nhất định do chưa bảo đảm tính độc lập chuyên sâu về quyền riêng tư. Do đó, việc hoàn thiện thiết chế này theo hướng độc lập là yêu cầu cấp thiết nhằm bảo vệ tối ưu quyền lợi công dân và kiến tạo môi trường kinh doanh minh bạch. Sự tiệm cận các tiêu chuẩn toàn cầu như Quy định Bảo vệ dữ liệu chung (GDPR) không chỉ củng cố niềm tin số cho người dùng mà còn khai thông dòng chảy dữ liệu xuyên biên giới, tạo động lực bứt phá cho nền kinh tế số Việt Nam.
Từ khóa: Dữ liệu cá nhân; bảo vệ dữ liệu cá nhân; cơ quan chuyên trách bảo vệ dữ liệu cá nhân; GDPR.
Abstract: In Vietnam, the specialized personal data protection authority is currently established as a professional unit under the Ministry of Public Security. However, compared to international benchmarks, this model still faces certain barriers due to a lack of specialized independence regarding privacy rights. Consequently, refining this institution toward an independent model is an urgent requirement to optimize the protection of citizens’ interests and foster a transparent business environment. Aligning with global standards such as the GDPR will not only bolster digital trust among users but also facilitate cross-border data flows, creating a breakthrough momentum for Vietnam’s digital economy.
Keywords: Personal data; personal data protection; personal data protection authority, GDPR.
1. Đặt vấn đề
Trong bối cảnh cuộc cách mạng công nghiệp 4.0 đang diễn ra mạnh mẽ, dữ liệu cá nhân không đơn thuần là thông tin số hóa mà đã trở thành vấn đề cốt lõi, liên đới trực tiếp đến quyền con người, quyền công dân và an ninh quốc gia. Với vai trò “huyết mạch” vận hành nền kinh tế số, dữ liệu cá nhân, đồng thời cũng trở thành đối tượng hàng đầu của các cuộc tấn công mạng và hành vi khai thác trái phép, gây ra những hệ lụy sâu sắc về trật tự an toàn xã hội. Nhận thức rõ tầm quan trọng đó, Đảng và Nhà nước đã ban hành hệ thống văn bản chỉ đạo nhất quán, xác lập tư duy chiến lược: lấy con người và trí tuệ con người làm trung tâm của mọi hoạt động bảo đảm an ninh mạng. Việc hoàn thiện hành lang pháp lý không chỉ nhằm thiết lập “hàng rào” bảo vệ thông tin mà còn khẳng định con người là nhân tố quyết định, là mục tiêu cuối cùng của sự phát triển.
Để xác lập một hành lang pháp lý vững chắc cho việc bảo vệ dữ liệu cá nhân, việc làm rõ nội hàm khái niệm “dữ liệu cá nhân” là điều kiện cần và là bước đi tiên quyết. Khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025 định nghĩa “Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể”. Định nghĩa này không chỉ kế thừa các quan điểm trước đây mà còn mở rộng phạm vi điều chỉnh để bao quát mọi hình thái của thông tin trong kỷ nguyên số; đồng thời, xác lập ranh giới giữa dữ liệu cá nhân và dữ liệu phi cá nhân thông qua cơ chế khử nhận dạng.
Việc tăng cường hiệu quả quản lý, giúp định hình mức độ bảo mật cần thiết Luật Bảo vệ dữ liệu cá nhân năm 2025 phân chia dữ liệu cá nhân thành hai nhóm chính: (1) Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, ví dụ họ tên, ngày sinh, giới tính, quốc tịch, địa chỉ, số điện thoại, email… (2) Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành bao gồm dữ liệu sức khỏe, quan điểm chính trị, niềm tin tôn giáo, dữ liệu sinh trắc học, thông tin tài chính và các bí mật đời tư khác. Do tính chất nguy hiểm nếu bị tiết lộ, nhóm dữ liệu này đòi hỏi một cơ chế bảo vệ nghiêm ngặt hơn, từ yêu cầu về sự đồng ý cho đến các biện pháp bảo mật kỹ thuật đặc thù.
Sự phân loại này xuất phát từ tính chất đặc biệt của dữ liệu, bởi mọi sự rò rỉ đều gây ra những hệ lụy đa chiều. Về kinh tế, chủ thể dữ liệu đối mặt với nguy cơ mất an toàn thanh toán và gian lận tài chính. Về xã hội, việc phát tán trái phép thông tin đời tư, khuynh hướng cá nhân hay tình trạng bệnh lý có thể tạo ra sự kỳ thị, gây tổn hại nghiêm trọng đến danh dự và uy tín cá nhân. Nguy hại hơn, khi dữ liệu cư trú và lịch trình di chuyển bị rò rỉ còn trực tiếp đe dọa đến an toàn thân thể, tạo điều kiện cho các hành vi tấn công vật lý ngoài đời thực. Do đó, việc bảo vệ dữ liệu cá nhân không chỉ là bài toán kỹ thuật mà là yêu cầu cấp thiết để bảo vệ sự an toàn và tự do của mỗi con người trong xã hội số.
2. Tham khảo kinh nghiệm quốc tế về mô hình cơ quan chuyên trách bảo vệ dữ liệu cá nhân
(1) Mô hình giám sát độc lập của Liên minh châu Âu (EU).
Theo GDPR, các quốc gia thành viên EU bắt buộc phải thiết lập Cơ quan Bảo vệ Dữ liệu (DPA) với vị thế hoàn toàn độc lập với Chính phủ. Các cơ quan này được trao quyền hạn đặc thù, bao gồm quyền điều tra, can thiệp vào các quy trình xử lý dữ liệu sai phạm và áp dụng mức xử phạt hành chính lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu năm trước đó của tổ chức vi phạm (Điều 83 GDPR)1. Sự phối hợp chặt chẽ thông qua Ủy ban Bảo vệ dữ liệu châu Âu (EDPB) giúp bảo đảm tính thống nhất trong việc thực thi pháp luật trên toàn liên minh, đồng thời, đóng vai trò tư vấn cho Ủy ban châu Âu (EC) về các vấn đề bảo vệ dữ liệu.
(2) Ủy ban Quốc gia về Tin học và quyền tự do (CNIL) của Cộng hòa Pháp.
Pháp là quốc gia tiên phong với mô hình CNIL, hoạt động như một cơ quan hành chính độc lập (AAI). CNIL không chỉ đóng vai trò tư vấn cho Chính phủ và Quốc hội về các dự luật liên quan đến công nghệ mới mà còn có thẩm quyền kiểm tra trực tiếp tại hiện trường đối với bất kỳ tổ chức nào xử lý dữ liệu cá nhân. Với tôn chỉ bảo vệ quyền tự do cá nhân trước sự phát triển của công nghệ thông tin, CNIL khẳng định sức mạnh thực thi qua những án phạt kỷ lục đối với các tập đoàn công nghệ xuyên quốc gia liên quan đến việc thiếu minh bạch trong thu thập dữ liệu người dùng. Chẳng hạn, Cơ quan bảo vệ dữ liệu CNIL ngày 06/01/2022 quyết định phạt Google số tiền 150 triệu euro (169 triệu USD) vì vi phạm quyền riêng tư. Ngoài ra, Pháp cũng phạt Facebook số tiền 60 triệu euro (68 triệu USD) vì lý do tương tự2, sau đó, ngày 03/9/2025, đã áp mức phạt kỷ lục đối với Google và nền tảng thời trang nhanh Shein, vì không tuân thủ quy định về cookie trực tuyến, theo đó mức phạt đối với Google là 325 triệu euro (379 triệu USD), trong khi Shein bị phạt 150 triệu euro (175 triệu USD)3.
(3) Hệ thống quản trị dữ liệu đặc thù của CHLB Đức.
Đức áp dụng mô hình quản trị phân cấp để phù hợp với cấu trúc quốc gia liên bang. Ở cấp Trung ương, Ủy viên Liên bang về Bảo vệ Dữ liệu và Tự do Thông tin (BfDI) giám sát các cơ quan công quyền và lĩnh vực viễn thông. Trong khi đó, tại mỗi bang lại thiết lập một cơ quan bảo vệ dữ liệu riêng để trực tiếp quản lý khu vực tư nhân. Điểm nổi bật của Đức là sự kết hợp chặt chẽ giữa chế tài hành chính và hình sự; theo Điều 42 của Luật Bảo vệ dữ liệu Liên bang (BDSG), hành vi cố ý mua bán dữ liệu cá nhân nhạy cảm có thể dẫn đến án tù lên đến 3 năm4.
(4) Văn phòng Ủy viên Thông tin (ICO) của Vương quốc Anh.
Tại Anh, Văn phòng Ủy viên Thông tin (ICO) vận hành như một cơ quan công lập không thuộc bộ, báo cáo trực tiếp cho Quốc hội thay vì Chính phủ. Sau khi rời EU (Brexit), Anh duy trì Đạo luật Bảo vệ dữ liệu (UK GDPR) với cách tiếp cận linh hoạt, ưu tiên quản trị dựa trên rủi ro. ICO giữ vai trò kép khi vừa bảo đảm quyền riêng tư, vừa hỗ trợ sự tăng trưởng của nền kinh tế số thông qua việc ban hành các bộ quy tắc ứng xử (Codes of Practice) chuyên biệt cho từng lĩnh vực như quảng cáo trực tuyến hay thiết kế dịch vụ cho trẻ em5.
(5) Mô hình quản trị tích hợp của Singapore (PDPC).
Singapore lựa chọn mô hình Ủy ban Bảo vệ dữ liệu cá nhân (PDPC) trực thuộc Cơ quan Phát triển truyền thông thông tin (IMDA). Khác với triết lý của châu Âu, PDPC tập trung vào sự cân bằng giữa bảo mật và thúc đẩy kinh tế số, cho phép doanh nghiệp khai thác dữ liệu cho mục đích đổi mới sáng tạo và nghiên cứu mà không cần sự đồng ý trước trong một số trường hợp cụ thể. Đây là hình mẫu tiêu biểu cho việc thiết lập một cơ quan chuyên trách vừa đóng vai trò kiểm soát, vừa là động lực hỗ trợ doanh nghiệp tuân thủ thông qua các công cụ như Đánh giá tác động bảo vệ dữ liệu (DPIA). Hiệu quả của mô hình Singapore nằm ở việc giảm bớt rào cản hành chính để doanh nghiệp tự tin thử nghiệm công nghệ mới, trong khi vẫn giữ vững ranh giới về bảo mật thông qua sự giám sát của IMDA. Chẳng hạn như, các ngân hàng và công ty Fintech tại Singapore đã sử dụng cơ chế này để huấn luyện các thuật toán AI phát hiện gian lận tài chính, việc không phải gửi thông báo xin phép đến hàng triệu khách hàng cho mỗi lần cải tiến thuật toán giúp doanh nghiệp tiết kiệm chi phí vận hành khổng lồ và tăng tốc độ ra mắt sản phẩm6 hay trong ngành y tế, các bệnh viện tại Singapore đã sử dụng bộ công cụ DPIA của PDPC để triển khai hệ thống hồ sơ sức khỏe điện tử dùng chung. Kết quả là dữ liệu được chia sẻ an toàn giữa các cơ sở y tế mà vẫn bảo đảm tính bảo mật, giúp giảm sai sót trong chẩn đoán và điều trị7.
Từ việc phân tích các mô hình quản trị dữ liệu của EU, Pháp, Đức, Anh và Singapore, có thể rút ra những đặc điểm chung và xu hướng vận hành, như sau:
Thứ nhất, tính độc lập của cơ quan chuyên trách là nguyên tắc ưu tiên. Dù dưới hình thức cơ quan hành chính độc lập (Pháp), cơ quan công lập không thuộc bộ (Anh) hay cơ quan giám sát theo luật định (EU), tính độc lập với bộ máy hành pháp là yếu tố then chốt. Điều này bảo đảm sự khách quan trong việc giám sát cả khu vực tư nhân lẫn các cơ quan công quyền, từ đó củng cố niềm tin của xã hội vào hệ thống bảo vệ quyền riêng tư.
Thứ hai, sự kết hợp linh hoạt giữa cơ chế răn đe và kiến tạo phát triển. Các quốc gia không chỉ chú trọng vào chế tài xử phạt nghiêm khắc (như mức phạt 4% doanh thu của EU hay án tù tại Đức) mà còn đẩy mạnh vai trò hỗ trợ, dẫn dắt. Mô hình của Singapore và Anh cho thấy xu hướng chuyển dịch sang quản trị dựa trên rủi ro, cho phép dữ liệu được lưu thông và khai thác phục vụ đổi mới sáng tạo, miễn là các biện pháp đánh giá tác động (DPIA) và bộ quy tắc ứng xử được thực thi nghiêm túc.
Thứ ba, chuyên môn hóa năng lực thực thi và hội nhập quốc tế. Bảo vệ dữ liệu cá nhân không còn là nhiệm vụ hành chính thuần túy mà đòi hỏi năng lực am hiểu sâu sắc về công nghệ thông tin và luật pháp quốc tế. Việc thiết lập các cơ quan chuyên trách đủ mạnh giúp các quốc gia dễ dàng tham gia vào các hiệp định thương mại tự do thế hệ mới, nơi dòng chảy dữ liệu xuyên biên giới yêu cầu sự tương thích về mức độ bảo hộ pháp lý giữa các bên.
3. Thực trạng xây dựng và vận hành cơ quan chuyên trách trong lĩnh vực bảo vệ dữ liệu cá nhân ở Việt Nam hiện nay
Thực tiễn cho thấy, tình trạng mua bán dữ liệu cá nhân ở Việt Nam hiện nay đang diễn ra phổ biến và công khai, từ dữ liệu thô đến dữ liệu đã qua xử lý chuyên sâu. Nhiều thông tin nhạy cảm như sinh trắc học, y tế, tài chính bị đăng tải tràn lan, tiềm ẩn rủi ro khó lường cho chủ thể dữ liệu khi công nghệ phân tích ngày càng phát triển. Hành vi vi phạm không chỉ dừng lại ở cá nhân mà có sự tham gia hệ thống của các tổ chức, doanh nghiệp. Một số đơn vị buông lỏng quản lý, để đối tác thứ ba khai thác trái phép dữ liệu khách hàng; số khác chủ động xây dựng kho dữ liệu để kinh doanh bất hợp pháp. Thậm chí, nhiều công ty được thành lập chỉ để vận hành hệ thống thu thập dữ liệu trái phép, tán phát mã độc hoặc tấn công xâm nhập hệ thống của các cơ quan, tổ chức nhằm chiếm đoạt thông tin. Đáng báo động, hoạt động mua bán này đã trở nên chuyên nghiệp, có tổ chức với cam kết “bảo hành” và cập nhật dữ liệu theo yêu cầu. Các giao dịch diễn ra ngang nhiên trên mạng xã hội và diễn đàn tin tặc, thanh toán trực tiếp qua ngân hàng với nội dung mua bán rõ ràng cho thấy sự thách thức nghiêm trọng đối với pháp luật.
Hiện nay, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã lựa chọn mô hình cơ quan chuyên trách bảo vệ dữ liệu cá nhân là một đơn vị chuyên môn trực thuộc Bộ Công an. Với chức năng giám sát, thanh tra và xử lý các vấn đề liên quan đến dữ liệu cá nhân, đơn vị này có trách nhiệm giúp Bộ trưởng Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân một cách hiệu quả, qua đó, khẳng định vai trò chủ đạo của Bộ Công an trong việc giúp Chính phủ thống nhất quản lý nhà nước về dữ liệu.
3.1. Sự hình thành và phát triển mô hình cơ quan chuyên trách bảo vệ dữ liệu cá nhân ở Việt Nam.
Trước khi Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân có hiệu lực, Việt Nam chưa có một cơ quan chuyên trách riêng biệt đủ thẩm quyền và năng lực để giám sát, thực thi các vấn đề bảo vệ dữ liệu cá nhân. Trách nhiệm quản lý còn phân tán giữa nhiều bộ, ngành khác nhau, như: Bộ Công an, Bộ Y tế, Bộ Khoa học và Công nghệ,… dẫn đến sự chồng chéo chức năng và thiếu cơ chế phối hợp hiệu quả, gây khó khăn trong việc xác định trách nhiệm khi xảy ra vi phạm hoặc rủi ro về bảo mật dữ liệu.
Trong bối cảnh đó, Nghị định số 13/2023/NĐ-CP đã đặt nền móng quan trọng khi chính thức định danh Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) là đơn vị thực thi. Hiện nay, hệ thống pháp lý cho mô hình này đang ghi nhận bước chuyển dịch mạnh mẽ khi Luật Bảo vệ dữ liệu cá nhân năm 2025 chính thức hóa thẩm quyền và trách nhiệm của cơ quan chuyên trách trên quy mô quốc gia. Sự kế thừa và nâng tầm từ văn bản dưới luật lên tầm luật định không chỉ tạo hành lang vững chắc cho công tác đấu tranh, xử lý vi phạm mà còn khẳng định lộ trình xây dựng mô hình quản trị dữ liệu chuyên sâu, tiệm cận các tiêu chuẩn quốc tế. Không chỉ thay đổi về hình thức văn bản, bước đi này còn là sự khẳng định quyền hạn tối cao của cơ quan chuyên trách trong việc bảo vệ quyền cơ bản của công dân, từ đó tạo dựng niềm tin vững chắc để Việt Nam tham gia sâu rộng vào dòng chảy kinh tế toàn cầu.
3.2. Sự phù hợp của mô hình cơ quan chuyên trách bảo vệ dữ liệu cá nhân tại Việt Nam
Về mô hình giám sát, Việt Nam hiện xác lập cơ quan chuyên trách bảo vệ dữ liệu cá nhân là đơn vị nghiệp vụ trực thuộc Bộ Công an. Việc thực hiện vai trò quản lý nhà nước lúc này không đơn thuần là sự phân công nhiệm vụ, mà còn là một giải pháp thể hiện sự nhạy bén với thực tiễn và tính thống nhất của hệ thống pháp luật hiện hành. Cụ thể, mô hình này đáp ứng trọn vẹn các yêu cầu về tiếp tục rà soát, sắp xếp, kiện toàn tổ chức bộ máy, tinh giản biên chế được nêu rõ trong Nghị quyết số 39-NQ/TW ngày 17/4/2015 của Bộ Chính trị. Vấn đề cốt lõi được đặt ra khi phát sinh nhiệm vụ mới là tự cân đối biên chế, giúp tiết kiệm ngân sách, tránh lãng phí nguồn lực xã hội mà vẫn bảo đảm thực thi hiệu quả chức năng quản lý nhà nước. Đồng thời, thay vì gây cồng kềnh bộ máy, việc giao nhiệm vụ cho đơn vị nghiệp vụ sẵn có giúp tận dụng tối đa cơ sở hạ tầng kỹ thuật, đội ngũ chuyên gia và hệ thống quản lý đã vận hành ổn định, tuân thủ nghiêm túc các quy định tại Điều 2 của Nghị quyết số 56/2017/QH14 ngày 24/11/2017 của Quốc hội về việc tiếp tục cải cách tổ chức bộ máy hành chính nhà nước tinh gọn, hoạt động hiệu lực, hiệu quả.
Mặt khác, dữ liệu cá nhân là tài sản số quốc gia, liên quan trực tiếp đến an ninh quốc gia và trật tự an toàn xã hội. Do đó, mô hình cơ quan chuyên trách trực thuộc Bộ Công an – cơ quan nòng cốt trong bảo vệ an ninh chính trị hiện nay sẽ có những ưu điểm vượt trội. Cụ thể:
(1) Là cơ quan có chức năng điều tra, ngăn chặn và xử lý vi phạm, Bộ Công an có đủ thẩm quyền và công cụ để giám sát việc tuân thủ pháp luật về dữ liệu cá nhân một cách nghiêm minh nhất. Điều này tạo ra sức răn đe cần thiết đối với các hành vi xâm phạm dữ liệu.
(2) Đơn vị nghiệp vụ thuộc Bộ Công an hiện đang vận hành các hệ thống cơ sở dữ liệu quốc gia quy mô lớn. Việc trực tiếp quản lý và giám sát giúp bảo đảm tính đồng bộ, thông suốt về mặt kỹ thuật, từ đó nâng cao hiệu quả phòng ngừa các nguy cơ từ không gian mạng.
(3) Thay vì mất nhiều thời gian cho việc xây dựng bộ máy mới từ con số 0 (từ tuyển dụng, đào tạo đến xây dựng trụ sở), việc giao cho Bộ Công an cho phép triển khai ngay lập tức các hoạt động giám sát, đáp ứng yêu cầu bảo vệ quyền lợi hợp pháp của công dân trước những diễn biến phức tạp của tội phạm công nghệ cao.
Thực tiễn cho thấy các hệ thống dữ liệu trong nước đang là mục tiêu tấn công trọng điểm của tội phạm mạng quốc tế và nội địa. Năm 2024, Việt Nam ghi nhận 14,5 triệu tài khoản bị rò rỉ (chiếm 12% toàn cầu) với 134 vụ lộ lọt quy mô lớn, ảnh hưởng đến 294 triệu bản ghi và 184,3 GB dữ liệu nhạy cảm8. Xu hướng này tiếp tục leo thang trong quý I/2026 với hơn 6,9 triệu tài khoản bị lộ, tăng 53% so với cùng kỳ năm trước9, gây rủi ro nghiêm trọng cho chủ thể dữ liệu. Trước tình hình phức tạp, việc giao quyền bảo vệ dữ liệu cho một cơ quan có công cụ điều tra chuyên biệt (Bộ Công an) đã mang lại những kết quả đột phá. Chỉ trong 6 tháng năm 2025, lực lượng chức năng đã đấu tranh xử lý 56 vụ việc vi phạm với hơn 110 triệu bản ghi10, điển hình là vụ triệt phá đường dây mua bán 56 triệu dữ liệu cá nhân vào tháng 02/202511. Cơ chế này cho phép xử lý tận gốc các hành vi vi phạm mà những cơ quan hành chính thuần túy khó có thể can thiệp sâu. Rõ ràng, khi có cơ chế giao quyền và công cụ điều tra chuyên biệt, hiệu quả ngăn chặn đã tăng lên rõ rệt so với giai đoạn trước. Bên cạnh công tác đấu tranh, việc vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cùng hệ thống giám sát an ninh mạng 24/7 đối với các hạ tầng trọng yếu đã tạo ra lá chắn kỹ thuật vững chắc. Sự kết hợp giữa năng lực thực thi pháp luật và giải pháp công nghệ không chỉ ngăn chặn rủi ro mà còn nâng cao niềm tin số cho người dân và doanh nghiệp trong kỷ nguyên chuyển đổi số.
3.3. Một số vướng mắc, hạn chế
Một là, thiếu chuyên môn sâu dành riêng cho bảo vệ dữ liệu cá nhân. Hiện nay, thẩm quyền quản lý bảo vệ dữ liệu cá nhân phụ thuộc chủ yếu vào Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an). Việc đặt cơ quan quản lý trong một đơn vị nghiệp vụ vốn chuyên trách về an ninh mạng nói chung dẫn đến tình trạng kiêm nhiệm, khiến cơ quan này chưa có vị thế độc lập và sự chuyên môn sâu dành riêng cho bảo vệ dữ liệu. Sự tập trung quá mức vào khía cạnh đấu tranh tội phạm và an ninh hệ thống vô hình trung tạo ra khoảng trống trong quản trị dân sự. Cơ quan chuyên trách khó có thể tập trung nguồn lực để giám sát đánh giá tác động bảo vệ dữ liệu, xử lý khiếu nại của người dân hay cấp chứng nhận tuân thủ cho các tổ chức xử lý dữ liệu lớn.
Trong khi đó, các mô hình quốc tế, như: CNIL (Pháp) hay PDPC (Singapore) thường tách bạch và tập trung sâu hơn vào việc xây dựng các bộ tiêu chuẩn bảo vệ quyền riêng tư cho các ngành kinh tế dân sự (như: tiếp thị, y tế, tài chính) cũng như ưu tiên giải quyết các khiếu nại về quyền của chủ thể dữ liệu. Việc thiếu hụt tính chuyên sâu về quyền riêng tư dân sự theo chuẩn mực này có thể hạn chế khả năng bảo vệ quyền lợi cá nhân trong các giao dịch dân sự và kinh tế thông thường.
Hai là, thách thức về mức độ bảo vệ tương đương và dòng chảy dữ liệu xuyên biên giới. Vấn đề chuyển dữ liệu xuyên biên giới và yêu cầu mức độ bảo vệ tương đương là một trong những rào cản kỹ thuật – pháp lý lớn nhất trong kinh tế số hiện nay. Đây là nguyên tắc bắt nguồn từ GDPR và đang trở thành tiêu chuẩn toàn cầu, cụ thể dữ liệu cá nhân khi rời khỏi quốc gia gốc để sang một quốc gia khác phải được hưởng quyền bảo vệ không thấp hơn mức mà quốc gia gốc quy định. Trong bối cảnh này, khi Việt Nam muốn tiếp nhận dữ liệu từ EU hoặc các đối tác quốc tế lớn sẽ phải đối mặt với các rào cản đó là sự tương thích pháp lý và đặc biệt là tính độc lập của cơ quan giám sát. Nếu cơ quan bảo vệ dữ liệu bị coi là thiếu tính độc lập (ví dụ: vừa quản lý hành chính vừa giám sát điều tra), các quốc gia khắt khe sẽ đánh giá mức độ bảo vệ là “chưa tương đương”.
Sự thiếu vắng một cơ quan bảo vệ dữ liệu độc lập theo chuẩn mực quốc tế không chỉ ảnh hưởng trực tiếp đến tốc độ luân chuyển dữ liệu của các doanh nghiệp đa quốc gia mà còn làm giảm năng lực cạnh tranh quốc gia trong chuỗi giá trị số toàn cầu. Rõ ràng, “mức độ bảo vệ tương đương” lúc này không chỉ thuần túy là câu chuyện bảo vệ quyền riêng tư mà đã trở thành điều kiện tiên quyết để khai thông dòng chảy dữ liệu và thúc đẩy kinh tế số phát triển bền vững.
Ba là, thiếu tính độc lập tuyệt đối. Khung pháp lý về bảo vệ dữ liệu cá nhân phải được xây dựng trên nền tảng tối ưu hóa quyền của chủ thể dữ liệu, chuyển dịch trọng tâm từ “quản lý hành chính” sang “bảo vệ quyền con người”. Các quy định pháp luật phải được thiết kế theo hướng tạo điều kiện thuận lợi nhất cho cá nhân thực thi quyền riêng tư của mình. Tuy nhiên, thực tiễn tại Việt Nam cho thấy thiếu tính độc lập tuyệt đối trong mô hình giám sát là một thách thức lớn. Khác với các cơ quan bảo vệ dữ liệu (DPA) tại EU (theo chuẩn GDPR) hay Singapore, cơ quan chuyên trách của chúng ta hiện không phải là một thực thể độc lập hoàn toàn mà vận hành dưới sự quản lý của một bộ thực thi pháp luật. Điều này có thể dẫn đến sự ưu tiên cho lợi ích nhà nước và an ninh quốc gia hơn là quyền riêng tư cá nhân trong một số tình huống cụ thể.
Về lâu dài, một cơ quan giám sát gắn bó quá chặt chẽ với bộ máy hành pháp sẽ rất khó bảo đảm tính trung lập khi phải đứng ra giải quyết các xung đột lợi ích phức tạp giữa Nhà nước, doanh nghiệp và cá nhân. Sự thiếu hụt về tính độc lập này chính là rào cản khiến công dân khó có được sự bảo vệ công bằng, kịp thời và hiệu quả trước các hành vi xâm phạm dữ liệu trong kỷ nguyên số.
Bốn là, sự thiếu hụt cơ chế phối hợp liên ngành và khoảng cách về thẩm quyền giám sát. Đối với công tác quản lý nhà nước, sự giao thoa chức năng và cấu trúc bộ máy hiện nay đang tạo ra những rào cản đáng kể. Việc cơ quan chuyên trách (Cục A05) hoạt động dưới mô hình trực thuộc một bộ trong nhánh hành pháp (Bộ Công an) đã tạo ra khoảng cách về thẩm quyền giám sát liên bộ. Cấu trúc này không chỉ gây khó khăn trong việc thanh tra khách quan các cơ quan ngang bộ khác hoặc các hệ thống dữ liệu công quy mô lớn do Chính phủ quản lý, mà còn dễ dẫn đến xung đột lợi ích khi chủ thể cần giám sát lại chính là các cơ quan nhà nước trong quá trình xử lý dữ liệu công dân. Đây vốn là nhiệm vụ mà một mô hình cơ quan độc lập, báo cáo trực tiếp trước Quốc hội, có thể thực hiện một cách hiệu quả, khách quan và toàn diện hơn.
Sự bất cập này càng rõ nét khi hai mục tiêu quản trị có phương thức tiếp cận khác biệt: trong khi Bộ Công an tập trung vào bảo đảm an ninh quốc gia thì Luật Bảo vệ dữ liệu cá nhân nhấn mạnh quy định quyền riêng tư và bảo vệ dòng chảy dữ liệu thương mại. Chính sự khác biệt về ưu tiên này đã dẫn đến thực trạng xung đột thẩm quyền và đùn đẩy trách nhiệm với những hệ quả tiêu cực đa chiều như rủi ro pháp lý cho doanh nghiệp và chủ thể dữ liệu bởi doanh nghiệp dễ rơi vào cảnh “một hành vi, hai án phạt”, ngược lại, quyền khiếu nại của chủ thể dữ liệu bị trì hoãn vô thời hạn do tranh cãi về thẩm quyền thụ lý giữa các bộ, ngành. Ngoài ra, còn có sự lãng phí nguồn lực và rào cản hành chính; xung đột trong kết luận pháp lý và tạo cơ hội cho hành vi trục lợi pháp lý.
Hoặc điển hình là ranh giới trách nhiệm giữa Bộ Công an và Bộ Công Thương trong các vụ việc lộ lọt dữ liệu thương mại vẫn chưa được phân định rạch ròi. Việc cơ quan Công an áp dụng Luật Bảo vệ dữ liệu cá nhân để xử lý, trong khi cơ quan quản lý cạnh tranh lại dựa trên Luật Bảo vệ quyền lợi người tiêu dùng để đưa ra kết luận khác biệt đã làm suy giảm hiệu lực quản lý. Hệ quả tất yếu là tình trạng chồng chéo trong thanh tra, làm xói mòn tính thống nhất, đồng bộ của hệ thống pháp luật quốc gia và cho thấy những tác động tiêu cực đa chiều trong thực thi pháp luật bảo vệ dữ liệu cá nhân hiện nay.
4. Một số kiến nghị
Với tốc độ phát triển công nghệ thông tin như hiện nay, việc xây dựng và phát triển cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo hướng độc lập là yêu cầu cấp thiết, xuất phát từ các lý do sau: (1) Bảo đảm tính khách quan trong giám sát khu vực tư nhân lẫn các cơ quan nhà nước, tránh xung đột lợi ích trong khai thác, xử lý dữ liệu phục vụ mục tiêu quản lý và quyền riêng tư của người dân; (2) Phá bỏ những rào cản trong dòng chảy dữ liệu quốc tế, do Việt Nam cần đáp ứng yêu cầu của nhiều quốc gia về việc quốc gia nhận dữ liệu phải có mức độ bảo vệ tương đương trong vấn đề chuyển dữ liệu xuyên biên giới. Một cơ quan giám sát độc lập chính là “chứng chỉ” uy tín giúp nâng cao vị thế khung pháp lý của Việt Nam trong mắt cộng đồng quốc tế; (3) Bảo vệ quyền lợi chính đáng của người dân, một cơ quan độc lập giúp tách bạch quyền lợi và tạo ra một điểm tiếp cận minh bạch và công bằng cho công dân khi quyền dữ liệu bị xâm phạm, bảo đảm mọi vi phạm đều được xử lý khách quan.
Như vậy, việc thiếu một cơ quan tương đương như Ủy ban Bảo vệ dữ liệu cá nhân độc lập, theo mô hình GDPR tại châu Âu, nơi cơ quan bảo vệ dữ liệu có quyền thanh tra và quyết định xử lý vi phạm, là một khoảng trống pháp lý cần được lấp đầy để nâng cao hiệu quả thực thi pháp luật về bảo vệ dữ liệu cá nhân. Do đó, tác giả đề xuất khuyến nghị tiếp tục sửa đổi quy định về cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong Luật Bảo vệ dữ liệu cá nhân năm 2025 theo hướng:
Thứ nhất, có thể chuyển thành cơ quan chuyên trách bảo vệ dữ liệu cá nhân trực thuộc Chính phủ và được tổ chức với tính độc lập cao. Mô hình này không chỉ giúp tối ưu hóa hiệu quả thực thi pháp luật mà còn khẳng định cam kết của Việt Nam trong việc bảo vệ an toàn thông tin và quyền con người trong kỷ nguyên số.
Thứ hai, để bảo đảm tính kịp thời trong ngăn chặn các hành vi xâm phạm dữ liệu quy mô lớn, cơ quan chuyên trách cần được luật hóa cơ chế phối hợp đặc thù với các cơ quan tố tụng và tổ chức tín dụng. Cụ thể, cần xây dựng quy trình yêu cầu cung cấp dữ liệu và tạm dừng các giao dịch/truy cập có dấu hiệu vi phạm trong tình huống khẩn cấp theo lệnh của cấp có thẩm quyền. Việc thực thi các quyền hạn này phải dựa trên nguyên tắc tuân thủ nghiêm ngặt trình tự pháp luật, có sự phê chuẩn của cơ quan tư pháp hoặc theo các quy chuẩn về an ninh quốc gia nhằm bảo đảm sự cân bằng giữa yêu cầu điều tra và quyền riêng tư, quyền tài sản của công dân.
Thứ ba, cần được đầu tư nguồn nhân lực chất lượng cao, trang bị công nghệ giám sát, tăng cường năng lực chuyên môn nhằm bảo đảm khả năng phát hiện, ứng phó và xử lý các hành vi vi phạm hoặc sự cố rò rỉ, lộ lọt dữ liệu và giải quyết khiếu nại từ các chủ thể dữ liệu một cách công bằng, kịp thời. Có như vậy sẽ nâng cao năng lực giám sát, thúc đẩy sự tuân thủ và hỗ trợ người dân trong việc thực thi các quyền của mình.
Thứ tư, cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân là công cụ giúp số hóa quy trình báo cáo vi phạm, giúp cơ quan nhà nước giám sát tức thời thay vì hậu kiểm thủ công như trước đây. Cần sớm ban hành quy chế vận hành chi tiết cho Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để bảo đảm an ninh hạ tầng, không xảy ra sự cố lộ lọt quy mô lớn và xác định rõ chức năng, quyền hạn của cơ quan chuyên trách nhằm tránh sự chồng chéo trong quản lý hành chính.
Song song với việc kiện toàn bộ máy thực thi bằng cách thiết lập Ủy ban bảo vệ dữ liệu cá nhân Quốc gia với tư cách là cơ quan giám sát độc lập, cần khẩn trương xây dựng và ban hành Quy chế phối hợp liên ngành với mục tiêu tạo dựng một hành lang cộng tác minh bạch, giúp xác định cơ quan đầu mối trong thực thi pháp luật bảo vệ dữ liệu cá nhân, qua đó loại bỏ các xung đột thẩm quyền và tình trạng đùn đẩy trách nhiệm trong xử lý sự cố dữ liệu.
Theo đó, để đề xuất có hiệu lực thực tế và bảo đảm tính thống nhất trong hệ thống pháp luật hiện hành, cơ chế thực thi có thể triển khai theo một lộ trình dài hạn và rõ ràng: cần hoàn thiện căn cứ pháp lý, trọng tâm là sửa đổi, bổ sung điểm a khoản 1 Điều 33 Luật Bảo vệ dữ liệu cá nhân năm 2025. Thay vì chỉ quy định chung chung, cần luật hóa cụ thể thẩm quyền giám sát, cưỡng chế và xử phạt của Ủy ban Bảo vệ dữ liệu cá nhân Quốc gia. Việc sửa đổi này nhằm tạo hành lang pháp lý vững chắc cho sự vận hành của cơ quan chuyên trách, tách biệt chức năng quản lý hành chính với chức năng giám sát độc lập, tránh tình trạng “vừa đá bóng vừa thổi còi” trong thực thi pháp luật.
Trên cơ sở luật định, Chính phủ cần xem xét ban hành Nghị quyết về việc thành lập Ủy ban Bảo vệ dữ liệu cá nhân Quốc gia (dự kiến vào năm 2027) với tư cách là cơ quan giám sát độc lập để kiện toàn bộ máy tổ chức. Quá trình kiện toàn tổ chức phải đi đôi với việc xây dựng hạ tầng số, đặc biệt là thiết lập Cổng dữ liệu cá nhân quốc gia – tạo nền tảng số cho việc quản lý dữ liệu tập trung. Đồng thời, cần chuẩn hóa các quy trình, công cụ giám sát theo tiêu chuẩn quốc tế và thực tiễn thi hành pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam nhằm tạo ra một hệ thống phản ứng linh hoạt trước những biến đổi nhanh chóng của công nghệ số.
5. Kết luận
Việc thiết lập cơ quan giám sát độc lập về bảo vệ dữ liệu cá nhân không chỉ là một xu thế tất yếu của hội nhập toàn cầu mà còn là một biện pháp quan trọng để bảo đảm quyền riêng tư của công dân trước sự khai thác dữ liệu trái phép, tạo lập môi trường kinh doanh minh bạch, buộc doanh nghiệp phải chuẩn hóa quy trình vận hành theo hướng thượng tôn pháp luật, qua đó, để nâng cao lòng tin của người dùng, từ đó thúc đẩy dòng chảy dữ liệu xuyên biên giới và kinh tế số tại Việt Nam.
Chú thích:
1. European Union. (2016). Regulation (EU) 2016/679 (General Data Protection Regulation – GDPR). Official Journal of the European Union.
2. Pháp phạt nặng Google và Facebook liên quan đến quyền riêng tư. https://vov.gov.vn/phap-phat-nang-google-va-facebook-lien-quan-den-quyen-rieng-tu-dtnew-342182
3. Google bị phạt kỷ lục ở Pháp vì vi phạm cookie, Shein chung số phận. https://tuoitre.vn/google-bi-phat-ky-luc-o-phap-vi-vi-pham-cookie-shein-chung-so-phan-20250904152748138.htm
4. 42 BDSG strafvorschriften – penal provisions. https://gdpr.berlin/federal-law-bdsg/42-bdsg-strafvorschriften/
5. Vương quốc Anh (2018). Data Protection Act 2018. (DPA 2018).
6. Data protection laws in Singapore. https://www.dlapiperdataprotection.com/?t=law&c=SG
7. Guide to Data Protection Impact Assessments. https://www.pdpc.gov.sg/organisations/resources/guidance-by-topic/guide-to-data-protection-impact-assessments
8. Rò rỉ dữ liệu cá nhân và trách nhiệm của nền tảng, sàn thương mại điện tử.
https://thuehaiquan.tapchikinhtetaichinh.vn/ro-ri-du-lieu-ca-nhan-va-trach-nhiem-cua-nen-tang-san-thuong-mai-dien-tu-126814.html
9. Lộ lọt dữ liệu tại Việt Nam tăng mạnh trong Quý I/2026. https://antoanthongtin.vn/tin/lo-lot-du-lieu-tai-viet-nam-tang-manh-trong-quy-i-2026
10. 56 vụ việc và hơn 110 triệu bản ghi bị xử lý do vi phạm quy định về bảo vệ dữ liệu cá nhân. https://thanhtra.com.vn/an-ninh-trat-tu-D718A18CA/56-vu-viec-va-hon-110-trieu-ban-ghi-bi-xu-ly-do-vi-pham-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-0239891d0.html
11. Triệt phá đường dây mua bán gần 56 triệu thông tin dữ liệu cá nhân. https://cand.vn/triet-pha-duong-day-mua-ban-gan-56-trieu-thong-tin-du-lieu-ca-nhan-post758805.html
Tài liệu tham khảo:
1. Bộ Công Thương (2022). Tổng kết thi hành Luật Bảo vệ quyền lợi người tiêu dùng và các văn bản hướng dẫn, tháng 7/2022.
2. Chính phủ (2023). Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân.
3. Nguyễn Văn Cương (2020). Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện. Tạp chí Nghiên cứu Lập pháp số 15 (415) tháng 8/2020.
4. Quốc hội (2025). Luật Bảo vệ dữ liệu cá nhân năm 2025.
5. Đinh Thị Thanh Thủy (2026). Trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân người lao động. Tạp chí Quản lý nhà nước số 363 (4/2026).
