Luật hóa ranh giới xử lý dữ liệu cá nhân trong kỷ nguyên AI
AI, Big Data, Blockchain, Metaverse và điện toán đám mây đang trở thành hạ tầng công nghệ trọng yếu của nền kinh tế số. Việc ứng dụng các công nghệ này giúp tối ưu hoạt động quản lý, kinh doanh và cung cấp dịch vụ, song cũng làm gia tăng nguy cơ xâm phạm dữ liệu cá nhân khi thông tin của người dân bị thu thập, phân tích và khai thác ở quy mô lớn, liên tục và tự động.
Trước thực tiễn đó, Luật Bảo vệ dữ liệu cá nhân, được Quốc hội thông qua ngày 26/6/2025 và có hiệu lực từ 1/1/2026, đã xác lập các giới hạn mang tính cấm đoán rõ ràng đối với hoạt động xử lý dữ liệu cá nhân trong môi trường số. Các giới hạn này được thể hiện thông qua việc quy định cụ thể các hành vi bị nghiêm cấm, như xử lý dữ liệu trái mục đích, vượt phạm vi cần thiết, mua bán dữ liệu cá nhân trái phép, hoặc sử dụng dữ liệu cá nhân xâm phạm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội và quyền, lợi ích hợp pháp của cá nhân.
Đồng thời, luật thiết lập các nguyên tắc xử lý dữ liệu mang tính bắt buộc, trao cho chủ thể dữ liệu những quyền pháp lý cụ thể để kiểm soát dữ liệu của mình, và đặt ra nghĩa vụ pháp lý chặt chẽ đối với tổ chức, doanh nghiệp, bao gồm đánh giá tác động xử lý dữ liệu, phân loại rủi ro khi ứng dụng AI và đánh giá trước khi chuyển dữ liệu cá nhân ra nước ngoài. Các quy định cấm đoán này gắn liền với cơ chế áp dụng chế tài hành chính, trách nhiệm dân sự và hình sự, tạo nền tảng pháp lý nhằm bảo vệ quyền riêng tư, thiết lập trật tự pháp lý trong không gian số và bảo đảm sự phát triển bền vững của kinh tế số Việt Nam.
Trên cơ sở đó, luật tiếp cận theo hướng luật hóa toàn bộ vòng đời xử lý dữ liệu, từ thu thập, lưu trữ, phân tích cho đến chia sẻ và chuyển giao. Dữ liệu cá nhân chỉ được xử lý đúng mục đích, trong phạm vi cần thiết, bảo đảm quyền và lợi ích hợp pháp của chủ thể dữ liệu; mọi hoạt động xử lý dữ liệu cá nhân trong môi trường Big Data, AI, Blockchain, Metaverse và điện toán đám mây đều phải tuân thủ quy định của pháp luật.
Chế tài, trách nhiệm và yêu cầu tuân thủ đối với tổ chức, doanh nghiệp
Một điểm nhấn quan trọng của Luật Bảo vệ dữ liệu cá nhân là xác lập trách nhiệm pháp lý rõ ràng của bên xử lý dữ liệu. Theo đó, các tổ chức, doanh nghiệp phải bảo đảm tính minh bạch, hợp pháp và có thể kiểm soát trong toàn bộ quá trình xử lý dữ liệu cá nhân.
Luật quy định chủ thể dữ liệu có quyền được biết, được truy cập, chỉnh sửa, yêu cầu chỉnh sửa, hạn chế hoặc ngừng xử lý dữ liệu cá nhân, cũng như rút lại sự đồng ý cho phép xử lý dữ liệu trong các trường hợp luật định. Việc không thực hiện hoặc cản trở thực hiện các quyền này có thể dẫn tới trách nhiệm pháp lý theo quy định.
Đối với các hệ thống AI, Big Data xử lý khối lượng lớn dữ liệu cá nhân, luật yêu cầu thực hiện đánh giá tác động xử lý dữ liệu cá nhân trước và trong quá trình vận hành. Đây là nghĩa vụ pháp lý bắt buộc, nhằm nhận diện sớm rủi ro, phòng ngừa vi phạm và làm căn cứ xác định trách nhiệm khi xảy ra sự cố xâm phạm dữ liệu.
Trong lĩnh vực Blockchain, dù công nghệ có đặc tính bảo mật và minh bạch cao, luật vẫn đặt ra yêu cầu bảo đảm khả năng thực thi các quyền của chủ thể dữ liệu, bao gồm cả quyền hạn chế hoặc ngừng xử lý dữ liệu khi có yêu cầu hợp pháp. Điều này buộc các chủ thể phát triển và vận hành Blockchain phải điều chỉnh mô hình kỹ thuật, bảo đảm tuân thủ pháp luật, tránh xung đột giữa đặc tính công nghệ và quy định bảo vệ dữ liệu cá nhân.
Đặc biệt, đối với hoạt động chuyển dữ liệu cá nhân ra nước ngoài, Luật Bảo vệ dữ liệu cá nhân yêu cầu phải đánh giá tác động trước khi chuyển dữ liệu, qua đó tăng cường kiểm soát pháp lý đối với các nền tảng cloud và hệ thống AI đặt máy chủ ngoài lãnh thổ Việt Nam. Việc không tuân thủ nghĩa vụ này có thể bị xem xét xử lý theo quy định của pháp luật.
Từ góc độ quản lý nhà nước, việc ban hành và thực thi Luật Bảo vệ dữ liệu cá nhân góp phần thiết lập trật tự pháp lý trong không gian số, tạo cơ sở để xử lý vi phạm, nâng cao kỷ cương, kỷ luật trong hoạt động khai thác dữ liệu. Về lâu dài, đây là điều kiện cần thiết để xây dựng niềm tin số, bảo đảm sự phát triển bền vững của kinh tế số và xã hội số tại Việt Nam.
Trong bối cảnh AI, Big Data, Blockchain và các công nghệ số phát triển ngày càng sâu rộng, Luật Bảo vệ dữ liệu cá nhân là công cụ thiết lập trật tự pháp lý trong không gian số. Việc luật hóa toàn bộ vòng đời xử lý dữ liệu, xác lập các giới hạn mang tính cấm đoán rõ ràng và gắn trách nhiệm pháp lý cụ thể với tổ chức, doanh nghiệp cho thấy quan điểm nhất quán của Nhà nước: đổi mới công nghệ phải đi cùng kỷ cương pháp luật, không đánh đổi quyền con người và lợi ích công cộng lấy tăng trưởng bằng mọi giá. Về dài hạn, khi các quy định này được thực thi nghiêm túc, Luật Bảo vệ dữ liệu cá nhân sẽ trở thành nền tảng quan trọng để củng cố niềm tin số, nâng cao trách nhiệm xã hội của các nền tảng công nghệ và tạo điều kiện cho kinh tế số Việt Nam phát triển bền vững, an toàn và có kiểm soát trong kỷ nguyên AI.
Thu Uyên