Hiện tại, ở Việt Nam, có rất nhiều luật (có thể kể đến, bao gồm Luật Giao dịch điện tử, Luật An ninh mạng, Luật An toàn thông tin mạng, Luật Viễn thông, Luật Công nghệ thông tin) có quy định về cơ sở dữ liệu (bao gồm cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành). Tuy nhiên, tất cả các luật hiện có đều không quy định cụ thể hoặc thống nhất về việc xử lý, quản trị dữ liệu (như việc thu thập, số hóa, bảo đảm chất lượng, lưu trữ dữ liệu, v.v); chưa quy định về nền tảng phát triển, ứng dụng công nghệ cao trong xử lý dữ liệu; chưa quy định việc tạo lập cơ sở dữ liệu được tổng hợp từ các cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành; chưa quy định sản phẩm, dịch vụ liên quan đến dữ liệu đang phát triển trên thế giới như sàn giao dịch dữ liệu, dịch vụ trung gian dữ liệu, dịch vụ phân tích, tổng hợp dữ liệu, v.v.. Trong khi đó, việc thiết lập thị trường dữ liệu, xây dựng và phát triển các sản phẩm, dịch vụ liên quan đến dữ liệu tại Việt Nam hiện nay lại có vai trò rất quan trọng, nó được xem là yếu tố đột phá để từng bước tạo lập và thúc đẩy mở thị trường dữ liệu tại Việt Nam, lấy thị trường dữ liệu làm động lực phát triển dữ liệu, thúc đẩy chuyển đổi số (không chỉ với các cơ quan nhà nước mà còn với các doanh nghiệp) ở tất cả các ngành, các lĩnh vực tại Việt Nam.

Với các mục đích nêu trên, cùng với việc lấy ý kiến để hoàn thiện dự thảo Luật Bảo vệ Dữ liệu cá nhân, ngày 30 tháng 11 năm 2024, Quốc hội đã thông qua Luật Dữ liệu số 60/2024/QH15 (“Luật Dữ liệu”). Luật Dữ liệu có hiệu lực thi hành từ ngày 01/07/2025 và áp dụng không chỉ đối với: (a) Cơ quan, tổ chức, cá nhân Việt Nam; (b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; mà còn với (c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động dữ liệu số tại Việt Nam.

Trong phạm vi bài viết này, chúng tôi xin tóm tắt một số nội dung đáng chú ý của Luật Dữ liệu như sau:

1. Giải thích từ ngữ

Luật Dữ liệu đưa ra nhiều định nghĩa mới như:

(a) “Dữ liệu số” là dữ liệu về sự vật, hiện tượng, sự kiện, bao gồm một hoặc kết hợp các dạng âm thanh, hình ảnh, chữ số, chữ viết, ký hiệu được thể hiện dưới dạng kỹ thuật số (sau đây gọi là dữ liệu).
(b) “Dữ liệu mở” là dữ liệu mà mọi cơ quan, tổ chức, cá nhân có nhu cầu đều được tiếp cận, chia sẻ, khai thác, sử dụng.
(c) “Dữ liệu gốc” là dữ liệu được tạo lập trong quá trình hoạt động của cơ quan, tổ chức, cá nhân hoặc thu thập, tạo lập từ số hóa bản chính giấy tờ, tài liệu, các dạng vật chất khác.
(d) “Dữ liệu quan trọng” là dữ liệu có thể tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng thuộc danh mục do Thủ tướng Chính phủ ban hành;
(e) “Dữ liệu cốt lõi” là dữ liệu quan trọng trực tiếp tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng thuộc danh mục do Thủ tướng Chính phủ ban hành;
(f) “Chủ quản dữ liệu” là cơ quan, tổ chức, cá nhân thực hiện hoạt động xây dựng, quản lý, vận hành, khai thác dữ liệu theo yêu cầu của chủ sở hữu dữ liệu;
(g) “Chủ sở hữu dữ liệu” là cơ quan, tổ chức, cá nhân có quyền quyết định việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng và trao đổi giá trị của dữ liệu do mình sở hữu;
(h) “Quyền của chủ sở hữu dữ liệu đối với dữ liệu” là quyền tài sản theo quy định của pháp luật về dân sự;

trong đó có một số định nghĩa khác với quy định tại Nghị định số 13/2023/NĐ-CP ngày 14/7/2023 về Bảo vệ Dữ liệu Cá nhân, chẳng hạn:

(a) “Chủ thể dữ liệu” là cơ quan, tổ chức, cá nhân được dữ liệu phản ánh.
(b) “Xử lý dữ liệu” là quá trình tiếp nhận, chuyển đổi, tổ chức dữ liệu và các hoạt động khác về dữ liệu để phục vụ hoạt động của cơ quan, tổ chức, cá nhân.

2. Nguyên tắc Áp dụng

Luật Dữ liệu quy định trường hợp luật khác ban hành trước ngày Luật Dữ liệu có hiệu lực thi hành có quy định không trái với nguyên tắc của Luật này thì thực hiện theo quy định của luật đó, nếu có quy định khác với quy định của Luật Dữ liệu thì phải xác định cụ thể nội dung thực hiện hoặc không thực hiện theo quy định của Luật Dữ liệu và nội dung thực hiện theo quy định của luật khác đó. Như vậy Luật Dữ liệu không đưa ra quy định xử lý trường hợp luật khác ban hành trước ngày Luật Dữ liệu có hiệu lực thi hành có quy định trái với nguyên tắc của Luật Dữ liệu.

3. Xử lý Dữ liệu

3.1. Thu thập, tạo lập dữ liệu

Luật Dữ liệu quy định:

(a) Dữ liệu được thu thập, tạo lập từ các nguồn bao gồm: trực tiếp tạo lập; số hóa giấy tờ, tài liệu và các dạng vật chất khác. Dữ liệu gốc được tạo lập có giá trị sử dụng như bản chính giấy tờ, tài liệu, các dạng vật chất khác được số hóa.
(b) Tổ chức, cá nhân có các quyền và trách nhiệm sau đối với hoạt động thu thập, tạo lập dữ liệu: (i) Được thu thập, tạo lập dữ liệu để phục vụ cho hoạt động của mình phù hợp với quy định của pháp luật; (ii) Được bảo vệ các quyền đối với chủ sở hữu dữ liệu theo quy định của Luật Dữ liệu, quy định của pháp luật về dân sự và quy định khác của pháp luật có liên quan; (iii) Chịu trách nhiệm đối với dữ liệu do mình thu thập, tạo lập theo quy định của pháp luật.

3.2. Phân loại dữ liệu

Các chủ sở hữu dữ liệu, chủ quản dữ liệu không phải là cơ quan Nhà nước phải phân loại dữ liệu theo tính chất quan trọng của dữ liệu gồm: dữ liệu cốt lõi, dữ liệu quan trọng, dữ liệu khác; và được phân loại dữ liệu theo các tiêu chí khác. Chính phủ sẽ quy định tiêu chí xác định dữ liệu cốt lõi và dữ liệu quan trọng.

3.3. Cung cấp dữ liệu cho cơ quan Nhà nước

Tổ chức, cá nhân phải cung cấp dữ liệu cho cơ quan Nhà nước khi có yêu cầu của cơ quan có thẩm quyền mà không cần chủ thể dữ liệu đồng ý trong các trường hợp: (a) Ứng phó với tình trạng khẩn cấp; (b) Khi có nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; (c) Thảm họa; (d) Phòng, chống bạo loạn, khủng bố. Cơ quan Nhà nước nhận được dữ liệu có trách nhiệm: (a) Sử dụng dữ liệu đúng mục đích; (b) Bảo đảm an ninh, an toàn dữ liệu, bảo vệ dữ liệu, lợi ích hợp pháp khác của chủ thể dữ liệu, tổ chức, cá nhân cung cấp dữ liệu theo quy định của pháp luật; (c) Hủy dữ liệu ngay khi dữ liệu đó không còn cần thiết cho mục đích đã yêu cầu và thông báo cho chủ thể dữ liệu, tổ chức, cá nhân đã cung cấp dữ liệu; (d) Thông báo việc lưu trữ, sử dụng dữ liệu khi có yêu cầu của tổ chức, cá nhân cung cấp dữ liệu, trừ trường hợp bảo vệ bí mật Nhà nước, bí mật công tác.

3.4. Xác nhận, xác thực dữ liệu

Xác nhận dữ liệu được thực hiện bởi chủ sở hữu dữ liệu, chủ quản dữ liệu hoặc tổ chức cung cấp dịch vụ xác thực điện tử. Dữ liệu được xác nhận có giá trị chứng minh sự tồn tại, thời gian, nơi lưu trữ của dữ liệu trên không gian mạng theo quy định của Luật Dữ liệu và quy định khác của pháp luật có liên quan.

Xác thực dữ liệu được thực hiện bởi chủ sở hữu dữ liệu, chủ quản dữ liệu tạo lập dữ liệu gốc, tổ chức cung cấp dịch vụ xác thực điện tử, Trung tâm dữ liệu quốc gia. Dữ liệu đã được xác thực có giá trị tương đương với dữ liệu gốc được lưu trữ tại cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành, cơ sở dữ liệu khác trong phạm vi và thời gian nhất định.

3.5. Mã hóa, giải mã dữ liệu

Dữ liệu thuộc danh mục bí mật Nhà nước phải được mã hóa bằng mật mã của cơ yếu khi lưu trữ, truyền, nhận, chia sẻ trên mạng máy tính. Chủ sở hữu dữ liệu, chủ quản dữ liệu quyết định việc mã hóa, giải mã dữ liệu sử dụng một hoặc nhiều giải pháp mã hóa và quy trình mã hóa, giải mã phù hợp với hoạt động quản trị, quản lý dữ liệu của mình. Tuy nhiên, cơ quan Nhà nước có thẩm quyền được quyền áp dụng các biện pháp để giải mã dữ liệu mà không cần chủ sở hữu dữ liệu, chủ quản dữ liệu đồng ý trong các trường hợp sau đây: (a) Tình trạng khẩn cấp; (b) Khi có nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; (c) Thảm họa; (d) Phòng, chống bạo loạn, khủng bố; do Chính phủ quy định.

3.6. Chuyển, xử lý dữ liệu xuyên biên giới

Cơ quan, tổ chức, cá nhân được tự do chuyển dữ liệu từ nước ngoài về Việt Nam, xử lý dữ liệu của nước ngoài tại Việt Nam, được Nhà nước bảo vệ các quyền và lợi ích hợp pháp theo quy định của pháp luật. Việc chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới, bao gồm: (a) Chuyển dữ liệu đang lưu trữ tại Việt Nam tới hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ Việt Nam; (b) Cơ quan, tổ chức, cá nhân Việt Nam chuyển dữ liệu cho tổ chức, cá nhân nước ngoài; (c) Cơ quan, tổ chức, cá nhân Việt Nam sử dụng nền tảng ở ngoài lãnh thổ Việt Nam để xử lý dữ liệu, phải bảo đảm quốc phòng, an ninh, bảo vệ lợi ích quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của chủ thể dữ liệu, chủ sở hữu dữ liệu theo quy định của pháp luật Việt Nam và các điều ước quốc tế mà Việt Nam là thành viên.

3.7. Xác định và quản lý rủi ro phát sinh trong xử lý dữ liệu

Rủi ro phát sinh trong xử lý dữ liệu bao gồm: rủi ro quyền riêng tư, rủi ro an ninh mạng, rủi ro nhận dạng và quản lý truy cập, rủi ro khác trong xử lý dữ liệu. Chủ quản dữ liệu không phải là cơ quan Nhà nước tự đánh giá, xác định rủi ro và thực hiện các biện pháp để bảo vệ dữ liệu; kịp thời khắc phục rủi ro phát sinh và thông báo cho chủ thể dữ liệu, cơ quan, tổ chức, cá nhân có liên quan. Chủ quản dữ liệu cốt lõi, dữ liệu quan trọng phải định kỳ tiến hành đánh giá rủi ro đối với các hoạt động xử lý dữ liệu đó theo quy định và thông báo tới đơn vị chuyên trách về an ninh mạng, an toàn thông tin thuộc Bộ Công an, Bộ Quốc phòng và cơ quan có liên quan để phối hợp thực hiện việc bảo vệ an toàn, an ninh dữ liệu.

3.8. Các hoạt động khác trong xử lý dữ liệu

Các chủ sở hữu dữ liệu, chủ quản dữ liệu không phải là cơ quan Nhà nước có trách nhiệm thiết lập quy trình, triển khai các biện pháp, phương thức thu hồi, xóa hoặc hủy dữ liệu theo yêu cầu của chủ thể dữ liệu.

4. Bảo vệ dữ liệu

Biện pháp bảo vệ dữ liệu được áp dụng trong toàn bộ quá trình xử lý dữ liệu, bao gồm:

(a) Xây dựng và tổ chức thực hiện chính sách, quy định bảo vệ dữ liệu;
(b) Quản lý hoạt động xử lý dữ liệu;
(c) Xây dựng và triển khai các giải pháp kỹ thuật;
(d) Đào tạo, bồi dưỡng, phát triển, quản lý nguồn nhân lực; và
(e) Các biện pháp bảo vệ dữ liệu khác theo quy định của pháp luật.

Chủ sở hữu dữ liệu, chủ quản dữ liệu quản lý dữ liệu cốt lõi, dữ liệu quan trọng phải tuân thủ các quy định về bảo vệ dữ liệu.

5. Khai thác Dữ liệu

Dữ liệu trong Cơ sở dữ liệu tổng hợp quốc gia có giá trị khai thác và sử dụng như dữ liệu gốc. Các tổ chức và cá nhân không phải là: (i) Cơ quan Đảng, cơ quan Nhà nước, hoặc tổ chức chính trị – xã hội; và (ii) Chủ thể dữ liệu; được tự do khai thác và sử dụng dữ liệu mở; khai thác và sử dụng dữ liệu cá nhân khi được sự đồng ý của Trung tâm dữ liệu quốc gia và cá nhân là chủ thể dữ liệu được khai thác; khai thác và sử dụng dữ liệu khác khi được sự đồng ý của Trung tâm dữ liệu quốc gia. Việc khai thác và sử dụng dữ liệu thực hiện qua các phương thức sau đây: (i) Kết nối, chia sẻ dữ liệu giữa cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành, cơ sở dữ liệu, hệ thống thông tin khác với Cơ sở dữ liệu tổng hợp quốc gia; (ii) Cổng dữ liệu quốc gia, Cổng Dịch vụ công quốc gia, cổng thông tin điện tử, hệ thống thông tin giải quyết thủ tục hành chính; (iii) Nền tảng định danh và xác thực điện tử; (iv) Ứng dụng định danh quốc gia; (v) Thiết bị, phương tiện, phần mềm do Trung tâm dữ liệu quốc gia cung cấp; và (vi) Phương thức khác.

Tổ chức, cá nhân khai thác, sử dụng dữ liệu của mình trong Cơ sở dữ liệu tổng hợp quốc gia và cơ sở dữ liệu khác do cơ quan Nhà nước quản lý không phải nộp phí. Các tổ chức, cá nhân không phải cơ quan Đảng, cơ quan Nhà nước hoặc tổ chức chính trị – xã hội khai thác, sử dụng dữ liệu của tổ chức, cá nhân khác trong Cơ sở dữ liệu tổng hợp quốc gia và cơ sở dữ liệu khác do cơ quan Nhà nước quản lý phải nộp phí theo quy định của pháp luật về phí và lệ phí.

6. Sản phẩm, dịch vụ về dữ liệu

(a) Luật Dữ liệu lần đầu tiên đưa ra định nghĩa các sản phẩm, dịch vụ về dữ liệu; bao gồm:

(i) Trung gian dữ liệu

Sản phẩm, dịch vụ trung gian dữ liệu là sản phẩm, dịch vụ nhằm thiết lập mối quan hệ thương mại giữa chủ thể dữ liệu, chủ sở hữu dữ liệu và bên sử dụng sản phẩm, dịch vụ, thông qua thỏa thuận nhằm mục đích trao đổi, chia sẻ, truy cập dữ liệu, thực hiện các quyền của chủ thể dữ liệu, chủ sở hữu dữ liệu, người dùng dữ liệu. Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu phải được đăng ký hoạt động và quản lý theo quy định của pháp luật về đầu tư; trừ trường hợp cung cấp sản phẩm, dịch vụ trung gian dữ liệu trong nội bộ tổ chức.

(ii) Phân tích, tổng hợp dữ liệu

Sản phẩm phân tích, tổng hợp dữ liệu là kết quả của quá trình phân tích, tổng hợp dữ liệu thành thông tin chuyên sâu hữu ích ở các cấp độ khác nhau theo yêu cầu của bên sử dụng sản phẩm. Dịch vụ phân tích, tổng hợp dữ liệu là hoạt động phân tích, tổng hợp dữ liệu theo yêu cầu của bên sử dụng dịch vụ. Tổ chức kinh doanh sản phẩm, dịch vụ phân tích, tổng hợp dữ liệu có thể gây nguy hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng phải đăng ký hoạt động, quản lý theo quy định của pháp luật về đầu tư.

(iii) Xác thực điện tử

Dịch vụ xác thực điện tử thực hiện việc xác thực dữ liệu trong các cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành, hệ thống định danh và xác thực điện tử do đơn vị sự nghiệp công lập, doanh nghiệp Nhà nước đáp ứng điều kiện cung cấp dịch vụ.

(iv) Sàn dữ liệu

Tổ chức cung cấp dịch vụ sàn dữ liệu là đơn vị sự nghiệp công lập, doanh nghiệp Nhà nước đáp ứng điều kiện cung cấp dịch vụ và được cấp phép thành lập theo quy định của pháp luật. Dữ liệu không được phép giao dịch bao gồm: (i) Dữ liệu gây nguy hại đến quốc phòng, an ninh, đối ngoại, cơ yếu; (ii) Dữ liệu không được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác; (iii) Dữ liệu khác bị cấm giao dịch theo quy định của pháp luật; và sẽ được Chính phủ quy định chi tiết.

(b) Ngoài ra, Luật Dữ liệu còn quy định các quyền và nghĩa vụ của tổ chức cung cấp sản phẩm, dịch vụ dữ liệu. Theo đó:

(i) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu, phân tích, tổng hợp dữ liệu được hưởng ưu đãi như các doanh nghiệp hoạt động trong lĩnh vực công nghệ cao, đổi mới sáng tạo, khởi nghiệp sáng tạo, công nghiệp công nghệ số.
(ii) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu, phân tích, tổng hợp dữ liệu, sàn dữ liệu cũng có một số trách nhiệm như: Cung cấp dịch vụ cho tổ chức, cá nhân trên cơ sở thỏa thuận bằng hợp đồng cung cấp dịch vụ; Bảo đảm kênh tiếp nhận thông tin và việc sử dụng dịch vụ thông suốt, liên tục; Giám sát hành vi có thể ảnh hưởng đến việc bảo vệ dữ liệu; v.v./.

—–