Đan Thanh/Tạp chí Luật Khoa
14/10/2025
Đồ họa: Thiên Tân/Luật Khoa.
Hoạt động thu thập dữ liệu người dân một cách tích cực của cả chính quyền lẫn doanh nghiệp trong thời kỳ “chuyển đổi số” đã đặt ra những ưu tư cho mỗi cá nhân đối với quyền làm chủ dữ liệu của họ.
Rốt cuộc, pháp luật đang bảo vệ quyền dữ liệu của cá nhân như thế nào? Liệu khung quy định pháp lý đã đủ rõ và đủ chặt? Và rằng, luật pháp đang quy định và bảo vệ dữ liệu của người dân theo cách bảo vệ một loại tài sản, hay một khía cạnh thuộc về nhân thân?
Đó có lẽ là những câu hỏi mà các cơ quan chức năng vẫn đang nợ người dân một nỗ lực làm rõ. Người dân cần được biết và cần hiểu rõ về những quyền lợi thiết thân của họ, để có thể thực thi quyền đầy đủ của mình và phát giác rõ những hành vi có dấu hiệu xâm phạm quyền và lợi ích hợp pháp của họ.
Bài viết này sẽ cố gắng gửi đến độc giả những giải đáp khái lược cho các câu hỏi vừa đặt ra. Đồng thời, cố gắng phân tích và chỉ ra những điểm chưa xác đáng, chưa chặt chẽ và còn đáng ngờ trong hệ thống luật định về dữ liệu cá nhân hiện nay.
Quyền với dữ liệu cá nhân: quyền nhân thân hay tài sản?
Câu hỏi này đã tạo nên làn sóng tranh luận giữa các nhà làm luật với vô vàn quan điểm. Cùng sự ra đời của máy tính, thuật ngữ “dữ liệu” xuất hiện và được dùng để chỉ các thông tin thuộc về máy tính như byte, bit bên trong bộ nhớ của các thiết bị điện tử… Bước tiến của thời gian và công nghệ đã mở rộng nội hàm của khái niệm “dữ liệu”.
Theo Quy định chung về bảo vệ dữ liệu (GDPR), dữ liệu cá nhân được hiểu là mọi thông tin gắn liền với một cá nhân đã được xác định hoặc có thể xác định được (chủ thể dữ liệu), dù trực tiếp hay gián tiếp. [1] Nhóm thông tin này bao gồm, chẳng hạn, tên, số nhận dạng, dữ liệu định vị, mã định danh trực tuyến, cũng như các dữ liệu liên quan đến đặc điểm thể chất, sinh học, di truyền, tâm lý, kinh tế hoặc văn hóa của cá nhân đó.
Trước năm 2023, tại Việt Nam, dữ liệu cá nhân chưa được định nghĩa một cách cụ thể, mà chỉ được quy định rải rác ở các văn bản quy phạm pháp luật khác nhau, như trong Bộ luật Dân sự 2015 quy định về bảo đảm an toàn với thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử của cá nhân; Luật An toàn thông tin mạng 2015 với định nghĩa về thông tin cá nhân. [2] Sau đó, định nghĩa ấy chính thức được nội luật hóa vào Nghị định 13/2023/NĐ-CP tại khoản 1 Điều 2. [3]
Làn sóng tranh luận nổ ra quanh việc: hiện giờ, nên xem quyền với dữ liệu là quyền nhân thân (bất khả xâm phạm, không định lượng bằng tiền và không thể chuyển nhượng); hay là quyền tài sản (được đo lường bằng tiền, được phép chuyển nhượng, định đoạt)?
Thử phân tích cách tiếp cận từ phía Việt Nam.
Ngay trong tám nguyên tắc cốt yếu được nêu ra trong văn bản pháp luật đầu tiên của Việt Nam về dữ liệu cá nhân – Nghị định 13/2023/NĐ-CP – đã chế định rằng “Dữ liệu cá nhân không được mua bán dưới mọi hình thức, trừ trường hợp luật có quy định khác” (tại khoản 4, Điều 3).
Như vậy, có thể hiểu luật Việt Nam đang tiếp cận quyền về dữ liệu theo hướng quyền nhân thân. Cho đến tận bây giờ, trong cả những phân tích pháp luật gần đây, Việt Nam vẫn đang có xu hướng coi “quyền với dữ liệu cá nhân bao hàm trong phạm trù quyền nhân thân, trở thành một khía cạnh, bộ phận cấu thành quan trọng.” [4]
Tuy nhiên, cách tiếp cận này lại lộ ra nhiều xung đột nội tại trong chính hệ thống văn bản luật Việt Nam.
Theo Ủy ban Châu Âu, quyền của mỗi người đối với dữ liệu cá nhân được ghi nhận khá rộng, bao gồm nhưng không giới hạn ở: (i) quyền kiểm soát thông tin cá nhân của mình, trong đó có quyền yêu cầu chỉnh sửa để bảo đảm tính chính xác và đầy đủ; (ii) quyền cho phép hoặc từ chối việc bên thứ ba tiếp cận dữ liệu; (iii) quyền yêu cầu các tổ chức, cá nhân có liên quan bảo mật dữ liệu; (iv) quyền đòi bồi thường khi thông tin cá nhân bị xâm phạm trái pháp luật. [5]
Từ đó, Nghị định số 13/2023/NĐ-CP tại Điều 9, cũng đã cụ thể hóa 11 quyền của chủ thể dữ liệu, bao gồm: quyền được biết; quyền đồng ý; quyền truy cập; quyền rút lại sự đồng ý; quyền xóa dữ liệu; quyền hạn chế xử lý dữ liệu; quyền được cung cấp dữ liệu; quyền phản đối xử lý dữ liệu; quyền khiếu nại, tố cáo, khởi kiện; quyền yêu cầu bồi thường thiệt hại; và quyền tự bảo vệ.
Nghịch lý là, trong số những quyền này, nhiều quyền lại mang bản chất của quyền tài sản chứ không phải quyền nhân thân, bởi chúng gắn liền với lợi ích kinh tế và có khả năng định giá hoặc yêu cầu bồi thường khi bị xâm phạm.
Trong đời sống xã hội cũng như trong các quan hệ pháp luật, vấn đề tài sản luôn giữ vị trí then chốt. Nhằm điều chỉnh hiệu quả các quan hệ này, các nhà lập pháp Việt Nam qua nhiều thời kỳ đã không ngừng hoàn thiện các định chế về tài sản.
Đáng chú ý, Bộ luật Dân sự năm 2015 đã đưa ra định nghĩa mới, xác định tài sản bao gồm “vật, tiền, giấy tờ có giá và quyền tài sản”. Đây được xem là bước tiến quan trọng so với các bộ luật trước đây, khi quy định rõ ràng hơn về việc phân loại tài sản thành động sản và bất động sản; bao gồm cả những tài sản hiện có và tài sản sẽ hình thành trong tương lai.
Theo Bộ luật Dân sự Việt Nam, để một thứ được coi là “vật” thì phải đáp ứng ba điều kiện: nó phải tồn tại trong thế giới vật chất (hiện tại hoặc sẽ hình thành trong tương lai); mang lại giá trị thực cho người sở hữu; và có thể bị con người chiếm hữu.
Đồng thời, trong luật cũng quy định rõ: bất động sản là đất đai và những tài sản gắn liền với đất đai, không thể di dời được. Ngược lại, động sản là tất cả những gì có thể di chuyển được, dù tự thân hay nhờ tác động từ bên ngoài.
Từ những định nghĩa này, có thể thấy dữ liệu cá nhân hoàn toàn có cơ sở để được xem là một loại tài sản, cụ thể là động sản. Vì:
(1) Dữ liệu cá nhân tồn tại khách quan trong đời sống, hiện hữu trong mọi hoạt động xã hội hiện đại.
(2) Con người có thể chiếm hữu và kiểm soát dữ liệu cá nhân thông qua các thao tác điện tử như lưu trữ, thu thập, phân tích hay truyền tải. Dù không thể “cầm, nắm, chạm” như một vật thể hữu hình, dữ liệu cá nhân vẫn chịu sự chi phối trực tiếp hoặc gián tiếp từ con người.
(3) Dữ liệu cá nhân còn mang giá trị kinh tế to lớn, tức là mang “giá trị thực” – như một tài nguyên của thế kỷ 21.
Như vậy, dữ liệu cá nhân hoàn toàn thỏa mãn các tiêu chí để được coi là tài sản trong pháp luật dân sự Việt Nam, và việc xếp chúng vào nhóm động sản là hoàn toàn có cơ sở.
Cũng tại Điều 115 Bộ luật Dân sự 2015 quy định: “Quyền tài sản là quyền trị giá được bằng tiền, bao gồm quyền tài sản đối với đối tượng sở hữu trí tuệ, quyền sử dụng đất và các quyền tài sản khác”. Theo đó, điểm trọng yếu mà các nhà làm luật xác định đối với quyền tài sản chính là khả năng “trị giá được bằng tiền”, tức định nghĩa bằng lợi ích vật chất để có thể trở thành đối tượng điều chỉnh của quan hệ tài sản. Từ đó, dữ liệu cá nhân với tiềm năng kinh tế dồi dào thế kia dứt khoát mang bản chất pháp lý của quan hệ tài sản chứ không thể lý luận theo hướng quyền nhân thân.
Dữ liệu cá nhân: cán cân giữa quyền tài sản và quyền lực nhà nước
Khi dữ liệu cá nhân được coi là tài sản, đồng nghĩa với việc chủ thể dữ liệu có đầy đủ các quyền chiếm hữu, sử dụng và định đoạt đối với dữ liệu của mình.
Cách tiếp cận này đã đưa dữ liệu vượt ra khỏi phạm vi một loại thông tin đơn thuần để trở thành đối tượng của các quan hệ giao dịch dân sự, có thể được mua bán, chuyển nhượng, để lại thừa kế hoặc yêu cầu bồi thường khi bị xâm phạm.
Tương tự như các quyền tài sản khác, dữ liệu cá nhân mang giá trị kinh tế có thể định lượng bằng tiền, qua đó hình thành cơ sở pháp lý để khẳng định rằng nhà nước không được phép tùy tiện can thiệp hay xâm phạm đến dữ liệu của người dân ngoài khuôn khổ luật định.
Khi được nhìn nhận dưới lăng kính quyền nhân thân, dữ liệu cá nhân thường chỉ được bảo vệ trên phương diện đạo đức – pháp lý, gắn với phẩm giá và sự riêng tư của cá nhân. Trong trường hợp này, nhà nước có thể viện dẫn những lý do như an ninh, trật tự xã hội hay sức khỏe cộng đồng để hợp thức hóa việc hạn chế, tiếp cận dữ liệu, mà không phải chịu ràng buộc chặt chẽ về cơ chế bồi thường.
Ngược lại, nếu được xác định quyền dữ liệu là quyền tài sản, dữ liệu cá nhân khi đó trở thành một đối tượng có giá trị định lượng bằng tiền, có thể tham gia giao dịch, mua bán, chuyển nhượng.
Điều này đồng nghĩa với việc mọi hành vi can thiệp của nhà nước phải được đặt trong khuôn khổ hiến định về bảo vệ quyền sở hữu: nhà nước chỉ được can thiệp trong những trường hợp thật sự cần thiết, vì lợi ích công cộng, và phải tuân thủ những nguyên tắc cơ bản về bồi thường, tương tự như khi nhà nước trưng dụng đất đai hoặc các loại tài sản khác.
Chính vì vậy, việc thừa nhận quyền dữ liệu cá nhân như một loại quyền tài sản để tôn trọng quyền tự quyết của chủ thể, không chỉ mở ra cơ sở pháp lý rõ ràng để bảo vệ lợi ích của cá nhân, mà còn tạo nên một “lá chắn” hữu hiệu nhằm hạn chế sự tùy tiện của quyền lực nhà nước. Nhà nước khi đó không thể mặc nhiên xem dữ liệu là “tài sản công” để khai thác vô điều kiện, mà phải thực hiện đầy đủ nghĩa vụ giải trình, bảo đảm quyền làm chủ, ra quyết định, cũng như quyền kiểm soát hợp pháp của công dân.
Trong một nghiên cứu của Amihai Glazer mang tên “Quyền sở hữu và sự phát triển của nhà nước” đã chỉ ra rằng quyền sở hữu tài sản của người dân sẽ tỷ lệ nghịch với quyền kiểm soát quyền lực của người cai trị. [6]
Thật vậy. Trong lịch sử, việc kiểm soát tuyệt đối thần dân có thể giúp củng cố quyền lực và an ninh nội bộ cho các chế độ chuyên chế, nhưng đồng thời lại làm suy giảm năng suất và hạn chế sự gia tăng của cải xã hội.
Ngược lại, của cải và sự thịnh vượng lại có ý nghĩa đặc biệt quan trọng trong việc bảo vệ quốc gia trước các mối đe dọa từ bên ngoài. Muốn khuyến khích thần dân gia tăng sản lượng, nhà cầm quyền buộc phải trao cho họ những quyền căn bản như quyền sở hữu, quyền tự do di chuyển, hay quyền tham gia bầu cử – đồng nghĩa với việc một phần quyền lực chuyên chế phải được từ bỏ để đổi lấy sự phát triển chung.
Trong bối cảnh hiện nay, dữ liệu cá nhân phải được nhìn nhận dưới dạng quyền tài sản để nhà nước phải chấp nhận nguyên tắc tương tự: quyền lực công cần được giới hạn, một phần quyền lực phải “nhường chỗ” cho việc bảo đảm quyền tài sản dữ liệu của công dân vì mục tiêu kinh tế chung.
Luật An ninh mạng – cánh tay của Bộ Công an
Trong một cuộc cách mạng công nghệ như hiện giờ, việc củng cố an ninh mạng đương nhiên là cần kíp để dữ liệu cá nhân không bị đe dọa trên không gian mạng. Thế nhưng, Luật An ninh mạng rốt cuộc được dùng để “bảo vệ” hay “xâm phạm” công dân thì còn tùy cách diễn giải và sử dụng.
Theo định nghĩa của Liên minh châu Âu trong NIS Directive (2016, sửa đổi 2022) thì khái niệm an ninh mạng “đề cập đến việc bảo vệ hệ thống mạng và thông tin (NIS), người dùng của chúng, và các cá nhân bị ảnh hưởng khác khỏi các sự cố và mối đe dọa mạng.” [7]
Còn theo định nghĩa từ phía Hoa Kỳ, “an ninh mạng” có nghĩa là việc bảo vệ thông tin, thiết bị, máy tính, tài nguyên máy tính, thiết bị liên lạc và thông tin được lưu trữ trong đó khỏi việc truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hủy trái phép. [8]
Tới lượt Việt Nam, khái niệm này bỗng trở nên… lạ lùng hơn. Ta thấy, nếu các văn bản quốc tế thường tiếp cận khái niệm “an ninh mạng” theo nghĩa hẹp, chủ yếu gắn với việc bảo vệ dữ liệu, hệ thống và thiết bị, thì pháp luật Việt Nam – cụ thể tại khoản 1 Điều 2 Luật An ninh mạng năm 2018 – lại định nghĩa theo nghĩa rộng mênh mông.
Theo luật này, “an ninh mạng” không chỉ là vấn đề kỹ thuật mà còn đóng vai trò hành lang pháp lý nhằm ngăn ngừa và xử lý các hành vi có khả năng gây tác động đến mọi chủ thể, cũng như đến an ninh quốc gia và lợi ích công cộng. Cụ thể, Luật An ninh mạng năm 2018 quy định “an ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.”
Có thể nhận thấy rõ sự khác biệt trong cách tiếp cận giữa Việt Nam và quốc tế. Trong khi EU và Mỹ tập trung vào khía cạnh kỹ thuật: mục tiêu của đảm bảo an ninh mạng là bảo vệ hệ thống, tức hướng đến đảm bảo an toàn kỹ thuật và quyền cá nhân, thì Việt Nam lại xem mục tiêu của an ninh mạng nằm ở ổn định chính trị và kiểm soát xã hội – những chức năng vốn có của Bộ Công an. Như vậy, vô hình trung khái niệm an ninh mạng được pháp chế hóa như một bước đi để củng cố thêm quyền lực cho bộ này.
Chính cách định nghĩa đó của Luật An ninh mạng 2018 đã trao cho Bộ Công an thẩm quyền rộng lớn, bao gồm: quyền yêu cầu cung cấp dữ liệu, kiểm soát nội dung và xử lý các hành vi bị coi là đe dọa an ninh quốc gia, trật tự an toàn xã hội. Cách tiếp cận này phản ánh tư duy an ninh – chính trị, trong đó dữ liệu cá nhân chủ yếu được nhìn như một công cụ quản lý thay vì một đối tượng quyền. Do đó, quyền riêng tư của công dân dễ bị nhường chỗ cho yêu cầu “an ninh quốc gia” – vốn là một khái niệm dễ bị diễn giải tùy tiện, vô tội vạ.
Trước tình hình đó, càng nên cần nhìn nhận quyền với “dữ liệu cá nhân” là một dạng quyền tài sản với đúng bản chất pháp lý của nó. Tức rằng, dữ liệu phải được gắn liền với lợi ích vật chất và khả năng định lượng (ví dụ: dữ liệu tài chính, dữ liệu tiêu dùng, dữ liệu sinh trắc học có giá trị thương mại). Để từ đó, các nguyên tắc bảo vệ tài sản đối với dữ liệu sẽ được Hiến pháp và Bộ luật Dân sự bảo hộ, hạn chế bớt cánh tay kiểm soát, kìm kẹp của Bộ Công an.
GIÚP LUẬT KHOA DUY TRÌ BÁO CHÍ TỰ DO VÀ TRUNG THỰC
Để một tờ báo độc lập hoạt động không dễ dàng chút nào, đặc biệt khi nó phải hoạt động ở nước ngoài và chịu chi phí cao hơn khi ở trong nước. Phần lớn các cây viết phải ẩn danh để có thể đảm bảo an toàn và tự do viết. Vì tính chất báo chí độc lập, phi kiểm duyệt, Luật Khoa khó có thể nhận quảng cáo hay vốn đầu tư từ doanh nghiệp trong nước.
Nhưng đó là cách duy nhất để chúng tôi có thể đưa những tin tức chân thực nhất đến bạn đọc mà không bị ai đó kiểm duyệt hay chi phối mình. Chúng tôi sẵn sàng đánh đổi để giữ sự tự do ấy.
Chúng tôi tin bạn, những người Việt Nam yêu tự do và công bằng, có thể đồng cảm với con đường làm báo này.
Quyền dữ liệu cá nhân: Là quyền tài sản, quyền nhân thân, hay… tùy nhà nước?
Không có nhận xét nào