Title 49 - Lý Thị Phương Lâm, Bùi Thị Ngọc Lan - Hoàn thiện cơ chế bảo vệ dữ liệu người tiêu dùng.docx ✅

2 consumers. Within the scope of this article, the author will clarify the provisions of current laws and offer recommendations for their improvement. Keywords: Data protection, consumer, legal improvement, recommendations…. Đặt vấn đề: Điều 21 Hiến pháp năm 2013 đã khẳng định quyền được bảo vệ về bí mật cá nhân 1 là quyền bất khả xâm phạm của con người, bí mật cá nhân là các thông tin liên quan đến đời sống riêng tư và gắn liền với nhân thân. Đây là dạng thông tin mà chủ thể không có nhu cầu tiết lộ và cần được bảo mật. Trong môi trường số hóa toàn diện, bí mật cá nhân tồn tại dưới dạng dữ liệu số và trở thành một loại “vàng mới” 2 , có vai trò và vị trí quan trọng, các thông tin như số điện thoại, địa chỉ email, tài khoản ngân hàng, hồ sơ y tế, sinh trắc học... đều có giá trị chỉ đích danh cá nhân khi tham gia các giao dịch dân sự, thương mại. Hơn nữa, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 cũng xác định: “Thông tin của người tiêu dùng bao gồm thông tin cá nhân của người tiêu dùng, thông tin về quá trình mua, sử dụng sản phẩm, hàng hóa, dịch vụ của người tiêu dùng và thông tin khác liên quan đến giao dịch giữa người tiêu dùng và tổ chức, cá nhân kinh doanh.” 3 . Có thể hiểu rằng, thông tin của người tiêu dùng sẽ bao gồm hai dạng thông tin, một là thông tin cá nhân cơ bản như họ tên, số điện thoại, thông tin tài khoản ngân hàng của người tiêu dùng,… và hai là, các thông tin khác như lịch sử mua hàng hay các khiếu nại về chất lượng dịch vụ. Chính vì là các thông tin có giá trị chứng minh cá nhân đó, với tư cách là người tiêu dùng, nếu được thể hiện dưới dạng dữ liệu số hoặc thông tin dưới dạng khác 4 được xem là dữ liệu cá nhân. Thông tin của người tiêu dùng nói riêng và dữ liệu cá nhân nói chung có thể trở thành “miếng mồi béo bở” để các đối tượng xấu thu thập bằng các thủ đoạn tinh vi nhằm thực hiện hành vi xâm phạm bất hợp pháp, trong đó, mạo danh để lừa đảo là hệ quả tất yếu mang tính phức tạp, khó kiểm soát và ngày càng phổ biến. Thực thi nhằm bảo vệ quyền của cá nhân theo Hiến pháp, các nhà lập pháp đã ban hành nhiều văn bản pháp luật nhằm tạo cơ chế bảo vệ bí mật cá nhân, đặc biệt 1 “Điều 21. 1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn. 2. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác.” 2 Kiều Oanh (2025), “Bảo vệ dữ liệu cá nhân: Từ quyền riêng tư đến chủ quyền số”, Báo Quân đội nhân dân. [https://www.qdnd.vn/giao-duc-khoa-hoc/cac-van-de/bao-ve-du-lieu-ca-nhan-tu-quyen-rieng-tu-den-chu-quyen- so-841529], truy cập ngày 17/08/2025. 3 Khoản 3 Điều 3 Luật Bảo vệ quyền lợi người tiêu dùng 2023. 4 Khoản 1 Điều 2 Luật bảo vệ dữ liệu cá nhân 2025.

4 Để điều chỉnh và đưa vấn đề bảo vệ dữ liệu cá nhân vào khuôn khổ, Luật BVDLCN được đánh giá là một đạo luật khá đầy đủ, tiệm cận các chuẩn mực quốc tế trong bảo vệ dữ liệu cá nhân. Tuy nhiên, vì Việt Nam là quốc gia còn non trẻ trong lĩnh vực số hóa và công nghệ số có tốc độ phát triển nhanh chóng, rất khó khăn trong việc bắt kịp và điều chỉnh nên cũng tồn tại một số bất cập, hạn chế cần được làm rõ như sau: Một là, quy định còn mang tính khung sườn, chưa cụ thể để có thể áp dụng trực tiếp. Nhìn chung Luật BVDLCN đã có cách tiếp cận cụ thể, rõ ràng hơn so với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, văn bản trực tiếp điều chỉnh cơ chế bảo vệ dữ liệu cá nhân khi Luật BVDLCN chưa được ban hành. Toàn văn Luật này nêu rõ các khái niệm quan trọng, tiền đề như khái niệm dữ liệu cá nhân, dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm 6 , tạo cơ sở vững chắc trong xác định các thông tin được xem là dữ liệu cá nhân thuộc đối tượng điều chỉnh của luật. Các vấn đề như nguyên tắc bảo vệ dữ liệu cá nhân, quyền và nghĩa vụ của các chủ thể liên quan cũng được Luật quy định chặt chẽ. Bên cạnh những thành quả đạt được, vẫn còn tồn tại bất cập làm cho tính rõ ràng, cụ thể và hiệu quả áp dụng trực tiếp của Luật này bị hạn chế. Chẳng hạn như, Luật BVDLCN xác định cơ sở để quy định cơ chế bảo vệ dữ liệu cá nhân là phòng ngừa các hành vi xâm phạm đến “lợi ích hợp pháp” 7 , nhưng không định nghĩa cụ thể lợi ích hợp pháp là loại lợi ích nào, lợi ích vật chất hay phi vật chất…. Điều này dẫn đến việc áp dụng quy định của luật trở nên không hiệu quả vì có thể bị lạm dụng hoặc hiểu sai theo từng lĩnh vực. Luật BVDLCN chỉ nói chung rằng bảo vệ dữ liệu cá nhân để tránh ảnh hưởng đến quyền, lợi ích hợp pháp của các chủ thể liên quan, nhưng không đưa ra khái niệm chi tiết, ví dụ cụ thể cho các loại lợi ích được luật bảo vệ. Trong quá trình áp dụng Luật BVDLCN, vì không có cơ sở pháp lý cụ thể xác định lợi ích hợp pháp là gì, các chủ thể có thể “lợi dụng” điểm hở này nhằm xác định một lợi ích nào đó mang tính chất trục lợi nhưng không trái với quy định pháp luật liên quan là hợp pháp, là được bảo hộ theo Luật BVDLCN. Có chăng, khi này việc xác định một cách chủ quan như vậy cũng sẽ được chấp nhận, vì rõ ràng, không có cơ sở luật định thì không thể xử lý, sự mơ hồ này sẽ làm giảm hiệu quả điều chỉnh của luật. Bên cạnh đó, các quy định về chuyển dữ liệu xuyên biên giới cũng thể hiện sự mơ hồ tương tự, Điều 20 Luật BVDLCN quy định các trường hợp chuyển dữ liệu cá nhân xuyên biên giới, lập hồ sơ đánh giá tác động… nhưng quy trình thực hiện như thế nào thì chưa được nêu rõ trong luật, cũng như các trường hợp miễn trừ việc đánh giá tác động cũng không được quy định rõ ràng. Chính những khoảng trống này làm cho Luật 6 Khoản 1, khoản 2, khoản 3 Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025. 7 Toàn văn Luật này quy định rất nhiều về “lợi ích hợp pháp”, đơn cử là Điều 2, Điều 3, Điều 4, Điều 7, Điều 16, Điều 19, Điều 24, Điều 30, Điều 32.