Bảo vệ dữ liệu cá nhân trong xây dựng chính quyền số - Kinh nghiệm từ Liên minh châu Âu và gợi mở cho Việt Nam

Thực trạng bảo vệ quyền dữ liệu cá nhân trong xây dựng chính quyền số tại Liên minh châu Âu (EU)

Trong tiến trình xây dựng chính quyền số, EU là khu vực dẫn đầu về bảo đảm quyền dữ liệu cá nhân của công dân thông qua việc thiết lập hành lang pháp lý chặt chẽ. Trọng tâm của khung khổ này là Quy định chung về bảo vệ dữ liệu (GDPR), được thông qua năm 2016 và chính thức có hiệu lực từ ngày 25-5-2018. Tất cả các nước thành viên của EU và các cơ quan công quyền tham gia vào quá trình số hóa dịch vụ công đều phải thực hiện. GDPR thiết lập hệ thống nguyên tắc xử lý dữ liệu mang tính nền tảng như tính hợp pháp, công bằng và minh bạch, bảo vệ dữ liệu ngay từ khâu thiết kế, cũng như trách nhiệm giải trình của tổ chức xử lý dữ liệu. Quy định này điều chỉnh toàn bộ các hoạt động thu thập, lưu trữ và sử dụng thông tin cá nhân, bao gồm cả dữ liệu do cơ quan nhà nước xử lý qua hệ thống chính quyền điện tử. Đồng thời, GDPR xác lập rõ ràng các quyền của chủ thể dữ liệu, như quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền phản đối, quyền được biết mục đích sử dụng, qua đó tăng cường khả năng kiểm soát của công dân đối với dữ liệu cá nhân trong môi trường số.

Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã công bố các quyết định cuối cùng sau hai cuộc điều tra đối với Meta Platforms Ireland Limited (MPIL). Vụ rò rỉ dữ liệu đã ảnh hưởng đến khoảng 29 triệu tài khoản Facebook trên toàn cầu, trong đó khoảng 3 triệu tài khoản có trụ sở tại EU/EEA. DPC đã thực thi quyết định xử lý nghiêm khắc, bao gồm khiển trách và lệnh nộp phạt hành chính với tổng số tiền là 251 triệu euro. Dưới tác động của GDPR, nhiều quốc gia thành viên EU đã triển khai các mô hình chính quyền số gắn chặt với việc bảo đảm quyền dữ liệu của công dân. Tại Đức, các hệ thống hành chính điện tử được thiết kế theo nguyên tắc “bảo vệ dữ liệu ngay từ khâu thiết kế”, kèm theo yêu cầu đánh giá tác động bảo vệ dữ liệu trước khi đưa vào vận hành. Tại Pháp, Ủy ban Quốc gia về Tin học và Tự do (CNIL) giữ vai trò giám sát chặt chẽ đối với các nền tảng dịch vụ công số, nhằm bảo đảm các quyền truy cập, chỉnh sửa và phản đối xử lý dữ liệu của công dân. Trong khi đó, Estonia cho phép người dân theo dõi toàn bộ lịch sử truy cập dữ liệu cá nhân của mình trong hệ thống nhà nước, qua đó tăng cường tính minh bạch và củng cố niềm tin trong môi trường số. Bên cạnh GDPR, EU còn phát triển các chính sách về quyền củacông dân trên không gian số, tiêu biểu là Tuyên bố về Quyền và Nguyên tắc số (European Declaration on Digital Rights and Principles). Văn kiện này khẳng định công dân phải được đặt ở vị trí trung tâm của quá trình chuyển đổi số, trong đó quyền riêng tư và bảo vệ dữ liệu cá nhân được bảo đảm song hành với các quyền cơ bản khác như tự do ngôn luận, bình đẳng và không phân biệt đối xử.

Nguyên tắc then chốt khác trong quản trị chính quyền số tại EU là “Once-Only”, theo đó công dân chỉ cần cung cấp thông tin một lần và các cơ quan công quyền có thể tái sử dụng dữ liệu đó trong phạm vi pháp luật cho phép. Quy chuẩn này giúp giảm gánh nặng hành chính cho người dân song vẫn bảo đảm tuân thủ chặt chẽ các yêu cầu bảo vệ dữ liệu theo GDPR. Mọi hoạt động chia sẻ và tái sử dụng dữ liệu chỉ được thực hiện khi có cơ sở pháp lý, minh bạch và tôn trọng quyền con người. Sau hơn 6 năm, GDPR cho thấy tác động sâu rộng trong việc nâng cao vai trò và thẩm quyền của các cơ quan bảo vệ dữ liệu quốc gia tại EU. Việc thực thi GDPR đã thúc đẩy tính minh bạch, trách nhiệm giải trình và chất lượng quản trị các dịch vụ công số, đồng thời yêu cầu các cơ quan nhà nước phải tích hợp bảo vệ quyền dữ liệu cá nhân ngay từ giai đoạn triển khai.

Kinh nghiệm của Liên minh châu Âu trong bảo vệ dữ liệu cá nhân

Thứ nhất, xác lập khuôn khổ pháp lý với Quy định chung về bảo vệ dữ liệu (GDPR)

GDPR xác lập quyền lợi của chủ thể dữ liệu, giúp cá nhân tăng cường khả năng tự quyết và kiểm soát thông tin trong quá trình xử lý. Người dân được quyền sửa đổi, xóa bỏ, phản đối việc sử dụng thông tin hoặc chuyển dịch dữ liệu giữa các nhà cung cấp dịch vụ khác nhau. Bên cạnh đó, quy định còn nhấn mạnh nghĩa vụ của bên kiểm soát dữ liệu trong việc cung cấp nội dung minh bạch cũng như bảo đảmtính dễ tiếp cận của quy trình xử lý đối với mỗi cá nhân.

Báo cáo đánh giá của Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) cho thấy các cơ quan bảo vệ dữ liệu đã tăng cường đáng kể các nỗ lực thực thi. Kể từ khi GDPR được triển khai, các cơ quan chức năng đã banhành hơn 6.680 khoản phạt với tổng số tiền xấp xỉ 4,2 tỷ euro. Cơ quan bảo vệ dữ liệu của Ireland áp đặt tổng số tiền phạt cao nhất với 2,8 tỷ euro, tiếp theo là Luxembourg với 746 triệu euro⁽¹⁾.

Thứ hai, vận hành dựa trên các nguyên tắc quản trị cốt lõi

GDPR xây dựng việc bảo vệ dữ liệu cá nhân dựa trên các nguyên tắc nền tảng như: nguyên tắc hợp pháp, công bằng và minh bạch, giảm thiểu dữ liệu, thời hạn lưu trữ, tính chính xác, bảo mật và an toàn, cùng trách nhiệm giải trình của tổ chức xử lý dữ liệu. GDPR quy định chỉ có một quyết định giám sát duy nhất được đưa ra trong các trường hợp xuyên biên giới, khi có sự tham gia của nhiều cơ quan giám sát quốc gia. Nguyên tắc này được gọi là nguyên tắc “một cửa”, có nghĩa là một tổ chức có các chi nhánh con ở nhiều quốc gia thành viên sẽ chỉ làm việc với cơ quan bảo vệ dữ liệu ở quốc gia đặt trụ sở chính. Hội đồng Bảo vệ Dữ liệu châu Âu bảo đảm GDPR được áp dụng đầy đủ, bao gồm các đại diện của 27 cơ quan giám sát độc lập⁽²⁾. 

Thứ ba, bảo đảm quyền của chủ thể dữ liệu

GDPR quy định rõ quyền của chủ thể dữ liệu như quyền truy cập, chỉnh sửa, xóa dữ liệu, quyền phản đối, xử lý dữ liệu và quyền được biết mục đích sử dụng dữ liệu. Việc bảo đảm các quyền này là nền tảng để tạo dựng niềm tin số trong chính quyền điện tử, giúp công dân cảm thấy an tâm hơn khi sử dụng dịch vụ công trực tuyến⁽³⁾. 

Thứ tư, thiết lập hệ thống cơ quan giám sát độc lập và thực thi nghiêm minh.

EU thiết lập hệ thống cơ quan bảo vệ dữ liệu độc lập (DPAs) ở mỗi nước thành viên để giám sát, phối hợp và thực thi GDPR một cách thống nhất. Mỗi Cơ quan Bảo vệ Dữ liệu (DPA) thuộc Khu vực Kinh tếchâu Âu (EEA) có trách nhiệm giám sát và thực thi áp dụng GDPR, đồng thời nâng cao nhận thức và hiểu biết của công chúng về các rủi ro, quy tắc, biện pháp bảo vệ và quyền liên quan đến việc xử lý dữ liệu cá nhân. Nhiệm vụ của DPA còn bao gồm tư vấn cho quốc hội, chính phủ cùng các tổ chức liên quan, giải quyết khiếu nại, điều tra việc tuân thủ và phối hợp chặt chẽ với những đơn vị đồng cấp nhằm bảo đảm khuôn khổ GDPR được áp dụng thống nhất.

Thực tế cho thấy, các hình thức xử phạt và quyết định cưỡng chế của DPAs thể hiện sự nghiêm túc trong bảo vệ quyền dữ liệu.

TikTok bị phạt 530 triệu euro bởi Cơ quan Bảo vệ Dữ liệu Ireland vì đã chuyển dữ liệu người dùng EU sang Trung Quốc mà không đáp ứng yêu cầu bảo vệ tương đương theo GDPR⁽⁴⁾. LinkedIn bị phạt 310 triệu euro vì xử lý dữ liệu người dùng cho mục đích quảng cáo mà không có cơ sở pháp lý rõ ràng⁽⁵⁾. Clearview AI bị phạt hơn 30 triệu euro bởi Cơ quan Bảo vệ Dữ liệu Hà Lan vì xây dựng cơ sở dữ liệu sinh trắc học không minh bạch và vi phạm nghiêm trọng quy định bảo vệ dữ liệu. Ngoài ra, Meta cũng liên tục đối mặt với nhiều khoản phạt lớn dưới GDPR, với tổng số tiền gần 3 tỷ euro từ nhiều quyết định xử phạt khác nhau, trong đó có án phạt 251 triệu euro liên quan đến lỗ hổng bảo mật ảnh hưởng đến 29 triệu người dùng⁽⁶⁾. Những con số và ví dụ cụ thể này không chỉ thể hiện mức độ thực thi nghiêm ngặt của GDPR, mà còn chứng tỏ EU coi trọng việc xử lý dữ liệu cá nhân là một quyền cơ bản không thể xâm phạm, bất kể đối tượng xử lý là doanh nghiệp lớn hay cơ quan công quyền.

Thứ năm, tăng cường hợp tác xuyên quốc gia

GDPR thiết kế cơ chế “one-stop-shop” cho các trường hợp xử lý dữ liệu xuyên biên giới, cho phép DPAs phối hợp điều tra và ra quyết định thống nhất thông qua Ủy ban EDPB. Theo các báo cáo gần đây, cơ chế này ngày càng được sử dụng nhiều, với hàng nghìn trường hợp trao đổi thông tin, hỗ trợ lẫn nhau và tranh luận liên quan đến các tranh chấp xử lý dữ liệu giữa các quốc gia. Tuy vậy, trong bối cảnh số hóa sâu rộng và sự phát triển nhanh chóng của công nghệ như AI hay nhận diện sinh trắc học, EU tiếp tục phải đối mặt với thách thức cân bằng giữa mở rộng dịch vụ số và bảo vệ quyền dữ liệu cá nhân, đòi hỏi tiếp tục điều chỉnh quy định để phù hợp với bối cảnh mới.

Thực trạng bảo vệ dữ liệu cá nhân trong xây dựng chính quyền số tại Việt Nam

Trong những năm gần đây, Việt Nam đã có những bước tiến quan trọng trong việc xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân, đặc biệt trong bối cảnh phát triển chính quyền số. 

Thứ nhất, Nghị định số 13/2023/NĐ-CP, của Chính phủ, ngày 17-4-2023, về “Bảo vệ dữ liệu cá nhân” là văn bản pháp lý đầu tiên quy định một cách toàn diện về trách nhiệm bảo vệ dữ liệu của các cơ quan, tổ chức, cá nhân tham gia xử lý dữ liệu cá nhân ở cả trong nước và ngoài nước. Văn bản này xác lập các nguyên tắc vận hành chặt chẽ dựa trên sự đồng thuận của chủ thể đồng thời quy định cụ thể nghĩa vụ thông báo và cung cấp hồ sơ cho người dân của bên kiểm soát. Bên cạnh đó, các thực thể liên quan có trách nhiệm triển khai hệ thống giải pháp kỹ thuật bảo mật nhằm ngăn chặn hành vi mua bán trái phép và bảo đảm quy trình khai thác thông tin diễn ra trong thời hạn phù hợp với mục tiêu⁽⁷⁾. Chính phủ cũng thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, bao gồm xây dựng chiến lược, hướng dẫn biện pháp bảo vệ dữ liệu, tuyên truyền, đào tạo và xử lý vi phạm theo quy định. Mặc dù Nghị định số 13/2023/NĐ-CP đã tạo ra khuôn khổ pháp lý đầu tiên cho bảo vệ dữ liệu cá nhân tại Việt Nam, songhệ thống pháp luật hiện nay vẫn còn một số hạn chế trong bối cảnh chính quyền số. Trước khi Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua ngày 26-6-2025 có hiệu lực vào năm 2026, việc quản trị dữ liệu cá nhân ở Việt Nam chủ yếu dựa vào nghị định và các văn bản có liên quan, khiến khung pháp lý chưa thực sự đồng bộ và thiếu tính ổn định lâu dài.

Thứ hai, các quy định về thực thi và giám sát trong Nghị định số 13/2023/NĐ-CP còn phân tán và chưa có cơ quan bảo vệ dữ liệu hoạt động độc lập như mô hình tại EU. Tuy có chức năng thanh tra, kiểm tra và xử lý vi phạm, nhưng việc phối hợp đồng bộ giữa các bộ, ngành trong quản lý và giám sát dữ liệu cá nhân vẫn đang trong quá trình hoàn thiện, tạo ra khoảng trống pháp lý và thực thi ở một số lĩnh vực dịch vụ công số. Bên cạnh đó, việc thu thập và xử lý lượng dữ liệu cá nhân khổng lồ trong các hệ thống chính quyền số cũng là thách thức với cơ quan quản lý. Đồng thời, nguy cơ rò rỉ dữ liệu trong quá trình số hóa dịch vụ công đã đặt ra yêu cầu cấp thiết về nâng cao các biện pháp kỹ thuật và quản trị để bảo đảm an toàn thông tin. 

Như vậy, mặc dù khung pháp lý bảo vệ dữ liệu cá nhân của Việt Nam đã được củng cố với Nghị định số13/2023/NĐ-CP và sự ra đời của Luật Bảo vệ dữ liệu cá nhân, thì việc tiếp tục hoàn thiện cơ chế thực thi, xây dựng thiết chế giám sát độc lập và nâng cao nhận thức xã hội vẫn là những nhiệm vụ trọng tâm cần được ưu tiên trong bối cảnh phát triển chính quyền số.

Vận dụng kinh nghiệm từ Liên minh châu Âu trong bảo vệ dữ liệu tại Việt Nam

Từ kinh nghiệm thực tiễn của EU, có thể rút ra một số giá trị tham khảo cho Việt Nam để góp phần hoàn thiện khuôn khổ bảo vệ dữ liệu cá nhân trong quá trình xây dựng chính quyền số.

Thứ nhất, khung pháp lý thống nhất, toàn diện và đặt quyền con người làm trung tâm. Quy định chung về bảo vệ dữ liệu (GDPR) không chỉ tạo ra chuẩn mực cao về bảo vệ dữ liệu cá nhân mà còn thiết lập cơ chế trách nhiệm rõ ràng đối với các chủ thể xử lý dữ liệu, bao gồm cả cơ quan công quyền. Đây là kinh nghiệm quý để tiếp tục hoàn thiện pháp luật, bảo đảm quyền kiểm soát thực chất của công dân đối với dữ liệu cá nhân.

Thứ hai, thiết chế giám sát độc lập và cơ chế thực thi hiệu quả, qua đó bảo đảm các quy định pháp luật không chỉ tồn tại trên văn bản mà được áp dụng một cách nhất quán trong thực tế. Đây là gợi ý tốt để nghiên cứu xây dựng, củng cố cơ chế giám sát chuyên trách, nhằm nâng cao tính khách quan và hiệu lực thực thi trong lĩnh vực bảo vệ dữ liệu cá nhân.

Thứ ba, trách nhiệm giải trình và chế tài đủ mạnh. GDPR quy định mức xử phạt rất cao đối với các hành vi vi phạm, tạo ra tác dụng răn đe rõ rệt và buộc các tổ chức phải đầu tư nghiêm túc cho việc tuân thủ. Đối với Việt Nam, việc từng bước hoàn thiện cơ chế xử phạt và trách nhiệm pháp lý tương xứng có thể góp phần nâng cao hiệu quả thực thi, đặc biệt trong bối cảnh dữ liệu cá nhân ngày càng được xử lý ở quy mô lớn trong các hệ thống chính quyền số.

Thứ tư, đánh giá tác động bảo vệ dữ liệu trước khi triển khai các hệ thống xử lý dữ liệu có rủi ro cao. Cách tiếp cận này cho phép nhận diện sớm các nguy cơ xâm phạm quyền dữ liệu và chủ động điều chỉnh từ giai đoạn triển khai. Đây là giải pháp phù hợp để có thể áp dụng đối với các dự án lớn về chính quyền số, giúp chuyển trọng tâm từ xử lý hậu quả sang phòng ngừa rủi ro.

Thứ năm, nhận thức xã hội và văn hóa tôn trọng quyền dữ liệu. Các chương trình truyền thông, hướng dẫn và giáo dục về quyền dữ liệu cá nhân tại EU đã góp phần nâng cao vai trò chủ động của người dân khi sử dụng dịch vụ công trực tuyến. Đối với Việt Nam, việc tăng cường truyền thông và đào tạo cho cán bộ công quyền và người dân là giải pháp cần thiết để xây dựng niềm tin số, thúc đẩy sự tham gia tích cực của xã hội vào quá trình chuyển đổi số.

Bảo vệ quyền đối với dữ liệu cá nhân là trụ cột trong xây dựng chính quyền số bền vững. Kinh nghiệm của Liên minh châu Âu cho thấy, khuôn khổ pháp lý chặt chẽ, cơ chế thực thi hiệu quả và tôn trọng quyền công dân là yếu tố quyết định thành công. Đây là tham khảo để chúng ta tiếp tục hoàn thiện pháp luật, góp phần xây dựng chính quyền số lấy người dân làm trung tâm, bảo đảm quyền con người trong kỷ nguyên số.

--------------------------

(1) Xem: European Data Protection Board (EDPB): Annual Report 2023/2024 (Tạm dịch: Báo cáo thường niên 2023 - 2024), Brussels, 2024
(2), (3) Xem: European Parliament and Council of the European Union: General Data Protection Regulation -GDPR (Tạm dịch: Quy định chung về bảo vệ dữ liệu), 2016
(4) Xem: Irish Supervisory Authority fines TikTok €530 million and orders corrective measures, (Tạm dịch: Cơ quan giám sát Ireland phạt TikTok 530 triệu euro và yêu cầu các biện pháp khắc phục), https://www.edpb.europa.eu/news/news/2025/irish-supervisory-authority-fines-tiktok-eu530-million-and-orders-corrective_en
(5) Xem: LinkedIn fined 310 million euros by EU privacy regulator over ad tracking, (Tạm dịch: LinkedIn bị cơ quan quản lý quyền riêng tư EU phạt 310 triệu euro vì theo dõi quảng cáo), https://apnews.com/article/6769ae3b83ea0d83cab8d8cfd1fa7e68
(6) Xem: EU privacy regulator fines Meta 251 million euros, (Tạm dịch: Cơ quan quản lý quyền riêng tư EU phạt Meta 251 triệu euro), https://www.reuters.com/technology/eu-privacy-regulator-fines-meta-251-million-euros-2024-12-17/
(7) Xem: Nghị định 13/2023/NĐ-CP, của Chính phủ, ngày 17-04-2023, về “Bảo vệ dữ liệu cá nhân”, https://xaydungchinhsach.chinhphu.vn/toan-van-nghi-dinh-13-2023-nd-cp-bao-ve-du-lieu-ca-nhan-119230516104357809.htm