Nền kinh tế dữ liệu và trật tự pháp lý mới tại Việt Nam: Tái định hình quyền, trách nhiệm và quản trị trong kỷ nguyên dữ liệu
Nền kinh tế dữ liệu đang trở thành trụ cột mới của tăng trưởng trong kỷ nguyên số, và Việt Nam không đứng ngoài xu hướng đó. Với sự ra đời của Luật Dữ liệu số 60/2024/QH15 và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, Việt Nam đang từng bước thiết lập một trật tự pháp lý mới cho quản trị dữ liệu và thị trường dữ liệu. Thay vì coi dữ liệu là tài sản có thể tự do chuyển nhượng, khung pháp luật mới định hình dữ liệu như một đối tượng khai thác có điều kiện, gắn với quyền, nghĩa vụ và trách nhiệm rõ ràng. Sự chuyển dịch này không chỉ nhằm bảo vệ dữ liệu cá nhân và an ninh quốc gia, mà còn tạo nền tảng cho các giao dịch dữ liệu minh bạch, an toàn và bền vững. Trong bối cảnh đó, quản trị dữ liệu trở thành năng lực cốt lõi của doanh nghiệp và là yếu tố quyết định sự phát triển dài hạn của nền kinh tế số Việt Nam.
Từ bảo vệ dữ liệu cá nhân đến giao dịch dữ liệu có điều kiện – Việt Nam đang định hình một trật tự pháp lý mới cho kinh tế số
Việt Nam đang bước vào một giai đoạn đáng chú ý của chuyển đổi số, nơi dữ liệu không còn chỉ là “phụ phẩm” của hoạt động vận hành hay một vấn đề thuần kỹ thuật, mà dần được nhìn nhận như một nguồn lực có thể tạo ra giá trị kinh tế, thúc đẩy đổi mới sáng tạo và định hình năng lực cạnh tranh quốc gia. Điểm nhấn quan trọng của giai đoạn này là việc hình thành một nền tảng pháp lý tương đối đầy đủ để vừa khai thác dữ liệu phục vụ phát triển, vừa đặt các “đường ray” quản trị nhằm kiểm soát rủi ro về quyền riêng tư, an ninh và trách nhiệm pháp lý.
Trên bình diện lập pháp, Luật Dữ liệu số 60/2024/QH15 có hiệu lực từ 01/07/2025 được xem là đạo luật chuyên biệt đầu tiên của Việt Nam điều chỉnh một cách hệ thống các vấn đề về dữ liệu số, quản trị dữ liệu, phát triển thị trường dữ liệu và các sản phẩm, dịch vụ dữ liệu. Cùng với đó, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 có hiệu lực từ 01/01/2026 thiết lập cơ chế bảo vệ dữ liệu cá nhân theo hướng toàn diện hơn, làm rõ quyền của chủ thể dữ liệu và trách nhiệm của các chủ thể tham gia xử lý dữ liệu. Ở tầng chính sách triển khai, Nghị định 169/2025/NĐ-CP tiếp tục cụ thể hóa nhiều nội dung liên quan đến hoạt động khoa học, công nghệ, đổi mới sáng tạo và sản phẩm, dịch vụ về dữ liệu.
Tuy nhiên, một thị trường dữ liệu “đúng nghĩa” không thể vận hành bền vững chỉ bằng các tuyên ngôn chính sách. Từ góc nhìn của giao dịch thương mại và quản trị doanh nghiệp, hệ sinh thái dữ liệu chỉ thực sự trưởng thành khi trả lời được các câu hỏi mang tính nền tảng: dữ liệu được “định danh pháp lý” như thế nào; quyền đối với dữ liệu được xác lập và chuyển giao ra sao; mô hình trách nhiệm của các nền tảng trung gian (đặc biệt là sàn dữ liệu) nên thiết kế theo chuẩn nào; hợp đồng dữ liệu cần chuẩn hóa đến mức độ nào để phân bổ rủi ro; và cuối cùng là tranh chấp dữ liệu được giải quyết bằng cơ chế nào để đảm bảo tính dự báo và khả năng thực thi xuyên biên giới.
Dữ liệu có phải là một “asset class” mới hay chỉ là quyền khai thác có điều kiện?
Ở các thị trường phát triển, khái niệm “data as an asset” được thảo luận như một xu hướng tất yếu của kinh tế số. Nhưng ngay cả tại các hệ thống pháp luật tiên tiến, dữ liệu cũng hiếm khi được coi là tài sản theo cách “đơn giản hóa” như tài sản hữu hình. Lý do nằm ở bản chất đặc thù của dữ liệu: dữ liệu có thể được sao chép với chi phí rất thấp; có thể được nhiều chủ thể khai thác đồng thời; và giá trị của dữ liệu thường không nằm ở “bản thân dữ liệu thô” mà nằm ở khả năng xử lý, liên kết, làm sạch, tổng hợp và phân tích trong một bối cảnh cụ thể.
Trong bối cảnh Việt Nam, vấn đề càng trở nên thực tiễn vì một loạt giao dịch sẽ phụ thuộc trực tiếp vào cách ta xác lập tư cách pháp lý của dữ liệu. Doanh nghiệp muốn thương mại hóa dữ liệu sẽ cần trả lời: đây là chuyển nhượng “tài sản” hay là cấp phép “quyền sử dụng/quyền khai thác”? Nếu là cấp phép, phạm vi quyền được cấp đến đâu, bị giới hạn bởi mục đích sử dụng ra sao, và cơ chế thu hồi/quyền kiểm soát hậu giao dịch được thiết kế thế nào? Những câu hỏi này không chỉ mang tính học thuật, mà quyết định cấu trúc pháp lý của hợp đồng, phương thức ghi nhận doanh thu, cơ chế kiểm soát rủi ro và thậm chí ảnh hưởng đến định giá doanh nghiệp trong các giao dịch M&A, đầu tư công nghệ, hoặc gọi vốn.
Trong thực tiễn, cách tiếp cận thận trọng và khả thi nhất hiện nay thường là coi giao dịch dữ liệu như giao dịch “quyền khai thác có điều kiện”, thay vì mặc định là “chuyển quyền sở hữu” theo nghĩa truyền thống. Cách tiếp cận này phù hợp với bản chất của dữ liệu, đồng thời cho phép pháp luật can thiệp hợp lý để bảo vệ lợi ích công, đặc biệt là đối với dữ liệu liên quan đến cá nhân, dữ liệu quan trọng và dữ liệu có yếu tố an ninh.
Phân loại dữ liệu và ranh giới pháp lý: điểm khởi đầu của mọi mô hình kinh doanh dữ liệu
Một thị trường dữ liệu chỉ có thể minh bạch khi có hệ thống phân loại đủ rõ để xác định “dữ liệu nào được phép giao dịch” và “điều kiện giao dịch là gì”. Ở đây, ranh giới quan trọng nhất là giữa dữ liệu cá nhân và dữ liệu phi cá nhân, và xa hơn là giữa dữ liệu thô với dữ liệu đã được tổng hợp/ẩn danh hóa.
Điểm đáng lưu ý là trong nhiều mô hình kinh doanh hiện đại, doanh nghiệp thường không giao dịch trực tiếp dữ liệu cá nhân “nhận diện được”, mà giao dịch dữ liệu đã được tổng hợp, phân đoạn, hoặc tạo ra các sản phẩm dữ liệu (data products) phục vụ phân tích thị trường, tối ưu chuỗi cung ứng, đánh giá rủi ro tín dụng, hoặc huấn luyện mô hình AI. Tuy nhiên, rủi ro pháp lý xuất hiện khi dữ liệu “tưởng là phi cá nhân” nhưng vẫn có thể dẫn đến tái nhận diện (re-identification) khi được kết hợp với các tập dữ liệu khác. Trong kỷ nguyên AI, ngưỡng rủi ro này không còn là giả định xa vời; nó là bài toán quản trị và trách nhiệm thực tế.
Vì vậy, đối với doanh nghiệp, phân loại dữ liệu không nên chỉ là một thao tác “gắn nhãn” nội bộ. Nó cần trở thành một trụ cột của quản trị dữ liệu, đi kèm với các tiêu chí kỹ thuật và pháp lý để chứng minh mức độ ẩn danh hóa, mức độ rủi ro tái nhận diện và cơ chế kiểm soát truy cập. Về mặt giao dịch, phân loại dữ liệu càng rõ, hợp đồng càng “định nghĩa đúng đối tượng”, trách nhiệm càng dễ phân bổ, và khả năng thực thi càng cao khi tranh chấp xảy ra.
Dữ liệu cá nhân: thị trường dữ liệu không thể phát triển nếu thiếu “privacy-by-design”
Một trong những thông điệp quan trọng nhất của hệ thống pháp luật mới là: thị trường dữ liệu tại Việt Nam sẽ không phát triển theo hướng “mở rộng bằng mọi giá”, mà theo hướng “mở rộng có điều kiện”, trong đó điều kiện cốt lõi là bảo vệ dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân thiết lập một loạt nghĩa vụ mang tính cấu trúc đối với các chủ thể xử lý dữ liệu, từ cơ sở pháp lý cho hoạt động xử lý, yêu cầu về sự đồng ý (trong các trường hợp phù hợp), nghĩa vụ minh bạch/thông báo, đến các cơ chế quản trị như đánh giá tác động và quản trị chuyển dữ liệu xuyên biên giới. Trong logic của một nền kinh tế dữ liệu, đây không chỉ là yêu cầu tuân thủ, mà là “giấy phép xã hội” (social license) để thị trường vận hành: người dùng và khách hàng chỉ tiếp tục chia sẻ dữ liệu khi họ tin rằng dữ liệu được sử dụng đúng mục đích, trong giới hạn cần thiết, và có cơ chế bảo vệ hữu hiệu.
Từ góc độ doanh nghiệp, “privacy-by-design” không còn là khẩu hiệu. Nó là cách tiếp cận quản trị giúp doanh nghiệp giảm rủi ro pháp lý ngay từ khâu thiết kế sản phẩm, xây dựng quy trình thu thập, lưu trữ, phân quyền truy cập và kiểm soát chia sẻ. Khi thị trường dữ liệu phát triển, doanh nghiệp càng phải coi quản trị dữ liệu là năng lực cốt lõi ngang với quản trị tài chính hay quản trị nhân sự, bởi chi phí của một sự cố dữ liệu thường không dừng lại ở xử phạt; nó còn là chi phí tranh chấp, bồi thường, gián đoạn vận hành và suy giảm niềm tin thị trường.
Chủ quyền dữ liệu và dữ liệu xuyên biên giới: bài toán cân bằng giữa hội nhập và kiểm soát rủi ro quốc gia
Nếu bảo vệ dữ liệu cá nhân là “lớp quyền” của công dân, thì chủ quyền dữ liệu (data sovereignty) là “lớp lợi ích” của quốc gia. Ở nhiều nước, quản trị dữ liệu đang dịch chuyển từ câu hỏi “ai được dùng dữ liệu” sang câu hỏi “dữ liệu được xử lý ở đâu, bởi ai, dưới cơ chế giám sát nào”. Việt Nam cũng không nằm ngoài xu hướng này khi nhấn mạnh các cơ chế quản trị dữ liệu, an ninh dữ liệu và các điều kiện liên quan đến hoạt động trao đổi dữ liệu, trong đó có vấn đề dữ liệu xuyên biên giới được nhìn nhận như một trọng tâm quản trị rủi ro.
Từ góc độ giao dịch, điều này tác động mạnh đến các mô hình kinh doanh dựa trên hạ tầng cloud quốc tế, trung tâm dữ liệu đặt ngoài lãnh thổ, hoặc chuỗi cung ứng dữ liệu đa quốc gia (multi-jurisdiction data supply chain). Doanh nghiệp sẽ cần thiết kế “bản đồ dòng chảy dữ liệu” (data flow mapping) để nhận diện dữ liệu nào rời khỏi hệ thống nội địa, cơ sở pháp lý nào cho việc chuyển giao, và cơ chế kiểm soát nào để đáp ứng yêu cầu quản lý.
Đối với nhà đầu tư nước ngoài và doanh nghiệp đa quốc gia, đây cũng là điểm cần “đọc kỹ” khi vào Việt Nam: không chỉ tuân thủ luật theo nghĩa hình thức, mà cần hiểu triết lý quản trị đằng sau các quy định để xây dựng mô hình vận hành phù hợp ngay từ đầu, tránh các điều chỉnh tốn kém về sau.
Sàn dữ liệu và trách nhiệm trung gian: “technical intermediary” hay “regulated gatekeeper”?
Luật Dữ liệu mở ra không gian cho sự xuất hiện và phát triển của các sản phẩm, dịch vụ dữ liệu, bao gồm các hoạt động như trung gian dữ liệu, phân tích/tổng hợp dữ liệu và sàn dữ liệu. Tuy nhiên, điểm then chốt quyết định niềm tin thị trường nằm ở mô hình trách nhiệm của các chủ thể trung gian. Nếu sàn dữ liệu chỉ là một “bệ kỹ thuật” trung lập, trách nhiệm hợp pháp chủ yếu thuộc về bên cung cấp và bên mua dữ liệu. Nhưng nếu sàn dữ liệu được thiết kế như một “cổng kiểm soát” (gatekeeper) của thị trường, sàn có thể phải gánh các nghĩa vụ thẩm định nhất định, nghĩa vụ kiểm soát tuân thủ, cơ chế xử lý vi phạm và hợp tác với cơ quan quản lý.
Thực tiễn quốc tế cho thấy thị trường càng lớn, yêu cầu đối với trung gian càng cao. Lý do đơn giản: khi rủi ro lan truyền tăng lên, thị trường cần một điểm “kỷ luật” để chặn các hành vi rủi ro ngay từ cửa vào. Vấn đề đặt ra cho Việt Nam là thiết kế mức nghĩa vụ nào là hợp lý để vừa bảo vệ thị trường, vừa không tạo gánh nặng tuân thủ khiến mô hình sàn dữ liệu khó hình thành.
Ở góc độ doanh nghiệp vận hành nền tảng, câu hỏi không chỉ là “có phải chịu trách nhiệm không”, mà là “chịu trách nhiệm ở mức nào” và “chịu trách nhiệm theo cơ chế gì”: nghĩa vụ rà soát nguồn gốc dữ liệu, kiểm tra quyền khai thác, yêu cầu chứng cứ về tính hợp pháp của dữ liệu, cơ chế tiếp nhận khiếu nại, quy trình gỡ dữ liệu, và điều kiện đình chỉ tài khoản. Những cấu phần này, nếu được tiêu chuẩn hóa, sẽ tạo ra niềm tin thị trường và giảm mạnh chi phí tranh chấp.
Hợp đồng dữ liệu: trái tim pháp lý của thị trường dữ liệu
Trong hầu hết các giao dịch, dữ liệu không được “bán đứt” theo nghĩa truyền thống; nó được cấp phép sử dụng hoặc cấp quyền khai thác trong một phạm vi, thời hạn và mục đích nhất định. Vì vậy, hợp đồng dữ liệu không thể chỉ là hợp đồng mua bán đơn giản. Hợp đồng dữ liệu là một thiết kế quản trị rủi ro, trong đó các điều khoản phải đủ tinh vi để xử lý những đặc điểm “dễ sao chép, khó kiểm soát hậu giao dịch” của dữ liệu.
Một hợp đồng dữ liệu có chất lượng thường cần làm rõ ba lớp nội dung. Lớp thứ nhất là “định nghĩa và phạm vi”: dữ liệu là gì, được chuẩn hóa ra sao, có bao gồm dữ liệu phát sinh (derivatives) hay không, có kèm metadata hay không. Lớp thứ hai là “mục đích và giới hạn”: được dùng để làm gì, có được dùng để huấn luyện AI hay không, có được kết hợp với dữ liệu khác hay không, có được chuyển tiếp cho bên thứ ba hay không. Lớp thứ ba là “trách nhiệm và chế tài”: cam kết về quyền khai thác hợp pháp, bảo đảm về chất lượng dữ liệu theo mức độ phù hợp, cơ chế xử lý dữ liệu sai lệch, vi phạm quyền bên thứ ba, lộ lọt dữ liệu, và quan trọng nhất là cơ chế audit và quyền chấm dứt/thu hồi.
Nếu thị trường dữ liệu tại Việt Nam muốn phát triển nhanh nhưng an toàn, việc hình thành các “chuẩn hợp đồng” (contract standards) theo từng ngành, từng loại sản phẩm dữ liệu sẽ là một bước đi mang tính nền móng. Đây cũng là mảnh đất mà các hãng luật có thể đóng vai trò dẫn dắt thông qua tư vấn thiết kế khung hợp đồng, điều khoản mẫu và quy tắc phân bổ rủi ro theo thông lệ quốc tế.
Tranh chấp dữ liệu: cần cơ chế giải quyết “nhanh – kín – xuyên biên giới”
Dữ liệu là tài sản vô hình, dễ sao chép, khó thu hồi và có thể bị khai thác từ bất kỳ đâu. Vì vậy, tranh chấp dữ liệu thường có đặc điểm là phát sinh nhanh, thiệt hại lan truyền nhanh và chứng cứ có thể biến đổi nhanh. Trong bối cảnh đó, cơ chế giải quyết tranh chấp của thị trường dữ liệu cần đáp ứng ba tiêu chí: tốc độ, tính bảo mật và khả năng xử lý yếu tố xuyên biên giới.
Trọng tài thương mại và các cơ chế ADR thường phù hợp hơn tòa án trong nhiều tranh chấp dữ liệu, không phải vì tòa án kém hiệu quả, mà vì doanh nghiệp cần một cơ chế linh hoạt trong thu thập chứng cứ kỹ thuật số, bảo mật bí mật kinh doanh, và khả năng áp dụng các biện pháp khẩn cấp tạm thời phù hợp với đặc thù của rò rỉ dữ liệu. Tuy nhiên, để cơ chế này phát huy hiệu quả, hợp đồng dữ liệu phải được “cài” sẵn điều khoản giải quyết tranh chấp với tư duy dữ liệu: lựa chọn luật áp dụng, lựa chọn cơ quan giải quyết, quy tắc chứng cứ số, biện pháp khẩn cấp và cơ chế thực thi phán quyết.
Việt Nam đang đi từ “data compliance” đến “data governance” – và thị trường chỉ bền vững khi quản trị được thiết kế đồng bộ
Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân đang đặt nền móng cho một trật tự pháp lý mới của kinh tế số tại Việt Nam, trong đó dữ liệu vừa là nguồn lực để tăng trưởng, vừa là đối tượng phải được quản trị nghiêm ngặt theo nguyên tắc quyền, trách nhiệm và kiểm soát rủi ro.
Ở giai đoạn đầu, thách thức lớn nhất không nằm ở việc “có luật hay không”, mà nằm ở việc thị trường sẽ chuẩn hóa như thế nào: chuẩn hóa phân loại dữ liệu; chuẩn hóa cơ chế đồng ý và minh bạch; chuẩn hóa mô hình trách nhiệm của sàn dữ liệu; chuẩn hóa hợp đồng dữ liệu; và chuẩn hóa cơ chế giải quyết tranh chấp phù hợp với bản chất xuyên biên giới của dữ liệu. Chỉ khi các chuẩn mực này hình thành, thị trường dữ liệu mới đạt được “niềm tin vận hành” (operational trust) để phát triển quy mô.
Với lợi thế là một thị trường đang kiến tạo, Việt Nam có cơ hội lựa chọn một mô hình cân bằng: thúc đẩy đổi mới sáng tạo và thương mại hóa dữ liệu, nhưng không đánh đổi quyền riêng tư, an ninh dữ liệu và lợi ích quốc gia. Nói cách khác, triển vọng của “data economy” tại Việt Nam sẽ không được quyết định bởi tốc độ xây sàn dữ liệu, mà bởi chất lượng thiết kế quản trị dữ liệu ngay từ đầu.
Tác giả: Luật sư Nguyễn Linh
Hãng luật La Défense
Xem thêm:
