Pháp luật Liên minh châu Âu về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Tóm tắt: Trong quá trình phát triển của thương mại điện tử, dữ liệu cá nhân đóng vai trò vô cùng quan trọng: Là nền tảng xây dựng mọi hoạt động tương tác, kết nối, giao dịch và phát triển kinh doanh trên môi trường số. Bài viết này thông qua việc phân tích các quy định của pháp luật Liên minh châu Âu (EU) về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử, trọng tâm là Quy định chung về Bảo vệ dữ liệu (GDPR) năm 2016, nhằm đưa ra đánh giá về các tác động của pháp luật trong quá trình thực thi. Từ đó tiến hành so sánh, phân tích với các quy định hiện hành của Việt Nam, chỉ ra một số bất cập, qua đó đề xuất khuyến nghị hoàn thiện pháp luật về việc bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam¹.

Từ khóa: Dữ liệu cá nhân, thương mại điện tử, pháp luật EU, GDPR.

EUROPEAN UNION LAW ON PERSONAL DATA PROTECTION IN E-COMMERCE ACTIVITIES

Abstract: In the evolution of E-commerce, personal data plays an extremely important role: As the foundation for building all activities of interaction, connection, transaction, and business development in the digital environment. This article examines the regulatory framework of the European Union on personal data protection in E-commerce, with particular emphasis on the 2016 General Data Protection Regulation (GDPR), and evaluates its implications for law enforcement and compliance. It further undertakes a comparative analysis with the existing Vietnamese legal framework, identifies key deficiencies, and advances recommendations for the refinement of Vietnam's legal regime on personal data protection in E-commerce1.

Keywords: Personal data, E-commerce, European Union Law, GDPR.

1. Đặt vấn đề

Trong bối cảnh chuyển đổi số toàn cầu, hoạt động mua bán, cung ứng hàng hóa và dịch vụ qua các sàn thương mại điện tử không chỉ mang lại sự tiện lợi cho người tiêu dùng mà còn mở ra những cơ hội cạnh tranh mới cho doanh nghiệp. Tuy nhiên, song hành với những lợi ích này là sự gia tăng đáng kể việc thu thập, xử lý và khai thác dữ liệu cá nhân. Các thông tin như họ tên, địa chỉ, thói quen mua sắm, lịch sử tìm kiếm, thông tin thanh toán... trở thành “tài sản số” có giá trị, đồng thời cũng tiềm ẩn nhiều nguy cơ bị lạm dụng, rò rỉ hoặc khai thác trái phép².

EU là một trong những khu vực tiên phong thiết lập khung pháp lý nghiêm ngặt thông qua GDPR năm 2016. Theo đó, GDPR không chỉ điều chỉnh trong phạm vi EU mà còn mở rộng hiệu lực ngoài lãnh thổ, tạo ra chuẩn mực quốc tế về minh bạch, trách nhiệm và quyền của chủ thể dữ liệu trong thương mại điện tử. Tại Việt Nam, Luật Bảo vệ dữ liệu cá nhân năm 2025 được ban hành đã đánh dấu bước tiến quan trọng³, nhưng để bảo đảm tính khả thi và hiệu quả trong thực tiễn, nhất là khi thương mại điện tử ngày càng mang tính xuyên biên giới, cần tham khảo thêm kinh nghiệm quốc tế. Do vậy, việc nghiên cứu pháp luật bảo vệ dữ liệu cá nhân của EU trong hoạt động thương mại điện tử có ý nghĩa quan trọng trong bối cảnh hoàn thiện pháp luật Việt Nam hiện nay.

2. Quy định của pháp luật EU về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Pháp luật EU về bảo vệ dữ liệu cá nhân được quy định chủ yếu trong GDPR, có hiệu lực từ ngày 25/5/2018 và bắt buộc đối với tất cả quốc gia thành viên. Quy định này không chỉ xác lập các nguyên tắc, quyền và nghĩa vụ trong xử lý dữ liệu cá nhân mà còn mở rộng phạm vi áp dụng ngoài lãnh thổ (Điều 3), buộc cả các tổ chức ngoài EU phải tuân thủ nếu cung cấp hàng hóa, dịch vụ hoặc theo dõi hành vi người tiêu dùng tại EU. Nhờ đó, GDPR trở thành chuẩn mực pháp lý toàn cầu về bảo vệ dữ liệu cá nhân trong thương mại điện tử xuyên biên giới.

2.1. Nguyên tắc cơ bản và quyền của chủ thể dữ liệu

2.1.1. Nguyên tắc cơ bản

Điều 5 GDPR xác lập bảy nguyên tắc nền tảng gồm: Tính hợp pháp, công bằng và minh bạch; giới hạn mục đích; giảm thiểu dữ liệu; độ chính xác; giới hạn lưu trữ; toàn vẹn và bảo mật; trách nhiệm giải trình. Trong thương mại điện tử, các tổ chức phải chứng minh tính hợp pháp của từng hoạt động xử lý dữ liệu, minh bạch với người dùng về mục đích thu thập, không thu thập vượt quá nhu cầu và áp dụng các biện pháp bảo mật toàn diện. Việc phân tích hành vi dữ liệu cá nhân (profiling)⁴ hay quảng cáo cá nhân hóa cần được kiểm soát nghiêm ngặt thông qua đánh giá rủi ro và cơ chế xin phép rõ ràng, nhằm bảo đảm quyền riêng tư của người tiêu dùng và củng cố niềm tin vào môi trường giao dịch trực tuyến.

2.1.2. Quyền của chủ thể dữ liệu

GDPR cụ thể hóa nhiều quyền của người tiêu dùng, có tác động trực tiếp đến thương mại điện tử: Quyền thông tin minh bạch (Điều 12) yêu cầu các tổ chức cung cấp thông tin rõ ràng về cách thu thập và xử lý dữ liệu cá nhân; Quyền truy cập dữ liệu (Điều 15) cho phép người tiêu dùng yêu cầu bản sao dữ liệu cá nhân mà tổ chức đang xử lý; Quyền sửa chữa và Quyền xóa bỏ - Quyền bị lãng quên (Điều 16 và Điều 17) cho phép người tiêu dùng sửa hoặc xóa dữ liệu không chính xác hoặc không cần thiết; Quyền hạn chế xử lý và Quyền phản đối (Điều 18 và Điều 21) đặc biệt liên quan đến tiếp thị trực tuyến và các hoạt động quảng cáo; Quyền di chuyển dữ liệu (Điều 20) cho phép người tiêu dùng yêu cầu nhận và chuyển giao dữ liệu cá nhân cho tổ chức khác, tạo ra sự cạnh tranh giữa các nền tảng thương mại điện tử.

Án lệ của Tòa án Công lý EU (CJEU) đóng vai trò quan trọng trong việc cụ thể hóa các quyền này, chẳng hạn như hai án lệ sai:

(1) Vụ Google Spain (C-131/12)⁵: Tòa án công nhận quyền “được lãng quên”, cho phép cá nhân yêu cầu công cụ tìm kiếm xóa đường dẫn chứa thông tin cá nhân không còn phù hợp hoặc không cần thiết;

(2) Vụ Fashion ID (C-40/17)⁶: Làm rõ trách nhiệm của doanh nghiệp thương mại điện tử khi chia sẻ dữ liệu người dùng với bên thứ ba, khẳng định rằng mọi chủ thể tham gia xử lý dữ liệu đều có nghĩa vụ bảo đảm sự đồng ý và minh bạch.

Hai án lệ này khẳng định rằng việc bảo vệ dữ liệu cá nhân trong EU không chỉ là trách nhiệm của các nền tảng công nghệ lớn mà là nghĩa vụ pháp lý của toàn bộ chuỗi cung ứng thương mại điện tử, nhằm duy trì sự công bằng, minh bạch và an toàn trong không gian số.

2.2. Cơ chế thực thi và chế tài trong GDPR

GDPR thiết lập một hệ thống thực thi đa tầng và phối hợp xuyên biên giới, bảo đảm hiệu lực thống nhất trong toàn EU. Mỗi quốc gia thành viên đều phải thành lập cơ quan giám sát dữ liệu độc lập, có thẩm quyền điều tra, thanh tra, yêu cầu tuân thủ và áp dụng chế tài.

Đáng chú ý, cơ chế “một cửa” cho phép cơ quan giám sát tại nơi đặt trụ sở chính của doanh nghiệp đóng vai trò chủ đạo trong việc phối hợp với các cơ quan giám sát liên quan khác để ra quyết định chung, đặc biệt hữu hiệu đối với các tập đoàn công nghệ hoạt động đa quốc gia như Meta, Google hay Amazon. Ở cấp độ Liên minh, Ủy ban Bảo vệ Dữ liệu châu Âu (European Data Protection Board - EDPB) là cơ quan điều phối trung tâm, có nhiệm vụ thống nhất cách hiểu và áp dụng GDPR, đồng thời giải quyết tranh chấp giữa các cơ quan giám sát quốc gia⁷. Cơ chế này giúp GDPR được thực thi đồng bộ, hạn chế tình trạng phân mảnh pháp lý giữa các quốc gia thành viên.

Bên cạnh đó, GDPR thiết lập hệ thống chế tài mạnh mẽ, kết hợp các biện pháp hành chính, dân sự và trong một số trường hợp là hình sự. Cụ thể:

Về hành chính, Điều 83 GDPR quy định mức phạt tối đa lên tới 20 triệu EUR hoặc 4% tổng doanh thu toàn cầu hằng năm (mức cao hơn được áp dụng), cùng các biện pháp bổ sung như tạm đình chỉ xử lý, cấm chuyển dữ liệu ra ngoài EU hoặc buộc xóa dữ liệu vi phạm.

Về dân sự, Điều 82 GDPR công nhận quyền của cá nhân yêu cầu bồi thường thiệt hại vật chất và phi vật chất, cho phép khởi kiện riêng lẻ hoặc tập thể, mở rộng đáng kể trách nhiệm của doanh nghiệp.

Về hình sự, dù GDPR không trực tiếp đặt ra tội danh, Điều 84 cho phép các quốc gia thành viên hình sự hóa hành vi vi phạm nghiêm trọng như truy cập trái phép, gian lận hoặc sử dụng dữ liệu cho mục đích phạm pháp.

Nhờ hệ thống giám sát chặt chẽ và chế tài nghiêm khắc này, GDPR đã trở thành mô hình mẫu về thực thi hiệu quả quyền bảo vệ dữ liệu cá nhân, đồng thời củng cố niềm tin của người tiêu dùng trong môi trường thương mại điện tử toàn cầu.

Thực tiễn những năm gần đây cho thấy EU áp dụng chế tài GDPR một cách nghiêm khắc, đặc biệt đối với các tập đoàn công nghệ và thương mại điện tử quy mô toàn cầu. Điển hình là năm 2021, Ủy ban Bảo vệ Dữ liệu Luxembourg (CNPD) đã xử phạt Amazon 746 triệu EUR vì vi phạm quy định về quảng cáo hành vi⁸, đây là một trong những mức phạt lớn nhất trong lịch sử GDPR. Năm 2023, Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã xử phạt Meta (Facebook) 1,2 tỉ EUR do chuyển dữ liệu người dùng EU sang Hoa Kỳ trái quy định về bảo vệ dữ liệu xuyên biên giới⁹. Ngoài ra, Google, TikTok cùng nhiều nền tảng số khác cũng từng phải đối mặt với các khoản phạt hàng trăm triệu EUR¹⁰. Những quyết định này chứng minh rằng GDPR không chỉ là “khung luật trên giấy” mà thực sự vận hành như một công cụ răn đe hữu hiệu, thiết lập chuẩn mực toàn cầu và buộc các doanh nghiệp, kể cả những tập đoàn công nghệ lớn nhất thế giới, phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân.

Đối với lĩnh vực thương mại điện tử, chế tài GDPR tạo ra tác động kép rõ rệt: Một mặt, bảo đảm quyền riêng tư của người tiêu dùng được bảo vệ ở mức cao, hạn chế tình trạng thu thập, khai thác và chia sẻ dữ liệu cá nhân một cách tùy tiện; mặt khác, buộc doanh nghiệp phải nâng cao chuẩn mực bảo mật, minh bạch trong hoạt động và tăng cường trách nhiệm giải trình trong toàn bộ quy trình xử lý dữ liệu. Cơ chế thực thi tập trung, độc lập và gắn với hệ thống chế tài nghiêm minh của EU đã chứng minh tính hiệu quả trong việc điều chỉnh các hành vi vi phạm, đặc biệt với các tập đoàn công nghệ xuyên biên giới.

2.3. Ảnh hưởng toàn cầu của GDPR đối với thương mại điện tử

Kể từ khi có hiệu lực năm 2018, GDPR đã tạo ra “hiệu ứng Brussels” - sự lan tỏa của chuẩn mực pháp lý EU vượt ra ngoài biên giới, tác động mạnh mẽ đến chính sách bảo vệ dữ liệu toàn cầu. Trong bối cảnh thương mại điện tử xuyên biên giới, các tập đoàn công nghệ và nền tảng trực tuyến quốc tế như Amazon, eBay, Meta hay TikTok buộc phải tuân thủ GDPR nếu có hoạt động hướng đến người tiêu dùng EU, dù không đặt trụ sở tại châu Âu (Điều 3). Nhờ đó, GDPR trở thành “chuẩn mực vàng” trong lĩnh vực bảo vệ dữ liệu cá nhân, truyền cảm hứng cho nhiều quốc gia như Brazil (Luật Bảo vệ dữ liệu cá nhân chung của Brazil - LGPD) năm 2018, Nhật Bản sửa đổi Đạo luật Bảo vệ thông tin cá nhân (APPI) năm 2020 và Singapore (Đạo luật Bảo vệ dữ liệu cá nhân (PDPA) năm 2021¹¹. Ở Việt Nam, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân, và đặc biệt là Luật Bảo vệ dữ liệu cá nhân năm 2025 đã phản ánh xu hướng tiếp cận ngày càng gần với tiêu chuẩn EU, trong đó có các quy định về quyền của chủ thể dữ liệu, cơ chế thực thi, và xử phạt vi phạm...

Trong lĩnh vực thương mại điện tử, GDPR đã tạo ra năm chuyển biến quan trọng:

Thứ nhất, nâng cao chuẩn mực bảo vệ người tiêu dùng. Người dùng Internet được trao quyền kiểm soát toàn diện đối với dữ liệu cá nhân: Biết rõ mục đích thu thập, có quyền cho phép hoặc từ chối xử lý, yêu cầu xóa hoặc chỉnh sửa thông tin, phản đối quảng cáo hành vi. Mối quan hệ giữa doanh nghiệp và người tiêu dùng nhờ đó trở nên cân bằng hơn, người tiêu dùng trở thành chủ thể tích cực thay vì đối tượng bị theo dõi thụ động.

Thứ hai, thúc đẩy doanh nghiệp đầu tư vào cơ chế tuân thủ và công nghệ bảo mật. Các sàn thương mại điện tử và nền tảng trực tuyến phải xây dựng hệ thống quản trị dữ liệu chặt chẽ, triển khai công cụ quản lý sự đồng ý, thực hiện đánh giá tác động bảo vệ dữ liệu (DPIA) và áp dụng các biện pháp kỹ thuật như mã hóa, ẩn danh hóa hay giám sát an ninh mạng. Việc tuân thủ không chỉ tránh rủi ro pháp lý mà còn củng cố uy tín và tạo lợi thế cạnh tranh trên thị trường toàn cầu.

Thứ ba, tăng cường minh bạch và trách nhiệm giải trình. Doanh nghiệp phải công khai chính sách xử lý dữ liệu, chỉ định cán bộ bảo vệ dữ liệu (DPO)¹², và chứng minh với cơ quan giám sát rằng mọi hoạt động thu thập, lưu trữ, chia sẻ đều tuân thủ nguyên tắc của GDPR. Cơ chế này giúp ngăn chặn việc thu thập và sử dụng dữ liệu tràn lan, giảm nguy cơ lạm dụng hoặc rò rỉ dữ liệu.

Thứ tư, tạo môi trường cạnh tranh công bằng và bền vững. GDPR không chỉ bảo vệ người tiêu dùng mà còn góp phần định hình thị trường số minh bạch hơn. Khi tất cả doanh nghiệp - từ tập đoàn lớn đến nhà cung cấp dịch vụ nhỏ - đều phải tuân thủ cùng một chuẩn mực, hiện tượng “chạy theo lợi thế dữ liệu” bằng cách khai thác không minh bạch bị hạn chế, qua đó tạo điều kiện cho các doanh nghiệp sáng tạo cạnh tranh dựa trên chất lượng dịch vụ thay vì chỉ dựa vào dữ liệu người dùng.

Thứ năm, lan tỏa ảnh hưởng toàn cầu. Do phạm vi áp dụng ngoài lãnh thổ, GDPR đã trở thành mô hình tham chiếu cho nhiều quốc gia và khu vực, trong đó có Việt Nam.

Việc áp dụng GDPR trong thương mại điện tử không chỉ nâng cao quyền năng người tiêu dùng, thúc đẩy doanh nghiệp đổi mới quản trị và công nghệ, mà còn định hình trật tự pháp lý công bằng và minh bạch hơn cho nền kinh tế số. Đây là kinh nghiệm quan trọng để Việt Nam hoàn thiện pháp luật, hướng tới một môi trường thương mại điện tử an toàn, bền vững và hội nhập quốc tế.

3. Bất cập và một số đề xuất hoàn thiện pháp luật bảo vệ dữ liệu cá nhân trong thương mại điện tử tại Việt Nam

3.1. Bất cập hiện hành

Về chuyển dữ liệu cá nhân xuyên biên giới: GDPR áp dụng cơ chế rất nghiêm ngặt và chi tiết đối với việc chuyển dữ liệu ra ngoài EU. Theo Điều 45, dữ liệu chỉ được chuyển đến quốc gia hoặc vùng lãnh thổ bên thứ ba nếu Ủy ban châu Âu ban hành Quyết định công nhận mức độ bảo vệ tương đương. Điều này có nghĩa rằng quốc gia tiếp nhận phải chứng minh được hệ thống pháp luật của mình bảo đảm mức độ bảo vệ dữ liệu cá nhân tương tự như trong EU. Tính đến nay, EU đã ban hành hơn 10 quyết định công nhận (đối với Nhật Bản, Hàn Quốc, Vương quốc Anh, Thụy Sĩ, Israel...)¹³, qua đó tạo điều kiện thuận lợi cho luồng dữ liệu xuyên biên giới nhưng vẫn duy trì tiêu chuẩn cao về quyền riêng tư.

Trong trường hợp quốc gia tiếp nhận chưa được công nhận, GDPR cho phép sử dụng các công cụ pháp lý thay thế, tiêu biểu là: Điều khoản hợp đồng chuẩn - SCCs (Điều 46) yêu cầu doanh nghiệp xuất khẩu và nhập khẩu dữ liệu phải ký các điều khoản ràng buộc đã được EU phê duyệt, bảo đảm người dùng vẫn được hưởng tiêu chuẩn bảo vệ cao; Quy tắc ràng buộc doanh nghiệp - BCRs (Điều 47) thường áp dụng cho các tập đoàn đa quốc gia để dữ liệu có thể luân chuyển nội bộ một cách hợp pháp; hoặc các ngoại lệ đặc biệt (Điều 49)... Cách tiếp cận này cho thấy EU không chỉ đặt ra “rào cản” đối với dòng chảy dữ liệu mà còn cung cấp khung pháp lý linh hoạt để dung hòa giữa bảo vệ quyền riêng tư cá nhân và duy trì sự thông suốt của thương mại điện tử quốc tế.

Đối với Việt Nam, theo Điều 20 Luật Bảo vệ dữ liệu cá nhân năm 2025, việc chuyển dữ liệu cá nhân ra nước ngoài chỉ được phép khi tổ chức, cá nhân lập và gửi hồ sơ đánh giá tác động của việc chuyển dữ liệu cá nhân xuyên biên giới đến cơ quan chuyên trách trong thời hạn 60 ngày kể từ khi bắt đầu chuyển dữ liệu, trừ một số ngoại lệ luật định. Việt Nam chưa có cơ chế công nhận chính thức như EU, cũng như chưa xây dựng hệ thống SCCs hay BCRs tiêu chuẩn hóa. Quy định hiện hành mới dừng lại ở mức “yêu cầu doanh nghiệp tự cam kết”, trong khi thiếu vắng một bộ khung pháp lý rõ ràng để hướng dẫn thực thi, khiến doanh nghiệp lúng túng trong việc soạn thảo hợp đồng, còn cơ quan quản lý khó đánh giá mức độ tương đương của các quốc gia tiếp nhận¹⁴.

Bất cập nêu trên dẫn đến việc Việt Nam muốn kiểm soát chặt chẽ để bảo vệ dữ liệu cá nhân, nhưng sự thiếu vắng cơ chế minh bạch và tiêu chuẩn hóa lại có thể cản trở luồng dữ liệu phục vụ thương mại điện tử xuyên biên giới. Nếu so sánh, EU với các công cụ như SCCs hay quyết định công nhận đã thiết lập được chuẩn mực pháp lý vừa nghiêm ngặt vừa khả thi, trong khi Việt Nam vẫn đang ở giai đoạn đầu, thiên về cơ chế hành chính và chưa tạo thuận lợi đủ lớn cho doanh nghiệp.

Về quyền của chủ thể dữ liệu: Một điểm khác biệt quan trọng giữa pháp luật EU và Việt Nam là quyền di chuyển dữ liệu. Điều 20 GDPR quy định, cá nhân có quyền yêu cầu doanh nghiệp cung cấp dữ liệu cá nhân của mình ở định dạng có cấu trúc, phổ biến và có thể đọc bằng máy, cũng như quyền chuyển dữ liệu đó sang một nhà cung cấp dịch vụ khác mà không gặp cản trở. Quyền này không chỉ giúp người tiêu dùng có thể “mang theo” dữ liệu cá nhân khi chuyển đổi từ nền tảng thương mại điện tử A sang nền tảng B, mà còn tăng tính cạnh tranh thị trường và bảo đảm quyền lựa chọn thực sự cho người tiêu dùng. Ở góc độ cạnh tranh, quyền di động dữ liệu còn ngăn chặn việc các nền tảng lớn “khóa chặt” người dùng bằng dữ liệu, từ đó tạo môi trường cạnh tranh công bằng hơn giữa doanh nghiệp nhỏ và doanh nghiệp lớn.

Luật Bảo vệ dữ liệu cá nhân năm 2025 của Việt Nam chưa ghi nhận quyền này trong danh mục Quyền của chủ thể dữ liệu¹⁵, nên cá nhân hầu như không có công cụ pháp lý để tự do di chuyển dữ liệu của mình, đồng nghĩa với việc giảm khả năng kiểm soát dữ liệu cá nhân và hạn chế sự phát triển của thương mại điện tử cạnh tranh dựa trên dữ liệu. Bên cạnh đó, một khoảng trống đáng chú ý khác nằm ở các tập tin hay tập dữ liệu nhỏ (cookies) được thu thập, đo lường, phân tích và theo dõi (tracking). Tại EU, GDPR kết hợp cùng Chỉ thị về quyền riêng tư điện tử (ePrivacy Directive) đã đặt ra nghĩa vụ minh bạch cao: Các nền tảng trực tuyến chỉ được phép thu thập dữ liệu qua cookies hoặc công cụ tracking sau khi có sự đồng ý rõ ràng, cụ thể cho từng mục đích từ người dùng.

Khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân năm 2025 của Việt Nam mới chỉ dừng ở nguyên tắc chung về “đồng ý của chủ thể dữ liệu”, mà chưa có quy định chuyên biệt đối với cookies hay công cụ theo dõi trực tuyến. Điều này dẫn đến thực trạng nhiều doanh nghiệp thương mại điện tử tại Việt Nam mặc nhiên cài đặt cookies hoặc tracking mà không cần xin ý kiến chi tiết từ người dùng. Khoảng trống pháp lý này vừa ảnh hưởng đến quyền được biết và quyền lựa chọn của cá nhân, vừa tạo ra nguy cơ vi phạm quyền riêng tư trong bối cảnh hành vi tiêu dùng trực tuyến ngày càng được phân tích, khai thác cho mục đích quảng cáo.

Về cơ quan giám sát: Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định cơ quan chuyên trách về bảo vệ dữ liệu cá nhân trực thuộc Bộ Công an. Cách tiếp cận này cho thấy Việt Nam vẫn coi việc bảo vệ dữ liệu gắn liền với an ninh, trật tự xã hội, thay vì tách biệt thành một lĩnh vực quản trị dữ liệu độc lập. Tuy nhiên, theo Điều 52 GDPR, mỗi quốc gia thành viên EU đều phải thành lập một "cơ quan giám sát độc lập", trong đó không chỉ về mặt tổ chức, mà còn cả về tài chính và thẩm quyền ra quyết định, nhằm bảo đảm việc giám sát không chịu ảnh hưởng từ lợi ích chính trị hay kinh tế.

Việc thiếu một cơ quan giám sát độc lập ở Việt Nam dẫn tới ba hệ quả chính:

(i) Hạn chế về tính khách quan khi cơ quan giám sát nằm trong hệ thống hành chính - an ninh, quyết định về bảo vệ dữ liệu có thể chịu chi phối từ các ưu tiên an ninh, thay vì bảo vệ tối đa quyền riêng tư của cá nhân; (ii) Khó đạt chuẩn quốc tế vì sự độc lập là một trong những tiêu chí cốt lõi để Ủy ban châu Âu công nhận mức độ bảo vệ dữ liệu “tương đương”, thiếu yếu tố này sẽ làm giảm cơ hội để Việt Nam được EU công nhận, từ đó hạn chế luồng dữ liệu thương mại xuyên biên giới; (iii) Ảnh hưởng đến niềm tin người tiêu dùng và doanh nghiệp vì một cơ quan giám sát độc lập giúp củng cố niềm tin rằng dữ liệu cá nhân được bảo vệ khách quan và minh bạch.

So sánh với pháp luật về bảo vệ dữ liệu cá nhân của EU cho thấy, tính độc lập của cơ quan giám sát là nền tảng để vừa bảo vệ quyền dữ liệu cá nhân, vừa tạo điều kiện thuận lợi cho dòng chảy dữ liệu xuyên biên giới. Đây là điểm mà pháp luật Việt Nam còn thiếu vắng và cần được điều chỉnh để tiến tới hội nhập sâu hơn với chuẩn mực quốc tế.

Về sự đồng bộ của hệ thống pháp luật: Mặc dù Luật Bảo vệ dữ liệu cá nhân năm 2025 đã được ban hành với mục tiêu thiết lập khuôn khổ pháp lý thống nhất, nhưng trên thực tế, nhiều đạo luật và nghị định chuyên ngành như Luật Thương mại điện tử, Luật Giao dịch điện tử, Luật Viễn thông, Luật An ninh mạng... vẫn duy trì khái niệm “thông tin cá nhân” hoặc đưa ra các quy định rời rạc về bảo mật dữ liệu. Sự phân tán này làm nảy sinh nguy cơ chồng chéo, xung đột và khó khăn trong việc áp dụng thống nhất giữa các cơ quan quản lý cũng như đối với doanh nghiệp. Ngược lại, GDPR của EU, được thiết kế như một đạo luật khung có hiệu lực trực tiếp và áp dụng đồng bộ tại tất cả quốc gia thành viên, bảo đảm không còn tình trạng mỗi lĩnh vực duy trì một chuẩn mực riêng. Khoảng cách này cho thấy Việt Nam cần một cơ chế hài hòa hóa pháp luật, nếu không sẽ khó tạo lập được môi trường pháp lý minh bạch, nhất quán - yếu tố quan trọng để thúc đẩy thương mại điện tử xuyên biên giới.

Về thực thi và hợp tác quốc tế: Bên cạnh bất cập trong khung pháp luật nội địa, năng lực tuân thủ của doanh nghiệp và nhận thức của người tiêu dùng cũng là thách thức lớn. Phần lớn doanh nghiệp thương mại điện tử vừa và nhỏ còn hạn chế nguồn lực tài chính, kỹ thuật để đáp ứng đầy đủ các yêu cầu nghiêm ngặt của Luật Bảo vệ dữ liệu cá nhân năm 2025, trong khi người tiêu dùng chưa thực sự nhận thức rõ ràng về quyền dữ liệu cá nhân của mình. Ngoài ra, Việt Nam vẫn chưa ký kết các thỏa thuận song phương hoặc đa phương về bảo vệ dữ liệu với EU hay các đối tác thương mại chủ chốt¹⁶. Điều này khiến khả năng công nhận mức độ bảo vệ “tương đương” theo chuẩn GDPR khó đạt được, qua đó cản trở đáng kể dòng chảy dữ liệu xuyên biên giới - một yếu tố sống còn trong thương mại điện tử toàn cầu.

3.2. Kiến nghị hoàn thiện pháp luật

Thứ nhất, cần bổ sung cơ chế đa dạng thay vì chỉ yêu cầu “đánh giá tác động” trong 60 ngày. Việt Nam có thể tham khảo EU để thiết lập Cơ chế công nhận mức độ bảo vệ tương đương cho một số quốc gia, đồng thời ban hành mẫu thỏa thuận SCCs áp dụng trực tiếp cho doanh nghiệp. Đối với các tập đoàn đa quốc gia, nên khuyến khích xây dựng quy tắc BCRs dưới sự phê duyệt của cơ quan giám sát, qua đó tạo sự linh hoạt nhưng vẫn bảo đảm an toàn dữ liệu.

Thứ hai, Luật Bảo vệ dữ liệu cá nhân năm 2025 cần được sửa đổi để bổ sung quyền di chuyển dữ liệu, cho phép người tiêu dùng chuyển dữ liệu giao dịch, lịch sử mua bán, hoặc hồ sơ tín dụng sang nền tảng khác. Đây là công cụ quan trọng để tăng tính cạnh tranh, ngăn tình trạng “khóa chặt người dùng” của các nền tảng lớn. Đồng thời, Việt Nam nên xây dựng quy định riêng về cookies và công cụ theo dõi trực tuyến, theo hướng yêu cầu cơ chế đồng ý chi tiết, có thể rút lại bất cứ lúc nào, tương tự bộ đôi GDPR - ePrivacy.

Thứ ba, Việt Nam nên nghiên cứu thành lập Ủy ban Bảo vệ dữ liệu cá nhân độc lập, hoạt động theo cơ chế tài chính và nhân sự riêng, tương tự các cơ quan giám sát dữ liệu tại EU. Mô hình này vừa đảm bảo tính khách quan, minh bạch, vừa giúp Việt Nam đáp ứng điều kiện để EU công nhận mức độ bảo vệ dữ liệu “tương đương”, từ đó tạo thuận lợi cho thương mại điện tử xuyên biên giới.

Thứ tư, cần tiến hành rà soát toàn bộ hệ thống pháp luật liên quan như Luật Thương mại điện tử, Luật Giao dịch điện tử, Luật Viễn thông, Luật An ninh mạng, các nghị định chuyên ngành... theo hướng thống nhất với khái niệm và nguyên tắc tại Luật Bảo vệ dữ liệu cá nhân năm 2025. Có thể ban hành một nghị định hướng dẫn chung về bảo vệ dữ liệu cá nhân trong môi trường số, đóng vai trò cầu nối, tránh tình trạng chồng chéo, phân tán, khó áp dụng trên thực tế.

Thứ năm, cần xây dựng chương trình hỗ trợ doanh nghiệp nhỏ và vừa trong việc tuân thủ, chẳng hạn: Ban hành cẩm nang hướng dẫn, công cụ kiểm tra tự động, hoặc cơ chế giảm nhẹ nghĩa vụ báo cáo cho doanh nghiệp có quy mô nhỏ. Nên thúc đẩy đàm phán các hiệp định song phương với EU, Nhật Bản, Hoa Kỳ... về bảo vệ dữ liệu cá nhân, nhằm bảo đảm dữ liệu lưu chuyển an toàn, không trở thành rào cản cho thương mại điện tử. Bên cạnh đó, tăng cường tuyên truyền nâng cao nhận thức của người tiêu dùng, giúp họ chủ động bảo vệ và thực thi quyền dữ liệu cá nhân.

4. Kết luận

Luật Bảo vệ dữ liệu cá nhân năm 2025 là bước tiến quan trọng, khẳng định quyết tâm của Việt Nam trong việc thiết lập khung pháp lý cơ bản cho bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử. Ý nghĩa của đạo luật này không chỉ giới hạn ở việc bảo vệ lợi ích cá nhân, mà còn góp phần thúc đẩy môi trường kinh doanh minh bạch, nâng cao năng lực cạnh tranh quốc gia và củng cố nền tảng cho quá trình hội nhập quốc tế. Trên cơ sở đó, cần tiếp tục phát triển các cơ chế pháp lý đa dạng, mở rộng quyền năng thực chất của người tiêu dùng, tăng cường tính độc lập và hiệu quả của cơ quan giám sát, đồng thời thúc đẩy sự hài hòa pháp luật với các chuẩn mực quốc tế. Những định hướng này không chỉ tạo điều kiện cho việc thực thi pháp luật hiệu quả, mà còn bảo đảm thương mại điện tử tại Việt Nam phát triển bền vững, gắn với nguyên tắc tôn trọng và bảo vệ quyền con người trong kỷ nguyên số.

¹ Bài viết này là một phần của Đề tài nghiên cứu khoa học cấp trường năm 2025, Trường Đại học Sài Gòn.

² Duy Anh (12/2024), "Dữ liệu cá nhân của hơn 66% người dùng Internet bị sử dụng trái phép trong năm 2024", Tạp chí Điện tử, https://lsvn.vn/du-lieu-ca-nhan-cua-hon-66-nguoi-dung-internet-bi-su-dung-trai-phep-trong-nam-2024-a151492.html.

³ Cổng thông tin điện tử của Bộ Công an (7/2025), "Một số quy định đáng chú ý trong Luật Bảo vệ dữ liệu cá nhân 2025", https://canhsatquanlyhanhchinh.gov.vn/cai-cach-hanh-chinh/mot-so-quy-dinh-dang-chu-y-trong-luat-bao-ve-du-lieu-ca-nhan-2025-3697.

⁴ Profiling là bất kỳ hình thức xử lý dữ liệu cá nhân nào nhằm đánh giá một số khía cạnh cá nhân liên quan đến một cá nhân tự nhiên, đặc biệt để phân tích hoặc dự đoán các yếu tố như hiệu suất công việc, tình trạng kinh tế, sức khỏe, sở thích cá nhân, mức độ tin cậy, hành vi, vị trí hoặc sự di chuyển của cá nhân đó (Điều 4, GDPR).

⁵ Vụ Google Spain (C-131/12) - bản án (ECLI:EU:C:2014:317), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A62012CJ0131&utm.

⁶ Vụ Fashion ID (C-40/17) - bản án (ECLI:EU:C:2019:629), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A62017CJ0040&utm.

⁷ Cổng thông tin điện tử Đảng bộ tỉnh Hưng Yên (7/2024), "Pháp luật quốc tế về bảo vệ dữ liệu cá nhân và gợi mở cho Việt Nam".

⁸ La Justice Grand Duché De Luxembourg (3/2025), https://justice.public.lu/fr/actualites/2025/03/tribunal-administratif-jugement-amazon-amende-cnpd.html.

9 Ottoschmidt (5/2023), “DPC imposes fine of €1.2 billion on Meta Ireland sanctioning transfers of personal data from the EU to the US”, https://www.otto-schmidt.de/news/wirtschaftsrecht/dpc-imposes-fine-of-1-2-billion-on-meta-ireland-sanctioning-transfers-of-personal-data-from-the-eu-to-the-us-2023-05-23.html?utm.

¹⁰ CMS (5/2025), "What has happened so far, expressed in numbers", https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/numbers-and-figures.

¹¹ CEPA (2025), "Mapping the Brussels Effect: The GDPR Goes Global", https://cepa.org/comprehensive-reports/mapping-the-brussels-effect-the-gdpr-goes-global/?utm.

¹² Zlatan Morić, Vedran Dakic, Daniela Djekic and Damir Regvart (2024), "Protection of Personal Data in the Context of E-Commerce", Journal of Cybersecurity and Privacy, No.4, p. 745.

¹³ Cổng thông tin chính thức của EU, https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en?utm.

¹⁴ Tilleke & Gibbins (8/2025), "Vietnam's New Personal Data Protection Law: A Closer Look", https://www.tilleke.com/insights/vietnams-new-personal-data-protection-law-a-closer-look/?utm.

¹⁵ Điều 4 Luật Bảo vệ dữ liệu cá nhân năm 2025 và IAPP (8/2025), "Vietnam's PDPL in Focus: What to Know and Watch For", https://iapp.org/news/a/vietnams-pdpl-in-focus-what-to-know-and-watch-for/?utm.

¹⁶ Tilleke & Gibbins (2025), "Vietnam's New Personal Data Protection Law: A Closer Look", https://www.tilleke.com/insights/vietnams-new-personal-data-protection-law-a-closer-look/?utm.

Tài liệu tham khảo:

1. Nghị định (EU) số 2016/679 của Nghị viện và Hội đồng châu Âu ngày 27/4/2016 năm 2016 về việc bảo vệ cá nhân liên quan đến xử lý dữ liệu cá nhân và về việc lưu thông tự do các dữ liệu đó (Quy định chung về bảo vệ dữ liệu - GDPR).

2. Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân.

3. Duy Anh (12/2024), "Dữ liệu cá nhân của hơn 66% người dùng Internet bị sử dụng trái phép trong năm 2024", Tạp chí Điện tử, https://lsvn.vn/du-lieu-ca-nhan-cua-hon-66-nguoi-dung-internet-bi-su-dung-trai-phep-trong-nam-2024-a151492.html, truy cập ngày 14/9/2025.

4. Cổng thông tin điện tử của Bộ Công an (7/2025), "Một số quy định đáng chú ý trong Luật Bảo vệ dữ liệu cá nhân 2025", https://canhsatquanlyhanhchinh.gov.vn/cai-cach-hanh-chinh/mot-so-quy-dinh-dang-chu-y-trong-luat-bao-ve-du-lieu-ca-nhan-2025-3697, truy cập ngày 14/9/2025.

5. Vụ Google Spain (C-131/12) - bản án (ECLI:EU:C:2014:317), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A62012CJ0131&utm, truy cập ngày 14/9/2025.

6. Vụ Fashion ID (C-40/17) – bản án (ECLI:EU:C:2019:629), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A62017CJ0040&utm, truy cập ngày 14/9/2025.

7. Cổng thông tin điện tử Đảng bộ tỉnh Hưng Yên (7/2024), "Pháp luật quốc tế về bảo vệ dữ liệu cá nhân và gợi mở cho Việt Nam".

8. La Justice Grand Duché De Luxembourg (3/2025), https://justice.public.lu/fr/actualites/2025/03/tribunal-administratif-jugement-amazon-amende-cnpd.html, truy cập ngày 20/9/2025.

9. Ottoschmidt (5/2023), “DPC imposes fine of €1.2 billion on Meta Ireland sanctioning transfers of personal data from the EU to the US”, https://www.otto-schmidt.de/news/wirtschaftsrecht/dpc-imposes-fine-of-1-2-billion-on-meta-ireland-sanctioning-transfers-of-personal-data-from-the-eu-to-the-us-2023-05-23.html?utm, truy cập ngày 20/9/2025.

10. CMS (5/2025), "What has happened so far, expressed in numbers", https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/numbers-and-figures, truy cập ngày 20/9/2025.

11. CEPA (2025), "Mapping the Brussels Effect: The GDPR Goes Global", https://cepa.org/comprehensive-reports/mapping-the-brussels-effect-the-gdpr-goes-global/?utm, truy cập ngày 20/9/2025.

12. Zlatan Morić, Vedran Dakic, Daniela Djekic and Damir Regvart (2024), "Protection of Personal Data in the Context of E-Commerce", Journal of Cybersecurity and Privacy, No.4, p. 745.

13. Cổng thông tin chính thức của EU, https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en?utm, truy cập ngày 22/9/2025.

14. Tilleke & Gibbins (8/2025), "Vietnam's New Personal Data Protection Law: A Closer Look", https://www.tilleke.com/insights/vietnams-new-personal-data-protection-law-a-closer-look/?utm, truy cập ngày 22/9/2025.

15. IAPP (8/2025), "Vietnam's PDPL in Focus: What to Know and Watch For", https://iapp.org/news/a/vietnams-pdpl-in-focus-what-to-know-and-watch-for/?utm, truy cập ngày 25/9/2025.