Giải quyết xung đột giữa các luật trong quan hệ lao động hiện đại
Trong bối cảnh sản xuất và kinh doanh ngày càng được số hóa, mọi hoạt động quản lý nhân sự đều gắn chặt với dữ liệu cá nhân của người lao động. Khi loại dữ liệu này trở thành trung tâm của sự vận hành doanh nghiệp, các quy định của Bộ luật Lao động, Luật Bảo vệ dữ liệu cá nhân và Luật Sở hữu trí tuệ bắt đầu giao thoa mạnh mẽ và thường xuyên tạo ra các xung đột cần được giải quyết.
Theo Bộ luật Lao động (BLLĐ), doanh nghiệp được trao quyền tuyển dụng, bố trí, quản lý, điều hành và giám sát người lao động (NLĐ), đồng thời có quyền khen thưởng và xử lý kỷ luật nhưng phải tôn trọng danh dự, nhân phẩm của NLĐ(1). BLLĐ cũng quy định thời giờ làm việc tối đa 8 giờ/ngày và yêu cầu doanh nghiệp thông báo khi sắp xếp giờ làm(2). Luật này cũng quy định rõ nguyên tắc xử lý kỷ luật theo hướng doanh nghiệp phải chứng minh được lỗi của NLĐ, tổ chức họp với thành phần tham dự bắt buộc, lập biên bản và bảo đảm quyền tự bào chữa của NLĐ(3). Những quy định này khiến doanh nghiệp phải thu thập và sử dụng dữ liệu để chứng minh hành vi vi phạm nhưng phải bảo đảm tính hợp pháp của dữ liệu ấy.
Luật Bảo vệ dữ liệu cá nhân (DLCN), có hiệu lực từ ngày 1-1-2026, bước vào bức tranh này với phạm vi điều chỉnh rộng hơn. Luật này áp dụng cho mọi tổ chức, cá nhân xử lý DLCN, kể cả tổ chức nước ngoài tại Việt Nam(4). Luật này cũng xác lập quyền của chủ thể dữ liệu gồm quyền được biết, đồng ý hoặc từ chối; quyền rút lại sự đồng ý; quyền truy cập, chỉnh sửa, xóa hoặc hạn chế xử lý dữ liệu(5). Ngoài ra, nó cũng quy định các hành vi bị cấm như xử lý DLCN trái luật, làm lộ, chiếm đoạt dữ liệu, bán DLCN(6). Như vậy, dữ liệu lao động, vốn là nền tảng cho quản lý doanh nghiệp, nay trở thành đối tượng pháp lý độc lập, khiến mọi hành vi thu thập và sử dụng phải có cơ sở pháp lý rõ ràng.
Trong khi hai luật nêu trên tập trung vào NLĐ và DLCN của họ, Luật Sở hữu trí tuệ (SHTT) lại điều chỉnh một mảng khác là tài sản trí tuệ được tạo ra từ hoạt động sáng tạo, nghiên cứu hoặc thực hiện nhiệm vụ được giao trong doanh nghiệp. Luật SHTT liệt kê các loại hình tác phẩm được bảo hộ, trong đó có quy định rõ “chương trình máy tính, sưu tập dữ liệu” cũng được bảo hộ quyền tác giả(7). Luật này cũng xác định chương trình máy tính được bảo hộ như tác phẩm văn học, “dù được thể hiện dưới dạng mã nguồn hay mã máy”, và sưu tập dữ liệu được bảo hộ ở sự sáng tạo trong tuyển chọn, sắp xếp tư liệu(8). Hơn nữa, luật này cũng quy định quyền nhân thân của tác giả như quyền đặt tên, đứng tên và bảo vệ sự toàn vẹn tác phẩm(9) và xác lập các quyền tài sản như quyền sao chép, phân phối, phát sóng và cho thuê bản sao chương trình máy tính(10).
Luật Bảo vệ DLCN áp dụng cho DLCN, còn Luật SHTT áp dụng cho sản phẩm trí tuệ. Hai lớp pháp lý này chồng lên nhau trong cùng một sản phẩm, buộc doanh nghiệp phải tổ chức lại cách quản trị thông tin.
Ngoài ra, luật cũng quy định bí mật kinh doanh được bảo hộ nếu không phải là sự hiểu biết thông thường, tạo ra lợi thế cạnh tranh và được chủ sở hữu áp dụng biện pháp bảo mật cần thiết(11). Quan trọng hơn hết, nó quy định bí mật kinh doanh mà NLĐ có được khi thực hiện nhiệm vụ “thuộc quyền sở hữu của bên thuê hoặc bên giao việc”, trừ trường hợp có thỏa thuận khác(12).
Xung đột trong thực tiễn
Vấn đề là sự khác biệt về mục tiêu bảo vệ của ba luật vừa nêu đang khiến doanh nghiệp gặp xung đột trong thực tiễn.
Camera giám sát là ví dụ điển hình. Doanh nghiệp lắp camera để bảo vệ tài sản, phòng tránh rủi ro an ninh và theo dõi tuân thủ nội quy lao động, một loại quyền được BLLĐ cho phép. Nhưng mỗi hình ảnh thu được là DLCN của NLĐ và vì thế NLĐ có quyền được biết theo Luật Bảo vệ DLCN. Nghĩa là doanh nghiệp phải thông báo mục đích, thời hạn lưu trữ, phạm vi sử dụng, và chỉ xử lý trong các mục đích đã nêu. Đồng thời, góc quay camera có thể ghi lại quy trình sản xuất, mã hàng, quy trình bảo mật hoặc thiết bị độc quyền vốn là bí mật kinh doanh theo Luật SHTT. Do đó, camera phải được quản lý như công cụ vừa giám sát NLĐ, vừa bảo vệ DLCN và tài sản trí tuệ.
Phần mềm trí tuệ nhân tạo (AI) trong tuyển dụng hoặc đánh giá nhân sự. Dữ liệu giọng nói, hình ảnh, cử chỉ được AI phân tích đều là DLCN. Người nộp hồ sơ có quyền được biết và phản đối theo Luật Bảo vệ DLCN. Còn BLLĐ thì cấm phân biệt đối xử trong tuyển dụng. Trong khi đó, bản thân mô hình AI và bộ dữ liệu huấn luyện có thể là chương trình máy tính hoặc sưu tập dữ liệu được bảo hộ theo Luật SHTT(13). Doanh nghiệp có trách nhiệm bảo vệ mô hình AI như là tài sản trí tuệ, nhưng đồng thời phải minh bạch về cách AI xử lý dữ liệu ứng viên. Hai yêu cầu này thường mâu thuẫn nhau theo cách doanh nghiệp ngại công bố quá mức thông tin nội bộ sợ lộ bí mật kinh doanh, nhưng nếu không minh bạch thì vi phạm Luật Bảo vệ DLCN.
Với chấm công sinh trắc học, rủi ro pháp lý càng rõ. Dữ liệu vân tay hoặc khuôn mặt là DLCN nhạy cảm và NLĐ có quyền từ chối và rút lại sự đồng ý. Khi đó, doanh nghiệp phải cung cấp phương thức chấm công thay thế. BLLĐ yêu cầu doanh nghiệp quản lý thời giờ làm việc chính xác trong khi Luật Bảo vệ DLCN buộc việc xử lý dữ liệu sinh trắc phải có cơ sở pháp lý và biện pháp bảo vệ mạnh. Nếu tiếp tục sử dụng dữ liệu sinh trắc học sau khi NLĐ từ chối, doanh nghiệp có thể vi phạm cả hai luật.
Dữ liệu cá nhân, người lao động và tài sản trí tuệ không còn là ba mảnh ghép rời rạc mà trở thành một cấu trúc pháp lý thống nhất. Việc hiểu và vận dụng đúng ba lớp luật này là điều kiện để doanh nghiệp vận hành minh bạch, an toàn và ổn định hơn trong kỷ nguyên số hóa toàn diện.
Với quyền SHTT, xung đột còn tinh vi hơn. Khi NLĐ tạo ra phần mềm, báo cáo, bản thiết kế hoặc cơ sở dữ liệu trong quá trình thực hiện công việc, sản phẩm ấy được bảo hộ quyền tác giả của NLĐ hoặc thuộc về doanh nghiệp và quy định về bí mật kinh doanh theo Luật SHTT. Tuy nhiên, khi NLĐ nghỉ việc và yêu cầu mang theo sản phẩm ấy, doanh nghiệp phải tách rời nội dung có chứa DLCN của khách hàng hoặc của những NLĐ khác trước khi cho phép mang đi.
Luật Bảo vệ DLCN áp dụng cho DLCN, còn Luật SHTT áp dụng cho sản phẩm trí tuệ. Hai lớp pháp lý này chồng lên nhau trong cùng một sản phẩm, buộc doanh nghiệp phải tổ chức lại cách quản trị thông tin.
Trong xử lý kỷ luật lao động, sự tương tác ba luật lại diễn ra một cách trực diện. Dữ liệu chấm công, camera, log hệ thống và e-mail công vụ là chứng cứ phổ biến để chứng minh lỗi của NLĐ theo BLLĐ. Nhưng nếu chứng cứ được thu thập không đúng nguyên tắc minh bạch của Luật Bảo vệ DLCN, như không thông báo cho NLĐ, sử dụng ngoài mục đích ban đầu, hoặc lưu trữ quá lâu, thì chứng cứ ấy trở nên bất hợp pháp. Một chứng cứ không hợp pháp sẽ không thể làm căn cứ xử lý kỷ luật và điều này buộc doanh nghiệp phải cẩn trọng ngay từ giai đoạn thu thập.
Vấn đề chuyển DLCN ra nước ngoài cũng là mối quan tâm lớn. Nhiều doanh nghiệp FDI chuyển dữ liệu nhân sự về hệ thống toàn cầu. Luật Bảo vệ DLCN yêu cầu doanh nghiệp phải đánh giá tác động, có biện pháp bảo mật, và tuân thủ hướng dẫn chi tiết của Chính phủ về chuyển dữ liệu xuyên biên giới. Bên cạnh đó, nhiều dữ liệu được chuyển đi không chỉ là dữ liệu nhân sự mà còn chứa bí mật kinh doanh và doanh nghiệp phải áp dụng biện pháp cần thiết để bảo vệ theo Luật SHTT. Nếu dữ liệu vừa chứa DLCN vừa chứa bí mật kinh doanh, doanh nghiệp phải vừa bảo vệ DLCN theo Luật Bảo vệ DLCN và vừa bảo vệ tài sản của mình theo Luật SHTT.
Quản trị theo hướng tích hợp ba luật
Để xử lý những xung đột này, doanh nghiệp cần thay đổi cách tiếp cận quản trị theo hướng tích hợp ba luật. Đầu tiên, doanh nghiệp cần thiết lập bản đồ dữ liệu để xác định loại dữ liệu, chủ thể, mục đích và cơ sở pháp lý xử lý. Chỉ khi hiểu rõ toàn bộ vòng đời dữ liệu, doanh nghiệp mới có thể gắn từng loại dữ liệu với yêu cầu cụ thể của từng luật. Tiếp theo, doanh nghiệp phải tái cấu trúc hệ thống hợp đồng lao động, nội quy lao động và thỏa thuận bảo mật, bảo đảm chúng phù hợp với Luật Bảo vệ DLCN và Luật SHTT.
Nội quy lao động phải mô tả rõ công nghệ giám sát và mục đích sử dụng. Hợp đồng lao động phải ghi nhận cơ sở pháp lý cho việc xử lý DLCN trong hoạt động quản lý nhân sự. Thỏa thuận bảo mật phải xác định rõ quyền sở hữu của doanh nghiệp đối với chương trình máy tính, cơ sở dữ liệu hoặc bí mật kinh doanh do NLĐ tạo ra theo Luật SHTT.
Một bước quan trọng khác là thiết lập quy trình đánh giá tác động xử lý dữ liệu cho các hệ thống có rủi ro cao như camera AI, hệ thống đánh giá KPI tự động hoặc phần mềm nhân sự tích hợp dữ liệu nhạy cảm. Mặc dù Luật Bảo vệ DLCN đang chờ văn bản hướng dẫn, doanh nghiệp nên chủ động xây dựng mẫu đánh giá tác động để chứng minh tuân thủ. Việc đào tạo nội bộ đóng vai trò trọng yếu. Theo đó, NLĐ cần được thông báo rõ về DLCN nào được thu thập, vì sao, lưu bao lâu và quyền của họ. Cấp quản lý cần hiểu ranh giới giữa quyền giám sát theo BLLĐ và nghĩa vụ bảo vệ dữ liệu theo Luật Bảo vệ DLCN. Các nhóm chức năng nhân sự, IT, pháp chế và an ninh mạng phải làm việc chung khi triển khai công nghệ mới.
Có thể nói, DLCN, NLĐ và tài sản trí tuệ không còn là ba mảnh ghép rời rạc mà trở thành một cấu trúc pháp lý thống nhất. Việc hiểu và vận dụng đúng ba lớp luật này là điều kiện để doanh nghiệp vận hành minh bạch, an toàn và ổn định hơn trong kỷ nguyên số hóa toàn diện.
(*) Công ty Luật TNHH Phuoc & Partners
(1, 2, 3) Tương ứng với khoản 1 và 2 điều 6; điều 105; điều 122 BLLĐ
(4, 5, 6) Tương ứng các điều 1;4;7 Luật Bảo vệ DLCN
(7, 8, 9, 10, 11) Tương ứng các điều 14; 22; 19; 20; 84 của Luật SHTT
(12) Khoản 3 điều 121 Luật SHTT
(13) Điều 14 và điều 22 Luật SHTT
