Năm 2026 – dự đoán ba dạng tranh chấp dữ liệu cá nhân phổ biến tại Việt Nam

Nhưng nghĩ rằng phải chấp hành luật mới vì đấy là luật là chưa thật thấu đáo. Bởi các doanh nghiệp trên toàn cầu ngày càng có thiện cảm và niềm tin hơn đối với các đối tác biết tôn trọng quyền riêng tư và bảo vệ dữ liệu cá nhân. Cơ hội làm ăn bắt đầu từ đấy.

Trong nền kinh tế số, dữ liệu cá nhân (DLCN) khách hàng được xem là tài sản quý bởi được thu thập, phân tích và khai thác để tối ưu hóa mô hình kinh doanh, nhưng loại tài sản này cũng có thể làm gia tăng các rủi ro về quyền riêng tư, bảo mật và lợi ích của người dùng. Đặc biệt khi Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN) có hiệu lực từ ngày 1-1-2026 với các quy định pháp luật rõ ràng hơn, cơ quan nhà nước tăng cường giám sát và đặc biệt người dân bắt đầu ý thức được quyền của mình đối với DLCN. Lúc đó, bức tranh tranh chấp về DLCN tại Việt Nam sẽ có những điểm tương đồng với châu Âu - nơi đã vận hành cơ chế bảo vệ DLCN nghiêm ngặt suốt gần một thập kỷ.

Sự tương đồng đáng chú ý

Luật BVDLCN được xây dựng dựa trên tham chiếu kinh nghiệm từ Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu và các quốc gia như Singapore. Vì vậy, những vụ tranh chấp đã phát sinh tại châu Âu và Singapore là “dự báo sớm” cho các dạng rủi ro có thể xảy ra tại Việt Nam.

Vụ việc giữa HMI Institute of Health Science Pte. Ltd. (HMI) và Ủy ban Bảo vệ Dữ liệu Cá nhân Singapore (PDPC) phát sinh từ một sự cố nghiêm trọng về bảo mật dữ liệu là một ví dụ điển hình(1). HMI, một đơn vị đào tạo y tế, đã vi phạm nghĩa vụ bảo vệ DLCN theo Section 24 của PDPA khi không thực hiện các biện pháp hợp lý để ngăn chặn truy cập trái phép. Sau khi ngừng hoạt động cổng thông tin “Students’ Career Portal” vào năm 2019, một file Excel chứa DLCN của 761 cá nhân (bao gồm tên, địa chỉ, số NRIC, ngày sinh, e-mail, số điện thoại và các thông tin nhạy cảm khác) vẫn tồn tại trong thư mục web mà không có kiểm soát truy cập. File này bị công cụ tìm kiếm lập chỉ mục, dẫn đến công khai trên Internet.

PDPC xác định nguyên nhân chính là thiếu quy trình giám sát nhà cung cấp và không xác minh việc xóa dữ liệu sau khi ngừng hệ thống. HMI đã thừa nhận vi phạm và bị phạt 10.000 đô la Singapore, đồng thời phải thực hiện các biện pháp khắc phục như kiểm tra bảo mật, lập danh mục dữ liệu và xây dựng chính sách quản lý nhà cung cấp. Vụ việc nhấn mạnh tầm quan trọng của quản trị DLCN và giám sát kỹ thuật trong môi trường số.

Một ví dụ khác là vụ việc giữa Tổ chức Noyb và OpenAI(2). Tổ chức bảo vệ quyền riêng tư này khởi kiện OpenAI với cáo buộc hệ thống ChatGPT cung cấp thông tin sai về DLCN của một nhân vật công chúng. OpenAI bị cho là không cho phép người này chỉnh sửa dữ liệu và không phản hồi thỏa đáng yêu cầu cung cấp thông tin.

Câu chuyện nói trên phản ánh một thách thức mang tính toàn cầu. Ranh giới giữa AI và quyền kiểm soát dữ liệu của cá nhân. Đối chiếu với Việt Nam, Luật BVDLCN đã ghi nhận rõ quyền của chủ thể dữ liệu được xem, chỉnh sửa, cập nhật thông tin. Điều này đồng nghĩa rằng các nền tảng AI, ứng dụng công nghệ mới hay các sàn dịch vụ số tại Việt Nam sẽ phải chuẩn bị cơ chế kỹ thuật đầy đủ để đáp ứng yêu cầu của người dùng, nếu không, tranh chấp là điều khó tránh khỏi.

Xâu chuỗi các vụ tranh chấp, khiếu kiện từ các quốc gia, có thể thấy các tranh chấp DLCN thường bùng nổ khi doanh nghiệp đánh giá chủ quan về phạm vi DLCN, xem nhẹ nghĩa vụ minh bạch, hoặc không xây dựng cơ chế đáp ứng quyền của người dùng. Đây cũng chính là những điểm có nguy cơ xuất hiện tại Việt Nam trong thời gian tới.

Những dạng tranh chấp có thể xuất hiện ở Việt Nam

Tranh chấp phát sinh khi quyền của chủ thể dữ liệu bị xâm phạm. Dạng tranh chấp phổ biến nhất trong thời gian tới sẽ xoay quanh quyền kiểm soát DLCN. Thực tế những năm qua cho thấy doanh nghiệp Việt Nam thường thu thập DLCN từ biểu mẫu, trang web, ứng dụng hoặc cookie mà không có thông báo rõ ràng; hoặc yêu cầu người dùng đồng ý với toàn bộ chính sách xử lý dữ liệu mà không cho phép chọn lựa từng phần. Khi Luật BVDLCN có hiệu lực, các hành vi này có thể trở thành căn cứ để chủ thể dữ liệu yêu cầu xóa, yêu cầu chấm dứt xử lý, bồi thường thiệt hại hoặc khởi kiện.

Những tranh chấp dạng này đặc biệt dễ nảy sinh trong các lĩnh vực có mức độ thu thập dữ liệu lớn như:

Nhân sự - lao động: Người lao động có thể yêu cầu xóa dữ liệu sau khi nghỉ việc, nhưng doanh nghiệp vẫn tiếp tục sử dụng đề phòng trường hợp có tranh chấp với người lao động, phục vụ kiểm toán nội bộ hoặc chia sẻ cho công ty mẹ ở nước ngoài. Nếu thời hạn lưu trữ đã hết hoặc mục đích sử dụng đã thay đổi, điều này có thể dẫn đến tranh chấp.

Tài chính - ngân hàng - bảo hiểm: Thông tin tài khoản, lịch sử tín dụng hay dữ liệu định danh là dữ liệu nhạy cảm theo luật định. Tranh chấp có thể xuất hiện nếu ngân hàng chia sẻ thông tin cho tổ chức chấm điểm tín dụng hoặc đơn vị thu hồi nợ mà không có sự đồng ý của khách hàng.

Y tế - chăm sóc sức khỏe: Dữ liệu y tế được xếp vào nhóm nhạy cảm cao. Nếu bệnh viện chuyển dữ liệu sang đơn vị bảo hiểm hoặc đối tác quảng cáo thuốc, các dịch vụ y tế khác mà không có thông báo đầy đủ, chủ thể dữ liệu hoàn toàn có thể khiếu kiện.

Truyền thông - quảng cáo: Tương tự tranh chấp EDPS-SRB, rủi ro có thể phát sinh khi doanh nghiệp chia sẻ dữ liệu đã được ẩn danh hóa cho agency quảng cáo nhưng dữ liệu vẫn có khả năng truy ngược. Khi đó, sự đồng ý của chủ thể dữ liệu trở thành yếu tố quyết định trách nhiệm pháp lý.

Khi người dùng ngày càng quan tâm đến quyền riêng tư, chỉ cần một tình huống xử lý dữ liệu thiếu minh bạch, doanh nghiệp có thể đối mặt với khiếu nại tập thể, khởi kiện dân sự hoặc xử phạt hành chính.

Tranh chấp liên quan đến rò rỉ, mất cắp dữ liệu. Trong kỷ nguyên số, rò rỉ dữ liệu có thể từ lỗi hệ thống, lỗ hổng bảo mật, hành vi tấn công mạng, hoặc lỗi từ nhà cung cấp dịch vụ bên thứ ba. Phần lớn doanh nghiệp Việt Nam chưa đầu tư nghiêm túc vào mã hóa, phân quyền truy cập hoặc giám sát an ninh thông tin; nhiều hệ thống lưu trữ vẫn vận hành ở mức “tối thiểu đủ dùng”. Khi dữ liệu bị rò rỉ, người dùng có thể chịu thiệt hại trực tiếp như bị lừa đảo, mất tài sản, bị sử dụng danh tính, bị bôi nhọ uy tín… Những thiệt hại này có thể trở thành căn cứ để yêu cầu bồi thường hoặc khởi kiện.

Một dạng tranh chấp khác có thể nảy sinh trong chuỗi cung ứng dữ liệu, từ việc doanh nghiệp sử dụng dịch vụ lưu trữ của đối tác thứ ba, nhưng đối tác không bảo đảm an toàn. Khi sự cố xảy ra, tranh chấp có thể mở rộng giữa chủ thể dữ liệu, doanh nghiệp và cả đơn vị cung cấp dịch vụ. Với bối cảnh doanh nghiệp ngày càng phụ thuộc vào dịch vụ đám mây hoặc các nền tảng của bên thứ ba, các xung đột trách nhiệm trong chuỗi này có khả năng trở thành dạng tranh chấp phức tạp nhất.

Tranh chấp hành chính giữa doanh nghiệp và cơ quan quản lý. Khi cơ quan quản lý tăng cường thanh tra, việc ban hành quyết định xử phạt liên quan DLCN sẽ diễn ra thường xuyên hơn. Tuy nhiên, với một hệ thống pháp luật mới và chưa có tiền lệ thực thi, các điểm chưa thống nhất trong cách áp dụng có thể dẫn đến tranh chấp hành chính.

Doanh nghiệp có thể khiếu nại hoặc khởi kiện nếu cho rằng quyết định xử phạt không dựa trên căn cứ pháp luật rõ ràng, vượt thẩm quyền, hoặc không phù hợp với bản chất hành vi. Các lĩnh vực có nguy cơ cao nhất gồm thương mại điện tử, ngân hàng, bảo hiểm, y tế và công nghệ.

Những tranh chấp dạng này sẽ góp phần định hình cách thức thực thi Luật BVDLCN trong giai đoạn đầu, đồng thời tạo ra các án lệ và hướng dẫn quan trọng cho doanh nghiệp.

DLCN đã trở thành yếu tố cốt lõi của nền kinh tế số. Khi luật chuyên ngành bắt đầu được áp dụng đầy đủ, tranh chấp liên quan đến DLCN không còn là câu chuyện của các nền kinh tế phát triển mà sẽ trở thành một phần tất yếu trong hoạt động kinh doanh tại Việt Nam.

Việc nhận diện sớm các loại tranh chấp tiềm ẩn giúp doanh nghiệp chủ động đánh giá rủi ro, hoàn thiện quy trình nội bộ, đầu tư vào công nghệ và xây dựng cơ chế minh bạch cho người dùng. Đây không chỉ là nghĩa vụ tuân thủ pháp lý, mà là một lợi thế cạnh tranh dài hạn trong bối cảnh người tiêu dùng ngày càng đặt niềm tin vào những doanh nghiệp tôn trọng quyền riêng tư và bảo vệ DLCN.

(*) Công ty Luật TNHH HM&P

(1) https://www.pdpc.gov.sg/all-commissions-decisions/2024/11/breach-of-the-protection-obligation-by-hmi-institute-of-health-science, truy cập lần cuối ngày 17-11-2025.

(2) https://noyb.eu/en/chatgpt-provides-false-information-about-people-and-openai-cant-correct-it, truy cập lần cuối ngày 16-11-2025.

LS. Nguyễn Nhật Dương (*)