Luật an ninh dữ liệu Việt Nam: Sự tiếp cận đồng bộ từ kết thừa nội luật đến hội nhập quốc tế

Việc xây dựng và hệ thống hóa các chính sách của dự án Luật An ninh dữ liệu tại Việt Nam hiện nay đang đứng trước một bước ngoặt quan trọng, chuyển dịch từ các quy định hành chính đơn lẻ sang một khung pháp lý thống nhất, có tính kế thừa cao từ các đạo luật hiện hành như Luật Dữ liệu năm 2024, Luật An ninh mạng năm 2025, Luật Bảo vệ dữ liệu cá nhân năm 2025 và hướng tới một đạo luật chuyên biệt về an ninh dữ liệu sẽ dự kiến ban hành năm 2026.

Tiến trình này không chỉ phản ánh nhu cầu nội tại về bảo vệ chủ quyền số mà còn nỗ lực tương thích với các tiêu chuẩn quốc tế khắt khe như GDPR của Liên minh Châu Âu, Đạo luật An ninh dữ liệu (DSL) của Trung Quốc hay Đạo luật Bảo vệ dữ liệu 2018 DPA 2018 và UK GDPR của Anh. Sự giao thoa giữa các chính sách này tạo nên một khung pháp lý đa tầng, từ kỹ thuật mã hóa hậu lượng tử đến các cơ chế quản trị trí tuệ nhân tạo và xã hội hóa nguồn lực thực thi đối với an ninh dữ liệu tại Việt Nam.

Không gian mạng là vùng lãnh thổ thứ năm cần được bảo vệ “từ sớm, từ xa”.

Sự hình thành hệ thống các chính sách về an ninh dữ liệu tại Việt Nam được định hướng bởi các quyết sách chính trị mang tính chiến lược của Đảng và Nhà nước. Nghị quyết số 44-NQ/TW năm 2023 về Chiến lược bảo vệ Tổ quốc trong tình hình mới đã xác lập một tư duy mới: không gian mạng là vùng lãnh thổ thứ năm cần được bảo vệ “từ sớm, từ xa”.

Trong bối cảnh đó, bảo vệ an ninh dữ liệu chính là bảo vệ sinh mệnh chính trị và lợi ích cốt lõi của dân tộc trên môi trường số. Tiếp nối tư duy này, Nghị quyết số 52-NQ/TW và Nghị quyết số 29-NQ/TW đã chỉ rõ dữ liệu là nguồn lực quan trọng nhất để đẩy mạnh công nghiệp hóa, hiện đại hóa và phát triển Chính phủ số, Kinh tế số và hội nhập toàn cầu.

Tư duy lập pháp hiện đại coi chủ quyền dữ liệu quốc gia là quyền tối cao của Nhà nước trong việc xác lập quy tắc quản lý, kiểm soát và bảo vệ dữ liệu phát sinh từ lãnh thổ hoặc liên quan đến lợi ích quốc gia Việt Nam. Điều này không chỉ giới hạn trong phạm vi vật lý của các máy chủ đặt tại nội địa mà còn mở rộng ra quyền tài phán đối với dữ liệu của công dân Việt Nam đang lưu thông trên các nền tảng xuyên biên giới. Việc kế thừa các quy định về an ninh mạng hiện hành giúp Nhà nước duy trì sự ổn định, đồng thời bổ sung các khái niệm mới về “An ninh dữ liệu” giúp bao quát toàn bộ vòng đời của dữ liệu từ khi hình thành đến khi bị tiêu hủy.

Để đảm bảo tính nhất quán trong kỹ thuật lập pháp, việc thống nhất các khái niệm về dữ liệu và an ninh dữ liệu là yêu cầu bắt buộc. Dữ liệu số được định nghĩa là thông tin được thể hiện dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được lưu trữ, xử lý bằng phương tiện điện tử. Trong khi đó, an ninh dữ liệu là việc áp dụng tổng thể các biện pháp quản lý và kỹ thuật để bảo đảm dữ liệu không bị truy cập, sử dụng, tiết lộ trái phép, bảo đảm tính nguyên vẹn, bảo mật và khả dụng.

Một sự kế thừa quan trọng từ Luật An ninh mạng 2025 là việc phân biệt rõ giữa “An ninh mạng” (Cybersecurity) và “An ninh thông tin mạng” (Network Information Security). An ninh mạng tập trung vào sự ổn định, an ninh, an toàn của của không gian mạng và bảo vệ hệ thống thông tin không gây phương hại đến quốc phòng, an ninh; còn an ninh thông tin mạng đi sâu vào việc bảo đảm các thuộc tính an toàn của thông tin. Việc tách bạch “An ninh dữ liệu” thành một lĩnh vực riêng cho thấy sự hội nhập với xu hướng của nhiều quốc gia trên thế giới để tập trung vào giá trị kinh tế và quản lý rủi ro của chính dữ liệu đó.

Dự thảo chính sách dự án Luật An ninh dữ liệu cũng đưa ra khái niệm “Hành lang chuyển đổi số” được hiểu là tập hợp các quy định pháp lý và tiêu chuẩn kỹ thuật an toàn nhằm thúc đẩy kết nối, chia sẻ dữ liệu giữa các chủ thể để phát triển kinh tế số. Điều này cho thấy lập pháp không chỉ mang tính cấm đoán mà còn mang tính kiến tạo phát triển, bảo vệ quyền của chủ sở hữu dữ liệu như một tài sản theo pháp luật dân sự.

Mô hình 4 cấp độ và áp dụng các biện pháp bảo đảm an ninh xuyên suốt vòng đời dữ liệu

Chính sách cốt lõi trong hệ thống pháp luật an ninh dữ liệu hiện đại là nguyên tắc “ phân loại rủi ro - bảo vệ tương ứng”. Thay vì áp dụng các biện pháp bảo vệ dàn trải, Nhà nước tập trung nguồn lực vào những loại dữ liệu có tác động lớn nhất đến an ninh quốc gia và trật tự an toàn xã hội.

Việc phân loại dữ liệu thành 4 cấp độ bảo vệ nhằm tập trung sâu hơn vào nội hàm và mục tiêu của dữ liệu cũng như việc áp dụng các biện pháp bảo vệ tương ứng trong suốt vòng đời của dữ liệu từ khi tạo lập đến khi tiêu hủy.

Cụ thể, dữ liệu Cốt lõi (Cấp độ 1): Đây là loại dữ liệu liên quan đến sinh mệnh chính trị, quốc phòng và lợi ích quốc gia đặc biệt quan trọng. Phạm vi bao gồm dữ liệu về hệ thống chính trị, bản đồ quân sự, tọa độ các công trình phòng thủ chiến lược, an ninh lương thực, năng lượng quốc gia và đặc biệt là hệ gen người Việt Nam ở quy mô dân số. Chính sách đối với loại dữ liệu này là “nghiêm cấm tuyệt đối” việc chuyển ra nước ngoài trừ trường hợp đặc biệt do Chính phủ quyết định. Việc bảo mật phải sử dụng mật mã chuyên dùng của Ban Cơ yếu Chính phủ và lưu trữ trên hệ thống độc lập, cách ly vật lý hoàn toàn với Internet công cộng (trừ những trường hợp đặc biệt).

Mô hình dữ liệu cốt lõi này tương đồng với định nghĩa của Trung Quốc và một số quốc gia trên thế giới về “National Core Data”, nơi mọi hành vi xâm phạm đều bị coi là thảm họa đối với an ninh quốc gia và bị trừng phạt bằng những chế tài nghiêm khắc nhất như đóng cửa doanh nghiệp hoặc thu hồi giấy phép vĩnh viễn. Danh mục dữ liệu Cốt lõi do Chính phủ ban hành.

Dữ liệu Quan trọng (Cấp độ 2): Dữ liệu quan trọng bao gồm các ngành, lĩnh vực trọng điểm mà nếu bị rò rỉ sẽ gây tổn hại nghiêm trọng đến lợi ích công cộng hoặc ổn định kinh tế. Danh mục này trải rộng rừ dữ liệu kinh tế vĩ mô chưa công bố (dự trữ ngoại hối, GDP, dự báo), dữ liệu hạ tầng số (vị trí trạm phát sóng, trung tâm dữ liệu) đến dữ liệu sức khỏe cộng đồng và kiểm soát dịch bệnh.

Sự phân loại này đòi hỏi các chủ quản dữ liệu phải thiết lập bộ phận chuyên trách bảo vệ, chỉ định người phụ trách an ninh dữ liệu và lưu vết (Log) toàn bộ quá trình xử lý với thời gian lưu trữ tối thiểu là 24 tháng. Việc chuyển dữ liệu này ra nước ngoài phải qua thẩm định khắt khe của Bộ Công an. Đây là sự kế thừa có chọn lọc từ tiêu chuẩn “Important Data” của các quốc gia trên thế giới nhưng có sự minh bạch hóa thông qua danh mục do Thủ tướng Chính phủ ban hành.

Dữ liệu Cần thiết (Cấp độ 3): Loại dữ liệu này tập trung vào sự nhạy cảm của tổ chức và cá nhân, có giá trị khai thác cao nhưng dễ bị lạm dụng để gây tổn thất lớn. Phạm vi bao gồm dữ liệu cá nhân nhạy cảm (quan điểm chính trị, sinh trắc học, tài chính), bí mật kinh doanh của doanh nghiệp và dữ liệu vận tải, logistics thời gian thực.

Chế độ bảo vệ cho dữ liệu cần thiết gắn liền với tính sẵn sàng cao. Các hệ thống này phải có trung tâm dự phòng thảm họa, phương án chống tấn công DDoS và sao lưu tự động hàng tuần để đảm bảo tính toàn vẹn. Điều này tương đồng với các yêu cầu của GDPR về việc bảo vệ dữ liệu cá nhân thuộc danh mục đặc biệt (Special Categories of Personal Data) nhưng được mở rộng sang cả khối dữ liệu doanh nghiệp để bảo vệ cạnh tranh lành mạnh.

Dữ liệu Phổ thông (Cấp độ 4): Dữ liệu phổ thông là các thông tin hành chính công đã công bố hoặc thông tin thị trường, thời tiết không chứa bí mật. Mặc dù rủi ro thấp, các thực thể xử lý vẫn phải tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về an ninh mạng. Nhà nước khuyến khích áp dụng tiêu chuẩn quốc tế cho mức này để nâng cao khả năng liên thông dữ liệu toàn cầu.