Luật Dữ liệu tác động đến các "ông lớn" công nghệ

“Siết chặt” quy định cung cấp và chuyển giao dữ liệu xuyên biên giới

Việt Nam là nước có chủ quyền và luật pháp trên không gian mạng, theo đó, các doanh nghiệp nước ngoài kinh doanh tại Việt Nam thì phải tuân thủ luật pháp của Việt Nam. Luật Dữ liệu 2024 là một bước tiến quan trọng trong việc định hình chính sách quản lý dữ liệu số tại Việt Nam, với mục tiêu bảo đảm an ninh, bảo vệ quyền lợi của chủ thể dữ liệu và thúc đẩy sự phát triển của nền kinh tế số. Luật xác định đối tượng áp dụng bao gồm: cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; và cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động dữ liệu số tại Việt Nam. Như vậy, các doanh nghiệp, nền tảng quốc tế hoạt động tại Việt Nam đều chịu sự điều chỉnh bởi Luật này.

Đáng chú ý, Luật khuyến khích các tổ chức, cá nhân cung cấp dữ liệu cho cơ quan nhà nước nhằm phục vụ công tác quản lý và phát triển kinh tế - xã hội. Tuy nhiên, trong một số trường hợp đặc biệt như tình trạng khẩn cấp, nguy cơ đe dọa an ninh quốc gia, thảm họa, phòng, chống bạo loạn, khủng bố, tổ chức, cá nhân bắt buộc phải cung cấp dữ liệu theo yêu cầu mà không cần sự đồng ý của chủ thể dữ liệu. Quy định này giúp Chính phủ có thể nhanh chóng tiếp cận và xử lý thông tin quan trọng khi có sự cố nghiêm trọng.

Một điểm đáng chú ý khác là Luật quy định cơ quan, tổ chức, cá nhân được tự do chuyển dữ liệu từ nước ngoài về Việt Nam, xử lý dữ liệu của nước ngoài tại Việt Nam, được Nhà nước bảo vệ các quyền và lợi ích hợp pháp theo quy định của pháp luật. Tuy nhiên, việc chuyển, xử lý dữ liệu phải bảo đảm quốc phòng, an ninh, bảo vệ lợi ích quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của chủ thể dữ liệu, chủ sở hữu dữ liệu theo quy định của pháp luật Việt Nam và các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên. Đặc biệt, với dữ liệu quan trọng và dữ liệu cốt lõi, việc chuyển dữ liệu ra khỏi lãnh thổ Việt Nam phải đáp ứng các điều kiện nghiêm ngặt, như dữ liệu phải bảo đảm an ninh quốc gia, lợi ích công cộng và quyền lợi hợp pháp của cá nhân, tổ chức, phải được kiểm soát chặt chẽ. Việc sử dụng nền tảng xử lý dữ liệu đặt ngoài lãnh thổ Việt Nam cũng thuộc phạm vi điều chỉnh.

Những quy định này nhằm bảo vệ chủ quyền dữ liệu quốc gia trong bối cảnh ngày càng nhiều nền tảng quốc tế xử lý dữ liệu người dùng Việt Nam. Tuy nhiên, điều này cũng có thể tạo ra rào cản đối với các doanh nghiệp quốc tế muốn hoạt động tại Việt Nam, đồng thời làm tăng chi phí tuân thủ pháp luật cho các doanh nghiệp.

Yêu cầu nghiêm ngặt về bảo vệ dữ liệu và an toàn thông tin

Bảo vệ dữ liệu là một trong những nội dung quan trọng nhất của Luật Dữ liệu 2024. Các biện pháp bảo vệ dữ liệu được quy định rõ ràng, bao gồm: Xây dựng chính sách bảo vệ dữ liệu; Quản lý chặt chẽ hoạt động xử lý dữ liệu; Ứng dụng các giải pháp kỹ thuật để bảo vệ dữ liệu; Đào tạo nhân sự để nâng cao nhận thức về an toàn dữ liệu. Cơ quan nhà nước có trách nhiệm đảm bảo an toàn dữ liệu trong lĩnh vực mình quản lý, đồng thời thiết lập hệ thống bảo vệ dữ liệu thống nhất trên toàn quốc.

Các tập đoàn công nghệ lớn hoạt động tại Việt Nam đối mặt nhiều thách thức khi Luật Dữ liệu 2024 có hiệu lực. (Ảnh: Getty)

Đồng thời, Luật xác định các rủi ro tiềm ẩn trong quá trình xử lý dữ liệu, bao gồm: Rủi ro quyền riêng tư (việc thu thập, sử dụng dữ liệu cá nhân sai mục đích hoặc không có sự đồng ý của chủ thể dữ liệu); Rủi ro an ninh mạng (các cuộc tấn công mạng hoặc xâm nhập dữ liệu); Rủi ro về nhận dạng và quản lý truy cập (dữ liệu bị sử dụng trái phép hoặc bị rò rỉ). Cơ quan nhà nước có trách nhiệm thiết lập cơ chế cảnh báo sớm để phòng ngừa các rủi ro này. Đồng thời, các tổ chức, cá nhân quản lý dữ liệu cũng cần đánh giá và chủ động khắc phục rủi ro, thông báo cho chủ thể dữ liệu nếu có vấn đề phát sinh. Việc nhận diện và quản lý rủi ro dữ liệu là rất cần thiết trong bối cảnh tội phạm mạng ngày càng tinh vi. Như vậy, việc thực thi các quy định này sẽ đòi hỏi các doanh nghiệp phải đầu tư nhiều hơn vào hệ thống bảo mật, kiểm soát dữ liệu.

Luật quy định rằng cá nhân có quyền yêu cầu xóa hoặc thu hồi dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác. Điều này giúp bảo vệ quyền riêng tư của người dùng, đặc biệt khi dữ liệu bị thu thập mà không có sự đồng ý rõ ràng. Bên cạnh đó, cơ quan nhà nước cũng có trách nhiệm điều chỉnh, cập nhật và lưu trữ dữ liệu một cách liên tục để đảm bảo tính chính xác. Điều này giúp duy trì dữ liệu minh bạch và có thể truy xuất khi cần thiết. Tuy nhiên, thách thức đặt ra là liệu các doanh nghiệp quốc tế có thể dễ dàng tuân thủ quy định này không, nhất là khi dữ liệu của họ được lưu trữ và sao lưu trên nhiều nền tảng khác nhau trên thế giới.

Thách thức trong bối cảnh trí tuệ nhân tạo

Sự phát triển của trí tuệ nhân tạo (AI) đang mở ra những cơ hội chưa từng có trong nhiều lĩnh vực, từ giáo dục, y tế, tài chính đến sáng tạo nội dung. Các nền tảng AI quốc tế như ChatGPT (OpenAI), Gemini, Llama, Google AI, DeepSeek, MidJourney… ngày càng phổ biến tại Việt Nam, cung cấp các dịch vụ hỗ trợ con người với khả năng xử lý thông tin nhanh chóng, tạo ra nội dung đa dạng và cá nhân hóa trải nghiệm người dùng. Hơn nữa, các sản phẩm AI mới liên tục ra mắt, “gây sốt” trong dư luận, có thể kể đến một số sản phẩm mới gần đây như Manus, Suno AI, Kling AI, Luma Dream Machine, TikTok Symphony, Alibaba Qwen… Các sản phẩm này đại diện cho những tiến bộ mới nhất trong lĩnh vực AI, mang lại nhiều tiện ích và giải pháp sáng tạo cho người dùng và doanh nghiệp trên toàn thế giới.

Sự phát triển vượt bậc của công nghệ AI đặt ra nhiều vấn đề đối với các nhà quản lý dữ liệu. (Ảnh: Dirox)

Ở một góc độ khác, những tiến bộ này cũng đặt ra rất nhiều thách thức đối với các cơ quan chức năng trong thực thi pháp luật và quản lý dữ liệu hiệu quả đối với các nền tảng AI nước ngoài. Đơn cử, hầu hết các nền tảng AI nước ngoài không có máy chủ đặt tại Việt Nam, dẫn đến tình trạng dữ liệu được lưu trữ ở nhiều quốc gia khác nhau mà cơ quan quản lý khó kiểm soát. Cạnh đó, Luật Dữ liệu yêu cầu bảo vệ dữ liệu cá nhân và cho phép người dùng yêu cầu xóa dữ liệu. Tuy nhiên, nhiều nền tảng AI không cung cấp đầy đủ công cụ để người dùng có thể kiểm soát dữ liệu của mình. Trong khi đó, cơ quan chức năng thiếu công cụ kỹ thuật để giám sát, kiểm tra và yêu cầu các nền tảng này tuân thủ các quy định trong nước.

Luật Dữ liệu 2024 quy định các nền tảng khoa học và công nghệ trong xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu bao gồm: trí tuệ nhân tạo, điện toán đám mây, chuỗi khối, truyền thông dữ liệu, Internet vạn vật, dữ liệu lớn và công nghệ hiện đại khác. Đáng nói, dù Luật đã thiết lập nhiều quy định về bảo vệ và quản lý dữ liệu xuyên biên giới, nhưng vẫn còn nhiều khoảng trống pháp lý khiến việc điều chỉnh hoạt động của các doanh nghiệp công nghệ nước ngoài nói chung, các nền tảng AI nói riêng trở nên khó khăn. Một trong những khoảng trống đó là chưa có quy định cụ thể về chế tài xử phạt, cũng như các cơ chế hợp tác pháp lý quốc tế để phối hợp xử lý vi phạm đối với các doanh nghiệp nước ngoài không tuân thủ quy định của Luật này.

Cạnh đó, pháp luật hiện hành cũng chưa có quy định rõ ràng về việc xử lý dữ liệu được tạo bởi AI. Cụ thể, các công cụ AI tạo sinh như ChatGPT và MidJourney có thể tạo ra nội dung dựa trên dữ liệu đã thu thập từ nhiều nguồn. Điều này dẫn đến nhiều câu hỏi pháp lý chưa có câu trả lời: Nếu AI tái tạo thông tin sai lệch hoặc vi phạm bản quyền, ai chịu trách nhiệm? Dữ liệu mà AI tự tạo ra có được bảo vệ như dữ liệu cá nhân không?...

Diệu Bảo