Phân tích vai trò và trách nhiệm của các bên trong hoạt động xử lý dữ liệu theo pháp luật Việt Nam

1. Tổng quan về Khuôn khổ Pháp lý Dữ liệu tại Việt Nam

Hai trụ cột pháp lý chính định hình nên khuôn khổ này bao gồm:

• Bảo vệ dữ liệu cá nhân: Nền tảng của trụ cột này là Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, và kể từ ngày 01.01.2026 sẽ được áp dụng theo Luật bảo vệ dữ liệu cá nhân. Phản ánh xu hướng toàn cầu về quyền riêng tư cá nhân, tương tự như Quy định chung về bảo vệ dữ liệu (GDPR) của Châu Âu, văn bản này tập trung vào việc bảo vệ các quyền cơ bản của cá nhân liên quan đến thông tin của họ, thiết lập một chuỗi trách nhiệm rõ ràng cho các bên tham gia xử lý dữ liệu cá nhân.
• Quản lý dữ liệu số: Trụ cột này được thiết lập bởi Luật Dữ liệu số 60/2024/QH15 và văn bản hướng dẫn là Nghị định 165/2025/NĐ-CP. Cách tiếp cận của Luật Dữ liệu mang tầm vĩ mô hơn, thể hiện một chiến lược quốc gia xem dữ liệu là một tài nguyên trọng yếu cần được xây dựng, phát triển, bảo vệ và quản trị một cách có hệ thống, nhằm tạo nền tảng vững chắc cho kinh tế số, chính phủ số và bảo đảm an ninh dữ liệu quốc gia.

Bảng dưới đây tóm tắt các văn bản pháp lý quan trọng và phạm vi điều chỉnh của chúng:

2. Các Bên trong Hoạt động Xử lý Dữ liệu Cá nhân theo Nghị định 13/2023/NĐ-CP

Nghị định 13/2023/NĐ-CP định nghĩa các vai trò dựa trên mối quan hệ chức năng của một tổ chức hoặc cá nhân đối với dữ liệu của một con người cụ thể và mục đích của hoạt động xử lý. Yếu tố trung tâm chi phối các mối quan hệ này là “sự đồng ý” của chủ thể dữ liệu. Mỗi vai trò đều gắn liền với một tập hợp các quyền và nghĩa vụ cụ thể, tạo thành một chuỗi trách nhiệm pháp lý rõ ràng.

Chủ thể dữ liệu

Theo khoản 6, Điều 2 của Nghị định 13, Chủ thể dữ liệu là “cá nhân được dữ liệu cá nhân phản ánh”. Đây là đối tượng trung tâm được pháp luật bảo vệ. Điều 9 của Nghị định quy định các quyền cốt lõi của Chủ thể dữ liệu, bao gồm:

• Quyền được biết: Được biết về hoạt động xử lý dữ liệu cá nhân của mình.
• Quyền đồng ý: Được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân.
• Quyền truy cập: Được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân.
• Quyền rút lại sự đồng ý: Được quyền rút lại sự đồng ý đã cho trước đó.
• Quyền xóa dữ liệu: Được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình.
• Quyền hạn chế xử lý dữ liệu: Được yêu cầu hạn chế xử lý dữ liệu cá nhân.
• Quyền cung cấp dữ liệu: Được yêu cầu cung cấp cho bản thân dữ liệu cá nhân của mình.
• Quyền phản đối xử lý dữ liệu: Được phản đối việc xử lý dữ liệu nhằm ngăn chặn tiết lộ hoặc sử dụng cho mục đích quảng cáo, tiếp thị.
• Quyền khiếu nại, tố cáo, khởi kiện.
• Quyền yêu cầu bồi thường thiệt hại.
• Quyền tự bảo vệ.

Bên Kiểm soát dữ liệu cá nhân

Theo khoản 9, Điều 2, Bên Kiểm soát dữ liệu cá nhân là “tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân”. Đây là bên có vai trò quyết định và chịu trách nhiệm cao nhất đối với hoạt động xử lý. Theo Điều 38, bên này có các nghĩa vụ chính như lựa chọn Bên Xử lý dữ liệu phù hợp và chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý gây ra. Điều này thiết lập một nguyên tắc trách nhiệm giải trình cuối cùng: Bên Kiểm soát không thể thoái thác trách nhiệm pháp lý bằng cách chuyển giao cho Bên Xử lý. Họ vẫn là bên chịu trách nhiệm chính trước cá nhân, ngay cả khi vi phạm xảy ra bởi nhà cung cấp của mình.

Bên Xử lý dữ liệu cá nhân

Theo khoản 10, Điều 2, Bên Xử lý dữ liệu cá nhân là “tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu”. Bên này không quyết định mục đích mà chỉ thực thi các hoạt động xử lý theo chỉ dẫn. Điều 39 quy định các trách nhiệm chính, bao gồm: chỉ xử lý dữ liệu theo đúng hợp đồng đã ký kết và phải xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát khi kết thúc hợp đồng.

Bên Kiểm soát và xử lý dữ liệu cá nhân

Theo khoản 11, Điều 2, Bên Kiểm soát và xử lý dữ liệu cá nhân là “tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân”. Bên này đảm nhận đồng thời trách nhiệm của cả Bên Kiểm soát và Bên Xử lý, như được quy định tại Điều 40.

Bên thứ ba

Theo khoản 12, Điều 2, Bên thứ ba là “tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân”. Đây là một bên độc lập được phép tham gia vào quá trình xử lý dữ liệu trong những trường hợp cụ thể.

Hệ thống các vai trò theo Nghị định 13 được thiết kế xoay quanh việc bảo vệ quyền lợi của cá nhân, tạo ra một chuỗi trách nhiệm pháp lý rõ ràng từ người quyết định mục đích xử lý (Bên Kiểm soát) đến người thực thi (Bên Xử lý).

3. Các Bên trong Hoạt động Dữ liệu theo Luật Dữ liệu 60/2024/QH15

Luật Dữ liệu 60/2024/QH15 tiếp cận vấn đề từ một góc độ vĩ mô, xác định các vai trò dựa trên quyền sở hữu, quản lý và vận hành dữ liệu như một tài sản hoặc tài nguyên quốc gia. Việc “tài sản hóa” dữ liệu này chính là nền tảng pháp lý cho sự hình thành một thị trường dữ liệu chính thức và thiết lập quyền sở hữu rõ ràng, vốn là một vùng xám pháp lý trước đây. Các định nghĩa này không thay thế mà tồn tại song song, bổ sung cho các vai trò trong Nghị định 13.

Chủ thể dữ liệu

Điểm khác biệt pháp lý quan trọng nhất nằm ở việc Luật Dữ liệu mở rộng định nghĩa về Chủ thể dữ liệu so với Nghị định 13. Cụ thể:

• Nghị định 13 (khoản 6, Điều 2): “Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.”
• Luật Dữ liệu 60 (khoản 12, Điều 3): “Chủ thể dữ liệu là cơ quan, tổ chức, cá nhân được dữ liệu phản ánh.”

Sự thay đổi này có ý nghĩa pháp lý sâu sắc. Trong khi Nghị định 13 chỉ tập trung vào cá nhân, Luật Dữ liệu công nhận rằng các tổ chức và cơ quan cũng có thể là chủ thể của dữ liệu. Ví dụ, một cá nhân là chủ thể dữ liệu của thông tin cá nhân của họ, nhưng một công ty có thể là chủ thể dữ liệu của một bộ dữ liệu phản ánh hiệu quả hoạt động kinh doanh hoặc báo cáo tài chính của mình. Sự mở rộng này là nền tảng cho việc quản lý mọi loại dữ liệu, không chỉ riêng dữ liệu cá nhân.

Chủ sở hữu dữ liệu

Theo khoản 14, Điều 3, Chủ sở hữu dữ liệu là “cơ quan, tổ chức, cá nhân có quyền quyết định việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng và trao đổi giá trị của dữ liệu do mình sở hữu”. Vai trò này nhấn mạnh đến quyền kiểm soát tối cao đối với tập hợp dữ liệu. Điểm mấu chốt được làm rõ tại khoản 15, Điều 3: “Quyền của chủ sở hữu dữ liệu đối với dữ liệu là quyền tài sản theo quy định của pháp luật về dân sự”. Điều này chính thức công nhận dữ liệu là một loại tài sản có thể sở hữu và trao đổi giá trị.

Chủ quản dữ liệu

Theo khoản 13, Điều 3, Chủ quản dữ liệu là “cơ quan, tổ chức, cá nhân thực hiện hoạt động xây dựng, quản lý, vận hành, khai thác dữ liệu theo yêu cầu của chủ sở hữu dữ liệu”. Chủ quản dữ liệu có vai trò quản lý và vận hành kỹ thuật đối với dữ liệu, hoạt động dưới sự chỉ đạo hoặc ủy quyền của Chủ sở hữu dữ liệu.

Các vai trò trong Luật Dữ liệu tập trung vào việc quản lý, khai thác giá trị và thiết lập quyền tài sản đối với dữ liệu. Điều này đặt nền móng cho việc hình thành thị trường dữ liệu, quản trị dữ liệu quốc gia và thúc đẩy kinh tế số. Để áp dụng chính xác trong thực tế, cần phải phân tích sự giao thoa và mối quan hệ giữa hai hệ thống vai trò này.

4. Phân tích So sánh và Mối quan hệ giữa các Vai trò

Thời gian viết bài: 15/10/2025 

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Dữ liệu nhạy cảm: Những gì doanh nghiệp bạn đang xử lý mà chưa biết
• Doanh nghiệp cần lưu ý gì khi chào bán cổ phần riêng lẻ
• gười nước ngoài ly hôn tại Việt Nam và phân chia tài sản
• Điều kiện và vấn đề cần lưu ý khi người nước ngoài ly hôn tại Việt Nam
• Hướng dẫn doanh nghiệp sử dụng tài khoản vay và trả nợ khoản vay nước ngoài
• Khi nào thì doanh nghiệp xác lập hợp đồng vay nước ngoài ngắn hạn, hợp đồng dài hạn
• Làm sao để khoản vay nước ngoài đúng luật?