Bài viết phân tích mối quan hệ giữa bảo vệ dữ liệu cá nhân, quyền riêng tư và bình đẳng giới trong bối cảnh chuyển đổi số, nhấn mạnh phụ nữ và trẻ em gái là nhóm vừa được hưởng lợi từ môi trường số, vừa dễ bị tổn thương trước các rủi ro xâm phạm dữ liệu và bạo lực giới trực tuyến. Trên cơ sở tiếp cận quyền con người có lồng ghép giới, kết hợp phương pháp phân tích – so sánh pháp luật và nghiên cứu tài liệu thứ cấp trong nước, quốc tế, bài viết trước hết làm rõ một số vấn đề lý luận về “pháp luật bảo vệ dữ liệu cá nhân gắn với quyền riêng tư của phụ nữ”, đánh giá thực trạng pháp luật Việt Nam hiện hành từ lăng kính bảo vệ phụ nữ, chỉ ra những tiến bộ bước đầu nhưng cũng nêu bật các khoảng trống về nhận diện dữ liệu nhạy cảm, quyền được lãng quên, quyền kiểm soát hình ảnh và cơ chế bảo vệ nạn nhân nữ. Trên nền tảng đó, bài viết đề xuất một số định hướng hoàn thiện pháp luật bảo vệ dữ liệu cá nhân gắn với quyền riêng tư của phụ nữ.

Ảnh minh họa

1. Đặt vấn đề

Trong bối cảnh chuyển đổi số và Cách mạng công nghiệp lần thứ tư, dữ liệu đang trở thành một trong những nguồn lực quan trọng nhất của nền kinh tế. Các mô hình kinh doanh số, dịch vụ trực tuyến, nền tảng số và thị trường dữ liệu đều dựa trên việc thu thập, phân tích và khai thác dữ liệu cá nhân ở quy mô lớn. Dữ liệu cá nhân vì thế không chỉ gắn với quyền riêng tư mà còn mang giá trị kinh tế, được coi như “tài sản chiến lược” trong thị trường dữ liệu số. Cùng với sự phát triển của Big Data, trí tuệ nhân tạo và các công nghệ phân tích dữ liệu, việc xử lý dữ liệu cá nhân ngày càng tinh vi hơn. Các tác nhân trên thị trường dữ liệu có thể xây dựng hồ sơ hành vi, dự đoán xu hướng, phân khúc khách hàng, trong đó dữ liệu về giới, sức khỏe, thói quen tiêu dùng, đời sống gia đình… thường xuyên được sử dụng. Điều này mở ra nhiều cơ hội phát triển, song đồng thời đặt ra thách thức lớn đối với việc bảo vệ quyền riêng tư của cá nhân trong môi trường số. Trong bối cảnh đó, phụ nữ là nhóm chủ thể vừa được hưởng lợi, vừa chịu nhiều rủi ro. Chuyển đổi số mở ra thêm cơ hội tiếp cận dịch vụ công trực tuyến, việc làm trên nền tảng số, thương mại điện tử, giáo dục và y tế từ xa. Tuy nhiên, phụ nữ cũng là đối tượng dễ bị tổn thương trước các hành vi xâm phạm dữ liệu, quấy rối, bạo lực giới trên mạng, lạm dụng hình ảnh và thông tin nhạy cảm. Những rủi ro này có thể dẫn đến tổn hại về danh dự, nhân phẩm, sức khỏe tinh thần và cơ hội phát triển của phụ nữ, cả trong không gian trực tuyến lẫn đời sống thực.

Tại Việt Nam, tình trạng lộ, lọt và mua bán trái phép dữ liệu cá nhân đang diễn biến phức tạp. Các nghiên cứu gần đây cho thấy số vụ tấn công mạng và sự cố mất an toàn thông tin tăng nhanh cả về số lượng và mức độ tinh vi. Theo số liệu tổng hợp, năm 2023 ghi nhận khoảng 13.900 vụ tấn công mạng vào các hệ thống tại Việt Nam, tăng 9,5% so với năm 2022; năm 2024 có tới 46,15% cơ quan, doanh nghiệp bị tấn công mạng ít nhất một lần, với hơn 659.000 vụ tấn công được ghi nhận. Ước tính 14,5 triệu tài khoản bị rò rỉ và 66,24% người dùng Internet xác nhận thông tin của họ từng bị sử dụng trái phép[1]. Các con số này cho thấy rủi ro xâm phạm dữ liệu cá nhân là rất lớn và mang tính hệ thống. Khi đánh giá những rủi ro đó lên nhóm phụ nữ và trẻ em gái, có thể thấy nguy cơ xâm phạm quyền riêng tư càng nghiêm trọng hơn. Dữ liệu nhạy cảm liên quan đến sức khỏe sinh sản, đời sống gia đình, lịch sử bị bạo lực hay quấy rối, nếu bị tiết lộ, có thể dẫn tới kỳ thị xã hội, bạo lực tiếp diễn hoặc bị lợi dụng để tống tiền, đe dọa. Trong môi trường số, các hành vi như phát tán trái phép hình ảnh nhạy cảm, bịa đặt thông tin, bôi nhọ danh dự phụ nữ có thể lan truyền rất nhanh, khó kiểm soát và gây hậu quả sâu rộng.

Nhằm ứng phó với các rủi ro nói trên, Việt Nam đã ban hành nhiều văn bản pháp luật liên quan đến bảo vệ dữ liệu cá nhân, trong đó Nghị định số 13/2023/NĐ- CP về bảo vệ dữ liệu cá nhân được xem là văn bản chuyên sâu và toàn diện đầu tiên trong lĩnh vực này. Nghị định đã bước đầu tiệm cận các chuẩn mực quốc tế như Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR), đồng thời đặt nền móng cho việc xây dựng một khung pháp lý thống nhất về bảo vệ dữ liệu cá nhân. Tuy nhiên, pháp luật hiện hành chủ yếu tiếp cận theo hướng “trung lập giới”, tập trung vào nội dung kỹ thuật và an ninh thông tin, mà chưa thực sự coi phụ nữ và các nhóm dễ bị tổn thương là chủ thể cần được bảo vệ đặc thù trong chính sách dữ liệu. Các quy định về phân loại dữ liệu nhạy cảm, về quyền của chủ thể dữ liệu, về nghĩa vụ của bên xử lý dữ liệu phần lớn chưa phản ánh đầy đủ những rủi ro giới xuất phát từ bối cảnh bạo lực trên mạng, quấy rối tình dục, bóc lột hình ảnh và định kiến giới trong thuật toán. Đây là khoảng trống quan trọng cả trong nghiên cứu lý luận lẫn trong hoạch định chính sách.

2. Khung pháp lý và kinh nghiệm quốc tế về bảo vệ dữ liệu cá nhân gắn với quyền riêng tư của phụ nữ

2.1. Một số vấn đề lý luận về khung pháp lý bảo vệ dữ liệu cá nhân gắn với quyền riêng tư của phụ nữ

2.1.1. Khái niệm và đặc điểm dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm và dữ liệu nhạy cảm về giới

Trong các chuẩn mực quốc tế, dữ liệu cá nhân thường được hiểu rất rộng. GDPR của Liên minh Châu Âu định nghĩa dữ liệu cá nhân là “bất kỳ thông tin nào liên quan đến một người có thể nhận dạng được”, trực tiếp hoặc gián tiếp thông qua các chỉ số nhận dạng và đặc điểm thuộc về sinh học, kinh tế, xã hội của người đó[2] . Cách hiểu này nhấn mạnh hai yếu tố: tính “liên quan đến” một cá nhân cụ thể và khả năng “nhận dạng được” cá nhân đó. Theo Luật Bảo vệ dữ liệu cá nhân năm 2025, dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể; dữ liệu cá nhân gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (Điều 2 khoản1). Cách tiếp cận này khẳng định hai yếu tố cốt lõi: tính “gắn với” một cá nhân cụ thể và khả năng nhận dạng (trực tiếp hoặc gián tiếp) cá nhân đó. Luật cũng nhấn mạnh rằng dữ liệu cá nhân sau khi được khử nhận dạng thì không còn là dữ liệu cá nhân nữa, qua đó mở ra không gian pháp lý cho việc sử dụng dữ liệu đã ẩn danh trong nghiên cứu và đổi mới sáng tạo mà vẫn tôn trọng quyền riêng tư của cá nhân. Luật 2025 quy định dữ liệu cá nhân cơ bản là các dữ liệu phản ánh nhân thân, lai lịch phổ biến, thường xuyên được sử dụng trong giao dịch và quan hệ xã hội; danh mục cụ thể do Chính phủ ban hành.

Dữ liệu cá nhân nhạy cảm được hiểu là dữ liệu gắn liền với quyền riêng tư, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cá nhân. Nghị định số 13/2023/NĐ-CP trước đó đã liệt kê khá chi tiết các nhóm dữ liệu nhạy cảm như tình trạng sức khỏe và đời tư trong hồ sơ bệnh án, đời sống tình dục, xu hướng tình dục, thông tin khách hàng tổ chức tín dụng, dữ liệu vị trí, dữ liệu sinh trắc, dữ liệu về tội phạm… Có thể coi Nghị định số 13/2023/NĐ-CP là bước triển khai sớm về mặt khái niệm, được Luật 2025 nâng lên thành đạo luật, đồng thời giao Chính phủ quyền ban hành danh mục cụ thể trong từng giai đoạn. Trong bối cảnh đó, dữ liệu cá nhân cần được hiểu theo nghĩa mở rộng, không chỉ bao gồm thông tin định danh “truyền thống” (họ tên, số giấy tờ tùy thân, địa chỉ), mà còn cả các định danh số và dấu vết số như tên tài khoản trên mạng xã hội, địa chỉ IP, cookie, dữ liệu lịch sử giao dịch, lịch sử truy cập và tương tác trên nền tảng số[3]. Cách tiếp cận này phù hợp với thực tiễn chuyển đổi số, khi khả năng “kết nối” các mảnh dữ liệu rời rạc để nhận diện cá nhân ngày càng lớn.

Từ góc độ giới, một phần rất quan trọng của dữ liệu cá nhân nhạy cảm chính là dữ liệu nhạy cảm về giới. Đó là các dữ liệu liên quan đến sức khỏe sinh sản, tình trạng mang thai, nạo phá thai, tiền sử bị bạo lực gia đình, bạo lực giới, quấy rối tình dục, hình ảnh nhạy cảm của phụ nữ trên không gian mạng, cũng như những thông tin phản ánh vai trò giới trong gia đình và xã hội. Nếu các dữ liệu này bị thu thập, sử dụng hoặc công bố trái phép, hậu quả đối với danh dự, nhân phẩm, an toàn thân thể và cơ hội phát triển của phụ nữ thường nghiêm trọng hơn nhiều so với nam giới, do sự kết hợp giữa bất bình đẳng giới và định kiến xã hội. Đây là cơ sở để lập luận rằng pháp luật về bảo vệ dữ liệu cá nhân muốn thực sự hiệu quả phải nhận diện đầy đủ dữ liệu nhạy cảm về giới như một nhóm dữ liệu cần cơ chế bảo vệ đặc biệt.

2.1.2. Khái niệm quyền riêng tư và các lớp quyền riêng tư trong môi trường số

Trong pháp luật quốc tế về quyền con người, quyền riêng tư (right to privacy) được ghi nhận như một quyền cơ bản, gắn với phẩm giá con người và tính tự chủ cá nhân. Điều 12 Tuyên ngôn thế giới về quyền con người (UDHR) và Điều 17 Công ước quốc tế về các quyền dân sự, chính trị (ICCPR) đều khẳng định không ai bị can thiệp một cách tùy tiện hoặc bất hợp pháp vào đời sống riêng tư, gia đình, chỗ ở hay thư tín, và mọi người đều có quyền được pháp luật bảo vệ chống lại những can thiệp hoặc xâm phạm như vậy[4]. Ủy ban Nhân quyền Liên Hợp Quốc trong Bình luận chung số 16 đã nhấn mạnh rằng khái niệm “đời sống riêng tư” phải được hiểu rộng, bao gồm không chỉ không gian vật lý mà còn cả thông tin cá nhân, danh dự, uy tín và các mối quan hệ xã hội thân thiết của cá nhân, đồng thời cấm mọi sự can thiệp “tùy tiện” kể cả khi được nội luật cho phép nhưng không cần thiết, không tương xứng với mục đích chính đáng[5]. Ở cấp độ khu vực, Điều 8 Công ước châu Âu về quyền con người (ECHR) và án lệ của Tòa án Nhân quyền châu Âu đã phát triển rất sâu khái niệm quyền tôn trọng đời sống riêng tư, đời sống gia đình, chỗ ở và thư tín, coi quyền này vừa bảo vệ “vùng tối thiểu” chống can thiệp của nhà nước, vừa đặt ra nghĩa vụ tích cực của nhà nước trong việc bảo đảm khung pháp luật và biện pháp thực thi để bảo vệ cá nhân trước các can thiệp của chủ thể tư nhân[6]. Hội đồng châu Âu với Công ước 108 và Liên minh châu Âu với Hiến chương quyền cơ bản và Quy định chung về bảo vệ dữ liệu (GDPR) tiếp tục cụ thể hóa quyền riêng tư trong kỷ nguyên số, coi quyền được bảo vệ dữ liệu cá nhân là sự “thể hiện hiện đại” của quyền riêng tư trong bối cảnh xử lý dữ liệu tự động và dòng chảy dữ liệu xuyên biên giới, song vẫn đặt trên các nguyên tắc cốt lõi của luật nhân quyền quốc tế: tôn trọng phẩm giá, hạn chế can thiệp, hợp pháp – cần thiết – tương xứng, và bảo đảm cơ chế khiếu nại, bồi thường hữu hiệu cho cá nhân[7]. Ở Việt Nam, quyền riêng tư được Hiến pháp Việt Nam ghi nhận thông qua các quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình và an toàn thông tin cá nhân (Điều 21). Trên nền tảng đó, Nghị định số 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân năm 2025 đều xác định bảo vệ dữ liệu cá nhân là một hoạt động nhằm phòng ngừa, phát hiện, ngăn chặn, xử lý các hành vi xâm phạm dữ liệu cá nhân, gắn với việc bảo vệ quyền và lợi ích hợp pháp của cá nhân. Nói cách khác, bảo vệ dữ liệu cá nhân là “lớp bảo vệ pháp lý” quan trọng cho quyền riêng tư trong môi trường số.

Về phương diện lý luận, có thể phân chia quyền riêng tư thành một số “lớp” cơ bản: (1) Quyền riêng tư về thông tin (informational privacy): nhằm bảo vệ dữ liệu và thông tin cá nhân khỏi việc thu thập, xử lý, chia sẻ trái phép. Trong môi trường số, đây là lớp quyền riêng tư nổi bật nhất, gắn trực tiếp với các quy định về dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm, sự đồng ý, xóa dữ liệu, hạn chế xử lý, đánh giá tác động xử lý dữ liệu; (2) Quyền riêng tư về cơ thể (bodily privacy): liên quan đến sự bất khả xâm phạm thân thể, dữ liệu sinh trắc, hình ảnh cơ thể, đặc biệt là hình ảnh nhạy cảm. Các vụ việc phát tán trái phép hình ảnh phụ nữ, quay lén, deepfake khi sử dụng trí tuệ nhân tạo là ví dụ điển hình cho xâm phạm lớp quyền riêng tư này; (3) Quyền riêng tư về thông tin liên lạc (communications privacy): bảo vệ bí mật thư tín, điện thoại, thư điện tử, tài khoản mạng xã hội và nội dung trao đổi trên nền tảng số…[8].

Trong môi trường số, ba lớp quyền riêng tư này không tách rời mà đan xen trong mọi hoạt động xử lý dữ liệu. Một hành vi vi phạm, ví dụ chiếm đoạt trái phép tài khoản mạng xã hội, có thể đồng thời xâm phạm dữ liệu cá nhân, thông tin liên lạc và trong nhiều trường hợp, cả hình ảnh, video nhạy cảm. Đối với phụ nữ, mối liên hệ giữa ba lớp này càng chặt chẽ hơn, bởi dữ liệu, hình ảnh và các tương tác trên mạng thường gắn với định kiến giới, bạo lực giới và nguy cơ bị bôi nhọ, kỳ thị.

Luật Bảo vệ dữ liệu cá nhân 2025 cụ thể hóa quyền riêng tư thông qua việc ghi nhận hệ thống quyền của chủ thể dữ liệu, gồm: quyền được biết, quyền đồng ý hoặc không đồng ý, quyền xem và chỉnh sửa dữ liệu, quyền yêu cầu cung cấp, xóa hoặc hạn chế xử lý dữ liệu, quyền khiếu nại, khởi kiện và yêu cầu bồi thường thiệt hại (Điều 4). Nếu được thiết kế và thực thi tốt, các quyền này cho phép cá nhân – trong đó có phụ nữ – có thêm công cụ kiểm soát thực chất đối với dữ liệu và “vùng riêng tư” của mình trên môi trường số.

2.1.3. Yêu cầu bảo vệ quyền con người của phụ nữ khỏi bạo lực giới, quấy rối và phân biệt đối xử thông qua dữ liệu và thuật toán trong bối cảnh số

Sự phát triển của trí tuệ nhân tạo, dữ liệu lớn, thương mại điện tử và các nền tảng số đã mở rộng đáng kể không gian thực hiện quyền của phụ nữ. Phụ nữ có cơ hội tiếp cận thông tin, giáo dục, việc làm, dịch vụ y tế và phúc lợi xã hội có thể được tăng cường nhờ các ứng dụng số. Tuy nhiên, đi cùng với đó là các rủi ro mới, trong đó dữ liệu cá nhân của phụ nữ trở thành “nguyên liệu” cho nhiều hình thức bạo lực và phân biệt đối xử dựa trên giới.

Các hành vi bạo lực giới và quấy rối tình dục trên mạng (online gender-based violence) thường dựa trên việc sử dụng hoặc đe dọa sử dụng dữ liệu và hình ảnh của nạn nhân. Việc phát tán ảnh, video nhạy cảm, doạ tung thông tin riêng tư, hoặc sử dụng dữ liệu về tình trạng hôn nhân, sức khỏe sinh sản, lịch sử bị bạo lực… để gây sức ép là những ví dụ cho thấy dữ liệu cá nhân có thể bị biến thành công cụ bạo lực. Trong xã hội còn nhiều định kiến giới, hậu quả đối với phụ nữ thường nặng nề hơn, vì ảnh hưởng tới danh dự, nhân phẩm, cơ hội nghề nghiệp và đời sống gia đình.

Trong các hệ thống quyết định tự động dựa trên dữ liệu (AI, scoring, profiling), phụ nữ có thể phải đối mặt với phân biệt đối xử “ẩn” nếu dữ liệu đào tạo chứa đựng định kiến giới, hoặc thuật toán được thiết kế mà không có đánh giá tác động quyền con người và lồng ghép giới. Các nghiên cứu về bảo hộ dữ liệu trong bối cảnh trí tuệ nhân tạo chỉ ra nguy cơ thuật toán tái sản xuất và khuếch đại bất bình đẳng giới trong các lĩnh vực như tuyển dụng, tín dụng, bảo hiểm, phân phối quảng cáo và cung cấp dịch vụ công[9].

Trong bối cảnh đó, yêu cầu bảo vệ quyền con người của phụ nữ đặt ra một số nội dung pháp lý quan trọng sau: Một là, khung pháp luật về dữ liệu cá nhân phải nhận diện phụ nữ như một nhóm dễ bị tổn thương trong môi trường số, từ đó xem xét bổ sung các bảo đảm đặc thù đối với dữ liệu nhạy cảm về giới; Hai là, cơ chế đồng ý, quyền rút lại sự đồng ý, quyền xóa và hạn chế xử lý dữ liệu cần được thiết kế thân thiện, dễ thực thi đối với phụ nữ, kể cả những nhóm ít có điều kiện tiếp cận công nghệ; Ba là, quy định về đánh giá tác động xử lý dữ liệu và đánh giá tác động chuyển dữ liệu xuyên biên giới trong Luật Bảo vệ dữ liệu cá nhân năm 2025 cần được triển khai theo hướng gắn chặt với đánh giá tác động quyền con người và bình đẳng giới, đặc biệt đối với các ứng dụng AI và nền tảng số có khả năng xử lý dữ liệu quy mô lớn về phụ nữ.

Như vậy, có thể thấy mối quan hệ giữa dữ liệu cá nhân, quyền riêng tư và quyền con người của phụ nữ trong môi trường số là mối quan hệ chặt chẽ, hai chiều. Một mặt, khung pháp luật về bảo vệ dữ liệu cá nhân là công cụ quan trọng để bảo đảm quyền riêng tư và chống phân biệt đối xử. Mặt khác, chính yêu cầu bảo vệ phụ nữ khỏi bạo lực giới và bất bình đẳng trong không gian số đặt ra nhiệm vụ phải lồng ghép bình đẳng giới vào toàn bộ cách tiếp cận đối với dữ liệu cá nhân và quyền riêng tư.

2.2. Khung pháp lý quốc tế về bảo vệ dữ liệu cá nhân gắn với quyền riêng tư

Trong pháp luật EU, Quy định chung về bảo vệ dữ liệu (GDPR) được xem là chuẩn mực cao về bảo vệ dữ liệu cá nhân và quyền riêng tư. GDPR thiết lập các nguyên tắc xử lý dữ liệu nghiêm ngặt (hợp pháp, công bằng, minh bạch, giới hạn mục đích, tối thiểu hóa, chính xác, giới hạn thời gian lưu trữ, bảo mật và trách nhiệm giải trình) và thừa nhận hệ thống quyền rộng của chủ thể dữ liệu, trong đó có quyền xóa dữ liệu/“được lãng quên”, qua đó tăng cường đáng kể khả năng kiểm soát dữ liệu của cá nhân trong môi trường số[10]. Đối với dữ liệu nhạy cảm, GDPR áp dụng chế độ bảo vệ cao hơn, coi dữ liệu về sức khỏe, đời sống tình dục, khuynh hướng giới tính, quan điểm chính trị, tín ngưỡng, dữ liệu sinh trắc… là đối tượng về nguyên tắc bị cấm xử lý, trừ các ngoại lệ chặt chẽ và phải có sự đồng ý rõ ràng của chủ thể dữ liệu[11]. Cách tiếp cận này đặc biệt quan trọng đối với phụ nữ, khi phần lớn dữ liệu liên quan đến sức khỏe sinh sản, đời sống tình dục, tình trạng là nạn nhân bạo lực gia đình, bạo lực giới đều là dữ liệu nhạy cảm; vì vậy, GDPR được xem là nguồn tham chiếu quan trọng cho Việt Nam trong việc coi dữ liệu nhạy cảm như “vùng lõi” của quyền riêng tư, nơi các nhóm dễ bị tổn thương – trong đó có phụ nữ – cần được bảo vệ bằng cơ chế đồng ý chặt chẽ, đánh giá tác động và quyền xóa/“được lãng quên”[12].

Ngoài EU, nhiều quốc gia đã xây dựng mô hình pháp luật riêng về bảo vệ dữ liệu cá nhân và quyền riêng tư.

Ở Hoa Kỳ, vẫn chưa có một đạo luật liên bang thống nhất về bảo vệ dữ liệu cá nhân. Cách tiếp cận chủ yếu là phân ngành và phân bang: HIPAA trong lĩnh vực y tế, COPPA với dữ liệu trẻ em, GLBA với dữ liệu tài chính, cùng với các đạo luật cấp bang như CCPA/CPRA của California. Hệ thống này kết hợp quy định nhà nước với cơ chế tự điều chỉnh của doanh nghiệp, nhưng tạo nên bức tranh phân mảnh, tiêu chuẩn bảo vệ không đồng đều. Vai trò thực thi của Ủy ban Thương mại Liên bang (FTC) và nguy cơ kiện tập thể là yếu tố buộc các nền tảng lớn phải coi trọng bảo mật dữ liệu và quyền riêng tư người tiêu dùng[13].

Trong khi đó, Trung Quốc phát triển khung pháp lý muộn hơn, nhưng đang tiến rất nhanh tới mô hình tương đối gần với GDPR. Ba trụ cột chính là Luật An ninh mạng, Luật Bảo mật dữ liệu và Luật Bảo vệ thông tin cá nhân năm 2021. Luật Bảo vệ thông tin cá nhân năm 2021 là đạo luật lần đầu thiết lập bộ quy tắc toàn diện về bảo vệ dữ liệu cá nhân trong kinh tế số. Luật này sử dụng nhiều nguyên tắc tương tự GDPR (hợp pháp, cần thiết, giới hạn mục đích, bảo mật, quyền của chủ thể dữ liệu), có chế độ bảo vệ cao hơn đối với thông tin nhạy cảm và yêu cầu đánh giá tác động trong các tình huống rủi ro cao. Tuy nhiên, điểm khác biệt căn bản là Luật Bảo vệ thông tin cá nhân năm 2021 tập trung mạnh vào kiểm soát khu vực tư, trong khi không đối xứng về bảo vệ trước hoạt động xử lý dữ liệu của nhà nước.

Xét về tổng thể, ba mô hình trên minh họa các kiểu tiếp cận khác nhau: mô hình “chuẩn mực cao, thống nhất” kiểu EU; mô hình “phân ngành, dựa nhiều vào thực thi và thị trường” kiểu Hoa Kỳ; và mô hình “nhà nước mạnh, đang tiệm cận chuẩn mực bảo vệ cao” kiểu Trung Quốc. Các công trình nghiên cứu trong nước đều gợi ý rằng kinh nghiệm châu Âu – đặc biệt là cách phân biệt dữ liệu nhạy cảm, cơ chế quyền của chủ thể dữ liệu và đánh giá tác động – có giá trị tham khảo trực tiếp cho Việt Nam; trong khi kinh nghiệm Hoa Kỳ và Trung Quốc giúp nhận diện rõ hơn những rủi ro từ quyền lực dữ liệu của cả doanh nghiệp lẫn nhà nước trong bối cảnh CMCN 4.0.

Khi được tiếp cận từ góc độ quyền con người và bình đẳng giới, các mô hình này trở thành cơ sở quan trọng để thiết kế pháp luật bảo vệ dữ liệu cá nhân theo hướng chú ý hơn tới các nhóm dễ bị tổn thương, trong đó có phụ nữ, nạn nhân bạo lực giới và nạn nhân lộ lọt dữ liệu nhạy cảm trong môi trường số.

2.3. Một số cách tiếp cận mới đặt ra trong bối cảnh CMCN 4.0 và chuyển đổi số

Một là, tiếp cận dựa trên quyền riêng tư trong bảo vệ dữ liệu cá nhân trên nền tảng dịch vụ công trực tuyến. Dịch vụ công trực tuyến buộc Nhà nước phải thu thập, xử lý khối lượng lớn dữ liệu, trong đó có dữ liệu nhạy cảm về đời sống cá nhân, gia đình, sức khỏe, an sinh xã hội của công dân. Cách tiếp cận truyền thống thiên về kỹ thuật, an ninh mạng không còn đáp ứng yêu cầu. Cần chuyển sang tiếp cận dựa trên quyền riêng tư, coi việc bảo vệ dữ liệu cá nhân là bảo vệ một quyền con người cơ bản, đòi hỏi thiết kế lại quy trình dịch vụ theo các nguyên tắc: tối thiểu hóa dữ liệu, minh bạch, mục đích rõ ràng, đồng ý thực chất, quyền truy cập và xóa dữ liệu, đánh giá tác động quyền riêng tư trước khi triển khai hệ thống lớn. Đây là hướng tiếp cận mới, đặc biệt quan trọng với phụ nữ và các nhóm dễ bị tổn thương khi sử dụng dịch vụ công số.

Hai là, tiếp cận quản lý rủi ro công nghệ trong pháp luật bảo vệ dữ liệu cá nhân trước AI, dữ liệu lớn và các công nghệ số mới nổi. Trí tuệ nhân tạo, dữ liệu lớn, nhận diện khuôn mặt, theo dõi hành vi trực tuyến… tạo ra năng lực profiling, scoring, ra quyết định tự động ở quy mô lớn. Điều này mở ra một thách thức pháp lý mới: dữ liệu cá nhân không chỉ bị “thu thập – lưu trữ” mà còn được dùng để suy đoán, phân loại, xếp hạng cá nhân, với nguy cơ thiên lệch thuật toán và phân biệt đối xử khó nhận diện, trong đó phụ nữ dễ bị bất lợi hơn. Pháp luật bảo vệ dữ liệu vì thế cần chuyển từ mô hình “đồng ý + bảo mật” sang tiếp cận dựa trên quản lý rủi ro công nghệ, bao gồm: yêu cầu minh bạch và giải thích quyết định tự động; đánh giá tác động đến quyền con người và bình đẳng giới; giới hạn xử lý dữ liệu nhạy cảm cho mục đích suy đoán; tăng trách nhiệm của nhà phát triển và nền tảng khi công nghệ (như deepfake) bị sử dụng để xâm hại phụ nữ.

Thứ ba, ghi nhận quyền được lãng quên và quyền kiểm soát hình ảnh của phụ nữ trong môi trường số. Quyền được lãng quên có thể được hiểu khái quát là quyền yêu cầu các chủ thể xử lý dữ liệu xóa bỏ, ngừng hiển thị hoặc ngừng liên kết đến những thông tin, hình ảnh không còn phù hợp, không cần thiết hoặc gây tổn hại nghiêm trọng đến đời sống riêng tư. Trong môi trường số, dữ liệu và hình ảnh một khi đã phát tán rất khó “biến mất”. Kinh nghiệm EU về “quyền được lãng quên” cho thấy nhu cầu mở rộng các quyền cổ điển (truy cập, đính chính, xóa) thành quyền yêu cầu gỡ bỏ, chặn truy cập, xóa liên kết đối với thông tin, hình ảnh gây tổn hại nghiêm trọng cho đời sống riêng tư. Đối với phụ nữ là nạn nhân bạo lực giới, nạn nhân lộ lọt ảnh, video nhạy cảm thì đây là một lớp bảo vệ mới giúp họ thoát khỏi vòng xoáy kỳ thị và bêu riếu kéo dài. Xem quyền được lãng quên và quyền kiểm soát hình ảnh như cơ chế tăng cường bảo vệ dữ liệu nhạy cảm về giới, gắn với thủ tục ưu tiên, nhanh, chế tài mạnh đối với hành vi tái phát tán; đồng thời thiết kế cơ chế cân bằng hợp lý với quyền tiếp cận thông tin và tự do ngôn luận. Pháp luật Việt Nam mới ghi nhận bước đầu quyền yêu cầu xóa dữ liệu, vì vậy việc hoàn thiện theo hướng này là một trong những hướng cải cách quan trọng nhằm bảo vệ phụ nữ trong môi trường số.

3. Đánh giá thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân gắn với quyền riêng tư của phụ nữ

3.1. Đánh giá tổng thể khung pháp luật hiện hành

Hiến pháp năm 2013 hiến định quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân, bí mật gia đình và bảo đảm an toàn thư tín, điện thoại, điện tín của mọi người (Điều 21). Bộ luật Dân sự năm 2015 cụ thể hóa qua các quy định về quyền của cá nhân đối với hình ảnh và quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 32, Điều 38). Luật Bảo vệ dữ liệu cá nhân năm 2025 cùng với Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân đã đặt nền tảng chuyên biệt cho việc định nghĩa dữ liệu cá nhân, phân loại dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, xác lập nguyên tắc bảo vệ, quyền và nghĩa vụ của chủ thể dữ liệu (Điều 2, Điều 4 Luật Bảo vệ dữ liệu cá nhân; khoản 3, khoản 4 Điều 2, Điều 9 Nghị định 13/2023/NĐ-CP). Các đạo luật liên quan như Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018, Luật Công nghệ thông tin năm 2006, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023… bổ sung các quy định về bảo mật, an toàn thông tin và trách nhiệm của tổ chức, doanh nghiệp trong thu thập, xử lý, chia sẻ thông tin cá nhân. Vấn đề bình đẳng giới và bảo vệ nhóm dễ bị tổn thương được quy định ở Luật Bình đẳng giới năm 2006, Luật Phòng, chống bạo lực gia đình năm 2022, Luật Trẻ em năm 2016 và các luật về phòng, chống mua bán người, hỗ trợ nạn nhân… đều có quy định về bảo vệ đời sống riêng tư, bí mật cá nhân của phụ nữ và trẻ em (Luật Trẻ em 2016, Điều 21). Những quy định này tạo cơ sở để lồng ghép yêu cầu bảo vệ dữ liệu cá nhân trong các chính sách phòng chống bạo lực giới, bảo vệ nạn nhân.

3.2. Thực trạng nhóm quy định chung về bảo vệ dữ liệu cá nhân có liên quan trực tiếp tới phụ nữ

Nhóm quy định về phạm vi, phân loại dữ liệu và nhận diện dữ liệu nhạy cảm về giới: Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025 và Điều 4 Nghị định 13/2023/NĐ- CP phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, bao gồm dữ liệu về sức khỏe, đời sống tình dục, quan điểm chính trị, dữ liệu sinh trắc học… (Điều 2 Luật Bảo vệ dữ liệu cá nhân; khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP). Từ góc độ giới, nhiều loại dữ liệu gắn với phụ nữ như thông tin về sức khỏe sinh sản, tình trạng mang thai, hồ sơ nạn nhân bạo lực gia đình, bạo lực tình dục, dữ liệu nhận diện khuôn mặt… thực chất là dữ liệu nhạy cảm và nếu bị lộ lọt sẽ gây tổn hại nghiêm trọng đến quyền riêng tư, danh dự và an toàn thân thể.

Nhóm quy định về quyền của chủ thể dữ liệu và khả năng vận dụng để bảo vệ phụ nữ: Luật Bảo vệ dữ liệu cá nhân năm 2025 ghi nhận một hệ thống quyền của chủ thể dữ liệu, bao gồm quyền được biết, quyền đồng ý hoặc rút lại sự đồng ý, quyền xem và chỉnh sửa, quyền yêu cầu cung cấp, xóa hoặc hạn chế xử lý dữ liệu, quyền phản đối, khiếu nại, khởi kiện, yêu cầu bồi thường (Điều 4). Những quyền này, nếu được thiết kế và hướng dẫn cụ thể theo hướng nhạy cảm giới, có thể trở thành công cụ quan trọng để phụ nữ yêu cầu gỡ bỏ thông tin, chặn truy cập dữ liệu nhạy cảm, khiếu nại, khởi kiện khi dữ liệu bị sử dụng để quấy rối, bêu riếu, kỳ thị.

Nhóm quy định về nghĩa vụ của bên kiểm soát, xử lý dữ liệu và mức độ lồng ghép giới: Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định 13/2023/NĐ-CP quy định nghĩa vụ bảo đảm an ninh, bảo mật dữ liệu; giới hạn mục đích, phạm vi xử lý; đánh giá tác động khi xử lý dữ liệu có rủi ro cao; xử lý sự cố rò rỉ dữ liệu… cho bên kiểm soát và xử lý dữ liệu. Tuy vậy, hầu hết quy định hiện hành chưa tính đủ đến yếu tố giới, chưa đặt ra nghĩa vụ đặc thù đối với dữ liệu nhạy cảm về giới, cũng như chưa yêu cầu đánh giá tác động giới hoặc thủ tục ưu tiên cho nạn nhân là phụ nữ trong các vụ việc rò rỉ, lạm dụng dữ liệu.

3.3. Thực trạng nhóm quy định về ngành, lĩnh vực “nhạy cảm giới”

Nhóm quy định về thương mại điện tử và bảo vệ quyền riêng tư của người tiêu dùng: Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 và pháp luật về thương mại điện tử yêu cầu tổ chức, cá nhân kinh doanh phải bảo đảm an toàn thông tin người tiêu dùng, chỉ thu thập và sử dụng trên cơ sở thông báo rõ ràng, có sự đồng ý (Luật Bảo vệ quyền lợi người tiêu dùng 2023, Điều 14, Điều 16). Tuy nhiên, thực tiễn cho thấy dữ liệu tiêu dùng của phụ nữ (thói quen mua sắm, lịch sử giao dịch liên quan tới sức khỏe sinh sản, ngoại hình…) vẫn dễ bị khai thác để nhắm mục tiêu quảng cáo, phân loại khách hàng, thậm chí định hình các chuẩn mực giới bất lợi.

Nhóm quy định về mạng xã hội, nền tảng số, dịch vụ công trực tuyến: Pháp luật về an ninh mạng, an toàn thông tin mạng và cung cấp dịch vụ trên môi trường mạng đặt ra nghĩa vụ bảo mật, ngăn chặn nội dung xâm phạm danh dự, nhân phẩm, đời sống riêng tư. Tuy vậy, các nền tảng mạng xã hội và cổng dịch vụ công trực tuyến vẫn là nơi diễn ra phổ biến hành vi bêu riếu, công khai hình ảnh, thông tin nhạy cảm về phụ nữ, chia sẻ trái phép hồ sơ y tế, thông tin gia đình… mà cơ chế xử lý còn chậm và thiếu nhạy cảm giới.

Nhóm quy định về thị trường dữ liệu và dữ liệu lớn: Các quy định về giao dịch dữ liệu, thông tin tín dụng, xếp hạng tín nhiệm, phân tích dữ liệu lớn mới được manh nha trong Luật Bảo vệ dữ liệu cá nhân năm 2025 và một số văn bản chuyên ngành. Tuy nhiên, dữ liệu của phụ nữ trong các hệ thống chấm điểm tín dụng, bảo hiểm, tuyển dụng… vẫn có nguy cơ bị “hàng hóa hóa”, dùng để phân loại rủi ro theo những giả định định kiến về giới mà chưa có cơ chế đủ mạnh để kiểm soát thiên lệch và bảo vệ nhóm yếu thế.

Nhóm quy định về lao động, an sinh xã hội, tố tụng tư pháp: Bộ luật Lao động năm 2019, Luật Bảo hiểm xã hội năm 2024, Luật Khám bệnh, chữa bệnh năm 2023, Bộ luật Tố tụng hình sự năm 2015, Luật Trẻ em năm 2016… đều có quy định bảo vệ bí mật đời sống riêng tư, bí mật sức khỏe, hồ sơ cá nhân trong quan hệ lao động, an sinh, tố tụng, nhất là với phụ nữ, trẻ em, nạn nhân bạo lực. Tuy nhiên, các quy định về giám sát điện tử tại nơi làm việc, lưu trữ hồ sơ y tế, sinh sản, bảo mật hồ sơ nạn nhân trong tố tụng hình sự vẫn phân tán, chưa được thiết kế thống nhất như một “vùng bảo vệ dữ liệu nhạy cảm” dành cho phụ nữ.

3.4. Đánh giá chung từ góc độ bảo vệ phụ nữ

Mặt tích cực

Nhìn tổng thể, Việt Nam đã hình thành được một khung pháp lý nền cho bảo vệ quyền riêng tư và dữ liệu cá nhân với các văn bản như: Hiến pháp năm 2013, Bộ luật Dân sự năm 2015, Luật An ninh mạng năm 2018, Luật An toàn thông tin mạng năm 2015, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và đặc biệt là Luật Bảo vệ dữ liệu cá nhân năm 2025 (có hiệu lực từ 01/01/2026). Các văn bản này bước đầu tiếp cận theo chuẩn mực quốc tế về quyền riêng tư và bảo vệ dữ liệu, tham chiếu khá rõ các nguyên tắc của GDPR, nhất là nhóm nguyên tắc xử lý dữ liệu và các quyền cơ bản của chủ thể dữ liệu. Trong nước, nhiều nghiên cứu đều ghi nhận xu hướng tích cực là pháp luật Việt Nam ngày càng tiếp cận rõ hơn góc nhìn quyền con người và quyền riêng tư trong bối cảnh số, mở ra điều kiện để lồng ghép tốt hơn yêu cầu bảo vệ phụ nữ.

Mặt hạn chế

Tuy vậy, khung pháp luật hiện hành của Việt Nam vẫn còn một số hạn chế khi nhìn từ lăng kính bảo vệ phụ nữ. Thứ nhất, các quy định về bảo vệ dữ liệu cá nhân và quyền riêng tư vẫn còn phân tán ở nhiều đạo luật, nghị định, thông tư, khiến việc áp dụng trong các tình huống cụ thể (như bạo lực giới trên mạng, lộ lọt hình ảnh nhạy cảm của phụ nữ) thiếu sự rõ ràng và nhất quán. Thứ hai, nhiều quy định vẫn thiên về mục tiêu an ninh mạng, trật tự, an toàn xã hội và quản lý nhà nước hơn là nhấn mạnh góc độ quyền con người, quyền phụ nữ và các nhóm dễ bị tổn thương. Cách thiết kế quy phạm thường coi mọi chủ thể dữ liệu là tương đồng, chưa phản ánh đầy đủ những rủi ro riêng về giới như bạo lực trên mạng, quấy rối, “trả thù bằng hình ảnh” hay việc khai thác dữ liệu về sức khỏe sinh sản, đời sống tình dục, tình trạng là nạn nhân bạo lực gia đình… của phụ nữ. Thứ ba, pháp luật hiện hành chưa có quy định chuyên biệt về dữ liệu nhạy cảm gắn với giới của phụ nữ (ví dụ: dữ liệu về nạn nhân bạo lực giới, dữ liệu y tế – sinh sản, dữ liệu sinh trắc dùng để nhận diện trong không gian riêng tư). Các cơ chế như đánh giá tác động giới, thủ tục ưu tiên xử lý khi phụ nữ là nạn nhân rò rỉ dữ liệu, hay các biện pháp bảo vệ tăng cường đối với dữ liệu nhạy cảm về giới mới chỉ xuất hiện rời rạc trong một số đạo luật, chưa được thiết kế như một trục xuyên suốt của pháp luật bảo vệ dữ liệu cá nhân.

Nguyên nhân

Các hạn chế nêu trên xuất phát từ nhiều nguyên nhân. Về lập pháp, phần lớn quy định được xây dựng dựa trên tư duy kỹ thuật – công nghệ và bảo đảm an ninh, trật tự, trong khi lồng ghép quyền con người, bình đẳng giới và nhu cầu bảo vệ riêng của phụ nữ mới chỉ ở giai đoạn đầu. Về thực thi, năng lực của cơ quan quản lý, cơ sở cung cấp dịch vụ số và doanh nghiệp trong việc tuân thủ đầy đủ nghĩa vụ bảo vệ dữ liệu cá nhân còn hạn chế; chế tài và cơ chế khiếu nại, bồi thường chưa đủ sức răn đe, nhất là trong các vụ việc xâm phạm dữ liệu, hình ảnh nhạy cảm của phụ nữ. Bên cạnh đó, nhận thức xã hội về quyền riêng tư nói chung và quyền riêng tư của phụ nữ nói riêng vẫn còn thấp; nhiều hành vi phát tán thông tin, hình ảnh nhạy cảm của phụ nữ bị coi là “chuyện riêng” hoặc “đạo đức xã hội”, chưa được nhìn nhận đúng như hành vi xâm phạm quyền con người cần được pháp luật bảo vệ và xử lý nghiêm.

4. Định hướng, giải pháp xây dựng và hoàn thiện pháp luật Việt Nam nhằm tăng cường hiệu quả bảo vệ quyền riêng tư gắn với dữ liệu cá nhân của phụ nữ trong thời đại số

4.1.Định hướng chính sách và cách tiếp cận

Hoàn thiện pháp luật về bảo vệ quyền riêng tư gắn với dữ liệu cá nhân của phụ nữ cần chuyển từ tiếp cận “an ninh, kỹ thuật” sang tiếp cận quyền con người có lồng ghép giới. Trước hết, cần khẳng định rõ bảo vệ dữ liệu cá nhân và quyền riêng tư là một bộ phận của bảo vệ quyền con người, không chỉ là yêu cầu về an ninh mạng hay quản lý kỹ thuật. Điều này đòi hỏi các chính sách, pháp luật về dữ liệu phải xuất phát từ việc tôn trọng nhân phẩm, quyền tự quyết thông tin của từng cá nhân, đồng thời lồng ghép đầy đủ góc độ giới và bất bình đẳng giới. Phụ nữ, trẻ em gái, nạn nhân bạo lực giới cần được xác định là nhóm chủ thể phải được bảo vệ tăng cường trong các chiến lược, chương trình và văn bản pháp luật về dữ liệu, thay vì được coi là đối tượng “trung bình” như mọi chủ thể dữ liệu khác.

Tiếp tục hoàn thiện việc luật hóa, cụ thể hóa các nguyên tắc và cơ chế bảo vệ dữ liệu trong các luật, nghị định chuyên ngành, đồng thời nghiên cứu bổ sung một chương hoặc mục riêng về bảo vệ dữ liệu của phụ nữ, trẻ em gái và các nhóm dễ bị tổn thương. Nội dung này có thể tham chiếu kinh nghiệm GDPR và một số nước châu Á, trong đó tập trung vào việc xác định dữ liệu nhạy cảm về giới; yêu cầu đánh giá tác động giới đối với các dự án, hệ thống xử lý dữ liệu quy mô lớn; cơ chế ưu tiên bảo vệ nạn nhân là phụ nữ khi bị xâm phạm dữ liệu.

4.2. Hoàn thiện nhóm quy định cốt lõi về bảo vệ dữ liệu cá nhân gắn với quyền riêng tư phụ nữ

Cần rà soát và làm rõ hơn danh mục dữ liệu cá nhân nhạy cảm, nhấn mạnh các nhóm dữ liệu gắn với phụ nữ. Cần rà soát quy định bảo vệ dữ liệu về sức khỏe sinh sản, tiền sử mang thai và điều trị phụ khoa; dữ liệu về việc là nạn nhân bạo lực gia đình, bạo lực tình dục, quấy rối; dữ liệu sinh trắc, hình ảnh trong các không gian riêng tư. Đối với các loại dữ liệu này, pháp luật cần siết chặt điều kiện xử lý, yêu cầu đánh giá tác động quyền riêng tư và tác động giới trước khi thu thập, chia sẻ, kết nối dữ liệu ở quy mô lớn.

Cần cụ thể hoá quyền của chủ thể dữ liệu là phụ nữ. Các quyền hiện có của chủ thể dữ liệu cần được cụ thể hóa và “làm dày” nội dung đối với trường hợp phụ nữ gồm: (i) Quyền được lãng quên, quyền yêu cầu xóa dữ liệu và hình ảnh nhạy cảm trên môi trường số, trong đó có cơ chế yêu cầu gỡ bỏ, chặn truy cập, xóa liên kết khỏi công cụ tìm kiếm; (ii) Quyền kiểm soát dữ liệu sinh trắc, dữ liệu sức khỏe sinh sản, hồ sơ về hỗ trợ bạo lực gia đình, bảo đảm chỉ được truy cập bởi những chủ thể thật sự cần thiết; (iii) Quyền rút lại sự đồng ý một cách đơn giản, hiệu quả, không bị gây khó khăn về thủ tục, đặc biệt trong các dịch vụ trực tuyến và nền tảng số.

Cần bổ sung nghĩa vụ của cơ quan nhà nước, doanh nghiệp và nhà cung cấp dịch vụ. Pháp luật cần tăng cường nghĩa vụ chủ động của cơ quan nhà nước, doanh nghiệp nền tảng số, nhà cung cấp dịch vụ y tế, giáo dục… trong việc phòng ngừa, phát hiện và xử lý nội dung xâm hại quyền riêng tư phụ nữ. Điều này bao gồm: cơ chế báo cáo nhanh và bắt buộc khi xảy ra rò rỉ dữ liệu nhạy cảm; nghĩa vụ gỡ bỏ sớm nội dung xâm hại; phối hợp với cơ quan bảo vệ pháp luật, tổ chức hỗ trợ nạn nhân; quy định rõ trách nhiệm bồi thường và chế tài khi doanh nghiệp, cơ quan để lộ hoặc sử dụng sai mục đích dữ liệu nhạy cảm về giới.

4.3. Hoàn thiện quy định ngành, lĩnh vực trọng điểm liên quan đến bảo vệ dữ liệu cá nhân gắn với quyền riêng tư phụ nữ

Thứ nhất, hoàn thiện quy định về thương mại điện tử, tài chính số. Trong thương mại điện tử và tài chính số, cần thiết kế cơ chế bảo vệ dữ liệu và quyền riêng tư của người tiêu dùng nữ một cách rõ ràng hơn, bao gồm: giới hạn phạm vi thu thập dữ liệu; minh bạch việc sử dụng dữ liệu để phân tích hành vi; cấm sử dụng dữ liệu giới tính, tình trạng hôn nhân, sức khỏe sinh sản để profiling, scoring hoặc ra quyết định tự động gây phân biệt đối xử

Thứ hai, hoàn thiện quy định về dịch vụ công trực tuyến, y tế, giáo dục. Đối với dịch vụ công trực tuyến, y tế, giáo dục, cần quy định chuẩn hóa về bảo mật hồ sơ y tế, hồ sơ các dịch vụ hỗ trợ phụ nữ (tư vấn bạo lực gia đình, chăm sóc sức khỏe sinh sản…), từ khâu thu thập, lưu trữ đến chia sẻ dữ liệu. Hệ thống dịch vụ công trực tuyến phải được thiết kế theo hướng “privacy by design”, có đánh giá tác động quyền riêng tư trước khi triển khai, đặc biệt với các cơ sở dữ liệu có chứa thông tin phụ nữ và trẻ em gái.

Thứ ba, hoàn thiện quy định về lao động, an sinh xã hội. Trong lĩnh vực lao động và an sinh xã hội, cần quy định rõ giới hạn giám sát điện tử tại nơi làm việc; nguyên tắc xử lý dữ liệu liên quan tới thai sản, chăm sóc con nhỏ, sức khỏe của người lao động nữ; trách nhiệm bảo mật của người sử dụng lao động và cơ quan bảo hiểm xã hội. Các quy định này phải bảo đảm rằng việc sử dụng dữ liệu không dẫn đến phân biệt đối xử hoặc xâm phạm quyền riêng tư của lao động nữ.

Thứ tư, tăng cường thiết chế thực thi và cơ chế bảo vệ nạn nhân nữ.

Cần củng cố cơ quan đầu mối về bảo vệ dữ liệu cá nhân theo hướng có tính độc lập tương đối, có bộ phận chuyên trách về giới và nhóm dễ bị tổn thương, đủ thẩm quyền ban hành hướng dẫn, thanh tra, xử phạt và phối hợp với các tổ chức bảo vệ quyền phụ nữ trong các vụ việc xâm phạm dữ liệu nhạy cảm.

Nên thiết kế cơ chế khiếu nại, tố cáo, hỗ trợ pháp lý thân thiện với nạn nhân nữ, thủ tục đơn giản, có thể thực hiện trực tuyến, bảo đảm ẩn danh và bảo mật thông tin, đồng thời tăng cường cơ chế bảo vệ nhân chứng, nạn nhân trong các vụ việc liên quan đến dữ liệu nhạy cảm để việc tố cáo, khởi kiện không làm họ bị tổn hại thêm.

Cùng với đó, cần đẩy mạnh các chương trình giáo dục, truyền thông về an toàn số và quyền riêng tư dành cho phụ nữ và trẻ em gái, lồng ghép vào nhà trường, cộng đồng và tổ chức xã hội, qua đó hình thành “văn hoá quyền riêng tư” coi việc tôn trọng dữ liệu và hình ảnh của người khác là chuẩn mực xã hội.

5. Kết luận

Trong bối cảnh chuyển đổi số, bảo vệ dữ liệu cá nhân là lớp bảo vệ thiết yếu của quyền riêng tư và gắn chặt với bảo đảm bình đẳng giới. Dữ liệu nhạy cảm về giới nếu bị lạm dụng sẽ làm gia tăng bạo lực, quấy rối và phân biệt đối xử với phụ nữ trên không gian mạng. Vì vậy, pháp luật về dữ liệu cá nhân cần được thiết kế trên nền tảng quyền con người và bình đẳng giới, coi phụ nữ và trẻ em gái là nhóm cần được bảo vệ tăng cường. Bài viết phác hoạ cấu trúc các nhóm quy định tạo nên “pháp luật bảo vệ dữ liệu cá nhân gắn với quyền riêng tư của phụ nữ”, từ nhóm quy định chung, nhóm quy định theo lĩnh vực “nhạy cảm giới” đến thiết chế thực thi. Đồng thời, bài viết gợi ý một số định hướng hoàn thiện pháp luật Việt Nam theo hướng lồng ghép giới, tiếp cận quản lý rủi ro công nghệ và tăng cường các cơ chế như quyền được lãng quên, quyền kiểm soát hình ảnh, bảo vệ dữ liệu nhạy cảm về giới.

PGS.TS. Phạm Thị Thúy Nga (Viện Nhà nước và Pháp luật)

Danh mục tài  liệu tham khảo

1. Đoàn Mạnh Hồng, Trần Thanh Tùng (2025), Bảo vệ dữ liệu cá nhân tại Việt Nam – Thực trạng và giải pháp, Tạp chí Giáo dục & Xã hội, Tháng 5/2025 (kỳ 2), tr.231–236.

2. Bùi Thị Nguyệt Thu (2024), Khái quát về bảo vệ dữ liệu cá nhân tại Việt Nam hiện nay, Tạp chí Việt Nam Hội nhập, số 345, tháng 9/2024, tr. 53–58.

3. Bạch Thị Nhã Nam (2022), Xây dựng khái niệm dữ liệu cá nhân trong pháp luật Việt Nam tham chiếu kinh nghiệm của Liên minh châu Âu, Tạp chí Nhà nước và Pháp luật, số 6, tr.22-30

4. UN General Assembly (1948), Universal Declaration of Human Rights, G.A. Res. 217 A (III), adopted 10 December 1948.

5. UN General Assembly (1966), International Covenant on Civil and Political Rights, G.A. Res. 2200A (XXI)

6. UN Human Rights Committee (1988), General Comment No. 16: Article 17 (Right to Privacy). The right to respect of privacy, family, home and correspondence, and protection of honour and reputation

7. Council of Europe (1950), Convention for the Protection of Human Rights and Fundamental Freedoms (European Convention on Human Rights)

8. Council of Europe (1981), Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Convention 108), ETS No. 108

9. Nguyễn Quỳnh Trang (2022), Pháp luật về bảo hộ dữ liệu cá nhân trong bối cảnh phát triển trí tuệ nhân tạo và các công nghệ số mới nổi khác, Tạp chí Pháp luật và Thực tiễn, số 50, tr. 137–146.

10. Vũ Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam, Tạp chí Nghiên cứu Lập pháp, số 09 (409), 5/2020, tr. 55–64.

11. Nguyễn Văn Hậu (2024), Luật bảo vệ dữ liệu của Đức, Hoa Kỳ và Trung Quốc, Tạp chí Quản lý nhà nước điện tử, 04/7/2024,

https://www.quanlynhanuoc.vn/2024/07/04/luat-bao-ve-du-lieu-cua-duc-hoa- ky-va-trung-quoc/

12. Tạ Thị Bích Ngọc, Nguyễn Kim Tùng (2022), Tiếp cận dựa trên quyền riêng tư trong chính sách bảo vệ dữ liệu cá nhân trên các nền tảng dịch vụ công trực tuyến ở Việt Nam hiện nay, VNU Journal of Science: Policy and Management Studies, Vol. 38, No. 3, tr. 95–105.

13. Phan Thảo Đan, Đoàn Đức Thắng (2023), Bảo vệ dữ liệu cá nhân: ‘Quyền được lãng quên’ theo quy định của Liên minh châu Âu và một số kiến nghị cho Việt Nam, Tạp chí Khoa học Kiểm sát, số 06, tr. 61–68.