1. Cơ sở pháp lý công nhận dữ liệu như tài sản

1.1. Bộ luật dân sự 2015

Theo Bộ luật Dân sự 2015, tài sản bao gồm: vật, tiền, giấy tờ có giá và quyền tài sản. Khi Nhà nước chính thức thừa nhận quyền dữ liệu, dữ liệu được hiểu là một loại quyền tài sản vô hình, tương tự quyền tác giả hoặc quyền sở hữu trí tuệ. Theo đó, dữ liệu có thể định giá, chuyển nhượng, cho thuê, thế chấp và cũng có thể trở thành đối tượng của tranh chấp dân sự cho nên được Pháp luật bảo vệ như tài sản thật.

1.2. Nghị định 13/2023/NĐ-CP

Nghị định 13/2023/NĐ-CP là văn bản pháp lý quan trọng đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân, tạo cơ sở pháp lý vững chắc để xác lập quyền sở hữu, quyền kiểm soát của cá nhân đối với dữ liệu của chính mình.

Nghị định này ghi nhận cá nhân có các quyền sau:

• Quyền được biết dữ liệu nào của mình đang được xử lý;
• Quyền đồng ý hoặc từ chối việc thu thập và khai thác dữ liệu;
• Quyền yêu cầu doanh nghiệp chấm dứt chia sẻ dữ liệu.

Những quyền này phản ánh bản chất của một quyền tài sản: cá nhân được định đoạt, kiểm soát, hạn chế người khác khai thác, tương tự như quyền sở hữu đối với tài sản truyền thống. Đây là nền móng pháp lý cho việc coi dữ liệu cá nhân là tài sản của mỗi cá nhân, có thể tham gia giao dịch nhưng phải được bảo vệ nghiêm ngặt.

1.3. Luật Giao dịch điện tử 2023

Văn bản luật này là bước tiến mạnh mẽ, đưa dữ liệu từ khái niệm “thông tin” sang “tài sản giao dịch”

Luật Giao dịch điện tử 2023 quy định:

• Dữ liệu và dữ liệu số là đối tượng của giao dịch dân sự
• Việc xác lập – thực hiện – chấm dứt giao dịch dữ liệu được pháp luật bảo vệ;
• Dữ liệu có thể trở thành đối tượng hợp đồng, tương tự hàng hóa hoặc tài sản tài chính.

2. Các quyền dân sự đối với dữ liệu

Việc pháp luật Việt Nam chính thức công nhận dữ liệu như một loại quyền tài sản đã mở ra khung pháp lý mới cho việc chiếm hữu, khai thác và định đoạt dữ liệu trong đời sống số. Dữ liệu không còn chỉ là “thông tin”, mà trở thành một dạng tài sản vô hình, được bảo vệ và giao dịch như bất kỳ tài sản dân sự nào theo Bộ luật Dân sự 2015.

2.1. Quyền sở hữu & chiếm hữu dữ liệu

Người sở hữu dữ liệu có quyền kiểm soát dữ liệu của mình theo cách tương tự như kiểm soát một tài sản số: quyền lưu trữ, toàn quyền truy cập, quyền quyết định ai được xem – sử dụng – chia sẻ. Khi dữ liệu đã được ghi nhận là tài sản, hành vi chiếm đoạt – sử dụng trái phép – thu thập trái phép được xem như xâm phạm quyền tài sản theo BLDS 2015.

Căn cứ pháp lý:

• Điều 163, 164 BLDS 2015: bảo vệ quyền sở hữu tài sản;
• Điều 32, 38 BLDS 2015: bảo vệ dữ liệu cá nhân, thông tin đời sống riêng tư;
• Điều 584 – 592 BLDS 2015: quy định bồi thường thiệt hại ngoài hợp đồng.

Trong trường hợp bị xâm phạm, chủ thể dữ liệu có quyền yêu cầu:

Chấm dứt hành vi thu thập/ sử dụng trái pháp luật;

• Xin lỗi, cải chính công khai;
• Bồi thường thiệt hại (thiệt hại vật chất + tinh thần + thiệt hại do mất cơ hội kinh doanh dữ liệu).

2.2. Quyền khai thác kinh doanh dữ liệu

Khi dữ liệu trở thành tài sản, doanh nghiệp có thể khai thác dữ liệu như một nguồn lực kinh doanh hợp pháp, tương tự quyền sở hữu trí tuệ:

• Bán quyền truy cập;

• Cho thuê quyền sử dụng dữ liệu;

• Trích xuất – phân tích – mô hình hóa dữ liệu để tạo sản phẩm;

• Cung cấp dữ liệu dưới dạng API cho đối tác.

Theo Luật Giao dịch điện tử 2023 và Nghị định 13/2023/NĐ-CP, mọi hoạt động khai thác phải dựa trên:

• Sự đồng ý hợp lệ của chủ thể dữ liệu (Điều 11 – 14 Nghị định 13/2023);
• Căn cứ pháp lý đặc thù, ví dụ: xử lý dữ liệu cho mục đích tài chính – ngân hàng – phòng chống rửa tiền theo luật chuyên ngành.

Điều này đảm bảo dữ liệu được khai thác có kiểm soát, tránh rủi ro vi phạm quyền riêng tư – bảo mật.

2.3. Quyền chuyển nhượng và thừa kế dữ liệu

Một điểm quan trọng của pháp luật hiện hành là: dữ liệu có thể được định đoạt như một loại tài sản, bao gồm:

Chuyển nhượng trong hợp đồng mua bán, hợp đồng dịch vụ;

Trở thành một phần tài sản của doanh nghiệp trong M&A;

Được thế chấp – đặt cọc – góp vốn (khi luật chuyên ngành cho phép);

Trở thành di sản thừa kế theo quy định của BLDS 2015.

Ví dụ: email, dữ liệu trên thiết bị, thông tin cá nhân lưu trữ trong các nền tảng số được xem là tài sản số. Tòa án Việt Nam có xu hướng thừa nhận dữ liệu trong tài sản số như tài sản, từ đó áp dụng nguyên tắc thừa kế và chia tài sản trong các vụ việc liên quan.

3. Những tranh chấp thường gặp liên quan đến dữ liệu

Trong môi trường số, dữ liệu vừa có giá trị kinh tế vừa có giá trị pháp lý. Khi dữ liệu được pháp luật công nhận như một loại “tài sản” và “quyền tài sản”, các tranh chấp phát sinh không chỉ còn là vi phạm bảo mật mà trở thành tranh chấp dân sự đúng nghĩa: tranh chấp quyền sở hữu, tranh chấp hợp đồng, yêu cầu bồi thường thiệt hại.

Dưới đây là 03 nhóm tranh chấp phổ biến nhất theo thực tiễn Việt Nam và căn cứ pháp lý hiện hành.

3.1. Tranh chấp quyền sở hữu dữ liệu

Đây là dạng tranh chấp xuất hiện khi nhiều chủ thể cùng cho rằng họ “sở hữu” hoặc có “quyền kiểm soát” dữ liệu.

Ví dụ điển hình:

• Nhân viên rời công ty mang theo toàn bộ danh sách khách hàng;
• Công ty đối tác tự sao chép dữ liệu nghiên cứu hoặc dữ liệu hành vi do bên còn lại thu thập;
• Một cá nhân cho rằng doanh nghiệp đã chiếm giữ hoặc sử dụng dữ liệu cá nhân của họ vượt quá phạm vi đồng ý.

Căn cứ pháp lý:

• Điều 105, 115 BLDS 2015: Quyền tài sản là một loại tài sản.
• Điều 6 Luật Sở hữu trí tuệ 2022 : Dữ liệu kinh doanh có thể cấu thành bí mật kinh doanh.
• Điều 5, 6, 11 Nghị định 13/2023/NĐ-CP: Chủ thể có quyền định đoạt đối với dữ liệu cá nhân.

Trong dạng tranh chấp này, Tòa án sẽ xác định bên vi phạm, xác định mức độ thiệt hại và bên vi phạm có thể bị: yêu cầu chấm dứt hành vi; buộc hoàn trả dữ liệu; xin lỗi, cải chính; bồi thường thiệt hại dân sự đồng thời bị xử phạt hành chính theo Nghị định 13/2023 nếu xâm phạm dữ liệu cá nhân.

3.2. Tranh chấp hợp đồng sử dụng dữ liệu

Nhiều doanh nghiệp ký hợp đồng cung cấp – phân tích – chia sẻ dữ liệu nhưng điều khoản lại sơ sài, không xác định rõ:

• Dữ liệu được dùng vào mục đích gì?
• Có được bán lại cho bên thứ ba hay không?
• Thời hạn sử dụng?
• Cơ chế bảo mật ra sao?
• Khi chấm dứt hợp đồng, dữ liệu có phải xóa hay trả lại?

Chính những “khoảng trống hợp đồng” này dẫn đến tranh chấp: một bên cho rằng họ có quyền khai thác mở rộng dữ liệu, trong khi bên còn lại xem đó là hành vi sử dụng trái phép hoặc vi phạm bảo mật.

Căn cứ pháp lý:

• Điều 3 BLDS 2015: Nguyên tắc tự do giao kết, nhưng phải rõ ràng và không trái pháp luật.
• Điều 21, 22 Nghị định 13/2023/NĐ-CP: Xử lý dữ liệu phải có sự đồng ý của chủ thể và đúng mục đích đã đăng ký.
• Điều 404 BLDS 2015: Hợp đồng không rõ ràng phải được giải thích trước khi thực hiện kí kết.

Trong dạng tranh chấp này, Tòa án sẽ xác định bên vi phạm, xác định mức độ thiệt hại và bên vi phạm có thể bị: Buộc chấm dứt xử lý dữ liệu; buộc xóa, hoàn trả dữ liệu; bồi thường thiệt hại dân sự; bị xử phạt hành chính theo Nghị định 13/2023 nếu xâm phạm dữ liệu cá nhân.

3.3. Tranh chấp bồi thường khi dữ liệu bị rò rỉ

Khi dữ liệu cá nhân bị rò rỉ — email, CCCD, hồ sơ sức khỏe, giao dịch tài chính — người bị thiệt hại có quyền yêu cầu doanh nghiệp bồi thường dân sự.

Ví dụ điển hình:

• Rò rỉ dữ liệu khách hàng của một app tài chính khiến hàng nghìn người bị lộ CCCD → doanh nghiệp bị yêu cầu bồi thường thiệt hại và bị phạt hành chính.
• Nhân viên quản trị hệ thống lơ là bảo mật khiến hacker xâm nhập → doanh nghiệp vẫn phải chịu trách nhiệm với tư cách “chủ thể xử lý dữ liệu”.

Tuy nhiên, điểm khó nhất là xác định được: ai chịu trách nhiệm? mức bồi thường bao nhiêu? có phải lỗi của doanh nghiệp không?

Theo Điều 584 BLDS 2015, về căn cứ phát sinh trách nhiệm bồi thường thiệt hại thì tổ chức chỉ phải bồi thường khi:

• Có thiệt hại thực tế;

• Có hành vi trái pháp luật (quản lý dữ liệu không an toàn, lỏng bảo mật…);

• Có quan hệ nhân quả giữa vi phạm và thiệt hại.

Để được loại trừ trách nhiệm bồi thường thiệt hại, Doanh nghiệp phải chứng minh:

• Đã áp dụng các tiêu chuẩn an toàn thông tin theo Luật An toàn thông tin mạng;
• Có biện pháp bảo mật phù hợp theo Điều 26 Nghị định 13/2023;
• Thiệt hại xảy ra do hacker, do sự kiện bất khả kháng, không phải lỗi quản trị.

Nếu không chứng minh được thì doanh nghiệp phải bồi thường thiệt hại cả vật chất lẫn tinh thần và bị xử phạt theo Điều 24 – 42 Nghị định 13/2023.

4. Khuyến nghị pháp lý cho doanh nghiệp & cá nhân

4.1. Đối với doanh nghiệp

Trong bối cảnh dữ liệu được pháp luật công nhận như một tài sản có giá trị kinh tế, doanh nghiệp cần xây dựng “hệ sinh thái tuân thủ dữ liệu” nhằm hạn chế rủi ro pháp lý và bảo đảm khả năng khai thác tài sản số một cách bền vững. Một số khuyến nghị quan trọng:

• Áp dụng chuẩn quản trị dữ liệu ISO/IEC 27701: đây là tiêu chuẩn quốc tế về hệ thống quản lý thông tin cá nhân, giúp doanh nghiệp kiểm soát rủi ro từ khâu thu thập, xử lý, lưu trữ đến chia sẻ dữ liệu.
• Ban hành chính sách minh bạch về mục đích xử lý, phạm vi truy cập, thời hạn lưu trữ, cơ chế chia sẻ với bên thứ ba – phù hợp Nghị định 13/2023/NĐ-CP.
• Thiết lập hợp đồng dữ liệu chi tiết với khách hàng và đối tác: gồm điều khoản sử dụng, sở hữu, bảo mật, trách nhiệm bồi thường khi rò rỉ dữ liệu.
• Rà soát tuân thủ pháp luật định kỳ, đặc biệt các quy định của Nghị định 13/2023/NĐ-CP và Luật Giao dịch điện tử 2023, nhằm tránh các mức phạt nặng do thu thập trái phép, tiết lộ dữ liệu hoặc bảo mật yếu kém.

4.2. Đối với cá nhân

Khi dữ liệu cá nhân được xem là tài sản số có thể khai thác, chuyển giao và thậm chí thừa kế, mỗi cá nhân cần chủ động bảo vệ “tài sản vô hình” của chính mình:

• Hạn chế đăng tải thông tin nhạy cảm (CMND/CCCD, hình ảnh trẻ em, thông tin sức khỏe…) trên mạng xã hội để tránh bị khai thác hoặc mua bán trái phép.
• Kích hoạt xác thực hai lớp (2FA) và kiểm soát quyền truy cập của ứng dụng, đặc biệt các nền tảng tài chính, thương mại điện tử, lưu trữ đám mây.
• Yêu cầu tổ chức/doanh nghiệp giải trình khi thu thập dữ liệu: theo Nghị định 13/2023/NĐ-CP, cá nhân có quyền yêu cầu thông báo, yêu cầu xóa dữ liệu hoặc hạn chế xử lý.

Khi dữ liệu được pháp luật công nhận như một tài sản, kinh tế số Việt Nam có thêm động lực mạnh để phát triển. Tuy nhiên, cùng với quyền khai thác gia tăng là trách nhiệm lớn hơn trong bảo vệ, quản trị và xử lý dữ liệu đúng pháp luật. Doanh nghiệp cần chuẩn hóa hệ thống pháp lý nội bộ; cá nhân cần hiểu và sử dụng đúng quyền dữ liệu của mình; còn cơ quan nhà nước phải tiếp tục hoàn thiện cơ chế quản lý — để dữ liệu thực sự trở thành tài sản an toàn, minh bạch và tạo ra giá trị bền vững.

Trên đây là toàn bộ tư vấn của chúng tôi, hy vọng rằng, những ý kiến tư vấn này, sẽ giúp làm sáng tỏ vấn đề mà Quý vị đang quan tâm. Để có thể làm rõ hơn và chi tiết từng vấn đề nêu trên cũng như các vấn đề pháp lý mà Quý vị đang cần tham khảo thêm ý kiến chuyên môn. Xin vui lòng liên hệ ngay cho chúng tôi theo địa chỉ email: luatsaosang@gmail.com hoặc qua Tổng đài tư vấn: 0936.65.3636 để nhận được sự tư vấn, giải đáp và hỗ trợ từ Luật Sao Sáng. Trân trọng cảm ơn!