Từ khóa: quyền tiếp cận thông tin; bảo vệ dữ liệu cá nhân; xung đột pháp lý.

Abstract: Vietnamese law is currently defining the boundary between information transparency and privacy with the enactment of the Personal Data Protection Law of 2025, along with the draft Law on Access to Information (amended) (draft Law). This leads to the risk of conflict between the public's right to know and the individual's right to privacy. This article clarifies the legal nature of the concepts of “information” and “personal data”, and evaluates the provisions in the draft Law, especially the mechanism of “conditional access” to information related to privacy and personal data protection, comparing it with international practices. Based on this, the study proposes several solutions to redefine the relationship between the right to access information and the protection of personal data in Vietnamese law through limiting exceptions, building a process for assessing the public interest, and harmonizing the 2016 Law on Access to Information with the 2025 Law on Personal Data Protection in the digital age.

Keywords: Right of access to information; personal data protection; conflict of laws.

Đặt vấn đề

Việt Nam đã hình thành khung pháp lý mới về dữ liệu và quyền riêng tư, trong đó, Luật Dữ liệu năm 2024 tạo khuôn khổ pháp lý cho nền kinh tế số,Luật Bảo vệ dữ liệu cá nhân năm 2025 thiết lập các nguyên tắc và xác lập cơ chế bảo vệ dữ liệu cá nhân trong pháp luật Việt Nam. Đồng thời, Luật Tiếp cận thông tin năm 2016 là văn bản pháp luật bảo đảm quyền tiếp cận thông tin của công dân, đang được xem xét sửa đổi để phù hợp với bối cảnh mới.

Bối cảnh pháp lý này đặt ra nguy cơ xung đột giữa quyền tiếp cận thông tin của công chúng và quyền riêng tư, bảo vệ dữ liệu cá nhân của mỗi cá nhân, nếu thiếu cơ chế cân bằng hợp lý. Quyền tiếp cận thông tin đòi hỏi công khai thông tin của cơ quan nhà nước, trong đó, không ít thông tin có chứa dữ liệu cá nhân của nhân viên công vụ hay công dân… Ngược lại, Luật Bảo vệ dữ liệu cá nhân năm 2025 yêu cầu không tiết lộ dữ liệu cá nhân khi chưa có căn cứ pháp luật hoặc sự đồng ý của chủ thể dữ liệu. Kinh nghiệm quốc tế cho thấy, những xung đột này khó tránh khỏi khi các cơ quan nhà nước nắm giữ khối lượng lớn dữ liệu cá nhân và luôn có nhu cầu từ công dân muốn tiếp cận vì các mục đích khác nhau như giám sát chính sách, nghiên cứu… Chính vì vậy, nếu không quy định rõ, xung đột giữa quyền được biết và quyền riêng tư có thể gây khó khăn cho cơ quan cung cấp thông tin, lẫn nguy cơ vi phạm quyền của người dân.

1. Nguồn gốc xung đột giữa quyền tiếp cận thông tin và bảo vệ dữ liệu cá nhân

Quyền tiếp cận thông tin là quyền của công dân yêu cầu và nhận được thông tin do các cơ quan nhà nước nắm giữ, gắn liền với nguyên tắc minh bạch, trách nhiệm giải trình của cơ quan, đơn vị, giúp tăng cường sự tham gia của người dân vào hoạt động quản lý nhà nước, quản lý xã hội, đồng thời, tạo sự đồng thuận giữa người dân và Nhà nước[1]. Trong khi, bảo vệ dữ liệu cá nhân thuộc phạm trù bảo vệ quyền riêng tư nhằm bảo đảm thông tin về đời sống và dữ liệu liên quan tới cá nhân không bị xâm phạm. Cả hai quyền đều được thừa nhận trong pháp luật quốc tế và ở nhiều quốc gia khi quyền tiếp cận thông tin được coi là một phần của quyền tự do biểu đạt quy định tại Điều 19 Công ước quốc tế về các quyền dân sự và chính trị (ICCPR), còn quyền riêng tư quy định tại Điều 17 ICCPR. Tại Việt Nam, Hiến pháp năm 2013, sửa đổi, bổ sung năm 2025 (Hiến pháp năm 2013) cũng ghi nhận hai quyền này tại Điều 25 về quyền tiếp cận thông tin, khoản 1 Điều 21 về quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình. Việc ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 cho thấy, Việt Nam rất coi trọng quyền riêng tư trong kỷ nguyên số, tương tự xu hướng toàn cầu khi hơn 144 quốc gia hiện đã ban hành luật bảo vệ dữ liệu cá nhân hoặc quyền riêng tư số[2].

Để hiểu gốc rễ xung đột, cần phân biệt khái niệm pháp lý về thông tin trong Luật Tiếp cận thông tin năm 2016 và dữ liệu cá nhân trong pháp luật về dữ liệu. Theo Luật Tiếp cận thông tin năm 2016 và dự thảo Luật Tiếp cận thông tin (sửa đổi)[3] (dự thảo Luật), thông tin được định nghĩa rất rộng, gồm “tin, dữ liệu được chứa đựng trong văn bản, hồ sơ, tài liệu có sẵn, tồn tại dưới dạng bản viết, bản in, bản điện tử, tranh, ảnh, bản vẽ, băng, đĩa, bản ghi hình, ghi âm hoặc các dạng khác do cơ quan, đơn vị tạo ra hoặc nắm giữ”. Nói cách khác, bất kỳ nội dung nào do cơ quan nhà nước tạo lập hoặc lưu trữ, từ văn bản hành chính, báo cáo, biên bản họp, đến cơ sở dữ liệu điện tử, đều được coi là thông tin và nằm trong phạm vi điều chỉnh của quyền tiếp cận thông tin. Mục đích của định nghĩa rộng này là để bảo đảm quyền được thông tin của công dân bao quát tối đa, không bị giới hạn bởi hình thức lưu giữ hay định dạng kỹ thuật của thông tin.

Ngược lại, Luật Dữ liệu năm 2024 xây dựng khái niệm dữ liệu số tại khoản 1 Điều 3 là dữ liệu về sự vật, hiện tượng, sự kiện, gồm một hoặc kết hợp các dạng âm thanh, hình ảnh, chữ số, chữ viết, ký hiệu được thể hiện dưới dạng kỹ thuật số. Như vậy, dữ liệu theo Luật này chủ yếu chỉ các đơn vị thông tin có cấu trúc hoặc có thể xử lý bằng phương tiện trên môi trường điện tử. Luật Dữ liệu năm 2024 chia dữ liệu thành nhiều loại phục vụ quản lý như dữ liệu mở, dữ liệu dùng chung, dữ liệu dùng riêng trong cơ quan nhà nước… và đặt trọng tâm vào việc xây dựng, chia sẻ, kết nối các cơ sở dữ liệu để phục vụ phát triển Chính phủ số, kinh tế số. Có thể thấy, “dữ liệu” theo phạm vi Luật này nghiêng về yếu tố kỹ thuật và quản trị dữ liệu trong bộ máy nhà nước giữa Nhà nước với doanh nghiệp, xã hội.

Điểm giao thoa quan trọng là dữ liệu cá nhân - một dạng dữ liệu đặc biệt gắn với quyền riêng tư. Theo đó, Luật Bảo vệ dữ liệu cá nhân năm 2025 định nghĩa dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể. Có thể thấy, định nghĩa trên đã mở rộng khái niệm dữ liệu cá nhân, không chỉ giới hạn là dữ liệu số mà còn là các thông tin dưới dạng khác (không được thể hiện dưới dạng kỹ thuật số), tương ứng bất kỳ thông tin nào xác định hoặc giúp xác định một con người cụ thể dẫn đến sự chồng chéo với khái niệm thông tin trong Luật Tiếp cận thông tin năm 2016. Dữ liệu cá nhân có thể phân loại thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm theo Điều 3, Điều 4 Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân. Đồng thời, Luật trao cho chủ thể dữ liệu (cá nhân mà dữ liệu phản ánh) các quyền như quyền đồng ý hoặc rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân, chỉnh sửa, xóa, hủy… Đây là các quyền đặc thù của cá nhân đối với dữ liệu của mình, mang tính chủ động bằng việc yêu cầu cơ quan, tổ chức, cá nhân kiểm soát dữ liệu cá nhân phải thực hiện theo ý chí của chủ thể dữ liệu.

Từ góc độ pháp lý, có sự khác biệt về mục tiêu và bản chất của các khung pháp luật này. Quyền tiếp cận thông tin hướng đến lợi ích công cộng, đề cao tính công khai, minh bạch nhằm bảo đảm dân chủ, tăng cường giám sát hoạt động công quyền. Ngược lại, bảo vệ dữ liệu cá nhân hướng đến lợi ích cá nhân, đề cao quyền tự quyết định của từng chủ thể dữ liệu về thông tin liên quan đến mình nhằm bảo vệ đời sống riêng tư, danh dự, nhân phẩm. Do đó, Luật Tiếp cận thông tin năm 2016 có xu hướng mở (mọi thông tin đều phải cung cấp, trừ trường hợp luật hạn chế), còn Luật Bảo vệ dữ liệu cá nhân năm 2024 có xu hướng đóng (mọi xử lý dữ liệu cá nhân đều bị hạn chế, trừ trường hợp luật cho phép hoặc có sự đồng ý của chủ thể dữ liệu).

Dù khác biệt, thông tin và dữ liệu cá nhân không phải hai phạm trù tách biệt hoàn toàn, mà có phần giao nhau quan trọng như đã phân tích. Thông tin do cơ quan nhà nước nắm giữ có thể chứa dữ liệu cá nhân của công dân hoặc cán bộ thực thi công vụ. Thực tế, một tỷ lệ đáng kể thông tin công vụ gắn liền xác định hoặc giúp xác định một con người như danh sách bầu cử, cử tri, hồ sơ cán bộ khi thực thi công vụ, đơn thư công dân… Do đó, phạm trù thông tin trong tiếp cận thông tin và dữ liệu cá nhân trong bảo vệ quyền riêng tư có thể tạo thành “vùng xám” pháp lý nếu không xác định ranh giới. Ví dụ, một báo cáo thanh tra sử dụng ngân sách nhà nước là thông tin công khai, phải công bố nhưng có thể chứa tên, số điện thoại, địa chỉ… của cá nhân hay nhân viên công vụ liên quan trong hồ sơ, có thể coi đây là dữ liệu cá nhân. Vấn đề đặt ra, báo cáo đó có được cung cấp toàn bộ hay phải che đi thông tin liên quan tới cá nhân.

Pháp luật một số quốc gia đã tìm cách phân định ranh giới này như Điều 2 Luật Tự do thông tin năm 1997 của Ireland định nghĩa rất rõ “thông tin cá nhân” và loại trừ khỏi định nghĩa này những thông tin liên quan đến hoạt động công vụ của người giữ chức vụ công[4]. Theo đó, dữ liệu cá nhân về việc một người thi hành công vụ như cán bộ, công chức thực hiện sẽ không được coi là “riêng tư” và có thể công khai, còn thông tin về đời sống riêng tư thuần túy của người đó mới được bảo vệ. Đây là cách tiếp cận phân biệt thông tin công vụ với thông tin đời tư. Trong khi đó, pháp luật Việt Nam hiện chưa có quy định cụ thể rạch ròi tương tự. Các quy định “đời sống riêng tư, bí mật cá nhân, bí mật gia đình” trong Bộ luật Dân sự năm 2015 và Luật Tiếp cận thông tin năm 2016, hay “dữ liệu cá nhân” trong Luật Bảo vệ dữ liệu cá nhân năm 2024, đều đề cập đến thông tin liên quan cá nhân nhưng chưa chỉ rõ liệu dữ liệu cá nhân phát sinh từ quan hệ công vụ như chức danh, vị trí công tác… có được coi là riêng tư hay không. Do đó, việc phân định cần dựa vào ngữ cảnh và mục đích sử dụng thông tin để đánh giá thông tin nào gắn với đời sống gia đình, sinh hoạt cá nhân là riêng tư, còn thông tin gắn với hoạt động công vụ có thể không bị coi là dữ liệu cá nhân. Tuy nhiên, các cơ quan có thể diễn giải khác nhau do chưa có hướng dẫn chi tiết, nhiều khi có xu hướng tiếp cận an toàn là từ chối nếu có dữ liệu cá nhân dẫn đến hạn chế quyền tiếp cận thông tin.

Về bản chất pháp lý, thông tin trong hoạt động tiếp cận thông tin mang tính rộng mở, phục vụ minh bạch, dữ liệu cá nhân mang tính hạn chế, bảo vệ riêng tư. Việc thiếu ranh giới rõ ràng có thể dẫn đến xung đột, đòi hỏi pháp luật phải thiết kế cơ chế điều hòa, cân bằng[5].

2. Những vấn đề phát sinh trong quan hệ giữa quyền tiếp cận thông tin và bảo vệ dữ liệu cá nhân

Hiện, Việt Nam đã nhận thức được nguy cơ xung đột và bước đầu thiết lập cơ chế hạn chế có điều kiện đối với thông tin liên quan đến đời tư cá nhân. Khoản 4 Điều 3 Luật Tiếp cận thông tin năm 2016 quy định: “Việc hạn chế quyền tiếp cận thông tin phải do luật định trong trường hợp cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng”. Các nhóm thông tin bị hạn chế được phân thành hai nhóm: (i) thông tin công dân không được tiếp cận theo Điều 6; (ii) thông tin công dân được tiếp cận có điều kiện theo Điều 7. Đây là thiết kế ngoại lệ tương đồng với thông lệ quốc tế, quyền tiếp cận thông tin là rộng nhưng không tuyệt đối, có thể bị hạn chế để bảo vệ một số lợi ích hợp pháp như an ninh quốc gia, trật tự công, bí mật đời tư… Cụ thể, theo Điều 6 Luật Tiếp cận thông tin năm 2016 và tương ứng là Điều 15 dự thảo Luật, những thông tin công dân không được tiếp cận đã được mở rộng gồm: (i) thông tin thuộc bí mật nhà nước; (ii) thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình theo quy định pháp luật dân sự; dữ liệu cá nhân theo pháp luật bảo vệ dữ liệu cá nhân; (iii) bí mật kinh doanh, sở hữu trí tuệ; (iv) thông tin nếu cung cấp sẽ gây nguy hại đến lợi ích quốc gia, an ninh, trật tự, đạo đức xã hội hoặc gây nguy hại đến tính mạng, tài sản người khác; (v) thông tin mật trong nội bộ cơ quan như công tác nội bộ, họp kín; (vi) tài liệu do cơ quan soạn thảo cho công việc nội bộ[6]. Trong danh mục này, điểm đáng chú ý là thông tin đời tư cá nhân và dữ liệu cá nhân được xếp vào loại không được tiếp cận, tức là không được cung cấp theo quy định về tiếp cận thông tin, trừ trường hợp luật định.

Trường hợp luật định chính là thông tin công dân được tiếp cận có điều kiện theo khoản 2 Điều 16 dự thảo Luật, quy định đối với thông tin liên quan đời sống riêng tư, bí mật cá nhân, điều kiện là phải được người đó đồng ý, thông tin về bí mật gia đình thì cần các thành viên gia đình đồng ý. Đây chính là yêu cầu sự đồng ý của chủ thể dữ liệu - phản ánh nguyên tắc tự quyết định của cá nhân đối với việc chia sẻ dữ liệu cá nhân. Quy định này tương đồng với nhiều Luật Tiếp cận thông tin trên thế giới, như tại Điều 28 Luật Tự do thông tin năm 1997 của Ireland yêu cầu, nếu không có sự chấp thuận của cá nhân thì dữ liệu cá nhân phải được bảo vệ và không được cung cấp thông tin cho người yêu cầu.

Đặc biệt, điểm mới trong dự thảo Luật là bổ sung sự dẫn chiếu tới khoản 2 Điều 16 Luật Bảo vệ dữ liệu cá nhân năm 2025: “Việc tiếp cận thông tin thuộc dữ liệu cá nhân thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân”. Nói cách khác, nếu thông tin yêu cầu rơi vào phạm vi dữ liệu cá nhân thì cơ quan nắm giữ thông tin có thể từ chối cung cấp theo Luật Tiếp cận thông tin năm 2016 và hướng dẫn người yêu cầu thực hiện theo Luật Bảo vệ dữ liệu cá nhân năm 2025. Cụ thể, người đó chỉ được tiếp cận dữ liệu cá nhân của mình hoặc trong trường hợp pháp luật cho phép tiếp cận dữ liệu của người khác. Quy định này cho thấy sự ưu tiên bảo vệ dữ liệu cá nhân trong trật tự pháp lý mới.

Bên cạnh cơ chế đồng ý của chủ thể dữ liệu, pháp luật Việt Nam cũng bắt đầu tính đến ngoại lệ vì lợi ích công cộng. Khoản 4 Điều 16 dự thảo Luật cho phép người đứng đầu cơ quan quyết định cung cấp thông tin thuộc bí mật kinh doanh hoặc đời tư cá nhân “trong trường hợp cần thiết vì lợi ích công cộng, sức khỏe của cộng đồng”, theo luật mà không cần có sự đồng ý. Quy định này thiết lập nguyên tắc “Điều khoản công lợi” (Public interest override)[7], tức là nếu ý nghĩa của việc cung cấp dữ liệu cá nhân có giá trị lớn đối với cộng đồng như thông tin dịch bệnh lây lan liên quan đến cá nhân nào đó, thì có thể được công khai vì mục đích bảo vệ cộng đồng, cho dù cá nhân liên quan không đồng ý. Việc này gắn với cơ sở hiến định về nguyên tắc hạn chế quyền con người, quyền công dân được quy định tại khoản 2 Điều 14 Hiến pháp năm 2013 đối với phạm vi sức khỏe cộng đồng. Đây là điểm tiến bộ phù hợp với thông lệ tốt trên thế giới khi các nguyên tắc quốc tế như Tổ chức Article 19 nhấn mạnh mọi ngoại lệ hạn chế quyền tiếp cận thông tin cần qua bài kiểm tra ba phần (Three-part test)[8], trong đó, bước cuối là cân nhắc lợi ích công cộng so với tác hại việc tiết lộ thông tin, dữ liệu cá nhân. Nếu lợi ích công chúng lớn hơn thì vẫn nên công khai dữ liệu cá nhân, dù bình thường nó thuộc dữ liệu cá nhân như theo quy định hiện hành.

Có thể thấy, pháp luật Việt Nam đã hình thành khung ngoại lệ hai lớp đối với dữ liệu liên quan cá nhân. Lớp một cấm hoàn toàn, không cung cấp nếu không đáp ứng điều kiện luật định và lớp thứ hai là cho phép có điều kiện, cung cấp nếu có sự đồng ý hoặc vì lợi ích công cộng. Cơ chế này về cơ bản tương đồng với nhiều nước, khi mọi quốc gia có Luật Tiếp cận thông tin đều có ngoại lệ bảo vệ đời tư và thường yêu cầu sự chấp thuận của người có liên quan hoặc áp dụng các điều kiện nhất định trước khi tiết lộ thông tin cá nhân. Thống kê các quốc gia cho thấy, ngoại lệ về đời tư là một trong những căn cứ được các cơ quan sử dụng nhiều nhất để từ chối yêu cầu tiếp cận thông tin. Chẳng hạn, ở Canada, năm 2023, số từ chối yêu cầu tiếp cận thông tin dựa trên bảo vệ thông tin cá nhân cao thứ ba sau thông tin liên quan tới quyết định nội bộ của cơ quan hay thông tin liên quan đến đặc quyền giữa luật sư và thân chủ[9]. Điều này phản ánh thực tế, việc xác định ranh giới giữa thông tin công khai và dữ liệu cá nhân là thách thức trong việc thực thi quy định về tiếp cận thông tin.

Mặc dù đã có quy định, nhưng việc thực thi cơ chế tiếp cận có điều kiện vẫn đặt ra nhiều vấn đề.

Thứ nhất, quy trình lấy ý kiến đồng ý của cá nhân được yêu cầu chưa được hướng dẫn chi tiết tại các quy định pháp luật liên quan tới tiếp cận thông tin hay bảo vệ dữ liệu cá nhân. Cơ quan nhà nước khi nhận yêu cầu thông tin đời tư hay dữ liệu cá nhân sẽ liên hệ người liên quan ra sao, thời hạn chờ phản hồi thế nào. Nếu người đó không phản hồi thì coi như từ chối hay tiếp tục xử lý. Những điểm này cần quy định rõ để tránh áp dụng tùy tiện, thực hiện không thống nhất.

Thứ hai, Luật Bảo vệ dữ liệu cá nhân mới được ban hành năm 2025, chưa có tiền lệ áp dụng nên khi tiếp cận thông tin và chuyển yêu cầu sang thực hiện theo quy định về pháp luật bảo vệ dữ liệu cá nhân theo khoản 2 Điều 16 dự thảo Luật, công dân và cơ quan thực thi có thể sẽ gặp khó khăn do Luật Bảo vệ dữ liệu cá nhân năm 2025 chỉ cho cá nhân tự thực hiện các quyền yêu cầu dữ liệu của mình đối với bên kiểm soát và xử lý dữ liệu, mà không có cơ chế để một người yêu cầu cung cấp thông tin dữ liệu về người khác, trừ trường hợp luật định. Như vậy, nếu một công dân muốn xin hồ sơ của một vụ việc ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của mình nhưng trong hồ sơ tồn tại nhiều dữ liệu cá nhân với một hoặc nhiều cá nhân khác thì yêu cầu này sẽ thực hiện theo pháp luật bảo vệ dữ liệu cá nhân. Tuy nhiên, theo Luật Bảo vệ dữ liệu cá nhân năm 2025, cá nhân đó không phải chủ thể dữ liệu đầy đủ nên cũng không có quyền yêu cầu. Đây có thể là “điểm nghẽn”, pháp luật cần sớm có hướng dẫn hoặc điều chỉnh, nếu không quyền tiếp cận thông tin sẽ bị thu hẹp đáng kể bởi phạm vi rộng của khái niệm dữ liệu cá nhân theo pháp luật hiện hành.

Thứ ba, việc áp dụng yếu tố “lợi ích công cộng, sức khỏe của cộng đồng” trong quyết định cung cấp thông tin đời tư phụ thuộc nhiều vào chủ quan người đứng đầu cơ quan. Dự thảo Luật trao quyền nhưng không bắt buộc phải công khai vì lợi ích công cộng, sức khỏe của cộng đồng và cũng không có tiêu chí rõ thế nào là “cần thiết vì lợi ích công cộng, sức khỏe của cộng đồng”, việc hạn chế quyền con người, quyền công dân này tại khoản 2 Điều 14 Hiến pháp năm 2013 chưa được giải thích cụ thể nên các luật chuyên ngành sẽ khó cụ thể hóa các lý do này. Do đó, nếu thiếu cơ chế giám sát hoặc hướng dẫn thống nhất thì mỗi cơ quan, đơn vị có thể đánh giá khác nhau, tiềm ẩn nguy cơ tùy tiện khi có nơi quá thận trọng không dám công khai dù lợi ích rõ ràng, có thể dẫn đến rủi ro cung cấp dữ liệu cá nhân không cần thiết.

Trong kỷ nguyên trí tuệ nhân tạo (AI), ranh giới giữa thông tin và dữ liệu cá nhân không chỉ dừng ở các định nghĩa pháp lý mà còn bị đe dọa bởi các yếu tố kỹ thuật. AI với năng lực xử lý dữ liệu khổng lồ có thể tạo ra hiệu ứng Mosaic (Mosaic Effect), kỹ thuật kết hợp nhiều mảnh ghép thông tin rời rạc từ các nguồn dữ liệu mở khác nhau để suy luận ngược và có khả năng định danh lại cá nhân một cách chính xác[10]. Thực tế này cho thấy, nếu Luật Tiếp cận thông tin năm 2016 chỉ tập trung vào việc loại bỏ các định danh trực tiếp như dữ liệu cá nhân cơ bản mà thiếu đi các tiêu chuẩn kỹ thuật về làm sạch dữ liệu và đánh giá rủi ro suy luận, quyền riêng tư của công dân sẽ trở nên mong manh trước các thuật toán.

Như vậy, Việt Nam đã có nền tảng quy định cho vấn đề xung đột giữa quyền tiếp cận thông tin được xác lập và bảo vệ dữ liệu cá nhân qua ngoại lệ và điều kiện. Tuy nhiên, ranh giới cụ thể còn chưa rõ ràng và cần những giải pháp hoàn thiện pháp luật và hướng dẫn thực thi.

3. Giải pháp tái định vị mối quan hệ giữa quyền tiếp cận thông tin và bảo vệ dữ liệu cá nhân

Trước sự giao thoa và tiềm năng xung đột, mục tiêu đặt ra là cân bằng, vừa bảo đảm minh bạch thông tin phục vụ lợi ích công, vừa bảo vệ hợp lý dữ liệu cá nhân của cá nhân. Kinh nghiệm quốc tế cho thấy, có nhiều mô hình và biện pháp để đạt được sự cân bằng này, từ kỹ thuật lập pháp đến cơ chế thực thi. Nghiên cứu đề xuất một số giải pháp hoàn thiện pháp luật về tiếp cận thông tin đối với Việt Nam như sau:

Thứ nhất, hoàn thiện khuôn khổ pháp luật theo hướng thu hẹp và làm rõ ngoại lệ. Các ngoại lệ hạn chế tiếp cận thông tin, đặc biệt, ngoại lệ vì quyền riêng tư, cần được quy định rõ, phạm vi hẹp và có thể kiểm tra chặt chẽ. Trước hết, cần định nghĩa rõ thế nào là “thông tin về đời sống riêng tư, bí mật cá nhân” để tránh cách hiểu bao quát. Việt Nam có thể nghiên cứu, tiếp thu có chọn lọc kinh nghiệm trong quy định loại trừ thông tin công vụ khỏi phạm trù bí mật đời tư hay dữ liệu cá nhân. Luật Tự do thông tin năm 1997 của Ireland. Cụ thể, Việt Nam nên quy định những dữ liệu cá nhân gắn với hoạt động công vụ của cán bộ, công chức không bị coi là thông tin đời tư hay dữ liệu cá nhân và không thuộc diện bị hạn chế tiếp cận. Điều này sẽ bảo đảm các thông tin liên quan đến người thực thi có thể được công khai mà không vi phạm quyền riêng tư hay bảo vệ dữ liệu cá nhân do thuộc phạm vi hoạt động của cơ quan nhà nước. Một số Án lệ quốc tế đã thể hiện theo hướng này như Tòa Nhân quyền châu Âu trong vụ Magyar Helsinki Bizottság kiện Hungary[11] khẳng định, việc công khai danh tính và tỷ lệ vụ việc được xử lý của các luật sư do Nhà nước chỉ định là hợp lý, vì đó là thông tin về hoạt động công vụ, không phải đời sống riêng tư thuần túy. Án lệ trên có giá trị định hình, là cơ sở tham khảo quan trọng khi thiết kế pháp luật tiếp cận thông tin và bảo vệ dữ liệu cá nhân. Tương tự, vụ Társaság a Szabadságjogokért kiện Hungary[12] cho thấy, ngay cả thông tin có dữ liệu cá nhân của một nhân viên nhà nước cũng cần được cung cấp theo yêu cầu tiếp cận thông tin, nếu phát sinh từ hoạt động công vụ. Như vậy, pháp luật Việt Nam nên xác định rõ dữ liệu cá nhân gắn liền hoạt động công vụ thì ngoại lệ quyền riêng tư không được áp dụng.

Thứ hai, pháp luật về tiếp cận thông tin cần xem xét áp dụng nguyên tắc “kiểm tra ba phần” (Three-part test)[13] cho quyết định từ chối tiếp cận thông tin. Khi xem xét yêu cầu thông tin, các cơ quan nên tuân thủ quy trình đánh giá chặt chẽ: (i) xác định mục đích hợp pháp có thể áp dụng như yêu cầu của pháp luật bảo vệ dữ liệu cá nhân; (ii) đánh giá việc tiết lộ thông tin có thực sự gây phương hại đáng kể đến mục đích trên hay không; (iii) đánh giá mức độ lợi ích công cộng của việc công khai thông tin có dữ liệu cá nhân. Nếu phương hại không lớn hoặc lợi ích công cộng vượt trội thì thông tin nên được cung cấp. Việc luật hóa rõ kiểm tra ba phần sẽ tránh tình trạng đương nhiên từ chối chỉ vì thông tin rơi vào dữ liệu cá nhân. Dự thảo Luật nên bổ sung điều khoản về đánh giá lợi ích công cộng nhằm hướng dẫn các cơ quan đánh giá thấu đáo trước khi từ chối. Theo đó, việc đánh giá lợi ích công cộng thay vì do người đứng đầu cơ quan như quy định tại khoản 4 Điều 16 dự thảo Luật, cần được thực hiện bởi hội đồng đánh giá tại cơ quan cung cấp thông tin, có thể với sự tham vấn từ bộ phận/nhân sự bảo vệ dữ liệu cá nhân hoặc theo hướng dẫn từ Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao - cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Thứ ba, pháp luật về tiếp cận thông tin có thể thực hiện nguyên tắc chia tách và cung cấp phần còn lại. Nguyên tắc này đòi hỏi, khi một tài liệu chỉ có một phần thông tin thuộc diện tiếp cận có điều kiện như dữ liệu cá nhân, cơ quan không được từ chối cung cấp, mà phải cung cấp phần còn lại. Đây là thông lệ được quy định rõ trong Nguyên tắc của Tổ chức Article 19 và pháp luật về tiếp cận thông tin của nhiều quốc gia. Việt Nam cũng đề cập nguyên tắc này tại Điều 2 Nghị định số 13/2018/NĐ-CP ngày 23/01/2018 của Chính phủ quy định chi tiết và biện pháp thi hành Luật Tiếp cận thông tin: “cơ quan có trách nhiệm cung cấp thông tin phải bảo đảm các hình thức cung cấp thông tin theo yêu cầu phù hợp với khả năng tiếp cận của người yêu cầu cung cấp thông tin và điều kiện thực tế của cơ quan và kiểm tra, loại bỏ các nội dung thông tin quy định trước khi cung cấp tại Điều 7”. Tuy nhiên, trên thực tế, để tuân thủ nguyên tắc này, cần quán triệt trong quá trình giải quyết yêu cầu, nếu hồ sơ chứa dữ liệu cá nhân, có thể che tên, địa chỉ… cung cấp nội dung còn lại không thể hiện các danh mục dữ liệu cá nhân theo quy định pháp luật, thay vì từ chối hoàn toàn. Điều này dung hòa được cả hai phía - công dân được tiếp cận thông tin, trong khi dữ liệu cá nhân liên quan được giữ kín. Để thực hiện được yêu cầu này, cơ quan chịu trách nhiệm về dữ liệu cá nhân cần ban hành bộ tiêu chuẩn kỹ thuật về làm sạch dữ liệu và kiểm soát rủi ro tái nhận dạng, bảo đảm các thông tin sau khi được xử lý hạn chế khả năng suy luận ngược của AI trong trường hợp thông tin được công khai rộng rãi trên các cổng dữ liệu mở.

Thứ tư, việc xây dựng dự thảo Luật cần đứng trên quan điểm hài hòa hóa pháp luật về tiếp cận thông tin và bảo vệ dữ liệu cá nhân. Hiện, khung khổ pháp luật đang được xây dựng tách rời, có nguy cơ xung đột với nhau. Do đó, cần có cơ chế phối hợp để hai luật bổ sung cho nhau, thay vì triệt tiêu nhau. Theo đó, cần bổ sung trong Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định tương tự Điều 86 Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu, cho phép tiết lộ dữ liệu cá nhân trong tài liệu chính thức của cơ quan công quyền được thực hiện theo Luật Tiếp cận thông tin năm 2016. Điều 86 GDPR quy định rõ: dữ liệu cá nhân trong các tài liệu công có thể được công bố vì lợi ích công cộng bởi cơ quan có thẩm quyền chiếu theo luật[14], để hài hòa giữa quyền tiếp cận thông tin với bảo vệ dữ liệu cá nhân. Đặc biệt, tại khoản 1 Điều 43 Luật Bảo vệ dữ liệu năm 2018[15] của Ireland quy định, nếu việc công bố dữ liệu cá nhân được thực hiện theo Luật Tự do thông tin thì không bị xem là vi phạm Luật Bảo vệ dữ liệu cá nhân. Như vậy, Việt Nam có thể nghiên cứu, tiếp thu có chọn lọc kinh nghiệm quốc tế bổ sung một điều khoản trong Luật Bảo vệ dữ liệu cá nhân năm 2025 như sau: “Việc xử lý, cung cấp dữ liệu cá nhân trong các hồ sơ, tài liệu do cơ quan nhà nước nắm giữ được thực hiện theo pháp luật về tiếp cận thông tin, nhằm phục vụ lợi ích công cộng”. Điều này sẽ tháo gỡ mâu thuẫn pháp lý, khi pháp luật về tiếp cận thông tin cho phép cung cấp thì việc cung cấp đó sẽ không bị coi là vi phạm Luật Bảo vệ dữ liệu cá nhân năm 2025, giúp pháp luật vận hành nhịp nhàng, tránh chồng chéo và giúp xóa bỏ tâm lý sợ sai của cán bộ, công chức trong thực hiện công vụ.

Kết luận

Trong kỷ nguyên chuyển đổi số, bài toán cân bằng giữa minh bạch thông tin và bảo vệ dữ liệu cá nhân ngày càng trở nên cấp thiết. Việt Nam đang đặt những nền móng pháp lý quan trọng với Luật Tiếp cận thông tin năm 2016, Luật Dữ liệu năm 2024 và Luật Bảo vệ dữ liệu cá nhân năm 2025. Tuy nhiên, các quyền này tiềm ẩn xung đột, nếu thiếu các ranh giới và cơ chế điều hòa rõ ràng. Vì vậy, Việt Nam cần cụ thể hóa, thiết lập quy trình đánh giá và tạo hành lang pháp lý phối hợp giữa Luật Tiếp cận thông tin năm 2016 với Luật Bảo vệ dữ liệu cá nhân năm 2025. Việt Nam có thể cân nhắc sửa đổi, bổ sung luật theo hướng phân định rõ thông tin công vụ và đời tư, cho phép linh hoạt công bố dữ liệu cá nhân vì lợi ích công cộng theo quy trình trong những trường hợp chính đáng, đồng thời, bảo đảm tuân thủ nguyên tắc bảo vệ dữ liệu cá nhân trong mọi trường hợp xử lý yêu cầu tiếp cận thông tin./.

ThS. Phạm Văn Chính

Trường Đại học Luật, Đại học Quốc gia Hà Nội

TS. Phạm Hùng Cường

Khoa Luật, Trường Đại học Mở Hà Nội

[1]. Vũ Công Giao (2010), Luật tiếp cận thông tin: Một số vấn đề lý luận, pháp lý và thực tiễn trên thế giới, Tạp chí Khoa học Đại học Quốc gia Hà Nội, Luật học, số 26 (2010), tr.182.

[2]. International Association of Privacy Professionals (IAPP) (2025), Data protection and privacy laws now in effect in 144 countries, https://iapp.org/news/a/data-protection-and-privacy-laws-now-in-effect-in-144-countries, truy cập ngày 01/02/2026.

[3]. Bộ Tư pháp (2026), Dự thảo lần 1 - Luật Tiếp cận thông tin sửa đổi năm 2026, https://duthaoonline.quochoi.vn/dt/luat-tiep-can-thong-tin-sua-doi/260115090944102298, truy cập ngày 06/02/2026.

[4]. Government of Ireland (1997), Freedom of Information Act 1997, https://www.irishstatutebook.ie/eli/1997/act/13/enacted/en/pdf, truy cập ngày 04/02/2026.

[5]. David Banisar (2011), The Right to Information and Privacy: Balancing Rights and Managing Conflicts, https://documents1.worldbank.org/curated/en/847541468188048435/pdf/80740-Right-to-Information-and-Privacy-Box-377336B-PUBLIC.pdf, truy cập ngày 28/01/2026.

[6]. Bộ Tư pháp (2026), tlđd, tr.2.

[7]. Joan Barata/UNESCO (2024), Access to information, exemptions and the public interest override, https://unesdoc.unesco.org/ark:/48223/pf0000390390, truy cập ngày 01/02/2026, tr.16.

[8]. ARTICLE 19 (2015), Quyền được biết của công chúng: những nguyên tắc đối với pháp luật về quyền được thông tin, https://www.article19.org/data/files/medialibrary/38117/a19-FOI-principles-original—vietnamese.pdf, truy cập ngày 01/02/2026.

[9]. Department of Justice Canada (2023), Annual Report on the Access to Information Act 2022-2023, https://www.justice.gc.ca/eng/trans/atip-aiprp/rep-rap/a2022_23/docs/access-to-information-act-2022-2023-eng.pdf, truy cập ngày 05/02/2026.

[10]. David Pozen (2005), The Mosaic Theory, National Security, and the Freedom of Information Act, The Yale Law Journal 115:628 2005, p.630.

[11]. European Court of Human Rights (2016), Case of Magyar Helsinki Bizottság v. Hungary [Grand Chamber], Application no. 18030/11, https://hudoc.echr.coe.int/eng?i=001-167828, truy cập ngày 04/02/2026.

[12]. European Court of Human Rights (2009), Case of Társaság a Szabadságjogokért v. Hungary, Application no. 37374/05, https://hudoc.echr.coe.int/eng?i=001-92171, truy cập ngày 04/02/2026.

[13]. Monica Macovei (2004), Freedom of expression: A guide to the implementation of Article 10 of the European Convention on Human Rights, https://rm.coe.int/handbook-freedom-of-expression-eng/1680732814, truy cập ngày 04/02/2026.

[14]. European Parliament and Council of the European Union (2016), Regulation (EU) 2016/679 (General Data Protection Regulation), https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng, truy cập ngày 04/02/2026.

[15]. Government of Ireland (2018), Data Protection Act 2018, Section 43, https://www.irishstatutebook.ie/eli/2018/act/7/section/43/enacted/en/html#sec43, truy cập ngày 06/02/2026.

TÀI LIỆU THAM KHẢO

1. ARTICLE 19 (2015), Quyền được biết của công chúng: những nguyên tắc đối với pháp luật về quyền được thông tin, https://www.article19.org/data/files/medialibrary/38117/a19-FOI-principles-original—vietnamese.pdf, truy cập ngày 01/02/2026.

2. Banisar, David (2011), The Right to Information and Privacy: Balancing Rights and Managing Conflicts, https://documents1.worldbank.org/curated/en/847541468188048435/pdf/80740-Right-to-Information-and-Privacy-Box-377336B-PUBLIC.pdf, truy cập ngày 28/01/2026.

3. Barata, Joan/UNESCO (2024), Access to information, exemptions and the public interest override, https://unesdoc.unesco.org/ark:/48223/pf0000390390, truy cập ngày 01/02/2026.

4. David Pozen (2005), The Mosaic Theory, National Security, and the Freedom of Information Act, The Yale Law Journal 115:628 2005.

5. Department of Justice Canada (2023), Annual Report on the Access to Information Act 2022-2023, https://www.justice.gc.ca/eng/trans/atip-aiprp/rep-rap/a202223/docs/access-to-information-act-2022-2023-eng.pdf, truy cập ngày 05/02/2026.

6. European Court of Human Rights (2009), Case of Társaság a Szabadságjogokért v. Hungary, Application no. 37374/05, https://hudoc.echr.coe.int/eng?i=001-92171, truy cập ngày 04/02/2026.

7. European Court of Human Rights (2016), Case of Magyar Helsinki Bizottság v. Hungary, Application no. 18030/11, https://hudoc.echr.coe.int/eng?i=001-167828, truy cập ngày 04/02/2026.

8. International Association of Privacy Professionals (IAPP) (2025), Data protection and privacy laws now in effect in 144 countries, https://iapp.org/news/a/data-protection-and-privacy-laws-now-in-effect-in-144-countries, truy cập ngày 01/02/2026.

9. Macovei, Monica (2004), Freedom of expression: A guide to the implementation of Article 10 of the European Convention on Human Rights, https://rm.coe.int/handbook-freedom-of-expression-eng/1680732814, truy cập ngày 04/02/2026.

10. Vũ Công Giao (2010), Luật tiếp cận thông tin: Một số vấn đề lý luận, pháp lý và thực tiễn trên thế giới, Tạp chí Khoa học Đại học Quốc gia Hà Nội, Luật học, số 26 (2010).

(Nguồn: Tạp chí Dân chủ và Pháp luật số Kỳ 1 (450) tháng 4/2026)