Pháp luật có cơ chế bảo vệ doanh nghiệp với điều kiện doanh nghiệp đã hành động đúng trình tự và có hồ sơ chứng minh.
Nhiều doanh nghiệp phần mềm lo ngại việc cung cấp danh sách khách hàng cho cơ quan thuế có thể vi phạm quy định bảo mật dữ liệu theo Luật An ninh mạng. Với góc nhìn pháp lý trong lĩnh vực ICT, ông đánh giá vấn đề này như thế nào?
Đây là lo ngại có cơ sở thực tế, nhưng cần được nhìn nhận một cách hệ thống và toàn diện hơn. Thực chất, không có sự mâu thuẫn căn bản giữa nghĩa vụ cung cấp thông tin cho cơ quan thuế với quy định bảo mật dữ liệu, nếu doanh nghiệp hiểu đúng phạm vi và điều kiện của từng quy định.
Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (Luật Bảo vệ dữ liệu cá nhân năm 2025) chính thức có hiệu lực từ ngày 1/1/2026, xác lập rõ các quyền dữ liệu cơ bản của công dân, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa và yêu cầu xóa dữ liệu. Đây là nền tảng bảo vệ quyền riêng tư mà doanh nghiệp phần mềm có nghĩa vụ tôn trọng.
Tuy nhiên, điều quan trọng là phải phân biệt rõ hai nghĩa vụ hoàn toàn khác nhau về bản chất pháp lý: một là nghĩa vụ bảo vệ dữ liệu khỏi bị lộ lọt trái phép ra thị trường, hoặc bên thứ ba không có thẩm quyền; hai là nghĩa vụ hợp tác với cơ quan quản lý nhà nước theo đúng căn cứ pháp luật. Hai phạm trù này không thể lẫn lộn.
Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định rõ rằng, trường hợp luật ban hành trước ngày Luật có hiệu lực có quy định cụ thể về bảo vệ dữ liệu cá nhân mà không trái với nguyên tắc bảo vệ dữ liệu cá nhân theo Luật này thì áp dụng quy định của luật đó.
Điều này xác nhận rằng, Luật Quản lý thuế mới - với tư cách là luật chuyên ngành vẫn được áp dụng song hành và không bị Luật Bảo vệ dữ liệu cá nhân năm 2025 vô hiệu hóa.
Ông có thể làm rõ các căn cứ pháp lý cho phép cơ quan thuế yêu cầu doanh nghiệp cung cấp những thông tin được xem là nhạy cảm như vậy không?
Có ít nhất ba tầng căn cứ pháp lý rõ ràng, đồng thời không mâu thuẫn nhau.
Thứ nhất, Luật Quản lý thuế số 108/2025/QH15 (Luật Quản lý thuế năm 2025), đây là căn cứ trực tiếp và quan trọng nhất, đặc biệt với các doanh nghiệp cung cấp hóa đơn điện tử. Luật Quản lý thuế năm 2025 được Quốc hội thông qua ngày 10/12/2025 nhằm thay thế Luật Quản lý thuế cũ, thể hiện hành động của Chính phủ trước sự phát triển nhanh chóng của nền kinh tế số, thương mại điện tử, cũng như nhu cầu tăng cường hiệu quả trong việc áp dụng công nghệ vào quản lý thuế.
Luật mới quy định rõ trách nhiệm của tổ chức, cá nhân liên quan trong việc cung cấp thông tin phục vụ quản lý thuế, là căn cứ pháp lý bắt buộc mà doanh nghiệp phần mềm không thể từ chối.
Đặc biệt, Luật Quản lý thuế năm 2025 được xây dựng theo hướng tinh gọn, rút từ 17 Chương, 152 Điều xuống còn 9 Chương, 53 Điều, đồng thời đánh dấu bước chuyển quan trọng trong tư duy quản lý thuế tại Việt Nam: chuyển sang quản lý dựa trên dữ liệu và rủi ro. Điều này có nghĩa là việc chia sẻ dữ liệu giữa doanh nghiệp và cơ quan thuế không chỉ là nghĩa vụ pháp lý, mà đã trở thành nền tảng vận hành của toàn bộ hệ thống quản lý thuế mới.
 |
Ông Nguyễn Đức Toàn |
Thứ hai, chính Luật Bảo vệ dữ liệu cá năm 2025 và Nghị định 356/2025/NĐ-CP cũng đã dự liệu ngoại lệ hợp pháp này. Điều 39 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định rằng, hoạt động xử lý dữ liệu cá nhân đang thực hiện mà đã được chủ thể dữ liệu đồng ý theo quy định trước ngày Luật có hiệu lực thì tiếp tục thực hiện, không phải xin đồng ý lại.
Theo tinh thần tổng thể của Luật, việc cung cấp dữ liệu theo yêu cầu bắt buộc của cơ quan nhà nước có thẩm quyền theo luật chuyên ngành là hợp pháp.
Thứ ba, Luật An ninh mạng số 24/2018/QH14 không cấm hợp tác với cơ quan nhà nước. Theo Điều 41 Luật An ninh mạng, doanh nghiệp cung cấp dịch vụ trên không gian mạng có trách nhiệm phối hợp, tạo điều kiện cho lực lượng chuyên trách bảo vệ an ninh mạng trong hoạt động bảo vệ an ninh mạng.
Điều kiện tiên quyết để doanh nghiệp thực hiện: yêu cầu từ cơ quan thuế phải bằng văn bản chính thức, có căn cứ pháp lý cụ thể và phạm vi thông tin được yêu cầu phải tương xứng với mục đích quản lý thuế.
Trong trường hợp phát sinh tranh chấp, nếu khách hàng cho rằng doanh nghiệp làm lộ thông tin, rủi ro pháp lý sẽ được xử lý ra sao và các quy định hiện hành có bảo vệ doanh nghiệp không?
Rủi ro pháp lý là có thực, nhưng pháp luật hiện hành có cơ chế bảo vệ doanh nghiệp - với điều kiện doanh nghiệp đã hành động đúng trình tự và có hồ sơ chứng minh.
Về cơ chế bảo vệ, Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định 356/2025/NĐ-CP đều thừa nhận nguyên tắc: việc cung cấp dữ liệu theo yêu cầu bắt buộc của cơ quan nhà nước có thẩm quyền, theo đúng luật chuyên ngành, là hành động hợp pháp mà doanh nghiệp không thể bị quy trách nhiệm dân sự hay hành chính - miễn là thực hiện đúng phạm vi được yêu cầu và có căn cứ rõ ràng.
Tuy nhiên, điều kiện để được bảo vệ là doanh nghiệp phải chứng minh được toàn bộ chuỗi hành động: yêu cầu đến từ cơ quan có thẩm quyền, bằng văn bản chính thức, với mục đích được pháp luật cho phép và phạm vi thông tin cung cấp không vượt quá yêu cầu.
Doanh nghiệp cần duy trì trạng thái tuân thủ liên tục, từ quy trình thu thập, lưu trữ, xử lý dữ liệu đến hồ sơ pháp lý và cơ chế kiểm soát nội bộ, nhằm sẵn sàng đáp ứng yêu cầu kiểm tra của cơ quan có thẩm quyền trong mọi tình huống.
Đặc biệt, việc lập hồ sơ và lưu trữ thông tin vi phạm trong tối thiểu 5 năm kể từ ngày khắc phục xong sự cố giúp đảm bảo tính minh bạch và phục vụ công tác thanh tra, kiểm tra của cơ quan có thẩm quyền.
Doanh nghiệp nên áp dụng tiêu chuẩn lưu trữ tương tự đối với mọi hồ sơ yêu cầu cung cấp thông tin từ cơ quan thuế - lưu đầy đủ văn bản yêu cầu, căn cứ pháp lý, phạm vi thông tin đã cung cấp và thời điểm thực hiện. Đó chính là "lá chắn pháp lý" hiệu quả nhất trong trường hợp bị khiếu kiện.
Ở góc độ quản trị, ông có khuyến nghị gì để các doanh nghiệp phần mềm vừa tuân thủ yêu cầu của cơ quan quản lý, vừa bảo đảm nghĩa vụ bảo mật thông tin khách hàng?
Tôi có năm khuyến nghị thực tiễn, được xây dựng trực tiếp trên nền tảng pháp lý mới nhất hiện hành.
Thứ nhất, bổ nhiệm nhân sự bảo vệ dữ liệu (DPO) và xây dựng chính sách xử lý dữ liệu nội bộ. Nghị định 356/2025/NĐ-CP yêu cầu doanh nghiệp phải có người đứng đầu phụ trách chuyên môn là công dân Việt Nam thường trú tại Việt Nam; có đội ngũ quản lý, điều hành đáp ứng yêu cầu chuyên môn; và có tối thiểu 3 nhân sự đủ điều kiện năng lực, đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân. Đây là yêu cầu bắt buộc không phải là tùy chọn.
Hãy chuyển từ thói quen làm cho "Tiện" sang làm cho "Đúng và Tuân thủ". Trong kỷ nguyên số, dữ liệu không chỉ là tài sản mà dữ liệu còn là trách nhiệm. Và trách nhiệm đó phải đặt nền móng trên sự thượng tôn pháp luật, chứ không phải trên sự tiện lợi nhất thời
Thứ hai, chuẩn hóa quy trình tiếp nhận và phản hồi yêu cầu từ cơ quan nhà nước. Cụ thể với yêu cầu từ cơ quan thuế theo Luật Quản lý thuế 108/2025/QH15: phải có văn bản chính thức, xác nhận căn cứ pháp lý, phê duyệt nội bộ trước khi thực hiện và lưu hồ sơ đầy đủ tối thiểu 5 năm. Tuyệt đối không thực hiện theo yêu cầu miệng hay qua điện thoại.
Thứ ba, thực hiện đánh giá tác động xử lý dữ liệu cá nhân (DPIA) định kỳ theo Nghị định 356/2025/NĐ-CP. Vì Nghị định này đã chuẩn hóa các thủ tục hành chính - nếu trước đây doanh nghiệp còn lúng túng về cách điền hồ sơ đánh giá tác động thì nay Nghị định đã cung cấp hướng dẫn rất cụ thể. Đây không chỉ là nghĩa vụ hành chính mà là công cụ kiểm soát rủi ro chủ động.
Thứ tư, cập nhật điều khoản hợp đồng và chính sách bảo mật với khách hàng theo chuẩn mới. Theo quy định tại Nghị định 356/2025/NĐ-CP, bên kiểm soát dữ liệu cá nhân chỉ được xử lý dữ liệu khi có sự đồng ý của chủ thể dữ liệu, thể hiện dưới nhiều hình thức như văn bản, ghi âm, cú pháp đồng ý qua tin nhắn, email hoặc thông qua các ứng dụng có thiết lập kỹ thuật để xin chấp thuận.
Điều khoản hợp đồng cần nêu rõ khả năng cung cấp dữ liệu cho cơ quan nhà nước theo đúng quy định pháp luật.
Thứ năm, xây dựng hệ thống quản trị dữ liệu tích hợp cả hai chiều: bảo vệ và chia sẻ có kiểm soát. Trong trường hợp kiểm tra đột xuất, cơ quan chuyên trách có quyền tiến hành kiểm tra ngay mà không cần thông báo trước, vì vậy doanh nghiệp cần duy trì trạng thái tuân thủ liên tục, không phải chỉ chuẩn bị trước kỳ kiểm tra.
Để vừa tuân thủ yêu cầu cơ quan quản lý, vừa duy trì niềm tin khách hàng, doanh nghiệp cung cấp phần mềm cần điều chỉnh cách thức trao đổi, minh bạch thông tin như thế nào?
Niềm tin không đến từ việc che giấu nghĩa vụ pháp lý, mà từ việc doanh nghiệp minh bạch và chủ động về chính những nghĩa vụ đó.
Luật Bảo vệ dữ liệu cá nhân năm 2025 đặt ra yêu cầu rõ ràng: các tổ chức phải công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư; báo cáo các vi phạm về bảo mật và quyền riêng tư. Đây là chuẩn mực tối thiểu mà doanh nghiệp hóa đơn điện tử phải đáp ứng.
Ngay trong hợp đồng dịch vụ, doanh nghiệp cần nêu tường minh: đây là dịch vụ hóa đơn điện tử vận hành trong khuôn khổ pháp lý của Luật Quản lý thuế năm 2025, do đó dữ liệu giao dịch có thể được chia sẻ với cơ quan thuế theo đúng quy định pháp luật.
 |
Cán bộ Thuế TP. Hà Nội hướng dẫn người nộp thuế kê khai thuế. |
Luật Quản lý thuế năm 2025 đánh dấu bước chuyển sang quản lý dựa trên dữ liệu và rủi ro, điều đó có nghĩa là dòng dữ liệu giữa doanh nghiệp và cơ quan thuế sẽ ngày càng được tích hợp sâu hơn và khách hàng cần được biết điều này ngay từ đầu.
Khi nhận được yêu cầu từ cơ quan thuế, doanh nghiệp nên thông báo cho khách hàng - trừ trường hợp pháp luật yêu cầu bảo mật - để khách hàng chủ động phối hợp nếu cần thiết. Cách làm này vừa thể hiện sự tôn trọng khách hàng, vừa giảm thiểu rủi ro khiếu kiện sau này. Sự thành thật có kiểm soát đó chính là nền tảng của niềm tin bền vững.
Về dài hạn, xu hướng tăng cường chia sẻ dữ liệu giữa doanh nghiệp và cơ quan quản lý sẽ trở thành bắt buộc, các doanh nghiệp công nghệ cần thích ứng ra sao?
Câu trả lời là không phải "sẽ trở thành bắt buộc" mà thực tế nó đã là bắt buộc. Xu hướng này không chỉ dừng lại ở các quy định đơn lẻ mà đang trở nên sâu sắc và hệ thống hơn bao giờ hết.
Việc Việt Nam ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định 356/2025/NĐ-CP cho thấy khung khổ pháp luật của chúng ta đang tiệm cận với các chuẩn mực quốc tế khắt khe như GDPR của châu Âu. Điều này thiết lập một môi trường cạnh tranh minh bạch, nơi dữ liệu không còn là "vùng xám" mà được quản trị theo những tiêu chuẩn an toàn và bền vững nhất.
Để thích ứng, các doanh nghiệp công nghệ cần thực hiện ba chuyển dịch chiến lược:
Từ “phòng thủ dữ liệu” sang “quản trị dữ liệu có trách nhiệm”: Đừng coi dữ liệu là tài sản đóng kín, hãy coi đó là nguồn lực cần được vận hành trong hành lang pháp lý.
Từ tuân thủ bị động sang “Privacy by Design”: Tích hợp bảo vệ dữ liệu và các cổng kết nối báo cáo ngay từ giai đoạn thiết kế sản phẩm, thay vì đợi đến khi có yêu cầu mới bắt đầu vá víu.
Từ “chi phí tuân thủ” sang “đầu tư niềm tin”: Coi việc tuân thủ các yêu cầu của cơ quan quản lý là cách để xây dựng uy tín dài hạn với khách hàng và thị trường.
Điều tôi luôn trăn trở và đã chia sẻ tại nhiều diễn đàn chuyển đổi số: Nhiều doanh nghiệp đang bị cuốn vào guồng quay công nghệ rất nhanh, nhưng lại bỏ ngỏ câu hỏi: “Chuyển đổi số như vậy có đúng và đủ về pháp lý chưa?”.
Thông điệp cuối cùng tôi muốn gửi đến cộng đồng: Hãy chuyển từ thói quen làm cho "Tiện" sang làm cho "Đúng và Tuân thủ". Trong kỷ nguyên số, dữ liệu không chỉ là tài sản mà dữ liệu còn là trách nhiệm. Và trách nhiệm đó phải đặt nền móng trên sự thượng tôn pháp luật, chứ không phải trên sự tiện lợi nhất thời.
