Pháp lý bảo vệ dữ liệu cá nhân cho khách du lịch văn hóa, tại sao không?
Chuyển đổi số đang mở ra nhiều cơ hội phát triển cho du lịch văn hóa với các công nghệ như AI, thực tế ảo, bản sao số hay nền tảng du lịch thông minh.
Tuy nhiên, cùng với những tiện ích đó là nguy cơ gia tăng thu thập, phân tích và khai thác dữ liệu cá nhân của du khách. Trong đó, có nhiều thông tin nhạy cảm liên quan đến tín ngưỡng, hành vi và đời sống riêng tư. Trao đổi với Một Thế Giới, TS. Đào Thị Thu Hằng, Giảng viên Trường Đại học Kinh tế TP.HCM, cho rằng Việt Nam cần sớm hoàn thiện hành lang pháp lý, bảo đảm quyền riêng tư của du khách trong quá trình phát triển du lịch số và du lịch văn hóa thông minh.
Dữ liệu du lịch văn hóa chứa nhiều thông tin nhạy cảm
- Thưa TS. Đào Thị Thu Hằng, vì sao bảo vệ dữ liệu cá nhân của khách du lịch văn hóa đang trở thành vấn đề cấp thiết trong bối cảnh chuyển đổi số hiện nay?
- TS. Đào Thị Thu Hằng: Chúng ta đang chứng kiến quá trình chuyển đổi số rất mạnh mẽ trong ngành du lịch. Nếu trước đây du khách chủ yếu tiếp cận điểm đến bằng các hình thức truyền thống, thì hiện nay nhiều di tích, bảo tàng, điểm đến văn hóa đã ứng dụng trí tuệ nhân tạo (AI), thực tế ảo (VR), thực tế tăng cường (AR), vé điện tử, thuyết minh tự động, bản sao số (Digital Twin) và các nền tảng du lịch thông minh.
Những công nghệ này giúp nâng cao trải nghiệm, cá nhân hóa dịch vụ và gia tăng giá trị kinh tế cho ngành du lịch. Tuy nhiên, để vận hành được hệ sinh thái đó, các đơn vị quản lý và doanh nghiệp phải thu thập khối lượng rất lớn dữ liệu của du khách.
Điều đáng lưu ý là trong du lịch văn hóa, dữ liệu được thu thập không chỉ là họ tên, số điện thoại hay vị trí địa lý mà còn phản ánh sở thích văn hóa, tín ngưỡng, tôn giáo, hành vi tham quan, lịch sử di chuyển và thậm chí là dữ liệu sinh trắc học. Đây đều là những nhóm dữ liệu nhạy cảm cần được bảo vệ ở mức độ cao.
Điểm khác biệt của du lịch văn hóa là khả năng suy luận ra những thông tin rất nhạy cảm từ hành vi của du khách. Ví dụ, khi một người thường xuyên tham quan các cơ sở tín ngưỡng, đền, chùa hoặc tham gia các tour hành hương, hệ thống công nghệ có thể phân tích dữ liệu để suy đoán về niềm tin tôn giáo hoặc khuynh hướng văn hóa của họ.
Tương tự, thông qua dữ liệu vị trí, thời gian lưu trú tại từng khu vực hay lịch sử tìm kiếm trên ứng dụng du lịch, các nền tảng số có thể xây dựng hồ sơ hành vi rất chi tiết về một cá nhân. Đây là điều mà nhiều du khách chưa nhận thức đầy đủ. Họ nghĩ rằng mình chỉ đang mua vé tham quan hoặc sử dụng ứng dụng thuyết minh, nhưng thực tế phía sau là quá trình thu thập và xử lý dữ liệu rất sâu.
Ngoài ra, dữ liệu du lịch hiện nay thường được lưu trữ trên các nền tảng quốc tế, tạo ra yếu tố xuyên biên giới rất rõ nét. Điều này đòi hỏi pháp luật phải có cơ chế kiểm soát phù hợp đối với việc chuyển dữ liệu ra nước ngoài.
Khoảng trống pháp lý trước làn sóng du lịch số
- Bà đánh giá như thế nào về khung pháp lý hiện hành của Việt Nam trong bảo vệ dữ liệu cá nhân của khách du lịch và đâu là những khoảng trống cần sớm khắc phục?
- TS. Đào Thị Thu Hằng: Có thể nói Việt Nam đã hình thành được một khung pháp lý tương đối toàn diện. Nền tảng trước hết là Hiến pháp năm 2013 và Bộ luật Dân sự năm 2015, trong đó ghi nhận quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình.
Tiếp đó là các quy định trong Luật Bảo vệ quyền lợi người tiêu dùng, Luật An toàn thông tin mạng, Luật Dữ liệu, Luật An ninh mạng và các văn bản liên quan đến thương mại điện tử.
Đặc biệt, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã tạo ra bước tiến quan trọng khi quy định rõ các quyền của chủ thể dữ liệu, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, quyền chỉnh sửa, quyền xóa dữ liệu hay còn gọi là “quyền được lãng quên”.
Đối với lĩnh vực du lịch, Luật Du lịch năm 2017 và Luật Di sản văn hóa năm 2024 cũng có những quy định liên quan đến bảo đảm an toàn cho du khách và xây dựng cơ sở dữ liệu số về di sản. Tuy nhiên, các quy định này vẫn chưa thực sự được thiết kế riêng cho bối cảnh du lịch thông minh và khai thác dữ liệu quy mô lớn như hiện nay.
Theo tôi, có ba nhóm bất cập nổi bật. Thứ nhất là sự thiếu đồng bộ giữa các đạo luật. Luật Du lịch năm 2017 được ban hành trong bối cảnh chuyển đổi số chưa phát triển mạnh nên gần như chưa đề cập trực tiếp đến bảo vệ dữ liệu cá nhân của khách du lịch.
Hiện luật cũng chưa quy định rõ trách nhiệm của các doanh nghiệp công nghệ du lịch (TravelTech) khi được giao xử lý dữ liệu của khách hàng. Trong thực tế, nhiều vụ rò rỉ thông tin xảy ra thông qua bên thứ ba, nhưng việc xác định trách nhiệm pháp lý còn khó khăn.
Thứ hai là những vướng mắc trong hoạt động số hóa di sản. Các công nghệ như AI, Digital Twin hay camera thông minh đều cần thu thập dữ liệu liên tục để vận hành. Tuy nhiên, pháp luật hiện hành chưa có hướng dẫn cụ thể về phạm vi, điều kiện và giới hạn xử lý dữ liệu trong các trường hợp này.
Thứ ba là cơ chế phối hợp liên ngành còn thiếu chặt chẽ. Khi xảy ra sự cố rò rỉ dữ liệu, trách nhiệm quản lý liên quan đến nhiều cơ quan khác nhau nhưng hiện chưa có quy trình phối hợp thống nhất để xử lý nhanh các sự cố phát sinh.
Quyền riêng tư của du khách làm trung tâm
- Trong bối cảnh AI ngày càng phát triển và dữ liệu du lịch được lưu chuyển xuyên biên giới, Việt Nam đang đứng ở đâu so với các chuẩn mực quốc tế về bảo vệ dữ liệu cá nhân?
- TS. Đào Thị Thu Hằng: So với nhiều quốc gia trong khu vực, Việt Nam đã có những bước tiến đáng kể. Tuy nhiên, nếu đối chiếu với các tiêu chuẩn quốc tế như Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR), vẫn còn những khoảng cách nhất định.
Một trong những yêu cầu quan trọng của EU là quốc gia đối tác phải có cơ quan giám sát dữ liệu độc lập. Đây là điều kiện quan trọng để được công nhận mức độ bảo vệ dữ liệu tương đương với EU.
Hiện nay, cơ chế giám sát dữ liệu của Việt Nam vẫn thuộc hệ thống quản lý nhà nước, vì vậy việc đạt được “Quyết định tương đương” của EU còn gặp nhiều thách thức.
Ngoài ra, các thủ tục liên quan đến chuyển dữ liệu xuyên biên giới vẫn tương đối phức tạp, tạo thêm chi phí và thời gian cho doanh nghiệp du lịch khi phục vụ khách quốc tế. Trong khi đó, các hiệp định thương mại thế hệ mới như CPTPP hay EVFTA đều hướng tới việc thúc đẩy lưu chuyển dữ liệu an toàn nhưng thuận lợi hơn.
Một vấn đề rất đáng quan tâm hiện nay là AI có thể suy luận ra các thông tin nhạy cảm của du khách mà không cần họ khai báo trực tiếp. Chỉ cần phân tích lịch sử tham quan, thời gian lưu trú tại các điểm đến tâm linh hoặc các nội dung được tìm kiếm trên ứng dụng du lịch, hệ thống có thể suy đoán về tín ngưỡng, tôn giáo hoặc nhiều đặc điểm cá nhân khác.
Nguy hiểm hơn, những dữ liệu này có thể bị sử dụng để xây dựng hồ sơ khách hàng, phân loại người dùng hoặc phục vụ quảng cáo nhắm mục tiêu. Trong khi GDPR kiểm soát rất chặt hoạt động lập hồ sơ cá nhân và suy luận dữ liệu nhạy cảm, pháp luật Việt Nam hiện vẫn chưa có quy định riêng và đầy đủ về vấn đề này.
- Theo bà, Việt Nam cần làm gì để hoàn thiện hành lang pháp lý và xây dựng môi trường du lịch số an toàn cho du khách trong thời gian tới?
- TS. Đào Thị Thu Hằng: Trước hết cần sửa đổi và bổ sung Luật Du lịch theo hướng xem bảo vệ dữ liệu cá nhân là một tiêu chí bắt buộc đối với doanh nghiệp lữ hành, khu du lịch và điểm du lịch.
Các đơn vị khai thác dữ liệu phải có trách nhiệm ký kết thỏa thuận bảo mật với bên thứ ba, áp dụng các biện pháp mã hóa và chịu trách nhiệm khi xảy ra vi phạm.
Đối với lĩnh vực di sản văn hóa, cần ban hành hướng dẫn cụ thể về việc sử dụng AI, Digital Twin, camera thông minh và các công nghệ số khác. Đồng thời phải quy định rõ trách nhiệm thông báo cho du khách biết dữ liệu nào đang được thu thập và được sử dụng vào mục đích gì.
Bên cạnh đó, cần xây dựng cơ chế phối hợp liên ngành giữa cơ quan công an và cơ quan quản lý văn hóa - du lịch để xử lý nhanh các sự cố liên quan đến dữ liệu.
Về lâu dài, Việt Nam cần xây dựng một hệ sinh thái quản trị dữ liệu hiện đại và tiệm cận các chuẩn mực quốc tế. Một giải pháp quan trọng là nghiên cứu lộ trình thành lập cơ quan giám sát dữ liệu độc lập, qua đó nâng cao mức độ tương thích với các yêu cầu của EU.
Song song đó, cần xây dựng bộ tiêu chuẩn kỹ thuật riêng cho lĩnh vực du lịch và di sản số. Mọi dự án ứng dụng AI, nhận diện khuôn mặt, phân tích hành vi hay Digital Twin phải thực hiện đánh giá tác động bảo vệ dữ liệu trước khi triển khai.
Tôi cũng cho rằng Việt Nam nên áp dụng cơ chế “sandbox” - không gian thử nghiệm pháp lý - đối với các công nghệ mới trong du lịch. Điều này cho phép cơ quan quản lý đánh giá đầy đủ rủi ro trước khi triển khai trên diện rộng.
Quan trọng hơn cả là phải đặt quyền riêng tư của du khách vào vị trí trung tâm của quá trình chuyển đổi số. Công nghệ chỉ thực sự có ý nghĩa khi được phát triển trên nền tảng tôn trọng quyền con người và các giá trị văn hóa.