Hành lang pháp lý cho tài sản số: Cơ hội, rủi ro và hướng đi từ góc nhìn chuyên gia

Tài sản số đang trở thành lĩnh vực phát triển nhanh và đầy tiềm năng, mang lại nhiều cơ hội nhưng cũng ẩn chứa rủi ro khi khung pháp lý Việt Nam chưa kịp hoàn thiện. Trong cuộc trao đổi với Tạp chí An toàn thông tin, ông Trần Huyền Dinh, Chủ nhiệm Ủy ban Ứng dụng Fintech - Hiệp hội Blockchain Việt Nam, Tổng Giám đốc CTCP Alpha True đã phân tích những khoảng trống pháp lý, các nguy cơ về an ninh thông tin và gợi mở giải pháp để Việt Nam xây dựng hành lang pháp lý cho tài sản số vừa chặt chẽ, vừa thúc đẩy đổi mới sáng tạo một cách an toàn.

Phóng viên Tạp chí ATTT: Trong bối cảnh công nghệ Blockchain và tài sản số phát triển nhanh chóng, ông nhìn nhận đâu là mối đe dọa lớn nhất đối với an toàn, an ninh thông tin quốc gia mà hành lang pháp lý hiện hành tại Việt Nam chưa theo kịp?

Ông Trần Huyền Dinh: Mối đe dọa lớn nhất hiện nay đối với an toàn, an ninh thông tin quốc gia xuất phát từ việc chưa có một khung pháp lý và kỹ thuật đầy đủ để nhận diện, giám sát và kiểm soát các giao dịch tài sản số xuyên biên giới. Lỗ hổng này tạo điều kiện cho các tổ chức cung cấp dịch vụ nước ngoài và tội phạm mạng xuyên quốc gia lợi dụng hệ sinh thái tài sản số chưa được quản lý chặt chẽ nhằm thực hiện các hành vi rửa tiền, tài trợ khủng bố, cũng như đưa vào thị trường các dự án và mô hình lừa đảo để chiếm đoạt tài sản của nhà đầu tư trong nước.

Trong khoảng một năm trở lại đây, Việt Nam đã có những bước tiến mang tính bản lề trong việc định hình khung pháp lý cho tài sản số và công nghệ Blockchain (điển hình là Web3). Từ Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị, văn bản khẳng định Blockchain sẽ trở thành “hạ tầng chiến lược” cho nền kinh tế số, trước đó là Chiến lược Blockchain Quốc gia theo Quyết định số 1236/ QĐ-TTg ngày 22/10/2024 và mới đây nhất là Nghị định số 94/2025/NĐ-CP về cơ chế thử nghiệm có kiểm soát trong lĩnh vực ngân hàng, có thể thấy được bức tranh chính sách đã dần thành hình.

Theo báo cáo của Chainalysis, Việt Nam nằm trong top đầu thế giới về lưu lượng giao dịch tài sản số với tổng giá trị ước tính hơn 100 tỷ USD mỗi năm và phần lớn diễn ra qua các nền tảng chưa đăng ký tại Việt Nam. Trong khi đó, Việt Nam vẫn đang nằm trong “Danh sách xám” của Lực lượng Đặc nhiệm Tài chính về chống rửa tiền (FATF) kể từ tháng 6/2023 vì chưa đáp ứng đầy đủ các tiêu chuẩn về phòng chống rửa tiền và tài trợ khủng bố liên quan đến tài sản ảo và các nhà cung cấp dịch vụ tài sản ảo (VASP).

Thứ nhất, Việt Nam cần có định nghĩa và quy định rõ ràng về lĩnh vực này để khiến các tổ chức hiện đang hoạt động tự do phải tuân thủ theo quy định của pháp luật, tránh tiềm ẩn nguy cơ rửa tiền, lừa đảo… Mặc dù chúng ta có Luật Công nghiệp Công nghệ số song mới chỉ bước đầu đưa ra khái niệm “tài sản mã hóa” mà chưa bao quát các loại hình phổ biến như token chứng khoán, stablecoin hay tài sản thực được token hóa. Bên cạnh đó, Việt Nam cũng cần đưa ra các chính sách và quy định tập trung vào yêu cầu VASP đăng ký/cấp phép; tuân thủ nghiêm ngặt KYC/AML; áp dụng Travel Rule và báo cáo giao dịch đáng ngờ.

Thứ hai, Việt Nam vẫn thiếu một khuôn khổ thử nghiệm có kiểm soát (sandbox) cho cả lĩnh vực fintech nói chung và tài sản số nói riêng. Với hơn 100 tỷ USD giao dịch tài sản số mỗi năm (theo Chainalysis), một khung sandbox minh bạch sẽ giúp nhà quản lý thử nghiệm chính sách trong môi trường an toàn, đồng thời thu hút vốn và nhân lực chất lượng cao về nước.

Ông Trần Huyền Dinh, Chủ nhiệm Ủy ban Ứng dụng Fintech, Hiệp hội Blockchain Việt Nam, Tổng Giám đốc CTCP AlphaTrue

Phóng viên Tạp chí ATTT: Dự thảo Nghị quyết thí điểm phát hành tài sản mã hóa do Bộ Tài chính chủ trì đang thu hút nhiều sự quan tâm. Theo ông, thách thức lớn nhất về bảo mật dữ liệu và an ninh mạng khi triển khai phát hành tài sản mã hóa là gì?

Ông Trần Huyền Dinh: Tài sản mã hóa với bản chất phi tập trung và không biên giới đang đặt ra những thách thức chưa từng có tiền lệ đối với công tác quản lý nhà nước, đặc biệt trong kiểm soát tội phạm mạng, phòng chống rửa tiền, bảo vệ dữ liệu cá nhân và đảm bảo an toàn cho hạ tầng số quốc gia. Đây là một lĩnh vực hoàn toàn mới đối với các cơ quan quản lý, đòi hỏi phải đối mặt đồng thời với nhiều vấn đề phức tạp. Để Việt Nam có thể ứng phó hiệu quả với những mối đe dọa này, cần một chiến lược tổng thể dựa trên bốn trụ cột chính: hoàn thiện pháp lý, triển khai sandbox có kiểm soát, ứng dụng công nghệ giám sát chuỗi khối, và tăng cường hợp tác công – tư trong nước và quốc tế.

Thứ nhất, hành lang pháp lý cần được hoàn thiện theo hướng bám sát thực tiễn công nghệ. Luật An ninh mạng, Nghị định số 13/2023 về bảo vệ dữ liệu cá nhân và Luật Dữ liệu mới ban hành là những bước đi quan trọng. Tuy nhiên, để giải quyết các hành vi trên không gian Web3, Việt Nam cần bổ sung các quy định đặc thù trong khung pháp lý về tài sản số và các văn bản liên quan, như yêu cầu các đơn vị cung cấp dịch vụ tài sản số lưu trữ và cung cấp thông tin định danh giao dịch, kiểm soát luồng dữ liệu xuyên biên giới và bắt buộc áp dụng "Travel Rule" theo khuyến nghị của FATF. Khi thông tin người gửi và người nhận đi kèm với mỗi giao dịch, việc truy vết, phong tỏa và xử lý các dòng tiền bất hợp pháp sẽ khả thi hơn.

Thứ hai, việc Chính phủ giao Bộ Tài chính soạn thảo Nghị định thí điểm về sàn giao dịch tài sản mã hoá ngay trong năm 2025 là một tín hiệu đáng chú ý, thể hiện bước chuyển từ định hướng chính sách sang hành động cụ thể. Tuy nhiên, để Nghị định này phát huy hiệu quả, ngoài việc tuân thủ đầy đủ các quy định pháp luật hiện hành cần tích hợp các tiêu chuẩn công nghệ tiên tiến nhất về bảo mật thông tin, quản lý rủi ro và vận hành hệ thống. Đặc biệt, phải có cơ chế quản lý tài sản theo hướng tách biệt tài sản khách hàng khỏi tài sản của sàn, cơ chế quản lý tài sản theo ví nóng/ví lạnh, yêu cầu báo cáo an toàn thông tin theo thời gian thực và quy định rõ ràng về việc cấp phép/thu hồi giấy phép hoạt động. Nếu được thiết kế đúng đắn và có lộ trình triển khai thận trọng, Nghị định này không chỉ giúp Nhà nước kiểm soát hiệu quả các rủi ro trong không gian Web3 mà vẫn đảm bảo không kìm hãm sự đổi mới.

Thứ ba, cần đầu tư vào năng lực phân tích và giám sát chuỗi khối ở cấp quốc gia. Việt Nam nên thành lập một Trung tâm Phân tích Chuỗi khối Quốc gia - liên thông với các đơn vị như Ban Cơ yếu Chính phủ, Cục Phòng chống rửa tiền (Ngân hàng Nhà nước), Cục An ninh mạng (Bộ Công an). Trung tâm này có thể sử dụng dữ liệu từ các nền tảng phân tích quốc tế như Chainalysis, TRM Labs hay Elliptic để gắn điểm rủi ro (risk score) cho địa chỉ ví, hỗ trợ theo dõi dòng tiền và cảnh báo sớm các giao dịch đáng ngờ. Việc kết nối dữ liệu Blockchain với thông tin định danh điện tử (như VNeID) sẽ tăng cường hiệu quả kiểm soát, đặc biệt trong các vụ án liên quan đến tội phạm mạng và lừa đảo tài sản số. Hiện tại chương trình truy vết ChainTracer của Hiệp hội Blockchain Việt Nam đã hoàn thiện các công cụ truy vết hoàn chỉnh có thể đóng góp trực tiếp vào các chương trình của Chính phủ.

Thứ tư, Việt Nam cần thúc đẩy hợp tác công - tư và mở rộng hợp tác quốc tế trong lĩnh vực này với các tổ chức quốc tế có vai trò quan trọng trong lĩnh vực phòng, chống tội phạm tài chính, an ninh mạng và lừa đảo toàn cầu như Egmont Group of Financial Intelligence Units, INTERPOL Cybercrime Directorate, Global Anti-Scam Alliance… đồng thời tổ chức các chương trình đào tạo nhằm hỗ trợ lực lượng chức năng tiếp cận kiến thức và công cụ hiện đại. Cộng đồng doanh nghiệp Web3 trong nước cũng cần được khuyến khích áp dụng các chuẩn kỹ thuật như “Zero Trust” và “Privacy by Design”, triển khai mã hóa, phân quyền truy cập và quy trình ứng phó sự cố chuyên nghiệp.

Phóng viên Tạp chí ATTT: Trong quá trình xây dựng khung pháp lý cho công nghệ mới, nhiều luồng ý kiến lo ngại rằng quản lý quá chặt sẽ kìm hãm sự đổi mới. Vậy theo ông, làm sao để Việt Nam vừa bảo đảm an ninh thông tin quốc gia, vừa tạo không gian mở cho sáng tạo trong lĩnh vực Blockchain và tài sản số?

Ông Trần Huyền Dinh: Việc cân bằng giữa kiểm soát rủi ro và thúc đẩy đổi mới công nghệ là một trong những thách thức lớn nhất khi xây dựng hành lang pháp lý cho lĩnh vực tài sản số. Nếu siết quá chặt, chúng ta có thể đánh mất cơ hội dẫn đầu trong một ngành đang tăng trưởng với tốc độ vượt bậc. Ngược lại, nếu buông lỏng, các nguy cơ về rửa tiền, gian lận, thao túng thị trường hay tội phạm mạng sẽ gây hậu quả nghiêm trọng, ảnh hưởng đến an ninh thông tin quốc gia và niềm tin của nhà đầu tư. Điều quan trọng nằm ở cách tiếp cận, đó không phải là chọn một trong hai cực, mà là tạo ra một cơ chế pháp lý linh hoạt, có khả năng điều tiết theo mức độ rủi ro và thích ứng với tốc độ phát triển của công nghệ.

Ở một số quốc gia như Singapore hay các nước trong khối EU, khung pháp lý không cố gắng áp đặt các quy định cứng nhắc cho mọi loại hình sản phẩm, mà phân loại tài sản và dịch vụ dựa trên mức độ rủi ro cụ thể. Những sản phẩm liên quan đến tài chính, lưu ký tài sản lớn hoặc có tác động hệ thống cao sẽ chịu quy định chặt chẽ hơn. Trong khi đó, các mô hình khởi nghiệp sáng tạo, ít rủi ro hệ thống hơn được trao cơ hội thí điểm trong khuôn khổ sandbox với sự giám sát nhẹ hơn.

Bên cạnh việc phân loại rủi ro, các quy định về sandbox cần được mở rộng để trở thành một công cụ điều tiết chủ lực. Không đơn thuần là “cho phép thử nghiệm”, sandbox cần trở thành một không gian “sai trong giới hạn”, nơi doanh nghiệp được thử mô hình mới trong phạm vi rủi ro cho phép, còn nhà nước có đủ cơ chế để giám sát, thu thập dữ liệu và điều chỉnh chính sách kịp thời.

Đồng thời, hệ thống cấp phép cũng nên được chia tầng, tương tự mô hình của Cơ quan Quản lý Tài sản Ảo VARA (Dubai), nơi các doanh nghiệp được phép vận hành ở các mức độ khác nhau: từ cấp phép tạm thời (Provisional), sản phẩm thử nghiệm (MVP), đến khi đủ điều kiện ra mắt thị trường toàn diện (Full Market Product). Cách làm này không chỉ giảm rào cản cho startup mà còn giúp nhà quản lý kiểm soát rủi ro từ giai đoạn sớm, khi hệ lụy còn có thể can thiệp hiệu quả.

Một yếu tố rất quan trọng khác để đảm bảo an ninh thông tin quốc gia là hạ tầng giám sát chủ động đủ sâu và minh bạch. Những công nghệ như API giám sát thời gian thực, Travel Rule, hay các nền tảng phân tích Blockchain đang được nhiều quốc gia sử dụng để theo dõi dòng tài sản số, không nhằm ngăn chặn công nghệ mà nhằm đảm bảo rằng các hành vi bất hợp pháp có thể bị phát hiện và xử lý. Đặc biệt, mô hình “vùng an toàn pháp lý có thời hạn” (temporary safe-harbor) – đang được Singapore áp dụng cũng là một gợi ý phù hợp, cho phép doanh nghiệp hoạt động trong giới hạn rủi ro và nghĩa vụ tối thiểu, sau đó đánh giá lại để quyết định có được chuyển sang khuôn khổ pháp lý chính thức hay không. Bên cạnh đó, việc áp dụng các chuẩn an ninh quốc tế cho doanh nghiệp cung cấp dịch vụ tài sản mã hoá, cơ chế kiểm thử xâm nhập định kỳ và kết nối dữ liệu với Trung tâm Giám sát An toàn Không gian mạng Quốc gia là điều cần được tính đến.

Từ góc nhìn đó, sự cân bằng không nằm ở việc chia đều tỷ trọng giữa kiểm soát và khuyến khích, mà ở chỗ tạo ra một hệ sinh thái quản lý linh hoạt, minh bạch và tương tác. Khi doanh nghiệp được trao không gian để thử nghiệm, chính quyền giữ vai trò định hướng và giám sát, còn người tiêu dùng được bảo vệ đúng mức, thì đổi mới sẽ không còn là rủi ro, mà trở thành động lực phát triển bền vững.

Phóng viên: Xin cảm ơn ông !