1. Bối cảnh và xu hướng quốc tế

    Năm 2011, việc Hội đồng Nhân quyền Liên Hợp Quốc thông qua Bộ Nguyên tắc Hướng dẫn về Kinh doanh và Nhân quyền (UNGPs) đã đánh dấu một cột mốc quan trọng.¹ Lần đầu tiên, một khuôn khổ được quốc tế đồng thuận đã xác định rõ “trách nhiệm tôn trọng nhân quyền của doanh nghiệp” song song với nghĩa vụ bảo vệ của nhà nước. Trọng tâm của UNGPs là khái niệm thẩm định nhân quyền (human rights due diligence), theo đó doanh nghiệp được kêu gọi chủ động nhận diện, ngăn ngừa, giảm thiểu và khắc phục các tác động tiêu cực đến nhân quyền trong hoạt động và chuỗi cung ứng của mình.²
    Song hành với UNGPs, Hướng dẫn của Tổ chức Hợp tác và Phát triển Kinh tế (OECD) dành cho doanh nghiệp đa quốc gia, với bản cập nhật gần nhất vào năm 2023,³ đã cụ thể hóa các nguyên tắc này thành hành động thực tiễn. Hướng dẫn của OECD không chỉ bao quát các lĩnh vực truyền thống như lao động và môi trường mà còn mở rộng sang các vấn đề của kỷ nguyên số. Đáng chú ý, bản cập nhật 2023 đã bổ sung các khuyến nghị về trách nhiệm của doanh nghiệp đối với tác động của công nghệ mới như trí tuệ nhân tạo (AI) và quản trị dữ liệu, khẳng định rằng hành vi kinh doanh có trách nhiệm (RBC) ngày nay bao gồm cả việc sử dụng công nghệ một cách có đạo đức.⁴ Các hướng dẫn chuyên ngành của OECD, như hướng dẫn về khoáng sản từ khu vực xung đột, đã trở thành tiêu chuẩn hữu ích cho nhiều ngành công nghiệp, đặc biệt là điện tử.⁵ Tuy nhiên, giai đoạn đầu thực thi các chuẩn mực này chủ yếu dựa trên tinh thần tự nguyện. Các vụ bê bối lớn trong chuỗi cung ứng toàn cầu, từ sập nhà máy Rana Plaza trong ngành dệt may đến lao động cưỡng bức trong ngành khai thác khoáng sản, đã cho thấy CSR tự nguyện là không đủ để tạo ra thay đổi mang tính hệ thống.⁶
    Chính sự thiếu hiệu quả của cơ chế tự nguyện đã thúc đẩy Liên minh Châu Âu (EU) đi đầu trong việc luật hóa các nghĩa vụ thẩm định. Hiện tượng này được gọi là “hiệu ứng Brussels”⁷: EU sử dụng sức mạnh của thị trường chung khổng lồ để thiết lập các tiêu chuẩn cao trong nội bộ, và sau đó “xuất khẩu” các tiêu chuẩn này ra toàn thế giới. Các công ty muốn kinh doanh với EU buộc phải tuân thủ các quy định của khối, bất kể họ có trụ sở ở đâu.
    Làn sóng pháp lý hóa bắt đầu với các quy định theo ngành như Quy chế Khoáng sản xung đột (hiệu lực 2021), yêu cầu các nhà nhập khẩu thiếc, tantalum, tungsten và vàng vào EU phải thực hiện thẩm định nguồn gốc. Bước ngoặt thực sự đến từ các luật pháp quốc gia. Pháp tiên phong với Luật “Nghĩa vụ cảnh giác” năm 2017. Tiếp đó, Đức, nền kinh tế lớn nhất châu Âu, đã ban hành Đạo luật về nghĩa vụ thẩm định chuỗi cung ứng (LkSG) vào năm 2021, có hiệu lực từ ngày 1 tháng 1 năm 2023.⁸ LkSG áp đặt các nghĩa vụ thẩm định cụ thể và chế tài nghiêm khắc (phạt tới 2% doanh thu toàn cầu) đối với các công ty lớn của Đức, tạo ra một cú hích mạnh mẽ.
    Để thống nhất sân chơi trên toàn EU, Ủy ban châu Âu đã đề xuất và cuối cùng đã ban hành Chỉ thị về Thẩm định Bền vững Doanh nghiệp (CSDDD) vào tháng 7 năm 2024.⁹ CSDDD không chỉ hài hòa hóa các quy định mà còn nâng cao tiêu chuẩn: mở rộng phạm vi áp dụng cho cả các công ty ngoài EU có doanh thu đáng kể tại thị trường này, bổ sung nghĩa vụ lập kế hoạch chuyển đổi khí hậu, và quan trọng nhất, yêu cầu các quốc gia thành viên phải thiết lập cơ chế trách nhiệm dân sự, cho phép nạn nhân khởi kiện đòi bồi thường thiệt hại.
    Đối với các doanh nghiệp Việt Nam, tác động của LkSG và CSDDD không đến trực tiếp từ văn bản luật mà thông qua một cơ chế gián tiếp nhưng không kém phần mạnh mẽ: đó là quan hệ hợp đồng. Các công ty Đức hay EU thuộc phạm vi điều chỉnh của các luật này sẽ chuyển các nghĩa vụ pháp lý của họ thành các yêu cầu hợp đồng đối với các nhà cung ứng. Điều này được gọi là “hiệu ứng Brussels” theo hợp đồng. Chẳng hạn như, một công ty Đức để giảm thiểu rủi ro pháp lý cho chính mình sẽ yêu cầu nhà cung ứng cấp một tại Việt Nam ký vào một bộ quy tắc ứng xử, cam kết tuân thủ các tiêu chuẩn về lao động và môi trường, đồng thời cho phép tiến hành kiểm toán. Nhà cung ứng Việt Nam này, để đáp ứng yêu cầu, lại phải áp đặt các tiêu chuẩn tương tự xuống các nhà cung ứng cấp hai của mình. Một chuỗi tuân thủ theo hợp đồng được hình thành, lan tỏa các tiêu chuẩn của EU xuống tận những mắt xích sâu nhất của chuỗi cung ứng, bất kể quy mô hay vị trí địa lý của doanh nghiệp.¹⁰ Do đó, dù về mặt pháp lý không bị ràng buộc, một doanh nghiệp vừa và nhỏ của Việt Nam nếu muốn duy trì đơn hàng từ khách hàng châu Âu sẽ phải chấp nhận các yêu cầu thẩm định này như một điều kiện kinh doanh không thể thiếu.
    Trong bối cảnh này, lĩnh vực kỹ thuật số, với chuỗi cung ứng toàn cầu hóa cao độ và các rủi ro xã hội ngày càng được chú ý, trở thành tâm điểm của sự giám sát. Các quy định thẩm định chung như LkSG và CSDDD được bổ trợ bởi luật khung liên quan tới kỹ thuật số của EU như DSA, AIA, NIS2, CRA,¹¹ tạo thành một mạng lưới pháp lý dày đặc, đòi hỏi các doanh nghiệp kỹ thuật số phải có một cách tiếp cận quản trị toàn diện và tích hợp.
2. Chuỗi cung ứng kỹ thuật số: Cấu trúc & rủi ro đặc thù
    Chuỗi cung ứng kỹ thuật số là một hệ thống phức hợp, có thể được phân tách thành ba lớp chính: phần cứng điện tử, phần mềm và dịch vụ đám mây, và nền tảng số. Mỗi lớp có một cấu trúc chuỗi giá trị và các rủi ro về RBC đặc thù. Việc áp dụng nguyên tắc thẩm định dựa trên rủi ro đòi hỏi doanh nghiệp phải nhận diện và ưu tiên xử lý các tác hại bất lợi nghiêm trọng nhất trong từng lớp chuỗi này.
    • Phần cứng điện tử: Rủi ro hữu hình từ khai khoáng đến thải bỏ
    Chuỗi cung ứng phần cứng là một mạng lưới toàn cầu, trải dài từ các mỏ khoáng sản ở thượng nguồn đến các nhà máy lắp ráp và cuối cùng là người tiêu dùng và khâu xử lý rác thải. Rủi ro đặc thù bao gồm:
    - Quyền của người lao động: Tại khâu thượng nguồn, rủi ro nghiêm trọng nhất là việc sử dụng khoáng sản xung đột (thiếc, tantalum, tungsten, vàng) và các khoáng sản khác như cobalt, vốn thường được khai thác trong điều kiện nguy hiểm, sử dụng lao động trẻ em và lao động cưỡng bức, đặc biệt tại các khu vực bất ổn chính trị. Lợi nhuận từ các hoạt động này có thể tài trợ cho các nhóm vũ trang, kéo dài xung đột. Ở khâu trung nguồn, tại các nhà máy sản xuất linh kiện và lắp ráp ở châu Á (bao gồm Việt Nam), các rủi ro phổ biến liên quan đến quyền của người lao động như giờ làm việc kéo dài quá mức quy định, lương không đủ sống, điều kiện an toàn lao động kém khi tiếp xúc với hóa chất độc hại, và hạn chế quyền tự do hiệp hội, thương lượng tập thể.¹²
    - Môi trường: Quá trình sản xuất phần cứng tiêu tốn nhiều tài nguyên và năng lượng, phát thải carbon lớn.¹³ Việc khai thác khoáng sản và sản xuất linh kiện bán dẫn tạo ra lượng lớn nước thải chứa hóa chất độc hại, có nguy cơ gây ô nhiễm nguồn nước và đất đai. Tại hạ nguồn, rác thải điện tử (e-waste) là một vấn nạn toàn cầu.¹⁴ Các thiết bị điện tử chứa kim loại nặng và chất độc hại, nếu không được xử lý đúng cách, sẽ gây ô nhiễm nghiêm trọng và ảnh hưởng đến sức khỏe cộng đồng.
    Các rủi ro này trực tiếp liên quan đến các quyền được bảo vệ trong LkSG và CSDDD, như cấm lao động trẻ em, cấm lao động cưỡng bức, quyền có môi trường làm việc an toàn và lành mạnh, và quyền được sống trong môi trường trong lành. Các quy định chuyên ngành như Quy chế Khoáng sản xung đột của EU¹⁵ và các tiêu chuẩn của ngành khác. Ngoài ra, nghĩa vụ lập kế hoạch chuyển đổi khí hậu trong CSDDD sẽ yêu cầu các công ty phải quản lý phát thải trong toàn bộ chuỗi cung ứng (Scope 3).¹⁶
    Doanh nghiệp trong chuỗi cung ứng phần cứng cần thực hiện thẩm định chuỗi cung ứng khoáng sản. Ví dụ như, Hướng dẫn của OECD yêu cầu nhà cung cấp đưa ra bằng chứng về nguồn gốc không xung đột. Đối với các nhà máy, cần tiến hành kiểm toán lao động định kỳ theo tiêu chuẩn RBA (Responsible Business Alliance) hoặc các chuẩn tương đương, giám sát chặt chẽ giờ làm việc và điều kiện an toàn. Về môi trường, doanh nghiệp cần tuân thủ các quy định về Trách nhiệm Mở rộng của Nhà sản xuất (EPR) như trong Luật Bảo vệ Môi trường 2020 của Việt Nam, đảm bảo sản phẩm được thu hồi và tái chế đúng cách.
    • Phần mềm và dịch vụ đám mây: Rủi ro vô hình về dữ liệu và an ninh
    Khác với phần cứng, chuỗi cung ứng phần mềm và dịch vụ đám mây mang tính phi vật chất, xuyên biên giới, với các rủi ro tập trung vào dữ liệu, an ninh mạng và các thuật toán. Rủi ro đặc thù có thể kể tới:
    - Quyền riêng tư và Dữ liệu cá nhân: Các phần mềm và dịch vụ đám mây thu thập, xử lý và lưu trữ lượng lớn dữ liệu cá nhân. Rủi ro vi phạm quyền riêng tư xảy ra khi dữ liệu bị thu thập, sử dụng sai mục đích, hoặc bị rò rỉ do các biện pháp bảo mật yếu kém. Việc thuê ngoài (outsourcing) các công đoạn phát triển phần mềm sang các quốc gia khác làm tăng rủi ro nếu nhà thầu phụ không tuân thủ các tiêu chuẩn bảo vệ dữ liệu nghiêm ngặt như GDPR của EU hay Nghị định 13/2023 (và Luật về bảo vệ dữ liệu cá nhân 2025) của Việt Nam.
    - An ninh mạng trong chuỗi cung ứng: Phần mềm hiện đại phụ thuộc nhiều vào các thành phần mã nguồn mở. Một lỗ hổng trong một thư viện mã nguồn mở có thể gây ảnh hưởng dây chuyền đến hàng triệu sản phẩm và dịch vụ, tạo ra nguy cơ tấn công chuỗi cung ứng phần mềm. Các cuộc tấn công này có thể dẫn đến mất dữ liệu, gián đoạn kinh doanh và xâm phạm an ninh quốc gia.
    - Thuật toán và Trí tuệ nhân tạo (AI): Các thuật toán, đặc biệt là hệ thống AI, có thể gây ra tác hại nếu được huấn luyện bằng dữ liệu thiên vị, dẫn đến phân biệt đối xử trong tuyển dụng, cho vay tín dụng, hoặc các lĩnh vực khác. Sự thiếu minh bạch trong cách hoạt động của thuật toán cũng là một rủi ro, ngăn cản việc giải trình và khắc phục khi có sai sót.
    Quyền riêng tư được công nhận là một quyền con người cơ bản, được bảo vệ bởi GDPR và pháp luật Việt Nam. Các đạo luật số của EU như NIS2 và CRA cũng đặt ra các nghĩa vụ cụ thể về quản lý rủi ro an ninh mạng, bao gồm cả rủi ro từ nhà cung cấp. Đạo luật AI (AIA) yêu cầu các hệ thống AI phân loại rủi ro, trong đó, nhóm “rủi ro cao” phải trải qua quy trình đánh giá và quản lý rủi ro nghiêm ngặt trước khi được đưa ra thị trường.
    Doanh nghiệp cần xây dựng hệ thống quản lý an ninh thông tin, thực hiện đánh giá tác động bảo vệ dữ liệu (DPIA) cho các dự án xử lý dữ liệu cá nhân. Để quản lý chuỗi cung ứng phần mềm, doanh nghiệp cần áp dụng các quy trình để theo dõi các thành phần mã nguồn mở, và kịp thời phản ứng, vá các lỗ hổng phần mềm.¹⁷ Đối với các sản phẩm AI, có thể cần thực hiện đánh giá tác động quyền con người và kiểm tra sự thiên vị của thuật toán.
    • Nền tảng số: Rủi ro trong mối quan hệ đa chiều
    Nền tảng số như sàn thương mại điện tử, ứng dụng gọi xe, mạng xã hội, có mô hình kinh doanh đặc thù, đóng vai trò trung gian kết nối nhiều bên. Trách nhiệm của họ không chỉ giới hạn ở hoạt động nội bộ mà còn mở rộng ra toàn bộ hệ sinh thái mà họ tạo ra. Rủi ro đặc thù của nhóm này bao gồm:
    - Quyền của người lao động nền tảng: Nhiều người lao động (tài xế, người giao hàng) làm việc thông qua các nền tảng nhưng thường được phân loại là “đối tác độc lập”, không có hợp đồng lao động, do đó thiếu các quyền lợi cơ bản như bảo hiểm xã hội, bảo hiểm tai nạn, và thu nhập ổn định. Áp lực từ thuật toán có thể khiến họ làm việc quá sức, đối mặt với rủi ro an toàn cao mà không được bảo vệ đầy đủ.
    - An toàn và quyền của người dùng: Người dùng nền tảng có thể đối mặt với các rủi ro như nội dung độc hại (tin giả, ngôn từ thù hận, lạm dụng trẻ em) trên mạng xã hội, hoặc các sản phẩm không an toàn, hàng giả trên các sàn thương mại điện tử. Việc nền tảng không có cơ chế kiểm duyệt và xử lý khiếu nại hiệu quả có thể gây tổn hại nghiêm trọng cho người tiêu dùng.¹⁸
    - Minh bạch thuật toán: Các thuật toán của nền tảng quyết định việc phân phối công việc, hiển thị nội dung, và định giá dịch vụ. Sự thiếu minh bạch có thể che giấu sự phân biệt đối xử hoặc các hành vi không công bằng, gây bất lợi cho cả người cung cấp dịch vụ và người dùng cuối.
    Các quyền lao động cơ bản được bảo vệ theo quy định của LkSG, CSDDD, và ngày càng có nhiều tranh luận pháp lý cho rằng các nền tảng phải có trách nhiệm đối với những người làm việc cho họ, dù không có hợp đồng lao động chính thức.¹⁹ DSA của EU đặt ra các nghĩa vụ rõ ràng cho các nền tảng trong việc kiểm soát nội dung, đánh giá rủi ro hệ thống, và tăng cường minh bạch thuật toán.
    Các công ty nền tảng cần thiết lập các chính sách đãi ngộ công bằng hơn cho người lao động, chẳng hạn như cung cấp bảo hiểm tai nạn và thiết lập cơ chế đối thoại, khiếu nại hiệu quả. Họ phải xây dựng quy trình kiểm duyệt nội dung và gỡ bỏ sản phẩm vi phạm một cách nhanh chóng và minh bạch. Đồng thời, cần công khai các nguyên tắc hoạt động của thuật toán và cung cấp cho người dùng nhiều quyền kiểm soát hơn đối với dữ liệu và nội dung họ thấy.

3. So sánh LkSG, CSDDD và Khung luật số của EU
    Để hiểu rõ các yêu cầu tuân thủ, việc so sánh Đạo luật LkSG của Đức và Chỉ thị CSDDD của EU là cần thiết. LkSG là luật quốc gia đã có hiệu lực, trong khi CSDDD là một chỉ thị khung của EU năm 2024 sẽ được các nước thành viên (bao gồm cả Đức) nội luật hóa trong những thời gian tới. Sự tương tác giữa hai văn bản này và các quy định trong lĩnh vực số của EU tạo thành một hệ sinh thái pháp lý phức hợp, giao thoa.
    Mặc dù cùng chung mục tiêu thúc đẩy kinh doanh có trách nhiệm trong chuỗi cung ứng, LkSG và CSDDD có những khác biệt quan trọng về phạm vi, nghĩa vụ và chế tài.
    - Đối tượng áp dụng: LkSG áp dụng cho các công ty có trụ sở hoặc chi nhánh tại Đức dựa trên ngưỡng nhân viên (từ năm 2024 là từ 1,000 nhân viên trở lên), không xét đến doanh thu. Ngược lại, CSDDD sử dụng cả hai tiêu chí là nhân viên và doanh thu thuần toàn cầu, với các ngưỡng áp dụng theo lộ trình từ năm 2028 đến 2030 (ví dụ, công ty có trên 1,000 nhân viên và doanh thu trên 450 triệu euro). Một điểm khác biệt lớn là CSDDD áp dụng trực tiếp cho cả các công ty ngoài EU nếu họ đạt ngưỡng doanh thu 450 triệu euro tại thị trường EU. Quy định này nhằm đảm bảo một sân chơi bình đẳng hơn.
    - Phạm vi chuỗi cung ứng: LkSG tập trung chủ yếu vào “chuỗi cung ứng” (supply chain), bao gồm hoạt động của chính công ty, nhà cung ứng trực tiếp và nhà cung ứng gián tiếp (nghĩa vụ với nhà cung ứng gián tiếp chỉ kích hoạt khi có thông tin cụ thể về vi phạm). CSDDD sử dụng thuật ngữ rộng hơn là “chuỗi giá trị” (value chain), bao hàm cả các hoạt động ở thượng nguồn (cung ứng) và hạ nguồn (phân phối, sử dụng và thải bỏ sản phẩm). Điều này có nghĩa là một công ty có thể phải chịu trách nhiệm thẩm định cả những rủi ro phát sinh khi khách hàng sử dụng sản phẩm của họ.
    - Nội dung nghĩa vụ: Cả hai đều yêu cầu một chu trình thẩm định dựa trên rủi ro, bao gồm các bước như: thiết lập hệ thống quản lý rủi ro, phân tích rủi ro, thực hiện các biện pháp phòng ngừa và khắc phục, thiết lập cơ chế khiếu nại, và báo cáo công khai. Tuy nhiên, CSDDD có hai bổ sung quan trọng không có trong LkSG hiện hành:
    o Nghĩa vụ về biến đổi khí hậu: Các công ty lớn phải xây dựng và thực thi một kế hoạch chuyển đổi khí hậu nhằm tuân thủ các mục tiêu của Thỏa thuận Paris.
    o Trách nhiệm của ban lãnh đạo: CSDDD nhấn mạnh vai trò của ban giám đốc trong việc giám sát và thực thi các nghĩa vụ thẩm định.
    - Trách nhiệm dân sự và chế tài: Đây là điểm khác biệt mang tính đột phá. LkSG không tạo ra một cơ sở pháp lý mới cho trách nhiệm dân sự; nạn nhân không thể trực tiếp kiện công ty Đức đòi bồi thường chỉ dựa trên việc vi phạm LkSG. Ngược lại, CSDDD yêu cầu tất cả các quốc gia thành viên phải thiết lập một cơ chế trách nhiệm dân sự. Theo đó, nếu một công ty không thực hiện đúng nghĩa vụ thẩm định và điều đó gây ra thiệt hại có thể ngăn ngừa được, nạn nhân có quyền khởi kiện đòi bồi thường. Về chế tài hành chính, mức phạt của CSDDD (lên tới 5% doanh thu toàn cầu) cũng có khả năng cao hơn LkSG (lên tới 2% doanh thu toàn cầu đối với công ty lớn).
    Trong tương lai, khi Đức nội luật hóa CSDDD, LkSG dự kiến sẽ được sửa đổi để bổ sung các yêu cầu về kế hoạch khí hậu và trách nhiệm dân sự, đồng thời có thể điều chỉnh các ngưỡng và mức phạt cho phù hợp.
    Các quy định thẩm định chuỗi cung ứng không tồn tại một cách biệt lập mà tương tác chặt chẽ với một bộ khung pháp lý số mà EU đã và đang xây dựng. Các đạo luật này cụ thể hóa nghĩa vụ thẩm định cho các rủi ro đặc thù của lĩnh vực kỹ thuật số.
    - Đạo luật Dịch vụ Kỹ thuật số: DSA yêu cầu các nền tảng trực tuyến, đặc biệt là các nền tảng rất lớn, phải thực hiện đánh giá và giảm thiểu rủi ro hệ thống hàng năm (ví dụ: rủi ro từ tin giả, nội dung bất hợp pháp). Quy trình này về bản chất là một hình thức thẩm định chuyên biệt về tác động xã hội của nền tảng, bổ sung cho các yêu cầu chung của CSDDD.
    - Đạo luật Trí tuệ nhân tạo: AI Act phân loại các hệ thống AI theo mức độ rủi ro và áp đặt các yêu cầu nghiêm ngặt đối với các hệ thống “rủi ro cao”. Các nhà phát triển phải thực hiện quản lý rủi ro, đảm bảo chất lượng dữ liệu huấn luyện, và duy trì tính minh bạch. Đây chính là việc thực hiện thẩm định nhân quyền ở cấp độ sản phẩm công nghệ, nhằm ngăn chặn các tác hại như phân biệt đối xử hay xâm phạm quyền riêng tư.
    - Chỉ thị An ninh mạng (NIS2) và Đạo luật An ninh mạng (CRA): NIS2 yêu cầu các nhà cung cấp dịch vụ số thiết yếu phải quản lý rủi ro an ninh mạng, bao gồm cả rủi ro từ chuỗi cung ứng công nghệ thông tin của họ. CRA đi xa hơn, lần đầu tiên đặt ra các yêu cầu bắt buộc về an toàn an ninh mạng cho vòng đời của các sản phẩm có kết nối mạng (phần cứng và phần mềm), ví dụ như yêu cầu cung cấp SBOM (Danh mục Thành phần Phần mềm). Việc tuân thủ các quy định này giúp doanh nghiệp đáp ứng khía cạnh an toàn sản phẩm và an ninh dữ liệu trong khuôn khổ thẩm định chung của CSDDD.
    Sự giao thoa này tạo ra một “mạng lưới tuân thủ” dày đặc. Một doanh nghiệp kỹ thuật số muốn kinh doanh tại EU không chỉ phải thẩm định các rủi ro lao động trong nhà máy mà còn phải thẩm định cả an ninh của mã nguồn mở, sự công bằng của thuật toán, và tác động của nội dung trên nền tảng của mình. Điều này đòi hỏi một cách tiếp cận quản trị rủi ro tích hợp, kết hợp chuyên môn về pháp lý, kỹ thuật và phát triển bền vững.
4. Tác động thương mại Việt Nam–EU, Đức và mức độ sẵn sàng của doanh nghiệp số
    Mức độ tác động của LkSG và CSDDD đối với Việt Nam được quyết định bởi quy mô và cấu trúc thương mại với EU và Đức. EU hiện là đối tác thương mại lớn thứ ba của Việt Nam, với kim ngạch xuất khẩu năm 2023 đạt khoảng 63 tỷ USD.²⁰ Trong khi đó, Đức là một trong những thị trường đơn lẻ quan trọng nhất trong khối, với kim ngạch xuất khẩu từ Việt Nam sang Đức đạt 8.9 tỷ USD vào năm 2022.²¹
    Điều đáng chú ý là cơ cấu hàng hóa xuất khẩu sang EU có tỷ trọng rất cao các sản phẩm kỹ thuật số. Nhóm hàng máy móc, thiết bị điện tử và phụ tùng (bao gồm điện thoại, máy tính, linh kiện) chiếm vị trí hàng đầu, ước tính chiếm gần 20% tổng giá trị xuất khẩu ngành chế tạo sang EU.²² Việt Nam đã trở thành một công xưởng lắp ráp điện tử toàn cầu, và EU là một trong những thị trường tiêu thụ chính.²³ Dịch vụ kỹ thuật số, như gia công phần mềm, cũng đang trên đà tăng trưởng.
    Hiệp định Thương mại Tự do Việt Nam-EU (EVFTA), có hiệu lực từ năm 2020, đã tạo ra những lợi thế về thuế quan. Tuy nhiên, các quy định về thẩm định chuỗi cung ứng đang nổi lên như một hàng rào phi thuế quan quan trọng. EU ngày càng lồng ghép các tiêu chí phát triển bền vững vào chính sách thương mại của mình. Do đó, việc tuân thủ các tiêu chuẩn về nhân quyền và môi trường không còn là một lựa chọn mà đã trở thành “giấy phép kinh doanh” để doanh nghiệp Việt Nam có thể tận dụng đầy đủ các cơ hội từ EVFTA và duy trì, mở rộng thị phần tại EU.
    Có thể thấy rằng, các quy định thẩm định bắt buộc chuỗi cung ứng ở châu Âu đặt ra những thách thức và cơ hội trực tiếp cho Việt Nam, một đối tác thương mại quan trọng của EU và là một trung tâm sản xuất kỹ thuật số đang nổi. Mức độ sẵn sàng của doanh nghiệp trong nước và quy mô giao thương song phương sẽ quyết định mức độ tác động của làn sóng pháp lý này.
    Hiện tại, một khoảng trống đáng kể về cả nhận thức và năng lực thực thi thẩm định chuỗi cung ứng đang tồn tại trong cộng đồng doanh nghiệp Việt Nam. Kinh doanh có trách nhiệm (RBC) mới được đưa vào chương trình nghị sự chính thức tại Việt Nam vài năm gần đây. Chính phủ đã phê duyệt Chương trình hành động quốc gia về hoàn thiện chính sách pháp luật thúc đẩy kinh doanh có trách nhiệm 2023–2027.²⁴ Tuy vậy, khái niệm “thẩm định dựa trên rủi ro” (risk-based due diligence) vẫn còn xa lạ với đa số doanh nghiệp. Một khảo sát do Phòng Thương mại và Công nghiệp Việt Nam (VCCI) thực hiện vào năm 2025 đã chỉ ra một thực tế đáng báo động: 59.3% doanh nghiệp xuất khẩu sang EU cho biết họ “chưa từng nghe về các quy định thẩm định chuỗi cung ứng”, và 36.6% chỉ “nghe nói nhưng không hiểu rõ”.²⁵ Chỉ một tỷ lệ rất nhỏ có sự hiểu biết và bắt đầu triển khai.
    Thực trạng này có sự phân hóa rõ rệt. Các tập đoàn đa quốc gia có vốn đầu tư nước ngoài (FDI) lớn trong ngành điện tử như Samsung hay Intel thường áp dụng các tiêu chuẩn toàn cầu của công ty mẹ, bao gồm các bộ quy tắc ứng xử như của RBA.²⁶ Do đó, họ và các nhà cung ứng cấp một của họ đã có kinh nghiệm nhất định trong việc tuân thủ các yêu cầu về lao động và môi trường. Tuy nhiên, đối với các doanh nghiệp Việt Nam, đặc biệt là các doanh nghiệp trong lĩnh vực phần mềm, dịch vụ CNTT và nền tảng số, hệ thống đánh giá rủi ro nhân quyền và môi trường trong chuỗi cung ứng gần như chưa được định hình rõ ràng. Các doanh nghiệp phần mềm thường tập trung vào chất lượng kỹ thuật và chứng chỉ bảo mật (như ISO 27001) mà ít chú ý đến các tác động quyền con người liên quan tới sản phẩm. Các nền tảng số nội địa cũng mới chỉ ở giai đoạn đầu thảo luận về quyền lợi của người lao động hợp đồng và trách nhiệm quản lý nội dung.
    Khoảng trống thể chế nội tại lộ rõ khi xảy ra sự cố. Ví dụ, năm 2019–2020, báo chí quốc tế phanh phui khả năng nguyên liệu silica trong pin mặt trời ở một quốc gia khác có lao động cưỡng bức²⁷; tuy nhiên, các công ty Việt Nam trong chuỗi cung ứng năng lượng mặt trời lúng túng, gặp khó trong việc cung cấp thông tin truy xuất nguồn gốc để chứng minh không liên quan. Tương tự, khi Hoa Kỳ siết nhập khẩu sản phẩm sử dụng lao động cưỡng bức năm 2021,²⁸ doanh nghiệp dệt may Việt Nam gặp khó khăn chứng minh bông nhập không có xuất xứ nơi liên quan do chưa có hệ thống truy xuất và thẩm định chuỗi cung ứng nguyên liệu.²⁹ Những bài học đó cảnh báo ngành điện tử cũng có thể đối mặt yêu cầu tương tự về truy xuất khoáng sản, vật liệu, và nếu không chuẩn bị từ sớm sẽ khó xoay sở khi có yêu cầu bất cứ lúc nào.
    Nguy cơ là hiện hữu khi các doanh nghiệp FDI có thể sẽ ưu tiên các nhà cung ứng đã sẵn sàng tuân thủ, dẫn đến một “sự phân hóa về tuân thủ” ngay trong nền kinh tế nội địa. Các doanh nghiệp Việt Nam không kịp thích ứng có nguy cơ bị loại khỏi không chỉ chuỗi cung ứng toàn cầu mà còn cả chuỗi cung ứng của các doanh nghiệp lớn ngay tại sân nhà. Từ đó, doanh nghiệp Việt Nam có thể đối mặt với các hậu quả như mất đơn hàng vào tay các đối thủ cạnh tranh tuân thủ tốt hơn, hoặc thậm chí đối mặt với các biện pháp cấm nhập khẩu đối với các sản phẩm có liên quan đến vi phạm nhân quyền nghiêm trọng.     Ngược lại, những doanh nghiệp chủ động thích ứng có thể biến tuân thủ thành một lợi thế cạnh tranh. Trong bối cảnh các công ty châu Âu đang tìm cách đa dạng hóa chuỗi cung ứng (xu hướng “China+1”),30 việc chứng minh mình là một đối tác “đáng tin cậy” và “có trách nhiệm” sẽ là một điểm cộng lớn, giúp doanh nghiệp Việt Nam thu hút các hợp đồng giá trị cao và tham gia sâu hơn vào chuỗi giá trị toàn cầu.
5. Gợi mở cho Việt Nam
    Để đối mặt với các yêu cầu mới, cả doanh nghiệp và nhà hoạch định chính sách Việt Nam cần có một chiến lược chủ động và phối hợp. Đối với doanh nghiệp, đó là việc xây dựng một hệ thống thẩm định nội bộ hiệu quả. Đối với chính phủ, đó là việc tạo ra một môi trường chính sách hỗ trợ theo định hướng hài hòa. Dựa trên chu trình thẩm định được quy định trong LkSG và hướng dẫn của Cục Quản lý kinh tế và kiểm soát xuất khẩu Liên bang (BAFA) – một cơ quan thuộc Bộ Kinh tế Đức – nhiệm vụ giám sát tuân thủ, doanh nghiệp Việt Nam có thể triển khai một lộ trình 6 bước để xây dựng năng lực tuân thủ:
    - Bước 1: Cam kết và thiết lập chính sách
    o Ban lãnh đạo cần thể hiện cam kết rõ ràng bằng cách ban hành một Tuyên bố Chính sách về nhân quyền và môi trường. Chính sách này cần được ký bởi cấp quản lý cao nhất và truyền thông rộng rãi.
    o Chỉ định một cá nhân hoặc một bộ phận chịu trách nhiệm giám sát việc thực thi và xây dựng các bộ quy tắc ứng xử cho nhân viên và nhà cung ứng.
    - Bước 2: Phân tích rủi ro
    o Doanh nghiệp phải tiến hành đánh giá rủi ro định kỳ (ít nhất mỗi năm một lần) để xác định các tác động bất lợi tiềm tàng và hiện hữu trong hoạt động và chuỗi cung ứng của mình. Quá trình này bao gồm việc lập bản đồ chuỗi cung ứng, xác định các khu vực hoặc nhà cung ứng có rủi ro cao, và ưu tiên các rủi ro dựa trên mức độ nghiêm trọng.
     Ví dụ cho công ty phần cứng: Phân tích nguy cơ sử dụng thiếc từ các khu vực xung đột và rủi ro về an toàn lao động (tiếp xúc hóa chất) tại nhà máy.
     Ví dụ cho công ty phần mềm: Đánh giá rủi ro vi phạm dữ liệu cá nhân của khách hàng EU và lỗ hổng bảo mật từ các thư viện mã nguồn mở.
     Ví dụ cho công ty nền tảng: Phân tích rủi ro về điều kiện làm việc của tài xế và an toàn sản phẩm trên sàn thương mại điện tử.
    - Bước 3: Thực hiện biện pháp phòng ngừa và khắc phục
    o Dựa trên kết quả phân tích rủi ro, doanh nghiệp phải triển khai các biện pháp cụ thể. Đối với rủi ro nội bộ, có thể là cải thiện an toàn lao động hoặc tăng cường bảo mật dữ liệu. Đối với rủi ro từ nhà cung ứng, các biện pháp bao gồm yêu cầu tuân thủ quy tắc ứng xử, tiến hành kiểm toán, và hỗ trợ họ cải thiện. Việc chấm dứt quan hệ kinh doanh chỉ nên là giải pháp cuối cùng.
    - Bước 4: Lồng ghép vào hợp đồng
    o Các yêu cầu về thẩm định cần được thể chế hóa thông qua các điều khoản hợp đồng ràng buộc với nhà cung ứng. Hợp đồng nên bao gồm các quy tắc ứng xử, quyền được kiểm toán của bên mua, và các chế tài rõ ràng trong trường hợp vi phạm.
    - Bước 5: Thiết lập cơ chế khiếu nại
    o Doanh nghiệp phải thiết lập một cơ chế khiếu nại hiệu quả, dễ tiếp cận và an toàn cho cả người lao động của mình và các bên liên quan trong chuỗi cung ứng. Kênh khiếu nại giúp phát hiện sớm các rủi ro và là một yêu cầu bắt buộc theo quy định của LkSG.
    - Bước 6: Báo cáo và cải tiến liên tục:
    o Doanh nghiệp cần lập báo cáo công khai hàng năm về các nỗ lực thẩm định của mình, bao gồm các rủi ro đã xác định, các biện pháp đã thực hiện và hiệu quả của chúng.
    o Thẩm định là một quá trình liên tục, đòi hỏi phải giám sát, đánh giá và cải tiến không ngừng.
    Để hỗ trợ doanh nghiệp, Chính phủ Việt Nam cần có các chính sách mang tính dẫn dắt và tạo điều kiện. Chiến lược hài hòa không có nghĩa là sao chép luật của EU, mà là chủ động điều chỉnh khung pháp lý và chính sách trong nước để tiệm cận các chuẩn mực quốc tế, giúp doanh nghiệp tuân thủ dễ dàng và ít tốn kém hơn.
    - Ban hành Hướng dẫn ngành và hỗ trợ, đặc biệt là cho các SMEs: Các cơ quan quản lý nhà nước cần phối hợp xây dựng và phổ biến các bộ hướng dẫn thực hành thẩm định chuỗi cung ứng dành riêng cho ngành ICT. Cần có các công cụ đơn giản hóa và chương trình hỗ trợ kỹ thuật, tài chính đặc thù cho các doanh nghiệp vừa và nhỏ, vốn là đối tượng dễ bị tổn thương nhất.
    - Thúc đẩy liên thông và hoàn thiện pháp luật: Cần rà soát và tăng cường sự liên thông giữa các quy định pháp luật hiện hành. Ví dụ, việc thực thi hiệu quả Luật về bảo vệ dữ liệu cá nhân, Luật An ninh mạng 2018, và các quy định về EPR trong Luật Bảo vệ Môi trường 2020 sẽ tạo ra một nền tảng tuân thủ vững chắc cho doanh nghiệp. Về lâu dài, cần nghiên cứu hoàn thiện Bộ luật Lao động để bảo vệ tốt hơn cho các nhóm lao động phi chính thức, bao gồm lao động trên các nền tảng số.
    - Lồng ghép tiêu chí RBC vào chính sách công: Các tiêu chí về RBC nên được tích hợp vào các chính sách khác như mua sắm công, xúc tiến thương mại và thu hút đầu tư. Việc ưu tiên các doanh nghiệp có thành tích tốt về RBC sẽ tạo ra một động lực thị trường mạnh mẽ, khuyến khích sự thay đổi trên diện rộng.
    - Tăng cường hợp tác quốc tế: Việt Nam nên chủ động sử dụng các cơ chế đối thoại trong khuôn khổ EVFTA để trao đổi thông tin, tìm kiếm hỗ trợ kỹ thuật từ EU, và đảm bảo rằng việc thực thi các quy định mới không tạo ra các rào cản thương
mại bất hợp lý.
6. Kết luận
    Sự ra đời của các đạo luật thẩm định chuỗi cung ứng bắt buộc tại châu Âu không phải là một xu hướng nhất thời, mà là sự định hình của một tiêu chuẩn mới trong thương mại toàn cầu. Đối với lĩnh vực kỹ thuật số của Việt Nam, vốn hội nhập sâu rộng vào các chuỗi giá trị quốc tế, việc thích ứng với tiêu chuẩn này không còn là một lựa chọn mà là một yêu cầu sống còn. Việc phớt lờ các quy định như LkSG và CSDDD sẽ dẫn đến nguy cơ mất thị phần tại các thị trường xuất khẩu quan trọng nhất, làm xói mòn những lợi ích mà các hiệp định thương mại như EVFTA mang lại.
    Quá trình chuyển đổi để đáp ứng các yêu cầu thẩm định chắc chắn sẽ đòi hỏi sự đầu tư về thời gian, nguồn lực và thay đổi trong tư duy quản trị của doanh nghiệp. Tuy nhiên, thay vì nhìn nhận đây là một gánh nặng chi phí, cần phải có một tầm nhìn chiến lược, coi đây là một khoản đầu tư thiết yếu vào năng lực cạnh tranh và sự bền vững dài hạn. Một doanh nghiệp có hệ thống quản trị chuỗi cung ứng minh bạch và có trách nhiệm sẽ giảm thiểu được các rủi ro về pháp lý và vận hành, nâng cao uy tín thương hiệu, và trở nên hấp dẫn hơn trong mắt các đối tác và nhà đầu tư quốc tế.
    Trong bối cảnh các tập đoàn đa quốc gia đang tái cấu trúc chuỗi cung ứng để tăng cường khả năng chống chịu và đa dạng hóa nguồn cung, việc Việt Nam chứng tỏ mình là một điểm đến sản xuất và cung ứng dịch vụ “đáng tin cậy” về cả chất lượng và đạo đức sẽ tạo ra một lợi thế cạnh tranh vô giá. “Hiệu ứng Brussels” theo hợp đồng có thể trở thành lợi thế nếu doanh nghiệp Việt Nam có thể đáp ứng và thậm chí vượt qua các tiêu chuẩn của EU, biến việc tuân thủ thành một tấm vé ưu tiên để tham gia vào các phân khúc có giá trị gia tăng cao hơn.
    Để hiện thực hóa viễn cảnh này, cần có một nỗ lực chung và đồng bộ. Doanh nghiệp phải chủ động chuyển đổi, xem thẩm định chuỗi cung ứng là một phần cốt lõi của chiến lược kinh doanh. Nhà nước cần đóng vai trò kiến tạo, cung cấp một khung chính sách hỗ trợ, hài hòa và có tính định hướng. Sự hợp tác chặt chẽ giữa khu vực công và tư sẽ là chìa khóa để Việt Nam không chỉ vượt qua thách thức mà còn nắm bắt cơ hội, xây dựng một nền kinh tế số phát triển bao trùm, bền vững và có trách nhiệm./.

(TS. Nguyễn Tiến Đức, Viện Nhà nước và Pháp luật)

Chú thích:

¹ United Nations News, “UN Human Rights Council Endorses Guiding Principles on Business Conduct,” UN News, 16 June 2011, https://news.un.org/en/story/2011/06/378662.

² UNGPs, Pillar II: The Corporate Responsibility to Respect Human Rights.
³ OECD, Guidelines for Multinational Enterprises on Responsible Business Conduct (Paris: OECD Publishing, 2023), https://www.oecd.org/content/dam/oecd/en/publications/reports/2023/06/oecd- guidelines-for-multinational-enterprises-on-responsible-business-conduct_a0b49990/81f92357-en.pdf.
⁴ Ibid, Section IX.
⁵ OECD, Due Diligence Guidance for Responsible Supply Chains of Minerals from Conflict-Affected andHigh-RiskAreas(Paris:OECDPublishing,2016), https://www.oecd.org/content/dam/oecd/en/publications/reports/2016/04/oecd-due-diligence-
guidance-for-responsible-supply-chains-of-minerals-from-conflict-affected-and-high-risk- areas_g1g65996/9789264252479-en.pdf
⁶ Radu Mares, ‘Corporate Transparency Regulations: A Hollow Victory?’ (2018) 36 Netherlands
Quarterly of Human Rights 189.
⁷ Anu Bradford, The Brussels Effect: How the European Union Rules the World (New York: Oxford University Press, 2020).

⁸ LkSG [German Act on Due Diligence in Supply Chains] 2021.
⁹ CSDDD [Directive (EU) 2024/1760 of the European Parliament and of the Council of 13 June 2024 on corporate sustainability due diligence] 2024.

¹⁰ Anu Bradford, “The Brussels Effect”, 184.
¹¹ Digital Services Act [Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC] 2022; Artificial Intelligence Act [Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence] 2024; NIS2 [Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union] 2022; Cyber Resilience Act [Regulation (EU) 2024/2847 of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) No 2019/1020 and Directive (EU) 2020/1828] 2020.

¹² ILO, Viet Nam’s Electronics Supply Chain: Decent Work Challenges and Opportunities (Geneva: International Labour Office, 2022), https://www.ilo.org/sites/default/files/wcmsp5/groups/public/%40ed_dialogue/%40sector/documents/p ublication/wcms_865520.pdf.
¹³ Intergovernmental Panel on Climate Change (IPCC), 2006 IPCC Guidelines for National Greenhouse Gas Inventories, Volume 3: Industrial Processes and Product Use, Chapter 6 – Electronics Industry (Hayama: Institute for Global Environmental Strategies, 2006), https://www.ipcc- nggip.iges.or.jp/public/2006gl/pdf/3_Volume3/V3_6_Ch6_Electronics_Industry.pdf.
¹⁴ United Nations Environment Programme (UNEP), “As Electronic Waste Surges, Countries Look for Answers,” News & Stories, 13 March 2025, https://www.unep.org/news-and-stories/story/electronic- waste-surges-countries-look-answers
¹⁵ Regulation (EU) 2017/821 of the European Parliament and of the Council of 17 May 2017 laying down supply chain due diligence obligations for Union importers of tin, tantalum and tungsten, their ores, and gold originating from conflict-affected and high-risk areas.

¹⁶ CSDDD Article 22(1).

¹⁷ Council of the European Union, “Cyber Resilience Act: Council Adopts New Law on Security RequirementsforDigitalProducts,”PressRelease,10October2024, https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/cyber-resilience-act-council- adopts-new-law-on-security-requirements-for-digital-products

¹⁸ VNS, “Supply Chain Due Diligence Advised in EU Market: VCCI,” Vietnam News, 22 October 2025, https://vietnamnews.vn/economy/1727758/supply-chain-due-diligence-advised-in-eu-market-vcci.htm.

¹⁹ Valerio De Stefano and Antonio Aloisi, ‘Chapter 19: Fundamental Labour Rights, Platform Work and Human Rights Protection of Non-Standard Workers’, in J R Bellace and B ter Haar (eds), Labour, Business and Human Rights Law (Cheltenham: Edward Elgar Publishing, 2019) 359–379; Graciela Bensusán and Héctor Santos, “Chapter 10: Digital Platform Work in Latin America: Challenges and Perspectives for Its Regulation,” in Political Science and Public Policy (Cheltenham: Edward Elgar Publishing, 2021), pp. 236–260.

²⁰TradeEconomics,EU–VietnamTradeUpdate–August2024(August2024), https://tradeeconomics.com/tocaqit/uploads/EU-Vietnam-Trade- Update_08.2024.pdf#:~:text=increased%20by%208.4,products%2C%20electronics%2C%20and%20f ood%20products.
²¹ WTO Center, “Vietnam’s Exports of Goods to Several Major European Markets in 2022” [Xuất khẩu hàng hóa của Việt Nam tới một số thị trường lớn châu Âu năm 2022], WTO Center – Vietnam (3 February 2023), https://wtocenter.vn/chuyen-de/21268-vietnams-exports-of-goods-to-several-major- european-markets-in- 2022#:~:text=According%20to%20the%20statistics%20figures,6%20billion%20USD.

²² Phan Thanh Hoan and Duong Thi Dieu My, “The Determinants of Vietnam’s Information and Communication Technologies Exports to the European Union,” Foreign Trade Review 57, no. 2 (2022): 148–159.
²³ Ibid.
²⁴ Quyết định số 843/QĐ-TTg của Thủ tướng Chính phủ: Ban hành Chương trình hành động quốc gia hoàn thiện chính sách và pháp luật nhằm thúc đẩy thực hành kinh doanh có trách nhiệm tại Việt Nam giai đoạn 2023 – 2027.

²⁵ VNS, “Supply Chain Due Diligence Advised in EU Market: VCCI”.
²⁶ Responsible Business Alliance, “Members,” Responsible Business Alliance, accessed 29 October
2025, https://www.responsiblebusiness.org/about/members/.
²⁷ Business & Human Rights Resource Centre, “USA Bans Imports of Silica-Based Solar Materials from China’s Hoshine Silicon Industry Co Due to Forced Labour Concerns,” Business & Human Rights (25 June 2021), https://www.business-humanrights.org/en/latest-news/usa-bans-imports-of-silica-based- solar-materials-from-chinas-hoshine-silicon-industry-co-due-to-forced-labour-concerns/.
²⁸ Raj Bhala, “The Forced Labor Revolution in U.S. International Trade Law.” SSRN, 2024.
https://papers.ssrn.com/sol3/Delivery.cfm/4964262.pdf?abstractid=4964262
²⁹ Dương Văn Học, “Bông sợi và lao động cưỡng bức: Cảnh báo cho hàng dệt may Việt Nam” [“Cotton and forced labour: Alert for Vietnam’s textile and garment sector”], Kinh tế Sài Gòn Online, 30 May 2021.

³⁰ European Commission, “EU–China Trade Relations” [“Mối quan hệ thương mại EU–Trung Quốc”], EU Trade Policy (accessed 29 October 2025), https://policy.trade.ec.europa.eu/eu-trade-relationships- country-and-region/countries-and- regions/china_en#:~:text=The%20EU%20is%20committed%20to,which%20the%20most%20importa nt%20are.