Trong hoạt động kinh doanh hiện đại, việc lưu trữ, phân tích và chia sẻ dữ liệu thông qua các nền tảng điện toán đám mây, công cụ AI hoặc hệ thống CRM đặt ở nước ngoài là phổ biến. Tuy nhiên, theo quy định mới từ Luật Dữ liệu số 60/2024/QH15 (có hiệu lực từ 01/7/2025) và Nghị định 13/2023/NĐ-CP (đã có hiệu lực từ 01/7/2023), hoạt động chuyển dữ liệu xuyên biên giới, đặc biệt là dữ liệu cá nhân bị siết chặt và kiểm soát chặt chẽ hơn.

Khung pháp lý điều chỉnh chuyển dữ liệu xuyên biên giới

1. Theo Luật Dữ liệu 2024:

Điều 23 quy định:

• Cho phép tự do chuyển dữ liệu từ nước ngoài về Việt Nam;
• Việc chuyển dữ liệu từ Việt Nam ra nước ngoài (bao gồm lưu trữ, xử lý, chia sẻ hoặc sử dụng nền tảng đặt ở nước ngoài) phải bảo đảm an ninh quốc gia, lợi ích công cộng, quyền của chủ thể dữ liệu và phù hợp với pháp luật Việt Nam và điều ước quốc tế.

Luật không yêu cầu thủ tục cụ thể nhưng đặt ra nguyên tắc pháp lý bắt buộc mà mọi bên xử lý dữ liệu xuyên biên giới phải tuân thủ.

2. Theo Nghị định 13/2023/NĐ-CP:

Điều 25 yêu cầu cụ thể đối với dữ liệu cá nhân của công dân Việt Nam:

• Phải lập Hồ sơ đánh giá tác động khi chuyển ra nước ngoài;
• Hồ sơ gồm các nội dung như: bên chuyển – bên nhận, mục đích, loại dữ liệu, phân tích rủi ro, biện pháp bảo vệ, sự đồng ý của chủ thể dữ liệu;
• Gửi hồ sơ tới Bộ Công an trong vòng 60 ngày kể từ khi xử lý;
• Cập nhật, bổ sung nếu có thay đổi và có trách nhiệm phối hợp kiểm tra, đánh giá;
• Có thể bị yêu cầu tạm ngừng chuyển dữ liệu nếu vi phạm các điều kiện về an ninh, bảo mật, bảo vệ chủ thể dữ liệu.

Các loại dữ liệu chịu điều chỉnh

Cả Luật Dữ liệu 2024 và Nghị định 13 cùng đề cập đến những loại dữ liệu đặc biệt nhạy cảm khi chuyển ra nước ngoài:

• Dữ liệu cá nhân: Bao gồm cả dữ liệu cơ bản (họ tên, số CCCD...) và dữ liệu nhạy cảm (sức khỏe, tài chính, vị trí, thói quen...).
• Dữ liệu cốt lõi và dữ liệu quan trọng (theo Luật Dữ liệu): Có ảnh hưởng đến an ninh quốc gia, quyền con người, lợi ích công cộng (ví dụ: dữ liệu dân cư, giao dịch ngân hàng, định danh quốc gia, cơ sở hạ tầng số…).

Doanh nghiệp xử lý dữ liệu hỗn hợp cần đánh giá xem dữ liệu đó có chứa yếu tố nhạy cảm hoặc cốt lõi, để áp dụng cơ chế bảo vệ phù hợp.

Trách nhiệm của doanh nghiệp (Bên chuyển dữ liệu)

Theo Luật Dữ liệu 2024:

• Bảo đảm việc xử lý dữ liệu xuyên biên giới không xâm phạm an ninh, lợi ích quốc gia hoặc quyền cá nhân;
• Tuân thủ đúng phạm vi khai thác, mục đích thu thập;
• Tôn trọng quyền phản đối, quyền thu hồi sự đồng ý của chủ thể dữ liệu (theo Điều 17, 18 của Luật Dữ liệu).

Theo Nghị định 13:

• Lập Hồ sơ đánh giá tác động và gửi Bộ Công an theo đúng mẫu;
• Xin sự đồng ý rõ ràng, đầy đủ từ chủ thể dữ liệu trước khi chuyển;
• Cập nhật hồ sơ khi có thay đổi và lưu trữ để phục vụ thanh tra;
• Có văn bản ràng buộc trách nhiệm với đối tác nước ngoài trong việc xử lý và bảo vệ dữ liệu.

Gợi ý hành động tuân thủ

Rà soát toàn bộ luồng xử lý và chuyển dữ liệu

Doanh nghiệp cần tiến hành rà soát toàn diện các luồng dữ liệu nội bộ, bao gồm cả dữ liệu thu thập, lưu trữ, xử lý và chia sẻ, để xác định liệu có dữ liệu nào đang được chuyển ra ngoài lãnh thổ Việt Nam. Những luồng điển hình cần kiểm tra gồm: lưu trữ trên nền tảng cloud quốc tế, trao đổi dữ liệu với công ty mẹ hoặc các đơn vị outsource kỹ thuật đặt tại nước ngoài. Đây là bước cơ bản để xác định phạm vi điều chỉnh của Luật Dữ liệu và Nghị định 13.

Phân loại dữ liệu theo quy định pháp luật

Doanh nghiệp nên áp dụng phân loại dữ liệu theo đúng quy định trong Luật Dữ liệu 2024 và Nghị định 13/2023/NĐ-CP. Các nhóm chính bao gồm:

• Dữ liệu cá nhân thông thường;
• Dữ liệu cá nhân nhạy cảm (sức khỏe, tài chính, vị trí...);
• Dữ liệu cốt lõi và dữ liệu quan trọng (liên quan đến an ninh, quốc phòng, hạ tầng số, nhân thân…).

Việc phân loại này giúp xác định trách nhiệm pháp lý tương ứng và các điều kiện cần bảo đảm trước khi chia sẻ hoặc chuyển dữ liệu ra nước ngoài.

Lập Hồ sơ đánh giá tác động theo Mẫu 06 của Nghị định 13

Nếu doanh nghiệp có hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, cần bắt buộc lập Hồ sơ đánh giá tác động theo Mẫu số 06 ban hành kèm theo Nghị định 13/2023/NĐ-CP. Hồ sơ phải mô tả đầy đủ mục đích chuyển, thông tin bên nhận, biện pháp bảo vệ, đánh giá rủi ro, và sự đồng ý của chủ thể dữ liệu. Đây là yêu cầu pháp lý bắt buộc và là cơ sở để chứng minh tính tuân thủ khi có thanh tra, kiểm tra từ Bộ Công an.

Soạn văn bản ràng buộc trách nhiệm với bên nhận dữ liệu

Việc chuyển dữ liệu ra nước ngoài phải đi kèm với cam kết trách nhiệm rõ ràng giữa bên chuyển và bên nhận. Doanh nghiệp nên soạn sẵn văn bản hợp đồng hoặc thỏa thuận bảo vệ dữ liệu (DPA: Data Processing Agreement) để quy định rõ nghĩa vụ bảo mật, giới hạn sử dụng dữ liệu và cơ chế xử lý sự cố. Đây cũng là một trong những tài liệu bắt buộc phải có trong Hồ sơ đánh giá tác động.

Cập nhật chính sách bảo mật và điều khoản sử dụng

Các chính sách bảo mật, điều khoản sử dụng, hoặc điều kiện giao dịch điện tử cần được cập nhật để phản ánh đúng quy định của Luật Dữ liệu 2024 và Nghị định 13/2023. Nội dung quan trọng bao gồm: cơ sở pháp lý thu thập dữ liệu, phạm vi sử dụng, quyền của chủ thể dữ liệu, cơ chế phản hồi – khiếu nại, và phương thức chuyển dữ liệu ra nước ngoài (nếu có).

Phối hợp với bộ phận kỹ thuật và bảo mật để bảo đảm an toàn dữ liệu

Cần phối hợp chặt chẽ với bộ phận kỹ thuật và an ninh mạng để triển khai biện pháp bảo vệ phù hợp, bao gồm mã hóa dữ liệu, kiểm soát truy cập, hệ thống sao lưu – phục hồi, giám sát xâm nhập và kịch bản ứng phó sự cố. Việc bảo vệ dữ liệu cá nhân và dữ liệu nhạy cảm là trách nhiệm chung liên ngành trong doanh nghiệp.