Chuyển dữ liệu cá nhân xuyên biên giới

Trong bối cảnh toàn cầu hóa và chuyển đổi số, hoạt động chuyển dữ liệu cá nhân xuyên biên giới ngày càng phổ biến, đặc biệt đối với các doanh nghiệp FDI, doanh nghiệp công nghệ, thương mại điện tử, tài chính – ngân hàng và các tập đoàn đa quốc gia.

Nhằm kiểm soát rủi ro xâm phạm quyền riêng tư và bảo đảm an ninh dữ liệu, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (Luật BVDLCN) và Nghị định 356/2025/NĐ-CP ngày 31/12/2025 Quy định chi tiết một số điều và biện pháp thi hành Luật BVDLCN (Nghị định 356) chính thức có hiệu lực ngày 01/01/2026 đã thiết lập một khuôn khổ pháp lý tương đối chặt chẽ đối với hoạt động này.

Bài viết dưới đây phân tích các nội dung cốt lõi liên quan đến chuyển dữ liệu cá nhân xuyên biên giới mà doanh nghiệp cần đặc biệt lưu ý khi tuân thủ pháp luật Việt Nam.

Chuyển dữ liệu cá nhân xuyên biên giới là gì?

Chuyển dữ liệu cá nhân xuyên biên giới có thể được hiểu là việc đưa dữ liệu cá nhân của công dân Việt Nam ra ngoài lãnh thổ Việt Nam dưới bất kỳ hình thức nào. Hoạt động này không chỉ bao gồm việc truyền, gửi dữ liệu trực tiếp ra nước ngoài mà còn bao gồm các trường hợp truy cập, khai thác, xử lý dữ liệu từ nước ngoài thông qua hệ thống công nghệ thông tin, nền tảng điện toán đám mây hoặc máy chủ đặt ngoài lãnh thổ Việt Nam.

Trên thực tế, các hoạt động phổ biến như sử dụng hệ thống quản lý nhân sự (HRM) tập đoàn mẹ, lưu trữ dữ liệu trên Google Cloud, AWS, Azure hoặc chia sẻ dữ liệu khách hàng với đối tác nước ngoài đều có thể được xem là chuyển dữ liệu cá nhân xuyên biên giới và phải tuân thủ các điều kiện pháp luật tương ứng.

Chuyển dữ liệu cá nhân xuyên biên giới theo pháp luật Việt Nam
Chuyển dữ liệu cá nhân xuyên biên giới theo pháp luật Việt Nam

Điều kiện thực hiện chuyển dữ liệu cá nhân xuyên biên giới

Theo quy định hiện hành, để được coi là hợp pháp, bên chuyển dữ liệu phải đáp ứng những điều kiện chính sau đây:

  • Việc chuyển dữ liệu phải nằm trong các trường hợp được pháp luật cho phép hoặc không bị cấm;
  • Bên chuyển dữ liệu phải chuẩn bị và nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định tại Điều 18 Nghị định 356;
  • Đảm bảo rằng mục đích, phạm vi, loại dữ liệu chuyển và biện pháp bảo vệ dữ liệu tuân thủ đúng nguyên tắc pháp luật về bảo vệ dữ liệu cá nhân;
  • Trong trường hợp dữ liệu bị phát hiện gây nguy hại đến an ninh quốc gia hoặc an ninh mạng, cơ quan quản lý có quyền yêu cầu tạm dừng chuyển dữ liệu.

Những điều kiện này giúp đảm bảo hoạt động chuyển dữ liệu không gây xâm hại quyền riêng tư của người dùng và phù hợp với mục tiêu bảo vệ dữ liệu của Việt Nam.

Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới

Trước khi tiến hành chuyển dữ liệu cá nhân ra nước ngoài, bên chuyển dữ liệu phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Điều 18 Nghị định 356. Hồ sơ này có ý nghĩa then chốt trong việc chứng minh tuân thủ và đánh giá rủi ro từ hoạt động chuyển dữ liệu.

Nội dung chính của hồ sơ bao gồm:

  • Báo cáo đánh giá tác động theo Mẫu số 09 (theo Phụ lục của Nghị định 356);
  • Bản sao hợp đồng hoặc văn bản thỏa thuận về chuyển dữ liệu cá nhân xuyên biên giới, thể hiện trách nhiệm giữa các bên tham gia chuyển và nhận dữ liệu;
  • Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

Hồ sơ này phải được lưu giữ sẵn sàng để phục vụ việc kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu và cập nhật kịp thời nếu có thay đổi liên quan đến mục đích chuyển dữ liệu hay bên nhận dữ liệu.

Thủ tục đánh giá tác động chuyển dữ liệu xuyên biên giới

Luật BVDLCN và Nghị định 356 quy định rõ ràng thủ tục nộp hồ sơ và quy trình đánh giá tác động chuyển dữ liệu xuyên biên giới:

  • Bên chuyển dữ liệu lập hồ sơ đánh giá tác động theo mẫu quy định và chuẩn bị đầy đủ tài liệu liên quan;
  • Hồ sơ phải được nộp cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân thông qua hệ thống trực tuyến, trực tiếp hoặc qua dịch vụ bưu chính trong thời hạn 60 ngày kể từ ngày tiến hành chuyển dữ liệu cá nhân xuyên biên giới. Mặc dù vậy, Công ty Luật Siglaw khuyến nghị doanh nghiệp nên hoàn thiện Hồ sơ đánh giá tác động (TIA) trước khi bắt đầu luồng chuyển dữ liệu để đảm bảo an toàn pháp lý khi có rủi ro phát sinh trong quá trình xử lý dữ liệu
  • Cơ quan chuyên trách bảo vệ dữ liệu sẽ xem xét và đưa ra kết quả đánh giá trong thời hạn 15 ngày kể từ khi nhận hồ sơ đầy đủ và hợp lệ;
  • Trong trường hợp hồ sơ chưa đầy đủ và đúng quy định, cơ quan có thẩm quyền yêu cầu hoàn thiện hồ sơ trong thời hạn 30 ngày trước khi đưa ra quyết định cuối cùng.

Việc tuân thủ đúng quy trình giúp doanh nghiệp giảm thiểu rủi ro pháp lý và tránh các xử phạt do vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới.

So sánh với một số quy định chuyển dữ liệu xuyên biên giới trong khu vực ASEAN

Chuyển dữ liệu cá nhân xuyên biên giới không chỉ là chủ đề pháp lý tại Việt Nam mà còn là trọng tâm của nhiều nền pháp luật bảo vệ dữ liệu ở khu vực ASEAN. Mỗi quốc gia có cách tiếp cận và yêu cầu khác nhau, nhưng đều hướng đến cùng một mục tiêu là bảo đảm quyền riêng tư và an toàn dữ liệu.

Tại Singapore, Luật Bảo vệ dữ liệu cá nhân (PDPA) cho phép chuyển dữ liệu ra nước ngoài nếu bên nhận dữ liệu bảo đảm mức độ bảo vệ không thấp hơn tiêu chuẩn của Singapore.

Trong thực tiễn, doanh nghiệp thường áp dụng các biện pháp bảo vệ phù hợp như quy tắc ràng buộc nội bộ (Binding Corporate Rules), hợp đồng tiêu chuẩn (Standard Contractual Clauses) hoặc Quy tắc Bảo mật Xuyên biên giới (CBPR) của Diễn đàn Hợp tác Kinh tế Châu Á – Thái Bình Dương (APEC) để chuyển dữ liệu an toàn. So với Việt Nam, Singapore áp dụng cơ chế quản lý linh hoạt hơn, mà chủ yếu dựa trên trách nhiệm tự tuân thủ và tự chịu trách nhiệm của doanh nghiệp.

Tại Malaysia, việc chuyển dữ liệu cá nhân xuyên biên giới được hướng dẫn cụ thể tại Hướng dẫn Bảo vệ dữ liệu cá nhân số 3/2025 về chuyển dữ liệu cá nhân xuyên biên giới (CBPDT), ban hành ngày 29/4/2025.

Theo đó, dữ liệu cá nhân có thể được chuyển ra nước ngoài nếu đáp ứng các căn cứ hợp pháp theo Điều 129 Luật Bảo vệ dữ liệu cá nhân Malaysia, bao gồm chuyển đến quốc gia có mức độ bảo vệ tương đương, có sự đồng ý rõ ràng của chủ thể dữ liệu hoặc áp dụng các biện pháp bảo vệ phù hợp như quy tắc ràng buộc nội bộ hoặc điều khoản hợp đồng tiêu chuẩn.

Tại Indonesia, Luật Bảo vệ dữ liệu cá nhân số 27 năm 2022 quy định việc chuyển dữ liệu cá nhân xuyên biên giới theo Điều 56, theo đó dữ liệu có thể được chuyển sang quốc gia có mức độ bảo vệ tương đương, áp dụng biện pháp bảo vệ phù hợp hoặc có sự đồng ý rõ ràng của chủ thể dữ liệu.

Tuy nhiên, trên thực tế Indonesia áp dụng cách tiếp cận thận trọng hơn thông qua cơ chế quản lý hành chính và vai trò giám sát chặt chẽ của cơ quan nhà nước, khiến doanh nghiệp có thể phải thực hiện nghĩa vụ thông báo hoặc tuân thủ yêu cầu chấp thuận theo các quy định triển khai dưới luật, khác với mô hình tự đánh giá và tự chịu trách nhiệm phổ biến tại Malaysia và Singapore.

So với các quốc gia trong khu vực, Việt Nam đang xây dựng một mô hình quản lý chuyển dữ liệu cá nhân xuyên biên giới theo hướng dung hòa giữa bảo vệ quyền riêng tư và tạo điều kiện cho hoạt động kinh doanh, đầu tư.

Quy định của Việt Nam không quá “mở” như Singapore, cũng không quá “đóng” như Indonesia, mà đặt trọng tâm vào trách nhiệm tuân thủ liên tục của doanh nghiệp thông qua hồ sơ đánh giá tác động và cơ chế hậu kiểm. Điều này đòi hỏi doanh nghiệp, đặc biệt là doanh nghiệp FDI, doanh nghiệp công nghệ và các tập đoàn đa quốc gia sử dụng hệ thống HRM, cloud hoặc trung tâm dữ liệu ở nước ngoài, phải chủ động xây dựng chiến lược tuân thủ dài hạn ngay từ khi thiết kế hệ thống xử lý dữ liệu.

Chuyển dữ liệu cá nhân xuyên biên giới là hoạt động tất yếu trong quá trình hội nhập và phát triển của doanh nghiệp, nhưng đồng thời cũng tiềm ẩn nhiều rủi ro pháp lý nếu không được thực hiện đúng quy định. Luật BVDLCN và Nghị định 356 đã đặt ra các yêu cầu tuân thủ rõ ràng, đòi hỏi doanh nghiệp phải chủ động rà soát, đánh giá và hoàn thiện cơ chế quản trị dữ liệu cá nhân của mình.

Với kinh nghiệm tư vấn pháp lý cho doanh nghiệp trong và ngoài nước, Công ty Luật Siglaw cung cấp dịch vụ tư vấn toàn diện về chuyển dữ liệu cá nhân xuyên biên giới, bao gồm đánh giá tác động xử lý dữ liệu, xây dựng hồ sơ chuyển dữ liệu, rà soát hợp đồng với đối tác nước ngoài và hỗ trợ làm việc với cơ quan nhà nước có thẩm quyền.

Công ty Luật Siglaw sẵn sàng đồng hành cùng doanh nghiệp trong việc bảo đảm tuân thủ pháp luật và vận hành hoạt động kinh doanh một cách an toàn, bền vững.

Liên hệ ngay để được tư vấn miễn phí ban đầu từ đội ngũ chuyên viên pháp lý giàu kinh nghiệm của Công ty Luật Siglaw.

Trụ sở chính tại Tp. Hà Nội: Số 44/A32 – NV13, Khu A Geleximco, Đường Lê Trọng Tấn, Phường Tây Mỗ, Tp. Hà Nội.

Email: vphn@siglaw.com.vn

Chi nhánh tại miền Nam: Số 103 – 105, Đường Nguyễn Đình Chiểu, Phường Xuân Hòa, Tp. Hồ Chí Minh.

Email: vphcm@siglaw.com.vn

Chi nhánh tại miền Trung: VIFC DN – Tòa nhà ICT Công viên Phần mềm số 2, Đường Như Nguyệt, Phường Hải Châu, Đà Nẵng.

Hotline: 0961 366 238

Facebook: https://www.facebook.com/hangluatSiglaw

Mục Lục

Dịch vụ liên quan

Liên hệ Siglaw

Bài viết liên quan

Tận dụng ưu đãi tại khu thương mại tự do Đà Nẵng

Trung tâm thương mại tự do (FTZ)

Các loại thuế đối với doanh nghiệp trong IFC tại Việt Nam

Ưu đãi khi thành lập công ty trong Trung tâm Tài chính Quốc tế tại Việt Nam

Trung tâm tài chính quốc tế IFC

Khi tài sản số rời "Vùng Xám": Thử thách với nhà đầu tư & Chiếc chìa khóa pháp lý từ Siglaw

Luật bảo vệ dữ liệu cá nhân 2025: Đánh giá tác động xử lý & Chuyển dữ liệu xuyên biên giới

Phân biệt Dữ liệu cá nhân cơ bản và nhạy cảm

Bài viết mới nhất

Cảnh báo
mạo danh Siglaw
Hotline
Tư vấn miễn phí: 0961 366 238