Khung pháp lý chuyển dữ liệu xuyên biên giới của Việt Nam: Góc nhìn từ Luật Dữ liệu 2024 và Luật Bảo vệ Dữ liệu Cá nhân 2025

Trong kỷ nguyên chuyển đổi số và hội nhập quốc tế, việc chuyển dữ liệu xuyên biên giới, bao gồm dữ liệu cá nhân, ngày càng trở nên thiết yếu, đóng vai trò quan trọng trong kinh tế, thương mại và quản lý. Việt Nam đã xây dựng hai văn bản pháp luật quan trọng để điều chỉnh hoạt động này: Luật Dữ liệu 2024 đã được Quốc hội thông qua ngày 30/11/2024, đã hiệu lực từ 01/7/2025) và Luật Bảo vệ Dữ liệu Cá nhân 2025 thông qua ngày 26/6/2025, sẽ có hiệu lực từ 01/01/2026. Mặc dù cả hai luật đều nhằm quản lý và bảo vệ dữ liệu, nhưng phạm vi và trọng tâm của chúng khác nhau. Nếu Luật Dữ liệu 2024 điều chỉnh mọi dữ liệu số, coi dữ liệu như một tài sản quốc gia, trong khi Luật Bảo vệ Dữ liệu cá nhân 2025 tập trung bảo vệ quyền riêng tư cá nhân.

1. Phạm vi điều chỉnh và cơ quan quản lý

Luật Dữ liệu 2024 có phạm vi điều chỉnh rộng, bao quát mọi dữ liệu số, được định nghĩa là thông tin về sự vật, hiện tượng, sự kiện dưới dạng kỹ thuật số. Điều này bao gồm dữ liệu công (do cơ quan nhà nước quản lý), dữ liệu doanh nghiệp, dữ liệu cá nhân, và đặc biệt là các dữ liệu “quan trọng” và “cốt lõi”. Dữ liệu quan trọng là những dữ liệu có thể ảnh hưởng đến quốc phòng, an ninh, kinh tế vĩ mô, hoặc an toàn xã hội, trong khi dữ liệu cốt lõi là tập con có tác động trực tiếp và sâu sắc hơn. Luật này không chỉ nhằm bảo vệ dữ liệu mà còn hướng tới phát triển kinh tế số thông qua thị trường dữ liệu, như sàn giao dịch dữ liệu. Việc quản lý được giao cho Bộ Công an (trừ dữ liệu quốc phòng do Bộ Quốc phòng phụ trách), với sự hỗ trợ của Trung tâm Dữ liệu Quốc gia để điều phối chia sẻ dữ liệu và vận hành cơ sở dữ liệu tổng hợp. Cách tiếp cận này phản ánh quan điểm coi dữ liệu là vấn đề an ninh quốc gia, tương tự quản lý an ninh mạng, với Bộ Công an đóng vai trò giám sát chính và xử lý vi phạm nghiêm khắc.

Luật Bảo vệ Dữ liệu Cá nhân 2025 (Luật BVDLCN) thu hẹp phạm vi vào dữ liệu cá nhân, tức thông tin gắn với một cá nhân cụ thể hoặc có thể xác định được, được chia thành dữ liệu cơ bản và nhạy cảm. Dữ liệu phi cá nhân như dữ liệu tổng hợp không xác định cá nhân không thuộc phạm vi điều chỉnh. Mục tiêu chính của luật là bảo vệ quyền riêng tư, ngăn chặn hành vi xâm phạm dữ liệu cá nhân. Một cơ quan chuyên trách bảo vệ dữ liệu cá nhân (dự kiến thuộc Bộ Công an) được thành lập để giám sát, tiếp nhận hồ sơ, và xử lý vi phạm. Các địa phương và Bộ Khoa học và Công nghệ phối hợp trong giáo dục và quản lý nền tảng số. Cách tiếp cận này nhấn mạnh quyền con người, tương đồng với các chuẩn mực quốc tế như GDPR của EU.

Luật Dữ liệu 2024 có phạm vi rộng, xem dữ liệu như tài sản chiến lược, ưu tiên an ninh quốc gia và phát triển kinh tế. Ngược lại, Luật BVDLCN 2025 tập trung vào quyền riêng tư cá nhân, với các khái niệm rõ ràng như “bên kiểm soát/xử lý dữ liệu” để quy trách nhiệm. Về cơ quan quản lý, cả hai đều do Bộ Công an chủ trì, nhưng Luật BVDLCN có cơ quan chuyên trách riêng, đảm bảo tính chuyên biệt trong quản lý dữ liệu cá nhân. Sự khác biệt này phản ánh mục tiêu kép: Luật Dữ liệu thúc đẩy khai thác dữ liệu, còn Luật BVDLCN bảo vệ quyền cá nhân.

2. Điều kiện pháp lý để chuyển dữ liệu xuyên biên giới

Luật Dữ liệu 2024 cho phép tự do chuyển dữ liệu vào Việt Nam hoặc xử lý dữ liệu nước ngoài tại Việt Nam, bảo vệ quyền lợi hợp pháp của các bên. Tuy nhiên, khi chuyển dữ liệu ra nước ngoài, cụ thể là đối với dữ liệu quan trọng và dữ liệu cốt lõi, luật đặt ra các điều kiện nghiêm ngặt: phải đảm bảo quốc phòng, an ninh quốc gia, lợi ích công cộng, và quyền lợi của chủ thể dữ liệu. Điều 23 quy định ba hình thức chuyển dữ liệu ra nước ngoài: (1) chuyển dữ liệu lưu trữ tại Việt Nam sang hệ thống nước ngoài; (2) cung cấp dữ liệu từ Việt Nam cho tổ chức/cá nhân nước ngoài; (3) sử dụng nền tảng nước ngoài để xử lý dữ liệu thu thập tại Việt Nam. Doanh nghiệp phải tự đánh giá tác động của việc chuyển các dữ liệu này xuyên biên giới trước khi thực hiện. Việc đánh tác động này sẽ  thực hiện 01 lần cho suốt thời gian hoạt động của tổ chức, doanh nghiệp và được cập nhật, bổ sung theo quy định. Báo cáo đánh giá tác động theo hướng dẫn doanh nghiệp phải thực hiện đánh giá gồm (1) Tính hợp pháp, sự cần thiết, phạm vi, phương thức truyền dữ liệu và cách xử lý dữ liệu của bên nhận dữ liệu; (2) Những rủi ro mà việc chuyển dữ liệu có thể gây ra cho quốc phòng, an ninh, hoạt động kinh tế, đối ngoại, ổn định xã hội, lợi ích công cộng hoặc quyền và lợi ích hợp pháp của cá nhân hoặc tổ chức; rủi ro dữ liệu sẽ bị giả mạo, phá hủy, rò rỉ, mất hoặc sử dụng bất hợp pháp; (3) Trách nhiệm và nghĩa vụ, các biện pháp quản lý, kỹ thuật của bên nhận dữ liệu; và các vấn đề khác có liên quan.  

Luật Bảo vệ Dữ liệu Cá nhân 2025 áp dụng cơ chế “hậu kiểm” linh hoạt hơn. Doanh nghiệp có thể tự do chuyển dữ liệu cá nhân ra nước ngoài nếu đáp ứng các điều kiện: (1) lập Hồ sơ đánh giá tác động chuyển dữ liệu (DPIA), bao gồm loại dữ liệu, quốc gia nhận, biện pháp bảo vệ, và rủi ro; (2) gửi DPIA cho cơ quan chuyên trách trong 60 ngày từ lần chuyển đầu tiên; (3) đảm bảo việc chuyển phù hợp mục đích đã được chủ thể đồng ý. Luật bỏ cơ chế “tiền kiểm” phức tạp, giảm gánh nặng thủ tục, nhưng yêu cầu doanh nghiệp tự chịu trách nhiệm tuân thủ. Một số trường hợp miễn DPIA, như chuyển dữ liệu công vụ, lưu trữ dữ liệu nhân viên trên đám mây, hoặc cá nhân tự chuyển dữ liệu.

Có thể thấy Luật Dữ liệu 2024 kiểm soát chặt dữ liệu quan trọng/cốt lõi với cơ chế tiềm năng “tiền kiểm”, phản ánh ưu tiên an ninh quốc gia. Luật BVDLCN 2025 linh hoạt hơn với “hậu kiểm”, tập trung vào quyền cá nhân và minh bạch. Điểm chung là cả hai yêu cầu đảm bảo an ninh quốc gia và quyền lợi chủ thể dữ liệu, nhưng Luật BVDLCN cụ thể hơn về quy trình (DPIA) và nhấn mạnh sự đồng ý của cá nhân.

3. Nghĩa vụ của doanh nghiệp

Luật Dữ liệu 2024 đặt ra các nghĩa vụ sau cho doanh nghiệp:

Phân loại dữ liệu: Doanh nghiệp phải xác định dữ liệu là cốt lõi, quan trọng, hay thông thường để áp dụng biện pháp phù hợp. Dữ liệu cốt lõi/quan trọng chịu hạn chế nghiêm ngặt khi chuyển ra nước ngoài.

Đánh giá rủi ro: Chủ quản dữ liệu cốt lõi/quan trọng phải định kỳ đánh giá rủi ro (an ninh mạng, lộ lọt dữ liệu) và báo cáo cho cơ quan an ninh mạng của Bộ Công an/Bộ Quốc phòng. Dự thảo nghị định yêu cầu nộp báo cáo đánh giá tác động cho dữ liệu cốt lõi/quan trọng.

Bảo mật dữ liệu: Doanh nghiệp phải áp dụng biện pháp bảo vệ (mã hóa, tường lửa, quản lý truy cập) suốt vòng đời dữ liệu. Dữ liệu bí mật nhà nước bắt buộc mã hóa bằng mật mã cơ yếu khi chuyển ra nước ngoài.

Tôn trọng quyền chủ thể dữ liệu: Dữ liệu cá nhân chỉ được giao dịch nếu có sự đồng ý của chủ thể, trừ trường hợp pháp luật cho phép. Doanh nghiệp phải có quy trình xóa/hủy dữ liệu theo yêu cầu.

Luật Bảo vệ Dữ liệu cá nhân 2025 yêu cầu doanh nghiệp thực hiện các nghĩa vụ sau:

Lập DPIA: Doanh nghiệp phải đánh giá tác động trước khi chuyển dữ liệu cá nhân, lưu trữ DPIA và gửi bản chính trong 60 ngày. DPIA cần cập nhật khi có thay đổi lớn.

Tuân thủ 6 nguyên tắc: Hợp pháp, đúng mục đích, chính xác, an ninh, hài hòa và trách nhiệm. Điều này đảm bảo dữ liệu chỉ được chuyển cho mục đích đã đồng ý và được bảo vệ an toàn.

Bảo mật kỹ thuật: Áp dụng mã hóa, ẩn danh, khử khuẩn dữ liệu để kiểm soát truy cập và bảo vệ dữ liệu. Nền tảng số phải công khai chính sách bảo mật và cung cấp tùy chọn quyền riêng tư.

Hợp tác với cơ quan chức năng: Cung cấp DPIA, báo cáo sự cố lộ lọt, và dừng chuyển dữ liệu nếu cơ quan yêu cầu.

Cả hai luật đều yêu cầu doanh nghiệp chủ động đánh giá rủi ro và bảo mật dữ liệu, nhưng Luật Dữ liệu nhấn mạnh an ninh quốc gia, tập trung vào dữ liệu quan trọng/cốt lõi, với yêu cầu mã hóa cơ yếu đặc thù. Luật BVDLCN tập trung vào quyền cá nhân, yêu cầu DPIA cụ thể và tuân thủ nguyên tắc quyền riêng tư. Doanh nghiệp xử lý dữ liệu cá nhân phải đáp ứng cả hai luật, vừa đảm bảo an ninh dữ liệu vừa bảo vệ quyền riêng tư.

4. Cơ chế kiểm tra, giám soát và xử lý vi phạm

Luật Dữ liệu 2024 giao Bộ Công an giám sát thông qua:

• Báo cáo rủi ro: Doanh nghiệp chuyển dữ liệu quan trọng/cốt lõi phải gửi báo cáo rủi ro cho cơ quan an ninh mạng, giúp Nhà nước nắm luồng dữ liệu nhạy cảm.
• Thanh tra, kiểm tra: Bộ Công an có quyền kiểm tra doanh nghiệp, phối hợp với Bộ Quốc phòng và các Sở Khoa học và Công nghệ của từng địa phương để tiến hành các hoạt động thanh, kiểm tra. Các nghị định hướng dẫn cũng đã quy định quy trình kiểm tra và báo cáo định kỳ.
• Can thiệp khẩn cấp: Nếu phát hiện chuyển dữ liệu gây hại an ninh quốc gia, cơ quan chức năng có thể yêu cầu ngừng chuyển hoặc thu hồi dữ liệu, dựa trên Luật An ninh mạng 2018.

Luật Bảo vệ Dữ liệu Cá nhân 2025 có cơ chế giám sát cụ thể hơn:

• Kiểm tra định kỳ: Cơ quan chuyên trách kiểm tra tối đa 1 lần/năm[1], tập trung vào DPIA và biện pháp bảo vệ.
• Kiểm tra đột xuất: Khi có dấu hiệu vi phạm hoặc sự cố lộ lọt, cơ quan có thể kiểm tra ngay, yêu cầu cung cấp hồ sơ và hợp đồng với bên nhận dữ liệu.
• Ngừng chuyển dữ liệu: Cơ quan có quyền yêu cầu dừng chuyển nếu phát hiện nguy cơ an ninh quốc gia, với cơ chế xử lý nhanh.
• Hợp tác quốc tế: Cơ quan chuyên trách làm đầu mối phối hợp với nước ngoài để xử lý vi phạm xuyên biên giới.

Luật BVDLCN có cơ chế giám sát chủ động và minh bạch hơn, với quyền kiểm tra định kỳ/đột xuất và can thiệp trực tiếp. Luật Dữ liệu dựa vào báo cáo rủi ro và kiểm tra gián tiếp, chờ nghị định chi tiết. Cả hai đều nhằm kiểm soát luồng dữ liệu ra nước ngoài, nhưng Luật BVDLCN cụ thể hơn về quy trình và quyền hạn.

Đối với việc xử lý vi phạm, Luật Dữ liệu 2024 chưa quy định mức phạt cụ thể, nhưng nhấn mạnh vi phạm liên quan dữ liệu quan trọng/cốt lõi có thể bị xử lý nghiêm do ảnh hưởng an ninh quốc gia. Hiện tại, Nghị định 15/2020/NĐ-CP (được sửa đổi, bổ sung năm 2022) áp dụng phạt tối đa 100 triệu đồng cho vi phạm an toàn thông tin[2]. Dự kiến, nghị định mới sẽ tăng mức phạt, đặc biệt với doanh nghiệp kinh doanh dịch vụ dữ liệu (yêu cầu ký quỹ khi thực hiện hoạt động kinh doanh). Đối với các vi phạm nghiêm trọng như tội làm lộ bí mật Nhà nước có thể bị truy cứu hình sự.

Luật Bảo vệ Dữ liệu Cá nhân 2025 quy định rõ:

• Phạt hành chính: Vi phạm chuyển dữ liệu cá nhân trái phép bị phạt tối đa 5% doanh thu năm trước hoặc 3 tỷ đồng (nếu doanh thu thấp hoặc không có). Vi phạm khác về dữ liệu cá nhân phạt tối đa 3 tỷ đồng, riêng mua bán dữ liệu trái phép phạt tới 10 lần khoản thu.
• Biện pháp khắc phục: Đình chỉ xử lý dữ liệu, thu hồi giấy phép, xóa dữ liệu trái phép.
• Trách nhiệm hình sự: Vi phạm nghiêm trọng như làm lộ dữ liệu quy mô lớn có thể bị truy tố theo Bộ luật Hình sự[3].

5. Sự đồng ý của chủ thể dữ liệu và các yêu cầu kỹ thuật

Luật Dữ liệu 2024 gián tiếp yêu cầu sự đồng ý khi giao dịch dữ liệu cá nhân, trừ trường hợp pháp luật cho phép (như cung cấp dữ liệu cho cơ quan nhà nước trong tình huống khẩn cấp). Quyền chủ thể được tôn trọng, nhưng luật tập trung vào quyền chủ sở hữu dữ liệu (doanh nghiệp có quyền định đoạt dữ liệu họ sở hữu, miễn không vi phạm pháp luật).

Luật Bảo vệ Dữ liệu Cá nhân 2025 coi sự đồng ý là nguyên tắc cốt lõi. Do đó, doanh nghiệp phải thu thập sự đồng ý tự nguyện, rõ ràng trước khi chuyển dữ liệu cá nhân ra nước ngoài, thông báo mục đích và bên nhận. Đồng thời, chủ thể có thể rút đồng ý bất kỳ lúc nào, buộc doanh nghiệp dừng chuyển và xóa dữ liệu nếu cần. Tuy nhiên, trong một số trường hợp ngoại lệ, doanh nghiệp không cần thu thập sự đồng ý của chủ thể dữ liệu như theo yêu cầu công vụ, bảo vệ tính mạng khẩn cấp, hoặc dữ liệu công khai.

Luật BVDLCN đặt sự đồng ý làm trung tâm, với yêu cầu minh bạch và cơ chế rút đồng ý rõ ràng. Luật Dữ liệu chỉ đề cập gián tiếp, áp dụng cho dữ liệu cá nhân trong giao dịch. Doanh nghiệp cần xây dựng cơ chế thu thập và quản lý sự đồng ý để tuân thủ cả hai luật.

Về mặt kỹ thuật, Luật Dữ liệu 2024 nhấn mạnh an toàn dữ liệu:

• Mã hóa cơ yếu: Dữ liệu bí mật nhà nước phải mã hóa bằng hệ thống mật mã của Ban Cơ yếu Chính phủ khi chuyển ra nước ngoài.
• Biện pháp bảo mật: Doanh nghiệp tự chọn mã hóa (AES, RSA), giao thức an toàn (SSL/TLS), tường lửa, hoặc DLP để ngăn lộ lọt dữ liệu. Luật yêu cầu bảo vệ dữ liệu suốt vòng đời.
• Quy chuẩn kỹ thuật: Chính phủ sẽ ban hành quy chuẩn cho Trung tâm Dữ liệu Quốc gia và kết nối dữ liệu, ảnh hưởng gián tiếp đến chuyển dữ liệu xuyên biên giới.

Trong khi đó, Luật Bảo vệ Dữ liệu cá nhân 2025 yêu cầu:

• Nguyên tắc an ninh: Doanh nghiệp phải áp dụng mã hóa, ẩn danh, kiểm soát truy cập, và các biện pháp bảo mật chuẩn mực (HTTPS, phần mềm diệt virus).
• Chính sách bảo mật: Nền tảng số phải công khai chính sách, cung cấp tùy chọn “không theo dõi” hoặc từ chối cookie.
• Linh hoạt công nghệ: Không bắt buộc kỹ thuật nội địa, cho phép sử dụng dịch vụ cloud từ nước ngoài nếu đạt chuẩn an ninh.

Luật Dữ liệu có yêu cầu cụ thể với dữ liệu mật (mã hóa cơ yếu) và đặt nền tảng cho quy chuẩn quốc gia. Luật BVDLCN linh hoạt hơn, khuyến khích thực hành theo các thông lệ quốc tế, nhưng yêu cầu minh bạch và cơ chế thuận lợi cho người dùng. Cả hai đều ưu tiên an toàn dữ liệu, nhưng Luật Dữ liệu có tính đặc thù Việt Nam hơn so với Luật BVDLCN.

Có thể thấy Luật Dữ liệu 2024 và Luật Bảo vệ Dữ liệu Cá nhân 2025 cùng tạo ra khung pháp lý toàn diện cho hoạt động quản trị dữ liệu tại Việt Nam trong thời gian tới. Trong khi Luật Dữ liệu 2024 thúc đẩy lưu thông dữ liệu phục vụ kinh tế số, nhưng kiểm soát chặt dữ liệu quan trọng/cốt lõi để bảo vệ an ninh quốc gia thì Luật BVDLCN 2025 bảo vệ quyền riêng tư cá nhân, áp dụng cơ chế hậu kiểm linh hoạt nhưng chế tài xử phạt vô cùng nghiêm khắc để hướng tới môi trường pháp lý vừa kiến tạo nhưng lành mạnh để giúp triển phát triển kinh tế trên không gian mạng tại Việt Nam.

Xem thêm: Khung pháp lý chuyển dữ liệu xuyên biên giới của Việt Nam: Góc nhìn từ Luật Dữ liệu 2024 và Luật Bảo vệ dữ liệu cá nhân 2025