Lưu Trữ Đám Mây Nước Ngoài Có Phải Là Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới?

Lưu trữ đám mây nước ngoài có phải là chuyển dữ liệu cá nhân xuyên biên giới là một câu hỏi pháp lý quan trọng, và câu trả lời là CÓ, hành vi này được xác định là hoạt động chuyển dữ liệu ra khỏi lãnh thổ Việt Nam. Để đảm bảo tuân thủ, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp thực hiện đúng các quy định về bảo mật thông tin và thủ tục pháp lý. Việc tuân thủ quy định lưu trữ dữ liệu xuyên biên giới không chỉ là nghĩa vụ mà còn là cơ hội để doanh nghiệp nâng cao uy tín và bảo vệ tài sản số.

Lưu trữ đám mây nước ngoài có được xem là chuyển dữ liệu cá nhân xuyên biên giới không?

Có. Theo pháp luật Việt Nam, việc doanh nghiệp sử dụng các dịch vụ lưu trữ đám mây có máy chủ đặt bên ngoài lãnh thổ Việt Nam (như Amazon Web Services, Google Cloud, Microsoft Azure) để lưu trữ dữ liệu cá nhân của công dân Việt Nam được xác định là hành vi chuyển dữ liệu cá nhân ra nước ngoài.

Đây là một trong những điểm mấu chốt mà các trưởng phòng pháp chế, giám đốc công nghệ thông tin và chủ doanh nghiệp cần nắm vững. Khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP định nghĩa rất rõ về hoạt động này. Cụ thể, việc sử dụng không gian mạng, thiết bị điện tử để chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ Việt Nam, hoặc sử dụng một địa điểm ngoài lãnh thổ Việt Nam để xử lý dữ liệu, đều thuộc phạm vi điều chỉnh.

Ví dụ, một công ty tại Việt Nam sử dụng dịch vụ Microsoft 365 và lưu trữ thông tin nhân viên, khách hàng trên các máy chủ của Microsoft đặt tại Singapore. Hành động này chính là chuyển dữ liệu cá nhân ra nước ngoài và phải tuân thủ các quy định pháp lý liên quan. Tương tự, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tại Điều 20 cũng tái khẳng định bản chất pháp lý của hành vi này, cho thấy sự nhất quán và nghiêm túc của nhà làm luật đối với việc bảo vệ dữ liệu công dân.

Doanh nghiệp có được miễn trừ thủ tục khi lưu trữ dữ liệu trên đám mây nước ngoài không?

Có, nhưng chỉ trong một số trường hợp rất cụ thể. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, có hiệu lực từ 01/01/2026, đã mở ra một số ngoại lệ quan trọng, đặc biệt là việc lưu trữ dữ liệu của người lao động trên dịch vụ điện toán đám mây.

Đây là một tin vui cho nhiều doanh nghiệp, giúp giảm bớt gánh nặng hành chính đáng kể. Tuy nhiên, việc áp dụng miễn trừ cần được xem xét cẩn trọng.

Theo khoản 6 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, các trường hợp sau đây không phải thực hiện thủ tục lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới:

• Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền.
• Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây.
• Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới.
• Các trường hợp khác theo quy định của Chính phủ.

DPO.VN nhấn mạnh rằng, trường hợp miễn trừ quan trọng nhất đối với doanh nghiệp là lưu trữ dữ liệu người lao động. Điều này có nghĩa là nếu doanh nghiệp của bạn sử dụng Google Workspace hay Microsoft 365 để quản lý thông tin nhân sự, hợp đồng lao động, bảng lương… thì sẽ không cần phải làm thủ tục phức tạp để nộp hồ sơ cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05). Tuy nhiên, nếu bạn lưu trữ dữ liệu của khách hàng, đối tác, hoặc người dùng cuối trên các nền tảng đám mây nước ngoài, bạn vẫn phải tuân thủ đầy đủ quy trình.

Cần tuân thủ quy trình nào nếu việc lưu trữ dữ liệu không thuộc diện miễn trừ?

Đối với các trường hợp không được miễn trừ, doanh nghiệp bắt buộc phải thực hiện quy trình 4 bước: Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, Nộp hồ sơ cho Cục A05, Thông báo sau khi chuyển thành công, và Cập nhật hồ sơ định kỳ.

Đây là một quy trình pháp lý chặt chẽ được quy định tại Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20, 22 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Việc tuân thủ đúng và đủ các bước này là yếu tố sống còn để tránh các rủi ro pháp lý.

Bước 1: Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

Đây là bước nền tảng và quan trọng nhất. Doanh nghiệp phải lập một bộ hồ sơ chi tiết theo Mẫu Đ25-DLCN-04 ban hành kèm theo các văn bản hướng dẫn của Bộ Công an. Nội dung chính của hồ sơ bao gồm:

• Thông tin chi tiết của Bên chuyển dữ liệu (doanh nghiệp tại Việt Nam) và Bên nhận dữ liệu (nhà cung cấp đám mây và các bên liên quan).
• Mô tả và luận giải mục tiêu của việc xử lý dữ liệu sau khi chuyển ra nước ngoài.
• Phân loại dữ liệu cá nhân được chuyển (dữ liệu cơ bản, dữ liệu nhạy cảm).
• Mô tả các biện pháp bảo vệ dữ liệu cá nhân được áp dụng.
• Đánh giá tác động và rủi ro có thể xảy ra, cùng các biện pháp giảm thiểu.
• Bằng chứng về sự đồng ý của chủ thể dữ liệu.
• Văn bản thể hiện sự ràng buộc, trách nhiệm giữa các bên.

Bước 2: Nộp Hồ sơ cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05)

Sau khi hoàn tất, doanh nghiệp phải gửi 01 bản chính của bộ hồ sơ tới Cục A05 trong vòng 60 ngày kể từ ngày bắt đầu chuyển dữ liệu. Doanh nghiệp cần sử dụng Mẫu số 06a (đối với tổ chức) hoặc Mẫu số 06b (đối với cá nhân) để làm văn bản thông báo nộp kèm. Việc nộp hồ sơ có thể thực hiện qua các kênh:

• Trực tuyến: Qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (sẽ được Bộ Công an thông báo).
• Trực tiếp: Tại trụ sở Cục A05.
• Qua đường bưu chính.

Bước 3: Thông báo sau khi chuyển dữ liệu thành công

Khoản 4 Điều 25 Nghị định 13/2023/NĐ-CP yêu cầu Bên chuyển dữ liệu phải có văn bản thông báo cho Cục A05 sau khi việc chuyển dữ liệu diễn ra thành công. Đây là bước xác nhận việc tuân thủ đã được hoàn tất.

Bước 4: Cập nhật hồ sơ định kỳ hoặc khi có thay đổi

Hồ sơ không phải là tài liệu tĩnh. Theo Điều 22 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, doanh nghiệp phải cập nhật hồ sơ định kỳ 06 tháng khi có sự thay đổi, hoặc cập nhật ngay khi có các thay đổi lớn (thay đổi cơ cấu tổ chức, thay đổi ngành nghề kinh doanh liên quan…). Việc cập nhật được thực hiện thông qua Mẫu số 05a hoặc Mẫu số 05b.

Làm thế nào để phân định trách nhiệm pháp lý với nhà cung cấp dịch vụ đám mây?

Trách nhiệm pháp lý được phân định thông qua các thỏa thuận và hợp đồng xử lý dữ liệu, trong đó xác định rõ vai trò Bên Kiểm soát dữ liệu (doanh nghiệp) và Bên Xử lý dữ liệu (nhà cung cấp đám mây). Tuy nhiên, trách nhiệm giải trình cuối cùng trước pháp luật Việt Nam thuộc về doanh nghiệp.

Hiểu rõ vai trò và trách nhiệm của mỗi bên là điều kiện tiên quyết để xây dựng một cơ chế tuân thủ bền vững.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến mà nhiều doanh nghiệp mắc phải là cho rằng nhà cung cấp đám mây (như AWS, Google) chịu toàn bộ trách nhiệm về bảo mật và tuân thủ. Thực tế, theo luật Việt Nam, Bên Kiểm soát Dữ liệu (tức là doanh nghiệp của bạn) phải chịu trách nhiệm trước chủ thể dữ liệu và cơ quan nhà nước. Doanh nghiệp phải chứng minh được rằng mình đã lựa chọn một Bên Xử lý Dữ liệu (nhà cung cấp đám mây) có các biện pháp bảo vệ phù hợp và đã có hợp đồng ràng buộc rõ ràng.

Để đảm bảo an toàn pháp lý, DPO.VN khuyến nghị doanh nghiệp cần rà soát và bổ sung các điều khoản quan trọng sau vào hợp đồng dịch vụ với nhà cung cấp đám mây nước ngoài:

• Thỏa thuận Xử lý Dữ liệu (Data Processing Agreement – DPA): Văn bản này phải nêu rõ các hoạt động xử lý mà nhà cung cấp được phép thực hiện, các biện pháp bảo mật kỹ thuật và tổ chức họ cam kết áp dụng.
• Cam kết về thông báo vi phạm: Nhà cung cấp phải cam kết thông báo ngay cho doanh nghiệp khi có bất kỳ sự cố nào liên quan đến dữ liệu cá nhân, để doanh nghiệp kịp thời thực hiện nghĩa vụ báo cáo cho Cục A05 trong vòng 72 giờ theo Điều 23 Nghị định 13/2023/NĐ-CP.
• Hỗ trợ kiểm tra và thanh tra: Điều khoản quy định nhà cung cấp phải hợp tác và cung cấp thông tin cần thiết khi doanh nghiệp hoặc cơ quan chức năng Việt Nam yêu cầu kiểm tra, thanh tra.
• Quy định về xóa dữ liệu: Cam kết xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho doanh nghiệp sau khi kết thúc hợp đồng.

Doanh nghiệp nên cân nhắc những rủi ro nào khi lựa chọn giữa đám mây trong nước và nước ngoài?

Việc lựa chọn giữa nhà cung cấp dịch vụ đám mây trong nước và nước ngoài là một quyết định chiến lược, đòi hỏi sự cân nhắc kỹ lưỡng giữa lợi ích về công nghệ, chi phí và các rủi ro pháp lý phức tạp liên quan đến tuân thủ quy định bảo vệ dữ liệu cá nhân.

Để đưa ra quyết định phù hợp, các nhà quản lý cần phân tích ưu và nhược điểm của mỗi giải pháp dưới góc độ pháp lý.

Quyết định cuối cùng phụ thuộc vào khẩu vị rủi ro và nhu cầu kinh doanh của từng doanh nghiệp. Nếu doanh nghiệp của bạn xử lý lượng lớn dữ liệu cá nhân nhạy cảm của khách hàng và ưu tiên hàng đầu là sự an toàn pháp lý, việc lựa chọn một nhà cung cấp trong nước có thể là giải pháp tối ưu. Ngược lại, nếu nhu cầu về công nghệ và khả năng mở rộng toàn cầu là bắt buộc, việc sử dụng đám mây nước ngoài là khả thi, nhưng đòi hỏi một chiến lược tuân thủ bài bản và sự đầu tư nghiêm túc vào việc thực hiện các thủ tục pháp lý.

Các Câu Hỏi Thường Gặp Về Lưu Trữ Đám Mây và Chuyển Dữ Liệu Xuyên Biên Giới

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Luật An ninh mạng 24/2018/QH14.
• Cổng Dịch vụ công Bộ Công an.
• Cổng thông tin điện tử Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.