Các Trường Hợp Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới

Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới là những hoạt động thường gặp nhưng tiềm ẩn rủi ro pháp lý nếu doanh nghiệp không tuân thủ đúng quy trình. Để đảm bảo hoạt động kinh doanh quốc tế an toàn và hợp pháp, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp xác định chính xác các hành vi chuyển giao dữ liệu xuyên biên giới và hoàn tất thủ tục một cách chuyên nghiệp.

Hoạt động nào của doanh nghiệp được xem là chuyển dữ liệu cá nhân xuyên biên giới?

Theo pháp luật Việt Nam, hành vi chuyển dữ liệu cá nhân xuyên biên giới bao gồm việc sử dụng không gian mạng để đưa dữ liệu của công dân Việt Nam tới một địa điểm ngoài lãnh thổ Việt Nam, hoặc sử dụng một địa điểm ngoài lãnh thổ để xử lý dữ liệu của công dân Việt Nam.

Nhiều doanh nghiệp thường có sự nhầm lẫn rằng chỉ khi chủ động gửi một tệp dữ liệu (như file Excel, văn bản) cho đối tác xuyên biên giới thì mới được coi là hành vi chuyển dữ liệu. Tuy nhiên, định nghĩa này theo pháp luật Việt Nam rộng hơn rất nhiều. Cụ thể, Khoản 1 Điều 17 của Nghị định 356/2025/NĐ-CP và Điều 20 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 xác định ba nhóm hành vi chính:

• Chuyển dữ liệu cho bên thứ ba ở nước ngoài: Đây là trường hợp phổ biến nhất, khi  cơ quan, tổ chức, cá nhân từ Việt Nam chuyển dữ liệu cá nhân của khách hàng hoặc nhân viên cho công ty mẹ, đối tác, hoặc nhà cung cấp dịch vụ ở một quốc gia khác để xử lý theo mục đích đã được đồng ý;
• Sử dụng hệ thống tự động ngoài lãnh thổ Việt Nam: Hoạt động xử lý dữ liệu cá nhân được thu thập tại Việt Nam và chuyển đến nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để tiếp tục xử lý;
• Lưu trữ dữ liệu trên nền tảng đám mây quốc tế: Hoạt động lưu trữ dữ liệu cá nhân có sự chuyển giao dữ liệu cá nhân thu thập, lưu trữ tại Việt Nam đến hệ thống máy chủ đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc trên dịch vụ điện toán đám mây của nhà cung cấp dịch vụ ở nước ngoài.

Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm mà chúng tôi thường gặp là các doanh nghiệp không nhận ra rằng việc sử dụng các công cụ làm việc hàng ngày như Google Workspace hay Microsoft 365 đã cấu thành hành vi xử lý và chuyển dữ liệu cá nhân xuyên biên giới. Do đó, việc đầu tiên và quan trọng nhất là phải rà soát, kiểm kê toàn bộ luồng dữ liệu trong tổ chức để xác định chính xác các hoạt động nào thuộc phạm vi điều chỉnh của pháp luật.

Doanh nghiệp cần đáp ứng những điều kiện và thủ tục pháp lý nào khi chuyển dữ liệu cá nhân xuyên biên giới?

Để chuyển dữ liệu cá nhân xuyên biên giới hợp pháp, doanh nghiệp bắt buộc phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, có sự đồng ý của chủ thể dữ liệu, và gửi hồ sơ cho Bộ Công an trong thời hạn quy định.

Tuân thủ đúng quy trình không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý mà còn thể hiện sự chuyên nghiệp và tôn trọng quyền riêng tư của khách hàng. Quy trình này được quy định chi tiết tại Điều 18 Nghị định 356/2025/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới là gì và bao gồm những gì?

Đây là một tài liệu pháp lý bắt buộc, phân tích chi tiết về hoạt động chuyển dữ liệu, các rủi ro liên quan và các biện pháp bảo vệ được áp dụng, được lập theo Mẫu 01a/01b.

Theo quy định tại Điều 18 Nghị định 356/2025/NĐ-CP, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới là tài liệu cốt lõi chứng minh sự tuân thủ của doanh nghiệp. Nội dung của hồ sơ này, được quy định trong Mẫu 01a/01b, bao gồm các thành phần chính sau:

Quy trình nộp hồ sơ cho cơ quan chức năng được thực hiện như thế nào?

Doanh nghiệp phải gửi 01 bản chính hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu.

Việc nộp hồ sơ là một nghĩa vụ pháp lý quan trọng. DPO.VN hướng dẫn quy trình chi tiết như sau:

1. Bước 1: Chuẩn bị hồ sơ: Doanh nghiệp (Bên chuyển dữ liệu) lập đầy đủ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Mẫu số 09. Kèm theo đó là văn bản thông báo theo Mẫu số 01a (dành cho tổ chức) hoặc Mẫu số 01b (dành cho cá nhân).
2. Bước 2: Nộp hồ sơ: Gửi 01 bộ hồ sơ bản chính (bao gồm thông báo và hồ sơ đánh giá tác động) đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an. Việc nộp hồ sơ phải được thực hiện trong vòng 60 ngày kể từ ngày doanh nghiệp bắt đầu thực hiện việc chuyển dữ liệu.
3. Bước 3: Nhận phản hồi: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao sẽ xem xét hồ sơ. Nếu hồ sơ chưa đầy đủ hoặc không đúng quy định, cơ quan chức năng sẽ yêu cầu doanh nghiệp hoàn thiện. Thời gian để hoàn thiện hồ sơ là 30 ngày kể từ ngày nhận được yêu cầu.
4. Bước 4: Thông báo sau khi chuyển thành công: Sau khi việc chuyển dữ liệu được thực hiện thành công, doanh nghiệp phải gửi một thông báo bằng văn bản cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao về việc này.

Có những trường hợp nào được miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động khi chuyển dữ liệu xuyên biên giới?

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định một số trường hợp được miễn trừ nghĩa vụ lập hồ sơ, như việc chuyển dữ liệu của cơ quan nhà nước, chủ thể dữ liệu tự chuyển dữ liệu của mình, hoặc lưu trữ dữ liệu người lao động trên đám mây.

Đây là một điểm mới quan trọng của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, nhằm tạo sự linh hoạt và giảm bớt gánh nặng thủ tục cho một số hoạt động phổ biến. Theo Khoản 6 Điều 20 của Luật này và khoản 3 Điều 17 Nghị định 356/2025/NĐ-CP, các trường hợp được miễn trừ bao gồm:

• Hoạt động báo chí, truyền thông theo quy định của pháp luật;
• Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai theo quy định của pháp luật;
• Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân xuyên biên giới để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật;
• Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật;
• Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực, xin học bổng.

DPO.VN lưu ý rằng, mặc dù được miễn trừ thủ tục lập hồ sơ, doanh nghiệp vẫn phải đảm bảo tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân khác như có sự đồng ý của chủ thể dữ liệu, áp dụng các biện pháp bảo mật cần thiết, và chịu trách nhiệm về an toàn dữ liệu.

Vai trò và trách nhiệm của các bên liên quan được phân định như thế nào?

Bên chuyển dữ liệu tại Việt Nam chịu trách nhiệm chính trong việc lập hồ sơ và đảm bảo tuân thủ pháp luật, đồng thời phải có văn bản ràng buộc trách nhiệm pháp lý rõ ràng với bên nhận dữ liệu ở nước ngoài.

Việc phân định rõ ràng trách nhiệm là yếu tố then chốt để đảm bảo tính giải trình và quản lý rủi ro hiệu quả.

Ai được xác định là Bên chuyển dữ liệu và chịu trách nhiệm chính?

Bên chuyển dữ liệu bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên thứ ba tại Việt Nam thực hiện hành vi chuyển dữ liệu.

Theo Khoản 1 Điều 17 Nghị định 356/2025/NĐ-CP, bất kỳ tổ chức, cá nhân nào tại Việt Nam thực hiện một trong các hành vi chuyển dữ liệu cá nhân xuyên biên giới đều được coi là Bên chuyển dữ liệu và phải chịu trách nhiệm chính trong việc tuân thủ các quy định pháp luật, bao gồm cả việc lập và nộp hồ sơ đánh giá tác động. Điều này có nghĩa là, dù doanh nghiệp là bên trực tiếp quyết định mục đích xử lý (Bên kiểm soát) hay chỉ xử lý dữ liệu theo hợp đồng (Bên xử lý), họ đều có trách nhiệm pháp lý.

Cần có những thỏa thuận ràng buộc nào giữa bên chuyển và bên nhận dữ liệu?

Phải có văn bản pháp lý (như hợp đồng hoặc văn bản chuyển giao dữ liệu) thể hiện rõ ràng trách nhiệm của mỗi bên trong việc xử lý, bảo mật và tuân thủ các yêu cầu pháp lý.

Điều 18 Nghị định 356/2025/NĐ-CP yêu cầu bắt buộc phải xác lập hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân xuyên biên giới. Văn bản này có vai trò như một hợp đồng pháp lý, trong đó cần quy định rõ các nội dung sau:

• Mục đích chuyển giao dữ liệu cá nhân;
• Đối tượng chủ thể dữ liệu cá nhân và loại dữ liệu cá nhân được chuyển giao phù hợp với mục đích chuyển giao;
• Thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân sau khi hoàn thành mục đích chuyển giao;
• Cơ sở pháp lý của việc chuyển giao dữ liệu cá nhân;
• Trách nhiệm bảo vệ dữ liệu cá nhân trong quá trình chuyển giao, xử lý dữ liệu cá nhân;
• Trách nhiệm thực hiện các quyền của chủ thể dữ liệu cá nhân;
• Trách nhiệm phối hợp và tuân thủ của các bên trong trường hợp phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân.

Việc có một thỏa thuận chặt chẽ không chỉ là yêu cầu pháp lý mà còn là công cụ quan trọng để bảo vệ doanh nghiệp khỏi các rủi ro phát sinh từ phía đối tác nước ngoài.

Doanh nghiệp có thể đối mặt với những rủi ro và sự can thiệp nào từ cơ quan nhà nước?

Doanh nghiệp có thể bị kiểm tra định kỳ hoặc đột xuất, bị yêu cầu ngừng chuyển dữ liệu nếu vi phạm, và đối mặt với các mức phạt hành chính rất cao, lên tới 5% tổng doanh thu năm trước.

Sự giám sát của cơ quan nhà nước, cụ thể là Bộ Công an, đối với hoạt động chuyển dữ liệu xuyên biên giới là rất chặt chẽ. Doanh nghiệp cần nhận thức rõ các kịch bản có thể xảy ra để chủ động phòng ngừa.

Khi nào Bộ Công an có thể yêu cầu ngừng chuyển dữ liệu cá nhân xuyên biên giới?

Bộ Công an sẽ yêu cầu ngừng chuyển dữ liệu khi phát hiện dữ liệu được sử dụng cho mục đích vi phạm an ninh quốc gia, khi doanh nghiệp không tuân thủ quy định về hồ sơ, hoặc khi xảy ra sự cố lộ, mất dữ liệu nghiêm trọng.

Khoản 2 Điều 17 Nghị định 356/2025/NĐ-CP và Khoản 5 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 trao cho Bộ Công an thẩm quyền yêu cầu ngừng việc chuyển dữ liệu trong các trường hợp sau:

• Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động xâm phạm quốc phòng, an ninh quốc gia;
• Có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể gây tổn hại đến quốc phòng, an ninh quốc gia.

Hậu quả pháp lý khi không tuân thủ quy định là gì?

Mức phạt tiền tối đa đối với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% tổng doanh thu của năm trước liền kề, bên cạnh các rủi ro về bồi thường thiệt hại và truy cứu trách nhiệm hình sự.

Đây là một trong những chế tài nghiêm khắc nhất được quy định trong pháp luật về bảo vệ dữ liệu cá nhân, thể hiện mức độ quan trọng của việc bảo vệ dữ liệu công dân. Điều 8 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định cụ thể:

• Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa lên đến 5% doanh thu của năm trước liền kề của tổ chức đó. Đây là một con số có thể gây ảnh hưởng nghiêm trọng đến tài chính của bất kỳ doanh nghiệp nào.
• Đối với các hành vi vi phạm khác: Mức phạt có thể lên tới 3 tỷ đồng.

Ngoài các khoản phạt hành chính, doanh nghiệp còn đối mặt với nguy cơ bị chủ thể dữ liệu khởi kiện yêu cầu bồi thường thiệt hại và tổn thất uy tín thương hiệu không thể đo đếm được. Do đó, việc đầu tư vào tuân thủ pháp luật ngay từ đầu là một chiến lược kinh doanh khôn ngoan và bền vững.

Các Câu Hỏi Thường Gặp Về Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Thủ tục hành chính về bảo vệ dữ liệu cá nhân.
• International Association of Privacy Professionals (IAPP): Global Privacy Laws and Regulations.