Bảo vệ dữ liệu cá nhân trong môi trường Điện toán đám mây

Bảo vệ dữ liệu cá nhân trong môi trường điện toán đám mây đòi hỏi doanh nghiệp phải hiểu rõ trách nhiệm pháp lý, áp dụng các biện pháp bảo mật phù hợp và tuân thủ quy trình nghiêm ngặt. Để đảm bảo an toàn thông tin và tránh rủi ro, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp tự tin vận hành trên nền tảng đám mây. An toàn dữ liệu, tuân thủ pháp luật, hạ tầng đám mây.

Lưu trữ dữ liệu trên đám mây nước ngoài có phải là chuyển dữ liệu cá nhân xuyên biên giới không?

Có, việc sử dụng dịch vụ điện toán đám mây có máy chủ đặt ngoài lãnh thổ Việt Nam được xem là hoạt động chuyển dữ liệu cá nhân ra nước ngoài và phải tuân thủ các quy định pháp lý nghiêm ngặt, bao gồm cả việc lập Hồ sơ đánh giá tác động, trừ một số trường hợp được miễn trừ cụ thể.

Một trong những băn khoăn lớn nhất của các doanh nghiệp hiện nay là liệu việc sử dụng các dịch vụ đám mây phổ biến như Amazon Web Services (AWS), Google Cloud, hoặc Microsoft Azure có cấu thành hành vi chuyển dữ liệu cá nhân ra nước ngoài hay không. Câu trả lời là có, và đây là một vấn đề pháp lý trọng yếu.

Căn cứ theo khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP, hoạt động chuyển dữ liệu cá nhân ra nước ngoài được định nghĩa là việc sử dụng không gian mạng để chuyển dữ liệu của công dân Việt Nam tới một địa điểm ngoài lãnh thổ Việt Nam, bao gồm cả việc xử lý dữ liệu bằng các hệ thống tự động nằm ngoài lãnh thổ Việt Nam. Do đó, khi một doanh nghiệp tại Việt Nam lưu trữ dữ liệu khách hàng trên một máy chủ đám mây đặt tại Singapore, Nhật Bản hay bất kỳ quốc gia nào khác, hoạt động này hoàn toàn thuộc phạm vi điều chỉnh của quy định về chuyển dữ liệu xuyên biên giới.

Điều này đồng nghĩa với việc doanh nghiệp có nghĩa vụ lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định tại Điều 25 của Nghị định 13/2023/NĐ-CP. Tuy nhiên, Luật Bảo vệ dữ liệu cá nhân 2025, có hiệu lực từ 01/01/2026, đã mang đến một điểm sáng tại khoản 6 Điều 20. Theo đó, trường hợp cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây sẽ được miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Mặc dù có quy định miễn trừ cho dữ liệu người lao động, doanh nghiệp vẫn phải hết sức cẩn trọng. Việc miễn trừ này không áp dụng cho dữ liệu của khách hàng, đối tác hoặc các chủ thể dữ liệu khác. Do đó, nếu doanh nghiệp lưu trữ cả dữ liệu khách hàng và dữ liệu nhân viên trên cùng một hệ thống đám mây nước ngoài, họ vẫn phải thực hiện đầy đủ thủ tục đánh giá tác động đối với phần dữ liệu của khách hàng. Việc tách biệt các luồng dữ liệu hoặc lựa chọn nhà cung cấp có trung tâm dữ liệu tại Việt Nam là những giải pháp cần được cân nhắc kỹ lưỡng.

Trách nhiệm bảo vệ dữ liệu trên đám mây thuộc về ai: doanh nghiệp hay nhà cung cấp?

Trách nhiệm này được chia sẻ, nhưng doanh nghiệp sử dụng dịch vụ (Bên Kiểm soát dữ liệu cá nhân) luôn giữ trách nhiệm cao nhất trước pháp luật và chủ thể dữ liệu. Nhà cung cấp đám mây (Bên Xử lý dữ liệu cá nhân) chịu trách nhiệm tuân thủ hợp đồng và các biện pháp bảo mật đã cam kết.

Mô hình trách nhiệm chung (Shared Responsibility Model) là khái niệm cốt lõi trong điện toán đám mây. Pháp luật Việt Nam cũng phân định rõ vai trò và nghĩa vụ của các bên liên quan, giúp doanh nghiệp xác định đúng phạm vi trách nhiệm của mình.

Dựa trên định nghĩa tại Điều 2 của Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025:

• Doanh nghiệp (Khách hàng sử dụng đám mây) thường đóng vai trò là Bên Kiểm soát dữ liệu cá nhân (hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân). Đây là bên quyết định mục đích và phương tiện xử lý dữ liệu. Do đó, doanh nghiệp chịu trách nhiệm cao nhất về việc đảm bảo tính hợp pháp của việc thu thập và xử lý, có được sự đồng ý của chủ thể dữ liệu, và thực hiện các nghĩa vụ pháp lý như lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
• Nhà cung cấp dịch vụ đám mây (AWS, Google Cloud, Azure…) đóng vai trò là Bên Xử lý dữ liệu cá nhân. Họ xử lý dữ liệu thay mặt và theo chỉ thị của Bên Kiểm soát thông qua một hợp đồng. Trách nhiệm của họ tập trung vào việc bảo mật hạ tầng nền tảng (phần cứng, mạng, trung tâm dữ liệu) và cung cấp các công cụ để khách hàng tự bảo vệ dữ liệu của mình.

Điều 39 của Nghị định 13/2023/NĐ-CP quy định rõ, Bên Xử lý dữ liệu cá nhân chỉ được tiếp nhận và xử lý dữ liệu sau khi có hợp đồng với Bên Kiểm soát và phải thực hiện đầy đủ các biện pháp bảo vệ dữ liệu. Tuy nhiên, Điều 38 quy định Bên Kiểm soát dữ liệu cá nhân phải chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý gây ra. Điều này có nghĩa là, nếu xảy ra vi phạm dữ liệu do lỗi từ nhà cung cấp đám mây, doanh nghiệp vẫn là bên chịu trách nhiệm giải trình trước cơ quan chức năng và bồi thường cho khách hàng, sau đó mới có thể truy cứu trách nhiệm của nhà cung cấp dựa trên hợp đồng đã ký.

Doanh nghiệp cần áp dụng các biện pháp bảo vệ dữ liệu cá nhân nào khi sử dụng điện toán đám mây?

Doanh nghiệp phải triển khai đồng bộ các biện pháp quản lý và kỹ thuật, đặc biệt là các yêu cầu được quy định tại Điều 30 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, bao gồm tích hợp bảo mật ngay từ khâu thiết kế, sử dụng mã hóa, xác thực mạnh và phân quyền truy cập nghiêm ngặt.

Việc chuyển đổi sang đám mây không có nghĩa là chuyển giao hoàn toàn trách nhiệm bảo mật. Doanh nghiệp cần chủ động cấu hình và sử dụng các công cụ bảo mật mà nhà cung cấp đám mây cung cấp, đồng thời thực hiện các biện pháp quản lý nội bộ.

Điều 30 Luật Bảo vệ dữ liệu cá nhân 2025 quy định cụ thể những gì về điện toán đám mây?

Điều 30 yêu cầu hệ thống và dịch vụ đám mây phải được tích hợp các biện pháp bảo mật ngay từ đầu, sử dụng phương thức xác thực và phân quyền truy cập phù hợp, xử lý dữ liệu đúng mục đích, và nghiêm cấm việc sử dụng đám mây để gây tổn hại đến an ninh quốc gia hoặc quyền lợi của cá nhân.

Điều 30 của Luật Bảo vệ dữ liệu cá nhân 2025 là một bước tiến pháp lý quan trọng, lần đầu tiên quy định trực tiếp về việc bảo vệ dữ liệu cá nhân trong các công nghệ mới như dữ liệu lớn, AI, và điện toán đám mây. Các yêu cầu chính bao gồm:

Các biện pháp kỹ thuật và quản lý cụ thể nào cần được ưu tiên?

Ưu tiên hàng đầu là mã hóa dữ liệu (cả khi đang lưu trữ và đang truyền tải), quản lý định danh và truy cập (IAM), giám sát và ghi nhật ký hoạt động, và cấu hình bảo mật đúng cách cho các dịch vụ đám mây.

DPO.VN khuyến nghị doanh nghiệp tập trung vào các biện pháp sau:

• Mã hóa toàn diện (Encryption): Sử dụng các dịch vụ quản lý khóa (Key Management Service – KMS) của nhà cung cấp đám mây để mã hóa dữ liệu khi đang lưu trữ (at rest) và mã hóa kết nối (SSL/TLS) khi dữ liệu đang được truyền tải (in transit).
• Quản lý định danh và truy cập (IAM – Identity and Access Management): Cấu hình chính sách IAM chặt chẽ để kiểm soát ai có thể truy cập vào tài nguyên nào. Tuyệt đối không sử dụng tài khoản gốc (root account) cho các hoạt động hàng ngày.
• Giám sát và ghi nhật ký (Monitoring and Logging): Bật các dịch vụ ghi nhật ký như AWS CloudTrail, Google Cloud’s operations suite để theo dõi mọi lệnh gọi API và hành động được thực hiện trên tài khoản đám mây. Điều này cực kỳ quan trọng cho việc điều tra sự cố và chứng minh sự tuân thủ.
• Bảo mật mạng (Network Security): Sử dụng Tường lửa ứng dụng web (WAF), nhóm bảo mật (Security Groups) và danh sách kiểm soát truy cập mạng (Network ACLs) để lọc lưu lượng truy cập và bảo vệ ứng dụng khỏi các cuộc tấn công phổ biến.
• Quản lý cấu hình an toàn (Secure Configuration): Thường xuyên rà soát cấu hình của các dịch vụ đám mây (ví dụ: các bucket S3 không được để công khai) để tránh các lỗi cấu hình phổ biến dẫn đến rò rỉ dữ liệu.

Làm thế nào để lựa chọn nhà cung cấp dịch vụ đám mây và soạn thảo hợp đồng tuân thủ quy định?

Doanh nghiệp nên lựa chọn nhà cung cấp có các chứng chỉ bảo mật quốc tế uy tín, có trung tâm dữ liệu tại Việt Nam (nếu có thể), và ký kết Phụ lục Xử lý Dữ liệu (DPA) với các điều khoản rõ ràng về trách nhiệm bảo mật, thông báo vi phạm và hỗ trợ tuân thủ pháp luật Việt Nam.

Việc lựa chọn đúng nhà cung cấp và thiết lập một thỏa thuận pháp lý chặt chẽ là nền tảng cho chiến lược bảo vệ dữ liệu trên đám mây của doanh nghiệp.

Những tiêu chí nào cần xem xét khi chọn nhà cung cấp đám mây?

Ưu tiên các nhà cung cấp có chứng chỉ ISO/IEC 27001, SOC 2, PCI DSS; cung cấp tài liệu rõ ràng về mô hình trách nhiệm chung; có khả năng hỗ trợ thực hiện quyền của chủ thể dữ liệu; và có các công cụ bảo mật mạnh mẽ.

• Chứng chỉ và Tuân thủ: Kiểm tra xem nhà cung cấp có tuân thủ các tiêu chuẩn bảo mật quốc tế như ISO/IEC 27001, SOC 2, PCI DSS hay không. Các nhà cung cấp lớn thường công khai các báo cáo này.
• Vị trí trung tâm dữ liệu (Data Center Location): Lựa chọn nhà cung cấp cho phép doanh nghiệp chỉ định vùng (region) lưu trữ dữ liệu. Ưu tiên các nhà cung cấp có trung tâm dữ liệu tại Việt Nam để giảm thiểu các phức tạp liên quan đến chuyển dữ liệu xuyên biên giới.
• Điều khoản dịch vụ và Hợp đồng xử lý dữ liệu (DPA): Đọc kỹ các điều khoản dịch vụ (Terms of Service) và yêu cầu ký kết Phụ lục Xử lý Dữ liệu (Data Processing Addendum – DPA). Đây là văn bản pháp lý quan trọng quy định vai trò và trách nhiệm của mỗi bên.
• Tính năng bảo mật và minh bạch: Đánh giá các công cụ bảo mật mà nhà cung cấp cung cấp (IAM, KMS, WAF, v.v.) và mức độ minh bạch của họ trong việc báo cáo sự cố.

Hợp đồng xử lý dữ liệu (DPA) cần có những điều khoản quan trọng nào?

Hợp đồng phải quy định rõ nhà cung cấp chỉ được xử lý dữ liệu theo chỉ thị của doanh nghiệp, cam kết các biện pháp bảo mật cụ thể, nghĩa vụ thông báo ngay khi có vi phạm dữ liệu, và hỗ trợ doanh nghiệp thực hiện các yêu cầu từ chủ thể dữ liệu và cơ quan chức năng.

Theo Điều 39 Nghị định 13/2023/NĐ-CP, Bên Xử lý dữ liệu chỉ được hành động khi có hợp đồng. Hợp đồng này (hoặc DPA) cần bao gồm các điểm sau:

1. Phạm vi và mục đích xử lý: Nêu rõ nhà cung cấp chỉ được xử lý dữ liệu theo các chỉ dẫn bằng văn bản từ doanh nghiệp.
2. Cam kết bảo mật: Liệt kê các biện pháp kỹ thuật và tổ chức mà nhà cung cấp cam kết thực hiện để bảo vệ dữ liệu.
3. Nghĩa vụ bảo mật của nhân viên: Đảm bảo nhân viên của nhà cung cấp được ủy quyền truy cập dữ liệu phải tuân thủ các nghĩa vụ bảo mật nghiêm ngặt.
4. Thông báo vi phạm dữ liệu: Quy định rõ thời gian và quy trình nhà cung cấp phải thông báo cho doanh nghiệp ngay khi phát hiện sự cố vi phạm dữ liệu.
5. Hỗ trợ tuân thủ: Cam kết hỗ trợ doanh nghiệp trong việc thực hiện các yêu cầu của chủ thể dữ liệu (truy cập, xóa, sửa đổi) và các nghĩa vụ với cơ quan quản lý (cung cấp thông tin cho việc đánh giá tác động).
6. Quyền kiểm toán (Audit Rights): Cho phép doanh nghiệp hoặc một bên thứ ba được ủy quyền tiến hành kiểm toán để xác minh sự tuân thủ của nhà cung cấp.
7. Xóa hoặc trả lại dữ liệu: Quy định rõ ràng về việc xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho doanh nghiệp sau khi hợp đồng kết thúc.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Cá Nhân Trên Đám Mây

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng số 24/2018/QH14.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• AWS Compliance Center: AWS Shared Responsibility Model.
• Google Cloud Compliance Resource Center: Data processing and security terms.