Các Trường Hợp Chuyển Dữ Liệu Cá Nhân Ra Nước Ngoài

Các trường hợp chuyển dữ liệu cá nhân ra nước ngoài là những hoạt động thường gặp nhưng tiềm ẩn rủi ro pháp lý nếu doanh nghiệp không tuân thủ đúng quy trình. Để đảm bảo hoạt động kinh doanh quốc tế an toàn và hợp pháp, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp xác định chính xác các hành vi chuyển giao dữ liệu xuyên biên giới và hoàn tất thủ tục một cách chuyên nghiệp.

Hoạt động nào của doanh nghiệp được xem là chuyển dữ liệu cá nhân ra nước ngoài?

Theo pháp luật Việt Nam, hành vi chuyển dữ liệu cá nhân ra nước ngoài bao gồm việc sử dụng không gian mạng để đưa dữ liệu của công dân Việt Nam tới một địa điểm ngoài lãnh thổ Việt Nam, hoặc sử dụng một địa điểm ngoài lãnh thổ để xử lý dữ liệu của công dân Việt Nam.

Nhiều doanh nghiệp thường có sự nhầm lẫn rằng chỉ khi chủ động gửi một tệp dữ liệu (như file Excel, văn bản) cho đối tác ở nước ngoài thì mới được coi là hành vi chuyển dữ liệu. Tuy nhiên, định nghĩa này theo pháp luật Việt Nam rộng hơn rất nhiều. Cụ thể, Điều 2.14 của Nghị định 13/2023/NĐ-CP và Điều 20 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 xác định ba nhóm hành vi chính:

• Chuyển dữ liệu cho bên thứ ba ở nước ngoài: Đây là trường hợp phổ biến nhất, khi một tổ chức tại Việt Nam (công ty con, chi nhánh) chuyển dữ liệu cá nhân của khách hàng hoặc nhân viên cho công ty mẹ, đối tác, hoặc nhà cung cấp dịch vụ ở một quốc gia khác để xử lý theo mục đích đã được đồng ý.
• Sử dụng hệ thống tự động ngoài lãnh thổ Việt Nam: Doanh nghiệp tại Việt Nam sử dụng các hệ thống công nghệ thông tin (như phần mềm quản trị nhân sự, CRM, ERP) có máy chủ đặt ở nước ngoài để xử lý dữ liệu cá nhân của công dân Việt Nam.
• Lưu trữ dữ liệu trên nền tảng đám mây quốc tế: Việc doanh nghiệp sử dụng các dịch vụ lưu trữ đám mây phổ biến như Amazon Web Services (AWS), Google Cloud, Microsoft Azure có máy chủ đặt ngoài lãnh thổ Việt Nam để lưu trữ dữ liệu cá nhân cũng được coi là một hình thức chuyển dữ liệu xuyên biên giới.

Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm mà chúng tôi thường gặp là các doanh nghiệp không nhận ra rằng việc sử dụng các công cụ làm việc hàng ngày như Google Workspace hay Microsoft 365 đã cấu thành hành vi xử lý và chuyển dữ liệu cá nhân ra nước ngoài. Do đó, việc đầu tiên và quan trọng nhất là phải rà soát, kiểm kê toàn bộ luồng dữ liệu trong tổ chức để xác định chính xác các hoạt động nào thuộc phạm vi điều chỉnh của pháp luật.

Doanh nghiệp cần đáp ứng những điều kiện và thủ tục pháp lý nào khi chuyển dữ liệu ra nước ngoài?

Để chuyển dữ liệu cá nhân ra nước ngoài hợp pháp, doanh nghiệp bắt buộc phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, có sự đồng ý của chủ thể dữ liệu, và gửi hồ sơ cho Bộ Công an trong thời hạn quy định.

Tuân thủ đúng quy trình không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý mà còn thể hiện sự chuyên nghiệp và tôn trọng quyền riêng tư của khách hàng. Quy trình này được quy định chi tiết tại Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là gì và bao gồm những gì?

Đây là một tài liệu pháp lý bắt buộc, phân tích chi tiết về hoạt động chuyển dữ liệu, các rủi ro liên quan và các biện pháp bảo vệ được áp dụng, được lập theo Mẫu Đ25-DLCN-04.

Theo quy định tại Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là tài liệu cốt lõi chứng minh sự tuân thủ của doanh nghiệp. Nội dung của hồ sơ này, được quy định trong Mẫu Đ25-DLCN-04, bao gồm các thành phần chính sau:

Quy trình nộp hồ sơ cho cơ quan chức năng được thực hiện như thế nào?

Doanh nghiệp phải gửi 01 bản chính hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu.

Việc nộp hồ sơ là một nghĩa vụ pháp lý quan trọng. DPO.VN hướng dẫn quy trình chi tiết như sau:

1. Bước 1: Chuẩn bị hồ sơ: Doanh nghiệp (Bên chuyển dữ liệu) lập đầy đủ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu Đ25-DLCN-04. Kèm theo đó là văn bản thông báo theo Mẫu số 06a (dành cho tổ chức) hoặc Mẫu số 06b (dành cho cá nhân).
2. Bước 2: Nộp hồ sơ: Gửi 01 bộ hồ sơ bản chính (bao gồm thông báo và hồ sơ đánh giá tác động) đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an. Việc nộp hồ sơ phải được thực hiện trong vòng 60 ngày kể từ ngày doanh nghiệp bắt đầu thực hiện việc chuyển dữ liệu.
3. Bước 3: Nhận phản hồi: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao sẽ xem xét hồ sơ. Nếu hồ sơ chưa đầy đủ hoặc không đúng quy định, cơ quan chức năng sẽ yêu cầu doanh nghiệp hoàn thiện. Thời gian để hoàn thiện hồ sơ là 10 ngày kể từ ngày nhận được yêu cầu.
4. Bước 4: Thông báo sau khi chuyển thành công: Sau khi việc chuyển dữ liệu được thực hiện thành công, doanh nghiệp phải gửi một thông báo bằng văn bản cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao về việc này.

Có những trường hợp nào được miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động khi chuyển dữ liệu xuyên biên giới?

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định một số trường hợp được miễn trừ nghĩa vụ lập hồ sơ, như việc chuyển dữ liệu của cơ quan nhà nước, chủ thể dữ liệu tự chuyển dữ liệu của mình, hoặc lưu trữ dữ liệu người lao động trên đám mây.

Đây là một điểm mới quan trọng của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026), nhằm tạo sự linh hoạt và giảm bớt gánh nặng thủ tục cho một số hoạt động phổ biến. Theo Khoản 6 Điều 20 của Luật này, các trường hợp được miễn trừ bao gồm:

• Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền.
• Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây.
• Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới.
• Các trường hợp khác theo quy định của Chính phủ.

DPO.VN lưu ý rằng, mặc dù được miễn trừ thủ tục lập hồ sơ, doanh nghiệp vẫn phải đảm bảo tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân khác như có sự đồng ý của chủ thể dữ liệu, áp dụng các biện pháp bảo mật cần thiết, và chịu trách nhiệm về an toàn dữ liệu.

Vai trò và trách nhiệm của các bên liên quan được phân định như thế nào?

Bên chuyển dữ liệu tại Việt Nam chịu trách nhiệm chính trong việc lập hồ sơ và đảm bảo tuân thủ pháp luật, đồng thời phải có văn bản ràng buộc trách nhiệm pháp lý rõ ràng với bên nhận dữ liệu ở nước ngoài.

Việc phân định rõ ràng trách nhiệm là yếu tố then chốt để đảm bảo tính giải trình và quản lý rủi ro hiệu quả.

Ai được xác định là Bên chuyển dữ liệu và chịu trách nhiệm chính?

Bên chuyển dữ liệu bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên thứ ba tại Việt Nam thực hiện hành vi chuyển dữ liệu.

Theo Khoản 1 Điều 25 Nghị định 13/2023/NĐ-CP, bất kỳ tổ chức, cá nhân nào tại Việt Nam thực hiện một trong các hành vi chuyển dữ liệu ra nước ngoài đều được coi là Bên chuyển dữ liệu và phải chịu trách nhiệm chính trong việc tuân thủ các quy định pháp luật, bao gồm cả việc lập và nộp hồ sơ đánh giá tác động. Điều này có nghĩa là, dù doanh nghiệp là bên trực tiếp quyết định mục đích xử lý (Bên kiểm soát) hay chỉ xử lý dữ liệu theo hợp đồng (Bên xử lý), họ đều có trách nhiệm pháp lý.

Cần có những thỏa thuận ràng buộc nào giữa bên chuyển và bên nhận dữ liệu?

Phải có văn bản pháp lý (như hợp đồng hoặc thỏa thuận xử lý dữ liệu) thể hiện rõ ràng trách nhiệm của mỗi bên trong việc xử lý, bảo mật và tuân thủ các yêu cầu pháp lý.

Khoản 2(h) Điều 25 Nghị định 13/2023/NĐ-CP yêu cầu bắt buộc phải có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu. Văn bản này có vai trò như một hợp đồng pháp lý, trong đó cần quy định rõ các nội dung sau:

• Phạm vi và mục đích xử lý dữ liệu của bên nhận.
• Cam kết của bên nhận về việc áp dụng các biện pháp bảo vệ dữ liệu tương đương hoặc cao hơn so với quy định của Việt Nam.
• Quy trình xử lý khi có yêu cầu từ chủ thể dữ liệu (truy cập, chỉnh sửa, xóa).
• Nghĩa vụ thông báo cho bên chuyển khi xảy ra sự cố vi phạm dữ liệu.
• Cơ chế giải quyết tranh chấp và bồi thường thiệt hại.

Việc có một thỏa thuận chặt chẽ không chỉ là yêu cầu pháp lý mà còn là công cụ quan trọng để bảo vệ doanh nghiệp khỏi các rủi ro phát sinh từ phía đối tác nước ngoài.

Doanh nghiệp có thể đối mặt với những rủi ro và sự can thiệp nào từ cơ quan nhà nước?

Doanh nghiệp có thể bị kiểm tra định kỳ hoặc đột xuất, bị yêu cầu ngừng chuyển dữ liệu nếu vi phạm, và đối mặt với các mức phạt hành chính rất cao, lên tới 5% tổng doanh thu năm trước.

Sự giám sát của cơ quan nhà nước, cụ thể là Bộ Công an, đối với hoạt động chuyển dữ liệu xuyên biên giới là rất chặt chẽ. Doanh nghiệp cần nhận thức rõ các kịch bản có thể xảy ra để chủ động phòng ngừa.

Khi nào Bộ Công an có thể yêu cầu ngừng chuyển dữ liệu cá nhân ra nước ngoài?

Bộ Công an sẽ yêu cầu ngừng chuyển dữ liệu khi phát hiện dữ liệu được sử dụng cho mục đích vi phạm an ninh quốc gia, khi doanh nghiệp không tuân thủ quy định về hồ sơ, hoặc khi xảy ra sự cố lộ, mất dữ liệu nghiêm trọng.

Khoản 8 Điều 25 Nghị định 13/2023/NĐ-CP và Khoản 5 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 trao cho Bộ Công an thẩm quyền yêu cầu ngừng việc chuyển dữ liệu trong các trường hợp sau:

• Khi phát hiện dữ liệu được chuyển ra nước ngoài bị sử dụng vào các hoạt động vi phạm lợi ích, an ninh quốc gia của Việt Nam.
• Bên chuyển dữ liệu không tuân thủ các quy định về việc hoàn thiện hoặc cập nhật Hồ sơ đánh giá tác động theo yêu cầu của cơ quan chức năng.
• Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam một cách nghiêm trọng.

Hậu quả pháp lý khi không tuân thủ quy định là gì?

Mức phạt tiền tối đa đối với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% tổng doanh thu của năm trước liền kề, bên cạnh các rủi ro về bồi thường thiệt hại và truy cứu trách nhiệm hình sự.

Đây là một trong những chế tài nghiêm khắc nhất được quy định trong pháp luật về bảo vệ dữ liệu cá nhân, thể hiện mức độ quan trọng của việc bảo vệ dữ liệu công dân. Điều 8 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định cụ thể:

• Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa lên đến 5% doanh thu của năm trước liền kề của tổ chức đó. Đây là một con số có thể gây ảnh hưởng nghiêm trọng đến tài chính của bất kỳ doanh nghiệp nào.
• Đối với các hành vi vi phạm khác: Mức phạt có thể lên tới 3 tỷ đồng.

Ngoài các khoản phạt hành chính, doanh nghiệp còn đối mặt với nguy cơ bị chủ thể dữ liệu khởi kiện yêu cầu bồi thường thiệt hại và tổn thất uy tín thương hiệu không thể đo đếm được. Do đó, việc đầu tư vào tuân thủ pháp luật ngay từ đầu là một chiến lược kinh doanh khôn ngoan và bền vững.

Các Câu Hỏi Thường Gặp Về Chuyển Dữ Liệu Cá Nhân Ra Nước Ngoài

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP của Chính phủ: Về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Thủ tục hành chính về bảo vệ dữ liệu cá nhân.
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• International Association of Privacy Professionals (IAPP): Global Privacy Laws and Regulations.