Ai Có Quyền Yêu Cầu Doanh Nghiệp Ngừng Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới?

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Câu hỏi “Ai có quyền yêu cầu doanh nghiệp ngừng chuyển dữ liệu cá nhân xuyên biên giới?” không chỉ là vấn đề pháp lý mà còn ảnh hưởng trực tiếp đến sự sống còn của doanh nghiệp trong kỷ nguyên số. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15Nghị định 356/2025/NĐ-CP, quyền lực này thuộc về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Bộ Công an). Tuy nhiên, các điều kiện kích hoạt lệnh cấm này rất cụ thể và nghiêm ngặt. DPVN sẽ cùng bạn phân tích chi tiết để chủ động phòng tránh rủi ro bị “phong tỏa” dòng chảy dữ liệu quốc tế.

Cảnh báo pháp lý 2026: Việc bị yêu cầu ngừng chuyển dữ liệu đồng nghĩa với việc doanh nghiệp có thể bị tê liệt hoạt động kinh doanh quốc tế ngay lập tức. Hiểu rõ thẩm quyền và căn cứ pháp lý là cách duy nhất để bảo vệ doanh nghiệp.

Cơ quan nào có thẩm quyền ra quyết định yêu cầu ngừng chuyển dữ liệu?

Duy nhất Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – A05 thuộc Bộ Công an) có thẩm quyền quyết định yêu cầu ngừng chuyển dữ liệu cá nhân xuyên biên giới theo Khoản 5 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Khoản 2 Điều 17 Nghị định 356/2025/NĐ-CP.

Khác với các quyết định hành chính thông thường, thẩm quyền yêu cầu ngừng chuyển dữ liệu mang tính chất an ninh quốc gia và trật tự xã hội. Do đó, quyền hạn này được tập trung vào cơ quan chuyên môn cao nhất về an ninh mạng và dữ liệu là Bộ Công an (thông qua Cục A05). Điều này đảm bảo các quyết định đưa ra dựa trên những đánh giá chính xác về rủi ro an ninh phi truyền thống.

Doanh nghiệp cần lưu ý rằng, mặc dù các Bộ, ngành khác (như Bộ Thông tin và Truyền thông, Ngân hàng Nhà nước…) có thể quản lý về mặt chuyên ngành, nhưng quyền ra lệnh “đóng cửa biên giới dữ liệu” đối với một doanh nghiệp cụ thể nằm trong tay Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Điều này nhấn mạnh vai trò tối thượng của trách nhiệm của Cục An ninh mạng trong công tác bảo vệ dữ liệu cá nhân.

Trong trường hợp nào doanh nghiệp bị yêu cầu ngừng chuyển dữ liệu?

Doanh nghiệp sẽ bị yêu cầu ngừng chuyển ngay lập tức nếu rơi vào 02 trường hợp: (1) Dữ liệu chuyển đi được sử dụng vào hoạt động xâm phạm quốc phòng, an ninh quốc gia; hoặc (2) Có hành vi vi phạm quy định bảo vệ dữ liệu cá nhân gây tổn hại đến quốc phòng, an ninh quốc gia (theo Khoản 5 Điều 20 Luật 91/2025 và Khoản 2 Điều 17 Nghị định 356).

Đây là các “lằn ranh đỏ” mà doanh nghiệp tuyệt đối không được vi phạm. Cụ thể:

  • Xâm phạm an ninh quốc gia: Ví dụ, việc chuyển dữ liệu vị trí (GPS) của người dùng quy mô lớn cho một máy chủ nước ngoài mà dữ liệu đó có thể bị lợi dụng để vẽ bản đồ quân sự hoặc theo dõi cán bộ nhà nước.
  • Vi phạm quy định pháp luật gây hậu quả nghiêm trọng: Ví dụ, doanh nghiệp cố tình tiết lộ thông tin cá nhân của người khác (dữ liệu nhạy cảm) ra nước ngoài mà không có biện pháp bảo vệ, dẫn đến rò rỉ dữ liệu của hàng triệu người dân, gây bất ổn xã hội.

Ngoài ra, nếu doanh nghiệp không thực hiện đúng nghĩa vụ lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Mẫu Đ25-DLCN-04 cũ, nay là Mẫu 09 theo Nghị định 356) hoặc hồ sơ không trung thực, doanh nghiệp cũng nằm trong “tầm ngắm” rủi ro bị đình chỉ hoạt động chuyển dữ liệu để phục vụ điều tra.

Quy trình ra quyết định yêu cầu ngừng chuyển dữ liệu diễn ra như thế nào?

Quy trình thường bắt đầu từ việc phát hiện dấu hiệu vi phạm qua công tác thanh tra, kiểm tra hoặc tin báo. Cơ quan chuyên trách sẽ tiến hành xác minh, đánh giá mức độ rủi ro đối với an ninh quốc gia. Nếu có đủ căn cứ, Quyết định yêu cầu ngừng chuyển dữ liệu sẽ được ban hành và gửi trực tiếp cho doanh nghiệp, buộc thi hành ngay lập tức.

Quy trình này được thực hiện rất khẩn trương để ngăn chặn hậu quả xảy ra. Doanh nghiệp cần hiểu rõ các bước để có phương án ứng phó kịp thời:

Bước Hoạt động của Cơ quan chức năng Tác động tới Doanh nghiệp
1. Phát hiện & Xác minh Tiếp nhận thông tin vi phạm, kiểm tra hồ sơ đánh giá tác động, rà soát hệ thống. Có thể bị yêu cầu giải trình, cung cấp thông tin bổ sung đột xuất.
2. Đánh giá rủi ro Phân tích tác động của dòng dữ liệu đối với an ninh quốc gia. Doanh nghiệp vẫn hoạt động nhưng trong trạng thái bị giám sát chặt chẽ.
3. Ban hành Quyết định Ra văn bản yêu cầu ngừng chuyển dữ liệu (toàn bộ hoặc một phần). Phải dừng ngay lập tức việc chuyển dữ liệu ra nước ngoài. Hệ thống có thể bị chặn kỹ thuật.

Để tránh rơi vào tình huống bị động này, việc chuẩn bị kỹ lưỡng 10 việc cần chuẩn bị khi thanh tra bảo vệ dữ liệu cá nhân là cực kỳ cần thiết cho mọi doanh nghiệp có yếu tố nước ngoài.

Hậu quả pháp lý khi không tuân thủ yêu cầu ngừng chuyển dữ liệu là gì?

Doanh nghiệp sẽ đối mặt với mức phạt tiền kịch khung lên tới 5% tổng doanh thu năm tài chính liền kề (Điều 8 Luật 91/2025), bị tước giấy phép kinh doanh dịch vụ xử lý dữ liệu, buộc nộp lại số lợi bất hợp pháp và công khai vi phạm. Cá nhân chịu trách nhiệm có thể bị truy cứu trách nhiệm hình sự.

Chế tài xử phạt theo Luật mới năm 2025 nặng hơn rất nhiều so với trước đây. Nếu doanh nghiệp cố tình “chống lệnh” ngừng chuyển dữ liệu, hành vi này được coi là tình tiết tăng nặng, thể hiện sự coi thường pháp luật và xâm phạm trực tiếp đến chủ quyền dữ liệu quốc gia.

Đặc biệt, với mức phạt tính trên % doanh thu, các tập đoàn đa quốc gia có doanh thu lớn sẽ chịu thiệt hại tài chính khổng lồ. Chưa kể đến thiệt hại về uy tín thương hiệu khi thông tin vi phạm được công bố công khai. Do đó, tuân thủ không còn là lựa chọn, mà là bắt buộc.

Quý doanh nghiệp nên tham khảo bài viết Mức phạt vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới để thấy rõ bức tranh rủi ro tài chính.

Giải pháp nào giúp doanh nghiệp phòng tránh rủi ro bị yêu cầu ngừng chuyển dữ liệu?

Doanh nghiệp cần thực hiện đầy đủ 03 bước “vàng”: (1) Lập và nộp Hồ sơ đánh giá tác động đầy đủ, trung thực (Mẫu 09); (2) Áp dụng biện pháp kỹ thuật mạnh (Mã hóa, Khử nhận dạng) cho dữ liệu chuyển đi; (3) Thường xuyên cập nhật hồ sơ định kỳ 6 tháng/lần và khi có thay đổi.

DPVN khuyến nghị chiến lược tuân thủ chủ động:

  • Rà soát luồng dữ liệu: Xác định rõ dữ liệu nào là nhạy cảm, dữ liệu nào quan trọng với an ninh quốc gia để có biện pháp bảo vệ đặc biệt.
  • Thực hiện đánh giá tác động (DPIA) chuẩn xác: Sử dụng dịch vụ tư vấn chuyên nghiệp để đảm bảo hồ sơ đánh giá tác động không có “lỗ hổng” pháp lý.
  • Kiểm soát đối tác nước ngoài: Ràng buộc trách nhiệm bảo mật chặt chẽ trong hợp đồng chuyển giao dữ liệu với bên nhận tại nước ngoài.
  • Cập nhật hồ sơ đúng hạn: Đừng quên quy định về thời gian cập nhật định kỳ hồ sơ đánh giá tác động để duy trì trạng thái tuân thủ liên tục.

Doanh nghiệp của bạn đã sẵn sàng trước các quy định khắt khe về chuyển dữ liệu xuyên biên giới?

Đừng để hoạt động kinh doanh toàn cầu bị gián đoạn chỉ vì thiếu sót trong hồ sơ pháp lý. Hãy để DPVN đồng hành cùng bạn xây dựng “lá chắn” an toàn cho dòng chảy dữ liệu.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Bộ Thông tin và Truyền thông có quyền yêu cầu ngừng chuyển dữ liệu không?

Không. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025, thẩm quyền này thuộc về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an. Tuy nhiên, các Bộ ngành khác có thể phối hợp phát hiện vi phạm.

2. Nếu bị yêu cầu ngừng chuyển dữ liệu, doanh nghiệp có được khiếu nại không?

Có. Doanh nghiệp có quyền khiếu nại hoặc khởi kiện hành chính đối với quyết định của cơ quan nhà nước theo quy định của pháp luật về khiếu nại, tố cáo và tố tụng hành chính.

3. Việc lưu trữ dữ liệu trên Google Drive (máy chủ nước ngoài) có bị coi là chuyển dữ liệu xuyên biên giới không?

Có. Việc sử dụng dịch vụ đám mây có máy chủ đặt tại nước ngoài để lưu trữ dữ liệu của công dân Việt Nam được coi là chuyển dữ liệu xuyên biên giới và phải lập hồ sơ đánh giá tác động.

4. Doanh nghiệp FDI chuyển dữ liệu về công ty mẹ có được miễn trừ không?

Không được miễn trừ hoàn toàn. Doanh nghiệp vẫn phải lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới, trừ một số trường hợp ngoại lệ rất hẹp được quy định cụ thể (ví dụ: chuyển dữ liệu nội bộ để thực hiện hợp đồng lao động theo quy định).

5. Thời hạn để doanh nghiệp thực hiện yêu cầu ngừng chuyển dữ liệu là bao lâu?

Yêu cầu này thường có hiệu lực thi hành ngay lập tức kể từ thời điểm doanh nghiệp nhận được quyết định, nhằm ngăn chặn kịp thời các rủi ro an ninh.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Các bài viết chuyên sâu về chuyển dữ liệu xuyên biên giới.
  • GDPR.eu: EDPB Guidelines on data transfers.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486