Biện Pháp Bảo Vệ Của Bên Nhận Chuyển Giao Dữ Liệu Cá Nhân Xuyên Biên Giới

Việc xác định và triển khai biện pháp bảo vệ của bên nhận chuyển giao dữ liệu cá nhân xuyên biên giới là yếu tố quyết định để hồ sơ đánh giá tác động của doanh nghiệp được Bộ Công an phê duyệt theo Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ giúp bạn hiểu rõ các tiêu chuẩn kỹ thuật, quy trình quản lý bắt buộc mà đối tác nước ngoài phải đáp ứng để đảm bảo tính hợp pháp và an toàn cho dòng chảy dữ liệu quốc tế.

Tại sao biện pháp bảo vệ của bên nhận lại quan trọng trong hồ sơ đánh giá tác động?

Khi chuyển dữ liệu ra nước ngoài (Cross-border Data Transfer), rủi ro lớn nhất là dữ liệu không còn chịu sự bảo hộ trực tiếp của pháp luật Việt Nam. Do đó, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đặt trách nhiệm lên vai Bên Chuyển (Doanh nghiệp tại Việt Nam) phải đảm bảo rằng Bên Nhận (Tại nước ngoài) có đủ năng lực bảo vệ dữ liệu tương đương hoặc cao hơn tiêu chuẩn trong nước.

Việc kê khai sơ sài, thiếu minh chứng cụ thể về các biện pháp kỹ thuật và quản lý của đối tác nước ngoài là nguyên nhân hàng đầu khiến hồ sơ bị yêu cầu giải trình hoặc bổ sung. Để tránh tình trạng này, Quý doanh nghiệp cần phối hợp chặt chẽ với đối tác để thu thập đầy đủ thông tin trước khi lập hồ sơ.

Các biện pháp bảo vệ kỹ thuật bắt buộc đối với Bên nhận là gì?

Trong Mẫu 09 Nghị định 356/2025/NĐ-CP, doanh nghiệp cần mô tả chi tiết các giải pháp sau:

• Mã hóa (Encryption): Dữ liệu phải được mã hóa ngay từ khi rời khỏi hệ thống tại Việt Nam (Encryption in transit) và duy trì trạng thái mã hóa khi lưu trữ tại máy chủ nước ngoài (Encryption at rest). Các chuẩn mã hóa mạnh như AES-256 là yêu cầu tối thiểu.
• Ẩn danh hóa và Giả danh hóa: Đối với các mục đích phân tích, thống kê hoặc khi chuyển giao dữ liệu nhạy cảm, Bên nhận phải cam kết thực hiện khử nhận dạng dữ liệu cá nhân để ngăn chặn khả năng truy nguyên danh tính chủ thể.
• Kiểm soát truy cập (Access Control): Áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege). Chỉ những nhân sự có thẩm quyền tại Bên nhận mới được phép truy cập dữ liệu, và mọi hành vi truy cập phải được ghi nhật ký (Log) để phục vụ kiểm tra.
• An ninh hạ tầng: Hệ thống máy chủ phải đạt các tiêu chuẩn quốc tế như ISO 27001, SOC 2 Type II, hoặc tuân thủ GDPR (nếu đối tác tại Châu Âu).

DPVN lưu ý: Việc chỉ nêu tên giải pháp chung chung như “Có tường lửa”, “Có mật khẩu” là chưa đủ. Hồ sơ cần cung cấp tên công nghệ cụ thể, sơ đồ hệ thống bảo mật để thuyết phục cơ quan chức năng.

Biện pháp quản lý và tổ chức của Bên nhận cần đáp ứng yêu cầu nào?

Hệ thống kỹ thuật dù hiện đại đến đâu cũng có thể bị vô hiệu hóa bởi yếu tố con người. Do đó, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 yêu cầu Bên nhận phải chứng minh được năng lực quản trị thông qua:

• Chính sách bảo mật: Văn bản quy định rõ trách nhiệm của nhân viên, quy trình xử lý dữ liệu và chế tài kỷ luật khi vi phạm.
• Quy trình xử lý yêu cầu của chủ thể dữ liệu: Bên nhận phải có cơ chế để hỗ trợ Bên chuyển thực hiện các quyền của chủ thể (xem, sửa, xóa, rút lại sự đồng ý) trong thời hạn luật định.
• Đào tạo nhận thức: Nhân sự của Bên nhận tham gia xử lý dữ liệu Việt Nam phải được đào tạo định kỳ về bảo mật và quyền riêng tư.
• Kiểm toán định kỳ: Thực hiện đánh giá an ninh mạng và rủi ro dữ liệu ít nhất 01 lần/năm hoặc khi có thay đổi lớn về hệ thống.

Doanh nghiệp cần yêu cầu đối tác cung cấp các tài liệu này (bản sao hoặc tóm tắt) để đính kèm vào Phụ lục của Hồ sơ đánh giá tác động.

Làm thế nào để ràng buộc trách nhiệm bảo vệ dữ liệu trong Hợp đồng chuyển giao?

Hợp đồng là công cụ pháp lý quan trọng nhất để Bên chuyển bảo vệ mình trước rủi ro. Yêu cầu về hợp đồng chuyển giao dữ liệu cá nhân xuyên biên giới theo Điều 7 Nghị định 356/2025/NĐ-CP rất nghiêm ngặt. DPVN khuyến nghị Quý doanh nghiệp bổ sung các điều khoản sau:

• Điều khoản về mục đích: Bên nhận chỉ được xử lý dữ liệu cho mục đích đã thỏa thuận, tuyệt đối không sử dụng cho mục đích riêng (như quảng cáo, bán lại) nếu chưa có sự đồng ý.
• Điều khoản về bảo mật: Liệt kê cụ thể các biện pháp kỹ thuật (mã hóa, tường lửa…) mà Bên nhận cam kết duy trì.
• Điều khoản về thông báo vi phạm: Nếu xảy ra sự cố rò rỉ tại nước ngoài, Bên nhận phải thông báo ngay lập tức cho Bên chuyển để kịp thời báo cáo Bộ Công an theo quy định thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.
• Điều khoản về chuyển tiếp (Onward Transfer): Cấm hoặc hạn chế Bên nhận chuyển tiếp dữ liệu cho bên thứ ba khác nếu không có sự cho phép của Bên chuyển.

Thẩm định năng lực bảo mật của đối tác nước ngoài (Due Diligence) như thế nào?

Việc “nhắm mắt làm ngơ” tin tưởng tuyệt đối vào đối tác nước ngoài là một sai lầm chết người. Nếu đối tác để lộ dữ liệu, Bên chuyển tại Việt Nam vẫn phải chịu trách nhiệm giải trình và có thể bị xử phạt liên đới.

Quy trình thẩm định nên bao gồm:

• Gửi bảng câu hỏi chi tiết về hạ tầng, quy trình vận hành, nhân sự bảo mật.
• Yêu cầu cung cấp Báo cáo kiểm toán độc lập (SOC 2 Report) gần nhất.
• Đánh giá mức độ tương thích pháp luật: Kiểm tra xem quốc gia nơi đối tác đặt trụ sở có luật bảo vệ dữ liệu tương đương hay không (ví dụ: GDPR của EU là một điểm cộng lớn).

Nếu Quý doanh nghiệp gặp khó khăn trong việc đánh giá năng lực kỹ thuật của đối tác, Dịch Vụ Tư Vấn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân của DPVN sẽ hỗ trợ thực hiện quy trình Due Diligence chuyên nghiệp, giúp phát hiện sớm các lỗ hổng rủi ro.

Câu hỏi thường gặp (FAQ)

Nguồn tham khảo:

• Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
• Bộ Công an: Hướng dẫn về bảo vệ an ninh mạng và dữ liệu.
• ISO.org: ISO/IEC 27001 Information security management.
• DPVN: Tổng hợp các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.