Câu hỏi “Có phải khử nhận dạng và mã hóa dữ liệu cá nhân khi chuyển xuyên biên giới không?” là mối quan tâm hàng đầu của các doanh nghiệp khi Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 chính thức có hiệu lực từ ngày 01/01/2026. DPVN khẳng định: Đây là yêu cầu bắt buộc đối với dữ liệu nhạy cảm và là biện pháp bảo vệ cốt lõi cần phải có trong Hồ sơ đánh giá tác động để đảm bảo tính hợp pháp và an toàn cho hoạt động chuyển giao dữ liệu quốc tế.
Cập nhật pháp lý 2026: Bài viết phân tích dựa trên Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025, thay thế hoàn toàn các quy định cũ của Nghị định 13/2023/NĐ-CP.
Quy định pháp luật nào bắt buộc phải mã hóa và khử nhận dạng khi chuyển dữ liệu ra nước ngoài?
Khoản 2 Điều 7 Nghị định 356/2025/NĐ-CP quy định rõ: “Việc chuyển giao dữ liệu cá nhân nhạy cảm phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh dữ liệu cá nhân và các biện pháp bảo mật khác trong quá trình chuyển giao”. Đối với dữ liệu cơ bản, tuy không bắt buộc cứng nhưng là tiêu chí trọng yếu để Bộ Công an đánh giá mức độ an toàn của hồ sơ.
Trong quá trình tư vấn tuân thủ cho các tập đoàn đa quốc gia, DPVN nhận thấy nhiều doanh nghiệp vẫn lầm tưởng rằng chỉ cần có hợp đồng chuyển giao là đủ. Tuy nhiên, theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, việc áp dụng biện pháp kỹ thuật là điều kiện tiên quyết để chứng minh năng lực bảo vệ dữ liệu. Cụ thể:
- Dữ liệu nhạy cảm (Sensitive Data): Bắt buộc 100% phải được mã hóa (Encryption) và/hoặc khử nhận dạng (De-identification) khi chuyển ra khỏi biên giới Việt Nam. Điều này áp dụng cho thông tin sức khỏe, tài chính, sinh trắc học, v.v.
- Dữ liệu lớn (Big Data) & AI: Khoản 3 Điều 9 Nghị định 356 yêu cầu thực hiện mã hóa, ẩn danh dữ liệu cá nhân trong quá trình chuyển giao để phục vụ phân tích hoặc phát triển AI tại nước ngoài.
- Điện toán đám mây (Cloud Computing): Điều 12 Nghị định 356 yêu cầu dữ liệu trên đám mây phải được mã hóa ở trạng thái nghỉ (at rest) và khi truyền tải (in transit).
Việc không tuân thủ các yêu cầu kỹ thuật này không chỉ khiến hồ sơ đánh giá tác động bị từ chối mà còn dẫn đến nguy cơ bị xử phạt vi phạm hành chính rất nặng theo quy định tại Mức phạt vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới.
Khử nhận dạng và Mã hóa khác nhau như thế nào trong bối cảnh chuyển dữ liệu xuyên biên giới?
Mã hóa là biện pháp bảo vệ dữ liệu bằng thuật toán để chỉ người có khóa giải mã mới đọc được, đảm bảo an toàn đường truyền. Khử nhận dạng là kỹ thuật loại bỏ thông tin định danh để dữ liệu không thể xác định trực tiếp chủ thể, giúp giảm thiểu rủi ro pháp lý khi dữ liệu bị lộ lọt.
Hiểu rõ sự khác biệt này giúp doanh nghiệp lựa chọn giải pháp phù hợp cho từng loại luồng dữ liệu:
| Tiêu chí | Mã hóa (Encryption) | Khử nhận dạng (De-identification) |
|---|---|---|
| Mục đích chính | Bảo mật nội dung dữ liệu khi truyền tải qua internet hoặc lưu trữ. | Giảm thiểu khả năng xác định danh tính, phục vụ phân tích, thống kê. |
| Khả năng khôi phục | Có thể khôi phục về dạng ban đầu (bản rõ) nếu có khóa giải mã (Key). | Khó hoặc không thể khôi phục nếu không có dữ liệu bổ sung (như bảng đối chiếu). |
| Ứng dụng khi chuyển biên giới | Bắt buộc cho mọi kênh truyền dẫn (VPN, TLS/SSL) để chống nghe lén. | Bắt buộc khi chuyển dữ liệu cho bên thứ 3 để nghiên cứu, phát triển sản phẩm mà không cần định danh cụ thể. |
Để hiểu sâu hơn về kỹ thuật này, Quý vị có thể tham khảo bài viết chuyên sâu: Khử nhận dạng dữ liệu cá nhân là gì? và Mã hóa dữ liệu cá nhân là gì? Quy định pháp luật hiện hành.
Làm thế nào để thể hiện việc áp dụng Mã hóa và Khử nhận dạng trong Hồ sơ đánh giá tác động (Mẫu 09)?
Trong Mẫu số 09 (Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới), tại mục “3.3 Các biện pháp bảo vệ dữ liệu cá nhân của Bên nhận” và mục “đ) Phương án bảo đảm an toàn dữ liệu”, doanh nghiệp phải mô tả chi tiết chuẩn mã hóa (AES-256, RSA…) và phương pháp khử nhận dạng (Tokenization, Hashing…) đang áp dụng.
Việc kê khai chung chung như “Cam kết bảo mật” hay “Sử dụng hệ thống an toàn” sẽ không được Bộ Công an chấp nhận. DPVN khuyến nghị doanh nghiệp cần cung cấp thông tin kỹ thuật cụ thể:
- Mô tả giải pháp mã hóa: Nêu rõ loại mã hóa (Symmetric/Asymmetric), độ dài khóa, quy trình quản lý khóa (Key Management). Ví dụ: “Dữ liệu được mã hóa bằng thuật toán AES-256 trước khi truyền qua đường hầm VPN IPsec tới máy chủ tại Singapore”.
- Mô tả quy trình khử nhận dạng: Nếu chuyển dữ liệu khách hàng để chạy quảng cáo hoặc phân tích hành vi, cần nêu rõ: “Dữ liệu định danh (Tên, Email) được thay thế bằng mã Token ngẫu nhiên, bảng mã hóa được lưu trữ tách biệt tại Việt Nam”.
- Chứng chỉ bảo mật: Đính kèm các chứng chỉ ISO 27001, PCI-DSS của bên nhận dữ liệu tại nước ngoài để tăng độ tin cậy.
Quý doanh nghiệp có thể tải mẫu và xem hướng dẫn chi tiết cách điền tại: Hướng dẫn soạn Mẫu 09 theo Nghị định 356/2025/NĐ-CP.
Rủi ro pháp lý khi không thực hiện Mã hóa và Khử nhận dạng là gì?
Ngoài việc bị phạt tiền tới 5% tổng doanh thu hoặc 3 tỷ đồng theo Điều 8 Luật 91/2025/QH15, doanh nghiệp còn đối mặt với nguy cơ bị Bộ Công an yêu cầu ngừng chuyển dữ liệu ra nước ngoài ngay lập tức, gây gián đoạn hoạt động kinh doanh toàn cầu.
Theo Điều 17 Nghị định 356/2025/NĐ-CP, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có quyền yêu cầu ngừng chuyển dữ liệu nếu phát hiện hoạt động chuyển dữ liệu không đảm bảo an toàn, gây nguy hại đến an ninh quốc gia hoặc quyền lợi của công dân. Việc thiếu các biện pháp mã hóa và khử nhận dạng chính là một trong những căn cứ trọng yếu để cơ quan chức năng đánh giá là “không đảm bảo an toàn”.
Đặc biệt, trong trường hợp xảy ra sự cố lộ lọt dữ liệu tại phía đối tác nước ngoài, nếu doanh nghiệp Việt Nam không chứng minh được mình đã áp dụng các biện pháp kỹ thuật tối ưu (như mã hóa) trước khi chuyển đi, doanh nghiệp sẽ phải chịu trách nhiệm liên đới và bồi thường thiệt hại rất lớn. Xem thêm về quy trình xử lý sự cố tại: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: Trình tự, hồ sơ.
Giải pháp của DPVN giúp doanh nghiệp tuân thủ quy định Mã hóa và Khử nhận dạng
Hiểu được những thách thức về mặt kỹ thuật và pháp lý mà doanh nghiệp đang đối mặt, DPVN cung cấp giải pháp tư vấn toàn diện:
- Rà soát luồng dữ liệu (Data Mapping): Xác định chính xác loại dữ liệu nào là nhạy cảm bắt buộc phải mã hóa/khử nhận dạng khi chuyển đi.
- Tư vấn giải pháp kỹ thuật: Đề xuất các phương án mã hóa, khử nhận dạng phù hợp với hạ tầng công nghệ và ngân sách của doanh nghiệp, đảm bảo đáp ứng tiêu chuẩn của Nghị định 356.
- Lập Hồ sơ đánh giá tác động (DPIA): Soạn thảo Mẫu 09 chuẩn chỉnh, luận giải thuyết phục về các biện pháp bảo vệ để nộp cho Bộ Công an.
Bạn chưa biết bắt đầu từ đâu với hồ sơ chuyển dữ liệu ra nước ngoài?
Đừng để rủi ro kỹ thuật trở thành rào cản pháp lý. Hãy để các chuyên gia của DPVN hỗ trợ bạn xây dựng phương án bảo vệ dữ liệu tối ưu nhất.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Dữ liệu đã mã hóa có được coi là dữ liệu cá nhân không?
Theo Điều 12 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, dữ liệu cá nhân sau khi được mã hóa vẫn là dữ liệu cá nhân. Do đó, dù đã mã hóa, khi chuyển ra nước ngoài, doanh nghiệp vẫn phải lập hồ sơ đánh giá tác động đầy đủ.
2. Chuyển dữ liệu cho công ty mẹ dùng nội bộ có cần khử nhận dạng không?
Nếu mục đích chuyển là để quản lý nhân sự, tính lương… thì không thể khử nhận dạng hoàn toàn (vì cần định danh). Tuy nhiên, doanh nghiệp bắt buộc phải áp dụng biện pháp mã hóa đường truyền và mã hóa file để bảo vệ dữ liệu nhạy cảm (thông tin lương, tài khoản ngân hàng) theo quy định tại Khoản 2 Điều 7 Nghị định 356.
3. Dữ liệu chuyển đi đã được ẩn danh hóa (Anonymized) thì có cần làm hồ sơ không?
Nếu dữ liệu đã được ẩn danh hóa hoàn toàn và không thể khôi phục lại danh tính (theo định nghĩa tại Khoản 11 Điều 2 Luật 91/2025), thì nó không còn là dữ liệu cá nhân. Trong trường hợp này, doanh nghiệp không phải thực hiện các thủ tục về bảo vệ dữ liệu cá nhân.
4. Tôi sử dụng Google Drive/AWS để lưu trữ, có cần mã hóa không?
Có. Dù các nhà cung cấp này có cơ chế bảo mật riêng, nhưng với tư cách là Bên Kiểm soát dữ liệu, bạn chịu trách nhiệm cuối cùng. Bạn nên sử dụng tính năng mã hóa phía khách hàng (Client-side encryption) hoặc các công cụ quản lý khóa riêng để đảm bảo an toàn tuyệt đối cho dữ liệu khi lưu trữ trên đám mây nước ngoài.
5. Tiêu chuẩn mã hóa nào được Bộ Công an khuyến nghị?
Hiện tại chưa có văn bản quy định cứng về thuật toán cụ thể, nhưng các tiêu chuẩn quốc tế phổ biến như AES-256 (cho dữ liệu lưu trữ) và TLS 1.2/1.3 (cho dữ liệu truyền tải) thường được chấp nhận và đánh giá cao trong quá trình thẩm định hồ sơ.
Nguồn tham khảo:
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- Cục An toàn thông tin: Hướng dẫn bảo đảm an toàn thông tin cho hệ thống thông tin.
- NIST (National Institute of Standards and Technology): Guide to Basic Data Anonymization Techniques.
