Lưu Trữ Đám Mây Nước Ngoài Có Phải Là Chuyển Dữ Liệu Xuyên Biên Giới Không?

Ngày đăng - 19/08/2025

Luật sư Nguyễn Lâm Sơn Tư vấn Luật bảo vệ dữ liệu cá nhân, Tư vấn Nghị định 13/2023/NĐ-CP

Việc lưu trữ đám mây nước ngoài có phải là chuyển dữ liệu xuyên biên giới không là một câu hỏi pháp lý quan trọng, và câu trả lời là CÓ. Tại DPVN, chúng tôi sẽ cung cấp giải pháp và phân tích sâu các nghĩa vụ tuân thủ pháp luật khi doanh nghiệp bạn sử dụng dịch vụ đám mây có máy chủ đặt tại nước ngoài.

Chuyển dữ liệu xuyên biên giới được định nghĩa như thế nào theo luật Việt Nam?

Theo Khoản 14, Điều 2 Nghị định 13/2023/NĐ-CP, chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị điện tử hoặc các hình thức khác để chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ Việt Nam. Định nghĩa này bao gồm cả việc “sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu”.

Định nghĩa này có phạm vi rất rộng và được thiết kế để bao quát các hoạt động xử lý dữ liệu trong kỷ nguyên số. Điều quan trọng nhất mà các doanh nghiệp cần nắm bắt là: hành vi “chuyển dữ liệu” không chỉ giới hạn ở việc chủ động gửi một tệp tin từ Việt Nam sang một quốc gia khác.

Về chuyên môn sâu, khi một doanh nghiệp tại Việt Nam tải (upload) dữ liệu cá nhân lên một máy chủ ảo (virtual server) hoặc một nền tảng SaaS có trung tâm dữ liệu (data center) đặt tại Singapore, Nhật Bản, hay bất kỳ đâu ngoài lãnh thổ Việt Nam, hành động đó hoàn toàn đáp ứng định nghĩa pháp lý của việc chuyển dữ liệu xuyên biên giới. Do đó, nó phải tuân thủ các quy định nghiêm ngặt của pháp luật Việt Nam.

Doanh nghiệp có những nghĩa vụ tuân thủ pháp luật nào khi sử dụng dịch vụ lưu trữ đám mây nước ngoài?

Khi sử dụng dịch vụ lưu trữ đám mây nước ngoài, doanh nghiệp có hai nhóm nghĩa vụ chính: (1) Các nghĩa vụ với vai trò là Bên Kiểm soát Dữ liệu khi thuê một Bên Xử lý Dữ liệu (nhà cung cấp đám mây); và (2) Nghĩa vụ thực hiện thủ tục hành chính về chuyển dữ liệu xuyên biên giới, bao gồm việc lập và nộp Hồ sơ đánh giá tác động cho cơ quan chức năng.

Việc tuân thủ đòi hỏi một cách tiếp cận kép, vừa quản lý mối quan hệ với nhà cung cấp, vừa thực hiện các thủ tục hành chính với nhà nước.

Nghĩa vụ 1: Quản lý Nhà cung cấp Đám mây với vai trò là Bên Xử lý Dữ liệu

Trong mối quan hệ này, doanh nghiệp của bạn là Bên Kiểm soát Dữ liệu, và nhà cung cấp đám mây (AWS, Google Cloud, Microsoft Azure…) là Bên Xử lý Dữ liệu. Do đó, bạn phải:

  • Thẩm định nhà cung cấp: Đánh giá các biện pháp bảo mật, các chứng chỉ quốc tế (ISO 27001, SOC 2) của họ.
  • Ký kết Thỏa thuận Xử lý Dữ liệu (DPA): Đảm bảo có một thỏa thuận bảo vệ dữ liệu cá nhân chặt chẽ, ràng buộc trách nhiệm của nhà cung cấp. Đối với các nhà cung cấp lớn, đây thường là các điều khoản dịch vụ tiêu chuẩn mà bạn cần rà soát kỹ.

Nghĩa vụ 2: Thực hiện thủ tục Chuyển dữ liệu Xuyên biên giới

Đây là thủ tục hành chính bắt buộc theo Điều 25 Nghị định 13. Doanh nghiệp phải:

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một câu chuyện thực tế từ một khách hàng là công ty khởi nghiệp công nghệ: họ sử dụng AWS với máy chủ đặt tại Singapore và cho rằng vì AWS là một công ty uy tín toàn cầu nên họ không cần làm gì thêm. Khi chúng tôi tư vấn, họ đã rất bất ngờ khi biết rằng chính họ, chứ không phải AWS, mới là người có nghĩa vụ phải lập và nộp hồ sơ cho Cục A05. Việc hiểu sai trách nhiệm này là một sai lầm thường gặp và có thể dẫn đến rủi ro không tuân thủ nghiêm trọng.”

Có sự phân biệt nào giữa lưu trữ dữ liệu trong nước và lưu trữ dữ liệu ở nước ngoài theo luật pháp Việt Nam không?

Có, sự phân biệt là rất rõ ràng. Nếu doanh nghiệp lưu trữ dữ liệu trên một dịch vụ đám mây có trung tâm dữ liệu đặt tại Việt Nam, hoạt động đó không bị xem là chuyển dữ liệu xuyên biên giới và do đó không phải thực hiện thủ tục hành chính tại Điều 25 Nghị định 13. Ngược lại, nếu máy chủ đặt ở nước ngoài, doanh nghiệp bắt buộc phải thực hiện thủ tục này.

Tiêu chí Lưu trữ Đám mây trong nước Lưu trữ Đám mây nước ngoài
Chuyển dữ liệu Xuyên biên giới? Không. Có.
Nghĩa vụ Lập Hồ sơ ĐGTĐ Chuyển dữ liệu (Điều 25)? Không. Bắt buộc.
Nghĩa vụ Lập Hồ sơ ĐGTĐ Xử lý dữ liệu (Điều 24)? Vẫn bắt buộc. Vẫn bắt buộc.

Doanh nghiệp có thể tìm kiếm các giải pháp nào để tuân thủ luật pháp Việt Nam khi sử dụng dịch vụ đám mây nước ngoài?

Giải pháp tuân thủ bao gồm việc thực hiện đầy đủ các thủ tục hành chính, ký kết các thỏa thuận pháp lý chặt chẽ và áp dụng các biện pháp kỹ thuật để bảo vệ dữ liệu. Đối với dữ liệu nhân viên, Luật 91/2025/QH15 mang đến một giải pháp miễn trừ thủ tục hành chính quan trọng.

Dưới đây là một lộ trình giải pháp mà doanh nghiệp có thể áp dụng:

  1. Phân loại dữ liệu trên đám mây: Xác định rõ bạn đang lưu trữ dữ liệu của ai trên đám mây nước ngoài (dữ liệu khách hàng, dữ liệu nhân viên, hay cả hai).
  2. Đối với Dữ liệu Khách hàng: Bắt buộc phải thực hiện đầy đủ thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài và nộp cho Cục A05.
  3. Đối với Dữ liệu Nhân viên (áp dụng từ 01/01/2026): Theo Khoản 6, Điều 20 Luật 91/2025/QH15, bạn sẽ được **miễn trừ** nghĩa vụ lập hồ sơ này. Đây là một sự tháo gỡ lớn. Tuy nhiên, bạn vẫn phải có hợp đồng chặt chẽ với nhà cung cấp và áp dụng các biện pháp bảo mật.
  4. Áp dụng các biện pháp bảo mật mạnh mẽ: Chủ động cấu hình các tính năng bảo mật do nhà cung cấp đám mây cung cấp như mã hóa, quản lý truy cập (IAM), và giám sát.

DPVN: Dịch Vụ Tư Vấn Tuân Thủ Toàn Diện Khi Sử Dụng Dịch Vụ Đám Mây

Việc điều hướng các yêu cầu pháp lý khi sử dụng dịch vụ đám mây, đặc biệt là các nhà cung cấp nước ngoài, là một thách thức lớn.

Đội ngũ của DPVN, với sự kết hợp giữa chuyên môn pháp lý của Luật sư Nguyễn Lâm Sơn và kiến thức về công nghệ đám mây, có thể giúp doanh nghiệp của bạn từ việc thẩm định nhà cung cấp, rà soát DPA, đến hoàn thiện các thủ tục hành chính. Hãy liên hệ với chúng tôi:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về lưu trữ đám mây nước ngoài

1. Các rủi ro pháp lý tiềm ẩn khi sử dụng dịch vụ lưu trữ đám mây nước ngoài là gì?

Rủi ro lớn nhất là không thực hiện thủ tục lập và nộp Hồ sơ ĐGTĐ chuyển dữ liệu, có thể dẫn đến mức phạt lên tới 5% tổng doanh thu theo Luật 2025. Ngoài ra còn có các rủi ro về việc không có thỏa thuận xử lý dữ liệu chặt chẽ và không kiểm soát được các biện pháp bảo mật của nhà cung cấp.

2. Nếu tôi chọn trung tâm dữ liệu của AWS đặt tại Việt Nam (trong tương lai), tôi có cần làm thủ tục này không?

Không. Nếu trung tâm dữ liệu vật lý nơi dữ liệu của bạn được lưu trữ nằm trong lãnh thổ Việt Nam, hoạt động đó không còn được xem là chuyển dữ liệu xuyên biên giới và bạn sẽ không phải thực hiện thủ tục tại Điều 25 Nghị định 13.

3. Quy định miễn trừ cho dữ liệu nhân viên có hiệu lực ngay bây giờ không?

Không. Quy định miễn trừ này nằm trong Luật 91/2025/QH15 và sẽ chỉ có hiệu lực từ ngày 01/01/2026. Cho đến thời điểm đó, mọi hoạt động lưu trữ dữ liệu trên đám mây nước ngoài (bao gồm cả dữ liệu nhân viên và khách hàng) đều phải tuân thủ theo Nghị định 13/2023/NĐ-CP.

4. Tôi cần làm gì nếu nhà cung cấp đám mây không có DPA riêng cho Việt Nam?

Bạn cần rà soát kỹ lưỡng các Điều khoản Dịch vụ (Terms of Service) và các Phụ lục Xử lý Dữ liệu (Data Processing Addendum) toàn cầu của họ. Hãy đối chiếu các điều khoản đó với yêu cầu của pháp luật Việt Nam. Nếu có những điểm chưa đáp ứng, bạn cần có văn bản làm việc với nhà cung cấp để làm rõ hoặc tìm kiếm các giải pháp bù đắp.

5. Việc sử dụng các phần mềm SaaS như Salesforce, Microsoft 365 có được xem là lưu trữ đám mây không?

Có. Các nền tảng SaaS (Software-as-a-Service) về bản chất là các ứng dụng chạy trên hạ tầng đám mây của nhà cung cấp. Nếu các máy chủ của họ đặt ở nước ngoài, việc bạn nhập dữ liệu khách hàng hoặc nhân viên vào các nền tảng này cũng chính là một hành vi chuyển dữ liệu xuyên biên giới và phải tuân thủ các quy định tương ứng.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  4. Thủ tục ĐGTĐ Chuyển dữ liệu ra nước ngoài – Cổng DVC Quốc gia: https://dichvucong.gov.vn/p/home/dvc-tthc-thu-tuc-hanh-chinh-chi-tiet.html?ma_thu_tuc=323751
  5. AWS – Shared Responsibility Model: https://aws.amazon.com/compliance/shared-responsibility-model/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486