Phân Biệt Chuyển Giao Và Mua Bán Dữ Liệu Cá Nhân Xuyên Biên Giới

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Việc hiểu rõ và phân biệt chuyển giao và mua bán dữ liệu cá nhân xuyên biên giới là điều kiện tiên quyết để doanh nghiệp tránh khỏi các khoản phạt nặng nề theo Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. DPVN sẽ giúp bạn xác định rõ ranh giới pháp lý giữa hai hoạt động này, đồng thời hướng dẫn cách thiết lập hợp đồng và quy trình tuân thủ đúng luật khi chia sẻ dữ liệu với đối tác nước ngoài.

Nội dung chính: Phân tích sự khác biệt giữa chuyển giao (hợp pháp) và mua bán (bị hạn chế), hướng dẫn cách chuyển giao dữ liệu có thu phí mà không vi phạm, và cập nhật các quy định mới nhất về hồ sơ chuyển dữ liệu ra nước ngoài theo Nghị định 356/2025/NĐ-CP.

Tại sao doanh nghiệp cần phân biệt rõ chuyển giao và mua bán dữ liệu?

Vì pháp luật có chế tài xử lý hoàn toàn khác nhau. Điều 7 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 nghiêm cấm hành vi mua bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác (như qua sàn dữ liệu được cấp phép). Trong khi đó, việc chuyển giao dữ liệu để phục vụ mục đích xử lý cụ thể là hoạt động được phép nếu tuân thủ đầy đủ các điều kiện về đánh giá tác động và sự đồng ý của chủ thể.

Rất nhiều doanh nghiệp Việt Nam, đặc biệt là trong lĩnh vực công nghệ (SaaS), Marketing và Thương mại điện tử, thường xuyên chia sẻ dữ liệu khách hàng với đối tác nước ngoài và nhận lại một khoản phí (phí dịch vụ, phí hoa hồng). Nếu không cẩn trọng trong việc soạn thảo hợp đồng và thiết lập quy trình, hành động này rất dễ bị cơ quan chức năng quy kết là “bán dữ liệu trái phép”, dẫn đến mức phạt lên tới 5% tổng doanh thu.

Ví dụ: Một công ty tuyển dụng tại Việt Nam gửi hồ sơ ứng viên cho khách hàng ở Singapore và nhận phí giới thiệu. Nếu hợp đồng ghi là “phí cung cấp dữ liệu” mà không có sự đồng ý rõ ràng của ứng viên cho việc chuyển giao này, đây có thể bị coi là hành vi bán dữ liệu. Ngược lại, nếu được định nghĩa là “phí dịch vụ tuyển dụng” và tuân thủ quy trình chuyển giao, hoạt động này hoàn toàn hợp pháp.

Sự khác biệt cốt lõi giữa chuyển giao và mua bán dữ liệu là gì?

Khác biệt nằm ở mục đích sử dụngquyền sở hữu dữ liệu. Chuyển giao là việc chia sẻ quyền xử lý dữ liệu cho một mục đích cụ thể đã được xác định trước (ví dụ: chuyển cho công ty mẹ để quản lý nhân sự). Mua bán là việc chuyển nhượng quyền sở hữu hoặc quyền khai thác thương mại dữ liệu để đổi lấy lợi ích vật chất, thường không giới hạn mục đích ban đầu.

Để giúp Quý doanh nghiệp dễ dàng hình dung, DPVN đã tổng hợp bảng so sánh chi tiết dựa trên các quy định tại Nghị định 356/2025/NĐ-CP:

Tiêu chí Chuyển giao dữ liệu (Transfer) Mua bán dữ liệu (Sale)
Mục đích Thực hiện một công việc, dịch vụ cụ thể (xử lý lương, lưu trữ đám mây, phân tích số liệu nội bộ…). Kiếm lời trực tiếp từ việc trao đổi dữ liệu. Bên mua thường sử dụng dữ liệu cho mục đích riêng của họ (quảng cáo, bán lại…).
Sự đồng ý Cần sự đồng ý của chủ thể cho việc chuyển giao và mục đích xử lý (trừ trường hợp miễn trừ). Thường diễn ra lén lút, không có sự đồng ý của chủ thể, hoặc sự đồng ý bị cưỡng ép, không rõ ràng.
Pháp lý Hợp pháp nếu lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Bị nghiêm cấm (trừ sàn dữ liệu hợp pháp). Chế tài xử phạt rất nặng.

Làm thế nào để chuyển giao dữ liệu có thu phí mà không bị coi là mua bán trái phép?

Doanh nghiệp phải tuân thủ nghiêm ngặt Khoản 3 Điều 7 Nghị định 356/2025/NĐ-CP: Phải có hệ thống kỹ thuật để chủ thể đồng ý từng lần chuyển giao; Không được hình thành kho dữ liệu để kinh doanh ngoài mục đích đã thỏa thuận; Dữ liệu chuyển đi phải giới hạn trong phạm vi mục đích cung cấp dịch vụ.

Đây là “phao cứu sinh” cho các mô hình kinh doanh dịch vụ dữ liệu (Data Service). Để chứng minh khoản tiền nhận được là phí dịch vụ hợp pháp chứ không phải tiền bán dữ liệu, Quý doanh nghiệp cần thực hiện các bước sau:

  • Bước 1: Minh bạch hóa trong Hợp đồng: Điều khoản thanh toán phải ghi rõ là “Phí xử lý dữ liệu” (Data Processing Fee) hoặc “Phí dịch vụ kỹ thuật”, tuyệt đối tránh dùng từ “Giá bán dữ liệu” (Data Price).
  • Bước 2: Thiết lập cơ chế đồng ý (Consent): Trước mỗi lần chuyển dữ liệu cho đối tác nước ngoài, hệ thống phải hiển thị thông báo rõ ràng: “Bạn có đồng ý chuyển thông tin này cho đối tác [Tên] tại [Quốc gia] để thực hiện [Mục đích] không?”.
  • Bước 3: Cam kết không thương mại hóa thứ cấp: Trong thỏa thuận với đối tác nước ngoài (Data Transfer Agreement), phải có điều khoản cấm đối tác bán lại dữ liệu này cho bên thứ ba khác.

Ngoài ra, việc áp dụng các biện pháp kỹ thuật như khử nhận dạng dữ liệu cá nhân trước khi chuyển giao cũng là một cách hiệu quả để giảm thiểu tính nhạy cảm của dữ liệu, từ đó giảm bớt rủi ro pháp lý. Quý vị có thể tìm hiểu thêm tại bài viết Chuyển giao và mua bán dữ liệu cá nhân có cần khử nhận dạng không?.

Thủ tục hành chính bắt buộc khi chuyển dữ liệu ra nước ngoài là gì?

Doanh nghiệp bắt buộc phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (gồm Mẫu số 09 và các tài liệu liên quan) và gửi về Bộ Công an trong vòng 60 ngày kể từ ngày bắt đầu chuyển dữ liệu. Hồ sơ này phải luôn có sẵn để phục vụ thanh tra, kiểm tra.

Để hợp thức hóa hoạt động chuyển giao, doanh nghiệp không thể bỏ qua bước lập hồ sơ đánh giá tác động (DPIA Cross-border). Theo Điều 18 Nghị định 356/2025/NĐ-CP, hồ sơ bao gồm:

  • Báo cáo đánh giá tác động (Mẫu 09): Mô tả chi tiết loại dữ liệu, mục đích chuyển, biện pháp bảo vệ của bên nhận tại nước ngoài.
  • Hợp đồng chuyển giao: Chứng minh trách nhiệm ràng buộc giữa hai bên.
  • Tài liệu minh chứng: Các chính sách bảo mật, quy trình xử lý sự cố.

Nếu doanh nghiệp chưa rõ về quy trình này, hãy tham khảo bài viết hướng dẫn chi tiết Thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới của DPVN.

Rủi ro và chế tài xử phạt khi vi phạm quy định về chuyển giao dữ liệu

Vi phạm quy định về chuyển dữ liệu ra nước ngoài (như không lập hồ sơ, chuyển dữ liệu cấm) có thể bị phạt tiền lên đến 5% tổng doanh thu năm tài chính liền kề. Hành vi mua bán dữ liệu trái phép có thể bị phạt gấp 10 lần khoản thu lợi bất chính hoặc xử lý hình sự.

Mức phạt theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 cao hơn rất nhiều so với các quy định trước đây (Nghị định 13/2023). Điều này cho thấy quyết tâm của Chính phủ trong việc siết chặt quản lý dữ liệu.

Ngoài phạt tiền, doanh nghiệp còn đối mặt với các rủi ro khác như:

  • Bị đình chỉ hoạt động xử lý dữ liệu (đồng nghĩa với việc tê liệt hoạt động kinh doanh).
  • Buộc phải thu hồi và xóa bỏ dữ liệu đã chuyển giao trái phép.
  • Tổn hại nghiêm trọng đến uy tín thương hiệu và mất niềm tin của khách hàng.

Doanh nghiệp của bạn đã sẵn sàng cho đợt thanh tra dữ liệu sắp tới?

Đừng để sự nhầm lẫn giữa chuyển giao và mua bán đẩy công ty vào vòng lao lý. Hãy liên hệ ngay với DPVN để được rà soát hợp đồng và tư vấn giải pháp tuân thủ tối ưu.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Chuyển dữ liệu cho công ty mẹ ở nước ngoài có phải là mua bán không?

Không. Đây thường được xem là chuyển giao dữ liệu nội bộ tập đoàn để phục vụ mục đích quản lý, vận hành. Tuy nhiên, doanh nghiệp vẫn phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và tuân thủ các quy định về bảo vệ dữ liệu.

2. Tôi có thể bán dữ liệu khách hàng nếu họ đã đồng ý không?

Về nguyên tắc, Luật nghiêm cấm hành vi mua bán dữ liệu. Tuy nhiên, nếu bạn thực hiện thông qua sàn giao dịch dữ liệu được cấp phép và tuân thủ quy định về khử nhận dạng, thì hoạt động đó có thể được coi là hợp pháp. Việc mua bán trực tiếp bên ngoài sàn là rủi ro pháp lý rất cao.

3. Hợp đồng chuyển giao dữ liệu cần có những nội dung gì?

Hợp đồng cần quy định rõ: Mục đích chuyển giao; Loại dữ liệu; Trách nhiệm bảo mật của bên nhận; Quyền của chủ thể dữ liệu; Cam kết không chuyển giao cho bên thứ ba khác; và Cơ chế giải quyết tranh chấp. Tham khảo thêm tại bài viết Yêu cầu về hợp đồng chuyển giao dữ liệu cá nhân xuyên biên giới.

4. Sử dụng Google Drive hay AWS để lưu trữ dữ liệu có phải là chuyển dữ liệu ra nước ngoài không?

Có. Nếu máy chủ của các dịch vụ này đặt tại nước ngoài, việc bạn tải dữ liệu lên đó chính là hành vi chuyển dữ liệu xuyên biên giới và phải thực hiện nghĩa vụ lập hồ sơ đánh giá tác động.

5. Thời hạn nộp hồ sơ đánh giá tác động là bao lâu?

Theo khoản 2 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, doanh nghiệp phải gửi hồ sơ về Bộ Công an trong thời hạn 60 ngày kể từ ngày tiến hành chuyển dữ liệu cá nhân.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Các bài viết chuyên sâu về phân biệt chuyển giao và mua bán dữ liệu.
  • GDPR.eu: Guidelines on data transfer and sale.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486