Việc sử dụng điện toán đám mây cần tuân thủ các quy định bảo vệ dữ liệu cá nhân nào là một yêu cầu pháp lý cấp thiết, đặc biệt khi máy chủ ảo đặt tại nước ngoài. Tại DPVN, chúng tôi cung cấp giải pháp giúp bạn sử dụng dịch vụ đám mây một cách an toàn, đảm bảo bảo mật trên đám mây và tuân thủ pháp luật.
Các văn bản pháp luật Việt Nam nào điều chỉnh việc bảo vệ dữ liệu trong điện toán đám mây?
Việc bảo vệ dữ liệu trên nền tảng điện toán đám mây được điều chỉnh trực tiếp bởi Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Đặc biệt, nếu nhà cung cấp đám mây có máy chủ đặt tại nước ngoài, hoạt động này sẽ phải tuân thủ các quy định nghiêm ngặt về chuyển dữ liệu cá nhân xuyên biên giới.
Điện toán đám mây đã trở thành một phần không thể thiếu trong hạ tầng công nghệ của hầu hết các doanh nghiệp. Tuy nhiên, việc đưa dữ liệu, đặc biệt là dữ liệu cá nhân, lên môi trường này cũng đồng nghĩa với việc phát sinh các nghĩa vụ pháp lý mới.
Về chuyên môn sâu, khi một doanh nghiệp sử dụng dịch vụ đám mây, họ đang thuê một bên thứ ba (nhà cung cấp đám mây) để thực hiện một phần hoặc toàn bộ hoạt động xử lý dữ liệu. Mối quan hệ này được pháp luật về bảo vệ dữ liệu cá nhân điều chỉnh rất chặt chẽ. Hơn nữa, do hầu hết các nhà cung cấp đám mây lớn (AWS, Google Cloud, Microsoft Azure) đều có trung tâm dữ liệu đặt ngoài Việt Nam, nên hoạt động này gần như luôn được xem là chuyển dữ liệu xuyên biên giới và phải tuân thủ các thủ tục hành chính tương ứng.
Trách nhiệm của doanh nghiệp khi sử dụng dịch vụ điện toán đám mây để lưu trữ và xử lý dữ liệu cá nhân là gì?
Khi sử dụng dịch vụ đám mây, doanh nghiệp (khách hàng) đóng vai trò là Bên Kiểm soát Dữ liệu và nhà cung cấp đám mây là Bên Xử lý Dữ liệu. Trách nhiệm của doanh nghiệp là phải thực hiện thẩm định, ký kết thỏa thuận xử lý dữ liệu (DPA), và tuân thủ mô hình “trách nhiệm chia sẻ” (Shared Responsibility Model) để đảm bảo an toàn cho dữ liệu.
Việc hiểu rõ và phân định trách nhiệm giữa doanh nghiệp và nhà cung cấp đám mây là yếu tố then chốt để đảm bảo tuân thủ.
Phân định vai trò: Doanh nghiệp là Bên Kiểm soát, Nhà cung cấp là Bên Xử lý
Trong mối quan hệ này, doanh nghiệp của bạn là người quyết định dữ liệu nào được tải lên, để làm gì và lưu trữ trong bao lâu, do đó bạn là Bên Kiểm soát Dữ liệu. Nhà cung cấp đám mây chỉ cung cấp hạ tầng và công cụ, không được tự ý sử dụng dữ liệu của bạn, do đó họ là Bên Xử lý Dữ liệu.
Hiểu rõ Mô hình Trách nhiệm Chia sẻ (Shared Responsibility Model)
Đây là một khái niệm cốt lõi trong an ninh điện toán đám mây. Theo đó, an toàn trên đám mây là một trách nhiệm chung:
| Trách nhiệm của Nhà cung cấp Đám mây | Trách nhiệm của Doanh nghiệp (Khách hàng) |
|---|---|
| Bảo mật CỦA đám mây (Security OF the Cloud): Bảo vệ hạ tầng vật lý (trung tâm dữ liệu, máy chủ, mạng lưới) và các dịch vụ cơ bản. | Bảo mật TRÊN đám mây (Security IN the Cloud): Cấu hình các dịch vụ một cách an toàn, quản lý danh tính và quyền truy cập, mã hóa dữ liệu của mình, và bảo mật ứng dụng. |
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một sai lầm nguy hiểm là nhiều doanh nghiệp nghĩ rằng chỉ cần đưa dữ liệu lên AWS hay Google là nó sẽ tự động an toàn. Điều này không đúng. Nếu bạn không cấu hình đúng các quy tắc tường lửa, không quản lý chặt chẽ các khóa truy cập (access keys), hoặc không mã hóa dữ liệu của mình, thì trách nhiệm khi có sự cố xảy ra vẫn thuộc về bạn, không phải nhà cung cấp đám mây.”
Doanh nghiệp cần triển khai các biện pháp kỹ thuật và tổ chức cần thiết nào để đảm bảo tuân thủ?
Để đảm bảo tuân thủ, doanh nghiệp phải chủ động thực hiện một loạt các biện pháp. Về mặt tổ chức, cần thẩm định kỹ nhà cung cấp và ký kết thỏa thuận xử lý dữ liệu. Về mặt kỹ thuật, phải tận dụng và cấu hình đúng các công cụ bảo mật mà nền tảng đám mây cung cấp, như mã hóa, quản lý định danh và truy cập (IAM), và giám sát hoạt động.
Biện pháp Tổ chức
- Thẩm định Nhà cung cấp (Due Diligence): Kiểm tra các chứng chỉ bảo mật và tuân thủ của nhà cung cấp (ví dụ: ISO 27001, SOC 2, PCI DSS).
- Rà soát và Ký kết Thỏa thuận Xử lý Dữ liệu (DPA): Hầu hết các nhà cung cấp lớn đều có sẵn DPA tiêu chuẩn. Doanh nghiệp cần rà soát kỹ các điều khoản này để đảm bảo chúng phù hợp với luật Việt Nam.
Biện pháp Kỹ thuật
- Mã hóa dữ liệu: Luôn bật tính năng mã hóa dữ liệu khi lưu trữ (encryption at rest) và mã hóa khi truyền (encryption in transit). Nên sử dụng các khóa mã hóa do chính bạn quản lý (Customer-Managed Keys).
- Quản lý Định danh và Truy cập (IAM): Cấu hình chặt chẽ các chính sách IAM, áp dụng nguyên tắc quyền tối thiểu và bật xác thực đa yếu tố (MFA) cho tất cả các tài khoản quản trị.
- Bảo mật Mạng: Cấu hình các Nhóm Bảo mật (Security Groups) và Danh sách Kiểm soát Truy cập Mạng (Network ACLs) để chỉ cho phép các luồng truy cập cần thiết.
- Giám sát và Ghi nhật ký (Logging & Monitoring): Bật các dịch vụ như AWS CloudTrail hoặc Google Cloud Audit Logs để theo dõi mọi hoạt động diễn ra trên môi trường đám mây của bạn.
DPVN: Dịch Vụ Tư Vấn Tuân Thủ và Bảo Mật trên Nền tảng Đám mây
Việc cấu hình và quản lý an ninh trên các nền tảng đám mây phức tạp đòi hỏi chuyên môn cao. Một sai sót nhỏ trong cấu hình có thể tạo ra một lỗ hổng bảo mật nghiêm trọng.
Đội ngũ của DPVN, với sự kết hợp giữa các chuyên gia pháp lý do Luật sư Nguyễn Lâm Sơn dẫn dắt và các đối tác về kiến trúc đám mây, có thể giúp bạn xây dựng một môi trường đám mây an toàn và tuân thủ. Hãy liên hệ với chúng tôi:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về việc sử dụng điện toán đám mây
1. Quyền của chủ thể dữ liệu được đảm bảo như thế nào khi dữ liệu của họ nằm trên máy chủ nước ngoài?
Doanh nghiệp Việt Nam (Bên Kiểm soát) vẫn là người chịu trách nhiệm chính trong việc đảm bảo và đáp ứng các quyền của chủ thể dữ liệu. Bạn phải có các công cụ để có thể truy cập, chỉnh sửa, hoặc xóa dữ liệu của họ trên nền tảng đám mây khi có yêu cầu.
2. Nếu nhà cung cấp đám mây bị tấn công làm lộ dữ liệu, ai chịu trách nhiệm?
Theo mô hình trách nhiệm chia sẻ và luật pháp, bạn (Bên Kiểm soát) sẽ chịu trách nhiệm trực tiếp trước khách hàng và cơ quan chức năng. Sau đó, bạn có thể truy cứu trách nhiệm của nhà cung cấp đám mây dựa trên các điều khoản trong hợp đồng và DPA, tùy thuộc vào nguyên nhân của vụ tấn công.
3. Quy định miễn trừ khi lưu trữ dữ liệu nhân viên trên đám mây nước ngoài có hiệu lực khi nào?
Quy định miễn trừ này nằm trong Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và sẽ chỉ có hiệu lực từ ngày 01/01/2026. Cho đến thời điểm đó, việc lưu trữ dữ liệu nhân viên trên đám mây nước ngoài vẫn phải tuân thủ đầy đủ thủ tục lập Hồ sơ ĐGTĐ Chuyển dữ liệu ra nước ngoài.
4. Làm thế nào để chọn khu vực (region) của trung tâm dữ liệu cho phù hợp?
Bạn nên ưu tiên chọn các khu vực gần Việt Nam (như Singapore) để giảm độ trễ (latency). Đồng thời, cần xem xét các quy định pháp luật về bảo vệ dữ liệu tại quốc gia đó. Chọn một khu vực có luật pháp về quyền riêng tư mạnh sẽ giúp giảm thiểu rủi ro pháp lý.
5. Dữ liệu trên các dịch vụ như Google Drive, Microsoft 365 có phải tuân thủ không?
Có. Khi nhân viên của bạn sử dụng các dịch vụ này để lưu trữ các tài liệu công việc có chứa dữ liệu cá nhân (của khách hàng hoặc của chính các nhân viên khác), công ty của bạn đang thực hiện hành vi xử lý và lưu trữ dữ liệu trên đám mây và phải tuân thủ các quy định tương ứng.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- AWS – Shared Responsibility Model: https://aws.amazon.com/compliance/shared-responsibility-model/
- Cloud Security Alliance (CSA) – Security Guidance for Critical Areas of Focus in Cloud Computing: https://cloudsecurityalliance.org/research/guidance/
