Chuyển dữ liệu cá nhân ra nước ngoài: Nên bổ sung nhiều cơ chế chấp thuận

Tuy nhiên, từ kinh nghiệm quốc tế, vấn đề chuyển dữ liệu cá nhân ra nước ngoài có thể cần được xem xét hoàn thiện hơn, đặc biệt trong bối cảnh ngày càng có nhiều công ty công nghệ, trí tuệ nhân tạo khởi nghiệp hoặc đầu tư tại thị trường Việt Nam.

Tầm quan trọng của luồng dữ liệu xuyên biên giới

Chuyển dữ liệu cá nhân ra nước ngoài nhìn chung là việc sử dụng các phương tiện điện tử để chuyển hoặc xử lý dữ liệu cá nhân của công dân Việt Nam tại một địa điểm nằm ngoài lãnh thổ Việt Nam, theo Nghị định 13. Các giao dịch này là một vấn đề quan trọng trong dự thảo Luật Bảo vệ dữ liệu cá nhân (dự thảo luật) vì trong thời đại số hóa, các luồng thông tin của người dùng liên tục được lưu chuyển, xử lý nhằm tối ưu hóa mô hình kinh doanh trên nền tảng ứng dụng di động hoặc trang web.

Đối với các công ty, các luồng thông tin này đóng vai trò quan trọng trong việc cải thiện dịch vụ khách hàng. Vì vậy, việc có một hành lang pháp lý đủ để cân bằng giữa yêu cầu bảo vệ dữ liệu cá nhân (tránh lộ thông tin khách hàng, lừa đảo) và tạo điều kiện cho thương mại quốc tế và luồng dữ liệu (tối ưu hóa chi phí tuân thủ cho doanh nghiệp) là yêu cầu cấp thiết.

Quy định hiện hành

Theo dự thảo luật, trước khi chuyển dữ liệu cá nhân ra nước ngoài, các bên kiểm soát và xử lý dữ liệu cá nhân phải nộp hồ sơ đánh giá tác động cho cơ quan chuyên trách trong vòng 60 ngày từ khi xử lý dữ liệu. Tuy nhiên, dự thảo luật lại chưa đề cập rõ liệu dữ liệu có thể được chuyển đi trước khi nhận được sự phê duyệt từ cơ quan chuyên trách đối với hồ sơ hay không. Về vấn đề này, Nghị định 13 cũng không có quy định cụ thể về chấp thuận bắt buộc đối với hồ sơ đánh giá tác động. Nghị định 13 chỉ quy định rằng Bộ Công an có quyền yêu cầu doanh nghiệp ngừng chuyển dữ liệu ra nước ngoài nếu không thực hiện sửa đổi hồ sơ khi có thông báo. Ngoài ra, nội dung tờ trình mới nhất từ Bộ Công an về dự thảo luật đã nêu rõ dự thảo luật được xây dựng với mô hình “hậu kiểm” để phù hợp với sự phát triển của thị trường. Theo đó, doanh nghiệp tự chủ trong việc chuyển dữ liệu ra nước ngoài và Bộ Công an chỉ kiểm tra tính chính xác của hồ sơ theo quy định. Như vậy, có thể hiểu rằng trong cả Nghị định 13 lẫn dự thảo luật, việc có sự chấp thuận từ Bộ Công an trước khi chuyển dữ liệu cá nhân ra nước ngoài là không bắt buộc.

Sự thông thoáng đối với vấn đề này mặc dù có những lợi ích nhất định, song cũng có thể khiến rủi ro vi phạm của doanh nghiệp gia tăng do thiếu hướng dẫn tuân thủ ngay từ đầu, ảnh hưởng đến mục tiêu bảo vệ an toàn, an ninh dữ liệu.

Tuy nhiên, nếu áp dụng cơ chế chấp thuận bắt buộc, Việt Nam cần cân nhắc xây dựng cơ chế chấp thuận linh hoạt dựa trên loại dữ liệu và số lượng xử lý. Điều này nhằm giảm gánh nặng tuân thủ cho các công ty công nghệ khởi nghiệp có quy mô vốn nhỏ cũng như hạn chế những rào cản pháp lý không cần thiết, chẳng hạn như trường hợp các công ty chỉ chuyển một lượng nhỏ dữ liệu cơ bản liên quan đến người lao động trong nhóm công ty, hoặc giữa công ty con và công ty mẹ.

Kinh nghiệm quốc tế

Hai mô hình hiện tại có thể phù hợp cho Việt Nam tham khảo là Luật Bảo vệ thông tin cá nhân của Trung Quốc cùng các văn bản hướng dẫn (PIPL) và Quy định chung về bảo vệ dữ liệu của châu Âu (GDPR). Hai mô hình này cũng yêu cầu các doanh nghiệp nộp hồ sơ đánh giá tác động trước khi chuyển dữ liệu cá nhân ra nước ngoài(1). Song tùy thuộc vào loại dữ liệu và khối lượng dữ liệu thì sẽ có thể có các điều kiện và yêu cầu khác nhau. Theo PIPL, các cơ chế này bao gồm: yêu cầu đánh giá an ninh (security assessment), đạt chứng nhận bảo vệ thông tin cá nhân (protection certification) hoặc ký kết hợp đồng chuẩn (standard contract)(2).

Yêu cầu đánh giá an ninh là cơ chế không tồn tại trong GDPR mà chỉ có trong PIPL, áp dụng khi có hoạt động chuyển dữ liệu cá nhân ra nước ngoài đối với: bất kỳ “dữ liệu quan trọng nào” hoặc số lượng lớn dữ liệu nhạy cảm (dữ liệu có liên quan đến hơn 10.000 cá nhân) hoặc dữ liệu cơ bản(3). Cụ thể, doanh nghiệp sẽ phải tự đánh giá an ninh, sau đó gửi hồ sơ yêu cầu đánh giá an ninh đến Cục Quản lý không gian mạng Trung Quốc (CAC). Để có thể chuyển dữ liệu ra nước ngoài, hồ sơ cần phải được sự chấp thuận của cả CAC cấp tỉnh và CAC cấp quốc gia. Tổng thời gian xử lý hồ sơ ở cả hai cấp sẽ trong vòng từ 2-3 tháng trước khi nhận được chấp thuận. Kết quả đánh giá an ninh có thời hạn hai năm, tuy nhiên doanh nghiệp vẫn sẽ phải thực hiện lại yêu cầu đánh giá an ninh trong thời hạn này trong những trường hợp nhất định(4).

Trường hợp số lượng dữ liệu cá nhân xử lý thấp hơn, doanh nghiệp có thể chỉ cần đạt chứng nhận bảo vệ thông tin cá nhân và/hoặc ký kết hợp đồng chuẩn. Để đạt chứng nhận bảo vệ thông tin cá nhân, doanh nghiệp thực hiện đăng ký với các tổ chức chứng nhận được cấp phép, và sẽ được cấp chứng nhận nếu đạt đủ các điều kiện đánh giá tiêu chuẩn thống nhất của CAC(5). Nếu doanh nghiệp lựa chọn ký kết hợp đồng chuẩn, họ sẽ phải thương lượng với bên nhận dữ liệu ở nước ngoài và soạn hợp đồng với các điều khoản mẫu cố định do CAC ban hành, sau đó nộp lại CAC cấp tỉnh trong vòng 10 ngày kể từ khi ký kết(6). Hai cơ chế này tương tự như Chương trình chứng nhận dữ liệu và Hợp đồng tiêu chuẩn trong GDPR.

Có thể thấy, hệ thống phòng tuyến pháp lý theo PIPL và GDPR giảm dần cả về thời gian lẫn độ phức tạp của thủ tục, tùy thuộc vào tính chất và số lượng dữ liệu được chuyển đi. Điều này nhằm kiểm soát việc chuyển dữ liệu ra nước ngoài ở một mức độ hợp lý, không quá cởi mở dẫn đến tình trạng vi phạm diện rộng nhưng cũng không quá trói buộc dẫn đến hạn chế phát triển kinh tế.

Tiêu biểu như tại Trung Quốc, khi họ là một trong những thị trường rất thành công trong lĩnh vực công nghệ tài chính (FinTech) vốn đòi hỏi một lượng lớn dữ liệu được luân chuyển. Khung pháp lý này dường như phù hợp với định hướng xây dựng pháp luật tại Việt Nam, nhằm cân bằng giữa bảo vệ dữ liệu cá nhân và thúc đẩy thị trường kinh tế số mà vẫn hài hòa với lợi ích, an ninh quốc gia.

Vì vậy, việc tham khảo và lựa chọn mô hình phù hợp từ hai mô hình trên để điều chỉnh cho phù hợp với bối cảnh trong nước là điều đáng cân nhắc. Chẳng hạn như có thể giữ nguyên các cơ chế như PIPL nhưng nâng cao số lượng dữ liệu trong trường hợp cần đánh giá an ninh.

Nhìn chung dự thảo luật đã thể hiện những nỗ lực đổi mới và hội nhập của Việt Nam trong bối cảnh chuyển đổi số của đất nước. Tuy nhiên, về việc chuyển dữ liệu cá nhân ra nước ngoài, tác giả cho rằng việc bổ sung nhiều cơ chế chấp thuận nhằm điều chỉnh linh hoạt sẽ phù hợp hơn với thị trường Việt Nam, nơi các doanh nghiệp nhỏ và vừa vẫn đang chiếm ưu thế.

(*) Luật sư, Đoàn Luật sư TPHCM
(1) Điều 55.4 PIPL; Điều 35 GDPR
(2) Điều 38 PIPL.
(3) Điều 38 PIPL.
(4) https://www.gov.cn/zhengce/zhengceku/2022-07/08/content_5699851.htm
(5) https://www.cac.gov.cn/2025-01/03/c_1737600915141373.htm
(6) https://www.chinalawtranslate.com/en/personal-information-export-contract/

Đỗ Đình Lâm (*) - Vũ Thị Lan