Bắt đầu từ ngày 1 tháng 7 năm 2025, Việt Nam sẽ chính thức thực thi Luật Dữ liệu số 60/2024/QH15 – đạo luật toàn diện đầu tiên của quốc gia nhằm bảo vệ thông tin cá nhân và tài sản số quốc gia. Luật này phản ánh xu hướng toàn cầu ngày càng tăng trong việc các quốc gia khẳng định chủ quyền dữ liệu, đồng thời đưa ra các yêu cầu nghiêm ngặt hơn về bảo mật, quyền riêng tư và trách nhiệm đối với dữ liệu.
Đối với bất kỳ tổ chức nào đang hoạt động tại Việt Nam hoặc xử lý dữ liệu liên quan đến cá nhân người Việt, đây không còn là vấn đề xa vời, mà là ưu tiên tuân thủ ngay lập tức.
Vì sao luật này đánh dấu một kỷ nguyên kiểm soát dữ liệu mới
Luật Dữ liệu xây dựng một khung pháp lý rộng lớn và đầy tham vọng. Luật này áp dụng cho cả tổ chức trong nước và nước ngoài nếu có hoạt động thu thập, xử lý, lưu trữ hoặc truyền dữ liệu có nguồn gốc từ Việt Nam. Với các quy định mới về phân loại dữ liệu, chuyển dữ liệu ra nước ngoài, đánh giá rủi ro, và quyền sở hữu dữ liệu, luật yêu cầu tổ chức thay đổi cách tiếp cận bảo mật – bảo vệ dữ liệu phải được duy trì liên tục, theo ngữ cảnh và ngay tại cấp độ dữ liệu.
Trong môi trường pháp lý mới này, các tài liệu chính sách hay biện pháp kiểm soát thủ công không còn đủ. Tổ chức cần các giải pháp công nghệ có khả năng phân loại dữ liệu nhạy cảm tự động, thực thi chính sách sử dụng và bảo vệ dữ liệu ngay cả khi dữ liệu rời khỏi môi trường an toàn.
Đó là lý do Fasoo – nền tảng bảo mật dữ liệu tập trung – ra đời, giúp doanh nghiệp có được tầm nhìn, kiểm soát và khả năng phục hồi toàn diện để đáp ứng các yêu cầu pháp lý mới và chuẩn bị cho tương lai.
Tóm tắt Luật Dữ liệu của Việt Nam
Luật đưa ra một hệ thống quản lý toàn diện đối với tất cả hoạt động dữ liệu số tại Việt Nam, cả khu vực công và tư nhân. Các điểm chính bao gồm:
Phạm vi áp dụng rộng
Luật có hiệu lực với mọi tổ chức, bất kể quốc tịch hay vị trí địa lý, nếu tổ chức đó:
- Thu thập hoặc xử lý dữ liệu liên quan đến công dân Việt Nam
- Lưu trữ dữ liệu trên máy chủ đặt tại Việt Nam
- Cung cấp dịch vụ trực tuyến có thể truy cập từ Việt Nam
Điều này bao gồm các nhà cung cấp đám mây quốc tế, mạng xã hội, công ty thương mại điện tử, và các đơn vị AI có luồng dữ liệu liên quan đến Việt Nam. Những tổ chức từng coi Việt Nam là thị trường phụ giờ đây phải ưu tiên điều chỉnh tuân thủ pháp lý.
Yêu cầu phân loại dữ liệu bắt buộc
Tổ chức phải phân loại dữ liệu thành 3 nhóm:
- Dữ liệu Cốt lõi – Tài sản số trọng yếu ảnh hưởng trực tiếp đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, y tế công cộng hoặc an toàn.
- Dữ liệu Quan trọng – Dữ liệu có thể ảnh hưởng đến các lĩnh vực nêu trên trong trường hợp bị rò rỉ hoặc lạm dụng.
- Dữ liệu Khác – Các dữ liệu còn lại, nhưng vẫn cần mức bảo vệ tối thiểu theo luật.
Thủ tướng Chính phủ sẽ ban hành danh sách chi tiết về các loại Dữ liệu Cốt lõi và Quan trọng. Doanh nghiệp phải tự xác định dữ liệu thuộc nhóm nào và áp dụng biện pháp bảo vệ tương ứng.
Hạn chế chuyển dữ liệu ra nước ngoài
Việc chuyển dữ liệu ra khỏi lãnh thổ Việt Nam yêu cầu:
- Có lý do chính đáng (ví dụ: lưu trữ, phân tích)
- Bằng chứng về biện pháp bảo vệ tại quốc gia nhận
- Đăng ký việc chuyển dữ liệu và có sự đồng ý rõ ràng đối với một số loại dữ liệu
- Lưu trữ nhật ký truy cập và sử dụng để phục vụ kiểm tra
Không tuân thủ có thể dẫn đến đình chỉ quyền chuyển dữ liệu hoặc bị xử phạt hành chính.
Công nhận quyền sở hữu dữ liệu
Khác với luật cũ chỉ tập trung vào quyền riêng tư, Luật Dữ liệu mới chính thức công nhận dữ liệu là tài sản:
- Dữ liệu có thể được thương mại hóa qua việc nhượng quyền, chuyển nhượng, hợp tác kinh doanh
- Chủ sở hữu có quyền kiểm soát truy cập, yêu cầu trách nhiệm từ bên thứ ba, và đòi bồi thường nếu có mất mát, lạm dụng
Điều này yêu cầu tổ chức phải xác định chủ sở hữu dữ liệu, quy định vai trò bảo quản trong hợp đồng, và lưu giữ hồ sơ kiểm toán chi tiết để hỗ trợ việc giải quyết tranh chấp.
Quản trị, kiểm toán và đánh giá rủi ro
Tổ chức xử lý dữ liệu thuộc phạm vi điều chỉnh của luật phải:
- Tiến hành đánh giá tác động dữ liệu định kỳ
- Bổ nhiệm cán bộ phụ trách bảo vệ dữ liệu hoặc trưởng nhóm tuân thủ
- Gửi báo cáo hằng năm về kết quả phân loại, hoạt động chuyển dữ liệu và sự cố
- Hợp tác với cơ quan quản lý Việt Nam trong quá trình kiểm toán và thanh tra
Điều này phản ánh sự chuyển đổi của Việt Nam sang mô hình quản trị dữ liệu dựa trên rủi ro, minh bạch và có thể thực thi.
Fasoo hỗ trợ tổ chức tuân thủ Luật Dữ liệu như thế nào
Khám phá, phân loại và giám sát dữ liệu với Fasoo Data Radar + Fasoo DSPM
- Fasoo Data Radar tự động quét, phân loại và theo dõi dữ liệu ở trạng thái tĩnh, đang di chuyển hoặc đang sử dụng.
- Fasoo DSPM (Data Security Posture Management) đánh giá rủi ro bảo mật liên tục, áp dụng chính sách phù hợp theo mức độ nhạy cảm và ngữ cảnh dữ liệu.
→ Giúp tổ chức đáp ứng yêu cầu phân loại bắt buộc và nhìn rõ dữ liệu cốt lõi, dữ liệu quan trọng.
Kiểm soát truy cập với Fasoo Enterprise DRM
- Fasoo DRM mã hóa tập tin và áp dụng chính sách truy cập đi kèm, dù tập tin đó nằm trong hay ngoài hệ thống.
- Ngăn chặn truy cập trái phép, kể cả khi dữ liệu bị chia sẻ ra ngoài hoặc sao lưu lên thiết bị không được quản lý.
- Ghi nhật ký đầy đủ để hỗ trợ đánh giá rủi ro và kiểm tra tuân thủ.
Kiểm soát dữ liệu xuyên biên giới
- Fasoo giúp tổ chức kiểm soát ai, khi nào, ở đâu và như thế nào được phép truy cập dữ liệu.
- Ngăn chặn dữ liệu nhạy cảm rời khỏi lãnh thổ Việt Nam khi chưa được phép.
- Duy trì hồ sơ kiểm toán đầy đủ để chứng minh tuân thủ luật chuyển dữ liệu quốc tế.
Tuân thủ nhưng có kiểm soát
Luật Dữ liệu của Việt Nam đánh dấu một bước ngoặt lớn trong cách thức quản lý, chia sẻ và bảo vệ dữ liệu số. Nhưng tuân thủ không phải là gánh nặng – mà là cơ hội chiến lược để xây dựng hệ thống dữ liệu thông minh, linh hoạt và an toàn hơn.
Với Fasoo, tổ chức không chỉ đạt được sự tuân thủ luật pháp, mà còn đạt được kiểm soát, minh bạch và niềm tin trong cách quản trị dữ liệu – chuyển từ phản ứng sang chủ động bảo vệ, đồng thời vẫn tạo điều kiện cho hợp tác và đổi mới.
