1. Quan niệm về chuyển dữ liệu cá nhân ra nước ngoài
Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác để chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam.
Theo Nghị định số 13/2023/NĐ-CP, ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP), việc chuyển dữ liệu cá nhân ra nước ngoài phải đáp ứng các yêu cầu: (i) trước khi chuyển dữ liệu cá nhân ra nước ngoài phải có sự đồng ý của chủ sở hữu dữ liệu; (ii) phạm vi chuyển dữ liệu cá nhân ra nước ngoài được xác định dựa theo mục đích xử lý dữ liệu đã được chủ thể dữ liệu đồng ý; (iii) phương thức chuyển dữ liệu cá nhân ra nước ngoài có thể thực hiện qua không gian mạng hoặc không thông qua không gian mạng; (iv) chủ thể thực hiện hoạt động chuyển dữ liệu cá nhân ra nước ngoài gồm: tổ chức, doanh nghiệp, cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân; (v) nội dung hoạt động chuyển dữ liệu: chuyển dữ liệu cá nhân cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý hoặc xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ Việt Nam. Tại Hiệp định thương mại tự do giữa Liên minh châu Âu và Việt Nam (EVFTA), hai bên đã có những cam kết về bảo vệ dữ liệu cá nhân. Theo Điều 8.45 Hiệp định EVFTA, các bên sẽ phải ban hành hoặc duy trì các biện pháp phù hợp để bảo vệ dữ liệu cá nhân và quyền riêng tư, bao gồm các bản ghi và tài khoản cá nhân. Trong đó, đối với lĩnh vực tài chính, các bên sẽ cho phép chuyển thông tin ra ngoài lãnh thổ để xử lý phù hợp với tính chất cung cấp dịch vụ tài chính.
2. Các quy định pháp luật về chuyển dữ liệu cá nhân ra nước ngoài
Hiện nay, Nghị định số 13/2023/NĐ-CP là văn bản pháp lý chủ yếu quy định về các chủ thể trong hoạt động thực hiện chuyển dữ liệu cá nhân ra nước ngoài cũng như điều kiện về hồ sơ đánh giá tác động xử lý dữ liệu và thủ tục chuyển dữ liệu.
Điều kiện về các chủ thể trong hoạt động thực hiện chuyển dữ liệu
Theo Nghị định số 13/2023/NĐ-CP, hoạt động xử lý dữ liệu cá nhân có sự tham gia của các chủ thể sau đây: (i) Bên Kiểm soát dữ liệu là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân; (ii) Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu; (iii) Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân; (iv) Bên thứ ba là tổ chức, cá nhân ngoài chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Nghị định số 13/2023/NĐ-CP quy định khi một chủ thể cung cấp dịch vụ dữ liệu được chia sẻ cho bên thứ ba dưới bất kỳ hình thức nào đều phải có sự đồng ý của chủ thể dữ liệu. Trường hợp không có sự đồng ý này, chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của họ. Tuy nhiên, quyền yêu cầu xóa dữ liệu này sẽ bị hạn chế nếu việc chia sẻ dữ liệu thuộc các trường hợp khẩn cấp, cần thiết mà phải có sự đồng ý trước có thể dẫn đến thiệt hại nghiêm trọng hơn trong tương lai.
Hồ sơ đánh giá tác động xử lý dữ liệu và thủ tục chuyển dữ liệu
Theo khoản 2, Điều 25 Nghị định số 13/2023/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu gồm: “a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh; h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân”.
Hồ sơ phải gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu cá nhân. Sau khi chuyển dữ liệu thành công, bên chuyển phải thông báo bằng văn bản cho Cục An ninh mạng. Khi có thay đổi về nội dung hồ sơ, phải cập nhật và gửi lại trong vòng 10 ngày kể từ ngày có yêu cầu. Bộ Công an có quyền kiểm tra việc chuyển dữ liệu cá nhân ra nước ngoài 1 lần/năm hoặc khi phát hiện vi phạm. Cần lưu ý rằng, hồ sơ đánh giá tác động dữ liệu cá nhân và hồ sơ đánh giá dữ liệu cá nhân chuyển ra nước ngoài là 2 hồ sơ riêng biệt, khác nhau về nội dung và thủ tục1.
Hồ sơ đánh giá tác động dữ liệu cá nhân chuyển ra nước ngoài được lập và lưu không phụ thuộc vào hình thức chuyển dữ liệu ra nước ngoài (hình thức tự động hoặc các hình thức khác).
Hồ sơ đánh giá tác động xử lý dữ liệu, đặc biệt trong trường hợp chuyển dữ liệu ra nước ngoài phải đáp ứng được 8 nguyên tắc về việc xử lý dữ liệu cá nhân quy định tại Điều 3 Nghị định số 13/2023/NĐ-CP; 11 quyền của chủ thể dữ liệu quy định tại Điều 9 Nghị định số 13/2023/NĐ-CP; và thể hiện được một cách cụ thể sự ràng buộc trách nhiệm của từng chủ thể và giữa các chủ thể với vai trò là chủ thể xử lý dữ liệu chuyển ra nước ngoài2.
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, bất kể do chủ thể nào thực hiện, đều nhấn mạnh sự cần thiết của cơ chế bảo vệ dữ liệu. Điều này được bảo đảm qua việc đánh giá rủi ro và tác động tiềm ẩn đến quyền riêng tư, bảo mật trước khi dữ liệu được chuyển. Việc yêu cầu lập và lưu trữ hồ sơ này không phải là thủ tục “tiền kiểm”, vì chủ thể chuyển dữ liệu tự chủ động thực hiện mà không cần đăng ký với cơ quan nhà nước.
Ngoài Nghị định số 13/2023/NĐ-CP, việc chuyển dữ liệu cá nhân ra nước ngoài còn được thể hiện trong các luật chuyên ngành và văn bản dưới luật khác như: Luật An ninh mạng năm 2018 và Nghị định số 53/2022/NĐ-CP, ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng, có quy định một số loại dữ liệu phải lưu trữ tại Việt Nam trong thời hạn tối thiểu 24 tháng đối với doanh nghiệp nước ngoài có hoạt động kinh doanh tại Việt Nam thuộc lĩnh vực nhạy cảm.
Như vậy, về cơ bản, Việt Nam đã thiết lập khung pháp lý khá toàn diện và có tính hệ thống về chuyển dữ liệu cá nhân ra ngoài lãnh thổ quốc gia. Các văn bản quy phạm pháp luật hiện hành đã làm rõ phạm vi điều chỉnh và đối tượng áp dụng, đồng thời xác lập cơ chế giám sát, kiểm soát chặt chẽ thông qua yêu cầu bắt buộc về hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân và thẩm quyền của chủ thể dữ liệu. Việc đặt trọng tâm vào việc bảo vệ dữ liệu cá nhân của công dân Việt Nam là phù hợp với tinh thần của Điều 21 Hiến pháp năm 2013 về quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình.
So với các quốc gia trên thế giới, quy định của Việt Nam có nhiều điểm tương đồng với Quy chế chung về Bảo vệ dữ liệu của Liên minh châu Âu (GDPR) và quy định của một số quốc gia như Trung Quốc, Liên bang Nga. Luật số 233-F3 của Liên bang Nga ngày 08/8/2024 sửa đổi Luật 152-FZ về dữ liệu cá nhân và Nghị định của Chính phủ Liên bang Nga ngày 10/01/2023 về việc cấm hoặc hạn chế chuyển dữ liệu cá nhân xuyên biên giới quy định 2 trường hợp có thể chuyển dữ liệu cá nhân: (i) đến các quốc gia đã ký Công ước của Hội đồng Châu Âu về Bảo vệ Dữ liệu Cá nhân khi xử lý dữ liệu tự động; hoặc đến các quốc gia chưa ký Công ước nói trên nhưng có trong Danh mục được phép chuyển của Cơ quan giám sát Liên bang về thông tin liên lạc, công nghệ và truyền thông đại chúng; (ii) đến các quốc gia khác nhưng với các điều kiện nhất định, ví dụ, nếu có sự đồng ý của chủ thể về việc chuyển giao thông tin hoặc có một điều ước quốc tế quy định về vấn đề này. Ngoài ra, nếu cần dữ liệu về một công dân Nga, với mục đích bảo vệ tính mạng, sức khỏe và các lợi ích quan trọng của công dân đó, mặc dù không thể có được sự đồng ý của công dân thì vẫn có thể chuyển dữ liệu cá nhân xuyên biên giới3. Ở Trung Quốc, việc truyền dữ liệu được tiến hành đối với các dữ liệu có tính chất quan trọng tuân thủ theo Luật An ninh dữ liệu năm 2021. Cụ thể, Điều 36 Luật này quy định thông tin cá nhân do cơ quan công quyền xử lý phải được lưu trữ tại lãnh thổ nước Cộng hòa Nhân dân Trung Hoa.
Nếu cần cung cấp thông tin đó cho bên nước ngoài, phải tiến hành đánh giá an ninh. Các nhà khai thác cơ sở hạ tầng thông tin quan trọng nhận hoặc tạo dữ liệu nhạy cảm trong quá trình hoạt động tại Trung Quốc phải tuân thủ Luật khi họ ra khỏi biên giới. Nếu bộ xử lý dữ liệu không phải là đơn vị vận hành cơ sở hạ tầng thông tin quan trọng, đơn vị đó phải trải qua đánh giá bảo mật chuyển dữ liệu xuyên biên giới theo “phương pháp đánh giá bảo mật chuyển dữ liệu xuyên biên giới” và phải được cơ quan có thẩm quyền chấp thuận trước khi chuyển dữ liệu. Ngay cả khi dữ liệu được chuyển ra nước ngoài không có ý nghĩa quan trọng vẫn cần phải trải qua đánh giá bảo mật và xin phép từ cơ quan chức năng trong các trường hợp sau: nếu dữ liệu chuyển ra ngoài biên giới có chứa dữ liệu quan trọng; nếu nhà điều hành cơ sở hạ tầng có các thông tin quan trọng, hoặc bộ xử lý tiến hành xử lý dữ liệu cá nhân của hơn một triệu người đề nghị cung cấp dữ liệu cá nhân ra nước ngoài4.
Mặc dù có những điểm tương đồng, Việt Nam vẫn có điểm khác biệt là duy trì một số biện pháp kiểm soát chuyển dữ liệu xuyên biên giới chặt chẽ hơn nhiều quốc gia trong khu vực, nhằm bảo vệ an ninh quốc gia và quyền lợi công dân5.
Nhìn tổng thể, khung pháp lý hiện hành về chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam vẫn còn một số hạn chế nhất định như:
Thứ nhất, Nghị định số 13/2023/NĐ-CP chưa xác định rõ yếu tố “ngoài lãnh thổ”. Vì vậy, căn cứ Hiến pháp năm 2013, lãnh thổ Việt Nam gồm có đất liền, hải đảo, vùng biển và vùng trời - nơi mà tại đó, quốc gia duy trì giới hạn quyền lực của nhà nước đối với cộng đồng dân cư trong lãnh thổ. Do vậy, khi cần xác định một địa điểm có nằm ngoài lãnh thổ Việt Nam hay không, có thể dựa vào hai tiêu chí: (1) vị trí địa điểm đó phải nằm ngoài ranh giới đã được xác định là lãnh thổ Việt Nam; (2) khu vực đó phải được công nhận quốc tế là thuộc lãnh thổ của một quốc gia khác.
Thứ hai, gánh nặng thủ tục hành chính cho doanh nghiệp. Yêu cầu về hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đòi hỏi doanh nghiệp phải thu thập một lượng lớn thông tin, gây tốn kém thời gian và chi phí, đặc biệt đối với các doanh nghiệp nhỏ và vừa. Thêm vào đó, việc thiếu các trường hợp ngoại lệ và yêu cầu cập nhật liên tục hồ sơ khiến quá trình tuân thủ trở nên phức tạp và tốn kém hơn6.
Thứ ba, chưa xác định rõ hành vi vi phạm an ninh quốc gia liên quan đến dữ liệu cá nhân, đây cũng là một thách thức không nhỏ đối với cả cơ quan quản lý và doanh nghiệp. Các tiêu chí xác định tại Điều 17 Luật An ninh mạng năm 2018 chưa cụ thể, khiến doanh nghiệp gặp khó khăn trong việc đánh giá chính xác mức độ tuân thủ và xây dựng chiến lược phòng ngừa rủi ro hiệu quả. Điều này tạo ra một môi trường pháp lý không chắc chắn, làm gia tăng chi phí tuân thủ và có thể dẫn đến việc áp dụng quá mức biện pháp phòng ngừa hoặc ngược lại, bỏ qua những rủi ro tiềm ẩn.
Thứ tư, chưa có quy định về danh mục các loại dữ liệu cá nhân bị cấm hoặc hạn chế chuyển ra nước ngoài. Điều này tạo ra sự không chắc chắn cho doanh nghiệp và tổ chức khi thực hiện hoạt động chuyển giao dữ liệu xuyên biên giới. Sự thiếu vắng danh mục rõ ràng về dữ liệu nhạy cảm cần bảo vệ đặc biệt khi chuyển ra nước ngoài có thể dẫn đến rủi ro về quyền riêng tư và an ninh thông tin của chủ sở hữu dữ liệu.
Thứ năm, thiếu cơ quan bảo vệ dữ liệu độc lập. Khác với Liên minh Châu Âu có các Cơ quan Bảo vệ Dữ liệu độc lập (DPAs), Việt Nam hiện chưa có cơ quan bảo vệ dữ liệu độc lập7, mà hiện chỉ có Bộ Công an chịu trách nhiệm giám sát các vấn đề liên quan đến bảo vệ dữ liệu, chủ yếu thông qua góc nhìn an ninh mạng.
3. Một số giải pháp hoàn thiện khung pháp lý về chuyển dữ liệu cá nhân ra nước ngoài
Thứ nhất, cần làm rõ yếu tố “ngoài lãnh thổ” trong quy định pháp luật.
Việt Nam có thể tham khảo cách làm tương tự như GDPR để ban hành Danh mục các quốc gia, lãnh thổ, khu vực, tổ chức quốc tế có tiêu chuẩn cao về bảo vệ dữ liệu cá nhân mà việc chuyển dữ liệu cá nhân tới đó được xem như đang chuyển dịch trong nội bộ Việt Nam. Xem xét cho phép các công ty đa quốc gia trình lên cơ quan quản lý Việt Nam bộ tiêu chuẩn bảo vệ dữ liệu, quy trình và biện pháp kỹ thuật bảo mật thông tin cá nhân của công dân Việt Nam khi vận chuyển dữ liệu trong nội bộ để lưu trữ tập trung tại một số quốc gia có hệ thống an toàn, hoạt động này được xem như là đang xử lý dữ liệu trong nội bộ Việt Nam. Điều này góp phần mở rộng quan hệ quốc tế, tăng cường giao thương giữa các doanh nghiệp, cũng như bảo đảm an toàn cho dòng dữ liệu xuyên quốc gia.
Thứ hai, rút gọn thủ tục hành chính về lập hồ sơ đánh giá tác động.
Cần ban hành hướng dẫn chi tiết về lập hồ sơ đánh giá tác động, đánh giá rủi ro, xác định trách nhiệm các bên, quy trình xử lý sự cố và cơ chế giải quyết khiếu nại. Ban hành hướng dẫn chi tiết về lập hồ sơ đánh giá tác động, đánh giá rủi ro, xác định trách nhiệm các bên, quy trình xử lý sự cố và giải quyết khiếu nại về chuyển dữ liệu cá nhân ra nước ngoài. Hướng dẫn cần quy định rõ phương pháp đánh giá mức độ bảo vệ dữ liệu tại quốc gia nhận, biện pháp bảo mật kỹ thuật bắt buộc, cơ chế giám sát và thời hạn xử lý vi phạm, nhằm bảo đảm quyền lợi của chủ thể dữ liệu.
Đối với các công ty đa quốc gia có trụ sở đặt ở nhiều nước đáp ứng đủ về mức độ an toàn về bảo vệ dữ liệu cá nhân thì có thể gộp bộ hồ sơ đánh giá tác động dữ liệu cá nhân (Điều 24 Nghị định số 13/2023/NĐ-CP) và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Điều 25 Nghị định số 13/2023/NĐ-CP) thành một bộ hồ sơ chuyển dữ liệu đặc thù cho doanh nghiệp.
Thứ ba, xác định rõ hành vi vi phạm an ninh quốc gia liên quan đến dữ liệu cá nhân.
Để xác định hành vi vi phạm an ninh quốc gia liên quan đến dữ liệu cá nhân, Việt Nam có thể tham khảo quy định của GDPR. Mặc dù không sử dụng trực tiếp thuật ngữ “an ninh quốc gia” như trong pháp luật Việt Nam, nhưng GDPR quy định nhiều hành vi vi phạm về dữ liệu cá nhân có thể gây ảnh hưởng nghiêm trọng đến an ninh quốc gia, trật tự xã hội, đặc biệt khi dữ liệu cá nhân bị xử lý, chuyển giao, tiết lộ hoặc sử dụng trái phép với quy mô lớn hoặc liên quan đến các cá nhân, tổ chức quan trọng. Các hành vi này bao gồm: (1) Tiết lộ, truy cập, chuyển giao dữ liệu cá nhân trái phép; (2) Xử lý dữ liệu cá nhân không tuân thủ quy định bảo mật; (3) Thu thập, sử dụng dữ liệu cá nhân trái phép với mục đích xấu; (4) Không bảo đảm quyền kiểm soát của cá nhân đối với dữ liệu; (5) Không tuân thủ nghĩa vụ lưu trữ, bảo mật và giám sát8. Các hành vi vi phạm này nếu xảy ra trên quy mô lớn, liên quan đến dữ liệu nhạy cảm hoặc dữ liệu của các cá nhân/tổ chức quan trọng, đều có thể bị coi là đe dọa an ninh quốc gia.
Thứ tư, xác định rõ các loại dữ liệu cá nhân bị cấm hoặc hạn chế chuyển ra nước ngoài.
Để xác định các loại dữ liệu cá nhân bị cấm hoặc hạn chế chuyển ra nước ngoài, Việt Nam có thể tham khảo quy định của GDPR. Một số loại dữ liệu cá nhân nhạy cảm bị hạn chế hoặc cấm xử lý và chuyển ra ngoài Khu vực Kinh tế châu Âu (EEA) gồm: (1) Dữ liệu về sức khỏe - thông tin liên quan đến tình trạng sức khỏe thể chất hoặc tinh thần; (2) Khuynh hướng chính trị - thông tin về quan điểm, hoạt động chính trị của cá nhân; (3) Sở thích tình dục - thông tin về xu hướng tình dục của cá nhân; (4) Tín ngưỡng tôn giáo - thông tin về niềm tin tôn giáo hoặc triết lý sống; (5) Nguồn gốc dân tộc - thông tin về chủng tộc hoặc dân tộc của cá nhân9. GDPR đề cập đến những loại dữ liệu này do những rủi ro về quyền riêng tư có thể phát sinh từ việc sử dụng những thông tin này.
Mục đích của quy định trên là bảo vệ dữ liệu cá nhân và quyền của chủ thể dữ liệu bằng cách hạn chế chuyển dữ liệu đến các quốc gia có thể không có cùng mức độ bảo vệ như EEA10.
Thứ năm, thiết lập cơ quan bảo vệ dữ liệu độc lập.
Trong bối cảnh chuyển đổi số mạnh mẽ, việc thành lập cơ quan bảo vệ dữ liệu độc lập tại Việt Nam là yêu cầu cấp thiết. Cơ quan này sẽ bảo đảm thực thi hiệu quả các quy định về bảo vệ dữ liệu cá nhân, giám sát tuân thủ pháp luật của các tổ chức xử lý dữ liệu và xử lý khiếu nại kiến nghị của người dân. Đây không chỉ là xu hướng quốc tế mà còn là biện pháp thiết yếu bảo vệ quyền riêng tư của công dân trong kỷ nguyên số, đồng thời tạo môi trường tin cậy cho phát triển kinh tế số.
Thứ sáu, bổ sung quy định về xử phạt hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân.
Luật Xử lý vi phạm hành chính hiện hành cần được bổ sung quy định về xử phạt các hành vi vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu xuyên biên giới. Cần điều chỉnh mức phạt 1 - 5% doanh thu cho phù hợp với hệ thống pháp luật Việt Nam. Đồng thời, làm rõ phạm vi điều chỉnh đối với dữ liệu xuyên biên giới và xây dựng cơ chế kiểm soát hiệu quả. Pháp luật cũng cần được cập nhật để tăng cường bảo vệ dữ liệu trong các công nghệ mới như blockchain (chuỗi khối), trí tuệ nhân tạo (AI) và metaverse (vũ trụ ảo).
Thứ bảy, tăng cường vai trò của chủ thể dữ liệu.
Cần bảo đảm chủ thể dữ liệu được thông tin, đầy đủ, minh bạch về mục đích, phạm vi, rủi ro và quyền lợi khi dữ liệu cá nhân được chuyển ra nước ngoài. Thiết lập cơ chế đồng thuận chủ động (opt-in), cho phép chủ thể dữ liệu có quyền từ chối hoặc rút lại sự đồng ý bất kỳ lúc nào. Cung cấp cơ chế phản hồi, khiếu nại, yêu cầu xóa hoặc chỉnh sửa dữ liệu dễ dàng, hiệu quả. Đồng thời, tổ chức xử lý dữ liệu phải chứng minh mức độ tuân thủ các tiêu chuẩn bảo vệ tương đương hoặc cao hơn quy định pháp luật Việt Nam, thực hiện đánh giá tác động quyền riêng tư trước khi chuyển dữ liệu và chịu trách nhiệm pháp lý về mọi vi phạm phát sinh từ việc chuyển giao dữ liệu xuyên biên giới.
1. Hồ sơ đánh giá tác động dữ liệu cá nhân quy định tại Điều 24 và hồ sơ đánh giá dữ liệu cá nhân chuyển ra nước ngoài quy định tại khoản 2 Điều 25 Nghị định số 13/2023/NĐ-CP.
2. Mai Thị Nhi: Chuyển dữ liệu cá nhân ra nước ngoài theo quy định của pháp luật Việt Nam, Kỷ yếu Hội thảo khoa học quốc tế về Bảo vệ dữ liệu cá nhân trong môi trường số, Nxb. Đại học Quốc gia Thành phố Hồ Chí Minh, tr. 634.
3. Федеральный закон от 08/8/2024 233-ФЗ “О внесении изменений в Федеральный закон “О персональных данных”, Luật của Liên bang Nga số 233-F3 ngày 08/8/2024 sửa đổi Luật số 152-FZ ngày 27/7/2006 về dữ liệu cá nhân, https://www.garant.ru/products/ipo/prime/doc/409393125/.
4. Закон КНР, О безопасности данных»: краткий обзор, Khái quát Luật an ninh dữ liệu của Trung Quốc, https://cnlegal.ru/china_ economic_law/china_data_security_law_2021/.
5. ThS. Nguyễn Giang Trường: “Thực trạng về vấn đề bảo vệ dữ liệu cá nhân, kinh nghiệm một số quốc gia, khu vực và đề xuất hoàn thiện pháp luật ở Việt Nam hiện nay”, ngày 24/10/2024, Tạp chí Công thương điện tử, https://tapchicongthuong.vn/thuc-trang-ve-van-de-bao-ve-du-lieu-ca-nhan--kinh-nghiem-mot-so-quoc-gia--khu-vuc-va-de-xuat-hoan-thien-phap-luat-o-viet-nam-hien-nay-123559.htm.
6. Thu Trang - Hoài Linh: “Tránh rủi ro pháp lý khi chuyển dữ liệu cá nhân ra nước ngoài”, ngày 16/10/2024, https://theleader.vn/tranh-rui-ro-phap-ly-khi-chuyen-du-lieu-ca-nhan-ra-nuoc-ngoai-d37457.html.
7. Bùi Công Thành: “So sánh pháp luật bảo vệ dữ liệu cá nhân giữa Việt Nam và Liên minh Châu Âu”, ngày 27/12/2024, https://plf.vn/vi/so-sanh-phap-luat-bao-ve-du-lieu-ca-nhan-giua-viet-nam-valien-minh-chau-au/.
8. Toki Kawase: “GDPR là gì? Giải thích các điểm so sánh với “Luật Bảo vệ Thông tin Cá nhân” và những điểm doanh nghiệp Nhật Bản cần lưu ý”, ngày 01/5/2024, https://monolith.law/vi/ general-corporate/gdpr-personal-information-protection-law.
9. José González Cabañas: Facebook Use of Sensitive Data for Advertising in Europe, https://arxiv.org/abs/1802.05030.
10. Marcelo Corrales Compagnucci Dr., The Future of International Data Transfers: Managing Legal Risk with a User-Held Data Model, https://arxiv.org/abs/2407.20514.