Trách nhiệm của doanh nghiệp nước ngoài khi xử lý dữ liệu và dữ liệu cá nhân của người Việt Nam

Bản tin pháp luật

Trách nhiệm của doanh nghiệp nước ngoài khi xử lý dữ liệu và dữ liệu cá nhân của người Việt Nam

LexNovum Lawyers

LexNovum Lawyers

07/05/2026

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, sự hiện diện và mở rộng hoạt động của các doanh nghiệp nước ngoài (“DNNN”) tại Việt Nam ngày càng gia tăng, đặc biệt trong các lĩnh vực công nghệ và cung cấp dịch vụ xuyên biên giới. Song song với xu hướng này, việc bảo vệ dữ liệu và dữ liệu cá nhân (“DLCN”) của người Việt Nam đã trở thành một yêu cầu cấp thiết.

Nhằm đáp ứng yêu cầu quản lý trong bối cảnh mới, Việt Nam đã từng bước hoàn thiện khung pháp lý liên quan đến dữ liệu với các văn bản quan trọng như Luật Dữ liệu 2024, Nghị định 165/2025/NĐ-CP hướng dẫn Luật Dữ liệu, Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng, cùng với các quy định về bảo vệ DLCN như Luật Bảo vệ DLCN 2025 và Nghị định 356/2025/NĐ-CP hướng dẫn chi tiết một số điều của Luật Bảo vệ DLCN. Các quy định này không chỉ mở rộng phạm vi điều chỉnh mà còn thiết lập những yêu cầu chặt chẽ hơn đối với hoạt động thu thập, xử lý và lưu trữ dữ liệu. Trên cơ sở đó, trách nhiệm của DNNN trong việc xử lý dữ liệu và DLCN của người Việt Nam ngày càng được xác định rõ ràng và toàn diện hơn.

Trong bài viết này, LexNovum Lawyers (“LNV”) sẽ khái quát một số trách nhiệm của DNNN khi xử lý dữ liệu và DLCN của người Việt Nam nhằm hỗ trợ Quý khách hàng hiểu rõ và nhận diện đầy đủ nghĩa vụ tuân thủ theo khung pháp lý hiện hành.

1. Trách nhiệm của DNNN khi xử lý dữ liệu tại Việt Nam

Theo khoản 12 Điều 2 Nghị định 53/2022/NĐ-CP, DNNN là doanh nghiệp được thành lập hoặc đăng ký thành lập theo pháp luật nước ngoài.

Căn cứ Điều 2 Luật Dữ liệu 2024, ngoài cơ quan, tổ chức, cá nhân Việt Nam, đối tượng áp dụng của Luật Dữ liệu còn bao gồm cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam và cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động dữ liệu số[1] tại Việt Nam. Theo đó, DNNN tại Việt Nam hoặc kể cả trong một số trường hợp không có hiện diện thương mại tại Việt Nam, DNNN vẫn phải tuân thủ quy định của Luật Dữ liệu.

Qua rà soát Luật Dữ liệu 2024 và văn bản hướng dẫn thi hành hiện hành, LNV điểm qua một số quy định mà DNNN phải tuân thủ, như quy định về quyền và trách nhiệm trong hoạt động thu thập, tạo lập dữ liệu tại khoản 3 Điều 11 Luật Dữ liệu 2024, cụ thể:

(i) Về quyền, DNNN được thu thập, tạo lập dữ liệu để phục vụ cho hoạt động của mình phù hợp với quy định của pháp luật. Đồng thời, DNNN cũng được bảo vệ các quyền đối với chủ sở hữu dữ liệu theo quy định của Luật Dữ liệu 2024, quy định của pháp luật về dân sự và quy định khác của pháp luật có liên quan;

(ii) Về trách nhiệm, DNNN phải chịu trách nhiệm đối với dữ liệu do mình thu thập, tạo lập theo quy định của pháp luật. Ví dụ, theo khoản 1, 2 và 11 Điều 17 Nghị định 165/2025/NĐ-CP, DNNN, với tư cách là chủ quản dữ liệu[2], phải thiết lập hệ thống quản lý việc bảo vệ dữ liệu trong toàn bộ quá trình xử lý dữ liệu và thực hiện các biện pháp bảo vệ dữ liệu trong quá trình thu thập, tạo lập dữ liệu. Ngoài ra, trong trường hợp DNNN là chủ quản dữ liệu cốt lõi[3], dữ liệu quan trọng[4], DNNN hàng năm phải thực hiện đánh giá rủi ro đối với hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng trong phạm vi quản lý, lập, lưu trữ báo cáo đánh giá rủi ro theo quy định.

Đáng chú ý là, theo khoản 3 Điều 26 Nghị định 53/2022/NĐ-CP, nếu DNNN có hoạt động kinh doanh tại Việt Nam trong một số lĩnh vực đặc thù như: Dịch vụ viễn thông; lưu trữ, chia sẻ dữ liệu trên không gian mạng; cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; thương mại điện tử; thanh toán trực tuyến; trung gian thanh toán; dịch vụ kết nối vận chuyển qua không gian mạng; mạng xã hội và truyền thông xã hội; trò chơi điện tử trên mạng; dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến, DNNN phải lưu trữ dữ liệu tại Việt Nam và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam trong trường hợp được yêu cầu. Các yêu cầu này chỉ áp dụng trong trường hợp dịch vụ do DNNN cung cấp bị sử dụng thực hiện hành vi vi phạm pháp luật về an ninh mạng và đã được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thông báo và có yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản nhưng doanh nghiệp đó không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện.

Hiểu ngắn gọn, nghĩa vụ lưu trữ dữ liệu tại Việt Nam và đặt chi nhánh/văn phòng đại diện không phải là nghĩa vụ mặc định áp dụng cho mọi DNNN hoạt động trong các lĩnh vực nêu trên, mà là nghĩa vụ có điều kiện. Cụ thể, nghĩa vụ này chỉ phát sinh khi đồng thời thỏa mãn hai yếu tố:

  • Dịch vụ do doanh nghiệp cung cấp bị sử dụng để thực hiện hành vi vi phạm pháp luật về an ninh mạng; và
  • Doanh nghiệp không hợp tác hoặc hợp tác không đầy đủ với cơ quan có thẩm quyền theo yêu cầu bằng văn bản.

Nói cách khác, đây là biện pháp quản lý mang tính “hậu kiểm và cưỡng chế tuân thủ”, thay vì là một điều kiện gia nhập thị trường áp dụng ngay từ đầu đối với mọi doanh nghiệp

Theo đó, dữ liệu mà DNNN thuộc các trường hợp nêu trên phải lưu trữ bao gồm:

  • Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;
  • Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: Tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu;
  • Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.

Như vậy, DNNN khi tham gia xử lý dữ liệu tại Việt Nam, kể cả trong một số trường hợp không có hiện diện thương mại, vẫn có thể thuộc đối tượng điều chỉnh của pháp luật Việt Nam và phải tuân thủ các nghĩa vụ tương ứng. Trong một số trường hợp nhất định, DNNN còn có thể phát sinh nghĩa vụ lưu trữ dữ liệu tại Việt Nam và thành lập hiện diện thương mại.

2. Trách nhiệm của DNNN khi xử lý DLCN của người Việt Nam

Theo khoản 2 Điều 1 Luật Bảo vệ DLCN 2025 và Điều 2 Nghị định 356/2025/NĐ-CP, quy định về bảo vệ DLCN không chỉ áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam mà còn áp dụng cả với cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam cũng như cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý DLCN của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

Theo đó, khi xử lý DLCN của người Việt Nam, DNNN cũng là đối tượng phải tuân thủ các quy định của pháp luật Việt Nam về việc bảo vệ DLCN tương tự như các doanh nghiệp trong nước. Một số trách nhiệm cần kể đến như:

(i) Chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN (khoản 2 Điều 33 Luật Bảo vệ DLCN 2025).

(ii) Xây dựng cơ chế thu thập và tiếp nhận sự đồng ý của chủ thể DLCN (Điều 9 Luật Bảo vệ DLCN 2025, Điều 6 Nghị định 356/2025/NĐ-CP).

(iii) Thông báo việc xử lý DLCN (đảm bảo thể hiện rõ các nội dung tại khoản 2 Điều 9 Luật Bảo vệ DLCN 2025).

(iv) Xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu (Điều 5 Nghị định 356/2025/NĐ-CP).

(v) Xác lập thỏa thuận với bên xử lý DLCN (trường hợp Quý khách hàng yêu cầu một bên thứ ba tham gia xử lý DLCN cho Quý khách hàng) (điểm a khoản 1, điểm a, b khoản 2 Điều 37 Luật Bảo vệ DLCN 2025).

(vi) Nộp hồ sơ đánh giá tác động xử lý DLCN và hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (Điều 20, Điều 21 Luật Bảo vệ DLCN 2025 và Điều 17, 18, 19 Nghị định 356/2025/NĐ-CP).

Liên quan đến trách nhiệm này, LNV cũng lưu ý thêm, như đã trình bày tại Mục 1 của bài viết, trong trường hợp DNNN là chủ quản dữ liệu cốt lõi, dữ liệu quan trọng, DNNN hàng năm phải thực hiện đánh giá rủi ro đối với hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng theo quy định. Tuy nhiên, theo khoản 2 Điều 16 Nghị định 165/2025/NĐ-CP, được sửa đổi bởi khoản 3 Điều 42 Nghị định 356/2025/NĐ-CP, trường hợp DNNN chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới là DLCN, DNNN đã thực hiện hồ sơ đánh giá tác động xử lý DLCN, đánh giá tác động chuyển DLCN xuyên biên giới theo quy định của pháp luật về bảo vệ DLCN thì DNNN không phải thực hiện đánh giá rủi ro, đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới theo quy định của Nghị định 165/2025/NĐ-CP. Như vậy, DNNN chỉ cần thực hiện các hồ sơ đánh giá tác động theo pháp luật về bảo vệ DLCN trong trường hợp này, mà không phải thực hiện đồng thời các thủ tục đánh giá rủi ro theo Nghị định 165/2025/NĐ-CP.

(vii) Các trách nhiệm liên quan khác (khi có sự kiện làm phát sinh) như: thông báo khi phát sinh vi phạm về bảo vệ DLCN (Điều 23 Luật Bảo vệ DLCN 2025, Điều 28 Nghị định 356/2025/NĐ-CP),…

Tóm lại, DNNN khi xử lý DLCN của người Việt Nam phải tuân thủ đầy đủ các quy định của pháp luật Việt Nam với các nghĩa vụ tương tự như doanh nghiệp trong nước, bao gồm từ việc thiết lập cơ chế xin sự đồng ý, bảo đảm quyền của chủ thể dữ liệu đến thực hiện các thủ tục đánh giá tác động. Do đó, việc xây dựng và duy trì hệ thống bảo vệ DLCN phù hợp không chỉ là yêu cầu tuân thủ pháp lý mà còn là yếu tố quan trọng nhằm giảm thiểu rủi ro và bảo đảm hoạt động kinh doanh ổn định.

Từ các nội dung nêu trên, có thể thấy, bên cạnh việc tuân thủ pháp luật của quốc gia nơi doanh nghiệp được thành lập hoặc hoạt động, DNNN khi xử lý dữ liệu và DLCN của người Việt Nam còn phải tuân thủ các quy định của pháp luật Việt Nam. Đáng lưu ý, nghĩa vụ này có thể phát sinh ngay cả khi doanh nghiệp không có hiện diện thương mại tại Việt Nam, miễn là có liên quan đến hoạt động xử lý dữ liệu và DLCN của người Việt Nam. Theo đó, trong trường hợp vi phạm, DNNN không chỉ có thể phải đối mặt với rủi ro bị xử phạt trực tiếp (theo Điều 2 Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ DLCN, DNNN cũng là đối tượng áp dụng của Nghị định này) mà còn có thể chịu các hệ quả gián tiếp thông qua cơ chế hỗ trợ tư pháp quốc tế hoặc phát sinh từ việc đối tác, khách hàng tại Việt Nam bị xử lý vi phạm/liên đới do hợp tác với DNNN, từ đó ảnh hưởng đáng kể đến uy tín, khả năng duy trì hoạt động kinh doanh và tiềm năng tiếp cận thị trường của DNNN.

Vì vậy, khi xử lý dữ liệu tại Việt Nam, đặc biệt là DLCN, DNNN cần chủ động rà soát hoạt động xử lý dữ liệu và DLCN, xây dựng và vận hành hệ thống xử lý dữ liệu phù hợp với pháp luật Việt Nam, qua đó bảo đảm hoạt động kinh doanh tuân thủ quy định pháp luật và hạn chế rủi ro pháp lý.

Trên đây là một số nội dung trình bày của LNV liên quan đến trách nhiệm của DNNN khi xử lý dữ liệu và DLCN của người Việt Nam. Trường hợp Quý khách hàng cần tư vấn chi tiết hơn về một vấn đề liên quan đến nội dung bài viết này hoặc một trường hợp cụ thể, Quý khách hàng vui lòng liên hệ đến số hotline hoặc email của LexNovum Lawyers tại địa chỉ info@lexnovum.com.vn để được tư vấn chi tiết. 

Thực hiện: Cộng sự Hoàng Vy

Tham vấn: Luật sư Phan Nhi

Lưu ý: 

Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi. 

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

——————————————–

[1] Theo khoản 1 Điều 3 Luật Dữ liệu 2024, dữ liệu số là dữ liệu về sự vật, hiện tượng, sự kiện, bao gồm một hoặc kết hợp các dạng âm thanh, hình ảnh, chữ số, chữ viết, ký hiệu được thể hiện dưới dạng kỹ thuật số (sau đây gọi là dữ liệu).

[2] Theo khoản 13 Điều 3 Luật Dữ liệu 2024, chủ quản dữ liệu là cơ quan, tổ chức, cá nhân thực hiện hoạt động xây dựng, quản lý, vận hành, khai thác dữ liệu theo yêu cầu của chủ sở hữu dữ liệu.

Theo khoản 14 Điều 3 Luật Dữ liệu 2024, chủ sở hữu dữ liệu là cơ quan, tổ chức, cá nhân có quyền quyết định việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng và trao đổi giá trị của dữ liệu do mình sở hữu.

[3] Theo khoản 7 Điều 3 Luật Dữ liệu 2024, dữ liệu cốt lõi là dữ liệu quan trọng trực tiếp tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng thuộc danh mục do Thủ tướng Chính phủ ban hành.

[4] Theo khoản 6 Điều 3 Luật Dữ liệu 2024, dữ liệu quan trọng là dữ liệu có thể tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng thuộc danh mục do Thủ tướng Chính phủ ban hành.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage