Chuyển đến nội dung chính
← Quay Về Blog
google-workspacedata-protectionpdplcompliance

Bảo Vệ Dữ Liệu Google Workspace Tại Việt Nam: Những Lỗ Hổng Tuân Thủ Đang Ẩn Giấu Ở Đâu

CompliScan Team8 phút đọc

Google Workspace là nền tảng vận hành hàng ngày của hàng nghìn doanh nghiệp Việt Nam. Drive lưu trữ hợp đồng, Gmail truyền tải đàm phán, Sheets chứa dữ liệu lương, và Docs chứa chính sách. Nó hoạt động tốt cho năng suất — nhưng chưa bao giờ được thiết kế như một nền tảng tuân thủ.

Theo Luật BVDLCN (Luật 91/2025/QH15) và Nghị định 356, mọi dữ liệu cá nhân trong workspace của bạn phải được nhận dạng, phân loại, kiểm soát truy cập và ghi nhận. Đối với hầu hết doanh nghiệp, Google Workspace chính là nơi có khoảng cách lớn nhất giữa thực tế và yêu cầu pháp lý.

Dữ Liệu Cá Nhân Ẩn Giấu Ở Đâu Trong Google Workspace

Vấn đề không phải là doanh nghiệp cố tình xử lý sai dữ liệu. Mà là Google Workspace khiến việc tạo, chia sẻ và quên đi các tệp chứa thông tin cá nhân trở nên cực kỳ dễ dàng.

Google Drive

Drive thường là nguồn rủi ro tuân thủ lớn nhất. Các phát hiện phổ biến bao gồm:

  • Thư mục nhập việc HR chứa bản scan CCCD/CMND, giấy đăng ký thuế và chi tiết tài khoản ngân hàng — thường được chia sẻ với "Mọi người trong tổ chức" hoặc thậm chí "Bất kỳ ai có liên kết"
  • Bảng tính lương với tên nhân viên, số CCCD, mức lương và tài khoản ngân hàng lưu trong shared drive của nhóm mà không có hạn chế truy cập
  • File PDF hợp đồng với đầy đủ thông tin cá nhân mà những người không còn cần thiết vẫn có thể truy cập

Vấn đề càng nghiêm trọng hơn do hành vi chia sẻ mặc định của Drive. Khi ai đó tạo file trong shared drive, file đó thừa hưởng quyền của drive — có thể rộng hơn nhiều so với mức phù hợp cho tài liệu chứa dữ liệu cá nhân nhạy cảm.

Gmail

Email là kênh phổ biến nhất cho việc chia sẻ dữ liệu không chính thức. Doanh nghiệp Việt Nam thường xuyên gửi:

  • Bản scan CCCD của nhân viên dưới dạng tệp đính kèm khi nhập việc
  • Mã số thuế và số tài khoản ngân hàng dạng văn bản thuần trong nội dung email
  • Phiếu lương và tóm tắt phúc lợi đến địa chỉ email cá nhân

Một khi đã gửi, những email này nằm trong hộp thư đến và thư mục đã gửi vô thời hạn. Không thể thu hồi, và hiếm khi được kiểm toán.

Google Sheets

Sheets thường được sử dụng như cơ sở dữ liệu không chính thức. Thường thấy:

  • Danh sách nhân viên tổng hợp với số CCCD, số điện thoại và địa chỉ nhà
  • Cơ sở dữ liệu liên hệ khách hàng chứa dữ liệu định danh cá nhân
  • Danh sách nhà cung cấp với thông tin tài khoản ngân hàng và mã số thuế

Những bảng tính này thường được chia sẻ giữa các phòng ban mà không có kiểm soát truy cập hay phân loại dữ liệu.

Google Docs

Tài liệu chính sách, biên bản họp và thông báo nội bộ có thể chứa thông tin tham chiếu đến nhân viên cụ thể — bao gồm dữ liệu cá nhân của họ. Những tài liệu này hiếm khi được rà soát về PII sau khi tạo.

Tại Sao Điều Này Quan Trọng Theo Luật BVDLCN

Luật BVDLCN (Luật 91/2025/QH15) và Nghị định 356 thiết lập các nghĩa vụ cụ thể cho việc xử lý dữ liệu cá nhân:

Tối thiểu hóa dữ liệu. Bạn chỉ nên thu thập và lưu giữ dữ liệu cá nhân cần thiết cho mục đích cụ thể đã nêu. Bảng tính chứa số CCCD "phòng khi cần" vi phạm nguyên tắc này.

Hạn chế truy cập. Dữ liệu cá nhân chỉ được phép truy cập bởi những người cần thiết cho vai trò công việc đã xác định. Thư mục Drive được chia sẻ cho toàn bộ công ty không đáp ứng tiêu chuẩn này.

Kiểm kê và phân loại dữ liệu. Bạn phải biết mình đang nắm giữ dữ liệu cá nhân gì, ở đâu và ai có thể truy cập. Hầu hết doanh nghiệp sử dụng Google Workspace không thể trả lời chính xác các câu hỏi này nếu không có quét hệ thống.

Kiểm soát chuyển giao xuyên biên giới. Dữ liệu Google Workspace được lưu trữ trên hạ tầng toàn cầu của Google. Theo Luật BVDLCN, điều này có thể cấu thành chuyển giao dữ liệu xuyên biên giới, yêu cầu đăng ký với Bộ Công an và sự đồng ý rõ ràng của chủ thể dữ liệu.

Dấu vết kiểm toán. Bạn phải có khả năng chứng minh xử lý hợp pháp. Nếu dữ liệu cá nhân tồn tại trên hàng trăm file Drive không có phiên bản và chuỗi email, việc xây dựng dấu vết kiểm toán tuân thủ là cực kỳ khó khăn.

Các Bước Thực Tế Để Cải Thiện Trạng Thái Dữ Liệu Google Workspace

1. Quét Phát Hiện PII

Trước khi sửa chữa vấn đề, bạn cần tìm ra chúng. Quét hệ thống Google Workspace xác định chính xác file nào chứa PII Việt Nam (số CCCD, mã số thuế, số điện thoại, tài khoản ngân hàng), ai có quyền truy cập, và cài đặt chia sẻ là gì.

2. Rà Soát và Hạn Chế Quyền Chia Sẻ

Sau khi xác định file nhạy cảm, siết chặt chia sẻ:

  • Xóa quyền "Bất kỳ ai có liên kết" khỏi file chứa dữ liệu cá nhân
  • Hạn chế shared drive chứa dữ liệu HR hoặc lương cho nhóm cụ thể
  • Tắt quyền tải xuống và sao chép cho tài liệu nhạy cảm
  • Rà soát chính sách chia sẻ bên ngoài trong bảng điều khiển Google Admin

3. Triển Khai Phân Loại Dữ Liệu

Thiết lập hệ thống phân loại đơn giản — dù chỉ là "Chứa PII" và "Không chứa PII" — và áp dụng cho các thư mục Drive. Nhãn Google Workspace có thể hỗ trợ, mặc dù yêu cầu gói Business Standard trở lên.

4. Bật Chống Thất Thoát Dữ Liệu (DLP)

Google Workspace cung cấp quy tắc DLP tích hợp có thể phát hiện và cảnh báo các mẫu dữ liệu nhạy cảm trong Drive và Gmail. Cấu hình quy tắc cho các mẫu PII Việt Nam: số 12 chữ số (CCCD), định dạng số điện thoại Việt Nam và mẫu mã số thuế. DLP không bắt được tất cả, nhưng thêm một lớp bảo vệ tự động.

5. Thiết Lập Chính Sách Lưu Giữ

Xác định thời gian lưu giữ dữ liệu cá nhân và cấu hình chính sách lưu giữ Drive và Gmail tương ứng. Xóa file không còn cần thiết cho mục đích kinh doanh hợp pháp.

6. Đào Tạo Nhân Viên

Kiểm soát kỹ thuật là cần thiết nhưng chưa đủ. Nhân viên cần hiểu rằng gửi email bản scan CCCD hoặc chia sẻ bảng tính lương qua liên kết tạo ra rủi ro tuân thủ. Đào tạo ngắn gọn, thực tế — tập trung vào những gì không nên chia sẻ và cách thức — hiệu quả hơn nhiều so với tài liệu chính sách trừu tượng.

Vấn Đề Chuyển Giao Xuyên Biên Giới

Mọi doanh nghiệp sử dụng Google Workspace nên xem xét liệu việc lưu trữ dữ liệu có cấu thành chuyển giao xuyên biên giới theo Luật BVDLCN hay không. Google lưu trữ dữ liệu trên hạ tầng toàn cầu, và trừ khi bạn đã cấu hình chính sách vùng dữ liệu (có sẵn trên gói Enterprise), dữ liệu cá nhân của nhân viên Việt Nam có thể nằm trên máy chủ ngoài Việt Nam.

Nếu đúng như vậy, bạn có thể cần hoàn thành Đánh giá Tác động Chuyển giao Xuyên biên giới và đăng ký với Bộ Công an theo Nghị định 356. Đây là lĩnh vực mà nhiều doanh nghiệp có rủi ro đáng kể mà chưa nhận ra.

Bắt Đầu Từ Sự Minh Bạch

Bạn không thể sửa chữa những gì không nhìn thấy. Bước đầu tiên hướng tới tuân thủ Google Workspace là hiểu rõ dữ liệu cá nhân nào tồn tại trong môi trường của bạn, ở đâu và ai có thể truy cập.

CompliScan thực hiện quét tuân thủ Google Workspace chỉ đọc, xác định PII Việt Nam trên Drive, Gmail, Sheets và Docs. Chúng tôi cung cấp báo cáo rủi ro chi tiết với phát hiện, mức độ nghiêm trọng và kế hoạch khắc phục ưu tiên — tất cả trong vòng 48 giờ. Yêu cầu đánh giá rủi ro miễn phí →

Bài viết này chỉ mang tính thông tin và không cấu thành tư vấn pháp lý. Vui lòng tham khảo ý kiến luật sư có chuyên môn cho tình huống cụ thể của doanh nghiệp bạn.

Chia sẻ trên LinkedIn

Bài Viết Liên Quan

decree-337labor-contracts
9 phút đọc

Hạn Chót 1/7/2026: Những Điều Mọi Doanh Nghiệp Tại Việt Nam Cần Biết Về Hợp Đồng Lao Động Điện Tử

Nghị định 337 yêu cầu tất cả người sử dụng lao động tại Việt Nam phải chuyển sang hợp đồng lao động điện tử trước ngày 1/7/2026. Dưới đây là những gì pháp luật yêu cầu, đối tượng nào bị ảnh hưởng và ba bước bạn cần thực hiện ngay bây giờ.

pdplforeign-companies
8 phút đọc

Luật BVDLCN Việt Nam: Những Điều Doanh Nghiệp FDI Cần Biết

Luật Bảo vệ Dữ liệu Cá nhân (Luật 91/2025/QH15) đặt ra yêu cầu vượt xa GDPR. Dưới đây là những gì doanh nghiệp có vốn đầu tư nước ngoài cần thực hiện — bao gồm đăng ký chuyển giao dữ liệu xuyên biên giới, DPIA theo mẫu Việt Nam và các danh mục dữ liệu đặc thù.