Chuyển đến nội dung chính
← Quay Về Blog
pdplforeign-companiescompliancedata-protection

Luật BVDLCN Việt Nam: Những Điều Doanh Nghiệp FDI Cần Biết

CompliScan Team8 phút đọc

Luật Bảo vệ Dữ liệu Cá nhân — chính thức là Luật 91/2025/QH15 — đã có hiệu lực từ ngày 1/1/2026. Nếu doanh nghiệp của bạn có vốn đầu tư nước ngoài và đang hoạt động tại Việt Nam, luật này áp dụng cho bạn. Và nếu bạn cho rằng việc tuân thủ GDPR hiện tại đã đủ để đáp ứng nghĩa vụ tại đây — thì không phải vậy.

Bài viết này phân tích những yêu cầu của Luật BVDLCN đối với doanh nghiệp có vốn đầu tư nước ngoài (FDI), những điểm khác biệt so với GDPR, và những việc bạn cần làm ngay.

Luật BVDLCN Là Gì?

Luật BVDLCN là luật bảo vệ dữ liệu cá nhân toàn diện đầu tiên của Việt Nam. Luật thiết lập khung pháp lý cho việc thu thập, lưu trữ, xử lý và chuyển giao dữ liệu cá nhân trong và ngoài lãnh thổ Việt Nam. Nghị định 356 là văn bản hướng dẫn thi hành chính, quy định các danh mục dữ liệu cụ thể, yêu cầu kỹ thuật và cơ chế thực thi.

Kết hợp lại, Luật BVDLCN và Nghị định 356 tạo ra bối cảnh tuân thủ tương tự GDPR về cấu trúc nhưng khác biệt ở một số điểm then chốt — đặc biệt đối với doanh nghiệp FDI.

Luật BVDLCN Khác GDPR Ở Những Điểm Nào?

Nếu doanh nghiệp đã tuân thủ GDPR, bạn có nền tảng — nhưng vẫn còn những khoảng trống đáng kể.

Yêu Cầu Chuyển Giao Dữ Liệu Xuyên Biên Giới

Đây là lĩnh vực mà tuân thủ GDPR thiếu hụt nhiều nhất. Theo Luật BVDLCN, bất kỳ việc chuyển giao dữ liệu cá nhân của công dân Việt Nam ra nước ngoài đều yêu cầu:

  • Đánh giá Tác động Chuyển giao Xuyên biên giới ghi nhận các rủi ro và biện pháp bảo vệ
  • Đăng ký với Bộ Công an trước khi thực hiện chuyển giao
  • Sự đồng ý rõ ràng của chủ thể dữ liệu cụ thể cho việc chuyển giao xuyên biên giới

Đối với doanh nghiệp FDI, điều này đặc biệt quan trọng. Nếu doanh nghiệp gửi dữ liệu nhân viên, hồ sơ khách hàng, hay dữ liệu vận hành đến công ty mẹ hoặc trụ sở khu vực ở nước ngoài, mỗi lần chuyển giao đều phải tuân thủ các yêu cầu này. Điều này bao gồm cả dữ liệu lưu trữ trên nền tảng đám mây có máy chủ ngoài Việt Nam — nghĩa là hầu hết người dùng Google Workspace đều bị ảnh hưởng.

DPIA Theo Mẫu Việt Nam

Luật BVDLCN yêu cầu Đánh giá Tác động Bảo vệ Dữ liệu (DPIA), nhưng phải tuân theo mẫu Việt Nam được quy định trong Nghị định 356. DPIA theo kiểu GDPR không đáp ứng yêu cầu này. DPIA Việt Nam có các phần và tiêu chí cụ thể phản ánh kỳ vọng của cơ quan quản lý trong nước.

Danh Mục Dữ Liệu Đặc Thù

Việt Nam định nghĩa các danh mục dữ liệu cá nhân không tương đồng trực tiếp với GDPR. Theo Nghị định 356, dữ liệu cá nhân nhạy cảm bao gồm:

  • Số Căn cước công dân (CCCD/CMND)
  • Mã số thuế cá nhân Việt Nam
  • Số bảo hiểm xã hội
  • Số tài khoản ngân hàng theo định dạng Việt Nam
  • Số bảo hiểm y tế
  • Dữ liệu sinh trắc học liên kết với hệ thống định danh Việt Nam

Bản kiểm kê dữ liệu GDPR của bạn có thể chưa theo dõi các danh mục này. Cần thiết phải thực hiện kiểm toán dữ liệu đặc thù cho Việt Nam để xác định những dữ liệu này tồn tại ở đâu trong hệ thống.

Cơ Quan Giám Sát: Bộ Công An

Khác với mô hình cơ quan giám sát của GDPR, Luật BVDLCN giao quyền giám sát chính cho Bộ Công an. Doanh nghiệp phải đăng ký một số hoạt động xử lý dữ liệu với Bộ Công an, đặc biệt là những hoạt động liên quan đến chuyển giao xuyên biên giới hoặc xử lý dữ liệu nhạy cảm quy mô lớn. Quy trình đăng ký này đặc thù cho Việt Nam và không có tương đương trong GDPR.

Doanh Nghiệp FDI Cần Làm Gì?

1. Thực Hiện Kiểm Toán Dữ Liệu Đặc Thù Cho Việt Nam

Bắt đầu bằng việc xác định doanh nghiệp đang nắm giữ những dữ liệu cá nhân Việt Nam nào. Đây không phải là bản kiểm kê dữ liệu GDPR. Bạn cần xác định:

  • Số CCCD, mã số thuế, tài khoản ngân hàng và số bảo hiểm xã hội được lưu trữ ở đâu
  • Hệ thống nào xử lý dữ liệu này (Google Workspace, nền tảng HR, hệ thống lương)
  • Ai có quyền truy cập, bao gồm cả việc dữ liệu có rời khỏi Việt Nam hay không

2. Lập DPIA Theo Mẫu Việt Nam

Thực hiện DPIA đáp ứng yêu cầu về hình thức và nội dung của Nghị định 356. Đây là tài liệu riêng biệt — bạn không thể chỉ đơn giản dịch DPIA GDPR hiện có và nộp.

3. Đăng Ký Chuyển Giao Xuyên Biên Giới Với Bộ Công An

Nếu bất kỳ dữ liệu cá nhân Việt Nam nào rời khỏi quốc gia — bao gồm đến máy chủ đám mây, công ty mẹ, hoặc bên xử lý bên thứ ba ở nước ngoài — bạn phải hoàn thành Đánh giá Tác động Chuyển giao Xuyên biên giới và đăng ký với Bộ Công an.

4. Cập Nhật Cơ Chế Đồng Ý

Luật BVDLCN có yêu cầu riêng về đồng ý. Rà soát lại thông báo quyền riêng tư, mẫu đồng ý của nhân viên và thỏa thuận xử lý dữ liệu để đảm bảo đáp ứng tiêu chuẩn Việt Nam. Đặc biệt lưu ý đồng ý cho chuyển giao xuyên biên giới phải tách biệt và rõ ràng.

5. Kiểm Toán Google Workspace

Nếu doanh nghiệp sử dụng Google Workspace, hãy quét để xác định dữ liệu cá nhân Việt Nam được lưu trữ ở đâu trên Drive, Gmail, Sheets và Docs. Đây thường là nguồn dữ liệu cá nhân không được kiểm soát lớn nhất trong các doanh nghiệp FDI tại Việt Nam.

Mối Liên Hệ Với Nghị Định 337

Doanh nghiệp FDI còn đối mặt với yêu cầu chồng chéo thứ hai: Nghị định 337 bắt buộc tất cả người sử dụng lao động tại Việt Nam phải đăng ký hợp đồng lao động điện tử trước ngày 1/7/2026. Do hợp đồng lao động chứa dữ liệu cá nhân (họ tên, số CCCD, mức lương, địa chỉ), tuân thủ Nghị định 337 cũng đồng thời là vấn đề tuân thủ Luật BVDLCN.

Các doanh nghiệp chuẩn bị cho Nghị định 337 nên xử lý cả hai yêu cầu đồng thời thay vì tách thành hai luồng công việc riêng biệt.

Những Sai Lầm Phổ Biến Của Doanh Nghiệp FDI

Cho rằng GDPR bao phủ Việt Nam. Không phải. Luật BVDLCN là khung pháp lý riêng biệt với các yêu cầu, cơ quan thực thi và chế tài riêng.

Không đăng ký chuyển giao xuyên biên giới. Nhiều doanh nghiệp FDI thường xuyên gửi dữ liệu về trụ sở chính mà không nhận ra điều này yêu cầu đăng ký với Bộ Công an theo Luật BVDLCN.

Sử dụng DPIA GDPR cho Việt Nam. Yêu cầu về hình thức và nội dung khác nhau. DPIA GDPR sẽ không được chấp nhận khi cơ quan quản lý Việt Nam rà soát.

Bỏ qua dữ liệu Google Workspace. Các doanh nghiệp FDI thường tập trung vào cơ sở dữ liệu có cấu trúc (hệ thống HR, ERP) mà bỏ qua dữ liệu phi cấu trúc trên Google Drive, Gmail và Sheets — nơi thường có nhiều dữ liệu cá nhân bị lộ nhất.

Bước Tiếp Theo

Luật BVDLCN đã có hiệu lực. Các doanh nghiệp chưa bắt đầu công việc tuân thủ đang hoạt động mà không có cơ sở pháp lý bảo vệ. Tin tốt là: các bước cần thực hiện rất rõ ràng, và bắt đầu với kiểm toán dữ liệu sẽ giúp bạn có cái nhìn toàn diện về rủi ro thực tế.

CompliScan chuyên kiểm toán tuân thủ Google Workspace cho doanh nghiệp hoạt động tại Việt Nam. Chúng tôi quét Drive, Gmail, Sheets và Docs để xác định dữ liệu cá nhân Việt Nam bị lộ và cung cấp báo cáo rủi ro chi tiết trong vòng 48 giờ. Yêu cầu đánh giá rủi ro miễn phí →

Bài viết này chỉ mang tính thông tin và không cấu thành tư vấn pháp lý. Vui lòng tham khảo ý kiến luật sư có chuyên môn tại Việt Nam cho tình huống cụ thể của doanh nghiệp bạn.

Chia sẻ trên LinkedIn

Bài Viết Liên Quan

decree-337labor-contracts
9 phút đọc

Hạn Chót 1/7/2026: Những Điều Mọi Doanh Nghiệp Tại Việt Nam Cần Biết Về Hợp Đồng Lao Động Điện Tử

Nghị định 337 yêu cầu tất cả người sử dụng lao động tại Việt Nam phải chuyển sang hợp đồng lao động điện tử trước ngày 1/7/2026. Dưới đây là những gì pháp luật yêu cầu, đối tượng nào bị ảnh hưởng và ba bước bạn cần thực hiện ngay bây giờ.

google-workspacedata-protection
8 phút đọc

Bảo Vệ Dữ Liệu Google Workspace Tại Việt Nam: Những Lỗ Hổng Tuân Thủ Đang Ẩn Giấu Ở Đâu

Các doanh nghiệp Việt Nam sử dụng Google Workspace thường có dữ liệu cá nhân phân tán khắp Drive, Gmail và Sheets mà không nhận ra. Dưới đây là những rủi ro và cách xử lý.