Luật bảo vệ dữ liệu cá nhân tại Việt Nam: hướng dẫn toàn diện về Luật Bảo vệ dữ liệu cá nhân 2025

Việt Nam quản lý dữ liệu cá nhân theo Luật số 91/2025/QH15 về Bảo vệ dữ liệu cá nhân, được thông qua ngày 26 tháng 6 năm 2025 và có hiệu lực từ ngày 1 tháng 1 năm 2026. Luật này điều chỉnh việc thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân, áp dụng đối với mọi tổ chức xử lý dữ liệu của cư dân Việt Nam, bất kể việc xử lý diễn ra ở đâu.
Trả lời nhanh: khung pháp lý bảo vệ dữ liệu cá nhân của Việt Nam năm 2026
Việt Nam hiện đã có một khung pháp lý bảo vệ dữ liệu cá nhân toàn diện ở cấp đạo luật. Luật Bảo vệ dữ liệu cá nhân, Luật số 91/2025/QH15, được Quốc hội thông qua ngày 26 tháng 6 năm 2025 và có hiệu lực từ ngày 1 tháng 1 năm 2026, là văn bản pháp luật điều chỉnh chính. Luật này thay thế Nghị định số 13/2023/NĐ-CP, vốn là quy định bảo vệ dữ liệu cá nhân chuyên biệt đầu tiên của Việt Nam kể từ ngày 1 tháng 7 năm 2023.
Luật mới điều chỉnh việc thu thập, xử lý, lưu trữ, chia sẻ và xóa dữ liệu cá nhân. Luật này áp dụng đối với tất cả cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài có xử lý dữ liệu cá nhân của cư dân Việt Nam, bất kể việc xử lý diễn ra ở đâu.
Nghị định hướng dẫn thi hành số 356/2025/NĐ-CP quy định chi tiết về mặt vận hành và có hiệu lực cùng ngày với luật. Hai văn bản này cùng nhau xác định các nghĩa vụ tuân thủ mà doanh nghiệp phải đáp ứng trong năm 2026.
Bộ Công an và Cục A05 vẫn là cơ quan thực thi trung tâm. Mức xử phạt hiện được gắn với doanh thu hằng năm thay vì mức trần cố định, đưa khung pháp lý của Việt Nam đến gần hơn với mô hình thực thi của GDPR.
Từ nghị định lên luật: quá trình phát triển của pháp luật bảo vệ dữ liệu tại Việt Nam
Để hiểu khung pháp lý hiện hành, cần có một chút bối cảnh lịch sử. Trước năm 2023, khung pháp lý bảo vệ dữ liệu của Việt Nam còn phân tán, dựa trên các quy định rải rác trong Bộ luật Dân sự (2015), Luật Công nghệ thông tin (2006), Luật An ninh mạng (2018) và các quy định chuyên ngành khác. Không văn bản nào trong số này cung cấp một khung pháp lý bảo vệ dữ liệu cá nhân thống nhất.
Điều đó đã thay đổi khi Chính phủ ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân vào ngày 17 tháng 4 năm 2023, có hiệu lực từ ngày 1 tháng 7 năm 2023. Nghị định 13 là văn bản đầu tiên dành riêng hoàn toàn cho việc bảo vệ dữ liệu cá nhân. Nghị định này đưa ra định nghĩa về dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, thiết lập yêu cầu về sự đồng ý, tạo ra các quyền cho chủ thể dữ liệu và áp đặt nghĩa vụ đánh giá tác động đối với việc chuyển dữ liệu xuyên biên giới. Đây là một bước đột phá, nhưng đó vẫn chỉ là nghị định của Chính phủ, thiếu thẩm quyền lập pháp và tính ổn định lâu dài của một đạo luật được Quốc hội thông qua.
Quốc hội đã khắc phục điều đó vào ngày 26 tháng 6 năm 2025 bằng việc thông qua Luật Bảo vệ dữ liệu cá nhân, Luật số 91/2025/QH15. Luật gồm năm chương và 39 điều, chính thức bãi bỏ Nghị định 13 khi có hiệu lực từ ngày 1 tháng 1 năm 2026. Nghị định 356/2025/NĐ-CP, nghị định hướng dẫn thi hành ban hành ngày 31 tháng 12 năm 2025, quy định các chi tiết về thủ tục và kỹ thuật mà đạo luật để lại cho văn bản dưới luật.
Việc nâng cấp từ nghị định lên luật có ý nghĩa quan trọng vì ba lý do. Thứ nhất, nó mang lại sự ổn định pháp lý lớn hơn cho khung pháp lý này. Thứ hai, nó tạo cơ sở cho việc truy cứu trách nhiệm hình sự, vốn đòi hỏi phải có căn cứ ở cấp luật. Thứ ba, nó đưa ra các mức xử phạt dựa trên doanh thu mà một văn bản ở cấp nghị định khó có thể áp đặt một cách có căn cứ.

Cũng cần lưu ý đến Luật Dữ liệu (Luật số 60/2024/QH15), được thông qua ngày 30 tháng 11 năm 2024 và có hiệu lực từ ngày 1 tháng 7 năm 2025. Đạo luật đi kèm này điều chỉnh toàn bộ dữ liệu số, không chỉ dữ liệu cá nhân. Luật này đưa ra các nhóm "dữ liệu quan trọng" và "dữ liệu cốt lõi" gắn với an ninh quốc gia và ổn định kinh tế - xã hội, kèm theo các hạn chế bổ sung về chuyển dữ liệu xuyên biên giới đối với các nhóm dữ liệu đó. Cùng với nhau, Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu tạo thành cấu trúc hai trụ cột của chế độ quản trị dữ liệu hiện đại của Việt Nam.
Bộ Công an với vai trò cơ quan quản lý
Bộ Công an là cơ quan quản lý nhà nước chủ trì về bảo vệ dữ liệu cá nhân tại Việt Nam. Trong Bộ Công an, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, được biết đến với tên viết tắt nội bộ là A05, phụ trách công tác thực thi hằng ngày.
Trách nhiệm của A05 bao gồm:
- Tiếp nhận và xem xét hồ sơ đánh giá tác động xử lý dữ liệu do các tổ chức nộp
- Tiếp nhận hồ sơ đánh giá tác động chuyển dữ liệu đối với việc chuyển dữ liệu xuyên biên giới
- Vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
- Điều tra các khiếu nại và hành vi vi phạm
- Phối hợp ứng phó sự cố vi phạm dữ liệu thông qua Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC)
- Ban hành hướng dẫn và các quy định thi hành
Các bộ, ngành khác vẫn giữ vai trò giám sát theo lĩnh vực chuyên ngành. Bộ Thông tin và Truyền thông giám sát các nhà cung cấp dịch vụ viễn thông và dịch vụ trực tuyến. Ngân hàng Nhà nước Việt Nam giám sát việc xử lý dữ liệu trong lĩnh vực tài chính. Các cơ quan chuyên ngành có thể áp đặt thêm các nghĩa vụ trong phạm vi lĩnh vực của mình.
Cục A05 xem xét các hồ sơ đánh giá tác động đã nộp trong vòng 15 ngày và có thể yêu cầu chỉnh sửa. Các tổ chức có hồ sơ bị từ chối hoặc nhận được yêu cầu chỉnh sửa phải phản hồi trong thời hạn quy định trước khi tiến hành hoạt động xử lý dữ liệu liên quan.
Phạm vi điều chỉnh và định nghĩa
Đối tượng áp dụng của luật
Luật Bảo vệ dữ liệu cá nhân áp dụng đối với:
- Cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài tại Việt Nam thu thập, xử lý, lưu trữ, chia sẻ hoặc xóa dữ liệu cá nhân
- Cơ quan, tổ chức, cá nhân nước ngoài ở ngoài lãnh thổ Việt Nam có xử lý dữ liệu cá nhân của cư dân Việt Nam
Phạm vi áp dụng theo lãnh thổ là rất rộng. Một công ty nước ngoài vận hành nền tảng điện toán đám mây được khách hàng Việt Nam sử dụng vẫn thuộc phạm vi điều chỉnh của luật, ngay cả khi công ty đó không có sự hiện diện vật lý tại Việt Nam và xử lý dữ liệu trên máy chủ đặt hoàn toàn ở nước ngoài.
Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm
Luật vẫn giữ nguyên hệ thống phân loại hai cấp độ từ Nghị định 13.
Dữ liệu cá nhân cơ bản bao gồm họ tên, ngày sinh, giới tính, nơi sinh, quốc tịch, hình ảnh, số điện thoại, địa chỉ email, số giấy tờ tùy thân, tình trạng hôn nhân, dữ liệu về quan hệ gia đình và thông tin tài khoản mạng xã hội.
Dữ liệu cá nhân nhạy cảm bao gồm quan điểm chính trị, tín ngưỡng tôn giáo, dữ liệu sức khỏe và dữ liệu di truyền, dữ liệu sinh trắc học, xu hướng tính dục, tiền án tiền sự, dữ liệu tài chính bao gồm thông tin đăng nhập tài khoản và lịch sử giao dịch, dữ liệu vị trí chính xác, dữ liệu theo dõi hành vi, và nguồn gốc chủng tộc hoặc dân tộc. Theo Nghị định 356, nhóm dữ liệu nhạy cảm được mở rộng để bao gồm rõ ràng chi tiết thẻ ngân hàng, thông tin khoản vay, và thông tin nắm giữ chứng khoán, bảo hiểm do các tổ chức tài chính được cấp phép nắm giữ.
Dữ liệu nhạy cảm đòi hỏi sự đồng ý rõ ràng và các biện pháp bảo mật nghiêm ngặt hơn. Việc xử lý dữ liệu nhạy cảm cũng làm phát sinh yêu cầu bắt buộc nộp hồ sơ đánh giá tác động xử lý dữ liệu, không được hưởng các trường hợp miễn trừ dành cho doanh nghiệp nhỏ.
Căn cứ pháp lý cho việc xử lý dữ liệu
Luật vẫn duy trì sự đồng ý là căn cứ pháp lý chính cho việc xử lý dữ liệu cá nhân, nhưng đưa ra các trường hợp miễn trừ không cần đồng ý một cách chính thức mà Nghị định 13 trước đây không có.
Sự đồng ý phải tự nguyện, cụ thể, được thông báo đầy đủ và được thể hiện riêng biệt cho từng mục đích xử lý khác nhau. Các ô đã đánh dấu sẵn, sự im lặng, việc không hành động, và các cơ chế đồng ý gộp chung đều bị cấm rõ ràng. Tổ chức phải có khả năng chứng minh rằng đã có được sự đồng ý hợp lệ và phải lưu giữ hồ sơ đồng ý có thể kiểm chứng được.
Các căn cứ không cần đồng ý được luật công nhận bao gồm:
- Bảo vệ tính mạng hoặc sức khỏe của chủ thể dữ liệu hoặc người khác
- Thực hiện nghĩa vụ pháp lý
- Thực hiện hợp đồng mà chủ thể dữ liệu là một bên
- Ứng phó với tình trạng khẩn cấp quốc gia hoặc khủng hoảng y tế công cộng
- Hỗ trợ hoạt động của cơ quan nhà nước theo quy định của pháp luật
- Các trường hợp cụ thể khác do pháp luật quy định
Các tổ chức dựa vào căn cứ không cần đồng ý phải ghi rõ căn cứ pháp lý cho việc xử lý và triển khai các cơ chế giám sát bao gồm đánh giá rủi ro và kiểm tra tuân thủ.
Đối với dữ liệu cá nhân nhạy cảm, sự đồng ý vẫn là bắt buộc trong hầu hết các trường hợp, ngay cả khi có thể áp dụng một căn cứ không cần đồng ý khác.
Quyền của chủ thể dữ liệu
Luật mở rộng và làm rõ các quyền của chủ thể dữ liệu đã được thiết lập trong Nghị định 13. Nghị định 356 quy định cụ thể thời hạn phản hồi mà bản thân luật để ngỏ.
Quyền được thông báo. Chủ thể dữ liệu phải được thông báo rõ ràng trước hoặc tại thời điểm thu thập dữ liệu về các loại dữ liệu được thu thập, mục đích xử lý, danh tính và thông tin liên hệ của bên kiểm soát dữ liệu, bất kỳ bên thứ ba nào sẽ có quyền truy cập dữ liệu, và các quyền cũng như nghĩa vụ của chủ thể dữ liệu.
Quyền đồng ý và rút lại sự đồng ý. Chủ thể dữ liệu có thể đồng ý hoặc từ chối việc xử lý và có thể rút lại sự đồng ý bất kỳ lúc nào. Theo Nghị định 356, bên kiểm soát dữ liệu phải thực hiện yêu cầu rút lại sự đồng ý trong vòng 15 ngày.
Quyền truy cập. Chủ thể dữ liệu có thể yêu cầu thông tin về dữ liệu cá nhân đang được xử lý, mục đích và căn cứ pháp lý của việc xử lý, và các nhóm bên nhận dữ liệu. Bên kiểm soát dữ liệu phải phản hồi trong vòng 10 ngày.
Quyền yêu cầu chỉnh sửa. Chủ thể dữ liệu có thể yêu cầu chỉnh sửa dữ liệu không chính xác hoặc chưa đầy đủ. Bên kiểm soát dữ liệu phải phản hồi trong vòng 10 ngày.
Quyền yêu cầu xóa dữ liệu. Chủ thể dữ liệu có thể yêu cầu xóa dữ liệu cá nhân khi mục đích xử lý đã hoàn thành, sự đồng ý đã bị rút lại, hoặc dữ liệu được thu thập trái pháp luật. Bên kiểm soát dữ liệu phải phản hồi trong vòng 20 ngày.
Quyền hạn chế xử lý. Chủ thể dữ liệu có thể yêu cầu tạm dừng việc xử lý trong khi tranh chấp về tính chính xác hoặc tính hợp pháp đang được giải quyết.
Quyền di chuyển dữ liệu. Chủ thể dữ liệu có thể yêu cầu nhận dữ liệu cá nhân của mình theo định dạng cho phép chuyển sang một bên kiểm soát dữ liệu khác.
Quyền phản đối. Chủ thể dữ liệu có thể phản đối việc xử lý trong một số trường hợp nhất định, bao gồm việc xử lý cho mục đích tiếp thị trực tiếp.
Quyền khiếu nại. Chủ thể dữ liệu có thể nộp khiếu nại lên Cục A05 và yêu cầu bồi thường thiệt hại do việc xử lý dữ liệu trái pháp luật gây ra.
Luật cũng đặt ra các nghĩa vụ đối với chủ thể dữ liệu, một điểm khác biệt so với các khung pháp lý chỉ tập trung vào quyền. Chủ thể dữ liệu phải tự bảo vệ dữ liệu cá nhân của mình, tôn trọng dữ liệu cá nhân của người khác, cung cấp thông tin chính xác khi pháp luật hoặc hợp đồng yêu cầu, và tuân thủ các quy định về bảo vệ dữ liệu.
Nghĩa vụ của bên kiểm soát và bên xử lý dữ liệu
Cán bộ phụ trách bảo vệ dữ liệu
Luật yêu cầu mọi tổ chức xử lý dữ liệu cá nhân phải chỉ định một bộ phận bảo vệ dữ liệu đủ năng lực hoặc bổ nhiệm một cá nhân đủ năng lực chịu trách nhiệm về việc tuân thủ bảo vệ dữ liệu. Trên thực tế, quy định này hoạt động tương tự như yêu cầu về Cán bộ phụ trách bảo vệ dữ liệu (DPO).
Nghị định 356 quy định các tiêu chuẩn về trình độ. Ứng viên DPO nội bộ phải có tối thiểu bằng cao đẳng, có ít nhất hai năm kinh nghiệm làm việc sau khi tốt nghiệp, và có chuyên môn về luật, công nghệ thông tin, an ninh mạng, an toàn dữ liệu, quản lý rủi ro, tuân thủ hoặc nhân sự. Các nhà cung cấp dịch vụ bảo vệ dữ liệu bên ngoài phải có ít nhất ba nhân sự đủ năng lực và chứng minh được chuyên môn liên quan thông qua kinh nghiệm làm việc trước đó trong lĩnh vực công nghệ, dịch vụ pháp lý hoặc tuân thủ.
Trường hợp miễn trừ và thời gian ân hạn:
- Doanh nghiệp siêu nhỏ và hộ kinh doanh được miễn trừ vĩnh viễn, trừ khi họ cung cấp dịch vụ xử lý dữ liệu, xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu của hơn 100.000 cá nhân.
- Doanh nghiệp nhỏ và các công ty khởi nghiệp đủ điều kiện được hưởng thời gian ân hạn năm năm, kéo dài đến ngày 1 tháng 1 năm 2031, với cùng các điều kiện loại trừ nêu trên.
Các tổ chức phải bổ nhiệm DPO hoặc thành lập bộ phận bảo vệ dữ liệu của mình bằng văn bản quyết định, nộp hồ sơ năng lực của DPO cho Bộ Công an, và triển khai chính sách bảo vệ dữ liệu nội bộ, cơ chế quản lý sự đồng ý, nhật ký hoạt động xử lý, quy trình ứng phó sự cố, chương trình đào tạo nhân viên và lịch kiểm toán tuân thủ.
Lưu giữ hồ sơ
Các tổ chức phải lưu giữ hồ sơ đầy đủ về mọi hoạt động xử lý dữ liệu, bao gồm các loại dữ liệu được xử lý, mục đích và căn cứ pháp lý cho từng hoạt động xử lý, các bên có quyền truy cập dữ liệu, thời hạn lưu giữ, các biện pháp bảo mật được áp dụng, và bất kỳ hoạt động chuyển dữ liệu xuyên biên giới nào. Các hồ sơ này phải được cung cấp cho Bộ Công an khi có yêu cầu.
Các biện pháp bảo mật
Luật yêu cầu áp dụng các biện pháp kỹ thuật và tổ chức phù hợp, tương xứng với rủi ro về việc truy cập trái phép, phá hủy, mất mát, sửa đổi hoặc tiết lộ trái phép. Dữ liệu nhạy cảm đòi hỏi các biện pháp bảo mật tăng cường. Nghị định 356 quy định dữ liệu sinh trắc học phải được lưu trữ với các biện pháp kiểm soát an ninh vật lý và hạn chế truy cập có thể kiểm toán. Dữ liệu ngân hàng và tài chính phải được xử lý theo các tiêu chuẩn kỹ thuật được phê duyệt, kèm theo nhật ký xử lý xuyên suốt.
Đối với việc xử lý dựa trên AI, các tổ chức phải bảo đảm tính minh bạch về logic ra quyết định tự động, cung cấp giải thích về tác động cho các cá nhân bị ảnh hưởng, và cung cấp cơ chế cho phép từ chối. Các triển khai blockchain phải tránh việc lưu trữ dữ liệu cá nhân có thể nhận dạng được trên chuỗi khối. Các hợp đồng điện toán đám mây phải phân định rõ ràng trách nhiệm bảo vệ dữ liệu giữa nhà cung cấp dịch vụ đám mây và bên kiểm soát dữ liệu.
Thông báo vi phạm dữ liệu
Các tổ chức phải thông báo cho Cục A05 trong vòng 72 giờ kể từ khi phát hiện sự cố vi phạm dữ liệu cá nhân. Đối với các vi phạm liên quan đến dữ liệu cá nhân nhạy cảm trong lĩnh vực ngân hàng hoặc dịch vụ tài chính, và các vi phạm liên quan đến dữ liệu sinh trắc học hoặc dữ liệu vị trí, chủ thể dữ liệu bị ảnh hưởng cũng phải được thông báo trong vòng 72 giờ.
Thông báo phải mô tả bản chất của sự cố, các loại và khối lượng dữ liệu bị ảnh hưởng gần đúng, hậu quả có thể xảy ra, các biện pháp đã thực hiện hoặc dự kiến thực hiện để xử lý sự cố, và thông tin liên hệ của DPO hoặc nhân sự phụ trách.
Các tổ chức phải lưu giữ hồ sơ về mọi sự cố vi phạm và hỗ trợ cơ quan chức năng trong quá trình điều tra.
Hồ sơ đánh giá tác động xử lý dữ liệu
Khi nào cần thực hiện DPIA
Đánh giá tác động xử lý dữ liệu là bắt buộc trước khi bắt đầu các hoạt động xử lý có liên quan đến:
- Dữ liệu cá nhân nhạy cảm
- Xử lý dữ liệu quy mô lớn
- Ra quyết định tự động, lập hồ sơ, hoặc hệ thống AI
- Nhận diện khuôn mặt hoặc xử lý dữ liệu sinh trắc học khác
- Việc xử lý gây rủi ro cao đối với quyền và lợi ích của chủ thể dữ liệu
Hồ sơ DPIA phải được nộp cho Cục A05 trong vòng 60 ngày kể từ khi bắt đầu hoạt động xử lý. Cơ quan quản lý xem xét hồ sơ nộp trong vòng 15 ngày và có thể yêu cầu chỉnh sửa.
Các hồ sơ đánh giá tác động đã nộp theo Nghị định 13/2023 trước ngày 1 tháng 1 năm 2026 vẫn còn giá trị và không cần nộp lại, trừ khi có thay đổi đáng kể về mặt vận hành.
Nội dung yêu cầu của DPIA
Mỗi hồ sơ phải ghi rõ:
- Các loại dữ liệu cá nhân sẽ được xử lý
- Mục đích và căn cứ pháp lý của việc xử lý
- Cơ chế và hồ sơ về sự đồng ý
- Các biện pháp bảo mật đã triển khai
- Thời hạn lưu giữ và quy trình xóa dữ liệu
- Danh tính của bất kỳ bên thứ ba nào có quyền truy cập dữ liệu
- Đánh giá rủi ro đối với chủ thể dữ liệu và các biện pháp giảm thiểu rủi ro đó
Các tổ chức phải cập nhật DPIA của mình trong vòng sáu tháng kể từ khi có bất kỳ thay đổi đáng kể nào về mặt vận hành, chẳng hạn như tái cơ cấu doanh nghiệp, thay đổi nhà cung cấp dịch vụ, hoặc áp dụng hoạt động xử lý mới. Việc cập nhật ngay lập tức là bắt buộc khi giải thể hoặc có thay đổi lớn đối với hoạt động kinh doanh xử lý dữ liệu.

Chuyển dữ liệu xuyên biên giới
Yêu cầu về đánh giá tác động chuyển dữ liệu
Bất kỳ việc chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam nào đều yêu cầu phải nộp hồ sơ đánh giá tác động chuyển dữ liệu cho Cục A05 trong vòng 60 ngày kể từ lần chuyển dữ liệu đầu tiên. Đây là một nghĩa vụ tuân thủ quan trọng đối với các doanh nghiệp quốc tế.
Hồ sơ đánh giá tác động chuyển dữ liệu (TIA) phải bao gồm:
- Mô tả về dữ liệu sẽ được chuyển, các nhóm chủ thể dữ liệu, và khối lượng dữ liệu
- Danh tính của bên tiếp nhận và vị trí của bên đó
- Mục đích và căn cứ pháp lý của việc chuyển dữ liệu
- Mô tả các biện pháp bảo vệ dữ liệu hiện có tại quốc gia tiếp nhận
- Đánh giá rủi ro đối với chủ thể dữ liệu
- Các biện pháp bảo vệ theo hợp đồng điều chỉnh việc chuyển dữ liệu
Theo Nghị định 356, thỏa thuận chuyển dữ liệu phải nêu rõ căn cứ pháp lý cho việc chuyển dữ liệu, phân định trách nhiệm bảo vệ dữ liệu giữa bên chuyển và bên nhận, cung cấp các biện pháp bảo vệ để chủ thể dữ liệu thực hiện quyền của mình giữa các quốc gia, và thiết lập quy trình phối hợp ứng phó với các vi phạm.
Các hồ sơ TIA đã nộp theo Nghị định 13 trước ngày 1 tháng 1 năm 2026 vẫn còn giá trị và không bắt buộc phải nộp lại, trừ khi có thay đổi đáng kể.
Định nghĩa rộng về chuyển dữ liệu xuyên biên giới
Định nghĩa này không chỉ bao gồm việc truyền dữ liệu vật lý hoặc điện tử đến bên nhận ở ngoài Việt Nam, mà còn bao gồm việc lưu trữ trên đám mây ở nước ngoài, xử lý bằng các hệ thống tự động đặt ngoài Việt Nam, và việc xử lý tiếp theo đối với dữ liệu ban đầu được thu thập tại Việt Nam. Điều này có nghĩa là việc sử dụng thông thường các nền tảng SaaS quốc tế, hạ tầng điện toán đám mây, hoặc dịch vụ phân tích dữ liệu đặt bên ngoài Việt Nam cũng cấu thành hành vi chuyển dữ liệu xuyên biên giới thuộc phạm vi yêu cầu về TIA.
Trường hợp miễn trừ
Một số trường hợp chuyển dữ liệu được miễn trừ khỏi yêu cầu nộp TIA:
- Việc chuyển dữ liệu của cơ quan nhà nước khi thực hiện chức năng chính thức
- Việc chuyển dữ liệu liên quan đến lưu trữ đám mây cá nhân của người lao động
- Việc chuyển dữ liệu cá nhân của chính chủ thể dữ liệu
- Việc chuyển dữ liệu cần thiết để xử lý tình trạng khẩn cấp quốc gia
- Việc chuyển dữ liệu đã được công khai trong phạm vi của việc công khai đó
- Việc chuyển dữ liệu theo các điều khoản hợp đồng cụ thể trong đó chủ thể dữ liệu là bên tham gia hợp đồng
Thẩm quyền tạm dừng việc chuyển dữ liệu
Bộ Công an có thể kiểm tra các hoạt động chuyển dữ liệu xuyên biên giới và có thẩm quyền tạm dừng các hoạt động chuyển dữ liệu đe dọa an ninh quốc gia, trật tự công cộng, hoặc quyền và lợi ích của chủ thể dữ liệu. Điều này trao cho Chính phủ quyền quyết định rộng để ngăn chặn các luồng dữ liệu mà họ cho là có vấn đề.
Cấm mua bán dữ liệu cá nhân
Luật cấm rõ ràng việc mua bán dữ liệu cá nhân, trừ trường hợp pháp luật cho phép rõ ràng. Việc chuyển dữ liệu xuyên biên giới trong nội bộ một tập đoàn nhằm phục vụ các mục đích nội bộ xác định, việc chuyển dữ liệu liên quan đến tái cơ cấu doanh nghiệp, và việc chuyển dữ liệu cho bên xử lý thứ ba theo hợp đồng đều được công nhận rõ ràng là không cấu thành hành vi mua bán dữ liệu bị cấm, với điều kiện đã nộp các hồ sơ đánh giá tác động theo yêu cầu.
Lưu trữ dữ liệu trong nước theo Luật An ninh mạng
Nghị định 13 và văn bản kế thừa nó xử lý các quy tắc về bảo vệ dữ liệu cá nhân. Một nghĩa vụ chồng lấp riêng biệt đến từ Luật An ninh mạng 2018 và nghị định hướng dẫn thi hành, Nghị định số 53/2022/NĐ-CP, có hiệu lực từ ngày 1 tháng 10 năm 2022.
Theo khung pháp lý này, các doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, internet, hoặc dịch vụ gia tăng trên không gian mạng tại Việt Nam và có thu thập, khai thác, phân tích hoặc xử lý dữ liệu liên quan đến thông tin cá nhân, nội dung do người dùng tạo ra, hoặc dữ liệu về mối quan hệ của người dùng Việt Nam phải lưu trữ dữ liệu đó trên máy chủ đặt tại Việt Nam.
Các nhà cung cấp dịch vụ nước ngoài phải tuân thủ yêu cầu lưu trữ trong nước khi có yêu cầu bằng văn bản từ Bộ Công an. Sau khi có yêu cầu, nhà cung cấp nước ngoài phải hoàn thành việc lưu trữ dữ liệu tại Việt Nam và thành lập chi nhánh hoặc văn phòng đại diện tại địa phương trong vòng 12 tháng. Dữ liệu phải được lưu giữ tối thiểu 24 tháng.
Các loại dữ liệu thuộc diện phải lưu trữ trong nước bao gồm dữ liệu cá nhân của người dùng Việt Nam, dữ liệu do người dùng tạo ra như nhật ký truy cập và lịch sử tìm kiếm, và dữ liệu về mối quan hệ của người dùng như danh bạ và thành viên nhóm.
Sự tương tác trên thực tế giữa khung pháp lý bảo vệ dữ liệu cá nhân và khung pháp lý lưu trữ dữ liệu theo Luật An ninh mạng có nghĩa là các công ty công nghệ nước ngoài phải đối mặt với hai nhóm nghĩa vụ riêng biệt: họ phải tuân thủ yêu cầu nộp TIA theo PDPL đối với mọi hoạt động chuyển dữ liệu xuyên biên giới, và có thể riêng biệt phải đối mặt với yêu cầu lưu trữ trong nước theo Luật An ninh mạng.
Các quy định theo lĩnh vực chuyên ngành
Luật số 91/2025/QH15 và Nghị định 356 đưa ra các quy tắc riêng cho từng ngành cụ thể, một sự mở rộng đáng kể so với khung pháp lý chung của Nghị định 13.
Lao động, việc làm. Người sử dụng lao động chỉ được thu thập dữ liệu cá nhân liên quan trực tiếp đến quan hệ lao động. Dữ liệu thu thập trong quá trình tuyển dụng phải được xóa nếu ứng viên không được tuyển dụng. Dữ liệu cá nhân phải được tiêu hủy sau khi chấm dứt hợp đồng, trừ khi có thỏa thuận về thời hạn lưu giữ dài hơn trong hợp đồng lao động. Việc giám sát người lao động phải hợp pháp, tương xứng và minh bạch.
Y tế và bảo hiểm. Sự đồng ý là bắt buộc trước khi xử lý bất kỳ dữ liệu sức khỏe hoặc bảo hiểm nào. Dữ liệu không được chia sẻ với bên thứ ba khi chưa có sự đồng ý. Việc thông báo vi phạm cho các cá nhân bị ảnh hưởng là bắt buộc, bên cạnh việc thông báo cho Bộ Công an.
Tài chính, ngân hàng và tín dụng. Các tổ chức trong lĩnh vực này phải áp dụng các tiêu chuẩn kỹ thuật được phê duyệt cho việc xử lý dữ liệu, lưu giữ nhật ký xử lý xuyên suốt, thực hiện đánh giá tuân thủ hằng năm, và tuân theo quy trình thông báo vi phạm riêng của ngành. Thông báo về sự đồng ý phải công khai rõ ràng bất kỳ hoạt động chấm điểm tín dụng, lập hồ sơ hoặc đánh giá nào, và nêu rõ thời hạn lưu giữ đối với dữ liệu liên quan đến tín dụng. Ngân hàng Nhà nước Việt Nam giám sát việc tuân thủ trong lĩnh vực tài chính song song với Bộ Công an.
Quảng cáo và tiếp thị. Dữ liệu cá nhân chỉ được sử dụng cho mục đích quảng cáo khi có sự đồng ý của chủ thể dữ liệu. Cơ chế từ chối phải được cung cấp và được tôn trọng. Việc nhắm mục tiêu theo hành vi và lập hồ sơ cho mục đích quảng cáo phải cung cấp quyền kiểm soát cho người dùng.
Mạng xã hội và nền tảng trực tuyến. Các nền tảng phải công khai rõ ràng hoạt động thu thập dữ liệu của mình, cung cấp tùy chọn từ chối theo dõi và từ chối cookie, và không được thực hiện giám sát các trao đổi thông tin riêng tư khi chưa có sự đồng ý. Việc bắt buộc xác minh danh tính bằng dữ liệu sinh trắc học bị cấm.
AI, dữ liệu lớn, blockchain, điện toán đám mây và metaverse. Việc xử lý trong các bối cảnh này phải được thực hiện một cách hợp pháp và có đạo đức. Hệ thống AI phải bảo đảm tính minh bạch về logic ra quyết định tự động và cung cấp cơ chế cho phép từ chối. Các triển khai blockchain phải tránh việc lưu trữ dữ liệu cá nhân có thể nhận dạng được trên chuỗi khối. Nhà cung cấp dịch vụ đám mây và khách hàng của họ phải phân định rõ ràng trách nhiệm bảo vệ dữ liệu bằng hợp đồng.
Trẻ em và các đối tượng dễ bị tổn thương. Người đại diện theo pháp luật hành động thay mặt trẻ em dưới 7 tuổi. Đối với trẻ em từ 7 tuổi trở lên, cần có sự đồng ý của cả trẻ em và người đại diện theo pháp luật trước khi tiết lộ dữ liệu cá nhân nhạy cảm. Việc xử lý phải dừng ngay lập tức nếu sự đồng ý bị rút lại hoặc phát hiện rủi ro.
Xử phạt và thực thi
Xử phạt hành chính
PDPL thiết lập một cơ cấu xử phạt hành chính theo nhiều mức, đánh dấu một bước leo thang đáng kể so với Nghị định 13.
Vi phạm về chuyển dữ liệu xuyên biên giới bị phạt tới 5% doanh thu năm trước của tổ chức, với mức tối thiểu là 3 tỷ đồng (khoảng 115.000 USD) áp dụng khi tỷ lệ phần trăm tính ra thấp hơn mức đó.
Mua bán trái phép dữ liệu cá nhân bị phạt tới 10 lần doanh thu thu được từ việc mua bán trái phép dữ liệu cá nhân. Mức phạt tối thiểu 3 tỷ đồng cũng được áp dụng nếu hệ số nhân tính ra thấp hơn mức đó.
Tất cả các vi phạm khác phải chịu mức phạt hành chính tối đa 3 tỷ đồng đối với tổ chức. Trách nhiệm của cá nhân áp dụng ở mức bằng một phần ba mức phạt của tổ chức đối với vi phạm tương đương.
Các biện pháp khắc phục có thể đi kèm với mức phạt, bao gồm đình chỉ hoạt động xử lý, buộc xóa dữ liệu thu thập trái pháp luật, và đình chỉ việc chuyển dữ liệu xuyên biên giới.
Một nghị định riêng về xử phạt vi phạm hành chính, dự kiến trình Chính phủ vào tháng 4 năm 2026, sẽ quy định chi tiết biểu mức xử phạt đối với từng loại vi phạm cụ thể. Cho đến khi nghị định đó có hiệu lực, các biện pháp thực thi vẫn có thể được áp dụng nhưng mức phạt cụ thể cho từng loại vi phạm chưa được quy định đầy đủ.
Trách nhiệm hình sự
Các vi phạm nghiêm trọng hoặc cố ý có thể dẫn đến truy tố hình sự. Các quy định của Bộ luật Hình sự về tội phạm mạng và xâm phạm quyền riêng tư được áp dụng. Mức phạt hình sự có thể lên đến 1 tỷ đồng (khoảng 40.000 USD) đối với cá nhân, và mức án tù lên đến bảy năm có thể áp dụng đối với các hành vi vi phạm nghiêm trọng nhất liên quan đến việc truy cập trái phép, tiết lộ hoặc phá hủy dữ liệu cá nhân.
Tình hình thực thi năm 2026
Hoạt động thực thi theo khung pháp lý mới đang được đẩy mạnh vào thời điểm bài viết này được cập nhật. Bộ Công an đã ghi nhận 56 vụ mua bán trái phép dữ liệu cá nhân chỉ trong nửa đầu năm 2025, liên quan đến hơn 110 triệu bản ghi. Quy mô của hoạt động này phản ánh những lo ngại về bảo vệ dữ liệu đã thúc đẩy việc ban hành luật mới.
Nghị định chuyên biệt về xử phạt hành chính vẫn đang chờ Chính phủ phê duyệt tính đến giữa năm 2026. Khi nghị định đó có hiệu lực, Bộ Công an sẽ có cơ sở toàn diện để áp dụng các mức phạt theo bậc. Trong thời gian chờ đợi, quy định cấm mua bán dữ liệu trái phép và các yêu cầu về chuyển dữ liệu xuyên biên giới đã có hiệu lực.
Luật Dữ liệu (Luật số 60/2024/QH15)

Luật Bảo vệ dữ liệu cá nhân không hoạt động một mình. Luật Dữ liệu của Việt Nam, Luật số 60/2024/QH15, được thông qua ngày 30 tháng 11 năm 2024 và có hiệu lực từ ngày 1 tháng 7 năm 2025, điều chỉnh toàn bộ dữ liệu số, không chỉ dữ liệu cá nhân. Hai đạo luật này cùng nhau tạo thành cốt lõi của khung pháp lý quản trị dữ liệu của Việt Nam.
Luật Dữ liệu đưa ra các nhóm dữ liệu mới dựa trên các cân nhắc về lợi ích quốc gia:
- Dữ liệu quan trọng bao gồm dữ liệu mà việc tiết lộ, mất mát hoặc bị thao túng trái phép có thể ảnh hưởng đến quốc phòng, an ninh, đối ngoại, hoặc ổn định kinh tế - xã hội.
- Dữ liệu cốt lõi bao gồm dữ liệu mà việc bị xâm phạm có thể gây ra hậu quả nghiêm trọng ở cấp quốc gia.
Các nhóm dữ liệu này phải chịu các hạn chế về chuyển dữ liệu xuyên biên giới nghiêm ngặt hơn so với PDPL. Luật Dữ liệu cũng thiết lập khung hạ tầng dữ liệu quốc gia, bao gồm yêu cầu về trung tâm dữ liệu và việc xây dựng chiến lược dữ liệu quốc gia.
Các tổ chức thu thập hoặc xử lý dữ liệu ở quy mô lớn nên đánh giá xem có bất kỳ tài sản dữ liệu nào của mình thuộc nhóm dữ liệu quan trọng hoặc dữ liệu cốt lõi hay không, vì có thể phát sinh thêm các nghĩa vụ tuân thủ theo đạo luật riêng này.
Nghĩa vụ tuân thủ đối với doanh nghiệp
Các tổ chức hoạt động tại Việt Nam hoặc xử lý dữ liệu của cư dân Việt Nam nên ưu tiên thực hiện các bước sau.
Rà soát bản đồ dữ liệu. Thực hiện kiểm tra toàn diện đối với toàn bộ dữ liệu cá nhân được thu thập, xử lý và lưu trữ, phân biệt dữ liệu cá nhân cơ bản với dữ liệu cá nhân nhạy cảm. Xác định tất cả các hoạt động xử lý và căn cứ pháp lý của chúng.
Rà soát cơ chế đồng ý. Kiểm tra các cơ chế đồng ý hiện có so với các yêu cầu mới: xác nhận sự đồng ý là rõ ràng, cụ thể theo từng mục đích, và có thể kiểm chứng được. Loại bỏ các ô đánh dấu sẵn, sự đồng ý gộp chung, và bất kỳ thiết kế nào coi sự im lặng là đồng ý.
Nộp hồ sơ DPIA. Xác định tất cả các hoạt động xử lý cần có đánh giá tác động xử lý dữ liệu. Nộp hồ sơ cho Cục A05 trong vòng 60 ngày kể từ khi bắt đầu xử lý. Cập nhật DPIA đã nộp trong vòng sáu tháng kể từ khi có thay đổi đáng kể về mặt vận hành.
Đánh giá tác động chuyển dữ liệu. Xác định tất cả các luồng dữ liệu xuyên biên giới, bao gồm việc chuyển dữ liệu cho nhà cung cấp dịch vụ đám mây, nền tảng SaaS, và các đơn vị liên kết trong tập đoàn. Xác nhận rằng hồ sơ TIA đã được nộp cho từng lần chuyển dữ liệu không thuộc diện miễn trừ. Cập nhật thỏa thuận chuyển dữ liệu để bao gồm các biện pháp bảo vệ theo hợp đồng theo yêu cầu của Nghị định 356.
Bổ nhiệm DPO. Xác định xem tổ chức có thuộc phạm vi yêu cầu về DPO hay không. Nếu có, bổ nhiệm một cá nhân đủ năng lực hoặc chỉ định một đội ngũ đủ năng lực. Nộp hồ sơ năng lực cho Bộ Công an.
Rà soát yêu cầu lưu trữ dữ liệu trong nước. Đánh giá xem dịch vụ của tổ chức có thuộc phạm vi yêu cầu lưu trữ trong nước theo Luật An ninh mạng hay không. Nếu có, đánh giá các bước thực tế cần thiết để thiết lập lưu trữ dữ liệu tại địa phương.
Quy trình ứng phó sự cố vi phạm. Thiết lập hoặc cập nhật quy trình để phát hiện, đánh giá và báo cáo sự cố vi phạm trong khung thời gian thông báo 72 giờ, bao gồm các nghĩa vụ thông báo riêng của ngành đối với sự cố liên quan đến dữ liệu tài chính và sinh trắc học.
Nghĩa vụ theo lĩnh vực chuyên ngành. Nếu tổ chức hoạt động trong lĩnh vực y tế, tài chính, lao động, quảng cáo, mạng xã hội hoặc công nghệ, xác định và triển khai các nghĩa vụ riêng của ngành theo PDPL và Nghị định 356.
Lưu giữ hồ sơ. Thiết lập hoặc cập nhật nhật ký hoạt động xử lý và tài liệu chính sách bảo vệ dữ liệu để đáp ứng yêu cầu của Nghị định 356.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành tư vấn pháp lý. Pháp luật bảo vệ dữ liệu của Việt Nam đang trong quá trình phát triển, và các tổ chức nên tham khảo ý kiến của luật sư có chuyên môn tại Việt Nam để được tư vấn phù hợp với tình huống cụ thể của mình.
Frequently Asked Questions
Luật bảo vệ dữ liệu cá nhân chính của Việt Nam là gì?
Luật bảo vệ dữ liệu cá nhân chính của Việt Nam là Luật số 91/2025/QH15 về Bảo vệ dữ liệu cá nhân, được Quốc hội thông qua ngày 26 tháng 6 năm 2025 và có hiệu lực từ ngày 1 tháng 1 năm 2026. Luật này thay thế Nghị định số 13/2023/NĐ-CP, vốn là quy định bảo vệ dữ liệu cá nhân chuyên biệt đầu tiên của Việt Nam kể từ tháng 7 năm 2023. Nghị định hướng dẫn thi hành số 356/2025/NĐ-CP có hiệu lực cùng ngày với luật.
Luật Bảo vệ dữ liệu cá nhân mới của Việt Nam có hiệu lực khi nào?
Luật số 91/2025/QH15 có hiệu lực từ ngày 1 tháng 1 năm 2026. Quốc hội thông qua luật này vào ngày 26 tháng 6 năm 2025. Nghị định 356/2025/NĐ-CP, nghị định hướng dẫn thi hành, được ban hành ngày 31 tháng 12 năm 2025 và cũng có hiệu lực từ ngày 1 tháng 1 năm 2026. Cả hai văn bản này đều thay thế Nghị định 13/2023/NĐ-CP, vốn hết hiệu lực pháp lý kể từ thời điểm đó.
Việt Nam có yêu cầu lưu trữ dữ liệu trong nước không?
Có, đối với các nhà cung cấp dịch vụ thuộc phạm vi điều chỉnh. Nghị định 53/2022/NĐ-CP hướng dẫn thi hành Luật An ninh mạng 2018 yêu cầu các công ty cung cấp dịch vụ internet, viễn thông và dịch vụ gia tăng tại Việt Nam có thu thập và xử lý dữ liệu người dùng Việt Nam phải lưu trữ dữ liệu đó trên máy chủ tại Việt Nam. Việc lưu trữ trong nước áp dụng đối với dữ liệu cá nhân, nội dung do người dùng tạo ra, và dữ liệu về mối quan hệ của người dùng. Các nhà cung cấp nước ngoài phải tuân thủ trong vòng 12 tháng kể từ khi nhận được yêu cầu bằng văn bản từ Bộ Công an.
Mức xử phạt theo Luật Bảo vệ dữ liệu cá nhân của Việt Nam là gì?
Mức xử phạt bao gồm phạt hành chính lên đến 5% doanh thu năm trước đối với việc chuyển dữ liệu xuyên biên giới trái phép, với mức tối thiểu là 3 tỷ đồng (khoảng 115.000 USD). Việc mua bán trái phép dữ liệu cá nhân bị phạt tới 10 lần doanh thu thu được từ giao dịch trái phép đó. Tất cả các vi phạm khác chịu mức phạt tối đa 3 tỷ đồng đối với tổ chức. Các vi phạm nghiêm trọng có thể dẫn đến truy tố hình sự với mức phạt lên đến 1 tỷ đồng và mức án tù lên đến 7 năm.
Ai là cơ quan thực thi pháp luật bảo vệ dữ liệu của Việt Nam?
Bộ Công an, thông qua Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), là cơ quan thực thi chính. A05 tiếp nhận hồ sơ đánh giá tác động xử lý dữ liệu và đánh giá tác động chuyển dữ liệu, điều tra các vi phạm, và phối hợp ứng phó sự cố vi phạm thông qua VNCERT/CC. Các cơ quan quản lý chuyên ngành, bao gồm Ngân hàng Nhà nước Việt Nam, cũng có vai trò thực thi trong phạm vi lĩnh vực của mình.
Quy định về việc chuyển dữ liệu cá nhân ra khỏi Việt Nam là gì?
Bất kỳ tổ chức nào chuyển dữ liệu cá nhân của cư dân Việt Nam ra ngoài Việt Nam đều phải nộp hồ sơ đánh giá tác động chuyển dữ liệu cho Cục A05 thuộc Bộ Công an trong vòng 60 ngày kể từ lần chuyển dữ liệu đầu tiên. Hồ sơ phải mô tả dữ liệu, mục đích, bên nhận, các biện pháp bảo mật, và các thỏa thuận hợp đồng. Một số trường hợp chuyển dữ liệu được miễn trừ, bao gồm việc chuyển dữ liệu của cơ quan nhà nước, lưu trữ đám mây của người lao động, việc chuyển dữ liệu do chính chủ thể dữ liệu thực hiện, và việc chuyển dữ liệu trong tình trạng khẩn cấp quốc gia. Bộ Công an có thẩm quyền tạm dừng các hoạt động chuyển dữ liệu đe dọa an ninh quốc gia.
Doanh nghiệp nhỏ có cần tuân thủ luật bảo vệ dữ liệu của Việt Nam không?
Doanh nghiệp nhỏ và các công ty khởi nghiệp đủ điều kiện được hưởng thời gian ân hạn năm năm, kéo dài đến ngày 1 tháng 1 năm 2031, đối với một số nghĩa vụ nhất định bao gồm nộp DPIA và bổ nhiệm DPO. Tuy nhiên, thời gian ân hạn này không áp dụng nếu tổ chức xử lý dữ liệu cá nhân nhạy cảm, hoạt động như một nhà cung cấp dịch vụ xử lý dữ liệu, hoặc xử lý dữ liệu liên quan đến hơn 100.000 cá nhân. Doanh nghiệp siêu nhỏ và hộ kinh doanh nhìn chung được miễn trừ khỏi yêu cầu về DPO và DPIA, trừ khi thuộc các trường hợp loại trừ nêu trên.
Việt Nam có yêu cầu phải có Cán bộ phụ trách bảo vệ dữ liệu không?
Có, các tổ chức xử lý dữ liệu cá nhân phải chỉ định một bộ phận bảo vệ dữ liệu đủ năng lực hoặc bổ nhiệm một cá nhân đủ năng lực (DPO). Ứng viên DPO nội bộ phải có tối thiểu bằng cao đẳng, có ít nhất hai năm kinh nghiệm liên quan, và có chuyên môn về luật, công nghệ thông tin, an ninh mạng, an toàn dữ liệu, quản lý rủi ro, tuân thủ hoặc nhân sự. Các nhà cung cấp dịch vụ bảo vệ dữ liệu bên ngoài phải có ít nhất ba nhân sự đủ năng lực. Doanh nghiệp nhỏ và công ty khởi nghiệp được miễn trừ trong năm năm, trừ khi họ xử lý dữ liệu nhạy cảm hoặc khối lượng dữ liệu lớn.
Sources and References
- Luật số 91/2025/QH15 về Bảo vệ dữ liệu cá nhân (bản tiếng Anh)(thuvienphapluat.vn)
- DLA Piper Data Protection Laws of the World: Việt Nam(dlapiperdataprotection.com)
- Phân tích chi tiết Luật Bảo vệ dữ liệu cá nhân Việt Nam - Tilleke & Gibbins(tilleke.com)
- Nghị định 356/2025: hướng dẫn thi hành PDPL Việt Nam - Tilleke & Gibbins(tilleke.com)
- Quy định bảo vệ dữ liệu cá nhân Việt Nam - Nghị định 356 - Vietnam Briefing(vietnam-briefing.com)
- Cảnh báo pháp lý của KPMG Việt Nam về Nghị định 13/2023(kpmg.com)
- Quy định lưu trữ dữ liệu trong nước của Việt Nam - ITIF(itif.org)
- Quy định chuyển dữ liệu xuyên biên giới của Việt Nam - ITIF(itif.org)
- Yêu cầu lưu trữ dữ liệu trong nước theo Luật An ninh mạng Việt Nam - Bộ Thương mại Hoa Kỳ(trade.gov).gov
- Luật Bảo vệ dữ liệu cá nhân mới của Việt Nam - Rouse(rouse.com)
- Nghị định 356: chuyển bảo vệ dữ liệu cá nhân thành nghĩa vụ vận hành - Acclime(vietnam.acclime.com)
- Luật Bảo vệ dữ liệu cá nhân Việt Nam: diễn biến mới nhất - Vietnam Briefing(vietnam-briefing.com)