Luật Dữ liệu 2025: Hướng dẫn doanh nghiệp tuân thủ đúng, đủ, kịp thời

Mỗi ngày, doanh nghiệp của bạn thu thập và xử lý hàng trăm, thậm chí hàng ngàn bản ghi dữ liệu khách hàng. Nhưng liệu hệ thống của bạn đã tuân thủ đúng quy định mới nhất trong Luật Dữ liệu 2025?

Chỉ một file Excel gửi qua email ra nước ngoài, nếu không được đánh giá tác động đúng quy trình cũng có thể khiến bạn bị phạt tới 5% doanh thu.

Luật Dữ liệu là gì?

Luật Dữ liệu (Data Law) là một đạo luật mới của Việt Nam được Quốc hội thông qua vào ngày 30/11/2024 và sẽ có hiệu lực thi hành từ 1/7/2025. Đây là văn bản đầu tiên quy định tổng thể về việc:

• Thu thập, xử lý, chia sẻ, lưu trữ và khai thác mọi loại dữ liệu số (không chỉ dữ liệu cá nhân)
• Phân loại dữ liệu thành: dữ liệu cốt lõi, dữ liệu quan trọng và dữ liệu mở
• Đặt ra nghĩa vụ cho các tổ chức sử dụng dữ liệu tại Việt Nam, bao gồm cả tổ chức nước ngoài

⚠️ Không giống như PDPL (Nghị định 13/2023/NĐ-CP) – Luật Dữ liệu không chỉ giới hạn trong dữ liệu cá nhân, mà mở rộng ra toàn bộ dữ liệu số.

Luật Dữ liệu khác gì với Luật Bảo vệ Dữ liệu Cá nhân (PDPL)?

Trong hệ thống pháp lý về dữ liệu tại Việt Nam, Luật Dữ liệu và Luật Bảo vệ Dữ liệu Cá nhân (PDPL) là 2 văn bản độc lập nhưng có mối liên hệ chặt chẽ. Việc phân biệt đúng vai trò và phạm vi điều chỉnh của từng luật là điều kiện tiên quyết để doanh nghiệp xác định đúng trách nhiệm pháp lý và triển khai các biện pháp tuân thủ phù hợp.

Dưới đây là bảng so sánh một số điểm khác biệt chính giữa 2 văn bản luật này:

Doanh nghiệp cần làm gì để tuân thủ Luật Dữ liệu?

Việc tuân thủ Luật Dữ liệu không chỉ đơn giản là các thủ tục hành chính theo quy trình mà đòi hỏi một hệ thống quản trị dữ liệu toàn diện, từ nhận diện, phân loại dữ liệu đến kiểm soát kỹ thuật, pháp lý và vận hành. Dưới đây là 5 nhóm hành động cốt lõi mà doanh nghiệp cần thực hiện để đáp ứng yêu cầu của Luật Dữ liệu 2025.

1. Phân loại dữ liệu doanh nghiệp đang xử lý

Trước tiên, bạn cần xác định doanh nghiệp của mình đang xử lý những loại dữ liệu nào, bởi mỗi loại dữ liệu sẽ có những yêu cầu quản lý, bảo mật và đánh giá tác động khác nhau.

Theo quy định hiện hành, dữ liệu được phân thành 3 nhóm chính:

• Dữ liệu cốt lõi: Là các dữ liệu có liên quan đến quốc phòng, an ninh, chủ quyền số hoặc chiến lược phát triển quốc gia. Doanh nghiệp tư nhân thường ít gặp loại này, nhưng một số lĩnh vực như viễn thông, an ninh mạng hoặc dữ liệu vi sinh vật cũng có thể bị xếp loại cốt lõi.
• Dữ liệu quan trọng: Bao gồm dữ liệu liên quan đến sức khỏe, tài chính, bảo hiểm, giáo dục hoặc sinh trắc học của công dân với quy mô lớn. Ví dụ: doanh nghiệp xử lý thông tin tài chính của trên 10.000 tổ chức, hoặc hồ sơ sức khỏe của trên 100.000 cá nhân.
• Dữ liệu mở: Chủ yếu áp dụng cho cơ quan nhà nước, phục vụ mục tiêu chia sẻ dữ liệu vì lợi ích công cộng.

2. Đánh giá và báo cáo khi có hoạt động chuyển dữ liệu ra nước ngoài

Theo quy định tại Dự thảo Nghị định hướng dẫn thi hành Luật Dữ liệu, các tổ chức có hoạt động chuyển dữ liệu ra ngoài lãnh thổ Việt Nam phải thực hiện:

• Đánh giá tác động chuyển dữ liệu xuyên biên giới, sử dụng biểu mẫu do Bộ Công an ban hành
• Nộp hồ sơ đánh giá cho Trung tâm Dữ liệu Quốc gia để lưu trữ và theo dõi

Một số hoạt động phổ biến có thể nằm trong phạm vi này gồm:

• Sử dụng hạ tầng lưu trữ dữ liệu đặt tại nước ngoài (như Google Cloud, AWS, Azure)
• Triển khai phần mềm SaaS có máy chủ ngoài Việt Nam (HubSpot, Salesforce, Notion,…)
• Chuyển tiếp dữ liệu nội bộ giữa các chi nhánh tại nhiều quốc gia

Trong trường hợp dữ liệu được chuyển thuộc nhóm dữ liệu cá nhân, dữ liệu quan trọng hoặc dữ liệu cốt lõi, việc thực hiện đánh giá là bắt buộc.

3. Triển khai các biện pháp kỹ thuật theo tiêu chuẩn luật định

Luật Dữ liệu và PDPL quy định rõ về yêu cầu kỹ thuật bắt buộc đối với các tổ chức xử lý dữ liệu. Một số biện pháp cần thiết bao gồm:

• Mã hóa dữ liệu trong quá trình truyền và lưu trữ, bảo đảm không để lộ dữ liệu ở trạng thái thô
• Ẩn danh hoặc gán mã dữ liệu cá nhân (pseudonymization) nhằm hạn chế nguy cơ bị định danh lại
• Ghi nhật ký truy cập và thao tác với dữ liệu, phục vụ cho việc kiểm soát và truy xuất khi cần thiết
• Phân quyền chi tiết theo vai trò, giới hạn quyền truy cập đối với dữ liệu nhạy cảm hoặc quy mô lớn

Việc áp dụng các biện pháp này không chỉ phục vụ yêu cầu pháp lý mà còn giúp tăng khả năng phòng ngừa rủi ro nội bộ và từ bên thứ ba.

4. Chuẩn hóa tài liệu pháp lý và hồ sơ tuân thủ

Một phần không thể thiếu trong việc tuân thủ Luật Dữ liệu là chuẩn bị và duy trì đầy đủ hồ sơ pháp lý. Cụ thể, doanh nghiệp cần:

• Hồ sơ đánh giá tác động xử lý dữ liệu hoặc chuyển dữ liệu xuyên biên giới
• Hợp đồng giữa bên xử lý dữ liệu và bên kiểm soát dữ liệu (nếu có)
• Giấy tờ pháp lý chứng minh tư cách pháp nhân, ngành nghề liên quan
• Thông tin về nhân sự hoặc tổ chức chịu trách nhiệm chính trong việc bảo vệ dữ liệu (nếu có DPO hoặc thuê đơn vị bên ngoài)

Mục tiêu của hoạt động này là đảm bảo doanh nghiệp có thể chứng minh tính sẵn sàng và minh bạch trong việc xử lý dữ liệu nếu bị thanh tra hoặc khi có khiếu nại.

5. Thiết lập quy trình quản lý truy cập, xác thực và phản hồi yêu cầu dữ liệu

Bên cạnh yếu tố kỹ thuật và pháp lý, doanh nghiệp cần thiết lập các quy trình vận hành nội bộ để đảm bảo tính nhất quán và an toàn trong suốt vòng đời của dữ liệu:

• Quy trình quản lý truy cập và truy xuất dữ liệu: đảm bảo chỉ có người có thẩm quyền được truy cập
• Cơ chế xác thực tính chính xác của dữ liệu: đối chiếu và cập nhật thường xuyên, hạn chế sai lệch
• Quy trình tiếp nhận và xử lý yêu cầu dữ liệu: như yêu cầu truy cập, chỉnh sửa, xoá dữ liệu của cá nhân hoặc yêu cầu từ cơ quan quản lý

Việc không có chính sách và quy trình cụ thể là nguyên nhân phổ biến khiến các doanh nghiệp gặp khó khăn trong quá trình thanh kiểm tra, hoặc khi xảy ra sự cố vi phạm dữ liệu.

Các mức phạt nếu không tuân thủ Luật Dữ liệu

Luật Dữ liệu 2025 quy định rõ các hình thức xử phạt đối với tổ chức và cá nhân vi phạm nghĩa vụ trong việc quản lý, xử lý và bảo vệ dữ liệu số. Mức xử phạt được xác định dựa trên mức độ vi phạm, loại dữ liệu liên quan và hậu quả gây ra, với một số mức phạt có tính chất răn đe cao.

Dưới đây là tổng hợp các nhóm vi phạm phổ biến mà doanh nghiệp cần lưu ý:

Câu hỏi thường gặp (FAQ)

Q: Công ty SME chỉ dùng CRM và Google Drive có cần tuân thủ không?

A: Có. Nếu bạn xử lý thông tin khách hàng, nhân sự, giao dịch – bạn có thể nằm trong diện phải đánh giá tác động và thực hiện bảo mật theo Luật Dữ liệu & PDPL.

Q: Không nộp báo cáo có sao không?

A: Vi phạm này bị xử phạt theo Nghị định, và cơ quan nhà nước có quyền yêu cầu đình chỉ hoạt động xử lý dữ liệu.

Q: Tôi có cần thuê DPO hay chỉ định tổ chức bảo vệ dữ liệu không?

A: Không bắt buộc, nhưng nếu xử lý dữ liệu quan trọng hoặc nhạy cảm, nên thuê đơn vị tư vấn như CyStack để đảm bảo tuân thủ đầy đủ và tránh rủi ro.

Lời kết

Luật Dữ liệu không còn là dự thảo và sẽ sớm có hiệu có hiệu lực trong năm nay. Việc chậm thích ứng hoặc xử lý hời hợt không chỉ dẫn đến rủi ro pháp lý, mà còn ảnh hưởng trực tiếp đến khả năng vận hành, hợp tác, tìm kiếm khách hàng và mở rộng quy mô của doanh nghiệp. Đặc biệt, bối cảnh dữ liệu đã trở thành tài sản cốt lõi, doanh nghiệp cần chuyển từ “phản ứng” sang “chủ động xây dựng năng lực bảo vệ dữ liệu”.

Ngay lúc này, doanh nghiệp cần:

• Rà soát lại toàn bộ danh mục dữ liệu đang nắm giữ để biết loại dữ liệu nào cần báo cáo, loại dữ liệu nào cần bảo vệ đặc biệt.
• Xác định các rủi ro pháp lý tiềm ẩn (đặc biệt nếu có sử dụng dịch vụ cloud nước ngoài, xử lý dữ liệu khách hàng quy mô lớn).
• Lập kế hoạch tuân thủ theo lộ trình phù hợp với quy mô & ngành nghề của doanh nghiệp.

Nếu doanh nghiệp của bạn đang cần một lộ trình rõ ràng để bắt đầu, đội ngũ chuyên gia của CyStack luôn sẵn sàng hỗ trợ, từ bước đánh giá hiện trạng cho đến triển khai hệ thống tuân thủ phù hợp với từng ngành nghề và quy mô doanh nghiệp.

Liên hệ với chúng tôi để nhận tư vấn chi tiết và bắt đầu kế hoạch phù hợp ngay từ hôm nay.