Chuyên gia Nguyễn Đức Toàn: “Doanh nghiệp Việt có thể vi phạm Luật Dữ liệu nếu dùng email và dịch vụ SaaS nước ngoài”

“Dữ liệu của người Việt phải do Việt Nam kiểm soát. Nếu doanh nghiệp sử dụng dịch vụ nước ngoài mà không lưu trú dữ liệu trong nước, thì họ đang đứng ngoài vùng an toàn của pháp luật Việt Nam”, Chuyên gia Nguyễn Đức Toàn

Từ ngày 1/7/2025, Luật Dữ liệu Việt Nam 2024 chính thức có hiệu lực - một đạo luật được xem là bước ngoặt trong quá trình xây dựng chủ quyền số quốc gia, tương tự như “Luật An ninh mạng” từng làm với an ninh không gian mạng năm 2018.

Trong khi đó, hàng triệu người dùng và hàng chục nghìn doanh nghiệp Việt vẫn đang phụ thuộc vào các dịch vụ SaaS (Software-as-a-Service) của nước ngoài như Google Workspace, Microsoft 365, Amazon SES,... nơi toàn bộ dữ liệu thư điện tử, tài liệu, hồ sơ khách hàng đều được lưu trữ tại máy chủ ở nước ngoài.

Thực tế này đặt ra câu hỏi lớn: liệu việc sử dụng các dịch vụ này có vi phạm pháp luật Việt Nam về dữ liệu và an ninh thông tin? Phóng viên Tạp chí Tin học và Đời sống đã có cuộc trao đổi với ông Nguyễn Đức Toàn - chuyên gia về chủ quyền dữ liệu, Giám đốc Phát triển thị trường Công ty Cổ phần Giải Pháp Thông Tin (iWay), để làm rõ vấn đề.

Ông Nguyễn Đức Toàn - chuyên gia về chủ quyền dữ liệu, Giám đốc Phát triển thị trường Công ty Cổ phần Giải Pháp Thông Tin (iWay).

PV: Thưa ông, vì sao việc sử dụng các dịch vụ SaaS và email nước ngoài lại có thể bị xem là vi phạm pháp luật Việt Nam?

Ông Nguyễn Đức Toàn: Nguyên nhân nằm ở quy định lưu trữ dữ liệu nội địa. Theo Luật Dữ liệu Việt Nam 2024, dữ liệu phát sinh từ hoạt động của cá nhân, tổ chức Việt Nam – bao gồm thông tin khách hàng, giao dịch, hợp đồng, và cả nội dung thư điện tử – phải được lưu trữ trong lãnh thổ Việt Nam.

Việc chuyển dữ liệu ra nước ngoài chỉ được phép khi có đánh giá rủi ro, đăng ký và được chấp thuận bởi cơ quan quản lý nhà nước. Như vậy, khi doanh nghiệp Việt dùng Gmail, Outlook 365 hay Amazon SES, toàn bộ dữ liệu thư, lịch, danh bạ, tệp đính kèm… đều rời khỏi Việt Nam, vi phạm quy định tại Điều 11 và 15 của Luật Dữ liệu.

PV: Cụ thể, doanh nghiệp có thể đối mặt với những rủi ro nào nếu tiếp tục sử dụng các nền tảng nước ngoài này?

Ông Nguyễn Đức Toàn: Có ba nhóm rủi ro lớn. Một là, vi phạm lưu trú dữ liệu nội địa – theo Luật Dữ liệu 2024 và Nghị định 53/2022/NĐ-CP, dữ liệu người Việt phải lưu trong nước. Vi phạm có thể bị buộc dừng xử lý hoặc xử phạt hành chính, đặc biệt nếu dữ liệu liên quan đến lĩnh vực nhạy cảm.

Hai là, chuyển dữ liệu cá nhân ra nước ngoài trái phép – vi phạm Nghị định 13/2023/NĐ-CP. Doanh nghiệp phải có đánh giá tác động (DPIA), đăng ký với Bộ Công an và sự đồng ý rõ ràng của chủ thể dữ liệu trước khi chia sẻ dữ liệu ra ngoài lãnh thổ Việt Nam.

Ba là, nguy cơ dữ liệu bị truy cập bởi cơ quan nước ngoài. Các công ty Mỹ như Google, Microsoft và Amazon chịu sự điều chỉnh của CLOUD Act (2018) và FISA Section 702, cho phép Chính phủ Mỹ yêu cầu các tập đoàn này cung cấp dữ liệu người dùng ở bất kỳ đâu trên thế giới.

Do đó, nếu một doanh nghiệp Việt gửi hợp đồng hoặc dữ liệu nội bộ qua Gmail, những dữ liệu đó có thể bị truy xuất hợp pháp bởi cơ quan Mỹ.

Ảnh minh hoạ. 

PV: Ông có thể nêu ví dụ cụ thể về các hành vi vi phạm tiềm ẩn trong thực tế không?

Ông Nguyễn Đức Toàn: Có rất nhiều tình huống đáng lo ngại. Ví dụ, một công ty bất động sản tại TP.HCM sử dụng Google Drive và Gmail để lưu hồ sơ khách hàng, bao gồm CCCD, hợp đồng, số tài khoản ngân hàng. Khi xảy ra rò rỉ dữ liệu, cơ quan chức năng không thể yêu cầu Google cung cấp bản sao máy chủ gốc, bởi dữ liệu được lưu ở Singapore hoặc Mỹ, ngoài phạm vi pháp lý của Việt Nam. Theo Điều 25 Luật Dữ liệu 2024, đây là hành vi vi phạm chủ quyền dữ liệu quốc gia.

Hay một trung tâm đào tạo sử dụng Microsoft Teams để lưu trữ video lớp học và bài kiểm tra học viên. Dữ liệu học sinh, giọng nói, hình ảnh - tất cả đều là dữ liệu cá nhân nhạy cảm. Việc lưu trữ trên máy chủ châu Âu mà không xin phép hoặc đánh giá rủi ro là hành vi vi phạm Nghị định 13/2023/NĐ-CP.

PV: Phần mềm tự do nguồn mở có vai trò như thế nào trong việc bảo vệ chủ quyền dữ liệu?

Ông Nguyễn Đức Toàn: Phần mềm tự do nguồn mở (FOSS) là nền tảng quan trọng để doanh nghiệp Việt làm chủ công nghệ và dữ liệu. Với FOSS, doanh nghiệp có thể triển khai các giải pháp như Zimbra, Carbonio, Nextcloud,... ngay trên máy chủ nội địa, đảm bảo dữ liệu không rời khỏi Việt Nam.

Điểm mạnh của phần mềm nguồn mở là minh bạch - ai cũng có thể kiểm soát được mã nguồn để xác minh không có “cửa hậu” (backdoor). Điều này khác hẳn các hệ thống độc quyền, nơi dữ liệu và quy trình xử lý nằm hoàn toàn ngoài tầm kiểm soát của người dùng.

Phần mềm tự do nguồn mở không chỉ giúp tiết kiệm chi phí, mà còn là công cụ thực hiện chủ quyền dữ liệu và tự chủ công nghệ quốc gia.

PV: iWay đang thực hiện những hoạt động gì để đồng hành cùng các doanh nghiệp, tổ chức trong việc thực thi Luật Dữ liệu và chuyển đổi số?

Ông Nguyễn Đức Toàn: iWay đã và đang hưởng ứng Nghị quyết 57/NQ-CP của Chính phủ, về việc xây dựng các sản phẩm và nền tảng số tiên phong “Make in Vietnam”. Chúng tôi đang hợp tác với nhiều công ty CNTT để tích hợp cũng như triển khai nền tảng thư điện tử, các phần mềm hoá và SaaS nội địa dựa trên phần mềm tự do nguồn mở, đáp ứng tiêu chuẩn lưu trú dữ liệu, bảo mật và chủ quyền số.

Mục tiêu của iWay là hợp tác cùng các doanh nghiệp CNTT, các hiệp hội tổ chức để cùng tuyên truyền, hướng dẫn về Luật Dữ liệu và các các luật liên quan, vừa xây dựng những giải pháp, dịch vụ Công nghệ thông tin mà Việt Nam tự chủ hoàn toàn hạ tầng dữ liệu giúp mọi tổ chức, doanh nghiệp và cơ quan nhà nước đều có thể sử dụng dịch vụ vừa đảm bảo chủ quyền dữ liệu, tuân thủ pháp luật, vừa đảm bảo an toàn thông tin quốc gia.

PV: Theo ông, thông điệp quan trọng nhất với doanh nghiệp Việt trong giai đoạn này là gì?

Ông Nguyễn Đức Toàn: Không thể có chủ quyền số nếu không làm chủ dữ liệu. Dữ liệu là tài sản chiến lược, không chỉ của doanh nghiệp mà của cả quốc gia. Doanh nghiệp cần coi việc lưu trữ dữ liệu trong nước và sử dụng nền tảng nội địa là nghĩa vụ pháp lý và trách nhiệm công dân số. Đây cũng là cách thiết thực nhất để bảo vệ mình trước rủi ro pháp lý và an ninh thông tin.

Trân trọng cảm ơn ông!

Luật Dữ liệu 2024, cùng với Luật An ninh mạng 2018 và Nghị định 53/2022, đánh dấu giai đoạn Việt Nam khẳng định chủ quyền dữ liệu và xây dựng nền tảng chuyển đổi số an toàn, tự chủ. Doanh nghiệp Việt cần chủ động chuyển sang các nền tảng “Make in Vietnam”, kết hợp với phần mềm tự do nguồn mở để vừa tuân thủ pháp luật, vừa đảm bảo an toàn, minh bạch và phát triển bền vững.