Nguy cơ vi phạm pháp luật khi doanh nghiệp sử dụng dịch vụ SaaS nước ngoài

Khi Luật Dữ liệu Việt Nam 2024 chuẩn bị có hiệu lực từ ngày 1/7/2025, giới chuyên gia công nghệ và pháp lý đang gióng lên hồi chuông cảnh báo: Việc các doanh nghiệp Việt Nam tiếp tục sử dụng dịch vụ phần mềm và lưu trữ dữ liệu của các nhà cung cấp nước ngoài như Google Workspace, Microsoft 365 hay Amazon Web Services có thể dẫn tới vi phạm pháp luật Việt Nam về lưu trữ, bảo vệ và chủ quyền dữ liệu quốc gia.

Lễ công bố Kiến trúc Dữ liệu tỉnh Hưng Yên

Luật Dữ liệu – Cột mốc xác lập chủ quyền số Việt Nam

Luật Dữ liệu 2024 là đạo luật đầu tiên tại Việt Nam điều chỉnh toàn diện về quản trị, xử lý và bảo vệ dữ liệu, đánh dấu bước ngoặt trong việc xác lập “chủ quyền dữ liệu quốc gia”. Theo quy định, mọi dữ liệu phát sinh từ hoạt động của tổ chức, cá nhân Việt Nam được coi là tài nguyên thuộc chủ quyền Việt Nam và phải được lưu trữ, xử lý trong lãnh thổ Việt Nam, trừ trường hợp đặc biệt được cơ quan có thẩm quyền cho phép.

Luật cũng yêu cầu việc chuyển dữ liệu ra nước ngoài phải trải qua đánh giá tác động (DPIA), đăng ký và được chấp thuận bởi cơ quan quản lý. Như vậy, các nền tảng SaaS quốc tế – vốn đặt máy chủ tại Mỹ, Singapore hay châu Âu – không đáp ứng quy định về lưu trú dữ liệu, và doanh nghiệp Việt sử dụng các nền tảng này có nguy cơ vi phạm Luật Dữ liệu 2024, Luật An ninh mạng 2018 và Nghị định 53/2022/NĐ-CP.

Trung tâm dữ liệu tại Việt Nam ngày càng được tập trung đầu tư phát triển

Nguy cơ mất kiểm soát dữ liệu và rủi ro pháp lý

Chủ quyền dữ liệu không chỉ là vấn đề kỹ thuật, mà là vấn đề pháp lý và chủ quyền quốc gia. Khi doanh nghiệp Việt gửi email, hợp đồng hoặc lưu trữ tài liệu trên máy chủ đặt ở nước ngoài, nghĩa là dữ liệu chiến lược của đất nước đang nằm ngoài sự kiểm soát của pháp luật Việt Nam.

Khi sử dụng hệ thống email, CRM hay lưu trữ điện toán đám mây của nước ngoài, toàn bộ dữ liệu người dùng, khách hàng, tài chính và thư điện tử nội bộ có thể nằm ngoài quyền tài phán của Việt Nam.

Đáng chú ý, các tập đoàn công nghệ lớn như Google, Microsoft hay Amazon đều chịu sự điều chỉnh của Đạo luật CLOUD Act (2018) và FISA Section 702 của Mỹ – cho phép cơ quan tình báo Mỹ truy cập dữ liệu người dùng nước ngoài vì lý do “an ninh quốc gia”. Các dịch vụ Cloud/SaaS nước ngoài đều không đáp ứng yêu cầu lưu trữ dữ liệu tại Việt Nam, đặc biệt đối với dữ liệu nhạy cảm thuộc các ngành nghề đặc thù (tài chính - ngân hàng, y tế, giáo dục).

Các rủi ro cụ thể khi dùng Cloud, SaaS hoặc Mail Server nước ngoài gồm:

•      • Vi phạm quy định lưu trữ dữ liệu trong nước.
•      • Khó tiếp cận dữ liệu khi có tranh chấp pháp lý.
•      • Nguy cơ rò rỉ, bị khai thác hoặc truy xuất dữ liệu bởi cơ quan nước ngoài.
•      • Độ trễ mạng cao, giảm hiệu suất hệ thống.
•      • Thiếu hỗ trợ kỹ thuật kịp thời khi xảy ra sự cố.

Làm chủ dữ liệu bằng nền tảng nội địa và phần mềm nguồn mở

Để đảm bảo tuân thủ Luật Dữ liệu 2024, bảo vệ an ninh dữ liệu và hưởng ứng Nghị quyết 57/NQ-CP của Chính phủ về xây dựng các sản phẩm, nền tảng số tiên phong “Make in Vietnam”, các chuyên gia khuyến nghị DN Việt Nam cần thực hiện các giải pháp sau:

• - Ưu tiên Sử dụng Nền tảng Nội địa: Lựa chọn các giải pháp Cloud, SaaS và Email có máy chủ đặt tại Việt Nam, được cấp phép lưu trữ dữ liệu.
• - Ứng dụng Phần mềm Tự do Nguồn Mở (FOSS): Các hệ thống nguồn mở như Carbonio, Zimbra, Nextcloud... cho phép:
  • Doanh nghiệp Việt làm chủ hoàn toàn mã nguồn và hạ tầng, không phụ thuộc vào nhà cung cấp nước ngoài.
  • Lưu trữ dữ liệu trong nước, tuân thủ Luật Dữ liệu 2024 và Nghị định 53/2022/NĐ-CP.
  • Tăng cường tính minh bạch, bảo mật và khả năng kiểm soát truy cập.

• - Thực hiện các Biện pháp Pháp lý: Ký Thỏa thuận xử lý dữ liệu (DPA) với đối tác công nghệ và thực hiện Đánh giá tác động dữ liệu (DPIA) trước khi chuyển bất kỳ dữ liệu nào ra nước ngoài.

Định hướng cho doanh nghiệp Việt Nam

Việt Nam đang bước vào kỷ nguyên dữ liệu – nơi dữ liệu không chỉ là công cụ vận hành mà là tài nguyên chiến lược, nguồn “năng lượng mới” của nền kinh tế số và việc bảo vệ dữ liệu là nhiệm vụ trọng tâm. Luật Dữ liệu 2024 cùng Luật Bảo vệ Dữ liệu cá nhân 2025 đã đặt nền móng cho một thị trường dữ liệu minh bạch, an toàn và hợp pháp, hướng tới phát triển kinh tế số bền vững, bảo đảm quyền riêng tư và chủ quyền quốc gia.

Việc làm chủ dữ liệu là ưu tiên chiến lược, không chỉ để tránh vi phạm pháp luật, mà còn để xây dựng niềm tin số – nền tảng của mọi hoạt động kinh doanh trong thời đại số hóa.

Doanh nghiệp cần chủ động chuyển đổi sang sử dụng các nền tảng SaaS và email nội địa, có hạ tầng đặt tại Việt Nam. Hành động này không chỉ giúp tuân thủ pháp luật, mà còn góp phần bảo vệ an ninh dữ liệu và thúc đẩy chuyển đổi số một cách tự chủ và bền vững.

CÔNG TY CỔ PHẦN DỊCH VỤ T-VAN HILO 

Gắn Kết - Đồng Hành - Phát Triển