Hướng dẫn soạn mục Phương án bảo vệ dữ liệu cá nhân trong hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (Phần 1)

Trong bộ hồ sơ Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (DPIA) theo Nghị định 13/2023/NĐ – CP và từ 01.01.2026 được gọi là hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Luật bảo vệ dữ liệu cá nhân, thì doanh nghiệp sẽ buộc phải chứng minh rằng doanh nghiệp đã áp dụng các biện pháp cho mục đích đảm bảo sự an toàn cho dữ liệu cá nhân, bao gồm các giải trình về các tiêu chuẩn, biện pháp quản lý đi kèm, các biện pháp kỹ thuật mà doanh nghiệp áp dụng, các quy định về kiểm tra tính an toàn của hệ thống an ninh mạng… Việc soạn thảo mục này đòi hỏi sự phối hợp chặt chẽ giữa pháp chế – an ninh mạng – CNTT – vận hành, cùng tư duy quản trị rủi ro theo tiêu chuẩn quốc tế như ISO/IEC 27701, GDPR và các mô hình quản trị dữ liệu khác tương ứng. Thông qua bài viết này, chúng tôi sẽ hướng dẫn bạn cách thức chuẩn bị mục này trong hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

1. Phương án, biện pháp quản lý về bảo vệ dữ liệu cá nhân

Tùy thuộc vào từng lĩnh vực cũng như nhóm dữ liệu cá nhân mà doanh nghiệp đang nắm giữ cũng như chuyển dịch xuyên biên giới sẽ diễn giải một cách chi tiết cách thức mà doanh nghiệp đang áp dụng cho việc bảo đảm an toàn cho dữ liệu cá nhân. Tuy nhiên nhìn chung sẽ tập trung tại các điểm cốt lõi bao gồm: Biện pháp quản lý, biện pháp kỹ thuật, nhân sự, hệ thống an ninh, vấn đề về sao lưu dữ liệu… mà doanh nghiệp đang áp dụng.

Đầu tiên đối với biện pháp quản lý, được hiểu là các phương thức, biện pháp mà doanh nghiệp đã ban hành để quản trị dữ liệu nội bộ của doanh nghiệp. Theo đó doanh nghiệp cần ghi nhận cũng như chứng minh được hiện tại doanh nghiệp đã xây dựng và ban hành được những chính sách bảo vệ dữ liệu cá nhân nào trong doanh nghiệp hay chưa, tên gọi – số hiệu – ngày ban hành của chính sách, bộ phận nào phụ trách về dữ liệu cá nhân của doanh nghiệp – có đi kèm quyết định thành lập và nhiệm vụ, quyền hạn của bộ phận đó hay không.

Tại mục này doanh nghiệp cũng sẽ cần chứng minh được ngoài việc ban hành chính sách, thì doanh nghiệp còn thực hiện những hành động nào khác để thực thi chính sách đã ban hành hay không. Ví dụ doanh nghiệp thường xuyên giám sát hệ thống an ninh mạng, hệ thống máy tính của công ty, đề kiểm tra các dữ liệu ra vào, kiểm tra tính bảo mật, mức độ hiệu quả của các hệ thống tường lửa, lịch trình kiểm tra định kỳ hàng tuần, hàng tháng hay quý, phạm vi kiểm tra có bao gồm kiểm tra những lỗ hổng (vulnerability scanning) và kiểm tra nhật ký truy cập…

2. Biện pháp kỹ thuật

Biện pháp kỹ thuật là một phần không thể thiếu trong việc doanh nghiệp chứng minh hiện tại doanh nghiệp đã có biện pháp để đảm bảo an toàn cho dữ liệu cá nhân, đặc biệt là trong việc chuyển dữ liệu xuyên biên giới. Theo đó doanh nghiệp sẽ cần diễn giải chi tiết về phần cứng, phần mềm, hệ thống, thiết bị và mục đích của việc áp dụng, việc phân tích sẽ chủ yếu tập trung vào các điểm quan trọng về kỹ thuật như sau:

Đối với bảo vệ lớp mạng, cụ thể tường lửa sẽ cần ghi nhận… Hệ thống VLAN phải thực hiện được việc tách bạch rõ ràng giữa dữ liệu nhạy cảm và dữ liệu vận hành hoạt động nội bộ dựa trên VLAN trên mạng nội bộ.

Đối với phương thức bảo vệ máy chủ, doanh nghiệp cần mô tả rõ trong hồ sơ những biện pháp bảo vệ cốt lõi mà doanh nghiệp áp dụng để bảo vệ máy chủ, ví dụ:

• Thực hiện mã hóa dữ liệu, theo đó doanh nghiệp sử dụng các thuật toán mã hóa mạnh (ví dụ: AES-256) cho cả dữ liệu đang lưu trữ và dữ liệu được sao lưu nhằm đảm bảo rằng ngay cả khi xảy ra truy cập trái phép, thông tin cá nhân vẫn không bị khai thác. Việc mã hóa khi truyền tải cần được chứng minh rõ ràng trong hồ sơ.
• Áp dụng giao thức truyền dữ liệu an toàn, để tránh nguy cơ nghe lén hay can thiệp trong quá trình truyền thông tin, các giao thức bảo mật tiên tiến như TLS 1.3 cần được triển khai đồng bộ trên hệ thống email, kết nối tới hạ tầng đám mây hoặc các nền tảng lưu trữ dữ liệu bên ngoài.
• Doanh nghiệp thực hiện cách ly dữ liệu nhạy cảm, theo đó với các dữ liệu cá nhân có mức độ nhạy cảm cao thì doanh nghiệp thực hiện lưu trữ trong cơ sở dữ liệu chuyên biệt, tách biệt khỏi các hệ thống nghiệp vụ khác. Đồng thời, thực hiện cơ chế hạn chế quyền truy cập ở mức tối đa, đảm bảo chỉ những cá nhân được ủy quyền với nhu cầu công việc thực tế mới có quyền truy cập.

Đối với cách thức bảo vệ website và ứng dụng của doanh nghiệp, đây là các nền tảng nắm giữ một khối lượng đồ sộ về dữ liệu cá nhân, vậy doanh nghiệp đã thực hiện các phương thức để kiểm soát và bảo vệ chưa, ví dụ:

Xác thực và phân quyền truy cập, Doanh nghiệp nên triển khai Microsoft Active Directory hoặc hệ thống quản lý danh tính tương đương để kiểm soát tài khoản nhân sự một cách tập trung. Việc đăng nhập cần được tăng cường bằng xác thực đa yếu tố (MFA) — kết hợp mật khẩu và mã OTP (ví dụ: Google Authenticator) — nhằm hạn chế nguy cơ chiếm quyền truy cập.

Đánh giá và kiểm thử bảo mật định kỳ, để đảm bảo ứng dụng luôn trong trạng thái an toàn, doanh nghiệp nên tiến hành kiểm tra xâm nhập và đánh giá lỗ hổng bảo mật thường xuyên, sử dụng các công cụ chuyên dụng như Nessus. Đây là bước quan trọng để nhận diện và xử lý sớm các điểm yếu có thể bị khai thác.

Bảo vệ thiết bị đầu cuối, được hiểu là doanh nghiệp áp dụng các biện pháp để kiểm soát rủi ro từ phía người dùng, thiết bị đầu cuối (laptop, PC) của nhân viên thường là mắt xích dễ bị tấn công nhất trong chuỗi bảo mật dữ liệu cá nhân. Doanh nghiệp có bảo vệ bằng công cụ bảo mật tích hợp, cụ thể doanh nghiệp có đảm bảo Windows Defender Firewall (hoặc giải pháp tương tự) được bật và cấu hình đúng chuẩn trên tất cả thiết bị truy cập dữ liệu cá nhân, nhằm ngăn chặn truy cập trái phép và mã độc xâm nhập.

Doanh nghiệp đã tăng cường xác thực truy cập vào hệ thống hay chưa, trong mọi tình huống truy cập dữ liệu từ thiết bị đầu cuối, doanh nghiệp có áp dụng xác thực đa yếu tố (MFA) để giảm thiểu rủi ro tài khoản bị lộ hoặc bị chiếm quyền điều khiển.

Duy trì cập nhật bảo mật liên tục, doanh nghiệp có đảm bảo các thiết bị được cập nhật bản vá bảo mật định kỳ cho hệ điều hành và các ứng dụng liên quan, nhằm xử lý kịp thời các lỗ hổng có thể bị tin tặc khai thác.

Sao lưu và phục hồi dữ liệu, đối với vấn đề này thì doanh nghiệp sẽ cần trình bày rõ các phần mềm, hệ thống sao lưu ( ví dụ như : Lưu bản sao trên AWS S3, được mã hóa AES-256) , kế hoạch sao lưu ( Sao lưu dữ liệu định kỳ hàng tuần hoặc hàng tháng lên máy chủ nội bộ hoặc nền tảng lưu trữ đám mây do doanh nghiệp quản lý nền tảng lưu trữ cung cấp  – phục hồi, dữ liệu sao lưu sẽ gồm những dữ liệu gì, công cụ được sử dụng là gì, thời hạn sao lưu dữ liệu là bao lâu ( ví dụ 5 năm hoặc thời hạn khác tương ứng với từng loại dữ liệu)

Như vậy, các biện pháp bảo vệ dữ liệu cá nhân đã được xác định rõ về phạm vi và cách thức triển khai trong thực tế. Tuy nhiên, để phương án bảo đảm an toàn dự liệu cá nhân trong hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được xem là đầy đủ, doanh nghiệp cần tiếp tục chứng minh rằng doanh nghiệp đã áp dụng các tiêu chuẩn phù hợp cũng như áp dụng các biện pháp thuộc về an ninh mạng, an ninh hệ thống… Nội dung này sẽ được trình bày chi tiết tại Phần 2 thông qua việc áp dụng tiêu chuẩn bảo vệ dữ liệu cá nhân và kiểm tra an ninh mạng định kỳ.

Thời gian viết bài: 26/11/2025

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Rà soát điều khoản thanh toán theo hiệp định tránh đánh thuế hai lần
• Thủ tục xử lý khi chậm góp vốn đầu tư
• Các vấn đề pháp lý phát sinh khi chậm thực hiện gia hạn hoạt động dự án đầu tư
• Nhà đầu tư nước ngoài và cách thức để thành lập công ty công nghệ tại Việt Nam (Phần 2)
• Nhà đầu tư nước ngoài và cách thức để thành lập công ty công nghệ tại Việt Nam (Phần 1)