Pháp luật Việt Nam về bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây - Vướng mắc và định hướng hoàn thiện

Tóm tắt: Điện toán đám mây (cloud computing) đã tạo ra một cuộc cách mạng trong việc tổ chức xử lý, chia sẻ và lưu trữ dữ liệu, góp phần thúc đẩy quá trình chuyển đổi số trên phạm vi toàn cầu. Tuy nhiên, việc gia tăng sử dụng các dịch vụ đám mây cũng mang đến nhiều thách thức liên quan đến việc bảo vệ dữ liệu cá nhân. Bài viết này phân tích các quy định của pháp luật Việt Nam về dịch vụ điện toán đám mây và vấn đề bảo vệ dữ liệu cá nhân trong hợp đồng dịch vụ điện toán đám mây của Việt Nam và một số quốc gia trên thế giới. Trên cơ sở nghiên cứu quy định của pháp luật và thực tiễn thực hiện, bài viết chỉ ra những vướng mắc trong quy định của pháp luật và kiến nghị các giải pháp hoàn thiện để nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong hợp đồng dịch vụ điện toán đám mây tại Việt Nam.

Từ khoá: Dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, điện toán đám mây, cloud computing, dịch vụ điện toán đám mây, hợp đồng dịch vụ điện toán đám mây.

Abstract: Cloud computing has fundamentally transformed the methods of processing, sharing and storing data, becoming a pivotal enabler of global digital transformation. The widespread adoption of cloud computing services simultaneously introduces profound legal and regulatory challenges concerning the protection of personal data. This article conducts a comparative legal examination of the Vietnamese regulatory framework governing cloud computing services and the protection of personal data within cloud service contracts, drawing parallels with selected foreign jurisdictions. By analyzing both statutory provisions and practical enforcement, the article identifies notable deficiencies and inconsistencies within Vietnamese legal framework. It further advances recommendations for legislative and institutional reform aimed at strengthening the protection of personal data and ensuring greater legal certainty in cloud computing services in Vietnam.

Keywords: personal data, personal data protection, cloud computing, cloud computing services, cloud computing contracts.

Đặt vấn đề

Điện toán đám mây đã và đang tạo ra một cuộc cách mạng trong tổ chức lưu trữ, xử lý và chia sẻ dữ liệu, làm thay đổi căn bản cách thức vận hành, quản trị dữ liệu của toàn xã hội trong nền kinh tế số. Theo báo cáo của Grand View Research, quy mô thị trường điện toán đám mây thế giới được ước tính có thể đạt 2.390,18  tỷ  USD vào năm  2030[1]. Tại Việt Nam, giữa đại dịch Covid‑19, FPT Software ký được hợp đồng cung cấp dịch vụ điện toán đám mây trị giá khoảng 1 triệu USD với một công ty Nhật Bản[2]. Tuy điện toán đám mây đang phát triển rất mạnh mẽ nhưng việc lưu trữ, chia sẻ và xử lý dữ liệu qua điện toán đám mây cũng tiềm ẩn nhiều rủi ro, đặc biệt là về bảo mật thông tin và quyền riêng tư của các chủ thể. Nghiên cứu về vi phạm dữ liệu tại ASEAN do Ponemon Institute thực hiện (với sự hỗ trợ của IBM) vào năm 2024 đã chỉ ra rằng, khoảng 41% các vụ vi phạm liên quan dữ liệu được lưu trữ trên nhiều môi trường, bao gồm môi trường điện toán đám mây. Những vi phạm này được xác định là tốn kém nhất: chi phí trung bình để giải quyết mỗi vụ việc là 4,63 triệu đô la Singapore và mất tới 287 ngày để phát hiện và kiểm soát[3]. Điều này cho thấy mức độ nghiêm trọng của rủi ro về dữ liệu cá nhân khi sử dụng dịch vụ điện toán đám mây. Bài viết phân tích thực trạng quy định bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây của Việt Nam và quốc tế. Trên cơ sở đó, các tác giả đề xuất một số giải pháp hoàn thiện pháp luật Việt Nam để phát triển dịch vụ điện toán đám mây, góp phần hài hòa yêu cầu đổi mới công nghệ, chuyển đổi số và nâng cao trách nhiệm bảo vệ dữ liệu cá nhân của các chủ thể. Bài viết được thực hiện bằng các phương pháp phân tích các quy định của pháp luật và các ví dụ thực tiễn tại Việt Nam và quốc tế. Trên cơ sở đó, bài viết tổng hợp và đánh giá quy định của pháp luật Việt Nam hiện hành, nhận diện các khoảng trống pháp lý và đề xuất giải pháp hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây tại Việt Nam.

I. Khái quát về hợp đồng dịch vụ điện toán đám mây và bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây

1.1. Khái niệm, đặc điểm của điện toán đám mây

Hiện nay trên thế giới chưa có khái niệm thống nhất về điện toán đám mây (cloud computing)[4].

Dưới góc độ ngôn ngữ, Từ điển Cambridge định nghĩa điện toán đám mây là việc sử dụng công nghệ, dịch vụ, phần mềm,… trên mạng internet thay vì phần mềm và phần cứng mà một người đã mua và cài đặt trên máy tính của mình[5].

Dưới góc độ nghiên cứu, Viện Quốc gia Tiêu chuẩn và Công nghệ Hoa Kỳ (National Institute of Standards and Technology, NIST) đã định nghĩa điện toán đám mây là mô hình cho phép truy cập tới các tài nguyên được chia sẻ thông qua mạng internet (ví dụ: hệ thống mạng, máy chủ, thiết bị lưu trữ, ứng dụng và các dịch vụ) một cách thuận tiện và theo nhu cầu sử dụng. Những tài nguyên này có thể được cung cấp hoặc thu hồi một cách nhanh chóng với chi phí quản lý tối thiểu hoặc tương tác tối thiểu với nhà cung cấp dịch vụ[6]. Tổ chức tiêu chuẩn hóa quốc tế (International Organization for Standardization, ISO) định nghĩa điện toán đám mây tại mục 3.1.1 của ISO/IEC 22123-1, theo đó, điện toán đám mây được hiểu là mô hình cho phép truy cập mạng vào một nhóm tài nguyên hiện hữu vật lý hoặc trong môi trường ảo, có thể chia sẻ, mở rộng hoặc tự cung cấp và quản trị theo yêu cầu[7].

Các công ty chuyên cung cấp dịch vụ điện toán đám mây nổi tiếng cũng có những khái niệm khác nhau về điện toán đám mây. Amazon Web Services định nghĩa điện toán đám mây là việc cung cấp tài nguyên công nghệ thông tin theo yêu cầu qua Internet để thu tiền, theo đó, người dùng có thể truy cập vào các dịch vụ công nghệ của các nhà cung cấp điện toán đám mây, thay vì phải mua và duy trì các thiết bị hay máy chủ hiện hữu[8]. Theo Google, điện toán đám mây là khả năng lưu trữ các tài nguyên máy tính theo yêu cầu dưới dạng các dịch vụ qua Internet, theo đó, các cá nhân và doanh nghiệp không cần tự quản lý các tài nguyên vật chất và chỉ phải trả tiền cho những gì mình sở hữu[9].

Dưới góc độ pháp lý, hiện nay chỉ có một số quốc gia đã ban hành văn bản pháp luật có quy định về điện toán đám mây hoặc đang trong giai đoạn soạn thảo luật. Ví dụ: Tại Hàn Quốc, Luật về sự phát triển của điện toán đám mây và bảo vệ người sử dụng (Act on the development of cloud computing and protection of its users – Cloud computing Act) được ban hành vào năm 2015, sửa đổi, bổ sung gần nhất vào năm 2021 quy định khái niệm điện toán đám mây tại khoản 1 Điều 2, theo đó, điện toán đám mây được hiểu là một hệ thống xử lý thông tin cho phép sử dụng linh hoạt các tài nguyên tích hợp và chia sẻ thông tin, giao tiếp như các thiết bị thông tin và truyền thông, hệ thống thông tin và truyền thông, phần mềm, thông qua mạng thông tin và truyền thông phù hợp với yêu cầu của người sử dụng[10].

Vào năm 2012 Ủy ban Châu Âu đã ban hành Chiến lược Điện toán Đám mây Châu Âu với mục tiêu thúc đẩy sử dụng điện toán đám mây[11] nhưng hiện tại Liên minh châu Âu vẫn chưa có văn bản pháp luật về điện toán đám mây, Dự thảo Luật về phát triển điện toán đám mây và trí tuệ nhân tạo (Proposed EU cloud and AI development Act)[12] vẫn đang trong quá trình xây dựng.

Ghi chú các vấn đề chính của hợp đồng điện toán đám mây của Uỷ ban Liên hợp quốc về Luật Thương mại Quốc tế (UNCITRAL) năm 2019 – Notes on the main issues of cloud computing contracts có trình bày các vấn đề chủ yếu liên quan đến hợp đồng cung cấp trực tiếp dịch vụ điện toán đám mây giữa hai tổ chức thương mại nhưng cũng không xây dựng khái niệm điện toán đám mây[13].

Thời gian qua, Việt Nam đã và đang tích cực thực hiện các hoạt động chuyển đổi số. Việc lưu trữ và xử lý dữ liệu theo các phương thức truyền thống đang dần được thay thế bởi các mô hình công nghệ hiện đại, trong đó nổi bật là dịch vụ điện toán đám mây. Ngày 11/6/2025, Thủ tướng Chính phủ đã ra Quyết định số 1121/QĐ-TTg phê duyệt chương trình hành động quốc gia về phát triển và chuyển đổi sang sử dụng nền tảng điện toán đám mây giai đoạn 2025-2030 (Quyết định 1121/QĐ-TTg) với mục tiêu thúc đẩy sự phát triển của điện toán đám mây tại Việt Nam. Quyết định 1121/QĐ-TTg xác định nền tảng điện toán đám mây là nền tảng chiến lược, tiên quyết, phải được ưu tiên lựa chọn, sử dụng trong công cuộc cách mạng chuyển đổi số, phát triển trí tuệ nhân tạo (Khoản 1 Điều 1). Khái niệm điện toán đám mây được quy định tại khoản 10 Điều 3 Luật Viễn thông 2023, theo đó, điện toán đám mây là mô hình cho phép sử dụng linh hoạt, có thể điều chỉnh, quản trị theo nhu cầu các tài nguyên điện toán dùng chung gồm mạng, máy chủ, thiết bị lưu trữ, ứng dụng.

Như vậy, có thể hiểu điện toán đám mây là mô hình cung cấp tài nguyên công nghệ thông tin từ xa thông qua Internet, bao gồm: máy chủ, lưu trữ dữ liệu, cơ sở dữ liệu, phần mềm và ứng dụng. Thay vì lưu trữ phần mềm và dữ liệu trên ổ cứng cá nhân (vốn khó di chuyển và giới hạn truy cập), điện toán đám mây cho phép người dùng truy cập mọi lúc, mọi nơi, đồng thời giúp tiết kiệm chi phí đầu tư hạ tầng, vận hành và bảo trì hệ thống công nghệ thông tin[14].

Điện toán đám mây có các đặc điểm cơ bản như sau[15]:

Thứ nhất, điện toán đám mây là hệ thống tự phục vụ theo yêu cầu. Khi sử dụng điện toán đám mây, người dùng có thể tự động truy cập và sử dụng tài nguyên mà không cần sự can thiệp của nhà cung cấp.

Thứ hai, điện toán đám mây cho phép truy cập rộng rãi thông qua mạng Internet với những nền tảng/thiết bị khác nhau như máy tính, điện thoại, máy tính bảng,...

Thứ ba, điện toán đám mây tập trung các tài nguyên đa dạng như máy chủ, lưu trữ, mạng… và có thể phục vụ nhiều người dùng cùng lúc. Nhờ công nghệ, các tài nguyên này được chia sẻ linh hoạt và phân phối tự động theo nhu cầu của từng người dùng đem đến hiệu quả cao nhờ quy mô lớn (nhiều người dùng chung hạ tầng) và tối ưu hóa chuyên môn hóa (quản lý tập trung, chuyên nghiệp).

Thứ tư, tuy nguồn tài nguyên trong điện toán đám mây có thể được chia sẻ cho nhiều người dùng, trên nhiều thiết bị cùng lúc, nhưng hệ thống vẫn có thể theo dõi chính xác mức độ sử dụng của từng người dùng nhờ các công cụ đo lường tự động. Và phí sẽ được tính phí dựa trên mức sử dụng thực tế của người dùng.

Thứ năm, điện toán đám mây có khả năng co giãn linh hoạt cho phép người dùng tăng hoặc giảm tài nguyên (như dung lượng lưu trữ, máy ảo, băng thông...) một cách nhanh chóng tùy theo nhu cầu sử dụng. Các tài nguyên này được cung cấp tức thì, không cần duy trì liên tục, và có thể điều chỉnh bất cứ lúc nào, giúp tối ưu chi phí và hiệu quả sử dụng.

Thứ sáu, điện toán đám mây có phạm vi dịch vụ rộng, từ dịch vụ cơ bản như kết nối mạng, lưu trữ, email và ứng dụng văn phòng, đến việc cung cấp và sử dụng toàn bộ hạ tầng công nghệ thông tin vật lý (như máy chủ, trung tâm dữ liệu) và tài nguyên ảo cần thiết để khách hàng xây dựng nền tảng công nghệ thông tin riêng, triển khai, quản lý và vận hành các ứng dụng hoặc phần mềm do khách hàng tạo hoặc sở hữu. Các loại dịch vụ điện toán đám mây bao gồm hạ tầng (IaaS), nền tảng (PaaS) và phần mềm (SaaS).

Thứ bảy, cùng với sự phát triển của công nghệ thông tin, điện toán đám mây cũng không ngừng cập nhật, nâng cao chất lượng, hiệu quả với việc mở rộng tính năng, bao gồm cả trí tuệ nhân tạo để giải quyết các vấn đề, nhu cầu của người dùng mà các hình thức lưu trữ thông qua ổ cứng, thiết bị không đáp ứng được.

1.2. Khái niệm, đặc điểm của hợp đồng dịch vụ điện toán đám mây

Hiện nay, thuật ngữ hợp đồng dịch vụ điện toán đám mây cũng chưa được định nghĩa trong các văn bản pháp luật của Việt Nam cũng như pháp luật quốc tế. Là một loại hợp đồng, hợp đồng dịch vụ điện toán đám mây có bản chất của hợp đồng theo quy định của Bộ luật Dân sự 2015 là sự thoả thuận giữa các chủ thể. Trên cơ sở khái niệm hợp đồng của Bộ luật Dân sự 2015, hợp đồng dịch vụ điện toán đám mây có thể được hiểu là sự thỏa thuận giữa nhà cung cấp dịch vụ điện toán đám mây và khách hàng để làm phát sinh, thay đổi hoặc chấm dứt các quyền, nghĩa vụ của các chủ thể trong quá trình khách hàng sử dụng dịch vụ điện toán đám mây.

Là một loại hợp đồng dịch vụ thương mại, hợp đồng dịch vụ điện toán đám mây có những đặc điểm chung của hợp đồng dịch vụ thương mại như: hợp đồng là sự thỏa thuận trên cơ sở tự nguyện, tự do ý chí giữa nhà cung cấp dịch vụ và khách hàng. Khách hàng, với tư cách là bên sử dụng dịch vụ có nghĩa vụ phải thanh toán các khoản phí theo thỏa thuận. Ngoài ra, hợp đồng dịch vụ điện toán đám mây còn có những đặc điểm riêng như sau:

Chủ thể của hợp đồng dịch vụ điện toán đám mây bao gồm: Bên cung cấp dịch vụ điện toán đám mây và bên sử dụng dịch vụ điện toán đám mây (khách hàng). Tuy vậy, khi các chủ thể thực hiện hợp đồng dịch vụ điện toán đám mây, ngoài bên cung cấp dịch vụ điện toán đám mây và khách hàng, còn có thể có sự tham gia của các bên thứ ba. Bên cung cấp dịch vụ điện toán đám mây là bên xử lý dữ liệu cá nhân (nếu bên cung cấp dịch vụ điện toán đám mây chỉ thực hiện xử lý dữ liệu theo yêu cầu của khách hàng mà không trực tiếp kiểm soát và quyết định các hoạt động xử lý dữ liệu) hoặc là bên kiểm soát và xử lý dữ liệu cá nhân (nếu bên cung cấp dịch vụ điện toán đám mây đồng thời là bên trực tiếp thu thập, quyết định việc xử lý dữ liệu) theo quy định tại khoản 10 và 11 Điều 2 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (NĐ 13/2023/NĐ-CP) hay khoản 8 và 9 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ ngày 01/01/2026 (LBVDLCN 2025). Quy định này của pháp luật Việt Nam có sự tương đồng với quy định về chủ thể xử lý dữ liệu – data processor và chủ thể kiểm soát và xử lý dữ liệu – data controller theo quy định tại khoản 8 và khoản 7 Điều 4 Quy định Bảo vệ dữ liệu chung (General Data Protection Regulation – GDPR). Bên sử dụng dịch vụ là cá nhân, tổ chức giao kết hợp đồng dịch vụ điện toán đám mây với bên cung cấp dịch vụ. Bên sử dụng dịch vụ điện toán đám mây có thể là chủ thể dữ liệu hoặc bên kiểm soát dữ liệu. Trong trường hợp bên sử dụng dịch vụ là chủ thể dữ liệu thì bên sử dụng dịch vụ là cá nhân được dữ liệu cá nhân phản ánh theo quy định tại khoản 6 Điều 2 NĐ13/2023/NĐ-CP và khoản 5 Điều 2 LBVDLCN 2025. Bên sử dụng dịch vụ cũng có thể là bên kiểm soát dữ liệu cá nhân (là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân) theo quy định tại khoản 9 Điều 2 NĐ 13/2023/NĐ-CP hay khoản 7 Điều 2 LBVDLCN 2025, ví dụ: doanh nghiệp sử dụng dịch vụ điện toán đám mây để lưu trữ dữ liệu của người lao động... Ngoài ra, quan hệ hợp đồng dịch vụ điện toán đám mây còn có thể có sự tham gia của các bên thứ ba có quyền và nghĩa vụ liên quan đến việc thực hiện hợp đồng dịch vụ điện toán đám mây như: nhà cung cấp phần mềm hoặc dịch vụ bổ trợ, nhà cung cấp hạ tầng mạng…

Đối tượng của hợp đồng là dịch vụ điện toán đám mây, phụ thuộc hoàn toàn vào hạ tầng công nghệ, bao gồm máy chủ, phần mềm, hệ thống đo lường… và đặc biệt là kết nối Internet. Do dịch vụ điện toán đám mây được cung cấp thông qua môi trường trực tuyến, nên trong trường hợp mất kết nối mạng hoặc xảy ra sự cố hệ thống, việc cung cấp dịch vụ sẽ bị gián đoạn. Vì vậy, việc thực hiện hợp đồng dịch vụ điện toán đám mây không chỉ phụ thuộc vào nỗ lực của các bên giao kết, mà còn chịu ảnh hưởng từ các yếu tố bên ngoài của hạ tầng công nghệ và môi trường mạng điện tử.

Hợp đồng dịch vụ điện toán đám mây không gắn liền với việc chuyển giao quyền sở hữu hoặc sử dụng tài sản vật lý mà liên quan đến quyền truy cập và sử dụng tài nguyên số được cung cấp từ xa, thông qua mạng Internet[16]. Do đó, hợp đồng dịch vụ điện toán đám mây được coi là loại hợp đồng đặc trưng của dịch vụ số trong nền kinh tế số.

Hợp đồng dịch vụ điện toán đám mây thường mang yếu tố quốc tế. Hầu hết các nhà cung cấp dịch vụ điện toán đám mây lớn hiện nay (như Amazon Web Sevices, Google, Microsoft…) là doanh nghiệp nước ngoài, cung cấp dịch vụ xuyên biên giới; hoặc máy chủ có thể đặt ngoài lãnh thổ Việt Nam, và dữ liệu có thể được truyền tải xuyên biên giới[17].

II. Sự cần thiết phải bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây

Theo thống kê của Research and Markets, thị trường trung tâm dữ liệu Việt Nam dự kiến sẽ tăng trưởng với tốc độ CAGR 10,68% trong giai đoạn 2022 - 2028, tăng từ 561 triệu USD năm 2022 lên 1,037 tỷ USD năm 2028. Thị trường điện toán đám mây Việt Nam được xác định là có tốc độ tăng trưởng cao nhất khu vực Đông Nam Á, đứng thứ ba châu Á. Dự báo tốc độ tăng trưởng thị trường điện toán đám mây Việt Nam trong 5-10 năm tới sẽ ở mức 19-20%; quy mô thị trường đến năm 2025 sẽ đạt khoảng 768 triệu USD và 1,2 tỷ USD vào năm 2030[18]. Tuy vậy, sự phát triển của thị trường điện toán đám mây cũng đang mang tới nhiều rủi ro liên quan đến vấn đề bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây như: Nguy cơ mất hoặc rò rỉ dữ liệu cá nhân của khách hàng; Khó kiểm soát dữ liệu cá nhân của khách hàng khi hacker xâm nhập hệ thống và khai thác các lỗ hổng trong hệ thống của người sử dụng hoặc nhà cung cấp dịch vụ điện toán đám mây để thâu tóm dữ liệu; Vấn đề trách nhiệm giữa các chủ thể có liên quan trong việc đảm bảo an toàn dữ liệu của khách hàng chưa được pháp luật quy định cụ thể.[19] Theo Báo cáo Tóm tắt Tình hình An ninh mạng năm 2024 của Mạng lưới An ninh mạng Việt Nam (VSEC), 27% tổ chức đã ghi nhận sự cố bảo mật đám mây vào năm 2024, với hơn 80% lỗ hổng đám mây bị khai thác do cấu hình sai hoặc thiếu giám sát[20]. Báo cáo tình hình nguy cơ an toàn thông tin tại Việt Nam năm 2024 do Công ty An ninh mạng Viettel (Viettel Cyber Security – VCS) thực hiện đã công bố trong năm 2024 Việt Nam ghi nhận hơn 14.5 triệu tài khoản bị lộ, chiếm 12% tổng số toàn cầu, kéo theo nhiều thông tin cá nhân, tài liệu doanh nghiệp bị rao bán rộng rãi trên các nền tảng mạng[21]. Thiệt hại về dữ liệu cá nhân phát sinh từ dịch vụ điện toán đám mây là không hề nhỏ. Báo cáo chỉ số An ninh Đám mây 2023 của Illumio, Inc.[22] chỉ ra, thiệt hại trung bình của mỗi vụ vi phạm dữ liệu cá nhân phát sinh từ dịch vụ điện toán đám mây là khoảng 16,1 triệu USD (tương đương 22 triệu SGD) cho các tổ chức bị ảnh hưởng, và 56% số người tham gia khảo sát cho rằng một vụ vi phạm an ninh đám mây có thể khiến hoạt động của tổ chức bị tê liệt hoàn toàn. Điện toán đám mây có nhiều rủi ro về dữ liệu cá nhân vì các lý do cơ bản như:

(i) Hạ tầng và dịch vụ đám mây rất phức tạp, do vậy việc kiểm soát toàn bộ lỗ hổng bảo mật là vô cùng khó khăn, khi nhiều dịch vụ trong điện toán đám mây tương tác với nhau sẽ tăng nguy cơ lan rộng của sự cố.

(ii) Dịch vụ điện toán đám mây là môi trường đa người dùng và chia sẻ tài nguyên, việc phân tách khách hàng chủ yếu theo cách logic (mã hóa, quyền truy cập) thay vì phân tách vật lý đã làm tăng nguy cơ truy cập trái phép do cấu hình sai hoặc hành vi từ nhà cung cấp và bên trong tổ chức.

(iii) Dịch vụ đám mây được hỗ trợ truy cập thông qua Internet và Intranet, đối với trường hợp truy cập thông qua Internet, và quản trị từ xa sẽ mở rộng phạm vi truy cập cho nhiều đối tượng có mục đích xấu khai thác lỗ hổng bảo mật.

(iv) Khi sử dụng dịch vụ đám mây, bên sử dụng dịch vụ thường chuyển quyền kiểm soát dữ liệu và hệ thống cho nhà cung cấp, dẫn đến giảm khả năng giám sát, quản lý trực tiếp, phản ứng khi có sự cố của bên dùng dịch vụ và tăng sự phụ thuộc vào nhà cung cấp.

(v) Các đối tượng có thể lợi dụng sức mạnh của đám mây như công cụ để thực hiện các hành vi vô hiệu hóa lớp bảo vệ và mở rộng quy mô tấn công bảo mật như thuê nhiều máy ảo để bẻ khóa mật khẩu nhanh, chạy botnet[23] để gửi spam, hoặc phá CAPTCHA[24].

Chính vì vậy, các quốc gia cần xây dựng khung pháp lý hoàn chỉnh về bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây. Hiện nay các quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây còn chưa đầy đủ, cơ chế giám sát của cơ quan nhà nước vẫn còn lỏng lẻo. Đây được coi là một trong những rào cản lớn, ảnh hưởng đến sự hiệu quả của việc bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây và sự phát triển bền vững của dịch vụ điện toán đám mây. Trong thời gian tới, Việt Nam cần đảm bảo sự phát triển của hạ tầng cơ sở kỹ thuật và quy định của pháp luật cho sự phát triển của điện toán đám mây và bảo vệ dữ liệu khách hàng trong hợp đồng dịch vụ điện toán đám mây.

III. Pháp luật Việt Nam về bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây

Hiện nay, Việt Nam chưa có văn bản pháp luật riêng biệt quy định về điện toán đám mây, dịch vụ điện toán đám mây hoặc hợp đồng cung cấp dịch vụ điện toán đám mây. Ngoài ra, các quy định về bảo vệ dữ liệu cá nhân trong hợp đồng dịch vụ điện toán đám mây trong pháp luật về bảo vệ dữ liệu cá nhân còn rất sơ sài.

Pháp luật Việt Nam quy định dữ liệu cá nhân “là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân được hiểu là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân” (khoản 1, 3 và 4 Điều 2 NĐ 13/2023/NĐ-CP, từ ngày 01/01/2026 là khoản 1 và 4 Điều 2 LBVDLCN 2025). Việc bảo vệ dữ liệu cá nhân, trong đó có bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây, phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân được quy định tại Điều 3 NĐ13/2023/NĐ-CP, từ ngày 01/01/2026 là Điều 3 LBVDLCN 2025, như sau: “Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan; Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật; Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết, được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác; Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân; Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân; Và cuối cùng là bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại, bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.”

Khách hàng trong quan hệ hợp đồng dịch vụ điện toán đám mây nếu là chủ thể dữ liệu sẽ có các quyền và nghĩa vụ chung của chủ thể dữ liệu theo quy định tại Điều 9 và 10 NĐ 13/2023/NĐ-CP hay tại khoản 1, 2 và 3 của Điều 4 LBVDLCN 2025 (từ ngày 01/01/2026), bao gồm: quyền “được biết về hoạt động xử lý dữ liệu cá nhân; đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân; khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật; yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật”. Và có nghĩa vụ “tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình; chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân”. Khi thực hiện quyền và nghĩa vụ của mình, chủ thể dữ liệu cá nhân “phải tuân thủ đầy đủ các nguyên tắc theo quy định của pháp luật; tuân thủ nghĩa vụ của chủ thể dữ liệu cá nhân theo hợp đồng, việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó; không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân; không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác”.

Nhà cung cấp dịch vụ điện toán đám mây cũng như các chủ thể khác, đều bị cấm thực hiện các hành vi theo quy định tại Điều 8 NĐ 13/2023/NĐ-CP hay tại Điều 7 LBVDLCN 2025 (từ ngày 01/01/2026), bao gồm: “Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; Cản trở hoạt động bảo vệ dữ liệu cá nhân; Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; Xử lý dữ liệu cá nhân trái quy định của pháp luật; Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân”.

NĐ13/2023/NĐ-CP không có quy định riêng về việc bảo vệ dữ liệu cá nhân trong môi trường điện toán đám mây nhưng Điều 30 của LBVDLCN 2025 quy định dữ liệu cá nhân trong môi trường điện toán đám mây “phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân; Việc xử lý dữ liệu cá nhân trong…môi trường điện toán đám mây phải tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan; phù hợp với chuẩn mực đạo đức, thuần phong mỹ tục của Việt Nam; Hệ thống và dịch vụ…điện toán đám mây phải được tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp; phải sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý dữ liệu cá nhân; Trong trường hợp nhà cung cấp dịch vụ điện toán đám mây áp dụng trí tuệ nhân tạo để tối ưu chức năng và tăng trải nghiệm người dùng, nhà cung cấp dịch vụ phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp; Không sử dụng, phát triển hệ thống…điện toán đám mây có sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác.”

Ngoài các quy định nêu trên, một số văn bản pháp luật khác của Việt Nam có đề cập đến việc bảo vệ dữ liệu trong đó có dữ liệu cá nhân trong hợp đồng dịch vụ điện toán đám mây như: Điều 26, Điều 41 Luật An ninh mạng 2018, Điều 26, Điều 27 Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng, có quy định về trách nhiệm, việc lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện và thời gian lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện đối với các bên cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam (trong đó có dịch vụ điện toán đám mây). Hay điểm b, điểm g, khoản 2, Điều 29 Luật Viễn thông 2023 cũng có quy định các nghĩa vụ đối với các bên (doanh nghiệp) cung cấp dịch vụ trung tâm dữ liệu, dịch vụ điện toán đám mây. Điều 28 Nghị định 163/2024/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Viễn thông có quy định về việc cung cấp thông tin và lưu trữ thông tin người sử dụng dịch vụ điện toán đám mây….

Như vậy, có thể thấy các quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây tuy đã có quy định về nguyên tắc bảo vệ dữ liệu cá nhân, quyền và nghĩa vụ của các chủ thể trong việc bảo vệ dữ liệu cá nhân nhưng các quy định này còn sơ sài, chỉ dừng lại ở định hướng mà không cụ thể, rõ ràng. Bên cạnh đó, việc các quy định còn tản mát trong nhiều văn bản pháp luật khác nhau cũng dẫn đến sự chồng chéo, giảm tính thống nhất của hệ thống pháp luật quốc gia.

IV. Kiến nghị hoàn thiện pháp luật Việt Nam về dịch vụ điện toán đám mây và bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây

Quyết định 1121/QĐ‑TTg đã xác định nhiệm vụ “hoàn thiện thể chế phục vụ thúc đẩy phát triển hạ tầng, dịch vụ sử dụng công nghệ điện toán đám mây”. Tuy nhiên, pháp luật Việt Nam về dịch vụ điện toán đám mây và bảo vệ dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây vẫn còn nhiều khoảng trống pháp lý như: chưa quy định khái niệm điện toán đám mây, dịch vụ điện toán đám mây, quyền và nghĩa vụ của các chủ thể tham gia quan hệ hợp đồng dịch vụ điện toán đám mây, trách nhiệm của nhà cung cấp dịch vụ điện toán đám mây... Những hạn chế này đòi hỏi cần sớm hoàn thiện khung pháp lý để tạo điều kiện thuận lợi cho sự phát triển của dịch vụ điện toán đám mây và bảo vệ tốt hơn dữ liệu cá nhân của khách hàng. Nhà nước cần nhanh chóng xây dựng và ban hành văn bản pháp luật quy định về điện toán đám mây, dịch vụ điện toán đám mây và hợp đồng cung cấp dịch vụ điện toán đám mây. Để đảm bảo tính thống nhất của hệ thống pháp luật, văn bản pháp luật này không nhất thiết phải là 1 luật riêng mà có thể là một Nghị định của Chính phủ, với một số nội dung cơ bản như sau:

Quy định các khái niệm về điện toán đám mây, dịch vụ điện toán đám mây, hợp đồng dịch vụ điện toán đám mây trên cơ sở hài hoà với các khái niệm, các quan niệm về điện toán đám mây và dịch vụ điện toán đám mây đang được sử dụng trên thế giới. Hợp đồng dịch vụ điện toán đám mây có thể được định nghĩa là sự thỏa thuận giữa nhà cung cấp dịch vụ điện toán đám mây và khách hàng để làm phát sinh, thay đổi hoặc chấm dứt các quyền, nghĩa vụ của các chủ thể trong quá trình khách hàng sử dụng dịch vụ điện toán đám mây.

Quy định chi tiết quyền và nghĩa vụ của các chủ thể tham gia quan hệ hợp đồng dịch vụ điện toán đám mây, trong đó trách nhiệm của nhà cung cấp dịch vụ điện toán đám mây và các bên thứ ba có liên quan phải được quan tâm làm rõ, đặc biệt là trách nhiệm bảo vệ dữ liệu cá nhân của khách hàng. Trong trường hợp rủi ro về dữ liệu cá nhân của khách hàng xảy ra, nhà cung cấp dịch vụ điện toán đám mây hoặc các bên thứ ba có lỗi vô ý hay cố ý, sẽ phải bồi thường thiệt hại phát sinh và phải chịu các chế tài hành chính hoặc bị truy cứu trách nhiệm hình sự.

Quy định về Thỏa thuận mức dịch vụ (Service Level Agreement – SLA). Thỏa thuận mức dịch vụ (Service Level Agreement – SLA) là một cam kết phổ biến trong các hợp đồng dịch vụ được cung cấp thông qua internet của nhà cung cấp dịch vụ (trong đó có dịch vụ điện toán đám mây), giúp khách hàng biết chính xác phạm vi và chất lượng dịch vụ đảm bảo ở mức nào. Các nội dung thường có trong Thỏa thuận mức dịch vụ là: phạm vi dịch vụ, chất lượng dịch vụ, thời gian hoạt động, thời gian xử lý sự cố, thời gian khắc phục, cam kết bảo mật dữ liệu cá nhân,... SLA giúp xác định rõ mức độ dịch vụ mà nhà cung cấp cam kết, bao gồm các tiêu chí và chỉ số để đánh giá hiệu suất dịch vụ, là cơ sở pháp lý để giải quyết những tranh chấp liên quan đến chất lượng dịch vụ. Đồng thời, SLA cũng quy định các tham số bảo mật, như mã hóa dữ liệu khi lưu trữ, truyền tải và sử dụng, phân quyền truy cập, giám sát an ninh, kiểm soát truy cập, cũng như thời gian phản hồi sự cố và thời gian khôi phục dữ liệu. SLA là tài liệu công khai của nhà cung cấp, thể hiện sự minh bạch về chất lượng dịch vụ và đồng thời hỗ trợ phần nào việc bảo vệ dữ liệu cá nhân trong trường hợp hợp đồng không quy định cụ thể về bảo vệ dữ liệu cá nhân[25].

Quy định về hợp đồng và trách nhiệm hợp đồng dạng nhiều tầng trong dịch vụ điện toán đám mây. Như trên đã trình bày, pháp luật Việt Nam chưa có các quy định đầy đủ về dịch vụ điện toán đám mây và hợp đồng dịch vụ điện toán đám mây. Hợp đồng dạng nhiều tầng là một dạng hợp đồng khá phổ biến trong dịch vụ điện toán đám mây nhưng cũng là một trong những nội dung chưa được pháp luật Việt Nam điều chỉnh. Hợp đồng dạng nhiều tầng trong dịch vụ điện toán đám mây là hợp đồng mà việc cung cấp dịch vụ điện toán đám mây cho khách hàng có sự tham gia của nhiều chủ thể khác nhau, qua các quan hệ hợp đồng liên kết để đảm bảo hiệu quả của quá trình cung cấp dịch vụ. Tuy vậy, quan hệ hợp đồng này đặt ra thách thức lớn trong việc phân định trách nhiệm của các chủ thể tham gia các hợp đồng, nhất là trong vấn đề bảo vệ dữ liệu cá nhân của khách hàng. Do đó, pháp luật Việt Nam cần bổ sung quy định cụ thể hướng dẫn cách xác định chủ thể chịu trách nhiệm và phạm vi trách nhiệm của các chủ thể trong trường hợp hợp đồng dịch vụ điện toán đám mây là hợp đồng dạng nhiều tầng.

Quy định Chính sách sử dụng dịch vụ của người dùng (Acceptable Use Policy – AUP )[26]. Dịch vụ điện toán đám mây cho phép truy cập rộng rãi và chia sẻ đồng thời giữa nhiều người dùng. Trong khi đó, nhà cung cấp dịch vụ chủ yếu chỉ quản lý cấp độ hạ tầng, không trực tiếp kiểm soát các hoạt động do từng người dùng thực hiện, quyền kiểm soát cũng bị giới hạn bởi các nguyên tắc hoạt động của dịch vụ, đồng thời việc giám sát toàn diện là không khả thi. Chỉ cần một hành vi vi phạm từ phía người dùng như phát tán mã độc, tấn công hệ thống, lưu trữ hoặc thực hiện hành vi trái pháp luật, có thể ảnh hưởng tới toàn bộ hệ thống dịch vụ và các người dùng khác. AUP là tập hợp các quy tắc mà nhà cung cấp dịch vụ đặt ra, có hiệu lực pháp lý như một điều khoản của hợp đồng để kiểm soát việc sử dụng dịch vụ của người dùng, hạn chế các hành vi lạm dụng dịch vụ, đồng thời bảo vệ hệ thống, bảo vệ nhà cung cấp dịch vụ trước các hành vi vi phạm pháp luật do người dùng thực hiện thông qua hạ tầng cung cấp. Nội dung AUP cũng có ý nghĩa quan trọng trong việc bảo vệ dữ liệu cá nhân, bởi để bảo vệ dữ liệu cá nhân toàn diện thì trách nhiệm không chỉ nằm ở phía nhà cung cấp dịch vụ, mà còn cần sự tuân thủ và phối hợp của người dùng[27]. Do đó, AUP cần được pháp luật quy định nhằm đảm bảo tính minh bạch, không làm mất cân bằng giữa quyền và nghĩa vụ của các chủ thể và bảo vệ được dữ liệu cá nhân của khách hàng.

Quy định về hình thức và nội dung mẫu của hợp đồng dịch vụ điện toán đám mây, theo đó, hợp đồng phải được lập bằng văn bản hoặc hình thức khác có giá trị pháp lý tương đương văn bản (bao gồm các hình thức điện tử). Các tài liệu được tham chiếu phải được đính kèm cùng hợp đồng chính để đảm bảo dễ tra cứu và minh bạch. Nội dung hợp đồng dịch vụ điện toán đám mây được xây dựng trên cơ sở tự do ý chí của các bên tham gia. Nhưng pháp luật nên có quy định về nội dung mẫu của hợp đồng dịch vụ điện toán đám mây, làm cơ sở tham khảo cho các chủ thể khi giao kết hợp đồng. Theo quy định tại Điều 41 Luật Dữ liệu của Liên minh châu Âu (EU Data Act 2023)[28], “trước ngày 12 tháng 9 năm 2025, Ủy ban Châu Âu sẽ phát triển và đề xuất các điều khoản hợp đồng mẫu không ràng buộc về quyền truy cập và sử dụng dữ liệu, bao gồm các điều khoản liên quan đến bồi thường hợp lý và bảo vệ bí mật thương mại, cũng như các điều khoản hợp đồng tiêu chuẩn không ràng buộc đối với hợp đồng dịch vụ điện toán đám mây để hỗ trợ các bên soạn thảo và đàm phán hợp đồng với các quyền và nghĩa vụ hợp đồng công bằng, hợp lý và không phân biệt đối xử”. Như vậy, việc đề xuất các điều khoản mẫu cho hợp đồng điện toán đám mây nhằm mục đích tham khảo, không có giá trị bắt buộc là phù hợp để bảo vệ được lợi ích của nhà cung cấp và khách hàng, thúc đẩy dịch vụ điện toán đám mây phát triển. Các điều khoản mẫu của hợp đồng dịch vụ điện toán đám mây có thể bao gồm: Định nghĩa, thuật ngữ; thỏa thuận mức dịch vụ (SLA); chính sách sử dụng dịch vụ của người dùng (AUP); phí dịch vụ, thanh toán; quyền và nghĩa vụ của các chủ thể; cam kết bảo mật, dữ liệu cá nhân; quy trình phát hiện, báo cáo và xử lý sự cố; giải quyết yêu cầu dịch vụ, hỗ trợ, thông tin liên hệ; Chấm dứt, đình chỉ, chuyển giao dữ liệu; xoá dữ liệu.

Quy định về địa điểm đặt máy chủ. Khi sử dụng dịch vụ điện toán đám mây, địa điểm đặt máy chủ là một trong nhưng yếu tố rất quan trọng vì việc lưu trữ và truyền tải dữ liệu trong điện toán đám mây rất phức tạp và khó kiểm soát[29]. Do vậy, dữ liệu cá nhân có nguy cơ bị khai thác, xâm phạm, làm giảm khả năng thực thi pháp luật của cơ quan có thẩm quyền, gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của chủ thể dữ liệu và an ninh mạng quốc gia. Cho đến tháng 10/2022[30], Việt Nam có 39 nhà cung cấp dịch vụ đám mây, 27[31] trung tâm dữ liệu của 11 doanh nghiệp, các doanh nghiệp Việt chiếm thị phần 19,68%, các doanh nghiệp nước ngoài chiếm tới hơn 80%. Trong 80% thị phần do các nhà cung cấp nước ngoài nắm giữ thì Amazon Web Services chiếm nhiều nhất với 33%, Google và Microsoft cùng chiếm 21%. Đến tháng 11/2025, Amazon Web Services, Google, Microsoft hay các nhà cung cấp dịch vụ nước ngoài khác đang cung cấp dịch vụ đám mây tại Việt Nam như Akamai, IBM Cloud, Alibaba Cloud đều đặt máy chủ ở nước ngoài. Hiện tại, pháp luật Việt Nam chưa có quy định về vấn đề này, gây khó khăn cho các chủ thể trong việc xác định pháp luật điều chỉnh, đặc biệt trong trường hợp địa điểm đặt máy chủ, địa điểm lưu trữ dữ liệu ở nước ngoài, hoặc trường hợp có liên quan đến chuyển dữ liệu xuyên biên giới. Do đó, pháp luật cần bổ sung quy định thông tin địa điểm đặt máy chủ, lưu trữ giữ liệu, trường hợp thay đổi địa điểm đặt máy chủ phải được nêu cụ thể trong hợp đồng cung cấp dịch vụ điện toán đám mây.

Quy định về các bộ tiêu chí kỹ thuật, tiêu chuẩn, chứng chỉ về đảm bảo an ninh mạng, an toàn thông tin, khi cung cấp dịch vụ điện toán đám mây, ví dụ: chứng chỉ năng lực bảo mật dữ liệu cá nhân, chứng chỉ an toàn thông tin (ISO/IEC 27001, ISO 27017, SOC 2, CSA STAR, MTCS SS 584...). Hiện nay, pháp luật Việt Nam mới chỉ quy định nghĩa vụ chung về bảo vệ dữ liệu cá nhân chứ chưa có quy định cụ thể, ví dụ chỉ quy định việc“thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân” (khoản 4 Điều 3 LBVDLCN 2025), “dịch vụ…điện toán đám mây phải được tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp” (khoản 3 Điều 30 LBVDLCN 2025). Bộ tiêu chí đảm bảo an ninh mạng đối với nền tảng điện toán đám mây mới chỉ áp dụng, phục vụ Chính phủ điện tử, Chính quyền điện tử[32], và dừng lại ở việc khuyến khích các cơ quan, tổ chức khác tham khảo để xây dựng, triển khai giải pháp nền tảng điện toán đám mây. Vì vậy, cần thiết có một bộ tiêu chí an toàn dữ liệu, hoặc chứng chỉ bảo vệ dữ liệu cá nhân áp dụng cho toàn ngành điện toán đám mây, bất kể dịch vụ cung cấp cho khu vực công hay tư. Và quy định chế tài xử phạt hoặc đình chỉ hoạt động đối với các nhà cung cấp không có hoặc không duy trì chứng nhận trong suốt thời gian cung cấp dịch vụ, để bảo đảm tính ràng buộc pháp lý và duy trì bảo vệ dữ liệu cá nhân. Việc này vừa giúp tăng tính minh bạch, củng cố niềm tin của người dùng, vừa tạo lợi thế cạnh tranh cho doanh nghiệp trong nước khi hội nhập quốc tế.

Quy định về việc kiểm tra, giám sát hoạt động cung cấp dịch vụ điện toán đám mây và bảo vệ dữ liệu cá nhân của cơ quan nhà nước có thẩm quyền và của các chủ thể tham gia hợp đồng (chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân) hoặc của cả các bên thứ ba có liên quan đến hoạt động cung cấp dịch vụ điện toán đám mây (các bên được thuê thực hiện dịch vụ kiểm tra, kiểm toán dịch vụ, các bên cung cấp chứng chỉ,...). Theo đó, bắt buộc bên kiểm soát dữ liệu cá nhân có trách nhiệm thẩm định năng lực của Bên cung cấp dịch vụ điện toán đám mây là đủ năng lực và luôn phải theo dõi, giám sát hoạt động xử lý dữ liệu cá nhân của Bên cung cấp dịch vụ; Bên sử dụng dịch vụ được giám sát việc tuân thủ hợp đồng, pháp luật của Bên cung cấp dịch vụ bằng cách yêu cầu Bên cung cấp dịch vụ báo cáo việc thực hiện nghĩa vụ bảo vệ dữ liệu cá nhân của Bên sử dụng dịch vụ; Bên sử dụng dịch vụ được kiểm toán việc tuân thủ hợp đồng, pháp luật của Bên cung cấp dịch vụ thông qua một đơn vị kiểm toán độc lập hoặc yêu cầu nhận kết quả đánh giá thường xuyên của tổ chức chứng nhận tiêu chuẩn, chất lượng dịch vụ (ví dụ ISO 27001, ISO 27017,...). Ví dụ: Đạo luật bảo vệ dữ liệu cá nhân của Nhật Bản (APPI)[33] có quy định cụ thể về việc giám sát bên được ủy thác tại Điều 25 như sau: “khi doanh nghiệp ủy thác toàn bộ hoặc một phần việc xử lý dữ liệu cá nhân cho bên thứ ba, doanh nghiệp đó phải thực hiện việc giám sát cần thiết và phù hợp đối với bên được ủy thác, nhằm bảo đảm an toàn trong quản lý dữ liệu cá nhân được ủy thác.”

Quy định cụ thể về thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân trong hợp đồng cung cấp dịch vụ điện toán đám mây, bao gồm: các trường hợp phải thông báo, đối tượng được thông báo, thời gian thực hiện việc thông báo sơ bộ và báo cáo chi tiết, và chế tài nếu vi phạm nghĩa vụ thông báo. Theo quy định tại Điều 23 NĐ 13/2023/NĐ-CP hay Điều 23 LBVDLCN 2025 (từ ngày 01/01/2026): “Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba phát hiện vi phạm quy định về bảo vệ dữ liệu cá nhân có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu cá nhân thì phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm. Trường hợp bên xử lý dữ liệu cá nhân phát hiện hành vi vi phạm phải thông báo kịp thời cho bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân”. Nhưng quy định này chưa đầy đủ, vì chưa đề cập đến trường hợp không có hoặc không phát hiện hành vi vi phạm nhưng vẫn gây ra thiệt hại về dữ liệu cá nhân, ví dụ như trường hợp của Công ty Dubsmash Inc., dữ liệu người dùng (bao gồm tên, ảnh hồ sơ và mật khẩu mã hóa) bị chia sẻ trái phép và rao bán trên Internet. Sau khi điều tra, Đại diện Berlin về Bảo vệ Dữ liệu và Tự do Thông tin (cơ quan nhà nước cấp tiểu bang có chức năng giám sát bảo vệ dữ liệu và thông tin) xác định không đủ bằng chứng vi phạm theo quy định chung về bảo vệ dữ liệu cá nhân[34]. Điều 23 cũng chưa quy định trách nhiệm thông báo trong trường hợp có vi hành vi vi phạm nhưng có thể không gây thiệt hại, đối tượng thông báo vi phạm nên bao gồm cả chủ thể dữ liệu cá nhân hoặc người giám hộ, người đại diện theo pháp luật của người chủ thể dữ liệu, vì đây là quyền được biết của chủ thể dữ liệu, và họ là đối tượng phải gánh chịu hậu quả thiệt hại trực tiếp từ vi phạm.

Quy định về xử lý dữ liệu cá nhân sau khi chấm dứt hợp đồng dịch vụ điện toán đám mây. Việc xoá, huỷ, khử nhận dạng dữ liệu cá nhân đã được quy định tại khoản 5 Điều 39 NĐ 13/2023/NĐ-CP và được điều chỉnh, làm rõ hơn tại Điều 14 LBVDLCN 2025. Nhưng để bảo vệ quyền lợi cho các khách hàng, xử lý dữ liệu cá nhân sau khi chấm dứt hợp đồng dịch vụ điện toán đám mây, pháp luật cần quy định bổ sung về: phương thức xử lý, thời hạn xử lý và trách nhiệm khi không xử lý dữ liệu cá nhân đúng như thỏa thuận hoặc quy định của pháp luật sau khi chấm dứt hợp đồng dịch vụ điện toán đám mây. Pháp luật Việt Nam có thể quy định việc trả lại dữ liệu sẽ được thực hiện như sau: Cách thức chuyển dữ liệu sẽ do Bên sử dụng dịch vụ yêu cầu tại thời điểm chấm dứt; Định dạng dữ liệu sẽ do Bên sử dụng dịch vụ yêu yêu cầu tại thời điểm chấm dứt; Bên cung cấp dịch vụ có trách nhiệm mã hoá dữ liệu trước khi chuyển và cung cấp mật khẩu/cách giải mã cho Bên sử dụng dịch vụ; Bên cung cấp dịch vụ có trách nhiệm thực hiện việc chuyển dữ liệu một cách thiện chí, đảm bảo an toàn thông tin. Ngoài ra, có thể cho phép Bên cung cấp dịch vụ bảo lưu dữ liệu và quyền truy cập của Bên sử dụng dịch vụ trong một khoảng thời gian nhất định để bên sử dụng dịch vụ có thể kiểm tra và hoàn tất việc chuyển dữ liệu, thời gian này sẽ không tính phí dịch vụ.

V. Kết luận

Như vậy, điện toán đám mây đã mang lại những lợi ích vượt trội về tính linh hoạt, hiệu quả và tối ưu chi phí trong việc lưu trữ, xử lý dữ liệu. Nhưng cùng sự phát triển nhanh chóng của điện toán đám mây, những thách thức liên quan đến quyền riêng tư và bảo vệ dữ liệu cá nhân cũng ngày càng lớn. Do đó, rất cần thiết phải xây dựng một văn bản pháp luật về điện toán đám mây với những quy định rõ ràng, chặt chẽ để có thể bảo vệ tốt nhất các dữ liệu cá nhân của khách hàng trong hợp đồng dịch vụ điện toán đám mây. Từ đó góp phần củng cố niềm tin của người dùng dịch vụ, nâng cao hiệu quả hoạt động cung cấp dịch điện toán đám mây và thúc đẩy sự phát triển bền vững của thị trường điện toán đám mây tại Việt Nam.

Tài liệu tham khảo

1. Luật Bảo vệ dữ liệu cá nhân 2025

2. Luật An ninh mạng 2018

3. Luật Viễn thông 2023

4. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

5. Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng

6. Nghị định163/2024/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Viễn thông

7. Quyết định số 1121/QĐ-TTg của Thủ tướng Chính phủ phê duyệt chương trình hành động Quốc gia về phát triển và chuyển đổi sang sử dụng nền tảng điện toán đám mây giai đoạn 2025 - 2030

8. Quyết định số 8297/QĐ-BCA-A05 ngày 09/10/2025 của Bộ trưởng Bộ Công an Quyết định ban hành bộ tiêu chí đảm bảo an ninh mạng đối với nền tảng điện toán đám mây phục vụ Chính phủ điện tử/ Chính quyền điện tử

9. Luật Dữ liệu của Liên minh châu Âu (EU Data Act 2023) https://eur-lex.europa.eu/eli/reg/2023/2854/oj/eng

10.Đạo luật bảo vệ dữ liệu cá nhân của Nhật Bản https://laws.e-gov.go.jp/law/415AC0000000057

11.Luật về sự phát triển của điện toán đám mây và bảo vệ người sử dụng của Hàn Quốc https://elaw.klri.re.kr/eng_mobile/viewer.do?hseq=60378&type=part&key=43

12.Từ điển Cambridge https://dictionary.cambridge.org/dictionary/english/cloud-computing

13.https://uncitral.un.org/sites/uncitral.un.org/files/media-documents/uncitral/en/19-09103_eng.pdf

14.Carlos A. Rohrmann & Juliana Falci Sousa Rocha Cunha, Some legal aspects of cloud computing contracts, Journal of International Commercial Law and Technology, Vol. 10, No. 1 (2015)

15.Enas M. Qutieshat, Bassam Al-Tarawneh, Consent in cloud computing contracts: Some legal issues under the Jordanian Law, International Journal of Humanities and Social Science, Vol. 6, No. 11, November 2016

16.Krzysztof Zok, Cloud computing contracts as contracts for the supply of digital content: Classification and information duty, Masaryk University Journal of Law and Technology, Vol. 13, No. 2 (2019)

17.Krzysztof Zok, Law applicable to cloud computing contracts concluded with consumers under Regulation 593/2008, according to the CJEU case law, Masaryk University Journal of Law and Technology, Vol. 13, No. 2 (2019)

18.https://mst.gov.vn/an-toan-thong-tin-khi-doanh-nghiep-len-may-loi-ich-se-nhieu-hon-rui-ro-197151654.htm

19.https://vsec.com.vn/tin-tuc-bao-chi/security-assessments-on-cloud/

20.Công ty An ninh mạng Viettel, Báo cáo tình hình nguy cơ ATTTT tại Việt Nam, https://s.ladicdn.com/64814eb316872400126f2f2b/bao-cao-tinh-hinh-nguy-co-attt-tai-viet-nam-nam-2024-20250305081424-6a5-e.pdf

21.Malik Irain, Jacques Jorda, Zoubir Mammeri, Landmark-based data location verification in the cloud: review of approaches and challenges, Journal of Cloud Computing 6, 31 (2017)

22.Object Management Group, Cloud working group, Cloud service agreements: What to expect and what to negotiate, version 3.0, Tháng 9/2019

23.Ponemon Institute, Data breach cost in ASEAN hits new high (2024), https://www.computerweekly.com/news/366612788/IBM-Data-breach-cost-in-ASEAN-hits-new-high

24.Peter Mell, Timothy Grance, The NIST definition of cloud computing Recommendations of the National Institute of Standards and Technology, Special publication 800 – 145, 9/2011

25.Serena Nicolazzo, Antonino Nocera, Witold Pedrycz, Service Level Agreements and security SLA: A comprehensive survey, arXiv, Cornell University, 31/1/2024

26.Trần Văn Thiện, Huỳnh Trọng Tuấn Anh, Tìm hiểu về sự phát triển của Botnet trong 20 năm trở lại đây, Tạp chí Khoa học và Kinh tế phát triển số 13, Trường Đại học Nam Cần Thơ

27. ISO/IEC 22123-1:2023 https://www.iso.org/obp/ui/en/#iso:std:iso-iec:22123:-1:ed-2:v1:en

28. https://aws.amazon.com/what-is-cloud-computing/

29.https://cloud.google.com/learn/what-is-cloud-computing

30.https://commission.europa.eu/system/files/2019-05/ec_cloud_strategy.pdf

31.https://digital-strategy.ec.europa.eu/en/policies/cloud-computing

32.Nhĩ Anh (2024), Thị trường Data Center và Cloud Việt Nam tăng trưởng bùng nổ, Tạp chí Kinh tế Việt Nam, số 13-2024, https://vneconomy.vn/thi-truong-data-center-va-cloud-viet-nam-tang-truong-bung-no.htm

33.Illumio, Inc., Cloud Security Index Key Findings from Singapore, https://lp.illumio.com/rs/093-SFK-561/images/Illumio_Cloud_Security_Index_Sing.pdf, tr. 2

34.Báo VTV online (2022), Thị phần điện toán đám mây, https://vtv.vn/cong-nghe/thi-phan-dien-dam-may-cloud-co-hoi-nao-cho-doanh-nghiep-noi-20221013110741398.htm

35.Theo thống kê của Vietstats https://vietstats.vn/con-so-biet-noi/thi-truong-trung-tam-du-lieu-viet-nam-tiem-nang-ti-do-va-thach-thuc-phat-trien/?id=0a905299-f6fe-41d1-8335-6333bfe3cb6e

36.Summary Final Decision Art 60 (LSA) https://www.edpb.europa.eu/sites/default/files/article-60-final-decisions/summary/publishable_debe_2020-07_personal_data_breach_summarypublic.pdf

37.https://www.grandviewresearch.com/industry-analysis/cloud-computing-industry

38. https://vietnamfinance.vn/fpt-software-gianh-hop-dong-trieu-usd-ve-dien-toan-dam-may-giua-mua-dich-covid-19-d49159.html

[*] TS, Giảng viên khoa Pháp luật Kinh tế, Trường Đại học Luật Hà Nội. Email: quynhanhtran1912@gmail.com, ngày duyệt đăng 31/12/2025

[**] Học viên lớp cao học ngành Luật Kinh tế định hướng ứng dụng khóa 31 đợt 3 (niên khoá 2023-2025) trường Đại học Luật Hà Nội – Mã học viên: 31UD307009

[1]https://www.grandviewresearch.com/industry-analysis/cloud-computing-industry, truy cập lần cuối ngày 06/11/2025

[2]https://vietnamfinance.vn/fpt-software-gianh-hop-dong-trieu-usd-ve-dien-toan-dam-may-giua-mua-dich-covid-19-d49159.html, truy cập lần cuối ngày 06/11/2025

[3]https://www.computerweekly.com/news/366612788/IBM-Data-breach-cost-in-ASEAN-hits-new-high, truy cập lần cuối ngày 06/11/2025

[4] Enas M. Qutieshat, Bassam Al-Tarawneh, Consent in cloud computing contracts: Some legal issues under the Jordanian Law, International Journal of Humanities and Social Science, Vol. 6, No. 11, November 2016, trang 201-202

[5] https://dictionary.cambridge.org/dictionary/english/cloud-computing, truy cập lần cuối ngày 6/11/2025

[6] Peter Mell, Timothy Grance, The NIST definition of cloud computing – Recommendations of the National Institute of Standards and Technology, Special publication 800 – 145, 9/2011, trang 2

[7] ISO/IEC 22123-1:2023 (en), Information technology – Cloud computing, https://www.iso.org/obp/ui/en/#iso:std:iso-iec:22123:-1:ed-2:v1:en, truy cập lần cuối ngày /11/2025

[8] https://aws.amazon.com/what-is-cloud-computing/, truy cập lần cuối ngày 6/11/2025

[9] https://cloud.google.com/learn/what-is-cloud-computing, truy cập lần cuối ngày 6/11/2025

[10]https://elaw.klri.re.kr/eng_mobile/viewer.do?hseq=60378&type=part&key=43, truy cập lần cuối ngày 3/11/2025

[11] https://commission.europa.eu/system/files/2019-05/ec_cloud_strategy.pdf, truy cập lần cuối ngày 3/11/2025

[12] https://digital-strategy.ec.europa.eu/en/policies/cloud-computing, truy cập lần cuối ngày 3/11/2025

[13]https://uncitral.un.org/sites/uncitral.un.org/files/media-documents/uncitral/en/19-09103_eng.pdf, truy cập lần cuối ngày 3/11/2025

[14] Carlos A. Rohrmann & Juliana Falci Sousa Rocha Cunha, Some legal aspects of cloud computing contracts, Journal of International Commercial Law and Technology, Vol. 10, No. 1 (2015), trang 37-38

[15] Peter Mell, Timothy Grance, The NIST definition of cloud computing – Recommendations of the National Institute of Standards and Technology, Special publication 800 – 145, 9/2011, trang 2

[16] Krzysztof Zok, Cloud computing contracts as contracts for the supply of digital content: Classification and information duty, Masaryk University Journal of Law and Technology, Vol. 13, No. 2 (2019), trang 137

[17] Krzysztof Zok, Law applicable to cloud computing contracts concluded with consumers under Regulation 593/2008, according to the CJEU case law, Masaryk University Journal of Law and Technology, Vol. 13, No. 2 (2019), trang 85-86

[18] Nhĩ Anh (2024),Thị trường Data Center và Cloud Việt Nam tăng trưởng bùng nổ, Tạp chí Kinh tế Việt Nam, số 13-2024, https://vneconomy.vn/thi-truong-data-center-va-cloud-viet-nam-tang-truong-bung-no.htm, truy cập lần cuối ngày 06/11/2025

[19] https://mst.gov.vn/an-toan-thong-tin-khi-doanh-nghiep-len-may-loi-ich-se-nhieu-hon-rui-ro-197151654.htm

[20] https://vsec.com.vn/tin-tuc-bao-chi/security-assessments-on-cloud/?, truy cập lần cuối ngày 22/11/2025

[21]https://s.ladicdn.com/64814eb316872400126f2f2b/bao-cao-tinh-hinh-nguy-co-attt-tai-viet-nam-nam-2024-20250305081424-6a5-e.pdf, truy cập lần cuối ngày 22/11/2025

[22] Illumio, Inc. Cloud Security Index Key Findings from Singapore, https://lp.illumio.com/rs/093-SFK-561/images/Illumio_Cloud_Security_Index_Sing.pdf, tr. 2, truy cập lần cuối ngày 06/11/2025

[23] Botnet là một mạng lưới các máy tính hoặc thiết bị bị hacker chiếm quyền điều khiển từ xa mà chủ sở hữu không biết (Trần Văn Thiện, Huỳnh Trọng Tuấn Anh, Tìm hiểu về sự phát triển của Botnet trong 20 năm trở lại đây, Tạp chí Khoa học và Kinh tế phát triển số 13, Trường Đại học Nam Cần Thơ, trang 3)

[24] CAPTCHA là một loại bài kiểm tra trên web để phân biệt người thật và máy tự động, mục đích là ngăn bot tự động thực hiện các hành vi trên web (ví dụ tạo tài khoản giả, spam, đăng nhập tự động…)

[25] Serena Nicolazzo, Antonino Nocera, Witold Pedrycz, Service Level Agreements and security SLA: A comprehensive survey, arXiv, Cornell University, 31/1/2024, trang 1-2

[26] Chính sách sử dụng dịch vụ của người dùng (Acceptable Use Policy – AUP) là một tài liệu phổ biến trong các hợp đồng dịch vụ được cung cấp thông qua internet, xác định giới hạn sử dụng của khách hàng và người dùng cuối đối với dịch vụ điện toán đám mây.

[27] Object Management Group, Cloud working group, Cloud service agreements: What to expect and what to negotiate, version 3.0, Tháng 9/2019, trang 8-9

[28] https://eur-lex.europa.eu/eli/reg/2023/2854/oj/eng, truy cập lần cuối ngày 06/11/2025

[29] Malik Irain, Jacques Jorda, Zoubir Mammeri, Landmark-based data location verification in the cloud: review of approaches and challenges, Journal of Cloud Computing 6, 31 (2017)

[30] Báo VTV online (2022), Thị phần điện toán đám mây, https://vtv.vn/cong-nghe/thi-phan-dien-dam-may-cloud-co-hoi-nao-cho-doanh-nghiep-noi-20221013110741398.htm truy cập lần cuối ngày 06/11/2025

[31] Theo thống kê của Vietstats cập nhật vào tháng 7/2025, cả nước đã có 41 trung tâm dữ liệu, bao gồm cả những trung tâm đã hoạt động và đang trong quá trình khởi công xây dựng https://vietstats.vn/con-so-biet-noi/thi-truong-trung-tam-du-lieu-viet-nam-tiem-nang-ti-do-va-thach-thuc-phat-trien/?id=0a905299-f6fe-41d1-8335-6333bfe3cb6e, truy cập lần cuối ngày 06/11/2025

[32] Quyết định số 8297/QĐ-BCA-A05 ngày 09/10/2025 của Bộ trưởng Bộ Công an Quyết định ban hành bộ tiêu chí đảm bảo an ninh mạng đối với nền tảng điện toán đám mây phục vụ Chính phủ điện tử/ Chính quyền điện tử

[33] https://laws.e-gov.go.jp/law/415AC0000000057, truy cập lần cuối ngày 06/11/2025

[34] Summary Final Decision Art 60 (LSA), https://www.edpb.europa.eu/system/files/2023-08/fr_2023-06_external_summary_final_decision_art_60.pdf, truy cập lần cuối ngày 06/11/2025