Phán quyết của Tòa án Tối cao Ireland giữ nguyên kết luận của Ủy ban Bảo vệ Dữ liệu Ireland (Irish Data Protection Commission – DPC) đối với TikTok là một trong những diễn biến tư pháp quan trọng nhất trong lĩnh vực chuyển dữ liệu xuyên biên giới (Cross-Border Data Transfer) theo Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR). Phán quyết này không chỉ liên quan đến việc tuân thủ của một công ty công nghệ cụ thể mà còn cho thấy mức độ giám sát ngày càng nghiêm ngặt mà các cơ quan quản lý và tòa án áp dụng đối với các hoạt động chuyển dữ liệu quốc tế đến những quốc gia chưa được Liên minh châu Âu công nhận có mức độ bảo vệ dữ liệu tương đương (EU adequacy decision).
Đối với các tập đoàn đa quốc gia, nền tảng số và các tổ chức thực hiện hoạt động xử lý dữ liệu trên phạm vi toàn cầu, phán quyết này phát đi tín hiệu rằng các cơ chế hợp đồng và biện pháp bảo vệ kỹ thuật riêng lẻ có thể sẽ không còn đủ để chứng minh việc tuân thủ pháp luật.
Quyết định của Tòa án Tối cao Ireland về việc chuyển dữ liệu xuyên biên giới
“Ngày 3 tháng 6 năm 2026, Tòa án Tối cao Ireland đã ban hành phán quyết trong vụ kiện TikTok v Data Protection Commission, trong đó về cơ bản giữ nguyên quyết định của Ủy ban Bảo vệ Dữ liệu Ireland (DPC). DPC kết luận rằng việc TikTok cho phép nhân sự tại Trung Quốc truy cập từ xa vào dữ liệu người dùng tại Khu vực Kinh tế châu Âu (EEA) cấu thành hành vi chuyển dữ liệu cá nhân sang quốc gia thứ ba, đồng thời TikTok đã không chứng minh được rằng các Điều khoản Hợp đồng Tiêu chuẩn (Standard Contractual Clauses – SCC) cùng các biện pháp bổ sung của mình đủ để bảo đảm mức độ bảo vệ dữ liệu về cơ bản tương đương với quy định của pháp luật EU, qua đó vi phạm Điều 46 và Điều 13(1)(f) của Quy định chung về bảo vệ dữ liệu (GDPR).
TikTok đã ký kết các Điều khoản Hợp đồng Tiêu chuẩn (SCC) và triển khai nhiều biện pháp bảo vệ kỹ thuật nhằm bảo vệ dữ liệu cá nhân. Tuy nhiên, vì sao các biện pháp này vẫn bị đánh giá là chưa đủ để chứng minh việc tuân thủ? Mối quan ngại cốt lõi đằng sau lập luận của Tòa án Tối cao Ireland và DPC không chỉ nằm ở các tài liệu pháp lý hay năng lực kỹ thuật của một doanh nghiệp công nghệ lớn. Thay vào đó, vấn đề thực sự là khuôn khổ pháp lý về bảo vệ dữ liệu của Trung Quốc, cụ thể là liệu các cơ quan có thẩm quyền của Trung Quốc có thể tiếp cận một cách tùy tiện dữ liệu cá nhân mà TikTok thu thập tại EU hay không.
Cơ chế chuyển dữ liệu xuyên biên giới theo GDPR được thiết kế nhằm bảo đảm rằng dữ liệu cá nhân khi được chuyển sang quốc gia thứ ba vẫn tiếp tục được hưởng mức độ bảo vệ tương đương với trong Liên minh châu Âu. Do Trung Quốc chưa có quyết định công nhận mức độ bảo vệ đầy đủ từ EU, các doanh nghiệp Trung Quốc nhìn chung phải dựa vào các biện pháp bảo đảm thích hợp, chẳng hạn như SCC, làm cơ sở pháp lý cho hoạt động chuyển dữ liệu xuyên biên giới. Tuy nhiên, việc chứng minh mức độ bảo vệ đầy đủ phải được đánh giá một cách toàn diện. Rõ ràng, TikTok đã không thể thuyết phục các cơ quan của EU chỉ bằng các thỏa thuận hợp đồng và các biện pháp kỹ thuật. Trong cách tiếp cận toàn diện này, môi trường pháp lý của quốc gia tiếp nhận dữ liệu có lẽ là yếu tố quan trọng nhất nhưng cũng thường bị bỏ qua. Trên thực tế, DPC cho rằng các báo cáo chuyên gia do TikTok cung cấp về chế độ pháp lý bảo vệ dữ liệu của Trung Quốc là chưa đủ.
Tương tự như thông lệ tại nhiều quốc gia và khu vực pháp lý lớn khác, pháp luật Trung Quốc yêu cầu doanh nghiệp hợp tác với cơ quan nhà nước trong một số lĩnh vực vì lợi ích công cộng như an ninh quốc gia, hoạt động tình báo, chống khủng bố và chống gián điệp. Tuy nhiên, điều này không đồng nghĩa với việc các cơ quan nhà nước có quyền tiếp cận dữ liệu của doanh nghiệp một cách tùy tiện, liên tục hoặc không có giới hạn. Việc tiếp cận dữ liệu phải tuân thủ nhiều điều kiện theo pháp luật Trung Quốc, bao gồm yêu cầu về mục đích và tính cần thiết, phạm vi thẩm quyền, trình tự thủ tục theo luật định và nghĩa vụ bảo mật. Nếu cơ quan nhà nước hoặc cá nhân có thẩm quyền thu thập hoặc sử dụng dữ liệu trái pháp luật, doanh nghiệp có thể yêu cầu bảo vệ quyền lợi thông qua thủ tục khiếu nại hành chính hoặc khởi kiện hành chính.
Trong bối cảnh đó, khi thực hiện hoạt động chuyển dữ liệu xuyên biên giới từ EU, các doanh nghiệp Trung Quốc không nên né tránh các nghi ngại mà cần tăng cường giải thích về môi trường pháp lý bảo vệ dữ liệu của Trung Quốc trong Báo cáo đánh giá tác động chuyển dữ liệu (Transfer Impact Assessment – TIA), Đánh giá tác động bảo vệ dữ liệu (Data Protection Impact Assessment – DPIA) và các tài liệu tuân thủ khác.”
Tác động đối với hoạt động bảo vệ dữ liệu toàn cầu và chuyển dữ liệu xuyên biên giới
Phán quyết này phản ánh cách tiếp cận ngày càng nghiêm ngặt của các cơ quan quản lý châu Âu đối với hoạt động chuyển dữ liệu xuyên biên giới. Phán quyết khẳng định rằng các tổ chức chuyển dữ liệu cá nhân ra ngoài EU phải chứng minh việc tuân thủ một cách toàn diện, bao gồm cả việc đánh giá liệu môi trường pháp lý của quốc gia tiếp nhận có thể làm suy giảm hiệu quả của các biện pháp bảo đảm theo hợp đồng hay không.
Đối với các doanh nghiệp đa quốc gia, quyết định này nhấn mạnh tầm quan trọng ngày càng lớn của Báo cáo đánh giá tác động chuyển dữ liệu (TIA) và các tài liệu tuân thủ khác, trong đó phải đánh giá đồng thời các rủi ro về pháp lý, kỹ thuật và tổ chức. Trong tương lai, các cơ quan quản lý nhiều khả năng sẽ tập trung nhiều hơn vào khả năng thực thi thực tế các quyền bảo vệ dữ liệu thay vì chỉ dựa vào Điều khoản Hợp đồng Tiêu chuẩn (SCC) hoặc các biện pháp bảo mật kỹ thuật.
Ở phạm vi rộng hơn, phán quyết này được kỳ vọng sẽ góp phần thúc đẩy xu hướng toàn cầu hướng tới các yêu cầu bảo vệ dữ liệu nghiêm ngặt hơn và tăng cường giám sát đối với các hoạt động chuyển dữ liệu quốc tế. Khi các chính phủ ngày càng chú trọng đến chủ quyền số và quản trị dữ liệu, các tổ chức cần chuẩn bị đáp ứng các tiêu chuẩn tuân thủ cao hơn khi chuyển dữ liệu cá nhân giữa các quốc gia và vùng lãnh thổ.
Tác động tiềm tàng đối với TikTok tại Ireland và các thị trường quốc tế
Đối với TikTok, phán quyết này tiếp tục khẳng định mức độ giám sát ngày càng chặt chẽ mà các nền tảng số quy mô lớn phải đối mặt khi xử lý dữ liệu cá nhân xuyên biên giới. Do Ireland là nơi đặt trụ sở châu Âu của nhiều tập đoàn công nghệ toàn cầu, các quyết định thực thi của Ủy ban Bảo vệ Dữ liệu Ireland thường có ảnh hưởng trên toàn Liên minh châu Âu và có thể tác động đến cách tiếp cận quản lý tại nhiều quốc gia khác.
Từ góc độ kinh doanh, phán quyết này nhiều khả năng sẽ không làm suy giảm đáng kể mức độ phổ biến của TikTok đối với người dùng trong ngắn hạn. Tuy nhiên, quyết định này được dự báo sẽ làm gia tăng chi phí tuân thủ, yêu cầu các biện pháp quản trị dữ liệu chặt chẽ hơn và đặt trọng tâm lớn hơn vào tính minh bạch trong các hoạt động xử lý dữ liệu quốc tế. Vụ việc cũng có thể khuyến khích các cơ quan quản lý trên toàn thế giới áp dụng mức độ giám sát tương tự đối với các doanh nghiệp công nghệ đa quốc gia khác có mô hình kinh doanh phụ thuộc vào hoạt động chuyển dữ liệu xuyên biên giới.
Đối với các tổ chức hoạt động trên phạm vi quốc tế, phán quyết này là lời nhắc nhở rằng việc tuân thủ pháp luật về bảo vệ dữ liệu không còn được đánh giá chỉ dựa trên các tài liệu hợp đồng. Thay vào đó, các cơ quan quản lý ngày càng kỳ vọng doanh nghiệp phải chứng minh rằng toàn bộ khuôn khổ quản trị của mình, bao gồm đánh giá pháp lý, các biện pháp kiểm soát tổ chức và các biện pháp bảo vệ kỹ thuật, có khả năng bảo vệ hiệu quả dữ liệu cá nhân trong suốt quá trình chuyển dữ liệu xuyên biên giới.
ASL Law là công ty luật độc lập và cung cấp đầy đủ dịch vụ được tín nhiệm cao của Việt Nam gồm các luật sư giàu kinh nghiệm và tài năng. ASL Law được Legal500, Asia Law, WTR và Asia Business Law Journal xếp hạng là Công ty Luật hàng đầu tại Việt Nam. Có trụ sở tại Hà Nội và Thành phố Hồ Chí Minh, mục đích chính của ASL LAW là cung cấp lời tư vấn và giải pháp lý thiết thực, hiệu quả và hợp pháp nhất cho khách hàng trong nước và quốc tế. Nếu cần sự trợ giúp, Quý khách hàng có thể gửi email liên hệ tới [email protected].
Liên hệ với công ty Luật ASL LAW để được tư vấn pháp lý chuyên sâu tại Việt Nam và quốc tế.
BÀI VIẾT HỮU ÍCH LIÊN QUAN
English
中文 (中国)
日本語

