Chuyển dữ liệu cá nhân xuyên biên giới theo pháp luật Liên minh châu Âu và Trung quốc - kinh nghiệm cho Việt Nam

1. Khái niệm chuyển dữ liệu cá nhân xuyên biên giới

Mặc dù không đưa ra định nghĩa cụ thể, Ủy ban bảo vệ dữ liệu cá nhân của EU (EDPB) đã đưa ra ba tiêu chí để xác định việc chuyển dữ liệu cá nhân ra khỏi EU[1]. Trong đó, EDPB đã xác định rõ các chủ thể tham gia gồm “bên kiểm soát” hoặc “bên xử lý” dữ liệu, cũng như yêu cầu là dữ liệu phải được chuyển đến nước thứ ba hoặc tổ chức quốc tế. Cần chú ý là, EU là một tổ chức liên chính phủ nên trường hợp chuyển dữ liệu cá nhân giữa các quốc gia trong nội khối EU thì không được xem là chuyển dữ liệu cá nhân xuyên biên giới[2]. Trường hợp này, Điều 4.23 Quy định chung về bảo mật dữ liệu của EU (GDPR) sử dụng thuật ngữ “xử lý xuyên biên giới” (cross-border processing). Như vậy, hoạt động chuyển dữ liệu cá nhân sang quốc gia thứ ba (không thuộc EU) mới mang nội hàm tương tự với các định nghĩa về chuyển dữ liệu cá nhân xuyên biên giới của các quốc gia khác.

Pháp luật Trung Quốc tại Điều 38 Luật Bảo vệ thông tin cá nhân của Trung Quốc 2021 (PIPL) có đề cập đến chuyển dữ liệu cá nhân xuyên biên giới là việc “bên quản lý” thông tin cá nhân (handlers) cung cấp thông tin cá nhân ra bên ngoài lãnh thổ Cộng hòa nhân dân Trung Hoa do nhu cầu kinh doanh hoặc nhu cầu khác. Như vậy, theo pháp luật Trung Quốc thì chuyển dữ liệu cá nhân xuyên biên giới phải gắn với một mục đích cụ thể. Tuy nhiên, phạm vi mục đích được chấp nhận vẫn rất rộng và chưa có một sự giới hạn rõ ràng.

Đối với pháp luật Việt Nam, chúng ta đã có định nghĩa về chuyển dữ liệu cá nhân ra nước ngoài. Theo đó, đây là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam[3]. Như vậy, Việt Nam có sự nhấn mạnh vào hình thức thực hiện chuyển dữ liệu. Đồng thời, chúng ta cũng quy định cụ thể hơn với 02 trường hợp được xem là chuyển dữ liệu ra nước ngoài. Đó là trường hợp bên có dữ liệu chuyển dữ liệu cho chủ thể khác ở nước ngoài hoặc bên có dữ liệu tự xử lý dữ liệu nhưng việc xử lý này được thực hiện ở ngoài Việt Nam.

2. Quy định của Liên minh châu Âu và Trung Quốc về hoạt động chuyển dữ liệu cá nhân xuyên biên giới

2.1. Các bên tham gia hoạt động chuyển dữ liệu cá nhân xuyên biên giới

Thứ nhất, đối với bên chuyển dữ liệu. Theo GDPR và Hướng dẫn số 05/2021 của EDPB thì bên chuyển dữ liệu cá nhân xuyên biên giới bao gồm: bên kiểm soát (controllers) và bên xử lý (processors). Đối với Trung Quốc, họ không có sự phân chia rõ ràng về chủ thể kiểm soát và chủ thể xử lý dữ liệu. Thay vào đó thuật ngữ “chủ thể quản lý” (handlers) được sử dụng. Tuy nhiên, với sự giải thích tại Điều 73 PIPL thì có thể hiểu “handler” tương đương với “controllers” (bên kiểm soát) theo pháp luật EU[4]. Như vậy, có thể thấy chủ thể tham gia vào hoạt động chuyển dữ liệu của Trung Quốc sẽ hẹp hơn.

Một câu hỏi khác được đặt ra là nếu chủ thể dữ liệu tự chuyển dữ liệu của mình ra nước ngoài thì có thuộc trường hợp chuyển dữ liệu xuyên biên gới hay không[5]? Cả EU và Trung Quốc đều cho rằng đây không được xem là chuyển dữ liệu cá nhân quốc tế^[6]. Điều này là hợp lý vì chủ thể dữ liệu có quyền đối với dữ liệu cá nhân của mình, họ có trách nhiệm tự bảo vệ đối với những dữ liệu đó, khi họ tự mình chuyển dữ liệu cá nhân quốc tế đã thể hiện ý chí của họ. Trong khi các chủ thể như bên kiểm soát hay bên xử lý chỉ đại diện, thay mặt và thực hiện việc xử lý, chuyển dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu.

Thứ hai, đối với bên nhận dữ liệu. Pháp luât EU vẫn quy định bao gồm bên kiểm soát hoặc bên xử lý ở quốc gia ngoài EU. Trong khi đó, bên nhận dữ liệu cá nhân không được định nghĩa trong PIPL. Điều này dẫn tới phạm vi chủ thể chưa được xác định rõ ràng. Chẳng hạn như bên kiểm soát dữ liệu tại Trung Quốc chuyển dữ liệu cho một đơn vị xử lý dữ liệu tại nước ngoài thì có thuộc phạm vi chuyển dữ liệu hay không? Điều này chưa được xác định bởi PIPL.

2.2. Quyền và nghĩa vụ của các bên khi thực hiện chuyển dữ liệu cá nhân xuyên biên giới

Thứ nhất, đối với bên chuyển dữ liệu, nghĩa vụ chủ yếu của họ theo GDPR là bảo đảm đã cung cấp các điều kiện thích hợp để bảo vệ dữ liệu cá nhân trong suốt quá trình chuyển dữ liệu. Trong đó, GDPR không chỉ thiết lập một cơ chế thực thi pháp luật mạnh mẽ mà còn áp dụng các công cụ pháp lý linh hoạt khác như các cơ chế chứng nhận bảo vệ dữ liệu, Bộ quy tắc ứng xử (COCs) và Quy tắc Doanh nghiệp Ràng buộc (BCRs).

Ngoài ra, bên chuyển dữ liệu cá nhân ra ngoài EU không chỉ có nghĩa vụ tuân thủ mà còn được trao những quyền độc lập nhằm bảo đảm mức độ bảo vệ dữ liệu cá nhân không bị suy giảm. Trong trường hợp có sự thay đổi trong luật liên quan có khả năng có tác động bất lợi đáng kể đến các điều khoản bảo vệ dữ liệu tiêu chuẩn, bên kiểm soát có nghĩa vụ đình chỉ việc truyền dữ liệu^[7], đặc biệt khi có thay đổi pháp lý bất lợi ảnh hưởng đến các điều khoản hợp đồng mẫu. Quan trọng hơn, GDPR và phán quyết Schrems II xác lập rằng bên chuyển dữ liệu giữ vai trò giám sát chủ động, tức phải ngừng chuyển dữ liệu mà không cần chờ đợi sự can thiệp của cơ quan giám sát^[8]. Các quyền này, về thực chất, phản ánh sự chuyển dịch từ cơ chế giám sát tập trung sang mô hình trách nhiệm tự điều chỉnh, trong đó bên chuyển dữ liệu được xem là tuyến phòng vệ đầu tiên bảo vệ quyền riêng tư cá nhân trong môi trường xuyên biên giới.

Tương tự như GDPR, Điều 38 PIPL đặt ra các nghĩa vụ cho bên chuyển dữ liệu phải đảm bảo an toàn cho dữ liệu cá nhân được chuyển ra nước ngoài. Theo đó, bên xử lý phải đáp ứng ít nhất một trong các điều kiện sau: (i) Đã thông qua đánh giá an ninh do Cơ quan quản lý mạng quốc gia (CAC) tổ chức (nếu thuộc trường hợp yêu cầu); (ii) Đã ký hợp đồng tiêu chuẩn (SCCs) với bên nhận ở nước ngoài; (iii) Đã đạt được chứng nhận bảo vệ thông tin cá nhân từ tổ chức chứng nhận được CAC chấp thuận; (iv) Các điều kiện khác theo quy định pháp luật và CAC. Đồng thời, theo Điều 39 PIPL trước khi chuyển dữ liệu ra nước ngoài, bên xử lý thông tin phải thông báo rõ ràng và xin sự đồng ý riêng biệt từ chủ thể dữ liệu.

Tuy nhiên, Hướng dẫn của CAC về thúc đẩy và điều chỉnh luồng dữ liệu xuyên biên giới của Trung Quốc năm 2024 (CAC Guidelines 2024) đã đưa ra các trường hợp giảm trừ nghĩa vụ cho bên chuyển dữ liệu, bao gồm: dữ liệu từ hoạt động thương mại quốc tế, vận tải, học thuật... không chứa thông tin cá nhân hoặc dữ liệu quan trọng; dữ liệu cá nhân được chuyển vào rồi chuyển ra khỏi Trung Quốc mà không thu thập dữ liệu nội địa; dữ liệu cần thiết cho giao dịch như mua hàng, chuyển tiền, đặt vé, xử lý visa; thông tin nhân viên để thực hiện hợp đồng lao động/tập thể; Thông tin khẩn cấp để bảo vệ tính mạng, sức khỏe, tài sản cá nhân.  Nếu rơi vào các trường hợp trên, bên chuyển dữ liệu không phải thực hiện đánh giá an ninh, ký SCCs, hay chứng nhận bảo vệ thông tin cá nhân[9].

PIPL cũng quy định nghĩa vụ đánh giá tác động bảo vệ thông tin cá nhân. Nghĩa vụ này khá giống với Đánh giá tác động bảo vệ dữ liệu (DPIA) theo GDPR^[10]. Tuy nhiên vẫn có sự khác biệt nhất định, cụ thể, Điều 35 GDPR việc đánh giá tác động bảo vệ dữ liệu là bắt buộc trong một số trường hợp nhất định, đặc biệt khi việc xử lý dữ liệu “có khả năng gây rủi ro cao đối với quyền và tự do của cá nhân”. So với PIPL, GDPR có hướng quy định mở hơn, không quá gò bó về nghĩa vụ của bên chuyển dữ liệu nhưng vẫn kiểm soát tốt các trường hợp có khả năng ảnh hưởng đến quyền của chủ thể dữ liệu. Tuy nhiên, cách quy định của PIPL sẽ theo dõi sát sao, chặt chẽ và kiểm soát toàn diện hơn toàn bộ các hoạt động chuyển dữ liệu cá nhân xuyên biên giới. Nhưng mặt trái của nó là quá kiểm soát dòng chảy dữ liệu và đôi khi tạo ra một rào cản thương mại trong việc hợp tác, phát triển trong thời đại kinh tế số toàn cầu.

Mặt khác, bên chuyển dữ liệu cá nhân xuyên biên giới cũng có một số quyền tương đối đặc thù như lựa chọn một trong các cơ chế hợp pháp để thực hiện chuyển dữ liệu cá nhân ra nước ngoài vừa đảm bảo được nghĩa vụ bảo vệ dữ liệu cá nhân song cũng tạo điều kiện giúp việc chuyển dữ liệu xuyên biên giới dễ thực hiện hơn, phục vụ nhu cầu sản xuất, kinh doanh của của bên chuyển dữ liệu.

Thứ hai, đối với bên nhận dữ liệu, Điều 44 GDPR quy định bên nhận dữ liệu có nghĩa vụ đảm bảo mức độ bảo vệ tương đương GDPR như không xử lý dữ liệu vượt quá mục đích đã cam kết, áp dụng biện pháp bảo vệ dữ liệu tương đương với tiêu chuẩn GDPR. Trường hợp có ký kết SCCs, bên nhận dữ liệu cá nhân phải tuân thủ các điều khoản ràng buộc trong hợp đồng như tuân thủ nghiêm ngặt các điều khoản đã cam kết, áp dụng biện pháp bảo vệ kỹ thuật thích hợp. Ngoài ra, bên nhận dữ liệu có nghĩa vụ phải thông báo nếu luật nước họ xung đột với GDPR. Nghĩa vụ của bên nhận dữ liệu xuyên biên giới mang tính ràng buộc chặt chẽ, nhằm đảm bảo mức độ bảo vệ dữ liệu cá nhân tương đương với tiêu chuẩn của EU. Cơ chế nghĩa vụ này thể hiện nguyên tắc “trách nhiệm giải trình toàn cầu” mà GDPR theo đuổi trong việc kiểm soát dòng chảy dữ liệu quốc tế.

GDPR cũng quy định bên nhận dữ liệu cá nhân xuyên biên giới có nghĩa vụ bổ nhiệm một đại diện ở EU[11]. Điều khoản này thiết kế để giúp tăng cường giám sát đối với các bên kiểm soát và xử lý dữ liệu cá nhân không thuộc EU. Tuy nhiên, do một số ngoại lệ tại Điều 27 GDPR cũng như và phạm vi lãnh thổ theo Điều 3.2 nên dường như là tính hiệu quả vẫn chưa cao[12].

Bên nhận dữ liệu trong PIPL có các nghĩa vụ đối ứng với bên chuyển dữ liệu như: đảm bảo mức độ bảo vệ dữ liệu cá nhân tương đương với tiêu chuẩn yêu cầu trong PIPL[13]; ký kết hợp đồng mẫu yêu cầu của CAC; xử lý yêu cầu truy cập, chỉnh sửa, xóa dữ liệu từ chủ thể dữ liệu; khi CAC hoặc cơ quan nhà nước có thẩm quyền yêu cầu, bên nhận phải cung cấp thông tin cần thiết hoặc phối hợp kiểm tra, giám sát liên quan đến dữ liệu cá nhân đã được chuyển giao[14]; không được phép tự ý chuyển dữ liệu cho bên khác nếu chưa được bên chuyển và chủ thể dữ liệu đồng ý trước[15].

Có thể thấy, PIPL đang giảm bớt nghĩa vụ của các bên tham gia vào hoạt động chuyển dữ liệu cá nhân xuyên biên giới nhằm tiệm cận với GDPR, đồng thời như một phần trong nỗ lực của Trung Quốc nhằm thu hút đầu tư nước ngoài và để kích thích tăng trưởng kinh tế^[16]. Sự điều chỉnh này được thể hiện rõ qua các quy định mới của CAC vào năm 2024 như nới lỏng yêu cầu đánh giá an ninh và cho phép áp dụng linh hoạt hơn các cơ chế chuyển giao như hợp đồng mẫu.

2.3. Trách nhiệm của cơ quan nhà nước

Cơ quan Nhà nước đóng vai trò trung tâm trong việc bảo đảm rằng hoạt động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện phù hợp với các nguyên tắc bảo vệ quyền riêng tư và an ninh dữ liệu.

Đối với GDPR cơ quan có thẩm quyền chính đó là Cơ quan giám sát (SA). Điều 51.1GDPR quy định mỗi quốc gia thành viên của EU đều phải thành lập một SA hoàn toàn độc lập trong việc thực hiện nhiệm vụ và quyền hạn. SA có trách nhiệm phê duyệt cơ chế chuyển dữ liệu, xác nhận tính hợp pháp của các công cụ chuyển dữ liệu như BCRs, điều tra, thanh tra, đình chỉ việc chuyển dữ liệu ra nước ngoài nếu phát hiện vi phạm. Đây là cơ quan có thẩm quyền riêng biệt, hoạt động độc lập và đại diện cho EDPB trong các hoạt động đảm bảo quyền của chủ thể dữ liệu tại từng quốc gia thành viên của EU.

Tại Trung Quốc, tình hình phức tạp hơn vì có nhiều cơ quan có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, đồng thời một số luật, quy định khác nhau lại chỉ định các cơ quan giám sát khác nhau^[17]. Cụ thể như: (i) CAC sẽ có thẩm quyền chung đối với các hoạt động chuyển dữ liệu cá nhân xuyên biên giới, chịu trách nhiệm lập kế hoạch đánh giá an ninh quốc gia quan trọng để cho phép chuyển dữ liệu, ban hành hợp đồng tiêu chuẩn, quản lý hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân; (ii) Bộ Công an (MPS) thực thi và giám sát Chương trình Bảo vệ nhiều lớp. Tuy nhiên, thẩm quyền chung và quan trọng nhất trong hoạt động chuyển dữ liệu cá nhân xuyên biên giới vẫn là của CAC.

Có thể thấy, sự khác biệt quan trọng nhất giữa PIPL và GDPR là cơ quan bảo vệ dữ liệu độc lập^[18]. Theo PIPL, nhiệm vụ thực thi được chia sẻ bởi một số cơ quan quản lý như vừa đề cập ở trên. Tuy nhiên, các cơ quan quản lý này lại không được xem là “độc lập” từ quan điểm của GDPR^[19].

3. Bài học kinh nghiệm cho Việt Nam

Hiện nay, các quy định về bảo vệ dữ liệu nói chung và hoạt động chuyển dữ liệu cá nhân ra nước ngoài nói riêng được thực hiện theo quy định tại Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân. Việt Nam hiện đang từng bước hoàn thiện hành lang pháp lý về bảo vệ dữ liệu cá nhân. Việc tham khảo các mô hình pháp lý tiến bộ như GDPR và PIPL là cần thiết để xây dựng hệ thống tiêu chuẩn vừa bảo đảm quyền riêng tư cá nhân, vừa tạo điều kiện thuận lợi cho dòng chảy dữ liệu xuyên biên giới phục vụ phát triển nền kinh tế số.

Thứ nhất, trong khi GDPR xác định rõ các chủ thể tham gia chuyển dữ liệu là bên kiểm soát, bên xử lý dữ liệu thì khoản 14 Điều 2 Nghị định số 13/2023/NĐ-CP chỉ liệt kê các chủ thể thực hiện chuyển dữ liệu cá nhân ra nước ngoài bao gồm tổ chức, doanh nghiệp, cá nhân mà không xác định rõ tư cách của họ. Điều 25 có xác định cụ thể hơn là bên chuyển dữ liệu gồm bên kiểm soát dữ, Bên kiểm soát và xử lý, bên xử lý, bên thứ ba nhưng lại không đề cập đến bên nhận dữ liệu. Đồng thời, việc quy định bên thứ ba cũng có khả năng thực hiện chuyển dữ liệu cá nhân xuyên biên giới là khá rộng[20], dẫn đến khó đảm bảo được sự an toàn thông tin cá nhân.

Do đó, tham khảo GDPR, tác giả đề xuất cần xác định rõ chủ thể chuyển và nhận dữ liệu cá nhân xuyên biên giới chỉ nên bao gồm: bên kiểm soát, bên xử lý, bên kiểm soát và xử lý dữ liệu cá nhân.

Thứ hai, Điều 25 không liệt kê chủ thể dữ liệu vào trường hợp phải thực hiện đánh giá tác động khi chuyển dữ liệu ra nước ngoài. Tuy nhiên, vẫn có trường hợp chủ thể dữ liệu đồng thời là bên kiểm soát và xử lý dữ liệu, chẳng hạn như cá nhân thu thập thu tin sức khỏe, hình ảnh của bản thân[21]. Như vậy, dù không phổ biến nhưng trường hợp cá nhân tự chuyển dữ liệu của mình ra nước ngoài vẫn có thể hiểu là thuộc phạm vi điều chỉnh của chuyển dữ liệu xuyên biên giới. Điều này là không phù hợp như đã phân tích ở mục 2.1.

Do đó, trên cơ sở tham khảo pháp luật EU và Trung Quốc, chúng ta cần quy định rõ, trường hợp chủ thể dữ liệu tự mình thực hiện hoạt động chuyển dữ liệu cá nhân xuyên biên giới không thuộc phạm vi điều chỉnh của chuyển dữ liệu cá nhân ra nước ngoài.

Thứ ba, hiện nay, Nghị định số 13/2023/NĐ-CP mới chỉ tập trung vào nghĩa vụ của bên chuyển dữ liệu mà chưa đưa ra nghĩa vụ cho bên nhận dữ liệu[22]. Điều này là không cần bằng và chưa thể bảo đảm an toàn cho dữ liệu cá nhân. Do đó, cần bổ sung các nghĩa vụ đối ứng dành cho bên nhận dữ liệu tương tự như GDPR hay PIPL. Bên cạnh đó, việc yêu cầu bên nhận dữ liệu phải đặt đại diện tại Việt Nam cũng nên được cân nhắc.

Thứ tư, pháp luật Việt Nam mới chỉ quy định một hình thức để kiểm soát việc chuyển dữ liệu cá nhân ra nước ngoài, đó là hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Điều này có thể dẫn đến gánh nặng cho cơ quan quản lý cũng như chưa linh hoạt cho các bên muốn chuyển dữ liệu. Do đó, trên cơ sở nghiên cứu luật của EU và Trung Quốc, chúng ta có thể mở rộng các hình thức khác như ký hợp đồng tiêu chuẩn (SCCs) với bên nhận ở nước ngoài, hoặc các chứng nhận bảo vệ dữ liệu cá nhân từ tổ chức được cơ quan có thẩm quyền chấp nhận.

Thứ năm, theo pháp luật Việt Nam hiện nay, tất cả trường hợp chuyển dữ liệu cá nhân ra nước ngoài đều phải thực hiện đánh giá tác động. Điều này có thể bảo vệ tốt dữ liệu cá nhân nhưng cũng có thể gây khó khăn cho dòng chảy dữ liệu. Tham khảo CAC Guidelines 2024 của Trung Quốc, chúng ta có thể đưa ra các ngoại lệ mà bên chuyển dữ liệu không cần phải thực hiện đánh giá tác động như: trường khẩn cấp liên quan đến sức khỏe, tính mạng; chuyển dữ liệu ra nước ngoài nhưng không có thông tin cá nhân nội địa của Việt Nam; các dữ liệu cần thiết cho giao dịch thông thường như mua hàng, đặt vé, làm thủ tục visa…

Thứ sáu, với việc dữ liệu cá nhân ngày càng quan trọng trong cả an ninh quốc gia lẫn hoạt động thương mại, việc có một cơ quan chuyên về bảo vệ dữ liệu cá nhân là cần thiết. Hiện nay chức năng này được giao cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Cục A05). Tuy nhiên, cơ quan này thực hiện rất nhiều chức năng khác nhau[23]. Với chủ trương tinh giản bộ máy nhà nước, việc thành lập một cơ quan giám sát độc lập hoạt động chuyển dữ liệu cá nhân xuyên biên giới như EU là không khả thi. Dẫu vậy, cần có sự hỗ trợ để đẩy mạnh hơn nữa năng lực hoạt động của A05. Chẳng hạn như xây dựng trang thông tin điện tử riêng, liên kết với các cơ quan về bảo vệ dữ liệu cá nhân trên thế giới, cho phép cơ quan được ban hành các văn bản hướng dẫn, giám sát hoạt động^[24] của các bên tham gia hoạt động chuyển dữ liệu cá nhân xuyên biên giới… Từ đó giúp A05 đảm bảo việc chuyển dữ liệu cá nhân xuyên biên giới được thực hiện đúng với quy định pháp luật.  

ThS. VÕ HƯNG ĐẠT (Trường Đại học Luật TP. Hồ Chí Minh) - ĐÀO VŨ NGỌC ANH (Sv Trường Đại học Luật TP. Hồ Chí Minh)

Tài liệu tham khảo

1. Quy định chung về bảo mật dữ liệu của Liên minh châu Âu.

2. Luật bảo vệ thông tin cá nhân của Cộng hòa nhân dân Trung Hoa năm 2021.

3. Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân.

4. Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ Quy định chi tiết một số Điều của Luật An ninh mạng.

5. European Data Protection Board, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR - Version 2.0, Guidelines of The European Data Protection Board, Nxb. European Data Protection Board, EU, 2023.

6. Quy định về thúc đẩy và điều chỉnh luồng dữ liệu xuyên biên giới của Trung Quốc năm 2024, https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm.

7. Angela Potter - Keshawna Campbell - Victoria Ashcroft, Comparing privacy laws: GDPR v. PIPL, Nxb. OneTrust DataGuidance, 2024.

8. Jiménez-Gómez - Briseida Sofía, Cross-Border Data Transfers Between the EU and the U.S.: A Transatlantic Dispute, Khóa luận tốt nghiệp, Trường Đại học Santa Clara Journal of International Law, 2021.

9. Christopher Kuner, Territorial Scope and Data Transfer Rules in the GDPR: Realising the EU’s Ambition of Borderless Data Protection, Legal Studies Research - Paper Series, Trường Đại học Cambridge Faculty of Law, 2021.

10. Liza L.S. Mark - Tianyun (Joyce) Ji, China Releases New Rules to Ease Burden on Cross-Border Transfer of Data, Nxb. Haynes Boone, 2024.

11. Gulbakyt Bolatbekkyzy, Comparative Insights from the EU’s GDPR and China’s PIPL for Advancing Personal Data Protection Legislation, Tạp chí Groningen Journal of International Law, số: 10.21827/GroJIL, 2024.

12. Graham Greenleaf, China Issues a Comprehensive Draft Data Privacy Law, Nxb. Greenleaf, Sydney, 2020.

13. Anja Geller, How Comprehensive Is Chinese Data Protection Law? A Systematisation of Chinese Data Protection Law from a European Perspective, Tạp chí GRUR International, số 69(12), 2020.

14. Đào Vũ Ngọc Anh - Phạm Thúy Huỳnh - Tôn Nữ Khánh Linh - Phạm Thanh Nhàn, Sự điều chỉnh của pháp luật Cộng hòa Séc và Nhật Bản về dữ liệu cá nhân của người lao động - Bài học kinh nghiệm cho Việt Nam, Đề tài Nghiên cứu khoa học, Trường Đại học Luật TP. Hồ Chí Minh, năm 2024, tr.102.

15. Security, China’s Personal Information Protection Impact Assessment (PIPIA), https://securiti.ai/personal-information-protection-impact-assessment-pipia-under-china-pipl/.

16. Miche`le Finck, Cobwebs of control: the two imaginations of the data controller in EU law, International Data Privacy Law, 2021, Vol. 11, No. 4.

17. Lilian Edwards, Michèle Finck, Michael Veale, Nicolo Zingales, Data subjects as data controllers: a Fashion(able) concept?, Internet Policy Review Journal, 2019.