1. Quy định Bảo vệ Dữ liệu chung của EU

Chính thức có hiệu lực từ ngày 25/5/2018, Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực trong việc bảo vệ dữ liệu. GDPR không yêu cầu bản địa hóa dữ liệu, nhưng đặt ra các quy định nghiêm ngặt về việc chuyển dữ liệu cá nhân ra ngoài EU/EEA, nhằm bảo vệ quyền riêng tư của công dân EU. Điều này tạo ra một hiệu ứng tương đương với bản địa hóa trong nhiều trường hợp.

Bên cạnh đó, quy định GDPR áp dụng các tiêu chuẩn bảo vệ cao, khiến nhiều tổ chức chọn lưu trữ dữ liệu trong EU để giảm rủi ro pháp lý. Do đó, GDPR được xem là tạo hiệu ứng bản địa hóa mềm thông qua rào cản chuyển dữ liệu quốc tế.

2. Luật 152-FZ của Nga

Luật Liên bang về dữ liệu cá nhân - số 152-FZ được ban hành ngày 27/7/2006 có hiệu lực kể từ ngày 01/9/2015. Theo đó, công ty và tổ chức trong nước và quốc tế nếu thu thập hoặc xử lý dữ liệu cá nhân của công dân Nga hoặc có dịch vụ, sản phẩm, quảng cáo, website hướng đến người dùng Nga, phải đảm bảo rằng việc ghi nhận, hệ thống hóa, tích lũy, lưu trữ, cập nhật và trích xuất dữ liệu này được thực hiện thông qua cơ sở dữ liệu đặt tại lãnh thổ Liên bang Nga. Bất kỳ công ty nước ngoài nào có dịch vụ hoặc nền tảng tiếp cận người dùng Nga, kể cả không có hiện diện pháp lý tại Nga, vẫn bị bắt buộc tuân thủ quy định lưu trữ dữ liệu nội địa.

3. Luật Bảo vệ Dữ liệu cá nhân kỹ thuật số của Ấn Độ

Luật Bảo vệ Dữ liệu cá nhân kỹ thuật số của Ấn Độ (DPDPA) được ban hành năm 2023. Luật không áp đặt yêu cầu bắt buộc về bản địa hóa dữ liệu đối với tất cả các tổ chức. Tuy nhiên, luật quy định các điều khoản liên quan đến việc chuyển dữ liệu cá nhân ra nước ngoài và cho phép các cơ quan quản lý ngành áp dụng yêu cầu bản địa hóa dữ liệu trong các lĩnh vực cụ thể. Theo Điều 16 của DPDPA, việc chuyển dữ liệu cá nhân từ Ấn Độ ra nước ngoài được phép, trừ khi chính phủ trung ương ban hành danh sách các quốc gia hoặc vùng lãnh thổ bị hạn chế.

4. Luật An ninh mạng Trung Quốc

Luật An ninh mạng Trung Quốc (CSL) ban hành ngày 7/11/2016 và có hiệu lực từ ngày 01/6/2017, yêu cầu dữ liệu cá nhân và dữ liệu quan trọng thu thập hoặc tạo ra tại Trung Quốc phải được lưu trữ trong nước. Đối tượng phải tuân thủ yêu cầu bản địa hóa gồm các tổ chức vận hành hạ tầng thông tin quan trọng, trong đó bao gồm các doanh nghiệp hoạt động trong các lĩnh vực trọng yếu như: viễn thông, tài chính - ngân hàng, năng lượng, giao thông, y tế,… Các doanh nghiệp không phải đối tượng trên cũng có thể bị áp dụng, nếu xử lý dữ liệu nhạy cảm hoặc lớn. Việc chuyển dữ liệu ra nước ngoài chỉ được phép sau khi vượt qua đánh giá an ninh và được sự chấp thuận của chính phủ.

5. Đạo luật bảo vệ dữ liệu cá nhân của Thái Lan

Đạo luật Bảo vệ dữ liệu cá nhân (PDPA) là luật đầu tiên của Thái Lan được xây dựng để quản lý dữ liệu và được coi là tương đương với đạo luật GDRP. Các khía cạnh chính của PDPA bao gồm xử lý dữ liệu, thu thập dữ liệu và lưu trữ dữ liệu. Luật này được ban hành năm 2019, không áp đặt yêu cầu bắt buộc về bản địa hóa dữ liệu. Điều này có nghĩa là các tổ chức không bắt buộc phải lưu trữ dữ liệu cá nhân của công dân Thái Lan trong lãnh thổ nước này. Tuy nhiên, việc chuyển dữ liệu cá nhân ra nước ngoài phải tuân thủ các quy định nghiêm ngặt nhằm bảo vệ quyền lợi của chủ thể dữ liệu.

6. Luật Bảo vệ dữ liệu cá nhân của Indonesia

Luật Bảo vệ Dữ liệu Cá nhân (PDP Law) của Indonesia, được ban hành vào ngày 17/10/2022 và có hiệu lực từ ngày 17/10/2024, không áp đặt yêu cầu bắt buộc về bản địa hóa dữ liệu đối với các tổ chức tư nhân. Tuy nhiên, luật này quy định chặt chẽ về việc chuyển dữ liệu cá nhân ra nước ngoài nhằm đảm bảo an toàn và quyền riêng tư cho công dân Indonesia.

7. Luật bảo vệ dữ liệu cá nhân của Brazil

Luật bảo vệ dữ liệu cá nhân của Brazil, gọi tắt là LGPD (Lei Geral de Proteção de Dados Pessoais), là một đạo luật toàn diện về quyền riêng tư và bảo vệ dữ liệu cá nhân, tương tự như GDPR của EU. Tuy nhiên, LGPD quy định chặt chẽ về việc chuyển dữ liệu cá nhân ra nước ngoài. Theo Điều 33 của LGPD, dữ liệu cá nhân chỉ được chuyển ra ngoài Brazil khi ít nhất một trong các điều kiện sau được đáp ứng:

- Quốc gia nhận dữ liệu có mức độ bảo vệ tương đương: Quốc gia/Lãnh thổ được Cơ quan Bảo vệ Dữ liệu Quốc gia Brazil (ANPD) công nhận có quy định phù hợp.

- Cam kết hợp pháp giữa các bên phải có hợp đồng, điều khoản ràng buộc nội bộ (BCR) hoặc cơ chế pháp lý chứng minh việc bảo vệ dữ liệu đúng luật.

8. Nghị định số 53/2022/NĐ-CP của Việt Nam

Nghị định số 53/2022/NĐ-CP được ban hành ngày 15/8/2022 và có hiệu lực từ ngày 01/10/2022. Nghị định hướng dẫn chi tiết thi hành Luật An ninh mạng liên quan đến bản địa hóa dữ liệu và lưu trữ dữ liệu tại Việt Nam. Điều 26 của Nghị định quy định các loại dữ liệu phải lưu trữ tại Việt Nam bao gồm: Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam; Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: Tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu; Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.

Có thể nói, dữ liệu ngày càng đóng vai trò quan trọng đối với mỗi quốc gia, do đó các chính sách quản lý dữ liệu ngày càng được siết chặt hơn. Hầu hết các quốc gia, vùng lãnh thổ đều yêu cầu dữ liệu phải được lưu trữ trong nước để quản lý dễ dàng hơn. Đồng thời, các quốc gia cũng quy định chặt chẽ về việc chuyển dữ liệu cá nhân ra nước ngoài nhằm đảm bảo an toàn và quyền riêng tư cho công dân.