Trong bối cảnh Luật Công chứng năm 2024 và Nghị định số 104/2025/NĐ-CP có hiệu lực từ ngày 01/7/2025, các tổ chức hành nghề công chứng phải thực hiện chuyển đổi hồ sơ công chứng từ dạng giấy sang thông điệp dữ liệu để phục vụ lưu trữ điện tử. Quá trình triển khai đặt ra nhiều tranh luận về tính hợp pháp của việc sử dụng dịch vụ điện toán đám mây để lưu trữ, sao lưu hồ sơ công chứng đã số hóa, đặc biệt đối với các nền tảng có hạ tầng máy chủ hoặc trung tâm dữ liệu đặt ngoài lãnh thổ Việt Nam.
Bài viết phân tích cơ sở pháp lý của hoạt động lưu trữ điện tử hồ sơ công chứng trong bối cảnh thực hiện chủ trương chuyển đổi số quốc gia theo Quyết định số 749/QĐ-TTg và Quyết định số 942/QĐ-TTg; phản biện quan điểm cho rằng việc sử dụng dịch vụ điện toán đám mây để sao lưu dữ liệu công chứng là trái pháp luật; đồng thời làm rõ cơ sở của việc xác định cấp độ an toàn thông tin cấp độ 3 đối với cơ sở dữ liệu công chứng và quyền tự chủ lưu trữ của tổ chức hành nghề công chứng. Trên cơ sở đó, bài viết đề xuất một số kiến nghị hoàn thiện pháp luật.
Chuyển đổi số là chủ trương lớn, nhất quán của Đảng và Nhà nước ta. Quyết định số 749/QĐ-TTg ngày 03/6/2020 của Thủ tướng Chính phủ phê duyệt “Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030” xác định tầm nhìn đưa Việt Nam trở thành quốc gia số, đổi mới căn bản, toàn diện hoạt động quản lý, điều hành của Chính phủ, hoạt động sản xuất kinh doanh của doanh nghiệp và phương thức sống, làm việc của người dân trên môi trường số an toàn, rộng khắp [1]. Tiếp đó, Quyết định số 942/QĐ-TTg ngày 15/6/2021 của Thủ tướng Chính phủ phê duyệt Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021 – 2025, định hướng đến năm 2030 đã đưa ra một định hướng đáng chú ý: việc triển khai trung tâm dữ liệu phục vụ Chính phủ số tại bộ, ngành, địa phương được thực hiện “theo hướng sử dụng công nghệ điện toán đám mây, ưu tiên hình thức thuê dịch vụ chuyên nghiệp” [2]. Như vậy, ở tầm chính sách quốc gia, điện toán đám mây và phương thức thuê dịch vụ không những không bị e ngại mà còn được xác định là hướng đi ưu tiên, kể cả đối với hạ tầng dữ liệu của chính các cơ quan nhà nước.
Trong dòng chảy đó, lĩnh vực công chứng được thể chế hóa mạnh mẽ bởi Luật Công chứng năm 2024 (Luật số 46/2024/QH15), được Quốc hội khóa XV thông qua ngày 26/11/2024, có hiệu lực thi hành từ ngày 01/7/2025, lần đầu tiên xác lập đầy đủ chế định công chứng điện tử [3]. Cụ thể hóa đạo luật này, Nghị định số 104/2025/NĐ-CP ngày 15/5/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Công chứng đã thiết lập khung pháp lý cho việc chuyển đổi hồ sơ công chứng giấy sang lưu trữ điện tử, quy trình công chứng điện tử trực tiếp và trực tuyến, cũng như cơ sở dữ liệu công chứng [4]. Theo khoản 1 Điều 59 Nghị định số 104/2025/NĐ-CP, tổ chức hành nghề công chứng phải thực hiện chuyển đổi hồ sơ công chứng giấy thành thông điệp dữ liệu để lưu trữ điện tử đối với các giao dịch công chứng được thực hiện từ ngày 01/7/2025 [4].
Quá trình triển khai quy định này trong thực tiễn đã làm phát sinh một vấn đề gây tranh luận: tổ chức hành nghề công chứng có được phép sử dụng dịch vụ điện toán đám mây thương mại, trong đó có các nền tảng phổ biến như Google Drive, để sao lưu (backup) dữ liệu hồ sơ công chứng đã số hóa hay không. Quan điểm phản đối cho rằng hành vi này vi phạm pháp luật về công chứng với hai lập luận chính: thứ nhất, máy chủ của nhà cung cấp dịch vụ nằm ngoài lãnh thổ Việt Nam; thứ hai, mức độ bảo mật của các dịch vụ này không bảo đảm yêu cầu đối với thông tin công chứng. Bài viết phân tích quan điểm nêu trên dưới góc độ pháp lý, đặt trong tổng thể chính sách chuyển đổi số quốc gia, đồng thời mở rộng sang khía cạnh kinh tế và tính khả thi của các quy định về cấp độ an toàn thông tin trong lĩnh vực công chứng, từ đó đưa ra một số kiến nghị hoàn thiện pháp luật.
Khung pháp lý hiện hành về lưu trữ hồ sơ công chứng điện tử.
Nghĩa vụ lưu trữ hồ sơ công chứng của tổ chức hành nghề công chứng. Điều 68 Luật Công chứng năm 2024 quy định tổ chức hành nghề công chứng có trách nhiệm bảo quản chặt chẽ, thực hiện đủ các biện pháp an ninh, an toàn về phòng, chống cháy, nổ, ẩm mốc, mối mọt đối với hồ sơ công chứng; thời hạn lưu trữ tối thiểu là 30 năm đối với hồ sơ công chứng giao dịch về bất động sản và 10 năm đối với hồ sơ công chứng các giao dịch khác [3]. Có thể nhận thấy quy định này tập trung điều chỉnh việc bảo quản an toàn vật lý đối với hồ sơ gốc, không thiết lập yêu cầu kỹ thuật số cụ thể đối với hoạt động lưu trữ điện tử của tổ chức hành nghề công chứng.
Về lưu trữ điện tử, Điều 59 Nghị định số 104/2025/NĐ-CP quy định hồ sơ công chứng sau khi chuyển đổi thành thông điệp dữ liệu phải bảo đảm tính chính xác về nội dung so với hồ sơ công chứng giấy và phải được tổ chức hành nghề công chứng xác nhận bằng chữ ký số trước khi lưu trữ [4]. Điểm đáng chú ý về kỹ thuật lập pháp là Nghị định đặt ra yêu cầu đối với kết quả lưu trữ (tính chính xác, tính xác thực thông qua chữ ký số, an toàn và bảo mật) mà không ấn định phương tiện hay hạ tầng lưu trữ cụ thể: không liệt kê danh mục thiết bị, nền tảng hay nhà cung cấp dịch vụ được phép hoặc bị cấm, cũng không yêu cầu hạ tầng lưu trữ phải đặt trong lãnh thổ Việt Nam. Theo đó, việc lựa chọn phương thức lưu trữ tại thiết bị của tổ chức hay thuê dịch vụ lưu trữ đám mây (Cloud), thuộc quyền tự chủ của tổ chức hành nghề công chứng, gắn với trách nhiệm bảo đảm các nguyên tắc an toàn và bảo mật theo quy định của pháp luật. Cách tiếp cận này hoàn toàn nhất quán với định hướng “ưu tiên hình thức thuê dịch vụ chuyên nghiệp” về điện toán đám mây mà Quyết định số 942/QĐ-TTg đã xác lập đối với chính hạ tầng dữ liệu của khu vực nhà nước [2].
Yêu cầu an toàn thông tin đối với cơ sở dữ liệu công chứng và nền tảng công chứng điện tử. Khác với hoạt động lưu trữ nội bộ của tổ chức hành nghề, hồ sơ công chứng điện tử (được tạo lập theo quy trình công chứng điện tử quy định tại Điều 60 Nghị định số 104/2025/NĐ-CP) phải được đồng bộ theo thời gian thực lên cơ sở dữ liệu công chứng, bảo đảm an toàn thông tin từ cấp độ 3 trở lên [4]. Cấp độ an toàn hệ thống thông tin được xác định theo Luật An toàn thông tin mạng năm 2015 và Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ, với năm cấp độ tăng dần từ 1 đến 5 [5], [6].
Cần nhấn mạnh rằng phạm vi áp dụng của yêu cầu cấp độ 3 là cơ sở dữ liệu công chứng và nền tảng công chứng điện tử – các hệ thống thông tin tập trung phục vụ quản lý nhà nước và toàn ngành – chứ không phải hoạt động lưu trữ nội bộ hay sao lưu dự phòng của từng tổ chức hành nghề công chứng. Không có điều khoản nào trong Luật Công chứng năm 2024 hay Nghị định số 104/2025/NĐ-CP áp đặt tiêu chuẩn kỹ thuật cấp độ 3 lên hệ thống lưu trữ riêng của tổ chức hành nghề.
Phản biện quan điểm cho rằng sao lưu hồ sơ công chứng số hóa trên nền tảng đám mây nước ngoài là vi phạm pháp luật.
Pháp luật công chứng không cấm việc thuê dịch vụ lưu trữ đám mây và trao quyền tự chủ lựa chọn phương thức lưu trữ. Điều 59 Nghị định số 104/2025/NĐ-CP điều chỉnh hoạt động lưu trữ điện tử của tổ chức hành nghề công chứng theo phương pháp quy định kết quả phải đạt được, không ấn định phương tiện thực hiện: văn bản không liệt kê danh mục nhà cung cấp dịch vụ được phép hoặc bị cấm, không yêu cầu hạ tầng lưu trữ phải đặt trong lãnh thổ Việt Nam đối với hoạt động lưu trữ của tổ chức hành nghề [4]. Theo nguyên tắc pháp lý nền tảng đối với chủ thể tư – được ghi nhận tại khoản 2 Điều 14 Hiến pháp năm 2013 và Điều 2 Bộ luật Dân sự năm 2015, theo đó quyền của chủ thể chỉ có thể bị hạn chế theo quy định của luật – không thể suy diễn ra một lệnh cấm khi văn bản pháp luật không quy định [7], [8].
Lập luận này càng được củng cố khi đặt trong tổng thể chính sách quốc gia về chuyển đổi số. Quyết định số 749/QĐ-TTg xác định phát triển hạ tầng số, trong đó có điện toán đám mây, là một trong các nhiệm vụ, giải pháp nền móng của chuyển đổi số quốc gia, áp dụng cho cả khu vực nhà nước lẫn doanh nghiệp và người dân [1]. Quyết định số 942/QĐ-TTg đi xa hơn khi định hướng các trung tâm dữ liệu phục vụ Chính phủ số sử dụng công nghệ điện toán đám mây với hình thức ưu tiên là thuê dịch vụ chuyên nghiệp [2]. Sẽ là một nghịch lý về chính sách nếu cho rằng: trong khi Nhà nước chủ trương ưu tiên thuê dịch vụ đám mây cho chính hạ tầng dữ liệu của các cơ quan công quyền, thì một tổ chức hành nghề công chứng – chủ thể bổ trợ tư pháp hoạt động theo cơ chế xã hội hóa – lại bị coi là vi phạm pháp luật chỉ vì sao lưu dự phòng dữ liệu trên dịch vụ đám mây. Cách giải thích pháp luật như vậy đi ngược tinh thần và định hướng chính sách nhất quán của quốc gia.
Cũng cần lưu ý bối cảnh thực tiễn của vấn đề: trong trường hợp đang xét, hồ sơ gốc bằng giấy và bản số hóa chính thức vẫn được lưu trữ tại tổ chức hành nghề công chứng theo đúng Điều 68 Luật Công chứng năm 2024; bản tải lên dịch vụ đám mây chỉ giữ vai trò sao lưu dự phòng bổ sung. Do đó, không tồn tại căn cứ pháp lý để kết luận hành vi này vi phạm pháp luật về công chứng.
Sự nhầm lẫn về phạm vi áp dụng của yêu cầu an toàn thông tin cấp độ 3. Lập luận viện dẫn yêu cầu an toàn thông tin cấp độ 3 để phủ nhận tính hợp pháp của việc dùng dịch vụ đám mây thương mại đã nhầm lẫn về đối tượng áp dụng của quy phạm. Yêu cầu cấp độ 3 được đặt ra đối với cơ sở dữ liệu công chứng và nền tảng công chứng điện tử – hệ thống tập trung do cơ quan có thẩm quyền quản lý [4]. Việc mở rộng phạm vi áp dụng của một quy định kỹ thuật sang đối tượng không được văn bản đề cập (hệ thống sao lưu dự phòng của tổ chức hành nghề) là cách giải thích pháp luật thiếu căn cứ, trái với nguyên tắc giải thích chặt chẽ đối với quy phạm hạn chế quyền.
Vấn đề “chuyển dữ liệu cá nhân ra nước ngoài” theo pháp luật về bảo vệ dữ liệu cá nhân. Lập luận về vị trí máy chủ ngoài lãnh thổ Việt Nam thường được gắn với chế định chuyển dữ liệu cá nhân ra nước ngoài. Chế định này lần đầu được xác lập tại Điều 25 Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân [9]; kể từ ngày 01/01/2026, khung pháp lý về bảo vệ dữ liệu cá nhân được nâng lên tầm đạo luật với Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật này, thay thế Nghị định số 13/2023/NĐ-CP [10], [11]. Pháp luật hiện hành tiếp tục duy trì cơ chế kiểm soát việc chuyển dữ liệu cá nhân ra nước ngoài thông qua hồ sơ đánh giá tác động, đồng thời quy định chi tiết hơn về khái niệm chuyển giao dữ liệu cá nhân và phân định rõ trách nhiệm của bên kiểm soát, bên xử lý dữ liệu. Tuy nhiên, dù theo khung pháp lý cũ hay mới, lập luận đồng nhất việc sao lưu trên dịch vụ đám mây với hành vi chuyển dữ liệu ra nước ngoài vẫn gặp phải ba vấn đề.
Thứ nhất, về phương diện kỹ thuật, các dịch vụ điện toán đám mây quy mô lớn vận hành trên kiến trúc hạ tầng phân tán toàn cầu; dữ liệu có thể được phân mảnh, sao chép và luân chuyển giữa nhiều trung tâm dữ liệu ở các khu vực địa lý khác nhau nhằm bảo đảm tính sẵn sàng và khả năng phục hồi. Người sử dụng thông thường không thể xác định và không có nghĩa vụ xác định dữ liệu của mình đang được lưu tại máy chủ vật lý thuộc quốc gia nào tại một thời điểm cụ thể. Việc khẳng định chắc chắn rằng dữ liệu “đã được chuyển ra ngoài lãnh thổ Việt Nam” do đó thiếu cơ sở thực tế xác đáng.
Thứ hai, về phương diện mục đích điều chỉnh, chế định chuyển dữ liệu cá nhân ra nước ngoài – từ Điều 25 Nghị định số 13/2023/NĐ-CP trước đây đến các quy định tương ứng của Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP hiện hành – đều hướng đến điều chỉnh hành vi chuyển giao có chủ đích dữ liệu cá nhân cho bên nhận xác định ở nước ngoài nhằm mục đích xử lý dữ liệu, với nghĩa vụ lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài [10], [11]. Hành vi sao lưu dự phòng trên một công cụ lưu trữ thông dụng, trong đó nhà cung cấp dịch vụ không được trao quyền xử lý nội dung dữ liệu, có bản chất pháp lý khác với hành vi chuyển giao dữ liệu để xử lý.
Thứ ba, về phương diện hệ quả của giải thích, nếu chấp nhận cách hiểu “sử dụng dịch vụ đám mây có hạ tầng nước ngoài đồng nghĩa với chuyển dữ liệu cá nhân ra nước ngoài và do đó vi phạm pháp luật”, thì hệ quả logic tất yếu là mọi hành vi gửi thư điện tử qua Gmail có chứa thông tin cá nhân, nhắn tin qua các ứng dụng quốc tế, soạn thảo văn bản trên các nền tảng trực tuyến đều cấu thành vi phạm. Đây là kết quả phi lý, không phù hợp với ý chí của nhà lập pháp, với thực tiễn đời sống số và với chính các mục tiêu phổ cập dịch vụ số mà Chương trình Chuyển đổi số quốc gia theo Quyết định số 749/QĐ-TTg theo đuổi [1]. Theo nguyên lý giải thích pháp luật, cách hiểu dẫn đến kết quả vô lý phải bị loại trừ (argumentum ad absurdum).
Đánh giá lập luận về mức độ bảo mật của dịch vụ đám mây thương mại. Nhận định cho rằng các dịch vụ đám mây thương mại lớn “kém bảo mật” là đánh giá thiếu cơ sở kỹ thuật. Để làm rõ, cần giải thích các công nghệ bảo mật mà các nhà cung cấp này áp dụng.
Thứ nhất, là mã hóa dữ liệu ở trạng thái lưu trữ (encryption at rest) bằng thuật toán AES-256. AES (Advanced Encryption Standard – Chuẩn mã hóa tiên tiến) là thuật toán mã hóa khối được Viện Tiêu chuẩn và Công nghệ quốc gia Hoa Kỳ (NIST) công bố năm 2001, hiện là chuẩn mã hóa được sử dụng rộng rãi nhất thế giới; con số 256 chỉ độ dài khóa mã hóa tính bằng bit, tương ứng với 2256 tổ hợp khóa khả dĩ – một không gian khóa lớn đến mức việc dò tìm khóa bằng phương pháp vét cạn được coi là bất khả thi với năng lực tính toán hiện tại và trong tương lai gần. AES-256 được nhiều chính phủ, trong đó có Hoa Kỳ, chấp thuận để bảo vệ thông tin mật ở cấp độ cao nhất.
Thứ hai, là mã hóa dữ liệu trên đường truyền (encryption in transit) bằng giao thức TLS (Transport Layer Security – Bảo mật tầng giao vận). TLS là giao thức mật mã chuẩn quốc tế do Tổ chức Đặc nhiệm Kỹ thuật Internet (IETF) ban hành, có chức năng thiết lập một “đường hầm” mã hóa giữa thiết bị người dùng và máy chủ, bảo đảm ba thuộc tính: tính bí mật (dữ liệu truyền đi không thể bị đọc trộm), tính toàn vẹn (dữ liệu không thể bị sửa đổi trên đường truyền mà không bị phát hiện) và tính xác thực (người dùng kết nối đúng với máy chủ thật, không phải máy chủ giả mạo). Đây chính là công nghệ đứng sau ký hiệu ổ khóa và tiền tố “https” trên trình duyệt, được sử dụng trong hầu hết giao dịch ngân hàng trực tuyến và dịch vụ công trực tuyến tại Việt Nam hiện nay.
Với hai lớp bảo vệ nêu trên, cùng hệ thống xác thực đa yếu tố và đội ngũ an ninh mạng chuyên trách quy mô lớn, hạ tầng bảo mật của các nhà cung cấp đám mây hàng đầu trong nhiều trường hợp vượt trội so với hệ thống lưu trữ nội bộ của các tổ chức quy mô vừa và nhỏ vốn hạn chế cả về thiết bị lẫn nhân lực chuyên môn. Quan trọng hơn về phương diện pháp lý, đánh giá kỹ thuật không phải là quy phạm pháp luật: việc một chủ thể cho rằng giải pháp A kém an toàn hơn giải pháp B không tạo ra nghĩa vụ pháp lý và không cấu thành căn cứ xác định vi phạm khi không có quy phạm tương ứng.
Cơ sở kinh tế và tính khả thi của quy định cấp độ an toàn thông tin trong lĩnh vực công chứng.
Vì sao cơ sở dữ liệu công chứng được xác định ở cấp độ 3. Việc xác định cấp độ an toàn hệ thống thông tin không phải là lựa chọn tùy nghi mà là kết quả áp dụng các tiêu chí phân loại tại Điều 9 Nghị định số 85/2016/NĐ-CP. Theo đó, hệ thống thông tin cấp độ 3 bao gồm: hệ thống phục vụ người dân, doanh nghiệp cung cấp dịch vụ công trực tuyến từ mức độ 3 trở lên; hệ thống cung cấp dịch vụ trực tuyến thuộc danh mục ngành, nghề kinh doanh có điều kiện; hệ thống xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên; và hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh [6]. Cơ sở dữ liệu công chứng thỏa mãn đồng thời nhiều tiêu chí nêu trên: là hạ tầng dùng chung toàn ngành công chứng, xử lý thông tin cá nhân của hàng triệu chủ thể, phục vụ dịch vụ thuộc ngành nghề kinh doanh có điều kiện. Trong khi đó, cấp độ 4 và cấp độ 5 được dành cho hệ thống thông tin quan trọng quốc gia mà sự cố có thể gây tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia hoặc lợi ích công cộng trên phạm vi toàn quốc [6]. Cơ sở dữ liệu công chứng, dù quan trọng, không thuộc nhóm đối tượng này.
Bước nhảy chi phí từ cấp độ 3 lên cấp độ 4 và vấn đề tính khả thi. Sự khác biệt giữa cấp độ 3 và cấp độ 4 không mang tính tuyến tính mà là bước nhảy về bản chất kiến trúc kỹ thuật. Theo Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP, trường hợp hệ thống thông tin cấp độ 3 được triển khai dưới hình thức thuê dịch vụ tại trung tâm dữ liệu hoặc điện toán đám mây, thiết kế hệ thống chỉ cần bảo đảm tách riêng, độc lập với các hệ thống khác về lôgic, có phân vùng lưu trữ được phân tách độc lập về lôgic; trong khi đó, đối với hệ thống cấp độ 4 hoặc cấp độ 5, thiết kế phải bảo đảm tách riêng, độc lập với các hệ thống khác về vật lý, phân vùng lưu trữ phân tách độc lập về vật lý và các thiết bị mạng chính phải được phân tách độc lập về vật lý [12].
Để hiểu rõ ý nghĩa kinh tế của quy định này, cần làm rõ hai khái niệm kỹ thuật. Phân tách lôgic (logical separation) là việc cô lập các hệ thống với nhau bằng phần mềm trên cùng một hạ tầng phần cứng dùng chung, thông qua công nghệ ảo hóa (virtualization) – tức tạo ra nhiều “máy chủ ảo” độc lập chạy trên cùng một máy chủ vật lý – và phân vùng mạng ảo. Đây chính là mô hình vận hành của điện toán đám mây công cộng, cho phép nhiều khách hàng chia sẻ chi phí hạ tầng, nhờ đó giá thành dịch vụ thấp và khả năng mở rộng gần như không giới hạn. Ngược lại, phân tách vật lý (physical separation) đòi hỏi máy chủ, thiết bị mạng và hệ thống lưu trữ là những thiết bị phần cứng riêng biệt, dành riêng cho một hệ thống duy nhất, không chia sẻ với bất kỳ hệ thống nào khác. Yêu cầu này loại trừ hoàn toàn khả năng sử dụng dịch vụ đám mây công cộng theo mô hình dùng chung, buộc chủ quản hệ thống phải thuê hạ tầng chuyên dụng (dedicated infrastructure) hoặc tự đầu tư, kéo theo chi phí đầu tư ban đầu, chi phí vận hành liên tục và chi phí nhân sự chuyên trách tăng gấp nhiều lần.
Bên cạnh đó, Nghị định số 85/2016/NĐ-CP yêu cầu phương án bảo đảm an toàn thông tin của hệ thống cấp độ 4, 5 phải được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần bị mất an toàn [6], yêu cầu về kiến trúc dự phòng toàn hệ thống kéo theo chi phí nhân đôi hạ tầng. Xét trên nguyên lý quản trị rủi ro, mức đầu tư bảo mật hợp lý phải tương xứng với rủi ro được phòng ngừa, đo bằng tích số giữa xác suất xảy ra sự cố và mức độ thiệt hại. Việc nâng cơ sở dữ liệu công chứng từ cấp độ 3 lên cấp độ 4 làm chi phí tăng phi tuyến tính trong khi lợi ích bảo mật biên không tương xứng, bởi hậu quả tiềm tàng của sự cố đối với hệ thống này, dù nghiêm trọng không đạt tới ngưỡng tổn hại quốc phòng, an ninh quốc gia mà cấp độ 4, 5 được thiết kế để phòng ngừa. Lựa chọn cấp độ 3 do đó phản ánh đúng nguyên tắc phân bổ nguồn lực theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp được ghi nhận tại Điều 4 Nghị định số 85/2016/NĐ-CP [6], đồng thời bảo toàn khả năng tận dụng hạ tầng đám mây đạt chuẩn theo đúng định hướng “ưu tiên hình thức thuê dịch vụ chuyên nghiệp” của Quyết định số 942/QĐ-TTg [2], phương án triển khai khả thi nhất về tiến độ và ngân sách đối với một hệ thống phải vận hành đồng bộ trên phạm vi toàn quốc từ ngày 01/7/2025.
Lợi ích của cơ chế tự chủ, tự chịu trách nhiệm trong lưu trữ của tổ chức hành nghề công chứng. Đối với hoạt động lưu trữ của hơn 1.500 tổ chức hành nghề công chứng trên cả nước hiện nay, nhà lập pháp đã lựa chọn cơ chế trao quyền tự chủ gắn với tự chịu trách nhiệm thay vì quy định cứng một mức cấp độ bảo mật bắt buộc đối với dịch vụ đám mây mà tổ chức thuê. Lựa chọn này mang lại ba nhóm lợi ích.
Một là, tránh nguy cơ lỗi thời pháp lý. Quy phạm dựa trên kết quả (“bảo đảm an toàn, bảo mật theo quy định của pháp luật”) có khả năng thích ứng với tiến bộ công nghệ, trong khi quy phạm dựa trên phương tiện (ấn định một tiêu chuẩn kỹ thuật hoặc danh mục nhà cung cấp cụ thể) có thể trở nên lạc hậu chỉ sau vài năm, trong khi quy trình sửa đổi nghị định kéo dài. Đây là kỹ thuật lập pháp dựa trên nguyên tắc trung lập công nghệ (technology neutrality) được áp dụng phổ biến trong pháp luật về giao dịch điện tử, mà Luật Giao dịch điện tử năm 2023 của Việt Nam cũng theo đuổi [13].
Hai là, phù hợp với sự phân hóa năng lực trong ngành. Các tổ chức hành nghề công chứng có quy mô và năng lực tài chính rất khác nhau, từ văn phòng lớn tại đô thị đến văn phòng chỉ có vài nhân sự tại địa bàn khó khăn. Một mức sàn kỹ thuật cứng áp dụng đồng loạt cho hơn 1.500 tổ chức sẽ hoặc tạo gánh nặng chi phí bất hợp lý cho nhóm yếu thế, hoặc đặt họ vào tình trạng vi phạm bất khả kháng, từ đó thu hẹp khả năng tiếp cận dịch vụ công chứng của người dân ngoài đô thị – đi ngược mục tiêu xã hội hóa hoạt động công chứng và mục tiêu phổ cập dịch vụ số đến mọi người dân của Chương trình Chuyển đổi số quốc gia [1].
Ba là, xác lập cơ chế trách nhiệm minh bạch và khuyến khích tuân thủ thực chất. Khi Nhà nước ấn định một tiêu chuẩn hoặc danh mục dịch vụ “được phép”, trách nhiệm pháp lý khi xảy ra sự cố tại nhà cung cấp đã được “chứng nhận” trở nên phức tạp và có nguy cơ chuyển dịch một phần về phía Nhà nước. Ngược lại, cơ chế tự chủ – tự chịu trách nhiệm quy trách nhiệm trọn vẹn cho tổ chức hành nghề công chứng, tạo động lực kinh tế trực tiếp để chủ thể này lựa chọn giải pháp bảo mật thực chất (chẳng hạn mã hóa dữ liệu trước khi sao lưu) thay vì tuân thủ hình thức một danh mục hành chính.
Một số kiến nghị
Thứ nhất, cơ quan quản lý nhà nước về công chứng (Bộ Tư pháp) phối hợp với Bộ Công an và Bộ Khoa học và Công nghệ nghiên cứu ban hành văn bản hướng dẫn hoặc bộ khuyến nghị thực hành tốt (best practices) về lưu trữ điện tử và sao lưu dữ liệu hồ sơ công chứng, trong đó làm rõ: (i) ranh giới giữa bản lưu trữ chính thức và bản sao lưu dự phòng; (ii) các biện pháp kỹ thuật tối thiểu được khuyến nghị khi sử dụng dịch vụ đám mây, đặc biệt là mã hóa dữ liệu phía người dùng (client-side encryption) trước khi tải lên – tức là dữ liệu được mã hóa ngay tại thiết bị của tổ chức hành nghề bằng khóa do chính tổ chức nắm giữ, khiến nhà cung cấp dịch vụ đám mây dù lưu trữ dữ liệu cũng không thể đọc được nội dung; (iii) trách nhiệm của tổ chức hành nghề công chứng khi xảy ra sự cố lộ, mất dữ liệu.
Thứ hai, trong quá trình tổ chức thi hành Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP, cơ quan có thẩm quyền cần ban hành hướng dẫn làm rõ địa vị pháp lý của hành vi sử dụng dịch vụ lưu trữ đám mây có hạ tầng phân tán xuyên biên giới, phân biệt với hành vi chuyển giao dữ liệu cho bên thứ ba xử lý, nhằm khắc phục vùng xám pháp lý hiện nay và bảo đảm tính khả thi của quy định trong môi trường số, phù hợp với định hướng phát triển kinh tế số và xã hội số của Quyết định số 749/QĐ-TTg.
Thứ ba, khuyến nghị các tổ chức hành nghề công chứng, trên cơ sở quyền tự chủ được pháp luật ghi nhận, chủ động áp dụng biện pháp mã hóa dữ liệu trước khi sao lưu lên dịch vụ đám mây và ưu tiên cân nhắc các nhà cung cấp dịch vụ đám mây có hạ tầng tại Việt Nam đã được xác nhận đáp ứng cấp độ an toàn thông tin phù hợp, nhằm giảm thiểu rủi ro pháp lý và rủi ro kỹ thuật, dù đây là khuyến nghị thực tiễn chứ không phải nghĩa vụ pháp lý bắt buộc theo quy định hiện hành.
Phân tích các quy định của pháp luật công chứng trong bối cảnh thực hiện chủ trương chuyển đổi số quốc gia theo Quyết định số 749/QĐ-TTg và Quyết định số 942/QĐ-TTg cho thấy chưa có cơ sở pháp lý để khẳng định việc sao lưu hồ sơ công chứng đã số hóa trên các nền tảng điện toán đám mây có hạ tầng đặt ngoài lãnh thổ Việt Nam là hành vi vi phạm pháp luật. Pháp luật hiện hành không cấm việc sử dụng dịch vụ lưu trữ đám mây mà lựa chọn cách tiếp cận dựa trên yêu cầu về kết quả cần đạt được, trao quyền tự chủ cho tổ chức hành nghề công chứng trong việc lựa chọn giải pháp lưu trữ, với điều kiện bảo đảm tính toàn vẹn, an toàn và bảo mật của dữ liệu. Cách tiếp cận này phù hợp với định hướng phát triển hạ tầng số và ưu tiên thuê dịch vụ điện toán đám mây chuyên nghiệp mà Nhà nước đã xác lập đối với quá trình xây dựng Chính phủ số.
Bên cạnh đó, yêu cầu bảo đảm an toàn thông tin từ cấp độ 3 trở lên được pháp luật đặt ra đối với cơ sở dữ liệu công chứng và nền tảng công chứng điện tử, không phải đối với các hệ thống lưu trữ hoặc sao lưu nội bộ của từng tổ chức hành nghề công chứng. Các lập luận dựa trên vị trí đặt máy chủ hoặc giả định về mức độ bảo mật của dịch vụ điện toán đám mây vì vậy không đủ để làm căn cứ xác định hành vi vi phạm pháp luật.
Từ góc độ chính sách, việc xác định cơ sở dữ liệu công chứng ở cấp độ an toàn thông tin cấp độ 3 và trao quyền tự chủ lưu trữ cho các tổ chức hành nghề công chứng là lựa chọn hợp lý, vừa bảo đảm phù hợp với tiêu chí phân loại hệ thống thông tin theo pháp luật hiện hành, vừa cân bằng giữa yêu cầu bảo vệ dữ liệu với tính khả thi về nguồn lực và chi phí triển khai. Trong thời gian tới, hướng hoàn thiện pháp luật nên tập trung vào việc làm rõ các vấn đề còn có nhiều cách hiểu trong thực tiễn và xây dựng các hướng dẫn kỹ thuật, hướng dẫn thực hành tốt về lưu trữ điện tử, thay vì áp đặt các quy định cứng về phương tiện hoặc hạ tầng lưu trữ. Cách tiếp cận này sẽ góp phần nâng cao hiệu quả tuân thủ pháp luật, đồng thời thúc đẩy quá trình chuyển đổi số trong lĩnh vực công chứng theo đúng định hướng của quốc gia.
Minh Anh
Tài liệu tham khảo
[1] Thủ tướng Chính phủ (2020), Quyết định số 749/QĐ-TTg ngày 03/6/2020 phê duyệt “Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030”.
[2] Thủ tướng Chính phủ (2021), Quyết định số 942/QĐ-TTg ngày 15/6/2021 phê duyệt Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021 – 2025, định hướng đến năm 2030.
[3] Quốc hội (2024), Luật Công chứng số 46/2024/QH15 ngày 26/11/2024, có hiệu lực từ ngày 01/7/2025.
[4] Chính phủ (2025), Nghị định số 104/2025/NĐ-CP ngày 15/5/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Công chứng, có hiệu lực từ ngày 01/7/2025.
[5] Quốc hội (2015), Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015.
[6] Chính phủ (2016), Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
[7] Quốc hội (2013), Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam ngày 28/11/2013.
[8] Quốc hội (2015), Bộ luật Dân sự số 91/2015/QH13 ngày 24/11/2015.
[9] Chính phủ (2023), Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân (hết hiệu lực từ ngày 01/01/2026, được thay thế bởi Nghị định số 356/2025/NĐ-CP).
[10] Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01/01/2026.
[11] Chính phủ (2025), Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/01/2026.
[12] Bộ Thông tin và Truyền thông (2022), Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
[13] Quốc hội (2023), Luật Giao dịch điện tử số 20/2023/QH15 ngày 22/6/2023.