Sovereign Cloud - Đám mây chủ quyền là gì? Và vì sao doanh nghiệp hoạt động tại Việt Nam nên quan tâm từ bây giờ?

Bài chia sẻ của Nguyễn Đạt - MRE (Market Research Expert) tại VNPT Cloud.

Nếu tìm hiểu nhanh, nhiều người sẽ nghĩ sovereign cloud chỉ đơn giản là “dùng cloud đặt trong nước”. Nhưng nếu hiểu như vậy thì vẫn còn thiếu một nửa bức tranh. Điều làm sovereign cloud trở nên đáng bàn không chỉ là vị trí của data center, mà là quyền kiểm soát: dữ liệu chịu khung pháp lý nào, đội ngũ nào được phép vận hành, metadata có rời khỏi phạm vi kiểm soát hay không, khóa mã hóa do ai nắm, và doanh nghiệp có thể audit, chứng minh, giới hạn truy cập ở mức nào.

AWS khi giới thiệu AWS European Sovereign Cloud đã mô tả đây là một “independent cloud for Europe” phục vụ khu vực công và các ngành chịu quản lý chặt, với mục tiêu đáp ứng nhu cầu sovereignty và compliance ngày càng cao; đồng thời nhấn mạnh dữ liệu và cả metadata khách hàng được giữ trong phạm vi EU, dưới sự vận hành của các pháp nhân châu Âu chuyên trách.

Nói ngắn gọn, nếu data residency chỉ trả lời câu hỏi “dữ liệu đang ở đâu”, thì sovereign cloud đi xa hơn, trả lời thêm các câu hỏi “ai đang kiểm soát môi trường đó”, “quyền truy cập được tổ chức thế nào”, và “khi cần chứng minh tuân thủ, doanh nghiệp có đủ bằng chứng và cơ chế kỹ thuật hay không”. Vì vậy, sovereign cloud không nên được hiểu là một khẩu hiệu mang tính địa chính trị, mà là một cách thiết kế hạ tầng để giảm rủi ro pháp lý, vận hành và quản trị dữ liệu.

Vì sao chủ đề này trở nên đặc biệt đáng quan tâm ở Việt Nam?

Với Việt Nam, sovereign cloud bắt đầu có ý nghĩa rõ hơn từ khi khung pháp lý về dữ liệu được hoàn thiện nhanh trong giai đoạn 2024–2026. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 có hiệu lực từ ngày 1/1/2026; luật này áp dụng không chỉ với cơ quan, tổ chức và cá nhân Việt Nam, mà còn với tổ chức, cá nhân nước ngoài tại Việt Nam, cũng như các tổ chức nước ngoài trực tiếp tham gia hoặc liên quan đến việc xử lý dữ liệu cá nhân của công dân Việt Nam và một số chủ thể dữ liệu liên quan tại Việt Nam. Đồng thời, Nghị định 356/2025/NĐ-CP có hiệu lực cùng ngày, thay thế Nghị định 13 trước đây và hướng dẫn chi tiết việc thực thi luật mới. Song song với đó, Luật Dữ liệu số 60/2024/QH15 đã tạo thêm một lớp pháp lý riêng cho hoạt động xây dựng, phát triển, bảo vệ, quản trị, xử lý và sử dụng dữ liệu, bao gồm cả National Data Center và dịch vụ dữ liệu.

Điều này khiến câu chuyện cloud tại Việt Nam không còn dừng ở “dùng cloud nào rẻ hơn” hoặc “dịch vụ nào quen tay hơn”. Với nhiều doanh nghiệp, đặc biệt là các tổ chức xử lý dữ liệu khách hàng, dữ liệu nhân sự, dữ liệu giao dịch hoặc dữ liệu vận hành nhạy cảm, câu hỏi bây giờ là: mô hình cloud hiện tại có đủ khả năng chứng minh tuân thủ hay chưa?

Theo phân tích của Baker McKenzie, luật mới của Việt Nam dùng khái niệm cross-border personal data transfer với phạm vi khá rộng, bao gồm cả trường hợp dữ liệu lưu ở Việt Nam nhưng được chuyển cho thực thể nước ngoài hoặc được xử lý trên nền tảng bên ngoài. Cũng theo Baker McKenzie (đơn vị cung cấp tư vấn pháp lý đa quốc gia), khung an ninh mạng của Việt Nam từ trước đã đặt ra yêu cầu lưu trữ trong nước trong một số trường hợp nhất định đối với một số loại dịch vụ xuyên biên giới, dù phạm vi này đã được nghị định hướng dẫn thu hẹp hơn so với cách hiểu ban đầu của luật.

Đây không chỉ là câu chuyện của doanh nghiệp Việt

Một điểm rất quan trọng là sovereign cloud không phải bài toán riêng của cơ quan nhà nước hay doanh nghiệp nội địa. Trong bối cảnh Việt Nam là cứ điểm sản xuất, bán lẻ, logistics và dịch vụ ngày càng lớn của khu vực, rất nhiều doanh nghiệp FDI hoặc tập đoàn đa quốc gia đang phải vận hành cùng lúc hai lớp yêu cầu: một bên là tiêu chuẩn nội bộ hoặc kiến trúc hệ thống toàn cầu, bên còn lại là yêu cầu tuân thủ dữ liệu tại Việt Nam. Khi đó, vấn đề không còn là “có nên dùng hyperscaler hay không”, mà là workload nào có thể đặt ở đâu, dữ liệu nào được phép đi qua đâu, ai giữ quyền quản trị, và hồ sơ tuân thủ sẽ được chuẩn bị theo mô hình nào. Việc Luật Bảo vệ dữ liệu cá nhân của Việt Nam có phạm vi áp dụng cả với một số tổ chức nước ngoài liên quan tới dữ liệu của công dân Việt Nam khiến bài toán này càng không thể xem nhẹ.

Nói cách khác, sovereign cloud ở Việt Nam sẽ đặc biệt đáng quan tâm với 04 nhóm:

• Thứ nhất là các ngành được quản lý chặt như tài chính, ngân hàng, bảo hiểm, y tế, viễn thông.
• Thứ hai là các doanh nghiệp B2C, nền tảng số, thương mại điện tử, giáo dục, bán lẻ - nơi dữ liệu người dùng rất lớn và biến động liên tục.
• Thứ ba là các tập đoàn đa quốc gia đang vận hành ERP, CRM, HR, analytics hoặc nhà máy thông minh tại Việt Nam.
• Thứ tư là các doanh nghiệp cung cấp hạ tầng số, dịch vụ công nghệ, hoặc làm việc với khách hàng yêu cầu cao về audit, log, phân quyền và lưu trữ trong nước.

Đây là những nhóm mà cloud không còn chỉ là hạ tầng, mà trở thành một phần của mô hình quản trị rủi ro.

Việt Nam đã đủ bối cảnh thị trường để sovereign cloud trở thành một chủ đề thực tế

Nếu cách đây vài năm, sovereign cloud ở Việt Nam còn có thể bị xem là một ý tưởng “đẹp nhưng khó làm”, thì hiện nay bối cảnh thị trường đã khác. Theo thông tin được cơ quan quản lý nhà nước công bố, thị trường data center Việt Nam được định giá khoảng 654 triệu USD trong năm 2024 và có thể đạt 1,75 tỷ USD vào năm 2030, với tốc độ tăng trưởng kép gần 17,93%. Điều đó rất quan trọng, vì sovereignty chỉ thật sự có ý nghĩa khi trong nước có năng lực hạ tầng đủ lớn để doanh nghiệp có lựa chọn triển khai, sao lưu, phục hồi và vận hành thay vì chỉ nói về nguyên tắc. Sovereign cloud vì thế không còn là chuyện “liệu Việt Nam có làm được không”, mà đang dần chuyển thành câu hỏi “nên triển khai theo mô hình nào cho phù hợp”.

Ở chiều ngược lại, sự phát triển nhanh của hạ tầng data center cũng khiến doanh nghiệp khó ra quyết định hơn nếu chỉ nhìn từ góc độ giá. Một gói cloud có chi phí hấp dẫn nhưng không trả lời rõ được câu chuyện quyền truy cập quản trị, vị trí sao lưu, quy trình xử lý sự cố, hoặc hỗ trợ hồ sơ đánh giá tác động xử lý dữ liệu, có thể khiến doanh nghiệp phải trả giá ở giai đoạn kiểm toán, thanh tra hoặc xử lý sự cố. Với những ngành xử lý dữ liệu nhạy cảm, khoản “chi phí vô hình” này đôi khi còn lớn hơn phần chênh lệch hạ tầng. Đây chính là lý do sovereign cloud đang trở thành ngôn ngữ chung giữa đội công nghệ, pháp chế, an ninh thông tin và ban điều hành.

Sovereign cloud khác gì với việc chỉ “đặt server ở Việt Nam”?

Đây là chỗ nhiều doanh nghiệp dễ nhầm nhất. Đặt workload trong data center tại Việt Nam là một bước đi quan trọng, nhưng chưa đủ để gọi là sovereign cloud. Một mô hình cloud chỉ thực sự tiệm cận sovereignty khi doanh nghiệp có thể làm rõ ít nhất ba lớp.

Lớp thứ nhất là lưu trú dữ liệu: dữ liệu chính, dữ liệu sao lưu, log, snapshot và metadata quan trọng có nằm trong phạm vi mà doanh nghiệp chấp nhận hay không. AWS khi mô tả European Sovereign Cloud không chỉ nói đến customer content, mà còn nhấn mạnh cả metadata như roles, permissions, resource tags và configurations cũng được giữ trong EU. Điều này cho thấy sovereignty không chỉ là nơi đặt file dữ liệu, mà còn là nơi tồn tại dấu vết vận hành của cả hệ thống.

Lớp thứ hai là vận hành và truy cập: ai được quyền truy cập hạ tầng, đội nào vận hành, cơ chế phân quyền và giám sát có đủ chặt không. Luật Bảo vệ dữ liệu cá nhân của Việt Nam yêu cầu bên kiểm soát và bên xử lý dữ liệu phải triển khai biện pháp quản lý và kỹ thuật phù hợp để bảo vệ dữ liệu, lựa chọn bên xử lý phù hợp, ngăn chặn việc thu thập trái phép từ hệ thống, thiết bị và dịch vụ của mình, đồng thời phối hợp với cơ quan nhà nước có thẩm quyền khi cần. Nếu nhà cung cấp cloud không hỗ trợ doanh nghiệp kiểm soát tốt lớp này, thì chỉ riêng việc “đặt máy trong nước” vẫn chưa giải quyết được bài toán governance.

Lớp thứ ba là chứng minh tuân thủ: khi doanh nghiệp phải làm impact assessment, đối chiếu hợp đồng xử lý dữ liệu, truy xuất log truy cập, mô tả luồng dữ liệu xuyên biên giới hoặc trả lời yêu cầu kiểm toán, họ có lấy được bằng chứng từ nền tảng cloud hay không. Nghị định 356/2025/NĐ-CP và các phân tích pháp lý gần đây cho thấy lớp vận hành thực thi, đánh giá tác động và chuyển dữ liệu xuyên biên giới tại Việt Nam đang được nhìn chặt hơn, chứ không còn là phần phụ trong hợp đồng IT. Vì vậy, sovereign cloud trên thực tế là bài toán về auditability không kém gì bài toán về vị trí đặt hạ tầng.

Doanh nghiệp tại Việt Nam nên tiếp cận vấn đề này như thế nào?

Theo tôi, cách tiếp cận thực tế nhất không phải là cực đoan theo kiểu “mọi thứ phải đưa về trong nước” hoặc ngược lại “vẫn giữ nguyên kiến trúc toàn cầu vì cloud là không biên giới”. Phù hợp hơn là chia theo lớp dữ liệu và workload.

Với dữ liệu khách hàng nhạy cảm, dữ liệu giao dịch, dữ liệu nhận dạng, dữ liệu nhân sự hoặc các hệ thống nằm trong quy trình phải chứng minh tuân thủ, doanh nghiệp nên ưu tiên mô hình có khả năng kiểm soát địa điểm lưu trữ, truy cập quản trị, log và sao lưu ở mức rõ ràng hơn. Với các workload ít nhạy cảm hơn, hoặc hệ thống cần tận dụng hệ sinh thái toàn cầu, mô hình hybrid hoặc kiến trúc phân tầng có thể hợp lý hơn. Đây là cách nhiều tổ chức regulated trên thế giới đang đi theo: không xem sovereignty là “tách khỏi cloud”, mà là thiết kế cloud thông minh hơn theo mức độ nhạy cảm của dữ liệu.

Với doanh nghiệp FDI tại Việt Nam, câu hỏi quan trọng không phải là “có được dùng cloud toàn cầu hay không”, mà là “phần nào của kiến trúc toàn cầu cần được nội địa hóa hoặc kiểm soát chặt hơn khi hoạt động tại Việt Nam”. Nếu vẫn muốn chạy ERP, CRM, HR, analytics hoặc AI trên nhiều khu vực, doanh nghiệp nên sớm làm rõ: dữ liệu nào bắt buộc tách riêng, transfer path nào cần đánh giá tác động, và nhà cung cấp cloud nào có thể hỗ trợ mô hình vận hành, pháp lý và báo cáo phù hợp với thực tế Việt Nam. Trong nhiều trường hợp, đây không phải bài toán kỹ thuật đơn lẻ, mà là bài toán phối hợp giữa IT, security, legal, compliance và procurement.

Khi làm việc với nhà cung cấp cloud tại Việt Nam, doanh nghiệp nên hỏi gì?

Thay vì hỏi chung chung “có data center ở Việt Nam không?”, doanh nghiệp nên đi sâu hơn vào những câu hỏi thực tế hơn. Ví dụ: dữ liệu chính, backup, snapshot và log nằm ở đâu; metadata có rời khỏi phạm vi mong muốn không; ai là đơn vị vận hành; quyền quản trị được phân tách thế nào; khóa mã hóa do ai giữ; có hỗ trợ audit trail và xuất chứng cứ kỹ thuật khi kiểm toán không; có hỗ trợ impact assessment hoặc hồ sơ phục vụ chuyển dữ liệu xuyên biên giới không; quy trình phản ứng sự cố, thông báo vi phạm và phối hợp với cơ quan chức năng được thiết kế ra sao. Những câu hỏi này nghe có vẻ chi tiết, nhưng chính chúng mới quyết định một nền tảng cloud có thực sự phù hợp với yêu cầu sovereignty hay không.

Kết luận

Sovereign cloud không phải là một trào lưu nhất thời, càng không chỉ là khái niệm dành cho các chính phủ châu Âu. Với Việt Nam, đây đang dần trở thành một bài toán rất thực tế của doanh nghiệp số: làm sao vừa tận dụng được cloud để tăng tốc, vừa giữ quyền kiểm soát đủ sâu đối với dữ liệu, truy cập, compliance và vận hành. Khi khung pháp lý về dữ liệu cá nhân và dữ liệu số đã bước sang giai đoạn mới từ năm 2026, câu hỏi “cloud nào nhanh hơn, rẻ hơn” vẫn quan trọng, nhưng không còn đủ nữa. Câu hỏi lớn hơn là: cloud đó có giúp doanh nghiệp kiểm soát dữ liệu theo cách mà thị trường và pháp luật hiện nay đang đòi hỏi hay không.

Nếu phải gói lại trong một câu, tôi sẽ nói thế này: trong bối cảnh Việt Nam hiện nay, sovereign cloud không phải là câu chuyện “đặt server ở đâu”, mà là câu chuyện “doanh nghiệp có làm chủ được dữ liệu của mình đến đâu”. Và đó là một câu hỏi đủ lớn để mọi CIO, CTO, CISO, bộ phận pháp chế và ban điều hành nên bắt đầu trả lời từ bây giờ.

Lưu ý: Bài viết này mang tính phân tích thị trường và công nghệ của cá nhân tôi, không thay thế tư vấn pháp lý cụ thể cho từng doanh nghiệp.

Bài viết này có tham khảo thông tin từ https://aws.amazon.com/; https://connectontech.bakermckenzie.com/; https://connectontech.bakermckenzie.com/; https://mic.gov.vn/; https://luatvietnam.vn/; https://www.frasersvn.com/; https://connectontech.bakermckenzie.com/;  https://www.dlapiper.com/; https://www.reuters.com/; Và các hình minh hoạt có sử dụng AI.