Quy định bảo vệ dữ liệu của EU (GDPR) có hiệu lực từ ngày 12 tháng 9 năm 2025 và có hiệu lực ngoài lãnh thổ. Bất kỳ nhà sản xuất nào đưa sản phẩm kết nối ra thị trường EU, bất kể công ty đó có trụ sở tại EU hay không, đều phải tuân thủ GDPR. GDPR đặt ra các yêu cầu tuân thủ nghiêm ngặt đối với các nhà sản xuất trong các lĩnh vực như truy cập dữ liệu, chia sẻ dữ liệu và thiết kế sản phẩm .

I. Phạm vi áp dụng

1. Các môn học áp dụng

Luật này có hiệu lực ngoài lãnh thổ; bất kể công ty đặt trụ sở ở đâu, bất kỳ thực thể nào cung cấp sản phẩm kết nối, dịch vụ liên quan hoặc dịch vụ xử lý dữ liệu cho thị trường EU đều phải tuân thủ các quy định của luật này. Điều này đặc biệt bao gồm các nhà sản xuất thiết bị IoT, nhà cung cấp dịch vụ đám mây , người nhận dữ liệu và cả các tổ chức thuộc khu vực công của EU cần truy cập dữ liệu. Tuy nhiên, các doanh nghiệp vừa và nhỏ được miễn trừ một số nghĩa vụ chia sẻ dữ liệu.

2. Các đối tượng áp dụng

Trọng tâm là dữ liệu được tạo ra bởi các sản phẩm kết nối và các dịch vụ liên quan, điều chỉnh cả dữ liệu cá nhân và, quan trọng hơn, dữ liệu phi cá nhân, chẳng hạn như dữ liệu vận hành thiết bị công nghiệp và dữ liệu hiệu suất xe cộ. Sản phẩm kết nối là những sản phẩm có thể thu thập và truyền tải dữ liệu sử dụng hoặc dữ liệu môi trường, chẳng hạn như thiết bị gia dụng thông minh và máy móc công nghiệp; dịch vụ liên quan là các dịch vụ kỹ thuật số trao đổi dữ liệu hai chiều với các sản phẩm kết nối và ảnh hưởng đến chức năng của chúng, chẳng hạn như các ứng dụng điều chỉnh độ sáng của đèn thông minh.

II. Nội dung cốt lõi về tuân thủ

1. Tăng cường khả năng kiểm soát dữ liệu người dùng

Từ ngày 12 tháng 9 năm 2026, các sản phẩm kết nối và dịch vụ liên quan phải được thiết kế để cung cấp quyền truy cập dữ liệu cho người dùng EU theo mặc định. Người dùng có thể truy cập dữ liệu có cấu trúc, có thể đọc được bằng máy một cách tự do, thuận tiện và an toàn, đồng thời có thể ủy quyền cho bên thứ ba chia sẻ dữ liệu, ngoại trừ các nền tảng lớn được chỉ định là "người gác cổng" theo Đạo luật Thị trường Kỹ thuật số. Việc truy cập và chia sẻ dữ liệu hoàn toàn miễn phí trong các kịch bản B2C, trong khi các chủ sở hữu dữ liệu có thể tính phí hợp lý trong các kịch bản B2B. Hơn nữa, các chủ sở hữu dữ liệu chỉ cần chia sẻ dữ liệu thô và dữ liệu đã được xử lý sơ bộ; dữ liệu phái sinh sau khi xử lý rộng rãi không cần phải được chia sẻ.

2. Quy tắc truy cập dữ liệu khu vực công

Trong các tình huống khẩn cấp hoặc khi thực hiện các nhiệm vụ theo luật định, các cơ quan công quyền có thể yêu cầu người nắm giữ dữ liệu cung cấp dữ liệu cần thiết miễn phí (dữ liệu cá nhân phải được ẩn danh); trong các tình huống không khẩn cấp, người nắm giữ dữ liệu có thể yêu cầu bồi thường tương đương với chi phí thực tế. Hơn nữa, các cơ quan công quyền không được phép sử dụng lại dữ liệu mà họ thu được, ngoại trừ trong các nghiên cứu khoa học.

3. Yêu cầu về chuyển đổi dịch vụ đám mây và khả năng tương tác

Các nhà cung cấp dịch vụ xử lý dữ liệu phải loại bỏ mọi trở ngại đối với việc chuyển đổi sang dịch vụ đám mây . Sau ngày 12 tháng 1 năm 2027 , việc chuyển đổi phải miễn phí và hoàn tất trong vòng 30 ngày dương lịch, đồng thời đảm bảo tính toàn vẹn và tương thích của dữ liệu; trước thời điểm đó , chỉ được phép tính phí dựa trên chi phí thực tế. Ủy ban Châu Âu cũng sẽ thúc đẩy việc phát triển các tiêu chuẩn thống nhất về khả năng tương tác của dịch vụ đám mây để giúp điều chỉnh hành vi của ngành.

4. Hạn chế chuyển dữ liệu xuyên biên giới

Các doanh nghiệp cần áp dụng nhiều biện pháp, bao gồm công nghệ và hợp đồng, để ngăn chặn việc chuyển giao trái phép dữ liệu phi cá nhân sang các quốc gia không thuộc EU hoặc EEA. Việc chuyển giao dữ liệu sang các nước thứ ba chỉ được phép trong những điều kiện cụ thể, chẳng hạn như ký kết hiệp ước hỗ trợ tư pháp, và việc chuyển giao phải được giữ ở mức tối thiểu.

5. Quyền và trách nhiệm của chủ thể dữ liệu và các quy định hợp đồng

Quyền sở hữu dữ liệu phụ thuộc vào quyền kiểm soát dữ liệu, chứ không phải quyền sản xuất phần cứng; nhà sản xuất không nhất thiết phải là người nắm giữ dữ liệu. Các doanh nghiệp có thể xác định trách nhiệm về dữ liệu trong chuỗi cung ứng thông qua hợp đồng. Dự luật cũng đưa ra quy trình kiểm tra tính công bằng, cấm các điều khoản hợp đồng không công bằng và sẽ giới thiệu các điều khoản hợp đồng mẫu để giải quyết tranh chấp hợp đồng chia sẻ dữ liệu và bảo vệ quyền lợi của các doanh nghiệp vừa và nhỏ (SMEs ).

III. Hình phạt và các cơ quan thực thi đối với hành vi vi phạm

1. Hình phạt nghiêm khắc

Vi phạm các nghĩa vụ cốt lõi, chẳng hạn như từ chối chia sẻ dữ liệu tuân thủ hoặc cản trở việc chuyển đổi dịch vụ đám mây , có thể bị phạt tới 4% doanh thu toàn cầu hàng năm hoặc 20 triệu euro . Các quốc gia thành viên cũng sẽ xây dựng và ban hành các quy định xử phạt chi tiết.

2. Triển khai theo từng giai đoạn

IV. Phối hợp với các luật và quy định có liên quan và tác động thực tế

1. Sự phối hợp và bổ sung lẫn nhau về mặt pháp lý

Luật này bổ sung cho GDPR; nếu hai luật này mâu thuẫn về các điều khoản liên quan đến dữ liệu cá nhân, GDPR và luật bảo vệ dữ liệu cá nhân hiện hành của các quốc gia thành viên sẽ được ưu tiên áp dụng. Luật này cũng khắc phục những thiếu sót của Đạo luật Quản trị Dữ liệu, vốn thiết lập các quy tắc cứng nhắc về việc truy cập và chia sẻ dữ liệu, trong khi luật kia điều chỉnh các quy trình chia sẻ dữ liệu tự nguyện, cùng nhau thúc đẩy sự phát triển của Thị trường Dữ liệu Thống nhất EU.

2. Tác động đến ngành công nghiệp

điện toán đám mây có tác động sâu sắc nhất đến các ngành công nghiệp IoT như ô tô thông minh và nhà thông minh . Một mặt, các nhà sản xuất cần phải tái cấu trúc giao diện dữ liệu sản phẩm và hệ thống kiểm soát truy cập, và các nhà cung cấp dịch vụ đám mây cần nâng cấp công nghệ của họ để đáp ứng các yêu cầu chuyển đổi, làm tăng chi phí tuân thủ . Mặt khác, việc chuẩn hóa lưu thông dữ liệu cũng đã tạo ra một sân chơi bình đẳng cho các ngành như sửa chữa và dịch vụ giá trị gia tăng, phá vỡ thế độc quyền dữ liệu của một số công ty.

3. Những thách thức đối với các công ty khi vươn ra toàn cầu

Các công ty Trung Quốc mở rộng ra nước ngoài trong các lĩnh vực như Internet vạn vật (IoT) và điện toán đám mây cần phải xem xét kỹ lưỡng thiết kế sản phẩm và khung hợp đồng trước khi đưa ra quyết định, xác định rõ ràng sự phân chia quyền và trách nhiệm về dữ liệu, và thiết lập các cơ chế phản hồi đối với việc truy cập và chia sẻ dữ liệu. Họ cũng phải tuân thủ các quy định như GDPR để tránh bị phạt do sơ suất tuân thủ và đảm bảo hoạt động bình thường tại thị trường EU .

4. Các yêu cầu của Amazon liên quan đến luật dữ liệu

chính thức có hiệu lực vào ngày 12 tháng 9 năm 2025. Vào ngày 27 tháng 11, Amazon đã thông báo về một cuộc kiểm toán tuân thủ quy mô lớn nhắm vào tất cả người bán thiết bị kết nối có khả năng tạo, thu thập và truyền dữ liệu. Yêu cầu cốt lõi là phải nộp một bản tuyên bố minh bạch dữ liệu bằng PDF đa ngôn ngữ chứa tám yếu tố chính. Nếu một sản phẩm không tuân thủ các yêu cầu của GDPR, Amazon sẽ tạm ngừng bán sản phẩm đó và loại bỏ nó khỏi chương trình Amazon Invoice. Nếu người bán bị Amazon phát hiện vi phạm luật, họ có thể phải đối mặt với mức phạt lên tới 20 triệu euro hoặc 4% doanh thu hàng năm toàn cầu của họ.

Chi tiết như sau:

Khả năng phát hiện và chứng nhận an ninh mạng của BACL :

Tiêu chuẩn chung (CC)

ISO/IEC 15408, hay chứng nhận CC, là một tiêu chuẩn cấp cao được quốc tế công nhận về chứng nhận an ninh mạng, được thiết kế để đảm bảo hiệu suất bảo mật của các hệ thống thông tin, sản phẩm và dịch vụ đạt mức độ được quốc tế công nhận. BACL, với tư cách là một tổ chức đánh giá CC được ủy quyền, có hơn 10 năm kinh nghiệm chuyên sâu.

Tiêu chuẩn an ninh Internet vạn vật ( IoT )

• EN 18031/EN 301 549

• ETSI/EN 303 645

• Chứng chỉ đủ điều kiện IECEE CB

• Chứng chỉ Đạo luật An ninh mạng PSTI Vương quốc Anh

• Chứng nhận đánh giá an ninh mạng NIST Hoa Kỳ

• ISO 27001/27701/GDPR

Ưu điểm của dịch vụ bảo mật mạng BACL

• Tư vấn và đánh giá an ninh thông tin mạng trong giai đoạn nghiên cứu và phát triển.

• Tham vấn và đánh giá dự luật PSTI của Vương quốc Anh

• Tư vấn và đánh giá an ninh mạng theo Chỉ thị CE RED

• Tư vấn và đánh giá cho dự luật SB-327 của California

• Tư vấn và đánh giá chứng nhận an ninh mạng tự nguyện của FCC Hoa Kỳ

• Tư vấn và đánh giá an ninh mạng tại Brazil, Singapore và các quốc gia, khu vực khác trên toàn thế giới.