Soạn thảo thỏa thuận bảo mật thông tin (NDA) doanh nghiệp

Trong thời đại số, bảo mật dữ liệu và bí mật kinh doanh là yếu tố sống còn. Tuy nhiên, việc rò rỉ thông tin từ chính nội bộ nhân viên hoặc đối tác lại diễn ra ngày càng phổ biến. Để ngăn chặn rủi ro này, việc thiết lập một cam kết bảo mật rõ ràng bằng văn bản là điều kiện tiên quyết. Bài viết dưới đây sẽ phân tích chi tiết về thỏa thuận NDA, các rủi ro pháp lý thường gặp và hướng dẫn cách soạn thảo hợp đồng NDA bảo mật thông tin doanh nghiệp một cách toàn diện và chuyên nghiệp nhất.

Thỏa thuận bảo mật thông tin NDA là gì?

NDA là viết tắt của cụm từ Non-Disclosure Agreement. Dưới góc độ pháp lý Việt Nam, đây là công cụ ràng buộc trách nhiệm bảo mật thông tin giữa bên cung cấp và bên tiếp nhận, có giá trị trước pháp luật.

Trong thực tế doanh nghiệp, NDA thường được chia làm các loại chính sau:

• NDA đơn phương (One-way NDA / Unilateral NDA): Chỉ có một bên cung cấp thông tin và bên tiếp nhận phải cam kết bảo mật. (Ví dụ: Doanh nghiệp ký cam kết bảo mật với người lao động hoặc đối tác cung cấp dịch vụ).
• NDA song phương (Mutual NDA): Cả hai bên đều chia sẻ thông tin mật cho nhau và cùng có nghĩa vụ bảo vệ thông tin của đối phương. (Ví dụ: Hai doanh nghiệp cùng hợp tác phát triển một dự án hoặc trong các thương vụ mua bán sáp nhập – M&A).
• NDA đa chiều (Multilateral NDA): Có từ ba bên trở lên tham gia và tất cả các bên đều có nghĩa vụ bảo mật thông tin được chia sẻ trong nhóm. Ví dụ, một startup trình bày kế hoạch kinh doanh cho một nhóm các nhà đầu tư khác nhau trong cùng một thỏa thuận.

Khi nào doanh nghiệp cần ký Thỏa thuận bảo mật thông tin NDA?

Trong công tác quản trị nhân sự nội bộ

• Thời điểm: Ký đồng thời với Hợp đồng lao động, khi luân chuyển/bổ nhiệm nhân sự vào các dự án trọng điểm, hoặc đưa vào quy trình bàn giao trước khi nghỉ việc.
• Đối tượng áp dụng: Bắt buộc đối với cấp quản lý và các phòng ban nắm giữ thông tin cốt lõi (Tổ chức Hành chính, Kế toán, R&D, IT, Kinh doanh).
• Mục đích: Ràng buộc trách nhiệm bảo mật cơ sở dữ liệu khách hàng, chiến lược kinh doanh; ngăn ngừa rủi ro người lao động mang chất xám hoặc dữ liệu sang công ty đối thủ cạnh tranh.

Giao kết với đơn vị cung cấp dịch vụ thuê ngoài

• Thời điểm: Thực hiện trước khi cung cấp tài liệu nội bộ để đối tác đánh giá và lập báo giá/phương án cung cấp dịch vụ.
• Đối tượng áp dụng: Đơn vị gia công phần mềm, đại lý marketing, công ty kiểm toán/kế toán dịch vụ, đơn vị tư vấn quản trị.
• Mục đích: Đảm bảo bên thứ ba (và các nhân sự của họ) không sao chép, tái sử dụng hoặc làm rò rỉ quy trình vận hành, dữ liệu khách hàng cho các bên không liên quan.

Trước khi thẩm định dự án M&A hoặc huy động vốn

• Thời điểm: Ngay tại bước tiếp xúc ban đầu với nhà đầu tư/bên mua tiềm năng, bắt buộc hoàn tất trước khi mở quyền truy cập dữ liệu cho giai đoạn Thẩm định chuyên sâu (Due Diligence).
• Mục đích: Bảo vệ an toàn tuyệt đối cho các báo cáo tài chính, cấu trúc vận hành, danh mục tài sản. Phòng ngừa trường hợp thương vụ bất thành nhưng đối tác lại sử dụng chính dữ liệu thẩm định đó để trục lợi.

Hợp tác phát triển sản phẩm mới và R&D

• Thời điểm: Trước khi chia sẻ ý tưởng sơ khởi, bản vẽ kỹ thuật, hoặc công thức cho đối tác liên doanh, nhà cung cấp vật tư, đơn vị gia công sản xuất (OEM).
• Mục đích: Chống lại rủi ro bị đối tác đánh cắp ý tưởng, tự ý đem đăng ký xác lập quyền Sở hữu trí tuệ hoặc tự tổ chức sản xuất độc lập nhằm loại bỏ doanh nghiệp khỏi chuỗi cung ứng.

Các điều khoản quan trọng trong thỏa thuận bảo mật thông tin NDA

Để một Thỏa thuận bảo mật thông tin (NDA) có giá trị ràng buộc pháp lý chặt chẽ và bảo vệ tối đa quyền lợi của doanh nghiệp, văn bản này bắt buộc phải bao gồm các điều khoản trọng yếu sau:

• Định nghĩa và phân loại thông tin bảo mật: Xác định rõ ràng, cụ thể những loại dữ liệu, tài liệu nào được coi là “Mật”. Cần liệt kê cụ thể các định dạng (văn bản giấy, file điện tử, trao đổi miệng có ghi âm) và các hạng mục (dữ liệu khách hàng, mã nguồn, kế hoạch kinh doanh, thông số kỹ thuật, chiến lược giá). Càng chi tiết, quá trình chứng minh vi phạm sau này càng dễ dàng.
• Mục đích sử dụng thông tin: Quy định lý do và giới hạn việc sử dụng dữ liệu được cung cấp. Cam kết bên nhận chỉ được phép sử dụng thông tin mật để phục vụ duy nhất cho dự án/giao dịch đang hợp tác, nghiêm cấm sử dụng cho mục đích cá nhân, trục lợi hoặc cạnh tranh ngược lại với bên cung cấp.
• Quyền và nghĩa vụ của Bên nhận thông tin: Quy định cách thức lưu trữ, bảo vệ và giới hạn đối tượng tiếp cận thông tin. Áp dụng nguyên tắc “Cần phải biết” (Need-to-know basis) – chỉ những nhân sự trực tiếp tham gia dự án mới được tiếp cận tài liệu. Bên nhận phải áp dụng các biện pháp an ninh (mật khẩu, mã hóa) tương đương với cách họ bảo vệ bí mật của chính mình.
• Các trường hợp ngoại trừ (Điểm loại trừ trách nhiệm): Khung pháp lý quy định những loại thông tin không bị ràng buộc bởi NDA. Thông thường bao gồm 3 trường hợp: (1) Thông tin đã được công bố rộng rãi ra công chúng trước đó; (2) Thông tin mà bên nhận đã biết hợp pháp từ trước khi ký NDA; (3) Thông tin buộc phải cung cấp theo yêu cầu của Cơ quan Nhà nước có thẩm quyền (phải có nghĩa vụ thông báo trước cho bên cung cấp).
• Nghĩa vụ hoàn trả và tiêu hủy tài liệu: Quy trình xử lý dữ liệu khi kết thúc dự án hoặc khi có yêu cầu. Bên nhận phải hoàn trả toàn bộ bản gốc và xóa/tiêu hủy vĩnh viễn mọi bản sao, file lưu trữ trên hệ thống trong vòng một khoảng thời gian nhất định (thường là 03 – 07 ngày) kể từ khi nhận được thông báo, đồng thời phải cung cấp biên bản xác nhận đã tiêu hủy.
• Thời hạn hiệu lực của cam kết bảo mật: Xác định khoảng thời gian mà nghĩa vụ bảo mật vẫn còn tồn tại. Nghĩa vụ bảo mật không kết thúc cùng với hợp đồng dịch vụ/lao động. Thường quy định kéo dài từ 2 đến 5 năm, hoặc vô thời hạn (đối với các bí mật kinh doanh cốt lõi, công thức độc quyền) kể từ ngày chấm dứt quan hệ hợp tác.
• Chế tài vi phạm và giải quyết tranh chấp: Biện pháp xử lý và mức bồi thường khi xảy ra rò rỉ thông tin. Quy định rõ quyền áp dụng các biện pháp khẩn cấp tạm thời (yêu cầu tòa án buộc ngừng ngay hành vi tiết lộ). Xác định rõ cơ chế bồi thường toàn bộ thiệt hại thực tế phát sinh (bao gồm cả chi phí thuê luật sư, chi phí khắc phục sự cố) và thỏa thuận cơ quan có thẩm quyền giải quyết (Tòa án hoặc Trọng tài thương mại).

Những sai lầm phổ biến khi soạn thảo hợp đồng NDA

• Định nghĩa “Thông tin bảo mật” quá rộng và chung chung: Doanh nghiệp gom mọi thông tin trao đổi trong quá trình làm việc (từ quy trình nội bộ, ý tưởng chưa hình thành, đến những kiến thức phổ thông trong ngành) vào danh mục “thông tin mật” nhằm tạo sự ràng buộc tối đa đối với bên tiếp nhận.
• Lẫn lộn giữa NDA (Bảo mật thông tin) và NCA (Hạn chế cạnh tranh): Gài cắm điều khoản cấm nhân viên làm việc cho đối thủ cạnh tranh, hoặc cấm đối tác cung cấp dịch vụ cho bên thứ ba cùng ngành nghề vào trong thỏa thuận NDA.
• Không quy định rõ thời hạn hiệu lực của cam kết bảo mật: Chỉ quy định “Bên B có nghĩa vụ bảo mật thông tin” mà không gắn với một mốc thời gian cụ thể (ví dụ: có hiệu lực kéo dài 03 năm sau khi thanh lý hợp đồng chính). Hoặc lầm tưởng rằng khi hợp đồng chính kết thúc thì NDA vẫn tự động có tác dụng mãi mãi.
• Bỏ qua các “Trường hợp loại trừ” (Exclusions): Bắt buộc bên tiếp nhận phải giữ kín thông tin trong mọi hoàn cảnh, kể cả khi có văn bản yêu cầu cung cấp thông tin từ cơ quan Nhà nước có thẩm quyền, hoặc khi thông tin đó đã được một bên thứ ba công khai hợp pháp trước đó.
• Thiếu cơ chế định lượng thiệt hại và chế tài xử lý: Điều khoản vi phạm chỉ được ghi chung chung như: “Nếu vi phạm sẽ bị xử lý theo quy định pháp luật” hoặc “phải bồi thường mọi thiệt hại gây ra”.

NDA song phương và đơn phương khác nhau thế nào?

NDA với nhân viên và NDA với đối tác khác nhau thế nào?

Tham khảo Án lệ liên quan đến NDA

Án lệ số 69/2023/AL (Được Hội đồng Thẩm phán TAND Tối cao thông qua ngày 18/08/2023 và công bố theo Quyết định 364/QĐ-CA). Đây là một án lệ mang tính bước ngoặt, tháo gỡ nhiều điểm nghẽn pháp lý trong việc ràng buộc trách nhiệm của nhân viên sau khi nghỉ việc.

• Nguồn án lệ: Lấy từ Quyết định số 755/2018/QĐ-PQTT (ngày 12/06/2018) của TAND TP. Hồ Chí Minh về việc “Yêu cầu hủy phán quyết trọng tài” giữa cựu nhân viên (bà Đỗ Thị Mai T.) và phía doanh nghiệp (Công ty TNHH R).
• Tình huống pháp lý: Người lao động và người sử dụng lao động ký kết Thỏa thuận bảo mật thông tin (NDA) và không cạnh tranh (NCA). Thỏa thuận quy định rõ: Sau khi chấm dứt hợp đồng lao động, nhân viên không được làm công việc tương tự hoặc cạnh tranh với công ty cũ trong một thời hạn nhất định. Nếu phát sinh tranh chấp, hai bên thống nhất đưa ra giải quyết bằng Trọng tài thương mại.
• Giải pháp pháp lý được Tòa án công nhận: Tòa án nhận định và xác định tranh chấp về thỏa thuận NDA và NCA trong trường hợp này là một thỏa thuận dân sự độc lập, hoàn toàn tách biệt với Hợp đồng lao động. Do đó, tranh chấp này hợp lệ để áp dụng Luật Trọng tài thương mại năm 2010 và Bộ luật Dân sự năm 2015, thuộc thẩm quyền giải quyết của Trọng tài thương mại.

Bài học cho doanh nghiệp khi soạn thảo NDA: Doanh nghiệp nên lập Thỏa thuận NDA thành một văn bản độc lập có chữ ký riêng, thay vì chỉ chèn một vài điều khoản ngắn gọn vào trong nội dung Hợp đồng lao động. Điều này giúp khẳng định tính độc lập của cam kết bảo mật dân sự/thương mại.

• Việc đưa điều khoản giải quyết tranh chấp bằng Trọng tài thương mại vào hợp đồng NDA (như tình huống án lệ trên) là một bước đi chiến lược. Khác với Tòa án xét xử công khai, Trọng tài thương mại tuân thủ nguyên tắc xét xử kín. Điều này giúp doanh nghiệp tránh được rủi ro bị phơi bày thêm các tài liệu, bí mật công nghệ, hay tệp khách hàng nhạy cảm ra trước công chúng trong quá trình diễn ra tố tụng.

Dịch vụ soạn thảo hợp đồng NDA – Công ty Luật Việt An

Luật Việt An là hãng luật có thế mạnh chuyên sâu về pháp luật doanh nghiệp, hợp đồng và sở hữu trí tuệ. Dịch vụ tư vấn và soạn thảo Thỏa thuận bảo mật thông tin (NDA) tại đây được thiết kế không chỉ để đáp ứng thủ tục hành chính, mà nhằm thiết lập một hệ thống quản trị rủi ro vững chắc, bảo vệ tối đa tài sản vô hình và bí mật kinh doanh của tổ chức.

Dịch vụ cung cấp các giải pháp pháp lý toàn diện từ bước đánh giá rủi ro đến khi hoàn thiện văn bản, bao gồm:

• Đánh giá và Tư vấn: Khảo sát luồng luân chuyển dữ liệu thực tế của đơn vị, nhận diện các rủi ro tiềm ẩn khi chia sẻ thông tin cho đối tác hoặc nhân sự.
• Soạn thảo NDA mới (Song phương & Đơn phương): Thiết kế bản thảo chuyên biệt theo từng giao dịch (thuê ngoài dịch vụ, M&A, R&D, hợp đồng lao động), đảm bảo các điều khoản trọng yếu
• Rà soát và thẩm định: Thẩm định tính pháp lý đối với các mẫu NDA do đối tác cung cấp, bóc tách các điều khoản bất lợi, đề xuất phương án chỉnh sửa ngôn từ để cân bằng quyền lợi giữa các bên.
• Dịch thuật pháp lý: Cung cấp bản thảo song ngữ (Việt – Anh, Việt – Trung,…) phục vụ các giao dịch có yếu tố nước ngoài, đảm bảo tính đồng nhất về mặt ngữ nghĩa pháp lý.

Để đảm bảo tiến độ và chất lượng văn bản, quy trình được vận hành qua các bước chặt chẽ:

• Tiếp nhận thông tin: Thu thập dữ liệu về đối tượng ký kết, loại hình thông tin cần bảo vệ và mục đích giao dịch.
• Đề xuất và thống nhất: Tư vấn định hướng khung hợp đồng, gửi báo giá dịch vụ và ký kết hợp đồng tư vấn pháp lý.
• Triển khai chuyên môn: Luật sư tiến hành soạn thảo văn bản và các phụ lục đính kèm (nếu có).
• Bàn giao và giải trình: Chuyển giao bản thảo sơ bộ, giải thích ý nghĩa pháp lý của các điều khoản phức tạp và tiếp nhận yêu cầu điều chỉnh.
• Hoàn thiện: Chỉnh sửa theo phản hồi, đóng dấu xác nhận bản thảo cuối cùng và hỗ trợ tư vấn thủ tục ký kết hợp lệ.

Một số câu hỏi liên quan về NDA

NDA có được pháp luật Việt Nam công nhận hiệu lực không?

Có. Theo Bộ luật Dân sự, Luật Thương mại và Luật Sở hữu trí tuệ, thỏa thuận NDA hoàn toàn có giá trị pháp lý ràng buộc nếu được ký kết tự nguyện, đúng thẩm quyền và nội dung không vi phạm điều cấm của pháp luật.

Có thể áp dụng hình thức “Phạt vi phạm” trong NDA với nhân sự (người lao động) không?

Không nên. Theo Bộ luật Lao động, người sử dụng lao động không được phép dùng hình thức phạt tiền đối với người lao động. Thay vì ghi “phạt vi phạm”, hợp đồng nên sử dụng thuật ngữ “bồi thường thiệt hại” kèm cơ chế tính toán thiệt hại thực tế.

Hợp đồng NDA có bắt buộc phải công chứng hoặc chứng thực không?

Không. Thỏa thuận NDA chỉ cần chữ ký hợp lệ của các bên (và con dấu nếu là pháp nhân) là đã chính thức phát sinh hiệu lực. Việc ra tổ chức hành nghề công chứng là không bắt buộc.

Thông tin đã đăng tải trên website doanh nghiệp có bị ràng buộc bởi NDA không?

Không. Mọi thông tin đã được công bố rộng rãi ra công chúng trước hoặc trong thời gian NDA có hiệu lực sẽ thuộc “Trường hợp loại trừ” và không còn nằm trong phạm vi bảo mật.

Ký kết NDA bằng chữ ký điện tử hoặc scan qua email có hợp lệ không?

Có. Theo Luật Giao dịch điện tử, NDA ký bằng chữ ký số hợp lệ hoặc giao kết qua phương thức điện tử (email có xác nhận của người đại diện thẩm quyền) hoàn toàn có giá trị tương đương văn bản giấy.

Một bản NDA có thể có hiệu lực vĩnh viễn không?

Có. Đối với các bí mật thương mại cốt lõi không thể thay thế (ví dụ: công thức độc quyền, mã nguồn thuật toán lõi), pháp luật cho phép các bên thỏa thuận nghĩa vụ bảo mật kéo dài vô thời hạn, kể cả khi hợp đồng chính đã thanh lý xong.

Trên đây là toàn bộ giải đáp của Công ty Luật Việt An về soạn thảo hợp đồng NDA bảo mật thông tin doanh nghiệp. Quý khách có nhu cầu tư xin vui lòng liên hệ với chúng tôi.