Năm 2026, bạn không thể giữ dữ liệu của khách hàng trong két khóa nữa.
Đó là cách diễn giải bình thản của điều có hiệu lực vào 12 tháng 9 năm 2026: Điều 3(1) của Quy định (EU) 2023/2854 — Đạo luật Dữ liệu của EU. Từ ngày đó, ai chế tạo cảm biến, kết nối một cỗ máy, phát hành một ứng dụng tạo ra dữ liệu phải nghĩ ngay từ bản phác thảo đầu tiên rằng dữ liệu đó thuộc về người dùng — và phải có thể truy cập được cho họ.
Đây không phải là một chủ đề mới. Đó là một ngày hết hạn.
Trước đây áp dụng gì, từ tháng 9 áp dụng gì
Quy định có hiệu lực từ tháng 1/2024. Khối nghĩa vụ đầu tiên đã đến ngày 12/9/2025: quyền truy cập dữ liệu cho người dùng các sản phẩm hiện có, điều kiện chuyển đổi cloud công bằng, bảo vệ trước các điều khoản B2B bất công. Hầu hết các DNVVN không cảm nhận trực tiếp — áp lực đến từ thượng nguồn chuỗi cung ứng, nơi các nhà sản xuất lớn phải phản ứng. Các DNVVN hạ nguồn được hưởng lợi mà không hay biết.
Ngày 12/9/2026, người chịu trách nhiệm thay đổi.
Từ ngày đó, nghĩa vụ thiết kế áp dụng cho mọi sản phẩm kết nối mới đưa ra thị trường EU. „Data by design" là công thức chính thức. Dịch ra: nếu sản phẩm của bạn tạo ra dữ liệu — và hôm nay hầu như sản phẩm nào cũng vậy, từ bộ điều nhiệt đến hệ thống điều khiển xưởng — thì người mua phải có khả năng kỹ thuật để tiếp cận dữ liệu đó mà không cần xin phép bạn.
Nghe có vẻ học thuật. Nó là một quả bom.
Ý nghĩa với ba kiểu doanh nghiệp điển hình
Nhà chế tạo máy có thành phần IoT. Ai muốn bán năm 2027 một bộ điều khiển xưởng có kết nối phải đã quyết định trước tháng 9/2026: thiết bị tạo ra dữ liệu gì? Ai được phép tiếp cận? Người mua truy cập như thế nào mà không qua backend của chúng ta? Không có lời giải, sản phẩm không còn được bán hợp pháp tại EU — không phải vì có thanh tra đến, mà vì khách hàng lớn đầu tiên hỏi điều đó trong hồ sơ mua sắm.
Công ty phần mềm có dịch vụ cloud. Điều gì xảy ra khi một khách hàng nói: „Tôi mang theo dữ liệu máy hai năm và đi nơi khác"? Nếu câu trả lời là „về kỹ thuật chỉ được nếu đặt gói Premium", từ tháng 9/2026 bạn dễ tổn thương. Đạo luật Dữ liệu cấm các rào cản chuyển đổi nhân tạo. Dữ liệu thuộc về khách hàng, không thuộc về hợp đồng.
Phần mềm hội đoàn, quản lý phòng khám, IT xưởng. Ngưỡng thấp hơn người ta tưởng. Ngay khi phần mềm của bạn tạo dữ liệu cho doanh nghiệp khác — dữ liệu hội viên, bệnh nhân, đơn hàng — bạn đã là một mắt xích. Nghĩa vụ không dừng ở các tên tuổi công nghiệp lớn. Nó dừng ở bit dữ liệu cuối cùng mà một con người hay một cỗ máy đã tạo ra trong sản phẩm.
Vì sao điều này va với CLOUD Act
Đạo luật Dữ liệu nói: dữ liệu thuộc về người dùng. CLOUD Act 2018 nói: cơ quan Mỹ có thể truy cập dữ liệu do công ty Mỹ kiểm soát — bất kể máy chủ ở đâu. Schrems II từ năm 2020 nói: pháp luật Mỹ không cung cấp mức bảo vệ tương xứng cho dữ liệu EU.
Nếu năm 2026 bạn xây một sản phẩm kết nối và lưu dữ liệu của nó tại một hyperscaler Mỹ — kể cả ở „khu vực EU" — khách hàng của bạn đối mặt với một xung đột mà họ không thể tự giải quyết. Quyền truy cập của họ gặp quyền của một cơ quan nước ngoài cắt đứt quyền truy cập đó. Kiến trúc quyết định, không phải hợp đồng.
Đó chính là cái bẫy mà nhiều doanh nghiệp nhỏ đã bước vào trong năm năm qua. Họ đặt cược vào các nền tảng cloud Mỹ vì nhanh và rẻ. Họ đã trói kiến trúc dữ liệu của mình vào một thể chế pháp lý đang căng thẳng với Đạo luật Dữ liệu. Đến tháng 9/2026, sự căng thẳng đó hiện rõ — không phải trong tòa án, mà trong hồ sơ mua sắm tiếp theo của khách hàng.
Một kiến trúc khác mở ra điều gì
Một xương sống vận hành chạy trên máy chủ do bạn kiểm soát không phải là tuyên ngôn chính trị. Đó là câu trả lời kỹ thuật cho một câu hỏi pháp lý. Dữ liệu của khách hàng nằm ở nơi bạn có thể tiếp cận — không phải ở nơi công tố viên một nước khác có thể tiếp cận. Giao diện được tài liệu hóa. Xuất dữ liệu được tích hợp sẵn. Đổi nhà cung cấp có thể vì định dạng mở — không phải vì một điều khoản hứa hẹn.
Đó là dạng rõ ràng mà Đạo luật Dữ liệu yêu cầu nền kinh tế châu Âu vào năm 2026. Không như một cử chỉ. Như một điều kiện để tiếp tục bán hàng.
Câu hỏi thẳng thắn
Hãy hình dung tháng 10/2026, một khách hàng lớn hỏi bạn trong một cuộc kiểm toán: „Dữ liệu của chúng tôi nằm chính xác ở đâu, và chúng tôi có thể tiếp cận mà không qua bạn không?" Câu trả lời của bạn là gì?
Nếu là „có", mọi chuyện ổn. Nếu là một lời giải thích, hôm nay là lúc bắt đầu.
Bây giờ làm gì?
Tycho Platform khác biệt thế nào — xương sống vận hành trên máy chủ của bạn →
Ba câu hỏi, một câu trả lời — kiểm tra tự do số →
Đọc thêm: Châu Âu trả lời CLOUD Act →
Bài viết này mô tả Quy định (EU) 2023/2854 ở phiên bản áp dụng từ 12/9/2026. Bài viết không thay thế tư vấn pháp lý. Với một tình huống cụ thể, vui lòng liên hệ luật sư chuyên về luật công nghệ thông tin.