Ngày 22/12/2022, Bộ Công an Việt Nam (Bộ Công an) đã tổ chức Hội nghị tuyên truyền, phổ biến về việc triển khai Nghị định số 53/2022/NĐ-CP (Nghị định 53) hướng dẫn thi hành một số điều của Luật An ninh mạng. Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05), lực lượng chuyên trách đảm bảo an ninh mạng thuộc Bộ Công an, chủ trì hội nghị. A05 đã thảo luận về nội dung của các điều khoản cụ thể của Nghị định 53 rất quan trọng đối với cả công ty trong nước và nước ngoài để tuân thủ các quy định mới về nội địa hóa dữ liệu. Dưới đây là một số điểm quan trọng mà doanh nghiệp cần biết.
Nghị định 53/2022/NĐ-CP Luật An ninh mạng có hiệu lực từ ngày 01/10/2022
1. Dịch vụ áp dụng
A05 hướng người đọc tham khảo các quy định của pháp luật về quản lý và sử dụng viễn thông và Internet để được hướng dẫn về các định nghĩa chung về dịch vụ áp dụng cho các doanh nghiệp hoạt động tại Việt Nam. Ví dụ:
- Để xác định dịch vụ viễn thông và dịch vụ GTGT trên không gian mạng theo Nghị định 53, cần tham khảo định nghĩa “dịch vụ viễn thông” và “dịch vụ ứng dụng viễn thông” theo Luật Viễn thông số 41/2009/QH12 và phân loại dịch vụ viễn thông theo Nghị định số 25/2011/NĐ-CP.
- Để xác định dịch vụ trên Internet, nên sử dụng định nghĩa “dịch vụ Internet” theo Nghị định số 72/2013/NĐ-CP và “dịch vụ nội dung thông tin trên mạng viễn thông di động” theo Thông tư số 17/2016/TT-BTTTT, được sửa đổi bởi Thông tư số 08/2017/TT-BTTTT.
2. Dữ liệu mục tiêu
Vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, đây là văn bản pháp luật đầu tiên quy định về bảo vệ dữ liệu cá nhân của Việt Nam. Nghị định sẽ bắt đầu có hiệu lực từ ngày 1/7/2023.
Theo Nghị định 13, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Doanh nghiệp có thể đọc thêm quy định về cách phân loại “dữ liệu cá nhân” trong Nghị định 13 tại đây.
Việt Nam đã ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/7/2023
3. Doanh nghiệp áp dụng
A05 đã xác minh rằng các doanh nghiệp trong nước phải tuân thủ yêu cầu nội địa hóa dữ liệu, bao gồm các doanh nghiệp được thành lập theo quy định của pháp luật Việt Nam và có trụ sở tại Việt Nam, không phân biệt công ty sở hữu nước ngoài hay không. Ngoài ra, A05 làm rõ rằng các chi nhánh hoặc văn phòng đại diện của doanh nghiệp nước ngoài tại Việt Nam không được phân loại là doanh nghiệp trong nước phải tuân thủ các yêu cầu nội địa hóa dữ liệu. Do đó, các doanh nghiệp nước ngoài khi kinh doanh tại Việt Nam thông qua chi nhánh hoặc văn phòng đại diện được miễn tuân thủ các yêu cầu nội địa hóa dữ liệu cho đến khi có yêu cầu bắt buộc chính thức từ Bộ Công an.
4. Phương pháp lưu trữ dữ liệu
Mặc dù doanh nghiệp có thể tự lựa chọn phương pháp lưu trữ dữ liệu, A05 đưa ra khuyến nghị doanh nghiệp nên sử dụng 2 phương pháp lưu trữ dữ liệu sau:
- Đồng bộ theo thời gian thực: Doanh nghiệp có thể tạo một hệ thống lưu trữ riêng để hỗ trợ hoạt động của mình tại Việt Nam.
- Sao lưu định kỳ: Doanh nghiệp có thể sao lưu dữ liệu định kỳ và lưu trữ trên các phương tiện phù hợp tại Việt Nam (như máy chủ nội địa, ổ cứng, ổ đĩa flash, đĩa CD) ít nhất 7 ngày một lần.
5. Thời gian lưu trữ dữ liệu
A05 nêu rõ về thời hạn lưu trữ dữ liệu, trong đó nêu rõ các doanh nghiệp trong nước thuộc đối tượng yêu cầu nội địa hóa dữ liệu phải lưu trữ dữ liệu mục tiêu kể từ ngày quy định có hiệu lực cho đến khi kết thúc hoạt động. Tuy nhiên, nếu doanh nghiệp yêu cầu, Bộ Công an có thể xem xét quy định thời hạn lưu trữ dữ liệu cụ thể không dưới 24 tháng.
Doanh nghiệp cần lưu ý những yêu cầu nội địa hóa dữ liệu tại Việt Nam
6. Thời gian chuyển đổi cho các doanh nghiệp trong nước
Theo tài liệu trình bày tại hội nghị, A05 đề cập khả năng có thời gian chuyển tiếp 12 tháng để doanh nghiệp trong nước tuân thủ các yêu cầu nội địa hóa dữ liệu bắt đầu từ ngày Nghị định 53 có hiệu lực (01/10/2022). Tuy nhiên, không có văn bản chính thức nào chỉ ra thời gian chuyển đổi này trong Nghị định 53. Trên thực tế, Bộ Công an có thể gia hạn để giúp các doanh nghiệp trong nước chuẩn bị cho việc tuân thủ các yêu cầu mới.
Phát biểu bế mạc hội nghị, Cục trưởng A05 hiểu rằng quy định hiện hành có thể không phù hợp với mọi doanh nghiệp. Do đó, các pháp nhân tuân theo quy định có thể liên hệ với A05 để được hướng dẫn thêm về cách giải quyết mọi khó khăn thực tế mà họ có thể gặp phải. Nếu có những trở ngại đáng kể, Bộ Công an có thể đề xuất với Chính phủ Việt Nam những thay đổi đối với các quy định hiện hành để đảm bảo một môi trường pháp lý công bằng, cân bằng giữa phát triển kinh tế và an ninh quốc gia.
