Cùng với sự tăng trưởng nhanh chóng của lĩnh vực công nghệ thông tin, việc sử dụng và triển khai các giải pháp điện toán đám mây đã trở thành một phần quan trọng trong chiến lược kinh doanh của nhiều doanh nghiệp tại Việt Nam. Tuy nhiên, điều này cũng đi kèm với sự tăng cường chặt chẽ về tuân thủ luật pháp trong bảo mật và triển khai hạ tầng đám mây.

Tại Việt Nam, một số quy định quan trọng đã được công bố trong các văn bản pháp luật, bao gồm Hiến pháp năm 2013 và các Luật An toàn thông tin mạng, An ninh mạng, Luật Dân sự và Luật Viễn thông, tập trung vào việc bảo vệ thông tin cá nhân và đảm bảo an toàn thông tin trên mạng.

Việc tuân thủ các quy định và luật pháp về điện toán đám mây tại Việt Nam không chỉ là yêu cầu cốt lõi để bảo vệ thông tin cá nhân và dữ liệu nhạy cảm của doanh nghiệp, mà còn là yếu tố quyết định sự tin cậy của khách hàng và đối tác trong việc lựa chọn sử dụng dịch vụ của các nhà cung cấp đám mây. Các tổ chức và cá nhân cần nắm vững các quy định pháp lý và áp dụng chúng một cách đúng đắn để đảm bảo rằng việc ứng dụng điện toán đám mây được thực hiện một cách có trách nhiệm và tuân thủ pháp luật địa phương.

Quy định về Bảo mật thông tin cá nhân

Trong bối cảnh mọi dữ liệu cá nhân đều được lưu trữ và đăng tải lên môi trường số, việc đảm bảo an toàn thông tin cho người dùng trở thành một vấn đề cấp bách. Theo đó, Hiến pháp năm 2013 đã hiến định về quyền bảo vệ thông tin và bí mật cá nhân. Sau đó, trong Bộ Luật Dân sự năm 2015 và Luật An toàn Thông tin mạng 2015 đã đưa ra các nguyên tắc cơ bản về bảo vệ quyền riêng tư dữ liệu, điều chỉnh việc thu thập, sử dụng, sửa đổi, xóa thông tin cá nhân, cùng với đó, đặt ra trách nhiệm của Chính phủ trong việc bảo vệ dữ liệu riêng tư của người dân.

Bộ Luật năm 2015 quy định về nghĩa vụ của tổ chức và cá nhân trong xử lý thông tin, yêu cầu họ phải bảo mật thông tin và công khai chính sách sử dụng những dữ liệu đó. Tiếp đó, Luật An ninh mạng năm 2018 đã bổ sung yêu cầu rằng các doanh nghiệp cung cấp dịch vụ trên không gian mạng tại Việt Nam phải thông báo trực tiếp cho người dùng nếu dữ liệu của họ bị vi phạm, hư hỏng hoặc bị mất. Ngoài ra, các quy định trong pháp luật Việt Nam cũng đã đặt ra các biện pháp cụ thể để xử lý những hành vi xâm phạm đến dữ liệu cá nhân. Ví dụ như quy định về "Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, viễn thông" trong Bộ Luật Hình sự năm 2015.

Vào năm 2022, Chính phủ Việt Nam đã ban hành Nghị định số 53/2022/ND-CP về hướng dẫn thi hành một số điều của Luật An ninh mạng năm 2018. Nghị định này được xem là một bước quan trọng trong việc tăng cường bảo vệ an ninh mạng và quản lý hoạt động trên không gian mạng tại Việt Nam. Tại đây, một số hướng dẫn cụ thể về Luật An ninh mạng được đưa ra, bao gồm việc xác định quyền và nghĩa vụ của các tổ chức, cá nhân, và thực thể tham gia trong hoạt động an ninh mạng. Ngoài ra, Nghị định cũng đưa ra các biện pháp cụ thể để đảm bảo an ninh mạng trong các lĩnh vực như quản lý cơ sở hạ tầng mạng, bảo vệ thông tin quan trọng, phòng chống tấn công mạng và xử lý vi phạm an ninh mạng.

Và mới đây nhất, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã được ban hành để thúc đẩy việc thực thi các quyền và nghĩa vụ liên quan. Nghị định này cung cấp những chỉ đạo cụ thể và rõ ràng về các tổ chức và cá nhân thực hiện thu thập, xử lý, lưu trữ và quản lý dữ liệu cá nhân. Đặc biệt, nó yêu cầu chứng minh rõ ràng về mục đích của việc xử lý thông tin, giới hạn thời gian lưu trữ dữ liệu, và quy định về nghĩa vụ báo cáo việc xử lý dữ liệu cá nhân cho cơ quan chức năng. Nghị định 13 cũng nêu rõ về việc các tổ chức cần áp dụng biện pháp bảo mật thích hợp để đảm bảo an toàn cho thông tin cá nhân.

Quy định về Quyền sở hữu Trí tuệ

Việt Nam đã tiến hành việc ban hành nhiều tài liệu pháp lý như luật, nghị định, thông tư để điều chỉnh và bảo vệ quyền sở hữu trí tuệ một cách tổng thể. Một số tài liệu quan trọng bao gồm Luật Sở hữu Trí tuệ năm 2009 (được sửa đổi và bổ sung thêm vào năm 2019), Nghị định số 99/2013/NĐ-CP về Quy định xử phạt vi phạm hành chính trong lĩnh vực sở hữu công nghiệp, và Nghị định số 28/2017/NĐ-CP sửa đổi, bổ sung cho Nghị định số 131/2013/NĐ-CP về xử phạt vi phạm hành chính liên quan đến quyền tác giả và quyền liên quan.

Ngoài ra, bên cạnh những quy định của pháp luật nội địa, Việt Nam cũng tuân thủ các cam kết quốc tế trong lĩnh vực bảo hộ quyền sở hữu trí tuệ. Các hiệp định quốc tế đa phương và song phương mà Việt Nam là thành viên cũng đóng vai trò quan trọng trong việc thúc đẩy bảo hộ hiệu quả tác quyền, như Hiệp định TRIPS và các hiệp định với các đối tác quốc tế như Hoa Kỳ và Thụy Sĩ về bảo hộ quyền sở hữu trí tuệ.

Khung pháp lý về điện toán đám mây

Vào ngày 3/4/2020, Bộ Thông tin và Truyền thông Việt Nam đã ban hành Công văn số 1145/BTTTT-CATTT để cung cấp hướng dẫn về một tập hợp tiêu chuẩn kỹ thuật và thông số kỹ thuật (hay còn gọi là các “Hướng dẫn”) cho các giải pháp điện toán đám mây trong triển khai chính phủ điện tử.

Các cơ quan và tổ chức nhà nước sẽ dựa vào những Hướng dẫn này để đánh giá và lựa chọn các giải pháp hoặc thuê dịch vụ điện toán đám mây để phát triển chính phủ điện tử. Các doanh nghiệp tư nhân cũng được khuyến khích tham khảo các Hướng dẫn này khi thiết lập và triển khai các giải pháp nền tảng điện toán đám mây riêng của mình.

Đây là lần đầu tiên Việt Nam ra mắt bộ tiêu chí và chỉ tiêu kỹ thuật dành riêng cho nền tảng điện toán đám mây. Mục tiêu là giúp thúc đẩy các doanh nghiệp công nghệ thông tin trong nước có thể tự phát triển các công nghệ lõi quan trọng, giảm sự phụ thuộc vào công nghệ của doanh nghiệp nước ngoài. Điều này cũng hướng đến việc xây dựng nền tảng điện toán đám mây cho Chính phủ điện tử, chính quyền điện tử cấp dưới, và thúc đẩy Chính phủ số, nền kinh tế số và xã hội số.

Tập hợp các tiêu chuẩn kỹ thuật và thông số kỹ thuật bao gồm hai nhóm tiêu chuẩn. Nhóm 1 bao gồm các tiêu chuẩn, thông số kỹ thuật và tính năng liên quan đến: 1) Máy ảo, (2) Thiết bị lưu trữ, (3) Mạng và mạng định nghĩa bằng phần mềm, (4) Máy vật lý, (5) Quản trị và vận hành, (6) Tích hợp và các yêu cầu khác liên quan. Nhóm 2 bao gồm các yêu cầu liên quan đến: (1) Yêu cầu cơ bản về tính năng an toàn thông tin, (2) Yêu cầu thiết lập cấu hình bảo mật cho cơ sở hạ tầng điện toán đám mây.

Theo đó, Hướng dẫn cũng cung cấp khái niệm về điện toán đám mây (định nghĩa và đặc điểm cơ bản của điện toán đám mây), phân loại các phương pháp triển khai điện toán đám mây (đám mây công cộng, đám mây riêng, đám mây lai và đám mây đa năng) và phân loại các mô hình cung cấp dịch vụ điện toán đám mây: IaaS (Cơ sở hạ tầng dưới dạng Dịch vụ); PaaS (Nền tảng dưới dạng Dịch vụ); và SaaS (Phần mềm dưới dạng Dịch vụ). Hướng dẫn cung cấp hai tùy chọn để triển khai nền tảng điện toán đám mây: tự triển khai, quản trị và vận hành; hoặc sử dụng dịch vụ điện toán đám mây chuyên nghiệp từ các nhà cung cấp đám mây.

Đối với tùy chọn tự triển khai, quản trị và vận hành, các cơ quan nhà nước và doanh nghiệp cần phải có một đội ngũ giàu kinh nghiệm, có khả năng tự xây dựng, quản trị, duy trì và đảm bảo an toàn thông tin của hạ tầng. Do đó, họ được khuyến nghị triển khai tùy chọn 2 là sử dụng dịch vụ điện toán đám mây từ các nhà cung cấp chuyên nghiệp. Với tùy chọn sử dụng dịch vụ điện toán đám mây chuyên nghiệp, Bộ Thông tin và Truyền thông khuyến nghị các cơ quan nhà nước và doanh nghiệp ưu tiên lựa chọn các nhà cung cấp dịch vụ điện toán đám mây đáp ứng tiêu chuẩn kỹ thuật và thông số kỹ thuật và được liệt kê trong danh sách được Bộ công bố. Các nhà cung cấp dịch vụ điện toán đám mây được lựa chọn phải tuân thủ các luật pháp liên quan đến bảo mật thông tin mạng, tuân thủ các tiêu chuẩn kỹ thuật quy định và đáp ứng các tiêu chuẩn kỹ thuật và thông số kỹ thuật quy định trong Hướng dẫn.

Gần đây, trong các phiên thảo luận liên quan tới Dự thảo Luật Viễn thông (sửa đổi), có xuất hiện ý kiến về quy định khung pháp lý rõ ràng và linh hoạt hơn để quản lý và kiểm soát các hoạt động liên quan đến điện toán đám mây và trung tâm dữ liệu. Điều này cũng nhằm thúc đẩy sự phát triển và ứng dụng của công nghệ này trong việc nâng cao hiệu quả hoạt động của các tổ chức và doanh nghiệp, đồng thời bảo vệ an toàn thông tin và quyền riêng tư của người dùng.

Theo đó, các điều khoản và quy định cụ thể trong Luật Viễn thông sẽ được điều chỉnh để phù hợp với các yêu cầu về bảo mật thông tin, quản lý dữ liệu và quyền riêng tư trong môi trường điện toán đám mây và trung tâm dữ liệu. Ngoài ra, các doanh nghiệp cũng đề nghị đơn giản hóa thủ tục đăng ký và điều kiện kinh doanh trong lĩnh vực viễn thông, trung tâm dữ liệu, điện toán đám mây để tạo điều kiện thuận lợi cho hoạt động kinh doanh. Điều này thể hiện sự quan tâm và sẵn sàng của Chính phủ trong việc tạo cơ hội để thúc đẩy sự đổi mới và phát triển trong lĩnh vực công nghệ thông tin tại Việt Nam.

Giải pháp của VNG Cloud đảm bảo tuân thủ luật pháp Việt Nam

Đối với doanh nghiệp, việc lựa chọn nhà cung cấp đám mây phù hợp và đảm bảo tuân thủ đầy đủ các quy định của luật pháp Việt Nam là giải pháp tối ưu nhất cho quá trình chuyển đổi số. Với 2 trung tâm dữ liệu đặt tại Việt Nam, VNG Cloud cam kết tuân thủ nghiêm ngặt các quy định về an toàn và bảo mật, được chứng nhận bởi các tiêu chuẩn quốc tế như ISO 27001, ISO 27017, ISO 27019, PCI DSS, cũng như tuân thủ đúng theo yêu cầu của luật pháp Việt Nam liên quan tới an ninh mạng, và lĩnh vực điện toán đám mây.

Không chỉ vậy, VNG Cloud đã hoàn thành toàn bộ các tiêu chí được Bộ Thông tin và Truyền thông đã ban hành vào năm 2020, gồm 153 tiêu chí để đánh giá các nền tảng điện toán đám mây “Make in Vietnam”, trong đó bao gồm 84 tiêu chí kỹ thuật và 69 tiêu chí về an toàn thông tin. Điều này thể hiện sự cam kết mạnh mẽ của chúng tôi với việc bảo vệ quyền sở hữu trí tuệ và an toàn dữ liệu cá nhân trong lĩnh vực điện toán đám mây.