Nghị Định 53/2022 - Hướng dẫn chi tiết về nội địa hóa dữ liệu tại Việt Nam

Giới thiệu

Vào tháng 8 năm 2022, Chính Phủ đã ban hành Nghị Định 53/2022 quy định chi tiết, bên cạnh những nội dung khác, các yêu cầu về nội địa hóa dữ liệu tại Việt Nam. Điều 26.3 Luật An Ninh Mạng 2018 (Luật ANM 2018) có yêu cầu chung về nội địa hóa dữ liệu. Tuy nhiên, do thiếu các quy định hướng dẫn thực hiện, điều luật này không được thực thi trên thực tế trong nhiều năm. Hướng dẫn mới theo Nghị Định 53/2022 có thể sẽ tăng tính khả thi cho luật kể từ ngày 1 tháng 10 năm 2022. Trong bài viết này, chúng tôi sẽ bình luận một số điểm nổi bật về yêu cầu nội địa hóa dữ liệu theo Nghị Định 53/2022. Bài viết này được thực hiện bởi Trịnh Phương Thảo và biên tập bởi Nguyễn Quang Vũ.

Các yêu cầu nội địa hóa dữ liệu

Theo Luật ANM 2018 và Nghị Định 53/2022, các yêu cầu về nội địa hóa dữ liệu bao gồm hai biện pháp chính:

·         Yêu Cầu Lưu Trữ: theo yêu cầu này, doanh nghiệp liên quan phải lưu trữ Dữ Liệu Nội Địa Hóa (được định nghĩa bên dưới) tại Việt Nam. Yêu Cầu Lưu Trữ áp dụng cho cả các doanh nghiệp trong nước và nước ngoài; và

·         Yêu Cầu Hiện Diện Trong Nước: theo yêu cầu này, doanh nghiệp liên quan phải thành lập một văn phòng đại diện hoặc một chi nhánh tại Việt Nam. Yêu cầu này chỉ được áp dụng cho các doanh nghiệp nước ngoài.

Về Yêu Cầu Lưu Trữ,

·         Hình Thức Lưu Trữ: Nghị Định 53/2022 quy định doanh nghiệp có thể quyết định hình thức lưu trữ. Quy định này có thể mang lại cho doanh nghiệp sự linh hoạt đáng kể trong việc quyết định cách thức lưu trữ Dữ Liệu Nội Địa Hóa tại Việt Nam. Tuy nhiên, không rõ liệu (1) doanh nghiệp liên quan phải lưu trữ Dữ Liệu Nội Địa Hóa dưới dạng mà cơ quan có thẩm quyền có thể đọc được hay (2) doanh nghiệp liên quan có thể lưu trữ Dữ Liệu Nội Địa Hóa ở dạng mã hóa hoặc ở dạng phi điện tử; và

·         Thời Gian Lưu Trữ: Theo Nghị Định 53/2022, thời gian lưu trữ dữ liệu tối thiểu là 24 tháng kể từ ngày doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu. Không rõ quy định này chỉ áp dụng cho doanh nghiệp nước ngoài hay cả doanh nghiệp trong nước và doanh nghiệp nước ngoài. Điều này là do chỉ các doanh nghiệp nước ngoài mới nhận được yêu cầu lưu trữ dữ liệu từ cơ quan có thẩm quyền trong một số trường hợp nhất định (xem bên dưới). Nếu không áp dụng thời gian lưu trữ đối với các doanh nghiệp trong nước, thì không rõ doanh nghiệp trong nước phải lưu trữ dữ liệu trong bao lâu.

Về Yêu Cầu Hiện Diện Trong Nước, có một số vấn đề như sau:

·         Theo quy định của pháp luật Việt Nam, doanh nghiệp nước ngoài chỉ được thành lập chi nhánh nếu Việt Nam cam kết cho phép thành lập chi nhánh trong các điều ước quốc tế có liên quan (ví dụ như cam kết WTO, hoặc CPTPP). Do đó, có khả năng việc thành lập Văn Phòng Đại Diện là một lựa chọn khả quan hơn; và

·         Không rõ liệu chi nhánh hoặc văn phòng đại diện tại Việt Nam của doanh nghiệp nước ngoài có trách nhiệm phải tuân thủ Luật ANM 2018 và Nghị Định 53/2022 như đối với doanh nghiệp nước ngoài hay không.

Các yêu cầu về loại dữ liệu phải được lưu trữ trong nước

Điều 26.1 Nghị Định 53/2022 yêu cầu ba loại dữ liệu phải được lưu trữ tại Việt Nam như sau (Dữ Liệu Nội Địa Hóa):

·         Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam, được định nghĩa là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định danh tính một cá nhân;

·         Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra bao gồm tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu; và

·         Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam, bao gồm bạn bè và nhóm mà người sử dụng kết nối hoặc tương tác.

Về hai loại dữ liệu cuối cùng, không rõ đây là một danh sách đầy đủ về toàn bộ các dữ liệu phải được lưu trữ tại Việt Nam hay bất kỳ dữ liệu nào thuộc định nghĩa là “dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra” "dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam" theo Nghị Định 53/2022 cũng phải được lưu trữ tại Việt Nam.

Các yêu cầu nội địa hóa dữ liệu đối với các doanh nghiệp trong nước

Một doanh nghiệp trong nước cung cấp các dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ giá trị gia tăng và thực hiện các hoạt động “thu thập, phân tích, xử lý” Dữ Liệu Nội Địa Hóa phải lưu trữ Dữ Liệu Nội Địa Hóa Tại Việt Nam.

Điều này là do Nghị Định 53/2022 chỉ quy định rằng các doanh nghiệp trong nước phải lưu trữ Dữ Liệu Nội Địa Hóa tại Việt Nam mà không có hướng dẫn thêm. Theo đó, các doanh nghiệp trong nước được điều chỉnh tại Luật ANM 2018 phải lưu trữ Dữ Liệu Nội Địa Hóa tại Việt Nam.

Thuật ngữ “doanh nghiệp trong nước” nên bao gồm tất cả các doanh nghiệp được thành lập tại Việt Nam kể cả các doanh nghiệp có vốn đầu tư nước ngoài. Tuy nhiên, không rõ văn phòng đại diện hoặc chi nhánh của doanh nghiệp nước ngoài tại Việt Nam phải tuân theo quy định áp dụng đối với doanh nghiệp trong nước hay doanh nghiệp nước ngoài.

Nghị Định 53/2022 cũng không quy định rõ liệu các yêu cầu về nội địa hóa dữ liệu được áp dụng cho một doanh nghiệp thực hiện tất cả ba hoạt động “thu thập, phân tích, xử lý” Dữ Liệu Nội Địa Hóa hay cho doanh nghiệp thực hiện bất kỳ hoạt động nào trong ba hoạt động này.

Các yêu cầu nội địa hóa dữ liệu đối với các doanh nghiệp nước ngoài

Doanh nghiệp nước ngoài phải tuân thủ Yêu Cầu Lưu Trữ và Yêu Cầu Hiện Diện Trong Nước nếu tất cả các điều kiện sau được thỏa mãn:

·           Lĩnh Vực Điều Chỉnh: Doanh nghiệp nước ngoài hoạt động trong các lĩnh vực sau: (i) dịch vụ viễn thông; (ii) lưu trữ và chia sẻ dữ liệu trên không gian mạng; (iii) cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; (iv) thương mại điện tử; (v) thanh toán trực tuyến; (vi) trung gian thanh toán; (vii) dịch vụ kết nối vận chuyển qua không gian mạng; (viii) mạng xã hội và truyền thông xã hội; (ix) trò chơi điện tử trên mạng; (x) dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến; và

·           Điều Kiện Tác Động: Bộ Trưởng Bộ Công An ra quyết định bằng văn bản yêu cầu doanh nghiệp nước ngoài thực hiện yêu cầu nội địa hóa dữ liệu sau khi (1) doanh nghiệp nước ngoài không chấp hành hoặc chấp hành không đầy đủ thông báo bằng văn bản của Cục An Ninh Mạng Và Phòng Chống Tội Phạm Sử Dụng Công Nghệ Cao (A05) rằng (1.1) các dịch vụ do doanh nghiệp nước ngoài cung cấp bị sử dụng thực hiện hành vi vi phạm pháp luật về an ninh mạng và (1.2) doanh nghiệp nước ngoài phải hợp tác với A05 để khắc phục vi phạm đó; hoặc (2) doanh nghiệp đã ngăn chặn, cản trở hoặc vô hiệu hóa biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện. Không rõ liệu trong trường hợp (2) có cần thông báo từ A05 hay không. Trong trường hợp xảy ra sự kiện bất khả kháng mà doanh nghiệp nước ngoài không thể thực hiện theo yêu cầu của A05, doanh nghiệp nước ngoài phải thông báo cho A05 về sự kiện bất khả kháng và khắc phục tình hình trong thời hạn 30 ngày làm việc.

Doanh nghiệp nước ngoài được phép có 12 tháng kể từ ngày được yêu cầu để tuân thủ Yêu Cầu Lưu Trữ và Yêu Cầu Hiện Diện Trong Nước.