DỰ THẢO QUY ĐỊNH VỀ DỊCH VỤ TRUNG TÂM DỮ LIỆU

Chính Phủ đang soạn thảo một Nghị Định để sửa đổi một số điều của Nghị định 72/2013 về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng (Dự Thảo Nghị Định). Dự Thảo Nghị Định đề xuất một số thay đổi lớn về Nghị Định 72, một trong số đó là việc mở rộng phạm vi điều chỉnh của Nghị Định 72 để điều chỉnh cả dịch vụ trung tâm dữ liệu. Trước đây, không có quy định nào điều chỉnh dịch vụ này.

Dự thảo Nghị Định đã đưa nhiều quy định mới về dịch vụ trung tâm dữ liệu. Ví dụ như:

1.         Một số định nghĩa liên quan đến dịch vụ trung tâm dữ liệu được giới thiệu, ví dụ như:

1.1.      Kinh doanh dịch vụ trung tâm dữ liệu được định nghĩa là hoạt động thương mại nhằm cung cấp năng lực tính toán, lưu trữ về hạ tầng kỹ thuật do trung tâm dữ liệu đảm nhiệm, bao gồm: dịch vụ cho thuê máy chủ, dịch vụ cho thuê chỗ tại trung tâm dữ liệu, dịch vụ cho thuê chỗ lưu trữ dữ liệu, dịch vụ điện toán đám mây;

1.2.      Dịch vụ cho thuê máy chủ được định nghĩa là dịch vụ cung cấp cho bên sử dụng dịch vụ máy chủ cùng các thiết bị và cơ sở hạ tầng thông tin sẵn có của trung tâm dữ liệu để sử dụng riêng;

1.3.      Dịch vụ cho thuê chỗ tại trung tâm dữ liệu được định nghĩa là dịch vụ cung cấp không gian cho phép bên sử dụng dịch vụ tự thiết kế, lắp đặt máy chủ và/hoặc các thiết bị lưu trữ khác;

1.4.      Dịch vụ cho thuê chỗ tại trung tâm dữ liệu được định nghĩa là dịch vụ cung cấp không gian cho phép bên sử dụng dịch vụ tự thiết kế, lắp đặt máy chủ và/hoặc các thiết bị lưu trữ khác; và

1.5.      Dịch vụ điện toán đám mây được định nghĩa là dịch vụ phân phối các tài nguyên công nghệ thông tin (cơ sở hạ tầng thông tin, nền tảng, phần mềm) dưới dạng dịch vụ trên môi trường mạng, bao gồm: cung cấp tài nguyên máy chủ, dung lượng lưu trữ và kết nối mạng (Infrastructure as a service (IaaS)); cung cấp cho người dùng khả năng tạo dựng, quản lý và vận hành các ứng dụng (Platform as a Service (PaaS); cho thuê các ứng dụng cụ thể cho người dùng (Software as a Service (SaaS).

2.         Doanh nghiệp có nhu cầu cung cấp dịch vụ trung tâm dữ liệu có thể đăng ký kinh doanh trực tuyến thông qua trang thông tin điện tử của Bộ Thông Tin và Truyền Thông (Bộ TTTT) khi đáp ứng các điều kiện sau:

2.1.      có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng, bảo vệ dữ liệu của bên sử dụng dịch vụ; tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật trong quá trình thiết kế, xây dựng và vận hành, khai thác trung tâm dữ liệu; và

2.2.      có công cụ (phần mềm, ứng dụng, hệ thống thông tin) để quản lý, lưu trữ, xác thực và bảo vệ hồ sơ thông tin của bên sử dụng dịch vụ.

3.         Dự Thảo Nghị Định quy định một số nghĩa vụ nghiêm ngặt khác nhau đối với các nhà cung cấp dịch vụ trung tâm dữ liệu:

3.1.      thỏa thuận cung cấp dịch vụ trung tâm dữ liệu phải bao gồm một số nội dung bắt buộc được quy định trong Dự Thảo Nghị Định (trong đó, hầu hết các nội dung bắt buộc này bao gồm các nội dung cơ bản của một thỏa thuận cung cấp dịch vụ, trừ các điều khoản quy định về các hành vi bị pháp luật nghiêm cấm quy định tại Điều 5 của Nghị Định 72 và chính sách bảo vệ dữ liệu);

3.2.      khi cung cấp dịch vụ trung tâm dữ liệu xuyên biên giới, nhà cung cấp dịch vụ phải thông báo cho Bộ TTTT về việc cung cấp đó;

3.3.      nhà cung cấp dịch vụ phải thông báo cho Bộ TTTT khi phát hiện ra bất kỳ hoạt động nào lợi dụng dịch vụ trung tâm dữ liệu để thực hiện hành vi vi phạm an ninh mạng hoặc sở hữu trí tuệ. Đây là một nghĩa vụ khá rộng và nếu không được làm rõ thêm, không rõ nhà cung cấp dịch vụ tuân thủ như thế nào;

3.4.      dữ liệu của khách hàng là tổ chức, cá nhân Việt Nam phải được lưu trữ tại Việt Nam. Yêu cầu này dường như không phù hợp với Điều 26.3 Luật An Ninh Mạng 2018; Điều 26.3 Luật An Ninh Mạng 2018 chỉ yêu cầu chủ thể cung cấp dịch vụ trên không gian mạng lưu trữ dữ liệu cá nhân của khách hàng tại Việt Nam (không giới hạn quốc tịch của khách hàng như quy định tại Dự Thảo Nghị Định); và

3.5.      nhà cung cấp dịch vụ phải lưu trữ thông tin của khách hàng (bản gốc hoặc văn bản điện tử) tối thiểu 5 năm sau khi chấm dứt dịch vụ. Điều 26.3 của Luật An Ninh Mạng 2018 cũng bao gồm một yêu cầu tương tự mặc dù không nêu rõ cách thức thông tin phải được lưu trữ.

Trong khi Dự Thảo Nghị Định được giới thiệu vào cuối năm 2021, chúng tôi chưa thấy bản dự thảo này có sự tiến triển nào. Do đó, không rõ khi nào Dự Thảo Nghị Định được thông qua.

Bài viết do Nguyễn Thu Giang thực hiện và Hoàng Thị Thanh Thùy biên tập.