1. Những dữ liệu nào phải được lưu trữ ở Việt Nam
Theo quyết định của Bộ trưởng Bộ Công an đối với doanh nghiệp nước ngoài thì các dữ liệu sau phải được lưu trữ tại Việt Nam, cụ thể:
-
Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;
-
Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: bao gồm tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ email, địa chỉ mạng (IP) lần đăng nhập và đăng xuất gần nhất, số điện thoại đăng ký gắn liền với tài khoản hoặc dữ liệu; Và
-
Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bao gồm danh sách bạn bè, danh sách nhóm mà người dùng dịch vụ kết nối hoặc tương tác.
2. Đối tượng phải lưu trữ dữ liệu ở Việt Nam
Điều 26.3 của Luật An ninh mạng 2018 đưa ra cách giải thích rộng rãi về việc các doanh nghiệp phải lưu trữ dữ liệu, điều này gây lo ngại về khả năng thực thi của quy định này. Cụ thể, các doanh nghiệp trong và ngoài nước cung khi cung cấp các dịch vụ trên (i) mạng viễn thông, (ii) Internet và/hoặc (iii) các dịch vụ giá trị gia tăng trên không gian mạng tại Việt Nam thực hiện các hoạt động thu thập, khai thác, phân tích và xử lý dữ liệu của “Người sử dụng dịch vụ tại Việt Nam” phải lưu trữ Dữ liệu và đặt văn phòng đại diện tại Việt Nam trong trường hợp dịch vụ do doanh nghiệp cung cấp bị sử dụng thực hiện hành vi vi phạm pháp luật về an ninh mạng.
Mặc dù Nghị định 53/2022/NĐ-CP không có hướng dẫn thêm về các dịch vụ cụ thể yêu cầu doanh nghiệp trong nước phải lưu trữ dữ liệu tại Việt Nam, tuy nhiên đối với doanh nghiệp nước ngoài có hoạt động kinh doanh tại Việt Nam phải lưu trữ dữ liệu nếu họ thuộc một trong những lĩnh vực sau:
-
Dịch vụ viễn thông;
-
Lưu trữ và chia sẻ dữ liệu trên không gian mạng;
-
Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam;
-
Thương mại điện tử;
-
Thanh toán trực tuyến;
-
Dịch vụ trung gian thanh toán;
-
Dịch vụ kết nối vận tải qua không gian mạng;
-
Mạng xã hội và phương tiện truyền thông xã hội;
-
Trò chơi điện tử trực tuyến; Và
-
Dịch vụ cung cấp, quản lý hoặc vận hành các thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, email, trò chuyện trực tuyến.
Tuy nhiên, không phải tất cả các doanh nghiệp nước ngoài cung cấp Dịch vụ đều phải lưu trữ Dữ liệu được quản lý tại Việt Nam. Về vấn đề này, Nghị định 53 có bổ sung thêm điều kiện để yêu cầu lưu trữ dữ liệu tại Việt Nam, cụ thể như sau:
-
Dịch vụ do doanh nghiệp cung cấp được sử dụng để thực hiện hành vi vi phạm Luật An ninh mạng; Và
-
Cục An ninh mạng và phòng, chống tội phạm công nghệ cao Bộ Công an đã có văn bản thông báo và yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản; Nhưng
-
Doanh nghiệp không tuân thủ, không tuân thủ đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, vô hiệu hóa các biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện.
Lưu ý: Trong trường hợp bất khả kháng, doanh nghiệp nước ngoài không thể đáp ứng yêu cầu lưu trữ dữ liệu thì phải thông báo cho Cục An ninh mạng trong vòng 03 ngày làm việc để xác minh. Trong thời hạn 30 ngày, doanh nghiệp nước ngoài đó cũng phải tìm cách giải quyết sự cố đó.
3. Những yêu cầu doanh nghiệp nước ngoài phải biết khi thành lập văn phòng đại diện tại Việt Nam
Khi doanh nghiệp nước ngoài cung cấp Dịch vụ tại Việt Nam nếu rơi vào các trường hợp được yêu cầu lưu trữ dữ liệu sẽ đồng thời được Bộ trưởng Bộ Công thương yêu cầu thành lập văn phòng đại diện tại Việt Nam. Nghị định 53 không đề cập đến mục đích của yêu cầu này. Tuy nhiên, có vẻ như việc văn phòng đại diện tại Việt Nam sẽ hỗ trợ doanh nghiệp nước ngoài hợp tác tốt hơn với chính quyền địa phương tại Việt Nam trong việc giải quyết các vấn đề liên quan đến Dữ liệu được quản lý được lưu trữ tại Việt Nam.
Lưu ý trong mọi trường hợp, văn phòng đại diện phải do doanh nghiệp nước ngoài thành lập tại Việt Nam trong thời gian sớm nhất là 12 tháng kể từ ngày Bộ trưởng Bộ Công thương có quyết định đề nghị thành lập văn phòng đại diện tại Việt Nam.
Cần lưu ý thêm rằng doanh nghiệp nước ngoài phải duy trì văn phòng đại diện được thành lập tại Việt Nam trong một khoảng thời gian kể từ khi doanh nghiệp nhận được yêu cầu của Bộ trưởng Bộ Công thương về việc thành lập văn phòng đại diện cho đến khi doanh nghiệp đó chấm dứt hoạt động hoặc hoạt động kinh doanh của doanh nghiệp đó (tức là ngừng cung cấp Dịch vụ) tại Việt Nam.
4. Những biện pháp xử phạt có thể xảy ra mà doanh nghiệp nên biết
Những doanh nghiệp không tuân thủ quy định của Luật An ninh mạng và Nghị định 53 sẽ tùy theo tính chất, mức độ vi phạm sẽ bị xử lý bằng văn bản pháp luật riêng.
#Thảo Nguyễn
#INC
#HCM