Dự thảo nghị định hướng dẫn Luật Dữ Liệu xác định khung pháp lý rõ ràng đối với hoạt động xử lý dữ liệu

Chính phủ Việt Nam xác định dữ liệu là một tài sản chiến lược, giữ vai trò quan trọng đối với an ninh quốc gia, quốc phòng và ổn định kinh tế. Nhằm bảo vệ và khai thác dữ liệu một cách hiệu quả, Việt Nam đã tăng cường giám sát và hoàn thiện khung pháp lý đối với quản lý dữ liệu và các hoạt động kinh doanh liên quan. Định hướng này phù hợp với Chiến lược Dữ liệu Quốc gia, được ban hành theo Quyết định số 142/QĐ-TTg ngày 2 tháng 2 năm 2024.

Ngày 30 tháng 11 năm 2024, Quốc hội chính thức thông qua Luật Dữ liệu, có hiệu lực từ ngày 1 tháng 7 năm 2025. Đây sẽ là nền tảng pháp lý quan trọng để điều chỉnh các hoạt động quản trị, bảo mật và xử lý dữ liệu. Nhằm chuẩn bị cho việc triển khai Luật Dữ liệu, ngày 16 tháng 1 năm 2025, Bộ Công an đã công bố một bản dự thảo nghị định với mục đích hướng dẫn, làm rõ các quy định và tạo cơ sở cho việc thực thi Luật Dữ liệu (“Dự thảo Nghị định“), để tham khảo ý kiến công chúng.

Dự thảo Nghị định tập trung vào hệ thống tiêu chí phân loại dữ liệu theo tính chất quan trọng của dữ liệu, bao gồm các nhóm chính: Dữ liệu Cốt lõi là dữ liệu có tác động trực tiếp đến an ninh quốc gia, quốc phòng, đối ngoại, ổn định kinh tế, y tế công cộng và trật tự xã hội; và dữ liệu Thiết yếu là dữ liệu có khả năng ảnh hưởng đến các lĩnh vực trên nhưng ở mức độ thấp hơn.  Bộ Công an cũng công bố một bản dự thảo Danh mục các dữ liệu thuộc các nhóm Dữ liệu Cốt lõi và Dữ liệu Thiết yếu.

Dự thảo Nghị định xác định phạm vi và các hoạt động xử lý dữ liệu, đồng thời quy định các yêu cầu cụ thể đối với việc xử lý từng loại dữ liệu, đặc biệt là Dữ liệu Cốt lõi và Dữ liệu Thiết yếu. Bên cạnh đó, Dự thảo Nghị định đưa ra khung pháp lý chi tiết để tổ chức, cá nhân thực hiện các biện pháp kỹ thuật, quản lý và bảo mật dữ liệu nhằm tuân thủ các quy định hiện hành, bao gồm Luật An ninh mạng, Luật An toàn thông tin mạng và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

1. Các yêu cầu đối với hoạt động xử lý dữ liệu: 

Dự thảo Nghị định đưa ra các định nghĩa về các hoạt động liên quan đến dữ liệu. “Truy cập dữ liệu” được định nghĩa là hành vi tương tác và tác động đến dữ liệu trong phạm vi thẩm quyền được cấp, bao gồm đọc, ghi, sửa đổi, thực thi và các hoạt động khác do chủ sở hữu cơ sở dữ liệu quy định. “Trích xuất dữ liệu” là quá trình truy cập và thu thập dữ liệu, có thể được thực hiện thủ công, tự động, theo thời gian thực hoặc bằng các phương thức khác theo quy định của chủ sở hữu cơ sở dữ liệu. Ngoài ra, Dự thảo Nghị định cũng thiết lập các nguyên tắc quản lý truy cập và trích xuất dữ liệu, cùng với các yêu cầu cụ thể đối với Dữ liệu Cốt lõi và Dữ liệu Thiết yếu.

Trách nhiệm “xác nhận dữ liệu” thuộc về cả chủ sở hữu cơ sở dữ liệu và chủ thể dữ liệu. Tuy nhiên, chủ sở hữu cơ sở dữ liệu có trách nhiệm cuối cùng trong việc đảm bảo chất lượng dữ liệu trong cơ sở dữ liệu của mình. “Xác minh dữ liệu” có thể được thực hiện bởi chủ sở hữu cơ sở dữ liệu, đơn vị vận hành cơ sở dữ liệu hoặc nhà cung cấp dịch vụ xác minh số. Dữ liệu đã được xác minh có giá trị pháp lý tương đương với dữ liệu gốc trong một khoảng thời gian nhất định theo quy định của cơ quan có thẩm quyền.

Dự thảo Nghị định xác định các trường hợp dữ liệu không được công khai, bao gồm:

• Dữ liệu cá nhân mà chủ thể dữ liệu chưa cho phép công khai;
• Bí mật quốc gia hoặc dữ liệu có thể ảnh hưởng đến quốc phòng, an ninh;
• Các dữ liệu mà nếu công khai có thể gây ảnh hưởng tiêu cực đến lợi ích của Đảng Cộng sản, Chính phủ, lợi ích quốc gia, quan hệ đối ngoại, đạo đức xã hội, sức khỏe cộng đồng hoặc có thể gây thiệt hại cho cá nhân hoặc tổ chức.

Ngược lại, một số loại dữ liệu có thể được công khai trong các điều kiện cụ thể, bao gồm:

• Dữ liệu liên quan đến hoạt động kinh doanh có thể được công khai nếu chủ sở hữu dữ liệu đồng ý theo quy định pháp luật;
• Dữ liệu cá nhân liên quan đến đời sống riêng tư hoặc bí mật cá nhân có thể được công khai với sự đồng ý rõ ràng của chủ thể dữ liệu, trong khi dữ liệu liên quan đến bí mật gia đình cần có sự đồng thuận của tất cả thành viên trong gia đình;
• Một số dữ liệu nhạy cảm có thể được cơ quan có thẩm quyền công khai mà không cần sự đồng ý nếu việc công khai nhằm phục vụ lợi ích công cộng, bảo vệ sức khỏe cộng đồng hoặc theo yêu cầu của pháp luật.

Để đảm bảo an toàn dữ liệu, Dự thảo Nghị định yêu cầu áp dụng một hoặc nhiều phương thức mã hóa hoặc quy trình mã hóa/giải mã trong quản lý và vận hành dữ liệu, bao gồm:

• Mã hóa dữ liệu trong quá trình truyền tải;
• Mã hóa dữ liệu khi lưu trữ;
• Mã hóa dữ liệu trên các thiết bị số;
• Biện pháp bảo mật phần cứng nhằm ngăn chặn truy cập trái phép và đảm bảo quá trình mã hóa/giải mã diễn ra trong môi trường an toàn;
• Các quy trình giải mã yêu cầu:
  • Xác định danh tính của cá nhân thực hiện giải mã;
  • Có quyền truy cập dữ liệu đã mã hóa;
• Ghi nhận nhật ký hoạt động mã hóa và giải mã để đảm bảo tính hợp lệ, minh bạch và trách nhiệm giải trình.

Ngoài ra, Dự thảo Nghị định còn có quy định về truy xuất, xóa, hủy, kết hợp, chỉnh sửa, sao chép, truyền tải và chuyển giao dữ liệu. Một yêu cầu quan trọng là các tổ chức và cá nhân phải cung cấp dữ liệu cho cơ quan có thẩm quyền trong một số trường hợp nhất định khi có yêu cầu hợp lệ.

1. Quy định về chuyển giao và xử lý dữ liệu ở nước ngoài 

Một nội dung quan trọng của Dự thảo Nghị định liên quan đến việc chuyển giao và xử lý dữ liệu ở nước ngoài. Theo khung pháp lý này, chủ sở hữu dữ liệu phải tiến hành đánh giá rủi ro, lập báo cáo đánh giá tác động đối với việc chuyển giao và xử lý dữ liệu ở nước ngoài, đồng thời tuân thủ các yêu cầu thủ tục khác được quy định trong Dự thảo Nghị định. Dự thảo cũng quy định các nội dung bắt buộc trong báo cáo đánh giá tác động. Tuy nhiên, chỉ các hoạt động chuyển giao và xử lý Dữ liệu Cốt lõi hoặc Dữ liệu Thiết yếu ở nước ngoài mới cần gửi báo cáo đánh giá tác động đến cơ quan có thẩm quyền để phê duyệt trước. Ngoài ra, các tổ chức xử lý các loại dữ liệu này phải định kỳ cập nhật đánh giá rủi ro. Nếu tập dữ liệu bao gồm dữ liệu cá nhân, các yêu cầu đánh giá tác động theo quy định về bảo vệ dữ liệu cá nhân cũng sẽ được áp dụng.

Ngoài nghĩa vụ đánh giá rủi ro, Dự thảo Nghị định quy định rằng các thỏa thuận giữa bên chuyển giao dữ liệu và bên tiếp nhận phải bao gồm tối thiểu các điều khoản sau:

• Mục đích, phương thức và phạm vi của việc chuyển giao và xử lý dữ liệu ở nước ngoài;
• Địa điểm và thời gian lưu trữ dữ liệu ở nước ngoài, cùng với các biện pháp xử lý dữ liệu sau khi hết thời gian lưu trữ, hoàn thành mục đích đã nêu hoặc chấm dứt thỏa thuận;
• Nghĩa vụ ràng buộc yêu cầu bên tiếp nhận phải hoàn trả dữ liệu;
• Biện pháp bảo mật được áp dụng trong trường hợp có thay đổi quan trọng liên quan đến quyền kiểm soát của bên tiếp nhận, hoạt động kinh doanh, quy định bảo mật dữ liệu tại quốc gia tiếp nhận hoặc các sự kiện bất khả kháng ảnh hưởng đến an toàn dữ liệu;
• Biện pháp khắc phục vi phạm, cơ chế giải quyết tranh chấp và quy định về trách nhiệm pháp lý;
• Quy trình khẩn cấp để xử lý các trường hợp sửa đổi, phá hủy, rò rỉ, mất mát, chuyển giao hoặc thu thập dữ liệu trái phép hoặc bất hợp pháp.

Dự thảo Nghị định hướng đến việc cân bằng giữa bảo đảm an ninh quốc gia và toàn vẹn dữ liệu với việc tạo điều kiện cho dòng chảy dữ liệu quốc tế. Tuy nhiên, các yêu cầu nghiêm ngặt trong Dự thảo có thể đặt ra gánh nặng tuân thủ đối với doanh nghiệp.

Thách thức và cơ hội 

Hệ thống pháp lý về dữ liệu tại Việt Nam đang không ngừng phát triển, mang đến cả thách thức lẫn cơ hội cho doanh nghiệp. Việc tăng cường kiểm soát giúp củng cố an ninh quốc gia và nâng cao quản trị dữ liệu, đồng thời một khung pháp lý rõ ràng hơn có thể mang lại sự chắc chắn cho doanh nghiệp trong các hoạt động số. Để thích ứng hiệu quả với những thay đổi pháp lý này, doanh nghiệp nên:

• Thực hiện kiểm kê dữ liệu toàn diện để xác định các nhóm dữ liệu mà doanh nghiệp đang nắm giữ có bao gồm Dữ liệu Cốt lõi hoặc Dữ liệu Thiết yếu hay không;
• Xem xét và điều chỉnh chính sách xử lý dữ liệu, bao gồm các quy trình chuyển giao và xử lý dữ liệu ở nước ngoài, nhằm phát hiện và khắc phục các khoảng trống tuân thủ;
• Tham gia vào quá trình lấy ý kiến công chúng và đóng góp phản hồi về Dự thảo Nghị định để góp phần định hình các quy định cuối cùng.

Với vị thế dẫn đầu trong lĩnh vực bảo vệ dữ liệu, quyền riêng tư và an ninh thông tin, Russin & Vecchi sẵn sàng hỗ trợ doanh nghiệp chuẩn bị cho các yêu cầu tuân thủ mới này.