BẢN TIN PHÁP LÝ – THÁNG 10, 2022 – Nghị định 53/2022: Một số điểm đáng chú ý khi thi hành Luật An ninh mạng.

Phát hành 10/2022

Nguyễn Trọng Nghĩa
Luật sư Thành viên

Lê Anh Kiên 
Luật sư Cộng sự

Ngày 12/06/2018, Quốc hội đã thông qua Luật An ninh mạng và có hiệu lực kể từ ngày 01/01/2019, tuy nhiên một số điều khoản chưa được quy định rõ ràng và có nhiều vướng mắc trong việc thi hành trên thực tế. Do đó, mới đây ngày 15/08/2022, Chính phủ đã ban hành Nghị định số 53/2022/NĐ-CP (“Nghị định 53”) nhằm quy định chi tiết một số điều của Luật An ninh mạng.

Nghị định 53 có hiệu lực kể từ ngày 01/10/2022 và có một số điểm chính đáng lưu ý như sau:

Lưu trữ dữ liệu

Việc lưu trữ dữ liệu được coi là điểm đáng lưu ý nhất của Nghị định 53. Theo đó, chủ thể phải thực hiện việc lưu trữ dữ liệu tại Việt Nam là các doanh nghiệp nước ngoài có hoạt động kinh doanh tại Việt Nam thuộc một trong những lĩnh vực: Dịch vụ viễn thông; lưu trữ, chia sẻ dữ liệu trên không gian mạng; cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; thương mại điện tử; thanh toán trực tuyến; trung gian thanh toán; dịch vụ kết nối vận chuyển qua không gian mạng; mạng xã hội và truyền thông xã hội; trò chơi điện tử trên mạng; dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến thì phải lưu trữ dữ liệu theo quy định và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam trong trường hợp dịch vụ do doanh nghiệp nước ngoài cung cấp bị sử dụng thực hiện hành vi vi phạm pháp luật về an ninh mạng đã được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thông báo và có yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản nhưng không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện. Thời gian đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam bắt đầu từ khi doanh nghiệp nước ngoài nhận được yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam đến khi doanh nghiệp nước ngoài không còn hoạt động tại Việt Nam hoặc dịch vụ được quy định không còn cung cấp tại Việt Nam.

Đối với doanh nghiệp trong nước, Khoản 2 Điều 26 Nghị định 53 quy định “Doanh nghiệp trong nước lưu trữ dữ liệu quy định tại khoản 1 Điều này tại Việt Nam”. Nội dung này có thể được hiểu là toàn bộ doanh nghiệp trong nước đều có nghĩa vụ lưu trữ các loại dữ liệu theo quy định. Tuy nhiên, có thể có quan điểm khác cho rằng chỉ những doanh nghiệp trong nước “cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra” mới phải lưu trữ dữ liệu này tại Việt Nam (trích Khoản 3 Điều 26 Luật An ninh mạng 2018).

Loại dữ liệu cần lưu trữ

Theo quy định của Nghị định 53, loại dữ liệu mà doanh nghiệp phải lưu trữ tại Việt Nam bao gồm (i) Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam; (ii) Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: Tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu và (iii) Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.

Hình thức và thời gian lưu trữ dữ liệu

Hình thức lưu trữ dữ liệu tại Việt Nam do doanh nghiệp quyết định.

Về thời gian lưu trữ dữ liệu, Nghị định 53 quy định: “Thời gian lưu trữ dữ liệu theo quy định tại Điều 26 Nghị định này bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu đến khi kết thúc yêu cầu. Thời gian lưu trữ tối thiểu là 24 tháng.”

Quy định này không chỉ rõ đối tượng áp dụng là doanh nghiệp trong nước hay doanh nghiệp nước ngoài, tuy nhiên, có thể hiểu quy định này chỉ áp dụng với doanh nghiệp nước ngoài do đây là đối tượng có nghĩa vụ lưu trữ dữ liệu khi có yêu cầu của cơ quan nhà nước có thẩm quyền. Đối với doanh nghiệp trong nước, việc lưu trữ dữ liệu có thể được hiểu là phải thực hiện trong suốt quá trình doanh nghiệp hoạt động, kể từ khi Nghị định 53 có hiệu lực.

Các nội dung khác

Ngoài nội dung quy định về lưu trữ dữ liệu, Nghị định 53 còn có các quy định quan trọng khác liên quan đến xác lập danh mục hệ thống thông tin quan trọng về an ninh quốc gia; điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; trình tự, thủ tục áp dụng biện pháp bảo vệ an ninh mạng; các hoạt động bảo vệ an ninh mạng trong cơ quan Nhà nước, tổ chức chính trị ở trung ương và địa phương./.

Download pdf version