Dữ liệu trên không gian mạng phải lưu trữ tại Việt Nam theo quy định

1. Những loại dữ liệu phải lưu trữ tại Việt Nam

Theo yêu cầu của Bộ Công an, các doanh nghiệp nước ngoài cần lưu trữ và xây dựng chi nhánh hoặc văn phòng đại diện tại Việt Nam theo Quyết định của Bộ trưởng Bộ Công an. Cụ thể, dữ liệu sau đây phải được lưu trữ tại Việt Nam:

- Thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam, bao gồm các dạng thông tin như ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh để xác định danh tính của cá nhân.

- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra, bao gồm thông tin về quá trình tham gia, hoạt động, sử dụng không gian mạng, cũng như thông tin về thiết bị và dịch vụ mạng sử dụng để kết nối với không gian mạng trên lãnh thổ Việt Nam. Các thông tin này có thể bao gồm tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập và đăng xuất gần nhất, số điện thoại đăng ký với tài khoản.

- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam, bao gồm thông tin về mối quan hệ với người khác trên không gian mạng, như danh sách bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.

2. Chủ thể phải lưu trữ dữ liệu tại Việt Nam

Quy định tại Điều 26, Khoản 3 của Luật An ninh mạng 2018 mở cửa cho một diễn giải rộng về việc lưu trữ dữ liệu của các doanh nghiệp tại Việt Nam, tạo ra những lo ngại về khả năng thi hành của quy định này. Cụ thể, các doanh nghiệp trong và ngoài nước, khi cung cấp (i) dịch vụ trên mạng viễn thông, (ii) dịch vụ trên mạng Internet và/hoặc (iii) dịch vụ giá trị gia tăng trên không gian mạng tại Việt Nam và thực hiện các hoạt động thu thập, khai thác, phân tích và xử lý dữ liệu của "người sử dụng dịch vụ tại Việt Nam" (được định nghĩa theo Nghị định 53 là tổ chức, cá nhân sử dụng không gian mạng trên lãnh thổ Việt Nam), phải thực hiện lưu trữ Dữ liệu được quy định tại Việt Nam.

Mặc dù Nghị định 53/2022/NĐ-CP không cung cấp hướng dẫn chi tiết về việc lưu trữ dữ liệu đối với các dịch vụ cụ thể mà các doanh nghiệp trong nước cung cấp, nhưng nó đã liệt kê một số Dịch vụ Được Quy định mà các doanh nghiệp nước ngoài cung cấp và bắt buộc phải lưu trữ dữ liệu tại Việt Nam. Các dịch vụ này bao gồm:

- Dịch vụ viễn thông;

- Lưu trữ, chia sẻ dữ liệu trên không gian mạng;

- Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam;

- Thương mại điện tử;

- Thanh toán trực tuyến;

- Trung gian thanh toán;

- Dịch vụ kết nối vận chuyển qua không gian mạng;

- Mạng xã hội và truyền thông xã hội;

- Trò chơi điện tử trực tuyến; và

- Dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến.

Tuy nhiên, không phải tất cả các doanh nghiệp nước ngoài cung cấp các Dịch vụ Được Quy định đều bị buộc phải lưu trữ Dữ liệu Được Quy định của họ tại Việt Nam. Về vấn đề này, Nghị định 53 cũng đưa ra các Điều kiện Phát sinh để yêu cầu lưu trữ dữ liệu tại Việt Nam, chi tiết như sau:

- Dịch vụ do doanh nghiệp cung cấp bị sử dụng để thực hiện hành vi vi phạm pháp luật về an ninh mạng; và

- Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an (“Cục ANM”) đã có thông báo và yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản; nhưng

- Doanh nghiệp đó không tuân thủ, tuân thủ không đầy đủ, hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng mà lực lượng chuyên trách bảo vệ an ninh mạng thực hiện.

Tuy nhiên, cũng có ngoại lệ đối với Điều kiện Phát sinh. Cụ thể, trong trường hợp không thể thực hiện chấp hành yêu cầu của pháp luật về an ninh mạng do tình huống bất khả kháng, doanh nghiệp nước ngoài phải thông báo cho Cục ANM trong vòng 03 ngày làm việc để kiểm tra tính xác thực của tình huống bất khả kháng. Trong thời hạn 30 ngày làm việc kể từ khi thông báo, doanh nghiệp có trách nhiệm tìm kiếm và thực hiện các biện pháp khắc phục.

3. Thời hạn lưu trữ dữ liệu tại Việt Nam

Nếu Nghị định 53 đặt yêu cầu tự động lưu trữ Dữ liệu Được Quy định tại Việt Nam đối với doanh nghiệp trong nước, thì đối với doanh nghiệp nước ngoài, Dữ liệu Được Quy định sẽ phải được lưu trữ trong một khoảng thời gian cụ thể, được quy định trong Quyết định của Bộ trưởng Bộ Công an. Thời gian này bắt đầu tính từ thời điểm doanh nghiệp nhận được Quyết định nói trên. Tuy nhiên, quy định chung là thời gian lưu trữ tối thiểu không được ít hơn 24 tháng trong mọi trường hợp.

Cần lưu ý rằng, trong mọi tình huống, doanh nghiệp nước ngoài phải hoàn thành việc lưu trữ dữ liệu tại Việt Nam sớm nhất có thể trong vòng 12 tháng kể từ khi Bộ trưởng Bộ Công an đưa ra Quyết định yêu cầu lưu trữ dữ liệu. Ngoài ra, trong trường hợp có yêu cầu ngăn chặn hoặc xóa bỏ thông tin bị cấm từ Bộ Công an hoặc Bộ Thông tin và Truyền thông, nhật ký hệ thống phục vụ cho điều tra và xử lý hành vi vi phạm pháp luật về an ninh mạng phải được lưu trữ ít nhất là 12 tháng. Mặc dù Nghị định 53 không rõ ràng về thời điểm bắt đầu của giai đoạn 12 tháng này, tuy nhiên, theo quan điểm của chúng tôi, thời kỳ này nên được tính từ thời điểm các doanh nghiệp nhận được yêu cầu từ Cục An ninh mạng.

4. Các yêu cầu lưu trữ dữ liệu khác mà doanh nghiệp cần chú ý

Bên cạnh yêu cầu về lưu trữ dữ liệu tại Việt Nam đã được mô tả, các doanh nghiệp, bao gồm cả trong và ngoài nước, cần chú ý đến những yêu cầu chung sau đây:

- Trường hợp không thu thập, khai thác, phân tích, xử lý toàn bộ Dữ liệu Được Quy định: Nếu doanh nghiệp không thực hiện quy trình thu thập, khai thác, phân tích, và xử lý toàn bộ Dữ liệu Được Quy định, doanh nghiệp phải hợp tác với Cục An ninh mạng (Cục ANM) để xác nhận và tiến hành lưu trữ các loại dữ liệu hiện đang được thu thập, khai thác, phân tích, và xử lý.

- Trường hợp tiến hành thu thập, khai thác, phân tích, xử lý bổ sung Dữ liệu Được Quy định: Nếu doanh nghiệp quyết định thực hiện việc thu thập, khai thác, phân tích, và xử lý thêm các loại Dữ liệu Được Quy định, doanh nghiệp phải chịu trách nhiệm hợp tác với Cục ANM để bổ sung vào danh sách dữ liệu cần được lưu trữ tại Việt Nam.

5. Yêu cầu thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam mà doanh nghiệp nước ngoài cần biết

Như đã trình bày, ngoài trách nhiệm lưu trữ dữ liệu, các doanh nghiệp nước ngoài cung cấp Dịch vụ Được Quy định phải tuân thủ yêu cầu về việc thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam khi xảy ra Điều kiện Phát sinh, như quy định trong Quyết định của Bộ trưởng Bộ Công an. Mặc dù Nghị định 53 không đề cập rõ mục đích của yêu cầu này, tuy nhiên, có vẻ như việc có chi nhánh hoặc văn phòng đại diện tại Việt Nam sẽ hỗ trợ doanh nghiệp nước ngoài hợp tác hiệu quả hơn với các cơ quan Nhà nước địa phương, ngay tại địa điểm tại Việt Nam, để giải quyết các vấn đề liên quan đến lưu trữ Dữ liệu Được Quy định của họ.

Cục An ninh mạng (Cục ANM) sẽ chịu trách nhiệm thông báo, hướng dẫn, theo dõi, giám sát, và đôn đốc doanh nghiệp nước ngoài thực hiện yêu cầu lưu trữ dữ liệu, cũng như đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Đồng thời, Cục ANM sẽ thông báo cho các cơ quan liên quan để thực hiện chức năng quản lý Nhà nước theo thẩm quyền.

Cần lưu ý rằng trong mọi tình huống, doanh nghiệp nước ngoài phải hoàn thành việc đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam sớm nhất có thể trong thời hạn 12 tháng kể từ ngày Bộ trưởng Bộ Công an ra Quyết định yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Thời gian này được tính từ thời điểm doanh nghiệp nước ngoài nhận được Quyết định từ Bộ trưởng Bộ Công an và kéo dài cho đến khi doanh nghiệp không còn hoạt động hoặc kinh doanh tại Việt Nam hoặc không còn cung cấp Dịch vụ Được Quy định cho thị trường/tại Việt Nam.

Bài viết liên quan: Không gian mạng quốc gia là gì? Do tổ chức, cá nhân nào quản lý?

Luật Minh Khuê xin tiếp nhận yêu cầu tư vấn của quý khách hàng thông qua số hotline: 1900.6162 hoặc email: lienhe@luatminhkhue.vn. Xin trân trọng cảm ơn!