Từ ngày 1/10/2022, Nghị định 53 quy định chi tiết một số điều của Luật An ninh mạng chính thức có hiệu lực thi hành. Một trong các nội dung đáng chú ý là quy định về các loại dữ liệu Internet của người sử dụng dịch vụ tại Việt Nam mà doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ phải lưu trữ tại Việt Nam, xuất trình khi yêu cầu.
Toàn bộ thông tin cá nhân, dữ liệu tạo ra và dữ liệu các mối quan hệ của người sử dụng dịch vụ tại Việt Nam của doanh nghiệp dịch vụ bị buộc phải lưu trữ, trình xuất theo yêu cầu của Bộ Công an. (Ảnh minh họa: VideoFlow/Shutterstock)
Bộ Công an công bố theo đề nghị của Bộ trưởng Bộ Công an, Chính phủ ban hành Nghị định số 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng có hiệu lực thi hành từ ngày 1/10/2022 (sau đây gọi là Nghị định 53).
Luật An ninh mạng 2018 quy định doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
Nghị định 53 quy định các loại dữ liệu phải lưu trữ tại Việt Nam bao gồm:
(i) Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam.
(ii) Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: Tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu.
(iii) Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.
Hình thức lưu trữ dữ liệu tại Việt Nam do doanh nghiệp quyết định. Thời gian lưu trữ dữ liệu bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu đến khi kết thúc yêu cầu, tối thiểu là 24 tháng.
Các doanh nghiệp phải lưu trữ dữ liệu tại Việt Nam bao gồm các doanh nghiệp trong nước; doanh nghiệp nước ngoài có hoạt động kinh doanh tại Việt Nam thuộc một trong những lĩnh vực sau: Dịch vụ viễn thông; lưu trữ, chia sẻ dữ liệu trên không gian mạng; cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; thương mại điện tử; thanh toán trực tuyến; trung gian thanh toán; dịch vụ kết nối vận chuyển qua không gian mạng; mạng xã hội và truyền thông xã hội; trò chơi điện tử trên mạng; dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến.
Trong đó, doanh nghiệp nước ngoài có hoạt động kinh doanh tại Việt Nam phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam trong trường hợp dịch vụ do doanh nghiệp cung cấp bị sử dụng để thực hiện hành vi vi phạm pháp luật về an ninh mạng đã được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an thông báo và có yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản nhưng không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện.
Trong trường hợp bất khả kháng, không thể thực hiện theo yêu cầu, doanh nghiệp nước ngoài cần thông báo cho A05 trong vòng 3 ngày làm việc để kiểm tra tính xác thực của việc bất khả kháng. Trong trường hợp này, doanh nghiệp có thời gian 30 ngày làm việc để tìm phương án khắc phục.
Yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam do Bộ trưởng Bộ Công an quyết định, thời hạn doanh nghiệp thực hiện là trong 12 tháng kể từ ngày Bộ trưởng ra quyết định.
Đối với trường hợp dữ liệu do doanh nghiệp thu thập, khai thác, phân tích, xử lý không đầy đủ, doanh nghiệp phải phối hợp với A05 để xác nhận và tiến hành lưu trữ các loại dữ liệu hiện đang thu thập, khai thác, phân tích, xử lý.
Còn với trường hợp doanh nghiệp tiến hành thu thập, khai thác, phân tích, xử lý bổ sung các loại dữ liệu cần lưu trữ, doanh nghiệp phải phối hợp với A05 để bổ sung vào danh sách dữ liệu phải lưu trữ tại Việt Nam.
Nguyễn Quân