Vision & Associates

Vision & Associates

Hướng dẫn chi tiết về Luật An ninh mạng

Đăng ngày: 08/01/2019 Đăng bởi:
Hướng dẫn chi tiết về Luật An ninh mạng
Ấn Phẩm 
image_pdfimage_print

Mặc dù đã có nhiều văn bản mới được ban hành về quyền riêng tư và an ninh mạng, các công ty đa quốc gia vẫn cần phải trông đợi có thêm các quy định hướng dẫn cụ thể (trong đó có các văn bản hướng dẫn thực hiện Luật An ninh Mạng của Việt Nam) dự kiến sẽ được ban hành vào năm 2019.

Khác với nhiều đạo luật mới được ban hành tại nhiều nước trên thế giới (trong đó có Đạo luật Bảo vệ Người tiêu dùng California (CCPA)) lấy cảm hứng từ Quy định Bảo vệ Dữ liệu Chung của Liên minh châu Âu (GDPR), Luật An ninh Mạng (LANM) mới được ban hành tại Việt Nam chia sẻ nhiều điểm tương đồng với Luật An ninh Mạng của Trung Quốc. Giống như ở Trung Quốc, LANM không tập trung quá nhiều vào quyền cá nhân, mà cung cấp cho Chính phủ khả năng kiểm soát luồng thông tin và bảo vệ cơ sở hạ tầng mạng quan trọng.

Được thông qua vào tháng 6 năm 2018, LANM của Việt Nam sẽ có hiệu lực vào tháng 1 năm 2019. Mặc dù vậy, theo một dự thảo Nghị định hướng dẫn LANM sẽ do Chính phủ Việt Nam ban hành trong năm 2019, một số yêu cầu bắt buộc của LANM (trong đó có yêu cầu buộc các công ty nước ngoài thuộc phạm vi điều chỉnh của Luật này phải lưu trữ dữ liệu và thành lập hiện diện thương mại ở Việt Nam) có thể sẽ phải lùi thời hạn thực hiện tại Việt Nam.

Luật áp dụng khi nào và với những đối tượng nào?

Giống như GDPR và CCPA, LANM đưa ra nhiều yêu cầu (trong đó có yêu cầu phải lưu trữ dữ liệu ở Việt Nam) đối với các công ty trong và ngoài lãnh thổ Việt Nam. Tuy nhiên, không giống với GDPR và CCPA, LANM còn yêu cầu các công ty nước ngoài phải thành lập văn phòng đại diện hoặc chi nhánh ở Việt Nam. Yêu cầu này (được thảo luận chi tiết bên dưới) sẽ được áp dụng đối với bất kỳ công ty nước ngoài nào cung cấp dịch vụ viễn thông hoặc Internet, hoặc hoạt động trong các ngành công nghiệp giá trị gia tăng tại Việt Nam; có hành vi thu thập, xử lý, khai thác hoặc phân tích dữ liệu cá nhân về người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ ở Việt Nam tạo ra hoặc dữ liệu về mối quan hệ của người sử dụng dịch vụ.

Với phạm vi điều chỉnh rộng lớn của LANM bao quát tất cả các chủ thể cung cấp dịch vụ trong “không gian mạng”, dự thảo Nghị định sẽ cụ thể hóa các đối tượng điều chỉnh có thể sẽ bao gồm các chủ thể sau: các công ty viễn thông; các công ty lưu trữ hoặc chia sẻ dữ liệu như các nhà cung cấp dịch vụ đám mây; các công ty cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; các trang thương mại điện tử; các công ty thanh toán trực tuyến; trung gian thanh toán; ứng dụng kết nối vận chuyển; mạng xã hội và phương tiện truyền thông xã hội; trò chơi điện tử; và thư điện tử.

Đi theo xu hướng quy định việc thu thập thông tin cá nhân theo nghĩa rộng do GDPR khởi xướng, Việt Nam cũng định nghĩa thông tin cá nhân nói chung là thông tin liên quan đến việc xác định một người cụ thể. Dự thảo Nghị định không sửa đổi cách định nghĩa nêu trên, nhưng nêu rõ thêm rằng thông tin cá nhân bao gồm cả các thông tin như họ tên, hồ sơ y tế và dữ liệu sinh trắc học. Cùng với thông tin cá nhân, LANM cũng bảo vệ dữ liệu được tạo ra do người sử dụng dịch vụ tải lên, dữ liệu về mối quan hệ của người sử dụng dịch vụ (chủ yếu đề cập đến các kết nối truyền thông xã hội) và nhật ký hệ thống.

Các yêu cầu của Luật này là gì?

LANM thiết lập một số nghĩa vụ tiềm tàng đối với các đối tượng thuộc phạm vi điều chỉnh của Luật này.

Thứ nhất, các nhà cung cấp dịch vụ thuộc phạm vi điều chỉnh của LANM phải tuân thủ yêu cầu về lưu trữ dữ liệu ở Việt Nam. Theo đó, một số loại dữ liệu của người sử dụng dịch vụ do LANM quy định phải được lưu trữ tại Việt Nam trong khoảng thời gian nhất định phụ thuộc vào loại dữ liệu được thu thập. Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ phải được lưu trữ tại Việt Nam trong suốt thời hạn hoạt động của doanh nghiệp thuộc phạm vi điều chỉnh của LANM hoặc trong suốt thời gian cung cấp dịch vụ của doanh nghiệp trên không gian mạng ở Việt Nam. Dữ liệu tạo ra do người sử dụng dịch vụ tải lên và dữ liệu về mối quan hệ của người sử dụng dịch vụ phải được lưu trữ ít nhất trong 36 tháng và nhật ký hệ thống phải được lưu trữ ít nhất trong 12 tháng ở Việt Nam. LANM vẫn chưa có quy định rõ ràng về việc toàn bộ các dữ liệu nói trên (như trường hợp của Trung Quốc) hay là chỉ một bản sao của các dữ liệu này (như trường hợp của Nga) cần được lưu trữ ở Việt Nam.

Thứ hai, LANM yêu cầu các nhà cung cấp dịch vụ thuộc phạm vi điều chỉnh của LANM phải tuân thủ mọi yêu cầu của Chính phủ về xóa bỏ dữ liệu mà Việt Nam cho là bất hợp pháp. Luật xác định nhiều loại dữ liệu bất hợp pháp, trong đó hầu hết là các dữ liệu có nội dung chỉ trích Chính phủ Việt Nam hoặc thông tin bịa đặt hoặc sai sự thật trong một số lĩnh vực nhất định, chẳng hạn như tài chính, ngân hàng, thương mại điện tử, thanh toán trực tuyến, v.v. Theo đó, nhà cung cấp dịch vụ phải xóa bỏ nội dung trái pháp luật chậm nhất 24 giờ kể từ thời điểm nhận được thông báo của cơ quan Nhà nước có thẩm quyền và có thể còn phải thực hiện các bước khắc phục khác (như cấm người sử dụng dữ liệu truy cập các dịch vụ của nhà cung cấp trong tương lai) nếu được yêu cầu.

Thứ ba, một số doanh nghiệp nước ngoài thuộc phạm vi điều chỉnh của LANM được yêu cầu phải thành lập hiện diện thương mại tại Việt Nam. Nội dung ban đầu của LANM hướng tới việc yêu cầu tất cả các doanh nghiệp nước ngoài thuộc phạm vi điều chỉnh của Luật phải thành lập hiện diện thương mại tại Việt Nam. Tuy nhiên, dự thảo Nghị định gần đây nhất đã giới hạn phạm vi của yêu cầu này. Nếu việc giới hạn phạm vi nói trên trong dự thảo Nghị định được chấp thuận, thì chỉ có các công ty cho phép người sử dụng dịch vụ thực hiện “các hành vi bị nghiêm cấm” được mô tả tại các Điều 8.1 và 8.2 của LANM sẽ phải tuân thủ quy định này. “Các hành vi bị nghiêm cấm” nói trên có thể bao gồm cả các hành vi tấn công mạng gây tổn hại đến an ninh quốc gia và trật tự công cộng của Việt Nam; cung cấp thông tin bịa đặt gây hoang mang cho nhân dân hoặc làm gián đoạn các hoạt động kinh tế – xã hội; và xuyên tạc lịch sử.
Ngoài các đối tượng bắt buộc nói trên, các công ty có hành vi vi phạm các quy định tại Điều 8.4, Điều 26.2.(a) hoặc Điều 26.2.(b) cũng có thể phải thực hiện yêu cầu thành lập hiện diện thương mại tại Việt Nam, đồng thời phải tuân thủ yêu cầu của Chính phủ về xóa bỏ thông tin trái pháp luật và không chống lại hoặc cản trở các hoạt động của Lực lượng Chuyên trách An ninh mạng (LLCTANM) thuộc Bộ Công an Việt Nam.

Thứ tư, đây là lần đầu tiên, Việt Nam có quy định yêu cầu các công ty phải thông báo trực tiếp về việc vi phạm dữ liệu cho người sử dụng dịch vụ (chủ sở hữu dữ liệu) nếu dữ liệu của họ bị vi phạm, bị thiệt hại hoặc bị mất. Luật còn yêu cầu các nhà cung cấp dịch vụ phải thông báo kịp thời cho LLCTANM trong những trường hợp nhất định. Cụ thể:

• bất kỳ cơ quan, tổ chức hoặc cá nhân nào phát hiện bất kỳ dấu hiệu hoặc bất kỳ hành vi khủng bố mạng hoặc tình huống an ninh mạng nguy hiểm nào khác phải thông báo kịp thời cho LLCTANM;

• quản trị viên hệ thống thông tin có trách nhiệm thông báo cho LLCTANM khi phát hiện ra bất kỳ vi phạm pháp luật nào về an ninh mạng trên hệ thống thông tin nằm trong phạm vi thẩm quyền quản lý của họ; và

• chủ quản hệ thống thông tin và nhà cung cấp dịch vụ trên không gian mạng có trách nhiệm thông báo và phối hợp kịp thời với LLCTANM để xử lý thông tin trên hệ thống thông tin của họ hoặc trong các dịch vụ do họ cung cấp, gây nguy hại cho trẻ em

Bất kỳ đối tượng nào không tuân thủ quy định nói trên của Luật có thể sẽ bị xử phạt hành chính, dân sự và/ hoặc hình sự, tùy theo tính chất và mức độ nghiêm trọng của hành vi vi phạm.

Các bước tiếp theo là gì?

Dự thảo Nghị định dự kiến sẽ được ban hành vào đầu tháng 11 năm 2019. Hiện tại, nội dung dự thảo Nghị định đang được đưa ra để lấy ý kiến của nhân dân. Dự thảo Nghị định quy định rằng các đối tượng bị điều chỉnh sẽ có thời gian ân hạn là 12 tháng kể từ ngày LANM có hiệu lực (tức kéo dài tới tháng 1 năm 2020), để có thời gian cần thiết chuẩn bị sẵn sàng cho việc tuân thủ các yêu cầu về lưu trữ dữ liệu và thành lập hiện diện thương mại tại Việt Nam. Tuy nhiên, tất cả các quy định còn lại của LANM sẽ có hiệu lực thi hành sớm hơn, bắt đầu kể từ tháng 1 năm 2019. Do đó, ngay từ ban đầu, các công ty đang hoạt động tại Việt Nam cần phải chuẩn bị sẵn sàng các kế hoạch, chương trình và chính sách cần thiết để đảm bảo tuân thủ đầy đủ các quy định của LANM.

Vision & Associates & Everseds Sutherland (US) LLP 

Trở lại