Sau một thời gian dài chờ đợi, ngày 15/8/2022, Chính phủ ban hành Nghị định số 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng 2018 (“Nghị định 53”). Nghị định này sẽ có hiệu lực kể từ ngày 1/10/2022. 

1. Những loại dữ liệu phải lưu trữ tại Việt Nam

Nói một cách ngắn gọn, đối với các doanh nghiệp nước ngoài, theo quyết định của Bộ trưởng Bộ Công an yêu cầu lưu trữ dữ liệu và thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam (“Quyết định của Bộ trưởng Bộ CA”), các dữ liệu sau đây phải được lưu trữ tại Việt Nam (“Dữ liệu được Quy định”): 

• Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam (nghĩa là dữ liệu về thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định danh tính một cá nhân);
• Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra (nghĩa là dữ liệu về thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự phản ánh quá trình tham gia, hoạt động, sử dụng không gian mạng của người sử dụng dịch vụ và các thông tin về thiết bị, dịch vụ mạng sử dụng để kết nối với không gian mạng trên lãnh thổ Việt Nam): bao gồm tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu; và
• Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam (nghĩa là dữ liệu về thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự phản ánh, xác định mối quan hệ của người sử dụng dịch vụ với người khác trên không gian mạng): bao gồm bạn bè, nhóm mà người sử dụng dịch vụ kết nối hoặc tương tác. 

2. Chủ thể phải lưu trữ dữ liệu tại Việt Nam

Quy định tại Khoản 3 Điều 26 của Luật An ninh mạng cho phép cách giải thích rộng rãi về các doanh nghiệp được yêu cầu lưu trữ tại Việt Nam, điều này làm dấy lên lo ngại về khả năng thực thi của quy định này. Cụ thể là, các doanh nghiệp trong nước và ngoài nước cung cấp (i) dịch vụ trên mạng viễn thông, (ii) dịch vụ trên mạng Internet và/hoặc (iii) dịch vụ giá trị gia tăng trên không gian mạng tại Việt Nam khi có các hoạt động thu thập, khai thác, phân tích và xử lý dữ liệu của “người sử dụng dịch vụ tại Việt Nam” (được Nghị định 53 định nghĩa là tổ chức, cá nhân sử dụng không gian mạng trên lãnh thổ Việt Nam) thì phải thực hiện lưu trữ Dữ liệu Được Quy định tại Việt Nam.

Trong khi không đưa ra hướng dẫn thêm về những dịch vụ cụ thể mà các doanh nghiệp trong nước cung cấp những dịch vụ này được yêu cầu phải lưu trữ dữ liệu tại Việt Nam, Nghị định 53 đã quy định chi tiết những dịch vụ cụ thể sau đây được cung cấp cho thị trường/tại Việt Nam (“Dịch vụ Được Quy định”), mà các doanh nghiệp nước ngoài cung cấp những dịch vụ này được yêu cầu phải lưu trữ dữ liệu tại Việt Nam:

• Dịch vụ viễn thông;
• Lưu trữ, chia sẻ dữ liệu trên không gian mạng;
• Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam;
• Thương mại điện tử;
• Thanh toán trực tuyến;
• Trung gian thanh toán;
• Dịch vụ kết nối vận chuyển qua không gian mạng;
• Mạng xã hội và truyền thông xã hội;
• Trò chơi điện tử trên mạng; và
• Dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến.

Tuy nhiên, không phải mọi doanh nghiệp nước ngoài cung cấp các Dịch vụ Được Quy định đều phải lưu trữ Dữ liệu Được Quy định của họ tại Việt Nam. Về vấn đề này, Nghị định 53 cũng đặt ra các điều kiện để yêu cầu lưu trữ dữ liệu tại Việt Nam phát sinh (“Điều kiện Phát sinh”), cụ thể như sau:

• dịch vụ do doanh nghiệp cung cấp bị sử dụng thực hiện hành vi vi phạm pháp luật về an ninh mạng; và
• Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an (“Cục ANM”) đã có thông báo và yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản; nhưng
• doanh nghiệp đó không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện.

Tuy nhiên, cũng có ngoại lệ đối với Điều kiện Phát sinh. Cụ thể là trong trường hợp bất khả kháng mà việc chấp hành yêu cầu của pháp luật về an ninh mạng không thể thực hiện, doanh nghiệp nước ngoài phải thông báo cho Cục ANM trong vòng 03 ngày làm việc để kiểm tra tính xác thực của việc bất khả kháng. Trong trường hợp này, doanh nghiệp có thời gian 30 ngày làm việc để tìm phương án khắc phục.

3. Hình thức lưu trữ dữ liệu tại Việt Nam

Nghị định 53 không đưa ra bất kỳ yêu cầu cụ thể nào, mà cho phép các doanh nghiệp được quy định, cho dù là doanh nghiệp trong nước hay nước ngoài, quyết định về hình thức lưu trữ dữ liệu của họ tại Việt Nam.

4. Thời hạn lưu trữ dữ liệu tại Việt Nam

Nếu như Nghị định 53 yêu cầu các doanh nghiệp trong nước phải tự động lưu trữ Dữ liệu Được Quy định tại Việt Nam; thì đối với các doanh nghiệp nước ngoài được quy định, Dữ liệu Được Quy định sẽ được lưu trữ trong một khoảng thời gian cụ thể như được nêu trong Quyết định của Bộ trưởng Bộ CA, bắt đầu từ khi doanh nghiệp nhận được Quyết định nói trên; tuy nhiên, trong mọi trường hợp, thời gian lưu trữ dữ liệu tối thiểu phải là 24 tháng.

Cần lưu ý là trong mọi trường hợp, việc lưu trữ dữ liệu của các doanh nghiệp nước ngoài tại Việt Nam phải được hoàn thành sớm nhất có thể trong vòng 12 tháng kể từ khi Bộ trưởng Bộ CA ra Quyết định yêu cầu lưu trữ dữ liệu tại Việt Nam. Ngoài ra, trong trường hợp có yêu cầu ngăn chặn, xóa bỏ thông tin bị cấm từ Bộ CA hoặc Bộ Thông tin và Truyền thông, nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng phải được lưu trữ tối thiểu là 12 tháng. Nghị định 53 không nêu rõ thời hạn 12 tháng nói trên bắt đầu từ khi nào, nhưng theo chúng tôi, thời hạn này nên được giải thích hợp lý bắt đầu từ khi các doanh nghiệp nhận được yêu cầu của Cục ANM.

5. Các yêu cầu lưu trữ dữ liệu khác mà doanh nghiệp cần chú ý

Ngoài yêu cầu về lưu trữ dữ liệu tại Việt Nam nêu trên, các doanh nghiệp trong và ngoài nước còn cần lưu ý các yêu cầu chung sau:

• Trường hợp doanh nghiệp không thu thập, khai thác, phân tích, xử lý toàn bộ Dữ liệu Được Quy định, doanh nghiệp phải phối hợp với Cục ANM để xác nhận và tiến hành lưu trữ các loại dữ liệu hiện đang thu thập, khai thác, phân tích, xử lý.
• Trường hợp doanh nghiệp tiến hành thu thập, khai thác, phân tích, xử lý bổ sung các loại Dữ liệu Được Quy định, doanh nghiệp có trách nhiệm phối hợp với Cục ANM để bổ sung vào danh sách dữ liệu phải lưu trữ tại Việt Nam.

6. Yêu cầu thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam mà doanh nghiệp nước ngoài cần biết

Như đã nêu, cùng với nghĩa vụ lưu trữ dữ liệu, doanh nghiệp nước ngoài cung cấp Dịch vụ Được Quy định, khi xảy ra Điều kiện Phát sinh, còn phải tuân theo yêu cầu về việc thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam trong Quyết định của Bộ trưởng Bộ CA. Nghị định 53 không nêu rõ mục đích của yêu cầu này. Tuy nhiên, có vẻ như việc có chi nhánh hoặc văn phòng đại diện tại Việt Nam sẽ hỗ trợ doanh nghiệp nước ngoài hợp tác tốt hơn với các cơ quan Nhà nước sở tại, ngay tại chỗ tại Việt Nam, để giải quyết các vấn đề liên quan đến Dữ liệu Được Quy định của họ được lưu trữ tại Việt Nam. Cục ANM sẽ thông báo, hướng dẫn, theo dõi, giám sát, đôn đốc doanh nghiệp nước ngoài thực hiện yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam; đồng thời, thông báo cho các cơ quan liên quan để thực hiện chức năng quản lý Nhà nước theo thẩm quyền.

Đáng chú ý là trong mọi trường hợp, doanh nghiệp nước ngoài phải hoàn thành sớm nhất có thể việc đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam trong thời hạn 12 tháng kể từ ngày Bộ trưởng Bộ Công an ra Quyết định yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

Cần lưu ý thêm rằng thời gian doanh nghiệp nước ngoài phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam bắt đầu từ khi doanh nghiệp nước ngoài nhận được Quyết định của Bộ trưởng Bộ CA đến khi doanh nghiệp không còn hoạt động hoặc kinh doanh tại Việt Nam hoặc Dịch vụ Được Quy định không còn được cung cấp cho thị trường/tại Việt Nam.

7. Các chế tài có thể áp dụng mà doanh nghiệp cần biết

Các doanh nghiệp không chấp hành những quy định của Luật An ninh mạng và Nghị định 53 thì tùy theo tính chất, mức độ vi phạm sẽ bị xử lý theo quy định của pháp luật.

———–