Vào ngày 15 tháng 8 năm 2022, Chính phủ Việt Nam đã ban hành Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng (“Nghị định 53”), có hiệu lực kể từ ngày 01 tháng 10 năm 2022.
Ngoài những quy định chủ yếu liên quan đến hệ thống thông tin quan trọng về an ninh quốc gia, Nghị định 53 cũng có những quy định đáng chú ý mà các doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin cần nắm bắt. Theo đó, nhằm tạo điều kiện để khách hàng có thể tiếp cận và cập nhật những quy định mới nhất cho mục đích tuân thủ pháp luật, GV Lawyers xin trình bày những điểm quan trọng và áp dụng rộng rãi trong Nghị định 53 như sau:
1. Lưu trữ dữ liệu tại Việt Nam
Các doanh nghiệp trong nước và các công ty nước ngoài có hoạt động kinh doanh tại Việt Nam trong một số lĩnh vực và thuộc trường hợp luật định phải tiến hành lưu trữ tại Việt Nam. Các loại dữ liệu cần lưu giữ gồm:
- Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;
- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: Tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu; và
- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.
2. Yêu cầu về hiện diện của doanh nghiệp nước ngoài tại Việt Nam
Các công ty nước ngoài hoạt động kinh doanh tại Việt Nam, cung cấp các dịch vụ sau đây phải thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam. Yêu cầu này áp dụng cho:
- Dịch vụ viễn thông;
- Lưu trữ, chia sẻ dữ liệu trên không gian mạng;
- Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam;
- Thương mại điện tử;
- Thanh toán trực tuyến;
- Trung gian thanh toán;
- Dịch vụ kết nối vận chuyển qua không gian mạng;
- Mạng xã hội và truyền thông xã hội; và
- Trò chơi điện tử trên mạng; dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến.
3. Thời gian lưu trữ dữ liệu
Nghị định 53 đặt ra thời hạn lưu trữ dữ liệu như sau:
- Thời hạn lưu trữ dữ liệu tại Mục 1 tối thiểu là 24 tháng; và
- Thời hạn lưu trữ nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng tối thiểu là 12 tháng.
4. Xử lý hành vi vi phạm pháp luật và thông tin sai sự thật
Trong trường hợp thông tin được cơ quan có thẩm quyền xác định là có nội dung chống phá Nhà nước, vi phạm pháp luật, xâm phạm quyền và lợi ích của cá nhân/ tổ chức, gây rối trật tự công cộng và các loại vi phạm khác theo quy định của pháp luật, thì cơ quan nhà nước có thẩm quyền có quyền yêu cầu các đơn vị có liên quan gỡ bỏ những thông tin đó bằng một quyết định hành chính.
5. Thu thập dữ liệu điện tử cho mục đích điều tra
Để bảo đảm an ninh mạng và có căn cứ để xử phạt các hành vi vi phạm pháp luật trên không gian mạng, cơ quan nhà nước có thẩm quyền có thể thực hiện các biện pháp thu thập dữ liệu điện tử khi đáp ứng các điều kiện sau:
- Giữ nguyên hiện trạng của thiết bị số, dữ liệu điện tử;
- Việc sao ghi dữ liệu điện tử phải được thực hiện đúng quy trình bằng các thiết bị, phần mềm được công nhận, có thể kiểm chứng được, phải bảo vệ được tính nguyên vẹn của dữ liệu điện tử lưu trong thiết bị;
- Quá trình khôi phục dữ liệu, tìm kiếm dữ liệu điện tử phải được ghi nhận lại bằng biên bản, hình ảnh, video, khi cần thiết có thể lặp lại quá trình đi tới kết quả tương tự để trình bày tại tòa án; và
- Người thực hiện thu thập dữ liệu điện tử phải là cán bộ chuyên trách được giao thực hiện nhiệm vụ thu thập dữ liệu điện tử.
6. Đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền
Trong trường hợp (i) vi phạm pháp luật về an ninh quốc gia và an ninh mạng; hoặc (ii) hệ thống thông tin bị sử dụng cho mục đích xâm phạm an ninh quốc gia, trật tự, an toàn xã hội thì cơ quan nhà nước có thẩm quyền ra quyết định áp dụng biện pháp đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, tạm ngừng, thu hồi tên miền.
Với những vấn đề được trình bày trên, chúng tôi tin rằng Quý Khách hàng nên có sự lưu ý phù hợp đối với yêu cầu tuân thủ này để hạn chế rủi ro bị áp dụng các biện pháp chế tài hành chính và đảm bảo rằng các hoạt động kinh doanh sẽ không bị ảnh hưởng hoặc chậm trễ.
Mong rằng những cập nhật trên đã rõ ràng và hữu ích. Nếu Quý Khách hàng có bất kỳ câu hỏi nào liên quan đến các vấn đề ở trên, xin vui lòng liên lạc với chúng tôi.
