Pháp luật về lưu trữ dữ liệu cùng sự ra đời của Nghị định 53/2022/NĐ-CP

1. Các quy định chung về lưu trữ dữ liệu – Thực trạng thuê server tại Việt Nam

Lưu trữ dữ liệu tại Việt Nam là việc các doanh nghiệp trong nước và doanh nghiệp nước ngoài thực hiện lưu trữ tại Việt Nam đối với (sau đây gọi là "dữ liệu người dùng"):

- Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;

- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra (tên tài khoản, thông tin thẻ tín dụng, địa chỉ thư điện tử, số điện thoại đăng ký, …); và

- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam.

Đối với doanh nghiệp trong nước[1], dữ liệu phải được lưu trữ tại Việt Nam.

Đối với doanh nghiệp nước ngoài[2], việc thực hiện lưu trữ dữ liệu tại Việt Nam phải được thực hiện khi xảy ra trường hợp có đủ các yếu tố sau, trừ trường hợp bất khả kháng[3]:

- Lĩnh vực hoạt động kinh doanh: dịch vụ viễn thông; lưu trữ chia sẻ dữ liệu trên mạng; cung cấp tên miền; thương mại điện tử; thanh toán trực tuyến; trung gian thanh toán; mạng xã hội; trò chơi điện tử; dịch vụ tin nhắn, cuộc gọi, trò chuyện trực tuyến; …

- Dịch vụ bị sử dụng thực hiện hành vi vi phạm pháp luật về an ninh mạng;

- Đã được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thông báo và yêu cầu phối hợp, ngăn chặn, điều tra, xử lý nhưng không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện.

Hình thức lưu trữ dữ liệu tại Việt Nam do doanh nghiệp tự quyết định.[4]

Khi xảy ra trường hợp trên, bên cạnh việc thực hiện lưu trữ dữ liệu tại Việt Nam, doanh nghiệp nước ngoài còn phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Vì vậy, hình thức lưu trữ có thể thông qua máy chủ của doanh nghiệp đặt tại Việt Nam hoặc thông qua dịch vụ thuê máy chủ của bên cung cấp dịch vụ tại Việt Nam. Trong đó, hai mô hình lưu trữ dữ liệu phổ biến là Data center và Cloud Server.

Trường hợp tự mua máy chủ để lưu trữ tại Việt Nam thì doanh nghiệp có thể chủ động trong quản lý, lưu trữ dữ liệu và máy chủ có thể được đặt đồng thời tại chi nhánh/văn phòng đại diện của doanh nghiệp. Tuy nhiên, thời gian lưu trữ dữ liệu là hữu hạn (cho đến khi kết thúc yêu cầu) trong khi thời gian đặt chi nhánh/văn phòng đại diện kéo dài cho đến khi dịch vụ không còn được cung cấp tại Việt Nam hoặc doanh nghiệp không còn hoạt động tại Việt Nam.[5] Ngoài ra, chi phí mua, lắp đặt máy chủ khá tốn kém và phức tạp.

Sử dụng dịch vụ thuê máy chủ của bên cung cấp dịch vụ tại Việt Nam cũng là một lựa chọn thay thế tiết kiệm và hiệu quả cho doanh nghiệp nước ngoài. Tuy nhiên, cũng không loại trừ trường hợp xảy ra vi phạm và Cục An ninh mạng yêu cầu lưu trữ trên một lần. Một số nhà cung cấp dịch vụ nổi bật như Viettel (dịch vụ Cloud Server, Data center), VNPT (Smart Cloud, Virtual Private Server, Dedicated Server), FPT (Smart Cloud, Data Center), Amazon Web Service … với các đối tác lớn như Google, IBM, Intel, Microsoft, …[6]

Tùy thuộc hoạt động kinh doanh và thời gian lưu trữ dữ liệu tại Việt Nam (tối thiểu là 24 tháng và có thể kéo dài hơn theo yêu cầu của Cục An ninh mạng) mà doanh nghiệp có thể đánh giá và lựa chọn giải pháp lưu trữ phù hợp.

2. Vấn đề về lưu trữ dữ liệu đối với các dữ liệu từ nước ngoài: Dữ liệu Lưu trữ ở VN chỉ là 1 bản sao, 1 bản sao khác vẫn được lưu trữ tại nước ngoài

Hình thức lưu trữ dữ liệu do doanh nghiệp quyết định: thực tế có 2 loại lưu tại serve hoặc icloud (Lưu trữ và đồng bộ theo thời gian thực/Lưu trữ và cập nhật định kỳ 7 ngày /lần)

Như đã nêu trước đó, doanh nghiệp có quyền tự quyết định hình thức lưu trữ. Nhưng Nghị định 53/2022/NĐ-CP không nêu rõ doanh nghiệp có quyền tự quyết định đến đâu cũng như có những hình thức lưu trữ thế nào. Về hình thức sở hữu máy chủ thì doanh nghiệp có thể tự mua hoặc thuê để lưu trữ dữ liệu, dưới góc độ của cơ quan thẩm quyền thì không có sự khác nhau giữa hai hình thức sở hữu vì yếu tố quan trọng ở đây là dữ liệu được lưu trữ và cập nhật để kiểm soát. Về mô hình lưu trữ, hiện tại các nhà cung cấp có hai loại dịch vụ chính là Data Center và Cloud Server, và một số biến thể của hai loại dịch vụ này, … Doanh nghiệp cũng có thể đặt máy chủ vật lý tại Việt Nam nhưng dịch vụ lưu trữ dữ liệu có thể được cung cấp bởi nhà cung cấp nước ngoài.

Hiện tại, nghị định 53/2022/NĐ-CP không đưa ra quy định cụ thể hơn về việc dữ liệu người dùng sẽ được lưu trữ thế nào tại Việt Nam, và thông tư hướng dẫn cho nghị định này cũng chưa được ban hành.

Vì vậy, khi xảy ra trường hợp phải lưu trữ, có thể hiểu rằng dữ liệu sẽ được lưu trữ tại Việt Nam có khả năng được thực hiện theo một trong hai hướng sau đây, phụ thuộc vào yêu cầu của Cục An ninh mạng:

- Dữ liệu người dùng gốc của doanh nghiệp vẫn sẽ được lưu trữ tại nước ngoài và bản sao của dữ liệu này sẽ được lưu trữ tại Việt Nam. Trường hợp này dẫn đến sự tồn tại của hai nguồn lưu trữ, dữ liệu gốc lưu trữ tại nước ngoài là dữ liệu chính để doanh nghiệp sử dụng phục vụ hoạt động kinh doanh dịch vụ và được cập nhật thường xuyên, còn dữ liệu lưu trữ tại Việt Nam là để tuân thủ yêu cầu, phục vụ mục đích thanh tra, kiểm soát của Bộ Công an. Tuy chưa có văn bản hướng dẫn cụ thể, nhưng tại "Hội nghị Phổ biến, hướng dẫn triển khai Nghị định số 53/2022/NĐ-CP", đại diện Cục An ninh mạng cho biết dữ liệu người dùng được lưu trữ ở hai nguồn lưu trữ phải được đồng bộ theo thời gian thực hoặc được cập nhật định kỳ ít nhất một lần mỗi 7 ngày.

- Trường hợp thứ hai, ít khả năng xảy ra hơn, là Cục An ninh mạng sẽ yêu cầu doanh nghiệp lưu trữ độc lập dữ liệu người dùng gốc tại Việt Nam, tách biệt khỏi hệ thống dữ liệu người dùng chung (gồm người dùng nước ngoài) của doanh nghiệp tại máy chủ nước ngoài nhằm bảo vệ cao hơn đối dữ liệu người dùng Việt Nam. Khi đó dữ liệu này có thể sẽ chịu sự điều chỉnh của quy định về việc đưa dữ liệu ra khỏi biên giới Việt Nam sẽ được điều chỉnh bởi Nghị định về bảo vệ dữ liệu cá nhân đang trong quá trình dự thảo. Trong trường hợp này, vấn đề bảo vệ dữ liệu người dùng sẽ có sự thay đổi tùy thuộc vào sự khác nhau giữa hệ thống bảo mật dữ liệu tại nước ngoài và hệ thống bảo mật dữ liệu đặt tại Việt Nam (ví dụ máy chủ nước ngoài của doanh nghiệp có thể được bảo mật cao hơn máy chủ mua hoặc thuê đặt tại Việt Nam)

3. Các quy định về tuân thủ pháp luật và đảm bảo an toàn trong lưu trữ dữ liệu

Các quy định về bảo mật lưu trữ dữ liệu cần được thực hiện

1. Luật Công nghệ thông tin

Điều 18. Cho thuê chỗ lưu trữ thông tin số

“3. Tổ chức, cá nhân cho thuê chỗ lưu trữ thông tin số có trách nhiệm sau đây:

a) Thực hiện yêu cầu của cơ quan nhà nước có thẩm quyền về việc xác định danh sách chủ sở hữu thuê chỗ lưu trữ thông tin số để thiết lập trang thông tin điện tử và danh sách chủ sở hữu thông tin số được lưu trữ bởi tổ chức, cá nhân đó;

b) Tiến hành kịp thời các biện pháp cần thiết để ngăn chặn việc truy nhập thông tin số hoặc loại bỏ thông tin số trái pháp luật theo yêu cầu của cơ quan nhà nước có thẩm quyền;

c) Ngừng cho tổ chức, cá nhân khác thuê chỗ lưu trữ thông tin số trong trường hợp tự mình phát hiện hoặc được cơ quan nhà nước có thẩm quyền thông báo cho biết thông tin đang được lưu trữ là trái pháp luật;

d) Bảo đảm bí mật thông tin của tổ chức, cá nhân thuê chỗ lưu trữ thông tin.

Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng

“2. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác có trách nhiệm sau đây:

b) Sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thỏa thuận giữa hai bên;”

Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông tin

“1. Tổ chức, cá nhân truyền đưa thông tin trên môi trường mạng có quyền tạo ra bản sao tạm thời một tác phẩm được bảo hộ do yêu cầu kỹ thuật của hoạt động truyền đưa thông tin và bản sao tạm thời được lưu trữ trong khoảng thời gian đủ để thực hiện việc truyền đưa thông tin;”

2. Luật an toàn thông tin mạng

Điều 10. Quản lý gửi thông tin

“3. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin gửi thông tin có trách nhiệm sau đây:

a) Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông tin cá nhân, thông tin riêng của tổ chức, cá nhân;

b) Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật;

c) Có phương thức để người tiếp nhận thông tin có khả năng từ chối việc tiếp nhận thông tin;

d) Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ quản lý, bảo đảm an toàn thông tin mạng khi có yêu cầu”.

Điều 11. Phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại:

“3. Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của mình và báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp luật”.

Điều 18. Cập nhật, sửa đổi và hủy bỏ thông tin cá nhân

“3. Tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác.”

Điều 19. Bảo đảm an toàn thông tin cá nhân trên mạng

“1. Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng”.

3. Nghị định 85/2016/NĐ-CP quy định về bảo đảm an toàn thông tin theo cấp độ

Điều 22. Trách nhiệm của đơn vị vận hành hệ thống thông tin

“Đơn vị vận hành hệ thống thông tin có trách nhiệm:

1. Thực hiện xác định cấp độ an toàn hệ thống thông tin theo quy định tại Điều 14 Nghị định này;

2. Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin;

3. Định kỳ đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin Điều chỉnh nếu cần thiết;

4. Định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;

5. Phối hợp, thực hiện theo yêu cầu của cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo đảm an toàn thông tin.

4. Nghị định 72/2013/NĐ-CP sửa đổi bổ sung bởi Nghị định 27/2018/NĐ-CP quy định về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng

Điều 24. Quyền và nghĩa vụ của tổ chức, doanh nghiệp thiết lập trang thông tin điện tử tổng hợp

“Tổ chức, doanh nghiệp thiết lập trang thông tin điện tử tổng hợp có quyền và nghĩa vụ sau đây:

2. Có ít nhất 01 hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan quản lý nhà nước có thẩm quyền và giải quyết khiếu nại của khách hàng đối với việc cung cấp dịch vụ theo quy định của Bộ Thông tin và Truyền thông;

6. Lưu trữ thông tin tổng hợp tối thiểu trong 90 ngày kể từ thời điểm thông tin được đăng trên trang thông tin điện tử tổng hợp;”.

Điều 25. Quyền và nghĩa vụ của tổ chức, doanh nghiệp thiết lập mạng xã hội

“3. Có biện pháp bảo vệ bí mật thông tin riêng, thông tin cá nhân của người sử dụng; thông báo cho người sử dụng về quyền, trách nhiệm và các rủi ro khi lưu trữ, trao đổi và chia sẻ thông tin trên mạng;

8. Có ít nhất 01 hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan quản lý nhà nước có thẩm quyền và giải quyết khiếu nại của khách hàng đối với việc cung cấp dịch vụ theo quy định của Bộ Thông tin và Truyền thông;

9. Thực hiện việc đăng ký, lưu trữ và quản lý thông tin cá nhân của người thiết lập trang thông tin điện tử cá nhân và người cung cấp thông tin khác trên mạng xã hội theo quy định của Bộ Thông tin và Truyền thông. Bảo đảm chỉ những người đã cung cấp đầy đủ, chính xác thông tin cá nhân theo quy định mới được thiết lập trang thông tin điện tử cá nhân hoặc cung cấp thông tin trên mạng xã hội”.

Điều 26. Quyền và nghĩa vụ của người sử dụng dịch vụ mạng xã hội

“4. Chịu trách nhiệm về nội dung thông tin do mình lưu trữ, cung cấp, truyền đưa trên mạng xã hội, phát tán thông tin qua đường liên kết trực tiếp do mình thiết lập”.

Điều 28. Quyền và nghĩa vụ của tổ chức, doanh nghiệp cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động

“2. Có ít nhất 01 hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan quản lý nhà nước có thẩm quyền và giải quyết khiếu nại của khách hàng đối với việc cung cấp dịch vụ theo quy định của Bộ Thông tin và Truyền thông;

5. Ban hành quy trình, quy chế, thủ tục cung cấp và sử dụng dịch vụ và giải quyết khiếu nại trên cơ sở tuân thủ quy định về quản lý, lưu trữ, truyền đưa thông tin số của Luật công nghệ thông tin và quy định của pháp Luật về chống thư rác”.

Điều 34. Quyền và nghĩa vụ của doanh nghiệp cung cấp dịch vụ trò chơi điện tử

“2. Có ít nhất 01 hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan quản lý nhà nước có thẩm quyền và giải quyết khiếu nại của khách hàng đối với việc cung cấp dịch vụ theo quy định của Bộ Thông tin và Truyền thông”.

5. Nghị đinh 52/2013/NĐ-CP sửa đổi bổ sung bởi Nghị định 08/2018/NĐ-CP và Nghị định 85/2021/NĐ-CP về thương mại điện tử

Điều 27. Trách nhiệm của thương nhân, tổ chức, cá nhân sở hữu website thương mại điện tử bán hàng

“7. Lưu trữ thông tin về các giao dịch được thực hiện qua website theo quy định của pháp luật về kế toán; thực hiện đầy đủ nghĩa vụ thuế theo quy định của pháp luật.”

Điều 28. Cung cấp thông tin trên website thương mại điện tử bán hàng:

“1. Website thương mại điện tử bán hàng phải cung cấp đầy đủ thông tin về người sở hữu website, hàng hóa, dịch vụ và các điều khoản của hợp đồng mua bán áp dụng cho hàng hóa, dịch vụ được giới thiệu trên website theo quy định từ Điều 29 đến Điều 34 Nghị định này.

2. Những thông tin này phải bảo đảm các yêu cầu sau:

a) Rõ ràng, chính xác, dễ tìm và dễ hiểu;

b) Được sắp xếp tại các mục tương ứng trên website và có thể truy cập bằng phương pháp trực tuyến;

c) Có khả năng lưu trữ, in và hiển thị được về sau;

d) Được hiển thị rõ đối với khách hàng trước thời điểm khách hàng gửi đề nghị giao kết hợp đồng”.

Điều 36. Trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ sàn giao dịch thương mại điện tử

“5. Lưu trữ thông tin đăng ký của các thương nhân, tổ chức, cá nhân tham gia sàn giao dịch thương mại điện tử và thường xuyên cập nhật những thông tin thay đổi, bổ sung có liên quan

[…]

11. Đối với những sàn giao dịch thương mại điện tử có chức năng đặt hàng trực tuyến, ngoài các nghĩa vụ trên, thương nhân, tổ chức cung cấp dịch vụ sàn giao dịch thương mại điện tử có trách nhiệm:

[…]

d) Lưu trữ thông tin về các giao dịch đặt hàng được thực hiện trên sàn giao dịch thương mại điện tử theo quy định của pháp luật về kế toán”.

Điều 45. Yêu cầu về hệ thống kỹ thuật phục vụ hoạt động đấu giá trực tuyến

“1. Hệ thống kỹ thuật phục vụ hoạt động đấu giá trực tuyến phải có các chức năng tối thiểu sau:

a. Ghi nhận và lưu trữ mọi mức giá được trả trong một cuộc đấu giá”.

Điều 68. Trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng

“2. Trường hợp thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử ủy quyền cho bên thứ ba thực hiện việc thu thập, lưu trữ thông tin cá nhân của người tiêu dùng:

[…]

b) Nếu hợp đồng giữa hai bên không quy định rõ trách nhiệm của mỗi bên thì thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử chịu trách nhiệm trong trường hợp việc thu thập, lưu trữ và sử dụng thông tin cá nhân của người tiêu dùng vi phạm các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân.”

Điều 69. Chính sách bảo vệ thông tin cá nhân của người tiêu dùng

“1. Thương nhân, tổ chức, cá nhân thu thập và sử dụng thông tin cá nhân của người tiêu dùng phải xây dựng và công bố chính sách bảo vệ thông tin cá nhân với các nội dung sau:

a) Mục đích thu thập thông tin cá nhân;

b) Phạm vi sử dụng thông tin;

c) Thời gian lưu trữ thông tin;

[…]”

Điều 72. Bảo đảm an toàn, an ninh thông tin cá nhân

“1. Đơn vị thu thập thông tin phải đảm bảo an toàn, an ninh cho thông tin cá nhân mà họ thu thập và lưu trữ, ngăn ngừa các hành vi sau:

a) Đánh cắp hoặc tiếp cận thông tin trái phép;

b) Sử dụng thông tin trái phép;

c) Thay đổi, phá hủy thông tin trái phép.

2. Đơn vị thu thập thông tin phải có cơ chế tiếp nhận và giải quyết khiếu nại của người tiêu dùng liên quan đến việc thông tin cá nhân bị sử dụng sai mục đích hoặc phạm vi đã thông báo.

3. Trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất thông tin của người tiêu đùng, đơn vị lưu trữ thông tin phải thông báo cho cơ quan chức năng trong vòng 24 (hai mươi bốn) giờ sau khi phát hiện sự cố”.

Điều 74. Trách nhiệm của thương nhân, tổ chức, cá nhân sở hữu website thương mại điện tử có chức năng thanh toán trực tuyến

“2. Trường hợp tự phát triển giải pháp thanh toán để phục vụ riêng website thương mại điện tử bán hàng của mình, thương nhân, tổ chức, cá nhân sở hữu website phải áp dụng các biện pháp sau nhằm đảm bảo an toàn, bảo mật cho giao dịch thanh toán của khách hàng:

[…] e) Lưu trữ dữ liệu về từng giao dịch thanh toán theo thời hạn quy định tại Luật kế toán”.

[1] Theo Khoản 11 Điều 2 Nghị định 53/2022, là doanh nghiệp được thành lập hoặc đăng ký thành lập theo pháp luật Việt Nam và có trụ sở chính tại Việt Nam. [2] Theo Khoản 11 Điều 2 Nghị định 53/2022, là doanh nghiệp được thành lập hoặc đăng ký thành lập theo pháp luật nước ngoài. [3] Khoản 3 Điều 26 Nghị định 53/2022 [4] Khoản 5 Điều 26 Nghị định 53/2022 [5] Khoản 1 và Khoản 2 Điều 27 Nghị định 53/2022 [6] https://fptsmartcloud.com/doi-tac-va-khach-hang/, https://vnpt.com.vn/gioi-thieu/doi-tac