Lưu trữ dữ liệu theo quy định của Luật An ninh mạng

Nhiều công ty hoạt động kinh doanh tại Việt Nam băn khoăn về khả năng và tính hợp pháp khi sử dụng dịch vụ máy chủ hay dịch vụ hosting do nước ngoài cung cấp. Đồng thời, doanh nghiệp cũng thắc mắc việc lưu trữ các dữ liệu thu thập được sao cho hợp lý và phù hợp với các quy định của Luật An ninh mạng.

PLF xin phân tích chi tiết như sau:

1. Doanh nghiệp hoạt động tại Việt Nam được phép sử dụng dịch vụ máy chủ/hosting ở nước ngoài

Với sự phát triển của công nghệ thông tin, việc sao lưu, bảo vệ dữ liệu, và chống lại các cuộc tấn công dữ liệu ở tất cả các quy mô ngày càng trở nên quan trọng. Theo đó, nhiều doanh nghiệp lựa chọn sử dụng dịch vụ máy chủ hay dịch vụ hosting để:

• Bảo vệ dữ liệu an toàn trong thời gian dài,

• Tiết kiệm chi phí,

• Có thể khôi phục dữ liệu nhanh chóng trong những tình huống không mong muốn.

Luật An ninh mạng 2018, có hiệu lực từ ngày 01/01/2019, không cấm doanh nghiệp sử dụng dịch vụ máy chủ hoặc hosting do nước ngoài cung cấp. Điều này nhằm hỗ trợ các doanh nghiệp:

• Mở rộng tìm kiếm các đơn vị dịch vụ uy tín,

• Đảm bảo độ bảo mật cao,

• Tối ưu chi phí trong bối cảnh cơ sở hạ tầng công nghệ thông tin trong nước còn hạn chế.

Tuy nhiên, cần lưu ý rằng Nhà nước Việt Nam có trách nhiệm đảm bảo an toàn hệ thống thông tin quốc gia và an ninh mạng. Đặc biệt trong bối cảnh các cuộc tấn công trên không gian mạng ngày càng phổ biến, tinh vi, và đe dọa đến:

• An ninh quốc gia,

• An toàn hệ thống thông tin,

• Dữ liệu doanh nghiệp,

• Và đặc biệt là dữ liệu cá nhân của người dân.

Vì vậy, một số yêu cầu về lưu trữ và chuyển dữ liệu ra nước ngoài đã được đặt ra nhằm đảm bảo an ninh.

2. Lưu trữ dữ liệu và chuyển dữ liệu ra nước ngoài

2.1. Trường hợp sử dụng dịch vụ hosting ở nước ngoài

Khi doanh nghiệp sử dụng dịch vụ hosting ở nước ngoài, việc lưu trữ dữ liệu tại nước ngoài là điều chắc chắn xảy ra.
Mục đích cuối cùng của việc sử dụng dịch vụ hosting là nhằm:

• Đảm bảo an toàn dữ liệu,

• Sao lưu,

• Khôi phục dữ liệu trong mọi tình huống.

Tuy nhiên, doanh nghiệp cần lưu ý các giới hạn pháp lý sau đây.

2.2. Quy định áp dụng cho doanh nghiệp viễn thông

Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên:

• Mạng viễn thông,

• Mạng Internet,

• Các dịch vụ gia tăng trên không gian mạng tại Việt Nam (gọi chung là “Doanh nghiệp viễn thông”),

Nếu có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về:

• Thông tin cá nhân,

• Dữ liệu về mối quan hệ của người sử dụng dịch vụ,

• Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra,

thì phải lưu trữ dữ liệu này tại Việt Nam trong thời gian tối thiểu là 24 tháng, theo quy định tại Điều 26 Luật An ninh mạng 2018.

2.3. Quy định áp dụng cho các doanh nghiệp khác

Theo quy định này, doanh nghiệp không cung cấp dịch vụ viễn thông, mạng internet, các dịch vụ gia tăng trên không gian mạng:

• Không bị bắt buộc phải lưu trữ dữ liệu tại Việt Nam,

• Được phép lưu trữ dữ liệu, kể cả dữ liệu cá nhân, tại nước ngoài.

Để dễ hiểu, chúng tôi chia dữ liệu ra thành hai loại:

Dữ liệu khác (không phải dữ liệu cá nhân)

• Doanh nghiệp có thể lưu trữ dữ liệu ở bất kỳ đâu tùy theo quyết định của mình để đảm bảo an toàn.

• Tuy nhiên, các dữ liệu liên quan đến an toàn hệ thống thông tin quốc gia cần được lưu ý và có biện pháp bảo vệ phù hợp.

Dữ liệu cá nhân

Quy định tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, doanh nghiệp cần lưu ý:

• Phải thông báo cho chủ thể dữ liệu một lần trước khi tiến hành hoạt động xử lý dữ liệu cá nhân, về:

  • Mục đích xử lý,

  • Loại dữ liệu cá nhân,

  • Cách thức xử lý,

  • Thông tin tổ chức/cá nhân liên quan,

  • Hậu quả, thiệt hại có thể xảy ra,

  • Thời gian bắt đầu và kết thúc việc xử lý.

• Phải lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, khi doanh nghiệp là:

  • Bên kiểm soát dữ liệu, hoặc

  • Bên kiểm soát và lưu trữ dữ liệu.

Doanh nghiệp viễn thông như định nghĩa ở trên:

• Phải lưu trữ dữ liệu cá nhân của người dùng tại Việt Nam trong thời hạn 24 tháng, bao gồm:

  • Thông tin cá nhân,

  • Tên tài khoản sử dụng dịch vụ,

  • Thời gian sử dụng dịch vụ,

  • Thông tin thẻ tín dụng,

  • Địa chỉ email,

  • Địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất,

  • Số điện thoại đăng ký gắn với tài khoản hoặc dữ liệu,

  • Mối quan hệ của người sử dụng dịch vụ.

Các doanh nghiệp khác:

• Khi có nhu cầu chuyển dữ liệu cá nhân ra nước ngoài để lưu trữ hoặc phục vụ mục đích khác, doanh nghiệp phải thực hiện:

  • Lập và lưu trữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (theo mẫu),

  • Gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày bắt đầu xử lý dữ liệu cá nhân,

  • Sau khi chuyển dữ liệu thành công, doanh nghiệp phải thông báo cho Bộ Công an.

2.4. Quy định tổng quát về lưu trữ và chuyển dữ liệu

Tóm lại:

• Khi máy chủ được đặt ở nước ngoài, doanh nghiệp có thể chuyển các dữ liệu khác (không phải dữ liệu cá nhân) ra nước ngoài để lưu trữ.

• Riêng với dữ liệu cá nhân, doanh nghiệp cần:

  • Tuân thủ thời gian lưu trữ tại Việt Nam (24 tháng đối với Doanh nghiệp viễn thông),

  • Thực hiện các thủ tục theo quy định tại Nghị định 13/2023/NĐ-CP khi muốn chuyển dữ liệu ra nước ngoài.

3. Lưu ý cho doanh nghiệp nước ngoài về việc lưu trữ dữ liệu

Doanh nghiệp nước ngoài (bao gồm:

• Các doanh nghiệp FDI thành lập tại Việt Nam,

• Và doanh nghiệp thành lập và hoạt động tại nước ngoài)

nếu hoạt động trong các lĩnh vực sau đây:

• Dịch vụ viễn thông,

• Lưu trữ, chia sẻ dữ liệu trên không gian mạng,

• Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng tại Việt Nam,

• Thương mại điện tử,

• Thanh toán trực tuyến,

• Trung gian thanh toán,

• Dịch vụ kết nối vận chuyển qua không gian mạng,

• Mạng xã hội và truyền thông xã hội,

• Trò chơi điện tử trên mạng,

• Dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng:

  • Tin nhắn,

  • Cuộc gọi thoại,

  • Cuộc gọi video,

  • Thư điện tử,

  • Trò chuyện trực tuyến,

phải lưu trữ dữ liệu cá nhân của người sử dụng dịch vụ tại Việt Nam tối thiểu 24 tháng tại Việt Nam, tương tự doanh nghiệp viễn thông.

Ngoài ra, các doanh nghiệp này phải:

• Đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam nếu:

  • Dịch vụ bị sử dụng để thực hiện hành vi vi phạm pháp luật về an ninh mạng,

  • Đã được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thông báo bằng văn bản,

  • Nhưng không chấp hành, chấp hành không đầy đủ, hoặc ngăn cản, vô hiệu hóa biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách thực hiện.

4. Kết luận

Như vậy:

• Yêu cầu về địa điểm và thời gian lưu trữ dữ liệu cá nhân chỉ đặt ra đối với doanh nghiệp hoạt động trong lĩnh vực viễn thông, mạng Internet, và dịch vụ gia tăng trên không gian mạng tại Việt Nam.

• Đối với việc thu thập, xử lý, và/hoặc chuyển dữ liệu cá nhân ra nước ngoài, pháp luật Việt Nam đưa ra các yêu cầu nhằm bảo vệ an toàn dữ liệu nhưng không cấm:

  • Việc sử dụng dịch vụ hosting do nước ngoài cung cấp,

  • Việc chuyển và lưu trữ dữ liệu ở nước ngoài.

PLF hy vọng nội dung bài viết này sẽ làm rõ các vướng mắc của doanh nghiệp về các vấn đề nêu trên.

Tại công ty TNHH Luật PLF

Luật An ninh mạng Việt Nam tạo ra những khó khăn về pháp lý phức tạp cho các công ty kinh doanh tại Việt Nam. PLF giúp doanh nghiệp đảm bảo tuân thủ đầy đủ các quy định về lưu trữ dữ liệu, giảm thiểu rủi ro pháp lý.

Tại PLF, chúng tôi còn cung cấp dịch vụ toàn diện cho “Tư Vấn Đầu Tư“, hỗ trợ doanh nghiệp về nhu cầu pháp lý, từ “Thành Lập Công Ty“, “Giấy Phép” đến “Lao Động & Việc Làm”.

Liên hệ công ty Luật PLF qua email inquiry@plf.vn hoặc liên hệ số điện thoại +84913 902 906 hoặc Zalo | Viber | WhatsApp để nhận được 30 phút tư vấn miễn phí ban đầu.

Thời gian viết bài: ngày 01/10/2024.

Công ty TNHH Luật PLF