Date: 16-11-2018 by: Banca IP Law Firm
Doanh nghiệp cung cấp dịch vụ cần quan tâm điều gì về dự thảo Nghị định Luật An ninh mạng đang lấy ý kiến cộng đồng?
Dự thảo Nghị định Luật An ninh mạng vừa được Bộ Công an công bố để lấy ý kiến đóng góp rộng rãi từ cộng đồng trong vòng 60 ngày kể từ 2/11/2018.
Theo đó, dự thảo Nghị định đã làm rõ hơn quy định về yêu cầu lưu trữ dữ liệu khi doanh nghiệp nước ngoài đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Một trong những điểm chính của dự thảo Nghị định Luật An ninh mạng là vẫn định nghĩa chưa rõ ràng về “doanh nghiệp cung cấp dịch vụ trên mạng viễn thông và trên Internet, và các dịch vụ giá trị gia tăng khác trên không gian mạng” sẽ phải tuân theo quy định về lưu trữ dữ liệu của Luật này. Theo dự thảo Nghị định này thì một doanh nghiệp sẽ nằm trong diện bị điều chỉnh nếu như cung cấp 1 trong những dịch vụ sau:
- Dịch vụ viễn thông;
- Lưu trữ dữ liệu và chia sẻ dữ liệu trên không gian mạng;
- Cung cấp domain trong nước hoặc quốc tế cho những người sử dụng dịch vụ tại Việt Nam;
- Thương mại điện tử
- Thanh toán online
- Dàn xếp thanh toán
- Dịch vụ kết nối giao thông qua không gian mạng
- Mạng xã hội và các phương tiện truyền thông xã hội
- Game online hoặc
- Dịch vụ email
Phạm vi quy định của lưu trữ dữ liệu và thời hạn lưu trữ
Theo dự thảo Nghị định này, các trường hợp dữ liệu người dùng sau đây sẽ phải lưu trữ ở Việt Nam cũng chính là loại dữ liệu thuộc diện bị điều chỉnh trong thời gian:
- Suốt quá trình hoạt động của nhà cung cấp dịch vụ cho đến khi tạm dừng cung cấp dịch vụ: thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam bao gồm họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, công việc, địa chỉ sinh sống, địa chỉ liên hệ, số điện thoại, số chứng minh thư, số hộ chiếu, số bảo hiểm xã hội, thẻ tín dụng, tình trạng sức khỏe, hồ sơ y tế và sinh trắc học.
- Trong thời hạn ít nhất 36 tháng khi:
- Dữ liệu tạo ra bởi người sử dụng ở Việt Nam, gồm thông tin tải lên, đã đồng bộ hoặc được tải lên từ thiết bị của người dùng và dữ liệu về các mối quan hệ của người sử dụng dịch vụ tại Việt Nam, gồm bạn bè hoặc nhóm mà người dùng kết nối hoặc có tương tác.
Quy định về lưu trữ dữ liệu
Doanh nghiệp cung cấp dịch vụ dù là trong nước hay nước ngoài sẽ thuộc diện bị điều chỉnh và cần lưu trữ dữ liệu, lập chi nhánh hoạt động hoặc văn phòng đại diện tại Việt Nam nếu có các yếu tố sau:
- Là nhà cung cấp dịch vụ thuộc diện bị điều chỉnh
- Thực hiện việc thu thập, phân tích, xử lý dữ liệu thu thập
- Cho phép người dùng thực hiện hành vi cấm, như vi phạm tại điều 8.1 và 8.2 của Luật này. Ví dụ: chia sẻ, phát tán nội dung gây xúc phạm, cờ bạc, vi phạm sở hữu trí tuệ, đánh cắp thẻ tín dụng/ngân hàng, chống phá nhà nước, xuyên tạc lịch sử, gây chia rẽ dân tộc, xúc phạm tôn giáo, phân biệt giới tính hoặc chủng tộc, tấn công mạng.
Hai điểm này được coi là chưa có hướng dẫn rõ ràng, theo mục tiêu của Chính phủ về điều chỉnh thị trường, vì chúng có thể giảm thiểu đáng kể yêu cầu về lưu trữ đối với những doanh nghiệp bị vi phạm pháp luật và thậm chí cũng đồng thời cho phép người dùng vi phạm Pháp luật.
Các doanh nghiệp có các yếu tố trên cần lưu trữ dữ liệu và mở văn phòng đại diện tại Việt Nam, trong vòng 12 tháng từ ngày Bộ Công an có yêu cầu. Tuy nhiên chưa rõ rằng Bộ trưởng sẽ có yêu cầu cụ thể đối với từng doanh nghiệp hay chỉ là một thời hạn mà thị trường nói chung cần đáp ứng.
Doanh nghiệp cung cấp dịch vụ thuộc diện bị điều chỉnh cũng cần lưu trữ nhật ký hệ thống trong ít nhất 12 tháng.
Một vài điểm chưa quy định rõ trong dự thảo Nghị định đó là:
- Cách thức lưu trữ dữ liệu (lưu trữ vật lý bằng máy móc hay lưu trữ trên nền tảng điện toán đám mây,…)
- Việc sử dụng thuật ngữ “thương mại điện tử” chung chung trong dự thảo Nghị định cũng cho thấy quy định cũng có thể áp dụng cho bất kỳ doanh nghiệp thương mại nào bán hàng hóa hoặc các dịch vụ trên môi trường Internet/mạng,
- Người dùng dịch vụ được quy định là khách hàng cá nhân hay khách hàng doanh nghiệp;
- Loại thông tin người dùng cần được xác thực và cung cấp cho cơ quan chức năng;
- Chế tài và hình phạt cụ thể để áp dụng khi vi phạm luật và quy trình xem xét tư pháp liên quan đến việc công bố thông tin và điều tra như thế nào cũng chưa được làm rõ.
- Banca IP Law Firm
