Luật An ninh mạng Việt Nam: Nghĩa vụ lưu trữ dữ liệu và tuân thủ của doanh nghiệp
Luật An ninh mạng năm 2018 (Luật số 24/2018/QH14), có hiệu lực từ ngày 01/01/2019, cùng với Nghị định 53/2022/NĐ-CP hướng dẫn thi hành (có hiệu lực từ 01/10/2022), tạo thành khung pháp lý cốt lõi điều chỉnh hoạt động trên không gian mạng tại Việt Nam. Đối với các doanh nghiệp công nghệ, nền tảng số và nhà cung cấp dịch vụ xuyên biên giới, các nghĩa vụ về lưu trữ dữ liệu và hiện diện thương mại là mối quan tâm tuân thủ hàng đầu.
Phạm vi và mục tiêu điều chỉnh
Luật An ninh mạng nhằm bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội trên không gian mạng. Luật đặt ra nghĩa vụ đối với nhiều chủ thể, đặc biệt là:
- Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
- Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam.
Nhóm dịch vụ chịu tác động rộng, bao gồm mạng xã hội, dịch vụ nội dung số, thương mại điện tử, thanh toán trực tuyến, trung gian thanh toán, dịch vụ điện toán đám mây, dịch vụ email và các nền tảng thu thập, khai thác dữ liệu người dùng tại Việt Nam.
Nghĩa vụ lưu trữ dữ liệu (bản địa hóa)
Nội dung gây tranh luận nhiều nhất là yêu cầu lưu trữ dữ liệu tại Việt Nam. Theo Luật và Nghị định 53/2022, các loại dữ liệu phải lưu trữ tại Việt Nam gồm:
- Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam.
- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ email, địa chỉ IP đăng nhập/đăng xuất gần nhất, số điện thoại đăng ký gắn với tài khoản hoặc dữ liệu.
- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người dùng kết nối hoặc tương tác.
Đối với doanh nghiệp trong nước, nghĩa vụ lưu trữ dữ liệu tại Việt Nam áp dụng ngay theo hoạt động kinh doanh. Đối với doanh nghiệp nước ngoài, nghĩa vụ này phát sinh có điều kiện — khi doanh nghiệp cung cấp dịch vụ mà có hành vi vi phạm pháp luật về an ninh mạng đã được cơ quan chức năng thông báo và yêu cầu phối hợp, ngăn chặn, điều tra, xử lý nhưng không chấp hành, chấp hành không đầy đủ. Khi đó, Bộ trưởng Bộ Công an ra quyết định yêu cầu lưu trữ dữ liệu và đặt hiện diện tại Việt Nam.
Nghĩa vụ đặt chi nhánh hoặc văn phòng đại diện
Song song với lưu trữ dữ liệu, doanh nghiệp nước ngoài thuộc diện điều chỉnh có thể phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Nghị định 53/2022 quy định thời hạn thực hiện: doanh nghiệp phải lưu trữ dữ liệu và đặt chi nhánh/văn phòng đại diện trong thời gian tối thiểu 24 tháng kể từ thời điểm nhận được yêu cầu của Bộ trưởng Bộ Công an. Dữ liệu nhật ký hệ thống phục vụ điều tra, xử lý được lưu trữ tối thiểu 12 tháng. Cách tiếp cận "theo yêu cầu" này giúp cân bằng giữa mục tiêu quản lý và giảm gánh nặng bản địa hóa đại trà, nhưng đặt doanh nghiệp vào trạng thái phải sẵn sàng tuân thủ khi có yêu cầu.
Nghĩa vụ phối hợp và xử lý thông tin
Ngoài lưu trữ, Luật An ninh mạng đặt ra loạt nghĩa vụ vận hành đối với doanh nghiệp cung cấp dịch vụ:
- Xác thực thông tin khi người dùng đăng ký tài khoản số và bảo mật thông tin, tài khoản của người dùng.
- Cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm.
- Ngăn chặn, gỡ bỏ thông tin có nội dung vi phạm (tuyên truyền chống Nhà nước, kích động, thông tin sai sự thật…) chậm nhất trong 24 giờ kể từ khi có yêu cầu của cơ quan chức năng, và lưu nhật ký để phục vụ điều tra.
- Không cung cấp hoặc ngừng cung cấp dịch vụ cho tổ chức, cá nhân đăng tải thông tin vi phạm khi có yêu cầu.
Việc chậm trễ hoặc từ chối thực hiện các nghĩa vụ này là cơ sở để cơ quan chức năng áp dụng các biện pháp cưỡng chế mạnh hơn, bao gồm cả yêu cầu bản địa hóa dữ liệu nêu trên.
Mối quan hệ với pháp luật bảo vệ dữ liệu cá nhân
Doanh nghiệp cần lưu ý rằng nghĩa vụ theo Luật An ninh mạng vận hành song song với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Trong khi Luật An ninh mạng tập trung vào an ninh quốc gia, khả năng truy cập dữ liệu của cơ quan chức năng và lưu trữ trong nước, thì Nghị định 13 điều chỉnh quyền của chủ thể dữ liệu, cơ sở hợp pháp của việc xử lý và chuyển dữ liệu xuyên biên giới. Một số yêu cầu có thể tạo căng thẳng thực tiễn — ví dụ nghĩa vụ cung cấp dữ liệu cho cơ quan chức năng theo Luật An ninh mạng phải được cân đối với nguyên tắc bảo mật và quyền của chủ thể theo Nghị định 13. Bộ phận pháp chế cần thiết kế chính sách nội bộ dung hòa cả hai khung này.
Chế tài và rủi ro tuân thủ
Hành vi vi phạm quy định về an ninh mạng có thể bị xử phạt vi phạm hành chính, đình chỉ hoặc thu hồi giấy phép hoạt động, và trong trường hợp nghiêm trọng có thể bị truy cứu trách nhiệm hình sự đối với cá nhân liên quan. Đối với nền tảng xuyên biên giới, rủi ro còn bao gồm việc bị hạn chế truy cập tại thị trường Việt Nam nếu không hợp tác.
Khuyến nghị thực tiễn
Để chủ động tuân thủ, doanh nghiệp nên: (i) đánh giá xem dịch vụ của mình có thuộc phạm vi điều chỉnh và loại dữ liệu nào phải lưu trữ; (ii) xây dựng kịch bản sẵn sàng bản địa hóa dữ liệu và thiết lập hiện diện thương mại trong thời hạn 24 tháng nếu nhận yêu cầu; (iii) thiết lập quy trình phản hồi yêu cầu của cơ quan chức năng, bao gồm cơ chế gỡ nội dung trong 24 giờ; (iv) rà soát đồng bộ với nghĩa vụ theo Nghị định 13/2023; và (v) chỉ định đầu mối pháp lý làm việc với Bộ Công an. Việc chuẩn bị trước không chỉ giảm rủi ro gián đoạn kinh doanh mà còn thể hiện thiện chí hợp tác, yếu tố quan trọng trong môi trường quản lý an ninh mạng ngày càng chặt chẽ tại Việt Nam.