1. Các loại dữ liệu phải lưu trữ tại Việt Nam
Nghị định 53 quy định rõ 3 loại dữ liệu phải được lưu trữ tại Việt Nam khi có yêu cầu:
- Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam (ví dụ: họ tên, ngày sinh, địa chỉ, số CCCD/CMND, số điện thoại, email).
- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra (ví dụ: tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ IP đăng nhập/đăng xuất gần nhất, số điện thoại đăng ký gắn với tài khoản).
- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam (ví dụ: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác).
2. Đối tượng phải thực hiện nội địa hóa dữ liệu
Các doanh nghiệp thuộc đối tượng phải lưu trữ dữ liệu tại Việt Nam bao gồm:
- Các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ giá trị gia tăng trên không gian mạng.
- Các doanh nghiệp này phải đáp ứng một trong hai điều kiện:
+ Có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu của người sử dụng tại Việt Nam.
+ Có số lượng người sử dụng tại Việt Nam đủ lớn (chưa có quy định cụ thể về ngưỡng số lượng người dùng).
3. Yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam
Nghị định 53 cũng quy định rằng các doanh nghiệp nước ngoài thuộc đối tượng nêu trên có thể bị yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Việc yêu cầu này được đưa ra khi các hoạt động vi phạm pháp luật về an ninh mạng của doanh nghiệp đó gây thiệt hại hoặc đe dọa gây thiệt hại đến an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
Bộ Công an là cơ quan có thẩm quyền ra quyết định yêu cầu doanh nghiệp nước ngoài phải đặt chi nhánh hoặc văn phòng đại diện.
4. Thời gian và hình thức lưu trữ
Thời gian lưu trữ: Thời gian lưu trữ dữ liệu tối thiểu là 24 tháng, bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu từ Bộ Công an.
Hình thức lưu trữ: Nghị định không quy định cụ thể hình thức lưu trữ. Doanh nghiệp có thể tự quyết định hình thức lưu trữ dữ liệu tại Việt Nam, ví dụ: thuê trung tâm dữ liệu tại Việt Nam, xây dựng trung tâm dữ liệu riêng hoặc sử dụng dịch vụ điện toán đám mây từ các nhà cung cấp trong nước.
5. Trách nhiệm và quy trình thực hiện
- Quyết định yêu cầu: Bộ trưởng Bộ Công an sẽ ban hành quyết định yêu cầu doanh nghiệp lưu trữ dữ liệu hoặc đặt chi nhánh/văn phòng đại diện. Quyết định này sẽ nêu rõ lý do, loại dữ liệu, thời gian lưu trữ và thời hạn thực hiện.
- Chấp hành và báo cáo: Doanh nghiệp phải chấp hành yêu cầu trong thời hạn quy định và thông báo bằng văn bản về việc thực hiện yêu cầu cho Bộ Công an.
- Kiểm tra, giám sát: Bộ Công an có trách nhiệm kiểm tra, giám sát việc tuân thủ các quy định về nội địa hóa dữ liệu.
6. Ý nghĩa và tác động của Nghị định 53/2022/NĐ-CP
Nghị định 53 được ban hành là một cột mốc quan trọng trong việc xây dựng khung pháp lý về quản lý và bảo vệ dữ liệu tại Việt Nam. Nghị định phản ánh xu hướng toàn cầu về tăng cường chủ quyền dữ liệu và an ninh mạng như sau:
- Cụ thể hóa Luật An ninh mạng: Nghị định này đã cụ thể hóa các quy định chung về an ninh mạng trong Luật An ninh mạng, cung cấp hướng dẫn rõ ràng hơn cho doanh nghiệp.
- Tăng cường kiểm soát của Nhà nước: Giúp cơ quan chức năng Việt Nam dễ dàng hơn trong việc tiếp cận, kiểm soát dữ liệu của người dùng khi cần thiết cho mục đích an ninh quốc gia và phòng chống tội phạm.
- Thúc đẩy phát triển hạ tầng trong nước: Tạo động lực cho các doanh nghiệp đầu tư vào hạ tầng trung tâm dữ liệu và các dịch vụ đám mây tại Việt Nam.
- Thách thức cho doanh nghiệp nước ngoài: Đặt ra gánh nặng chi phí và quy trình tuân thủ đáng kể cho các công ty công nghệ quốc tế đang hoạt động hoặc muốn tham gia thị trường Việt Nam.