BẢN TIN PHÁP LÝ SỐ THÁNG 10/2022 – LƯU TRỮ DỮ LIỆU VÀ ĐẶT CHI NHÁNH HOẶC VĂN PHÒNG ĐẠI DIỆN TẠI VIỆT NAM CỦA DOANH NGHIỆP TRONG VÀ NGOÀI NƯỚC

Kính gửi Quý khách hàng,

Ngày 15/08/2022, Chính phủ ban hành Nghị định 53/2022/Nghị Định-CP (“Nghị Định 53”) quy định chi tiết một số điều của Luật An ninh mạng có hiệu lực thi hành kể từ ngày 01/10/2022. Trong đó, Chính phủ đã quy định về việc lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam của doanh nghiệp trong và ngoài nước.

Trong Bản tin pháp lý số này, việc lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam của doanh nghiệp trong và ngoài nước theo Nghị Định 53 sẽ được chúng tôi tổng hợp và làm rõ.

1.        Dữ liệu phải lưu giữ tại Việt Nam

Điều 26 Nghị Định 53 quy định các dữ liệu phải lưu trữ tại Việt Nam gồm:

(i)      Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;

(ii)     Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: Tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu;

(iii)    Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.

2.        Đối tượng phải lưu trữ dữ liệu tại Việt Nam

(i)      Tất cả doanh nghiệp được thành lập hoặc đăng ký thành lập theo pháp luật Việt Nam và có trụ sở chính tại Việt Nam (doanh nghiệp trong nước) phải lưu trữ các loại dữ liệu nêu tại Mục 1 của Bản tin pháp lý này tại Việt Nam[1].

(ii)      Doanh nghiệp được thành lập hoặc đăng ký thành lập theo pháp luật nước ngoài (doanh nghiệp nước ngoài) có hoạt động kinh doanh tại Việt Nam thuộc một trong các lĩnh vực sau phải lưu trữ các loại dữ liệu nêu tại Mục 1 của Bản tin pháp lý này và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam trong trường hợp dịch vụ do doanh nghiệp cung cấp bị sử dụng thực hiện hành vi vi phạm pháp luật[2] về an ninh mạng[3]:

• Dịch vụ viễn thông;
• Lưu trữ, chia sẻ dữ liệu trên không gian mạng;
• Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam;
• Thương mại điện tử; thanh toán trực tuyến;
• Trung gian thanh toán;
• Dịch vụ kết nối vận chuyển qua không gian mạng;
• Mạng xã hội và truyền thông xã hội;
• Trò chơi điện tử trên mạng;
• Dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến.

Trường hợp bất khả kháng mà việc chấp hành yêu cầu của pháp luật về an ninh mạng của doanh nghiệp nước ngoài không thể thực hiện, doanh nghiệp nước ngoài thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an trong vòng 03 ngày làm việc để kiểm tra tính xác thực của việc bất khả kháng. Trong trường hợp này, doanh nghiệp có thời gian 30 ngày làm việc để tìm phương án khắc phục[4].

3.        Các yêu cầu lưu trữ dữ liệu khác mà doanh nghiệp cần chú ý

Ngoài yêu cầu về lưu trữ dữ liệu tại Việt Nam nêu trên, các doanh nghiệp trong và ngoài nước còn cần lưu ý các yêu cầu chung sau:

Trường hợp dữ liệu do doanh nghiệp thu thập, khai thác, phân tích, xử lý không đầy đủ theo quy định tại Mục 1 của Bản tin pháp lý này, doanh nghiệp phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an để xác nhận và tiến hành lưu trữ các loại dữ liệu hiện đang thu thập, khai thác, phân tích, xử lý.

Trường hợp doanh nghiệp tiến hành thu thập, khai thác, phân tích, xử lý bổ sung các loại dữ liệu theo quy định Mục 1 của Bản tin pháp lý này, doanh nghiệp có trách nhiệm phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an để bổ sung vào danh sách dữ liệu phải lưu trữ tại Việt Nam[5].

4.        Hình thức lưu trữ dữ liệu tại Việt Nam

Nghị Định 53 không đưa ra bất kỳ yêu cầu cụ thể nào mà cho phép các doanh nghiệp, cho dù là doanh nghiệp trong nước hay nước ngoài, được quyết định về hình thức lưu trữ dữ liệu của họ tại Việt Nam[6].

5.        Trình tự, thủ tục yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện của doanh nghiệp nước ngoài tại Việt Nam

Nghị Định 53 nêu rõ trình tự, thủ tục yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện của doanh nghiệp nước ngoài tại Việt Nam như sau[7]:

(i)       Bộ trưởng Bộ Công an ra quyết định yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam;

(ii)      Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thông báo, hướng dẫn, theo dõi, giám sát, đôn đốc doanh nghiệp thực hiện yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam; đồng thời, thông báo cho các cơ quan liên quan để thực hiện chức năng quản lý nhà nước theo thẩm quyền;

(iii)      Trong thời hạn 12 tháng kể từ ngày Bộ trưởng Bộ Công an ra quyết định, các doanh nghiệp có hoạt động kinh doanh tại Việt Nam thuộc một trong những lĩnh vực nêu trên phải hoàn thành lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

(iv)      Trình tự, thủ tục đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam được thực hiện theo các quy định của pháp luật về kinh doanh, thương mại, doanh nghiệp và các quy định khác có liên quan[8].

6.        Thời gian lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam^[9]

Thời gian lưu trữ dữ liệu bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu đến khi kết thúc yêu cầu. Thời gian lưu trữ tối thiểu là 24 tháng.

Thời gian đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam bắt đầu từ khi doanh nghiệp nhận được yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam đến khi doanh nghiệp không còn hoạt động tại Việt Nam hoặc dịch vụ được quy định không còn cung cấp tại Việt Nam.

7.        Chế tài xử phạt

Các doanh nghiệp không chấp hành quy định về lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam thì tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật[10]. Tuy nhiên hiện tại quy định xử phạt liên quan đến nội dung này chưa có hiệu lực pháp lý mà chỉ mới được quy định trong dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng. Cụ thể Điều 37.2 và Điều 5 Dự thảo này quy định phạt tiền từ 160.000.000 đồng đến 200.000.000 đồng đối với một trong các hành vi: Không lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam theo quy định tại khoản 3 Điều 26 Luật An ninh mạng.

Như thường lệ, chúng tôi hy vọng Quý khách hàng thấy bài viết này hữu ích và mong muốn được làm việc với Quý khách hàng trong thời gian tới.

Trân trọng,

Công ty Luật TNHH ENT

Quý khách hàng có thể tìm đọc bản đầy đủ của Bản tin pháp lý này tại đây.

————————————————-

[1] Điều 26.2, Điều 2.11 Nghị Định 53.

[2] Hành vi vi phạm pháp luật là hành vi được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thông báo và có yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản nhưng không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện.

[3] Điều 26.3, Điều 2.12 Nghị Định 53.

[4] Điều 26.3(b) Nghị Định 53.

[5] Điều 26.4 Nghị Định 53.

[6] Điều 26.5 Nghị Định 53.

[7] Điều 26.6 Nghị Định 53.

[8] Điều 26.7 Nghị Định 53.

[9] Điều 27 Nghị Định 53.

[10] Điều 26.8 Nghị Định 53.