Dự Thảo Hướng Dẫn Thi Hành Luật Dữ Liệu

19/03/2025 17:00

Ngày 30 tháng 11 năm 2024, Quốc Hội nước Cộng hòa Xã hội Chủ nghĩa Việt Nam chính thức thông qua Luật số 60/2024/QH15, được gọi là Luật Dữ Liệu (Luật Dữ Liệu), có hiệu lực từ ngày 1 tháng 7 năm 2025). Tiếp nối Luật Dữ Liệu, vào tháng 1 năm 2025, Chính Phủ đã ban hành dự thảo các văn bản hướng dẫn quan trọng nhằm đảm bảo việc thực thi hiệu quả Luật Dữ Liệu, bao gồm Dự thảo Nghị định quy định chi tiết một số điều và biện pháp thi hành Luật Dữ Liệu (Dự Thảo Nghị Định) và Dự Thảo Quyết định ban hành danh mục dữ liệu quan trọng, dữ liệu cốt lõi (Dự Thảo Quyết Định). Thông qua bản tin cập nhật pháp luật này, chúng tôi sẽ phân tích những quy định trọng yếu được ban hành trong Dự Thảo Nghị Định và Dự Thảo Quyết Định.

1. Ban hành danh mục dữ liệu quan trọng và cốt lõi

Dự Thảo Nghị Định nêu rõ các tiêu chí cụ thể để xác định dữ liệu quan trọng và dữ liệu cốt lõi. Nhìn chung, dữ liệu quan trọng là dữ liệu có khả năng tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng. Trong khi đó, dữ liệu cốt lõi là dữ liệu tác động trực tiếp đến các lĩnh vực này.

Chi tiết hơn, Dự Thảo Quyết Định đã ban hành danh mục các dữ liệu quan trọng và dữ liệu cốt lõi. Nhìn chung, phần lớn các dữ liệu quan trọng và dữ liệu cốt lõi liên quan đến các hoạt động của Nhà Nước. Tuy nhiên, một số dữ liệu trong lĩnh vực tư nhân cũng có thể được điều chỉnh, cụ thể:

1.1. Dữ liệu quan trọng:

(i) Dữ liệu về hồ sơ sức khỏe và sinh trắc học của công dân Việt Nam (từ 10.000 người trở lên);

(ii) Dữ liệu bảo mật ngân hàng, thông tin tài khoản của các doanh nghiệp và tổ chức quan trọng, dữ liệu khoản vay, dữ liệu giao dịch chứa thông tin của 1.000.000 người;

(iii) Dữ liệu về hợp đồng bảo hiểm, số tiền bảo hiểm, hồ sơ bồi thường bảo hiểm, số tiền bồi thường bảo hiểm của 10.000 khách hàng trở lên;

(iv) Dữ liệu có thể được sử dụng để huy động xã hội, dữ liệu hành vi internet của hơn 100.000 người dùng; hoặc

(v) Dữ liệu cá nhân cơ bản của 1 triệu người trở lên, dữ liệu cá nhân nhạy cảm khác của 10.000 người trở lên.

1.2. Dữ liệu cốt lõi: Dữ liệu về giao dịch ngân hàng xuyên biên giới (từ 50.000 giao dịch trở lên).

 

2. Xác định rõ các yêu cầu về chuyển và xử lý dữ liệu xuyên biên giới

Dự Thảo Nghị Định nêu rõ các yêu cầu về chuyển và xử lý dữ liệu quan trọng, dữ liệu cốt lõi xuyên biên giới, bao gồm:

2.1. Đối với dữ liệu quan trọng: Tối thiểu năm (5) ngày trước khi chuyển hoặc xử lý dữ liệu quan trọng xuyên biên giới, chủ quản dữ liệu phải chuẩn bị và nộp hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới (Hồ Sơ Đánh Giá Tác Động Chuyển và Xử Lý Dữ Liệu Xuyên Biên Giới) kèm thông báo cho Bộ Quốc Phòng (đối với dữ liệu thuộc lĩnh vực quân sự, quốc phòng, cơ yếu) hoặc Bộ Công An (đối với dữ liệu trong các lĩnh vực khác) (gọi chung là Cơ Quan Quản Lý). Chủ quản dữ liệu có thể tiến hành chuyển và xử lý dữ liệu ra nước ngoài nếu không nhận được đánh giá không đạt sau năm (5) ngày.

2.2. Đối với dữ liệu cốt lõi: Tương tự như dữ liệu quan trọng, chủ quản dữ liệu phải chuẩn bị và nộp Hồ Sơ Đánh Giá Tác Động Chuyển và Xử Lý Dữ Liệu Xuyên Biên Giới cho Cơ Quan Quản Lý. Cơ Quan Quản Lý phải hoàn thành đánh giá tác động trong vòng mười (10) ngày làm việc kể từ ngày nhận được hồ sơ đầy đủ và hợp lệ. Khác với dữ liệu quan trọng, chủ quản dữ liệu chỉ được tiến hành chuyển và xử lý dữ liệu ra nước ngoài khi nhận được đánh giá đạt từ Cơ Quan Quản Lý.

Ngoài các yêu cầu nêu trên, chủ quản dữ liệu phải tự đánh giá rủi ro định kỳ hằng năm (đối với dữ liệu quan trọng) hoặc định kỳ sáu tháng (đối với dữ liệu cốt lõi) về việc chuyển và xử lý dữ liệu xuyên biên giới và gửi báo cáo cho Bộ Công An.

 

3. Quy định thủ tục cung cấp dữ liệu cho Cơ Quan Nhà Nước

Dự Thảo Nghị Định quy định chi tiết thủ tục trong trường hợp Cơ Quan Nhà Nước yêu cầu cung cấp dữ liệu từ tổ chức và cá nhân. Theo đó, yêu cầu cung cấp dữ liệu phải được thể hiện bằng văn bản. Tuy nhiên, trong trường hợp đặc biệt không thể ra yêu cầu bằng văn bản thì người có thẩm quyền quyết định được quyết định yêu cầu cung cấp dữ liệu bằng lời nói để thực hiện nhiệm vụ được giao nhưng phải có giấy xác nhận.

Yêu cầu cung cấp dữ liệu phải xác định rõ loại dữ liệu, mức độ chi tiết của dữ liệu, khối lượng dữ liệu, tần suất truy cập dữ liệu và phương thức cung cấp dữ liệu. Yêu cầu cung cấp dữ liệu phải tôn trọng mục đích hợp pháp của chủ quản dữ liệu và chủ sở hữu dữ liệu, cũng như bảo vệ bí mật kinh doanh và bí mật cá nhân.

Yêu cầu cung cấp dữ liệu có thể bị hủy bỏ trong những trường hợp sau:

(i) Nếu vi phạm Luật Dữ Liệu hoặc các luật khác có liên quan;

(ii) Nếu các điều kiện cung cấp dữ liệu không còn được đáp ứng; hoặc

(iii) Nếu dữ liệu được yêu cầu cung cấp không còn tồn tại vì lý do khách quan.

Ngoài ra, Dự Thảo Nghị Định cho phép chủ sở hữu dữ liệu, người đại diện hợp pháp hoặc người đang quản lý, sử dụng hợp pháp dữ liệu có quyền yêu cầu Cơ Quan Nhà Nước sửa đổi hoặc rút lại yêu cầu cung cấp dữ liệu, với điều kiện yêu cầu được thực hiện trước thời hạn chỉ định cần cung cấp dữ liệu.

 

4. Quy định về yêu cầu khi cung cấp và ủy thác xử lý dữ liệu quan trọng và dữ liệu cốt lõi trong nước

Dự Thảo Nghị Định yêu cầu các chủ quản dữ liệu phải đánh giá rủi ro trước khi cung cấp hoặc ủy thác xử lý dữ liệu quan trọng và dữ liệu cốt lõi cho các tổ chức, cá nhân trong nước, trừ trường hợp đó là việc thực hiện nhiệm vụ hoặc nghĩa vụ theo quy định của pháp luật. Việc đánh giá rủi ro phải tập trung vào, bên cạnh những yếu tố khác, tính hợp pháp và sự cần thiết, rủi ro tiềm ẩn, các biện pháp kỹ thuật và quản lý. Chủ quản dữ liệu phải ký kết thỏa thuận với bên nhận dữ liệu về mục đích, phương thức, phạm vi, nghĩa vụ bảo mật. Chủ quản dữ liệu sẽ giám sát việc thực hiện nghĩa vụ của bên nhận dữ liệu. Hồ sơ về việc xử lý dữ liệu phải được lưu trữ ít nhất ba (3) năm.

 

 

Tải bản tin về máy tại đây: Dự Thảo Hướng Dẫn Thi Hành Luật Dữ Liệu - Cập Nhật Pháp Lý - Tháng Ba 2025 


Bài viết này chỉ cung cấp một bản tóm tắt về chủ đề được đề cập, mà không có bất kỳ nghĩa vụ nào do Công ty Luật Frasers chịu trách nhiệm. 

Bản tóm tắt không nhằm mục đích cũng như không nên dựa vào nó để thay thế cho lời khuyên pháp lý.