Dự thảo Nghị định các Quy định về Dữ liệu tại Việt Nam

Read in English

Việt Nam đang bước vào giai đoạn quan trọng trong quản lý dữ liệu, với các quy định mới được thiết lập nhằm định hình tương lai của các hoạt động liên quan đến dữ liệu. Chính phủ đã công nhận dữ liệu là một tài sản quốc gia chiến lược, có vai trò quan trọng đối với an ninh, quốc phòng và ổn định kinh tế. Theo đó, các quy định đang được siết chặt để tăng cường giám sát dữ liệu nhạy cảm, ngăn chặn giao dịch dữ liệu trái phép, đồng thời thiết lập một khung pháp lý rõ ràng cho các doanh nghiệp trong nền kinh tế số. 

Những thay đổi này nhằm cân bằng ba yếu tố quan trọng: bảo đảm an ninh quốc gia, thúc đẩy phát triển kinh doanh dựa trên dữ liệu - tối ưu hóa giá trị dữ liệu trong nền kinh tế số - và bảo vệ dữ liệu cá nhân như một quyền cơ bản của con người.

Tháng 11 năm 2024, Quốc hội đã thông qua Luật Dữ liệu, đặt nền móng pháp lý cho việc quản lý, bảo mật, xử lý và sử dụng dữ liệu số. Luật cũng quy định thành lập Trung tâm Dữ liệu Quốc gia và Cơ sở Dữ liệu Quốc gia nhằm nâng cao hiệu quả quản lý nhà nước và tăng cường tính minh bạch.

Tiếp theo đó, vào tháng 1 năm 2025, Chính phủ đã công bố các dự thảo nghị định và quyết định quan trọng để triển khai Luật Dữ liệu, bao gồm:

• Dự thảo Nghị định Quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu.
• Dự thảo Nghị định Quy định hoạt động khoa học, công nghệ, đổi mới sáng tạo và sản phẩm, dịch vụ về dữ liệu.
• Dự thảo Nghị định Quy định về Quỹ Phát triển dữ liệu quốc gia.
• Dự thảo Quyết định Ban hành danh mục dữ liệu quan trọng, dữ liệu cốt lõi.

Các dự thảo này đang được lấy ý kiến đến giữa tháng 3 năm 2025, tạo cơ hội cho doanh nghiệp và các bên liên quan đóng góp ý kiến trước khi quy định chính thức được ban hành.

Dự thảo quy định mới bao trùm tất cả các loại dữ liệu quan trọng, bao gồm dữ liệu của chính phủ, doanh nghiệp và cá nhân, với tác động đáng kể đến các doanh nghiệp xử lý dữ liệu nhạy cảm. Những quy định chặt chẽ nhất sẽ áp dụng đối với Dữ liệu Cốt lõi và Dữ liệu Quan trọng, buộc doanh nghiệp phải chủ động giám sát, đánh giá tác động và tuân thủ các thủ tục pháp lý bắt buộc.

• Dữ liệu Cốt lõi: Bao gồm thông tin có mức độ nhạy cảm cao, ảnh hưởng trực tiếp đến an ninh quốc gia, quốc phòng, đối ngoại, ổn định kinh tế, y tế công cộng và trật tự xã hội.
• Dữ liệu Quan trọng: Là những dữ liệu có khả năng tác động đến các lĩnh vực trên, đòi hỏi các biện pháp bảo mật và tuân thủ nghiêm ngặt hơn.

Theo Dự thảo Quyết định về Dữ liệu Cốt lõi và Dữ liệu Quan trọng, phần lớn dữ liệu chịu sự quản lý thuộc về hoạt động của chính phủ, bao gồm an ninh quốc gia, ứng phó khẩn cấp, hệ thống tài chính, y tế, cơ sở hạ tầng và xử lý sự cố môi trường. Tuy nhiên, một số dữ liệu từ khu vực tư nhân cũng bị điều chỉnh, chẳng hạn như:

• Dữ liệu Cốt lõi:
  • Giao dịch ngân hàng xuyên biên giới vượt quá 50.000 giao dịch.
• Dữ liệu Quan trọng:
  • Hồ sơ y tế và dữ liệu sinh trắc học của từ 10.000 người trở lên.
  • Dữ liệu tài chính bảo mật, tài khoản doanh nghiệp và giao dịch khoản vay của từ 1.000.000 người trở lên.
  • Hợp đồng bảo hiểm, yêu cầu bồi thường và thanh toán của từ 10.000 khách hàng trở lên.
  • Dữ liệu hành vi trực tuyến của từ 100.000 người dùng trở lên.
  • Dữ liệu cá nhân cơ bản của từ 1.000.000 người trở lên và các dữ liệu nhạy cảm khác của từ 10.000 người trở lên.

Các doanh nghiệp quản lý những loại dữ liệu này sẽ phải đánh giá rủi ro và nộp báo cáo đánh giá tác động lên Bộ Công an hoặc Bộ Quốc phòng trước khi xử lý hoặc chuyển dữ liệu Cốt lõi hay Quan trọng ra nước ngoài.

• Việc chuyển Dữ liệu Cốt lõi phải được cơ quan có thẩm quyền phê duyệt, với thời gian xem xét tối đa 10 ngày.
• Việc chuyển Dữ liệu Quan trọng yêu cầu thông báo trước 5 ngày. Cơ quan chức năng có quyền tạm dừng hoặc ngăn chặn việc chuyển dữ liệu nếu phát hiện rủi ro an ninh.
• Doanh nghiệp phải thực hiện đánh giá rủi ro hai lần mỗi năm đối với Dữ liệu Cốt lõi và đánh giá hàng năm đối với Dữ liệu Quan trọng, đồng thời cập nhật báo cáo khi có thay đổi đáng kể.

Các doanh nghiệp cung cấp dịch vụ xử lý, phân tích và trao đổi dữ liệu sẽ phải đáp ứng các quy định mới về tuân thủ. Các lĩnh vực bị ảnh hưởng chính gồm:

• Dịch vụ trung gian dữ liệu (như lưu trữ dữ liệu, cung cấp API, quản lý tích hợp dữ liệu) phải đáp ứng các yêu cầu về đăng ký đầu tư, nhân sự, cơ sở hạ tầng về công nghệ, bảo mật và tài chính. Tuy nhiên, chỉ những đơn vị kết nối dữ liệu giữa người dùng cá nhân và cơ quan nhà nước mới cần xin cấp phép.
• Dịch vụ phân tích và tổng hợp dữ liệu phải xin Chứng nhận Đủ điều kiện Kinh doanh nếu:
  • Cung cấp dịch vụ phân tích dữ liệu cấp độ 3 hoặc 4 trong các hệ thống thông tin quan trọng quốc gia (ví dụ: an ninh, quốc phòng, y tế, giao thông, tư pháp). Dịch vụ cấp độ 3 là dịch vụ phân tích hỗ trợ ra quyết định dưới sự giám sát của con người, trong khi cấp độ 4 vận hành tự động không cần giám sát.
  • Sử dụng cơ sở dữ liệu quốc gia hoặc chuyên ngành để phân tích dữ liệu cho cá nhân hoặc tổ chức.
• Sàn dữ liệu (môi giới, giao dịch, đấu giá, hỗ trợ kỹ thuật và các hoạt động liên quan) chỉ được cung cấp bởi đơn vị sự nghiệp công lập hoặc đơn vị cung cấp dịch vụ công đáp ứng điều kiện cấp phép.

Việc công nhận "sàn dữ liệu" trong luật pháp Việt Nam là một bước tiến quan trọng giúp tăng khả năng tiếp cận dữ liệu phục vụ nghiên cứu & phát triển (R&D) và công nghệ cao. Điều này giúp doanh nghiệp tiếp cận dữ liệu hợp pháp, giảm chi phí và hạn chế tình trạng mua bán dữ liệu trái phép. Quy định yêu cầu nền tảng trao đổi dữ liệu thuộc sở hữu nhà nước hoặc đơn vị cung cấp dịch vụ công, cùng với các tiêu chuẩn cấp phép chặt chẽ, giúp đảm bảo tính minh bạch, bảo mật và trách nhiệm cao, tạo niềm tin cho cả bên cung cấp và bên sử dụng dữ liệu.

Một điểm đáng chú ý trong Dự thảo Nghị định Hướng dẫn Luật Dữ liệu là quy định về chia sẻ dữ liệu bắt buộc với cơ quan nhà nước.

• Doanh nghiệp được khuyến khích chia sẻ dữ liệu tự nguyện vì lợi ích công (ví dụ: dữ liệu về y tế, biến đổi khí hậu, giao thông).
• Tuy nhiên, trong một số trường hợp đặc biệt, doanh nghiệp bắt buộc phải cung cấp dữ liệu theo yêu cầu của cơ quan có thẩm quyền, với điều kiện yêu cầu đó phải có cơ sở pháp lý rõ ràng và thời gian cụ thể.

Các yêu cầu cung cấp dữ liệu phải:

• Được lập thành văn bản, nêu rõ mục đích, thời gian hiệu lực và cơ sở pháp lý.
• Cho phép doanh nghiệp yêu cầu chỉnh sửa hoặc rút lại dữ liệu trước thời hạn quy định.
• Bị hủy bỏ nếu yêu cầu không hợp pháp hoặc nếu dữ liệu không còn khả dụng.

Hệ thống pháp lý về dữ liệu tại Việt Nam đang thay đổi, mang lại cả thách thức và cơ hội cho doanh nghiệp. Mặc dù các biện pháp kiểm soát giúp tăng cường an ninh và bảo mật dữ liệu, một khung pháp lý rõ ràng cũng giúp doanh nghiệp hoạt động minh bạch và tự tin hơn trong nền kinh tế số.

Dự thảo đang lấy ý kiến đến giữa tháng 3/2025, vì vậy doanh nghiệp cần chủ động chuẩn bị:

• Xác định xem dữ liệu của mình có thuộc nhóm Dữ liệu Cốt lõi hoặc Dữ liệu Quan trọng hay không và có phương án tuân thủ.
• Rà soát quy trình xử lý và chuyển giao dữ liệu để đảm bảo phù hợp với các quy định mới.
• Tham gia các chương trình thảo luận và đóng góp ý kiến đối với các dự thảo.

Đây là thời điểm quan trọng để doanh nghiệp đánh giá rủi ro và điều chỉnh hoạt động nhằm thích ứng với các yêu cầu mới. KPMG, với kinh nghiệm hàng đầu trong lĩnh vực quy định về dữ liệu, quyền riêng tư và an ninh, sẵn sàng đồng hành và hỗ trợ doanh nghiệp bạn trong giai đoạn chuẩn bị và triển khai. Nếu có bất kỳ thắc mắc hay cần hỗ trợ, hãy liên hệ với chúng tôi.