1. Thống nhất các quy định pháp luật về quản lý dữ liệu
Theo thống kê của cơ quan soạn thảo, hiện nay có đến 69 Luật có quy định liên quan đến dữ liệu, cơ sở dữ liệu như Luật Giao dịch điện tử 2023, Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015. Tuy nhiên các quy định này lại không thống nhất về việc xử lý, quản trị dữ liệu (như việc thu thập, số hoá, đảm bảo chất lượng, lưu trữ dữ liệu,...) dẫn đến việc chồng chéo và khó khăn trong khâu thực thi trong thực tiễn.
Luật Dữ liệu 2024 đặt ra một nguyên tắc chung: các quy định về dữ liệu trong các Luật khác sẽ không được trái với quy định của Luật Dữ liệu, trường hợp các Luật khác có quy định khác hoặc không quy định thì sẽ áp dụng quy định của Luật Dữ liệu.
Luật Dữ liệu 2024 quy định tập trung toàn bộ các dữ liệu đang được lưu trữ tại các cơ sở dữ liệu trên vào Cơ sở dữ liệu tổng hợp quốc gia, thống nhất đặt dưới sự quản lý của Trung tâm dữ liệu quốc gia - một cơ quan mới thành lập trực thuộc Bộ Công an. Việc tập trung này không chỉ nâng cao hiệu quả quản lý mà còn mở ra khả năng khai thác dữ liệu một cách liên kết và đồng bộ hơn cho các công tác quản lý nhà nước.
Đây là bước quan trọng để chuẩn hóa và thống nhất việc xử lý, quản trị dữ liệu trên toàn quốc.
2. Phạm vi điều chỉnh và đối tượng áp dụng (Điều 1,2)
Về phạm vi điều chỉnh: Luật này quy định về dữ liệu số; xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu số; Trung tâm dữ liệu quốc gia; Cơ sở dữ liệu tổng hợp quốc gia; sản phẩm, dịch vụ về dữ liệu số; quản lý nhà nước về dữ liệu số; quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan đến hoạt động về dữ liệu số
Về đối tượng áp dụng: các cơ quan, tổ chức, cá nhân nước ngoài không tại Việt Nam nhưng trực tiếp tham gia hoặc có liên quan đến hoạt động dữ liệu số tại Việt Nam cũng thuộc đối tượng áp dụng của Luật Dữ liệu.
3. Phân loại dữ liệu đối với chủ sở hữu dữ liệu, chủ quản dữ liệu không phải là cơ quan nhà nước (Điều 13)
Chủ sở hữu dữ liệu, chủ quản dữ liệu không phải là cơ quan nhà nước phải phân loại dữ liệu theo tính chất quan trọng của dữ liệu (gồm: dữ liệu cốt lõi, dữ liệu quan trọng, dữ liệu khác) và được phân loại dữ liệu theo các tiêu chí khác.
4. Các trường hợp phải cung cấp dữ liệu cho cơ quan nhà nước mà không cần sự đồng ý của chủ thể dữ liệu (Điều 18)
Tổ chức, cá nhân phải cung cấp dữ liệu cho cơ quan nhà nước khi có yêu cầu của cơ quan có thẩm quyền mà không cần chủ thể dữ liệu đồng ý trong các trường hợp sau đây:
- Ứng phó với tình trạng khẩn cấp;
- Khi có nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp;
- Thảm họa;
- Phòng, chống bạo loạn, khủng bố.
5. Bổ sung thêm các nghĩa vụ mới trong việc quản trị, bảo vệ, cung cấp dữ liệu và chuyển dữ liệu xuyên biên giới
(i) Nghĩa vụ quản trị dữ liệu
Luật Dữ liệu yêu cầu các cơ quan chủ quản dữ liệu phải tổ chức, xây dựng chính sách, kế hoạch, chương trình, quy trình để thực hiện việc quản trị dữ liệu. Tuy nhiên Luật lại chưa nêu cụ thể nội dung phải có, thời hạn thực hiện cũng như các chế tài trong trường hợp vi phạm.
Bên cạnh đó thì đối tượng cơ quan chủ quản dữ liệu ở đây cũng chưa được làm rõ là có bao hàm luôn các tổ chức, doanh nghiệp hay chỉ gồm các cơ quan nhà nước, vì ở phần đầu của Luật có nêu ra một định nghĩa khá tương tự về mặt câu chữ là khái niệm chủ quản cơ sở dữ liệu - các cơ quan, tổ chức chủ trì việc xây dựng, quản lý, vận hành, khai thác cơ sở dữ liệu.
Có thể trong thời gian tới thì các văn bản dưới luật hướng dẫn thi hành Luật Dữ liệu sẽ quy định chi tiết hơn về các vấn đề này.
[ii] Nghĩa vụ cung cấp dữ liệu theo yêu cầu của cơ quan nhà nước
Luật Dữ liệu yêu cầu các cá nhân, tổ chức phải cung cấp dữ liệu theo yêu cầu cho các cơ quan nhà nước trong các trường hợp:
- Khi dữ liệu được yêu cầu cung cấp là cần thiết để ứng phó với tình trạng khẩn cấp công cộng; hoặc
- Khi việc thiếu dữ liệu sẵn có ngăn cản cơ quan nhà nước hoàn thành một nhiệm vụ cụ thể vì lợi ích công cộng đã được pháp luật quy định rõ ràng và cơ quan nhà nước không thể lấy được dữ liệu đó bằng các biện pháp thay thế khác.
Cụ thể, Luật quy định việc cung cấp phải được thực hiện sau khi nhận được văn bản yêu cầu từ Trung tâm dữ liệu quốc gia. Ngoài ra việc cung cấp cũng phải được thực hiện đối với các dữ liệu liên quan đến đời sống riêng tư, bí mật cá nhân, bí mật gia đình, bí mật kinh doanh mà không cần sự đồng ý của chủ sở hữu dữ liệu trong trường hợp vì lý do công cộng, sức khoẻ cộng đồng.
Do khái niệm “lợi ích công cộng”, “sức khoẻ cộng đồng” chưa được định nghĩa rõ ràng nên có thể thấy phạm vi của nghĩa vụ cung cấp này sẽ là rất rộng.
[iii] Nghĩa vụ khi chuyển dữ liệu xuyên biên giới
Luật Dữ liệu cho phép các cơ quan, tổ chức, cá nhân được tự do chuyển dữ liệu từ nước ngoài về Việt Nam và xử lý dữ liệu thu thập ở nước ngoài tại Việt Nam, tuy nhiên sẽ giới hạn việc chuyển dữ liệu ở Việt Nam ra nước ngoài. Cụ thể là đối với các dữ liệu được phân loại là dữ liệu cốt lõi, dữ liệu quan trọng trước khi chuyển ra khỏi biên giới Việt Nam sẽ phải được cơ quan có thẩm quyền đánh giá và chấp thuận.
Điều kiện để chuyển các dữ liệu quan trọng, dữ liệu cốt lõi này ra nước ngoài được quy định là: (i) Đạt đánh giá an toàn dữ liệu do Bộ Công an thực hiện; và (ii) Ký hợp đồng với bên nhận dữ liệu ở nước ngoài theo hợp đồng chuẩn do Bộ Công an xây dựng.
Như vậy, trước khi chuyển dữ liệu ra nước ngoài thì ngoại trừ việc phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Nghị định 13/2023/NĐ-CP thì tuỳ theo dữ liệu chuyển có được phân vào nhóm dữ liệu cốt lõi, dữ liệu quan trọng hay không mà các cơ quan, tổ chức, cá nhân sẽ có nghĩa vụ xin chấp thuận từ cơ quan thẩm quyền tương ứng.
[iv] Nghĩa vụ quản lý rủi ro
Các cơ quan, tổ chức, cá nhân có tiến hành hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng có nghĩa vụ định kỳ tiến hành đánh giá rủi ro đối với các hoạt động xử lý dữ liệu đó. Nội dung đánh giá rủi ro bao gồm tối thiểu các thông tin về loại và lượng dữ liệu đang được xử lý, hoàn cảnh của các hoạt động xử lý dữ liệu, các rủi ro phát sinh trong xử lý dữ liệu và biện pháp giải quyết.
Đối với các chủ quản dữ liệu là cá nhân và tổ chức không thuộc trường hợp trên thì sẽ phải tự đánh giá, xác định rủi ro và thực hiện các biện pháp để bảo vệ dữ liệu, cũng như kịp thời khắc phục rủi ro phát sinh và thông báo cho chủ thể dữ liệu và cơ quan, tổ chức, cá nhân có liên quan.
[v] Bổ sung thêm các quy định về việc kinh doanh sản phẩm, dịch vụ về dữ liệu
Luật Dữ liệu cũng mở đường cho việc phát triển các loại hình kinh doanh dữ liệu, từ trung gian dữ liệu đến sàn giao dịch dữ liệu. Tuy nhiên, các điều kiện và quy định chi tiết sẽ được Chính phủ ban hành sau, tạo dư địa cho doanh nghiệp đổi mới và phát triển trong lĩnh vực này.
Trên đây là toàn bộ nội dung tư vấn của Luật Vì Chân Lý Themis gửi tới quý khách hàng. Mong rằng nội dung trên sẽ giúp ích được cho quý khách hàng. Nếu quý khách hàng còn vướng mắc cần giải đáp vui lòng liên hệ cho Luật Vì Chân Lý Themis theo thông tin dưới đây.
-XH-
MỌI THẮC MẮC KHÁCH HÀNG VUI LÒNG LIÊN HỆ TỚI
FB: LUATSUTHANHDAT
ZALO: 03.2518.2518
CS1: PHÒNG 201, SỐ 170 TRẦN DUY HƯNG, P.TRUNG HOÀ, Q.CẦU GIẤY, TP HÀ NỘI
CS2: PHÒNG 1936, TÒA HH4C, KĐT LINH ĐÀM, NGUYỄN HỮU THỌ, HOÀNG MAI, HÀ NỘI