Đặng Thế Đức, Giám đốc điều hành Công ty Tư vấn luật Indochine Counsel (bên trái, Thái Gia Hân, Cộng sự  tại Công ty Tư vấn luật Indochine Counsel

Dự thảo nghị định đưa ra những quy định tác động đến các tổ chức hoạt động trong hệ sinh thái số của Việt Nam, từ phân loại dữ liệu đến chuyển dữ liệu xuyên biên giới và yêu cầu truy cập của cơ quan nhà nước.

Phạm vi áp dụng của nghị định này bao gồm các cơ quan, tổ chức, cá nhân trong nước; các tổ chức, cá nhân nước ngoài có hiện diện tại Việt Nam và cả các tổ chức, cá nhân nước ngoài bên ngoài lãnh thổ Việt Nam, nhưng có tham gia hoặc liên quan đến các hoạt động dữ liệu số tại Việt Nam.

Với phạm vi điều chỉnh rộng như vậy, các doanh nghiệp trong và ngoài nước cần đảm bảo rằng, khung quản trị dữ liệu của mình phù hợp với các yêu cầu pháp lý trong Luật Dữ liệu và dự thảo nghị định này.

Dự thảo nghị định cũng đưa ra các tiêu chí rõ ràng để xác định dữ liệu cốt lõi và dữ liệu quan trọng, điều này ảnh hưởng trực tiếp đến cách các tổ chức phải quản lý, bảo vệ và xử lý thông tin. Theo đó, dữ liệu cốt lõi bao gồm các dữ liệu liên quan đến an ninh quốc gia, hạ tầng kinh tế chiến lược và các thông tin nhạy cảm có tác động đến an toàn công cộng. Dữ liệu quan trọng bao gồm các bộ dữ liệu liên quan đến kinh tế, xã hội và y tế công cộng.

Các doanh nghiệp cần đánh giá tác động của những quy định mới đối với chiến lược bảo vệ và tuân thủ dữ liệu của mình

Các doanh nghiệp xử lý hai loại dữ liệu này có thể sẽ phải tuân thủ các yêu cầu nghiêm ngặt hơn, đặc biệt liên quan đến lưu trữ, truy cập và xử lý dữ liệu xuyên biên giới.

Việt Nam từ lâu đã chú trọng tới việc lưu trữ dữ liệu trong nước, đặc biệt qua Luật An ninh mạng 2018 và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Dự thảo nghị định lần này tiếp tục xu hướng đó bằng việc yêu cầu các doanh nghiệp chuyển dữ liệu cốt lõi hoặc dữ liệu quan trọng ra khỏi Việt Nam phải tiến hành đánh giá rủi ro trước khi thực hiện, nộp hồ sơ đánh giá tác động tới cơ quan quản lý nhà nước có thẩm quyền và xác định rõ nghĩa vụ, trách nhiệm bảo vệ dữ liệu trong các thỏa thuận hợp pháp với bên nhận dữ liệu ở nước ngoài.

Những nghĩa vụ này góp phần tăng cường quản lý dữ liệu, đồng thời yêu cầu các doanh nghiệp đa quốc gia tại Việt Nam chủ động rà soát và điều chỉnh quy trình vận hành để đảm bảo phù hợp. Bên cạnh đó, việc lập và nộp hồ sơ đánh giá tác động khi chuyển dữ liệu cốt lõi và dữ liệu quan trọng ra nước ngoài giúp nâng cao tính minh bạch và an toàn. Tuy nhiên, để việc thực hiện được đồng bộ và hiệu quả, cần có hướng dẫn chi tiết từ cơ quan chức năng.

Việc cung cấp dữ liệu cho các cơ quan nhà nước được khuyến khích thực hiện trên cơ sở tự nguyện, với yêu cầu có sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân và sự cho phép của chủ sở hữu đối với dữ liệu phi cá nhân.

Song, dự thảo hiện chưa quy định cụ thể về việc có bắt buộc phải xin ý kiến đồng thuận của chủ thể dữ liệu hoặc sự cho phép của chủ sở hữu dữ liệu trong một số trường hợp cung cấp dữ liệu cho cơ quan nhà nước, chẳng hạn như các tình huống liên quan đến an ninh quốc gia, y tế công cộng, ứng phó thiên tai, hay các hoạt động phòng chống khủng bố và bạo loạn.

Dự thảo nghị định cũng đặt ra quy định chính thức cho việc yêu cầu dữ liệu từ phía cơ quan nhà nước, nhưng những yêu cầu này không quá nghiêm ngặt. Việc yêu cầu bằng lời nói được cho phép trong trường hợp không thể ngay lập tức có yêu cầu bằng văn bản, miễn là sau đó có xác nhận bằng văn bản bổ sung.

Các doanh nghiệp xử lý khối lượng lớn dữ liệu cá nhân hoặc dữ liệu doanh nghiệp cần đánh giá tác động của những nghĩa vụ này đối với chiến lược bảo vệ và tuân thủ dữ liệu của mình.

Dự thảo cũng yêu cầu thành lập trung tâm dữ liệu quốc gia, đóng vai trò là đầu mối tập trung cho việc thu thập, lưu trữ và trao đổi dữ liệu của cơ quan nhà nước. Các doanh nghiệp lưu trữ hoặc xử lý dữ liệu thuộc diện điều chỉnh có thể phải tích hợp hệ thống của mình với trung tâm này. Điều này làm dấy lên lo ngại về sự linh hoạt trong vận hành và an ninh dữ liệu.

Luật Dữ liệu và dự thảo nghị định được kỳ vọng sẽ tái định hình bức tranh số của Việt Nam, các doanh nghiệp cần chuẩn bị cho những thay đổi lớn trong quy định pháp lý. Ưu tiên hàng đầu là đánh giá lại quy trình xử lý dữ liệu, xác định xem tổ chức có xử lý dữ liệu cốt lõi hoặc dữ liệu quan trọng hay không và đảm bảo sẵn sàng cho các yêu cầu tuân thủ nghiêm ngặt hơn.

Việc chuyển dữ liệu xuyên biên giới cũng cần được rà soát lại cẩn trọng. Các doanh nghiệp phải đảm bảo rằng tài liệu pháp lý và đánh giá rủi ro phù hợp với các kỳ vọng mới trong quy định, nhằm tránh các gián đoạn có thể xảy ra. Trong bối cảnh dự thảo đang được lấy ý kiến, doanh nghiệp nên tích cực tham gia đóng góp giúp định hình các quy định cuối cùng, sao cho cân bằng giữa tuân thủ pháp luật và khả năng vận hành.

Đồng thời, việc tăng cường biện pháp bảo vệ dữ liệu là điều cần thiết. Các tổ chức cần triển khai kiểm soát an ninh nâng cao và cơ chế kiểm toán để đáp ứng những yêu cầu có thể phát sinh về quyền truy cập dữ liệu của cơ quan nhà nước.

Dự thảo nghị định đánh dấu một bước chuyển mình quan trọng trong chế độ quản trị dữ liệu của Việt Nam. Mặc dù mang lại sự rõ ràng hơn về nghĩa vụ tuân thủ, nhưng cũng đặt ra các quy định nghiêm ngặt hơn mà doanh nghiệp phải cẩn trọng vượt qua. Trước bối cảnh pháp lý đang thay đổi, các doanh nghiệp hoạt động tại Việt Nam nên chủ động điều chỉnh chính sách, tham gia đối thoại với cơ quan quản lý và đảm bảo thực hiện mọi biện pháp bảo mật vững chắc để đáp ứng các yêu cầu pháp lý mới.n

(*) Giám đốc điều hành Công ty Tư vấn luật Indochine Counsel

(**) Cộng sự  tại Công ty Tư vấn luật Indochine Counsel