ATIM LAW FIRM
Knowledge center
ATIM LAW FIRM
Điểm nổi bật của Luật dữ liệu 2024
Luật Dữ liệu 2024, được thông qua vào cuối tháng 11 năm 2024 và có hiệu lực từ ngày 1 tháng 7 năm 2025, tập trung chủ yếu vào việc thiết lập cơ sở dữ liệu chung quốc gia và trung tâm dữ liệu phục vụ nhà nước. Tuy nhiên, luật cũng đưa ra các quy định liên quan đến dữ liệu số (gọi tắt là dữ liệu trong bài viết này) có tác động đến đối tượng tư nhân, bao gồm các sản phẩm và dịch vụ dữ liệu. Chính phủ cũng đang soạn thảo 3 nghị định chi tiết về các vấn đề chính trong Luật Dữ liệu, bao gồm : Nghị định về Sản phẩm & Dịch vụ liên quan đến Dữ liệu, Nghị định về Dữ liệu Cốt lõi & Quan trọng, và Nghị định Tổng hợp.
Bài viết dưới đây sẽ trình bày/thảo luận về một số điểm mấu chốt/quan trọng của Luật Dữ liệu và các Nghị định liên quan.
1. Công An sẽ xem xét/rà soát và giám sát hoạt động các hoạt động dữ liệu
Bộ Công an (MPS) tiếp tục được trao quyền quản lý tất cả các hoạt động liên quan đến dữ liệu, ngoại trừ dữ liệu thuộc Bộ Quốc phòng. Dựa trên thông tin đó, có vẻ như Việt Nam coi dữ liệu là một vấn đề an ninh, và vi phạm quy định về dữ liệu có thể dẫn đến trách nhiệm pháp lý nghiêm trọng. Điều này có thể làm tăng đáng kể chi phí cần tuân thủ cho các công ty và doanh nghiệp tại Việt Nam nếu họ muốn làm theo mà không có hướng dẫn đầy đủ (xem phần thảo luận bên dưới).
2. Ngành nghề kinh doanh có điều kiện
Các sửa đổi đối với Luật Đầu tư 2020 vào cuối năm 2024 yêu cầu các doanh nghiệp hoạt động trong lĩnh vực (i) sản phẩm và dịch vụ trung gian dữ liệu, (ii) phân tích và tổng hợp dữ liệu, hoặc (iii) dịch vụ nền tảng dữ liệu phải đáp ứng một số điều kiện nhất định. Luật Dữ liệu đề xuất rằng:
a. Dịch vụ nền tảng dữ liệu có thể bị hạn chế đối với doanh nghiệp nhà nước và nhà cung cấp công, có khả năng loại trừ các công ty tư nhân; và
b. Chỉ các nhà cung cấp dịch vụ phân tích và tổng hợp dữ liệu có khả năng gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự xã hội, an toàn, đạo đức xã hội hoặc sức khỏe cộng đồng được đề cập trong Dự thảo Nghị định về Sản phẩm & Dịch vụ liên quan đến Dữ liệu mới là đối tượng phải chịu các điều kiện này.
Theo Dự thảo Nghị định về Sản phẩm & Dịch vụ liên quan đến Dữ liệu, các doanh nghiệp trong các lĩnh vực này phải tuân thủ các yêu cầu nghiêm ngặt. Đáng chú ý, tất cả các doanh nghiệp này phải duy trì một khoản ký quỹ ít nhất 5 tỷ VND tại một ngân hàng thương mại Việt Nam để bù đắp chi phí trong trường hợp bị thu hồi giấy phép.
3. Dữ liệu cốt lõi và dữ liệu quan trọng
Việc chuyển dữ liệu "cốt lõi" (tức là dữ liệu ảnh hưởng trực tiếp đến quốc phòng, an ninh, đối ngoại, tình hình kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng) và "dữ liệu quan trọng" (tức là dữ liệu có thể ảnh hưởng đến các lĩnh vực này) ra nước ngoài sẽ phải tuân thủ các quy định nhằm bảo vệ an ninh quốc gia, lợi ích công cộng và quyền lợi hợp pháp của chủ thể dữ liệu. Các dự thảo nghị định gần đây của Chính phủ đưa ra một số quy định quan trọng liên quan đến dữ liệu cốt lõi và quan trọng, bao gồm:
Phạm vi (rộng/lớn) dữ liệu cốt lõi và quan trọng: Một lượng lớn dữ liệu thuộc phạm vi này, bao gồm cả dữ liệu cá nhân cơ bản của 1 triệu người trở lên (được coi là dữ liệu quan trọng);
Danh sách dữ liệu cốt lõi không đầy đủ: Dự thảo Nghị định về Dữ liệu Cốt lõi & Quan trọng không cung cấp danh sách đầy đủ về dữ liệu cốt lõi mà chỉ đưa ra một danh mục mở cho "các dữ liệu chưa công bố trong hoạt động quản lý nhà nước", tạo ra sự linh hoạt lớn cho cơ quan có thẩm quyền.
4. Yêu cầu nghiêm ngặt đối với chuyển dữ liệu xuyên biên giới:
Các doanh nghiệp chuyển dữ liệu cốt lõi và dữ liệu quan trọng (bao gồm dữ liệu cá nhân) ra nước ngoài phải
(i) tự đánh giá rủi ro và
(ii) nộp báo cáo về tác động chuyển dữ liệu xuyên biên giới.
Không như Nghị Định 13/2023 và dự thảo về Luật bảo vệ dữ liệu cá nhân PDDL (Personal Data Protection Law), nơi mà nộp bản báo cáo về tác động liên quan chỉ coi như thủ tục, bản dự thảo tổng hợp đưa ra cơ chế chặt chẽ hơn cự thể là :
- Dữ liệu cốt lõi chỉ có thể được chuyển nếu doanh nghiệp nhận được kết quả “đạt/đồng ý” từ cơ quan có thẩm quyền sau khi nộp báo cáo;
- Dữ liệu quan trọng có thể được chuyển nếu cơ quan có thẩm quyền không đưa ra phản hồi từ chối trong vòng năm ngày sau khi nộp báo cáo.
Ngoài ra, chủ sở hữu dữ liệu cốt lõi hoặc quan trọng và quản trị viên dữ liệu sẽ phải tuân thủ các quy định bảo vệ dữ liệu do Chính phủ ban hành.
5. Khái niệm "chủ sở hữu dữ liệu" gây nhầm lẫn
Luật Dữ liệu giới thiệu khái niệm "chủ sở hữu dữ liệu" - là người có quyền quyết định về việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng và trao đổi giá trị dữ liệu mà họ sở hữu (gọi là Quyền Chủ sở hữu Dữ liệu). Tuy nhiên, không rõ liệu để trở thành chủ sở hữu dữ liệu, (i)một người có cần sở hữu dữ liệu và có Quyền Chủ sở hữu Dữ liệu hay(ii) chỉ cần có Quyền Chủ sở hữu Dữ liệu là đủ.
Cách hiểu thứ hai có vẻ hợp lý hơn vì quyền sở hữu dữ liệu là một khái niệm gây tranh cãi, nếu áp dụng có thể dẫn đến các vấn đề thực tiễn và pháp lý. Cả Nghị định 13/2023 và Dự thảo Luật bảo vệ dữ liệu cá nhân PDDL (Personal Data Protection Law) đều không công nhận quyền sở hữu của chủ thể dữ liệu đối với dữ liệu cá nhân của họ. Theo Luật Dân sự 2015, nếu một người sở hữu một vật, người đó có thể chiếm hữu, sử dụng và định đoạt vật đó mà không cho người khác. Vậy theo đó, nếu 1 người “sở hữu” 1 danh sách tên được liệt kê theo Luật Dữ Liệu, điều đó có ảnh hưởng đến quyền của những cá nhân trong danh sách sử dụng tên của họ không?
Qua đó ta thấy được, cách hiểu thứ hai cũng không phải là không có rắc rối vì nó vẫn không rõ ràng là liệu 1 người có thể có hoặc phát sinh “Quyền Sở Hữu Dữ Liệu” dựa trên cơ sở nào.
6. “Việc giao dịch dữ liệu cá nhân có được phép hay không” là chưa rõ
Theo Luật Dữ Liệu, các loại dữ liệu bị cấm giao dịch bao gồm:
(i) dữ liệu gây đe dọa đến quốc phòng, an ninh, đối ngoại hoặc hoạt động mật mã;
(ii) dữ liệu không có sự đồng ý của chủ thể dữ liệu, trừ khi pháp luật có quy định khác; và
(iii) các loại dữ liệu khác bị cấm giao dịch theo quy định của pháp luật.
Dựa trên cách diễn đạt này, có vẻ như giao dịch dữ liệu cá nhân bị cấm vì cả Nghị định 13/2023 và Dự thảo Luật Bảo vệ Dữ liệu Cá nhân (PDPL) đều cấm rõ ràng việc giao dịch dữ liệu cá nhân dưới bất kỳ hình thức nào (xếp loại vào mục (iii)). Bộ Công an, trong một hội nghị, cũng xác nhận rằng sự đồng ý của chủ thể dữ liệu không phải là cơ sở pháp lý cho giao dịch dữ liệu cá nhân.
Tuy nhiên, trong một tuyên bố công khai gần đây liên quan đến các nền tảng dữ liệu, Bộ Công an dường như có quan điểm khác, họ cho rằng dữ liệu cá nhân có thể được giao dịch trên các nền tảng giao dịch dữ liệu nếu có sự đồng ý của chủ thể dữ liệu. Quan điểm này dường như mâu thuẫn với các quy định hiện hành, tạo ra sự không chắc chắn về khung pháp lý đối với giao dịch dữ liệu cá nhân.
7. Khả năng chồng chéo với các luật khác
Với phạm vi điều chỉnh rộng, Luật Dữ liệu quản lý hầu hết các hoạt động liên quan đến dữ liệu số, bao gồm cả dữ liệu cá nhân, có thể dẫn đến sự chồng chéo với các luật khác, đặc biệt là những luật điều chỉnh dữ liệu cá nhân. Mặc dù Luật Dữ liệu cố gắng giải quyết vấn đề này, nhưng các quy định liên quan vẫn chưa rõ ràng:
Đối với các luật được ban hành trước Luật Dữ liệu: Nếu các quy định của các luật này không mâu thuẫn với "các nguyên tắc" của Luật Dữ liệu, thì chúng vẫn có hiệu lực. Tuy nhiên, không rõ liệu "các nguyên tắc" này chỉ giới hạn trong những nguyên tắc được nêu trong Điều 5 của Luật Dữ liệu hay được hiểu rộng hơn là bất kỳ quy định nào của Luật Dữ liệu.
Đối với các luật được ban hành sau Luật Dữ liệu: Nếu có sự mâu thuẫn, cần phải xác định rõ ràng điều khoản nào sẽ áp dụng theo Luật Dữ liệu và điều khoản nào sẽ tuân theo luật mới. Nguyên tắc này làm dấy lên lo ngại về khả năng xảy ra xung đột quyền lực giữa các cơ quan có thẩm quyền, vì những cách hiểu khác nhau có thể dẫn đến tranh chấp về việc quy định nào có ưu tiên áp dụng.
Nguồn: vietnambusinesslaw