Bộ Công an đã lẳng lặng cho ra đời dự thảo nghị định hướng dẫn Luật An ninh mạng ít nhất là từ ngày 3/10. Cho đến 19:00 ngày 10/10, bộ này vẫn chưa công bố dự thảo trên website mà chỉ gửi cho một số doanh nghiệp, cơ quan để lấy ý kiến.
Bạn đọc có thể xem toàn văn dự thảo nghị định tại đây.
Luật Khoa tóm lược một số điểm đáng chú ý của dự thảo ngày 3/10 như sau:
1. Quản lý đến cả số thẻ tín dụng, hồ sơ tài chính và quan điểm chính trị
Tâm điểm của Luật An ninh mạng được Quốc hội thông qua ngày 12/6 vừa qua là dữ liệu cá nhân của người dùng Internet. Luật chỉ nói chung chung về việc các công ty Internet phải lưu trữ dữ liệu người dùng Việt Nam tại Việt Nam và cung cấp dữ liệu này cho chính phủ theo yêu cầu. Nay dự thảo nghị định định nghĩa rất chi tiết “dữ liệu cá nhân” là gì tại Điều 2, Khoản 2:
“Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định chính xác danh tính một cá nhân, bao gồm:
- Dữ liệu về thông tin cá nhân: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khoẻ, hồ sơ y tế, hồ sơ tài chính, sở thích, sở trường, quan điểm chính trị, nguồn gốc dân tộc, chủng tộc, niềm tin triết lý, vị trí trong xã hội, sinh trắc học;
- Dữ liệu do cá nhân tạo ra: nội dung tương tác, tính năng sử dụng, hành động thực hiện, thời gian, tần suất hoạt động, thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị;
- Dữ liệu về mối quan hệ của cá nhân: bạn bè, trang, tài khoản, từ khoá, nhóm mà người sử dụng kết nối hoặc tương tác.”
Nhưng đó chưa phải là tất cả dữ liệu mà doanh nghiệp phải lưu trữ và cung cấp cho Cục An ninh mạng và phòng, chống tội phạm công nghệ cao thuộc Bộ Công an.
Điều 54 của dự thảo nghị định còn bổ sung thêm “thông tin khởi tạo tài khoản người dùng” và “dữ liệu phát sinh trong quá trình sử dụng dịch vụ, bao gồm: nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch”.
Chưa hết, Cục An ninh mạng còn có thể yêu cầu doanh nghiệp cung cấp thông tin về thiết bị sử dụng của người dùng, bao gồm “thông tin về thiết bị, thuộc tính, hoạt động, số nhận dạng, tín hiệu, dữ liệu từ cài đặt thiết bị, mạng và kết nối, dữ liệu cookie”.
2. Doanh nghiệp phải lưu trữ vĩnh viễn dữ liệu người dùng, trừ một số thông tin
Đối với dữ liệu cá nhân và thông tin khởi tạo tài khoản người dùng, dự thảo muốn doanh nghiệp phải lưu trữ vĩnh viễn, mà cụ thể là “lưu trữ theo thời gian hoạt động của doanh nghiệp hoặc đến khi không còn cung cấp dịch vụ”.
Đối với dữ liệu phát sinh như địa chỉ IP, log chat, thói quen tìm kiếm thì phải lưu trữ 36 tháng.
3. Các cơ quan nhà nước và doanh nghiệp cung cấp dịch vụ có thời hạn một năm kể từ ngày 1/1/2019 để chuẩn bị
Nghị định hướng dẫn dự kiến sẽ có hiệu lực đồng thời với Luật An ninh mạng, nghĩa là từ ngày 1/1/2019. Các cơ quan nhà nước, doanh nghiệp và tổ chức có liên quan sẽ có thời gian một năm để thực hiện các quy định về lưu trữ và cung cấp dữ liệu cũng như đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Điều đó đồng nghĩa với việc các công ty Internet sẽ phải chuẩn bị xong trung tâm dữ liệu, hạ tầng kỹ thuật để lưu trữ dữ liệu, đồng thời đăng ký và mở văn phòng tại Việt Nam trước ngày 1/1/2020.
Trong thời gian đó, Cục An ninh mạng thuộc Bộ Công an cũng sẽ thành lập một trung tâm dữ liệu để “lưu trữ, quản lý các dữ liệu do doanh nghiệp chuyển giao”, theo Khoản 6, Điều 58.
