Bộ Công an đã lẳng lặng cho ra đời dự thảo nghị định hướng dẫn
Luật An ninh mạng ít nhất là từ ngày 3/10. Cho đến 19:00 ngày 10/10, bộ này vẫn chưa công bố dự thảo trên website mà chỉ gửi cho một số
doanh nghiệp, cơ quan để lấy ý kiến.
Bạn đọc có thể xem toàn văn dự thảo nghị định tại đây.
Luật Khoa tóm lược một số điểm đáng chú ý của dự thảo ngày
3/10 như sau:
1. Quản lý đến cả số thẻ tín dụng, hồ sơ tài chính và quan
điểm chính trị
Tâm điểm của Luật An ninh mạng được Quốc hội thông qua ngày
12/6 vừa qua là dữ liệu cá nhân của người dùng Internet. Luật chỉ nói chung
chung về việc các công ty Internet phải lưu trữ dữ liệu người dùng Việt Nam tại
Việt Nam và cung cấp dữ liệu này cho chính phủ theo yêu cầu. Nay dự thảo nghị định
định nghĩa rất chi tiết “dữ liệu cá nhân” là gì tại Điều 2, Khoản 2:
“Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết,
chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định chính xác danh tính một
cá nhân, bao gồm:
Dữ liệu về thông tin cá nhân: họ tên, ngày tháng năm sinh,
nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa
chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá
nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng,
tình trạng sức khoẻ, hồ sơ y tế, hồ sơ tài chính, sở thích, sở trường, quan điểm
chính trị, nguồn gốc dân tộc, chủng tộc, niềm tin triết lý, vị trí trong xã hội,
sinh trắc học;
Dữ liệu do cá nhân tạo ra: nội dung tương tác, tính năng sử
dụng, hành động thực hiện, thời gian, tần suất hoạt động, thông tin chọn tải
lên, đồng bộ hoặc nhập từ thiết bị;
Dữ liệu về mối quan hệ của cá nhân: bạn bè, trang, tài khoản,
từ khoá, nhóm mà người sử dụng kết nối hoặc tương tác.”
Nhưng đó chưa phải là tất cả dữ liệu mà doanh nghiệp phải
lưu trữ và cung cấp cho Cục An ninh mạng và phòng, chống tội phạm công nghệ cao
thuộc Bộ Công an.
Điều 54 của dự thảo nghị định còn bổ sung thêm “thông tin khởi
tạo tài khoản người dùng” và “dữ liệu phát sinh trong quá trình sử dụng dịch vụ,
bao gồm: nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch
vụ, thói quen tìm kiếm, log chat, thời gian giao dịch”.
Chưa hết, Cục An ninh mạng còn có thể yêu cầu doanh nghiệp
cung cấp thông tin về thiết bị sử dụng của người dùng, bao gồm “thông tin về
thiết bị, thuộc tính, hoạt động, số nhận dạng, tín hiệu, dữ liệu từ cài đặt thiết
bị, mạng và kết nối, dữ liệu cookie”.
2. Doanh nghiệp phải lưu trữ vĩnh viễn dữ liệu người dùng,
trừ một số thông tin
Đối với dữ liệu cá nhân và thông tin khởi tạo tài khoản người
dùng, dự thảo muốn doanh nghiệp phải lưu trữ vĩnh viễn, mà cụ thể là “lưu trữ
theo thời gian hoạt động của doanh nghiệp hoặc đến khi không còn cung cấp dịch
vụ”.
Đối với dữ liệu phát sinh như địa chỉ IP, log chat, thói
quen tìm kiếm thì phải lưu trữ 36 tháng.
3. Các cơ quan nhà nước và doanh nghiệp cung cấp dịch vụ có
thời hạn một năm kể từ ngày 1/1/2019 để chuẩn bị
Nghị định hướng dẫn dự kiến sẽ có hiệu lực đồng thời với Luật
An ninh mạng, nghĩa là từ ngày 1/1/2019. Các cơ quan nhà nước, doanh nghiệp và
tổ chức có liên quan sẽ có thời gian một năm để thực hiện các quy định về lưu
trữ và cung cấp dữ liệu cũng như đặt chi nhánh hoặc văn phòng đại diện tại Việt
Nam.
Điều đó đồng nghĩa với việc các công ty Internet sẽ phải chuẩn
bị xong trung tâm dữ liệu, hạ tầng kỹ thuật để lưu trữ dữ liệu, đồng thời đăng
ký và mở văn phòng tại Việt Nam trước ngày 1/1/2020.
Trong thời gian đó, Cục An ninh mạng thuộc Bộ Công an cũng sẽ
thành lập một trung tâm dữ liệu để “lưu trữ, quản lý các dữ liệu do doanh nghiệp
chuyển giao”, theo Khoản 6, Điều 58.
Không có nhận xét nào:
Đăng nhận xét