Trong bối cảnh chuyển đổi số mạnh mẽ, việc quản lý và bảo vệ dữ liệu trở thành một trong những vấn đề cốt lõi, không chỉ liên quan đến an toàn thông tin mà còn ảnh hưởng trực tiếp đến quyền riêng tư của mỗi cá nhân và sự phát triển bền vững của tổ chức. Sở Tư pháp tỉnh Tuyên Quang biên soạn tài liệu này nhằm cung cấp những kiến thức cơ bản và thiết yếu về trách nhiệm của tổ chức, cá nhân đối với dữ liệu, dựa trên các quy định pháp luật hiện hành như Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, và các quy định pháp luật liên quan đến dữ liệu.

HỎI. Theo Luật An ninh mạng, dữ liệu cá nhân là gì?

TRẢ LỜI: Mặc dù Luật An ninh mạng 2018 không định nghĩa trực tiếp "dữ liệu cá nhân", nhưng các quy định liên quan đến bí mật cá nhân, bí mật gia đình và đời sống riêng tư tại Điều 17 Luật An ninh mạng 2018 ngụ ý về sự bảo vệ các thông tin này trên không gian mạng. Cụ thể, khoản 1 Điều 17 Luật An ninh mạng 2018 nêu rõ: "Bảo vệ thông tin thuộc bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng". Các thông tin này chính là dữ liệu cá nhân cần được bảo vệ.

HỎI. Khái niệm về dữ liệu cá nhân được quy định cụ thể tại văn bản pháp luật nào?

TRẢ LỜI: Khái niệm dữ liệu cá nhân được quy định cụ thể tại khoản 1 Điều 2 Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân: "Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm."

HỎI. Tổ chức, cá nhân có quyền gì đối với dữ liệu cá nhân của mình trên không gian mạng?

TRẢ LỜI: Theo khoản 2 Điều 17 Luật An ninh mạng 2018: "Cá nhân có trách nhiệm tự bảo vệ bí mật cá nhân trên không gian mạng theo quy định của pháp luật và hướng dẫn của cơ quan có thẩm quyền; không được lợi dụng việc bảo vệ bí mật cá nhân để thực hiện hành vi vi phạm pháp luật." Đồng thời, theo khoản 1 Điều 9 Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình; quyền đồng ý hoặc không đồng ý; quyền truy cập; quyền rút lại sự đồng ý; quyền xóa dữ liệu; quyền yêu cầu hạn chế xử lý dữ liệu; quyền cung cấp dữ liệu; quyền phản đối xử lý dữ liệu; quyền khiếu nại, tố cáo, khởi kiện; và quyền yêu cầu bồi thường thiệt hại.

HỎI. Tổ chức, cá nhân có trách nhiệm gì trong việc bảo vệ bí mật cá nhân trên không gian mạng?

TRẢ LỜI: Theo khoản 2 Điều 17 Luật An ninh mạng 2018: "Cá nhân có trách nhiệm tự bảo vệ bí mật cá nhân trên không gian mạng theo quy định của pháp luật và hướng dẫn của cơ quan có thẩm quyền; không được lợi dụng việc bảo vệ bí mật cá nhân để thực hiện hành vi vi phạm pháp luật."

HỎI. Những hành vi nào liên quan đến dữ liệu cá nhân bị nghiêm cấm trên không gian mạng?

TRẢ LỜI: Mặc dù Luật An ninh mạng 2018 không liệt kê chi tiết các hành vi liên quan đến dữ liệu cá nhân, nhưng Điều 8 Luật An ninh mạng 2018 quy định các hành vi bị nghiêm cấm chung, trong đó có thể liên quan đến dữ liệu cá nhân như: "Làm nhục, vu khống; xâm phạm đời tư, bí mật cá nhân và bí mật gia đình của người khác." (điểm d khoản 1 Điều 8). Ngoài ra, Điều 9 Nghị định 13/2023/NĐ-CP cũng cấm các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

HỎI. Cơ quan, tổ chức có trách nhiệm như thế nào trong việc bảo vệ dữ liệu cá nhân của người sử dụng?

TRẢ LỜI: Theo khoản 2 Điều 18 Luật An ninh mạng 2018: "Chủ quản hệ thống thông tin có trách nhiệm bảo vệ an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý của mình; áp dụng các biện pháp kỹ thuật, nghiệp vụ cần thiết để bảo vệ an ninh mạng theo quy định của Luật này và pháp luật có liên quan." Trong đó, dữ liệu cá nhân là một phần quan trọng của thông tin trong hệ thống.

HỎI. Trách nhiệm lưu trữ dữ liệu tại Việt Nam của doanh nghiệp nước ngoài cung cấp dịch vụ trên không gian mạng được quy định thế nào?

TRẢ LỜI: Theo khoản 3 Điều 26 Luật An ninh mạng 2018: "Lưu trữ dữ liệu tại Việt Nam đối với một số loại hình dịch vụ theo quy định của Chính phủ."

HỎI. Loại dữ liệu nào phải được lưu trữ tại Việt Nam đối với doanh nghiệp nước ngoài cung cấp dịch vụ trên không gian mạng?

TRẢ LỜI: Theo khoản 3 Điều 26 Nghị định 53/2022/NĐ-CP: "a) Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam; b) Dữ liệu về quan hệ của người sử dụng dịch vụ tại Việt Nam; c) Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra."

HỎI. Thời gian lưu trữ dữ liệu tại Việt Nam của doanh nghiệp nước ngoài là bao lâu?

TRẢ LỜI: Theo khoản 2 Điều 26 Nghị định 53/2022/NĐ-CP: "Thời gian lưu trữ dữ liệu tại Việt Nam được thực hiện theo yêu cầu bằng văn bản của Bộ trưởng Bộ Công an, Bộ trưởng Bộ Thông tin và Truyền thông, thời gian lưu trữ tối thiểu là 24 tháng."

HỎI. Trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng đối với thông tin trái pháp luật hoặc thông tin có nội dung vi phạm an ninh mạng là gì?

TRẢ LỜI: Theo khoản 2 Điều 26 Luật An ninh mạng 2018: "Xóa bỏ thông tin trái pháp luật hoặc thông tin có nội dung quy định tại khoản 1 Điều 8 của Luật này khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc Bộ Quốc phòng; phối hợp, tạo điều kiện cho lực lượng chuyên trách bảo vệ an ninh mạng thực hiện các biện pháp nghiệp vụ bảo vệ an ninh quốc gia, trật tự, an toàn xã hội."

HỎI. Trách nhiệm cung cấp thông tin người dùng cho cơ quan chức năng của doanh nghiệp cung cấp dịch vụ trên không gian mạng là gì?

TRẢ LỜI: Theo khoản 1 Điều 26 Luật An ninh mạng 2018: "Cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng."

HỎI. Luật An toàn thông tin mạng 2015 quy định về dữ liệu cá nhân như thế nào?

TRẢ LỜI: Luật An toàn thông tin mạng 2015 không có định nghĩa riêng về "dữ liệu cá nhân", nhưng tập trung vào việc bảo vệ thông tin cá nhân trong các hoạt động trên mạng. Cụ thể, Điều 19 Luật An toàn thông tin mạng 2015 quy định về bảo vệ thông tin cá nhân trên mạng.

HỎI. Tổ chức, cá nhân thu thập, xử lý thông tin cá nhân trên mạng phải tuân thủ nguyên tắc nào theo Luật An toàn thông tin mạng 2015?

TRẢ LỜI: Theo khoản 2 Điều 19 Luật An toàn thông tin mạng 2015: "Tổ chức, cá nhân thu thập, xử lý thông tin cá nhân trên mạng phải tuân thủ các nguyên tắc sau đây: a) Công khai mục đích thu thập, xử lý thông tin cá nhân; b) Chỉ thu thập thông tin cá nhân cần thiết và phù hợp với mục đích đã công bố; c) Thực hiện các biện pháp quản lý, kỹ thuật để bảo đảm an toàn thông tin cá nhân được thu thập, xử lý; d) Không được chuyển giao, cung cấp thông tin cá nhân cho bên thứ ba khi chưa có sự đồng ý của chủ sở hữu thông tin cá nhân, trừ trường hợp pháp luật có quy định khác; đ) Có trách nhiệm kiểm soát, bảo đảm an toàn thông tin cá nhân đã thu thập, xử lý trong trường hợp bị tấn công, xâm nhập, sửa đổi, xóa bỏ, hủy hoại thông tin cá nhân."

HỎI. Chủ sở hữu thông tin cá nhân có quyền gì đối với thông tin của mình theo Luật An toàn thông tin mạng 2015?

TRẢ LỜI: Theo khoản 3 Điều 19 Luật An toàn thông tin mạng 2015: "Chủ sở hữu thông tin cá nhân có quyền: a) Được thông báo về hoạt động thu thập, xử lý thông tin cá nhân của mình; b) Yêu cầu kiểm tra, xác nhận, chỉnh sửa, xóa thông tin cá nhân của mình; c) Được bảo vệ bí mật thông tin cá nhân của mình."

HỎI. Trách nhiệm của doanh nghiệp cung cấp dịch vụ mạng xã hội trong việc bảo vệ thông tin cá nhân là gì?

TRẢ LỜI: Theo Điều 23 Luật An toàn thông tin mạng 2015, doanh nghiệp cung cấp dịch vụ mạng xã hội có trách nhiệm: "Thực hiện các biện pháp bảo đảm an toàn thông tin cá nhân cho người sử dụng dịch vụ theo quy định của Luật này và pháp luật có liên quan."

HỎI. Cơ quan nhà nước có thẩm quyền có quyền yêu cầu cung cấp thông tin cá nhân trong trường hợp nào?

TRẢ LỜI: Theo khoản 4 Điều 19 Luật An toàn thông tin mạng 2015: "Cơ quan nhà nước có thẩm quyền được quyền yêu cầu tổ chức, cá nhân thu thập, xử lý thông tin cá nhân cung cấp thông tin cá nhân phục vụ công tác điều tra, xử lý hành vi vi phạm pháp luật về an toàn thông tin mạng."

HỎI. "Dữ liệu" được định nghĩa như thế nào trong các văn bản pháp luật hiện hành?

TRẢ LỜI: Khái niệm "dữ liệu" có thể được hiểu rộng rãi tùy thuộc vào ngữ cảnh pháp luật. Ví dụ, trong lĩnh vực công nghệ thông tin, dữ liệu thường được hiểu là thông tin đã được số hóa. Tuy nhiên, hiện tại không có một "Luật Dữ liệu" tổng thể riêng biệt như Luật An ninh mạng hay Luật An toàn thông tin mạng, mà các quy định về dữ liệu được lồng ghép trong nhiều văn bản khác nhau, như Nghị định 13/2023/NĐ-CP về dữ liệu cá nhân, hoặc các quy định về dữ liệu lớn, dữ liệu mở trong các văn bản chuyên ngành.

HỎI. Tổ chức, cá nhân có trách nhiệm gì đối với việc bảo vệ dữ liệu trong hệ thống thông tin của mình?

TRẢ LỜI: Theo khoản 2 Điều 18 Luật An ninh mạng 2018: "Chủ quản hệ thống thông tin có trách nhiệm bảo vệ an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý của mình; áp dụng các biện pháp kỹ thuật, nghiệp vụ cần thiết để bảo vệ an ninh mạng theo quy định của Luật này và pháp luật có liên quan." Đồng thời, khoản 1 Điều 20 Luật An toàn thông tin mạng 2015 quy định: "Chủ quản hệ thống thông tin có trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin thuộc phạm vi quản lý của mình theo quy định của Luật này."

HỎI. Trách nhiệm của tổ chức, cá nhân trong việc phòng ngừa, xử lý tấn công mạng liên quan đến dữ liệu là gì?

TRẢ LỜI: Theo Điều 17 Luật An ninh mạng 2018: "1. Xây dựng, triển khai các biện pháp kỹ thuật, nghiệp vụ để phòng ngừa, phát hiện, ngăn chặn, xử lý tấn công mạng, khủng bố mạng, gián điệp mạng. 2. Phối hợp giữa các cơ quan, tổ chức, cá nhân trong việc phòng ngừa, phát hiện, ngăn chặn, xử lý tấn công mạng, khủng bố mạng, gián điệp mạng. 3. Tổ chức diễn tập phương án phòng ngừa, xử lý tấn công mạng, khủng bố mạng, gián điệp mạng." Tấn công mạng thường nhắm vào dữ liệu, nên việc phòng ngừa, xử lý là trực tiếp bảo vệ dữ liệu.

HỎI. Khi xảy ra sự cố an ninh mạng gây ảnh hưởng đến dữ liệu, tổ chức, cá nhân có trách nhiệm gì?

TRẢ LỜI: Theo khoản 5 Điều 10 Luật An ninh mạng 2018 (đối với hệ thống thông tin quan trọng về an ninh quốc gia): "Ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia." Mặc dù điều này áp dụng cho hệ thống quan trọng, nhưng nguyên tắc ứng phó, khắc phục sự cố là trách nhiệm chung của chủ quản hệ thống thông tin khi dữ liệu bị ảnh hưởng. Điều 24 Luật An toàn thông tin mạng 2015 cũng quy định về ứng cứu sự cố an toàn thông tin mạng.

HỎI. Trách nhiệm của tổ chức, cá nhân trong việc tuân thủ các quy chuẩn kỹ thuật an ninh mạng liên quan đến dữ liệu là gì?

TRẢ LỜI: Theo khoản 7 Điều 10 Luật An ninh mạng 2018 (đối với hệ thống thông tin quan trọng về an ninh quốc gia): "Xây dựng, hoàn thiện, triển khai áp dụng tiêu chuẩn, quy chuẩn kỹ thuật an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia." Đây là trách nhiệm chung để bảo vệ dữ liệu trong hệ thống.

HỎI. Việc bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh trên không gian mạng được quy định thế nào?

TRẢ LỜI: Theo khoản 2 Điều 16 Luật An ninh mạng 2018: "Bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng."

HỎI. Khai thác, sử dụng thông tin trên không gian mạng phải tuân thủ nguyên tắc nào?

TRẢ LỜI: Theo Điều 20 Luật An ninh mạng 2018, yêu cầu đối với cơ quan, tổ chức, cá nhân sử dụng không gian mạng là: "1. Tuân thủ quy định của pháp luật về an ninh mạng. 2. Bảo vệ thông tin, tài khoản của mình trên không gian mạng. 3. Không thực hiện các hành vi bị nghiêm cấm theo quy định tại Điều 8 của Luật này. 4. Thực hiện các biện pháp cần thiết để bảo vệ an ninh mạng theo yêu cầu của cơ quan nhà nước có thẩm quyền."

HỎI. Tổ chức, cá nhân xử lý dữ liệu cá nhân có trách nhiệm gì khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân?

TRẢ LỜI: Theo khoản 5 Điều 2 Nghị định 13/2023/NĐ-CP, "Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hoạt động khác có liên quan." Khi vi phạm, phải tuân thủ các biện pháp xử lý được quy định tại Chương IV Nghị định 13/2023/NĐ-CP, bao gồm thông báo vi phạm, và các biện pháp khắc phục.

HỎI. Tổ chức, cá nhân có được phép mua bán dữ liệu cá nhân không?

TRẢ LỜI: Luật An ninh mạng và Luật An toàn thông tin mạng không trực tiếp cấm mua bán dữ liệu cá nhân, nhưng việc mua bán phải tuân thủ các nguyên tắc về bảo vệ dữ liệu cá nhân, đặc biệt là phải có sự đồng ý của chủ thể dữ liệu theo khoản 2 Điều 19 Luật An toàn thông tin mạng 2015 (Không được chuyển giao, cung cấp thông tin cá nhân cho bên thứ ba khi chưa có sự đồng ý của chủ sở hữu thông tin cá nhân, trừ trường hợp pháp luật có quy định khác) và các quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

HỎI. Trách nhiệm của tổ chức, cá nhân trong việc cung cấp thông tin cho công tác phòng, chống tội phạm trên không gian mạng là gì?

TRẢ LỜI: Theo Điều 27 Luật An ninh mạng 2018: "Tổ chức, cá nhân có trách nhiệm phối hợp với cơ quan có thẩm quyền trong việc phòng, chống tội phạm trên không gian mạng; cung cấp thông tin, tài liệu liên quan đến tội phạm trên không gian mạng khi có yêu cầu của cơ quan có thẩm quyền." Điều này bao gồm cả dữ liệu liên quan đến tội phạm.

HỎI. Thế nào là "hệ thống thông tin" theo Luật An toàn thông tin mạng?

TRẢ LỜI: Theo khoản 1 Điều 3 Luật An toàn thông tin mạng 2015: "Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập để phục vụ mục đích thu thập, xử lý, lưu trữ, truyền đưa, trao đổi, tìm kiếm, tổng hợp và hiển thị thông tin." Dữ liệu là thành phần cốt lõi của hệ thống thông tin.

HỎI. Trách nhiệm của chủ quản hệ thống thông tin trong việc đánh giá rủi ro an toàn thông tin mạng đối với dữ liệu là gì?

TRẢ LỜI: Theo khoản 1 Điều 21 Luật An toàn thông tin mạng 2015: "Định kỳ đánh giá rủi ro an toàn thông tin mạng đối với hệ thống thông tin thuộc phạm vi quản lý của mình." Việc đánh giá rủi ro này trực tiếp liên quan đến nguy cơ mất an toàn của dữ liệu trong hệ thống.

HỎI. Tổ chức, cá nhân được phép sử dụng dữ liệu cá nhân của người khác trong trường hợp nào mà không cần sự đồng ý?

TRẢ LỜI: Theo khoản 2 Điều 19 Luật An toàn thông tin mạng 2015, việc chuyển giao, cung cấp thông tin cá nhân cho bên thứ ba phải có sự đồng ý của chủ sở hữu thông tin cá nhân, trừ trường hợp pháp luật có quy định khác. Các trường hợp này thường được quy định cụ thể trong các luật chuyên ngành hoặc Nghị định 13/2023/NĐ-CP, ví dụ như để phục vụ hoạt động của cơ quan nhà nước có thẩm quyền trong trường hợp khẩn cấp, bảo vệ an ninh quốc gia, hoặc thực hiện nghĩa vụ theo hợp đồng.