Trong bối cảnh kỷ nguyên số bùng nổ, dữ liệu đã trở thành một tài sản vô cùng quan trọng, không chỉ của mỗi cá nhân mà còn của cả các tổ chức, doanh nghiệp. Việc bảo vệ dữ liệu không chỉ là trách nhiệm pháp lý mà còn là yếu tố then chốt để đảm bảo an ninh, an toàn trên không gian mạng, cũng như bảo vệ quyền riêng tư và lợi ích hợp pháp. Sở Tư pháp tỉnh Tuyên Quang biên soạn Tài liệu “Hỏi - Đáp về bảo vệ dữ liệu của cá nhân, tổ chức” nhằm cung cấp những kiến thức cơ bản và chuyên sâu về các quy định pháp luật liên quan đến bảo vệ dữ liệu, đặc biệt tập trung vào Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, và các văn bản hướng dẫn có liên quan. Chúng tôi hy vọng tài liệu này sẽ là cẩm nang hữu ích, giúp bạn đọc nâng cao nhận thức, tuân thủ pháp luật và thực hiện hiệu quả các biện pháp bảo vệ dữ liệu trong hoạt động hàng ngày.

HỎI. Bảo vệ dữ liệu của cá nhân, tổ chức trên không gian mạng là gì?

TRẢ LỜI Bảo vệ dữ liệu trên không gian mạng là tổng hợp các biện pháp kỹ thuật, nghiệp vụ, pháp lý nhằm đảm bảo tính toàn vẹn, bảo mật và khả năng truy cập của dữ liệu, ngăn chặn các hành vi thu thập, sử dụng, phát tán trái phép hoặc gây hại đến dữ liệu.

HỎI.  Dữ liệu cá nhân là gì theo quy định pháp luật hiện hành?

TRẢ LỜI Theo khoản 1 Điều 2 Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân: "Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm."

HỎI.  Cá nhân có quyền gì đối với dữ liệu cá nhân của mình?

TRẢ LỜI Theo khoản 1 Điều 9 Nghị định số 13/2023/NĐ-CP, chủ thể dữ liệu có các quyền sau:

- Quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình;

- Quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình;

- Quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình; Quyền rút lại sự đồng ý;

- Quyền xóa dữ liệu;

- Quyền yêu cầu hạn chế xử lý dữ liệu;

- Quyền cung cấp dữ liệu;

- Quyền phản đối xử lý dữ liệu;

- Quyền khiếu nại, tố cáo, khởi kiện;

- Quyền yêu cầu bồi thường thiệt hại.

HỎI.  Trách nhiệm của cá nhân trong việc tự bảo vệ dữ liệu cá nhân của mình trên không gian mạng là gì?

TRẢ LỜI Theo khoản 2 Điều 17 Luật An ninh mạng 2018: "Cá nhân có trách nhiệm tự bảo vệ bí mật cá nhân trên không gian mạng theo quy định của pháp luật và hướng dẫn của cơ quan có thẩm quyền; không được lợi dụng việc bảo vệ bí mật cá nhân để thực hiện hành vi vi phạm pháp luật."

HỎI.  Những hành vi nào liên quan đến dữ liệu cá nhân bị nghiêm cấm theo Luật An ninh mạng 2018?

TRẢ LỜI Theo điểm d khoản 1 Điều 8 Luật An ninh mạng 2018: "Làm nhục, vu khống; xâm phạm đời tư, bí mật cá nhân và bí mật gia đình của người khác". Đây là các hành vi trực tiếp gây phương hại đến dữ liệu cá nhân.

HỎI. Tổ chức, cá nhân khi thu thập, xử lý dữ liệu cá nhân trên mạng phải tuân thủ những nguyên tắc cơ bản nào theo Luật An toàn thông tin mạng 2015?

TRẢ LỜI Theo khoản 2 Điều 19 Luật An toàn thông tin mạng 2015:

a) Công khai mục đích thu thập, xử lý thông tin cá nhân;

b) Chỉ thu thập thông tin cá nhân cần thiết và phù hợp với mục đích đã công bố; 

c) Thực hiện các biện pháp quản lý, kỹ thuật để bảo đảm an toàn thông tin cá nhân được thu thập, xử lý;

d) Không được chuyển giao, cung cấp thông tin cá nhân cho bên thứ ba khi chưa có sự đồng ý của chủ sở hữu thông tin cá nhân, trừ trường hợp pháp luật có quy định khác;

đ) Có trách nhiệm kiểm soát, bảo đảm an toàn thông tin cá nhân đã thu thập, xử lý trong trường hợp bị tấn công, xâm nhập, sửa đổi, xóa bỏ, hủy hoại thông tin cá nhân.

HỎI.  Trách nhiệm chung của chủ quản hệ thống thông tin trong việc bảo vệ dữ liệu của tổ chức mình là gì?

TRẢ LỜI Theo khoản 2 Điều 18 Luật An ninh mạng 2018: "Chủ quản hệ thống thông tin có trách nhiệm bảo vệ an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý của mình; áp dụng các biện pháp kỹ thuật, nghiệp vụ cần thiết để bảo vệ an ninh mạng theo quy định của Luật này và pháp luật có liên quan." Đồng thời, khoản 1 Điều 20 Luật An toàn thông tin mạng 2015 cũng quy định: "Chủ quản hệ thống thông tin có trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin thuộc phạm vi quản lý của mình theo quy định của Luật này."

HỎI.  Dữ liệu thuộc loại nào phải được lưu trữ tại Việt Nam đối với doanh nghiệp nước ngoài cung cấp dịch vụ trên không gian mạng?

TRẢ LỜI Theo khoản 3 Điều 26 Nghị định số 53/2022/NĐ-CP ngày 15/8/2022:

a) Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;

b) Dữ liệu về quan hệ của người sử dụng dịch vụ tại Việt Nam;

c) Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra.

HỎI.  Thời gian tối thiểu mà doanh nghiệp nước ngoài phải lưu trữ dữ liệu tại Việt Nam là bao lâu?

TRẢ LỜI Theo khoản 2 Điều 26 Nghị định số 53/2022/NĐ-CP: "Thời gian lưu trữ dữ liệu tại Việt Nam được thực hiện theo yêu cầu bằng văn bản của Bộ trưởng Bộ Công an, Bộ trưởng Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ), thời gian lưu trữ tối thiểu là 24 tháng."

HỎI.  Trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng trong việc xóa bỏ thông tin vi phạm pháp luật là gì?

TRẢ LỜI Theo khoản 2 Điều 26 Luật An ninh mạng 2018: "Xóa bỏ thông tin trái pháp luật hoặc thông tin có nội dung quy định tại khoản 1 Điều 8 của Luật này khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc Bộ Quốc phòng; phối hợp, tạo điều kiện cho lực lượng chuyên trách bảo vệ an ninh mạng thực hiện các biện pháp nghiệp vụ bảo vệ an ninh quốc gia, trật tự, an toàn xã hội."

HỎI.  Trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng trong việc cung cấp thông tin người dùng khi có yêu cầu là gì?

TRẢ LỜI Theo khoản 1 Điều 26 Luật An ninh mạng 2018: "Cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng."

HỎI.  Thế nào là "hệ thống thông tin quan trọng về an ninh quốc gia" và việc bảo vệ dữ liệu trong các hệ thống này được quy định thế nào?

TRẢ LỜI Theo khoản 1 Điều 9 Luật An ninh mạng 2018: "Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, sửa đổi, xóa bỏ, hủy hoại, làm tê liệt hoặc bị ngừng trệ sẽ gây phương hại nghiêm trọng đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân." Việc bảo vệ dữ liệu trong các hệ thống này được thực hiện thông qua các biện pháp tại Điều 10 Luật An ninh mạng 2018, bao gồm thẩm định, đánh giá, kiểm tra, giám sát an ninh mạng, ứng phó sự cố, diễn tập và áp dụng tiêu chuẩn, quy chuẩn kỹ thuật an ninh mạng.

HỎI.  Tổ chức, cá nhân có trách nhiệm gì trong việc ứng phó, khắc phục sự cố an ninh mạng gây ảnh hưởng đến dữ liệu?

TRẢ LỜI Theo khoản 5 Điều 10 Luật An ninh mạng 2018 (đối với hệ thống thông tin quan trọng về an ninh quốc gia): "Ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia." Mặc dù điều này áp dụng cho hệ thống quan trọng, nguyên tắc ứng phó, khắc phục sự cố là trách nhiệm chung của chủ quản hệ thống thông tin khi dữ liệu bị ảnh hưởng. Điều 24 Luật An toàn thông tin mạng 2015 cũng quy định về ứng cứu sự cố an toàn thông tin mạng.

HỎI.  Việc bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh trên không gian mạng được thực hiện như thế nào?

TRẢ LỜI Theo khoản 2 Điều 16 Luật An ninh mạng 2018: "Bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng."

HỎI.  Tổ chức, cá nhân xử lý dữ liệu cá nhân phải thực hiện các biện pháp bảo vệ nào?

TRẢ LỜI Theo Điều 26 Nghị định số 13/2023/NĐ-CP, tổ chức, cá nhân xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân như: "Biện pháp quản lý do tổ chức, cá nhân xử lý dữ liệu cá nhân thiết lập; Biện pháp kỹ thuật do tổ chức, cá nhân xử lý dữ liệu cá nhân áp dụng; Biện pháp do cơ quan quản lý nhà nước có thẩm quyền áp dụng theo quy định của Nghị định này và pháp luật có liên quan; Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền áp dụng; Các biện pháp khác theo quy định của pháp luật."

HỎI.  Trách nhiệm của tổ chức, cá nhân trong việc thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân là gì?

TRẢ LỜI Theo Điều 23 Nghị định số 13/2023/NĐ-CP, trong trường hợp xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân, tổ chức, cá nhân xử lý dữ liệu cá nhân phải: "Thông báo về sự cố vi phạm quy định về bảo vệ dữ liệu cá nhân cho Bộ Công an trong thời hạn 72 giờ kể từ khi phát hiện vi phạm theo quy định tại Điều 24 Nghị định này."

HỎI.  Cá nhân, tổ chức có được quyền yêu cầu xóa dữ liệu cá nhân của mình không?

TRẢ LỜI Có. Theo điểm đ khoản 1 Điều 9 Nghị định số 13/2023/NĐ-CP: "Quyền xóa dữ liệu: chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu cá nhân của mình."

HỎI.  Tổ chức, cá nhân có được chuyển giao dữ liệu cá nhân cho bên thứ ba khi chưa có sự đồng ý của chủ thể dữ liệu không?

TRẢ LỜI Theo điểm d khoản 2 Điều 19 Luật An toàn thông tin mạng 2015: "Không được chuyển giao, cung cấp thông tin cá nhân cho bên thứ ba khi chưa có sự đồng ý của chủ sở hữu thông tin cá nhân, trừ trường hợp pháp luật có quy định khác."

HỎI.  Trách nhiệm của chủ quản hệ thống thông tin trong việc đánh giá rủi ro an toàn thông tin mạng đối với dữ liệu là gì?

TRẢ LỜI Theo khoản 1 Điều 21 Luật An toàn thông tin mạng 2015: "Định kỳ đánh giá rủi ro an toàn thông tin mạng đối với hệ thống thông tin thuộc phạm vi quản lý của mình." Việc đánh giá này trực tiếp liên quan đến nguy cơ mất an toàn của dữ liệu trong hệ thống.

HỎI.  Khi thực hiện chuyển dữ liệu cá nhân ra nước ngoài, tổ chức, cá nhân cần tuân thủ những quy định nào?

TRẢ LỜI Theo Điều 2 Nghị định số 13/2023/NĐ-CP, việc chuyển dữ liệu cá nhân ra nước ngoài phải tuân thủ các quy định tại Chương IV Nghị định 13/2023/NĐ-CP (từ Điều 25 đến Điều 29), bao gồm việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo cho Bộ Công an và các yêu cầu về hợp đồng chuyển dữ liệu.

HỎI.  Trách nhiệm của tổ chức, cá nhân trong việc phối hợp với cơ quan nhà nước có thẩm quyền để bảo vệ dữ liệu khi có yêu cầu là gì?

TRẢ LỜI Theo khoản 4 Điều 20 Luật An ninh mạng 2018: "Thực hiện các biện pháp cần thiết để bảo vệ an ninh mạng theo yêu cầu của cơ quan nhà nước có thẩm quyền." Điều này bao gồm việc bảo vệ dữ liệu khi có yêu cầu.

HỎI.  Tổ chức, cá nhân có trách nhiệm gì khi phát hiện dữ liệu của mình bị tấn công, xâm nhập, sửa đổi, xóa bỏ, hủy hoại?

TRẢ LỜI Theo điểm đ khoản 2 Điều 19 Luật An toàn thông tin mạng 2015: "Có trách nhiệm kiểm soát, bảo đảm an toàn thông tin cá nhân đã thu thập, xử lý trong trường hợp bị tấn công, xâm nhập, sửa đổi, xóa bỏ, hủy hoại thông tin cá nhân."

HỎI.  Biện pháp kỹ thuật nào được yêu cầu để bảo vệ dữ liệu trong hệ thống thông tin?

TRẢ LỜI Theo Điều 28 Nghị định số 13/2023/NĐ-CP, các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân bao gồm: "Mã hóa dữ liệu; Xóa dữ liệu; An toàn thông tin; Kiểm soát truy cập; Sao lưu và phục hồi dữ liệu; Các biện pháp khác theo quy định của pháp luật."

HỎI.  Tổ chức, cá nhân được phép xử lý dữ liệu cá nhân nhạy cảm trong những trường hợp nào?

TRẢ LỜI Theo khoản 3 Điều 17 Nghị định số 13/2023/NĐ-CP, dữ liệu cá nhân nhạy cảm chỉ được xử lý khi: "Có sự đồng ý của chủ thể dữ liệu; Có văn bản của cơ quan nhà nước có thẩm quyền yêu cầu xử lý dữ liệu cá nhân nhạy cảm; Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc để bảo vệ an ninh quốc gia, trật tự, an toàn xã hội trong trường hợp khẩn cấp."

HỎI.  Trách nhiệm của cơ quan nhà nước, tổ chức chính trị - xã hội trong việc bảo vệ dữ liệu cá nhân là gì?

TRẢ LỜI Theo Điều 45 Nghị định số 13/2023/NĐ-CP, các cơ quan này có trách nhiệm: "Tuân thủ các quy định của Nghị định này; Xây dựng, ban hành và tổ chức thực hiện quy định nội bộ về bảo vệ dữ liệu cá nhân; Bổ nhiệm cán bộ phụ trách bảo vệ dữ liệu cá nhân; Thực hiện đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (nếu có); Thực hiện thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân (nếu có)."

HỎI.  Dữ liệu cá nhân nhạy cảm là gì?

TRẢ LỜI Theo khoản 8 Điều 2 Nghị định số 13/2023/NĐ-CP: Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm: 

a) Quan điểm chính trị, quan điểm tôn giáo;

b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, bao gồm nhưng không giới hạn thông tin về bệnh lý, tình trạng y tế, các dịch vụ chăm sóc sức khỏe, kết quả xét nghiệm, chẩn đoán, thông tin về phẫu thuật, thông tin về các bộ phận cơ thể, chức năng giải phẫu;

c) Thông tin có liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được; đ) Thông tin về dấu vân tay, mống mắt, khuôn mặt, giọng nói, dáng đi và các dữ liệu sinh trắc học khác;

e) Thông tin về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi cơ quan có thẩm quyền;

g) Thông tin về tài khoản của cá nhân có liên quan đến các hoạt động ngân hàng, dịch vụ tài chính, dịch vụ thanh toán, tài khoản ví điện tử, thông tin thẻ tín dụng, thẻ ghi nợ, thẻ thanh toán;

h) Thông tin về vị trí của cá nhân được xác định qua dịch vụ định vị;

i) Các dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần được bảo vệ.

HỎI.  Mục đích thu thập, xử lý dữ liệu cá nhân phải được công khai như thế nào?

TRẢ LỜI Theo điểm a khoản 2 Điều 19 Luật An toàn thông tin mạng 2015: "Công khai mục đích thu thập, xử lý thông tin cá nhân." Điều này nhằm đảm bảo tính minh bạch và quyền được biết của chủ thể dữ liệu.

HỎI.  Tổ chức, cá nhân có trách nhiệm gì trong việc đảm bảo an toàn thông tin cá nhân đã thu thập, xử lý khi bị tấn công mạng?

TRẢ LỜI Theo điểm đ khoản 2 Điều 19 Luật An toàn thông tin mạng 2015: "Có trách nhiệm kiểm soát, bảo đảm an toàn thông tin cá nhân đã thu thập, xử lý trong trường hợp bị tấn công, xâm nhập, sửa đổi, xóa bỏ, hủy hoại thông tin cá nhân."

HỎI.  Trách nhiệm của tổ chức, cá nhân trong việc phòng ngừa, phát hiện, ngăn chặn tấn công mạng gây hại đến dữ liệu là gì?

TRẢ LỜI Theo khoản 1 Điều 17 Luật An ninh mạng 2018: "Xây dựng, triển khai các biện pháp kỹ thuật, nghiệp vụ để phòng ngừa, phát hiện, ngăn chặn, xử lý tấn công mạng, khủng bố mạng, gián điệp mạng." Các hành vi này thường nhắm vào việc chiếm đoạt, hủy hoại dữ liệu.

HỎI.  Chủ thể dữ liệu có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình trong trường hợp nào?

TRẢ LỜI Theo điểm e khoản 1 Điều 9 Nghị định số 13/2023/NĐ-CP: "Quyền yêu cầu hạn chế xử lý dữ liệu: Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hạn chế xử lý dữ liệu cá nhân của mình trừ trường hợp luật có quy định khác."