Dự thảo Luật Dữ liệu tạo ra hành lang pháp lý thuận lợi cho việc phát triển thị trường dữ liệu tại Việt Nam, mở ra cơ hội cho các doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin mở rộng phạm vi hoạt động và tiếp cận khách hàng mới, bảo đảm đầy đủ quyền và lợi ích hợp pháp liên quan đến việc khai thác, sử dụng dữ liệu. Việc tuân thủ và tận dụng tốt các quy định của Dự thảo Luật sẽ là chìa khóa giúp doanh nghiệp nâng cao năng lực cạnh tranh và khẳng định vị thế của mình trong lĩnh vực công nghệ thông tin và dữ liệu. 

Bên cạnh đó, Dự thảo Luật tạo điều kiện cho việc kết nối, chia sẻ và khai thác dữ liệu từ Cơ sở dữ liệu tổng hợp quốc gia, giúp doanh nghiệp có thể tiếp cận nguồn dữ liệu lớn để phát triển sản phẩm, dịch vụ.

Nhiều nước trên thế giới đã có quy định về dữ liệu, vận hành, khai thác, sử dụng dữ liệu, tuy nhiên ở Việt Nam, đây là một vấn đề khá mới, các văn bản pháp luật hiện hành quy định về vấn đề này còn chưa rõ ràng, thiếu sự đồng bộ. Do đó, khi Luật Dữ liệu ban hành sẽ kéo theo nhiều thủ tục, quy định mới tác động đến hoạt động kinh doanh của các doanh nghiệp hoạt động trong các lĩnh vực công nghệ thông tin. Cụ thể:

(1) Tốn chi phí để nghiên cứu triển khai thực hiện các quy định mới : Doanh nghiệp cần cân nhắc kỹ lưỡng các khoản đầu tư này để đảm bảo hiệu quả kinh tế. Cần có kế hoạch tài chính chi tiết và phân bổ nguồn lực hợp lý để tránh ảnh hưởng đến các hoạt động kinh doanh khác.

(2) Đối với hoạt động Chuyển dữ liệu ra nước ngoài 

Dự thảo Luật quy định chặt chẽ về việc chuyển dữ liệu ra nước ngoài, đặc biệt là dữ liệu cốt lõi và dữ liệu quan trọng. Dữ liệu được phân loại là dữ liệu cốt lõi, dữ liệu quan trọng cần được cung cấp, chuyển giao bên ngoài biên giới nước Cộng hòa xã hội chủ nghĩa Việt Nam phải được cơ quan có thẩm quyền đánh giá và chấp thuận. 

(3) Đối với hoạt động phát triển, ứng dụng công nghệ trong xử lý, quản trị, quản lý, sử dụng, khai thác dữ liệu. 

Hoạt động phát triển, ứng dụng công nghệ trong xử lý, quản trị, quản lý, sử dụng, khai thác dữ liệu phải tuân thủ các nguyên tắc theo quy định của Luật dữ liệu. 

“Nguyên tắc trong phát triển, ứng dụng công nghệ trong xử lý, quản trị, quản lý, sử dụng, khai thác dữ liệu:

a) Không sản xuất nội dung bị cấm bởi quy định của pháp luật;

b) Sử dụng các biện pháp hiệu quả để ngăn chặn sự phân biệt đối xử đối với chủ thể dữ liệu liên quan đến các vấn đề về dân tộc, tín ngưỡng, quốc gia, khu vực, giới tính, tuổi tác, nghề nghiệp, sức khỏe;

c) Tôn trọng quyền sở hữu trí tuệ và đạo đức kinh doanh, giữ bí mật thương mại; không được sử dụng thuật toán, dữ liệu, nền tảng và các lợi thế khác để thực hiện hành vi cạnh tranh độc quyền, không lành mạnh;

d) Tôn trọng quyền và lợi ích hợp pháp của người khác, không được gây nguy hiểm cho sức khỏe thể chất và tâm lý của người khác, không được xâm phạm quyền và lợi ích của người khác về chân dung, uy tín, danh dự, quyền riêng tư hoặc thông tin cá nhân.”

Đối với một số ứng dụng cụ thể (ứng dụng nhận dạng sinh trắc học,…), việc hoạt động phát triển, ứng dụng công nghệ trong xử lý dữ liệu phải tuân thủ các quy định chi tiết của Chính phủ bao gồm:

a) Các yêu cầu cần thực hiện trước khi ra mắt sản phẩm, dịch vụ hoặc ứng dụng mới được hỗ trợ bởi việc ứng dụng công nghệ về xử lý dữ liệu;

b) Đánh giá tính bảo mật của sản phẩm, dịch vụ, ứng dụng;

c) Đánh giá đạo đức về hoạt động nghiên cứu, phát triển liên quan đến ứng dụng công nghệ về xử lý dữ liệu;

d) Các yêu cầu trong quá trình vận hành hàng ngày các sản phẩm, dịch vụ ứng dụng công nghệ về xử lý dữ liệu;

đ) Dữ liệu đào tạo và ghi nhãn dữ liệu;

e) Kiểm duyệt dữ liệu đầu vào, kiểm duyệt nội dung đầu ra;

g) Ghi nhãn nội dung tổng hợp;

h) Bảo vệ quyền của người dùng;

i) Đánh giá định kỳ các thuật toán;

k) Hệ thống quản lý bảo mật dữ liệu và các biện pháp kỹ thuật;

l) Xử lý thông tin sai lệch và xử lý khiếu nại.

(4) Doanh nghiệp cần thực hiện tự đánh giá rủi ro và thực hiện các biện pháp bảo vệ dữ liệu 

Theo quy định của Luật Dữ liệu, Chủ quản dữ liệu phải chịu trách nhiệm tự đánh giá, xác định rủi ro và thực hiện các biện pháp để bảo vệ dữ liệu; kịp thời khắc phục rủi ro phát sinh và thông báo cho chủ thể dữ liệu và cơ quan, tổ chức, cá nhân có liên quan. Cơ quan, tổ chức, cá nhân xử lý dữ liệu cốt lõi, dữ liệu quan trọng phải định kỳ tiến hành đánh giá rủi ro đối với các hoạt động xử lý dữ liệu đó theo quy định. Nội dung đánh giá rủi ro bao gồm tối thiểu các thông tin về loại và lượng dữ liệu đang được xử lý, hoàn cảnh của các hoạt động xử lý dữ liệu, các rủi ro phát sinh trong xử lý dữ liệu và biện pháp giải quyết. 

Theo đó, doanh nghiệp phải xây dựng các biện pháp phòng ngừa rủi ro phát sinh trong xử lý dữ liệu. Đối với hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng phải định kỳ tiến hành đánh giá rủi ro đối với các hoạt động xử lý dữ liệu đó.

(5) Đối với hoạt động xử lý dữ liệu cá nhân

Doanh nghiệp phải tuân thủ các quy định chặt chẽ về bảo vệ dữ liệu cá nhân, bao gồm việc thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân theo đúng mục đích và được sự đồng ý của chủ thể dữ liệu. Đặc biệt, theo quy định tại Nghị định 13/2023/NĐ-CP về Bảo vệ dữ dữ liệu cá nhân có hiệu lực từ ngày 01/07/2023, Doanh nghiệp có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Trong đó, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. 

(6) Về trách nhiệm cung cấp dữ liệu 

Trong trường hợp đặc biệt, doanh nghiệp có trách nhiệm Cung cấp, chia sẻ, đồng bộ, cập nhật dữ liệu cho Cơ sở dữ liệu tổng hợp quốc gia khi có văn bản đề nghị của Trung tâm dữ liệu quốc gia.

(7) Đối với hoạt động cung cấp sản phẩm, dịch vụ trung gian dữ liệu, phân tích, tổng hợp dữ liệu, sàn giao dịch dữ liệu

Luật Dữ liệu quy định về điều kiện cung cấp sản phẩm, dịch vụ trung gian dữ liệu, phân tích, tổng hợp dữ liệu, sàn giao dịch dữ liệu. Theo đó, doanh nghiệp phải đáp ứng đầy đủ các điều kiện về tổ chức; điều kiện về nhân sự; điều kiện về cơ sở vật chất, trang thiết bị kỹ thuật, quy trình quản lý cung cấp dịch vụ và phương án bảo đảm an ninh, trật tự theo quy định tại điều 47 Dự thảo Luật Dữ liệu. Cụ thể:

• Điều kiện về tổ chức

a) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu, phân tích, tổng hợp dữ liệu là đơn vị sự nghiệp công lập, doanh nghiệp được thành lập hoặc đăng ký hoạt động tại Việt Nam theo quy định pháp luật, đáp ứng điều kiện cung cấp dịch vụ và được cấp phép cung cấp dịch vụ theo quy định của Luật này;

b) Tổ chức cung cấp dịch vụ sàn giao dịch dữ liệu là doanh nghiệp nhà nước, đơn vị sự nghiệp công lập đáp ứng điều kiện cung cấp dịch vụ và được cấp phép cung cấp dịch vụ theo quy định của Luật này.

• Điều kiện về nhân sự

a) Người đứng đầu tổ chức, người đại diện theo pháp luật của doanh nghiệp là công dân Việt Nam, thường trú tại Việt Nam;

b) Tổ chức, doanh nghiệp phải có nhân sự có bằng đại học trở lên chuyên ngành an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông chịu trách nhiệm cung cấp dịch vụ, quản trị hệ thống, vận hành hệ thống, bảo đảm an toàn thông tin của hệ thống.

• Điều kiện về cơ sở vật chất, trang thiết bị kỹ thuật, quy trình quản lý cung cấp dịch vụ và phương án bảo đảm an ninh, trật tự

Tổ chức, doanh nghiệp đề nghị cấp giấy xác nhận phải có Đề án hoạt động cung cấp dịch vụ bao gồm các nội dung sau: Phương án, quy trình hoạt động cung cấp dịch vụ bao gồm thuyết minh hệ thống công nghệ thông tin; thuyết minh phương án kỹ thuật về giải pháp công nghệ; phương án lưu trữ, bảo đảm tính toàn vẹn dữ liệu, bảo đảm an ninh an toàn thông tin của hệ thống cung cấp dịch vụ; phương án bảo vệ dữ liệu cá nhân, tổ chức; phương án bảo đảm an ninh, trật tự; phương án phòng cháy và chữa cháy, dự phòng thảm họa và bảo đảm vận hành ổn định, thông suốt dịch vụ; trang thiết bị kỹ thuật phải được đặt tại Việt Nam và được kiểm định an ninh, an toàn thông tin theo quy định của pháp luật.

(8) Đối với việc cung cấp các sản phẩm, dịch vụ trung gian dữ liệu 

Việc cung cấp các sản phẩm, dịch vụ trung gian dữ liệu bao gồm: Cung ứng hạ tầng để xử lý dữ liệu; Hỗ trợ các hoạt động quản lý, xử lý dữ liệu (Ủy thác quản lý dữ liệu; Cung cấp công cụ, tiện ích để thực hiện cung cấp, chia sẻ, kết hợp, bảo vệ dữ liệu, thực hiện quyền của chủ thể dữ liệu). 

Doanh nghiệp phải thực hiện thủ tục đăng ký, cấp phép và tuân thủ yêu cầu đối với nhà cung cấp dịch vụ trung gian dữ liệu theo quy định.

“Yêu cầu đối với nhà cung cấp dịch vụ trung gian dữ liệu: 

a) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu không được sử dụng dữ liệu mà họ cung cấp dịch vụ trung gian dữ liệu cho các mục đích khác ngoài việc cung cấp cho người dùng dữ liệu;

b) Dữ liệu được thu thập liên quan đến các hoạt động cung cấp dịch vụ trung gian dữ liệu, bao gồm ngày, giờ và dữ liệu vị trí địa lý, thời gian hoạt động và kết nối với các bên liên quan sẽ chỉ được sử dụng để phát triển dịch vụ trung gian dữ liệu đó, phát hiện gian lận, an ninh mạng hoặc cung cấp cho chủ sở hữu dữ liệu theo yêu cầu; 

c) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu phải đảm bảo rằng quy trình truy cập dịch vụ của mình là công bằng, minh bạch và không phân biệt đối xử đối với cả chủ thể dữ liệu và chủ sở hữu dữ liệu, cũng như đối với người sử dụng dữ liệu, bao gồm cả về giá cả và điều khoản dịch vụ; 

d) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu phải có sẵn các quy trình, áp dụng các biện pháp kỹ thuật, pháp lý và tổ chức đầy đủ để ngăn chặn việc truyền hoặc truy cập vào dữ liệu trái pháp luật, các hành vi gian lận hoặc lạm dụng dữ liệu khác;

đ) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu phải thông báo ngay cho chủ sở hữu dữ liệu trong trường hợp có hành vi truy cập, chuyển giao hoặc sử dụng trái phép dữ liệu mà Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu đã chia sẻ;

e) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu phải thực hiện các biện pháp cần thiết để đảm bảo mức độ bảo mật thích hợp cho việc lưu trữ, xử lý và truyền dữ liệu; 

g) Khi cung cấp dịch vụ trung gian dữ liệu, tổ chức cung cấp dịch vụ phải yêu cầu bên cung cấp dữ liệu giải thích nguồn dữ liệu, kiểm tra và xác minh danh tính của cả hai bên trong giao dịch, đồng thời lưu giữ hồ sơ xác minh và giao dịch;

h) Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu phải duy trì bản ghi nhật ký về hoạt động trung gian dữ liệu.”

(9) Đối với hoạt động cung cấp sản phẩm, dịch vụ phân tích, tổng hợp dữ liệu liên quan đến ứng dụng công nghệ trong xử lý dữ liệu: Doanh nghiệp phải đăng ký, cấp phép theo quy định.