Góp Ý Dự Thảo Nghị Định Quy định hoạt động khoa học, công nghệ, đổi mới sáng tạo và sản phẩm, dịch vụ về dữ liệu

Vietnam English Chinese
  1. Trang chủ
  2. Tin tức - sự kiện
  3. Tin tức nội bộ
  4. Góp Ý Dự Thảo Nghị Định Quy định hoạt động khoa học, công nghệ, đổi mới sáng tạo và sản phẩm, dịch vụ về dữ liệu
Góp Ý Dự Thảo Nghị Định Quy định hoạt động khoa học, công nghệ, đổi mới sáng tạo và sản phẩm, dịch vụ về dữ liệu

Lượt xem: 495

Table of Contents
    Tháng 1/2025, Bộ Công an đã ban hành Dự thảo Nghị định quy định hoạt động khoa học, công nghệ, đổi mới sáng tạo và sản phẩm, dịch vụ về dữ liệu (Dự thảo lần thứ 2) để lấy ý kiến cũng như góp ý của cộng đồng doanh nghiệp và các chuyên gia. Nghị định mới dự kiến sẽ được Chính phủ thông qua vào tháng 7/2025. Trong bài viết này, Công ty Luật TNHH ALTAS (“ALTAS”/ “Chúng tôi”) xin góp ý một số điểm đáng chú ý của Dự thảo này.

     


     

    ĐIỀU KIỆN CỦA CHỦ THỂ CUNG CẤP SẢN PHẨM, DỊCH VỤ TRUNG GIAN DỮ LIỆU, PHÂN TÍCH, TỔNG HỢP 


    Dự thảo lần thứ 2 quy định tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu, phân tích, tổng hợp phải đáp ứng điều kiện chủ thể kinh doanh là “Đơn vị sự nghiệp và doanh nghiệp” (Điều 23.1 của Dự thảo). Chúng tôi cho rằng việc dùng thuật ngữ “Đơn vị sự nghiệp” trong bối cảnh này đem lại sự không rõ ràng về cách hiểu của thuật ngữ. Hiện tại, khái niệm “Đơn vị sự nghiệp” rất ít được sử dụng và chưa có văn bản chính thức nào quy định cụ thể định nghĩa cho thuật ngữ này. Không rõ có phải ý định của ban soạn thảo khi sử dụng thuật ngữ này là để ám chỉ đến “Đơn vị sự nghiệp công lập” hay không, nếu không thì điều này sẽ gây khó khăn khi xác định chủ thể kinh doanh cũng như dễ nhầm lẫn với khái niệm “Đơn vị sự nghiệp công lập”. Chúng tôi cho rằng có thể sử dụng thuật ngữ “tổ chức” thay vì “Đơn vị sự nghiệp” trong bối cảnh này.


    CẦN CỤ THỂ HOÁ HƠN NỮA THỦ TỤC “THÔNG BÁO VI PHẠM DỮ LIỆU” THEO HƯỚNG XÁC ĐỊNH RÕ CÁC TIÊU CHÍ ĐỊNH LƯỢNG CẦN THIẾT


    2. 1    Theo quy định tại Dự thảo lần thứ 2, tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu có trách nhiệm thông báo về vi phạm dữ liệu tới cá nhân, tổ chức bị ảnh hưởng ngay khi có thể nếu có vi phạm dữ liệu có khả năng gây ra tác hại đáng kể cho cá nhân hoặc có quy mô đáng kể (Điều 24.9 của Dự thảo). Chúng tôi nhận thấy một số điểm chưa rõ ràng trong quy định này như sau:
    2.1.1.    Thời điểm thông báo được quy định là “ngay khi có thể nếu xảy ra vi phạm”. Vấn đề đặt ra là thời điểm “ngay khi có thể” được xác định như thế nào? Cần làm rõ giới hạn tối đa để thực hiện nghĩa vụ, tránh gây ra vướng mắc trong thực tiễn áp dụng cũng như xảy ra các hành vi che giấu, trì hoãn thông báo, khiến hậu quả trở nên nghiêm trọng hơn. Đồng thời, nên bổ sung thêm các chế tài nếu trong khoảng thời gian quy định mà các tổ chức vi phạm nghĩa vụ thông báo cũng như các trường hợp ngoại lệ dẫn đến việc không thể thông báo trong thời gian quy định. 
    2.1.2.    Đối tượng tiếp nhận thông báo được quy định chung chung là cá nhân, tổ chức bị ảnh hưởng, nhưng chưa làm rõ phạm vi các chủ thể này. Câu hỏi đặt ra là liệu “cá nhân, tổ chức bị ảnh hưởng” có bao gồm người sử dụng dịch vụ dữ liệu, chủ thể dữ liệu, chủ sở hữu dữ liệu hay còn chủ thể nào khác? Trong trường hợp xảy ra vi phạm gây ảnh hưởng nghiêm trọng đến hệ thống xử lý dữ liệu trên quy mô lớn thì có cần thông báo đến cơ quan quản lý nhà nước không? Việc sử dụng cụm từ “bị ảnh hưởng” đang giới hạn phạm vi chủ thể được tiếp nhận thông báo, không chỉ gây khó hiểu cho tổ chức, doanh nghiệp khi áp dụng mà còn tạo lỗ hổng trong cơ chế kiểm soát an ninh dữ liệu.
    Ngoài ra, trong Luật Dữ liệu 2024 quy định “Chủ quản dữ liệu không thuộc quy định tại khoản 2 Điều này tự đánh giá, xác định rủi ro và thực hiện các biện pháp để bảo vệ dữ liệu; kịp thời khắc phục rủi ro phát sinh và thông báo cho chủ thể dữ liệu, cơ quan, tổ chức, cá nhân có liên quan” (Điều 25.3 của Luật Dữ liệu 2024). Theo đó các đối tượng được nhận thông báo bao gồm “cơ quan” và sử dụng thuật ngữ “có liên quan” thay vì “bị ảnh hưởng” như trong Dự thảo lần thứ 2. Sự khác biệt này có thể dẫn đến cách hiểu và áp dụng không nhất quán giữa Luật và Nghị định hướng dẫn, gây khó khăn trong quá trình thực thi. Vì vậy, cần rà soát và thống nhất thuật ngữ để bảo đảm sự đồng bộ trong hệ thống pháp luật.
    2.1.3.    Dự thảo lần thứ 2 quy định nghĩa vụ thông báo chỉ áp dụng đối với các vi phạm dữ liệu có khả năng gây ra “tác hại đáng kể” cho cá nhân hoặc có “quy mô đáng kể”. Tuy nhiên, cần làm rõ:
        Xác định mức độ như thế nào được coi là “đáng kể”? Tiêu chí nào để xác định vi phạm có quy mô đáng kể?
        Chủ thể nào có thẩm quyền đánh giá và quyết định mức độ “đáng kể” của vi phạm? Nếu tổ chức vi phạm tự đánh giá thì có thể xảy ra trường hợp đánh giá chủ quan, thiếu khách quan và minh bạch.
    Đặc biệt, nếu chỉ các vi phạm có tác động đáng kể mới phải thông báo, thì điều này có thể dẫn đến việc bỏ sót các vi phạm nhỏ nhưng vẫn tiềm ẩn rủi ro lớn về lâu dài. Trong khi đó, theo Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân (Nghị định 13) quy định về “Những nguyên tắc bảo vệ dữ liệu cá nhân” đã khẳng định: “Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân…” (Điều 3 của Nghị định 13/2023/NĐ-CP). Nghĩa vụ thông báo vi phạm cũng được quy định như sau: “Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân” (Điều 23 của Nghị định 13/2023/NĐ-CP). Như vậy, theo quy định tại Nghị định 13, bất kỳ vi phạm nào cũng phải thực hiện thông báo, không phụ thuộc vào mức độ ảnh hưởng.
    2. 2    Tóm lại, đối với một quy định mang tính chất nghĩa vụ phải tuân thủ nhưng trong Dự thảo lần thứ 2 mới chỉ quy định chung chung, chưa có các tiêu chí giúp định lượng rõ ràng nhằm đạt được mục tiêu “Bảo đảm tính khả thi, hiệu quả” trong áp dụng như tinh thần mà Tờ trình xây dựng Dự thảo đã nêu. Vì vậy, Chúng tôi cho rằng Ban soạn thảo cần bổ sung thêm các tiêu chí nhằm giúp định lượng hóa quy định một cách cụ thể hơn cho Dự thảo lần thứ 2.


    QUY ĐỊNH VỀ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU 


    Dự thảo lần thứ 2 hiện không có quy định trực tiếp về nghĩa vụ thực hiện đánh giá tác động xử lý dữ liệu. Tuy nhiên, khi quy định về trách nhiệm của Tổ chức cung cấp sản phẩm, dịch vụ phân tích tổng hợp và sàn giao dịch dữ liệu, đã có điều khoản viện dẫn đến việc áp dụng các quy định pháp luật khác có liên quan, cụ thể:“Tuân thủ các quy định của pháp luật về an toàn thông tin mạng, an ninh mạng, giao dịch điện tử, tiêu chuẩn, quy chuẩn kỹ thuật về dữ liệu, bảo mật thông tin, đảm bảo tính chính xác của việc cung cấp dịch vụ; ban hành quy trình hoạt động sàn dữ liệu và được sự đồng ý của cơ quan quản lý nhà nước về dữ liệu” (Điều 31 và Điều 35 của Dự thảo). Tuy nhiên, trong phần quy định trách nhiệm của Tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu, Dự thảo lần thứ 2 lại không có quy định tương tự về việc tuân thủ pháp luật liên quan, cũng như không đề cập đến nghĩa vụ đánh giá tác động xử lý dữ liệu. Chúng tôi cho rằng có thể Ban soạn thảo đã bỏ sót quy định tại điểm này.


    TIÊU CHUẨN BẢO VỆ DỮ LIỆU CÁ NHÂN


    4.1.    Dự thảo lần thứ 2 quy định trách nhiệm của tổ chức cung cấp sản phẩm, dịch vụ trung gian dữ liệu phải: "Đảm bảo giới hạn chuyển giao dữ liệu cá nhân ra nước ngoài theo các yêu cầu của quy định, đảm bảo rằng tiêu chuẩn bảo vệ tương đương với tiêu chuẩn theo yêu cầu pháp luật có liên quan" (Điều 24.8 của Dự thảo).
    4.2.    Quy định này có sự khác biệt so với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Trong khi Nghị định 13 chỉ "khuyến khích" các tổ chức áp dụng các tiêu chuẩn bảo vệ dữ liệu phù hợp (Điều 27.3 của Nghị định 13/2023/NĐ-CP), thì Dự thảo lần thứ 2 lại đưa ra yêu cầu mang tính bắt buộc phải “đảm bảo tiêu chuẩn bảo vệ tương đương với theo yêu cầu”. 
    4.3.    Ngoài ra, Nghị định 13 quy định Bộ Công an sẽ là cơ quan chịu trách nhiệm đề xuất ban hành các Tiêu chuẩn bảo vệ dữ liệu cá nhân (Điều 32.2 của Nghị định 13/2023/NĐ-CP). Tuy nhiên, một bất cập lớn là cho đến nay, vẫn chưa có một văn bản chính thức nào cụ thể hoá Tiêu chuẩn này. Trong khi đó Dự thảo lần 2 lại yêu cầu doanh nghiệp phải đảm bảo tuân thủ "tiêu chuẩn bảo vệ tương đương với yêu cầu pháp luật" dù chưa có hướng dẫn rõ ràng. Điều này dẫn đến tình trạng mơ hồ, gây khó khăn cho cả doanh nghiệp lẫn cơ quan quản lý trong quá trình áp dụng và giám sát. 
    4.4.    Do đó, để đảm bảo tính khả thi và minh bạch trong thực thi quy định, cần có một văn bản hướng dẫn hoặc quy định cụ thể về Tiêu chuẩn bảo vệ dữ liệu cá nhân trước khi yêu cầu doanh nghiệp phải tuân thủ


    VỀ VIỆC SỬ DỤNG QUY ĐỊNH DẪN CHIẾU 


    5.1     Tại phần quy định về trách nhiệm của Tổ chức cung cấp sản phẩm, dịch vụ phân tích và tổng hợp dữ liệu và sàn dữ liệu của Dự thảo lần thứ 2 hiện đang có điều khoản viện dẫn như sau:"Tuân thủ các quy định của pháp luật về an toàn thông tin mạng, an ninh mạng, giao dịch điện tử, tiêu chuẩn, quy chuẩn kỹ thuật về dữ liệu, bảo mật thông tin, đảm bảo tính chính xác của việc cung cấp dịch vụ; ban hành quy trình hoạt động sàn dữ liệu và được sự đồng ý của cơ quan quản lý nhà nước về dữ liệu" (Điều 31 và Điều 35 của Dự thảo).
    5.2    Cách quy định này không tuân thủ quy tắc viện dẫn pháp luật. Theo quy tắc viện dẫn pháp luật, khi lần đầu viện dẫn văn bản có liên quan, cần ghi đầy đủ tên loại, số, ký hiệu, thời gian ban hành, cơ quan ban hành và trích yếu nội dung. Việc quy định thiếu rõ ràng, gây khó khăn trong quá trình thực hiện. Điều này có thể dẫn đến sự thiếu thống nhất trong áp dụng, gây khó khăn cho tổ chức thực hiện nghĩa vụ và cơ quan có thẩm quyền khi giám sát, xử lý vi phạm. Để đảm bảo tính rõ ràng, thống nhất và dễ thực thi, Chúng tôi cho rằng Ban soạn thảo nên liệt kê rõ các văn bản được viện dẫn đến một cách đầy đủ nhất có thể.


    THẨM ĐỊNH SẢN PHẨM, DỊCH VỤ PHÂN TÍCH, TỔNG HỢP DỮ LIỆU


    Dự thảo lần thứ 2 đưa ra các nguyên tắc chung cho việc thẩm định sản phẩm, dịch vụ phân tích, tổng hợp dữ liệu. Tuy nhiên vẫn còn một số vấn đề Chúng tôi cho rằng cần làm rõ hơn nữa để đảm bảo tính hiệu quả trong thực hiện, bao gồm:
    6.1    Cần xác định rõ chủ thể có thẩm quyền thực hiện việc “thẩm định”. Cho đến hiện tại, các văn bản pháp luật trong lĩnh vực dữ liệu vẫn chưa có văn bản nào quy định rõ ràng về việc thẩm định, đặc biệt là với các công cụ tự động hoá. 
    6.2    Theo Dự thảo lần thứ 2, hoạt động phân tích, tổng hợp dữ liệu được chia thành 4 mức độ, có thể hoàn toàn do con người thực hiện (cấp độ 1) hoặc hoàn toàn do công cụ tự động hoá đưa ra quyết định (cấp độ 4) (Điều 26 của Dự thảo). Tuy nhiên, tiêu chí thẩm định lại được áp dụng chung cho tất cả các cấp độ là chưa hợp lý (Điều 30 của Dự thảo), trong khi Cấp độ 4 (Trí tuệ nhân tạo hoàn toàn ra quyết định) có mức độ rủi ro cao hơn nhiều cấp độ khác, nên cần có những tiêu chí thẩm định chặt chẽ hơn.
    6.3    Ngoài ra, một số mô hình có thể thay đổi theo thời gian do cơ chế tự học, do đó cần xem xét yêu cầu “thẩm định định kỳ” thay vì chỉ “thẩm định một lần”.


    NGHĨA VỤ ĐĂNG KÝ CẤP PHÉP VỚI CƠ QUAN CÓ THẨM QUYỀN


    7.1    Theo quan điểm tại Tờ trình xây dựng Dự thảo thì hoạt động cung cấp sản phẩm, dịch vụ Trung gian dữ liệu là ngành nghề kinh doanh có điều kiện và phải được cấp giấy chứng nhận đủ điều kiện kinh doanh trước khi hoạt động (Điều 2.3 của Tờ trình Dự thảo).
    Còn đối với sản phẩm phân tích, tổng hợp dữ liệu thì Tờ trình xây dựng Dự thảo lại chia ra hai trường hợp, hoặc (i) là phải đăng ký cấp phép với cơ quan nhà nước, hoặc (ii) là “khuyến khích” các tổ chức cung cấp sản phẩm phân tích tổng hợp khác đăng ký với Bộ Công an để được chứng nhận hưởng ưu đãi (Điều 2.3 của Tờ trình Dự thảo).
    7.2    Tuy nhiên trong Dự thảo lần thứ 2, hoạt động cung cấp sản phẩm, dịch vụ Trung gian dữ liệu lại được chia ra hai trường hợp:
        Trường hợp 1: Được đăng ký quản lý và cấp phép đối với tổ chức cung cấp sản phẩm, dịch vụ trung gian giữa bên sử dụng dịch vụ với cơ quan nhà nước (Điều 21.3 của Dự thảo).
        Trường hợp 2: Được đề nghị Bộ Công an thẩm định, đánh giá và chứng nhận để được hưởng ưu đãi như các doanh nghiệp công nghệ cao (Điều 21.4 của Dự thảo).
    Trong Dự thảo lần thứ 2 quy định về thành phần hồ sơ và thủ tục để được cấp Giấy chứng nhận/Giấy xác nhận có quy định “Trường hợp tổ chức, doanh nghiệp đề nghị cấp giấy chứng nhận hoặc giấy xác nhận để được hưởng ưu đãi thì cung cấp các giấy tờ chứng minh” (Điều 36 của Dự thảo).
    Như vậy quan điểm của Dự thảo lần thứ 2 là chỉ tổ chức nào hoạt động trung gian dữ liệu giữa bên sử dụng dịch vụ với cơ quan nhà nước mới bắt buộc phải đăng ký với cơ quan nhà nước để được cấp phép; nghĩa vụ này không bắt buộc đối với các trường hợp còn lại, trừ khi các tổ chức đó có nhu cầu được hưởng ưu đãi như doanh nghiệp hoạt động trong lĩnh vực công nghệ cao. 
    7.3    Chúng tôi nhận thấy rằng, quan điểm trong Dự thảo và Tờ trình Xây dựng Dự thảo về vấn đề này đang chưa rõ ràng và thiếu thống nhất, cần được sửa đổi rõ ràng hơn để đảm bảo các doanh nghiệp dễ dàng áp dụng thực hiện.
    Trên đây là toàn bộ đóng góp ý kiến của ALTAS về Dự thảo Nghị định. Kính nhờ quý cơ quan xem xét và cân nhắc các nội dung đã nêu. Chúng tôi hy vọng rằng những ý kiến này sẽ góp phần hoàn thiện khung pháp lý, giúp tạo điều kiện thuận lợi cho việc thực thi hiệu quả các quy định về quản lý và giao dịch dữ liệu. 
    Trong trường hợp chưa rõ hoặc cần thêm thông tin liên quan, xin vui lòng liên hệ chúng tôi để được hướng dẫn chi tiết.
    Tác giả: Lương Văn Chương - Luật sư điều hành tại ALTAS và Đặng Thị Ngọc Lan - Trợ Lý Pháp Lý Cao Cấp
    Ngày: 17/03/2025
     

    Liên hệ để được tư vấn

    Đăng ký ngay

    Về ALTAS

    VP HCM: Lầu 5, 37 Ký Con, Phường Bến Thành, Thành phố Hồ Chí Minh.

    VP Hà Nội: Tầng 3 - Viet Tower Số 1 Thái Hà, P. Đống Đa, Hà Nội 

    VP Bắc Ninh: Tầng 4, Tòa Dương Tuấn, số 09 Lê Thái Tổ, P. Võ Cường, Bắc Ninh

    Email: contact@altas.vn

    Phone: +84 28 627 09600          Hotline: +84916 923 235

    Website: altas.vn

    Chính sách

    © Copyright ALTAS CORP . All rights reserved
    Zalo
    Hotline