Luật An ninh mạng Việt Nam (Luật số 24/2018/QH14) và Nghị định 13/2023/NĐ-CP tạo ra nhiều câu hỏi cho doanh nghiệp nhỏ và vừa: tôi có phải lưu dữ liệu trong nước không? Server đặt ở Singapore có được không? Dùng Google Drive có vi phạm không?
Ai thực sự phải tuân thủ Điều 26 Luật An ninh mạng
Điều 26 Luật An ninh mạng (yêu cầu lưu trữ dữ liệu trong nước) áp dụng cho các doanh nghiệp cung cấp dịch vụ trên không gian mạng tại Việt Nam ở các lĩnh vực: viễn thông, internet, mạng xã hội, thương mại điện tử, tài chính-ngân hàng, và một số lĩnh vực đặc thù khác.
Doanh nghiệp nhỏ dùng phần mềm nội bộ (ERP, quản lý kho, kế toán) không phải đối tượng của Điều 26. Nếu bạn là công ty sản xuất, thương mại, dịch vụ và dùng phần mềm cho vận hành nội bộ – không phải cung cấp dịch vụ ra ngoài – bạn không bị ràng buộc bởi yêu cầu nội địa hóa dữ liệu này.
Nghị định 13/2023 bảo vệ dữ liệu cá nhân
Nghị định 13/2023 về bảo vệ dữ liệu cá nhân áp dụng rộng hơn và ảnh hưởng đến mọi doanh nghiệp xử lý dữ liệu cá nhân của người Việt Nam. Yêu cầu chính: có biện pháp bảo vệ dữ liệu phù hợp, thông báo cho chủ thể dữ liệu về cách xử lý, và báo cáo vi phạm trong vòng 72 giờ.
Về vị trí lưu trữ: Nghị định 13 không cấm lưu trữ dữ liệu ở nước ngoài nhưng yêu cầu đảm bảo mức bảo vệ tương đương. Server tại châu Âu (GDPR) hoặc Singapore (PDPA) được coi là đáp ứng yêu cầu này.
Lựa chọn thực tế theo từng loại doanh nghiệp
Doanh nghiệp nhỏ (dưới 50 nhân viên, dùng phần mềm nội bộ): Server ở Singapore hoặc châu Âu là lựa chọn tốt. Chi phí thấp, hiệu năng tốt, tuân thủ Nghị định 13.
Doanh nghiệp cung cấp dịch vụ kỹ thuật số cho người dùng Việt: Cần tư vấn pháp lý để xác định có thuộc diện Điều 26 không và loại dữ liệu nào phải lưu trong nước.
Server châu Âu, dữ liệu dưới sự kiểm soát của bạn