Bộ Công an đang dự thảo Nghị định quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu (Dự thảo 2). Trong đó, Ban Cơ yếu Chính phủ có trách nhiệm chủ trì phối hợp với các đơn vị có liên quan triển khai các sản phẩm mã hóa, giải mã dữ liệu; giúp Bộ trưởng Bộ Quốc phòng thực hiện nhiệm vụ quản lý nhà nước đối với dữ liệu về cơ yếu.

Căn cứ Luật Dữ liệu ngày 30/11/2024, Chính phủ ban hành Nghị định quy định một số điều và biện pháp thi hành Luật Dữ liệu.

Theo đó, dự thảo Nghị định gồm 5 chương, 36 điều quy định chi tiết khoản 3 Điều 13, khoản 5 Điều 14, khoản 5 Điều 15, khoản 3 Điều 16, khoản 4 Điều 17, khoản 4 Điều 18, khoản 3 Điều 20, khoản 5 Điều 21, khoản 5 Điều 22, khoản 4 Điều 23, khoản 5 Điều 25, khoản 4 Điều 26, khoản 4 Điều 27, khoản 3 Điều 30, khoản 8 Điều 31, khoản 5 Điều 35, khoản 4 Điều 36, khoản 3 Điều 37 của Luật Dữ liệu và việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu; việc bảo đảm nguồn lực cho hoạt động của Trung tâm dữ liệu quốc gia; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan đến hoạt động về dữ liệu. 

19 Tiêu chí xác định dữ liệu cốt lõi

Việc xác định dữ liệu cốt lõi phải dựa trên mức độ tác động của dữ liệu đến các lĩnh vực, các nhóm, các khu vực cụ thể, tác động trực tiếp quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng (không bao gồm bí mật nhà nước), bao gồm:

1. Chủ trương, chính sách của Đảng và Nhà nước về đối nội, đối ngoại; Hoạt động của Ban Chấp hành Trung ương, Bộ Chính trị, Ban Bí thư và lãnh đạo Đảng, Nhà nước; Chiến lược, đề án về dân tộc, tôn giáo và công tác dân tộc, tôn giáo liên quan đến bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội.

2. Chiến lược, kế hoạch, phương án, hoạt động bảo vệ Tổ quốc, phòng thủ đất nước, bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội; chương trình, dự án, đề án đặc biệt quan trọng.

3. Tổ chức và hoạt động của lực lượng vũ trang nhân dân, lực lượng cơ yếu.

4. Công trình, mục tiêu về quốc phòng, an ninh, cơ yếu; các loại vũ khí, khí tài, phương tiện quyết định khả năng phòng thủ đất nước, bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội; sản phẩm mật mã của cơ yếu.

5. Dữ liệu cơ sở và hạ tầng dữ liệu và truyền thông quốc gia để phục vụ quốc phòng, an ninh.

6. Chiến lược, kế hoạch, đề án phát triển báo chí, xuất bản, in, phát hành, bưu chính, viễn thông và Internet, tần số vô tuyến điện, công nghệ dữ liệu, công nghiệp công nghệ dữ liệu, an toàn dữ liệu mạng, điện tử, phát thanh và truyền hình, dữ liệu điện tử, thông tấn, dữ liệu đối ngoại, dữ liệu cơ sở và hạ tầng dữ liệu và truyền thông quốc gia để phục vụ quốc phòng, an ninh.

7. Thiết kế kỹ thuật, sơ đồ, số liệu về thiết bị của hệ thống dữ liệu quan trọng về an ninh quốc gia, hệ thống dữ liệu quan trọng quốc gia và hệ thống mạng dữ liệu dùng riêng phục vụ cơ quan, tổ chức của Đảng, Nhà nước.

8. Chiến lược, kế hoạch, đề án phát triển quan hệ với nước ngoài, tổ chức quốc tế hoặc chủ thể khác của pháp luật quốc tế; tình hình, phương án, kế hoạch, hoạt động đối ngoại của cơ quan Đảng, Nhà nước.

9. Dữ liệu, thỏa thuận được trao đổi, ký kết giữa Việt Nam với nước ngoài, tổ chức quốc tế hoặc chủ thể khác của pháp luật quốc tế.

10. Dữ liệu do nước ngoài, tổ chức quốc tế hoặc chủ thể khác của pháp luật quốc tế chuyển giao theo điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên và thỏa thuận quốc tế có liên quan.

11. Chiến lược, kế hoạch đầu tư và dự trữ quốc gia bảo đảm quốc phòng, an ninh; đấu thầu phục vụ bảo vệ an ninh quốc gia.

12. Dữ liệu về phương án, kế hoạch thu, đổi, phát hành tiền; thiết kế mẫu, chế tạo bản in, khuôn đúc, công nghệ in, đúc tiền và giấy tờ có giá; số lượng, nơi lưu giữ kim loại quý hiếm, đá quý và vật quý hiếm khác của Nhà nước.

13. Dữ liệu về quá trình xây dựng quy hoạch cấp quốc gia, quy hoạch vùng, quy hoạch tỉnh, quy hoạch đơn vị hành chính - kinh tế đặc biệt, quy hoạch đô thị, quy hoạch nông thôn; dữ liệu về quy hoạch hệ thống kho dự trữ quốc gia, quy hoạch hệ thống các công trình quốc phòng, khu quân sự, kho đạn dược, công nghiệp quốc phòng, an ninh.

14. Dữ liệu về tài nguyên và môi trường bao gồm tài nguyên nước, môi trường, địa chất, khoáng sản, khí tượng thủy văn, đất đai, biển, hải đảo, đo đạc và bản đồ.

15. Dữ liệu về khoa học và công nghệ gồm sáng chế, công nghệ mới phục vụ quốc phòng, an ninh hoặc có ý nghĩa đặc biệt quan trọng đối với phát triển kinh tế - xã hội; Dữ liệu về năng lượng nguyên tử, an toàn bức xạ và hạt nhân liên quan đến quốc phòng, an ninh; nhiệm vụ khoa học và công nghệ đặc biệt, nhiệm vụ khoa học và công nghệ cấp quốc gia liên quan đến quốc phòng, an ninh.

16. Chủng, giống vi sinh vật mới phát hiện liên quan đến sức khỏe, tính mạng con người; mẫu vật, nguồn gen, vùng nuôi trồng dược liệu quý hiếm.

17. Quy trình sản xuất dược liệu, thuốc sinh học quý hiếm.

18. Dữ liệu, tài liệu, số liệu điều tra về dân số.

19. Dữ liệu về thanh tra, kiểm tra, giám sát, xử lý vi phạm, giải quyết khiếu nại, tố cáo và phòng, chống tham nhũng.

Công khai dữ liệu

1. Theo dự thảo Nghị định, các dữ liệu không được phép công khai gồm:

- Dữ liệu cá nhân mà không được chủ thể dữ liệu đồng ý;

- Dữ liệu là bí mật nhà nước; dữ liệu tác động đến quốc phòng, an ninh;

- Dữ liệu nếu công khai sẽ gây nguy hại đến lợi ích của Đảng, Nhà nước, lợi ích quốc gia, quan hệ đối ngoại; đạo đức xã hội, sức khỏe của cộng đồng; gây nguy hại đến tính mạng, sức khỏe, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

2. Dữ liệu được công khai có điều kiện gồm:

- Dữ liệu liên quan đến bí mật kinh doanh được công khai trong trường hợp chủ sở hữu bí mật kinh doanh đó đồng ý theo quy định pháp luật;

- Dữ liệu liên quan đến bí mật đời sống riêng tư, bí mật cá nhân được công khai trong trường hợp được người đó đồng ý; dữ liệu liên quan đến bí mật gia đình được công khai trong trường hợp được các thành viên gia đình đồng ý;

- Trong quá trình thực hiện chức năng, nhiệm vụ, quyền hạn của mình, người đứng đầu cơ quan nhà nước, tổ chức chính trị - xã hội quyết định việc công khai dữ liệu mà không cần có sự đồng ý theo quy định tại điểm a và điểm b Khoản này trong trường hợp vì lợi ích công cộng, sức khỏe của cộng đồng và các trường hợp khác theo quy định của pháp luật.

3. Việc công khai dữ liệu mở được thực hiện ngay sau khi dữ liệu được phân loại là dữ liệu mở. Chủ sở hữu dữ liệu, chủ quản cơ sở dữ liệu thực hiện công khai dữ liệu mở dưới hình thức:

- Cổng dữ liệu mở của Trung tâm dữ liệu quốc gia;

- Các cổng dữ liệu mở của bộ, ngành, địa phương và các hệ thống, nền tảng khác.

- Bộ Công an tổng hợp, công bố, công khai danh mục dữ liệu mở do cơ quan nhà nước quản lý.

Mã hóa, giải mã dữ liệu

1. Cơ quan, tổ chức, cá nhân được sử dụng một hoặc nhiều giải pháp mã hóa và quy trình mã hóa, giải mã phù hợp với hoạt động quản trị, quản lý dữ liệu của mình gồm:

- Giải pháp mã hóa dữ liệu khi truyền tải dữ liệu;

-  Giải pháp mã hóa dữ liệu khi lưu trữ dữ liệu;

- Giải pháp mã hóa dữ liệu trên thiết bị số;

- Giải pháp bảo mật phần cứng nhằm phòng chống truy cập trái phép và bảo đảm rằng các thao tác mã hóa/giải mã chỉ được thực hiện trong môi trường an toàn;

- Quy trình giải mã yêu cầu xác thực định danh người thực hiện giải mã dữ liệu, xác định và cấp quyền truy cập dữ liệu đã được mã hóa;

- Giải pháp ghi lại các hoạt động mã hóa và giải mã nhằm bảo đảm tính hợp pháp, minh bạch, công bằng và phục vụ tra cứu;

- Các giải pháp, quy trình khác theo quy định của pháp luật.

2. Bộ trưởng Bộ Công an, Giám đốc Công an tỉnh, thành phố trực thuộc trung ương trong phạm vi quản lý quyết định việc áp dụng các biện pháp để giải mã dữ liệu mà không cần chủ sở hữu dữ liệu, chủ quản dữ liệu đồng ý, trừ trường hợp thuộc lĩnh vực quân sự, quốc phòng.

3. Bộ trưởng Bộ Quốc phòng, Chỉ huy trưởng Bộ Chỉ huy quân sự tỉnh, thành phố trực thuộc Trung ương trong phạm vi quản lý quyết định việc áp dụng các biện pháp để giải mã dữ liệu mà không cần chủ sở hữu dữ liệu, chủ quản dữ liệu đồng ý, trừ trường hợp quy định tại khoản 2 Điều này.

Bảo vệ dữ liệu

Dự thảo Nghị định đã quy định công tác bảo vệ dữ liệu tại Điều 16, cụ thể:

Liên quan đến các quy định về bảo vệ dữ liệu, dự thảo Nghị định quy định, cơ quan, tổ chức, cá nhân phải tuân thủ quy định pháp luật về dữ liệu, pháp luật về giao dịch điện tử, pháp luật về an toàn thông tin mạng, pháp luật về an ninh mạng và quy định khác của pháp luật có liên quan khi xử lý dữ liệu.  Dữ liệu là bí mật nhà nước phải tuân thủ quy định pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu.Việc bảo vệ dữ liệu cá nhân tuân thủ theo quy định pháp luật về bảo vệ dữ liệu cá nhân.

Việc bảo vệ dữ liệu phải tuân thủ các chính sách chung về an ninh quốc phòng. Các cơ quan nhà nước phải thực hiện nhiệm vụ quản lý, bảo vệ dữ liệu trong ngành, lĩnh vực do mình quản lý; thiết lập hệ thống bảo vệ dữ liệu thống nhất, có hiệu quả cao và có thẩm quyền để đánh giá rủi ro an ninh dữ liệu, báo cáo, chia sẻ thông tin, giám sát và cảnh báo sớm. Nhà nước bảo hộ quyền, lợi ích của cá nhân, tổ chức về dữ liệu; khuyến khích sử dụng dữ liệu hợp pháp, hợp lý, hiệu quả; bảo đảm dữ liệu được lưu thông tự do, hợp pháp, có trật tự; thúc đẩy phát triển nền kinh tế số lấy dữ liệu làm yếu tố then chốt. Khuyến khích các chủ quản dữ liệu khác xây dựng các quy định riêng về bảo vệ dữ liệu do mình quản lý.

Các biện pháp bảo vệ dữ liệu bao gồm:

- Biện pháp quản lý có liên quan tới xử lý dữ liệu: Xây dựng chính sách, quy chế đánh giá an ninh dữ liệu, bảo đảm an toàn thông tin, bảo mật dữ liệu, ứng phó sự cố, bảo đảm tuân thủ các quy định bảo vệ dữ liệu và các biện pháp quản lý khác theo quy định của pháp luật;

- Biện pháp kỹ thuật có liên quan tới xử lý dữ liệu: Bảo đảm an ninh vật lý, kiểm soát truy cập, kiểm tra an ninh mạng và các biện pháp kỹ thuật khác theo quy định pháp luật;

- Biện pháp quản lý nhân lực bảo vệ dữ liệu: Quy chế quản lý con người, đào tạo nhân lực bảo vệ dữ liệu;

- Biện pháp bảo vệ dữ liệu do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định pháp luật;

- Các biện pháp bảo vệ dữ liệu khác theo quy định pháp luật.

Điều khoản thi hành

Nghị định quy định rõ trách nhiệm thi hành của Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Quốc phòng, Bộ Khoa học và Công nghệ, Bộ Nội vụ, Văn phòng Chính phủ và Ban Cơ yếu Chính phủ. Trong đó:

Trách nhiệm của Bộ Quốc phòng

- Chịu trách nhiệm trước Chính phủ trong thực hiện công tác quản lý nhà nước đối với các dữ liệu thuộc phạm vi quản lý.

- Phối hợp với Bộ Công an, các cơ quan, tổ chức bố trí lực lượng, phương tiện thích hợp để phát hiện, ngăn chặn từ xa mọi hành vi xâm phạm Trung tâm dữ liệu quốc gia cả về địa lý và trên không gian mạng.

- Chủ trì quản lý hoạt động lưu trữ, bảo vệ dữ liệu, bảo đảm an ninh dữ liệu; quản lý, theo dõi, giám sát, tổ chức thực hiện kết nối, chia sẻ, điều phối dữ liệu giữa hệ thống thông tin, cơ sở dữ liệu; ứng dụng khoa học trong xử lý, quản lý, khai thác, sử dụng dữ liệu; quản lý, cấp phép chuyển dữ liệu ra nước ngoài; sử dụng quỹ phát triển dữ liệu quốc gia đối với các dữ liệu thuộc phạm vi quản lý của Bộ Quốc phòng.

Trách nhiệm của Ban Cơ yếu Chính phủ

- Chủ trì phối hợp với các đơn vị có liên quan triển khai các sản phẩm mã hóa, giải mã dữ liệu.

- Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện nhiệm vụ quản lý nhà nước đối với dữ liệu về cơ yếu.

- Phối hợp với Bộ Công an, Bộ Thông tin và Truyền thông triển khai các giải pháp bảo đảm an toàn, xác thực và bảo mật thông tin dùng mật mã; triển khai dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ cho các hệ thống thông tin và cơ sở dữ liệu của cơ quan Đảng, Nhà nước, tổ chức chính trị - xã hội.

Tạp chí An toàn thông tin giới thiệu toàn Toàn văn dự thảo Nghị định được đăng trên Cổng Thông tin điện tử Bộ Công an để lấy ý kiến của nhân dân trong thời gian 60 ngày kể từ ngày 17/1/2025 (quý độc giả quan tâm truy cập tại đây) đề nghị các cơ quan, tổ chức, cá nhân trong và ngoài nước nghiên cứu, đóng góp ý kiến.