Đề xuất xây dựng Luật An ninh dữ liệu nhằm xác lập chủ quyền số quốc gia
Tại dự án Luật An ninh dữ liệu, Bộ Công an đề xuất phân loại 4 cấp độ dữ liệu gồm dữ liệu “cốt lõi”, “quan trọng”, “nội bộ”, “thông thường”. Đây là căn cứ tiêu chuẩn để các luật chuyên ngành như tài chính, y tế, ngân hàng soi chiếu và ban hành dữ liệu đặc thù...

Việc xây dựng dự án luật nhằm xác lập chủ quyền số quốc gia; hoàn thiện hành lang pháp lý an ninh phi truyền thống. Ảnh: VGP.
Ngày 16/7, Bộ Tư pháp đăng tải hồ sơ thẩm định dự án Luật An ninh dữ liệu. Cơ quan chủ trì soạn thảo dự án luật là Bộ Công an.
Theo dự thảo tờ trình, việc xây dựng dự án luật nhằm xác lập chủ quyền số quốc gia; hoàn thiện hành lang pháp lý an ninh phi truyền thống; tạo môi trường số tin cậy, bảo vệ dữ liệu cá nhân của công dân và bí mật kinh doanh của doanh nghiệp trước các nguy cơ tấn công mạng, tống tiền và lộ lọt thông tin.
Đồng thời thúc đẩy kinh tế số tự chủ chiến lược, tự cường công nghệ; chuyển từ tư duy quản lý hành chính sang quản trị kỹ thuật số để tạo điều kiện cho dòng chảy dữ liệu an toàn…
Bộ Công an tập trung vào 5 nhóm chính sách lớn. Đáng chú ý, chính sách 1, cơ quan chủ trì soạn thảo đề xuất quản trị dựa trên rủi ro và phân lớp bảo vệ hướng đến xây dựng “hệ sinh thái tự chủ, tự lực, tự cường”.
Theo đó, chính sách này nhằm tạo cơ sở để cấu trúc lại hành lang pháp lý về không gian mạng; luật hóa khái niệm “chủ quyền dữ liệu”, tạo cơ sở pháp lý để Nhà nước thực thi quyền tài phán đối với dữ liệu phát sinh tại Việt Nam…
Dự thảo phân loại 4 cấp độ dữ liệu gồm dữ liệu “cốt lõi”, “quan trọng”, “nội bộ”, “thông thường”. Đây là căn cứ tiêu chuẩn để các luật chuyên ngành như tài chính, y tế, ngân hàng soi chiếu và ban hành dữ liệu đặc thù.
Góp ý dự thảo luật, Tòa án nhân dân tối cao cho rằng việc phân loại và nâng cấp hạ tầng sẽ tạo ra gánh nặng chi phí tuân thủ cho doanh nghiệp vừa và nhỏ. Vì vậy, cần có lộ trình áp dụng phù hợp cho nhóm đối tượng này.
Ngoài ra, chính sách này tạo hành lang pháp rõ ràng để đàm phán các hiệp định tương trợ tư pháp và thương mại quốc tế (CPTPP, EVFTA), xác định rõ các ngoại lệ về an ninh quốc gia.
Đối với tác động kinh tế, việc phân loại rõ ràng cũng giúp xác định danh mục dữ liệu được phép giao dịch, thúc đẩy thị trường kinh doanh dữ liệu; tiết kiệm chi phí bảo vệ cho xã hội bằng cách tập trung nguồn lực vào dữ liệu có mức độ rủi ro cao. Tuy nhiên, các doanh nghiệp, tổ chức phát sinh chi phí ban đầu để rà soát, phân loại và nâng cấp hạ tầng lưu trữ theo từng cấp độ.
Báo cáo của Bộ Công an cho thấy thực tiễn hiện nay các quy định chủ yếu dừng ở việc bảo vệ hạ tầng kỹ thuật (vỏ hệ thống), trong khi nội dung dữ liệu bên trong (lõi dữ liệu) chưa được bảo vệ xuyên suốt vòng đời. Minh chứng là vụ rò rỉ 30 triệu hồ sơ ngành giáo dục năm 2022 và các đợt lộ, lọt dữ liệu ngành y tế năm 2024.
Thực trạng này còn thể hiện ở chỗ mặc dù mô hình bảo vệ 4 lớp được triển khai rộng rãi nhưng khả năng tự chủ về công nghệ lõi vẫn là hạn chế lớn. “Khoảng 80% dữ liệu điện toán đám mây của các doanh nghiệp nội địa vẫn đang được lưu trữ trên nền tảng xuyên biên giới của các tập đoàn đa quốc gia như AWS, Google Cloud hay Azure”, báo cáo nhấn mạnh.
Theo Bộ Công an, điều này dẫn đến hệ lụy trực tiếp về quyền tài phán là việc thực thi các quy trình kiểm soát luồng dữ liệu xuyên biên giới gặp nhiều trở ngại pháp lý. Đặc biệt, sự cố tại 2 doanh nghiệp lớn vào năm 2024 cho thấy các biện pháp kỹ thuật hiện tại thiếu tính dự phòng chiến lược, chưa đủ năng lực đối phó với sự tinh vi của tội phạm mạng sử dụng trí tuệ nhân tạo để dò quyét lỗ hổng hệ thống.
Bên cạnh đó, tổng kết các vụ án xâm phạm an ninh dữ liệu 2 năm qua cho thấy “có tới 60-70% vụ lộ lọt dữ liệu bắt nguồn từ sai phạm nội bộ hoặc sự thiếu trách nhiệm của cán bộ quản trị hệ thống”.
Số liệu cũng cho chỉ ra rằng trong năm 2025, các hệ thống thông tin dữ liệu của Việt Nam đối mặt khoảng 552.000 cuộc tấn công mạng.
Có 5.230 cơ quan, doanh nghiệp từng ghi nhận chịu sự tổn hại do tấn công mạng. Có 34,13% người dùng từng gặp sự cố mã độc với 62.952 loại mã độc mới trên điện thoại di động. Ngoài ra, khoảng 47,72% cơ quan doanh nghiệp thiếu hụt nhân sự an ninh mạng.
