Đăng tin Nạp tiền
Góp ý - Báo lỗi
Báo lỗi nội dung bài viết
Hủy
Báo cáo lỗi
Báo lỗi thành công

Cám ơn bạn đã gửi báo lỗi nội dung, chúng tôi sẽ kiểm tra và chỉnh sửa trong thời gian sớm nhất

Đóng

Xin chào bạn

Đăng nhập để tiếp tục

...hiểu pháp lý, rõ quy hoạch, giao dịch nhanh...

ThuVienNhaDat.vn cam kết bảo mật thông tin người dùng
Logo
Đăng ký / Đăng nhập để tiếp tục
Luật Đất đai 2024

Nghị định 165/2025/NĐ-CP hướng dẫn Luật Dữ liệu

Số hiệu 165/2025/NĐ-CP
Cơ quan ban hành Chính phủ
Ngày ban hành 30/06/2025
Ngày công báo Đã biết
Lĩnh vực Công nghệ thông tin
Loại văn bản Nghị định
Người ký Nguyễn Chí Dũng
Ngày có hiệu lực Đã biết
Số công báo Đã biết
Tình trạng Đã biết

CHÍNH PHỦ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 165/2025/NĐ-CP

Hà Nội, ngày 30 tháng 6 năm 2025

 

NGHỊ ĐỊNH

QUY ĐỊNH CHI TIẾT MỘT SỐ ĐIỀU VÀ BIỆN PHÁP THI HÀNH LUẬT DỮ LIỆU

Căn cứ Luật Tổ chức Chính phủ ngày 18 tháng 02 năm 2025;

Căn cứ Luật Dữ liệu ngày 30 tháng 11 năm 2024;

Theo đề nghị của Bộ trưởng Bộ Công an;

Chính phủ ban hành Nghị định quy định chi tiết và biện pháp thi hành Luật Dữ liệu.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Nghị định này quy định chi tiết khoản 3 Điều 13, khoản 5 Điều 14, khoản 5 Điều 15, khoản 3 Điều 16, khoản 4 Điều 17, khoản 4 Điều 18, khoản 3 Điều 20, khoản 5 Điều 21, khoản 5 Điều 22, khoản 4 Điều 23, khoản 5 Điều 25, khoản 4 Điều 26, khoản 4 Điều 27, khoản 3 Điều 30, khoản 8 Điều 31, khoản 5 Điều 35, khoản 4 Điều 36, khoản 3 Điều 37 của Luật Dữ liệu và việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu; việc bảo đảm nguồn lực cho hoạt động của Trung tâm dữ liệu quốc gia; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan đến hoạt động về dữ liệu.

Điều 2. Đối tượng áp dụng

1. Cơ quan, tổ chức, cá nhân Việt Nam.

2. Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam.

3. Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động dữ liệu số tại Việt Nam.

Chương II

CÁC HOẠT ĐỘNG XỬ LÝ DỮ LIỆU

Điều 3. Tiêu chí xác định dữ liệu quan trọng

Việc xác định dữ liệu quan trọng căn cứ theo mức độ có thể tác động của dữ liệu đến quốc phòng, an ninh, cơ yếu, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng khi bị thu thập, sử dụng trái phép (không bao gồm bí mật nhà nước), bao gồm:

1. Dữ liệu có thể gây tác động nguy hiểm đến an ninh quốc gia, độc lập, chủ quyền, thống nhất và toàn vẹn lãnh thổ của Tổ quốc, bảo vệ Đảng, Nhà nước, khối đại đoàn kết toàn dân tộc; bảo vệ an ninh chính trị, an ninh trong các lĩnh vực tư tưởng - văn hóa, kinh tế, quốc phòng, đối ngoại, thông tin, xã hội, tài nguyên, môi trường, nông nghiệp, sinh học, y tế, lao động, xây dựng, giáo dục, đào tạo, khoa học và công nghệ.

2. Dữ liệu có thể gây tác động nguy hiểm đến kế hoạch phát triển quan hệ đối ngoại, ảnh hưởng lợi ích quốc gia và an ninh hợp tác quốc tế, dự án đầu tư của Việt Nam ở nước ngoài, an ninh năng lượng, hàng hải.

3. Dữ liệu có thể gây tác động nguy hiểm đến phát triển, vận hành kinh tế vĩ mô, ngành kinh tế quan trọng của quốc gia, tổng cung, tổng cầu của xã hội, tổng giá trị kinh tế quốc gia, tỷ lệ thất nghiệp, lĩnh vực tiền tệ, thương mại, xuất, nhập khẩu, cung ứng hàng hóa, sản phẩm, dịch vụ thiết yếu.

4. Dữ liệu có thể gây tác động nguy hiểm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; công tác phòng chống dịch bệnh, phòng ngừa, theo dõi và điều trị các bệnh truyền nhiễm, bệnh nghề nghiệp, an toàn vệ sinh thực phẩm; cung ứng lao động, cung cấp các dịch vụ công.

Điều 4. Tiêu chí xác định dữ liệu cốt lõi

Việc xác định dữ liệu cốt lõi căn cứ vào tác động trực tiếp của dữ liệu gây nguy hiểm đến quốc phòng, an ninh, cơ yếu, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng khi bị thu thập, sử dụng trái phép (không bao gồm bí mật nhà nước), bao gồm:

1. Dữ liệu trực tiếp gây tác động nguy hiểm đến an ninh quốc gia, độc lập, chủ quyền, thống nhất và toàn vẹn lãnh thổ của Tổ quốc, bảo vệ Đảng, Nhà nước, khối đại đoàn kết toàn dân tộc; bảo vệ an ninh chính trị, an ninh trong các lĩnh vực tư tưởng - văn hóa, kinh tế, quốc phòng, đối ngoại, thông tin, xã hội, tài nguyên, môi trường, nông nghiệp, sinh học, y tế, lao động, xây dựng, giáo dục, đào tạo, khoa học và công nghệ.

2. Dữ liệu trực tiếp gây tác động nguy hiểm đến kế hoạch phát triển quan hệ đối ngoại, ảnh hưởng lợi ích quốc gia và an ninh hợp tác quốc tế, dự án đầu tư của Việt Nam ở nước ngoài, an ninh năng lượng, hàng hải.

3. Dữ liệu trực tiếp gây tác động nguy hiểm đến phát triển, vận hành kinh tế vĩ mô, ngành kinh tế quan trọng của quốc gia, tổng cung, tổng cầu của xã hội, tổng giá trị kinh tế quốc gia, tỷ lệ thất nghiệp, lĩnh vực tiền tệ, thương mại, xuất, nhập khẩu, cung ứng hàng hóa, sản phẩm, dịch vụ thiết yếu.

4. Dữ liệu trực tiếp gây tác động nguy hiểm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; công tác phòng chống dịch bệnh, phòng ngừa, theo dõi và điều trị các bệnh truyền nhiễm, bệnh nghề nghiệp, an toàn vệ sinh thực phẩm; cung ứng lao động, cung cấp các dịch vụ công.

Điều 5. Hoạt động lưu trữ dữ liệu

1. Chủ sở hữu dữ liệu quy định thời hạn lưu trữ cụ thể đối với dữ liệu do mình thu thập, tạo lập.

2. Cơ quan nhà nước phải ban hành quy trình kỹ thuật về lưu trữ dữ liệu do mình quản lý, bảo đảm lưu trữ dữ liệu an toàn.

3. Trung tâm dữ liệu quốc gia thiết lập các dịch vụ lưu trữ dữ liệu phục vụ nhu cầu của chủ sở hữu dữ liệu, chủ quản dữ liệu. Chủ sở hữu dữ liệu, chủ quản dữ liệu phối hợp với Trung tâm dữ liệu quốc gia xây dựng kế hoạch, lộ trình thực hiện theo dịch vụ lưu trữ dữ liệu cụ thể.

Điều 6. Truy cập, truy xuất dữ liệu

1. Truy cập dữ liệu là hoạt động tiếp cận, tác động tới dữ liệu theo đúng quyền được giao, bao gồm truy cập đọc, truy cập ghi, truy cập sửa, truy cập xóa, truy cập thực thi và các loại truy cập khác do chủ sở hữu dữ liệu, chủ quản dữ liệu quy định.

2. Truy xuất dữ liệu là hoạt động truy cập và trích xuất dữ liệu, bao gồm truy xuất thủ công, truy xuất tự động, truy xuất theo thời gian thực và các loại truy xuất khác do chủ sở hữu dữ liệu, chủ quản dữ liệu quy định.

3. Nguyên tắc thực hiện truy cập, truy xuất dữ liệu:

a) Bảo đảm hợp pháp, tuân thủ quy trình truy cập, truy xuất dữ liệu;

b) Chỉ truy cập, truy xuất dữ liệu trong phạm vi quyền được giao và cần thiết cho mục đích được xác định.

4. Cơ quan nhà nước phải ban hành quy trình kỹ thuật về truy cập, truy xuất dữ liệu đối với dữ liệu thuộc phạm vi quản lý, gồm các nội dung chính sau:

a) Quản lý thông tin đăng ký sử dụng;

b) Quản lý phân quyền truy cập, truy xuất dữ liệu;

c) Quản lý lịch sử truy cập, truy xuất dữ liệu;

d) Quản lý công cụ truy cập, truy xuất dữ liệu.

Điều 7. Hỗ trợ chủ sở hữu dữ liệu thực hiện kết nối, chia sẻ dữ liệu cho cơ quan nhà nước

Cơ quan nhà nước thực hiện các biện pháp hỗ trợ chủ sở hữu dữ liệu kết nối, chia sẻ dữ liệu cho cơ quan nhà nước gồm:

1. Xây dựng hệ thống thông tin bảo đảm việc kết nối, chia sẻ dữ liệu; bảo vệ, sử dụng dữ liệu đã được chủ sở hữu dữ liệu chia sẻ theo đúng mục đích đã được xác định.

2. Xây dựng các quy trình, ứng dụng, phần mềm để chủ sở hữu dữ liệu thực hiện các quyền của mình đối với dữ liệu đã cung cấp cho cơ quan nhà nước theo quy định của pháp luật.

3. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương quyết định việc hỗ trợ cho chủ sở hữu dữ liệu, bao gồm:

a) Hỗ trợ đường truyền kết nối; hỗ trợ các công cụ để bảo đảm đáp ứng tiêu chuẩn kỹ thuật kết nối, chia sẻ; hỗ trợ hạ tầng, an ninh an toàn bảo mật;

b) Hỗ trợ kinh phí bảo đảm kết nối, chia sẻ; hỗ trợ bù đắp chi phí tạo lập, thu thập dữ liệu theo định mức của cơ quan nhà nước;

c) Hỗ trợ nhân lực thực hiện kết nối, chia sẻ dữ liệu; hỗ trợ đào tạo, tập huấn nguồn nhân lực phục vụ kết nối, chia sẻ dữ liệu;

d) Các hình thức hỗ trợ khác.

Điều 8. Cung cấp dữ liệu cho cơ quan nhà nước

1. Khuyến khích cá nhân, tổ chức chia sẻ, cung cấp dữ liệu của mình cho cơ quan nhà nước cho các mục tiêu vì lợi ích chung như chăm sóc sức khỏe, biến đổi khí hậu, cải thiện giao thông, tạo điều kiện cho việc tổng hợp và phổ biến số liệu thống kê chính thức, cải thiện việc cung cấp dịch vụ công, hoạch định chính sách công hoặc mục đích nghiên cứu khoa học.

Tổ chức, cá nhân chia sẻ, cung cấp dữ liệu một cách tự nguyện trên cơ sở có sự đồng ý của chủ thể dữ liệu để xử lý dữ liệu cá nhân liên quan đến họ hoặc sự cho phép của chủ sở hữu dữ liệu để cho phép sử dụng dữ liệu phi cá nhân của họ.

2. Cơ quan nhà nước yêu cầu tổ chức, cá nhân cung cấp dữ liệu theo quy định tại khoản 2 Điều 18 Luật Dữ liệu như sau:

a) Có văn bản yêu cầu hoặc hình thức khác bảo đảm có xác nhận về việc yêu cầu cung cấp dữ liệu trong đó chỉ rõ loại dữ liệu, mức độ chi tiết, khối lượng dữ liệu, tần suất truy cập dữ liệu, phương thức cung cấp dữ liệu, cơ sở pháp lý, căn cứ, lý do của yêu cầu, mục đích sử dụng dữ liệu, thời hạn sử dụng và thời hạn cần cung cấp dữ liệu, các hoạt động xử lý dữ liệu dự kiến sẽ thực hiện;

b) Thông báo cho tổ chức, cá nhân được yêu cầu cung cấp dữ liệu về các chế tài sẽ được áp dụng trong trường hợp không thực hiện yêu cầu.

3. Bàn giao, tiếp nhận dữ liệu được yêu cầu

a) Việc bàn giao, tiếp nhận dữ liệu được thực hiện theo đúng đối tượng, thời gian, loại dữ liệu, mức độ chi tiết, khối lượng dữ liệu, tần suất truy cập dữ liệu, phương thức cung cấp dữ liệu được yêu cầu cung cấp;

b) Thành phần tham gia bàn giao, tiếp nhận dữ liệu gồm có Chủ sở hữu dữ liệu, người đại diện hợp pháp hoặc người đang quản lý, sử dụng hợp pháp dữ liệu; cá nhân, đại diện tổ chức được giao quản lý, sử dụng dữ liệu;

c) Việc bàn giao, tiếp nhận dữ liệu phải được lập thành biên bản;

d) Bên yêu cầu cung cấp dữ liệu có quyền yêu cầu bên cung cấp dữ liệu bổ sung dữ liệu trong trường hợp dữ liệu bàn giao không đúng với phạm vi dữ liệu được yêu cầu cung cấp.

4.Hủy bỏ yêu cầu cung cấp dữ liệu

a) Yêu cầu cung cấp dữ liệu bị hủy bỏ trong các trường hợp yêu cầu cung cấp dữ liệu trái với quy định của Luật Dữ liệu và các luật khác có liên quan; yêu cầu cung cấp dữ liệu chưa được thực hiện nhưng điều kiện cung cấp dữ liệu quy định tại khoản 1 Điều 18 Luật Dữ liệu không còn; yêu cầu cung cấp dữ liệu chưa được thực hiện nhưng vì lý do khách quan mà dữ liệu không còn tồn tại;

b) Việc hủy bỏ yêu cầu cung cấp dữ liệu phải được thể hiện bằng văn bản.

5. Yêu cầu sửa đổi, rút lại yêu cầu cung cấp dữ liệu

a) Trước thời hạn chỉ định cần cung cấp dữ liệu, chủ sở hữu dữ liệu, người đại diện hợp pháp hoặc người đang quản lý, sử dụng hợp pháp dữ liệu có thể yêu cầu cơ quan có thẩm quyền sửa đổi, rút lại yêu cầu cung cấp dữ liệu;

b) Chủ sở hữu dữ liệu, chủ quản dữ liệu có thể yêu cầu sửa đổi, rút lại yêu cầu cung cấp dữ liệu trong các trường hợp yêu cầu cung cấp dữ liệu trái với quy định của Luật Dữ liệu và các luật khác có liên quan; phạm vi dữ liệu quản lý của chủ sở hữu dữ liệu, chủ quản dữ liệu không nằm trong yêu cầu cung cấp dữ liệu; vì lý do khách quan mà dữ liệu không còn tồn tại.

6. Thẩm quyền yêu cầu cung cấp dữ liệu

Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Chủ tịch Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương, Giám đốc Trung tâm dữ liệu quốc gia, Giám đốc Công an tỉnh, thành phố trực thuộc trung ương có thẩm quyền yêu cầu cung cấp dữ liệu trong phạm vi nhiệm vụ, quyền hạn của mình.

Điều 9. Xác nhận, xác thực dữ liệu

1. Xác nhận dữ liệu được thực hiện như sau:

a) Dữ liệu được thu thập, cập nhật vào cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành, cơ sở dữ liệu khác được xác nhận bởi chủ sở hữu dữ liệu, chủ quản dữ liệu;

b) Việc xác nhận dữ liệu giữa các cơ quan nhà nước, tổ chức chính trị - xã hội thực hiện thông qua quy chế phối hợp và phương thức kết nối, chia sẻ, cung cấp dữ liệu;

c) Ngoài trường hợp quy định tại điểm a và điểm b khoản này, việc xác nhận dữ liệu được thực hiện theo thỏa thuận giữa người dùng dữ liệu với chủ quản dữ liệu, chủ sở hữu dữ liệu hoặc tổ chức khác theo quy định của pháp luật;

d) Chủ sở hữu dữ liệu, chủ quản dữ liệu chịu trách nhiệm về chất lượng dữ liệu, mức độ tin cậy, hợp pháp của dữ liệu do mình cung cấp, xác nhận; xây dựng quy trình, hình thức và tổ chức hoạt động xác nhận dữ liệu.

2. Chủ sở hữu dữ liệu, chủ quản dữ liệu có trách nhiệm tự xây dựng quy trình, hình thức và tổ chức hoạt động xác thực dữ liệu trong phạm vi mình sở hữu, quản lý.

3. Phạm vi và thời gian của việc xác thực dữ liệu do chủ sở hữu dữ liệu quyết định.

4. Việc xác nhận, xác thực dữ liệu thực hiện theo quy định của pháp luật về xác thực điện tử và quy định của pháp luật có liên quan.

Điều 10. Công khai dữ liệu

1. Việc công khai dữ liệu mở được thực hiện ngay sau khi dữ liệu được phân loại là dữ liệu mở. Chủ sở hữu dữ liệu, chủ quản dữ liệu thực hiện công khai dữ liệu mở dưới hình thức:

a) Cổng dữ liệu quốc gia;

b) Các cổng dữ liệu mở, cổng thông tin điện tử của bộ, ngành, địa phương và các hệ thống, nền tảng khác;

c) Các hệ thống trung gian phục vụ kết nối, chia sẻ dữ liệu hoặc các hình thức khác theo quy định của pháp luật.

2. Cơ quan nhà nước có trách nhiệm công bố danh mục dữ liệu mở và tổ chức công khai dữ liệu mở do mình quản lý và gửi Bộ Công an tổng hợp, đăng tải trên Cổng dữ liệu quốc gia.

3. Dữ liệu của cơ quan nhà nước không thuộc diện bị cấm công khai do liên quan đến an ninh quốc gia, quyền riêng tư, bí mật thương mại hoặc các lý do khác theo quy định của pháp luật phải được công khai như dữ liệu mở.

4. Cơ quan nhà nước xây dựng, triển khai quyết định công bố dữ liệu mở, trong đó xác định danh mục dữ liệu mở công bố, cơ chế thu thập, phân tích thông tin phản hồi của cá nhân, tổ chức về việc sử dụng dữ liệu mở; đánh giá chất lượng, tính khả dụng, việc tuân thủ các quy định pháp luật liên quan đến dữ liệu mở.

Điều 11. Mã hóa, giải mã dữ liệu

1. Cơ quan, tổ chức, cá nhân được sử dụng một hoặc nhiều giải pháp mã hóa và quy trình mã hóa, giải mã phù hợp với hoạt động quản trị, quản lý dữ liệu của mình gồm:

a) Giải pháp mã hóa dữ liệu khi truyền tải dữ liệu;

b) Giải pháp mã hóa dữ liệu khi lưu trữ dữ liệu;

c) Giải pháp mã hóa dữ liệu trên thiết bị số;

d) Giải pháp bảo mật phần cứng nhằm phòng chống truy cập trái phép và bảo đảm rằng các thao tác mã hóa/giải mã chỉ được thực hiện trong môi trường an toàn;

đ) Quy trình giải mã yêu cầu xác thực định danh người thực hiện giải mã dữ liệu, xác định và cấp quyền truy cập dữ liệu đã được mã hóa;

e) Giải pháp ghi lại các hoạt động mã hóa và giải mã nhằm, bảo đảm tính hợp pháp, minh bạch, công bằng và phục vụ tra cứu;

g) Các giải pháp, quy trình khác theo quy định của pháp luật.

2. Bộ trưởng Bộ Công an quyết định hoặc phân cấp việc quyết định áp dụng các biện pháp để giải mã dữ liệu đối với các trường hợp quy định tại khoản 4 Điều 22 Luật Dữ liệu mà không cần chủ sở hữu dữ liệu, chủ quản dữ liệu đồng ý, trừ trường hợp thuộc lĩnh vực quân sự, quốc phòng.

3. Bộ trưởng Bộ Quốc phòng quyết định hoặc phân cấp việc quyết định áp dụng các biện pháp để giải mã dữ liệu liên quan tới quân sự, quốc phòng đối với các trường hợp quy định tại khoản 4 Điều 22 Luật Dữ liệu mà không cần chủ sở hữu dữ liệu, chủ quản dữ liệu đồng ý.

Điều 12. Chuyển, xử lý dữ liệu xuyên biên giới

1. Chủ sở hữu dữ liệu, chủ quản dữ liệu khi cần chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới thì thực hiện đánh giá tác động theo quy định khoản 2 Điều này.

Đánh giá tác động chuyển dữ liệu cốt lõi, quan trọng ra nước ngoài, cho tổ chức, cá nhân nước ngoài được thực hiện 01 lần cho suốt thời gian hoạt động của tổ chức, doanh nghiệp và được cập nhật, bổ sung theo quy định tại khoản 8 Điều này.

2. Bên chuyển dữ liệu phải đánh giá tác động với các vấn đề sau:

a) Tính hợp pháp, sự cần thiết, phạm vi, phương thức truyền dữ liệu và cách xử lý dữ liệu của bên nhận dữ liệu;

b) Những rủi ro mà việc chuyển dữ liệu có thể gây ra cho quốc phòng, an ninh, hoạt động kinh tế, đối ngoại, ổn định xã hội, lợi ích công cộng hoặc quyền và lợi ích hợp pháp của cá nhân hoặc tổ chức; rủi ro dữ liệu sẽ bị giả mạo, phá hủy, rò rỉ, mất hoặc sử dụng bất hợp pháp;

c) Trách nhiệm và nghĩa vụ, các biện pháp quản lý, kỹ thuật của bên nhận dữ liệu;

d) Các vấn đề khác có liên quan.

3. Văn bản giao kết giữa bên chuyển dữ liệu và bên nhận dữ liệu, phải xác định rõ:

a) Mục đích, phương pháp và phạm vi xuất dữ liệu, mục đích và phương pháp xử lý dữ liệu của bên nhận dữ liệu;

b) Địa điểm và thời gian lưu trữ dữ liệu, các biện pháp xử lý dữ liệu sau khi hết thời hạn lưu trữ, hoàn thành mục tiêu đã thỏa thuận;

c) Yêu cầu ràng buộc đối với bên nhận dữ liệu về việc cung cấp dữ liệu đã được chuyển giao cho bên thứ ba;

d) Các biện pháp bảo vệ dữ liệu mà bên nhận dữ liệu sẽ sử dụng;

đ) Biện pháp khắc phục hậu quả, bồi thường thiệt hại, trách nhiệm xử lý vi phạm hợp đồng, biện pháp giải quyết tranh chấp đối với hành vi phạm nghĩa vụ bảo vệ dữ liệu;

e) Trách nhiệm của các bên trong việc xử lý dữ liệu.

4. Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới gồm Báo cáo đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới (theo Mẫu số 02 ban hành kèm theo Nghị định này) và các văn bản khác có liên quan.

5. Trường hợp dữ liệu chuyển, xử lý ở nước ngoài là dữ liệu cốt lõi:

a) Bên chuyển dữ liệu gửi hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới đến Bộ Công an, trường hợp thuộc lĩnh vực quân sự, quốc phòng, cơ yếu thì gửi hồ sơ về Bộ Quốc phòng;

b) Đơn vị chịu trách nhiệm thuộc Bộ Quốc phòng, Bộ Công an nhận hồ sơ kiểm tra tính đầy đủ, hợp lệ của hồ sơ. Trường hợp hồ sơ chưa đầy đủ thì yêu cầu bên chuyển dữ liệu bổ sung, hoàn thiện hồ sơ;

c) Đơn vị chịu trách nhiệm thuộc Bộ Quốc phòng, Bộ Công an hoàn thành việc đánh giá hồ sơ đánh giá tác động chuyển, xử lý dữ liệu ra nước ngoài trong thời hạn 10 ngày kể từ ngày nhận được hồ sơ đầy đủ, hợp lệ; trường hợp hồ sơ phức tạp, cần xác minh, kiểm tra thì không quá 15 ngày;

d) Bên chuyển dữ liệu phải được thông báo bằng văn bản về kết quả đánh giá. Sau khi nhận được kết quả đánh giá đạt, chủ quản dữ liệu quyết định việc chuyển dữ liệu cốt lõi ra nước ngoài, xử lý dữ liệu xuyên biên giới.

6. Trường hợp cần chuyển, xử lý xuyên biên giới là dữ liệu quan trọng:

Bên chuyển dữ liệu phải lập hồ sơ đánh giá tác động trước khi chuyển, xử lý dữ liệu xuyên biên giới để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an hoặc Bộ Quốc phòng trong trường hợp cần thiết (không cần sự chấp thuận của cơ quan có thẩm quyền trước khi thực hiện).

Bên chuyển dữ liệu gửi 01 bản chính hồ sơ tới Bộ Công an hoặc Bộ Quốc phòng theo mẫu ban hành kèm theo Nghị định này trước 15 ngày khi tiến hành xử lý dữ liệu.

7. Việc đánh giá tác động của cơ quan có thẩm quyền tập trung vào việc đánh giá các rủi ro mà hoạt động chuyển, xử lý dữ liệu xuyên biên giới có thể gây ra cho an ninh quốc gia, lợi ích công cộng hoặc quyền và lợi ích hợp pháp của cá nhân, tổ chức, chủ yếu bao gồm các vấn đề sau:

a) Tính hợp pháp, sự cần thiết của mục đích, phạm vi và phương pháp chuyển dữ liệu, xử lý dữ liệu;

b) Tác động của các chính sách và quy định bảo vệ an toàn dữ liệu và môi trường an ninh mạng của quốc gia hoặc khu vực của bên nhận dữ liệu đối với tính bảo mật của dữ liệu; mức độ bảo vệ dữ liệu của bên nhận dữ liệu so với các tiêu chuẩn, quy chuẩn kỹ thuật Việt Nam áp dụng;

c) Quy mô, phạm vi, loại dữ liệu, nguy cơ bị giả mạo, phá hủy, rò rỉ, mất, chuyển giao hoặc sử dụng bất hợp pháp sau khi chuyển giao;

d) Trách nhiệm và nghĩa vụ của các bên có liên quan;

đ) Các vấn đề khác có tác động tới quốc phòng, an ninh, bảo vệ lợi ích quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của chủ thể dữ liệu, chủ sở hữu dữ liệu theo quy định của pháp luật Việt Nam và các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.

8. Các trường hợp bên chuyển dữ liệu phải thực hiện sửa đổi, bổ sung hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới gồm:

a) Khi có sự thay đổi về mục đích, phương pháp, phạm vi, loại dữ liệu chuyển, xử lý, thay đổi mục đích hoặc phương pháp xử lý dữ liệu của bên nhận dữ liệu, ảnh hưởng đến an ninh an toàn dữ liệu; kéo dài thời gian lưu trữ dữ liệu cốt lõi, dữ liệu quan trọng;

b) Thay đổi chính sách, quy định bảo vệ dữ liệu và môi trường an ninh mạng ở quốc gia hoặc khu vực nơi bên nhận dữ liệu, thay đổi quyền kiểm soát thực tế của bên chuyển dữ liệu hoặc bên nhận dữ liệu và các tác động khác đến tính bảo mật của dữ liệu được chuyển.

9. Bộ Quốc phòng, Bộ Công an quyết định yêu cầu bên chuyển dữ liệu ngừng hoạt động chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng trong trường hợp:

a) Dữ liệu cốt lõi, dữ liệu quan trọng đã được chuyển, xử lý xuyên biên giới được sử dụng vào các hoạt động xâm phạm quốc phòng, an ninh, lợi ích quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của chủ thể dữ liệu, chủ sở hữu dữ liệu theo quy định của pháp luật Việt Nam và các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.

b) Bên chuyển dữ liệu không chấp hành quy định tại Điều này;

c) Có hành vi vi phạm các quy định về bảo vệ dữ liệu.

10. Việc định lượng dữ liệu cốt lõi, dữ liệu quan trọng khi chuyển, xử lý dữ liệu xuyên biên giới được xác định dựa trên kết quả tích lũy lượng dữ liệu đã được chuyển, xử lý dữ liệu xuyên biên giới, mốc thời gian tính từ ngày 01 tháng 7 năm 2025 đến thời điểm chuyển, xử lý dữ liệu.

11. Trường hợp chuyển, xử lý dữ liệu cốt lõi xuyên biên giới không cần sự chấp thuận của cơ quan có thẩm quyền tại khoản 5 Điều này và trường hợp chuyển, xử lý dữ liệu quan trọng không phải thông báo cho cơ quan có thẩm quyền theo quy định tại khoản 6 Điều này gồm:

a) Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân ra nước ngoài để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật;

b) Thực hiện quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật;

c) Trường hợp thực sự cần thiết phải cung cấp dữ liệu nhằm mục đích ký kết hoặc thực hiện hợp đồng, bao gồm trường hợp hợp đồng liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, mở tài khoản ngân hàng và khách sạn, xin thị thực, dịch vụ kiểm tra.

12. Trường hợp chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng theo quy định của khoản 11 Điều này phải gửi đánh giá tác động về Bộ Công an (hoặc Bộ Quốc phòng đối với dữ liệu do Bộ Quốc phòng quản lý) theo quy định tại khoản 4 Điều này sau 15 ngày kể từ ngày tiến hành thực hiện.

Điều 13. Các hoạt động khác trong xử lý dữ liệu

1. Thu hồi, xóa, hủy dữ liệu

a) Thu hồi dữ liệu là việc yêu cầu chuyển giao lại dữ liệu và thực hiện xóa, hủy dữ liệu đã cung cấp hoặc yêu cầu ngừng xử lý, sử dụng dữ liệu trong trường hợp không thể xóa, hủy dữ liệu.

Xóa dữ liệu là hoạt động loại bỏ dữ liệu khỏi cấu trúc, môi trường đang được lưu trữ.

Hủy dữ liệu là hoạt động loại bỏ dữ liệu khỏi cấu trúc, môi trường đang được lưu trữ và bảo đảm loại bỏ khả năng phục hồi bằng phương thức ghi đè hoặc phá hủy vật lý.

b) Việc xóa, hủy dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu và phải thông báo kết quả xử lý thu hồi, xóa, hủy dữ liệu cho chủ sở hữu dữ liệu, trừ trường hợp pháp luật có quy định khác. Trường hợp không thể xóa, hủy dữ liệu, chủ sở hữu dữ liệu, chủ quản dữ liệu phải ngừng xử lý, sử dụng dữ liệu.

2. Điều chỉnh, cập nhật dữ liệu là việc thực hiện bổ sung, sửa một hoặc nhiều bản ghi dữ liệu trong cơ sở dữ liệu, hệ thống thông tin.

Chương III

QUẢN TRỊ, QUẢN LÝ, BẢO VỆ DỮ LIỆU

Điều 14. Quản trị, quản lý dữ liệu

1. Bộ Công an ban hành Khung quản trị, quản lý dữ liệu tổng thể để áp dụng chung cho cơ quan nhà nước có kết nối, chia sẻ dữ liệu với Trung tâm dữ liệu quốc gia.

2. Cơ quan quản lý cơ sở dữ liệu có kết nối, chia sẻ dữ liệu với Trung tâm dữ liệu quốc gia xây dựng Khung quản trị, quản lý dữ liệu chi tiết áp dụng đối với cơ sở dữ liệu do mình quản lý, bảo đảm phù hợp với Khung quản trị, quản lý dữ liệu tổng thể do Bộ Công an ban hành.

3. Cơ quan quản lý cơ sở dữ liệu xây dựng Khung quản trị, quản lý dữ liệu chi tiết bao gồm các nội dung chính sau:

a) Cơ chế quản lý dữ liệu chủ, bảng mã danh mục dùng chung;

b) Cơ chế quản lý hoạt động xử lý dữ liệu; phương án mở rộng, dự phòng lưu trữ dữ liệu;

c) Đánh giá chất lượng dữ liệu; việc áp dụng tiêu chuẩn, quy chuẩn kỹ thuật về chất lượng dữ liệu, kết nối, chia sẻ dữ liệu;

d) Cơ chế quản lý thông tin đặc tả dữ liệu (siêu dữ liệu);

đ) Kiến trúc dữ liệu, mô hình dữ liệu;

e) Cơ chế kết nối, chia sẻ;

g) Cơ chế bảo vệ dữ liệu;

h) Cơ chế phát triển, khai thác, sử dụng dữ liệu;

i) Cơ chế triển khai, kiểm soát, giám sát.

4. Quản lý dữ liệu chủ và dữ liệu danh mục dùng chung

a) Cơ quan quản lý cơ sở dữ liệu ban hành danh mục dữ liệu chủ, dữ liệu danh mục dùng chung trên cơ sở phối hợp, thống nhất với Bộ Công an;

b) Các nội dung quản trị, quản lý dữ liệu chủ bao gồm nguyên tắc cấp mã định danh; các thông tin cơ bản để mô tả, định danh, phân biệt đối tượng cụ thể trong dữ liệu chủ; quy trình tạo lập, cập nhật dữ liệu chủ; lựa chọn công nghệ, công cụ nhằm bảo đảm dữ liệu chủ được thu thập, cập nhật, khai thác và sử dụng chính xác, nhất quán và đầy đủ; thực hiện tạo lập, cập nhật, quản lý dữ liệu chủ; kết nối, chia sẻ dữ liệu chủ vào Cơ sở dữ liệu tổng hợp quốc gia; phối hợp với Bộ Công an để giám sát, đối soát bảo đảm chất lượng dữ liệu chủ trên toàn hệ thống;

c) Dữ liệu chủ trong cơ sở dữ liệu quốc gia, cơ sở dữ liệu khác của cơ quan được giao trách nhiệm tạo lập và quản lý dữ liệu chủ có giá trị sử dụng chính thức, tương đương văn bản giấy được cơ quan có thẩm quyền cung cấp;

d) Bộ Công an xây dựng chính sách quản lý dữ liệu chủ được đồng bộ vào Cơ sở dữ liệu tổng hợp quốc gia; xây dựng các quy trình cho việc thu thập, cập nhật, xóa, sử dụng, chia sẻ, điều phối dữ liệu chủ trong Cơ sở dữ liệu tổng hợp quốc gia; xác định rõ các vai trò trách nhiệm cho chất lượng và tính toàn vẹn của dữ liệu chủ; giám sát chất lượng dữ liệu chủ.

5. Cơ quan nhà nước thực hiện dự án công nghệ thông tin về cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành phải lấy ý kiến của Bộ Công an (Trung tâm dữ liệu quốc gia) về nội dung xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu để tránh lãng phí, bảo đảm thống nhất, đồng bộ trong triển khai thực hiện.

Điều 15. Xác định và quản lý rủi ro phát sinh trong xử lý dữ liệu

1. Các loại rủi ro phát sinh trong xử lý dữ liệu bao gồm:

a) Rủi ro quyền riêng tư xảy ra do không tuân thủ quy định của pháp luật về quyền riêng tư của chủ thể dữ liệu trong quá trình xử lý và chuyển dữ liệu;

b) Rủi ro an ninh mạng xảy ra do không áp dụng các biện pháp cần thiết để bảo vệ dữ liệu không được công khai khỏi những truy cập trái phép từ các đối tượng bên ngoài hoặc dữ liệu bị rò rỉ ra bên ngoài;

c) Rủi ro nhận dạng và quản lý truy cập xảy ra do không bảo đảm việc bảo vệ dữ liệu không được công khai khỏi những truy cập trái phép;

d) Rủi ro khác trong xử lý dữ liệu bao gồm: rủi ro chia sẻ dữ liệu xảy ra khi không có khả năng duy trì quyền kiểm soát đối với dữ liệu đã chia sẻ; rủi ro quản lý dữ liệu xảy ra do chất lượng của dữ liệu không đảm bảo.

2. Một số biện pháp phòng ngừa rủi ro phát sinh trong xử lý dữ liệu bao gồm:

a) Thực hiện sao lưu dữ liệu thường xuyên và bảo đảm an toàn;

b) Định kỳ bảo trì, bảo dưỡng, nâng cấp hệ thống nhằm duy trì và cải thiện hiệu suất, tính năng, tính bảo mật và tính nhất quán của hệ thống cơ sở dữ liệu; có biện pháp ứng phó khôi phục hệ thống để bảo đảm tính liên tục của hệ thống;

c) Thực hiện các biện pháp bảo vệ dữ liệu theo quy định;

d) Phân cấp chặt chẽ quyền truy cập đối với từng loại dữ liệu để phòng ngừa việc truy cập dữ liệu trái phép;

đ) Sử dụng các hệ thống giám sát và phát hiện xâm nhập để theo dõi hoạt động mạng và phát hiện các hành vi bất thường hoặc truy cập trái phép;

e) Cài đặt và duy trì các phần mềm bảo mật;

g) Thực hiện đánh giá rủi ro định kỳ hàng năm để xác định các lỗ hổng trong hệ thống và áp dụng các biện pháp phòng ngừa rủi ro tương ứng;

h) Xây dựng phương án, kế hoạch xử lý sự cố để chủ động, kịp thời ứng phó, khắc phục sự cố;

i) Đào tạo, bồi dưỡng, tập huấn kỹ năng bảo vệ dữ liệu, cách nhận biết các mối đe dọa, cách xử lý khi phát hiện rủi ro bảo mật; thường xuyên diễn tập phòng ngừa sự cố, giám sát, phát hiện, bảo đảm kịp thời ứng phó, khắc phục sự cố;

k) Các biện pháp khác theo quy định pháp luật.

Điều 16. Bảo vệ dữ liệu

1. Cơ quan nhà nước có trách nhiệm tổ chức quản lý và bảo vệ dữ liệu thuộc phạm vi quản lý, bao gồm thiết lập hệ thống quản lý, giám sát, đánh giá rủi ro và cảnh báo sớm trong toàn bộ quá trình xử lý dữ liệu; thực hiện phân cấp, phân quyền truy cập phù hợp đối với các loại dữ liệu khác nhau, bảo đảm tuân thủ các chính sách chung về bảo vệ dữ liệu.

Khuyến khích các chủ quản dữ liệu không thuộc cơ quan nhà nước xây dựng các quy định riêng về bảo vệ dữ liệu do mình quản lý.

2. Việc bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng là dữ liệu cá nhân thực hiện theo quy định của Luật Dữ liệu và Nghị định này.

Trường hợp chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới và quản lý, bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng là dữ liệu cá nhân thực hiện theo quy định của Điều 12 và khoản 11 Điều 17 Nghị định này; không phải đánh giá tác động theo pháp luật về bảo vệ dữ liệu cá nhân.

3. Chủ quản dữ liệu cung cấp hoặc ủy thác việc xử lý dữ liệu cốt lõi, dữ liệu quan trọng cho tổ chức, cá nhân không thuộc quy định tại Điều 12 Nghị định này phải đáp ứng những yêu cầu như sau:

a) Thỏa thuận với bên nhận dữ liệu về mục đích, phương thức, phạm vi, nghĩa vụ bảo vệ an ninh thông qua hợp đồng và tiến hành giám sát việc thực hiện nghĩa vụ của bên nhận dữ liệu. Hồ sơ về việc xử lý dữ liệu quan trọng được cung cấp hoặc ủy thác cho các bên nhận dữ liệu khác phải được lưu trữ ít nhất 3 năm;

b) Khi thực hiện cung cấp, ủy thác xử lý dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu cần thực hiện mã hóa, ký số và thực hiện các biện pháp bảo mật khác để bảo đảm tính bí mật, toàn vẹn và tính chống chối bỏ;

c) Bên tiếp nhận dữ liệu cốt lõi, dữ liệu quan trọng phải thực hiện nghĩa vụ bảo vệ dữ liệu, xử lý dữ liệu cốt lõi, dữ liệu quan trọng theo đúng mục đích, phương thức, phạm vi đã thỏa thuận.

4. Các biện pháp bảo vệ dữ liệu bao gồm:

a) Quản lý có liên quan đến xử lý dữ liệu gồm: xây dựng chính sách, quy chế, tiêu chí đánh giá an toàn, an ninh dữ liệu để bảo đảm tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật, quy định về bảo vệ dữ liệu và các biện pháp quản lý khác theo quy định của pháp luật;

b) Biện pháp kỹ thuật có liên quan đến xử lý dữ liệu: bảo đảm an ninh vật lý, kiểm soát truy cập, kiểm tra an ninh mạng và các biện pháp kỹ thuật khác theo quy định của pháp luật;

c) Quản lý nhân lực bảo vệ dữ liệu: xây dựng quy chế quản lý con người, đào tạo nhân lực bảo vệ dữ liệu;

d) Các biện pháp bảo vệ dữ liệu khác theo quy định pháp luật.

Điều 17. Quản lý bảo vệ dữ liệu trong quá trình xử lý

1. Chủ quản dữ liệu phải thiết lập hệ thống quản lý việc bảo vệ dữ liệu trong toàn bộ quá trình xử lý dữ liệu.

2. Chủ quản dữ liệu thực hiện các biện pháp bảo vệ dữ liệu trong quá trình thu thập, tạo lập dữ liệu. Đối với dữ liệu cốt lõi, dữ liệu quan trọng chủ quản dữ liệu cần thực hiện các nội dung sau:

a) Xây dựng quy trình thu thập, tạo lập dữ liệu và đánh giá, áp dụng các biện pháp bảo vệ trước khi thu thập, tạo lập dữ liệu;

b) Kiểm tra tính xác thực, giám sát chất lượng dữ liệu và truy xuất nguồn gốc dữ liệu.

3. Chủ quản dữ liệu thực hiện lưu trữ dữ liệu theo phương pháp, thời hạn theo quy định của pháp luật. Đối với dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu thực hiện các nội dung sau:

a) Xây dựng quy trình lưu trữ dữ liệu, trong đó quy định về quy trình sao lưu, phục hồi dữ liệu, ghi nhật ký lưu trữ, sao lưu, phục hồi dữ liệu;

b) Xây dựng hệ thống quản lý lưu trữ dữ liệu và áp dụng các công cụ, biện pháp kỹ thuật để bảo vệ dữ liệu trong quá trình lưu trữ, tự động thực hiện việc sao lưu, phục hồi dữ liệu;

c) Thực hiện xóa, hủy dữ liệu khi hết thời hạn lưu trữ hoặc dữ liệu không còn cần thiết cho mục đích xử lý.

4. Khi xử lý, sử dụng dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu cần thực hiện:

a) Xây dựng, triển khai quy chế truy cập, truy xuất dữ liệu bảo đảm tuân thủ các nguyên tắc đặc quyền tối thiểu trong quá trình xử lý, sử dụng dữ liệu;

b) Xây dựng hệ thống kiểm soát truy cập dữ liệu, trong đó thiết lập nền tảng quản lý truy cập và nhận dạng thống nhất; áp dụng các biện pháp kỹ thuật để bảo vệ dữ liệu, kiểm soát việc truy cập, truy xuất dữ liệu trong quá trình xử lý, sử dụng dữ liệu.

5. Chủ quản dữ liệu có trách nhiệm làm rõ phạm vi, mục đích, quy trình, xây dựng quy chế bảo vệ và áp dụng các biện pháp bảo vệ dựa trên phân loại, mức độ và mục đích, trường hợp ứng dụng của dữ liệu được cung cấp ra bên ngoài.

6. Chủ sở hữu dữ liệu phải phân tích, đánh giá tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng trước khi công khai dữ liệu.

7. Chủ sở hữu dữ liệu, chủ quản dữ liệu xây dựng phương án xóa, hủy dữ liệu, làm rõ mục tiêu, quy tắc, quy trình, kỹ thuật xóa, hủy, ghi nhận và lưu giữ hoạt động xóa, hủy. Trường hợp xóa, hủy dữ liệu quan trọng, dữ liệu cốt lõi thì chủ quản dữ liệu phải có tài liệu chứng minh hoạt động xóa, hủy dữ liệu bảo đảm không thể khôi phục.

8. Trường hợp chủ quản dữ liệu có nhu cầu chuyển dữ liệu vì tổ chức lại, giải thể, phá sản thì phải làm rõ kế hoạch chuyển dữ liệu và thông báo cho cơ quan, tổ chức, cá nhân bị ảnh hưởng.

Trường hợp tổ chức lại, giải thể tổ chức có quản lý dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu phải áp dụng các biện pháp bảo đảm an toàn dữ liệu, báo cáo phương án xử lý dữ liệu, tên hoặc thông tin của bên tiếp nhận cho cơ quan có thẩm quyền có liên quan.

9. Trường hợp chủ quản dữ liệu ủy thác cho tổ chức, cá nhân khác thực hiện hoạt động xử lý dữ liệu thì phải làm rõ trách nhiệm, nghĩa vụ bảo mật dữ liệu của bên ủy thác và bên được ủy thác thông qua hợp đồng, thỏa thuận ủy thác. Trường hợp ủy thác xử lý dữ liệu quan trọng, dữ liệu cốt lõi thì bên ủy thác phải xác minh năng lực, trình độ bảo vệ dữ liệu của bên được ủy thác.

10. Chủ quản dữ liệu cốt lõi, dữ liệu quan trọng phải ghi nhật ký xử lý dữ liệu trong toàn bộ quá trình xử lý dữ liệu. Nhật ký được lưu giữ trong thời gian ít nhất sáu tháng.

11. Chủ quản dữ liệu cốt lõi, dữ liệu quan trọng hàng năm phải thực hiện đánh giá rủi ro đối với hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng trong phạm vi quản lý, lập, lưu trữ báo cáo đánh giá rủi ro theo mẫu ban hành kèm theo Nghị định này và phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan có thẩm quyền, trừ trường hợp đã lập hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới theo quy định tại Điều 12 Nghị định này. Báo cáo đánh giá rủi ro bao gồm:

a) Thông tin cơ bản về chủ quản dữ liệu, thông tin về bộ phận có chức năng bảo vệ an toàn dữ liệu, tên và thông tin liên lạc của người chịu trách nhiệm về bảo vệ dữ liệu;

b) Mục đích, loại, số lượng, phương pháp, phạm vi, thời gian lưu trữ, vị trí lưu trữ dữ liệu, hoạt động xử lý dữ liệu và hoàn cảnh thực hiện các hoạt động xử lý dữ liệu;

c) Hệ thống quản lý bảo vệ dữ liệu, các biện pháp kỹ thuật mã hóa, sao lưu, dán nhãn, kiểm soát truy cập và xác thực, các biện pháp cần thiết khác;

d) Rủi ro an toàn dữ liệu đã phát hiện, sự cố an toàn dữ liệu đã xảy ra và cách giải quyết;

đ) Các nội dung báo cáo khác theo quy định của các cơ quan có thẩm quyền có liên quan.

Điều 18. Quản lý nhân sự và đào tạo, bồi dưỡng nhân sự bảo vệ dữ liệu

1. Chủ sở hữu dữ liệu, chủ quản dữ liệu cốt lõi, dữ liệu quan trọng phải xác định người chịu trách nhiệm về bảo vệ dữ liệu và bộ phận bảo vệ an toàn dữ liệu.

2. Người chịu trách nhiệm về bảo vệ dữ liệu có chức năng, nhiệm vụ quản lý, bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng bao gồm tổ chức xây dựng các kế hoạch bảo vệ an toàn dữ liệu quan trọng, tổ chức đánh giá rủi ro; thực hiện báo cáo trực tiếp về tình hình bảo vệ dữ liệu cho các cơ quan có thẩm quyền theo quy định; phải được đào tạo, bồi dưỡng kiến thức về bảo vệ dữ liệu.

3. Bộ phận bảo vệ an toàn dữ liệu có chức năng, nhiệm vụ như sau:

a) Phát triển, triển khai hệ thống quản lý bảo vệ dữ liệu, quy trình vận hành, kế hoạch ứng cứu khẩn cấp sự cố bảo vệ dữ liệu;

b) Định kỳ tổ chức và thực hiện các hoạt động như giám sát rủi ro an toàn dữ liệu, đánh giá rủi ro, diễn tập khẩn cấp, tuyên truyền, giáo dục, đào tạo, giải quyết kịp thời các rủi ro, sự cố an toàn dữ liệu mạng;

c) Nghiên cứu và đề xuất các quyết định liên quan đến bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng;

d) Tiếp nhận và xử lý các báo cáo về bảo vệ dữ liệu của đơn vị.

4. Chủ sở hữu dữ liệu, chủ quản dữ liệu cốt lõi, dữ liệu quan trọng phải thực hiện:

a) Làm rõ các yêu cầu quản lý an toàn trong tuyển dụng, sử dụng, đào tạo, giới thiệu, luân chuyển, từ chức, đánh giá và lựa chọn nhân sự;

b) Không bố trí những người có tiền án trong lĩnh vực công nghệ thông tin, mạng viễn thông làm người chịu trách nhiệm về bảo vệ dữ liệu;

c) Ký thỏa thuận trách nhiệm bảo mật với nhân viên xử lý dữ liệu.

5. Xây dựng kế hoạch và thực hiện đào tạo về bảo vệ dữ liệu hàng năm.

6. Người chịu trách nhiệm về bảo vệ dữ liệu được thỏa thuận với chủ sở hữu, chủ quản dữ liệu về các trường hợp miễn trừ trách nhiệm khi xảy ra thiệt hại đối với dữ liệu được bảo vệ.

Điều 19. Giám sát bảo mật dữ liệu, cảnh báo sớm và quản lý khẩn cấp

1. Nội dung giám sát bảo mật dữ liệu, cảnh báo sớm và quản lý khẩn cấp gồm:

a) Thiết lập cơ chế giám sát rủi ro an toàn dữ liệu;

b) Tổ chức soạn thảo các giao diện, tiêu chuẩn giám sát;

c) Xây dựng cơ chế báo cáo, chia sẻ thông tin rủi ro an toàn dữ liệu, thống nhất thu thập, phân tích, đánh giá, báo cáo thông tin rủi ro an toàn dữ liệu;

d) Xây dựng kế hoạch ứng phó khẩn cấp sự cố an toàn dữ liệu.

2. Bộ Công an thực hiện giám sát bảo mật, cảnh báo sớm và quản lý khẩn cấp dữ liệu trừ nội dung quy định tại khoản 3 Điều này.

3. Bộ Quốc phòng thực hiện giám sát bảo mật, cảnh báo sớm và quản lý khẩn cấp đối với các dữ liệu thuộc phạm vi quản lý.

4. Chủ quản dữ liệu có trách nhiệm:

a) Thông báo kịp thời cho chủ sở hữu dữ liệu về các sự cố an toàn dữ liệu có thể gây tổn hại đến quyền và lợi ích hợp pháp của cá nhân, tổ chức và đưa ra các biện pháp giảm thiểu thiệt hại;

b) Sau khi xảy ra sự cố an toàn dữ liệu, phải kịp thời tiến hành ứng phó khẩn cấp theo kế hoạch ứng phó khẩn cấp, báo cáo các sự cố bảo mật liên quan đến dữ liệu quan trọng và dữ liệu cốt lõi cho Bộ Công an, Bộ Quốc phòng quản lý trong thời gian sớm nhất có thể.

5. Bộ Công an thiết lập cơ chế giám sát rủi ro an toàn dữ liệu, xây dựng các tiêu chuẩn giám sát và cảnh báo sớm an toàn dữ liệu, phối hợp xây dựng các phương tiện kỹ thuật giám sát và cảnh báo sớm an toàn dữ liệu, hình thành năng lực giám sát, cảnh báo sớm, xử lý, truy xuất nguồn gốc, tăng cường chia sẻ thông tin với các bộ phận liên quan.

Chủ quản dữ liệu phải thực hiện giám sát rủi ro an toàn dữ liệu, kịp thời điều tra các rủi ro an ninh tiềm ẩn và áp dụng các biện pháp cần thiết để ngăn ngừa rủi ro an toàn dữ liệu.

6. Bộ Công an xây dựng cơ chế báo cáo, chia sẻ thông tin rủi ro an toàn dữ liệu, thống nhất thu thập, phân tích, đánh giá, báo cáo thông tin rủi ro an toàn dữ liệu, khuyến khích các tổ chức cung cấp dịch vụ bảo mật, tổ chức nghiên cứu khoa học chia sẻ thông tin về rủi ro an toàn dữ liệu.

Chủ quản dữ liệu tóm tắt và phân tích riêng các rủi ro bảo mật dữ liệu trong phạm vi quản lý, đồng thời báo cáo kịp thời các rủi ro có thể gây ra các sự cố bảo mật lớn về Bộ Công an.

7. Bộ Công an xây dựng kế hoạch ứng phó khẩn cấp sự cố an toàn dữ liệu, bao gồm cơ cấu và trách nhiệm tổ chức khẩn cấp, phân loại và phân cấp các sự cố an toàn dữ liệu, giám sát và cảnh báo sớm, quy trình ứng phó khẩn cấp, các biện pháp bảo vệ, đồng thời tổ chức, phối hợp ứng phó với các sự cố dữ liệu quan trọng, an toàn dữ liệu cốt lõi.

8. Chủ quản dữ liệu thực hiện diễn tập kế hoạch dự phòng đối với các sự cố an toàn dữ liệu quan trọng, cốt lõi tiến hành diễn tập khẩn cấp định kỳ 06 tháng/lần, lưu hồ sơ diễn tập và báo cáo tóm tắt diễn tập, cập nhật kịp thời các kế hoạch dự phòng theo những thay đổi lớn trong chính hệ thống xử lý dữ liệu hoặc môi trường bên ngoài.

Chương IV

TRUNG TÂM DỮ LIỆU QUỐC GIA, CƠ SỞ DỮ LIỆU TỔNG HỢP QUỐC GIA

Điều 20. Cơ sở hạ tầng của Trung tâm dữ liệu quốc gia

1. Hệ thống thông tin của Trung tâm dữ liệu quốc gia tách biệt với hệ thống phát triển, kiểm tra và thử nghiệm; bảo đảm an ninh, bảo mật theo cấp độ nhằm kiểm soát, phát hiện, ngăn chặn các nguy cơ mất an ninh, an toàn thông tin.

2. Trung tâm dữ liệu quốc gia xây dựng, phát triển cơ sở hạ tầng điện toán đám mây và triển khai thành các vùng chức năng để phục vụ nhu cầu của cơ quan nhà nước bảo đảm việc phát triển các phân hệ tích hợp, đồng bộ, khai thác dữ liệu, yêu cầu cao về bảo mật thông tin.

3. Trung tâm dữ liệu quốc gia thiết lập hạ tầng tính toán hiệu suất cao và hệ thống phân tích dữ liệu phục vụ công tác quản lý với các mô hình phân tích dự báo phục vụ công tác khai thác từ Cơ sở dữ liệu tổng hợp quốc gia. Cung cấp điều kiện kỹ thuật hỗ trợ việc nghiên cứu phát triển lĩnh vực toán ứng dụng; hỗ trợ công tác xây dựng các cơ chế chính sách, quy hoạch, chiến lược phát triển quốc gia, phát triển sản phẩm, dịch vụ về dữ liệu phục vụ phát triển kinh tế - xã hội.

4. Trung tâm dữ liệu quốc gia thiết lập Cổng dữ liệu quốc gia là đầu mối để các cơ quan nhà nước công bố thông tin về các loại dữ liệu đang quản lý; công bố dữ liệu mở, cung cấp dữ liệu mở nhằm tăng cường tính minh bạch trong hoạt động của Chính phủ và thúc đẩy sáng tạo, phát triển kinh tế, xã hội; để tổ chức, cá nhân cung cấp dữ liệu phục vụ cho các mục tiêu vì lợi ích chung, cải thiện việc cung cấp dịch vụ công, hoạch định chính sách công hoặc mục đích nghiên cứu khoa học vì lợi ích chung; phục vụ cơ quan, tổ chức, cá nhân truy cập, tìm kiếm, khám phá và sử dụng dữ liệu mở.

5. Trung tâm dữ liệu quốc gia xây dựng ứng dụng trên thiết bị số phục vụ khai thác, sử dụng dữ liệu của Trung tâm dữ liệu quốc gia, cung cấp các sản phẩm, dịch vụ về dữ liệu và phát triển các tiện ích khác để phục vụ cơ quan, tổ chức, cá nhân.

6. Trung tâm dữ liệu quốc gia xây dựng hệ thống liên lạc với cá nhân và tổ chức phục vụ hoạt động của Trung tâm dữ liệu quốc gia.

7. Trung tâm dữ liệu quốc gia cung cấp các loại dịch vụ sau:

a) Dịch vụ hạ tầng nhà trạm, chỗ đặt máy chủ, cung cấp không gian hạ tầng chỗ đặt, hệ thống điện, điều hòa và các thiết bị liên quan khác để triển khai hệ thống thông tin cơ sở dữ liệu, cho phép chủ quản cơ sở dữ liệu, cơ quan, tổ chức có nhu cầu chủ động sử dụng, kiểm soát hệ thống của mình, theo hình thức sử dụng không gian chung hoặc theo khu riêng, tuân thủ quy định về quản lý, vận hành Trung tâm dữ liệu quốc gia;

b) Dịch vụ cung cấp máy chủ, thiết bị mạng, an toàn thông tin mạng, an ninh mạng, bảo mật hoặc lưu trữ với cấu hình đa dạng, không gian chỗ đặt tương ứng tại các Trung tâm dữ liệu quốc gia, phù hợp với nhu cầu của chủ quản cơ sở dữ liệu, cơ quan, tổ chức có nhu cầu;

c) Dịch vụ triển khai và vận hành hạ tầng kỹ thuật phục vụ cơ sở dữ liệu quốc gia và hệ thống thông tin cơ sở dữ liệu, cơ sở dữ liệu và hệ thống thông tin khác.

8. Cơ quan nhà nước, tổ chức chính trị - xã hội xác định loại dịch vụ cung cấp bởi Trung tâm dữ liệu quốc gia theo quy định tại khoản 7 Điều này, bảo đảm phù hợp với hiện trạng, yêu cầu nghiệp vụ, quy định về đầu tư dự án công nghệ thông tin sử dụng vốn ngân sách nhà nước và gửi văn bản đề nghị Trung tâm dữ liệu quốc gia cung cấp dịch vụ. Nội dung văn bản đề nghị cần xác định rõ nhu cầu sử dụng dịch vụ của Trung tâm dữ liệu quốc gia; quy mô hệ thống dự kiến đặt tại Trung tâm dữ liệu quốc gia; nhu cầu về nhân lực hỗ trợ quản trị, vận hành hạ tầng, hệ thống thông tin.

9. Bộ trưởng Bộ Công an hướng dẫn việc cung cấp, triển khai các dịch vụ của Trung tâm dữ liệu quốc gia khi có đủ các điều kiện về hạ tầng.

Điều 21. Trách nhiệm của Trung tâm dữ liệu quốc gia

1. Hướng dẫn cơ quan, tổ chức, cá nhân trong việc áp dụng tiêu chuẩn, quy chuẩn kỹ thuật về dữ liệu thuộc phạm vi đồng bộ về Trung tâm dữ liệu quốc gia.

2. Thực hiện các biện pháp giám sát, đánh giá chất lượng dữ liệu được chia sẻ, đồng bộ về Trung tâm dữ liệu quốc gia.

3. Điều phối dữ liệu của Cơ sở dữ liệu tổng hợp quốc gia.

4. Thực hiện các biện pháp bảo vệ dữ liệu được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu theo quy định tại khoản 6 Điều 16 Nghị định này.

5. Thực hiện ký kết các thỏa thuận, biên bản ghi nhớ với các cơ quan, tổ chức quốc tế để thúc đẩy hợp tác quốc tế trong quản lý, bảo vệ dữ liệu, nghiên cứu khoa học, chuyển giao dữ liệu xuyên biên giới, đào tạo, nâng cao năng lực, trình độ về các nội dung liên quan đến dữ liệu nhằm thúc đẩy các hoạt động đổi mới sáng tạo, chuyển giao công nghệ phục vụ phát triển kinh tế - xã hội.

6. Giúp Bộ Công an thực hiện quản lý nhà nước về dữ liệu.

Điều 22. Bảo đảm nguồn lực xây dựng, phát triển Trung tâm dữ liệu quốc gia

1. Trung tâm dữ liệu quốc gia xây dựng kế hoạch, chương trình đào tạo, hợp tác quốc tế, nâng cao chất lượng nguồn nhân lực của Trung tâm dữ liệu quốc gia.

2. Cán bộ, chiến sĩ làm việc tại Trung tâm dữ liệu quốc gia được hưởng mức hỗ trợ là 500.000 đồng/ngày làm việc từ nguồn thu phí khai thác, sử dụng dữ liệu trong Cơ sở dữ liệu tổng hợp quốc gia sau khi nộp vào ngân sách nhà nước.

Tổ chức, đơn vị sự nghiệp công lập trực thuộc Trung tâm dữ liệu quốc gia được vận dụng chế độ hỗ trợ này để quyết định các chế độ đối với người làm công tác chuyên môn về dữ liệu.

3. Bộ trưởng Bộ Công an ban hành danh mục vị trí việc làm tại Trung tâm dữ liệu quốc gia; ban hành cơ chế thu hút, trọng dụng, đãi ngộ nguồn nhân lực chất lượng cao làm việc cho Trung tâm dữ liệu quốc gia.

Điều 23. Khai thác và sử dụng Cơ sở dữ liệu tổng hợp quốc gia

1. Khai thác qua kết nối, chia sẻ trực tiếp thông tin với Cơ sở dữ liệu tổng hợp quốc gia

a) Trung tâm dữ liệu quốc gia cấp tài khoản cho cơ quan, tổ chức để truy cập, khai thác thông tin trong Cơ sở dữ liệu tổng hợp quốc gia;

b) Cơ quan, tổ chức được Trung tâm dữ liệu quốc gia cấp tài khoản có trách nhiệm tạo lập, quản lý tài khoản riêng trên hệ thống thông tin của mình đã kết nối với Cơ sở dữ liệu tổng hợp quốc gia và phân quyền sử dụng tài khoản đã tạo lập cho cá nhân thuộc quyền quản lý theo chức năng, nhiệm vụ được giao;

c) Cá nhân được phân quyền sử dụng tài khoản riêng thuộc cơ quan, tổ chức sử dụng tài khoản riêng đó để tra cứu, khai thác thông tin về công dân trong Cơ sở dữ liệu tổng hợp quốc gia thông qua hệ thống thông tin của cơ quan, tổ chức;

d) Hệ thống thông tin của cơ quan, tổ chức gửi yêu cầu khai thác thông tin tới Cơ sở dữ liệu tổng hợp quốc gia qua tài khoản đã được Trung tâm dữ liệu quốc gia cấp. Kết quả khai thác được thể hiện dưới dạng văn bản giấy hoặc văn bản điện tử và được lưu trữ tại hệ thống thông tin được kết nối, chia sẻ, khai thác thông tin;

đ) Trung tâm dữ liệu quốc gia có trách nhiệm kiểm tra, xác thực thông tin tài khoản và trả kết quả khai thác theo yêu cầu, phù hợp với quyền hạn, phạm vi thông tin được khai thác của tài khoản.

2. Cơ quan, tổ chức, cá nhân thực hiện khai thác thông tin trong Cơ sở dữ liệu tổng hợp quốc gia qua cổng dữ liệu quốc gia, Cổng Dịch vụ công quốc gia tại Trung tâm dữ liệu quốc gia và thiết bị, phương tiện, phần mềm theo hướng dẫn của Bộ Công an.

3. Cơ quan, tổ chức, cá nhân thực hiện khai thác thông tin trong Cơ sở dữ liệu tổng hợp quốc gia qua cổng thông tin điện tử, hệ thống thông tin giải quyết thủ tục hành chính theo hướng dẫn của bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương.

4. Khai thác bằng văn bản yêu cầu khai thác, cung cấp thông tin

a) Cơ quan, tổ chức, cá nhân có văn bản yêu cầu khai thác, cung cấp thông tin trong Cơ sở dữ liệu tổng hợp quốc gia và gửi về Trung tâm dữ liệu quốc gia;

b) Văn bản yêu cầu khai thác, cung cấp thông tin phải nêu rõ mục đích, nội dung, phạm vi thông tin cần khai thác trong Cơ sở dữ liệu tổng hợp quốc gia và cam đoan về việc chịu trách nhiệm trong sử dụng thông tin khi được khai thác và các thông tin khác;

c) Trong thời hạn 03 ngày làm việc, kể từ ngày nhận được văn bản yêu cầu khai thác thông tin trong Cơ sở dữ liệu tổng hợp quốc gia thì người có thẩm quyền xem xét, quyết định cho phép khai thác thông tin;

d) Trường hợp đồng ý cho phép khai thác thông tin thì có văn bản trả lời và cung cấp thông tin cho cơ quan, tổ chức, cá nhân. Trường hợp không đồng ý cho phép khai thác thông tin thì phải có văn bản trả lời và nêu rõ lý do.

5. Cơ sở dữ liệu tổng hợp quốc gia phục vụ thực hiện thủ tục hành chính:

a) Tự động thực hiện thủ tục hành chính, chế độ, chính sách cho cá nhân, tổ chức khi thông tin, dữ liệu phục vụ cho việc xem xét, giải quyết thủ tục hành chính đã có đầy đủ trong Cơ sở dữ liệu tổng hợp quốc gia. Cơ quan, người có thẩm quyền chủ động giải quyết thủ tục hành chính, chế độ, chính sách cho cá nhân, tổ chức dựa trên thông tin, dữ liệu đã được kết nối, chia sẻ, khai thác từ Cơ sở dữ liệu tổng hợp quốc gia và sự đồng ý của cá nhân, tổ chức;

b) Khai thác, tái sử dụng dữ liệu, xây dựng dịch vụ công trực tuyến tập trung trên Cổng dịch vụ công quốc gia, bảo đảm đơn giản, thông suốt, thuận lợi, thân thiện với người sử dụng, tiết kiệm, hiệu quả;

c) Kết nối, chia sẻ dữ liệu giữa Cơ sở dữ liệu tổng hợp quốc gia với Hệ thống thông tin giải quyết thủ tục hành chính cấp bộ, cấp tỉnh phục vụ tiếp nhận, giải quyết thủ tục hành chính cho cá nhân, tổ chức, bảo đảm không yêu cầu cá nhân, tổ chức khai báo, cung cấp lại thông tin, giấy tờ đã có trong Cơ sở dữ liệu tổng hợp quốc gia; đồng bộ đầy đủ dữ liệu số hóa hồ sơ, kết quả giải quyết thủ tục hành chính từ Hệ thống thông tin giải quyết thủ tục hành chính cấp bộ, cấp tỉnh, Cơ sở dữ liệu quốc gia, chuyên ngành do bộ, cơ quan, địa phương quản lý với Cổng Dịch vụ công quốc gia, Cơ sở dữ liệu tổng hợp quốc gia phục vụ khai thác, tái sử dụng dữ liệu, bảo đảm cá nhân, tổ chức chỉ cung cấp thông tin, dữ liệu, giấy tờ một lần cho cơ quan nhà nước trong thực hiện thủ tục hành chính, dịch vụ công.

Điều 24. Kết nối, chia sẻ dữ liệu với Cơ sở dữ liệu tổng hợp quốc gia

1. Chủ quản các cơ sở dữ liệu của các cơ quan nhà nước khi xây dựng cơ sở dữ liệu có kết nối đến Trung tâm dữ liệu quốc gia có trách nhiệm tuân thủ hướng dẫn của Trung tâm dữ liệu quốc gia để bảo đảm việc kết nối, chia sẻ dữ liệu.

2. Trung tâm dữ liệu quốc gia và cơ quan quản lý cơ sở dữ liệu xây dựng thỏa thuận kết nối, chia sẻ dữ liệu như sau bao gồm những nội dung:

a) Mục đích chia sẻ dữ liệu;

b) Phạm vi dữ liệu được chia sẻ;

c) Phương thức kết nối, chia sẻ dữ liệu;

d) Thời gian, tần suất chia sẻ dữ liệu;

đ) Các nội dung khác có liên quan.

3. Phương thức chia sẻ dữ liệu

a) Việc chia sẻ dữ liệu giữa cơ sở dữ liệu của cơ quan nhà nước được thực hiện thông qua Nền tảng chia sẻ, điều phối dữ liệu của Trung tâm dữ liệu quốc gia và các nền tảng tích hợp và chia sẻ dữ liệu khác;

b) Việc chia sẻ dữ liệu giữa tổ chức, cá nhân với Cơ sở dữ liệu tổng hợp quốc gia thực hiện qua Nền tảng chia sẻ, điều phối dữ liệu, cổng dữ liệu, qua tập tin và các phương thức khác tùy theo thỏa thuận chia sẻ giữa các bên.

4. Trung tâm dữ liệu quốc gia thực hiện giám sát hoạt động chia sẻ thông qua hệ thống giám sát để có đánh giá việc cung cấp và sử dụng dữ liệu.

Điều 25. Cung cấp dữ liệu cho Cơ sở dữ liệu tổng hợp quốc gia

1. Tổ chức, cá nhân không phải là cơ quan nhà nước cung cấp dữ liệu cho Cơ sở dữ liệu tổng hợp quốc gia thông qua thỏa thuận với Trung tâm dữ liệu quốc gia. Văn bản thỏa thuận cung cấp dữ liệu phải xác định rõ mục đích cung cấp dữ liệu; phạm vi dữ liệu được cung cấp; phương thức cung cấp dữ liệu; thời gian, tần suất cung cấp và các nội dung liên quan khác.

2. Trách nhiệm của cơ quan quản lý cơ sở dữ liệu trong việc cung cấp dữ liệu cho Cơ sở dữ liệu tổng hợp quốc gia

a) Đồng bộ dữ liệu cho Cơ sở dữ liệu tổng hợp quốc gia theo quy định tại khoản 1 Điều 34 Luật Dữ liệu;

b) Đồng bộ dữ liệu chủ, dữ liệu phục vụ giải quyết thủ tục hành chính trên Cổng dịch vụ công quốc gia thuộc phạm vi quản lý ngay khi có sự điều chỉnh, cập nhật vào Cơ sở dữ liệu tổng hợp quốc gia;

c) Đối với dữ liệu khác thực hiện đồng bộ khi có điều chỉnh, cập nhật theo thỏa thuận với Trung tâm dữ liệu quốc gia.

3. Trung tâm dữ liệu quốc gia phối hợp với cơ quan quản lý cơ sở dữ liệu triển khai các biện pháp kỹ thuật phù hợp để bảo đảm khi dữ liệu chủ thay đổi, dữ liệu trong các cơ sở dữ liệu tham chiếu đến phải được đồng bộ tương ứng.

Chương V

TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC

Điều 26. Trách nhiệm của Bộ Công an

1. Chủ trì, phối hợp với các cơ quan có liên quan tổ chức triển khai, hướng dẫn, kiểm tra, đôn đốc việc thực hiện Nghị định này.

2. Chủ trì, phối hợp với các cơ quan có liên quan quản lý hoạt động xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu; bảo đảm an ninh dữ liệu, đấu tranh phòng, chống tội phạm và các hành vi vi phạm pháp luật trong lĩnh vực dữ liệu; quản lý, theo dõi, giám sát đối với hoạt động kinh doanh các sản phẩm, dịch vụ về dữ liệu theo quy định của Nghị định này.

3. Chủ trì, phối hợp với các cơ quan có liên quan triển khai xây dựng Trung tâm dữ liệu quốc gia đáp ứng các quy định, tiêu chuẩn, quy chuẩn kỹ thuật đối với trung tâm dữ liệu.

4. Chủ trì xây dựng, ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành văn bản quy phạm pháp luật hướng dẫn thực hiện các quy định pháp luật về dữ liệu.

5. Chủ trì phối hợp Bộ Tư pháp, Văn phòng Chính phủ, Bộ Khoa học và Công nghệ và các cơ quan liên quan rà soát, tổng hợp đề xuất Chính phủ chỉ đạo các bộ, cơ quan, địa phương xây dựng, sửa đổi, bổ sung các văn bản liên quan đến việc triển khai, quản trị vận hành của Trung tâm dữ liệu quốc gia.

6. Tổ chức thực hiện kết nối, chia sẻ, điều phối dữ liệu giữa hệ thống thông tin, cơ sở dữ liệu của cơ quan, tổ chức, cá nhân với Cơ sở dữ liệu tổng hợp quốc gia thông qua Nền tảng chia sẻ, điều phối dữ liệu của Trung tâm dữ liệu quốc gia.

7. Bảo đảm hạ tầng công nghệ thông tin cho cơ quan Đảng, Nhà nước, tổ chức chính trị - xã hội phục vụ việc quản lý, quản trị, xử lý dữ liệu thuộc phạm vi quản lý tại Trung tâm dữ liệu quốc gia.

8. Chủ trì, phối hợp với Bộ Khoa học và Công nghệ thẩm định, đánh giá, kiểm tra, hỗ trợ giám sát và điều phối ứng phó sự cố an ninh mạng, an toàn thông tin trong quá trình xây dựng, triển khai, vận hành các hệ thống thông tin, cơ sở dữ liệu tại Trung tâm dữ liệu quốc gia.

9. Chủ trì, phối hợp với Bộ Khoa học và Công nghệ xây dựng tiêu chuẩn, quy chuẩn kỹ thuật hoặc hướng dẫn kỹ thuật về tổ chức, kết nối, chia sẻ, đồng bộ dữ liệu với Trung tâm dữ liệu quốc gia.

10. Xây dựng tiêu chuẩn kiến trúc hệ thống phần mềm tại Trung tâm dữ liệu quốc gia.

11. Hướng dẫn tổ chức phân loại dữ liệu của cơ quan Đảng, Nhà nước, tổ chức chính trị - xã hội; tổ chức, chỉ đạo công tác đào tạo, bồi dưỡng về chuyên môn, nghiệp vụ về dữ liệu trên phạm vi cả nước.

12. Xây dựng và vận hành Cổng dữ liệu quốc gia.

13. Bộ trưởng Bộ Công an quyết định mức chi cho hoạt động hỗ trợ kinh phí bảo đảm kết nối, chia sẻ; hỗ trợ bù đắp chi phí tạo lập, thu thập dữ liệu trên cơ sở thống nhất với Bộ trưởng Bộ Tài chính, Bộ trưởng Bộ Khoa học và Công nghệ.

Điều 27. Trách nhiệm của Bộ Quốc phòng

1. Chịu trách nhiệm trước Chính phủ trong thực hiện công tác quản lý nhà nước đối với các dữ liệu thuộc phạm vi quản lý.

2. Phối hợp với Bộ Công an, các cơ quan, tổ chức bố trí lực lượng, phương tiện thích hợp để phát hiện, ngăn chặn từ xa mọi hành vi xâm phạm Trung tâm dữ liệu quốc gia cả về địa lý và trên không gian mạng.

3. Chủ trì quản lý hoạt động lưu trữ, bảo vệ dữ liệu, bảo đảm an ninh dữ liệu; quản lý, theo dõi, giám sát, tổ chức thực hiện kết nối, chia sẻ, điều phối dữ liệu giữa hệ thống thông tin, cơ sở dữ liệu; ứng dụng khoa học trong xử lý, quản lý, khai thác, sử dụng dữ liệu; quản lý, cấp phép chuyển dữ liệu ra nước ngoài; sử dụng quỹ phát triển dữ liệu quốc gia đối với các dữ liệu thuộc phạm vi quản lý của Bộ Quốc phòng.

Điều 28. Trách nhiệm của Bộ Khoa học và Công nghệ

1. Hướng dẫn cơ quan Đảng, Nhà nước, tổ chức chính trị - xã hội phát triển, hoàn thiện hạ tầng kỹ thuật công nghệ thông tin và việc xây dựng tiêu chuẩn, quy chuẩn kỹ thuật về tổ chức, kết nối, chia sẻ, đồng bộ dữ liệu; thực hiện chuẩn hoá, kết nối, chia sẻ dữ liệu, tính toán tối ưu giữa việc đầu tư hạ tầng mới và sử dụng hạ tầng do Trung tâm dữ liệu quốc gia cung cấp.

2. Rà soát, đánh giá năng lực mạng truyền số liệu chuyên dùng của các cơ quan để xây dựng phương án nâng cấp, bảo đảm các đơn vị có thể truy cập, quản trị hệ thống đặt tại Trung tâm dữ liệu quốc gia thông qua mạng truyền số liệu chuyên dùng.

3. Phối hợp với Bộ Công an và cơ quan có liên quan trong nghiên cứu làm chủ và ứng dụng các công nghệ số, dữ liệu số hình thành các sản phẩm, dịch vụ phục vụ phát triển chính phủ số, chính quyền số và phát triển kinh tế - xã hội thông qua các Chương trình khoa học và công nghệ trọng điểm cấp quốc gia.

4. Phối hợp với Bộ Công an trong việc xác định mức chi cho hoạt động hỗ trợ kinh phí bảo đảm kết nối, chia sẻ; hỗ trợ bù đắp chi phí tạo lập, thu thập dữ liệu.

Điều 29. Trách nhiệm của Văn phòng Chính phủ

1. Chủ trì xây dựng yêu cầu chức năng, nghiệp vụ, giao diện; hỗ trợ, hướng dẫn các bộ, ngành, địa phương xử lý các vấn đề về chức năng, quy trình nghiệp vụ, dữ liệu của Cổng Dịch vụ công quốc gia; phối hợp với Bộ Công an quản trị, vận hành Cổng Dịch vụ công quốc gia tại Trung tâm dữ liệu quốc gia; thực hiện các nhiệm vụ khác về phát triển Cổng Dịch vụ công quốc gia theo yêu cầu của Chính phủ, Thủ tướng Chính phủ; quản lý, vận hành Cơ sở dữ liệu quốc gia về thủ tục hành chính;

2. Phối hợp Bộ Công an và các đơn vị liên quan đánh giá nhu cầu, thực hiện chuyển dịch hạ tầng kỹ thuật công nghệ thông tin các hệ thống thông tin phục vụ chỉ đạo, điều hành của Chính phủ, Thủ tướng Chính phủ để đặt tại Trung tâm dữ liệu quốc gia.

Điều 30. Trách nhiệm của Ban Cơ yếu Chính phủ

1. Chủ trì phối hợp với các đơn vị có liên quan triển khai các sản phẩm mã hóa, giải mã dữ liệu.

2. Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện nhiệm vụ quản lý nhà nước đối với dữ liệu về cơ yếu.

3. Phối hợp với Bộ Công an triển khai các giải pháp bảo đảm an toàn, xác thực và bảo mật thông tin dùng mật mã; triển khai dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ cho các hệ thống thông tin và cơ sở dữ liệu của cơ quan Đảng, Nhà nước, tổ chức chính trị - xã hội.

Điều 31. Trách nhiệm của Bộ Tài chính

1. Phối hợp với Bộ Công an trong việc xác định mức chi cho hoạt động hỗ trợ kinh phí bảo đảm kết nối, chia sẻ; hỗ trợ bù đắp chi phí tạo lập, thu thập dữ liệu.

2. Ban hành Thông tư quy định thu phí khai thác và sử dụng thông tin trong cơ sở dữ liệu tổng hợp quốc gia, cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành trên cơ sở đề xuất của các bộ, cơ quan ngang bộ.

Điều 32. Trách nhiệm của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương

1. Chủ trì, phối hợp với Bộ Công an, Bộ Quốc phòng và cơ quan có liên quan quản lý hoạt động thu thập, cập nhật, điều chỉnh, sao chép, chia sẻ, chuyển giao, xóa, hủy dữ liệu, lưu trữ, bảo vệ dữ liệu thuộc phạm vi quản lý.

2. Thực hiện đồng bộ dữ liệu thuộc phạm vi quản lý về Trung tâm dữ liệu quốc gia theo quy định của Nghị định này và phối hợp với Bộ Công an thực hiện giám sát và đối soát để bảo đảm tính chính xác của dữ liệu.

3. Các bộ, ngành, địa phương phối hợp Văn phòng Chính phủ, Bộ Công an và các đơn vị có liên quan thực hiện tái cấu trúc quy trình, sửa đổi các văn bản pháp lý theo lộ trình thu thập, cập nhật, đồng bộ dữ liệu về Cơ sở dữ liệu tổng hợp quốc gia.

4. Thực hiện nâng cấp, bảo trì, sửa chữa hạ tầng, thiết bị của cơ quan khi sử dụng hạ tầng của Trung tâm dữ liệu quốc gia.

5. Kiến nghị Bộ Tài chính về mức thu, nộp, miễn, giảm, quản lý và sử dụng đối với phí khai thác và sử dụng thông tin trong cơ sở dữ liệu tổng hợp quốc gia, cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành thuộc ngành, lĩnh vực quản lý.

Chương VI

ĐIỀU KHOẢN THI HÀNH

Điều 33. Hiệu lực thi hành

Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2025.

Điều 34. Trách nhiệm thi hành

Bộ trưởng các bộ, Thủ trưởng các cơ quan ngang bộ, cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này.

 


Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- HĐND, UBND các tỉnh, thành phố trực thuộc trung ương;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng Dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Kiểm toán nhà nước;
- Ủy ban Trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan trung ương của các đoàn thể;
- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu: VT, KSTT (2)

TM. CHÍNH PHỦ
KT. THỦ TƯỚNG
PHÓ THỦ TƯỚNG




Nguyễn Chí Dũng

 

PHỤ LỤC

DANH MỤC HỒ SƠ VÀ BIỂU MẪU
(Kèm theo Nghị định số 165/2025/NĐ-CP ngày 30 tháng 6 năm 2025 của Chính phủ)

STT

Nội dung

Thành phần hồ sơ

Biểu mẫu

1

Đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới

Thông báo gửi hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới

Mẫu số 01a - Thông báo gửi hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới đối với cá nhân

Mẫu số 01b- Thông báo gửi hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới đối với tổ chức

Báo cáo đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới.

Mẫu số 02 - Báo cáo đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới

Thông báo kết quả hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới

Mẫu số 03- Thông báo kết quả hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới

Bản sao Hợp đồng hoặc các văn bản thỏa thuận có hiệu lực pháp lý khác được ký kết với bên nhận dữ liệu

 

Trường hợp bên chuyển dữ liệu là tổ chức: Bản sao quyết định thành lập, giấy chứng nhận đăng ký doanh nghiệp hoặc các giấy tờ khác có giá trị tương đương của bên chuyển dữ liệu

 

Trường hợp bên chuyển dữ liệu là cá nhân: bản sao thẻ căn cước, hộ chiếu hoặc giấy tờ định danh cá nhân khác còn hiệu lực ít nhất 06 tháng tính tới thời điểm nộp hồ sơ của bên chuyển dữ liệu

 

Trường hợp bên nhận dữ liệu là tổ chức: Bản sao quyết định thành lập, giấy chứng nhận đăng ký doanh nghiệp hoặc các giấy tờ khác có giá trị tương đương của bên nhận dữ liệu

 

Trường hợp bên nhận dữ liệu là cá nhân: bản sao hộ chiếu hoặc giấy tờ định danh cá nhân khác còn hiệu lực ít nhất 06 tháng tính tới thời điểm nộp hồ sơ của bên nhận dữ liệu

 

2

Chấm dứt chuyển, xử lý dữ liệu xuyên biên giới

Thông báo chấm dứt chuyển, xử lý dữ liệu xuyên biên giới

Mẫu số 04a - Thông báo chấm dứt chuyển dữ liệu xuyên biên giới của cá nhân

Mẫu 04b - Thông báo chấm dứt chuyển dữ liệu xuyên biên giới của tổ chức

Trường hợp bên chuyển dữ liệu là tổ chức: Bản sao quyết định thành lập, giấy chứng nhận đăng ký doanh nghiệp hoặc các giấy tờ khác có giá trị tương đương của bên chuyển dữ liệu

 

Trường hợp bên chuyển dữ liệu là cá nhân: bản sao thẻ căn cước, hộ chiếu hoặc giấy tờ định danh cá nhân khác còn hiệu lực ít nhất 06 tháng tính tới thời điểm nộp hồ sơ

 

 

 

Biên bản hoặc văn bản thỏa thuận khác về việc chấm dứt chuyển, xử lý dữ liệu biên giới và trách nhiệm của các bên sau thời gian chấm dứt chuyển, xử lý dữ liệu xuyên biên giới

 

3

Đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng

Thông báo gửi báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng

Mẫu 05a - Thông báo gửi báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng đối với cá nhân

 

Mẫu 05b - Thông báo gửi báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng đối với tổ chức

Báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng

Mẫu 06 - Báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng

Bản sao Hợp đồng hoặc các văn bản thỏa thuận có hiệu lực pháp lý khác được ký kết với bên nhận, nhận ủy thác xử lý dữ liệu (nếu có thực hiện cung cấp, ủy thác xử lý dữ liệu)

 

 

 

Trường hợp bên báo cáo là tổ chức: Bản sao quyết định thành lập, giấy chứng nhận đăng ký doanh nghiệp hoặc các giấy tờ khác có giá trị tương đương của bên báo cáo

 

 

 

Trường hợp bên báo cáo là cá nhân: bản sao thẻ căn cước, hộ chiếu hoặc giấy tờ định danh cá nhân khác còn hiệu lực ít nhất 06 tháng tính tới thời điểm nộp hồ sơ của bên báo cáo

 

 

 

Trường hợp bên nhận, nhận ủy thác xử lý dữ liệu là tổ chức: Bản sao quyết định thành lập, giấy chứng nhận đăng ký doanh nghiệp hoặc các giấy tờ khác có giá trị tương đương của bên nhận, nhận ủy thác xử lý dữ liệu

 

 

 

Trường hợp bên nhận, nhận ủy thác xử lý dữ liệu là cá nhân: bản sao hộ chiếu hoặc giấy tờ định danh cá nhân khác còn hiệu lực ít nhất 06 tháng tính tới thời điểm nộp hồ sơ của bên nhận, nhận ủy thác xử lý dữ liệu.

 

 

Khai thác thông tin trong Cơ sở dữ liệu tổng hợp quốc gia

 

Mẫu số 07a - Phiếu đề nghị khai thác thông tin trong Cơ sở dữ liệu tổng hợp quốc gia

 

 

Mẫu số 07b - Phiếu cung cấp thông tin trong Cơ sở dữ liệu tổng hợp quốc gia

 

Mẫu 01a

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

…., ngày … tháng … năm …

THÔNG BÁO GỬI HỒ SƠ ĐÁNH GIÁ
TÁC ĐỘNG CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

Kính gửi: Trung tâm Dữ liệu Quốc gia - Bộ Công an.

Thực hiện quy định của Luật Dữ liệu về dữ liệu cốt lõi, dữ liệu quan trọng, kính gửi Bộ Công an Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới, như sau:

1. Thông tin về người gửi hồ sơ

- Tên cá nhân:   ………………………………………………………………

- Địa chỉ:…………………………………………………………………….

Số CMTND/Thẻ căn cước công dân/Hộ chiếu………………………………

cấp ngày……../……../………. tại……………………………………………

- Số điện thoại:…………………………………………………………………

- Email:…………………………………………………………………………

- Đơn vị công tác (nếu có):………………………………………………………

2. Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

1. …………………………………………………………………………

2. …………………………………………………………………………

3. Cam kết

Tôi xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới và tài liệu kèm theo./.

 


Nơi nhận:
- Như trên;

NGƯỜI GỬI HỒ SƠ
(Ký, ghi rõ họ tên)

 

Mẫu số 01b

TÊN TỔ CHỨC
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số:

……, ngày … tháng …năm …

 

THÔNG BÁO GỬI HỒ SƠ ĐÁNH GIÁ
TÁC ĐỘNG CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

Kính gửi: Trung tâm Dữ liệu Quốc gia - Bộ Công an.

Thực hiện quy định của Luật Dữ liệu về dữ liệu cốt lõi, dữ liệu quan trọng, kính gửi Bộ Công an Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới, như sau:

1. Thông tin về tổ chức, doanh nghiệp

- Tên tổ chức, doanh nghiệp:………………………………………………………..

- Địa chỉ trụ sở chính:……………………………………………………………….

- Địa chỉ trụ sở giao dịch:…………………………………………………………..

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: …… do .... cấp ngày ... tháng ... năm ... tại ...

- Điện thoại:…………………. Website………………………………………   

- Nhân sự chịu trách nhiệm bảo vệ an toàn dữ liệu:

Họ và tên:………………………………………………………………………

Chức danh:……………………………………………………………………..

Số điện thoại liên lạc (cố định và di động):…………………………………….

Email:…………………………………………………………………………..

2. Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

1. ……………………………………………………………………….

2. ……………………………………………………………………….

3. Cam kết

(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới và tài liệu kèm theo.

 

 

Nơi nhận:
- Như trên;

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

 

Mẫu số 02

BÁO CÁO ĐÁNH GIÁ TÁC ĐỘNG
CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

I. THÔNG TIN VỀ BÊN CHUYỂN DỮ LIỆU

1

Tên tổ chức/cá nhân (tiếng Việt):

1a

Tên tổ chức/cá nhân (quốc tế):

1b

Tên tổ chức/cá nhân (viết tắt):

1c

Mã số thuế

 

 

 

 

2

Số giấy định danh cá nhân (trường hợp là cá nhân):

3

 

Loại hình doanh nghiệp (theo quy định tại Nghị định 53/2023/NĐ-CP)

 

 

Trong nước   

ớc ngoài   ☐

4

Địa chỉ (trụ sở chính/nơi cư trú):

 

 

5

Người đại diện:

 

 

6

Chi nhánh, văn phòng đại diện (tên và địa chỉ)::

 

 

7

Điện thoại:

8

Fax:

9

Email:

10

Website:

11

Mạng xã hội (tên tài khoản mạng xã hội được sử dụng chính thức của tổ chức, cá nhân):

12

Ngày tháng năm thành lập (kèm theo bản sao giấy chứng nhận đăng ký kinh doanh hoặc các giấy tờ khác liên quan tới việc thành lập công ty):

13

Lĩnh vực, ngành nghề đăng ký kinh doanh chính:

14

Sự tuân thủ pháp luật Việt Nam (Mô tả ngắn gọn các hình phạt hành chính, điều tra và cải chính mà đơn vị nhận được trong hai năm qua trong quá trình hoạt động kinh doanh, tập trung vào các tình huống liên quan đến an ninh mạng và dữ liệu.)

15

Bộ phận có chức năng bảo vệ an toàn dữ liệu (kèm theo bản sao quyết định phân công hoặc các giấy tờ khác có liên quan tới việc phân công thực hiện nhiệm vụ bảo vệ an toàn dữ liệu):

Địa chỉ:

Chức năng, nhiệm vụ:  

16

Thông tin về người đứng đầu bộ phận có chức năng bảo vệ an toàn dữ liệu

Tên người đứng đầu bộ phận:

Ngày, tháng, năm sinh:  Giới tính: Nam ☐ / Nữ: ☐

Chức vụ:

Học hàm, học vị/ Trình độ chuyên môn:

Điện thoại cơ quan:…………………………… Mobile:…………………………

E-mail:……………………………………………………………………………..

17

Người thực hiện nhiệm vụ bảo vệ an toàn dữ liệu (Thống kê những người được phân công thực hiện nhiệm vụ bảo vệ an toàn dữ liệu)

TT

Họ và tên

Chức vụ

SĐT, Email liên h

1

 

 

 

2

 

 

 

3

 

 

 

II. THÔNG TIN CỦA BÊN NHẬN DỮ LIỆU (THEO HỢP ĐỒNG) (Ghi cụ thể từng tổ chức là Bên nhận dữ liệu, kèm theo hợp đồng hoặc các văn bản khác thể hiện sự liên quan tới việc nhận dữ liệu xuyên biên giới)

1

Tên tổ chức/cá nhân (tiếng Việt):

1a

Tên tổ chức/cá nhân (quốc tế):

1b

Tên tổ chức/cá nhân (viết tắt):

1c

Mã số thuế

 

 

 

 

2

Số giấy định danh cá nhân (trường hợp là cá nhân):

3

 

Loại hình doanh nghiệp (theo quy định tại Nghị định 53/2023/NĐ-CP)

 

 

Trong nước ☐

ớc ngoài ☐

4

Địa chỉ (trụ sở chính):

 

 

5

Người đại diện:

 

 

6

Chi nhánh, văn phòng đại diện (tên và địa chỉ)::

 

 

7

Điện thoại:

8

Fax:

9

Email:

10

Website:

11

Mạng xã hội (tên tài khoản mạng xã hội được sử dụng chính thức của tổ chức, cá nhân):

12

Ngày tháng năm thành lập (kèm theo bản sao giấy chứng nhận đăng ký kinh doanh hoặc các giấy tờ khác liên quan tới việc thành lập công ty):

13

Lĩnh vực, ngành nghề đăng ký kinh doanh chính:

14

Sự tuân thủ pháp luật Việt Nam (Mô tả ngắn gọn các hình phạt hành chính, điều tra và cải chính mà đơn vị nhận được trong hai năm qua trong quá trình hoạt động kinh doanh, tập trung vào các tình huống liên quan đến an ninh mạng và dữ liệu.)

 

II. HOẠT ĐỘNG CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

1

Mục đích chuyển, xử lý dữ liệu xuyên biên giới (nêu rõ mục đích/tại sao chuyển, xử lý dữ liệu xuyên biên giới)

 

 

 

 

2

Hoạt động chuyển, xử lý dữ liệu xuyên biên giới (nêu cụ thể các hoạt động chuyển, xử lý dữ liệu xuyên biên giới phù hợp với mục đích chuyển, xử lý dữ liệu)

 

 

 

 

3

Loại dữ liệu (dữ liệu nào được chuyển, xử lý dữ liệu xuyên biên giới)

4

Khối lượng dữ liệu dự kiến chuyển (nêu rõ khối lượng dữ liệu bằng Byte, Megabyte, Gigabyte, Terabitye...)

 

 

5

Thời gian chuyển, xử lý dữ liệu xuyên biên giới (nêu rõ thời gian dự kiến xử lý đối với từng hoạt động xử lý dữ liệu cá nhân; trường hợp có nhiều mốc thời gian xử lý dữ liệu khác nhau thì nêu rõ từng mốc thời gian xử lý)

 

 

6

Thời gian dự kiến để xóa, hủy dữ liệu của bên nhận (nêu rõ khoảng thời gian dự kiến đối với từng loại dữ liệu)

 

Từ:      

Đến:

7

Cách thức xóa, hủy dữ liệu (có thể khôi phục, không thể khôi phục)

 

 

8

Biện pháp bảo vệ dữ liệu

8.1

Biện pháp quản lý (nêu rõ tên biện pháp, trường hợp đã ban hành thì nêu rõ tên, số hiệu, trích yếu, văn bản)

 

 

8.2

Biện pháp kỹ thuật (nêu rõ biện pháp đã áp dụng (phần cứng, phần mềm, hệ thống, thiết bị và mục đích của việc áp dụng)

 

 

8.3

Áp dụng tiêu chuẩn bảo vệ dữ liệu (nêu cụ thể tên tiêu chuẩn đã áp dụng nội dung áp dụng)

 

 

8.4

Kiểm tra an ninh mạng đối với hệ thống thông tin, phương tiện, thiết bị nhằm bảo vệ dữ liệu (nêu cụ thể nội dung, đối tượng, tần suất, mục đích)

 

III

ĐÁNH GIÁ RỦI RO CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

1

Tính cần thiết của việc chuyển, xử lý dữ liệu xuyên biên giới (nêu rõ tính cần thiết của việc chuyển, xử lý dữ liệu xuyên biên giới, phương án thay thế về bên nhận (nếu có)):

2

Phương thức chuyển dữ liệu xuyên biên giới (nêu rõ phương thức với từng loại dữ liệu nếu có nhiều phương thức):

3

Cách thức xử lý và lưu trữ dữ liệu của bên nhận (nêu rõ với từng loại dữ liệu):

4

Biện pháp bảo vệ dữ liệu mà bên nhận áp dụng (nêu rõ và mô tả các biện pháp cả về kỹ thuật và biện pháp khác):

5

Đánh giá rủi ro (nêu rõ quy mô, phạm vi và độ nhạy cảm của dữ liệu được chuyển, xử lý xuyên biên giới và dự đoán những rủi ro có thể xảy đến với an ninh quốc gia, hoạt động kinh tế, ổn định xã hội, lợi ích công cộng hoặc quyền và lợi ích hợp pháp của cá nhân tổ chức; nêu rõ phương án phòng ngừa):

6

Phương án xử lý rủi ro dữ liệu bị giả mạo, phá hủy, rò rỉ, mất, chuyển giao hoặc có được hoặc sử dụng bất hợp pháp trong hoặc sau khi dữ liệu đưc chuyển, xử lý xuyên biên giới:

 

Mẫu số 03

……………………….
…………………………….

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

 

……., ngày … tháng … năm …..

 

THÔNG BÁO KẾT QUẢ HỒ SƠ ĐÁNH GIÁ
TÁC ĐỘNG CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

Kính gửi: …………………………………………

Căn cứ theo thông báo số ....ngày... tháng....năm....của cơ quan/đơn vị/tổ chức……….. về việc gửi hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới.

1. Thông tin về tổ chức, doanh nghiệp

- Tên tổ chức, doanh nghiệp:…………………………………………..

- Địa chỉ trụ sở chính:………………………………………………….

- Địa chỉ trụ sở giao dịch:……………………………………………..

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ….. do .... cấp ngày ... tháng ... năm ... tại ...

- Điện thoại: ……………………… Website……………………………..

2. Phản hồi kết quả hồ sơ

(Chúng) tôi gửi thông báo này cho cơ quan/đơn vị/ tổ chức được biết kết quả hồ sơ của đơn vị như sau:

- Đạt:                          

- Không đạt:               

Lý do không đạt:……………………………………. (Cụ thể tại tài liệu đính kèm).

3. Tài liệu đính kèm (Nếu có)

1. …………………………………………………………………

2. …………………………………………………………………

Nếu nhận được thông báo này, còn điểm nào chưa rõ đề nghị cơ quan/đơn vị/tổ chức cho ý kiến. (Chúng) tôi sẵn sàng trả lời thêm./.

Trân trọng cảm ơn!

 

Nơi nhận:
- Như trên;

TM. THỦ TRƯỞNG CƠ QUAN
(Ký, ghi rõ họ tên, đóng dấu)

 

Mẫu số 04a

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

…., ngày ... tháng ... năm ....

THÔNG BÁO CHẤM DỨT
CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

Kính gửi: Trung tâm Dữ liệu Quốc gia - Bộ Công an.

Thực hiện quy định của Luật Dữ liệu về dữ liệu cốt lõi, dữ liệu quan trọng, kính gửi Bộ Công an Thông báo chấm dứt chuyển, xử lý dữ liệu xuyên biên giới, như sau:

1. Thông tin về người gửi hồ sơ

- Tên cá nhân:……………………………………………………………….

- Địa chỉ:……………………………………………………………………..

Số CMTND/Thẻ căn cước công dân/Hộ chiếu………………………………

cấp ngày …../…../…….. tại ..………………………………………………..

- Số điện thoại:……………………………………………………………….

- Email:………………………………………………………………………..

- Đơn vị công tác (nếu có):…………………………………………………….

2. Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới gửi ngày …../…./…..

Số giấy tiếp nhận hồ sơ:………………………………………………..

3. Thời gian chấm dứt chuyển, xử lý dữ liệu xuyên biên giới:……./……./…….

- Thời gian xóa, hủy dữ liệu tại bên nhận:

4. Tài liệu kèm theo:

…………………………………………………………………………………..

…………………………………………………………………………………..

…………………………………………………………………………………..

5. Cam kết

Tôi xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Thông báo chấm dứt chuyển, xử lý dữ liệu xuyên biên giới và tài liệu kèm theo./.

 

Nơi nhận:
- Như trên;

NGƯỜI GỬI HỒ SƠ
(Ký, ghi rõ họ tên)

 

Mẫu số 04b

TÊN TỔ CHỨC
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số:

….., ngày … tháng … năm …

 

THÔNG BÁO CHẤM DỨT
CHUYỂN, XỬ LÝ DỮ LIỆU XUYÊN BIÊN GIỚI

Kính gửi: Trung tâm Dữ liệu Quốc gia - Bộ Công an.

Thực hiện quy định của Luật Dữ liệu về dữ liệu cốt lõi) dữ liệu quan trọng, kính gửi Bộ Công an Thông báo chấm dứt chuyển, xử lý dữ liệu xuyên biên giới, như sau:

1. Thông tin về tổ chức, doanh nghiệp

- Tên tổ chức, doanh nghiệp:…………………………………………….

- Địa chỉ trụ sở chính:……………………………………………………..

- Địa chỉ trụ sở giao dịch:…………………………………………………

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ……. do .... cấp ngày ... tháng ... năm ... tại ...

- Điện thoại:……………….. Website………………………………………….

- Nhân sự chịu trách nhiệm bảo vệ an toàn dữ liệu:

Họ và tên:………………………………………………………………..

Chức danh:……………………………………………………………….

Số điện thoại liên lạc (cố định và di động):……………………………….

Email:………………………………………………………………………

2. Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới gửi ngày ..../..../....

Số giấy tiếp nhận hồ sơ:……………………………………………………

3. Thời gian chấm dứt chuyển, xử lý dữ liệu xuyên biên giới:

- Thời gian xóa, hủy dữ liệu tại bên nhận:

4. Tài liệu kèm theo:

………………………………………………………………………………..

5. Cam kết

(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Thông báo chấm dứt chuyển, xử lý dữ liệu xuyên biên giới và tài liệu kèm theo.

 

Nơi nhận:
- Như trên;
- …

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

 

Mẫu số 05a

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

…, ngày ... tháng ... năm ....

THÔNG BÁO GỬI BÁO CÁO ĐÁNH GIÁ RỦI RO
HOẠT ĐỘNG XỬ LÝ DỮ LIỆU CỐT LÕI, DỮ LIỆU QUAN TRỌNG

Kính gửi: Trung tâm Dữ liệu Quốc gia - Bộ Công an.

Thực hiện quy định của Luật Dữ liệu về dữ liệu cốt lõi, dữ liệu quan trọng, kính gửi Bộ Công an Báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng, như sau:

1. Thông tin về người gửi hồ sơ

- Tên cá nhân:……………………………………………………………….

- Địa chỉ:…………………………………………………………………….

Số CMTND/Thẻ căn cước công dân/Hộ chiếu……………………………..  

cấp ngày ……../……./……….. tại………………………………………….

- Số điện thoại:……………………………………………………………..

- Email:……………………………………………………………………..

- Đơn vị công tác (nếu có):……………………………………………….

2. Báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

1. ………………………………………………………………………..

2. ………………………………………………………………………..

3. Cam kết

Tôi xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng và tài liệu kèm theo./.

 

Nơi nhận:
- Như trên;

NGƯỜI GỬI HỒ SƠ
(Ký, ghi rõ họ tên)

 

Mẫu số 05b

TÊN TỔ CHỨC
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số:

……, ngày … tháng … năm …

 

THÔNG BÁO GỬI BÁO CÁO ĐÁNH GIÁ RỦI RO
HOẠT ĐỘNG XỬ LÝ DỮ LIỆU CỐT LÕI, DỮ LIỆU QUAN TRỌNG

Kính gửi: Trung tâm Dữ liệu Quốc gia - Bộ Công an.

Thực hiện quy định của Luật Dữ liệu về dữ liệu cốt lõi, dữ liệu quan trọng, kính gửi Bộ Công an Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới, như sau:

1. Thông tin về tổ chức, doanh nghiệp

- Tên tổ chức, doanh nghiệp:…………………………………………………….

- Địa chỉ trụ sở chính:……………………………………………………………

- Địa chỉ trụ sở giao dịch:……………………………………………………….

- Quyết định thành lập/Giấy chứng nhận đăng ký doanh nghiệp/Giấy chứng nhận đăng ký kinh doanh/Giấy chứng nhận đầu tư số: ……… do .... cấp ngày ... tháng ... năm ... tại ...

- Điện thoại:…………………..Website……………………………………..

- Nhân sự chịu trách nhiệm bảo vệ an toàn dữ liệu:

Họ và tên:……………………………………………………………………

Chức danh:……………………………………………………………………

Số điện thoại liên lạc (cố định và di động):…………………………………...

Email:…………………………………………………………………………

2. Báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng (bao gồm các hồ sơ theo mẫu, tài liệu, văn bản, hình ảnh kèm theo)

1. ……………………………………………………………………………..

2. ……………………………………………………………………………..

3. Cam kết

(Tên cơ quan, tổ chức, doanh nghiệp) xin cam kết: Chịu trách nhiệm trước pháp luật về tính chính xác và tính hợp pháp của Báo cáo đánh giá rủi ro hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng và tài liệu kèm theo.

 

Nơi nhận:
- Như trên;

TM. TỔ CHỨC, DOANH NGHIỆP
(Ký, ghi rõ họ tên, đóng dấu)

 

Mẫu số 06

BÁO CÁO ĐÁNH GIÁ RỦI RO
HOẠT ĐỘNG XỬ LÝ DỮ LIỆU CỐT LÕI, DỮ LIỆU QUAN TRỌNG

I. THÔNG TIN VỀ CHỦ QUẢN DỮ LIỆU

1

Tên tổ chức/cá nhân (tiếng Việt):

 

Tên tổ chức/cá nhân (quốc tế):

 

Số giấy tờ định danh (Trường hợp là cá nhân):

 

Tên tổ chức/cá nhân (viết tắt):

 

Mã số thuế

 

 

 

 

2

Mã số doanh nghiệp:

3

Loại hình doanh nghiệp (theo quy định tại Nghị định 53/2023/NĐ-CP)

 

 

Trong nước ☐

ớc ngoài ☐

4

Địa chỉ (trụ sở chính):

 

 

5

Người đại diện:

 

 

6

Chi nhánh, văn phòng đại diện (tên và địa chỉ)::

 

 

7

Điện thoại:

8

Fax:

9

Email:

10

Website:

11

Mạng xã hội (tên tài khoản mạng xã hội được sử dụng chính thức của tổ chức, cá nhân):

12

Ngày tháng năm thành lập (kèm theo bản sao giấy chứng nhận đăng ký kinh doanh hoặc các giấy tờ khác liên quan tới việc thành lập công ty):

13

Lĩnh vực, ngành nghề đăng ký kinh doanh chính:

14

Bộ phận có chức năng bảo vệ an toàn dữ liệu (kèm theo bản sao quyết định phân công hoặc các giấy tờ khác có liên quan tới việc phân công thực hiện nhiệm vụ bảo vệ an toàn dữ liệu):

 

Địa chỉ tổ chức:

Chức năng, nhiệm vụ:

15

Thông tin về người đứng đầu bộ phận có chức năng bảo vệ an toàn dữ liệu

Tên người đứng đầu bộ phận:

Ngày, tháng, năm sinh:               Giới tính: Nam ☐ / Nữ: ☐

Chức vụ:

Học hàm, học vị/ Trình độ chuyên môn:

Số điện thoại:………………………………………………………………

E-mail:……………………………………………………………………………..

16

Người thực hiện nhiệm vụ bảo vệ an toàn dữ liệu (Thống kê những người được phân công thực hiện nhiệm vụ bảo vệ an toàn dữ liệu)

TT

Họ và tên

Chức vụ

SĐT, Email liên h

1

 

 

 

2

 

 

 

3

 

 

 

 

 

II. HOẠT ĐỘNG XỬ LÝ DỮ LIỆU CỐT LÕI, DỮ LIỆU QUAN TRỌNG CỦA CHỦ QUẢN DỮ LIỆU

1

Mục đích xử lý dữ liệu cốt lõi, dữ liệu quan trọng (nêu rõ mục đích/tại sao thu thập, xử lý dữ liệu, bảo đảm nguyên tắc mục đích, phù hợp với hoạt động của tổ chức)

 

 

 

 

2

Hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng (nêu cụ thể các hoạt động xử lý dữ liệu phù hợp với mục đích xử lý dữ liệu)

 

 

 

 

3

Loại dữ liệu được xử lý (dữ liệu nào được thu thập, xử lý )

4

Khối lượng dữ liệu (nêu rõ khối lượng dữ liệu bằng Byte, Megabyte, Gigabyte, Terabitye...)

5

Thời gian xử lý dữ liệu (nêu rõ thời gian dự kiến xử lý dữ liệu đối với từng hoạt động xử lý dữ liệu; trường hợp có nhiều mốc thời gian xử lý dữ liệu khác nhau thì nêu rõ từng mốc thời gian xử lý)

6

Thời gian lưu trữ dữ liệu (nêu rõ khoảng thời gian dự kiến lưu trữ dữ liệu đối với từng loại dữ liệu, từng hoạt động xử lý dữ liệu; trường hợp theo quy định của pháp luật thì nêu rõ theo quy định nào;)

7

Vị trí lưu trữ dữ liệu (nêu rõ vị trí lưu trữ của từng loại dữ liệu trong trường hợp có nhiều vị trí lưu trữ dữ liệu)

8

Phương pháp xử lý dữ liệu (nêu rõ phương pháp xử lý đối vi từng hoạt động xử lý dữ liệu và từng loại dữ liệu)

9

Hệ thống xóa, hủy dữ liệu (nêu rõ mục tiêu, quy tắc, quy trình, kỹ thuật xóa, hủy, ghi nhận và lưu giữ hoạt động xóa, hủy)

10

Hệ thống quản lý an ninh dữ liệu

10.1

Biện pháp quản lý (nêu rõ biện pháp đã áp dụng, đính kèm theo chính sách đã ban hành nếu có, đánh giá hiệu quả của biện pháp)

10.2

Biện pháp kỹ thuật (nêu rõ biện pháp đã áp dụng, bao gồm cả nội dung về phần cứng, phần mềm, hệ thống, thiết bị và mục đích của việc áp dụng, đánh giá hiệu quả của biện pháp)

10.3

Biện pháp khác (nêu rõ biện pháp đã áp dụng, đánh giá hiệu quả của biện pháp)

 

 

10.4

Rủi ro an toàn dữ liệu đã được phát hiện (nêu cụ thể rủi ro đã phát hiện, thời gian, cách giải quyết)

 

 

10.5

Sự cố an toàn dữ liệu đã xảy ra (nêu cụ thể tình huống, nguyên nhân sự cố, thời gian, cách giải quyết)

 

 

 

III

CUNG CẤP, ỦY THÁC XỬ LÝ DỮ LIỆU CỐT LÕI, DỮ LIỆU QUAN TRỌNG (trong trường hợp có nhiều bên, nêu rõ từng bên theo mẫu bên dưới)

Có ☐   /   Không: ☐

1

Thông tin về Bên nhận, nhận ủy thác xử lý dữ liệu cốt lõi, dữ liệu quan trọng (nếu có)

a)

Tên tổ chức/cá nhân (tiếng Việt):

b)

Tên tổ chức/cá nhân (quốc tế):

c)

Tên tổ chức/cá nhân (viết tắt):

d)

Mã số thuế

e)

Số giấy tờ định danh cá nhân:
(Trường hợp là cá nhân)

g)

Loại hình doanh nghiệp (theo quy định tại Nghị định 53/2023/NĐ-CP)

 

 

Trong nước      ☐

ớc ngoài        ☐

h)

Địa chỉ (trụ sở chính/nơi cư trú):

i)

Người đại diện:

k)

Chi nhánh, văn phòng đại diện (tên và địa chỉ)::

l)

Điện thoại:

m)

Fax:

n)

Email:

o)

Webstie:

p)

Mạng xã hội (tên tài khoản mạng xã hội được sử dụng chính thức của tổ chức, cá nhân):

q)

Lĩnh vực, ngành nghề đăng ký kinh doanh chính:

2

Mục đích nhận, nhận ủy thác xử lý dữ liệu cốt lõi, dữ liệu quan trọng: (nêu rõ mục đích với từng hoạt động nhận, xử lý dữ liệu)

3

Hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng của Bên nhận, nhận ủy thác xử lý dữ liệu (nêu cụ thể các hoạt động xử lý dữ liệu phù hợp với mục đích xử lý dữ liệu)

4

Loại dữ liệu được xử lý (dữ liệu nào được nhận, nhận ủy thác xử lý)

5

Khối lượng dữ liệu (nêu rõ khối lượng từng loại dữ liệu bằng Byte, Megabyte, Gigabyte, Terabitye...)

6

Thời gian xử lý dữ liệu (nêu rõ thời gian dự kiến xử lý dữ liệu đối với từng hoạt động xử lý dữ liệu; trường hợp có nhiều mốc thời gian xử lý dữ liệu khác nhau thì nêu rõ từng mốc thời gian xử lý)

7

Thời gian lưu trữ dữ liệu (nêu rõ khoảng thời gian dự kiến lưu trữ dữ liệu đối với từng loại dữ liệu, từng hoạt động xử lý dữ liệu; trường hợp theo quy định của pháp luật thì nêu rõ theo quy định nào;)

8

Vị trí lưu trữ dữ liệu (nêu rõ vị trí lưu trữ của từng loại dữ liệu trong trường hợp có nhiều vị trí lưu trữ dữ liệu)

9

Phương pháp xử lý dữ liệu (nêu rõ phương pháp xử lý đối với từng hoạt động xử lý dữ liệu và từng loại dữ liệu)

 

Mẫu số 07a

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

..., ngày ...tháng ... năm …

PHIẾU ĐỀ NGHỊ

Khai thác, cung cấp thông tin trong Cơ sở dữ liệu tổng hợp quốc gia

Kính gửi: Trung tâm Dữ liệu Quốc gia - Bộ Công an.

I. THÔNG TIN CÁ NHÂN, TỔ CHỨC ĐỀ NGHỊ

1. Họ và tên người/người đại diện tổ chức đề nghị:………………………………

2. Ngày, tháng, năm sinh:……/……./……; 3. Giới tính:……………………....

4. Số định danh cá nhân:                            

5. Nơi cư trú (2):…………………………………………………………….

……………………………………………………………………………..          

II. THÔNG TIN NGƯỜI ĐẠI DIỆN THỰC HIỆN THỦ TỤC (nếu có)

1. Họ, chữ đệm và tên:………………………………………………………..…

2. Ngày, tháng, năm sinh:……/……./……; 3. Giới tính:……………………....

4. Số định danh cá nhân:    

III. NỘI DUNG ĐỀ NGHỊ(3) :

1. Phạm vi thông tin đề nghị khai thác:……………………………………….

2. Mục đích yêu cầu khai thác:…………………………………………………

3. Địa chỉ nhận kết quả:…………………………………………………………

…………………………………………………………………………………..

 

Nơi nhận:
- Như trên;

TM. TỔ CHỨC, DOANH NGHIỆP
(hoặc người gửi hồ sơ)
(Ký, ghi rõ họ tên, đóng dấu đối với doanh nghiệp)

 

Mẫu số 07b

………………………
……………………….

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

 

…., ngày … tháng…. năm ….

 

PHIẾU CUNG CẤP THÔNG TIN
trong Cơ sở dữ liệu tổng hợp quốc gia

Kính gửi:…………………………………………….

I. Thông tin cá nhân, cơ quan, tổ chức đề nghị cung cấp thông tin:

1. Họ và tên của cá nhân hoặc người đại diện cơ quan, tổ chức:

2. Số định danh cá nhân:

II. Thông tin trong Cơ sở dữ liệu tổng hợp quốc gia:

Trung tâm dữ liệu quốc gia cung cấp thông tin theo yêu cầu tại Phiếu số:

…………………………………………………………………………………….

Kết quả như sau:…………………………………………………………………

…………………………………………………………………………………….

…………………………………………………………………………………….

…………………………………………………………………………………….

…………………………………………………………………………………….

…………………………………………………………………………………….

 

 

…….., ngày……..tháng………năm…..
TM. THỦ TRƯỞNG CƠ QUAN
(Ký tên, đóng dấu hoặc ký số)

 

0
Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro
Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro
Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro
Tải về Nghị định 165/2025/NĐ-CP hướng dẫn Luật Dữ liệu
Tải bản PDF
Tải Văn bản tiếng Việt
Tải Văn bản tiếng Anh (Download English translation)
Tải văn bản gốc Nghị định 165/2025/NĐ-CP hướng dẫn Luật Dữ liệu

GOVERNMENT OF VIETNAM
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

No. 165/2025/ND-CP

Hanoi, June 30, 2025

 

DECREE

ELABORATING ON LAW ON DATA

Pursuant to the Law on Government Organization dated February 18, 2025;

Pursuant to the Law on Data dated November 30, 2024;

At the request of the Minister of Public Security of Vietnam;

The Government of Vietnam hereby promulgates the Decree elaborating on the Law on Data.

Chapter I

GENERAL PROVISIONS

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

This Decree provides for Clause 3 Article 13, Clause 5 Article 14, Clause 5 Article 15, Clause 3 Article 16, Clause 4 Article 17, Clause 4 Article 18, Clause 3 Article 20, Clause 5 Article 21, Clause 5 Article 22, Clause 4 Article 23, Clause 5 Article 25, Clause 4 Article 26, Clause 4 Article 27, Clause 3 Article 30, Clause 8 Article 31, Clause 5 Article 35, Clause 4 Article 36, and Clause 3 Article 37 of the Law on Data and the construction, development, protection, administration, processing, and use of data; assurance of resources for the operation of the National Data Center; responsibilities of agencies, organizations, and individuals relevant to data operations.

Article 2. Regulated entities

1. Vietnamese agencies, organizations, and individuals.

2. Foreign agencies, organizations, and individuals in Vietnam.

3. Foreign agencies, organizations, and individuals directly participating in or involved in operations concerning digital data in Vietnam.

Chapter II

DATA PROCESSING

Article 3. Criteria for determining important data

The determination of important data shall be based on the potential impact of the data on national defense and security, cipher, foreign affairs, macroeconomic situations, social stability, and community health and safety upon illegal collection or use (excluding state secrets), including:

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Data that may pose a dangerous impact on plans for developing foreign relations and/or affect national interests and the security of international cooperation, Vietnam’s overseas investment projects, energy security, and maritime security.

3. Data that may pose a dangerous impact on the development and operation of macroeconomic situations, key national economic sectors, total supply and demand of society, total national economic value, unemployment rate, and fields concerning monetary, trade, and import-export, as well as the supply of essential goods, products, and services.

4. Data that may pose a dangerous impact on the lives, health, honor, dignity, property, and legitimate rights and benefits of agencies, organizations, and individuals; prevention and control of epidemics; prevention, monitoring, and treatment of infectious and occupational diseases, and food safety and hygiene; labor supply and provision of public services.

Article 4. Criteria for determining core data

The determination of core data shall be based on the direct dangerous impact of the data on national defense and security, cipher, foreign affairs, macroeconomic situations, social stability, and community health and safety upon illegal collection or use (excluding state secrets), including:

1. Data that directly poses a dangerous impact on national security, independence, sovereignty, unity, and territorial integrity of the Fatherland and the protection of the CPV, State, and great national unity bloc; protection of political security and security in fields concerning ideology-culture, economy, national defense, foreign affairs, information, society, natural resources, environment, agriculture, biology, health, labor, construction, education, training, and science and technology.

2. Data that directly poses a dangerous impact on plans for developing foreign relations and/or affects national interests and the security of international cooperation, Vietnam’s overseas investment projects, energy security, and maritime security.

3. Data directly poses a dangerous impact on the development and operation of macroeconomic situations, key national economic sectors, total supply and demand of society, total national economic value, unemployment rate, and fields concerning monetary, trade, and import-export, as well as the supply of essential goods, products, and services.

4. Data that directly poses a dangerous impact on the lives, health, honor, dignity, property, and legitimate rights and benefits of agencies, organizations, and individuals; prevention and control of epidemics; prevention, monitoring, and treatment of infectious and occupational diseases, and food safety and hygiene; labor supply and provision of public services.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Data owners shall stipulate specific storage periods for their collected or generated data.

2. State agencies shall promulgated technical procedures for the storage of data under their management, ensuring safe data storage.

3. The National Data Center shall establish data storage services for the needs of data owners and data governing bodies. Data owners and data governing bodies shall cooperate with the National Data Center in developing implementation plans and roadmaps based on specific data storage services.

Article 6. Data access and retrieval

1. Data access refers to activities of approaching and interacting with data within the granted rights, including read access, write access, edit access, delete access, execute access, and other types of access as stipulated by the data owners or data governing bodies.

2. Data retrieval refers to activities of accessing and extracting data, including manual retrieval, automatic retrieval, real-time retrieval, and other types of retrieval as stipulated by the data owners or data governing bodies.

3. Principles of data access and retrieval:

a) Ensure legality and compliance with the procedures for data access and retrieval;

b) Ensure that data access and retrieval are conducted within the granted rights and necessary for the determined purposes.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) Management of use registration information;

b) Management of data access and retrieval authorization;

c) Management of data access and retrieval history;

d) Management of data access and retrieval tools.

Article 7. Support for data owners in data connection and sharing for state agencies

State agencies shall implement measures to support data owners in the data connection and sharing for state agencies, including:

1. Development of information systems to ensure data connection and sharing; protection and use of data shared by data owners for the determined purposes.

2. Development of procedures, applications, and software for data owners to exercise their rights over the data provided for state agencies under the law.

3. Ministers, Directors of ministerial agencies, Directors of governmental agencies, and Presidents of the People’s Committees of provinces and centrally affiliated cities shall decide on the support for data owners, including:

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Financial support to ensure connection and sharing; support to offset costs of data generation and collection based on the norms of state agencies;

c) Personnel support for data connection and sharing; support for training for personnel sources serving data connection and sharing;

d) Other forms of support.

Article 8. Provision of data for state agencies

1. Individuals and organizations are encouraged to provide and share their data with state agencies for purposes serving common benefits (e.g., healthcare, climate change, and traffic improvement), facilitating the summary and universalization of official statistics, and improving the provision of public services, public policy planning, or scientific research.

Organizations and individuals shall share and provide data voluntarily based on the consent of the data subject matters to process their personal data or the permission of data owners to use their non-personal data.

2. State agencies shall request organizations and individuals to provide data according to Clause 2 Article 18 of the Law on Data as follows:

a) Prepare written requests or other forms to ensure confirmation of the request for data provision, specifying the data types, detail levels, data volume, data access frequency, data provision method, legal ground, request reason, data use purpose, use duration, data provision deadline, and expected data processing;

b) Issue notices to the organizations or individuals subject to the data provision request of the sanctions to be imposed if the request is not complied with.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) The handover and receipt of data shall be conducted according to the proper subject, time, data type, detail level, data volume, data access frequency, and data provision method as requested;

b) Participants in the handover and receipt of data include the data owner, legal representative, or legal data manager/user; individual or representative of the organization assigned to manage and use the data;

c) The handover and receipt of data shall be recorded in writing;

d) The party requesting the data provision may request the data provider to supplement the data if the handed-over data does not meet the scope of the requested data.

4. Cancellation of data provision requests

a) A data provision request shall be canceled in cases where the data provision request is contrary to the Law on Data or other relevant laws; the data provision request has not been implemented, but the conditions for data provisions prescribed in Clause 1 Article 18 of the Law on Data no longer exist; the data provision request has not been implemented, but the data no longer exists due to objective reasons;

b) The cancellation of any data provision request shall be recorded in writing.

5. Requests for revision or withdrawal of data provision requests

a) Before the designated deadline for data provision, the data owner, legal representative, or legal data manager/user may request the competent authority to revise or withdraw the data provision request;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6. Authority to request data provision

Ministers, Directors of ministerial agencies, Presidents of the People’s Committees of provinces and centrally affiliated cities, the Director of the National Data Center, and Directors of Police Authorities of provinces and centrally affiliated cities may request data provision within their scope of tasks and entitlements.

Article 9. Data confirmation and authentication

1. Data confirmation shall be carried out as follows:

a) Data collected and updated to national databases, specialized databases, and other databases shall be confirmed by the data owners and/or data governing bodies;

b) The confirmation of data among state agencies and socio-political organizations shall be carried out through cooperation regulations and specific data provision, sharing, and connection methods;

c) Aside from the cases prescribed in Points a and b of this Clause, data confirmation shall be carried out under agreements between data users and data governing bodies, data owners, or other organizations according to the law;

d) Data owners and data governing bodies shall assume responsibility for the quality, reliability, and legality of the data (provided or confirmed by them), develop data confirmation procedures and forms, and organize data confirmation activities.

2. Data owners and data governing bodies shall develop data confirmation procedures and forms and organize the confirmation of data under their management and ownership.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4. Data confirmation and authentication shall be carried out in compliance with electronic authentication laws and relevant laws.

Article 10. Data disclosure

1. The disclosure of open data shall be carried out immediately after the data is classified as open data. Data owners and data governing bodies shall disclose open data through the following means:

a) National Data Portal;

b) Open data portals, web portals of ministries, central authorities, local authorities, and other systems and platforms;

c) Intermediary systems for data connection and sharing or other forms as prescribed by the law.

2. State agencies shall announce the list of open data, disclose open data under their management, and send them to the Ministry of Public Security of Vietnam for summary and publication on the National Data Portal.

3. Data of state agencies not prohibited from being disclosed for reasons related to national security, privacy rights, trade secrets, or other reasons as prescribed by the law shall be disclosed as open data.

4. State agencies shall develop and implement open data disclosure decisions, determining the list of disclosed open data and mechanisms for collecting and analyzing feedback from individuals and organizations on the use of open data. They shall also assess the quality, usability, and compliance with laws concerning open data.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Agencies, organizations, and individuals may use one or more encryption solutions and encryption and decryption processes in conformity with their data administration and management, including:

a) Data encryption solutions during data transmission;

b) Data encryption solutions during data storage;

c) Data encryption solutions on digital devices;

d) Hardware security solutions to prevent unauthorized access and ensure that encryption/decryption operations are only performed in safe environments;

dd) Decryption processes requiring identity authentication of the person performing the data decryption, determination, and authorization of access to the encrypted data;

e) Solutions to record encryption and decryption activities, ensuring legality, transparency, and fairness and serving lookup capability;

g) Other solutions and processes as prescribed by the law.

2. The Minister of Public Security of Vietnam shall decide or delegate the decision to apply data decryption solutions to cases prescribed in Clause 4 Article 22 of the Law on Data without requiring consent from data owners or data governing bodies, excluding cases concerning military or national defense.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 12. Cross-border data transfer and processing

1. Any data owner or data governing body that wishes to transfer or process core or important data across borders shall conduct an impact assessment as prescribed in Clause 2 of this Article.

The impact assessment for the transfer of core or important data abroad or to a foreign organization or individual shall be carried out once for the entire operational duration of the organization or enterprise and updated and supplemented as specified in Clause 8 of this Article.

2. The transferring party shall assess the impact based on the following:

a) Legality, necessity, scope, data transmission methods, and data processing methods of the receiving party;

b) Risks that the data transfer may pose to national defense, security, economic activities, foreign affairs, social stability, public benefits, or legitimate rights  and benefits of organizations or individuals; risks of data being forged, destroyed, leaked, lost, or misused;

c) Responsibilities, obligations, and managerial and technical measures of the receiving party;

d) Other relevant issues.

3. The written agreement between the transferring party and the receiving party shall determine:

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Data storage location, period, and data processing methods after the storage period or the completion of the agreed objectives;

c) Binding requirements for the receiving party regarding the provision of the transferred data to a third party;

d) Measures to protect the data to be used by the receiving party;

dd) Remedial measures, compensation for damage, contractual violation handling, and measures to settle disputes for violations of data protection obligations;  

e) Responsibilities of the concerned parties in data processing.

4. A dossier on assessment of the impact of cross-border data transfer or processing includes an impact assessment report on the cross-border data transfer or processing (following Form No. 02 enclosed with this decree) and relevant documents.

5. Where the data transferred or processed abroad is core data:

a) The transferring party shall send the dossier on assessment of the impact of cross-border data transfer or processing to the Ministry of Public Security of Vietnam or the Ministry of National Defense of Vietnam if it concerns military, national defense, or cipher;

b) The unit in charge of the Ministry of National Defense of Vietnam or the Ministry of Public Security of Vietnam shall receive the dossier and inspect its adequacy and validity. Where the dossier is inadequate, the unit shall request the transferring party to supplement and complete the dossier;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

d) The transferring party shall receive a written notice of the assessment results. After receiving a qualified assessment result, the data governing body shall issue a decision on the transfer of core data abroad or cross-border data processing.

6. Where the data transferred or processed across borders is important data:

The transferring party shall prepare a dossier on impact assessment before cross-border data transfer or processing in service of the inspection and assessment of the Ministry of Public Security of Vietnam or the Ministry of National Defense of Vietnam if necessary (without requiring approval from a competent authority).

The transferring party shall send 1 original copy of the dossier to the Ministry of Public Security of Vietnam or the Ministry of National Defense of Vietnam following the form enclosed with this Decree 15 days before the data processing.

7. The impact assessment of the competent authority shall focus on the potential risks the cross-border data transfer or processing may pose to national security, public benefits, or legitimate rights and benefits of specific organizations or individuals, including:

a) Legality and necessity of the purposes, scope, and methods of data transfer or processing;

b) Impacts of policies and regulations on data protection and cybersecurity environment of the nation or region of the receiving party regarding the confidentiality of data; data protection levels of the receiving party compared to the applicable Vietnamese technical regulations and standards;

c) Scale, scope, data types, and risks of data being forged, destroyed, leaked, lost, or illegally transferred or used after the transfer;

d) Responsibilities and obligations of the concerned parties;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

8. The transferring party shall revise and supplement the dossier on assessment of the impact of cross-border data transfer or processing in the following cases:

a) Upon changes to the purpose, method, scope, and type of data to be transferred or processed and/or changes to the purpose or method of data processing of the receiving party, impacting data security; upon prolonged storage of core or important data;

b) Upon changes to policies and regulations on data protection and cybersecurity environment in the nation or region of the receiving party, changes to the actual control rights of the transferring or receiving party, and other impacts on the confidentiality of the transferred data.

9. The Ministry of National Defense of Vietnam or the Ministry of Public Security of Vietnam shall request the transferring party to cease their transfer or processing of core or important data in the following cases:

a) The core or important data transferred or processed across borders is used for activities that infringe on national defense, security, national benefits, public benefits, and legitimate rights and benefits of the data subject matter or data owner according to the law of Vietnam and international treaties to which the Socialist Republic of Vietnam is a signatory.

b) The transferring party fails to comply with this Article;

c) Upon violations of regulations on data protection.

10. The quantification of core or important data upon cross-border data transfer or processing shall be determined based on the accumulated volume of data transferred or processed across borders, starting from July 1, 2025 until the time of data transfer or processing.

11. Cases where approval from competent authorities is not required for cross-border core data transfer or processing according to Clause 5 of this Article and cases where notices to competent authorities are not required for important data transfer or processing according to Clause 6 of this Article: 

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Upon cross-border personnel management based on the specific labor principles or regulations and collective labor agreements according to the law;

c) Where it is necessary to provide data to conclude or execute a contract, including cases where the contract is relevant to cross-border transport, logistics, money transfer, payment, opening of bank and hotel accounts, visa application, and inspection services.

12. Regarding core or important data transfer or processing under Clause 11 of this Article, an impact assessment must be sent to the Ministry of Public Security of Vietnam (or the Ministry of National Defense of Vietnam for data under its management) according to Clause 4 of this Article 15 days after implementation.

Article 13. Other operations in data processing

1. Data revocation, deletion, and destruction

a) Data revocation refers to the act of requesting the return of data and deletion and/or destruction of the provided data or requesting the cessation of the data processing or use where deletion or destruction is not possible.  

Data deletion refers to the removal of data from the structure or environment in which it is stored. 

Data destruction refers to the removal of data from the structure or environment in which it is stored, ensuring that it cannot be restored using methods such as overwriting or physical destruction.

b) Data deletion and destruction shall be carried out within 72 hours after receiving a request from the data subject matter, and the notice of the results of the data revocation, deletion, or destruction is sent to the data owner unless otherwise prescribed by laws.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Chapter III

DATA ADMINISTRATION, MANAGEMENT, AND PROTECTION

Article 14. Data administration and management

1. The Ministry of Public Security of Vietnam shall promulgate a general data administration and management framework for common application by state agencies involved in data connection and sharing with the National Data Center.

2. Database management agencies involved in data connection and sharing with the National Data Center shall develop detailed data administration and management framework applicable to data under their management, ensuring conformity with the general data administration and management framework promulgated by the Ministry of Public Security of Vietnam.

3. A detailed data administration and management framework shall include:

a) Mechanisms for managing master data and general list codes;

b) Mechanisms for managing data processing; plans for data expansion and backup storage;

c) Assessment of data quality; application of technical regulations and standards on data quality and data connection and sharing;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

dd) Data architecture and data models;

e) Connection and sharing mechanisms;

g) Data protection mechanisms;

h) Data development, utilization, and use mechanisms;

i) Supervision, control, and implementation mechanisms.

4. Management of master data and general list data 

a) Database management agencies shall promulgate lists of master data and general list data based on cooperation and agreement with the Ministry of Public Security of Vietnam;

b) Contents requiring master data administration and management include identification code issuance principles; basic information for describing, identifying, and distinguishing specific entities in the master data; procedures for generating and updating master data; selection of technologies and tools to ensure that master data is collected, updated, utilized, and used accurately, consistently, and adequately; generation, update, and management of master data; master data connection and sharing with the National General Database; cooperation with the Ministry of Public Security of Vietnam in supervision and reconciliation, ensuring master data quality across the entire system;

c) The master data in national databases and other databases of agencies assigned to generate and manage master data shall hold official validity, equivalent to the written documents provided by competent authorities

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5. State agencies implementing information technology projects concerning national databases and specialized databases shall solicit opinions from the Ministry of Public Security of Vietnam (National Data Center) on the construction, development, protection, administration, processing, and use of data to prevent waste, ensuring consistency and synchronization during implementation.

Article 15. Determination and management of risks arising during data processing

1. Types of risks arising during data processing include:

a) Risks of privacy rights, occurring due to non-compliance with the law on privacy rights of data subject matters during data processing and transfer;

b) Risks of cybersecurity, occurring due to failure to apply necessary measures to protect data prohibited from disclosure from unauthorized access by external entities or from being leaked;

c) Risks of identification and access management due to failure to ensure the protection of data prohibited from disclosure from unauthorized access;

d) Other risks during data processing, including risks of data sharing (occurring due to the inability to maintain control rights over the shared data) and risks of data management (occurring due to poor data quality).

2. Measures to prevent risks arising during data processing include:

a) Regular data backup and data safety assurance;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Implementation of data protection measures as per regulation;

d) Authorization of access rights for each data type to prevent unauthorized access;

dd) Use of systems for supervision and detection of intrusions to monitor network operations and detect unusual acts or unauthorized access;

e) Installation and maintenance of confidentiality software;

g) Implementation of annual risk assessment to determine system vulnerabilities and apply respective risk prevention measures;

h) Development of incident handling schemes and plans to proactively and promptly respond and remedy incidents;

i) Training and advanced training in data protection skills, threat recognition, and handling methods upon confidentiality risks; organization of regular drills for incident prevention, supervision, detection, and timely response and remedy;

k) Other measures as prescribed by the law.

Article 16. Data protection

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Data governing bodies not subject to state agencies are encouraged to develop separate regulations on the protection of data under their management.

2. The protection of core and important data, being personal data, shall comply with the Law on Data and this Decree.

In case of transferring or processing core or important data across borders and managing and protecting core or important data, being personal data, comply with Article 12 and Clause 11 Article 17 of this Decree without having to conduct an impact assessment according to the law on personal data protection.

3. Any data governing body providing or entrusting the processing of core or important data to an organization or individual not prescribed in Article 12 of this Article shall:

a) Make an agreement with the receiving party on the purpose, method, scope, and security protection obligation through the contract and supervise the obligation implementation of the receiving party; ensure that the dossier on important data processing provided or entrusted to other receiving parties must be stored for at least 3 years;

b) When providing or entrusting the processing of core or important data, conduct encryption, provide digital signatures, and adopt other confidentiality measures to ensure confidentiality, integrity, and non-repudiation;

c) Ensure that the party receiving the core or important data fulfills the obligations of data protection and processes the core or important data according to the agreed purpose, method, and scope.

4. Data protection measures include:

a) Managerial measures concerning data processing, including the development of policies, regulations, and criteria for assessing data safety and security to ensure compliance with technical regulations and standards, regulations on data protection, and other managerial measures according to the law;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Measures to manage data protection personnel, including the development of regulations on management and training for data protection personnel;

d) Other data protection measures as prescribed by the law.

Article 17. Data protection management during processing

1. Data governing bodies shall establish management systems for data protection throughout the entire data processing.

2. Data governing bodies shall adopt measures to protect data during data collection and generation. For core and important data, data governing bodies shall:

a) Develop procedures for data collection and generation and assess and apply protective measures before data collection and generation;

b) Inspect authenticity, supervise data quality, and retrieve data sources.

3. Data governing bodies shall store data in compliance with the methods and periods prescribed by the law. For core and important data, data governing bodies shall:

a) Develop procedures for data storage, including procedures for data backup, recovery, and storage, backup, and recovery logging;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Delete and destroy data when the storage period expires or when the data is no longer necessary for processing purposes.

4. During the processing and use of core and important data, data governing bodies shall:

a) Develop and implement mechanisms for access and data retrieval, ensuring compliance with the principle of least privilege during data processing and use; 

b) Develop data access control systems, including consistent identification and access management platforms; apply technical measures to protect data, control access, and retrieve data during data processing and use.

5. Data governing bodies shall define the scope, purpose, procedure, and development of regulations on the protection and application of protective measures based on the classification, level, purpose, and intended use of data provided outward.

6. Data owners shall analyze and assess impacts on national defense, security, foreign affairs, macroeconomic situations, social stability, and community health and safety before disclosing the data.

7. Data owners and data governing bodies shall develop schemes to delete and destroy data, specifying the purposes, principles, procedures, and techniques for deleting, destroying, recording, and storing deletion and destruction activities. Where the deletion or destruction involves core or important data, the data governing bodies shall provide written evidence that the deletion or destruction renders the data irrecoverable.  

8. Where data governing bodies wish to transfer data due to reorganization, dissolution, or bankruptcy, they shall specify the plans for data transfer and issue notices to the affected agencies, organizations, and individuals.

In case of reorganization or dissolution of organizations managing core or important data, the data governing bodies shall apply measures to ensure data safety and submit reports on schemes for data processing and names or information of the receiving parties to relevant competent authorities.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

10. Governing bodies of core or important data shall prepare data processing logs for the entire data processing. The logs shall be retained for at least six months.

11. Governing bodies of core or important data shall annually assess risks in the processing of core or important data within their management scope and prepare and store risk assessment reports following the form enclosed with this Decree, ensuring availability of such reports to serve inspection and assessment by competent authorities, excluding cases where dossiers on assessment of the impact of cross-border data transfer or processing are already prepared according to Article 12 of this Decree. A risk assessment report includes:

a) Basic information on the data governing body, information on the data protection department, and contact information of the data protection officer (DPO);

b) Purpose, type, quantity, method, scope, storage period, storage location, data processing, and data processing situation;

c) Data protection management system, technical measures for encryption, backup, labeling, access control, authentication, and other necessary measures;

d) Detected risks of data safety, past data safety incidents, and solutions;

dd) Other reporting contents according to regulations of relevant competent authorities.

Article 18. Personnel management and data protection personnel training and advanced training

1. Data owners and governing bodies of core and important data shall identify DPOs and data protection departments.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3. Data protection departments shall have the following functions and tasks:

a) Develop and implement data protection management systems, operational procedures, and plans for emergency responses to data protection incidents;

b) Periodically organize and implement the supervision of data safety risks, risk assessments, emergency drills, dissemination, education, training, and timely settlement of network data safety risks and incidents;

c) Research and propose decisions concerning the protection of core and important data;

d) Receive and handle reports on data protection of specific units.

4. Data owners and governing bodies of core and important data shall:

a) Specify requirements for safety management in the recruitment, use, training, introduction, transfer, resignation, assessment, and selection of personnel;

b) Refrain from appointing persons with criminal records in information technology or telecommunications networks as DPOs;

c) Concluding agreements on confidentiality responsibility with data processing personnel.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6. DPOs may agree with data owners or data governing bodies on conditions for exemption from responsibilities for damage to the protected data.

Article 19.  Data confidentiality supervision, early warnings, and emergency management

1. Data confidentiality supervision, early warnings, and emergency management include:

a) Establishment of mechanisms for data safety risk supervision;

b) Preparation of draft supervision standards and interfaces;

c) Development of mechanisms for reporting and sharing information on data safety risks and assurance of the consistency of the collection, analysis, assessment, and reporting of information on data safety risks;

d) Development of plans for responses to data safety incident emergencies.

2. The Ministry of Public Security of Vietnam shall conduct confidentiality supervision, issue early warnings, and manage data emergencies, excluding the contents prescribed in Clause 3 of this Article.

3. The Ministry of National Defense of Vietnam shall conduct confidentiality supervision, issue early warnings, and manage emergencies concerning data under its management.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) Promptly issue notices to data owners concerning data safety incidents that may potentially damage the legitimate rights and benefits of specific organizations and individuals and propose measures to minimize damage;

b) After any data safety incident, promptly execute emergency responses according to emergency response plans and submit reports on confidentiality incidents concerning core and important data to the Ministry of Public Security of Vietnam or the Ministry of National Defense of Vietnam as soon as possible.

5. The Ministry of Public Security of Vietnam shall establish mechanisms for supervising data safety risks, develop standards concerning supervision and early warnings concerning data safety, cooperate in developing technical equipment for supervision and early warnings concerning data safety, and strengthen the capacity for supervision, early warning, processing, origin tracing, and intensification of information sharing with relevant departments.

Data governing bodies shall supervise data safety risks, promptly investigate potential security risks, and adopt necessary measures to prevent data safety risks.

6. The Ministry of Public Security of Vietnam shall develop mechanisms for reporting and sharing information on data safety risks, ensure consistent collection, analysis, assessment, and reporting of information on data safety risks, and encourage confidentiality service providers and scientific research organizations to share information on data safety risks.

Data governing bodies shall summarize and separately analyze data confidentiality risks within their management scope and report potential risks of major confidentiality incidents to the Ministry of Public Security of Vietnam.

7. The Ministry of Public Security of Vietnam shall develop emergency response plans for data safety incidents, including the organizational structure and responsibilities for emergencies, classification of data safety incidents, supervision and early warnings, procedures for responding to emergencies, and protective measures, and organize and cooperate in responses to incidents concerning the safety of core and important data.

8. Data governing bodies shall organize backup plan drills for incidents concerning the safety of core/important data once every 6 months, store drill dossiers, prepare summary reports on the drills, and promptly update backup plans based on major changes to data processing systems or the external environment.

Chapter IV

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 20. Infrastructures of National Data Center

1. The information system of the National Data Center shall be separated from the development, inspection, and testing system. It shall also ensure level-based security and confidentiality to control, detect, and prevent risks of losing information safety and security.

2. The National Data Center shall construct and develop cloud computing infrastructures and implement functional zones to serve the needs of state agencies, ensuring the development of integrated and synchronized subsystems, data utilization, and high requirements for information confidentiality.

3. The National Data Center shall establish high-capacity calculation infrastructures and data analysis systems serving the management of predictive analysis models in service of utilization operations from the National General Database. It shall also provide the technical conditions necessary to support applied mathematics research and development, as well as assist in developing mechanisms, policies, plans, and strategies related to national development and data-related products and services for socio-economic development.

4. The National Data Center shall establish a National Data Portal as the focal point for state agencies to announce information on data types under their management and to announce and provide open data, thereby enhancing transparency in the Government of Vietnam’s operations and promoting creativity and socio-economic development. It shall also enable organizations and individuals to provide data for objectives concerning common benefits, improvement of public service provision, public policy making, or scientific research for common benefits; 

5. The National Data Center shall develop applications on digital devices to facilitate the utilization and use of its data, provide data-related products and services, and develop other utilities serving agencies, organizations, and individuals.

6. The National Data Center shall develop contact systems with individuals and organizations serving its operations.

7. The National Data Center shall provide the following services:

a) Services concerning station infrastructures, server colocation, provision of physical spaces for the server locations, power systems, air conditioning, and other relevant devices to implement database information systems, permitting database governing bodies, agencies, and organizations to proactively use and control their systems, either in shared or dedicated spaces, in compliance with regulations on the management and operation of the National Data Center;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) Services concerning the implementation and operation of technical infrastructures serving national databases, database information systems, and other databases and information systems.

8. State agencies and socio-political organizations shall determine the types of services provided by the National Data Center as prescribed in Clause 7 of this Article, ensuring conformity with the current situation, professional requirements, and regulations on investment in state budget-funded information technology projects. They shall also send written requests to the National Data Center providing the services. The written requests shall specify the needs for the services of the National Data Center, the scale of the systems to be placed at the National Data Center, and the needs for personnel supporting the administration and operation of infrastructures and information systems.

9. The Minister of Public Security of Vietnam shall provide guidelines on the provision and implementation of the National Data Center's services when infrastructure conditions are deemed sufficient. 

Article 21. Responsibilities of National Data Center

1. Provide guidelines for agencies, organizations, and individuals on the application of technical regulations and standards on data within a scope of synchronization with the National Data Center.

2. Adopt measures to supervise and assess the quality of data shared or synchronized with the National Data Center.

3. Regulate the data of the National General Database.

4. Adopt data protection measures from the start and throughout data processing in compliance with Clause 6 Article 16 of this Decree.

5. Conclude agreements and/or memorandums of understanding with international agencies and organizations to promote international cooperation in management, data protection, scientific research, cross-border data transfer, training, and improvement of capacity and qualification concerning data-related content to promote innovation and technology transfer in service of socio-economic development.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 22. Assurance of resources for construction and development of National Data Center

1. The National Data Center shall develop plans and programs on training, international cooperation, and personnel quality improvement.

2. Officials and officers working at the National Data Center shall be entitled to a support allowance of 500.000 VND per working day, funded by revenues from the fees for utilization and use of data in the National General Database after they are transferred to the state budget.

Organizations and public service providers of the National Data Center may utilize the support allowances above to decide on the allowances for data specialists. 

3. The Minister of Public Security of Vietnam shall promulgate a list of job positions in the National Data Center, as well as mechanisms for attracting, utilizing, and providing incentives for high-quality personnel working at the National Data Center.

Article 23. Utilization and use of National General Database

1. Utilization through direct connection and sharing of information with the National General Database

a) The National Data Center shall issue accounts to agencies and organizations to access and utilize information in the National General Database;

b) Agencies and organizations issued with accounts by the National Data Center shall create and manage separate accounts on their information systems connected to the National General Database and authorize the use of the created accounts to individuals under their management according to the assigned functions and tasks;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

d) The information systems of agencies and organizations shall send requests for information utilization to the National General Database through the accounts issued by the National Data Center. The results of the utilization shall be presented in physical or electronic form and stored in the information systems connected for information sharing and utilization;

dd) The National Data Center shall inspect and verify account information and return the utilization results as requested in conformity with the entitlements and scope of information permitted for the utilization of the accounts.

2. Agencies, organizations, and individuals shall utilize information in the National General Database through the National Data Portal or the National Public Service Portal at the National Data Center or by using specific devices, equipment, and software following the guidelines of the Ministry of Public Security of Vietnam.

3. Agencies, organizations, and individuals shall utilize information in the National General Database through web portals and information systems for settlement of administrative procedures following the guidelines of ministries, ministerial agencies, governmental agencies, and People’s Committees of provinces and centrally affiliated cities.

4. Utilization by written requests for information utilization and provision

a) Agencies, organizations, and individuals shall prepare and send written requests for utilization and provision of information in the National General Database to the National Data Center;

b) A written request for utilization and provision of information must specify the purpose, content, scope of the requested information in the National General Database, and commitment to assume responsibility during the use of information permitted for utilization and other information;

c) Within 3 working days from the receipt of written requests for utilization of information in the National General Database, competent persons shall assess and decide on the permission for information utilization;

d) In case of permitting the information utilization, competent persons shall issue written responses and provide information for agencies, organizations, and individuals. In the event of refusal to permit the utilization of information, competent persons shall provide written responses and explanations.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) Automatically implement administrative procedures, benefits, and policies for individuals and organizations when the information and data serving the assessment and settlement of administrative procedures is adequate in the National General Database.  Competent authorities and persons shall proactively settle administrative procedures, benefits, and policies for individuals and organizations based on the information and data connected, shared, and utilized from the National General Data Base and the consent of the individuals and organizations;

b) Reutilize/reuse data and develop concentrated online public services on the National Public Service Portal, ensuring simplicity, consistency, user-friendliness, thrift, and effectiveness;

c) Connect and share data between the National General Database and the ministerial and provincial information systems for settlement of administrative procedures serving the receipt and settlement of administrative procedures for organizations and individuals, ensuring that individuals and organizations are not required to declare or provide information and papers available in the National General Database; adequately synchronize data on dossier digitalization and results of the settlement of administrative procedures from the ministerial and provincial information systems for settlement of administrative procedures, national databases, and the National General Database in service of the data reutilization/reuse, ensuring that individuals and organizations only provide information, data, and papers once for state agencies during the implementation of administrative procedures and public services.

Article 24. Data connection and sharing with National General Database

1. The governing bodies of state agencies' databases, when developing databases with connections to the National Data Center, shall comply with the guidelines of the National Data Center to ensure data connection and sharing.

2. The National Data Center and database management agencies shall develop agreements on data connection and sharing, including:

a) Purposes of data sharing;

b) Scope of data to be shared;

c) Methods for data connection and sharing;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

dd) Other relevant contents.

3. Data sharing methods

a) Data sharing among state agencies’ databases shall be carried out through the data sharing and regulation platform of the National Data Center and other data sharing and integration platforms;

b) Data sharing between organizations/individuals and the National General Database shall be carried out through the data sharing and regulation platform, data portals, files, and other methods under agreements among the concerned parties.

4. The National Data Center shall supervise data sharing through its supervision system to assess the provision and use of data.

Article 25. Provision of data for National General Database

1. Organizations and individuals that are not state agencies providing data for the National General Database through agreements with the National Data Center or written agreements on data provision shall specify the data provision purposes, scope of the data to be provided, methods of data provision, and time and frequency of the provision and other relevant contents.

2. Responsibilities of database management agencies in the provision of data for the National General Database

a) Synchronize data for the National General Database according to Clause 1 Article 34 of the Law on Data;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

c) For other data types, conduct the synchronization upon adjustments or updates according to agreements with the National Data Center.

3. The National Data Center shall cooperate with database management agencies in adopting appropriate technical measures to ensure that any changes to the master data are reflected across all related reference databases through respective synchronization.

Chapter V

RESPONSIBILITIES OF AGENCIES AND ORGANIZATIONS

Article 26. Responsibilities of Ministry of Public Security of Vietnam

1. Take charge and cooperate with relevant agencies in implementing, instructing, inspecting, and urging the implementation of this Decree.

2. Take charge and cooperate with relevant agencies in managing the construction, development, protection, administration, processing, and use of data; ensure data security and combat crimes and law violations concerning data; manage, monitor, and supervise business operations involving data-related products and services in compliance with this Decree.

3. Take charge and cooperate with relevant agencies in constructing the National Data Center in accordance with applicable regulations, technical standards, and regulations on data centers.

4. Develop, promulgate, or issue requests to competent state authorities for promulgation and provide guidance on the implementation of legislative documents guiding the implementation of data laws.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6. Organize data connection, sharing, and regulation between information systems/databases of agencies, organizations, and individuals and the National General Database through the data sharing and regulation platform of the National Data Center.

7. Ensure information technology infrastructures for agencies of the CPV, the State, and socio-political organizations serving the management, administration, and processing of data under their management at the National Data Center.

8. Take charge and cooperate with the Ministry of Science and Technology of Vietnam in appraising, assessing, inspecting, and supporting the supervision and regulation in response to incidents concerning cybersecurity and information safety during the development, implementation, and operation of information systems and databases at the National Data Center.

9. Take charge and cooperate with the Ministry of Science and Technology of Vietnam in developing technical regulations, standards, or guidelines on the organization, connection, sharing, and synchronization of data with the National Data Center.

10. Develop structural standards of the software system at the National Data Center. 

11. Provide guidelines for the data classification of agencies of the CPV, the State, and socio-political organizations; organize and direct professional training and advanced training in data nationwide.

12. Develop and operate the National Data Portal.

13. The Minister of Public Security of Vietnam shall decide on expenditures on financial support for ensuring connection and sharing; provide support for offsetting the costs of data collection and generation based on consensus with the Minister of Finance of Vietnam and the Minister of Science and Technology of Vietnam.

Article 27. Responsibilities of Ministry of National Defense of Vietnam

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Cooperate with the Ministry of Public Security of Vietnam and relevant agencies and organizations in arranging appropriate forces and equipment to remotely detect and prevent acts of infringement on the National Data Center, both geographically and online.

3. Take charge of the data storage, protection, and security assurance; manage, monitor, supervise, and implement data connection, sharing, and regulation among information systems and databases; apply science to the processing, management, utilization, and use of data; manage and license data transfer abroad; use national data development funds for data types under the management of the Ministry of National Defense of Vietnam.

Article 28. Responsibilities of Ministry of Science and Technology of Vietnam

1. Provide guidelines for agencies of the CPV, the State, and socio-political organizations on the development and completion of information technology technical infrastructures and the development of technical regulations and standards concerning data organization, connection, sharing, and synchronization; conduct standardization, connection, and sharing of data and optimal calculation between investing in new infrastructures and using infrastructures provided by the National Data Center.

2. Review and assess the capacity of specialized data transmission networks of agencies to develop schemes for upgrades, ensuring that all units can access and administer the systems located at the National Data Center via the specialized data transmission networks.

3. Cooperate with the Ministry of Public Security of Vietnam and relevant agencies in researching, mastering, and applying digital technologies and data to form products and services that support the advancement of digital government, digital authority, and socio-economic development through key scientific and technological programs at the national level.

4. Cooperate with the Ministry of Public Security of Vietnam in determining expenditures on financial support for ensuring connection and data; provide support for offsetting the costs of data generation and collection.

Article 29. Responsibilities of the Office of the Government of Vietnam

1. Develop requirements for functionality, operation, and interface; support and instruct ministries, central authorities, and local authorities to handle issues concerning functions, professional procedures, and data of the National Public Service Portal; cooperate with the Ministry of Public Security of Vietnam in administering and operating the National Public Service Portal at the National Data Center; perform other tasks concerning the development of the National Public Service Portal as requested by the Government of Vietnam and/or Prime Minister of Vietnam; manage and operate the National Data Center regarding administrative procedures;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 30. Responsibilities of Government Cipher Committee

1. Take charge and cooperate with relevant units in implementing data encryption and decryption products.

2. Assist the Minister of National Defense of Vietnam in the state management of cipher-related data.

3. Cooperate with the Ministry of Public Security of Vietnam in adopting measures to ensure safety, authentication, and information using cryptography; implement authentication services for the Government of Vietnam’s specialized digital signatures for information systems and databases of agencies of the CPV, the State, and socio-political organizations.

Article 31. Responsibilities of Ministry of Finance of Vietnam

1. Cooperate with the Ministry of Public Security of Vietnam in determining expenditures on financial support for ensuring connection and data; provide support for offsetting the costs of data generation and collection.

2. Promulgate Circulars on fees for utilization and use of information in national general databases, national databases, and specialized databases based on the suggestions of ministries and ministerial agencies.

Article 32. Responsibilities of ministries, ministerial agencies, governmental agencies, and People’s Committees of provinces and centrally affiliated cities

1. Take charge and cooperate with the Ministry of Public Security of Vietnam, the Ministry of National Defense of Vietnam, and relevant agencies in managing the collection, update, adjustment, copying, sharing, transfer, deletion, destruction, storage, and protection of data under their management.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3. Ministries, central authorities, and local authorities shall cooperate with the Office of the Government of Vietnam, the Ministry of Public Security of Vietnam, and relevant units in restructuring regulations and amending legislative documents following roadmaps for data collection, update, and synchronization with the National General Database.

4. Upgrade, maintain, and repair infrastructures and devices of agencies when using those of the National Data Center.

5. Provide suggestions to the Ministry of Finance of Vietnam on the fees for utilization and use of information in national general databases, national databases, and specialized databases concerning sectors and fields under its management, collection, payment, exemption, reduction, management, and use thereof.

Chapter VI

IMPLEMENTATION

Article 33. Entry into force

This Decree comes into force as of July 1, 2025.

Article 34. Implementation responsibilities

Ministers, Directors of ministerial agencies, Directors of governmental agencies, Presidents of People’s Committees of provinces and centrally affiliated cities, and relevant agencies, organizations, and individuals shall implement this Decree.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

 

ON BEHALF OF THE GOVERNMENT
PP. PRIME MINISTER
DEPUTY PRIME MINISTER




Nguyen Chi Dung

 

Văn bản được hướng dẫn - [0]
[...]
Văn bản được hợp nhất - [0]
[...]
Văn bản bị sửa đổi bổ sung - [0]
[...]
Văn bản bị đính chính - [0]
[...]
Văn bản bị thay thế - [0]
[...]
Văn bản được dẫn chiếu - [0]
[...]
Văn bản được căn cứ - [0]
[...]
Văn bản liên quan ngôn ngữ - [1]
[...]
Văn bản đang xem
Nghị định 165/2025/NĐ-CP hướng dẫn Luật Dữ liệu
Số hiệu: 165/2025/NĐ-CP
Loại văn bản: Nghị định
Lĩnh vực, ngành: Công nghệ thông tin
Nơi ban hành: Chính phủ
Người ký: Nguyễn Chí Dũng
Ngày ban hành: 30/06/2025
Ngày hiệu lực: Đã biết
Ngày đăng: Đã biết
Số công báo: Đã biết
Tình trạng: Đã biết
Văn bản liên quan cùng nội dung - [0]
[...]
Văn bản hướng dẫn - [0]
[...]
Văn bản hợp nhất - [0]
[...]
Văn bản sửa đổi bổ sung - [0]
[...]
Văn bản đính chính - [0]
[...]
Văn bản thay thế - [0]
[...]
[...] Đăng nhập tài khoản TVPL Basic hoặc TVPL Pro để xem toàn bộ lược đồ văn bản
Chủ quản: Công ty TNHH Thư Viện Nhà Đất Mã số thuế: 0318679464, cấp ngày: 20/09/2024, nơi cấp: Sở Kế hoạch và Đầu tư TP HCM. Đại diện theo pháp luật: Ông Bùi Tường Vũ Giấy phép Trang TTĐTTH số 03/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 06/02/2025.
THƯ VIỆN PHÁP LUẬT
THƯ VIỆN PHÁP LUẬT
...loại rủi ro pháp lý, nắm cơ hội làm giàu...
NHÂN SỰ
NhanSu.vn
v1.0.42