Về nội dung này, Bộ Công an trả lời như sau:

Tại Điều 17 Nghị định số 165/2025/NĐ-CP ngày 30/6/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu, có quy định về quản lý bảo vệ dữ liệu trong quá trình xử lý như sau:

1. Chủ quản dữ liệu phải thiết lập hệ thống quản lý việc bảo vệ dữ liệu trong toàn bộ quá trình xử lý dữ liệu.

2. Chủ quản dữ liệu thực hiện các biện pháp bảo vệ dữ liệu trong quá trình thu thập, tạo lập dữ liệu. Đối với dữ liệu cốt lõi, dữ liệu quan trọng chủ quản dữ liệu cần thực hiện các nội dung sau:

a) Xây dựng quy trình thu thập, tạo lập dữ liệu và đánh giá, áp dụng các biện pháp bảo vệ trước khi thu thập, tạo lập dữ liệu;

b) Kiểm tra tính xác thực, giám sát chất lượng dữ liệu và truy xuất nguồn gốc dữ liệu.

3. Chủ quản dữ liệu thực hiện lưu trữ dữ liệu theo phương pháp, thời hạn theo quy định của pháp luật. Đối với dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu thực hiện các nội dung sau:

a) Xây dựng quy trình lưu trữ dữ liệu, trong đó quy định về quy trình sao lưu, phục hồi dữ liệu, ghi nhật ký lưu trữ, sao lưu, phục hồi dữ liệu;

b) Xây dựng hệ thống quản lý lưu trữ dữ liệu và áp dụng các công cụ, biện pháp kỹ thuật để bảo vệ dữ liệu trong quá trình lưu trữ, tự động thực hiện việc sao lưu, phục hồi dữ liệu;

c) Thực hiện xóa, hủy dữ liệu khi hết thời hạn lưu trữ hoặc dữ liệu không còn cần thiết cho mục đích xử lý.

4. Khi xử lý, sử dụng dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu cần thực hiện:

a) Xây dựng, triển khai quy chế truy cập, truy xuất dữ liệu bảo đảm tuân thủ các nguyên tắc đặc quyền tối thiểu trong quá trình xử lý, sử dụng dữ liệu;

b) Xây dựng hệ thống kiểm soát truy cập dữ liệu, trong đó thiết lập nền tảng quản lý truy cập và nhận dạng thống nhất;

áp dụng các biện pháp kỹ thuật để bảo vệ dữ liệu, kiểm soát việc truy cập, truy xuất dữ liệu trong quá trình xử lý, sử dụng dữ liệu.

5. Chủ quản dữ liệu có trách nhiệm làm rõ phạm vi, mục đích, quy trình, xây dựng quy chế bảo vệ và áp dụng các biện pháp bảo vệ dựa trên phân loại, mức độ và mục đích, trường hợp ứng dụng của dữ liệu được cung cấp ra bên ngoài.

6. Chủ sở hữu dữ liệu phải phân tích, đánh giá tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng trước khi công khai dữ liệu.

7. Chủ sở hữu dữ liệu, chủ quản dữ liệu xây dựng phương án xóa, hủy dữ liệu, làm rõ mục tiêu, quy tắc, quy trình, kỹ thuật xóa, hủy, ghi nhận và lưu giữ hoạt động xóa, hủy. Trường hợp xóa, hủy dữ liệu quan trọng, dữ liệu cốt lõi thì chủ quản dữ liệu phải có tài liệu chứng minh hoạt động xóa, hủy dữ liệu bảo đảm không thể khôi phục.

8. Trường hợp chủ quản dữ liệu có nhu cầu chuyển dữ liệu vì tổ chức lại, giải thể, phá sản thì phải làm rõ kế hoạch chuyển dữ liệu và thông báo cho cơ quan, tổ chức, cá nhân bị ảnh hưởng.

Trường hợp tổ chức lại, giải thể tổ chức có quản lý dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu phải áp dụng các biện pháp bảo đảm an toàn dữ liệu, báo cáo phương án xử lý dữ liệu, tên hoặc thông tin của bên tiếp nhận cho cơ quan có thẩm quyền có liên quan.

9. Trường hợp chủ quản dữ liệu ủy thác cho tổ chức, cá nhân khác thực hiện hoạt động xử lý dữ liệu thì phải làm rõ trách nhiệm, nghĩa vụ bảo mật dữ liệu của bên ủy thác và bên được ủy thác thông qua hợp đồng, thỏa thuận ủy thác. Trường hợp ủy thác xử lý dữ liệu quan trọng, dữ liệu cốt lõi thì bên ủy thác phải xác minh năng lực, trình độ bảo vệ dữ liệu của bên được ủy thác.

10. Chủ quản dữ liệu cốt lõi, dữ liệu quan trọng phải ghi nhật ký xử lý dữ liệu trong toàn bộ quá trình xử lý dữ liệu. Nhật ký được lưu giữ trong thời gian ít nhất sáu tháng.

11. Chủ quản dữ liệu cốt lõi, dữ liệu quan trọng hàng năm phải thực hiện đánh giá rủi ro đối với hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng trong phạm vi quản lý, lập, lưu trữ báo cáo đánh giá rủi ro theo mẫu ban hành kèm theo Nghị định này và phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan có thẩm quyền, trừ trường hợp đã lập hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới theo quy định tại Điều 12 Nghị định này. Báo cáo đánh giá rủi ro bao gồm:

a) Thông tin cơ bản về chủ quản dữ liệu, thông tin về bộ phận có chức năng bảo vệ an toàn dữ liệu, tên và thông tin liên lạc của người chịu trách nhiệm về bảo vệ dữ liệu;

b) Mục đích, loại, số lượng, phương pháp, phạm vi, thời gian lưu trữ, vị trí lưu trữ dữ liệu, hoạt động xử lý dữ liệu và hoàn cảnh thực hiện các hoạt động xử lý dữ liệu;

c) Hệ thống quản lý bảo vệ dữ liệu, các biện pháp kỹ thuật mã hóa, sao lưu, dán nhãn, kiểm soát truy cập và xác thực, các biện pháp cần thiết khác;

d) Rủi ro an toàn dữ liệu đã phát hiện, sự cố an toàn dữ liệu đã xảy ra và cách giải quyết;

đ) Các nội dung báo cáo khác theo quy định của các cơ quan có thẩm quyền có liên quan.