Thực trạng
DLCN là thông tin cho phép xác định/nhận dạng trực tiếp hoặc gián tiếp một con người cụ thể. Dựa vào khả năng tác động của dữ liệu tới đời sống, tâm lý con người, DLCN được chia thành hai loại: (i) DLCN cơ bản, gồm những thông tin cụ thể cho phép xác định trực tiếp danh tính một con người như: tên, tuổi, giới tính, dân tộc; (ii) DLCN nhạy cảm, gồm những thông tin liên quan trực tiếp đến quyền cơ bản và tự do của con người (khi xử lý những thông tin này có thể tạo ra những rủi ro, tác động nghiêm trọng đến danh dự, nhân phẩm của con người như: quan điểm chính trị, tôn giáo, đời sống tình dục, đặc điểm di truyền học).
Hiện nay, theo số liệu được công bố năm 2019 bởi Nikkei Asia (một tổ chức chuyên phân tích kinh tế, thị trường của châu Á), thì đây là khu vực năng động bậc nhất trên thế giới, trong đó Việt Nam trở thành quốc gia nổi bật về hoạt động trao đổi dữ liệu xuyên quốc gia. Số liệu của Nikkei Asia nhấn mạnh 2 đặc điểm nổi bật:
Thứ nhất, trong danh sách xếp hạng 10 quốc gia có dòng dữ liệu xuyên biên giới lớn nhất thì có đến 5 quốc gia thuộc châu Á (Trung Quốc, Ấn Độ, Singapore, Việt Nam và Nhật Bản). Đáng chú ý là Trung Quốc xếp vị trí thứ nhất với lưu lượng 111 triệu Mbps, bỏ xa Hoa Kỳ xếp ở vị trí thứ hai với 60 triệu Mbps và Vương quốc Anh ở vị trí thứ ba với 51,22 triệu Mbps. Trong danh sách này, Việt Nam nằm ở vị trí thứ bảy với lưu lượng 7,99 triệu Mbps.
Việt Nam là 1 trong 10 nước có khối lượng DLCN luân chuyển qua biên giới lớn nhất thế giới.
Thứ hai, về mức độ tăng trưởng của dòng chảy dữ liệu qua biên giới giai đoạn 2001-2019 của 11 quốc gia có dòng dữ liệu xuyên biên giới lớn nhất thì Việt Nam là quốc gia có mức độ tăng trưởng cao nhất (230.000 lần), gấp khoảng 30 lần so với quốc gia đứng đầu về lưu lượng luân chuyển dữ liệu là Trung Quốc với 7.500 lần. Các quốc gia châu Á khác cũng có mức độ tăng trưởng ấn tượng, như Ấn Độ với 22.000 lần và Singapore với 3.000 lần.
Khuyến nghị chính sách
Việt Nam, với tư cách là quốc gia nằm trong top 10 thế giới về luân chuyển dữ liệu, do vậy cũng đã bắt đầu quan tâm và đề xuất cách tiếp cận pháp lý cụ thể cho vấn đề này. Tuy nhiên, khi xem kinh tế số là động lực mới cho phát triển, lựa chọn của Việt Nam chắc chắn sẽ rất thách thức và cần được cân nhắc cẩn trọng về cách tiếp cận và bảo vệ. Một hệ thống chính sách “đa công cụ” có thể sẽ phục vụ tốt cho Việt Nam hơn là thuần túy dựa vào các quy định pháp luật “cứng” - vốn đặt ra thách thức lớn về năng lực thực thi. Quy định mềm dẻo và linh hoạt hơn cũng giúp giảm chi phí cho doanh nghiệp, từ đó có thể thu hút thêm đầu tư để phát triển kinh tế.
Bên cạnh quy định “cứng”, hai công cụ chính sách bổ trợ nên có gồm: (1) tiêu chuẩn “mềm” (mang tính khuyến khích doanh nghiệp tự tuân thủ) như tiêu chuẩn an toàn dữ liệu, các giải pháp công nghệ giúp bảo vệ dữ liệu tốt; (2) tham gia vào các khung khổ pháp lý liên quốc gia để gia tăng hiệu quả thực thi, đặc biệt đối với các doanh nghiệp cung cấp dịch vụ số xuyên biên giới.
Khuyến nghị 1: lựa chọn cách tiếp cận quy định trách nhiệm giải trình
Khi xây dựng quy định pháp luật chuyển DLCN qua biên giới, Việt Nam nên cân nhắc áp dụng cách tiếp cận quy định trách nhiệm giải trình đối với chủ thể chuyển DLCN ra khỏi lãnh thổ Việt Nam và chỉ nên áp dụng biện pháp cấp phép trong trường hợp đặc biệt (chẳng hạn dữ liệu sinh học của công dân). Cách tiếp cận vừa đòi hỏi chủ thể chuyển DLCN của công dân Việt Nam qua biên giới phải đảm bảo an toàn dữ liệu dựa trên những đánh giá hợp lý, vừa tạo ra một khung khổ pháp lý “thoáng” hơn dành cho chủ thể này, cho phép họ có nhiều khả năng lựa chọn các biện pháp bảo vệ DLCN.
Các biện pháp an toàn này chủ yếu đánh giá khả năng bảo vệ DLCN của chủ thể nhận DLCN thông qua nghĩa vụ mà họ phải tuân thủ. Nghĩa vụ này có thể được quy định trong văn bản quy phạm pháp luật của quốc gia họ, hợp đồng giữa họ với chủ thể chuyển DLCN, cơ chế chứng nhận quốc tế như tiêu chuẩn ISO về quản lý an ninh thông tin, chứng nhận theo hệ thống Asia Pacific Economic Cooperation Cross Border Privacy Rules (APEC CBPR), Asia Pacific Economic Cooperation Privacy Recognition for Process (APEC PRP) hoặc quy tắc ứng xử có tính chất ràng buộc thực thi. Cách tiếp cận này khắc phục được những hạn chế của việc quy định theo hướng đặt điều kiện an toàn và cấp phép, giải quyết được lo ngại lớn nhất của khối doanh nghiệp là “gánh nặng” tuân thủ khi thực thi.
Khuyến nghị 2: chỉ nên bắt buộc lưu dữ liệu tại Việt Nam với nhóm dữ liệu đặc biệt nhạy cảm
Về cách tiếp cận với yêu cầu “địa phương hóa dữ liệu”, cân nhắc yêu cầu chỉ lưu dữ liệu tại Việt Nam đối với ngành, lĩnh vực cụ thể và được đánh giá là đặc biệt quan trọng. Có thể cân nhắc trường hợp trường hợp Australia (chỉ yêu cầu cho lĩnh vực dữ liệu y tế) hoặc Indonesia (chỉ yêu cầu với chủ thể cụ thể là cơ quan nhà nước).
Bài học về “địa phương hóa dữ liệu” - trường hợp của Indonesia
Trước năm 2019, Chính phủ Indonesia yêu cầu tất cả các nhà cung cấp dịch vụ công trực tuyến phải thiết lập một trung tâm dữ liệu tại địa phương, trong khi đó lại không có định nghĩa cụ thể về phạm vi dịch vụ công, khiến nhiều công ty tư nhân phải tuân thủ theo yêu cầu này bị ảnh hưởng lớn vì họ không thể xây dựng một cơ sở hạ tầng công nghệ ở mỗi nơi mà họ cung cấp dịch vụ hoặc sản phẩm. Hơn nữa, Chính phủ Indonesia nhận ra quy định này cũng có tác động tiêu cực đến nỗ lực thu hút đầu tư nước ngoài của họ. Đến năm 2019, quy định mới về hệ thống điện tử và giao dịch (Government Regulation No. 71 of 2019 on Electronic Systems and Transactions) đã loại bỏ khu vực tư nhân khỏi yêu cầu lưu trữ dữ liệu tại chỗ, chỉ áp dụng với hai nhóm chủ thể: (i) các cơ quan hành pháp, lập pháp, tư pháp trung ương, khu vực và bất kỳ cơ quan nào khác được thành lập theo nhiệm vụ luật định; (ii) các tổ chức được các cơ quan nhà nước chỉ định vận hành các hệ thống công nghệ thông tin thay họ. Trong trường hợp đòi hỏi phải có “một công nghệ lưu trữ dữ liệu đặc biệt” mà ở Indonesia không đáp ứng được, cơ quan nhà nước hoặc chủ thể được chi định để thay mặt cơ quan nhà nước có thể xử lý và/hoặc lưu trữ hệ thống điện tử hoặc dữ liệu của họ ở nước ngoài. Tuy nhiên, điều này còn phụ thuộc vào quyết định của bộ quản lý và cơ quan chức năng như cơ quan an ninh mạng quốc gia xác định công nghệ đặc biệt này. Còn đối với đơn vị tư nhân, họ phải đảm bảo rằng, cơ quan có thẩm quyền có thể tiếp cận được hệ thống điện tử và dữ liệu, dù dữ liệu được xử lý/lưu trữ ở đâu. Tuy nhiên sự linh hoạt này không áp dụng đối với đơn vị tư nhân trong lĩnh vực tài chính và ngân hàng, vì họ tuân thủ theo quy định luật chuyên ngành, phụ thuộc vào loại hình định chế tài chính.
|
Khuyến nghị 3: tăng cường hợp tác quốc tế về chuyển DLCN qua biên giới
Việt Nam cần đẩy mạnh hợp tác quốc tế về chuyển DLCN qua biên giới thông qua tham gia các cam kết đa phương về chuyển DLCN qua biên giới. Việc này nhằm đảm bảo khả năng tiếp cận của cơ quan nhà nước với cơ sở dữ liệu được đặt ở quốc gia khác khi thực thi nghĩa vụ theo luật định. Các sáng kiến cụ thể cần sớm tham gia như APEC CBRP.
Ngoài ra, trong tầm nhìn rộng hơn, Việt Nam cần sớm đàm phán các hiệp định thương mại số với các nước có tầm quan trọng đặc biệt về kinh tế - thương mại số như Hoa Kỳ, Singapore, Nhật Bản, Hàn Quốc, Australia. Các hiệp định này sẽ bao gồm các quy định về dữ liệu xuyên biên giới. Xu thế này gợi ra hai hàm ý cụ thể: i) để đón đầu các hiệp định, cách tiếp cận về quy định dữ liệu xuyên biên giới cần có sự thông thoáng nhất định để tương thích được với xu thế các hiệp định thương mại số; ii) bản thân các hiệp định mang đến cơ hội để thực thi pháp luật hiệu quả hơn, đặc biệt là đối với các doanh nghiệp cung cấp dịch vụ xuyên biên giới từ quốc gia đối tác.