An ninh dữ liệu trong kết xuất, luân chuyển xuyên biên giới

Trên thực tế, hệ thống luật pháp, mức độ và khả năng bảo vệ an toàn dữ liệu ở mỗi quốc gia, khu vực còn nhiều hạn chế và khác biệt, khiến hoạt động này gặp nhiều rủi ro, trở ngại và khó kiểm soát.

Còn nhiều băn khoăn

Tại hội chợ TP Hồ Chí Minh chuyển đổi số chào mừng Ngày Chuyển đổi số Quốc gia 10/10 vừa qua đã thu hút hàng ngàn lượt tổ chức, doanh nghiệp, cá nhân đến tham quan, tìm hiểu cơ hội. Ngoài những câu hỏi về làm thế nào và bắt đầu từ đâu để chuyển đổi số mang lại hiệu quả cao nhất trong điều kiện tài chính, hạ tầng công nghệ có hạn thì rất nhiều vị đứng đầu các doanh nghiệp đặt câu hỏi là làm sao để đảm bảo an ninh dữ liệu trong hoạt động kết xuất, luân chuyển xuyên biên giới.

Đại diện cho hàng trăm lượt người đặt câu hỏi, ông Nguyễn Hải Thanh, Giám đốc Công ty Sản xuất hàng tiêu dùng HTC cho biết, trước khi doanh nghiệp của ông thực hiện chuyển đổi số, ông đã tìm hiểu kỹ và nắm rõ nền tảng thương mại điện tử cho phép người dùng tiếp cận với các dịch vụ tốt nhất, tạo điều kiện cho các doanh nghiệp tham gia vào chuỗi cung ứng, thúc đẩy khả năng tự đổi mới và sức cạnh tranh trên thị trường toàn cầu. Ngoài ra, còn tạo điều kiện thuận lợi cho hầu hết các ngành, lĩnh vực từ sản xuất thương mại đến tài chính, y tế và giáo dục được hưởng lợi... Tuy nhiên, ông rất băn khoăn về quá trình thu thập, quản lý, khai thác, chia sẻ thông tin dữ liệu xuyên biên giới được thực hiện trên internet và như vậy phải làm sao để bảo an ninh, trong khi vấn đề lộ lọt thông tin cá nhân, thông tin thương mại vẫn thường xảy ra gây ảnh hưởng không nhỏ đến lợi ích của doanh nghiệp.

Tương tự như ông Thanh, ông Trường Lưu, chủ doanh nghiệp chế tạo máy cho rằng doanh nghiệp của ông chuyên sáng chế ra một số loại máy móc sử dụng trong sản xuất hàng tiêu dùng. Nếu chuyển đổi số, để tham gia vào nền tảng thương mại điện tử, tất cả các dữ liệu về thông số kỹ thuật đều được trao đổi, chia sẻ xuyên biên giới, nếu bị kẻ xấu thu thập lợi dụng thì trí tuệ, công sức bỏ ra hàng năm trời sẽ thành công cốc...

Cần đảm bảo an ninh dữ liệu xuất xuyên biên giới

Để giải đáp vấn đề đảm bảo an ninh dữ liệu trong hoạt động kết xuất, luân chuyển xuyên biên giới, chúng tôi đã có cuộc tham vấn ông Quang Tuấn - chuyên gia tư vấn chính sách và công nghệ Công ty IS-Tech (Integrated Smart Technologies) và được ông nêu ra một số thông tin khuyến nghị giải pháp liên quan. Theo đó, hiện nay Việt Nam đã có những bước đi tích cực để giải quyết vấn đề, như ban hành Luật An ninh mạng và thông qua hồ sơ xây dựng nghị định bảo vệ dữ liệu cá nhân. Tuy nhiên, theo đánh giá của giới chuyên môn, về mặt pháp lý, hệ thống pháp luật Việt Nam về bảo vệ dữ liệu xuyên biên giới còn nhiều điểm bất cập, như: Chưa có văn bản quy phạm pháp luật về việc chuyển dữ liệu cá nhân ra khỏi biên giới quốc gia. Thiếu các quy định về quyền được “lãng quên” (xóa dữ liệu cá nhân sau một khoảng thời gian nhất định); về việc ẩn danh, phi ẩn danh hóa dữ liệu cá nhân; về cho phép khai thác giá trị kinh tế của dữ liệu cá nhân (quyền đối với dữ liệu được coi là một quyền nhân thân phi truyền thống có gắn yếu tố kinh tế); cơ chế xử lý các hành vi mua bán dữ liệu cá nhân (chưa có đạo luật riêng). Ngoài ra, các chế tài hành chính, hình sự chưa thực sự phù hợp với thực tế, mức xử phạt chưa đủ sức răn đe và còn thấp so với một số quốc gia, khu vực trên thế giới. Việc xây dựng nghị định bảo vệ dữ liệu cá nhân, mặc dù đã đưa ra các quy định về điều kiện chuyển dữ liệu cá nhân qua biên giới, xong còn nhiều điểm chưa rõ ràng, có sự trùng lặp giữa điều kiện chuyển với ngoại lệ chuyển, giữa ngoại lệ chuyển với điều kiện Ủy ban Bảo vệ dữ liệu cá nhân ra văn bản đồng ý chuyển.

Cũng theo ông Quang Tuấn, một hệ thống chính sách đa công cụ có thể sẽ phục vụ tốt hơn khi thuần túy chỉ dựa vào các quy định pháp luật “cứng” vốn đặt ra thách thức lớn về năng lực thực thi cho doanh nghiệp, do vậy cần lựa chọn cách tiếp cận quy định trách nhiệm giải trình đối với chủ thể chuyển dữ liệu cá nhân ra khỏi lãnh thổ và chỉ nên áp dụng biện pháp cấp phép trong trường hợp đặc biệt (dữ liệu sinh học công dân...). Cách tiếp cận này vừa đòi hỏi chủ thể chuyển dữ liệu xuyên biên giới phải đảm bảo an toàn dữ liệu dựa trên những đánh giá hợp lý, vừa tạo ra một khung khổ pháp lý “thông thoáng” hơn dành cho chủ thể, cho phép họ có nhiều khả năng lựa chọn cách bảo vệ dữ liệu cá nhân; chỉ nên bắt buộc lưu dữ liệu tại Việt Nam với nhóm dữ liệu đặc biệt nhạy cảm, việc yêu cầu “địa phương hóa dữ liệu” cần được cân nhắc, nếu không sẽ dẫn đến tình trạng mất quyền truy cập vào các nhà cung cấp dịch vụ quốc tế và khả năng tiếp cận thị trường bên ngoài. Nên tính toán chỉ lưu dữ liệu tại Việt Nam đối với ngành, lĩnh vực cụ thể được đánh giá là đặc biệt quan trọng, trong đó có thể tham khảo trường hợp của Australia (chỉ yêu cầu cho lĩnh vực y tế) hoặc Indonesia (chỉ yêu cầu với chủ thể là cơ quan nhà nước).

Việc thiết kế xây dựng chính sách bảo vệ dữ liệu xuyên biên giới cần thống nhất trong hệ thống pháp luật nội bộ của quốc gia và sự tương đồng giữa các quốc gia trong khu vực và trên thế giới. Các khái niệm chính về dữ liệu cá nhân, ẩn danh, phân định chủ thể kiểm soát và xử lý dữ liệu; cơ sở pháp lý để xử lý dữ liệu cá nhân như sự đồng ý, lợi ích hợp pháp, lợi ích công, nghiên cứu khoa học; và bộ quy tắc ứng xử về chứng nhận bảo mật dữ liệu và các yêu cầu địa phương hóa dữ liệu.

Cần tính toán sự tác động của các chính sách, quy định về bảo vệ an ninh dữ liệu và môi trường an ninh mạng của quốc gia, khu vực nơi người nhận đặt trụ sở đối với tính bảo mật của dữ liệu gửi đi; mức độ bảo vệ dữ liệu của người nhận ở nước ngoài phải đáp ứng các quy định của pháp luật, các quy định hành chính và tiêu chuẩn quốc gia bắt buộc. Quy mô, phạm vi, loại hình, độ nhạy cảm của dữ liệu gửi đi và các rủi ro an ninh như bị giả mạo, rò rỉ, phá hủy, thất lạc, chuyển giao sử dụng bất hợp pháp trong hoặc sau khi truyền đưa dữ liệu ra khỏi lãnh thổ có bị lạm dụng gây ảnh hưởng đến an ninh quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của các tổ chức, cá nhân? Quyền, lợi ích của dữ liệu và thông tin cá nhân có được đảm bảo đầy đủ và hiệu quả hay không? Các văn bản pháp lý được ký kết giữa bên xử lý dữ liệu và bên nhận dữ liệu ở nước ngoài có quy định đầy đủ về nghĩa vụ và trách nhiệm bảo vệ an toàn dữ liệu hay không? Có tuân thủ luật pháp và các nội quy, quy định của nước sở tại hay không? Các vấn đề khác mà cơ quan quản lý an ninh mạng và thông tin quốc gia cho rằng cần phải được đánh giá.

Song song với đó cần thúc đẩy thực hiện triệt để các quy định của Luật An ninh mạng, Luật Bảo mật dữ liệu và Luật Bảo vệ thông tin cá nhân. Trường hợp vi phạm các quy định, căn cứ tình tiết, nếu cấu thành tội phạm sẽ truy cứu trách nhiệm hình sự theo quy định của pháp luật. Các cơ quan quản lý cần đánh giá rủi ro, thẩm định đối với đơn vị xử lý và cung cấp dữ liệu trước khi cung cấp dữ liệu ra nước ngoài, đánh giá lại hoặc chấm dứt hoạt động, giám sát việc tuân thủ các quy tắc bảo mật giữa đánh giá trước và trong quá trình thực hiện; giữa tự đánh giá rủi ro và khả năng bảo mật để ngăn ngừa hậu quả có thể xảy ra gây ảnh hưởng đến an ninh quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của các cá nhân, tổ chức.

Bên cạnh đó, cần tăng cường hợp tác quốc tế về luân chuyển dữ liệu cá nhân qua biên giới thông qua tham gia các cam kết đa phương về chuyển dữ liệu xuyên biên giới nhằm đảm bảo khả năng tiếp cận của cơ quan nhà nước với cơ sở dữ liệu được đặt ở quốc gia khác khi thực thi nghĩa vụ theo luật định. Ngoài ra, cần sớm đàm phán các hiệp định thương mại số với các nước có tầm quan trọng đặc biệt về kinh tế - thương mại số (Mỹ, Nhật, Singapore, Australia, Hàn Quốc...), nhằm đón đầu các hiệp định, cách tiếp cận về quy định dữ liệu xuyên biên giới để tương thích với xu thế các hiệp định thương mại số và mang đến cơ hội thực thi pháp luật hiệu quả hơn, đặc biệt đối với các doanh nghiệp cung cấp dịch vụ xuyên biên giới từ các quốc gia đối tác.

Ngoài ra, các cơ quan quản lý, kiểm soát cũng cần xem xét xây dựng kịch bản xử lý, đối phó trong trường hợp kẻ xấu lợi dụng thông tin dữ liệu Việt Nam xuyên biên giới để thực hiện các hành vi phá hoại gây chia rẽ làm tổn hại quan hệ ngoại giao giữa Việt Nam và các nước, hay tiến hành các hoạt động vi phạm pháp luật tại các quốc gia khác nhằm ý đồ hạ thấp uy tín và hình ảnh đất nước con người Việt Nam. Vấn đề này, chúng ta có thể nghiên cứu tham khảo các biện pháp đánh giá an ninh đối với hoạt động xuất dữ liệu xuyên biên giới của các nước trong khu vực cũng như trên thế giới và ý kiến phản biện, khuyến nghị của giới chuyên gia để điều chỉnh, bổ sung hoàn thiện các nội dung về bảo vệ dữ liệu cá nhân tại nước ta.