Chủ quyền dữ liệu quốc gia và đề xuất cho Việt Nam

Để duy trì và gia tăng sức mạnh dữ liệu, các tập đoàn công nghệ số đã và đang vận động quy tắc thương mại có lợi cho mình. “Dòng dữ liệu tự do toàn cầu” có nghĩa là “bất kỳ ai thu thập dữ liệu sẽ sở hữu dữ liệu đó”. Nếu các quốc gia từ bỏ kiểm tra dữ liệu chia sẻ, không thiết lập quy tắc sở hữu dữ liệu thì sẽ chấm dứt cơ hội để có một nền kinh tế số công bằng. Đặc biệt là đối với các thành phần kinh tế nhỏ và quốc gia đang phát triển. USMCA3, TPCPP, RCEP4 v.v.., đã đưa thể chế này vào chương TMĐT.

Thỏa thuận mới về Thương mại số (TiSA) [5], trong khuôn khổ đa phương của WTO được các tập đoàn công nghệ số vận động từ năm 2013 đến nay. Các quy tắc đề xuất đang được đàm phán gồm: (i) thu thập dữ liệu, (ii) trách nhiệm pháp lý, (iii) quyền tiếp cận thị trường, (iv) không phân biệt đối xử, (v) công khai mã nguồn, (vi) thuế,(vii) an toàn thông tin mạng và hơn thế [6].

Hiện có 80 nước thành viên WTO tham gia đàm phán. Các quy tắc được quan tâm đặc biệt gồm:

Quyền tự do chuyển dữ liệu xuyên biên giới, cấm quy định bản địa hóa dữ liệu, cấm yêu cầu sử dụng máy chủ địa phương, cấm yêu cầu tiết lộ thuật toán và mã nguồn phần mềm.

Thông qua TiSA, các tập đoàn công nghệ số sẽ thu thập nhiều dữ liệu hơn, kiểm soát người dùng nhiều hơn, từ đó, tích lũy lợi nhuận quy mô lớn hơn. TiSA buộc các nước đang phát triển trao cho các tập đoàn công nghệ số quyền khai thác miễn phí nguồn tài nguyên dữ liệu quý giá [7] mà không được ban hành quy định để bảo vệ mình.

Các quốc gia đặc biệt là các nước đang phát triển cần nêu quan điểm về chủ quyền dữ liệu trong quá trình đàm phán TiSA

TiSA tìm cách đẩy mạnh luồng dữ liệu miễn phí, thúc đẩy nghĩa vụ cung cấp dữ liệu nguồn mở của chính phủ các nước, đồng thời, tìm cách giữ độc quyền dữ liệu cho các công ty thu thập. Vì sao việc chia sẻ tài nguyên chỉ đi một chiều từ khu vực công sang khu vực tư? [8] Uber, Grab dựa vào cơ sở hạ tầng vật lý của thành phố (đường xá, vỉa hè, đèn đường, thậm chí cả kết nối mạng, v.v..) để xây dựng một kho dữ liệu khổng lồ về cách di chuyển của công dân trong thành phố.

Tại sao cơ quan nhà nước có thẩm quyền không có quyền truy cập vào kho dữ liệu này cho mục đích quản lý giao thông thông minh, quy hoạch và phát triển đô thị?

Thế giới đang phải đối mặt trước sự độc quyền dữ liệu của các tập đoàn công nghệ số. Giá trị kinh tế của dữ liệu được khai thác cho mục đích tư mà quên đi lợi ích của chính người dân và quốc gia tạo ra nguồn dữ liệu đó. Chủ quyền của từng quốc gia bị ảnh hưởng khi hành vi của người dân, tổ chức bị các nền tảng số xuyên quốc gia chi phối. Các nước cần nêu vấn đề chủ quyền dữ liệu quốc gia trong quá trình đàm phán TiSA, đồng thời thể hiện trong các quy định, chính sách phát triển kinh tế - xã hội của mình.

Chủ quyền dữ liệu quốc gia

Chủ quyền dữ liệu là khả năng người dùng được toàn quyền kiểm soát dữ liệu của mình.

Chủ quyền dữ liệu quốc gia là quyền của quốc gia đối với việc thu thập và quản lý dữ liệu do cá nhân, tổ chức của quốc gia đó tạo ra [9].

Về pháp lý, chủ quyền dữ liệu (Data sovereignty) là khái niệm chỉ việc dữ liệu phải tuân thủ quy định tại quốc gia mà dữ liệu đó được thu thập; dữ liệu đó phải được lưu trữ ở vị trí địa lý do chính phủ hoặc tổ chức quy định (Data residency). Đối với luồng dữ liệu xuyên biên giới - dữ liệu cần được quy định, bảo vệ, kiểm soát cho cá nhân, doanh nghiệp, chính phủ và tổ chức khi chúng chảy qua biên giới quốc gia (Trans-border/cross-border flow) [10].

Về quyền đối với dữ liệu, không chỉ xem xét quyền riêng tư đối với dữ liệu. Một nền kinh tế số công bằng còn đòi hỏi người dân có quyền kinh tế đối với dữ liệu đó. Do vậy, dữ liệu phải thuộc quyền sở hữu của nhóm, cộng đồng và quốc gia nơi tạo ra dữ liệu. Dữ liệu cộng đồng là động lực đổi mới, sáng tạo công nghệ, đổi mới mô hình hoạt động, kinh doanh để khai thác, phân phối giá trị của dữ liệu cho tất cả người dân, nhóm và thành phần trong xã hội [11].

Tháng 6/2020, Tổng thổng Biden ký lệnh hành pháp bảo vệ dữ liệu nhạy cảm của người Mỹ khỏi đối thủ nước ngoài [15].

Cụ thể, Lệnh: (i) cho phép Mỹ thực hiện các bước mạnh mẽ để bảo vệ dữ liệu nhạy cảm của người Mỹ; (ii) cung cấp các tiêu chí để xác định ứng dụng phần mềm có thể gây ra rủi ro không thể chấp nhận được (các giao dịch hỗ trợ hoạt động quân sự hoặc tình báo của đối thủ nước ngoài, hoặc có liên quan đến mạng độc hại hoặc ứng dụng thu thập dữ liệu cá nhân nhạy cảm); (iii) phát triển các tùy chọn khác để bảo vệ dữ liệu cá nhân nhạy cảm và giải quyết mối đe dọa tiềm ẩn từ các ứng dụng phần mềm được kết nối nhất định (bảo vệ khỏi tác hại từ việc bán, chuyển giao hoặc truy cập vào dữ liệu cá nhân nhạy cảm, bao gồm kho dữ liệu lớn lưu trữ).

Hoa Kỳ ban hành chính sách và bày tỏ lập trường về bản địa hóa dữ liệu thông qua cơ quan quản lý quốc tế và các hiệp định thương mại đa phương. Theo đó, cấm bản địa hóa dữ liệu và chính thức hóa luồng dữ liệu tự do giữa các quốc gia thành viên (Hiệp định Hoa Kỳ- Mexico - Canada); cấm yêu cầu bản địa hóa dữ liệu và hạn chế dòng dữ liệu xuyên biên giới (các hiệp định thương mại đa phương khu vực Châu Á - Thái Bình Dương). Tuy nhiên dòng dữ liệu xuyên Đại Tây Dương giữa Hoa Kỳ và Liên minh châu Âu (ít nhất là dữ liệu cá nhân) hiện vẫn còn chưa rõ ràng.

Australia: Trong Khuôn khổ Chứng nhận lưu trữ16 tất cả dữ liệu chính phủ của Cơ quan chuyển đổi số cần được lưu trữ trong các trung tâm dữ liệu “được chứng nhận bảo đảm” hoặc “được chứng nhận chiến lược”.

Động thái nhằm giải quyết những vấn đề của khu vực công đang phải đối mặt: chủ quyền dữ liệu, lỗ hổng trong chuỗi cung ứng và mối đe dọa về an ninh mạng. Điều này thể hiện sự quan ngại của Úc về độ tin cậy hoạt động của trung tâm dữ liệu ở nước ngoài; rủi ro can thiệp của chính phủ và các tổ chức tư nhân nước ngoài (ví du: Đạo luật CLOUD của Mỹ).

Australia coi bản địa hóa dữ liệu là giữ dữ liệu trong biên giới - không chỉ khi nó được lưu trữ mà còn khi nó được xử lý. Mua sắm có mục tiêu hoặc có chủ quyền là lựa chọn các nhà thầu đang hoạt động ở Úc và không chịu ảnh hưởng pháp lý của khu vực tài phán nước ngoài.

Trung Quốc: Trung Quốc kêu gọi cộng đồng quốc tế giải quyết vấn đề an ninh dữ liệu một cách toàn diện, khách quan và dựa trên bằng chứng. Đồng thời duy trì chuỗi cung ứng mở, an toàn và ổn định cho các sản phẩm và dịch vụ công nghệ thông tin truyền thông toàn cầu [17].

Luật Bảo mật dữ liệu được ban hành trong bối cảnh quốc tế này được kỳ vọng sẽ nâng cao khả năng cạnh tranh của Trung Quốc trong vấn đề chủ quyền dữ liệu và cung cấp các giải pháp thay thế cho quản trị dữ liệu. Luật Bảo mật dữ liệu quy định một số điều khoản quan trọng:

- Phân loại dữ liệu theo tầng (level): dữ liệu quan trọng hơn phải chịu sự điều chỉnh nghiêm ngặt hơn. Nhà xử lý “dữ liệu quan trọng” phải tuân theo yêu cầu đánh giá rủi ro bổ sung và kiểm soát xuất khẩu. Các công ty chuyển “dữ liệu trạng thái cốt lõi18” ra nước ngoài phải có chấp thuận của cơ quan chức năng. Trường hợp vi phạm sẽ bị phạt nặng lên đến 1,5 triệu USD cho mỗi vi phạm và đóng cửa doanh nghiệp.

- Tăng cường quyền truy cập của chính phủ vào dữ liệu: yêu cầu các tổ chức và cá nhân “hợp tác” với cơ quan chức năng thu thập dữ liệu “khi cần thiết để bảo vệ hợp pháp an ninh quốc gia hoặc điều tra tội phạm”.

- Hạn chế chuyển dữ liệu ra nước ngoài:

Người xử lý “dữ liệu quan trọng” sẽ phải tuân theo các quy định sắp tới và bắt buộc các tổ chức hoặc cá nhân trong nước không được cung cấp dữ liệu được lưu trữ tại Trung Quốc cho các cơ quan thực thi pháp luật hoặc tư pháp nước ngoài nếu không được chính phủ cho phép trước.

- Áp dụng ngoài lãnh thổ: Ngoài việc xử lý dữ liệu bên trong Trung Quốc, Luật bảo mật dữ liệu áp dụng cho tất cả việc xử lý dữ liệu bên ngoài Trung Quốc. Điều này tạo ra những thách thức tiềm năng về tuân thủ đối với các công ty nước ngoài hoạt động tại Trung Quốc.

Indonesia: là một trong những nền kinh tế số phát triển nhanh nhất trong khu vực APAC [19]. Bảo vệ dữ liệu chủ yếu được điều chỉnh thông qua Luật Giao dịch và Thông tin Điện tử (EITL), Quy định về Hệ thống và Giao dịch Điện tử (GR-71) và Quy định số 20 về Bảo vệ Dữ liệu Cá nhân trong Hệ thống Điện tử (PDP). Hiện nước này đang dự thảo Luật về Bảo vệ Dữ liệu Cá nhân [20].

Đây là luật bảo vệ dữ liệu toàn diện dựa theo GDPR, sẽ thay thế các luật/quy định hiện hành. Bốn yếu tố quan trọng trong dự thảo là: (i) chủ quyền và bảo mật dữ liệu; (ii) quy định về dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm, tầm quan trọng của chất lượng và độ chính xác của dữ liệu; (iii) quy định các luồng dữ liệu xuyên biên giới.

Về chuyển dữ liệu xuyên biên giới: PDP cho phép truyền dữ liệu xuyên biên giới. Theo đó, doanh nghiệp phải trình kế hoạch thực hiện cho Bộ Thông tin và Tin học (gồm: thông tin chi tiết về quốc gia đến, người nhận, ngày chuyển và lý do chuyển). Sau khi hoàn thành phải bảo cáo với Bộ trưởng về việc thực hiện.

Về bản địa hóa dữ liệu: theo GR 71, yêu cầu về bản địa hóa dữ liệu chỉ áp dụng đối với các doanh nghiệp nhà nước. Các doanh nghiệp tư nhân có thể lưu trữ dữ liệu của họ bên ngoài Indonesia, chịu sự giám sát của các cơ quan chính phủ vì mục đích thực thi pháp luật.

Các mô hình bảo đảm chủ quyền dữ liệu của Mỹ, châu Âu, Úc, Trung Quốc, Indonesia đáp ứng yêu cầu phát triển kinh tế - xã hội của từng quốc gia.

Hoa Kỳ ủng hộ dòng dữ liệu tự do trong nước và toàn cầu. Hoa Kỳ có nền kinh tế tiêu dùng nên thúc đẩy trao đổi dữ liệu cá nhân giúp người tiêu dùng có sản phẩm tốt nhất. Đây cũng là điều kiện tạo ra nhiều công ty khởi nghiệp giá trị tại đất nước có nguồn vốn đầu tư dồi dào nhất thế giới.

Châu Âu áp dụng mô hình cân bằng giữa lợi ích phát triển kinh tế khu vực với quan hệ kinh tế với Hoa Kỳ, thiết lập biện pháp bảo vệ dữ liệu cá nhân di chuyển ra ngoài biên giới.

Trung Quốc có cách tiếp cận dựa trên kiểm soát. Trung Quốc có thị trường và nguồn lực đủ mạnh, vì vậy họ bảo vệ dữ liệu như nguồn tài nguyên mới cho phát triển, hạn chế dòng dữ liệu xuyên biên giới.

Đề xuất cho Việt Nam

Nhằm thực hiện bảo vệ chủ quyền dữ liệu, xây dựng nguồn lực phát triển kinh tế số, bốn nhiệm vụ, giải pháp được đề xuất như sau:

a. Xác định mô hình bảo vệ dữ liệu quốc gia

Chương trình chuyển đổi số quốc gia đến năm 2025, định hướng đến 2035 xác định mục tiêu: phát triển chính phủ số, kinh tế số, xã hội số và hình thành các doanh nghiệp công nghệ số Việt Nam có năng lực đi ra toàn cầu; hình thành nền tảng dữ liệu có các ngành kinh tế trọng điểm dựa trên dữ liệu. Đồng thời, theo đánh giá của Nikkei Asia, Việt Nam luôn nằm trong top 10 các nước có lượng dữ liệu chuyển qua biên giới lớn nhất của châu Á [21].

Do vậy, bảo vệ chủ quyền dữ liệu quốc gia đóng vai trò quan trọng để thực hiện các mục tiêu nêu tại Chương trình chuyển đổi số.

Trên cơ sở phân tích một số mô hình chủ quyền dữ liệu tại mục 3, Việt Nam có thể tham khảo mô hình phát triển của Liên minh châu Âu. Chính sách, quy định bảo vệ dữ liệu dựa trên quyền riêng tư, lợi ích phát triển kinh tế của người dân, quốc gia. Đồng thời, xây dựng cơ chế bảo đảm dòng dữ liệu tự do nội địa, thiết lập cơ chế chia sẻ dữ liệu an toàn nhằm mở rộng nguồn tài nguyên mới cho phát triển kinh tế dựa trên dữ liệu.

b. Nghiên cứu, hoàn thiện hành lang pháp lý về dữ liệu

Tin cậy trong giao dịch dữ liệu được duy trì bởi khuôn khổ pháp lý quy định biện pháp bảo vệ (ngăn chặn sử dụng sai ,vi phạm dữ liệu ảnh hưởng tính bảo mật và toàn vẹn của dữ liệu cá nhân/phi cá nhân/hỗn hợp), thúc đẩy (tạo điều kiện thuận lợi cho việc sử dụng, tái sử dụng, chia sẻ dữ liệu thông qua tính mở, khả năng tương thích và tính di động) [22].

Hiện nay, ở Việt Nam việc xây dựng, triển khai, giám sát thi hành quy định về dữ liệu được thực hiện theo nhiều luật. Pháp luật thường bị lạc hậu hơn so với sự phát triển của công nghệ. Do vậy, khi không có quy định mang tính nguyên tắc chung thì có thể dẫn đến việc thiếu biện pháp pháp lý bảo vệ, phát triển dữ liệu trong các ngành.

Nghiên cứu bổ sung quy định về chủ quyền dữ liệu tại Luật Công nghiệp công nghệ số tạo căn cứ pháp lý để để quy định trong lĩnh vực chuyên ngành. Một số nội dung cơ bản đề xuất đưa vào dự thảo Luật Công nghiệp công nghệ số: (i) quy định khái niệm và phân loại dữ liệu; (ii) quy định về thu thập, lưu trữ, định dạng, xử lý, phân tích dữ liệu; (iii) bảo đảm an toàn dữ liệu; (iv) chia sẻ dữ liệu; (v) quản lý dòng dữ liệu xuyên biên giới (vi) phát triển doanh nghiệp, thị trường dịch vụ dữ liệu; (vii) phát triển nguồn nhân lực dữ liệu; v.v.

c. Hoàn thiện hạ tầng dữ liệu số quốc gia, phát triển hệ sinh thái đổi mới sáng tạo dựa trên dữ liệu

Xây dựng và thiết lập hệ thống các trung tâm dữ liệu quốc gia, các trung tâm dữ liệu vùng và địa phương đạt tiêu chuẩn đồng bộ và thống nhất; kết nối các trung tâm dữ liệu của cơ quan nhà nước và doanh nghiệp để triển khai đám mây dữ liệu, tạo thuận lợi cho việc lưu trữ, xử lý, chia sẻ và phân phối dữ liệu.

Triển khai nền tảng trao đổi, chia sẻ, tổng hợp, phân tích dữ liệu tập trung tại Trung ương và địa phương: Hoàn thiện Cổng dữ liệu quốc gia để tạo lập môi trường công khai, minh bạch về dữ liệu.

Phát triển không gian dữ liệu cộng đồng trên cơ sở phối hợp và đóng góp dữ liệu từ cơ quan nhà nước, doanh nghiệp và người dân để hình thành kho tài nguyên số dùng chung; phát triển tài nguyên dữ liệu mẫu phục vụ phát triển trí tuệ nhân tạo, dữ liệu lớn dùng chung.

Hình thành hệ sinh thái đổi mới sáng tạo dựa trên dữ liệu để thu hút các nhà đầu tư, doanh nghiệp cung cấp dịch vụ, doanh nghiệp khởi nghiệp và các chuyên gia hoạt động, phát triển sản phẩm, dịch vụ Make in Viet Nam phục vụ mục tiêu phát triển kinh tế số, xã hội số của đất nước.