Quản trị dữ liệu quốc gia: Kinh nghiệm quốc tế và hàm ý cho Việt Nam

“

Tóm tắt:
- Chiến lược dữ liệu chỉ là bước khởi đầu, các quốc gia/khu vực đang tìm kiếm một lộ trình quản trị dữ liệu hợp lý, hiệu quả.
- Chính sách quản trị dữ liệu của hầu hết các quốc gia/khu vực về cơ bản tập trung vào việc lưu thông và sử dụng dữ liệu tại thị trường nội địa; đảm bảo an toàn, bảo mật dữ liệu.
- Hệ thống quản trị dữ liệu đã bắt đầu hình thành và nhìn chung có các đặc điểm:
+ Thành lập một cơ quan quản trị dữ liệu và xây dựng cơ chế điều phối ở cấp quốc gia/khu vực;
+ Ban hành các luật, quy định về lưu thông và sử dụng các loại dữ liệu khác nhau ở cấp quốc gia/khu vực;
+ Hình thành thị trường dữ liệu trong nước/khu vực;
+ Xây dựng cơ sở hạ tầng phần cứng và phần mềm (bao gồm các công nghệ và nền tảng) cho các danh mục dữ liệu hoặc ngành công nghiệp cụ thể.

Gần đây, khi dữ liệu dần trở thành động lực quan trọng thúc đẩy kinh tế phát triển, một số quốc gia và khu vực nhận thấy rằng nếu chỉ bảo vệ dữ liệu thông qua luật pháp là chưa đủ (chẳng hạn như Quy định chung về bảo vệ dữ liệu của EU, GDPR) mà nó cần được quản lý như một yếu tố kinh tế. Thuật ngữ "quản trị dữ liệu" dần xuất hiện thường xuyên trong các chính sách lớn về kinh tế số ở các nước, tổ chức như Trung Quốc, Nhật Bản, Ấn Độ, EU...

Trong bài này, "quản trị dữ liệu" đề cập đến quản trị của nhà nước đối với tài nguyên dữ liệu. Nói khái quát, “quản trị dữ liệu” là chỉ việc nhà nước quản lý tài nguyên dữ liệu và hành vi dữ liệu để thực hiện chức năng quản lý nhà nước.

Trung Quốc

Năm 2020, trong thông báo "Ý kiến ​​​​về việc xây dựng một hệ thống và cơ chế hoàn thiện hơn để phân bổ các yếu tố theo định hướng thị trường", chính phủ Trung Quốc liệt kê dữ liệu là "yếu tố sản xuất thứ năm" sau đất đai, lao động, vốn và công nghệ.

Để phát huy vai trò của yếu tố dữ liệu, Trung Quốc nhiều lần đưa ra định hướng phát triển thị trường dữ liệu trong các tài liệu quan trọng như "Kế hoạch 5 năm lần thứ 14 (2021-2025)", "Thông báo về phương án tổng thể thí điểm cải cách toàn diện phân bổ thị trường yếu tố sản xuất” (năm 2022) [2].

Trung Quốc đã thúc đẩy xây dựng hệ thống quản trị dữ liệu với ba trụ cột chính là: đảm bảo an ninh dữ liệu, bảo vệ quyền người dùng và giải phóng giá trị dữ liệu.

Về đảm bảo an ninh dữ liệu, đã thông qua "Luật An ninh Quốc gia", "Luật An ninh mạng, "Luật bảo mật dữ liệu" và các quy định liên quan; thiết lập các cơ chế như phân loại, phân cấp dữ liệu và bảo vệ dữ liệu quan trọng; đánh giá bảo mật dữ liệu ...

Về bảo vệ quyền của người dùng, đã thông qua "Bộ luật Dân sự (sửa đổi)", "Luật Bảo vệ thông tin cá nhân"; xây dựng các quy định bổ sung để làm rõ quy tắc xử lý thông tin cá nhân, cung cấp thông tin cá nhân xuyên biên giới, quy định quyền của cá nhân và nghĩa vụ của bên xử lý trong xử lý thông tin cá nhân…

Về giải phóng giá trị dữ liệu, gần đây nhiều địa phương cấp tỉnh, thành phố đã đưa ra các quy định về dữ liệu, xây dựng các quy tắc chia sẻ và mở dữ liệu công khai cũng như lưu thông giao dịch dữ liệu. Tuy nhiên, ở cấp trung ương vẫn còn thiếu một hệ thống pháp luật tổng thể để thúc đẩy việc giải phóng giá trị của các yếu tố dữ liệu.

Bên cạnh đó, Trung Quốc đang xây dựng hệ thống các quy tắc quản trị dữ liệu cụ thể, bao gồm: bảo vệ an ninh dữ liệu, bảo vệ thông tin cá nhân, quản lý dữ liệu công khai và lưu thông giao dịch dữ liệu.

Về hệ thống bảo vệ an ninh dữ liệu: Thiết lập một hệ thống bảo vệ an ninh dữ liệu lấy "Luật bảo mật dữ liệu" làm nền tảng, đồng thời ban hành các quy định cụ thể như "Quy định quản lý bảo mật dữ liệu mạng (dự thảo)", "Quy định quản lý bảo mật dữ liệu ô tô (thử nghiệm)"…

Về cơ chế cụ thể, đã thiết lập hệ thống quản lý phân loại, chấm điểm dữ liệu, xác định danh mục dữ liệu quan trọng cần bảo vệ; thiết lập cơ chế đánh giá, báo cáo, chia sẻ thông tin, giám sát và cảnh báo sớm rủi ro bảo mật dữ liệu; thiết lập cơ chế ứng phó khẩn cấp về bảo mật dữ liệu …

Về hệ thống bảo vệ thông tin cá nhân. Xây dựng một hệ thống pháp luật đa cấp, đa lĩnh vực để bảo vệ thông tin cá nhân với "Luật Bảo vệ thông tin cá nhân" là nền tảng.

Về hệ thống cụ thể, thiết lập một loạt các quy tắc xử lý thông tin cá nhân dựa trên cơ sở "đồng thuận”; thiết lập các quy tắc cho việc cung cấp thông tin cá nhân xuyên biên giới; làm rõ quyền của cá nhân trong hoạt động xử lý thông tin cá nhân, bao gồm quyền được biết, quyền quyết định, quyền hỏi, quyền sửa, quyền xóa, …; làm rõ việc quản lý tuân thủ của bên xử lý thông tin cá nhân và nghĩa vụ của các bên liên quan để đảm bảo an toàn cho thông tin cá nhân.

Về hệ thống quản lý dữ liệu công khai. "Luật Bảo mật dữ liệu" đưa ra các yêu cầu về chất lượng dữ liệu do chính phủ cung cấp, quy định nghĩa vụ của các cơ quan nhà nước trong việc đảm bảo an toàn dữ liệu của chính phủ, giám sát việc xử lý của các bên được ủy thác, … Bên cạnh đó, các địa phương đã ban hành quy định riêng để cụ thể hóa “Luật Bảo mật dữ liệu”.

Về hệ thống lưu thông giao dịch dữ liệu. “Luật Bảo mật dữ liệu” xác định "đảm bảo luồng dữ liệu có trật tự và tự do theo quy định của pháp luật", yêu cầu "nhà nước thiết lập một hệ thống quản lý giao dịch dữ liệu lành mạnh"; quy định các tổ chức tham gia dịch vụ trung gian giao dịch dữ liệu phải thực hiện nghĩa vụ và trách nhiệm pháp lý tương ứng, phải "yêu cầu nhà cung cấp dữ liệu giải thích nguồn dữ liệu, xác minh danh tính bên tham gia giao dịch, lưu giữ hồ sơ giao dịch".

Về mặt luật pháp địa phương, có "Quy định về dữ liệu của Đặc khu kinh tế Thâm Quyến", "Các biện pháp tạm thời để quản lý giao dịch dữ liệu của thành phố Thiên Tân" quy định về đối tượng giao dịch, sàn giao dịch, an toàn giao dịch, giám sát và quản lý giao dịch…[3].

Về cơ quan chuyên trách, tháng 3/2023, Trung Quốc đã thảo luận để thành lập Cục Dữ liệu quốc gia. Cơ quan này chịu trách nhiệm điều phối và thúc đẩy việc xây dựng hệ thống dữ liệu cơ bản quốc gia, điều phối việc tích hợp, chia sẻ, phát triển và sử dụng tài nguyên dữ liệu.

Nhật Bản

Tháng 6/2021, Nhật Bản công bố "Chiến lược dữ liệu quốc gia"[4], là chiến lược dữ liệu toàn diện đầu tiên của Nhật Bản, có mục đích là: Thông qua việc bảo đảm sự tin tưởng và lợi ích công cộng, xây dựng khung cấu trúc để sử dụng dữ liệu an toàn và hiệu quả; đảm bảo sự tin tưởng vào bản thân dữ liệu cũng như phương pháp tạo, lưu thông dữ liệu của Nhật Bản trên phạm vi toàn thế giới; xây dựng một xã hội mà thế giới có thể yên tâm lưu trữ dữ liệu tại Nhật Bản.

Để thực hiện chiến lược này, tháng 9/2021, Nhật Bản đã thành lập Cơ quan kỹ thuật số. Trong "Chiến lược dữ liệu quốc gia", Nhật Bản dự kiến ​​kiến ​​trúc quản trị dữ liệu gồm bảy tầng:

Tầng 1 (cơ sở hạ tầng): 5G, trung tâm dữ liệu, cơ sở hạ tầng máy tính và cơ sở hạ tầng khác hỗ trợ xã hội số;

Tầng 2 (dữ liệu): Bắt đầu từ dữ liệu cơ bản của các hoạt động xã hội, xây dựng cấu trúc các dữ liệu cần thiết;

Tầng 3 (nền tảng hợp tác): Trang bị các công cụ liên kết để tích hợp các dữ liệu một cách có hệ thống;

Tầng 4 (môi trường sử dụng): Cung cấp môi trường thuận lợi cho các đối tượng khác nhau lưu trữ dữ liệu cá nhân thuận tiện và liên kết chúng với ngân hàng thông tin, thị trường giao dịch dữ liệu, … ;

Tầng 5 (quy tắc): Ngoài việc hoàn thiện các quy tắc cần thiết cho liên kết dữ liệu, còn cần hoàn thiện các quy tắc để các chủ thể an tâm sử dụng dữ liệu;

Tầng 6 (tổ chức): Cải cách hành chính và công vụ;

Tầng 7: chiến lược, chính sách.

Lý do Nhật Bản triển khai các biện pháp thúc đẩy chuỗi công nghiệp dữ liệu vì nước này nhận thấy rằng họ có các vấn đề như hạ tầng kỹ thuật số chưa hoàn thiện; thiếu dữ liệu cơ sở; chia sẻ dữ liệu không đầy đủ giữa chính phủ, tư nhân và doanh nghiệp; hiểu biết về dữ liệu trong xã hội còn thấp và vấn đề quyền riêng tư.

Ấn Độ

Chính sách quản trị dữ liệu của Ấn Độ tập trung vào từng loại dữ liệu, đã xây dựng khung quản trị cho dữ liệu cá nhân, dữ liệu phi cá nhân và dữ liệu của chính phủ.

Về dữ liệu cá nhân, "Quy tắc Công nghệ thông tin" thông qua năm 2011[6] là khuôn khổ cơ bản điều chỉnh dữ liệu cá nhân nhạy cảm. Dự thảo “Luật bảo vệ dữ liệu cá nhân” năm 2019 chú ý nhiều đến nội địa hóa dữ liệu; đề xuất quy định chặt chẽ đối với luồng dữ liệu xuyên biên giới và trao cho chính phủ Ấn Độ quyền lấy dữ liệu người dùng từ các công ty (nỗ lực nhằm áp đặt các quy định chặt chẽ hơn đối với các bigtech).

Để cho phép chia sẻ dữ liệu cá nhân thuận lợi, Ấn Độ đã đề xuất "Khung kiến ​​trúc trao quyền và bảo vệ dữ liệu" (DEPA - Data Empowerment and Protection Architecture)[7]. Tháng 8/2022, Ân Độ rút lại Dự thảo năm 2019 và và công bố bản dự thảo "Luật Bảo vệ dữ liệu cá nhân” mới năm 2022[8].

Dự thảo năm 2022 được kỳ vọng sẽ thiết lập cơ chế luồng dữ liệu xuyên biên giới tự do hơn, khung thông báo và chấp thuận đơn giản hơn, cơ quan giám sát bảo vệ dữ liệu toàn diện hơn và khung bảo vệ dữ liệu cá nhân chặt chẽ hơn…

Về dữ liệu phi cá nhân, Ấn Độ không chỉ nỗ lực chia sẻ dữ liệu trong nền kinh tế và xã hội mà còn xây dựng các quy tắc để thúc đẩy lưu thông và sử dụng dữ liệu do chính phủ nắm giữ. Năm 2019, Bộ Điện tử & CNTT đã triệu tập Ủy ban Gopalakrishnan để đưa ra các ý tưởng về cách quản lý dữ liệu phi cá nhân ở Ấn Độ.

Tháng 12/2020, Ủy ban Gopalakrishnan công bố báo cáo về “Khung quản trị đối với dữ liệu phi cá nhân” để tham khảo ý kiến ​​cộng đồng. Ủy ban Gopalakrishnan định nghĩa dữ liệu phi cá nhân là dữ liệu không liên quan đến một cá nhân và dữ liệu từng là dữ liệu cá nhân nhưng đã được ẩn danh để không xác định danh tính của một cá nhân. Ủy ban cũng khuyến nghị thành lập một cơ quan dữ liệu phi cá nhân sẽ hoạt động tách biệt với cơ quan bảo vệ dữ liệu.

Về dữ liệu của chính phủ, tháng 3/2012, Ấn Độ công bố “Chính sách tiếp cận và chia sẻ dữ liệu quốc gia” (National Data Sharing and Accessibility Policy) nhằm mục đích chia sẻ dữ liệu phi cá nhân và không nhạy cảm do chính phủ nắm giữ vì lợi ích công cộng.

Chính sách quy định cho phép chính phủ cung cấp dữ liệu ở định dạng có thể đọc được bằng máy và con người thông qua việc phát triển các nền tảng dữ liệu mở. Để thúc đẩy việc sử dụng dữ liệu do chính phủ quản lý, tháng 2/2022, Bộ Điện tử & CNTT công bố dự thảo "Chính sách về khả năng truy cập và sử dụng dữ liệu của Ấn Độ năm 2022" (India Data Accessibility and Use Policy 2022), quy định rằng chính phủ có thể đặt giá bán dữ liệu mà họ nắm giữ, điều này đã gặp nhiều chỉ trích.

Do đó, tháng 5/2022, Bộ Điện tử & CNTT công bố dự thảo “Chính sách khung quản lý dữ liệu quốc gia” (National Data Governance Framework Policy), có cấu trúc tương tự như dự thảo ban hành vào tháng 2, nhưng loại bỏ các điều khoản cấp phép và định giá dữ liệu gây tranh cãi. Dự thảo đặt ra việc xây dựng kho lưu trữ tập dữ liệu lớn và thành lập Văn phòng quản lý dữ liệu Ấn Độ (IDMO), chịu trách nhiệm xây dựng quy tắc thu thập, lưu trữ dữ liệu và quản lý nền tảng tập dữ liệu.

Ngoài ra, Ấn Độ cũng đề xuất một khung pháp lý kỹ thuật cho việc sử dụng dữ liệu cá nhân, cụ thể là dự thảo “Kiến ​​trúc trao quyền và bảo vệ dữ liệu" (Data Empowerment and Protection Architecture, DEPA) do Viện nghiên cứu chuyển đổi quốc gia ban hành tháng 8/2020. DEPA nhằm mục đích cung cấp cho bên xử lý dữ liệu phương pháp kiểm soát đối với dữ liệu cá nhân, thúc đẩy chia sẻ dữ liệu thống nhất giữa các bên xử lý dữ liệu.

Liên minh châu Âu (EU)

Tháng 5/2022, Hội đồng EU đã thông qua “Đạo luật quản trị dữ liệu châu Âu” (Data Governance Act, DGA) [9], có hiệu lực từ tháng 9/2023. DGA nhằm giải quyết ba vấn đề: Tái sử dụng dữ liệu công cộng trong tay chính phủ; Các công ty không chia sẻ dữ liệu vì e ngại chia sẻ dữ liệu đồng nghĩa với việc mất lợi thế cạnh tranh và có nguy cơ bị lạm dụng; Cá nhân lo lắng dữ liệu sẽ không an toàn và không chia sẻ dữ liệu.

Để giải quyết ba vấn đề trên và đáp ứng nhu cầu phát triển, EU đặt mục tiêu xây dựng một hệ sinh thái chia sẻ, lưu thông và sử dụng dữ liệu thông qua “Đạo luật quản trị dữ liệu”. Theo đó, Hội đồng đổi mới dữ liệu châu Âu (Data Innovation Council) [10], các tổ chức trung gian dữ liệu, DN & cá nhân, các công cụ quản lý của cơ quan quản lý sẽ cùng nhau xây dựng chuỗi lưu thông dữ liệu.

Về mặt tái sử dụng dữ liệu công khai của chính phủ, các quốc gia thành viên được yêu cầu thiết lập một điểm truy cập thông tin duy nhất, và ở cấp độ EU cũng có một điểm truy cập duy nhất được xây dựng.

Về chia sẻ dữ liệu giữa các DN, "Đạo luật quản trị dữ liệu" đưa ra mô hình dịch vụ trung gian dữ liệu. Không gian dữ liệu được quản lý bởi các tổ chức trung gian dữ liệu, là một không gian tập trung, nơi các đối tác kinh doanh có thể thu thập, duy trì, chia sẻ dữ liệu. Những người tham gia vào không gian dữ liệu có thể quyết định dữ liệu nào được chia sẻ, ai được phép truy cập và trong những điều kiện nào.

Một trong những mục tiêu của không gian dữ liệu là tạo điều kiện thuận lợi cho chia sẻ thông tin và tạo ra thị trường dữ liệu châu Âu có lợi cho ngành công nghiệp và nghiên cứu. Trong không gian dữ liệu, dữ liệu cá nhân và dữ liệu phi cá nhân có thể được chia sẻ, nhưng nếu là dữ liệu cá nhân thì phải tuân thủ các quy định của GDPR. Tổ chức trung gian dữ liệu hoạt động như bên thứ ba trung lập, kết nối các cá nhân, công ty và người dùng dữ liệu.

Họ không thể kiếm tiền từ dữ liệu (ví dụ: bán dữ liệu hoặc sử dụng để phát triển sản phẩm) và phải tuân thủ các yêu cầu nghiêm ngặt để đảm bảo tính trung lập và tránh xung đột về lợi ích. “Đạo luật quản trị dữ liệu” cũng đưa ra khái niệm về ‘lòng vị tha dữ liệu’ (Data altruism) [11], nghĩa là, các cá nhân và công ty đồng ý hoặc cho phép dữ liệu do họ tạo ra được sử dụng vì lợi ích chung.

Tiểu kết

Có thể thấy, các chính sách quản trị dữ liệu của Trung Quốc, Nhật Bản, Ấn Độ và EU về cơ bản được hình thành từ năm 2020 trở lại đây. Một mặt, do các quốc gia/khu vực đã nhận ra tầm quan trọng của việc lưu thông và sử dụng dữ liệu để nâng cao khả năng cạnh tranh trong nền kinh tế số toàn cầu. Mặt khác, kể từ đại dịch COVID-19, dữ liệu đã đi sâu vào mọi khía cạnh của đời sống kinh tế, xã hội, ý nghĩa của dữ liệu ngày càng trở nên nổi bật.

Chiến lược dữ liệu chỉ là bước khởi đầu, các quốc gia/khu vực sau đó sẽ phải giải quyết bài toán làm thế nào để thực hiện chiến lược để đạt được mục tiêu của mình. Chính sách quản trị dữ liệu của hầu hết các quốc gia/khu vực về cơ bản tập trung vào việc lưu thông và sử dụng dữ liệu tại thị trường nội địa, điển hình như EU đề xuất hình thành một "thị trường kỹ thuật số chung".

Trái lại, mục tiêu của Nhật Bản tương đối “mở” hơn, họ muốn xây dựng cơ chế lưu thông dữ liệu kép trong nước và quốc tế, đồng thời mong muốn trở thành một nơi mà "dữ liệu của chính họ có thể được sử dụng an toàn trên toàn thế giới" và "dữ liệu thế giới có thể được lưu trữ an toàn tại Nhật Bản".

Do dữ liệu là yếu tố mới, có những đặc thù nhất định, các quy tắc pháp lý và logic quản trị của nó khác với các yếu tố truyền thống. Các quốc gia/khu vực đang tìm kiếm một lộ trình quản trị dữ liệu hợp lý, hiệu quả để tối đa hóa giá trị của dữ liệu và đảm bảo an ninh dữ liệu.

Từ chính sách quản trị dữ liệu của các quốc gia/khu vực được đề cập trên có điểm chung, đó là đã từ bỏ logic quản trị theo hệ thống pháp luật ban đầu về quyền tài sản và không còn tập trung vào việc ai sở hữu quyền tài sản dữ liệu. Thay vào đó, việc tạo điều kiện lưu thông dữ liệu để kích thích thị trường dữ liệu.

Hệ thống quản trị dữ liệu đã bắt đầu hình thành và nhìn chung có các đặc điểm: Thành lập một cơ quan quản trị dữ liệu và xây dựng cơ chế điều phối ở cấp quốc gia/khu vực; ban hành các luật, quy định về lưu thông và sử dụng các loại dữ liệu khác nhau ở cấp quốc gia/khu vực; hình thành thị trường dữ liệu trong nước/khu vực; xây dựng cơ sở hạ tầng phần cứng và phần mềm (bao gồm các công nghệ và nền tảng) cho các danh mục dữ liệu hoặc ngành công nghiệp cụ thể.

Việc tích lũy, lưu thông và ứng dụng dữ liệu phá vỡ quan niệm về hoạt động sản xuất trước đây. Trong thời đại thông tin, hình thức kinh tế mới dựa trên dữ liệu đang định hình lại cấu trúc xã hội, đòi hỏi mô hình quản trị, cơ chế quản trị, phương thức quản trị mới. Đẩy mạnh xây dựng hệ thống quy tắc quản trị dữ liệu là lựa chọn tất yếu để thích ứng với sự phát triển của lực lượng sản suất; bảo đảm việc sử dụng tài nguyên dữ liệu hiệu quả, có trật tự; phù hợp với các quan hệ pháp luật mới nảy sinh trong thời đại kỹ thuật số.

Đối với Việt Nam, tháng 12/2020, Bộ TT&TT đã công bố dự thảo “Chiến lược dữ liệu quốc gia giai đoạn 2021-2025, định hướng đến năm 2030”[12] trong đó phân tích cụ thể các thách thức & cơ hội về dữ liệu số đối và đề ra các nhiệm vụ, giải pháp chiến lược để phát triển dữ liệu số Việt Nam.

Trong “Chiến lược quốc gia Phát triển kinh tế số và xã hội số đến năm 2025, định hướng đến năm 2030”, đã chỉ rõ tầm quan trọng của yếu tố dữ liệu đối với phát triển số; xác định “Việc tạo lập, phân loại, dán nhãn dữ liệu, nhanh chóng hoàn thiện hành lang pháp lý về dữ liệu và quản trị dữ liệu là yếu tố quyết định thúc đẩy cơ quan nhà nước, DN và người dân chuyển từ sở hữu riêng dữ liệu sang cùng tạo lập, chia sẻ và khai thác dữ liệu”; vạch ra yêu cầu, mục tiêu, định hướng để hoàn thiện thể chế; phát triển hạ tầng và nền tảng số; đảm bảo an toàn thông tin mạng và an ninh mạng; phát triển nhân lực số, kỹ năng số, công dân số và văn hóa số; phát triển DN số và thanh toán số[13].

Như vậy, về định hướng chính sách, Việt Nam đã có những văn bản quan trọng xác định lộ trình phát triển dữ liệu số. Tuy nhiên, cần sớm ban hành Chiến lược dữ liệu quốc gia để có cơ sở triển khai đồng bộ các giải pháp, cùng với việc tham khảo kinh nghiệm các nước/khu vực trên thế giới, để hoàn thiện khung quản trị dữ liệu quốc gia./.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 8 tháng 8/2023)