Dữ liệu cá nhân trong dòng chảy dữ liệu xuyên biên giới
Dữ liệu cá nhân và vấn đề dữ liệu cá nhân xuyên biên giới
Trong cách hiểu phổ biến nhất, dữ liệu cá nhân (personal data) là thông tin cho phép xác định/nhận dạng trực tiếp hoặc gián tiếp một con người cụ thể. Dựa vào khả năng tác động của dữ liệu tới đời sống, tâm lý con người, dữ liệu cá nhân được chia thành hai loại:
(i) Dữ liệu cá nhân cơ bản gồm những thông tin cụ thể cho phép xác định trực tiếp danh tính một con người như: tên, tuổi, giới tính, dân tộc; (ii) Dữ liệu cá nhân nhạy cảm gồm những thông tin liên quan trực tiếp đến quyền cơ bản và tự do của con người và khi xử lý những thông tin này có thể tạo ra rủi ro đối với quyền này, tác động nghiêm trọng đến danh dự, nhân phẩm của con người như: quan điểm chính trị, quan điểm tôn giáo, tình trạng đời sống tình dục, đặc điểm di truyền học.
Trong dòng chảy dữ liệu giữa các quốc gia, dữ liệu cá nhân là một thành tố quan trọng. Chuyển dữ liệu cá nhân qua biên giới (cross-border transfer of personal data) do đó được xem xét, cũng như đặt trong chỉnh thể không tách rời với dữ liệu qua biên giới (cross-border data).
Hiện nay, theo số liệu được công bố bởi Nikkei(1), tình hình chuyển dữ liệu qua biên giới trên thế giới cho thấy châu Á là khu vực năng động bậc nhất trên thế giới và Việt Nam trở thành quốc gia nổi bật về hoạt động trao đổi dữ liệu xuyên quốc gia.
Thứ nhất, về danh sách xếp hạng quốc gia có dòng dữ liệu xuyên biên giới lớn nhất, có đến năm quốc gia thuộc châu Á (Trung Quốc, Ấn Độ, Singapore, Việt Nam và Nhật Bản) nằm trong danh sách 11 quốc gia có dòng dữ liệu xuyên biên giới lớn nhất thế giới. Đáng chú ý là, Trung Quốc xếp vị trí thứ nhất với lưu lượng 111 triệu Mbps (Megabit per second), bỏ xa Mỹ xếp ở vị trí thứ hai với 60 triệu Mbps và Anh ở vị trí thứ ba với 51,22 triệu Mbps. Trong danh sách này, Việt Nam nằm ở vị trí thứ bảy với lưu lượng 7,99 triệu Mbps.
Thứ hai, về mức độ tăng trưởng của dòng chảy dữ liệu qua biên giới giai đoạn 2001-2019 của 11 quốc gia có dòng dữ liệu xuyên biên giới lớn nhất, Việt Nam là quốc gia có mức độ tăng trưởng cao nhất với 230.000 lần, gấp khoảng 30 lần so với quốc gia đứng đầu về lưu lượng luân chuyển dữ liệu là Trung Quốc với 7.500 lần. Các quốc gia châu Á khác cũng có mức độ tăng trưởng ấn tượng, Ấn Độ với 22.000 lần và Singapore với 3.000 lần.
Thứ ba, về sự thay đổi tỷ trọng dữ liệu được chuyển đến các quốc gia giữa năm 2001 và năm 2020, tỷ trọng dữ liệu được chuyển đến Việt Nam và Singapore (Nikkei xếp chung Singapore và Việt Nam) từ Mỹ, Trung Quốc và Ấn Độ vào năm 2020 lớn hơn so với năm 2001. Đáng chú ý, năm 2001, Trung Quốc chủ yếu chuyển dữ liệu đến Mỹ, Nhật Bản thì đến năm 2020, tỷ trọng dữ liệu được chuyển đến Việt Nam và Singapore từ Trung Quốc lớn hơn tỷ trọng dữ liệu được chuyển đến Mỹ, Nhật Bản từ Trung Quốc.
Dữ liệu cá nhân xuyên biên giới và những vấn đề chính sách – pháp lý đặt ra
Dòng chảy dữ liệu xuyên biên giới nói chung và dòng dữ liệu cá nhân xuyên biên giới nói riêng đặt ra nhiều vấn đề cho mỗi quốc gia trong thời đại hội nhập số, trong đó có bốn vấn đề chính sách – pháp lý nổi bật như sau.
Thứ nhất là an ninh mạng. Dòng dữ liệu xuyên biên giới đặt ra sự quan ngại về khả năng của người dùng lẫn nhà nước trong việc kiểm soát và bảo mật dữ liệu khi chúng ở ngoài biên giới lãnh thổ quốc gia. Đối với người dùng, nếu xảy ra sự cố mất an toàn với dữ liệu của mình nhưng dữ liệu đó lại do một chủ thể ở quốc gia khác nắm giữ, sẽ rất khó để thực hiện được quyền tự kiểm soát hay bảo vệ.
Và trong trường hợp đó, nhà nước cũng có rất ít khả năng để hỗ trợ công dân của mình thực hiện các quyền về dữ liệu do bị giới hạn về thẩm quyền tài phán. Một ví dụ, trước xì căng đan Facebook làm lộ dữ liệu của người dùng trong vụ việc Cambridge Analytica, người dùng ở Việt Nam không được đền bù thiệt hại, cũng như không thể tự thực hiện các giải pháp bảo vệ khi vụ việc xảy ra.
Thứ hai là vấn đề bảo vệ quyền riêng tư của người dùng. Dòng dữ liệu xuyên biên giới đặt ra mối lo lắng về khả năng bảo vệ quyền riêng tư của chủ thể dữ liệu cá nhân khi dữ liệu này được chuyển sang một khu vực tài phán khác với những quy định pháp luật bảo vệ dữ liệu cá nhân không tương thích với quy định của quốc gia “gốc” của dữ liệu.
Điều này xuất phát từ thực tế, mỗi quốc gia sẽ có các chuẩn mực pháp lý về quyền dữ liệu khác nhau. Ví dụ, các nước châu Âu trao quyền cao nhất về dữ liệu cho công dân của mình, đồng thời đặt ra các chuẩn mực và nghĩa vụ pháp lý chặt chẽ về bảo vệ dữ liệu. Trong khi đó ở nhiều quốc gia khác, pháp lý nước sở tại thậm chí chưa quy định về quyền dữ liệu.
Thứ ba là thực thi pháp luật quốc gia. Dòng dữ liệu xuyên biên giới đặt các quốc gia trước thách thức thực thi các quy định pháp lý với các chủ thể không nằm trong lãnh thổ quốc gia mình. Điều này là rất phổ biến trong không gian mạng – là một không gian không có biên giới, do đó về cơ bản, một doanh nghiệp có thể cung cấp dịch vụ, có thể kinh doanh ở nước khác mà không cần đặt “văn phòng” hay trụ sở. Điều này đặt ra thách thức rất lớn cho cơ quan thực thi pháp luật trong trường hợp thực hiện nghĩa vụ theo luật định như thanh tra, xử lý vi phạm, giải quyết khiếu nại.
Thứ tư là bảo hộ ngành công nghiệp trong nước, đặc biệt với các quốc gia được coi là “mới nổi”. Một số quốc gia đặt ra yêu cầu bản địa hóa dữ liệu nhằm phục vụ chính sách phát triển công nghiệp nói chung và phát triển công nghệ thông tin nói riêng. Các quốc gia này coi dữ liệu như “nguyên liệu” của nghiên cứu, sản xuất cũng như hoạch định chính sách, do đó chuyển dữ liệu ra khỏi biên giới có thể làm suy giảm khả năng phát triển kinh tế đất nước.
Ứng xử pháp lý với dữ liệu xuyên biên giới
Đứng trước những thách thức này, mỗi quốc gia trên thế giới đều có cách tiếp cận và quy định pháp luật về chuyển dữ liệu cá nhân qua biên giới sao cho phù hợp với thực tiễn và nhu cầu của đất nước về phát triển kinh tế, hội nhập quốc tế và đảm bảo quyền công dân, an ninh quốc gia.
Nhìn chung, xét về mức độ chặt chẽ của các biện pháp bảo vệ, từ chỗ không có quy định cụ thể, các quốc gia từng bước đặt ra yêu cầu về trách nhiệm giải trình với dữ liệu; quy định về điều kiện an toàn khi chuyển dữ liệu; cấp phép cho từng trường hợp luân chuyển dữ liệu cụ thể, hoặc cấm chuyển dữ liệu.
Việt Nam, với tư cách là quốc gia nằm trong tốp 10 thế giới về luân chuyển dữ liệu cũng bắt đầu quan tâm và đề xuất cách tiếp cận pháp lý cụ thể hơn cho vấn đề này. Tuy nhiên, khi xem kinh tế số là động lực mới cho phát triển, lựa chọn của Việt Nam chắc chắn sẽ rất thách thức và cần được cân nhắc cẩn trọng về cách tiếp cận và bảo vệ.
Một hệ thống chính sách “đa công cụ” có thể sẽ phục vụ tốt cho Việt Nam hơn là thuần túy dựa vào các luật lệ và quy định “cứng” – vốn đặt ra thách thức lớn về năng lực thực thi. Bên cạnh biện pháp “cứng” không tạo ra chi phí tuân thủ quá lớn cho doanh nghiệp, các biện pháp bổ trợ gồm tiêu chuẩn “mềm” (mang tính khuyến khích doanh nghiệp tự tuân thủ) như tiêu chuẩn an toàn dữ liệu, các giải pháp công nghệ giúp bảo vệ dữ liệu tốt cần được cân nhắc áp dụng.
Về cơ bản, mục tiêu thúc đẩy dòng chảy dữ liệu an toàn tin cậy không mâu thuẫn với việc bảo vệ dữ liệu cá nhân. Cân bằng được yếu tố thúc đẩy và bảo vệ sẽ giúp Việt Nam phát triển kinh tế số và chuyển đổi số toàn diện mà vẫn đảm bảo được quyền dữ liệu cho người dân.
Nguyễn Lan Phương - Nguyễn Quang Đồng,
Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS)
Featured post
