Thực tế này cho thấy cơ hội để phát triển kinh tế số ở Việt Nam là rất lớn, tuy nhiên đi kèm theo đó là mối quan ngại về khả năng bảo vệ dữ liệu cá nhân ở ngoài khu vực tài phán quốc gia, khả năng cạnh tranh của ngành công nghệ thông tin trong nước so với nước ngoài và an ninh quốc gia trên không gian mạng.
Để có thể tận dụng cơ hội và hóa giải những thách thức, thúc đẩy trách nhiệm giải trình và hướng tới hợp tác đa phương để quản trị dữ liệu cá nhân xuyên biên giới có lẽ là một giải pháp chính sách phù hợp hơn cả.
Đây là nội dung chính tại Tọa đàm “Dòng dữ liệu xuyên biên giới và vấn đề bảo vệ dữ liệu cá nhân” được tổ chức với hình thức trực tuyến bởi Viện Nghiên cứu chính sách và phát triển truyền thông (IPS) vào ngày 27-8-2021.
Tại tọa đàm này, các chuyên gia đã phân tích lợi ích mà dòng dữ liệu cá nhân xuyên biên giới mang lại đối với sự phát triển kinh tế toàn cầu và với Việt Nam nói riêng.
Lợi ích và tổn thất kinh tế có thể lượng hóa
Ông Jeff Paine, Giám đốc điều hành Liên minh Internet châu Á (Asia Internet Colliation), cho rằng: dữ liệu xuyên biên giới cho phép các doanh nghiệp và người tiêu dùng tiếp cận với công nghệ và dịch vụ tốt nhất, mang lại lợi ích cho tất cả các lĩnh vực, từ sản xuất đến đến dịch vụ tài chính, giáo dục, chăm sóc sức khỏe.
Đồng quan điểm với ông Jeff Paine và cụ thể hơn, bà Eunice Lim, đại diện Liên minh Dữ liệu toàn cầu (Global Data Alliance) nhấn mạnh bốn lợi thế mà dữ liệu cá nhân xuyên biên giới mang lại: (i) giúp doanh nghiệp siêu nhỏ, nhỏ và vừa (MSME) và các doanh nghiệp khác tiếp cận thị trường nước ngoài và chuỗi cung ứng toàn cầu (nghiên cứu AlphaBeta năm 2019 ước tính rằng các công cụ kỹ thuật số đã giúp các MSME trên khắp châu Á giảm 82% chi phí xuất khẩu và 29% thời gian giao dịch); (ii) cải thiện khả năng tiếp cận tài chính (mở rộng các lựa chọn về khoản vay nhỏ, tạo điều kiện thuận lợi cho kiều hối đến các nước đang phát triển, minh bạch tài chính, chống tham nhũng và chống rửa tiền); (iii) thúc đẩy đổi mới và khả năng cạnh tranh của các công ty (nghiên cứu phát triển và đổi mới dựa trên trí tuệ nhân tạo, quy trình đăng ký quyền sở hữu trí tuệ xuyên biên giới) và (iv) thúc đẩy, đảm bảo sự vận hành chuỗi cung ứng toàn cầu.
Ngược lại, nếu quốc gia đặt ra các rào cản đối với dòng dữ liệu cá nhân xuyên giới sẽ đối mặt với các thiệt hại về kinh tế và an sinh xã hội. Bà Eunice Lim dẫn một nghiên cứu của Hiệp hội Hệ thống thông tin di động toàn cầu (GSMA) năm 2021 được thực hiện ở Nam Mỹ, Đông Nam Á và châu Phi chỉ ra rằng các biện pháp địa phương hóa dữ liệu trên các ứng dụng IoT và dữ liệu M2M có thể dẫn đến: tổn thất đầu tư từ 4-5 tỉ đô la Mỹ, mất từ 182.000-372.000 việc làm. Ông Jeff Paine dẫn báo cáo của Quỹ Đổi mới và công nghệ thông tin (ITIF) năm 2021 cho thấy rằng nếu quốc gia tăng 1 điểm về mức hạn chế dữ liệu của một quốc gia sẽ làm giảm 7% GDP, giảm 2,9 % năng suất lao động và giá người tiêu dùng phải trả tăng 1,5% trong vòng năm năm.
Đối với Việt Nam, yêu cầu về địa phương hóa dữ liệu sẽ dẫn đến mất quyền tiếp cận tới các nhà cung cấp dịch vụ quốc tế và thị trường nước ngoài. Ước tính tổng thiệt hại là 1,7% GDP; 3,1% đầu tư trong nước và 1,5 tỉ đô la Mỹ tổn thất phúc lợi của người tiêu dùng.
Các mô hình quản trị dữ liệu cá nhân xuyên biên giới
Các chuyên gia về chính sách và pháp luật đã đưa ra các mô hình quản trị dữ liệu cá nhân xuyên biên giới tại một số quốc gia trên thế giới nhằm gợi ý giải pháp cho Việt Nam.
Bà Tsunoda Rika, Phó giám đốc Văn phòng Chiến lược công nghệ thông tin, Văn phòng Nội các Nhật Bản, giới thiệu mô hình quản lý dữ liệu của Nhật Bản với phương châm “Data Free Flows with Trust” – một sáng kiến trong khuôn khổ Hội nghị Thượng đỉnh G20 Osaka. Trong đó yếu tố “Trust” – sự tin cậy được nhấn mạnh. Và để xây dựng được một khuôn khổ tin cậy về chuyển dữ liệu cá nhân qua biên giới, Nhật Bản tiến tới thiết lập: (i) các cơ chế xác thực danh tính cá nhân; (ii) cơ chế chứng nhận an toàn dữ liệu, danh sách dịch vụ được kiểm định là đáng tin cậy (trust list) và (iii) khuôn khổ hợp tác quốc tế về bảo vệ dữ liệu cá nhân mà ở đó có sự công nhận lẫn nhau giữa các quốc gia.
Để có được sự công nhận lẫn nhau tương tự như cách làm của Liên minh châu Âu (Ủy ban châu Âu công nhận quốc gia, tổ chức quốc tế có tiêu chuẩn bảo vệ dữ liệu cá nhân tương đương EU thông qua “Adequacy Decision”), đòi hỏi phải có sự tương thích trong quy định về bảo vệ dữ liệu cá nhân của các quốc gia.
Đánh giá về vấn đề này này, Tiến sĩ Clarisse Girot, chuyên viên nghiên cứu cao cấp tại Viện Pháp luật kinh doanh châu Á, đưa ra ba khía cạnh chính cần quan tâm: (i) những khái niệm chính: dữ liệu cá nhân, ẩn danh, phân định chủ thể kiểm soát và xử lý dữ liệu (data controller và data processor); (ii) cơ sở pháp lý để xử lý dữ liệu cá nhân: sự đồng ý, lợi ích hợp pháp (legistimate interest), lợi ích công, nghiên cứu khoa học; (iii) điều kiện chuyển dữ liệu cá nhân qua biên giới: sự đồng ý của chủ thể dữ liệu, bộ quy tắc ứng xử, chứng nhận bảo mật dữ liệu, yêu cầu địa phương hóa dữ liệu.
Tiếp nối, ông Fan Tuck Chee, Phó giám đốc điều tra, Ủy ban Bảo vệ dữ liệu cá nhân Singapore, giới thiệu mô hình quản trị dữ liệu cá nhân xuyên biên giới dựa trên công cụ pháp lý là Luật Bảo vệ dữ liệu cá nhân Singapore (PDPA) dành cho khu vực tư nhân. Cách tiếp cận trong việc xây dựng quy định bảo vệ dữ liệu cá nhân là quy định trách nhiệm giải trình của chủ thể có nghĩa vụ thực thi dựa trên nguyên tắc quản trị rủi ro xâm phạm dữ liệu.
Để thúc đẩy việc thực thi trách nhiệm giải trình của chủ thể xử lý dữ liệu cá nhân nói chung, Singapore đã thiết lập các giải pháp: (i) chứng nhận tín nhiệm về bảo vệ dữ liệu (DPTM); (ii) yêu cầu thông báo về xâm phạm dữ liệu (đảm bảo chủ thể chủ động tiến hành quản lý rủi ro xâm phạm dữ liệu); (iii) bắt buộc đánh giá rủi ro đối với một số trường hợp nhất định về sử dụng dữ liệu; (iv) áp dụng hình thức “voluntary undertaking” trong điều tra, xử lý vi phạm dữ liệu cá nhân – cho phép chủ thể vi phạm xây dựng kế hoạch có hiệu quả để khắc phục sự cố và thực hiện kế hoạch đó.
Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu chính sách và phát triển truyền thông (IPS), nhấn mạnh cách tiếp cận chính sách dựa trên ba trụ cột: (i) quy định pháp luật; (ii) hợp tác liên quốc gia trong các khuôn khổ đa phương; (iii) cơ chế tự quản trong nội bộ ngành (self-regulation). Bên cạnh việc dùng công cụ pháp lý đối với quản trị dữ liệu cá nhân xuyên biên giới, cần chú trọng đến các khuôn khổ hợp tác quốc tế cũng như các cơ chế tự quản trong nội bộ ngành.
Đối với Việt Nam, cần gấp rút tham gia các khuôn khổ đa phương trong khu vực như APEC Privacy Framework, ASEAN PDP, đồng thời thúc đẩy áp dụng giải pháp công nghệ để bảo vệ quyền riêng tư (Privacy Enhancing Technology, PETs).
Tựu trung lại, để có thể tận dụng cơ hội và hóa giải những thách thức mà dòng dữ liệu cá nhân xuyên biên giới đem lại, Việt Nam nên: (i) thúc đẩy hợp tác đa phương về quản trị dữ liệu; (ii) thúc đẩy trách nhiệm giải trình của các chủ thể liên quan đến hoạt động xử lý dữ liệu. Và để có thể làm được hai điều này thì có ba việc cần thiết phải tiến hành: (i) hoàn thiện các quy định pháp luật về bảo vệ dữ liệu cá nhân theo hướng có sự thống nhất trong hệ thống pháp luật nội bộ của quốc gia, đồng thời có sự tương đồng giữa các quốc gia trong khu vực và trên thế giới; (ii) hạn chế yêu cầu địa phương hóa dữ liệu, và (iii) tăng cường các biện pháp công nghệ để bảo vệ dữ liệu cũng như khai thác giá trị của dữ liệu.
Nguyễn Lan Phương - Viện Nghiên cứu Chính sách và Phát triển Truyền thông