Nhiều quốc gia đã đưa vấn đề này vào các hiệp định thương mại tự do để đàm phán nhằm đưa ra khung pháp lý chung, điển hình là Hiệp định CTPPP và Hiệp định RCEP, hai hiệp định có sự tham gia của Việt Nam. Điều này đặt ra yêu cầu cấp thiết đối với Việt Nam phải sớm hoàn thiện khung pháp luật về quản trị dữ liệu và bảo vệ dữ liệu cá nhân.
Trang 1HOÀN THIỆN PHÁP LUẬT VIỆT NAM VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN PHÙ HỢP VỚI CÁC CAM KẾT TRONG MỘT SỐ HIỆP ĐỊNH
THƯƠNG MẠI TỰ DO
COMPLETE VIETNAM LAW ON PROTECTION OF PERSONAL DATA IN
COMMITMENTS IN SOME FREE TRADE AGREEMENTS
Trần Đăng Quang
TÓM TẮT: Hiện nay, mối quan tâm và lo ngại về vấn đề bảo vệ dữ liệu cá nhân, đảm bảo dòng chảy dữ liệu xuyên biên giới ngày càng gia tăng khi quá trình chuyển đổi số và sự phát triển của khoa học công nghệ đang diễn ra rất nhanh chóng Bởi vậy, nhiều quốc gia đã đưa vấn đề này vào các hiệp định thương mại tự do để đàm phán nhằm đưa ra khung pháp lý chung, điển hình là Hiệp định CTPPP và Hiệp định RCEP, hai hiệp định có sự tham gia của Việt Nam Điều này đặt ra yêu cầu cấp thiết đối với Việt Nam phải sớm hoàn thiện khung pháp luật về quản trị dữ liệu và bảo vệ
dữ liệu cá nhân
Từ khoá: Bảo vệ dữ liệu cá nhân, dữ liệu xuyên biên giới, bản địa hoá dữ liệu,
Hiệp định CPTPP, Hiệp định RCEP
ABSTRACT: Currently, concerns about the protection of personal data, ensuring the increasing flow of data across borders as the digital transformation and the development of science and technology are taking placein a very fast pace manner Therefore, many countries have included this issue in free trade agreements for negotiation to provide a common legal framework, typically the CTPPP and the RCEP Agreement, two agreements with the participation of Vietnam This raises the urgent requirement for Vietnam to soon finalize the legal framework on data governance and personal data protection
Keywords: Personal data protection, cross-border data, data localization,
CPTPP Agreement, RCEP Agreement
Sinh viên K.42 Trường Đại học Luật Hà Nội Email: quangtran1219@gmail.com
Trang 21 Đặt vấn đề
Tại Việt Nam, tình trạng lộ lọt, mua bán trái phép dữ liệu đang diễn ra ngày càng phổ biến, ảnh hưởng trực tiếp đến nhiều cá nhân và xã hội; thậm chí, nhiều vụ lừa đảo chiếm đoạt tài sản có trị giá lớn đã xảy ra Theo ghi nhận của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam, Cục An toàn thông tin, hơn 500.000 tài khoản Zoom
đã bị lộ lọt thông tin cá nhân của người sử dụng, trong đó bao gồm: email, mật khẩu, đường dẫn URL các cuộc họp và mật khẩu kèm theo.1
Thông qua những lỗ hổng này, tin tặc có thể truy cập bất hợp pháp vào các cuộc họp, theo dõi, truyền bá thông tin xấu độc, đánh cắp thông tin hoặc cài đặt mã độc trực tiếp trên máy người dùng
Trước thực trạng trên, các quy định pháp luật Việt Nam điều chỉnh vấn đề bảo vệ
dữ liệu cá nhân lại chưa có sự thống nhất và nằm rải rác trong nhiều văn bản pháp luật khác nhau Điều này gây khó khăn cho chính chủ thể dữ liệu trong việc bảo vệ dữ liệu
cá nhân của mình khi bị xâm phạm Mặc dù Bộ Công an đã ban hành dự thảo Nghị định về bảo vệ dữ liệu cá nhân vào tháng 02 năm 2021, nhưng vẫn còn nhiều vấn đề được đặt ra xoay quanh dự thảo này Ngoài ra, Việt Nam ngày càng tham gia sâu rộng vào quá trình hội nhập quốc tế với việc đàm phán nhiều hiệp định thương mại tự do thế hệ mới có điều chỉnh vấn đề bảo vệ dữ liệu cá nhân Trong đó, Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương (CPTPP) và Hiệp định Đối tác Kinh tế Toàn diện Khu vực (RCEP) là hai trong số các hiệp định mà Việt Nam cần chú trọng trong thời gian tới Trong cả hai hiệp định này, ba quy định có liên quan trực tiếp đến vấn đề bảo vệ dữ liệu cá nhân bao gồm (1) quy định về bảo vệ thông tin cá nhân, (2) quy định về lưu chuyển thông tin qua biên giới, và (3) quy định về bản địa hoá dữ liệu
2 Vấn đề bảo vệ dữ liệu cá nhân trong các hiệp định thương mại tự do mà Việt Nam là thành viên
2.1 Quy định về bảo vệ thông tin cá nhân
Trên thế giới có khoảng 1/3 số các hiệp định thương mại quốc tế khu vực (RTA)
có chứa điều khoản về yêu cầu bảo vệ thông tin cá nhân của người tiêu dùng Thông thường, có hai xu hướng mà các quốc gia đàm phán và quy định điều khoản về bảo vệ
dữ liệu cá nhân trong các RTA
1
Công văn số 250/CATTT-VNCERT/CC ngày 14/4/2020 của Cục An toàn thông tin, Bộ Thông tin và Truyền thông, về việc cảnh báo nguy cơ mất an toàn thông tin từ phần mềm trực tuyến Zoom
Trang 3Về hướng tiếp cận thứ nhất, các quốc gia đàm phán không quy định nghĩa vụ bảo
vệ dữ liệu cá nhân là nghĩa vụ bắt buộc Các hiệp định tiếp cận theo hướng này chỉ yêu cầu các quốc gia thành viên thừa nhận sự cần thiết phải bảo vệ thông tin cá nhân Nhóm quốc gia điển hình đi theo hướng tiếp cận này là các nhà đàm phán của Châu
Âu Ví dụ: Quy định trong Hiệp định EU-Colombia-Peru (Điều 164): “Các Bên sẽ cố gắng, trong chừng mực có thể, và trong khả năng của mình, để phát triển hoặc duy trì, tùy từng trường hợp, các quy định về bảo vệ dữ liệu cá nhân”
Về hướng tiếp cận thứ hai, các quốc gia đàm phán quy định nghĩa vụ bảo vệ dữ
liệu cá nhân là nghĩa vụ bắt buộc Các RTAs tiếp cận theo hướng này thường yêu cầu các quốc gia sẽ phải ban hành hoặc duy trì một khung pháp lý để bảo vệ thông tin cá nhân, có tính đến các nguyên tắc và hướng dẫn về vấn đề tương tự của các tổ chức quốc tế Có nhiều cách để thực hiện được nghĩa vụ trên, chẳng hạn như ban hành luật
về quyền riêng tư hoàn chỉnh, hoặc là một chương của luật về quyền riêng tư, luật bảo
vệ thông tin cá nhân hay bảo vệ dữ liệu cá nhân hoặc luật cho phép các hành động tự nguyện về quyền riêng tư đối với các doanh nghiệp Hiệp định CPTPP và Hiệp định RCEP là hai ví dụ minh chứng cho hướng tiếp cận này Theo đó, nghĩa vụ chính mà các quốc gia thành viên phải tuân thủ bao gồm (i) áp dụng và duy trì khung pháp lý quy định việc bảo vệ thông tin cá nhân, và (ii) công bố các biện pháp bảo vệ thông tin
cá nhân đối với người tiêu dùng Xét về tổng thể, quy định này không đặt ra các quy chuẩn, nghĩa vụ cụ thể đối với các quốc gia về nội dung khi xây dựng các quy định điều chỉnh vấn đề bảo vệ thông tin cá nhân mà đơn thuần là cơ sở thống nhất sự thừa nhận, ràng buộc trách nhiệm của các quốc gia trong việc bảo vệ thông tin cá nhân của người tiêu dùng Việc xây dựng và làm rõ các quy định bảo vệ thông tin sẽ do các quốc gia tự ban hành
Trong quá trình xây dựng khung pháp lý điều chỉnh vấn đề bảo vệ thông tin cá nhân, cả hai hiệp định khuyến nghị mỗi quốc gia nên tham khảo các nguyên tắc và hướng dẫn của các tổ chức quốc tế liên quan Tuy nhiên, không có một nguyên tắc cụ
thể nào được quy định và hiệp định cũng không liệt kê hay làm rõ “tổ chức quốc tế liên quan” nào là tổ chức phù hợp Một điều cần lưu ý là tất cả 11 thành viên Hiệp
định CPTPP và 12/15 thành viên Hiệp định RCEP (trừ Campuchia, Lào, Myanmar) hiện nay đều là các nền kinh tế thành viên APEC; trong khuôn khổ này, giữa các quốc
Trang 4gia thành viên có tồn tại văn bản “Những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân
thấp về bảo vệ thông tin cá nhân nhưng đây có thể là một trong những cơ sở phù hợp
để các quốc gia tham khảo trong quá trình xây dựng khung pháp luật nội địa
Về các biện pháp bảo vệ thông tin cá nhân, các quốc gia thành viên được khuyến khích công bố các thông tin về những biện pháp đó bao gồm các thông tin liên quan đến cách cá nhân có thể tìm các biện pháp khắc phục trước những hành vi xâm phạm quyền riêng tư, bảo vệ dữ liệu, thông tin cá nhân và các doanh nghiệp có thể tuân thủ theo các yêu cầu pháp lý Trên thực tiễn, nhiều quốc gia thành viên hiệp định hiện nay
có triển khai các cổng thông tin riêng dành cho người tiêu dùng có thể gửi khiếu nại liên quan đến vấn đề nghi ngờ thông tin cá nhân bị lộ lọt Đồng thời, cổng thông tin này cũng cung cấp lời khuyên đối với cá nhân để tự bảo vệ thông tin, dữ liệu của mình
và những hướng dẫn đối với doanh nghiệp về vấn đề bảo vệ thông tin khách hàng trong quá trình thực hiện hoạt động kinh doanh kể cả trực tuyến hay trực tiếp.3
2.2 Quy định về dòng chảy dữ liệu xuyên biên giới
Trong thời đại kinh tế số, dòng chảy dữ liệu xuyên biên giới được cho là một yếu
tố thúc đẩy nền kinh tế Việc dữ liệu, thông tin được truyền tải liền mạch, xuyên biên giới còn cho phép cá nhân, doanh nghiệp tiếp cận được những công nghệ và dịch vụ tốt nhất cho dù tài nguyên công nghệ thông tin được đặt ở bất kỳ lãnh thổ quốc gia nào Theo nghiên cứu của tổ chức McKinsey, dòng chảy dữ liệu xuyên biên giới trên phạm vi toàn cầu ước tính đóng góp 2,8 nghìn tỷ USD cho nền kinh tế thế giới trong năm 2014, con số này dự kiến sẽ tăng lên 11 nghìn tỷ USD vào năm 2025.4
Hiện nay, có 03 xu hướng xây dựng quy định về đảm bảo dòng chảy thông tin/dữ liệu trong các RTAs bao gồm:
(1) Cấp độ cam kết thấp: Quy định trong một số RTAs chỉ đơn thuần tìm kiếm
các thoả thuận về hợp tác giữa các bên trong vấn đề này Ví dụ như Hiệp định giữa
2 Bộ Công thương, APEC Những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân trong thương mại điện tử,
https://vecom.vn/apec-nhung-nguyen-tac-co-ban-ve-bao-ve-du-lieu-ca-nhan-trong-thuong-mai-dien-tu , truy cập
ngày 30/08/2021
3 Ví dụ Cổng thông tin của Uỷ ban bảo vệ dữ liệu cá nhân Singapore (PDPC, https://www.pdpc.gov.sg), Cổng thông tin của Văn phòng uỷ viên về thông tin – chính phủ Úc (OIAC, https://www.oaic.gov.au), Cổng thông tin của Văn phòng uỷ viên về quyền riêng tử - chính phủ Canada (https://www.priv.gc.ca/en/)
4
OECD (2020), Measuring the economic value of data and cross-border data flows, A business perspective,
OECD Digital economy papers, tr 24
Trang 5Canada với các quốc gia Colombia, Honduras, Peru, Hàn Quốc, điều khoản được
Canada và các quốc gia này đưa ra là “khẳng định tầm quan trọng của […] hợp tác để duy trì các luồng thông tin xuyên biên giới như một yếu tố thiết yếu trong việc thúc đẩy một môi trường sôi động cho thương mại điện tử.”
(2) Cấp độ cam kết trung bình: Quy định trong một số RTAs có trực tiếp đặt ra
các nghĩa vụ về thuận lợi hoá dòng chảy dữ liệu nhưng vẫn sử dụng ngôn từ không ràng buộc Ví dụ, điều khoản trong Hiệp định Hoa Kỳ - Hàn Quốc quy định hai bên
“sẽ cố gắng tránh áp đặt hoặc duy trì các rào cản không cần thiết đối với các luồng thông tin điện tử xuyên biên giới”
(3) Cấp độ cam kết cao: Quy định trong một số RTAs khác đặt ra nghĩa vụ bắt
buộc các quốc gia thành viên phải cho phép dòng chảy thông tin tự do xuyên biên giới Mục đích đặt ra là để bảo vệ dòng chảy cho luồng thông tin này Có thể nhận thấy quy định này trong Hiệp định CPTPP và Hiệp định RCEP, theo đó các quốc gia thành viên phải cho phép việc lưu chuyển thông tin xuyên biên giới bằng các phương tiện điện tử, bao gồm cả thông tin cá nhân, nếu việc lưu chuyển này phục vụ cho hoạt động kinh doanh của một pháp nhân trong phạm vi điều chỉnh của hiệp định
2.3 Quy định về bản địa hoá dữ liệu
Hiện nay, vấn đề liên quan đến việc cấm đặt hệ thống máy chủ trong cả hai hiệp định CPTPP và RCEP là một vấn đề quan trọng và nhận được sự quan tâm của nhiều quốc gia trên thế giới Một mặt, quy định trong các hiệp định thừa nhận mỗi quốc gia thành viên có thể có những quy định liên quan đến việc sử dụng cơ sở hạ tầng máy tính, bao gồm các yêu cầu đảm bảo an ninh an toàn và bảo mật của thông tin Mặt khác, các hiệp định lại không cho phép các quốc gia yêu cầu nhà cung ứng phải đặt hệ thống máy chủ trong lãnh thổ của họ như một điều kiện để tiến hành kinh doanh Việc đặt hệ thống máy chủ có sự liên quan và ảnh hưởng trực tiếp tới việc tự do lưu chuyển thông tin xuyên biên giới đã được đề cập Theo đó, việc yêu cầu đặt hệ thống máy chủ trong lãnh thổ một quốc gia (hay còn gọi là bản địa hoá dữ liệu) ngăn cản dòng chảy thông tin tự do, khiến các doanh nghiệp phải đầu tư thêm vào các trung tâm lưu trữ dữ liệu Như vậy, quy định của các hiệp định trên có mục tiêu là hướng tới việc những nhà cung ứng của các quốc gia thành viên không chỉ được lưu chuyển tự
do thông tin xuyên biên giới mà còn có thể tự do lựa chọn nơi lưu trữ dữ liệu của họ
Trang 62.4 Ngoại lệ đối với Việt Nam
Cả hai hiệp định đều đưa ra 03 ngoại lệ cho phép các quốc gia có những hành động trái với các cam kết liên quan đến việc đảm bảo dòng chảy dữ liệu xuyên biên giới và yêu cầu bản địa hoá dữ liệu, bao gồm: (1) phạm vi điều chỉnh của hiệp định, (2) ngoại lệ về bảo vệ an ninh quốc gia, (3) ngoại lệ về mục tiêu chính sách công hợp pháp
Về phạm vi điều chỉnh của các hiệp định, việc các quốc gia thành viên bắt buộc
phải cho phép thông tin được lưu chuyển tự do xuyên biên giới sẽ còn phụ thuộc vào các điều khoản liên quan tại Chương về Đầu tư, Chương về Thương mại dịch vụ xuyên biên giới, cũng như các điều khoản khác có liên quan trong hiệp định
Về ngoại lệ liên quan đến an ninh quốc gia, các hiệp định quy định rằng không
có bất kỳ điều khoản nào trong các hiệp định có thể ngăn cản một quốc gia thành viên
áp dụng các biện pháp mà “Bên đó cho rằng cần thiết để thực hiện các nghĩa vụ của mình đối với việc duy trì hoặc khôi phục hòa bình hoặc an ninh quốc tế, hoặc bảo vệ lợi ích an ninh thiết yếu.” Trên thực tiễn, đây là ngoại lệ quen thuộc và thường được
các quốc gia đưa ra nhằm biện minh cho các biện pháp của mình
Về ngoại lệ liên quan tới mục tiêu chính sách công, xét về mặt ngôn ngữ, quy
định này khá giống với các ngoại lệ chung được quy định tại Điều XIV của Hiệp định chung về Thương mại Dịch vụ (GATS) So sánh giữa Hiệp định CPTPP và Hiệp định RCEP cho thấy rằng, các quy định của hai hiệp định này có nội dung khá tương đồng nhau, điểm khác biệt duy nhất là cách quy định trường hợp ngoại lệ của các quy định
này Với Hiệp định CPTPP, để một biện pháp được coi là ngoại lệ nếu thoả mãn cả 02
yêu cầu: (1) các biện pháp được sử dụng vì mục đích chính sách công, không tạo ra các hạn chế vô lý hay rào cản thương mại trá hình; và (2) là biện pháp ở mức tối thiểu
để đạt được mục đích trên Trong khi đó, đối với Hiệp định RCEP, để một biện pháp
được coi là ngoại lệ nếu thoả mãn một trong 02 trường hợp: (1) các biện pháp được sử dụng vì mục đích chính sách công, không tạo ra các hạn chế vô lý hay rào cản thương mại trá hình; hoặc (2) bất kỳ biện pháp nào mà quốc gia đó thấy cần thiết để bảo vệ
các quyền lợi an ninh thiết yếu của mình Cần lưu ý rằng, “Mục tiêu chính sách công hợp pháp” không thể tự xác định hay có quy định chính xác, do đó các quốc gia sẽ
phải biện minh tính phù hợp của mục tiêu chính sách trong trường hợp có tranh chấp
Trang 7xảy ra Như vậy, mức độ cam kết của Hiệp định CPTPP cao và khắt khe hơn Hiệp định RCEP
3 Thực trạng pháp luật Việt Nam về vấn đề bảo vệ dữ liệu cá nhân
3.1 Quy định về bảo vệ thông tin cá nhân
Theo quy định pháp luật của các quốc gia (ví dụ như Úc, New Zealand,…), hiểu
một cách chung nhất, “thông tin cá nhân” là bất kỳ thông tin nào liên quan đến một cá
nhân xác định hoặc có thể xác định được Cách định nghĩa của các quốc gia thành viên
là cách tiếp cận theo nghĩa rộng, bao hàm tất cả các loại thông tin của người tiêu dùng
có thể được thu thập trong quá trình tham gia hoạt động trong nền thương mại kỹ thuật
số, ví dụ thông tin về nhân khẩu học (họ tên, ngày tháng năm sinh, địa chỉ,…), các thông tin tài chính trong quá trình thanh toán (số thẻ ngân hàng, tài khoản ngân hàng,…) hay thậm chí là cả thói quen tiêu dùng và sở thích được thu thập trong quá tình người tiêu dùng xem xét, lựa chọn và mua sắm hàng hoá
Tuy nhiên, trong hệ thống pháp luật Việt Nam, “thông tin cá nhân” trong mỗi
văn bản pháp luật lại được định nghĩa khác nhau Theo Điều 3 Luật An toàn thông tin
mạng 2015, thông tin cá nhân là “thông tin gắn với việc xác định danh tính của một người cụ thể” Trong khi đó, Nghị định 64/2007/NĐ-CP ngày 10/4/2006 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan chính phủ có định nghĩa “thông tin
cá nhân” là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu, những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.” Có thể thấy, pháp luật Việt Nam tiếp cận định nghĩa “thông tin cá nhân” theo nghĩa hẹp và trực tiếp hơn
so với cách tiếp cận của các quốc gia trên thế giới Theo đó, các thông tin không cụ thể, rõ ràng nhưng kết hợp với các thông tin khác để gián tiếp xác định được danh tính
của một cá nhân không thuộc phạm vi định nghĩa “thông tin cá nhân”
Ngoài ra, cách tiếp cận của Việt Nam còn có sự khác biệt so với các quốc gia trên thế giới trong việc xác định khái niệm “thông tin cá nhân” và “dữ liệu cá nhân” Về mặt định nghĩa, thuật ngữ “thông tin cá nhân” hay “dữ liệu cá nhân” có nội hàm tương đương nhau khi cùng có khả năng xác định hoặc có thể xác định một cá nhân cụ thể
Trang 8Tuy nhiên, điều cần lưu ý là các quốc gia trên thế giới thường chỉ sử dụng thống nhất một trong hai thuật ngữ ngữ trên Trong khi đó, trong pháp luật Việt Nam, việc sử dụng hai thuật ngữ này chưa rõ ràng Do vậy, trong phạm vi bài viết và trên thực tế, các yêu cầu bảo vệ thông tin cá nhân được tiếp cận tương đương các yêu cầu bảo vệ dữ liệu cá nhân
3.2 Yêu cầu về lưu chuyển thông tin xuyên biên giới, bao gồm thông tin cá nhân
Tại Việt Nam, trong các văn bản pháp luật có hiệu lực hiện nay chưa có quy định chi tiết về các yêu cầu hay điều kiện đối với việc chuyển dữ liệu qua biên giới, mà chỉ dừng lại ở quy định về chức năng hợp tác quốc tế của các cơ quan nhà nước có thẩm quyền Tuy nhiên, từ tháng 2/2021, Bộ Công an Việt Nam có công bố bản dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân Đây là một trong những dự thảo quan trọng và đầu tiên tại Việt Nam có tính hệ thống và điều chỉnh khá toàn diện về các vấn
đề liên quan đến bảo vệ dữ liệu cá nhân, trong đó có vấn đề chuyển dữ liệu qua biên giới Theo đó, để dữ liệu cá nhân được chuyển ra khỏi biên giới lãnh thổ Việt Nam thì cần đáp ứng đầy đủ 04 điều kiện sau: (1) Có sự đồng ý của chủ thể dữ liệu; (2) Dữ liệu gốc được lưu trữ tại Việt Nam; (3) Có văn bản chứng minh quốc gia, vùng lãnh thổ hoặc một khu vực cụ thể trong quốc gia hoặc vùng lãnh thổ chuyển đến đã ban hành quy định bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc cao hơn so với Nghị định; (4) Có văn bản đồng ý của Ủy ban bảo vệ dữ liệu cá nhân
Dựa trên xu hướng quy định của dự thảo nghị định có thể thấy, chỉ riêng điều kiện phải lưu trữ dữ liệu gốc tại Việt Nam cũng có thể coi là biện pháp làm cản trở sự lưu chuyển tự do thông tin xuyên biên giới Như vậy, quy định pháp luật Việt Nam hiện nay về yêu cầu lưu chuyển thông tin xuyên biên giới chưa thực sự tương thích với quy định của Hiệp định CPTPP và Hiệp định RCEP
3.3 Yêu cầu về đặt hệ thống máy chủ
Trên thế giới, ước tính có khoảng 50 quốc gia đặt ra yêu cầu bản địa hoá dữ liệu,
có thể kể đến như Trung Quốc, Hàn Quốc, Nga, Ấn Độ, Indonesia, Việt Nam,…5 Trong đó, Việt Nam nằm trong nhóm các quốc gia có yêu cầu về bản địa hoá dữ liệu ở
5
Albright Stonebridge Group (2015), Data Localization: A Challenge to Global Commerce and the Free Flow
of Information, tr 5
Trang 9mức độ cao nhất khi mọi dữ liệu phải được lưu trữ tại trung tâm dữ liệu vật lý đặt ở nước sở tại
Trong pháp luật Việt Nam, Điều 24 Nghị định 72/2013/NĐ-CP ngày 15/7/2013
về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng yêu cầu các tổ chức, doanh nghiệp thiết lập trang thông tin điện tử tổng hợp phải có ít nhất 01 hệ thống máy chủ tại Việt Nam Ngoài ra, Điều 26 Luật An ninh mạng 2018 cũng đặt ra
yêu cầu các doanh nghiệp nước ngoài “cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ” Bên
cạnh mục đích bảo vệ dữ liệu của công dân, lý do mà các quốc gia đặt ra yêu cầu bản địa hoá dữ liệu là nhằm bảo vệ an ninh quốc gia trên không gian mạng, đảm bảo quyền truy cập vào dữ liệu cho các mục đích thực thi pháp luật
Khi các quốc gia áp dụng yêu cầu bản địa hoá dữ liệu, một số lợi ích có thể được
mang lại như: (1) hỗ trợ Chính phủ bảo vệ chủ quyền quốc gia đối với dữ liệu điện tử;
(2) giúp cơ quan có thẩm quyền gia tăng khả năng kiểm soát hoạt động của các nhà cung cấp dịch vụ nước ngoài thông qua việc điều tra, xác minh, xử lý vi phạm có liên quan đến những người sử dụng dịch vụ tại Việt Nam Tuy nhiên, đây không phải là một biện pháp thực sự hữu hiệu để bảo vệ an ninh quốc gia, an toàn dữ liệu; thậm chí còn vi phạm các cam kết quốc tế của Việt Nam
Về yếu tố an ninh, các công ty đa quốc gia thường có hệ thống cơ sở dữ liệu, máy
chủ ở nhiều nơi trên thế giới và có khả năng phòng chống các mối đe dọa an ninh mạng trên phạm vi toàn cầu Việc đặt ra yêu cầu phải lưu trữ dữ liệu theo phạm vi địa
lý có thể ngăn cản Việt Nam hưởng lợi từ hệ thống công nghệ thông tin linh hoạt, an toàn và đáng tin cậy Hơn nữa, bản địa hoá dữ liệu có khả năng làm gia tăng các cuộc tấn công mạng bởi các đối tượng tin tặc sẽ thuận lợi hơn khi xác định các địa điểm mục tiêu lưu trữ thông tin, dữ liệu có liên quan đến người Việt Nam
Về yếu tố kinh tế, theo nghiên cứu của APEC, yêu cầu đặt hệ thống máy chủ và
các quy tắc tương tự trên thực tế có thể làm tăng chi phí và giảm khả năng tiếp cận thị trường đối với các doanh nghiệp bởi các doanh nghiệp buộc phải đặt máy chủ hay cơ
Trang 10sở hạ tầng kỹ thuật ở thị trường nước sở tại; đặc biệt là đối với các doanh nghiệp vừa
và nhỏ - những doanh nghiệp chiếm đa số tại các quốc gia APEC.6 Ngoài ra, các yêu cầu về bản địa hoá dữ liệu có thể làm giảm 1,7% GDP của Việt Nam.7
Về các cam kết quốc tế, theo nguyên tắc chung, các quốc gia có thể dựa vào các
điều khoản miễn trừ (ngoại lệ) vì lý do bảo vệ lợi ích quốc gia và công cộng để đưa ra các biện pháp mang tính hạn chế tiếp cận thị trường; nhưng các biện pháp này phải là các biện pháp cần thiết, ở mức độ tối thiểu và không được tạo ra những rào cản thương mại trá hình Tuy nhiên, yêu cầu bản địa hoá dữ liệu theo cách quy định trong pháp luật Việt Nam khó có thể đáp ứng các điều kiện để được coi là ngoại lệ về bảo vệ lợi ích quốc gia và công cộng Bởi lẽ, ngoài yêu cầu bản địa hoá dữ liệu, nhiều biện pháp khác có thể được sử dụng mà vẫn bảo đảm an toàn thông tin, dữ liệu của người dùng;
ví dụ biện pháp yêu cầu chấp thuận của chủ thế dữ liệu trong việc lưu chuyển dữ liệu
ra nước ngoài, yêu cầu các doanh nghiệp phải có cam kết về việc bảo vệ dữ liệu thu thập được,… Ngoài ra, không nhất thiết toàn bộ dữ liệu nói chung cần phải lưu trữ và đặt hệ thống cơ sở vật lý tại Việt Nam mà yêu cầu này nên được áp dụng đối với một
số loại dữ liệu đặc biệt quan trọng, nhạy cảm
So sánh với các quy định của hai hiệp định về yêu cầu đặt hệ thống máy chủ, các quy định pháp luật Việt Nam hiện nay chưa có sự tương thích Việc đặt ra yêu cầu bản địa hoá dữ liệu vừa có thể tạo ra rủi ro an ninh, bảo mật, vừa không tạo được sức hút đối với các doanh nghiệp mong muốn đầu tư hay hoạt động tại thị trường Việt Nam
4 Phương hướng hoàn thiện pháp luật Việt Nam về vấn đề bảo vệ dữ liệu cá nhân
Có thể thấy, hệ thống pháp luật Việt Nam về vấn đề bảo vệ dữ liệu cá nhân hiện nay chưa thực sự đầy đủ và có tính hiệu quả Trong thời điểm hiện tại, một khung khổ pháp luật hoàn thiện về bảo vệ dữ liệu như dự thảo Nghị định mới đây là điều cần thiết Theo đó, một số vấn đề pháp lý mà Việt Nam cần thực sự chú trọng để giải quyết trong thời gian tới (trước khi dự thảo Nghị định được phê chuẩn) là phạm vi điều chỉnh, vấn đề chồng chéo về nội dung giữa các văn bản có liên quan ở cả cấp độ luật
6 APEC (2017), Impact of TPP‟s E-commerce Chapter on APEC‟s E-commerce, tr 34
7 Bauer, Matthias, Hosuk Lee- Makiyama, Erik van der Marel, and Bert Verschelde (2014), The Costs of Data Localisation: A Friendly Fire on Economic Recovery, ECIPE Accessed November 26, 2017
http://ecipe.org/publications/dataloc/, truy cập ngày 27/8/2021