Bảo vệ dữ liệu dựa trên an ninh quốc gia: Mô hình thứ ba trong quản lý dữ liệu
Vừa qua, Quốc hội Trung Quốc đã thông qua Luật Bảo mật Dữ liệu bao gồm ba thành phần chính, đó là Luật Bảo mật dữ liệu (DSL), Luật An ninh mạng (CSL), và Luật Bảo vệ Thông tin Cá nhân (PIPL). Đây có thể được xem là mô hình thứ ba trong quản lý dữ liệu - tồn tại song song với mô hình quyền riêng tư của EU và mô hình bảo vệ người tiêu dùng của Hoa Kỳ. Liệu trong tương lai sẽ còn những mô hình nào có thể xuất hiện hay không?
Khái niệm bảo vệ dữ liệu trở thành một trong những vấn đề làm luật nổi cộm của nền kinh tế số với sự thi hành của Quy định Bảo vệ Dữ liệu của Liên minh châu Âu (GDPR) vào năm 2018 – một công cụ làm luật mang đính đồng bộ hoóa việc thi hành luật giữa các quốc gia trong khối Liên minh châu Âu. Tuy nhiên, không phải quốc gia nào cũng theo dấu chân châu Âu để đưa ra những quy định về dữ liệu mang tính đồng bộ dựa trên khái niệm quyền cơ bản như là quyền riêng tư của công dân. Cho tới nay, Hoa Kỳ vẫn không áp dụng bộ luật cấp liên bang đồng nhất về việc bảo vệ hoặc bảo mật dữ liệu. Việc bảo vệ người tiêu dùng khỏi các hoạt động thu thập và xử lý dữ liệu thiếu công bằng và mang tính lừa đảo tại Hoa Kỳ được phụ trách bởi Ủy ban Thương mại Liên bang (Federal Trade Commission – FTC). Trong vài năm gần đây, Trung Quốc có động thái ban hành hàng loạt các luật và quy định bảo vệ dữ liệu với mục đích phân loại dữ liệu nào là an toàn để giao dịch và dữ liệu nào là không – giữa bối cảnh các tập đoàn công nghệ tại Trung Quốc đang ngày càng trở nên những cơ sở thu thập và lưu trữ dữ liệu khổng lồ.
Bảo vệ dữ liệu
Việc dữ liệu cần phải được ‘bảo vệ’ đến từ ba luận điểm chính: rằng dữ liệu có thể bị xâm hại, rằng dữ liệu có thể được sử dụng một cách an toàn, và rằng dữ liệu mang giá trị trao đổi đủ lớn để khiến cho hậu quả của việc xâm hại dữ liệu cần phải được ngăn chặn và khắc phục. Thực tế làm luật cho thấy ba luận điểm này tạo điều kiện cần và đủ để xây dựng khuôn khổ khái quát chung trong công tác quản lý dữ liệu. Tuy nhiên, thực tế cũng cho thấy các quốc gia với các thể chế khác nhau có những diễn ngôn khá tương phản trong việc tạo nên các khái niệm khả dĩ liên quan đến bối cảnh chính trị, kinh tế, xã hội của họ. Liên minh châu Âu và phần đa các nước phát triển phương Tây tập trung phát triển khái niệm quyền riêng tư dữ liệu (data privacy) như là sự mở rộng của quyền riêng tư cá nhân trong nền kinh tế số, vốn dựa trên sự trao đổi dữ liệu cá nhân để sinh lợi nhuận. Trong khi đó, các quốc gia như Trung Quốc và Nga tập trung vào thực hành kiểm soát của chính phủ trong quản lý dữ liệu như là sự nới rộng quyền kiểm soát của thể chế, cùng với nhận thức ngày càng rõ nét rằng kho dữ liệu khổng lồ tích lũy bởi khối tư nhân cần được hiểu là một loại tài sản quốc gia có giá trị. Khối tài sản quốc gia này, nếu không mang quốc hữu hóa, thì ít nhất cần phải được khai thác hoặc hạn chế theo nhu cầu và chỉ đạo của nhà nước, dựa trên đánh giá của các nhà hoạch định chính sách.
Cả hai cách tiếp cận khác nhau này đều dẫn đến thực tế chính sách quản lý dữ liệu dưới dạng giao phó trách nhiệm giải trình lên khối tư nhân, cụ thể là các đơn vị kinh doanh liên quan đến thu thập, lưu trữ, phân tích, mua bán dữ liệu cá nhân. Nói một cách lược giản, cả hai cách tiếp cận khác nhau này đều dẫn đến việc ban hành và thực hiện một số chính sách về bề mặt thì mang khá nhiều nét tương đồng: rằng khối tư nhân không thể tùy tiện thu thập và mua bán dữ liệu cá nhân một cách bừa bãi mà không quan tâm đến hậu quả và tác hại của hành vi kiếm lợi nhuận của họ, và rằng chính phủ của các quốc gia chủ quyền có quyền thực hiện các biện pháp chế tài với khối tư nhân trong trường hợp vi phạm. Thế nhưng, cách hiểu bảo vệ dữ liệu dựa trên sự mở rộng quyền riêng tư của công dân dựa trên một quy ước ngầm – một hợp đồng xã hội (social contract) – rằng công dân là chủ thể dữ liệu tuyệt đối, và chính phủ cũng có thể bị coi là đối tượng vi phạm quyền riêng tư của công dân trong quá trình bảo vệ dữ liệu của công dân trước sự sai phạm của khối kinh doanh dữ liệu.
Cần nói rõ hơn rằng, chính phủ của các quốc gia dưới mọi thể chế đều có chung nhu cầu sử dụng dữ liệu để quản lý rủi ro tài chính, theo dõi sự bùng phát dịch bệnh, hỗ trợ các ưu tiên kinh tế của nhà nước, và thực hiện giám sát tội phạm và các thế lực chính trị đối lập. Vấn đề an ninh quốc gia cũng là lĩnh vực mà chính phủ các quốc gia trên toàn thế giới quan tâm, khi dữ liệu về công dân thuộc một quốc gia hoặc vùng lãnh thổ chủ quyền có thể được chia sẻ với các công ty tư nhân nước ngoài, với hệ quả an ninh khó lường trước. Sự khác biệt mấu chốt ở đây giữa việc bảo vệ dữ liệu dựa trên quyền riêng tư của công dân và bảo vệ dữ liệu dựa trên cơ sở an ninh và kinh tế quốc gia là giới hạn của đặc quyền chính phủ trong khai thác hoặc hạn chế các hoạt động dữ liệu. Nói cách khác, câu hỏi tồn tại giữa hai cách tiếp cận khác nhau này xoay quanh việc giới hạn quyền của đối tượng bảo vệ dữ liệu và đối tượng hưởng lợi từ công tác bảo vệ dữ liệu.
Phân cấp để bảo vệ
Vào ngày 10/6/2021, Luật Bảo mật dữ liệu của Cộng hòa Nhân dân Trung Hoa (DSL) đã được thông qua tại phiên họp thứ 29 của Ủy ban Thường vụ Đại hội Đại biểu Nhân dân Toàn quốc khóa 13, có hiệu lực kể từ ngày 1/9/2021. DSL là luật cơ bản trong lĩnh vực bảo mật dữ liệu và, cùng với Luật An ninh mạng (CSL) và Luật Bảo vệ Thông tin Cá nhân (PIPL), tạo nên khuôn khổ quản lý dữ liệu ở Trung Quốc.
Trong khi GDPR coi mọi loại dữ liệu, của ai cũng đều như nhau, DSL điều chỉnh các hoạt động xử lý dữ liệu và bảo mật dữ liệu thông qua cơ chế phân loại dữ liệu phân cấp. Điều 21 của DSL quy định rằng chính phủ sẽ thiết lập một cơ chế phân loại dữ liệu có thứ bậc, theo đó các loại dữ liệu được ma trận hóa tùy theo tầm quan trọng của dữ liệu đối với sự phát triển kinh tế xã hội, mức độ nguy hại đến an ninh quốc gia, lợi ích công cộng, hoặc quyền và lợi ích hợp pháp của cá nhân hay tổ chức trong trường hợp dữ liệu bị giả mạo, phá hủy, tiết lộ, hoặc thu thập và sử dụng trái phép. Cũng theo Điều 21, phân loại “Dữ liệu Quan trọng” phải được ưu tiên bảo vệ, và phân loại “Dữ liệu Cốt lõi” sẽ được quản lý ở cấp độ nghiêm ngặt hơn “Dữ liệu Quan trọng” – cả hai phân loại này đều được viết hoa như danh từ riêng dựa trên định nghĩa của DSL. Tuy không được định nghĩa cụ thể trong DSL, Dữ liệu Quan trọng được đánh giá trong Dự thảo lấy ý kiến vào năm 2019 bởi Cục quản lý không gian mạng Trung Quốc (CAC) là loại dữ liệu mà nếu bị tiết lộ thì sẽ có thể ảnh hưởng trực tiếp đến an ninh quốc gia, an ninh kinh tế, ổn định xã hội và sức khỏe và an ninh cộng đồng – ví dụ như bí mật quốc gia, thông tin dân số diện rộng, thông tin sức khỏe di truyền, hay thông tin về địa lý khoáng sản quốc gia. Dữ liệu Cốt lõi là khái niệm được đề xuất lần đầu tiên trong DSL, dùng để chỉ loại dữ liệu liên quan đến an ninh quốc gia, huyết mạch của nền kinh tế, các bộ phận quan trọng trong sinh kế của người dân, và các lợi ích công cộng chủ chốt. Với ngôn ngữ mơ hồ hiện tại, chúng ta có thể tạm hiểu rằng Dữ liệu Cốt lõi là tập hợp con của Dữ liệu Quan trọng cần được giám sát và bảo vệ nghiêm ngặt hơn do bản chất “quan trọng hơn cả quan trọng” của nó.
Phương án của Trung Quốc đánh dấu việc dữ liệu được nhìn nhận như là loại hình tài sản/tài nguyên và giá trị trao đổi của dữ liệu vừa được tối ưu vừa trở nên chính thống và được công nhận rộng rãi thông qua công tác làm luật
Trong hệ thống cấp bậc dữ liệu của Trung Quốc, việc bảo vệ công dân như là một cá thể duy nhất chỉ đóng vai trò thứ yếu; ma trận phân loại của hệ thống cấp bậc này được thiết kế mang định hướng lợi ích quốc gia mà trong đó quốc gia gần như là một tổ chức quản lý sản phẩm công nghệ. Việc quản lý Dữ liệu Quan trọng được thực hiện thông qua việc xây dựng một Danh mục Dữ liệu Quan trọng, quyết định bởi chính phủ thông qua DSL. Điều 21 yêu cầu các bộ phận liên quan theo cơ chế phối hợp của cơ quan lãnh đạo trung ương về an ninh quốc gia sẽ xây dựng danh mục ở cấp nhà nước, và sau đó từng vùng, từng ngành địa phương sẽ xây dựng danh mục cụ thể của mình dựa trên danh mục cấp nhà nước.
Phân ngành để xử phạt
Điều 6 trong DSL quy định các cơ quan có thẩm quyền về ngành công nghiệp, viễn thông, giao thông vận tải, tài chính, tài nguyên thiên nhiên, y tế, giáo dục và công nghệ có trách nhiệm giám sát bảo mật dữ liệu trong các ngành và lĩnh vực tương ứng. Ngoài ra, các lĩnh vực được công chúng quan tâm cũng được mang ra làm trọng tâm trong việc quản lý, điển hình là việc đẩy mạnh ban hành luật quản lý ngành cơ khí ô tô. Việc triển khai thử nghiệm Điều khoản về Quản lý Bảo mật Dữ liệu Ô tô do CAC ban hành cùng Bộ Giao thông vận tải, có hiệu lực kể từ ngày 1/10 /2021, liệt kê dữ liệu ô tô là một phần của Dữ liệu Quan trọng. Định nghĩa dữ liệu theo ngành có vai trò nới rộng khái niệm bảo vệ dữ liệu và thu nhỏ trách nhiệm cụ thể về từng đơn vị kinh doanh – thậm chí là về từng cá nhân chịu trách nhiệm. Chính phủ Trung Quốc đặt ra một số nghĩa vụ bảo vệ dữ liệu cho Người xử lý Dữ liệu Quan trọng như là một vị trí chính thức; Người xử lý Dữ liệu Quan trọng phải chỉ định người chịu trách nhiệm và cơ quan quản lý bảo mật dữ liệu để thực hiện và hoàn thành các nghĩa vụ bảo vệ an ninh dữ liệu theo quy định của DSL. Đối với các công ty vi phạm nghĩa vụ bảo vệ Dữ liệu Quan trọng, các cơ quan có thẩm quyền liên quan có thể ra lệnh tạm ngừng hoặc chấm dứt hoạt động kinh doanh đang được đề cập để chấn chỉnh hoặc thu hồi giấy phép kinh doanh. Các công ty có thể bị phạt 10 triệu nhân dân tệ và người chịu trách nhiệm trực tiếp (Người xử lý Dữ liệu Quan trọng) có thể bị phạt tối đa 1 triệu nhân dân tệ.
Vì sao ngành cơ khí ô tô lại được chọn ra để đặc biệt quản lý? Điều này liên quan đến việc Tesla đặt cơ sở sản xuất mẫu xe Tesla Model 3 và Tesla Model Y tại Thượng Hải, và mục tiêu xây dựng xe không người lái của Tesla trong tương lai. Xe không người lái (autonomous vehicles) vận hành như những cỗ máy nuốt và sản sinh dữ liệu liên tục; các bộ phận cảm biến trên xe không người lái lệ thuộc vào dữ liệu để có thể tìm ra tuyến đường tối ưu, điều hướng các đường phố đô thị, các nút giao thông phức tạp và đường cao tốc – và sản xuất ra lượng dữ liệu lớn gửi ngược trở về bộ phận phân tích của Tesla để có thể đánh giá tiêu chuẩn và chẩn đoán sai sót. Việc ngăn chặn Tesla gửi dữ liệu thu được tại Trung Quốc về trụ sở chính ở Mỹ sẽ gây nhiều khó khăn đến việc kinh doanh của tập đoàn này, và được đánh giá là sẽ tạo cơ hội cho các công ty nội địa trong tương lai gần.
Cần phải nói thêm rằng, phương án phân cấp và phân ngành của Trung Quốc là một phương án mang tính thử nghiệm chưa từng được thực hiện ở đâu khác. Mục đích của Trung Quốc trong việc đưa ra hàng loạt các quy định nghiêm khắc mang tính cấp bậc kể trên là để quy hoạch rõ ràng dữ liệu nào sẽ được xem là có thể mang đi tự do mua bán và trao đổi xuyên biên giới, và loại dữ liệu nào là không. Không ai biết trước được liệu kết quả của phương án này là gì: liệu sẽ có nhiều hay ít hơn dữ liệu sẽ được cấp phép giao dịch sẽ được làm sáng tỏ trong vòng một thập kỷ tới, tùy thuộc vào sự thành công và thất bại (cũng như tính khả thi) của từng quy định được đề ra trong DSL. Một điều chúng ta có thể khẳng định, đó là phương án của Trung Quốc đánh dấu việc dữ liệu được nhìn nhận như là loại hình tài sản/tài nguyên và giá trị trao đổi của dữ liệu vừa được tối ưu vừa trở nên chính thống và được công nhận rộng rãi thông qua công tác làm luật. Khái niệm kinh tế số đã không còn xoay quanh việc đẩy mạnh sản xuất và đột phá công nghệ phần cứng, mà đã chuyển thành xoay quanh hoạt động mua bán dữ liệu như là một hoạt động cốt yếu.
Liệu mô hình thứ của Trung Quốc có thúc đẩy những mô hình mới hơn?
Luật Bảo vệ Thông tin Cá nhân (PIPL) của Trung Quốc cơ bản mô phỏng theo GDPR. Cả PILP và GDPR đều quy định chủ thể dữ liệu có quyền truy cập thông tin được lưu giữ về họ, quyền yêu cầu sửa và xóa thông tin cá nhân, và quyền rút lại sự đồng thuận đã trao cho đối tượng xử lý thông tin. PILP cũng noi theo mô hình xử phạt hành chính nặng tay của GDPR, đưa ra mức phạt với khối tư nhân lên đến 50 triệu nhân dân tệ (7,8 triệu USD) hoặc 5% doanh thu hằng năm của công ty – nhỉnh hơn ngưỡng 23 triệu USD và 4% của GDPR. Đáng chú ý hơn, PILP giống với GDPR ở điểm nó được áp dụng ngoài lãnh thổ Trung Quốc; điều này có nghĩa rằng các công ty không đăng ký kinh doanh tại Trung Quốc vẫn có thể phải cải tổ hoạt động kinh doanh của họ nếu họ có nhu cầu hợp tác với các công ty tại đất nước này. Mục đích chung của cả hai bộ luật là tìm cách hạn chế các loại dữ liệu mà khối tư nhân có thể thu thập về người dân sinh sống và làm việc tại lãnh thổ chủ quyền châu Âu và Trung Quốc. Thế nhưng, khác với GDPR, PIPL không áp dụng sự hạn chế này đến các tổ chức chính phủ; các tổ chức chính phủ vẫn có thể thoải mái thu thập thông tin về nhật ký cuộc gọi, danh bạ điện thoại cá nhân, vị trí địa lý, và các dữ liệu cá nhân khác.
PIPL cần được được coi là một phần trong các biện pháp bảo vệ an ninh mạng của Trung Quốc, bởi lẽ có nhiều cách để Trung Quốc có thể tận dụng các hoạt động như xuất dữ liệu, bản địa hóa dữ liệu, thay đổi các điều khoản dữ liệu ngoài lãnh thổ, và quy định các điều khoản quy định nền tảng công nghệ để tăng cường mục tiêu chính sách đối ngoại. Các chuyên gia luật nhận định rằng phương án của Trung Quốc theo sát với những yếu tố được chấp nhận rộng rãi của GDPR, nhưng cũng đồng thời đủ khác biệt để có thể được xem như là một đối thủ cạnh tranh quan trọng đầu tiên của châu Âu trong việc thiết lập tầm ảnh hưởng đến việc xây dựng cơ cấu pháp lý bảo vệ dữ liệu của các quốc gia khác. Một số chuyên gia hy vọng rằng Mỹ sẽ nhân cơ hội này mà tiến hành soạn thảo ra một phương án trực tiếp giải quyết vấn đề bảo vệ dữ liệu; một số cũng hy vọng rằng Ấn Độ sẽ cho ra đời một phương án quản lý đủ khác biệt và hợp lý để trở thành một phương án cạnh tranh mới. Ở hiện tại, chúng ta chỉ có thể quan sát thật kĩ lưỡng những ảnh hưởng mà Trung Quốc đang tạo ra trong tầm ngắm của mình, đặc biệt là với các quốc gia như Việt Nam.□