Một số cách tiếp cận đối với quy định chuyển dữ liệu cá nhân qua biên giới
Cách tiếp cận quy định chuyển dữ liệu cá nhân (DLCN) qua biên giới phản ánh mức độ quan tâm của quốc gia đối với các vấn đề chính sách, pháp lý xoay quanh dòng chảy dữ liệu xuyên biên giới, đồng thời phụ thuộc vào bản chất của dữ liệu.
Có thể có nhiều cách tiếp cận khác nhau đối với các loại dữ liệu khác nhau trong cùng một quốc gia, chẳng hạn dữ liệu về sức khỏe con người hay tài chính tiền tệ được coi là quan trọng hơn so với dữ liệu hành vi tương tác trên không gian mạng. Hiện nay mỗi quốc gia có một cách tiếp cận khác nhau về bảo vệ DLCN, cơ bản có 5 cách tiếp cận như sau:
1. Không có quy định về chuyển dữ liệu cá nhân qua biên giới, có thể do không có bất cứ văn bản pháp lý nào về bảo vệ DLCN hoặc có văn bản pháp lý về bảo vệ DLCN nhưng không quy định. Việc không định này ngụ ý không hạn chế hành vi chuyển DLCN qua biên giới nhưng có thể làm giảm khả năng sẵn sàng phản ứng của quốc gia khi phải đối mặt với tình trạng xâm phạm DLCN, cụ thể là từ chủ thể nước ngoài nhận DLCN hoặc khi hội nhập quốc tế với những quốc gia có quy định điều kiện về vấn đề này.
2. Quy định trách nhiệm giải trình cho chủ thể chuyển DLCN qua biên giới. Phương pháp này không đòi hỏi chủ thể chuyển DLCN qua biên giới phải đáp ứng các điều kiện được quy định trước hoặc phải được cấp phép công khai trước mà cho phép chủ thể này thực hiện hành vi chuyển DLCN qua biên giới với nghĩa vụ đảm bảo an toàn cho dữ liệu này và phải chịu trách nhiệm nếu dữ liệu này bị xâm phạm.
3. Quy định điều kiện an toàn trước khi chuyển DLCN qua biên giới. Phương pháp này đòi hỏi chủ thể chuyển DLCN qua biên giới phải đáp ứng các điều kiện từ cơ quan có thẩm quyền, như: Quyết định về mức độ bảo vệ DLCN tương thích giữa các quốc gia với quốc gia gốc của DLCN, chính sách bảo vệ DLCN tương thích với luật, hoặc điều khoản hợp đồng về chuyển DLCN qua biên giới được ấn định,…
4. Cấp phép từng trường hơp cụ thể chuyển DLCN qua biên giới. Phương pháp này đòi hỏi chủ thể chuyển DLCN qua biên giới phải được sự chấp thuận từ cơ quan có thẩm quyền trước khi chuyển DLCN qua biên giới và trong từng trường hợp cụ thể.
5. Cấm chuyển DLCN qua biên giới. Phương pháp này đòi hỏi chủ thể nắm giữ DLCN phải lưu trữ, xử lý DLCN cá nhân tại quốc gia thu thập DLCN mà không được chuyển dữ liệu này tới bất kì quốc gia, vùng lãnh thổ khác.
Một số cách tiếp cận với yêu cầu địa phương hóa dữ liệu
Yêu cầu địa phương hóa dữ liệu (data localization) có thể trở thành một cách tiếp cận chính sách hơn là một điều kiện bảo vệ DLCN. Địa phương hóa dữ liệu hàm ý hành vi lưu trữ hoặc xữ lý hoặc cả lưu trữ và xử lý phải được thực hiện tại quốc gia mà DLCN được thu thập. Tương tự như cách tiếp cận với các quy định về chuyển DLCN qua biên giới, địa phương hóa dữ liệu có thể có một số cách tiếp cận khác nhau và có thể áp dụng cách tiếp cận khác nhau cho những loại DLCN khác nhau tùy thuộc vào bản chất và mức độ nhạy cảm của chúng.
Cách tiếp cận thứ nhất: Không quy định chung về địa phương hóa dữ liệu mà thường dành cho một số lĩnh vực cụ thể, đặc biệt quan trọng như: y tế, tài chính.
Cách tiếp cận thứ hai: Quy định lưu trữ một bản sao dữ liệu tại chỗ, trước khi chuyển và xử lý, lưu trữ dữ liệu ở nước ngoài. Quy định này không hạn chế dòng chảy dữ liệu xuyên biên giới và chủ yếu có tác dụng đảm bảo khả năng truy cập của cơ quan có thẩm quyền của quốc gia mà DLCN được thu thập vào cơ sở dữ liệu trong trường hợp thực hiện nghĩa vụ theo luật định. Một cách tiếp cận mới trong cách tiếp cận này là đảm bảo quyền truy cập của cơ quan có thẩm quyền đó vào cơ sở dữ liệu dù dữ liệu được lưu ở bất cứ đâu.
Cách tiếp cận thứ ba: Quy định địa phương hóa dữ liệu với ngoại lệ xử lý dữ liệu tại nước ngoài. Quy định này không hạn chế dòng chảy dữ liệu xuyên quốc gia, cho phép DLCN được chuyển ra nước ngoài để xử lý nhưng sau đó bắt buộc phải chuyển về quốc gia mà DLCN được thu thập để lưu trữ.
Cách tiếp cận thứ tư: Quy định địa phương hóa dữ liệu kèm với các điều kiện khác trước khi chuyển hẳn dữ liệu ra nước ngoài hoặc xử lý dữ liệu ở nước ngoài. Quy định hạn chế dòng chảy dữ liệu xuyên quốc gia và chủ yếu khuyến khích lưu trữ, xử lý dữ liệu trong nước, phục vụ mục tiêu chính sách công nghiệp - công nghệ.