Tìm hiểu Luật an toàn dữ liệu của chính phủ Trung Quốc và khuyến nghị đối với Việt Nam trong tình hình mới

10:43 | 04/11/2021

Luật An toàn dữ liệu (Data Security Law - DSL) được chính phủ Trung Quốc thông qua vào ngày 10/6/2021 và có hiệu lực từ ngày 01/9/2021. Đạo luật mới áp dụng với các tổ chức, cá nhân Trung Quốc hoạt động trong và ngoài nước, cũng như tổ chức, cá nhân nước ngoài hoạt động trên lãnh thổ Trung Quốc, điều này có thể khiến Trung Quốc trở thành một ốc đảo dữ liệu so với phần còn lại của thế giới và coi vấn đề bảo vệ dữ liệu chủ yếu từ quan điểm an ninh quốc gia của Trung Quốc. Dữ liệu mà Trung Quốc quản lý gồm cả dữ liệu ở dạng phi điện tử, tức là “bản ghi thông tin ở bất kỳ dạng nào”.

GIỚI THIỆU

Hiện tại ở Trung Quốc có ba đạo luật liên quan đến bảo vệ dữ liệu và thông tin: Luật An toàn không gian mạng (Cyber Security Law - CSL) được thực thi vào ngày 01/6/2017; Luật An toàn dữ liệu có hiệu lực từ ngày 01/9/2021; Luật bảo vệ thông tin cá nhân (Personal Infomation Protection Law - PIPL) mới được thông qua và sẽ có hiệu lực vào ngày 01/11/2021.

Đây sẽ là ba trụ cột để tạo nên hành lang pháp lý về quyền riêng tư và bảo vệ dữ liệu của Trung Quốc, khi các luật có hiệu lực. So với CSL, DSL định nghĩa dữ liệu rộng hơn và không giới hạn ở dữ liệu điện tử trong mạng công nghệ thông tin viễn thông, thuộc thẩm quyền của CSL. Ngoài ra, trọng tâm bảo vệ dữ liệu của DSL khác với PIPL, chủ yếu tập trung vào bảo vệ dữ liệu từ góc độ thông tin cá nhân, trong khi DSL tập trung vào việc bảo vệ dữ liệu nhằm bảo đảm an ninh quốc gia. Tuy nhiên, ba luật này có các điều khoản liên quan đến cơ sở hạ tầng thông tin quan trọng, dữ liệu quan trọng, yêu cầu lưu trữ cục bộ, chuyển giao dữ liệu qua biên giới,...

Luật An toàn dữ liệu gồm 7 Chương, 55 Điều, trong đó nhấn mạnh vào dữ liệu bị chuyển ra nước ngoài, và chỉ rõ rằng, các công ty cung cấp thông tin cho các cơ quan thực thi pháp luật nước ngoài mà không có sự cho phép của chính phủ Trung Quốc sẽ phải đối mặt với khoản phạt bổ sung lên đến 5 triệu nhân dân tệ và có thể phải chịu trách nhiệm pháp lý nếu chính phủ phát hiện ra rằng dữ liệu này được sử dụng để “gây tổn hại đến an ninh quốc gia” theo cách nào đó.

DSL cũng định nghĩa "dữ liệu cốt lõi quốc gia” là “bất kỳ dữ liệu nào liên quan đến an ninh quốc gia, huyết mạch của nền kinh tế, phúc lợi của người dân và các lợi ích chung quan trọng và phải được quản lý chặt chẽ". Việc kiểm soát dữ liệu cốt lõi sẽ do chính quyền trung ương và địa phương chịu trách nhiệm.

Khái niệm “dữ liệu quan trọng” đề cập đến những dữ liệu được định nghĩa trong Điều 21 của DSL và sẽ được cung cấp trong một danh mục phân loại cho các ngành, lĩnh vực liên quan do các khu vực, bộ phận tương ứng phát triển. Danh mục dữ liệu quan trọng sẽ được chính quyền trung ương xác định.

Khái niệm “cơ sở hạ tầng thông tin trọng yếu” giống như đã được định nghĩa trong Điều 37 của Luật An toàn không gian mạng, đề cập đến cơ sở hạ tầng trong các ngành và lĩnh vực quan trọng, chẳng hạn như truyền thông công cộng, dịch vụ thông tin, năng lượng, giao thông, thủy lợi, tài chính, dịch vụ công, Chính phủ điện tử, và các cơ sở hạ tầng thông tin quan trọng khác khi bị hư hỏng, vô hiệu hóa hoặc dữ liệu bị tiết lộ có thể đe dọa nghiêm trọng đến an ninh quốc gia, nền kinh tế quốc dân, dân sinh và lợi ích công cộng.

CÁC QUAN ĐIỂM CHÍNH TRONG LUẬT AN TOÀN DỮ LIỆU

Thứ nhất, việc kiểm soát dữ liệu bên ngoài lãnh thổ, được quy định ngay trong Điều 2: “Các hoạt động xử lý dữ liệu được thực hiện bên ngoài lãnh thổ của Trung Quốc, gây tổn hại đến an ninh quốc gia của Trung Quốc, lợi ích công cộng hoặc quyền và lợi ích hợp pháp của công dân và tổ chức phải bị truy cứu trách nhiệm pháp lý theo quy định của pháp luật”. CSL đã có các điều khoản tương tự về ngoài lãnh thổ, an ninh quốc gia hoặc lợi ích công cộng, đây là những thuật ngữ rất chung chung mà Trung Quốc có thể giải thích theo ý mình.

Thứ hai, hãy nhìn vào sự mở rộng tình trạng cô lập hóa dữ liệu bên trong Trung Quốc, dữ liệu sử dụng trong nước phải được lưu trữ trong lãnh thổ Trung Quốc. Luật mới bao gồm các biện pháp kiểm soát chuyển dữ liệu qua biên giới đối với tất cả các dữ liệu liên quan đến an ninh quốc gia. Chính phủ Trung Quốc muốn tạo ra một thị trường dữ liệu khổng lồ, ứng dụng Dữ liệu lớn trong mọi hoạt động chính trị - kinh tế - xã hội.

“Chuyển dữ liệu quan trọng xuyên biên giới”: Các nhà khai thác Cơ sở hạ tầng thông tin trọng yếu phải tuân theo các quy tắc chuyển dữ liệu xuyên biên giới theo Luật An toàn không gian mạng và các nhà khai thác không phải Cơ sở hạ tầng thông tin trọng yếu phải tuân thủ các quy tắc được công bố bởi Cơ quan quản lý không gian mạng quốc gia và các cơ quan chính phủ khác (Điều 31).

“Đánh giá an ninh quốc gia đối với các hoạt động xử lý dữ liệu nhất định”: Ở cấp độ quốc gia, Luật kêu gọi thiết lập một hệ thống “rà soát an ninh quốc gia” để kiểm tra bất kỳ hoạt động dữ liệu nào có thể được coi là gây rủi ro cho an ninh quốc gia. Luật cũng nhấn mạnh rằng quyết định rà soát an ninh quốc gia là quyết định cuối cùng, chỉ ra rằng một quyết định như vậy có thể không bị kháng cáo (Điều 24).

“Quyền truy cập vào dữ liệu của Chính phủ Trung Quốc”: Luật An toàn dữ liệu cũng đề cập rằng Công an Trung Quốc và các cơ quan an ninh quốc gia có thể cung cấp dữ liệu phục vụ các cuộc điều tra tội phạm và an ninh quốc gia; Các cá nhân và tổ chức có nghĩa vụ phải thực hiện các yêu cầu đó (Điều 35).

“Yêu cầu dữ liệu của các cơ quan tư pháp và thực thi pháp luật nước ngoài”: Theo Luật này, Trung Quốc sẽ đáp ứng các yêu cầu về cung cấp dữ liệu từ các cơ quan tư pháp và thực thi pháp luật nước ngoài theo các hiệp ước hoặc thỏa thuận quốc tế mà Trung Quốc đã tham gia hoặc dựa trên nguyên tắc “bình đẳng lẫn nhau” (Điều 36).

“Yêu cầu tuân thủ đối với nhà cung cấp dịch vụ trung gian”: Với khả năng thu thập, phân tích và sử dụng dữ liệu đang ngày càng được cải thiện, nhu cầu về giao dịch dữ liệu theo định hướng thị trường cũng tiếp tục được mở rộng. Nhiều nền tảng giao dịch dữ liệu đã xuất hiện, như Tianyancha, Qichacha, Tianyuan Data, Jingdong Cloud, Guiyang Big Data Exchange, và Shanghai Data Exchange Center. Trên thực tế, các nền tảng giao dịch dữ liệu như vậy hoạt động như một nhà cung cấp dịch vụ trung gian, cung cấp nền tảng giao dịch cho các nhà cung cấp dữ liệu và người yêu cầu dữ liệu. Nói cách khác, nó giống như một nền tảng mua sắm trực tuyến, như Alibaba, eBay, Amazon,… ngoại trừ việc hàng hóa trên nền tảng này chính là dữ liệu và do đó, quy trình giao dịch, đối tượng,... cũng khác nhau (Điều 33).

MỘT SỐ ĐIỀU KHOẢN ĐÁNG CHÚ Ý TRONG LUẬT AN TOÀN DỮ LIỆU CỦA TRUNG QUỐC

Điều 5: Cơ quan quản lý Trung ương về An ninh quốc gia chịu trách nhiệm ra quyết định chính, cân nhắc và điều phối nhiệm vụ bảo vệ dữ liệu của quốc gia; nghiên cứu, soạn thảo và hướng dẫn triển khai chiến lược bảo vệ dữ liệu quốc gia và các chỉ thị chính sách lớn có liên quan; lập kế hoạch, điều phối, thiết lập cơ chế phối hợp cho công tác bảo vệ dữ liệu quốc gia.

Điều 11: Nhà nước tích cực phát triển trao đổi và hợp tác quốc tế trong các lĩnh vực như quản trị an ninh dữ liệu, khai thác và sử dụng dữ liệu, tham gia vào việc biên soạn các quy tắc và tiêu chuẩn quốc tế về bảo vệ dữ liệu, thúc đẩy an ninh xuyên biên giới và dòng chảy tự do dữ liệu.

Điều 21: Nhà nước thiết lập hệ thống phân loại và bảo vệ dữ liệu, thực hiện phân loại và bảo vệ dữ liệu theo mức độ quan trọng đối với sự phát triển kinh tế - xã hội của Nhà nước, cũng như cấp độ nguy hại đối với an ninh quốc gia, lợi ích xã hội hoặc lợi ích hợp pháp của cá nhân, tổ chức nếu dữ liệu bị giả mạo, hư hỏng, rò rỉ hoặc bị sử dụng bất hợp pháp. Cơ chế điều phối công tác an toàn dữ liệu quốc gia sẽ phối hợp các bộ phận liên quan để quy định danh mục dữ liệu quan trọng và tăng cường bảo vệ dữ liệu quan trọng.

Điều 22: Nhà nước thiết lập một cơ chế tập trung, hiệu quả và có thẩm quyền để đánh giá, báo cáo, chia sẻ thông tin, giám sát và cảnh báo rủi ro về bảo vệ dữ liệu. Cơ chế điều phối công tác bảo vệ dữ liệu quốc gia sẽ phối hợp các bộ phận liên quan để tăng cường các hoạt động về thu thập, phân tích, xác định và cảnh báo thông tin rủi ro an toàn dữ liệu.

Điều 27: Các đơn vị thực hiện hoạt động xử lý dữ liệu phải thiết lập và hoàn thiện hệ thống quản lý bảo vệ dữ liệu trong toàn bộ quy trình làm việc, tổ chức và thực hiện đào tạo về bảo vệ dữ liệu, áp dụng các biện pháp kỹ thuật tương ứng và các biện pháp cần thiết khác để bảo vệ an toàn dữ liệu theo quy định của pháp luật. Các đơn vị thực hiện hoạt động xử lý dữ liệu bằng mạng thông tin như Internet phải thực hiện các nghĩa vụ bảo vệ an toàn dữ liệu nêu trên, dựa trên Sơ đồ bảo vệ nhiều cấp độ.

Điều 29: Các đơn vị thực hiện các hoạt động xử lý dữ liệu phải tăng cường việc giám sát rủi ro. Trường hợp phát hiện ra các rủi ro như lỗi hoặc rò rỉ bảo mật dữ liệu, cần phải áp dụng ngay các biện pháp xử lý. Khi xảy ra sự cố bảo mật dữ liệu, các đơn vị phải thực hiện ngay các biện pháp ứng phó, nhanh chóng thông báo cho người dùng và báo cáo bộ phận quản lý theo quy định.

Điều 31: Việc chuyển ra nước ngoài các dữ liệu quan trọng do nhà điều hành cơ sở hạ tầng thông tin trọng yếu thu thập và tạo ra trong quá trình hoạt động trên lãnh thổ Trung Quốc sẽ phải tuân theo các yêu cầu Luật CSL của Trung Quốc; việc chuyển ra nước ngoài các dữ liệu quan trọng do các đơn vị xử lý dữ liệu khác thu thập và tạo ra trong quá trình hoạt động của họ trên lãnh thổ Trung Quốc sẽ phải tuân theo các quy tắc do Cơ quan quản lý không gian mạng quốc gia và các cơ quan liên quan của Quốc Vụ viện xây dựng.

Điều 33: Các yêu cầu đối với tổ chức tham gia vào các dịch vụ giao dịch dữ liệu trung gian: Tổ chức tham gia vào các dịch vụ giao dịch dữ liệu trung gian phải yêu cầu nhà cung cấp dữ liệu giải thích về nguồn dữ liệu, kiểm tra danh tính của cả hai bên tham gia giao dịch và phải lưu giữ hồ sơ kiểm tra và giao dịch.

Điều 35: Trong trường hợp cơ quan Công an, cơ quan An ninh quốc gia cần truy cập dữ liệu phục vụ công tác bảo vệ an ninh quốc gia hoặc điều tra tội phạm, sẽ cần thực hiện theo quy trình phê duyệt nghiêm ngặt và tiến hành theo quy định của pháp luật liên quan. Các tổ chức và cá nhân liên quan có trách nhiệm hợp tác với họ.

Điều 36: Các cơ quan có thẩm quyền của nước Cộng hòa Nhân dân Trung Hoa sẽ xử lý các yêu cầu cung cấp dữ liệu từ các cơ quan tư pháp hoặc thực thi pháp luật nước ngoài theo luật liên quan, các điều ước quốc tế và thỏa thuận mà nước Cộng hòa Nhân dân Trung Hoa đã ký kết hoặc tham gia theo nguyên tắc bình đẳng lẫn nhau. Các tổ chức và cá nhân trên lãnh thổ Trung Quốc không được phép cung cấp dữ liệu lưu trữ trên lãnh thổ Trung Quốc cho các cơ quan tư pháp hoặc thực thi pháp luật nước ngoài, mà không có sự chấp thuận của các cơ quan có thẩm quyền trong nước.

MỘT SỐ KHUYẾN NGHỊ ĐỐI VỚI VIỆT NAM TRONG TÌNH HÌNH MỚI

DSL của Trung Quốc là bộ luật mà Việt Nam rất cần học hỏi, đúc rút kinh nghiệm và đưa ra những cải tiến phù hợp với hoàn cảnh của Việt Nam:

- Việc truyền dữ liệu quan trọng và dữ liệu lớn ra bên ngoài lãnh thổ Việt Nam cần được kiểm soát và hạn chế với mục đích bảo đảm an ninh quốc gia. Cần có cơ chế để kiểm soát chặt việc chuyển dữ liệu qua biên giới mà không được cơ quan nhà nước có thẩm quyền cho phép.

- Việc các công ty thực hiện thu thập, lưu trữ, bảo vệ và sử dụng dữ liệu cá nhân của người dùng cần được công khai, minh bạch với các cơ quan nhà nước có thẩm quyền để việc truy nhập và kiểm tra được dễ dàng và nhanh chóng. Ví dụ như Zalo cần làm ngay điều này vì hiện nay có rất nhiều người sử dụng và kết nối cổng điện tử với nhiều chính quyền địa phương ở Việt Nam, máy chủ của Zalo cần được kiểm soát toàn diện bởi Nhà nước.

- Cần nhanh chóng xây dựng trung tâm dữ liệu quốc gia (National Big Data Center) do Nhà nước quản lý tập trung và yêu cầu tất cả các tổ chức, doanh nghiệp trong nước có trách nhiệm kết nối máy chủ và chia sẻ dữ liệu với trung tâm này. Cần có sự quản lý tập trung, thống nhất dữ liệu của các tỉnh, thành, bộ, ban, ngành. Trên cơ sở đó, phải tiếp tục xây dựng, hoàn thiện khung an toàn dữ liệu quốc gia, trong đó có các hệ thống bảo vệ dữ liệu được phân lớp, hệ thống quản lý nguy cơ an toàn dữ liệu, hệ thống ứng cứu, đối phó với các nguy cơ an toàn dữ liệu, hệ thống đánh giá an toàn dữ liệu (một số nhiệm vụ cụ thể cũng đã được xác định trong Quyết định số 942/QĐ-TTg ngày 15/6/2021 của Thủ tướng Chính phủ về việc phê duyệt Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021 - 2025, định hướng đến năm 2030).

- Hiện nay chúng ta đã có các Luật An toàn thông tin mạng, Luật An ninh mạng, Luật Cơ yếu, Luật Bảo vệ bí mật nhà nước, nhưng vẫn có những bất cập cần nghiên cứu, bổ sung, sửa đổi. Với quan điểm dữ liệu là vấn đề cốt lõi để phát triển Chính phủ số - kinh tế số - xã hội số, Việt Nam cần sớm ban hành, điều chỉnh các quy định của pháp luật về an toàn dữ liệu quốc gia.

- Việt Nam cần tiếp tục đẩy mạnh và thực hiện có hiệu quả chính sách thống nhất, xuyên suốt về việc huy động các nhà khoa học, các viện nghiên cứu, trường đại học, các doanh nghiệp công nghệ phục vụ trực tiếp cho các hoạt động nghiên cứu, cung cấp các dịch vụ và sản phẩm bảo đảm quốc phòng, an ninh.

TÀI LIỆU THAM KHẢO

1. Abby Chen, “A Close Reading of China’s Data Security Law”, 2021.

2. Zhijing Yu, Vicky Liu & Yan Luo, “China Enacts Data Security Law”, 2021.

3. Covington & Burling LLP, “Covington’s unofficial English translation of the Data Security Law”, 2021.

4. Scott Ikeda, “New Data Security Law in China Makes Government Power Over Tech Giants Absolute”, 2021.

5. Latham & Watkins, “China’s New Data Security Law: What to Know”, 2021.