(KTSG) - Luật Dữ liệu 2024 đặt doanh nghiệp vào thế bắt buộc phải cung cấp, giải mã dữ liệu trong một số tình huống đặc biệt. Liệu đây có trở thành rào cản với đầu tư nước ngoài và tăng trưởng kinh tế số tại Việt Nam?
- Chuyển dữ liệu xuyên biên giới trong Luật Dữ liệu 2024
- Xây dựng Luật dữ liệu, quy chuẩn trung tâm dữ liệu quốc gia
Doanh nghiệp và bài toán dữ liệu: Lằn ranh giữa tuân thủ và bảo mật
Chính phủ Anh mới đây đã yêu cầu Apple cung cấp quyền truy cập vào dữ liệu iCloud được mã hóa của người dùng. Động thái này ngay lập tức làm dấy lên tranh cãi về quyền riêng tư và bảo mật dữ liệu.
Theo Đạo luật Quyền điều tra (IPA) 2016, Apple bị yêu cầu tạo một “cửa sau” để các cơ quan thực thi pháp luật Anh có thể truy cập dữ liệu đám mây. Điều này đồng nghĩa với việc chính phủ nước này có thể tiếp cận dữ liệu của người dùng ngay cả khi nó được mã hóa.
Apple kiên quyết phản đối, cho rằng việc mở “cửa sau” sẽ phá vỡ nguyên tắc bảo mật và xâm phạm quyền riêng tư của người dùng. Apple lo ngại rằng một khi tiền lệ này được thiết lập, các chính phủ khác cũng sẽ đưa ra yêu cầu tương tự.
Trong bối cảnh các quy định về dữ liệu ngày càng phức tạp, doanh nghiệp cần chủ động đầu tư vào công nghệ bảo mật, hoàn thiện quy trình xử lý dữ liệu.
Điều này có thể làm suy yếu hoàn toàn hệ thống bảo mật dữ liệu trên toàn cầu và khiến người dùng mất niềm tin vào các nền tảng công nghệ. Quan trọng hơn, nó đặt ra câu hỏi lớn về ranh giới hợp tác giữa các công ty công nghệ và chính phủ.
Xung đột giữa quyền riêng tư và yêu cầu thực thi pháp luật không phải là vấn đề mới. Tuy nhiên, vụ việc lần này có thể định hình lại chính sách bảo mật dữ liệu của nhiều quốc gia, tạo ra những tác động lâu dài đối với cả doanh nghiệp và người dùng.
Thách thức từ Luật Dữ liệu 2024 của Việt Nam
Quyền truy cập dữ liệu không chỉ là vấn đề của riêng Apple hay một quốc gia cụ thể. Trong kỷ nguyên số, dữ liệu không đơn thuần là tài sản mà còn quyết định sự sống còn của doanh nghiệp.
Tại Việt Nam, điều 18 và điều 22 của Luật Dữ liệu 2024 đang làm dấy lên nhiều băn khoăn về quyền sở hữu dữ liệu và mức độ minh bạch trong quản lý. Theo điều 18, tổ chức và cá nhân phải cung cấp dữ liệu khi có yêu cầu từ cơ quan có thẩm quyền, ngay cả khi không có sự đồng ý của chủ thể dữ liệu.
Điều 22 cũng trao quyền cho cơ quan nhà nước giải mã dữ liệu mà không cần sự chấp thuận của chủ sở hữu trong một số tình huống đặc biệt. “Giải mã” được hiểu là áp dụng thuật toán hoặc các giải pháp kỹ thuật để chuyển đổi dữ liệu từ định dạng không thể nhận biết sang định dạng có thể đọc được.
Cả hai quy định này được áp dụng trong các trường hợp như tình trạng khẩn cấp, nguy cơ đe dọa an ninh quốc gia, thảm họa hoặc phòng, chống bạo loạn, khủng bố. Mặc dù mục tiêu là bảo vệ lợi ích công cộng, nhưng việc không quy định rõ giới hạn và cơ chế giám sát có thể dẫn đến nguy cơ lạm dụng.
Việc cân bằng giữa yêu cầu thực thi pháp luật và bảo vệ quyền riêng tư, bí mật kinh doanh đang trở thành bài toán không dễ cho cả doanh nghiệp và cơ quan quản lý. Để xây dựng niềm tin và đảm bảo môi trường số phát triển bền vững, cần có khung pháp lý rõ ràng, minh bạch, cùng sự hợp tác chặt chẽ giữa các bên nhằm tránh nguy cơ lạm dụng dữ liệu và xung đột pháp lý quốc tế.
Trên thực tế, việc cung cấp dữ liệu theo yêu cầu của cơ quan chức năng không phải là điều mới. Luật các tổ chức tín dụng 2010 và 2024 quy định ngân hàng chỉ được cung cấp thông tin khách hàng khi có yêu cầu từ cơ quan có thẩm quyền hoặc được sự chấp thuận của khách hàng.
Tuy nhiên, trong bối cảnh dữ liệu trở thành tài sản cốt lõi, các điều khoản trong Luật Dữ liệu 2024 đặt ra những thách thức lớn hơn. Doanh nghiệp không chỉ đối mặt với rủi ro mất quyền kiểm soát dữ liệu mà còn có nguy cơ ảnh hưởng đến lợi thế cạnh tranh nếu không có cơ chế bảo vệ phù hợp.
Trong đó, vấn đề nổi bật nhất là việc xác định loại dữ liệu phải cung cấp, trách nhiệm của các bên liên quan, cũng như quy trình thực hiện yêu cầu từ cơ quan nhà nước - những yếu tố đang tạo ra không ít lo ngại và thảo luận.
Loại dữ liệu nào cần cung cấp, giải mã, và bởi ai?
Câu hỏi quan trọng không chỉ là doanh nghiệp có phải cung cấp dữ liệu theo yêu cầu của cơ quan nhà nước hay không, mà còn là loại dữ liệu nào phải cung cấp. Việc chia sẻ thông tin, đặc biệt là dữ liệu nhạy cảm, cần được cân nhắc kỹ lưỡng vì liên quan đến quyền bảo mật cá nhân, bí mật kinh doanh và sự vận hành ổn định của doanh nghiệp.
Theo Luật Dữ liệu 2024, cơ quan nhà nước có quyền yêu cầu tổ chức, cá nhân cung cấp hoặc giải mã dữ liệu để ứng phó “tình trạng khẩn cấp” hoặc khi việc thiếu dữ liệu cản trở hoạt động quản lý vì lợi ích công cộng. Tuy nhiên, điều luật không xác định rõ loại dữ liệu nào nằm trong phạm vi phải cung cấp, giải mã, khiến nhiều người lo ngại rằng “mọi loại dữ liệu” đều có thể bị yêu cầu mà không có giới hạn cụ thể.
Trong khi đó, Luật Dữ liệu 2024 chỉ phân loại hai nhóm dữ liệu liên quan đến an ninh quốc gia là dữ liệu quan trọng và dữ liệu cốt lõi. Đây là những thông tin có khả năng tác động đến quốc phòng, an ninh, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng, với danh mục do Thủ tướng Chính phủ ban hành. Nếu mọi loại dữ liệu đều có thể bị yêu cầu cung cấp mà không có tiêu chí rõ ràng, rủi ro mất bí mật kinh doanh sẽ gia tăng, ảnh hưởng đến lợi thế cạnh tranh của doanh nghiệp.
Một điểm chưa rõ trong điều 18.3 Luật Dữ liệu 2024 là ai sẽ là người phải cung cấp dữ liệu. Điều luật quy định rằng “tổ chức, cá nhân phải cung cấp dữ liệu cho cơ quan nhà nước khi có yêu cầu mà không cần sự đồng ý của chủ thể dữ liệu”. Theo dự thảo Nghị định quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu 2024 đang được lấy ý kiến từ ngày 17-1-2025, điều 8.2(b) theo hướng yêu cầu cung cấp dữ liệu phải được giao cho cá nhân, tổ chức là “chủ sở hữu dữ liệu”, “người đại diện hợp pháp” hoặc “người đang quản lý, sử dụng hợp pháp dữ liệu”. Như vậy, nghĩa vụ cung cấp dữ liệu có thể sẽ áp dụng cho chủ sở hữu dữ liệu và bao gồm cả các bên thứ ba như nhà cung cấp dịch vụ lưu trữ hoặc đơn vị quản lý dữ liệu thay mặt chủ sở hữu.
Thiếu cơ chế bảo vệ khi bị yêu cầu cung cấp, giải mã dữ liệu
Một vấn đề đáng lo ngại là sự mơ hồ trong cách hiểu và áp dụng các quy định về cung cấp và giải mã dữ liệu. Điều 18 và 22 của Luật Dữ liệu 2024 trao quyền cho cơ quan nhà nước yêu cầu doanh nghiệp cung cấp dữ liệu trong tình huống đặc biệt, nhưng khái niệm “tình trạng khẩn cấp” vẫn chưa được định nghĩa rõ ràng.
Hiện tại, dự thảo Luật Tình trạng khẩn cấp do Bộ Quốc phòng xây dựng định nghĩa khái niệm này là khi một hoặc nhiều địa phương chịu thảm họa lớn, gây thiệt hại nghiêm trọng đến tài sản, tính mạng và trật tự an toàn xã hội. Tuy nhiên, vì luật này chưa được thông qua, doanh nghiệp vẫn chưa có cơ sở rõ ràng để tuân thủ.
Bên cạnh đó, việc thiếu cơ chế minh bạch và công bằng trong thực thi có thể khiến doanh nghiệp gặp khó khăn khi áp dụng Luật Dữ liệu 2024. Hiện chưa có quy định rõ ràng về thời hạn cung cấp dữ liệu, hậu quả pháp lý nếu việc cung cấp thông tin ảnh hưởng đến quyền lợi của chủ thể dữ liệu, hay cách doanh nghiệp có thể bảo vệ quyền lợi khi nhận yêu cầu mà họ cho là bất hợp lý.
Theo điều 8.7 dự thảo Nghị định hướng dẫn Luật Dữ liệu 2024, doanh nghiệp chỉ có thể hủy bỏ yêu cầu cung cấp dữ liệu trong ba trường hợp: yêu cầu trái luật, điều kiện cung cấp dữ liệu không còn, hoặc dữ liệu không tồn tại vì lý do khách quan. Tuy nhiên, quy định này chưa làm rõ liệu doanh nghiệp có quyền khiếu nại nếu không thuộc ba trường hợp trên, cũng như chưa có quy định rõ về cơ chế, quy trình khiếu nại và thẩm quyền quyết định việc hủy bỏ yêu cầu.
Ngoài ra, trách nhiệm của cơ quan nhà nước trong việc bảo đảm an toàn dữ liệu cũng chưa được quy định cụ thể. Điều 18.3(b) của Luật Dữ liệu 2024 yêu cầu bảo vệ quyền lợi hợp pháp của chủ thể dữ liệu, nhưng không có hướng dẫn về cách thức thực hiện. Điều 18.3(c) quy định dữ liệu phải bị hủy khi không còn cần thiết, nhưng không làm rõ cách thức hủy, đặc biệt khi dữ liệu đã bị sao chép hoặc chia sẻ.
Những khoảng trống pháp lý này có thể dẫn đến xung đột pháp luật. Nhiều quốc gia, bao gồm các thành viên hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương (CPTPP) và Liên minh châu Âu (EU), đã ban hành các quy định bảo vệ dữ liệu nghiêm ngặt, yêu cầu sự đồng ý của chủ sở hữu dữ liệu trước khi chia sẻ. Nếu Việt Nam không rõ ràng trong các cơ chế bảo vệ dữ liệu, các công ty đa quốc gia có thể gặp khó khăn khi phải tuân thủ luật pháp Việt Nam nhưng lại vi phạm các quy định bảo vệ dữ liệu quốc tế.
Một rủi ro khác là nguy cơ bị coi là “tước quyền sở hữu” dữ liệu của doanh nghiệp có vốn đầu tư nước ngoài. Theo điều 9.8 hiệp định CPTPP, Việt Nam có nghĩa vụ bảo vệ nhà đầu tư khỏi các hành vi tương đương với quốc hữu hóa hoặc tước quyền sở hữu. Nếu cơ quan nhà nước có quyền tiếp cận dữ liệu mà không có biện pháp bảo vệ hợp lý, điều này có thể dẫn đến rủi ro bị coi là vi phạm cam kết quốc tế, ảnh hưởng đến môi trường đầu tư của Việt Nam.
Việc cân bằng giữa yêu cầu thực thi pháp luật và bảo vệ quyền riêng tư, bí mật kinh doanh đang trở thành bài toán không dễ cho cả doanh nghiệp và cơ quan quản lý. Để xây dựng niềm tin và đảm bảo môi trường số phát triển bền vững, cần có khung pháp lý rõ ràng, minh bạch, cùng sự hợp tác chặt chẽ giữa các bên nhằm tránh nguy cơ lạm dụng dữ liệu và xung đột pháp lý quốc tế.
Trong bối cảnh các quy định về dữ liệu ngày càng phức tạp, doanh nghiệp cần chủ động đầu tư vào công nghệ bảo mật, hoàn thiện quy trình xử lý dữ liệu.
