Vừa bảo vệ dữ liệu cá nhân, vừa phát triển kinh tế số

Bài cuối: Những điều kiện không khả thi 

Xem với cỡ chữ
Muốn chuyển dữ liệu cá nhân qua biên giới phải đáp ứng đủ 4 điều kiện, trong đó có văn bản đồng ý của Ủy ban Bảo vệ dữ liệu cá nhân. Với 6 thành viên, liệu Ủy ban có thể đảm nhận được việc này khi mỗi ngày có hàng triệu thao tác chuyển dữ liệu cá nhân qua biên giới do chính chủ thể dữ liệu thực hiện?

Có thể tăng chi phí, thủ tục cho doanh nghiệp

Tại Điều 21, dự thảo Nghị định bảo vệ dữ liệu cá nhân quy định: Dữ liệu cá nhân của công dân Việt Nam có thể chuyển ra khỏi biên giới lãnh thổ Việt Nam khi đáp ứng đầy đủ 4 điều kiện.

Một, có sự đồng ý của chủ thể dữ liệu về việc chuyển giao. Hai, dữ liệu gốc được lưu trữ tại Việt Nam. Ba, có văn bản chứng nhận quốc gia, vùng lãnh thổ hoặc một khu vực cụ thể trong quốc gia hoặc vùng lãnh thổ chuyển đến đã ban hành quy định bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc cao hơn Nghị định này. Bốn, có sự đồng ý bằng văn bản của Ủy ban Bảo vệ dữ liệu cá nhân. Theo dự thảo Nghị định, Ủy ban sẽ xử lý hồ sơ đăng ký chuyển dữ liệu cá nhân qua biên giới trong vòng 20 ngày làm việc kể từ ngày nhận hồ sơ.

Ông Nguyễn Quang Đồng, Viện trưởng Viện Chính sách và phát triển truyền thông (IPS) cho rằng các điều kiện này rất khó thực hiện.

Ví dụ, một sơ yếu lý lịch được gửi qua email thì ngoài việc lưu trữ bản gốc, sẽ phải lưu 1 bản cứng ở Việt Nam hay sao? Mức độ xử lý dữ liệu và dữ liệu chuyển qua biên giới ở Việt Nam rất lớn. Nếu phải xin phép Ủy ban Bảo vệ dữ liệu thì xin phép thế nào cho đủ và xử lý sao xuể khi Ủy ban này chỉ gồm 6 thành viên như quy định trong dự thảo Nghị định.

Bên cạnh đó, yêu cầu lưu dữ liệu gốc tại Việt Nam sẽ buộc các nhà cung cấp dịch vụ điện toán đám mây phải có trung tâm dữ liệu ở Việt Nam. Điều này làm tăng chi phí cho doanh nghiệp. Trong khi đó, về mặt nguyên tắc, đã lưu trên điện toán đám mây thì tại sao phải lưu trên phần cứng  - vốn nhiều rủi ro, khó tiếp cận và tốn kém.

Ở điều kiện thứ 3, rất khó để định lượng thế nào là quy định bảo vệ dữ liệu cá nhân bằng hoặc cao hơn Nghị định này. Giả sử trung tâm dữ liệu của Microsoft lưu dữ liệu ở Campuchia, vậy ai là người xác định được quy định về bảo vệ dữ liệu của Campuchia cao hơn hoặc bằng của Việt Nam?

Theo ông Đồng, trao quyền cho Ủy ban Bảo vệ dữ liệu là đúng nhưng các điều kiện nêu trên không chỉ khó thực hiện mà có thể tạo thêm thủ tục cho doanh nghiệp và vượt quá năng lực xử lý của Ủy ban.

Cần phân nhóm dữ liệu

Cùng quan điểm, luật sư Hà Huy Phong, Giám đốc Điều hành Công ty Luật Inteco cho rằng quy định này không khả thi: “Khi tôi cung cấp thông tin cá nhân để đăng ký một tài khoản sử dụng phần mềm của nước ngoài, sẽ phát sinh việc chuyển dữ liệu ra nước ngoài. Thao tác kỹ thuật chỉ mất khoảng 2 - 3 phút xong nhưng sẽ cần tới 20 ngày để xin phép chuyển dữ liệu, điều đó không thực tế”. Hơn nữa, mỗi ngày có hàng triệu thao tác chuyển dữ liệu cá nhân qua biên giới do chính chủ thể dữ liệu thực hiện và không cơ quan nào có đủ năng lực để ban hành văn bản xác nhận đồng ý. Cần có các điều kiện đơn giản, khả thi và hiệu quả hơn, ông Phong đề xuất.

Góp ý cụ thể, ông Nguyễn Quang Đồng cho rằng không nên yêu cầu phải xin phép khi chuyển dữ liệu cá nhân qua biên giới mà nên áp dụng hình thức “hậu kiểm”. Theo đó, chỉ khi có trường hợp để lộ, lọt dữ liệu lớn, hoặc có những nghi vấn về mặt vi phạm, khi cần điều tra tội phạm thì mới yêu cầu cung cấp dữ liệu.

Luật sư Ngô Văn Hiệp, Trưởng Văn phòng Luật sư Hiệp và Liên danh (HALF) tán thành với điều kiện số 1 và 4 vì chúng cần thiết để kiểm soát hoạt động chuyển giao dữ liệu cá nhân. Để hạn chế cơ chế xin - cho cũng như tránh quá tải công việc cho Ủy ban Bảo vệ dữ liệu cá nhân, ông Hiệp đề xuất Ban soạn thảo nên quy định theo hướng phân loại dữ liệu, nhóm nào cần nhận được sự đồng ý của chủ thể dữ liệu về việc chuyển giao và/hoặc phải có sự đồng ý bằng văn bản của Ủy ban Bảo vệ dữ liệu cá nhân và nhóm nào không cần.

An Thiện