Nhìn đáp án, đoán đề bài – Phân tích quy định kiểm soát “xuất khẩu” dữ liệu của Bộ Công an

Mỗi chính quyền đều có những chính sách riêng. Chính sách là các quyết định nhằm thực hiện được các chủ trương, hay những mục tiêu mà một chính quyền muốn hướng đến, hoặc một giải pháp cho vấn đề mà quốc gia đó đang gặp phải.

Chẳng hạn, chủ trương dân giàu – nước mạnh của chính quyền Việt Nam được thực hiện bằng chính sách mở cửa, đổi mới (1986).

Công việc của người làm chính sách giống như giải những bài toán mà tình huống đặt ra, sao cho phù hợp với chủ trương. Công cụ giải toán của chính quyền thông thường sẽ là pháp luật, nhưng cũng không loại trừ các công cụ khác (ví dụ như bộ máy tuyên truyền, thương lượng…).

Ở Việt Nam, muốn biết chủ trương thì cần đọc nghị quyết, văn kiện của Đảng Cộng sản Việt Nam. Muốn biết chính sách thì theo dõi văn kiện nhỏ của đảng và các nghị quyết của chính phủ, chương trình làm luật của quốc hội. Muốn biết bài giải thì có thể nhìn vào luật, nghị định do nhà nước ban hành.

Thế nhưng, một vấn đề lớn khi phân tích chính sách, pháp luật ở Việt Nam là đề bài của chính sách được đưa ra cho công chúng thường quá chung chung. Điều này khiến cho lời giải (quy định pháp luật) thường có vẻ như tùy tiện, mơ hồ. Từ đó, rất nhiều hoạt động góp ý chính sách, văn bản luật bị sa đà vào việc sửa sang câu chữ, và các đề xuất thường không được tiếp nhận.

Những góp ý khi đó sẽ mang tính hình thức nhiều hơn là thực tiễn. Vì vậy, muốn góp ý hiệu quả thì cần biết rõ đề bài của chính quyền thật sự là gì, từ đó đánh giá xem lời giải được đưa ra có phù hợp không.

Hạn chế chuyển dữ liệu cá nhân qua biên giới vì lợi ích của người dân?

Để minh họa cho ý tưởng này, xin lấy một ví dụ gần đây liên quan đến quy định về “chuyển dữ liệu cá nhân qua biên giới” trong Dự thảo Nghị định về Bảo vệ Dữ liệu Cá nhân. Quy định nằm ở điều 21 của dự thảo nghị định. Trong quy định này, có một vài điểm đáng chú ý.

Thứ nhất, việc chuyển dữ liệu cá nhân qua biên giới là một quy định mới, không được đề cập trong Luật An ninh mạng và Luật An toàn Thông tin mạng (là hai đạo luật mà nghị định này hướng dẫn). Chủ đề này cũng chưa từng được đề cập trong quá trình soạn thảo Luật An ninh mạng, và quy định hiện nay chỉ chú trọng vào việc giữ một bản sao dữ liệu tại Việt Nam (các dự thảo luật và nghị định hướng dẫn trước đây có quy định yêu cầu doanh nghiệp đặt máy chủ tại Việt Nam, nhưng nhìn chung không hạn chế xuất khẩu dữ liệu ra nước ngoài cho đến dự thảo lần này).

Thứ hai, mấu chốt của quy định chuyển dữ liệu cá nhân qua biên giới là “văn bản đồng ý của Ủy ban Bảo vệ Dữ liệu Cá nhân” do Bộ Công an thành lập. Văn bản đồng ý này có vẻ như sẽ bao gồm rất nhiều thông tin và có khả năng sẽ rất đồ sộ. Ủy ban cần đưa ra quyết định chấp thuận hay không chấp thuận đối với từng trường hợp chuyển dữ liệu qua biên giới, và chỉ có 20 ngày để xem xét đơn đề nghị.

Nếu dựa vào đáp án được nêu trong Điều 21, có thể sẽ có hai nội dung góp ý được đưa ra: (1) vấn đề quy định chuyển dữ liệu cá nhân qua biên giới có khả năng vượt qua thẩm quyền của chính phủ, do chưa được Luật An ninh mạng đề cập, và (2) việc quy định văn bản đồng ý của Ủy ban Bảo vệ Dữ liệu Cá nhân vừa có thể gây ra nguy cơ tham nhũng, vừa có thể làm nặng thêm thủ tục hành chính, làm khó nhà đầu tư v.v…

Điểm (2) cũng được Liên minh Internet Châu Á (AIC) đề cập trong bản góp ý đề cương dự thảo Nghị định hồi giữa năm 2020 (xem phần Phụ lục của bản góp ý, điểm C). Theo nhận định của AIC trong bản góp ý, tác giả dự thảo nghị định dường như đã hiểu lầm rằng cứ ngăn cản việc chuyển dữ liệu ra nước ngoài là sẽ bảo vệ được an toàn cho người dân.

AIC nhấn mạnh rằng đặt dữ liệu tại Việt Nam mới làm tăng nguy cơ rò rỉ dữ liệu do tình trạng mua bán dữ liệu tràn lan và năng lực bảo mật ở Việt Nam là tương đối yếu. Theo liên minh này, điều quan trọng trong việc bảo vệ dữ liệu không phải là giữ dữ liệu ở nước nào, mà là bằng cách nào. Nếu dữ liệu được đặt ở Mỹ nhưng do các kỹ sư lành nghề bảo vệ thì vẫn tốt hơn đặt ở Việt Nam.

Tất cả những góp ý trên đều có lý, nhưng liệu nó có thể giúp chính quyền giải quyết bài toán thực sự của mình hay không? Có vẻ như AIC đang nghĩ (hay ít ra họ thể hiện trong bản đề xuất của mình) rằng bài toán mà Điều 21 đang giải là làm thế nào để bảo vệ dữ liệu cá nhân vì lợi ích dân sự của cá nhân. Đây là một bài toán điển hình mà các đạo luật bảo vệ dữ liệu cá nhân trên thế giới đều cố gắng giải, bao gồm Đạo luật Bảo vệ Dữ liệu chung (General Data Protection Regulation – GDPR) của Liên minh châu Âu.

Tuy nhiên, khi xem xét dự thảo Nghị định Bảo vệ Dữ liệu Cá nhân (gọi tắt là nghị định) và GDPR, có thể thấy vài điểm khác nhau.

Thứ nhất, cơ quan quản lý của GDPR và của nghị định là rất khác nhau. Trong trường hợp của GDPR, bên quản lý là các cơ quan bảo vệ dữ liệu độc lập của các quốc gia thành viên. Còn trường hợp của nghị định thì bên quản lý lại là Bộ Công an – vốn có chức năng bảo vệ an ninh chính trị, bên cạnh bảo vệ quyền của người dân.

Thứ hai, cách quy định cũng rất khác nhau. Trong trường hợp của GDPR, quy định việc chuyển dữ liệu qua biên giới nhìn chung là khá tự do, miễn là bên nhận dữ liệu đáp ứng các yêu cầu về bảo vệ dữ liệu. Các yêu cầu có thể là quốc gia tiếp nhận có luật quy định tiêu chuẩn bảo vệ dữ liệu bằng hoặc cao hơn GDPR, hoặc nếu không thì đơn vị tiếp nhận cam kết bảo vệ dữ liệu theo quy định.

Đây là một quy định theo dạng quản lý sau (ex post), tức là các bên tự chịu trách nhiệm tuân thủ, nếu sai thì bị xử lý nặng. Còn theo nghị định, văn bản chấp thuận của ủy ban là điều kiện tiên quyết, ngay cả khi quốc gia tiếp nhận có tiêu chuẩn bảo vệ dữ liệu cao hơn Việt Nam. Đây là quy định theo dạng quản lý trước (ex ante), khắt khe và khó khăn hơn.

Chính sự khác nhau giữa GDPR và dự thảo nghị định gợi ý rằng bài toán mà chính phủ Việt Nam muốn giải quyết thông qua Điều 21 là bài toán khác. Và vì đề bài khác, nên lời giải theo Điều 21 lại phù hợp. Nói cách khác, tuy quy định của Điều 21 có thể có bất cập như đã nêu, nhưng nó giải quyết được ưu tiên của chính quyền, nên những bất cập là chấp nhận được.

Thế thì, cần xác định rõ ràng, bài toán mà chính quyền phải giải bằng quy định của Điều 21 là gì?

Bảo vệ chủ quyền dữ liệu, an ninh quốc gia – đề bài thật sự của Bộ Công an?

Theo thiển ý của tác giả, bài toán mà chính quyền cố gắng giải quyết thông qua Điều 21 không chỉ là bảo vệ an toàn dữ liệu cho người dân, mà còn là bảo vệ chủ quyền về dữ liệu của Việt Nam vì mục tiêu an ninh quốc phòng.

Bảo vệ chủ quyền dữ liệu (data sovereignty) là một thuật ngữ mới, khá phổ biến từ sau khi Trung Quốc cho rằng ai nắm được dữ liệu cá nhân của một quốc gia, người đó có thể chi phối chính trị ở quốc gia đó.

Vài năm trở lại đây, việc các quốc gia sử dụng dữ liệu của cử tri một nước khác để thao túng kết quả bầu cử không phải là hiếm (ví dụ, trường hợp Nga can thiệp kết quả bầu cử năm 2016).

Nhiều quốc gia đối phó với việc này bằng biện pháp kỹ thuật như chiến tranh trên không gian mạng (cũng là một nội dung của Luật An ninh mạng). Nhiều quốc gia khác lại chọn giải pháp kiểm soát hoạt động thu thập và chuyển dữ liệu cá nhân của người dân ra nước ngoài. Đây có vẻ là cách tiếp cận của Điều 21.

Thế nhưng, cấm chuyển dữ liệu ra nước ngoài thì lại tạo ra một vấn đề khác, đó là ảnh hưởng đến phát triển kinh tế.

Cũng như trong góp ý của AIC, việc hạn chế chuyển dữ liệu ra nước ngoài sẽ khiến nhiều nhà đầu tư thấy thị trường Việt Nam bớt hấp dẫn. AIC giải thích điểm này khá rõ, khi chỉ ra rằng việc thu thập và xử lý dữ liệu người dùng ở Việt Nam giúp các doanh nghiệp tối đa hóa chiến lược kinh doanh và marketing của mình, và đây cũng là xu hướng chung của kinh doanh thế giới. Đây không chỉ là nhu cầu cần thiết của các doanh nghiệp công nghệ, mà còn là của bất kỳ doanh nghiệp nào trong thời đại số.

Thông thường, việc xử lý và bảo mật dữ liệu của doanh nghiệp được thực hiện tập trung tại các quốc gia có điều kiện hạ tầng lẫn nhân sự tiên tiến hơn, với pháp luật về bảo mật chặt chẽ hơn.

Nếu quy định về việc xử lý và chuyển dữ liệu ra nước ngoài quá khắt khe, các nhà đầu tư sẽ phải tính toán lại mô hình kinh doanh của họ tại Việt Nam. Việt Nam là một thị trường không đủ lớn để có thể đặt luật chơi riêng như Trung Quốc. Vì thế, thiệt hại kinh tế có thể sẽ rất lớn.

Do vậy, giải pháp cấm tuy an toàn về mặt chính trị, nhưng lại bất lợi về mặt kinh tế. Mục tiêu kép do đó phải là vừa bảo vệ chính trị, vừa không hại kinh tế. Và đó là bài toán rất khó.

Khi đã rõ được đề bài thì việc xem xét lời giải từ Điều 21 trở nên dễ dàng hơn. Dựa trên giả định bài toán như trên, có thể thấy được lý lẽ vì sao Bộ Công an chấp nhận thủ tục hành chính rườm rà để thành lập ra một siêu ủy ban nhằm xem xét từng trường hợp chuyển dữ liệu ra nước ngoài như vậy.

Ưu tiên bảo vệ chính trị là quá lớn, nên không thể chấp nhận việc hậu kiểm như GDPR mà phải áp dụng tiền kiểm. Kinh tế có thể cũng không bị ảnh hưởng vì đằng nào ủy ban cũng sẽ cho “thông quan” các trường hợp xuất khẩu dữ liệu phi chính trị. Lời giải của bài toán trên lý thuyết là thỏa đáng.

Tuy nhiên, lời giải này lại khó thực thi được trên thực tế.

Hiện nay, nếu nhìn vào quy định về nội dung đơn yêu cầu chấp thuận cho chuyển dữ liệu, có thể thấy dường như Bộ Công an đang xem dữ liệu như những container chờ xuất khẩu, tức là một doanh nghiệp sẽ đăng ký xuất khẩu theo từng đợt với một gói dữ liệu cụ thể.

Thế nhưng, như AIC đã chỉ ra, suy nghĩ như vậy là sai lầm, vì việc chuyển dữ liệu có khi sẽ diễn ra hàng giờ đồng hồ với khối lượng rất lớn đến mức không thể mô tả bằng giấy tờ được (mà phải dùng đến metadata?).

Nếu Bộ Công an chưa có lời giải kỹ thuật cho vấn đề này thì e rằng ủy ban sẽ chìm ngập trong đơn yêu cầu, dẫn đến bị tê liệt. Khi đó, vấn đề phát triển kinh tế sẽ lại nổi lên và rất khó để giải quyết. Vì vậy, điều chính quyền cần hiện nay là một lời giải khác cho bài toán chủ quyền dữ liệu đã nêu ở trên.

Cờ tàn của Bộ Công An?

Tất nhiên, những phân tích ở trên hiện cũng chỉ ở mức phỏng đoán và suy diễn. Nhưng hãy giả sử nó đúng, thì cờ tàn của Bộ Công An có thể là gì? Có thể nó nằm ở một trong hai kịch bản sau đây:

Kịch bản thứ nhất, Bộ Công an đưa ra quy định khắt khe như vậy để các công ty công nghệ phản đối, từ đó làm cơ sở đàm phán để (1) lấy ý tưởng, giải pháp từ chính các công ty công nghệ, hoặc (2) xây dựng sự tin tưởng lẫn nhau theo hướng sẽ có phân biệt đối xử khi thi hành: theo cách có lợi cho công ty công nghệ nhưng bất lợi với các công ty thu thập dữ liệu vì mục đích chính trị.

Kịch bản thứ hai, Bộ Công an đang đánh giá năng lực xử lý hồ sơ của mình quá cao.

Dù là kịch bản nào thì đây cũng là một bài toán thú vị, và lời giải mà Bộ Công an đưa ra thông qua Điều 21 có thể nói là táo bạo.

Thiết nghĩ, còn một lời giải nữa táo bạo không kém mà chính quyền có thể xem xét, nhưng chưa chắc làm hài lòng nhiều người. Đó là chấp nhận rằng đây là một bài toán không thể giải được.

Lựa chọn này đòi hỏi chính quyền phải thừa nhận rằng đảm bảo chủ quyền về dữ liệu một cách tuyệt đối là điều bất khả thi ở thời điểm hiện tại. Từ đó, cần tập trung nâng cao thành tích của chính quyền, để cuối cùng, dữ liệu mà các quốc gia nước ngoài thu thập được cũng sẽ chỉ mô tả một đất nước đồng lòng, đoàn kết, ủng hộ chính quyền hiện tại.

Tất nhiên, đây là một lời giải có phần lý tưởng, nhưng về lâu về dài, chúng ta cũng phải hướng đến những lý tưởng như thế.