Trung Quốc tiến tới siết chặt 'dữ liệu quan trọng'

Ảnh minh họa

Sự phát triển các kỹ thuật số của Trung Quốc thật đáng kinh ngạc. Về xây dựng cơ sở hạ tầng kỹ thuật số, Trung Quốc kết thúc năm 2021 với 1.425.000 trạm gốc 5G, chiếm 60% tổng số toàn cầu và 455 triệu người dùng 5G. Tổng giá trị hàng năm, cả về phần cứng lẫn phần mềm, đã tăng từ 27.200 tỉ nhân dân tệ, chiếm 32,9% GDP (năm 2017) lên 45.500 tỉ nhân dân tệ, chiếm 39,8% GDP (năm 2021). Nền tảng của sự bùng nổ này là sự phát triển của việc tạo ra dữ liệu.

“Sản lượng dữ liệu thô” trong không gian mạng của Trung Quốc đã tăng từ 2,3 zetabyte (ZB) vào năm 2017 lên 6,6 ZB vào cuối năm 2021, chiếm hơn 10% tổng dữ liệu trên toàn thế giới.

Cơ chế quản trị dữ liệu của Trung Quốc

Không có cơ quan hoặc cơ quan cụ thể nào ở Trung Quốc chịu trách nhiệm giám sát việc tuân thủ luật liên quan đến dữ liệu cá nhân. Nhìn chung, các cơ quan quản lý chịu trách nhiệm bảo vệ thông tin cá nhân bao gồm Cục Quản lý không gian mạng Trung Quốc (CAC), cơ quan quản lý không gian mạng có liên quan ở cấp tỉnh, các cơ quan Quốc vụ viện và các cơ quan có liên quan của chính quyền địa phương từ cấp quận trở lên.

Các cơ quan quản lý ngành cụ thể sẽ chịu trách nhiệm giám sát việc tuân thủ có liên quan ngành của mình. Các cơ quan giám sát theo ngành cụ thể như vậy bao gồm Tổng cục Quản lý tài chính quốc gia (NFRA), Ủy ban Kế hoạch hóa gia đình và Sức khỏe quốc gia (NHFPC), Cơ quan Quản lý sản phẩm y tế quốc gia (NMPA), Bộ Khoa học và Công nghệ (MOST), Cục Quản lý nhà nước về điều tiết thị trường (SAMR), Bộ Công nghiệp và Công nghệ thông tin (MIIT) và Bộ Giao thông Vận tải (MOT).

Nếu bất kỳ hoạt động xử lý dữ liệu nào liên quan đến an ninh quốc gia thì CAC, SAMR, MIIT, Ủy ban Cải cách và Phát triển quốc gia (NDRC), Bộ Công an (MPS), Bộ An ninh (MSS), Bộ Tài chính (MOF), Bộ Thương mại (MOC), Ngân hàng Nhân dân (PBoC), Cục Quản lý phát thanh và truyền hình quốc gia (NRTA), Ủy ban Giám sát chứng khoán Trung Quốc (CSRC), Cục Quản lý bảo vệ bí mật nhà nước (NASSP) và/hoặc Cục Quản lý mật mã nhà nước (SCCA) có thể tham gia đánh giá bảo mật liên quan tùy theo trường hợp cụ thể.

Khung chính sách cơ bản của thị trường thành phần dữ liệu của Trung Quốc, được thể hiện trong hướng dẫn chung tháng 12-2022 có tên “Hai mươi biện pháp dữ liệu” do Ban Chấp hành Trung ương Đảng và Quốc vụ viện ban hành, bao gồm bốn trụ cột: (i) Thiết lập hệ thống quyền sở hữu dữ liệu hiện đại. (ii) Các hệ thống cho phép lưu thông và giao dịch các yếu tố dữ liệu, hay là các thị trường dữ liệu. (iii) Các hệ thống hỗ trợ thị trường dữ liệu cạnh tranh cũng như phân phối thu nhập công bằng và hợp lý. (iv) Thiết lập hệ thống quản trị bảo mật dữ liệu hiện đại, bao gồm danh sách “chọn-bỏ” (negative list).

Đối với trụ cột (iv), hiện tại Trung Quốc có ba luật lớn điều chỉnh các vấn đề về dữ liệu và an ninh mạng, đó là Luật An ninh mạng (CSL) có hiệu lực từ năm 2017, Luật Bảo mật dữ liệu (DSL) và Luật Bảo vệ thông tin cá nhân (PIPL) đều có hiệu lực năm 2021. Ba luật này thiết lập các nguyên tắc tổng thể về bảo mật mạng và dữ liệu (bao gồm cả dữ liệu cá nhân và dữ liệu pháp nhân), cũng như bảo vệ dữ liệu cá nhân và quyền riêng tư. Ngoài ra, còn có các quy định hành chính cấp thấp hơn, quy định ngành, tiêu chuẩn quốc gia và tiêu chuẩn ngành cung cấp các quy tắc chi tiết hơn cho các lĩnh vực kinh doanh hoặc loại dữ liệu cụ thể.

Vấn đề của trụ cột (iv) là bên cạnh việc quy định rõ ràng về các dữ liệu cần bảo mật (hoặc “bí mật quốc gia” – classified) và có các quy định chế tài liên quan như cách luật bảo vệ dữ liệu ở liên minh châu Âu, Mỹ thực hiện thì Trung Quốc cũng bắt đầu ban hành quy định kiểm soát với các dữ liệu không bảo mật (không phải là “bí mật quốc gia” – non-classified). Thay đổi này bắt nguồn từ việc những người soạn thảo các tiêu chuẩn an toàn thông tin của Trung Quốc đã thay đổi cách tiếp cận về an ninh thông tin từ “Ai nắm giữ dữ liệu?” sang “Dữ liệu ảnh hưởng đến ai?”.

Hồng Diên Thanh, Giáo sư luật Đại học Bắc Kinh, thành viên Ủy ban Kỹ thuật tiêu chuẩn hóa an toàn thông tin quốc gia (TC260), là một trong những người soạn thảo chính của nhiều tiêu chuẩn quốc gia quy định việc bảo vệ dữ liệu. Trong một bài báo năm 2021 trên Tạp chí Luật Trung Quốc, ông giải thích cách tiếp cận mới của Trung Quốc dựa trên sự thừa nhận rằng “trong nhiều trường hợp, giá trị của dữ liệu trong tay doanh nghiệp đem lại ý nghĩa cho doanh nghiệp nhỏ hơn ý nghĩa của nó đối với quốc gia, xã hội”. Một khi sự cố bảo mật xảy ra, “tổn hại đối với các bên này có thể lớn hơn tổn hại đối với lợi ích doanh nghiệp”. Bởi vậy, “nhà nước phải đưa ra quyết định “từ trên xuống”.

Định nghĩa “dữ liệu quan trọng”

Khái niệm “dữ liệu quan trọng” lần đầu tiên được đưa ra trong Luật An ninh mạng năm 2017 và sau đó được mở rộng trong Luật Bảo mật dữ liệu năm 2021. Tuy nhiên, không có luật nào định nghĩa chính thuật ngữ này. Việc thiếu định nghĩa quốc gia quan trọng này có vẻ có chủ đích khi chính phủ kêu gọi chính quyền địa phương và các cơ quan quản lý ngành đi đầu trong việc quyết định những gì tạo nên “dữ liệu quan trọng” trong các lĩnh vực của họ và sau đó đối chiếu danh sách dữ liệu đã được xác định trong “danh mục dữ liệu quan trọng và cốt lõi” (重要数据和核心数据目录) để nộp lên cơ quan cấp trên.

Khi soạn thảo các hướng dẫn nhận dạng này, các cơ quan quản lý địa phương và ngành có thể sẽ tham khảo một số định nghĩa chung nhất định cho thuật ngữ đã được cung cấp trong các quy định cấp bộ và tiêu chuẩn quốc gia. Ví dụ, theo Đánh giá các biện pháp an ninh của việc truyền dữ liệu xuyên biên giới năm 2022, “dữ liệu quan trọng” được định nghĩa là “bất kỳ dữ liệu nào, một khi bị giả mạo, phá hoại, rò rỉ hoặc thu thập hoặc sử dụng bất hợp pháp, có thể gây nguy hiểm cho an ninh quốc gia, sự vận hành kinh tế, ổn định xã hội, sức khỏe và an toàn cộng đồng”. Các định nghĩa tương tự – mặc dù không giống nhau – được tìm thấy trong hai tiêu chuẩn quốc gia dự thảo gần đây (có thể tải xuống tại trang web của TC260), cũng như dự thảo quy định bảo mật dữ liệu được công bố vào năm 2022.

Tóm lại, phạm vi của “dữ liệu quan trọng” sẽ được xác định bởi nhiều cấp quản lý ở Trung Quốc, mỗi cấp lại sẽ có toàn quyền quyết định những gì được coi là “dữ liệu quan trọng” và cách xử lý dữ liệu này.

Việc chỉ định một số dữ liệu là “quan trọng” bao gồm hai yêu cầu. Đầu tiên, vì các biện pháp an ninh của việc truyền dữ liệu xuyên biên giới 2022 yêu cầu chính phủ phê duyệt trước khi xuất bất kỳ “dữ liệu quan trọng nào”, nên có một yêu cầu bản địa hóa dữ liệu trên thực tế đối với tất cả “dữ liệu quan trọng”. Nghĩa là, tất cả dữ liệu đó phải được lưu trữ trong biên giới của Trung Quốc. Thứ hai, như đã đề cập ở trên, Luật Bảo mật dữ liệu yêu cầu các cơ quan cấp thấp hơn soạn thảo các quy định thực hiện của riêng họ về bảo mật dữ liệu và áp dụng các yêu cầu tăng cường để xử lý “dữ liệu quan trọng”.

Tác động đối với các công ty và hoạt động kinh doanh

Dự thảo luật xoay quanh “dữ liệu quan trọng” đã bổ sung vào danh sách ngày càng nhiều các nghĩa vụ an ninh mạng mà các công ty hoạt động tại Trung Quốc cần tuân thủ. Nó bao gồm cả Đề án Bảo vệ tầng nấc an ninh thông tin (信息安全等级保护制度), theo đó các công ty được yêu cầu xác định và báo cáo hệ thống thông tin của họ cho MPS. Ngoài ra, CAC đã đưa ra một dự thảo biện pháp vào tháng 8-2023 yêu cầu kiểm tra tuân thủ thường xuyên đối với các thông tin cá nhân mà công ty nắm giữ.

Hệ lụy rõ ràng của những quy định này là yêu cầu bản địa hóa dữ liệu sẽ gây ra sự phức tạp cho các công ty, vì mọi hoạt động chuyển giao quốc tế liên quan đến “dữ liệu quan trọng” giờ đây phải bị trì hoãn trong khi tìm kiếm và xin phê duyệt theo quy định. Các công ty sẽ cần xem xét liệu dữ liệu giao dịch của họ có liên quan (hoặc có thể liên quan) đến “dữ liệu quan trọng” hay không và thỏa thuận có thể bị ảnh hưởng như thế nào nếu các cơ quan quản lý Trung Quốc sau đó xác định một số phần nhất định của dữ liệu đó là “quan trọng”.

Trong một số trường hợp, chẳng hạn như khi dữ liệu nhập khẩu có thể được sửa đổi hoặc xử lý thêm ở Trung Quốc, các quy định mới có thể tạo ra tình huống các công ty có thể chuyển giao công nghệ hoặc dữ liệu của họ vào Trung Quốc nhưng sẽ không bao giờ được phép chuyển ra. Cuối cùng, những hạn chế xuyên biên giới như vậy có thể cản trở nỗ lực phát triển công nghệ bản địa và các nỗ lực R&D trong nước của Trung Quốc.

Tuy nhiên, có những dấu hiệu cho thấy Trung Quốc hiểu được những rủi ro này và tin rằng chính sách này nên được áp dụng nhẹ nhàng. Vào tháng 9-2023, CAC đã đưa ra dự thảo biện pháp nhằm nới lỏng một số yêu cầu liên quan đến truyền dữ liệu xuyên biên giới, đặc biệt là đối với thông tin cá nhân.

Đối với “dữ liệu quan trọng”, dự thảo biện pháp nêu rõ rằng chỉ nên tìm kiếm phê duyệt chuyển giao xuyên biên giới đối với “dữ liệu quan trọng” đã được “thông báo hoặc công bố công khai” chứ không phải là chỉ bị nghi ngờ thuộc danh mục đó. Mặc dù điều này tạo ra một số khoảng trống cho các tập đoàn ở Trung Quốc, nhưng vẫn là một câu hỏi mở về việc Trung Quốc có thể hạn chế phạm vi “dữ liệu quan trọng” đến mức nào, do chính quyền địa phương và các nhà quản lý có toàn quyền quyết định các thuật ngữ của mình trong các danh mục khác nhau.

Mặc dù việc bảo vệ dữ liệu kinh doanh “không bảo mật” trong tương lai có thể là một tiến bộ pháp lý hợp lý, nhưng vẫn có những lo ngại chính đáng về việc cách tiếp cận như vậy báo trước một mặt trận mới trong cuộc cạnh tranh công nghệ đang diễn ra giữa các quốc gia. Đối với các đối tác thương mại của Trung Quốc, quy định mới đặt ra thách thức lớn hơn khi các luồng dữ liệu xuyên biên giới ngày càng bị hạn chế vì lý do an ninh quốc gia. Chính sách này có khả năng định hình lại đáng kể các luồng dữ liệu toàn cầu trong thập kỷ tới.

(*) Giám đốc Trung tâm Nghiên cứu và Chiến lược Trung Quốc (CESS)

TS. Phạm Sỹ Thành (*)