Dự thảo Nghị định về bảo vệ dữ liệu cá nhân của Việt Nam sẽ buộc các doanh nghiệp phải thông qua chấp thuận của nhà nước nếu muốn xử lý dữ liệu nhạy cảm hoặc chuyển dữ liệu ra nước ngoài. Các doanh nghiệp cũng cần sự đồng ý từ phía người dùng để thu thập thông tin, chẳng hạn như thông qua các ứng dụng hoặc trang web. Một nhóm bao gồm các Big Tech như Google, Rakuten và nhiều công ty khác cảnh báo động thái này có thể "hủy hoại" tham vọng kỹ thuật số của Việt Nam và cần có các biện pháp thiết thực hơn. Đồng thời quy định mới có thể vi phạm các quy tắc thương mại tự do.
Các nhà quan sát cho rằng, chính sách mới sẽ khó thực hiện, đặc biệt là với 80% điện toán đám mây của đất nước do các công ty nước ngoài kiểm soát. Mặt khác, mục đích của dự thảo nhằm tăng cường quyền riêng tư dữ liệu, ngăn chặn nạn mua bán số điện thoại, gửi tin nhắn rác,... thông qua các ứng dụng trò chuyện không được mã hóa. Quy định mới dự kiến có hiệu lực vào ngày 1/12 theo sau chính sách của châu Âu và một đạo luật tương tự ở Trung Quốc có hiệu lực vào ngày 1 tháng 11. Theo đó, Hà Nội sẽ thực hiện tiếp cận tập trung đối với dữ liệu nhạy cảm được định nghĩa rộng hơn bao gồm bất kỳ dữ liệu nào liên quan đến sức khỏe, tài chính, chính trị, cuộc sống và các mối quan hệ xã hội đều có thể được coi là "nhạy cảm" theo các quy tắc được đề xuất.
Graham Greenleaf, Giáo sư tại Đại học South Wales ở Sydney, cho biết, định nghĩa cấu thành dữ liệu nhạy cảm đóng vai trò quan trọng bởi các công ty sẽ phải đăng ký để xử lý bất kỳ dữ liệu nào mà họ muốn thu thập. Bộ Công an sẽ là cơ quan thực thi luật xử lý các đăng ký. Đặc biệt, đối với các công ty công nghệ, nghị định tập trung vào "nguyên tắc tối thiểu hóa" có nghĩa là các tổ chức chỉ được thu thập dữ liệu cần thiết trong một thời gian và mục đích nhất định, hoặc đối mặt với mức phạt 5% doanh thu nội địa.
Ông Nguyễn Quang Đồng, Giám đốc Viện Nghiên cứu Chính sách và Phát triển Truyền thông tại Hà Nội cho biết, điểm tích cực của chính sách nằm ở trao quyền nhiều hơn cho các cá nhân và doanh nghiệp sẽ có trách nhiệm với thông tin thu thập. Tuy nhiên, gánh nặng tuân thủ các quy định sẽ tạo ra khoản chi phí lớn đối với các công ty. Do đó, theo ông Đồng, Việt Nam nên sửa đổi các quy định để phù hợp hơn với thực tế. Hơn nữa, tác động lớn của sắc lệnh đang chờ phê duyệt đối với các công ty công nghệ khổng lồ của Mỹ có nguy cơ bị Washington áp thuế trả đũa.
Trong khi đó, ông Greenleaf bày tỏ nghi ngại về khả năng xử lý tất cả đăng ký trong 20 ngày vì gần như tất cả các công ty đều thu thập dữ liệu nhạy cảm theo định nghĩa rộng của dự thảo. Giống như ở nhiều quốc gia áp dụng Quy định bảo vệ dữ liệu chung (GDPR), đề xuất của Việt Nam sẽ thành lập Ủy ban bảo vệ dữ liệu cá nhân, yêu cầu các công ty mã hóa và ẩn danh dữ liệu, đồng thời cho phép mọi người yêu cầu xóa hoặc không gửi dữ liệu của họ cho bên thứ ba.
Liên minh Internet châu Á với các thành viên bao gồm Twitter, Yahoo, Booking.com và Line, kêu gọi Việt Nam tuân thủ "các phương pháp tiếp cận toàn cầu" để tránh "những hậu quả không mong muốn". Giám đốc điều hành AIC Jeff Paine trả lời Nikkei Asia: "Nhiều điều khoản trong các dự thảo trước đó sẽ hạn chế đáng kể xử lý dữ liệu bằng kỹ thuật số. Điều này sẽ làm hỏng kế hoạch chuyển đổi số và xây dụng nền kinh tế số hóa của Việt Nam".
Một số quy định nghiêm ngặt nhất của dự thảo có thể làm ảnh hưởng đến Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương. CPTPP bắt buộc một bên "cho phép chuyển thông tin xuyên biên giới bằng phương tiện điện tử" và không "yêu cầu người được bảo vệ sử dụng hoặc định vị các cơ sở máy tính trong lãnh thổ của bên đó". Mặc dù dự thảo nghị định không phù hợp với cả hai điểm trên nhưng CPTPP sẽ có ngoại lệ tùy thuộc vào cách giải thích của các thành viên.
Waewpen Piemwichai, cộng sự cấp cao về luật của Tilleke & Gibbins cho hay: "Câu hỏi lớn đặt ra liệu các yêu cầu phê duyệt theo quy định trong tương tai về truyền dữ liệu xuyên biên giới có được coi là áp đặt hạn chế chuyển giao thông tin lớn hơn mức cần thiết hay không?". Các quốc gia CPTPP từ Nhật Bản, Australia đến Peru, có thể kiện các thành viên khác vì đã áp đặt các hạn chế quá mức. Tuy nhiên, theo Bộ Thương mại, các quốc gia đã nhất trí "không khởi kiện Việt Nam nếu các quy định về an ninh mạng của Việt Nam bị coi là không phù hợp với Hiệp định CPTPP (cụ thể là các nghĩa vụ liên quan đến luồng thông tin tự do xuyên biên giới và nội địa hóa máy chủ trong chương thương mại điện tử) trong vòng 5 năm".
Facebook cho biết, công ty không bổ sung thêm điều gì mới cho quy định cũng như Alibaba sẽ không bình luận vì nghị định "vẫn chưa được hoàn thiện". Trong khi đó, Google, Gojek và Amazon Web Services là những công ty giữ thị phần hàng đầu trong các dịch vụ đám mây địa phương cũng từ chối phát ngôn. Theo Waewpen, thay đổi lớn đang gần ngay trước mắt và các công ty có khả năng phải cập nhật hợp đồng của nhân viên, khách hàng, nhà cung cấp và đối tác để đảm bảo không mâu thuẫn với nghị định. Bên cạnh đó, bà cũng chỉ ra sẽ khả thi hơn nếu các công ty chỉ phải đăng ký với ủy ban dữ liệu một lần thay vì làm thủ tục mới mỗi lần xử lý dữ liệu nhạy cảm.
Hiện vẫn chưa rõ chính phủ dự định sẽ thực hiện theo lộ trình nào. Phòng Thương mại châu Âu tại Việt Nam, một trong nhiều cơ quan đã đóng góp ý kiến cho Hà Nội về dự thảo, đồng tình với bà Waewpen. Chủ tịch ủy ban lĩnh vực kỹ thuật số EuroCham, Bruno Sivanandan Roques de Borda cho biết, một số doanh nghiệp sẽ không đủ khả năng chi trả tất cả các chi phí tuân thủ, bao gồm cả việc cấp phép nhiều lần. Ông nói trong một cuộc phỏng vấn: "Có rất nhiều công ty cần được cấp phép" và chỉ ra nước Pháp đã cân nhắc các quy định tượng tự nhưng cuối cùng "quá tốn kém để thực thi".
TL (theo Nikkei Asia)
