Hướng dẫn xuất dữ liệu nghiêm ngặt mới của Trung Quốc có ý nghĩa như thế nào đối với các doanh nghiệp quốc tế?

Cơ quan Quản lý Không gian mạng Trung Quốc (CAC) đã công bố một bộ dự thảo hướng dẫn vào thứ sáu, đặt ra các quy chuẩn về thời điểm và cách thức mà các công ty cần thực hiện để xin cấp phép trước khi gửi dữ liệu ra khỏi biên giới đất nước này. Luật an ninh mạng Trung Quốc có hiệu lực từ năm 2017 đã buộc các bên xuất dữ liệu phải trải qua đánh giá bảo mật của chính phủ nhưng phía các nhà chức trách cho đến nay vẫn chưa cung cấp một số chi tiết về cách thức thực hiện yêu cầu này.

Các hướng dẫn được đề xuất đã làm sáng tỏ quy tắc mới, theo đó tất cả các doanh nghiệp xử lý dữ liệu thu thập được ở Trung Quốc phải tự xem xét lại các rủi ro khi chuyển dữ liệu đó ra nước ngoài. Theo đề xuất, thông qua quy trình đánh giá của chính phủ là bắt buộc nếu dữ liệu xử lý bất kỳ thông tin cá nhân nào của hơn 1 triệu cư dân Trung Quốc hoặc thông tin cá nhân “nhạy cảm” của hơn 10.000 người. Thông tin nhạy cảm được định nghĩa về mặt pháp lý là dữ liệu bị rò rỉ hoặc sử dụng bất hợp pháp, có thể dễ dàng gây tổn hại đến nhân phẩm hoặc khiến ai đó hoặc tài sản của họ gặp rủi ro, chẳng hạn như sinh trắc học, niềm tin tôn giáo, sức khỏe y tế hoặc dữ liệu cá nhân của trẻ em.

Bên cạnh đó, CAC thành lập bộ phận "khai thác cơ sở hạ tầng thông tin quan trọng" chuyên xử lý cấp phép dữ liệu. James Gong, đối tác của Công ty luật Bird & Bird ở Bắc Kinh cho biết: "Phạm vi và số lượng các doanh nghiệp cần được CAC cấp phép lớn hơn dự kiến". Lấy ví dụ, một thương hiệu thời trang quốc tế cần phải thông qua chính phủ nếu muốn chia sẻ dữ liệu của người tiêu dùng Trung Quốc với trụ sở chính. Trong khi đó, một doanh nghiệp bán thiết bị y tế cũng phải trải qua quy trình tương tự để có thể chia sẻ lượng lớn thông tin về bệnh nhân Trung Quốc với các văn phòng tại nhiều nơi trên thế giới. Thậm chí, yêu cầu áp dụng đối với các công ty chuyển dữ liệu từ đại lục sang Hồng Kông hoặc Macao do luật xuất nhập cảnh phân tách riêng khu vực đại lục và hai đặc khu.

Carolyn Bigg, đối tác của Công ty luật DLA Piper ở Hồng Kông, chỉ ra: "Hiện tại, các công ty đều đang làm việc trên cơ sở chuyển dữ liệu hoặc truy cập thông tin bên ngoài Trung Quốc đại lục. Vì vậy, để chuyển đến Hồng Kông và Ma Cao, các tổ chức cần phải tuân thủ quy tắc". Bigg bổ sung thêm: "Mặc dù dự thảo hướng dẫn đã cung cấp cho các doanh nghiệp hiểu biết nhiều hơn về cách thức nhằm đáp ứng yêu cầu đánh giá dữ liệu, nhưng vẫn có những điểm không chắc chắn".

Chưa rõ liệu CAC có thực hiện đánh giá mới cho mỗi lần chuyển giao cùng một công ty hay không và liệu các dữ liệu nội bộ có nằm trong "tầm ngắm". Trước mắt, có thể nhận định, các hướng dẫn trao cho CAC quyền hạn rộng lớn để chỉ định phê duyệt chuyển dữ liệu. Cơ quan này cho hay sẽ xem xét một số yếu tố trong các đơn đăng ký, chẳng hạn như mục đích, tính cấp thiết, chính sách bảo mật dữ liệu của quốc gia tiếp nhận và môi trường an ninh mạng cũng như những nguy hiểm có thể xảy ra nếu bị rò rỉ, giả mạo hoặc mất dữ liệu.

Công ty nghiên cứu chính sách Trivium China bình luận: "Bộ hướng dẫn cung cấp cho CAC công cụ để chính trị hóa xuất dữ liệu. Cơ quan này có thể đánh giá xem liệu luật dữ liệu ở quốc gia nhận và các điều khoản hợp đồng về xuất dữ liệu có đủ khả năng bảo vệ hay không". Các chuyên gia cũng đặt câu hỏi liệu CAC có thể đối phó với khối lượng lớn đơn đăng ký một khi hướng dẫn được thực hiện. Theo kế hoạch dự thảo, quá trình phê duyệt sẽ mất từ ​​45 đến 60 ngày làm việc.

Ông Gong chia sẻ: "Tôi nghĩ rằng hầu hết các yêu cầu chuyển dữ liệu sẽ không bị từ chối. Nhưng điều tôi quan tâm là khả năng và tốc độ xử lý của CAC. Mặc dù đặt ra giới hạn là 60 ngày làm việc, nhưng xem xét số lượng đơn đăng ký có thể mất nhiều thời gian hơn dự tính". Bắc Kinh đã và đang tăng cường nỗ lực để giữ cho dữ liệu quan trọng trong nước không bị đưa ra nước ngoài với một mạng lưới các quy tắc và quy định mới có thể làm tăng đáng kể chi phí kinh doanh ở Trung Quốc.

Vào tháng 7, CAC đã đưa ra các quy tắc dự thảo cho biết, các công ty nền tảng công nghệ sở hữu dữ liệu cá nhân của ít nhất 1 triệu người dùng phải nộp đơn xin xem xét bởi Văn phòng Đánh giá An ninh mạng, một nhóm được hỗ trợ bởi 12 bộ của Trung Quốc, trước khi IPO tại nước ngoài. Kế đến, đầu tháng này, Bộ Công nghiệp và Công nghệ Thông tin, một trong những cơ quan quản lý công nghệ hàng đầu của đất nước, đã công bố một quy định  nhằm ngăn chặn việc xuất khẩu dữ liệu công nghiệp và viễn thông cốt lõi, đánh dấu nỗ lực quản lý đầu tiên của Trung Quốc.

TL