Dự thảo Nghị định về Bảo vệ Dữ liệu Cá nhân sẽ buộc các doanh nghiệp phải nhận được sự chấp thuận của Nhà nước nếu họ muốn xử lý dữ liệu nhạy cảm hoặc chuyển dữ liệu ra nước ngoài. Các doanh nghiệp cũng cần yêu cầu người dùng đồng ý để thu thập dữ liệu, chẳng hạn như thông qua các cửa sổ bật lên trên ứng dụng hoặc trang web.
Một nhóm internet đại diện cho Google, Rakuten và những người khác cảnh báo điều này có thể “làm hỏng” tham vọng kỹ thuật số của Việt Nam và cần có các biện pháp thiết thực hơn, đồng thời nghị định cũng có thể vi phạm các quy tắc trong các hiệp định thương mại tự do.
Các chuyên gia cho rằng quy định sẽ khó thực hiện khi 80% điện toán đám mây của nước ta là do các công ty nước ngoài kiểm soát. Tuy vậy, ban hành quy định kiểm soát dữ liệu vẫn cần vì việc bán danh sách điện thoại cho những kẻ gửi thư rác hoặc gửi tin nhắn ngân hàng qua các ứng dụng trò chuyện không được mã hóa đã quá phổ biến.
Nghị định này dự kiến có hiệu lực vào ngày 01/12, tuân theo Quy định chung về bảo vệ dữ liệu đầu nguồn của châu Âu và một luật tương tự ở Trung Quốc có hiệu lực vào ngày 1 tháng 11.
Nhưng không giống như nhiều chính phủ các nước, chính phủ Việt Nam thực hiện cách tiếp cận tập trung đối với dữ liệu nhạy cảm theo nghĩa rộng hơn nhiều. Mọi dữ liệu liên quan đến sức khỏe, tài chính, chính trị, vị trí, cuộc sống và các mối quan hệ xã hội đều có thể được coi là nhạy cảm theo các quy tắc được đề xuất.
Graham Greenleaf, giáo sư tại Đại học South Wales ở Sydney, cho biết định nghĩa với phạm vi rộng này rất quan trọng. Điều đó có nghĩa là các công ty sẽ phải đăng ký để xử lý bất kỳ dữ liệu nào họ muốn thu thập.
Đặc biệt đối với các công ty công nghệ, nghị định tập trung vào “nguyên tắc giảm thiểu” có nghĩa là các tổ chức chỉ được thu thập dữ liệu cần thiết trong một thời gian và mục đích giới hạn, có hiệu lực với mức phạt 5% doanh thu nội địa.
“Điều tích cực đối với các cá nhân là họ sẽ có nhiều quyền hơn và các doanh nghiệp sẽ có trách nhiệm hơn”, ông Nguyễn Quang Đồng, Giám đốc Viện Nghiên cứu Chính sách và Phát triển Truyền thông tại Hà Nội cho biết, cũng cần lưu ý rằng nhà nước có nhiệm vụ bảo vệ các cá nhân khỏi “ quyền lực hoặc sự bất cân xứng thông tin ”có lợi cho kinh doanh.
Ông Đồng cho biết thêm rằng “gánh nặng tuân thủ” sẽ là một “cái giá đắt” đối với nhiều công ty, vì vậy Việt Nam nên sửa đổi các quy tắc để phù hợp hơn với thực tế. Hơn nữa, tác động lớn của Dự thảo Nghị địnhđang chờ phê duyệt đối với các công ty công nghệ Mỹ có nguy cơ bị chính quyền Nhà Trắng áp thuế trả đũa.
Trong khi đó, Greenleaf bày tỏ nghi ngờ trong một bài báo gần đây rằng Chính phủ có thể xử lý tất cả các đăng ký trong 20 ngày cần thiết, vì gần như tất cả các công ty đều thu thập dữ liệu nhạy cảm theo định nghĩa rộng của dự thảo.
Như ở nhiều quốc gia áp dụng các hình thức GDPR (quy định chung về bảo vệ dữ liệu) của riêng họ, đề xuất của Việt Nam sẽ thành lập Ủy ban bảo vệ dữ liệu cá nhân, yêu cầu các công ty mã hóa và ẩn danh dữ liệu, đồng thời cho phép mọi người yêu cầu xóa hoặc không gửi dữ liệu của họ cho bên thứ ba.
AIC, Liên minh Internet Châu Á, với các thành viên bao gồm Twitter, Yahoo, Booking.com và Line, kêu gọi Việt Nam điều chỉnh “các phương pháp tiếp cận toàn cầu” để tránh “những hậu quả không mong muốn”.
“Nhiều điều khoản trong các dự thảo sẽ hạn chế đáng kể cách dữ liệu có thể được xử lý kỹ thuật số,” Giám đốc điều hành AIC, Jeff Paine cho biết. “Điều này sẽ làm hỏng lộ trình chuyển đổi kỹ thuật số và xây dựng nền kinh tế kỹ thuật số sôi động của Việt Nam”.
Một số quy tắc nghiêm ngặt nhất của dự thảo có thể vi phạm Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương (CPTPP). Người kế thừa thỏa thuận thương mại TPP bắt buộc một bên “cho phép chuyển thông tin xuyên biên giới bằng phương tiện điện tử” và không “yêu cầu một người được bảo hiểm sử dụng hoặc định vị các cơ sở máy tính trong lãnh thổ của bên đó,” theo chương thương mại điện tử .
Dự thảo nghị định không phù hợp với cả hai điểm, nhưng CPTPP đưa ra một ngoại lệ đối với “mục tiêu chính sách công hợp pháp”, tùy thuộc vào cách giải thích của các thành viên.
“Cũng có một câu hỏi lớn là liệu yêu cầu về việc phê duyệt quy định đối với việc truyền dữ liệu xuyên biên giới theo dự thảo nghị định có được coi là ‘áp đặt các hạn chế lên việc chuyển giao thông tin lớn hơn mức cần thiết để đạt được mục tiêu hay không’”cộng sự cấp cao về luật của Tilleke & Gibbins, Waewpen Piemwichai chia sẻ.
Các quốc gia CPTPP, từ Nhật Bản, Australia đến Peru, có thể kiện các thành viên khác vì đã áp đặt các hạn chế quá mức. Tuy nhiên, các nước đã nhất trí “không kiện Việt Nam nếu các quy định về an ninh mạng của Việt Nam bị coi là không phù hợp với hiệp định CPTPP (cụ thể là các nghĩa vụ liên quan đến luồng thông tin tự do xuyên biên giới và nội địa hóa máy chủ trong chương thương mại điện tử) trong vòng 5 năm,” Bộ CôngThương cho biết.
Facebook cho biết họ không "có bất kỳ điều gì mới" để bổ sung về quy định ngoại trừ việc chỉ ra lá thư trước đó gửi Nikkei cảnh báo rằng các quy tắc của châu Á đang "đe dọa dòng dữ liệu tự do xuyên biên giới."
Alibaba cho biết họ sẽ không bình luận vì quy định "vẫn chưa được hoàn thiện", trong khi Google, Gojek và Amazon Web Services — những công ty được cho là giữ thị phần hàng đầu trong các dịch vụ đám mây địa phương — từ chối bình luận. TikTok và các công ty khởi nghiệp gọi xe Be Group và Grab đã không trả lời các yêu cầu phỏng vấn.
Waewpen cho biết "những thay đổi lớn đang đến" vì các công ty có thể phải cập nhật hợp đồng với nhân viên, khách hàng, nhà cung cấp và các đối tác khác để đảm bảo không có sự mâu thuẫn với nghị định.
Bà cũng cho biết sẽ “khả thi hơn và thực dụng hơn” nếu các công ty chỉ phải đăng ký với ủy ban dữ liệu một lần, thay vì mỗi lần họ xử lý dữ liệu nhạy cảm. Hiện vẫn chưa rõ chính phủ dự định sẽ thực hiện theo lộ trình nào trong thời điểm này.
Phòng Thương mại Châu Âu tại Việt Nam, một trong đơn vị đã đóng góp ý kiến cho dự thảo, cũng đồng ý với quan điểm này. Chủ tịch ủy ban lĩnh vực kỹ thuật số EuroCham Bruno Sivanandan Roques de Borda cho biết một số doanh nghiệp sẽ không đủ khả năng chi trả tất cả các chi phí tuân thủ, bao gồm cả việc cấp phép nhiều lần từ ủy ban.
“Có rất nhiều công ty sẽ phải có được giấy phép đó,” ông nói trong một cuộc phỏng vấn.
Đất nước của ông, Pháp, đã cân nhắc các quy tắc tương tự nhưng cuối cùng thấy chúng rườm rà. “Nó quá đắt để thực thi,” ông nói.
Nguồn dịch: Nikkei Asia Review
