Tin tiêu điểm

Chuyên gia: Doanh nghiệp quay cuồng dưới sự kiểm soát dữ liệu của Trung Quốc

Những người trong ngành cho biết, Trung Quốc đã chậm trong việc phê chuẩn các ứng dụng xuất cảng dữ liệu kể từ khi luật bảo mật dữ liệu mới có hiệu lực.

Chuyên gia: Doanh nghiệp quay cuồng dưới sự kiểm soát dữ liệu của Trung Quốc
Một tháp camera an ninh (ở giữa bên trái) tại Bến Thượng Hải, phía sau là khu tài chính Lục Gia Chủy, ở Thượng Hải, hôm 23/05/2023. (Ảnh: Hector Retamal/AFP qua Getty Images)
Indrajit Basu
Indrajit Basu
bigger smaller

Trong khi Trung Quốc thắt chặt kiểm soát luồng dữ liệu và việc bán thông tin, thì các doanh nghiệp trên cả nước đang gặp khó khăn trong việc xuất cảng những dữ liệu ngày càng trở nên quan trọng để ngăn chặn đà suy giảm của nền kinh tế.

Trung Quốc đã đề ra một khuôn khổ bảo mật dữ liệu mới hồi tháng 09/2021, bao gồm bảo vệ “dữ liệu quan trọng” và “dữ liệu cốt lõi” liên quan đến an ninh quốc gia và kinh tế, phúc lợi của người dân, và các vấn đề lợi ích công cộng quan trọng.

Vào nửa cuối năm 2022, Trung Quốc công bố các hướng dẫn mới yêu cầu giải quyết theo từng trường hợp cụ thể đối với việc di chuyển và xuất cảng dữ liệu, điều cũng đã đặt ra thêm các hạn chế đối với việc sử dụng dữ liệu của các doanh nghiệp.

Nhưng những người trong ngành cho biết Trung Quốc đã chậm chạp trong việc phê chuẩn các ứng dụng xuất cảng dữ liệu kể từ khi luật bảo mật dữ liệu mới được ban hành, điều này gây khó khăn cho các công ty đang cố gắng chuyển dữ liệu ra ngoại quốc trước những thách thức kinh tế ở nền kinh tế lớn thứ hai thế giới.

Ông Nick Beckett, đối tác quản lý của công ty luật Lau, Horton & Wise có trụ sở tại Hồng Kông, cho biết: “Trong bối cảnh nền kinh tế đang chậm lại, luồng dữ liệu tự do đóng vai trò then chốt trong hoạt động của các doanh nghiệp, đặc biệt là các tập đoàn đa quốc gia trên quy mô toàn cầu. Đồng thời, những rủi ro liên quan nội tại có trong luồng dữ liệu hiện đang là vấn đề đáng được cân nhắc.”

Ông Beckett nói với The Epoch Times: “Việc thực hiện các yêu cầu [tuân thủ dữ liệu] đặt ra thách thức cho các doanh nghiệp, đặc biệt là những doanh nghiệp nhỏ hơn với ngân sách tuân thủ hạn chế. Ngoài ra, phạm vi mơ hồ của khái niệm ‘dữ liệu quan trọng’ cũng có thể khiến các công ty không chắc chắn về việc giải quyết dữ liệu trong hoạt động kinh doanh.”

Theo báo cáo gần đây của Financial Times, khoảng 25% ứng dụng xuất cảng dữ liệu đã được thông qua kể từ khi các tiêu chuẩn bảo mật dữ liệu mới được khai triển.

Ad

Hàng ngàn yêu cầu từ cả các công ty trong và ngoài nước về việc chia sẻ thông tin nhạy cảm với các đối tác quốc tế của họ — gồm cả lịch sử tín dụng của khách hàng và hồ sơ mua hàng trực tuyến — đã không được Cục Quản lý Không gian mạng Trung Quốc (CAC), cơ quan quản lý Internet chính của nước này chấp thuận.

Mặc dù luật pháp yêu cầu cơ quan quản lý phải hoàn thành đánh giá bảo mật dữ liệu trong vòng 57 ngày làm việc kể từ khi nhận được hồ sơ ghi danh, nhưng báo cáo cho biết hầu hết các công ty đều phải chờ phản hồi trong nhiều tháng.

Hậu quả là các doanh nghiệp đang gặp khó khăn, theo ông Beckett.

Ông nói, “Trước khi các quy định [về xuất cảng dữ liệu] được ban hành, các doanh nghiệp có thể đã lường trước được những hạn chế đối với việc xuất cảng dữ liệu quan trọng và một lượng lớn thông tin cá nhân, cùng với các gánh nặng tuân thủ liên quan. Tuy nhiên, họ có thể xem các đánh giá bảo mật là một điều gì đó tương đối xa vời, cho rằng sẽ rất khó khăn để đạt đến khối lượng lớn do cơ quan quản lý đặt ra.”

Độ linh hoạt kém

Tuy nhiên, trái ngược với nhận thức này, các quy định đã đặt ra ngưỡng tương đối thấp cho các đánh giá bảo mật. Ví dụ: đánh giá bảo mật trở thành bắt buộc nếu một công ty xuất cảng tích lũy 100,000 thông tin cá nhân trở lên trong hai năm liên tiếp.

Ông Beckett cho biết thêm, xét về quy mô dân số của Trung Quốc, ngưỡng 100,000 là tương đối thấp.

Ngoài ra, các quy định cũng áp đặt các yêu cầu tương đối nghiêm ngặt đối với các hợp đồng và chứng nhận tiêu chuẩn. Ví dụ: để truyền thông tin cá nhân thông qua việc ký các hợp đồng tiêu chuẩn, yêu cầu của Trung Quốc khác với các yêu cầu về hợp đồng tiêu chuẩn trong Quy định Bảo vệ Dữ liệu Chung (gọi là GDPR và thường được xem là chuẩn mực) trong đó việc ký hợp đồng thôi đã là đủ.

Tại Trung Quốc, sau khi ký hợp đồng tiêu chuẩn, các công ty phải nộp hợp đồng đã ký lên cơ quan quản lý và nộp báo cáo đánh giá tác động, tiết lộ và đánh giá các chi tiết cụ thể liên quan đến việc xuất cảng thông tin cá nhân.

Ông Beckett nói, “Điều này làm tăng gánh nặng tuân thủ đối với doanh nghiệp, đòi hỏi họ phải đầu tư thời gian và nỗ lực vào việc sắp xếp các thông tin liên quan và soạn thảo báo cáo.”

Ngoài ra, do phạm vi mơ hồ của “dữ liệu quan trọng”, một số doanh nghiệp cũng lo lắng liệu dữ liệu họ xử lý có thuộc loại này để phải đánh giá bảo mật hay không, làm tăng thêm mối lo ngại và sự không chắc chắn của họ.

Sự du di của quy định

Ông Beckett nói, “Luật Bảo mật Dữ liệu của Trung Quốc và Luật Bảo vệ Thông tin Cá nhân, quản lý dữ liệu và thông tin cá nhân tương ứng. Ở đây, dữ liệu đặc biệt đề cập đến dữ liệu có tính chất phi cá nhân.”

Các luật này lần lượt có hiệu lực từ hồi tháng Chín và tháng Mười Một năm 2021. Một số điều khoản nhất định liên quan đến bảo mật dữ liệu, bao gồm bảo mật thông tin cá nhân, đã được tham chiếu trong Luật An ninh mạng trước khi ban hành.

Ad

Tuy nhiên, các doanh nghiệp phải trải qua đánh giá bảo mật theo sự kết hợp của ba đạo luật — cụ thể là Luật An ninh mạng, Luật Bảo mật Dữ liệu, và Luật Bảo vệ Thông tin Cá nhân — khi chia sẻ dữ liệu xuyên biên giới.

Dữ liệu ở đây đề cập đến việc truyền dữ liệu quan trọng, thông tin cá nhân đạt các tiêu chí cụ thể về số lượng, và thông tin cá nhân và dữ liệu quan trọng được thu thập và tạo ra ở Trung Quốc bởi các nhà vận hành cơ sở hạ tầng thông tin quan trọng, chẳng hạn như Năng lượng, Giao thông, Nước, và Tài chính, đây mới chỉ là một vài ví dụ.

Các doanh nghiệp được yêu cầu thực hiện kiểm tra toàn diện tất cả dữ liệu xuất cảng trong suốt quá trình thực hiện đánh giá bảo mật, hợp đồng tiêu chuẩn, và chứng nhận.

Các vấn đề không tuân thủ được phát hiện trong suốt quá trình đánh giá cũng cần có hành động khắc phục, chẳng hạn như giải quyết các trường hợp không đạt được thỏa thuận cụ thể về xuất cảng thông tin cá nhân.

Ad

Các doanh nghiệp cũng được yêu cầu soạn thảo báo cáo đánh giá tác động dựa trên kết quả đánh giá và chi tiết quy trình. Theo ông Beckett, để đạt được các nghĩa vụ pháp lý này, các doanh nghiệp thường cần phải dành ra nguồn nhân lực hoặc trả phí để sử dụng dịch vụ của bên thứ ba, phát sinh thêm các chi phí ăn vào ngân sách kinh doanh.

Ông nói: “[Do đó] những rủi ro liên quan nội tại có trong luồng dữ liệu hiện nay là một vấn đề đáng được cân nhắc.”

Ví dụ: nếu dữ liệu kinh doanh có liên quan của một tập đoàn đa quốc gia, trong đó có thông tin cá nhân, cần được xử lý hoặc lưu trữ trên máy chủ ở các quốc gia hoặc hệ thống xử lý khác nhau, và nếu việc phân tích hoặc ẩn danh dữ liệu đó được thực hiện ở địa phương trước khi tổng hợp, thì toàn bộ tiềm năng của bộ dữ liệu đó có thể bị mất.

Việc xuất cảng dữ liệu bị trì hoãn cũng có thể dẫn đến chi phí mua máy chủ và hệ thống cao hơn, cũng như chi phí khai triển các chuyên gia phân tích ở các địa điểm khác nhau, làm giảm hiệu quả phân tích của dữ liệu.

Những lo ngại phổ biến

Trong “Nghiên cứu về Quan điểm của Doanh nghiệp Âu Châu tại Trung Quốc 2023/2024” (European Business in China Position Paper 2023/2024), Phòng Thương mại Liên minh Âu Châu tại Trung Quốc đã bày tỏ lo ngại về sự mơ hồ của định nghĩa “dữ liệu quan trọng” trong dữ liệu của Trung Quốc. Cơ quan này đã lưu ý rằng luật bảo vệ thông tin cá nhân tạo ra khó khăn cho các công ty ngoại quốc ở Trung Quốc.

“Các doanh nghiệp cần câu trả lời về việc liệu Trung Quốc sẽ tập trung vào khả năng tự lực và thắt chặt các quy định trên cơ sở lo ngại về an ninh hay không, và liệu nước này có ý định thực hiện đúng lời hứa mở cửa thị trường hay không,” bà Jens Eskelund, Chủ tịch Phòng Thương mại Liên minh Âu Châu, viết trong một thông cáo báo chí. “Các thành viên của chúng tôi muốn tham gia nhiều hơn và đóng góp lớn hơn cho sự phát triển của Trung Quốc, nhưng giờ đây họ cần thấy hành động cụ thể được thực hiện.”

Bài viết cũng yêu cầu Trung Quốc tăng cường khả năng dự đoán và độ tin cậy của môi trường pháp lý bằng cách bảo đảm luật pháp và các quy định được chi tiết và định nghĩa rõ ràng, cho phép các doanh nghiệp thực hiện kiểm toán độc lập để được chứng nhận theo luật pháp toàn cầu.

Tuy nhiên, trong nỗ lực cải thiện môi trường kinh tế, cơ quan an ninh mạng Trung Quốc đang xem xét nới lỏng một số quy định đối với các tập đoàn đa quốc gia và các công ty quốc tế.

Vào ngày 28/09/2023, Bắc Kinh đã ban hành một dự thảo quy định, Dự thảo Quy định về Quản lý và Thúc đẩy Hoạt động Truyền Dữ liệu Xuyên-biên giới, có khả năng nới lỏng một số yêu cầu nhất định đối với hoạt động truyền dữ liệu xuyên biên giới.

Dự thảo làm rõ rằng bất kỳ dữ liệu nào không được cơ quan quản lý ngành xác định hoặc công bố công khai là dữ liệu quan trọng đều có thể được xuất cảng mà không cần có đánh giá bảo mật.

Dự thảo quy định cũng tăng ngưỡng phải đánh giá bảo mật đối với những nhà xuất cảng thông tin cá nhân — chỉ những người xuất cảng hơn 1 triệu thông tin cá nhân trong vòng một năm mới phải tuân theo yêu cầu đánh giá bảo mật.

Ngoài ra, dự thảo quy định này cũng miễn các yêu cầu đánh giá bảo mật, hợp đồng tiêu chuẩn, hoặc chứng nhận để chuyển thông tin cá nhân trong một số trường hợp nhất định.

Ông Beckett kết luận: “Tuy nhiên, dự thảo quy định này vẫn còn ở dạng dự thảo, nhiều công ty đang chờ dự thảo này được hoàn thiện và trở nên có hiệu lực.”

Nhật Thăng biên dịch

Quý vị tham khảo bản gốc từ The Epoch Times

CHUYÊN ĐỀ
Indrajit Basu
Indrajit Basu
BTV Epoch Times Tiếng Anh

Xem thêm

Chia sẻ bài viết này tới bạn bè của bạn
Shen Yun Zuo Pin

Tin nổi bật