Đầu tháng 6, Trung Quốc chính thức đưa vào hiệu lực các quy định về hợp đồng tiêu chuẩn chuyển giao cá nhân thông tin xuyên biên giới, trong đó yêu cầu bên xử lý dữ liệu (bao gồm công ty xử lý dữ liệu của ít hơn 1 triệu người) phải có hợp đồng với bên nhận ở nước ngoài trước khi chuyển giao.
Những quy tắc mới là một phần nỗ lực của Bắc Kinh nhằm thắt chặt kiểm soát dữ liệu trong nước với lý do bảo vệ an ninh quốc gia.
Hiện tại, khung pháp lý cao nhất của nước này để quản lý bảo mật dữ liệu bao gồm ba luật: Luật An ninh mạng, Luật Bảo mật Dữ liệu và Luật Bảo vệ Thông tin Cá nhân.
Theo đó, chính quyền trung ương đã thiết lập chế độ quản lý xuất dữ liệu cá nhân. Ngoài các biện pháp trong hợp đồng tiêu chuẩn, chế độ này bao gồm các quy tắc yêu cầu công ty tiến hành đăng ký đánh giá bảo mật tại cơ quan giám sát internet quốc gia hoặc đăng ký chứng nhận bảo vệ thông tin cá nhân từ cơ quan có thẩm quyền.
Ông Xu Ke, Giám đốc trung tâm nghiên cứu về kinh tế kỹ thuật số và đổi mới pháp lý của Đại học Kinh doanh và Kinh tế Quốc tế, cho biết các cơ quan quản lý đang nỗ lực để đạt được sự cân bằng giữa tăng cường bảo mật dữ liệu và thúc đẩy tăng trưởng kinh tế dựa trên dữ liệu.
Số lượng công ty cao, tỷ lệ duyệt thấp
Theo các biện pháp đánh giá bảo mật về truyền dữ liệu xuyên biên giới, có hiệu lực từ ngày 1/9, các công ty xử lý dữ liệu cá nhân liên quan đến hơn 1 triệu người phải trải qua đánh giá bảo mật nếu họ muốn truyền dữ liệu ra nước ngoài.
Các công ty phải gửi báo cáo tự đánh giá bảo mật cho cơ quan quản lý mạng địa phương và Cơ quan quản lý không gian mạng Trung Quốc (CAC) để trải qua hai vòng xem xét.
Hiện tại, hoạt động chuyển dữ liệu ra nước ngoài được coi là hợp pháp nếu bên chuyển ký hợp đồng với bên nhận, đồng thời nộp dữ liệu dự kiến chuyển giao vượt qua bài kiểm tra bảo mật của cơ quan chức năng.
Mặc dù các biện pháp bắt đầu hiệu lực vào tháng 9, song việc triển khai trên thực tế gặp nhiều khó khăn do số lượng công ty quá nhiều và không có đủ nhân lực để đánh giá báo cáo bảo mật của họ.
Đến cuối tháng 4, cơ quan quản lý không gian mạng của Thượng Hải đã nhận được hơn 400 báo cáo đánh giá, trong đó chỉ 0,5% được CAC chấp thuận.
Tình hình cũng tương tự ở những nơi khác. Trên toàn quốc, các nhà chức trách đã nhận được hơn 1.000 đơn xin chuyển dữ liệu ra nước ngoài, trong đó chưa đến 10 đơn vượt qua hai vòng xem xét, nguồn tin của Caixin tiết lộ.
Ở cấp quốc gia, phần lớn công việc đánh giá phê duyệt báo cáo bảo mật được thực hiện bởi trung tâm kỹ thuật an ninh mạng CNCERT/CC có tổng số nhân viên khoảng 100 người.
Tiêu chí “mơ hồ”
Ngoài hạn chế về nhân sự, sự thiếu rõ ràng trong các tiêu chí đánh giá đang làm chậm quá trình phê duyệt, với việc các cơ quan quản lý và các công ty không đồng ý về lý do tại sao việc chuyển dữ liệu được yêu cầu là cần thiết.
Chẳng hạn, bên nộp đơn phải giải thích tại sao việc chuyển dữ liệu cho bên nước ngoài xử lý là hợp pháp, hợp lý và cần thiết, song không có hướng dẫn cụ thể hơn.
Ông Xu Ke cảnh báo việc áp dụng cơ chế “tất cả trong một” có thể dẫn đến những hạn chế quá mức với một số ngành, lĩnh vực cụ thể, cản trở luồng dữ liệu tự do vì mức độ gây ra lo ngại an ninh quốc gia là khác nhau.
Ông He Yuan, Giám đốc điều hành Trung tâm nghiên cứu luật dữ liệu của Đại học Jiao Tong Thượng Hải, lưu ý rằng khối lượng công việc đối với các cơ quan quản lý địa phương có thể tăng đáng kể vì các công ty có ít hơn 1 triệu người cũng sẽ phải ký hợp đồng tiêu chuẩn bắt đầu từ tháng 6.
Kể từ năm 2023, nhà chức trách tại đại lục đã tăng cường các nỗ lực công khai, chẳng hạn như tiến hành hướng dẫn các tập đoàn làm quen với quy tắc truyền dữ liệu.
Tuy nhiên, chi phí tuân thủ cao, khó khăn trong giao tiếp với bên nhận ở nước ngoài, cùng sự không chắc chắn về quy định là một trong các yếu tố Bắc Kinh chưa thể tháo gỡ cho doanh nghiệp.
Chi phí tốn kém
Để tránh rắc rối, các công ty có xu hướng tham khảo ý kiến của các cơ quan bên thứ ba về việc nộp báo cáo đánh giá bảo mật.
Tuy nhiên, phí dịch vụ mà các cơ quan tư vấn này yêu cầu có thể dễ dàng lên tới hàng trăm triệu NDT, khiến các công ty nhỏ gặp bất lợi. Chất lượng dịch vụ từ các cơ quan này cũng có thể khác nhau.
Ngay cả khi có sự giúp đỡ của các chuyên gia tư vấn, nhiều doanh nghiệp vẫn gặp khó khăn trong việc phê duyệt. Theo Zhang Yao, đối tác tại Sun & Young Partners, công ty luật có trụ sở tại Thượng Hải, nhiều ứng dụng lần đầu không đáp ứng đầy đủ các yêu cầu quy định.
Mặc dù các cơ quan quản lý đã làm rõ các yêu cầu liên quan đến các vấn đề cốt lõi về dữ liệu nào cần được chuyển ra nước ngoài, thông qua hệ thống nào, cho ai và liệu có rủi ro bảo mật hay không, nhưng “việc phân loại các vấn đề này đòi hỏi rất nhiều chi phí và nỗ lực” từ phía các công ty.
Và đối với các công ty đa quốc gia, ngay cả khi họ thành công trong việc gửi dữ liệu cá nhân ra nước ngoài, họ vẫn phải đối mặt với các khoản đầu tư tuân thủ liên tục trong quá trình sử dụng tiếp theo, Chen Jihong, đối tác của Công ty luật Zhong Lun có trụ sở tại Bắc Kinh cho biết.
Chưa kể, bên chuyển dữ liệu phải gửi thông tin về bên nhận ở nước ngoài trong báo cáo – điều mà có rất ít doanh nghiệp sẵn lòng chia sẻ. Ví dụ, gã khổng lồ Microsoft công khai tuyên bố “không hợp tác” trong các yêu cầu đánh giá bảo mật dữ liệu của Trung Quốc.
(Theo Nikkei Asia)