Quản lý dữ liệu người dùng đang trở thành vấn đề nóng của nhiều công ty công nghệ lớn ở châu Á. Trong khi Trung Quốc và Ấn Độ thực hiện nghiêm ngặt các quy định yêu cầu các công ty phải lưu trữ và xử lý dữ liệu người dùng trong nội địa, các quốc gia nhỏ khác phần nào vẫn phải thỏa hiệp với các ông lớn công nghệ để đảm bảo lợi ích kinh tế.

Châu Á ngày càng xiết chặt quản lý

Đối diện với chủ nghĩa thực dân về dữ liệu – vấn đề dữ liệu người dùng bị các công ty công nghệ thu thập để dựa vào đó kinh doanh cũng như để bảo vệ an ninh quốc gia, hai nước Trung Quốc và Ấn Độ chiếm hơn 1/3 dân số thế giới và lượng người dùng công nghệ lớn nhất thế giới, đã ban hành những quy định rất cứng rắn về dữ liệu.

Năm 2019 Ấn Độ đã đưa ra Dự luật Bảo vệ Dữ liệu Cá nhân yêu cầu các công ty hoạt động trong nước hoặc thu thập dữ liệu của công dân Ấn Độ, kể cả ở bên ngoài biên giới quốc gia, phải xử lý dữ liệu cá nhân trên các máy chủ ở Ấn Độ.

Trung Quốc thậm chí còn đi trước một bước khi thông qua Luật An ninh mạng vào năm 2016, trong đó yêu cầu các tổ chức và nhà mạng phải tuân theo hoạt động kiểm tra an ninh do chính phủ tiến hành và lưu trữ dữ liệu trong lãnh thổ Trung Quốc.

Tờ The New York Times đưa tin Apple, một trong những ông lớn công nghệ hiếm hoi của nước ngoài đạt được thành công ở thị trường Trung Quốc, đã tuân thủ quy định này và xây dựng trung tâm dữ liệu mới ở Quý Dương vào tháng 6 vừa qua. Theo đó, Apple sẽ chuyển tất cả dữ liệu người dùng Trung Quốc sang máy chủ đặt tại quốc gia này.

Apple đã tuân thủ quy định về dữ liệu của Trung Quốc và xây dựng trung tâm dữ liệu mới ở Quý Dương vào tháng 6 vừa qua. Nguồn ảnh: Wang gang/ Zuma Press.
Apple đã tuân thủ quy định về dữ liệu của Trung Quốc và xây dựng trung tâm dữ liệu mới ở Quý Dương vào tháng 6 vừa qua. Nguồn ảnh: Wang gang/ Zuma Press.

Tại ASEAN, trong khi Singapore thúc đẩy nền kinh tế kỹ thuật số và cho phép ngành công nghiệp dựa trên dữ liệu phát triển mạnh trên nhiều lĩnh vực, thì Malaysia, Brunei, Indonesia, Việt Nam, Thái Lan và Philippines ít nhiều đều thực hiện các quy định về “nội địa hóa dữ liệu” (data localization), có nghĩa là tạo ra các rào cản nhằm ngăn cản việc chuyển dữ liệu từ trong nước ra nước khác.

Nhật Bản còn thúc đẩy “dữ liệu tự do cùng lòng tin” (data free flow with trust) vào năm 2019 với Tuyên bố Osaka về Kinh tế Kỹ thuật số (Osaka Declaration on Digital Economy), hay còn gọi là “Osaka Track”, nhằm mục đích tăng cường bảo vệ quyền sở hữu trí tuệ, thông tin cá nhân và an ninh mạng của nền kinh tế kỹ thuật số toàn cầu. Hơn 50 quốc gia - bao gồm Trung Quốc, Hàn Quốc, Việt Nam, Singapore và Thái Lan ở Châu Á - đã ký kết thỏa thuận này.

Cuộc thương lượng giữa các bên

Trả lời phỏng vấn của chúng tôi, bình luận về vấn đề Apple xây dựng trung tâm dữ liệu tại Trung Quốc, ông Xu Qinduo, cựu phóng viên trưởng của Đài Phát thanh Quốc tế Trung Quốc tại Washington và là thành viên nghiên cứu cấp cao của Viện chính sách Pangoal cho rằng các công ty đa quốc gia phải tuân thủ luật pháp của quốc gia nơi họ đang hoạt động, cho dù đó là Trung Quốc, Việt Nam, Ấn Độ hay các nước ở Châu Âu.

"Thứ nhất, đó là về an ninh quốc gia,” ông nhấn mạnh. "Thứ hai, đó là vấn đề chủ quyền kỹ thuật số."

Không chỉ những gã khổng lồ công nghệ quốc tế như Apple, ngay cả các công ty dữ liệu của Trung Quốc như Alibaba và Tencent cũng phải chịu những quy định ngày càng nghiêm ngặt về sở hữu và thương mại hóa dữ liệu. Chính phủ Trung Quốc đã công bố dự thảo Luật Bảo vệ Thông tin Cá nhân (PIPL) vào năm ngoái và ban hành các quy định chống độc quyền sửa đổi vào tháng 2 cho các bên cung cấp các nền tảng.

Nhưng những rào cản này có thể cản trở thương mại tự do. Theo một báo cáo của Hội đồng Kinh doanh Hoa Kỳ-ASEAN và Deloitte, 67% nhà đầu tư không sẵn sàng đầu tư vào các doanh nghiệp số mà đang bị buộc lưu trữ dữ liệu người dùng tại nội địa.

Từ góc độ công nghệ, ông Ngô Việt Khôi, Giám đốc công nghệ của SenSecures Việt Nam và Vietnet Distribution, giải thích với chúng tôi rằng các ứng dụng kỹ thuật số của các công ty công nghệ lớn vốn được thiết kế để xử lý dữ liệu tập trung và tận dụng tối đa sức mạnh của internet và dịch vụ đám mây (cloud) để phục vụ hoạt động của họ trên phạm vi toàn cầu.

Quá trình này yêu cầu các kết nối đáng tin cậy, không bị gián đoạn và đồng bộ giữa các cụm máy chủ đạt tiêu chuẩn cao ở một số quốc gia trên toàn thế giới.

"Việc dữ liệu giữa các khu vực không thường xuyên được kết nối và đồng bộ với nhau sẽ vô tình tạo ra sự gián đoạn và tắc nghẽn", ông Khôi nói. "Hơn nữa, nếu thảm họa xảy ra, không có cách nào để khôi phục dữ liệu nằm trong khu vực xảy ra thảm họa."

Nếu một quốc gia từ chối hoàn toàn việc lưu chuyển dữ liệu, quốc gia đó sẽ có nguy cơ đi chậm hơn những tiến bộ công nghệ của thế giới. Các hệ thống kỹ thuật chạy trong nước cũng sẽ nhanh chóng lạc hậu hơn.

Mặt khác, về việc lưu trữ dữ liệu, trung bình cứ sau sáu tháng, băng thông cần thiết cho các ứng dụng kỹ thuật số sẽ tăng lên vài chục phần trăm. Do đó việc đặt máy chủ bên ngoài biên giới của một quốc gia sẽ làm tăng lượng dữ liệu của một quốc gia phải truyền ra quốc tế và tạo ra chi phí quá tốn kém cho các công ty.

Việc lưu trữ dữ liệu tại các công ty trong nước cũng không dễ dàng thực hiện được ngay. Tại nhiều nước châu Á, đơn cử như Việt Nam, cả nước có khoảng 27 trung tâm dữ liệu vào năm 2020, nhưng tất cả đều do các doanh nghiệp trong nước như Viettel, VNPT, FPT đầu tư.

Ông Ngô Việt Khôi cho rằng Việt Nam chưa phải là một thị trường lớn như Trung Quốc, chưa có đủ nguồn nhân lực đủ trình độ để vận hành các trung tâm dữ liệu ở trình độ cao. Thực tế cho thấy các công ty địa phương thậm chí đã phải “nhờ” Facebook và Google đặt máy chủ tại trung tâm dữ liệu của họ với mức giá rẻ, theo VTC News đưa tin vào năm 2017.

“Hầu hết các trung tâm dữ liệu ở Việt Nam vẫn chưa thể đảm bảo những chứng chỉ bảo mật và công nghệ cao như các công ty công nghệ lớn yêu cầu,” ông nói. “Nếu quy định lưu trữ dữ liệu trong nước là bắt buộc nhưng không có nơi đủ an toàn để họ lưu trữ dữ liệu, thì sẽ rất khó thực hiện điều đó".

Do đó, hiện tại các nước như Ấn Độ, Việt Nam và Indonesia đã phải thu hẹp các điều khoản liên quan đến lưu trữ dữ liệu người dùng. Tuy nhiên, các nước này không thỏa hiệp về quyền quản lý dữ liệu. Chính phủ vẫn đảm bảo quyền can thiệp bất cứ khi nào một nhà cung cấp dịch vụ internet nước ngoài vi phạm pháp luật hoặc không cung cấp quyền truy cập vào dữ liệu khi được yêu cầu để bảo vệ lợi ích quốc gia.

Chính người dùng cá nhân mới đang “thỏa hiệp”

Người dùng – những người đang ngày đêm sản xuất và đóng góp dữ liệu cho các “ông lớn” công nghệ có thực sự quan tâm đến lưu trữ dữ liệu của mình? Điều này chưa chắc.

Ông Xu cho biết, tại Trung Quốc người dân chấp nhận rằng miễn là họ đang trực tuyến hoặc chia sẻ dữ liệu với Apple, Google, Alibaba, Tencent, hay bất kể các tập đoàn quốc doanh nào khác, thì dữ liệu đã nằm ngoài tầm kiểm soát của họ. "Mọi người có quan tâm rằng những dữ liệu từ các công ty công nghệ này có thể nằm trong tay chính phủ không? Không hề."

Một cuộc khảo sát do The Harvard Gazette thực hiện với 32.000 người từ năm 2003 đến năm 2016 cho thấy mức độ hài lòng của người dân đối với chính phủ ở Trung Quốc cao hơn nhiều so với ở Mỹ. Năm 2016, 95,5% người được hỏi cho biết họ "tương đối hài lòng" hoặc "rất hài lòng" với chính phủ.

Người dùng có thể trở thành một trong những lổ hổng lớn về bảo mật dữ liệu cá nhân nếu không có đủ kỹ năng kỹ thuật số | Ảnh: TW
Người dùng có thể trở thành một trong những lổ hổng lớn về bảo mật dữ liệu cá nhân nếu không có đủ kỹ năng kỹ thuật số | Ảnh: TW

Trong khi đó, niềm tin vào các công ty công nghệ bị sụt giảm ở 28 quốc gia, theo báo cáo của Edelman Trust Barometer 2020. Nhiều bằng chứng cho thấy các công ty công nghệ đang lợi dụng dữ liệu người dùng một cách bất hợp pháp. Instagram đã thu thập dữ liệu sinh trắc học của 100 triệu tài khoản. Facebook để lộ thông tin của 87 triệu người dùng với tổ chức Cambridge Analytica.

Trong khi đó, Alphabet, công ty mẹ của Google, cũng đã phải đối mặt với vụ kiện trị giá 5 tỷ USD về việc thu thập dữ liệu không minh bạch thông qua Google Analytics, Google Ads và các ứng dụng khác.

Ông Ngô Việt Khôi nhận xét rằng ngay cả trước khi Việt Nam chuyển lên môi trường điện toán đám mây, nhận thức của người dùng về bảo vệ dữ liệu trong các môi trường vật lý truyền thống như mạng nội bộ hoặc máy tính cá nhân đã là một vấn đề đáng ngại.

Cung cấp thông tin cho các kẻ tấn công giả mạo, cài cấu hình lỗi, chia sẻ quyền truy cập, tải xuống phần mềm độc hại, nhấp vào liên kết không xác định,… là những nguyên nhân đáng lo nhất gây ra các cuộc tấn công dữ liệu, theo Báo cáo điều tra vi phạm dữ liệu năm 2020 của Verizon.

Nghiên cứu của CybSafe vào năm 2019 cũng cho thấy 90% các vụ tấn công mạng được Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) ghi lại là do lỗi của người dùng khiến kẻ tấn công có thể truy cập vào các kênh được mã hóa và thông tin nhạy cảm. Kết quả tương tự cũng được tìm thấy trong các cuộc phỏng vấn của Kaspersky Lab vào năm 2018 với hơn 7.000 người trên 24 quốc gia.

Chính vì thế, theo các chuyên gia công nghệ thông tin, đào tạo các “kỹ năng kỹ thuật số” (digital literacy) là những kỹ năng cần thiết để sử dụng thiết bị số, ứng dụng truyền thông và mạng để truy cập và quản lý thông tin ở các nước đang phát triển trở nên cấp thiết hơn bao giờ hết.

Ông Ngô Việt Khôi nói rằng khi quản trị an toàn thông tin, các chuyên gia sẽ phát triển hài hòa 3P, bao gồm Product (Sản phẩm – các giải pháp an toàn thông tin), Policy (Chính sách An toàn thông tin), và People (Con người - những người tạo ra, sở hữu và chuyển giao thông tin và cũng là tác nhân chính gây mất An toàn thông tin).

“Hầu hết các công ty vẫn dựa vào chữ “P” đầu tiên khi nói đến bảo vệ dữ liệu, có nghĩa là dùng tất cả ngân sách cho bảo mật – vốn đã chiếm tỷ trọng rất nhỏ trong đầu tư Công nghệ thông tin - để mua giải pháp,” ông Khôi nói. “Nhưng quan trọng nhất vẫn là yếu tố con người và cần thiết giảm thiểu những rủi ro không gian mạng bằng cách tăng cường đào tạo nhận thức an toàn thông tin cho người dùng cuối”.