Khoản 3, Điều 26 Luật ANM quy định: “Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. Doanh nghiệp ngoài nước phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam”.

Quy định trên phù hợp với thông lệ quốc tế. Bởi, đây là vấn đề phản ánh chính sách quản lý nhà nước về an ninh mạng đối với các loại hình dịch vụ được cung cấp trên không gian mạng có ảnh hưởng tới an ninh quốc gia. 

Theo thống kê, hiện có khoảng 20 quốc gia trên thế giới có quy định này, điển hình như Mỹ, Nga, Pháp, Đức, Trung Quốc, Indonesia, Ấn Độ… Ví dụ, Mỹ có Quy tắc tạm thời của Bộ Quốc phòng về Báo cáo Thâm nhập mạng và Ký kết dịch vụ điện toán đám mây. 

Các quy tắc này quy định bắt buộc tất cả các nhà cung cấp dịch vụ điện toán đám mây làm việc với Bộ quốc phòng phải lưu trữ dữ liệu của Bộ Quốc phòng trong phạm vi lãnh thổ nước Mỹ. 

Trung Quốc có Luật An ninh mạng; Luật áp dụng đối với các tổ chức tài chính, ngân hàng bảo vệ thông tin cá nhân; Quy định Bảo vệ thông tin cá nhân trong hệ thống thông tin công cộng và thương mại đều có những quy định chặt chẽ về vấn đề này. Nga có Luật liên bang 242 – FZ và Luật liên bang 149-FZ quy định tất cả dữ liệu thu thập được về công dân Nga phải được lưu trữ tại Nga…

Nhiều quốc gia trên thế giới rất quan tâm đến dữ liệu cá nhân, quyền riêng tư trên mạng xã hội bao gồm cả hai khía cạnh là thu thập và bảo vệ. Dữ liệu người dùng được coi như tài sản quốc gia, giá trị mang lại từ những dữ liệu này không chỉ trên lĩnh vực kinh tế, chính trị và còn là an ninh quốc gia. 

Việc yêu cầu cơ quan, tổ chức nước ngoài cung cấp dịch vụ trên không gian mạng và sở hữu hệ thống thông tin tại Việt Nam phải đặt văn phòng đại diện hoặc lưu trữ một số dữ liệu quan trọng tại Việt Nam theo quy định của Chính phủ là khả thi, có trọng tâm, trọng điểm, không bao gồm toàn bộ các doanh nghiệp, cũng không yêu cầu hạn chế, lưu trữ tại Việt Nam toàn bộ dữ liệu, mà chỉ áp dụng trong trường hợp cần thiết, vì lý do quốc phòng, an ninh. 

Việc lưu trữ dữ liệu không phải là điều kiện kinh doanh đối với doanh nghiệp. Do chỉ lưu trữ dữ liệu người dùng, các dữ liệu quan trọng của quốc gia Việt Nam, không phải là dữ liệu nền tảng – platform nên không ảnh hưởng và cản trợ việc lưu thông của “dòng chảy dữ liệu”, không tạo rào cản đối với doanh nghiệp tham gia nền kinh tế của Việt Nam. Thực tế, một số doanh nghiệp này đã đặt tuân thủ yêu cầu của một số quốc gia trên thế giới về địa phương hóa dữ liệu.

Rà soát các Điều ước quốc tế có liên quan mà Việt Nam tham gia có như: WTO, CPTTP  cho thấy, quy định doanh nghiệp nước ngoài lưu trữ dữ liệu, đặt chi nhánh, văn phòng tại Việt Nam không trái với những điều ước trên.

Cụ thể, đối với các cam kết gia nhập WTO: Ngoại lệ đã được đặt ra trong quá trình đàm phán và xây dựng các văn kiện của WTO, đặc biệt chú trọng trong các lĩnh vực thương mại quốc tế và quy định tại các văn kiện của WTO trong 3 lĩnh vực thương mại hàng hóa, thương mại dịch vụ và sở hữu trí tuệ, trực tiếp là: Hiệp định chung về thuế quan và thương mại (GATT 1994), Hiệp định chung về thương mại dịch vụ (GATS), Hiệp định chung về thương mại dịch vụ (GATS), Hiệp định về các khía cạnh liên quan đến thương mại của quyền sở hữu trí tuệ (TRIPS).

Trong Hiệp định CPTPP luôn có điều khoản ngoại lệ về an ninh, tôn trọng và đề cao an ninh quốc gia trong bất cứ hoạt động thương mại nào được đề cập. Đó là: Tại Khoản 2 Điều 14.18: Giải quyết tranh chấp đã quy định: “2. Đối với các biện pháp hiện đang áp dụng, Việt Nam không phải tuân thủ theo nguyên tắc giải quyết tranh chấp quy định tại Điều 28 (Giải quyết tranh chấp) liên quan đến nghĩa vụ của đất nước này theo quy định tại Điều 14.4 (Cách thức đối xử không phân biệt đối với các sản phẩm số) và Điều 14.11 (Cách thức chuyển giao thông tin xuyên biên giới bằng các phương tiện điện tử) và Điều 14.13 (Địa điểm của hạ tầng công nghệ thông tin) trong thời hạn 2 năm kể từ sau ngày Hiệp định này có hiệu lực tại Việt Nam”. 

Tại Điều 29.2: Ngoại lệ về an ninh cũng nêu rõ: “Không có quy định nào của Hiệp định này: (a) Đòi hỏi một bên phải cung cấp và cho phép tiếp cận thông tin mà việc tiết lộ được coi là trái với các lợi ích an ninh thiết yếu của mình; hoặc (b) ngăn cản một bên áp dụng những biện pháp cần thiết để thực hiện các nghĩa vụ liên quan đến giữ gìn và khôi phục hòa bình và an ninh quốc tế hay bảo vệ các lợi ích an ninh thiết yếu”.

Ban KT-PL