Phán quyết của cơ quan bảo vệ dữ liệu châu Âu và bài học kinh nghiệm cho Việt Nam

Trong bối cảnh chuyển đổi số toàn cầu, các dịch vụ đám mây như Microsoft 365[1] đã trở thành công cụ không thể thiếu cho các tổ chức công cũng như các tổ chức tư. Tuy nhiên, việc sử dụng các nền tảng này đặt ra thách thức lớn về bảo vệ dữ liệu cá nhân, nhất là khi dữ liệu được chuyển ra ngoài khu vực pháp lý nội địa. Vụ việc Ủy ban Châu Âu (EC) bị Cơ quan Bảo vệ Dữ liệu Châu Âu (EDPS) điều tra và xử phạt vì sử dụng Microsoft 365 là một hồi chuông cảnh báo cho hoạt động bảo vệ dữ liệu cá nhân trong khu vực công của nhiều quốc gia. Quyết định của EDPS không chỉ làm sáng tỏ các lỗ hổng trong quản lý dữ liệu của một trong những cơ quan quyền lực nhất Liên minh Châu Âu (EU), mà còn cung cấp bài học quan trọng cho các quốc gia như Việt Nam, nơi khung pháp lý bảo vệ dữ liệu cá nhân đang được xây dựng.

1. Quyết định của EDPS về việc EC sử dụng dịch vụ Microsoft 365

Bối cảnh vụ việc

Vào tháng 5/2021, EDPS khởi động cuộc điều tra về việc EC sử dụng Microsoft 365, sau phán quyết Schrems II (2020) của Tòa án Công lý Châu Âu (CJEU). Phán quyết này tuyên bố hiệp định chuyển dữ liệu EU-Mỹ (Privacy Shield) không hợp lệ do lo ngại về giám sát của tình báo Mỹ, làm dấy lên nghi vấn về tính hợp pháp của việc chuyển dữ liệu cá nhân ra ngoài EU. Cuộc điều tra tập trung vào Hợp đồng Cấp phép Liên thể chế 2021 (ILA 2021) giữa EC và Microsoft Ireland, xem xét việc tuân thủ Quy định (EU) 2018/1725 – khung pháp lý bảo vệ dữ liệu áp dụng cho các cơ quan EU (EUIs).

Quyết định của EDPS, công bố ngày 8/3/2024, xác định EC vi phạm ba khía cạnh chính: (1) Thiếu biện pháp bảo vệ cho chuyển dữ liệu ra ngoài EU/EEA, (2) Thiếu rõ ràng trong hợp đồng với Microsoft, và (3) vi phạm về xử lý dữ liệu. Các vi phạm này không chỉ phơi bày sự thiếu minh bạch trong hợp đồng với Microsoft, mà còn cho thấy sự phụ thuộc sâu sắc của EC vào một nhà cung cấp công nghệ bên ngoài Châu Âu[2].

Chi tiết các vi phạm của EC

Thứ nhất, thiếu rõ ràng trong hợp đồng với Microsoft

Trong hợp đồng với Microsoft, EC đã không xác định đầy đủ các loại dữ liệu cá nhân được thu thập và mục đích cụ thể, rõ ràng của việc thu thập dữ liệu đó. Điều này dẫn đến việc không thể đảm bảo rằng dữ liệu chỉ được xử lý cho các mục đích đã định và không bị sử dụng cho các mục đích khác. Các thuật ngữ trong hợp đồng như “dữ liệu chẩn đoán” hay “dữ liệu tạo ra từ dịch vụ” quá chung chung, không đáp ứng yêu cầu minh bạch của Quy định (EU) 2018/1725. Điều này cho phép Microsoft xử lý dữ liệu cho các mục đích không được EC phê duyệt, như cải tiến sản phẩm, vi phạm nguyên tắc giới hạn mục đích.

Thứ hai, thiếu biện pháp bảo vệ cho chuyển dữ liệu ra ngoài EU/EEA           

EC không triển khai các biện pháp bảo vệ đầy đủ để đảm bảo dữ liệu cá nhân chuyển ra ngoài EU/EEA (chủ yếu đến Mỹ) có mức bảo vệ tương đương. Trong giai đoạn 2021-2023, khi thiếu hiệp định chuyển dữ liệu EU-Mỹ, EC không thực hiện bài tập lập bản đồ chuyển dữ liệu để xác định đích đến, bên nhận, và biện pháp bảo vệ. Điều này làm tăng nguy cơ dữ liệu bị giám sát bởi tình báo Mỹ, vi phạm Điều 48 của Quy định (EU) 2018/1725.

Thứ ba, vi phạm về xử lý dữ liệu       
EC cũng vi phạm các quy định về xử lý dữ liệu, bao gồm việc chuyển dữ liệu cá nhân được thực hiện thay mặt cho EC. Trong vụ việc này, EC không đảm bảo Microsoft chỉ xử lý dữ liệu theo hướng dẫn được ghi nhận, dẫn đến nguy cơ tiết lộ trái phép. Microsoft Ireland có thể tự quyết định một số khía cạnh xử lý, đóng vai trò như bên kiểm soát dữ liệu thay vì chỉ là bên xử lý dữ liệu. Việc thiếu giám sát các bên xử lý phụ (sub-processors) làm tăng rủi ro dữ liệu bị chia sẻ với bên thứ ba không được phép.

Biện pháp khắc phục

Trong quyết định của mình, EDPS áp đặt các biện pháp khắc phục nghiêm ngặt, bao gồm:

Tạm dừng luồng dữ liệu quốc tế. EC phải dừng tất cả luồng dữ liệu từ Microsoft 365 đến các quốc gia ngoài EU/EEA không có quyết định đầy đủ (adequacy decision) trước ngày 9/12/2024.

Đưa hoạt động xử lý vào tuân thủ. EC phải sửa đổi hợp đồng với Microsoft, thực hiện bài tập lập bản đồ chuyển dữ liệu, và đảm bảo Microsoft chỉ xử lý dữ liệu theo hướng dẫn của EC cùng thời hạn với việc tạm dừng luồng dữ liệu quốc tế.

EC đã nộp báo cáo tuân thủ vào ngày 6/12/2024, nhưng EDPS vẫn đang đánh giá. Quyết định của EDPS hiện bị EC và Microsoft kháng cáo tại CJEU (vụ T-262/24 và T-265/24), làm phức tạp hóa việc thực thi.

Vụ việc EC-Microsoft 365 là một cột mốc lịch sử trong hoạt động bảo vệ dữ liệu tại EU. Nó làm nổi bật các rủi ro khi các tổ chức công phụ thuộc vào dịch vụ đám mây từ các nhà cung cấp Mỹ, đặc biệt trong bối cảnh căng thẳng pháp lý EU-Mỹ về chuyển dữ liệu. Quyết định của EDPS nhấn mạnh vai trò của các cơ quan giám sát trong việc đảm bảo tính mẫu mực của các tổ chức công, đồng thời gửi thông điệp mạnh mẽ đến khu vực tư nhân về việc tuân thủ các quy định bảo vệ dữ liệu như GDPR.

Hệ sinh thái Microsoft 365. Nguồn: Teknertia

2. Kinh nghiệm cho Việt Nam

Việt Nam đang trong giai đoạn hoàn thiện Dự thảo Luật Bảo vệ Dữ liệu Cá nhân, dự kiến ban hành trong năm 2025. Vụ việc EC-Microsoft 365 cung cấp nhiều bài học, kinh nghiệm quan trọng cho các cơ quan soạn thảo dự luật cũng như các cơ quan giám sát bảo vệ dữ liệu tại Việt Nam về sau, đặc biệt trong bối cảnh chuyển đổi số và sự phổ biến của các dịch vụ đám mây như Microsoft 365.

Thứ nhất, xây dựng khung pháp lý rõ ràng và chi tiết

Quy định (EU) 2018/1725 cung cấp các yêu cầu cụ thể về hợp đồng với nhà cung cấp đám mây, bao gồm xác định loại dữ liệu, mục đích xử lý, và biện pháp bảo vệ chuyển dữ liệu quốc tế. Sự thiếu rõ ràng trong hợp đồng ILA 2021 của EC là nguyên nhân chính dẫn đến vi phạm. Do đó, Dự thảo Luật Bảo vệ Dữ liệu Cá nhân hiện yêu cầu các tổ chức minh bạch về mục đích xử lý dữ liệu và bảo vệ dữ liệu khi chuyển ra nước ngoài. Tuy nhiên, luật cần bổ sung:

1. Hướng dẫn cụ thể về hợp đồng đám mây. Việt Nam cần có quy định rõ các điều khoản cần có trong hợp đồng với nhà cung cấp như Microsoft, bao gồm danh sách sub-processors, loại dữ liệu, và mục đích xử lý.
2. Quy trình đánh giá chuyển dữ liệu. Yêu cầu các tổ chức thực hiện phương án lập bản đồ chuyển dữ liệu, tương tự yêu cầu của EDPS, để xác định đích đến và biện pháp bảo vệ.
3. Cơ chế giám sát sub-processors. Việc giám sát đơn vị thứ ba trong hoạt động xử lý dữ liệu là vô cùng quan trọng và cấp thiết để đảm bảo các bên xử lý phụ tuân thủ đầy đủ các nghĩa vụ bảo vệ dữ liệu như bên nắm giữ dữ liệu gốc.

Thứ hai, Việt Nam nên thành lập cơ quan giám sát độc lập và mạnh mẽ

Có thể thấy EDPS hoạt động độc lập, có quyền điều tra, áp đặt biện pháp khắc phục (như tạm dừng luồng dữ liệu), và đưa vụ việc ra tòa. Quyết định xử lý EC chứng minh vai trò quan trọng của một cơ quan giám sát độc lập và mạnh mẽ trong việc đảm bảo tuân thủ, ngay cả với các tổ chức quyền lực của quốc gia, của khối Châu Âu.

Dự thảo Luật Bảo vệ dữ liệu cá nhân đã đề xuất thành lập cơ quan bảo vệ dữ liệu cá nhân do Bộ Công an quản lý, nhưng chưa rõ về quyền hạn và nguồn lực. Chúng tôi cho rằng khi cơ quan này thành lập trên thực tế cần (1) Đảm bảo tính độc lập. Cơ quan giám sát phải độc lập với Chính phủ và doanh nghiệp để tránh xung đột lợi ích. (2) Trao quyền mạnh mẽ. Bao gồm quyền điều tra, áp đặt biện pháp khắc phục (như phạt tiền, tạm dừng xử lý dữ liệu), và khởi kiện các vi phạm. Chỉ có một cơ quan quản lý đủ quyền lực, nguồn lực và cơ chế mới có thể xử lý các vi phạm phức tạp của các cơ quan, doanh nghiệp trong việc bảo vệ dữ liệu cá nhân đang có phần hỗn loạn tại Việt Nam. (3) Nguồn lực đủ mạnh. Như đã đề cập ở trên, việc trao quyền mạnh mẽ cho một cơ quan độc lập trong việc giám sát và thực thi pháp luật về bảo vệ dữ liệu cá nhân thì phải cần đảm bảo việc đầu tư ngân sách và nhân sự để xử lý các vụ việc phức tạp, như sử dụng dịch vụ đám mây được đề cập trong bài này.

Thứ ba, nên tiến hành đào tạo và nâng cao năng lực nguồn nhân lực

EDPS tổ chức các khóa đào tạo chuyên sâu về AI và bảo vệ dữ liệu cho nhân viên và các Nhân viên Bảo vệ Dữ liệu (DPO) của EUIs. Điều này giúp họ hiểu rõ các rủi ro từ công nghệ mới, như dịch vụ đám mây, và đưa ra các biện pháp phù hợp.

Nhận thức về bảo vệ dữ liệu tại Việt Nam còn thấp, đặc biệt trong các cơ quan công và doanh nghiệp vừa và nhỏ (SME). Để giải quyết, cần một Chương trình đào tạo DPO thực chất và hiệu quả. Việc xây dựng các khóa học về dịch vụ đám mây, chuyển dữ liệu quốc tế, và đánh giá tác động bảo vệ dữ liệu (DPIA) tại Việt Nam trong thời gian tới là hết sức cần thiết. Ngoài ra, việc tiến hành học hỏi và hợp tác quốc tế là cần thiết trong bối cảnh của Việt Nam. Việc học hỏi từ các tổ chức như EDPS để áp dụng các phương pháp tốt nhất trong đào tạo và giám sát các hoạt động hiện đại và mới mẻ của các công ty công nghệ trên thế giới.

Quyết định của EDPS về việc EC sử dụng dịch vụ đám mây của Microsoft 365 là một lời cảnh báo mạnh mẽ về các rủi ro bảo vệ dữ liệu khi phụ thuộc vào dịch vụ đám mây nước ngoài. Các vi phạm về giới hạn mục đích, chuyển dữ liệu quốc tế, và tiết lộ trái phép cho thấy sự cần thiết của khung pháp lý rõ ràng, cơ quan giám sát mạnh mẽ, và giải pháp công nghệ nội địa. Đối với Việt Nam, vụ việc này cung cấp lộ trình để hoàn thiện Dự thảo Luật Bảo vệ Dữ liệu Cá nhân và xây dựng hệ thống giám sát hiệu quả. Bằng cách học hỏi từ EDPS, Việt Nam có thể đảm bảo quyền riêng tư của công dân trong thời đại số, đồng thời thúc đẩy chuyển đổi số an toàn và bền vững vì các mục tiêu lớn của dân tộc trong thời gian tới.