• Chủ Nhật, 05/06/2011 18:13 (GMT+7)

    Điện toán mây "vấp" luật bảo vệ dữ liệu cá nhân?

    NND
    Sử dụng điện toán mây và bảo vệ dữ liệu cá nhân thế nào là những vấn đề tương đối mới. Trong mối tương quan này, có cả những vấn đề tưởng rất đơn giản, có xử lý dữ liệu cá nhân trên mây được không, nếu có thì cần thực hiện những yêu cầu gì...

    Chuyên đề Điện toán mây của Trang công nghệ cao của Nga là CNews.ru ngày 1/6/2011 có bài phân tích về bảo vệ dữ liệu cá nhân trên điện toán mây. Theo bài viết, điều 152 Luật liên bang Nga (viết tắt là FL-152) "Về dữ liệu cá nhân" không hề tạo nên các rào cản về mặt nguyên lý đối với việc xử lý dữ liệu cá nhân trên "đám mây". Ông Alexei Lukatsky, Giám đốc Kinh doanh của Công ty Cisco Nga nói: "Theo Luật và các nghị định của Chính phủ Nga, việc xử lý dữ liệu cá nhân và bảo vệ dữ liệu cá nhân có thể giao cho bên thứ ba, trong đó có thể có các nhà cung cấp dịch vụ điện toán mây".

    Nhưng liệu có thể luôn luôn thực hiện được FL-152 trong điều kiện và môi trường điện toán mây? Ở đây chưa có sự thống nhất, thậm chí chỉ là sự thống nhất của nội bộ các nhà cung cấp dịch vụ điện toán mây: "FL-152 không khiến cho việc triển khai các hệ thống lên đám mây điện toán trở thành không thể - Vladimir Savchenko, lãnh đạo bộ phận bán hàng của Softline Cloud Service nói - Nếu như hệ thống có thể thực hiện phù hợp với các đòi hỏi của FL-152 trong phương án on-site thì nó có thể thực hiện phù hợp với những đòi hỏi này cả trên đám mây".

    Thế nhưng, ông Alexei Bakhtiarov, Tổng giám đốc Infobox (Nga) lại không hoàn toàn đồng ý với ý kiến trên của ông Savchenko: "Trong một số trường hợp, không thể sử dụng hạ tầng điện toán mây do những quy định của pháp luật, và khi đó buộc phải xây dựng đám mây riêng (private cloud) cho khách hàng. Sự phức tạp của các giải pháp như vậy là đủ lớn".

    Đồng thời, Alexei Bakhtiarov cho rằng các vấn đề chỉ liên quan đến vài hệ thống nhất định: "Nhiều người quên hoặc không biết rằng các hệ thống thông tin và dữ liệu lưu trữ trong chúng được chia thành nhiều loại", ông Bakhtiarov nhấn mạnh. Các loại hệ thống khác nhau có những đòi hỏi khác nhau và theo Tổng giám đốc Infobox, quan trọng là đánh giá đúng và đưa ra các giải pháp tương ứng. Trong đó, tối ưu loại hình thông tin và phương pháp lưu trữ sẽ cho phép tránh được các đòi hỏi quá khắt khe của cơ quan nhà nước nhằm đảm bảo an toàn cho dữ liệu cá nhân.

    Ảnh: Xử lý dữ liệu cá nhân trên đám mây công cộng, cần có sự đồng ý cho phép...
    "Tối thiểu, phải xây dựng mô hình nguy cơ và ứng dụng các công cụ bảo vệ các hệ thống cục bộ, nơi các dữ liệu cá nhân được xử lý - Sergei Belik, Giám đốc thương mại Công ty Rustim nói - Đó là một công việc khổng lồ đòi hỏi số tiền hoàn toàn khác so với đa số người dùng điện toán mây tiềm năng hiện đang đầu tư vào CNTT và đặc biệt là vào bảo mật thông tin". Như vậy, những vấn đề chính của điện toán mây theo ý kiến của Sergei Belik liên quan không chỉ tới "đám mây" thuần tuý mà còn liên quan đến tình trạng hỗn loạn chung trong các hệ thống CNTT doanh nghiệp hiện nay.

    Luật đang làm khó điện toán mây?

    Trong các điều kiện quản lý quá chặt sẽ có những rủi ro nhất định. Đó là không phải tất cả các nhà cung cấp đám mây thực sự đáp ứng được mọi đòi hỏi của chính quyền. "Các nhà cung cấp dịch vụ điện toán mây Nga có thể gặp phải những vấn đề nghiêm túc nếu thực hiện mọi đòi hỏi của các nhà quản lý, trước hết là FSB (Federal Security Service - Cơ quan An ninh Liên bang của Nga) - Alexei Lukatsky nói - Trong thực tế, theo các đòi hỏi hiện hành, việc truyền dữ liệu cá nhân trên đường truyền dữ liệu chỉ có thể thực hiện nếu có sử dụng các công cụ mã hoá đã được cấp chứng nhận. Hy vọng rằng, tất cả khách hàng của dịch vụ điện toán mây cũng có những công cụ như thế, và điều đó có nghĩa là các nhà cung cấp không phải bận tâm về việc này!

    Liên quan đến mảng tài chính - ngân hàng, hiện tồn tại mối nghi ngại về tính khả thi trước đòi hỏi của luật và thực tế kinh doanh tại các ngân hàng Nga: "Với tất cả mong muốn của mình, cho đến bây giờ, các ngân hàng vẫn chưa thể thực hiện nhiều điểm của FL-152 liên quan đến đảm bảo quyền lợi khách hàng" - Timur Aitov, Giám đốc điều hành Hiệp hội Ngân hàng Nga ARB nói. Ông Timur Aitov dẫn ví dụ cho thấy một dịch vụ chưa thể hỗ trợ khách hàng theo đòi hỏi của FL-152. Đó là dịch vụ chuyển tiền không cần mở tài khoản mà không được sự đồng ý từ trước của người nhận.

    Còn cả những vấn đề khác. Ví dụ, không hiểu có thể thực hiện yêu cầu của khách hàng về việc ngừng xử lý dữ liệu cá nhân trên các hệ thống CNTT ngân hàng theo thời gian thực như thế nào: "Giả sử trong hệ thống đã có một giao dịch được hoàn tất với sự tham gia của một khách hàng mà những dữ liệu của người đó được yêu cầu loại bỏ. Nếu bỏ đi một dòng trong giao dịch của khách hàng này thì chúng ta không nhận được kết quả", Timur Aitov nói. Tình huống càng sa lầy với trường hợp xử lý dữ liệu cá nhân của khách hàng bằng một mẫu hồ sơ xác định lưu trữ trong các kho dữ liệu số và đưa vào báo cáo. Không hiểu, người ta sẽ phát hiện và loại trừ dữ liệu cá nhân từ hồ sơ lưu trữ và báo cáo như thế nào.

    Tuy nhiên, theo Timur Aitov, nếu nói về các ngân hàng Nga thì không chỉ FL-152 là rào cản cho việc chuyển giao dữ liệu cá nhân cho nhà cung cấp dịch vụ điện toán mây: "Các ngân hàng sợ chuyển giao dữ liệu cá nhân không vì FL-152 mà vì sợ dữ liệu cá nhân của họ rơi vào tay đối thủ cạnh tranh", Timur Aitov nói. Theo Giám đốc điều hành ARB, hiện tại, thị trường ngân hàng Nga đang tiến gần mức bão hoà và tất cả mọi người có khả năng tài chính đủ lớn để mở tài khoản ngân hàng đã mở tài khoản ngân hàng nên trong vòng 3 - 4 năm tới, cuộc chiến cạnh tranh sẽ chủ yếu là lôi kéo khách hàng của nhau.

    Không cần sự cho phép xử lý dữ liệu cá nhân trên đám mây?

    Quan trọng là phải hiểu thế nào là xử lý dữ liệu cá nhân trên đám mây trong từng bối cảnh luật pháp. Có ý kiến cho rằng một nhà cung cấp dịch vụ điện toán đám mây như là một đại diện pháp nhân của nhà khai thác vì để xử lý dữ liệu trên môi trường đám mây không đòi hỏi có thêm sự đồng ý từ phía các chủ thể dữ liệu cá nhân. Alexei Lukatsky không đồng ý với quan điểm này: “Trong điều luật hiện hành của Nga nói rõ rằng việc chuyển dữ liệu cá nhân cho bên thứ ba (các nhà cung cấp dịch vụ đám mây chính là bên thứ ba) phải được sự chấp thuận của chủ nhân dữ liệu đó. Nếu nhà cung cấp dịch vụ điện toán mây nhận được dữ liệu cá nhân từ bên thứ ba, họ phải thông báo cho chủ dữ liệu về việc chuẩn bị xử lý dữ liệu đó. Nếu chủ nhân không cấm thì nhà cung cấp dịch vụ điện toán mây có quyền xử lý dữ liệu cá nhân. Nói chung, vấn đề này ở Nga hiện chưa bị điều chỉnh, khác với châu Âu là nơi đang tồn tại những giải thích cụ thể về vấn đề này.

    Vì vậy, để xử lý dữ liệu cá nhân trên đám mây công cộng đòi hỏi phải có sự cho phép riêng. Mục 9 của FL-152 suy ra rằng, khi nhận được sự đồng ý của chủ dữ liệu cá nhân, các nhà khai thác phải chỉ rõ tên những nhà cung cấp dịch vụ đám mây của mình nói riêng và liệt kê các thao tác xử lý với dữ liệu cá nhân sẽ được thực hiện trên môi trường đám mây.

    Mặc dù Alexei Lukatsky đã dựa trên những quy định cụ thể của luật pháp, kinh nghiệm tiếp xúc với các CIO của CNews.ru cho thấy, trên thực tế, có nhiều công ty thích trích dẫn không phải các yêu cầu cụ thể của luật pháp mà theo hiểu biết của họ liên quan đến các rủi ro nếu không tuân thủ. Mọi người đều biết rằng, những đòi hỏi của cơ quan quản lý Nga đối với cộng đồng doanh nghiệp nước này đang còn khá nặng nề và việc tuân thủ một - một với những đòi hỏi đó có thể dẫn tới suy giảm năng lực cạnh tranh, thậm chí như hiện nay là đang làm chậm quá trình kinh doanh.

    Không ngạc nhiên khi trong vấn đề xử lý dữ liệu cá nhân, các công ty thích đừng thay đổi gì trong quy trình kinh doanh của mình cho đến khi chúng đụng phải những khó khăn từ thực tế và xuất hiện những phản hồi tiêu cực từ phía khách hàng.

    Truyền dữ liệu qua biên giới đáng ngại thế nào?

    Theo mục 12 của FL-152, việc truyền dữ liệu cá nhân qua biên giới được cho phép mà không có thêm sự hạn chế nào với những quốc gia đảm bảo “sự bảo vệ phù hợp quyền của các chủ dữ liệu cá nhân”. Tuy nhiên, đó là những nước nào? Liệu có an toàn không nếu như người Nga sẽ đặt mọi dữ liệu cá nhân trong phạm vi Liên bang Nga? “Đây chính là chủ đề ít đáng ngại nhất – Alexei Lukatsky nói – Việc truyền dữ liệu cá nhân đến bất kỳ nước nào ở EU đều có thể không cần có thêm hạn chế nào ngoại trừ cần phải có sự đồng ý của chủ dữ liệu cá nhân về việc truyền dữ liệu đó cho bên thứ ba”.

    “Nếu truyền dữ liệu cá nhân đến một nước không nằm trong danh sách có biện pháp bảo vệ dữ liệu cá nhân phù hợp, thì sự đồng ý của chủ dữ liệu cá nhân đó phải dưới dạng văn bản viết theo định dạng quy định trong Luật Liên bang”, Alexei Lukatsky giải thích. Ý kiến của Alexei Lukatsky cũng được xác nhận trong công văn của Bộ trưởng Bộ Thông tin liên lạc và Truyền thông đại chúng Nga ngày 13/5/2009 “Về việc thực hiện truyền dữ liệu cá nhân”, theo đó, việc phê chuẩn Công ước về Bảo vệ dữ liệu cá nhân có liên quan đến tự động hoá xử lý dữ liệu cá nhân ngày 28/1/1981 có thể được coi như bằng chứng về mức độ đủ để bảo vệ cá nhân ở Nga. Công ước vừa nêu đã được hầu hết các nước châu Âu phê chuẩn.

    Thật nghịch lý là, ở ngoài nước Nga, nhiều nơi lại có thể đơn giản hoá vấn đề xử lý dữ liệu cá nhân thay vì phức tạp hoá nó như hiện đang diễn ra với người dùng điện toán mây ở Nga: “Các nhà cung cấp dịch vụ điện toán mây ở nước ngoài không phải lo lắng về chuyện các cơ quan quản lý nhà nước Nga như FSB và FSTEK (Dịch vụ liên bang về kỹ thuật và kiểm soát xuất khẩu Nga) nghĩ gì – Alexei Lukatsky nói – Thứ nhất, họ đang ở nước khác, không thuộc thẩm quyền các cơ quan bảo vệ pháp luật Nga. Thứ hai, họ thực hiện các khuyến nghị về bảo vệ dữ liệu cá nhân được thông qua trong nước họ. Những khuyến nghị này lành mạnh hơn của Nga”.

    Ngoài ra, theo Alexei Lukatsky, Công ước châu Âu có chương cấm đặt thêm bất kỳ đòi hỏi và hạn chế nào khi thực hiện truyền dữ liệu cá nhân qua biên giới nếu nó không vì lý do an ninh quốc gia. Do đó, những đòi hỏi của FSB về sử dụng công cụ mã hoá được chứng nhận tự thân không còn ý nghĩa.

    Châu Âu cách Nga bao xa?

    Luật pháp châu Âu về bảo vệ dữ liệu cá nhân tiến bộ hơn nhiều so với FL-152 của Nga, nhưng ngay tại châu lục này, có sự thừa nhận rộng rãi rằng nó… cổ hủ! Và, một trong những nguyên nhân chính là liên quan tới sự phổ biến của điện toán mây.

    Hiện nay, khi đăng ký nhận các dịch vụ Internet, dữ liệu của người dùng có thể giao cắt hàng loạt ranh giới và giải quyết trong thẩm quyền của bất cứ nơi nào và cách chúng được xử lý trên các máy chủ của hàng loạt nhà cung cấp khác nhau ở các nước khác nhau và người dùng không bao giờ phải tham gia vào quan hệ trực tiếp với chúng. Luật pháp châu Âu hiện hành rất khó thích ứng với những trường hợp tương tự.

    Châu Âu hiểu điều đó và làm cho luật trở nên phù hợp với điện toán mây đang trở thành một trong những ưu tiên hàng đầu trong công việc của bà Neelie Kroes, Ủy viên Hội đồng châu Âu về phát triển kỹ thuật số. Hồi tháng 5/2011, bà đã có sáng kiến công khai thảo luận các chiến lược điện toán mây châu Âu. Trong quá trình này, mọi người nếu muốn có thể phát biểu trên một website riêng đến ngày 31/8/2011. Cải cách luật là một trong những khía cạnh chính của cuộc thảo luận công khai này.