Vai trò đặc biệt quan trọng của dữ liệu số đối với hoạt động của mọi tổ chức, doanh nghiệp trong kỷ nguyên số là vấn đề không cần bàn cãi. Ở cấp độ tổng thể nền kinh tế, dữ liệu được coi là “tài nguyên mới”, thậm chí quan trọng hơn cả “dầu mỏ”. Ở cấp độ doanh nghiệp, dữ liệu ngày càng được thừa nhận như là một hình thức tài sản mới. Tuy vậy, trong khoảng năm năm gần đây, những thay đổi của pháp luật nhằm hướng tới điều chỉnh hoạt động kinh doanh có liên quan đến công nghệ số có xu hướng yêu cầu tổ chức, doanh nghiệp phải “kết nối, chia sẻ” dữ liệu số của mình đến cơ quan nhà nước chịu trách nhiệm quản lý trong ngành, lĩnh vực.

Gia tăng xu hướng yêu cầu “chia sẻ” dữ liệu

Mới đây nhất, trong dự thảo Nghị định về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng (gọi tắt là Nghị định 72 sửa đổi), Bộ Thông tin và Truyền thông yêu cầu doanh nghiệp mạng xã hội trong nước phải kết nối đến hệ thống giám sát của bộ để phục vụ việc thống kê, theo dõi lượng người dùng, truy cập (khoản 13, điều 38). Đây là một trong rất nhiều quy định mới được dự kiến bổ sung hoặc đã ban hành trong thời gian gần đây mà yêu cầu doanh nghiệp kết nối, chia sẻ dữ liệu liên tục (24/7) với cơ quan nhà nước.

Trước đó, trong tiến trình sửa đổi nghị định về kinh doanh thương mại điện tử, Bộ Công Thương, cơ quan được Chính phủ giao chủ trì sửa đổi nghị định, cũng từng đưa ra yêu cầu các sàn thương mại điện tử phải “kết nối, chia sẻ” dữ liệu về giao dịch trên các sàn cho Bộ Công Thương. Ở lĩnh vực bảo hiểm, dự thảo sửa đổi Luật Kinh doanh bảo hiểm cũng từng có những đề xuất về việc doanh nghiệp kinh doanh bảo hiểm phải cung cấp dữ liệu cho cơ quan nhà nước quản lý chuyên ngành, ở đây là Bộ Tài chính.

Việc yêu cầu doanh nghiệp cung cấp dữ liệu thường được cơ quan nhà nước giải thích là giúp hỗ trợ công tác giám sát của cơ quan nhà nước có thẩm quyền, giúp phát hiện, xử lý hành vi vi phạm pháp luật dễ dàng hơn trong bối cảnh công nghệ số đang phát triển với tốc độ nhanh chóng. Tuy nhiên, giải pháp này lại tạo ra xung đột với các quy định pháp luật về quyền tự do kinh doanh, quyền sở hữu trí tuệ và quyền riêng tư. Đó là chưa kể đến các rủi ro về mặt kỹ thuật như gia tăng nguy cơ rủi ro an ninh hệ thống mạng của doanh nghiệp; vấn đề bồi thường thiệt hại của chính cơ quan nhà nước nếu không bảo vệ được dữ liệu mà doanh nghiệp cung cấp.

Vậy đâu là giới hạn hợp pháp, hợp lý, tối ưu để một mặt, bảo vệ được “tài sản dữ liệu” của doanh nghiệp, mặt khác đáp ứng nhu cầu quản lý nhà nước?

Xung đột quy định pháp luật

Thứ nhất, quy định doanh nghiệp chia sẻ dữ liệu với cơ quan nhà nước xung đột với quy định về quyền tự do kinh doanh đã được ghi nhận trong Hiến pháp 2013 và Luật Doanh nghiệp 2020. Trong điều kiện bình thường, chủ thể kinh doanh có khả năng lựa chọn, quyết định các hoạt động kinh doanh dựa trên nhận thức, mong muốn của mình. Tuy nhiên, việc kết nối hệ thống kỹ thuật của doanh nghiệp với cơ quan nhà nước làm hạn chế khả năng tự chủ của doanh nghiệp trong việc sử dụng hệ thống kỹ thuật tối ưu nhất với mô hình kinh doanh, nguồn lực của mình, thay vào đó phải ưu tiên sử dụng hệ thống kỹ thuật phù hợp với hệ thống kỹ thuật của cơ quan nhà nước. Việc kết nối hệ thống kỹ thuật của doanh nghiệp đến hệ thống kỹ thuật của cơ quan nhà nước cũng làm hạn chế khả năng tự chủ trong cách thức quản lý các loại dữ liệu gắn liền với hoạt động kinh doanh của doanh nghiệp.

Thứ hai, quy định doanh nghiệp chia sẻ dữ liệu này xung đột với quy định về quyền sở hữu trí tuệ đối với bí mật kinh doanh được ghi nhận trong Hiến pháp 2013 và Luật Sở hữu trí tuệ 2005 (sửa đổi, bổ sung năm 2009, 2019, 2022). Pháp luật cho phép doanh nghiệp được sở hữu những thông tin mang lại lợi thế kinh doanh của mình mà không cần công khai với bất cứ chủ thể nào khác. Lợi thế kinh doanh của doanh nghiệp có thể đến từ dữ liệu hành vi của khách hành, dữ liệu nghiên cứu sản phẩm, dữ liệu phân tích thị trường… trong hệ thống của doanh nghiệp. Việc kết nối dữ liệu đến hệ thống của cơ quan nhà nước có thể làm doanh nghiệp bị rò rỉ các dữ liệu tạo ra lợi thế kinh doanh của mình.

Thứ ba, quy định doanh nghiệp chia sẻ dữ liệu xung đột với quy định về quyền riêng tư được ghi nhận trong Hiến pháp 2013, Bộ luật Dân sự 2015 và Nghị định 13/2023/NĐ-CP. Quy định này không nằm trong ngoại lệ về xử lý dữ liệu cá nhân mà không cần sự đồng ý từ chủ thể dữ liệu được quy định tại điều 17 Nghị định 13/2023/NĐ-CP. Do đó, doanh nghiệp bắt buộc phải lấy được sự đồng ý của người dùng trước khi chia sẻ dữ liệu mà có bao gồm dữ liệu cá nhân với cơ quan nhà nước. Trong trường hợp này, nếu doanh nghiệp không có được sự đồng thuận của người dùng, doanh nghiệp sẽ rơi vào tình thế lưỡng nan: chia sẻ dữ liệu với cơ quan nhà nước sẽ có nguy cơ vi phạm quy định về bảo vệ dữ liệu cá nhân, mà không chia sẻ dữ liệu với cơ quan nhà nước thì sẽ có nguy cơ vi phạm quy định về chia sẻ dữ liệu.

Hướng đi nào?

Trước tiên, cơ quan soạn thảo văn bản quy phạm pháp luật nên loại bỏ loại quy định yêu cầu doanh nghiệp chia sẻ dữ liệu với cơ quan nhà nước nhằm phục vụ hoạt động giám sát, xử lý vi phạm hành chính. Trong trường hợp cơ quan nhà nước nghi ngờ doanh nghiệp có hành vi vi phạm pháp luật, cơ quan nhà nước phải thực hiện điều tra, chứng minh, xử phạt, thay vì yêu cầu doanh nghiệp chủ động chia sẻ dữ liệu để chứng minh mình không vi phạm pháp luật. Nguyên tắc này đã có lịch sử tồn tại lâu đời trong đời sống pháp lý trên thế giới và thường được biết đến là “suy đoán vô tội” trong pháp luật tố tụng hình sự. Nguyên tắc này là kết quả của quá trình nỗ lực nhằm hạn chế sự lạm dụng quyền lực của cơ quan nhà nước, xâm phạm quyền lợi chính đáng của con người.

Thứ hai, về dài hạn, cần có cách tiếp cận chính sách có hệ thống hơn để giải quyết bài toán cơ quan nhà nước sử dụng dữ liệu của doanh nghiệp. Cần phân định rõ hai trường hợp sử dụng dữ liệu chính: ⁽¹⁾ khai thác dữ liệu cho lợi ích chung (lợi ích công), trong đó phổ biến nhất là trường hợp cơ quan nhà nước cần thêm nguồn dữ liệu để đưa ra quyết định chính sách; ⁽²⁾ khai thác dữ liệu nhằm hỗ trợ quản lý hành chính trong trường hợp cơ quan nhà nước thực hiện kiểm tra, thanh tra, xử lý vi phạm hành chính. Đối với trường hợp thứ nhất, đây là quan hệ kinh tế và cần thực hiện theo con đường dân sự: đồng thuận hoặc “thuận mua, vừa bán” – hoàn toàn tự nguyện. Trong trường hợp thứ 2, việc chia sẻ dữ liệu là với từng trường hợp cụ thể (chứ không phải là mặc định, thông qua kết nối kỹ thuật trực tiếp vào cơ sở dữ liệu của doanh nghiệp). Kể cả chia sẻ trong từng trường hợp cụ thể như vậy, vẫn cần xây dựng quy trình chặt chẽ bao gồm: căn cứ pháp lý và thẩm quyền yêu cầu cung cấp dữ liệu, loại dữ liệu và mục đích chia sẻ, thời gian chia sẻ, quyền phản hồi của doanh nghiệp về yêu cầu chia sẻ. Đồng thời, cần làm rõ trách nhiệm của các bên trong việc bảo vệ tính toàn vẹn của dữ liệu khi dữ liệu được chia sẻ giữa doanh nghiệp với cơ quan nhà nước. Hơn nữa, cần thiết lập tiêu chuẩn công nghệ để quá trình chia sẻ dữ liệu giữa doanh nghiệp với cơ quan nhà nước diễn ra nhanh chóng, thuận lợi. Chẳng hạn như tiêu chuẩn về API, mã hóa, giải mã và tính khả chuyển của dữ liệu giữa các hệ thống kỹ thuật.

Lan Phương/KTSG