Sovereign Cloud: Chủ quyền trong cuộc chiến dữ liệu

Trong kỷ nguyên số, một 'lãnh thổ' mới đã hiện hữu, vô hình, vô hạn - đó chính là dữ liệu. Chúng ta không thể sờ, không thể nắm cũng không thể thấy đường biên giới của nó. Chưa kể, loại chủ quyền này có hình thái và cấp độ khác nhau. Làm thế nào để nắm quyền kiểm soát khi dữ liệu ngày càng trở nên vô giá và cũng vô cùng phức tạp?

Lo ngại về chủ quyền số là một trong những vấn đề hàng đầu trong các chương trình nghị sự chính sách của nhiều quốc gia, đồng thời đang được bàn luận sôi nổi trong giới học thuật nghiên cứu.

Hiện tại phạm vi rộng nhất có thể đề cập tới đối với chủ quyền này là Sovereign Cloud (tạm dịch: điện toán đám mây có chủ quyền). Thế nhưng để ‘chạm’ tới chủ quyền này cần xem xét 3 trụ cột liên quan đến nó.

Ba trụ cột của Sovereign Cloud

Data Sovereignty

Theo Oracle, chủ quyền dữ liệu được hiểu là dữ liệu phải tuân theo luật pháp và quy định của khu vực địa lý mà chủ sở hữu của nó cư trú. Nhìn chung, các quy tắc về chủ quyền dữ liệu đặt trách nhiệm quản lý và bảo vệ dữ liệu người dùng cho tổ chức thu thập và xử lý dữ liệu đó.

Còn IT Governace định nghĩa: “Chủ quyền dữ liệu là khái niệm cho rằng dữ liệu kỹ thuật số phải tuân theo luật pháp của quốc gia nơi dữ liệu được thu thập”.

Đây đã và đang là đề tài được các nhà nghiên cứu bình luận dưới nhiều góc nhìn như chủ quyền dữ liệu người bản địa (Indigenous data sovereignty) hay chủ quyền dữ liệu trong phát triển thành phố thông minh, ...

Tuy nhiên, hiện tại chưa có một quy định quốc tế thống nhất nào về data sovereignty, cũng như chưa có hiệp ước toàn cầu nào đưa ra sự đồng thuận giữa các quốc gia.

Operational Sovereignty

Phạm vi của chủ quyền vận hành được mở rộng hơn so với chủ quyền dữ liệu. Chủ thể chính là các tổ chức tùy vào lĩnh vực hoạt động mà họ có thể đưa ra quyền kiểm soát đối với hệ thống CNTT, bao gồm cả việc ai chịu trách nhiệm hỗ trợ, bảo trì và vận hành hằng ngày.

Một ví dụ rõ rệt về chủ quyền vận hành dễ bị xâm phạm bởi các áp lực chính trị bên ngoài: một công tố viên hàng đầu của Tòa án Hình sự Quốc tế (ICC) được cho là đã mất quyền truy cập vào email của mình trong khi quá trình điều tra đang diễn ra, trong khi các hệ thống cốt lõi không bị ảnh hưởng. Hậu quả gây ra sự gián đoạn diện rộng: mất quyền truy cập vào bằng chứng, tài liệu pháp lý, thông tin liên lạc nội bộ.

Chủ quyền vận hành càng trở nên cần thiết khi đây được xem là khả năng để một tổ chức duy trì hoạt động liên tục mà không bị gián đoạn hay can thiệp từ các yếu tố pháp lý hoặc chính trị bên ngoài. Vấn đề này không chỉ là nỗi lo về CNTT mà còn là một điểm yếu cấu trúc đối với mọi tổ chức đặt sự độc lập, tính liên tục và độ tin cậy lên hàng đầu.

Digital Sovereignty

Chủ quyền số biểu thị khả năng của một quốc gia, tổ chức hoặc cá nhân trong việc kiểm soát và giám sát cơ sở hạ tầng số, dữ liệu và công nghệ của mình mà không phụ thuộc quá nhiều vào sản phẩm hoặc dịch vụ bên ngoài.

Chủ quyền số đảm bảo việc quản lý các tài nguyên số, bao gồm lưu trữ dữ liệu, cơ sở hạ tầng internet, phần mềm và dịch vụ số, nhằm bảo vệ an ninh quốc gia, lợi ích kinh tế và các giá trị văn hóa. Điều này cũng đang trở nên ngày càng quan trọng đối với các tổ chức nghiên cứu do sự phức tạp, đa diện về yếu tố và hiện luôn tồn tại những thách thức cần tháo gỡ. 

Ma trận pháp lý toàn cầu 

Cùng với hàng loạt những định nghĩa mới về chủ quyền trong thế giới công nghệ thì cuộc chiến ai sẽ sở hữu đám mây lại càng trở nên phức tạp hơn bởi sự xung đột của các hệ thống pháp luật. 

GDPR (EU)

GDPR được xem là ‘tiêu chuẩn vàng’ về bảo vệ dữ liệu, cũng như chuyển giao dữ liệu khỏi biên giới EU. Cụ thể tại Chương 5 đề cập tới quy định gắt gao trong “Chuyển giao dữ liệu cá nhân sang quốc gia thứ ba hoặc các tổ chức quốc tế". Trong đó, nếu quốc gia tiếp nhận đảm bảo một mức độ bảo vệ dữ liệu cá nhân tương đương với GDPR của EU thì mới được xem xét việc chuyển giao dữ liệu.

Cloud Act (Hoa Kỳ)

Cloud Act là đạo luật được nhắc đến nhiều nhất do những vấn đề pháp lý mà các quốc gia đang gặp phải. Đặc điểm chính của đạo luật này là nó tuân theo “một cách tiếp cận không phân biệt địa lý đối với thẩm quyền đối với dữ liệu đám mây”. 

Nghĩa là, chừng nào các nhà cung cấp dịch vụ còn là người Mỹ, họ buộc phải tiết lộ dữ liệu mà họ nắm giữ bất kể dữ liệu được lưu trữ ở đâu. Ví dụ: một công ty công nghệ Mỹ (như Google, Apple, Microsoft) lưu trữ dữ liệu của bạn, họ phải tuân thủ yêu cầu cung cấp dữ liệu từ chính phủ Mỹ, bất kể dữ liệu đó được lưu ở đâu trên thế giới.

Nếu muốn quá trình này chia sẻ giữa hai bên thì một quốc gia cần chứng minh rằng họ tôn trọng quyền con người, quyền riêng tư và có một hệ thống luật pháp công bằng và được Mỹ công nhận là đáng tin cậy, quốc gia đó sẽ ký một thỏa thuận chính thức về chia sẻ dữ liệu.

Vì vậy, nó đặt ra một tiêu chuẩn về sự can thiệp của luật pháp nước ngoài mà các nhà hoạch định chính sách các nước coi là nguy hiểm đối với tính bảo mật dữ liệu quốc gia. 

Cybersecurity Law (Trung Quốc)

Luật An ninh mạng của Trung Quốc quy định rất nghiêm ngặt về các đơn vị vận hành cơ sở hạ tầng thông tin trọng yếu thu thập, sản xuất thông tin cá nhân hoặc dữ liệu quan trọng trong quá trình hoạt động tại lãnh thổ Cộng hòa Nhân dân Trung Hoa và bắt buộc phải lưu trữ thông tin đó tại lãnh thổ Trung Quốc. Trường hợp do yêu cầu nghiệp vụ thực sự cần thiết phải cung cấp thông tin ra nước ngoài, phải thực hiện các biện pháp đánh giá an ninh do cơ quan an ninh mạng thực hiện.

Cách tiếp cận Sovereign Cloud

Khi khối lượng dữ liệu càng lớn, việc lưu trữ chúng trên các máy chủ cục bộ (local server) không còn là một giải pháp khả thi. Thay vào đó, điện toán đám mây nhanh chóng trở thành giải pháp quan trọng trong quá trình chuyển đổi này. Dự đoán chi tiêu toàn cầu cho các giải pháp đám mây có chủ quyền dự kiến sẽ đạt gần 260 tỷ USD vào năm 2027.

Tuy nhiên, thực tế không phải quốc gia nào cũng có khả năng phát triển năng lực đám mây nhằm phục vụ lưu trữ dữ liệu cho riêng mình. Theo báo cáo năm 2019, 92% dữ liệu được tạo ra ở phương Tây được lưu trữ trên các máy chủ của Hoa Kỳ.

Câu hỏi đặt ra là: Nếu một công ty châu Âu sử dụng nhà cung cấp dịch vụ đám mây (cloud provider) của Hoa Kỳ để lưu dữ liệu của khách hàng 'mang quốc tịch' Trung Quốc sẽ thế nào? 

Từ ví dụ này ta thấy chủ quyền lại có nhiều góc độ khác nhau từ mỗi chủ thể:

• Từ góc độ khách hàng 'mang quốc tịch' Trung Quốc, đương nhiên họ muốn kiểm soát hoàn toàn ai được phép truy cập dữ liệu và sử dụng dữ liệu lưu trữ đó. Vậy nên họ đã chọn công ty châu Âu bởi những điều khoản về dữ liệu nghiêm ngặt. Nhưng nào ngờ công ty này sử dụng nhà cung cấp dịch vụ đám mây của Hoa Kỳ (phải chịu điều chỉnh của luật pháp Hoa Kỳ).
• Nhà cung cấp dịch vụ đám mây tại Hoa Kỳ là bên vận hành cơ sở hạ tầng, dịch vụ. Họ là một nhà kinh doanh đúng nghĩa với mong muốn có quyền khai thác một phần dữ liệu được lưu giữ.
• Cuối cùng là công ty châu Âu, chủ thể đứng giữa trong mỗi quan hệ khách hàng và nhà cung cấp. Hưởng lợi ích từ việc giảm được chi phí hạ tầng những về cơ bản lại không có bất kì quyền sở hữu pháp lý nào đối với dữ liệu khách hàng Trung Quốc. 

Đặt trong trường hợp vừa nêu, vậy: Ai sẽ hưởng lợi? Ai sẽ gặp tổn thất? Bản chất của chủ quyền thực sự thuộc về ai vẫn chưa có câu trả lời. Việc theo đuổi toàn quyền về chủ quyền đám mây là một con dao hai lưỡi, cần cân nhắc chiến lược kỹ lưỡng.

Nỗ lực chủ quyền dữ liệu của các quốc gia

Tại Úc, tương tự như các quốc gia khác, trước khi xôn xao về sovereignty, chính phủ liên bang và tiểu bang Úc sử dụng cả cloud nội địa, cloud từ nhà cung cấp Hoa Kỳ và nhiều dữ liệu chính phủ lưu ở region của nhà cung cấp dịch vụ hoặc nước thứ ba. Khi thế giới công nghệ thay đổi, chính phủ Úc đã cập nhật chính sách:

• Dữ liệu chính phủ cấp “PROTECTED” hoặc nhạy cảm phải lưu trữ trên hạ tầng đặt tại Úc.
• Nhà cung cấp dịch vụ đám mây phải được chứng nhận IRAP (Information Security Registered Assessors Program) và pháp nhân quản lý hạ tầng phải là công ty Úc hoặc công ty nước ngoài có thỏa thuận an ninh đặc biệt.
• Tăng cường các hiệp định thương mại quốc tế; theo đuổi các quy định về luồng dữ liệu xuyên biên giới tự do, mang lại lợi ích kinh tế cho Úc và các đối tác thương mại.

Mặc dù chi phí đầu tư, vận hành dịch vụ ban đầu khá lớn và hiện nay Úc vẫn chưa cắt hẳn sự phụ thuộc với tài nguyên bên ngoài, nhưng lợi ích bước đầu nó mang lại là không hề nhỏ. 

Ngành data tại Úc đã có những chuyển biến khi các nhà cung cấp cloud cho thị trường Úc mở thêm data center nội địa, xuất hiện nhiều liên doanh giữa doanh nghiệp trong ngoài nước, thúc đẩy nhà cung cấp nội địa phát triển để đảm bảo yêu cầu này từ chính phủ. Không những thế, an ninh quốc gia được đảm bảo, tránh được sự kiểm soát mạnh mẽ của Cloud Act.

Cùng mục tiêu nhưng có kết quả thành công hơn đó là Trung Quốc. Trước năm 2017, thị trường internet Trung Quốc dù đã có Great firewall chặn nhiều nền tảng phương Tây, nhưng dòng dữ liệu vẫn gắn bó mật thiết với hạ tầng quốc tế. Google, Facebook, AWS, Microsoft Azure hay Apple iCloud vẫn có thể phục vụ khách hàng Trung Quốc qua các trung tâm dữ liệu đặt tại Singapore, Hồng Kông hoặc Mỹ. Chi phí hạ tầng thấp, ít rào cản pháp lý về lưu trữ nội địa giúp doanh nghiệp quốc tế triển khai dịch vụ nhanh chóng. 

Năm 2017, Trung Quốc thay đổi cục diện bằng Luật An ninh mạng, yêu cầu dữ liệu cá nhân và quan trọng phải lưu trữ trong lãnh thổ, đồng thời siết chặt quy trình chuyển dữ liệu ra nước ngoài. 

Tới 2021, Luật An toàn dữ liệu (DSL) và Luật Bảo vệ thông tin cá nhân (PIPL) siết chặt hơn: định nghĩa rõ dữ liệu trọng yếu, thiết lập quy trình kiểm soát xuất khẩu dữ liệu, áp dụng chế tài phạt nặng. Lý do cốt lõi là bảo vệ an ninh quốc gia, tránh nguy cơ bị tiếp cận bởi chính phủ nước ngoài và thúc đẩy chiến lược tự chủ công nghệ. Hệ quả là doanh nghiệp nước ngoài buộc phải ‘nội địa hóa’ dữ liệu hoặc rút lui. Apple chuyển dữ liệu iCloud về Quý Châu, hợp tác với công ty nhà nước GCBD; AWS phải ủy quyền vận hành cho đối tác địa phương; LinkedIn phải rút lui do không đáp ứng yêu cầu kiểm duyệt và lưu trữ dữ liệu. 

Trong khi đó, vào năm 2022, các doanh nghiệp nội địa như Alibaba Cloud, Tencent Cloud, Huawei Cloud chiếm lĩnh thị trường cloud trị giá 30 tỷ USD. 

Về kinh tế vĩ mô, Trung Quốc gặt hái lợi ích kép: tăng đầu tư vào hạ tầng số, tạo việc làm, giảm phụ thuộc vào công nghệ Mỹ, có thể nói dẫn đầu trong công nghệ nói chung và dữ liệu nói riêng. 

Giải pháp

Dường như không có một câu trả lời duy nhất cho vấn đề quản lý dữ liệu này mà cần một chiến lược đa tầng, kết hợp cả kỹ thuật, pháp lý và kinh tế dựa trên nhu cầu của từng chủ thể. Trước những thay đổi nhanh chóng của địa chính trị như hiện nay thì giải pháp tối ưu nhất là tập trung vào thiết kế hệ thống trên đám mây linh hoạt dựa trên đặc thù nhạy cảm của lĩnh vực doanh nghiệp đang kinh doanh.

1. Tận dụng mạng lưới toàn cầu của các public cloud để xây dựng node xử lý dữ liệu quy hoạch theo từng vùng lãnh thổ, phù hợp với quốc gia mà doanh nghiệp đang có văn phòng hoạt động.

• Ưu điểm: Rất tiện lợi, dễ mở rộng và chi phí thấp trong việc dễ dàng tuân thủ ràng buộc của vùng lãnh thổ dựa trên các tiêu chuẩn đã được xây dựng bởi các nhà cung cấp dịch vụ public cloud
• Điểm cần lưu ý: Vẫn có khả năng xảy ra tình huống xung đột vì bộ luật Cloud Act của Mỹ. Ngoài ra thì không phải vùng lãnh thổ nào cũng có điểm đặt data center của các nhà cung cấp dịch vụ public cloud

2. Sử dụng các đám mây Sovereign của các nhà cung cấp dịch vụ public cloud. Dịch vụ này cung cấp hệ thống đám mây được thiết kế để đáp ứng các yêu cầu nghiêm ngặt về pháp lý, bảo mật và quyền kiểm soát dữ liệu của một quốc gia hoặc khu vực cụ thể. Nó không chỉ đảm bảo dữ liệu được lưu trữ trong nước mà còn được quản lý và vận hành bởi các đối tác địa phương, không bị phụ thuộc vào các công ty nước ngoài. Ví dụ: AWS Sovereign Cloud ở châu Âu không chỉ tuân thủ GDPR mà dữ liệu nhạy cảm sẽ không bị tác động bởi các luật pháp nước ngoài như Cloud Act, vì toàn bộ cơ sở hạ tầng và đội ngũ vận hành đều nằm trong phạm vi lãnh thổ đã cam kết.

• Ưu điểm: Tuân thủ pháp lý địa phương triệt để, kiểm soát tối đa rủi ro theo giới hạn lãnh thổ
• Điểm cần lưu ý: Không phải vùng lãnh thổ nào cũng có và chi phí sẽ tốn kém hơn bình thường. Vẫn có rủi ro dù thiết kế tách biệt, giả định vì là công ty Mỹ nên có thể họ sẽ phải tuân thủ yêu cầu tạo ra kết nối từ đó Cloud Act vẫn có hiệu lực.

3. Tự xây dựng đám mây hay dùng đám mây của doanh nghiệp trong nước. Đây là phương án giúp doanh nghiệp có quyền kiểm soát cao nhất đối với dữ liệu và hệ thống của mình, phù hợp với các tổ chức hoạt động trong lĩnh vực đặc thù như tài chính, quốc phòng, và các dữ liệu kinh doanh nhạy cảm.

• Ưu điểm: Tự chủ và độc lập kiểm soát dữ liệu tuân thủ pháp lý tuyệt đối các yêu cầu của quốc gia
• Điểm cần lưu ý: Chi phí ban đầu cao, khó mở rộng vì vận hành tốn kém và phức tạp hơn, tốc độ phát triển công nghệ mới có thể chậm hơn.

Tạm kết

Trong bối cảnh các yếu tố địa chính trị, pháp lý, kinh tế và công nghệ đang đan xen, không tồn tại một ‘công thức’ duy nhất để bảo đảm chủ quyền dữ liệu. Mỗi quốc gia, mỗi doanh nghiệp cần một chiến lược đa tầng, kết hợp các giải pháp thiết kế công nghệ, mô hình vận hành để vẫn linh hoạt và luôn tuân thủ pháp luật, an toàn trước các vấn đề chủ quyền dữ liệu.

Chủ quyền đám mây không còn là một lựa chọn, mà là một xu hướng tất yếu trong một thế giới số ngày càng bất ổn.

Tham khảo

What Is Data Sovereignty? | Oracle

Under the hood of data sovereignty | Tech Radar

What Is Data Sovereignty? | IBM

The Dangers of AI Sovereignty | Lawfare