Định vị hóa dữ liệu – Một liều thuốc thần?

Iworld.com.vn gửi tới độc giả thông tin về định vị hóa dữ liệu mà có thể bạn sẽ quan tâm.

Sau quyết định Schrems II, và trong bối cảnh phán quyết của Facebook vào ngày 14/5 vừa qua, câu hỏi trong tâm trí của mọi người là làm thế nào để thực sự bảo vệ dữ liệu cá nhân khỏi con mắt tò mò của các cơ quan an ninh quốc gia trên toàn thế giới. Mặc dù hướng dẫn chi tiết được ban hành vào tháng 11 năm 2020, việc thiếu lấy các hướng dẫn dứt khoát mới để truyền dữ liệu qua biên giới châu Âu, khiến nhiều người đang bắt đầu tự hỏi liệu định vị hóa dữ liệu có phải là một liều thuốc thần để bảo vệ dữ liệu cá nhân hay không.

Các thuật ngữ ‘chủ quyền dữ liệu‘, ‘lưu trữ dữ liệu‘ và ‘định vị hóa dữ liệu‘ là những thuật ngữ dễ gây nhầm lẫn cho hầu hết mọi người. Các thuật ngữ này phản ánh một cách hiệu quả ba mức độ của một khái niệm duy nhất: quyền riêng tư dữ liệu ảnh hưởng đến luồng dữ liệu xuyên biên giới như thế nào. Chủ đề này ngày càng trở nên quan trọng sau quyết định của Schrems II và những yêu cầu lên các tổ chức/ doanh nghiệp khi xử lý dữ liệu cá nhân phải đảm bảo quyền riêng tư, không bị đặt vào nguy cơ chịu sự giám sát của chính phủ khi chia sẻ dữ liệu qua biên giới.

Cư trú dữ liệu (Data residency) đề cập đến quốc gia nơi một tổ chức lưu trữ dữ liệu của tổ chức, thường là vì lý do quy định hoặc chính sách. Một lý do phổ biến về yêu cầu cư trú dữ liệu là cho mục đích thuế: để chứng minh một tổ chức tiến hành một phần lớn hoạt động kinh doanh của mình ở một quốc gia nhất định, tổ chức này sẽ đưa ra một cơ sở hạ tầng đòi hỏi phải quản lý dữ liệu nghiêm ngặt để bảo vệ quyền thuế của mình.

Chủ quyền dữ liệu (Data sovereignty) khác với cư trú dữ liệu ở chỗ không chỉ là dữ liệu được lưu trữ ở một vị trí được chỉ định mà còn phải tuân theo luật pháp của quốc gia nơi dữ liệu được lưu trữ vật lý. Sự khác biệt này đặc biệt quan trọng, vì sẽ có các yêu cầu về quyền riêng tư và bảo mật khác nhau tùy thuộc vào vị trí của các trung tâm dữ liệu. Từ góc độ pháp lý, sự khác biệt rất quan trọng vì quyền truy cập dữ liệu của chính phủ khác nhau tùy theo quốc gia.

Định vị hóa dữ liệu (Data localisation) là khái niệm nghiêm ngặt nhất trong ba mức độ, đó là lý do tại sao nó thường được gọi là “định vị hóa dữ liệu cứng“. Yêu cầu dữ liệu được tạo trong một số biên giới nhất định ở trong đó và hầu như luôn được áp dụng cho việc tạo và lưu trữ dữ liệu cá nhân, không có ngoại lệ. Một ví dụ điển hình là Luật Dữ liệu Cá nhân của Nga (OPD-Law), yêu cầu lưu trữ, cập nhật và truy xuất dữ liệu về công dân của mình phải được giới hạn trong các tài nguyên trung tâm dữ liệu trong Liên bang Nga.

Trong thế giới hậu Schrems II, một số tổ chức đã đưa ra quan điểm GDPR (Quy định bảo vệ dữ liệu chung – General Data Protection Regulation) yêu cầu định vị hóa dữ liệu cứng. Câu hỏi đặt ra là liệu các hành động như vậy có thực tế hay không và liệu chúng có cung cấp quyền bảo mật riêng tư tương tự như GDPR hay không.

Ý nghĩa của định vị hóa dữ liệu cứng là gì?

Định vị hóa dữ liệu đi ngược lại các nguyên tắc điện toán đám mây (và mạng Internet) – cho phép luồng dữ liệu tự do sử dụng tốt nhất. Nó cũng có khả năng trái với các nguyên tắc di chuyển tự do dữ liệu theo luật của EU. Mạng Internet là toàn cầu và ngoài Internet, hầu hết các công ty vận hành trong một môi trường toàn cầu tích hợp, lưu ý rằng “truy cập từ xa của một thực thể từ một quốc gia thứ ba đến dữ liệu nằm trong EEA cũng được coi là một sự chuyển giao.”

Chi phí vận hành dịch vụ được định vị hóa cũng phải được tính vào, bao gồm chi phí hỗ trợ, kỹ thuật (ví dụ: phát triển, gỡ lỗi và bảo trì) và chi phí dự phòng (ví dụ: phần dự phòng). Vì vậy, trong khi việc tạo ra cơ sở hạ tầng địa phương có thể ngụ ý việc làm ngắn hạn cho nền kinh tế địa phương, thực tế là do thường hoàn toàn tự động hóa, việc làm và cổ tức đầu tư có thể tồn tại trong thời gian ngắn.

Định vị hóa dữ liệu cũng thường được chào mời như một phương tiện để bảo vệ dữ liệu công dân châu Âu khỏi sự giám sát của chính phủ quốc gia thứ 3, đặc biệt là quyền truy cập của Chính phủ Hoa Kỳ theo Điều luật CLOUD. Mặc dù định vị hóa cung cấp một số biện pháp bảo vệ (tức là không chuyển dữ liệu ra khỏi lãnh thổ), nhưng điều đó không tự động có nghĩa là dữ liệu sẽ được bảo vệ đầy đủ trong nước. Ví dụ: định vị hóa dữ liệu không có nghĩa là các tiêu chuẩn mã hóa thích hợp được đáp ứng, cũng không có nghĩa là không có giám sát địa phương – ngay cả ở các quốc gia thích hợp.

Bạn có thể đã nghe nói về Liên minh Five EYES, Nine EYES, và Fourteen EYES Alliances. Nếu chưa, đây là tất cả về các thỏa thuận chia sẻ thông tin tình báo. Ban đầu, Liên minh Five Eyes phát sinh từ thời kỳ chiến tranh lạnh và là một hiệp ước giữa Hoa Kỳ và Vương quốc Anh nhằm giải mã tình báo Nga Xô viết. Đến cuối những năm 1950, Canada, Úc và New Zealand cũng gia nhập Liên minh. Năm quốc gia nói tiếng Anh này là Liên minh Five Eyes. Ngoài liên minh này, hai thỏa thuận chia sẻ thông tin tình báo quốc tế khác được biết đến công khai: Nine Eyes (Five Eyes Denmark, France, Holland, Na Uy) và Liên minh Mười bốn mắt (Nine Eyes Germany, Bỉ, Ý, Thụy Điển, Tây Ban Nha).

Với suy nghĩ này, một số công ty lập luận, không có bằng chứng, rằng bằng cách kinh doanh từ một khu vực pháp lý nhất định, họ có thể cung cấp sự bảo vệ đầy đủ hơn chống lại sự giám sát. Và không có nhiều bất ngờ, không một quốc gia nào, ngay cả trong Liên minh châu Âu, cung cấp mức độ bảo vệ tương tự chống lại sự giám sát và hoạt động giám sát của Hoa Kỳ không rộng rãi hơn nhiều so với các quốc gia khác được coi là cung cấp sự bảo vệ đầy đủ. Ví dụ như việc sử dụng VPN để bảo vệ quyền riêng tư. Nhiều nhà cung cấp cho rằng việc chọn VPN bên ngoài các quốc gia 5/9/14 Eyes có thể cung cấp sự bảo vệ hơn nữa.

Sự thật là một khi tuyên bố rất rõ ràng này được nói, câu hỏi vẫn còn rộng mở vì nhiều lý do hợp lệ. VPN là hoạt động quốc tế, có nghĩa là một cách hiệu quả, bất kỳ tổ chức nào hoạt động tại một quốc gia nhất định đều có thể phải chịu trách nhiệm trước cơ quan thực thi pháp luật của quốc gia đó, cho dù theo hiệp ước hay theo bất kỳ loại lệnh nào khác của tòa án. Nếu một quốc gia không có một hiệp ước chung và không phải là một phần của Eyes 5/9/14, không có gì ngăn cản một quốc gia gây áp lực chính trị lên quốc gia kia (ví dụ như các biện pháp trừng phạt) để có được những gì họ muốn. Ngoài ra, hoạt động ở một quốc gia nhất định, ví dụ Panama, không có nghĩa là một quốc gia sẽ từ chối hợp tác với chính quyền của một quốc gia khác, chẳng hạn như Canada.

Có rất ít cơ hội để tìm một quốc gia hoàn toàn được miễn với luật truy cập dữ liệu theo cách này hay cách khác và không có gì có thể ngăn cản một quốc gia gây áp lực lên một quốc gia khác để có được những gì họ muốn. Điều đó cũng vận hành cho các công ty. Ví dụ, Microsoft gần đây đã thông báo rằng họ đã “trả lời cuộc gọi của châu Âu” nhưng họ không thể từ chối yêu cầu dựa trên Điều luật CLOUD và khoản bồi thường do Microsoft đưa ra cho việc vi phạm GDPR không tương đương với việc truy đòi một biện pháp khắc phục tư pháp có sẵn theo yêu cầu của quyết định Schrems II.

Bây giờ, một khi tất cả những điều trên được nói, cần lưu ý rằng chỉ vì ẩn danh là không thể, bạn vẫn không nên cố gắng bảo vệ dữ liệu cá nhân của mình càng nhiều càng tốt hoặc yêu cầu các công ty tuân thủ nghiêm ngặt các nguyên tắc giảm thiểu dữ liệu. Nói tổng thể, các chính phủ sẽ không có quyền truy cập vào quá nhiều dữ liệu nếu các công ty không nắm giữ quá nhiều nó. Giảm thiểu dữ liệu cuối cùng không chỉ là một công cụ tốt để tăng cường bảo mật, vì những kẻ tấn công không thể đánh cắp những gì bạn không có, mà còn vì nó có khả năng giúp mọi người giảm chi phí dự phòng, lưu trữ dữ liệu, v.v.

Ý nghĩa của an ninh mạng là gì?

Vào năm 2020, Hiệp hội Internet đã viết một báo cáo về ý nghĩa của định vị hóa dữ liệu đối với an ninh mạng có nhiều ưu điểm và tuyên bố rằng “An ninh mạng có thể bị ảnh hưởng bởi các tổ chức ít có khả năng lưu trữ dữ liệu bên ngoài biên giới với mục đích tăng độ tin cậy và giảm thiểu nhiều rủi ro bao gồm tấn công mạng và thảm họa quốc gia.”

Các thực hành định vị hóa dữ liệu có thể gây hại cho các dịch vụ an ninh mạng thông qua các sự kiện sau:

• Việc giảm thông tin có sẵn sẽ làm tăng rủi ro từ các cuộc tấn công mạng.
• Tăng chi phí để triển khai và duy trì các công cụ hiện đại trên các khu vực định vị hóa khác nhau.
• Giảm lưu trữ dự phòng làm tăng tổn thất dữ liệu hoặc mất mạng trong trường hợp trục trặc phần cứng hoặc thiên tai.
• Ít lựa chọn hơn trong các giải pháp lưu trữ phân tán, hỗ trợ triển khai các giao thức bảo mật, tính toàn vẹn và chống xâm nhập trên mạng

Một loạt ý tưởng này cũng áp dụng cho việc bán dữ liệu cho các bên thứ ba không an toàn trong cùng một khu vực hoặc ngăn chặn việc truy cập trái phép vào dữ liệu mà bên thứ ba thu được.

Một số người cũng cho rằng định vị hóa dữ liệu cản trở việc ngăn chặn gian lận. Ví dụ: việc không thể phản ánh dữ liệu trên một số trung tâm dữ liệu có thể ngăn nhà cung cấp nhìn thấy các mô hình và xu hướng gian lận hoặc các rủi ro khác.

Định vị hóa dữ liệu có thể được trình bày bởi một số người như một liều thuốc thần, nhưng ý nghĩa hoàn toàn vẫn chưa được hiểu đầy đủ. Do đó, các chính sách hoặc thực tiễn thương mại đòi hỏi định vị hóa dữ liệu bắt buộc phải được suy nghĩ cẩn thận vì chúng có thể ảnh hưởng đến luồng dữ liệu tự do, có thể bao gồm khả năng mở rộng quy mô nền tảng và dịch vụ cho khách hàng toàn cầu bên cạnh đó còn có nhiều tác hại an ninh mạng có thể ảnh hưởng đến hiệu quả hoạt động.

Tuyên bố miễn trừ trách nhiệm: Blog này phản ánh ý kiến cá nhân của tác giả. Bất kỳ tuyên bố, ý kiến và bất kỳ lỗi nào đều của tác giả và không phải của McAfee. Các tuyên bố trong blog này không cấu thành tư vấn pháp lý và mỗi công ty phải tự xác định nghĩa vụ của mình theo tất cả các luật. Không có gì ở đây là thiết lập mối quan hệ luật sư và khách hàng.

Link tham khảo thêm cho bạn: https://www.pacisoft.com/bao-mat-security/for-business/mcafee-business.html

Biên dịch bởi Phương Linh – iworld.com.vn