Data Residency là gì? Tại sao doanh nghiệp nên quan tâm?

Data Residency là gì?

Data Residency, tiếng Việt là Cư trú dữ liệu, là vị trí nơi dữ liệu hoặc thông tin của một tổ chức được lưu trữ. Tương tự như chủ quyền dữ liệu (data sovereignty), data residency liên quan đến các quy định về quyền riêng tư dữ liệu, như Quy định chung về bảo mật thông tin (GDPR) và các quy định của mỗi quốc gia hoặc khu vực nơi dữ liệu cư trú.

Các tổ chức có thể lưu trữ dữ liệu ở nhiều vị trí, có thể là tại chỗ (on-premise), trên đám mây  (cloud) hoặc kết hợp (hybrid). Mỗi tùy chọn sẽ có sự khác biệt về quyền riêng tư và bảo mật dữ liệu. Như đối với lưu trữ dữ liệu tại chỗ, tổ chức có khả năng kiểm soát dữ liệu nhiều nhất, chịu trách nhiệm đảm bảo dữ liệu được lưu trữ an toàn và chỉ những nhân viên được ủy quyền mới có quyền truy cập. Tuy nhiên, tùy chọn này khá tốn kém và có thể yêu cầu nhiều tài nguyên CNTT.

Lưu trữ dữ liệu trên đám mây mang lại sự linh hoạt và khả năng mở rộng tốt hơn so với lưu trữ tại chỗ. Các tổ chức có thể chọn nhiều giải pháp lưu trữ đám mây khác nhau, như public cloud, private cloud, hoặc hybrid cloud. Tùy chọn này giúp tiết kiệm chi phí hơn so với lưu trữ tại chỗ nhưng lại kém an toàn hơn do tổ chức không nắm toàn quyền kiểm soát nơi lưu trữ dữ liệu và cách quản lý dữ liệu.

Data Residency có những yêu cầu gì?

Trên thế giới, hầu hết các quốc gia đều có những quy định về thu thập, làm sạch, xử lý và lưu trữ dữ liệu cá nhân mà các doanh nghiệp bắt buộc phải tuân theo. Và lý do chính khiến các doanh nghiệp phải chọn lưu trữ dữ liệu ở những vị trí khác nhau thường liên quan đến quy định, chính sách dữ liệu và thuế.

Ví dụ, ngày càng có nhiều luật và quy định xác định các yêu cầu về cư trú dữ liệu, gồm Quy định chung về bảo mật thông tin (GDPR) của Liên minh châu  u, Luật về Bảo mật dữ liệu (LGPD) của Brazil và Đạo luật Bảo vệ Thông tin cá nhân và Tài liệu điện tử (PIPEDA) của Canada…

Tất cả các luật này đều ảnh hưởng đến quá trình thu thập dữ liệu nhạy cảm trong các khu vực đó. Ví dụ: GDPR không yêu cầu dữ liệu đã thu thập tại Liên minh châu  u phải lưu trữ trong Liên minh châu  u nhưng yêu cầu mọi dữ liệu nhạy cảm phải lưu trữ ở nơi có các quy định cơ bản tương tự như GDPR. Các công ty được phép chuyển dữ liệu sau khi tuân thủ luật bảo vệ và quyền riêng tư dữ liệu của địa phương. Việc các doanh nghiệp phải làm là thông báo cho người dùng và nhận được sự đồng ý của họ trước khi lấy và sử dụng thông tin của họ.

Data Residency ảnh hưởng như thế nào đến các nhà phát triển ứng dụng

Việc đảm bảo các nhà phát triển ứng dụng hiểu rõ các yêu cầu của cư trú dữ liệu giúp họ đáp ứng mọi yêu cầu bắt buộc. Nếu các nhà phát triển không nhận thức được ý nghĩa của data residency, thì nó có thể ảnh hưởng trực tiếp đến vấn đề thuế và các quy định phải tuân theo khác.

Điều này có thể trở nên đặc biệt phức tạp khi bạn đang cung cấp sản phẩm hay dịch vụ mà bất kỳ ai cũng có thể truy cập hoặc mua từ mọi nơi, ví dụ như ứng dụng trên điện thoại thông minh. Việc không đáp ứng các yêu cầu của một bộ luật cụ thể có thể khiến bạn bị khai trừ khỏi thị trường đó, cản trở sự phát triển và gây tổn thất đến danh tiếng doanh nghiệp.

Đối với các ứng dụng được xây dựng trên public cloud (đám mây công cộng), việc hiểu vị trí trung tâm dữ liệu và cách điều này tác động đến dữ liệu đóng vai trò vô cùng quan trọng, cả từ góc độ xử lý lẫn lưu trữ. Các nhà phát triển cũng nên xác minh rõ ràng các thỏa thuận dịch vụ với nhà cung cấp đám mây, gồm các nguyên tắc nghiêm ngặt về nơi dữ liệu của họ được phép và không được phép lưu trữ.

Data residency là một khái niệm quan trọng. Cho nên, điều quan trọng trước tiên là bạn phải biết luật thuế của khu vực, nơi dữ liệu của bạn đang được lưu trữ, để biết tổ chức của bạn sẽ phải trả những chi phí nào. Thứ hai, hãy đảm bảo tổ chức của bạn đang tuân thủ các chính sách khu vực và quy định quốc gia về lưu trữ, xử lý và truyền dữ liệu. Cuối cùng là giữ cho tổ chức cũng như dữ liệu của bạn an toàn.

Thách thức

Các tổ chức có thể vi phạm quyền riêng tư dù đã tuân thủ các yêu cầu về cư trú dữ liệu

Nếu tổ chức của bạn chỉ lưu trữ dữ liệu ở một vị trí thì bạn sẽ không vi phạm các yêu cầu về data residency. Nhưng dữ liệu lại đứng trước nguy cơ bị truy cập trái phép nếu không có biện pháp bảo mật phù hợp. Ví dụ: một ngân hàng có thể lưu trữ dữ liệu của họ tại cơ sở, nhưng rủi ro là nhân viên nội bộ có thể  truy cập vào thông tin tài chính nhạy cảm của khách hàng.  

Các tổ chức có thể vi phạm cư trú dữ liệu dù đã tuân thủ các quy định về quyền riêng tư.

Kịch bản ngược lại có thể xảy ra là, tổ chức của bạn đã tuân thủ các yêu cầu về quyền riêng tư và đang lưu trữ dữ liệu ở nhiều vị trí, đây là nơi các vấn đề về cư trú dữ liệu có thể xảy ra. Giả sử tổ chức vướng sai phạm về thuế, chính quyền có thể giữ quyền truy cập dữ liệu của bạn, khiến bạn gặp phải các vấn đề về data residency. 

Data residency phát sinh từ tranh chấp với chính quyền chỉ là sự khởi đầu. Các vấn đề tương tự có thể xảy ra, chẳng hạn các rủi ro như: 

• Hợp nhất trung tâm dữ liệu (data center): Các tổ chức đa quốc gia lớn hợp nhất các trung tâm dữ liệu từ  nhiều quốc gia vào ít địa điểm hơn. 
• Dịch vụ đám mây hoặc Outsourcing: Các tổ chức sử dụng dịch vụ từ các công ty ở quốc gia khác hoặc di chuyển một số dịch vụ sang đám mây.  
• Truy cập không phù hợp: Các tổ chức sử dụng giải pháp outsourcing (thuê ngoài) quy trình kinh doanh hoặc bộ phận helpdesk cho phép người từ quốc gia khác truy cập vào dữ liệu nhạy cảm. 
• Công tác: Nhân viên khi đi công tác thường mang theo những thông tin nhạy cảm trên điện thoại hoặc máy tính xách tay đến khắp các khu vực pháp lý. 

Một số rủi ro cao, có thể dẫn đến mất lòng tin của khách hàng và doanh thu như: 

• Các trung tâm dữ liệu nhỏ có khả năng bị tấn công mạng hơn do ít kinh nghiệm quản lý hơn. 
• Khó khăn trong khôi phục dữ liệu, đặc biệt là ở các quốc gia nhỏ với cơ sở hạ tầng hỗ trợ kinh doanh yếu.
• Các hình phạt vi phạm luật và quy định ở các quốc gia là khác nhau.  
• Các tấn công chiếm quyền truy cập dữ liệu nhạy cảm từ các tổ chức hoặc nhà cung cấp nước ngoài 
• Gián điệp kinh tế của chính phủ hoặc các công ty nước ngoài, v.v.  

Các tổ chức cần cân bằng giữa nhu cầu trong hiệu quả và khả năng cạnh tranh với cư trú dữ liệu và quyền riêng tư. Việc bó hẹp địa điểm lưu trữ dữ liệu có thể cản trở khả năng đổi mới của tổ chức, nhưng việc tự do di chuyển dữ liệu giữa các khu vực pháp lý lại đem đến những rủi ro. Hãy thực hiện các bước cần thiết và làm theo một số phương pháp hay nhất, để có thể giúp tổ chức của bạn đẩy nhanh tiến trình chuyển đổi số, đồng thời giảm thiểu rủi ro về data residency.

Data Residency, Data Sovereignty và Data Localization khác nhau như thế nào?

Đây là 3 thuật ngữ dễ gây nhầm lẫn do chúng có một số điểm trùng lặp. Tuy nhiên, người làm doanh nghiệp cần phải hiểu rõ sự khác biệt giữa các điều khoản này để tránh bị phạt do vi phạm quy định.

Data residency (Cư trú dữ liệu) đề cập đến nơi dữ liệu được lưu trữ về mặt vật lý và địa lý. Data sovereignty (Chủ quyền dữ liệu) không chỉ liên quan đến nơi dữ liệu được lưu trữ mà còn liên quan đến các luật và quy định chi phối dữ liệu tại vị trí đó trên thực tế. Trong chủ quyền dữ liệu, các chủ thể dữ liệu khác nhau sẽ có các quy định về quyền riêng tư và bảo mật khác nhau tùy vào vị trí của các trung tâm dữ liệu - nơi dữ liệu được lưu trữ.

Ngược lại, Data localization (nội địa hóa dữ liệu) yêu cầu tất cả dữ liệu được tạo ra trong lãnh thổ quốc gia nào thì nằm yên trong quốc gia đó. Không giống như data residency và data sovereignty, data localization được áp dụng nhất quán cho việc tạo và lưu trữ dữ liệu cá nhân. Nếu doanh nghiệp của bạn cần sử dụng dữ liệu tại hai vị trí riêng biệt, thì nguyên tắc là hãy luôn giữ một bản sao dữ liệu nhạy cảm trong lãnh thổ của quốc gia dữ liệu được thu thập. Nhưng vẫn sẽ có một số quốc gia đặc biệt nghiêm ngặt trong vấn đề truyền dữ liệu ra quốc tế, ví dụ như Ấn Độ.

Nhiều chính sách và quy định được Chính phủ xây dựng nhằm giải quyết các vấn đề cụ thể về quyền riêng tư và cư trú của dữ liệu. Chẳng hạn, Luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA) là luật bảo mật và quyền riêng tư dữ liệu được thiết kế để bảo vệ thông tin y tế. Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS) là một tập hợp các chính sách nhằm bảo mật thông tin chủ thẻ tín dụng và thẻ ghi nợ.

Ngoài ra, có thể kể đến như Luật bảo vệ dữ liệu liên bang của Đức, Luật bảo vệ dữ liệu của Vương quốc Anh và Quy định bảo vệ dữ liệu chung của Liên minh châu  u (EU)... Tuy nhiên, các yêu cầu trong Quy định chung về bảo vệ dữ liệu (GDPR) về data residency chỉ quy định việc xử lý dữ liệu cá nhân của cư dân EU, một phần quan trọng trong luật nhân quyền và quyền riêng tư của EU, chứ không có yêu cầu nội địa hóa cụ thể.

Để bảo mật dữ liệu, bạn phải hiểu dữ liệu đang được lưu trữ ở đâu và những ai có quyền truy cập vào dữ liệu đó. Nếu bạn lưu trữ dữ liệu ở nhiều quốc gia, hãy lưu ý về quyền truy cập mà những quốc gia đó được hưởng. Bằng cách theo dõi Data Residency, bạn có thể hiểu những điều luật mà dữ liệu phải tuân theo. Đây là chìa khóa để duy trì việc tuân thủ cả luật về quyền riêng tư lẫn chủ quyền dữ liệu.