VCCI vừa có văn bản trả lời Công văn số 1922/BTTTT-KHCN ngày 24/05/2022 của Bộ Thông tin và Truyền thông về việc lấy ý kiến Dự thảo Thông tư sửa đổi, bổ sung Thông tư số 03/2013/TT-BTTTT quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với trung tâm dữ liệu.
VCCI cho biết theo phản ánh của các doanh nghiệp, dịch vụ trung tâm dữ liệu tại Việt Nam đang phát triển rất tốt.
“Nếu như cách đây hơn 10 năm, Việt Nam có ít nhà cung cấp dịch vụ và giá thường cao hơn so với các nhà cung cấp dịch vụ nước ngoài thì hiện nay lĩnh vực dịch vụ trung tâm dữ liệu đã có đa dạng các nhà cung cấp với mức giá tương đương mức trung bình trên thế giới.
Với lợi thế về đường truyền và ít sự cố từ các tuyến cáp biển, các nhà cung cấp dịch vụ trong nước hiện đáp ứng rất tốt nhu cầu dịch vụ trung tâm dữ liệu của nền kinh tế Việt Nam. Đây là điều kiện vô cùng thuận lợi để Việt Nam tiếp tục đẩy nhanh quá trình chuyển đổi số quốc gia”, VCCI cho biết.
Theo tờ trình của cơ quan soạn thảo và phản ánh của các doanh nghiệp tới VCCI thì hiện nay, dịch vụ trung tâm dữ liệu trong nước cũng đã có sự phân hoá. Một số doanh nghiệp đã tự mình hoàn thiện, đáp ứng các tiêu chuẩn quốc tế và được chứng nhận, qua đó có chất lượng dịch vụ tốt hơn và bán được giá dịch vụ cao hơn. Một số doanh nghiệp khác chấp nhận chất lượng dịch vụ vừa phải, nhưng tập trung cạnh tranh về giá, phù hợp với khả năng chi trả của nhiều khách hàng hơn.
Về phía khách hàng, một số khách hàng lựa chọn các trung tâm dữ liệu đáp ứng các tiêu chuẩn quốc tế để lưu trữ dữ liệu quan trọng của mình. Nhưng cũng không ít khách hàng khác lựa chọn các trung tâm dữ liệu có chi phí thấp dành cho dữ liệu không quan trọng.
Có được sự phát triển nhanh và đa dạng dịch vụ như vậy thời gian qua, một phần là do lĩnh vực trung tâm dữ liệu không có nhiều sự can thiệp mang tính hành chính của Nhà nước. Các doanh nghiệp có chi phí tuân thủ pháp luật thấp và được tự do trong việc đáp ứng nhu cầu đa dạng của thị trường.
Tuy nhiên, cũng theo VCCI, Dự thảo đặt ra các tiêu chuẩn, quy chuẩn mang tính bắt buộc phải đáp ứng sẽ làm tăng chi phí tuân thủ của các doanh nghiệp, từ đó tăng giá dịch vụ, giảm cơ hội lựa chọn của khách hàng và giảm sự đa dạng của thị trường.
“Điều này làm giảm khả năng tiếp cận dịch vụ của nhiều cá nhân, tổ chức có nhu cầu, từ đó làm chậm quá trình chuyển đối số quốc gia”, VCCI nhấn mạnh.
Cũng theo VCCI, bản Thuyết minh dự thảo đưa ra lý do để ban hành Thông tư này là nhằm “giúp cơ quan quản lý nắm bắt kịp thời thông tin và tăng cường thực thi quản lý và qua đó nâng cao hiệu lực, hiệu quả quản lý”.
Tuy nhiên, VCCI cho rằng lý do này không rõ ràng và không cần thiết. Không rõ việc nắm bắt thông tin là những thông tin gì, tăng cường thực thi, hiệu lực, hiệu quả quản lý cụ thể là nội dung nào. Lưu ý, đối với các nội dung về an ninh mạng, bảo vệ dữ liệu cá nhân, an toàn thông tin hiện nay đã có các quy định pháp luật khác (đã ban hành hoặc đang soạn thảo). Không rõ việc bắt buộc phải đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật này thì sẽ giúp ích cho quá trình quản lý như thế nào.
Trong bản thuyết minh, cơ quan soạn thảo cũng đã trình bày kinh nghiệm của một số nước về quản lý các trung tâm dữ liệu. Theo đó, các quốc gia này chỉ yêu cầu bắt buộc các trung tâm dữ liệu phải bảo vệ dữ liệu cá nhân (Châu Âu, Nhật Bản, Singapore); tuân thủ quy định về an toàn và riêng tư đối với thông tin về sức khoẻ, ngân hàng, thể chế tài chính, thông tin của trẻ em, thông tin của cơ quan nhà nước (Mỹ). Đây là những quy định áp dụng với mọi trung tâm dữ liệu, bất kể được cung cấp dưới dạng dịch vụ hay tự sở hữu, vận hành.
Ngay trong bản thuyết minh của cơ quan soạn thảo đã thể hiện rất rõ: “Các tiêu chuẩn phổ biến về thiết kế và hạ tầng TTDL (ANSI/TIA-942-A, Uptime) về vận hành và bảo trì TTDL (ISO 27001, ISO 27017, ISO 27018; PCI DSS; SOC 1, 2, và 3, ISO 140001, ISO 50001, LEED…) đa phần được các doanh nghiệp TTDL tự lựa chọn tuân thủ, đáp ứng yêu cầu của khách hàng sử dụng dịch vụ”.
“Như vậy, các nước trên thế giới đều cho phép các doanh nghiệp tự lựa chọn tuân thủ các tiêu chuẩn này, chỉ bắt buộc đáp ứng các quy định về bảo vệ thông tin cá nhân hoặc đối với một số loại dữ liệu quan trọng, nhạy cảm”, VCCI lập luận.
“Hơn nữa, quy định tại dự thảo chỉ có thể áp dụng được với các nhà cung cấp dịch vụ trung tâm dữ liệu đặt tại Việt Nam mà khó có thể yêu cầu các nhà cung cấp dịch vụ xuyên biên giới phải tuân thủ. Như vậy, các nhà cung cấp dịch vụ xuyên biên giới từ nước ngoài sẽ giảm được chi phí tuân thủ pháp luật và có lợi thế so với doanh nghiệp trong nước. Vô hình trung, quy định này mang tính bảo hộ ngược, gây thiệt hại cho các doanh nghiệp trong nước”, VCCI cho biết.
Với tất cả những lý do trên, VCCI đề nghị cơ quan soạn thảo cân nhắc kỹ lưỡng hơn về tính cần thiết của việc bắt buộc áp dụng các tiêu chuẩn, quy chuẩn đối với các trung tâm dữ liệu được sử dụng để cung cấp dịch vụ.
