Microsoft chiều lòng châu Âu trong việc tìm chủ quyền dữ liệu
Ngày 16.6, Microsoft tuyên bố rằng dữ liệu của khách hàng sử dụng dịch vụ đám mây tại châu Âu sẽ được lưu trữ hoàn toàn trong lãnh thổ châu Âu và tuân thủ các quy định pháp luật địa phương.
Châu Âu muốn chủ động trong việc bảo vệ và kiểm soát dữ liệu
Hoạt động vận hành sẽ do nhân sự tại địa phương quản lý, bảo đảm khách hàng duy trì toàn quyền kiểm soát đối với dữ liệu của mình. Động thái này nhằm phản hồi mối quan ngại từ các doanh nghiệp và chính phủ châu Âu về việc dữ liệu bị chuyển ra ngoài lục địa, đặc biệt là sang Mỹ.
Hồi tháng 4, Microsoft đã công bố chiến lược bảo vệ dữ liệu người dùng đồng thời mở rộng hạ tầng điện toán đám mây và trí tuệ nhân tạo (AI) tại châu Âu. Các biện pháp này sẽ tuân thủ các quy định của châu Âu nhằm hạn chế sự chi phối của các tập đoàn công nghệ lớn.
Hành trình châu Âu tìm chủ quyền dữ liệu
Tuyên bố của Microsoft là một phần trong hành trình dài bắt đầu từ khi GDPR (Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu) được áp dụng vào năm 2018, khi công ty lần đầu cam kết trao cho khách hàng “quyền kiểm soát dữ liệu của chính họ”.
Tiến trình này gia tốc sau khi một cuộc điều tra của chính phủ Hà Lan năm 2018 phát hiện Microsoft vi phạm GDPR thông qua việc “thu thập dữ liệu người dùng quy mô lớn và âm thầm” từ các ứng dụng Office, ảnh hưởng đến hơn 300.000 máy tính của cơ quan chính phủ.
Bối cảnh địa chính trị đóng vai trò quan trọng. 97% thị phần đám mây của châu Âu hiện do các nhà cung cấp Mỹ và Trung Quốc nắm giữ, làm dấy lên căng thẳng giữa mong muốn chủ quyền dữ liệu của châu Âu và sự phụ thuộc vào hạ tầng đám mây nước ngoài.
Cách tiếp cận mới của Microsoft là phản ứng trực tiếp trước áp lực gia tăng từ các quy định của châu Âu, gồm yêu cầu về nội địa hóa dữ liệu, minh bạch trong truy cập và bảo vệ khỏi sự tiếp cận của chính phủ nước ngoài. Các yêu cầu này đã gia tăng kể từ năm 2018.
Chiến lược này thể hiện rằng các “đại gia” công nghệ Mỹ giờ đây buộc phải cân bằng hoạt động toàn cầu với quản trị tại địa phương, thông qua việc thành lập một hội đồng quản trị khu vực châu Âu để giám sát dịch vụ trung tâm dữ liệu.
Việc đặt máy chủ trong lãnh thổ châu Âu có thật sự ý nghĩa?
Quá trình chuyển mình của Microsoft cho thấy việc chỉ đơn thuần lưu trữ dữ liệu trong lãnh thổ châu Âu là chưa đủ để đạt được chủ quyền dữ liệu thực sự. Mô hình vận hành toàn diện cần phải được tái cấu trúc.
Cách tiếp cận mới của công ty giải quyết vấn đề “ai được phép truy cập dữ liệu” bằng cách yêu cầu “mọi truy cập từ xa của kỹ sư Microsoft vào các hệ thống lưu trữ và xử lý dữ liệu châu Âu đều phải được phê duyệt và giám sát theo thời gian thực bởi nhân sự cư trú tại châu Âu”.
Đây là một thay đổi vận hành quan trọng đối với các nhà cung cấp đám mây, đòi hỏi các miền quản trị riêng biệt, đội ngũ kỹ thuật chuyên biệt và cơ chế kiểm soát truy cập được điều chỉn. Từ đó, thay đổi căn bản mô hình cung cấp dịch vụ toàn cầu.
Độ phức tạp kỹ thuật còn được thể hiện qua sáng kiến “Ranh giới dữ liệu EU” (EU Data Boundary) của Microsoft. Sáng kiến này mở rộng cam kết lưu trú dữ liệu trên nhiều dịch vụ hơn mà vẫn duy trì đầy đủ tính năng vận hành.
Các quan hệ hợp tác của Microsoft với các nhà cung cấp tại Pháp và Đức để phát triển giải pháp “đám mây có chủ quyền” cho thấy rằng để tuân thủ đầy đủ quy định. Thậm chí, đôi khi cần đến kiến trúc lai (hybrid), kết hợp quy mô toàn cầu với khả năng kiểm soát tại địa phương.
Thách thức lớn nhất đối với chủ quyền dữ liệu vẫn là vấn đề quyền tài phán pháp lý
Bất chấp các biện pháp kỹ thuật của Microsoft, thách thức cốt lõi vẫn là: với tư cách là một công ty có trụ sở tại Mỹ, Microsoft vẫn chịu sự điều chỉnh của luật pháp Mỹ – gồm cả Đạo luật CLOUD. Đây là luật cho phép chính quyền Mỹ yêu cầu truy cập dữ liệu được lưu trữ ở nước ngoài.
Điều này tạo ra mâu thuẫn nội tại giữa quyền tài phán của Mỹ và các luật bảo vệ dữ liệu của châu Âu. Microsoft đã cố gắng xử lý điều này thông qua các cam kết về “khả năng chống chịu pháp lý” và “duy trì hoạt động liên tục”.
Công ty cam kết sẽ thách thức các yêu cầu từ chính phủ nếu những yêu cầu đó mâu thuẫn với quyền lợi của khách hàng. Tuy nhiên, các phân tích cho thấy vẫn tồn tại “rủi ro tồn dư” do Microsoft vẫn có trụ sở chính tại Mỹ.
Chính sự căng thẳng về quyền tài phán này giải thích vì sao các nhà quản lý châu Âu tiếp tục thúc đẩy các lựa chọn thay thế nội địa, điển hình là sáng kiến GAIA-X. Đây là sáng kiến ra mắt từ năm 2019 nhằm xây dựng hạ tầng đám mây châu Âu tuân thủ đầy đủ luật EU.
Điều khiến nhiều chuyên gia lưu ý nhất là: bất chấp nhiều năm nỗ lực và hàng loạt biện pháp kỹ thuật, vẫn còn những hoài nghi về các giải pháp đám mây “có chủ quyền” từ các công ty có trụ sở tại Mỹ. Liệu chúng có thực sự bảo vệ được dữ liệu của công dân EU khỏi sự tiếp cận của các chính phủ nước ngoài hay không.
