Những lo ngại trong việc quản lý dịch vụ trung tâm dữ liệu và điện toán đám mây

10:34, 19/06/2023

Theo dự báo của nhiều nhà chiến lược, đến năm 2025, thị trường điện toán đám mây sẽ lớn hơn thị trường viễn thông, giúp đẩy nhanh quá trình chuyển đổi số. Tuy nhiên, việc quản lý dịch vụ trung tâm dữ liệu và điện toán đám mây như dịch vụ viễn thông đang tạo ra quan ngại cho nhà đầu tư nước ngoài và nhà cung cấp dịch vụ trong nước.

Công ty nghiên cứu thị trường ReportLinker dự báo tiềm năng của thị trường điện toán đám mây tại Việt Nam sẽ đạt mức 427 triệu USD vào năm 2025. Cụ thể, theo khảo sát năm 2021 của Viện Nghiên cứu giá trị doanh nghiệp thuộc Tập đoàn IBM (Mỹ), tại Việt Nam có 56% doanh nghiệp đang sử dụng dịch vụ điện toán đám mây, trong khi đó tại Hoa Kỳ, năm 2019 đã có 94% doanh nghiệp sử dụng dịch vụ này. Điều này cho thấy tiềm năng lớn của thị trường và nhu cầu dịch vụ điện toán đám mây tại Việt Nam trong thời gian tới.

Thực tế, theo truyền thông trong nước, trong giai đoạn 2020-2021, thị trường này tại Việt Nam mới đạt khoảng 4.500 tỷ đồng. Vì vậy, Việt Nam là một thị trường hứa hẹn để phát triển các dịch vụ trung tâm dữ liệu (DC) và điện toán đám mây (Cloud) do nhu cầu ngày càng tăng của doanh nghiệp, cùng với sự phát triển của nền kinh tế số.

Trên thế giới và trong khu vực châu Á, dịch vụ điện toàn đám mây và trung tâm dữ liệu được đánh giá là hai dịch vụ thiết yếu của nền kinh tế số và được các nước quan tâm xây dựng định hướng, chiến lược phát triển cùng với các chính sách ưu đãi để thu hút các nhà đầu tư vào các dịch vụ này. Không chỉ Việt Nam mà nhiều nước trong khu vực châu Á như Ấn Độ, Malaysia, Indonesia,… đều đặt mục tiêu phát triển thành Digital Hub/ Data center Hub của khu vực và trên toàn cầu. Các nước này đã đưa ra nhiều chính sách khuyến khích, ưu đãi đầu tư và phát triển trung tâm dữ liệu và dịch vụ điện toán đám mây.

Thực tiễn này đòi hỏi Việt Nam cần phải có những chính sách phù hợp và rõ ràng để tăng tính cạnh tranh của thị trường trong việc huy động và khuyến khích đầu tư vào xây dựng hạ tầng và phát triển các dịch vụ thiết yếu này. 

Nhà đầu tư nước ngoài và nhà cung cấp dịch vụ trong nước lo ngại gì?

Luật Viễn thông được ban hành lần đầu vào năm 2009. Sau 14 năm thực hiện bộ luật đã bộc lộc nhiều bất cập và cần được sửa đổi, bổ sung để phù hợp hơn với sự phát triển của ngành viễn thông. Dự thảo Luật Viễn thông Sửa đổi (Dự thảo) hiện đang được Quốc hội xem xét và thảo luận tại kỳ họp thứ 5 diễn ra trong tháng 5 và tháng 6. Một trong những điểm mới của Dự thảo là việc mở rộng phạm vi điều chỉnh của luật để đưa một số dịch vụ mới, trong đó có dịch vụ trung tâm dữ liệu và điện toán đám mây, vào nhóm các dịch vụ viễn thông. Sự thay đổi này đang gây ra những quan ngại lớn đối với các doanh nghiệp và nhà đầu tư vào hai loại hình dịch vụ này tại Việt Nam, do có thể làm phát sinh những điều kiện đầu tư, thủ tục cấp phép và tỷ lệ vốn góp của nhà đầu tư nước ngoài khác so với các qui định hiện hành. 

Việc dịch vụ trung tâm dữ liệu và điện toán đám mây vào nhóm các dịch vụ viễn thông có thể kéo theo việc áp dụng các điều kiện đầu tư và thủ tục cấp phép viễn thông như áp dụng đối với các dịch vụ viễn thông khác, từ đó tác động tiêu cực đến đầu tư nước ngoài vào Việt Nam, đặc biệt là các nhà cung cấp dịch vụ trung tâm dữ liệu nước ngoài đang cân nhắc đầu tư hàng tỉ đô la vào cơ sở hạ tầng trong nước.

Theo các hiệp định thương mại tự do mà Việt Nam hiện đang tham gia như WTO, CPTTP hay EVFTA, Việt Nam đã cam kết duy trì việc hạn chế tiếp cận thị trường viễn thông đối với nhà đầu tư nước ngoài, ngoại trừ dịch vụ giá trị gia tăng không sử dụng cơ sở vật chất. Tuy nhiên, theo dự thảo, không phải tất cả các loại hình dịch vụ điện toán đám mây và trung tâm dữ liệu đều thuộc loại hình dịch vụ nêu trên.

Theo đó, nhà đầu tư nước ngoài sẽ bị hạn chế về vốn đầu tư trong khoảng từ 49% đến 65% tùy thuộc vào loại hình dịch vụ viễn thông và quốc tịch của nhà đầu tư. Điều 12 của Dự thảo đang quy định “hình thức, điều kiện đầu tư nước ngoài và tỷ lệ phần vốn góp của nhà đầu tư nước ngoài kinh doanh dịch vụ viễn thông phải theo các quy định của pháp luật Việt Nam, điều ước quốc tế mà Việt Nam là thành viên”.

Như vậy, nếu không có quy định rõ ràng đối với dịch vụ trung tâm dữ liệu và điện toán đám mây thì nhà đầu tư nước ngoài vào hai loại hình dịch vụ này cũng sẽ bị hạn chế về tỉ lệ vốn đầu tư cũng như các điều kiện tiếp cận thị trường như đối với hoạt động đầu tư vào dịch vụ viễn thông. Bên cạnh đó, cả các doanh nghiệp trong nước và nước ngoài khi đầu tư vào các dự án xây dựng trung tâm dữ liệu hay cung cấp dịch vụ điện toán đám mây tại Việt Nam cũng sẽ phải xin cấp giấy phép cung cấp dịch vụ viễn thông.

Vì vậy, việc đưa các dịch vụ trung tâm dữ liệu và điện toán đám mây vào nhóm dịch vụ viễn thông sẽ tạo nên những hạn chế và rào cản pháp lý cũng như nhiều thủ tục hành chính đối với hoạt động đầu tư, cung cấp các dịch vụ này, làm giảm tính cạnh tranh của Việt Nam trong việc thu hút đầu tư vào các dịch vụ lưu trữ dữ liệu và từ đó ảnh hưởng đến sự phát triển của ngành công nghiệp dữ liệu số nói riêng và của cả ngành kinh tế số nói chung.     

Theo một số kiến nghị của các chuyên gia, thay vì quy định tại Luật Viễn thông, dịch vụ DC và Cloud nên được quy định tại Luật Công nghiệp công nghệ số mà Bộ Thông tin Truyền thông đang soạn thảo. Điều này sẽ khuyến khích DC và Cloud phát triển mạnh mẽ và cởi mở, phá bỏ những hạn chế và điều kiện về đầu tư, từ đó nâng cao tính cạnh tranh của Việt Nam so với các nước trong khu vực đồng thời tăng cường thu hút đầu tư nước ngoài vào hai loại dịch vụ này.

Trong buổi thảo luận tại tổ của Quốc hội vào ngày 10/6 vừa qua, Chủ tịch Quốc hội Vương Đình Huệ cũng yêu cầu cơ quan soạn thảo cần nghiên cứu kinh nghiệm quốc tế đối với quy định về dịch vụ điện toàn đám mây và trung tâm dữ liệu cũng như đánh giá kĩ lưỡng tác động của việc đưa các dịch vụ này vào trong phạm vi dự thảo nhằm khuyến khích đầu tư và phát triển vào lĩnh vực này.

Rà soát các chính sách và khung pháp lý của một số nước điển hình và tiêu chuẩn của các tổ chức quốc tế đối với dịch vụ DC, Cloud

Theo một số báo cáo nghiên cứu về kinh nghiệm quốc tế trong quản lý dịch vụ điện toán đám mây và trung tâm dữ liệu, hầu hết các nước không quy định và quản lý hai loại dịch vụ này như các dịch vụ viễn thông vì tính chất của các loại dịch vụ này là khác nhau. Dịch vụ điện toán đám mây và trung tâm dữ liệu được truy cập qua mạng viễn thông (hoặc qua dịch vụ viễn thông); và được quản lý theo khuôn khổ chung của các luật hiện có về trò chơi điện tử, websites, giao dịch tài chính, âm nhạc và điện ảnh.

Đối với các nước đã có quy định quản lý dịch vụ trung tâm dữ liệu và điện toán đám mây thì thường theo hướng áp dụng các tiêu chuẩn kĩ thuật được xây dựng trên cơ sở tiêu chuẩn quốc tế. Các tiêu chuẩn kĩ thuật được đưa ra cũng chỉ tập trung vào khía cạnh an toàn dữ liệu của người dùng.

Theo rà soát, hiện nay chỉ có một vài quốc gia quy định trung tâm dữ liệu và điện toán đám mây là dịch vụ viễn thông, tuy nhiên, hầu như không có quốc gia nào có quy định về hạn chế hai dịch vụ này cung cấp xuyên biên giới hay hạn chế về sở hữu vốn đầu tư nước ngoài. Sau đây là một số quy định cụ thể của các nước điển hình trong khu vực và trên thế giới và các tiêu chuẩn của các tổ chức quốc tế.

Theo quy định của Liên minh Viễn thông Quốc tế ITU, Cục Tiêu chuẩn hóa viễn thông ITU (ITU-T) chịu trách nhiệm xây dựng các tiêu chuẩn kĩ thuật cho các dịch vụ cloud bao gồm tiêu chuẩn về kết nối hạ tầng và đảm bảo an ninh thông tin. 

Các tiêu chuẩn của ITU-T tập trung vào mô tả định nghĩa, phạm vi, kiến trúc; khung; yêu cầu chức năng; kiểm thử và là tham chiếu cho hoạt động xây dựng, vận hành, khai thác dịch vụ. Đặc biệt, ITU-T không có tiêu chuẩn để đo kiểm, đánh giá, chứng nhận đối với dịch vụ cloud. Như vậy, trên thực tế hiện nay không có nhu cầu quản lý và cấp phép hoạt động cho dịch vụ cloud dựa trên việc đo kiểm, đánh giá và chứng nhận phù hợp tiêu chuẩn kĩ thuật.

Tương tự như ITU-T, các tiêu chuẩn của ISO/IEC về dịch vụ cloud chỉ tập trung vào định nghĩa, phạm vi của dịch vụ và là tham chiếu cho hoạt động xây dựng, vận hành, khai thác. 

ISO/IEC không có các tiêu chuẩn quy định tiêu chí, phương pháp đánh giá sự phù hợp cho dịch vụ cloud. ISO/IEC chỉ có các tiêu chuẩn về các hệ thống đảm bảo cung cấp dịch vụ cloud về tiêu chí an toàn và cá nhân (nhóm tiêu chuẩn ISO 27000) và tính tương thích của dịch vụ (tiêu chuẩn ISO/IEC 19941).

Malaysia chưa có quy định cụ thể đối với dịch vụ điện toán đám mây và DC. Trong khi đó, Malaysia quản lý dịch vụ cloud theo Đạo luật truyền thông và đa phương tiện từ năm 1998 (CMA1998) và cho phép sự tham gia của doanh nghiệp vào quá trình phát triển các qui định mang tính kỹ thuật như các tiêu chuẩn kĩ thuật (technical code) về bảo mật dữ liệu dựa trên tiêu chuẩn quốc tế. 

Cụ thể, Ủy ban Truyền thông và Đa phương tiện Malaysia (Malaysian Communications and Multimedia Commission - MCMC) đưa ra định nghĩa về dịch vụ cloud trong tiêu chuẩn về thông tin và bảo mật mạng - Lựa chọn nhà cung cấp dịch vụ đám mây (MTSFB TC G017:2018), tiêu chuẩn này sau đó đã được sửa đổi vào tháng 8 năm 2021 và bắt buộc áp dụng. Theo đó, dịch vụ cloud được phân loại thành các mô hình IaaS, SaaS và PaaS, và DC được coi là phần cơ sở hạ tầng trong các mô hình này. Ngoài ra, MCMC cũng dẫn chiếu tới định nghĩa của ITU về dịch vụ cloud.

Tháng 1/2022, MCMC  đưa ra yêu cầu cấp phép đối với nhà cung cấp dịch vụ cloud (CSP), tuy nhiên, yêu cầu này chỉ áp dụng với các CSP được thành lập tại Malaysia và không bao gồm các chi nhánh của các CSP nước ngoài. Các CSP trong nước sẽ phải thực hiện xin cấp phép theo hình thức cấp phép nhóm như nhà cung cấp dịch vụ ứng dụng (Application Service Provider). Khi CSP nước ngoài cung cấp dịch vụ đám mây thông qua trung tâm dữ liệu địa phương ở Malaysia, nghĩa vụ xin giấy phép sẽ thuộc về trung tâm dữ liệu địa phương. Việc cấp phép không áp dụng với: nhà cung cấp cung cấp giải pháp phần mềm dựa trên cơ sở hạ tầng và nền tảng dịch vụ cloud khác; người bán lại dịch vụ cloud không có toàn quyền kiểm soát các sản phẩm dịch vụ cloud. Theo MCMC, quyết định cấp phép cho các dịch vụ cloud dưới dạng dịch vụ ứng dụng theo hình thức cấp phép nhóm nhằm quản lý các dịch vụ đám mây theo cách tiếp cận “nhẹ nhàng”.

MCMC kì vọng quy trình quản lý này đủ rõ ràng và chắc chắn để các nhà đầu tư có thể đánh giá được kế hoạch đầu tư của mình tại Malaysia. Khung quản lý được quyết định dựa trên các mục tiêu: Bảo vệ lợi ích của nhà đầu tư; Tạo môi trường tin cậy; (iii) Bảo vệ dữ liệu cá nhân được chuyển qua các trung tâm dữ liệu; (iv) Giải quyết vấn đề về lưu trữ các hoạt động bất hợp pháp.

Đặc biệt, Malaysia không có quy định hạn chế cung cấp dịch vụ xuyên biên giới và vốn đầu tư nước ngoài đối với các dịch vụ DC và cloud. 

Chính phủ Úc cũng không có quy định dành riêng cho dịch vụ DC và cloud mà chỉ quản lý về khía cạnh an toàn thông tin của dịch vụ. Quan điểm quản lý dịch vụ này của Úc được hứơng dẫn trong Đạo luật Riêng tư (Australian Privacy Principles). Ngoài ra, Trung tâm An ninh mạng của Úc và Cục chuyển đổi số đã ban hành hướng dẫn về an ninh cloud để thực hiện chứng nhận về an toàn cho các dịch vụ cloud. Đối tượng của hướng dẫn này bao gồm các tổ chức, nhà cung cấp dịch vụ cloud và bên đánh giá để thực hiện đánh giá về mức độ phù hợp của dịch vụ cloud đối với tổ chức của mình.

Tương tự Úc, Anh cũng chỉ quan tâm đến vấn đề bảo vệ dữ liệu cá nhân trong các dịch vụ DC và cloud. Anh thực thi Đạo luật về bảo vệ dữ liệu chung (GDPR) của châu Âu thông qua Đạo luật về Bảo vệ dữ liệu năm 2018. 

Đạo luật Quyền Điều tra năm 2016 cung cấp khả năng chặn dữ liệu liên lạc của chính phủ. Các dịch vụ an ninh quốc gia có thể yêu cầu quyền truy cập vào thông tin liên lạc của khách hàng và có thể yêu cầu các nhà cung cấp dịch vụ đám mây tạo “cửa hậu” trong phần mềm của họ để xóa các biện pháp bảo vệ, chẳng hạn như mã hóa, mà họ đã áp dụng cho dữ liệu của khách hàng.

Quy định về Hệ thống Thông tin và Mạng 2018 đặt ra yêu cầu về các biện pháp cần thiết để ngăn chặn vi phạm an ninh, trong đó nếu xảy ra thì phải thông báo cho văn phòng Ủy viên Thông tin trong vòng 72.

PV