CLOUD Act (Clarifying Lawful Overseas Use of Data Act) được Mỹ ban hành năm 2018 và ít người Việt Nam biết đến – nhưng ảnh hưởng của nó có thể tác động trực tiếp đến dữ liệu kinh doanh của bạn.
CLOUD Act là gì – giải thích đơn giản
CLOUD Act cho phép cơ quan thực thi pháp luật Mỹ (FBI, DEA, các cơ quan khác) yêu cầu các công ty có trụ sở tại Mỹ cung cấp dữ liệu người dùng – bất kể dữ liệu đó được lưu trữ ở đâu trên thế giới.
Điều này có nghĩa: nếu bạn dùng Google Drive, Microsoft 365, Dropbox, hoặc Salesforce để lưu dữ liệu kinh doanh, các cơ quan Mỹ có thể yêu cầu truy cập vào dữ liệu đó – ngay cả khi server đặt tại Singapore hay châu Âu, và ngay cả khi bạn là doanh nghiệp Việt không có liên quan đến Mỹ.
Tại sao điều này quan trọng với doanh nghiệp Việt
Có ba tình huống thực tế đáng lo ngại:
Tình huống 1 – Cạnh tranh thương mại: Dữ liệu kinh doanh của bạn (hợp đồng, giá cả, chiến lược) có thể bị truy cập trong khuôn khổ điều tra thương mại. Mỹ có lịch sử điều tra vi phạm trừng phạt thương mại.
Tình huống 2 – Đối tác quốc tế: Nếu bạn làm việc với khách hàng châu Âu, họ ngày càng yêu cầu đảm bảo dữ liệu không bị lưu trên hệ thống chịu ảnh hưởng của CLOUD Act.
Tình huống 3 – Luật An ninh mạng Việt Nam: Luật An ninh mạng 2018 yêu cầu dữ liệu quan trọng của người dùng Việt Nam phải được lưu trong nước. Dùng dịch vụ Mỹ tạo ra mâu thuẫn tiềm ẩn giữa hai hệ thống pháp luật.
Giải pháp thực tế
Lưu trữ dữ liệu kinh doanh quan trọng trên server tự quản lý – hoặc server của nhà cung cấp không phải công ty Mỹ, đặt tại châu Âu hoặc Singapore. Nextcloud, ERPNext, và các công cụ tương tự chạy trên server châu Âu không thuộc phạm vi CLOUD Act.
Dữ liệu của bạn trên server châu Âu – ngoài tầm với của CLOUD Act