Vào tháng 4 năm 2025, Cơ quan giám sát bảo vệ dữ liệu châu Âu (EDPS) cho biết rằng, họ đã từ chối yêu cầu của Ngân hàng đầu tư châu Âu (EIB) vào tháng 2 năm 2024 về việc chuyển dữ liệu liên lạc sang Ấn Độ, với lý do lo ngại về tính đầy đủ của khuôn khổ bảo vệ dữ liệu của Ấn Độ. Mặc dù EDPS đã làm rõ rằng, lập trường của họ không phải là phán quyết về Đạo luật bảo vệ dữ liệu cá nhân kỹ thuật số năm 2023 (DPDPA) của Ấn Độ, nhưng quyết định này lại nêu lên mối lo ngại về khuôn khổ bảo vệ dữ liệu của Ấn Độ.

Bài viết này xem xét một cách nghiêm túc quyết định của EDPS nhằm hạn chế việc chuyển dữ liệu sang Ấn Độ và sử dụng quyết định này để đánh giá những lo ngại rộng hơn về chế độ bảo vệ dữ liệu của Ấn Độ. Thay vì bắt chước mô hình của Liên minh châu Âu (EU), bài viết nêu lý do tại sao Ấn Độ phải xây dựng khuôn khổ pháp lý của riêng mình.

Hiểu về phán quyết EDPS

EDPS, cơ quan bảo mật độc lập của EU dành cho các tổ chức của mình, đã có lập trường thận trọng trong Báo cáo thường niên năm 2024. Cơ quan này đã từ chối yêu cầu của Ngân hàng Đầu tư Châu Âu (EIB) chuyển thông tin liên lạc của các bên liên quan bên ngoài sang Ấn Độ, cùng với Brazil, Türkiye và Fiji. Cơ quan này đã trích dẫn lý do thiếu “bằng chứng và chứng cứ đầy đủ” cho thấy dữ liệu cá nhân sẽ được bảo vệ ở mức tương đương với Quy định bảo vệ dữ liệu chung (GDPR) của EU.

Là một biện pháp dự phòng, EDPS đã khuyến nghị cho phép chuyển giao theo các miễn trừ hạn chế, chẳng hạn như vì lợi ích công cộng hoặc khiếu nại pháp lý. Tuy nhiên, những biện pháp này dành cho các tình huống ngoại lệ, không phải là chuyển giao thông thường hoặc có hệ thống.

Thông điệp rất rõ ràng: theo khuôn khổ hiện tại của Ấn Độ, việc chuyển giao dữ liệu cá nhân thông thường từ EU có thể vẫn chưa đáp ứng được ngưỡng tuân thủ nghiêm ngặt của GDPR. Tuy nhiên, điều này phản ánh sự khác biệt trong khuôn khổ pháp lý, chứ không phải do luật pháp Ấn Độ thiếu sức mạnh.

So sánh phương pháp tiếp cận quản trị dữ liệu của Ấn Độ và EU

Khung bảo vệ dữ liệu của Ấn Độ, như được nêu trong DPDPA 2023, đánh dấu cột mốc quan trọng trong việc thiết lập khuôn khổ chuyên dụng cho quản trị dữ liệu cá nhân.

Mặc dù DPDPA không phải là nỗ lực đầu tiên của Ấn Độ trong việc bảo vệ dữ liệu, nhưng đây là nỗ lực toàn diện nhất cho đến nay. Luật này phản ánh các ưu tiên riêng của Ấn Độ, do quốc gia này đa dạng hơn về mặt xã hội và phân tầng kinh tế, so với EU. Tuy nhiên, khi Ấn Độ ngày càng định vị mình là một trung tâm dữ liệu đáng tin cậy, một số yếu tố về cấu trúc và thủ tục của DPDPA cần phải được củng cố.

Một trong những điểm khác biệt quan trọng nhất giữa DPDPA của Ấn Độ và GDPR của EU nằm ở cách họ xử lý quyền truy cập của chính phủ vào dữ liệu cá nhân. Theo Mục 17(2) của DPDPA, Chính quyền Trung ương Ấn Độ có thể miễn trừ bất kỳ công cụ nào của Nhà nước khỏi việc áp dụng luật trên các lý do rộng như chủ quyền, an ninh, toàn vẹn, trật tự công cộng và ngăn chặn sự kích động. Đạo luật không quy định bất kỳ sự giám sát độc lập, các bài kiểm tra tính cần thiết hoặc tính tương xứng, hoặc đánh giá tư pháp nào đối với các miễn trừ như vậy. Ngược lại, theo Điều 23 của GDPR, các miễn trừ đối với quyền của chủ thể dữ liệu vì những lý do như an ninh quốc gia phải là "cần thiết và tương xứng" và tuân theo các biện pháp bảo vệ thích hợp. Các miễn trừ không được kiểm soát như vậy trong DPDPA có nguy cơ tạo điều kiện cho các hoạt động dữ liệu không minh bạch của các cơ quan nhà nước, làm suy yếu trách nhiệm giải trình và niềm tin của công chúng vào chế độ quản trị dữ liệu.

Một mối quan tâm chính khác là không có cơ quan quản lý độc lập về mặt cấu trúc. Ban Bảo vệ Dữ liệu của DPDPA được thành lập theo Mục 19, Chính quyền Trung ương Ấn Độ vẫn giữ toàn quyền kiểm soát việc bổ nhiệm các thành viên, cũng như các điều kiện dịch vụ và quy tắc thủ tục của họ. Điều này khác biệt đáng kể so với yêu cầu của GDPR theo Điều 52 rằng, các cơ quan giám sát phải “hoàn toàn độc lập” trong việc thực hiện nhiệm vụ của mình. Các cơ quan bảo vệ dữ liệu của EU chịu trách nhiệm trước quốc hội hoặc tòa án, không phải trước chính quyền hành pháp, một biện pháp bảo vệ được coi là thiết yếu để thực thi công bằng.

Các chuyên gia chính sách đã nêu lên mối quan ngại về việc tập trung quyền bổ nhiệm và thiếu rõ ràng về hoạt động, điều này có thể làm giảm tính tự chủ và hiệu quả của Hội đồng. Các chuyên gia đã nhấn mạnh rằng, việc tập trung quyền lực như vậy có thể làm suy yếu độ tin cậy của khuôn khổ quản lý, đặc biệt là khi so sánh với các tiêu chuẩn quốc tế nhấn mạnh vào sự giám sát độc lập. Những vấn đề về cấu trúc này cho thấy rằng, nếu không có sự độc lập thực sự, Hội đồng Bảo vệ Dữ liệu có thể gặp khó khăn trong việc thực thi DPDPA một cách công bằng. Việc lấy cảm hứng từ các khuôn khổ quốc tế có thể mang lại lợi ích về mặt này.

Ngay cả ở những lĩnh vực mà các quyền cá nhân được công nhận chính thức, việc thiếu thực hiện và thiếu rõ ràng theo DPDPA của Ấn Độ làm suy yếu tính hữu ích thực tế của chúng. Mặc dù DPDPA cấp cho người dùng quyền truy cập, chỉnh sửa và xóa dữ liệu cá nhân theo Điều 11 và Điều 12, nhưng các quyền này được xác định bằng cụm từ “theo quy định”, nghĩa là chúng hoàn toàn phụ thuộc vào các quy tắc DPDPA chưa được thông báo. Ngược lại, các quyền GDPR theo Điều 12 đến Điều 23 có thể hoạt động ngay lập tức và được hỗ trợ bởi các thủ tục rõ ràng, bao gồm cả mốc thời gian xác định để phản hồi.

Hơn nữa, Dự thảo Quy định DPDP khiến người dùng khó thực hiện các quyền của mình được bảo vệ trong DPDPA. Để truy cập hoặc xóa dữ liệu của mình, người dùng phải cung cấp các mã định danh cụ thể, bao gồm ID khách hàng, tham chiếu ứng dụng hoặc số giấy phép. Ngược lại, GDPR cho phép cá nhân thực hiện các quyền dữ liệu của mình mà không cần cung cấp các mã định danh cụ thể đó, đặt gánh nặng lên bộ điều khiển dữ liệu để xác định và phản hồi các yêu cầu một cách phù hợp.

Yêu cầu này theo Dự thảo Quy định DPDP có thể đặt ra những thách thức thực tế cho cá nhân, đặc biệt là nếu họ không biết về các mã định danh này hoặc gặp khó khăn trong việc truy xuất chúng. Nó cũng sẽ tạo ra gánh nặng không cần thiết cho họ khi phải chịu trách nhiệm về dữ liệu của mình.

Ngoài ra, gần hai năm sau khi ban hành, DPDPA vẫn không đi vào hoạt động. Ban Bảo vệ Dữ liệu vẫn chưa được thành lập, các thủ tục giải quyết khiếu nại vẫn chưa được thông báo và các khuôn khổ cho người quản lý sự đồng ý và xử lý dữ liệu trẻ em vẫn đang chờ xử lý. Nếu không có các thành phần hoạt động này, các quyền và nghĩa vụ theo luật định được hình dung theo Đạo luật sẽ không thể được thực thi trên thực tế.

Cuối cùng, DPDPA đưa ra một số hạn chế nhất định đối với quyền xóa dữ liệu cá nhân của người đứng đầu dữ liệu. Mục 17(4) nêu rõ rằng, cá nhân không được yêu cầu xóa dữ liệu cá nhân của mình khi dữ liệu đó đã được một cơ quan chính phủ xử lý để cung cấp trợ cấp, phúc lợi, chứng chỉ, giấy phép hoặc giấy phép. Nói cách khác, nếu một cơ quan chính phủ sử dụng dữ liệu cá nhân để cung cấp dịch vụ hoặc quyền lợi, cá nhân không thể yêu cầu xóa dữ liệu đó.

Đây là hạn chế đáng kể vì nó loại bỏ quyền kiểm soát của người dùng đối với khối lượng lớn dữ liệu do chính phủ nắm giữ. Mặc dù GDPR cho phép các ngoại lệ đối với quyền xóa, nhưng chúng chỉ được phép trong các điều kiện nghiêm ngặt. Theo Điều 23 của GDPR, những hạn chế như vậy chỉ được phép nếu chúng cần thiết và tương xứng, yêu cầu chính phủ phải chứng minh rằng, hạn chế đó là hợp lý để bảo vệ lợi ích công cộng, an ninh quốc gia hoặc các nghĩa vụ pháp lý khác. Những ngoại lệ này không được phép trên cơ sở chung chung hoặc mơ hồ.

Con đường phía trước cho Luật dữ liệu của Ấn Độ

Khung bảo vệ dữ liệu của Ấn Độ được thiết kế có tính đến thực tế kinh tế xã hội của nền kinh tế. Khung này không nhằm mục đích sao chép Quy định bảo vệ dữ liệu chung (GDPR) của EU và cũng không nên như vậy. DPDPA đánh dấu bước quan trọng trong hành trình của Ấn Độ hướng tới chế độ quản trị dữ liệu có cấu trúc và có trách nhiệm. Khung này phản ánh khát vọng cân bằng giữa đổi mới, quyền của người dùng và ý định của Ấn Độ hướng tới xây dựng một nền kinh tế số hóa nhanh chóng.

Tuy nhiên, mặc dù đã được thông qua, Đạo luật vẫn chưa được thực hiện, với nhiều điều khoản cốt lõi của nó phụ thuộc vào các Quy tắc, vẫn chưa được thông báo. Khoảng trống pháp lý này, chứ không phải sai sót cố hữu nào trong mục đích hoặc cấu trúc của luật, có thể giải thích tại sao các tổ chức như EDPS đã bày tỏ sự dè dặt về tính đầy đủ của Ấn Độ trong việc xử lý việc chuyển dữ liệu xuyên biên giới.

Quyết định EDPS báo hiệu kỳ vọng toàn cầu ngày càng tăng đối với các biện pháp bảo vệ được xác định rõ ràng, tính độc lập của thể chế và tính minh bạch trong hoạt động, đặc biệt là khi dữ liệu cá nhân vượt biên giới. Trong bối cảnh này, ngôn ngữ theo luật định rộng rãi của Ấn Độ, tính rõ ràng hạn chế về các biện pháp bảo vệ thủ tục và việc không có cơ quan bảo vệ dữ liệu độc lập gây ra những lo ngại chính đáng. Việc chưa thực hiện luật chỉ làm trầm trọng thêm những khoảng cách này, khiến các đối tác quốc tế khó đánh giá hiệu quả của luật trong thực tế.

Để thay đổi những nhận thức này và xây dựng lòng tin toàn cầu, Ấn Độ phải khẩn trương chuyển sang vận hành DPDPA thông qua việc ban hành quy định kịp thời và mang tính tham vấn.