Giám đốc điều hành Airwallex bác bỏ cáo buộc rò rỉ dữ liệu! Dữ liệu khách hàng Mỹ không bị truyền về Trung Quốc

Nhà đầu tư Keith Rabois cáo buộc Airwallex có nguy cơ rò rỉ dữ liệu do sở hữu đội ngũ kỹ sư lớn tại Trung Quốc và cổ đông Trung Quốc nắm giữ cổ phần. Giám đốc điều hành kiêm đồng sáng lập Airwallex, Jack Zhang, phủ nhận và nhấn mạnh cáo buộc không đúng sự thật, khẳng định công ty tuyệt đối không chuyển bất kỳ dữ liệu khách hàng Mỹ nào sang Trung Quốc. Ông làm rõ dữ liệu khách hàng Mỹ chỉ được lưu trữ tại Mỹ, Hà Lan và Singapore, nhân viên tại Trung Quốc đại lục và Hồng Kông không có quyền truy cập.

Nhà đầu tư Keith Rabois gây tranh cãi trên mạng xã hội

Trước khi Zhang công khai phủ nhận, nhà đầu tư nổi tiếng Keith Rabois đã đưa ra một loạt cáo buộc nghiêm trọng đối với Airwallex trên diễn đàn X. Rabois cho rằng, luật pháp Trung Quốc yêu cầu các công ty và công dân hợp tác với công tác tình báo quốc gia, vì vậy bất kỳ công ty nào có liên hệ chặt chẽ với Trung Quốc đều có thể đối mặt với rủi ro an ninh dữ liệu. Ông đặc biệt chỉ ra Airwallex có đội ngũ kỹ sư lớn tại Trung Quốc, điều này không thể tránh khỏi nguy cơ rò rỉ dữ liệu.

Lập luận của Rabois dựa trên các điều khoản của Luật Tình báo Quốc gia Trung Quốc, quy định “bất kỳ tổ chức và công dân nào cũng phải hợp pháp hỗ trợ, giúp đỡ và phối hợp với công tác tình báo quốc gia”. Ông cho rằng, ngay cả khi dữ liệu được lưu trữ trên máy chủ tại Mỹ, luật Trung Quốc vẫn có thể buộc các kỹ sư làm việc tại Trung Quốc phải cung cấp quyền truy cập hoặc hỗ trợ lấy dữ liệu. Ngoài ra, Rabois cũng cho rằng việc Airwallex có cổ đông Trung Quốc là một yếu tố rủi ro lớn khác.

Những cáo buộc này đã gây ra cuộc thảo luận rộng rãi trong lĩnh vực fintech và tiền mã hóa. Một số bài đăng sau đó đã bị xóa, nhưng tranh cãi đã lan rộng. Những người ủng hộ Airwallex đã phản bác, một số người dùng đặt nghi vấn về bằng chứng của các cáo buộc, cho rằng đó chỉ là suy đoán. Một lãnh đạo cấp cao của Airwallex cũng phản hồi rằng công ty liên tục đầu tư vào việc cô lập dữ liệu theo khu vực và đã áp dụng những biện pháp vượt trên yêu cầu của cơ quan quản lý.

CEO Airwallex giải thích chi tiết về cấu trúc lưu trữ dữ liệu

Zhang trong phản hồi đã cung cấp giải thích chi tiết về cấu trúc lưu trữ dữ liệu của Airwallex. Ông làm rõ, Airwallex chỉ lưu trữ dữ liệu khách hàng Mỹ tại Mỹ, Hà Lan và Singapore. Ông nhấn mạnh, nhân viên tại Trung Quốc đại lục và Hồng Kông không có quyền truy cập dữ liệu cá nhân khách hàng Mỹ (PII). Chiến lược cô lập dữ liệu này là một phần cốt lõi trong cấu trúc tuân thủ toàn cầu của Airwallex.

Zhang đặc biệt giải thích sự khác biệt giữa vị trí địa lý của đội ngũ kỹ sư và quyền truy cập dữ liệu: “Nhân tài có thể ở khắp nơi trên thế giới, nhưng quyền truy cập dữ liệu thì không như vậy.” Ông chỉ ra nơi làm việc của kỹ sư không đồng nghĩa với nơi lưu trữ dữ liệu khách hàng, và quyền truy cập dữ liệu dựa trên vai trò và nhu cầu công việc chứ không phải nơi làm việc của nhân viên. Kiểm soát truy cập dựa trên vai trò (RBAC) là thực tiễn tiêu chuẩn của kiến trúc bảo mật đám mây hiện đại.

Hiện Airwallex sở hữu hơn 70 giấy phép trên toàn cầu và được quản lý tại hơn 48 bang của Mỹ. Công ty cho biết hệ thống pháp lý và kỹ thuật của mình có thể ngăn chặn bất kỳ chính phủ nước ngoài nào truy cập trái phép dữ liệu Mỹ. Zhang cũng cho biết Airwallex không đáp ứng các yêu cầu từ cơ quan tình báo nước ngoài về dữ liệu nhạy cảm không thuộc địa phương, công ty tuân thủ tiêu chuẩn bảo vệ dữ liệu xuyên biên giới liên bang của Mỹ.

Bốn trụ cột bảo vệ dữ liệu của Airwallex

Cô lập địa lý: Dữ liệu khách hàng Mỹ chỉ lưu trữ tại Mỹ, Hà Lan, Singapore

Kiểm soát truy cập: Quyền truy cập dữ liệu phân bổ theo vai trò, không theo vị trí nhân viên

Quản lý đa quốc gia: Sở hữu giấy phép dịch vụ tài chính tại hơn 70 khu vực pháp lý toàn cầu

Từ chối yêu cầu nước ngoài: Không đáp ứng yêu cầu của chính phủ nước ngoài về dữ liệu nhạy cảm không thuộc địa phương

Đồng thời, đội ngũ lãnh đạo của Airwallex phân bổ tại Mỹ, châu Âu, Singapore và Úc. Zhang bổ sung rằng bản thân ông sống tại London, không có trách nhiệm điều hành thực tế tại Trung Quốc. Cơ cấu lãnh đạo phân tán này giúp giảm thêm ảnh hưởng của bất kỳ quốc gia nào đến quyết định của công ty.

Chính sách quyền riêng tư gây ra vòng tranh cãi mới

Tuy nhiên, tranh cãi vẫn chưa dừng lại. Một số người dùng chỉ ra rằng tài liệu chính sách quyền riêng tư toàn cầu của Airwallex có những câu chữ mập mờ. Tài liệu này nêu rõ công ty có thể xử lý dữ liệu khách hàng tại các quốc gia khác nhau, bao gồm cả Trung Quốc. Các nhà phê bình cho rằng điều này mâu thuẫn với phát ngôn công khai của Zhang, yêu cầu công ty làm rõ thêm.

Sự khác biệt về câu chữ này cho thấy thách thức tuân thủ phức tạp mà các công ty fintech toàn cầu phải đối mặt. Doanh nghiệp cần đảm bảo chính sách quyền riêng tư toàn cầu bao quát mọi địa điểm hoạt động, đồng thời bảo vệ dữ liệu khách hàng ở các khu vực đặc thù (như Mỹ) nghiêm ngặt hơn. Chính sách quyền riêng tư toàn cầu của Airwallex có thể nhằm bao quát các mảng kinh doanh tại nhiều quốc gia, nhưng lại chưa phân biệt rõ cách xử lý dữ liệu khách hàng Mỹ.

Airwallex hiện chưa chính thức làm rõ điều khoản chính sách quyền riêng tư này có áp dụng cho khách hàng Mỹ chịu sự bảo vệ liên bang nghiêm ngặt hơn hay không. Công ty khẳng định dữ liệu định danh cá nhân (PII) của khách hàng Mỹ chỉ giới hạn tại các khu vực được phê duyệt, nhưng sự không nhất quán giữa phát ngôn và tài liệu chính sách đã tạo cơ hội cho các ý kiến chỉ trích.

Về mặt pháp lý, các câu chữ mập mờ trong chính sách quyền riêng tư toàn cầu có thể nhằm mục đích giữ linh hoạt cho hoạt động, nhưng trong bối cảnh địa chính trị nhạy cảm hiện nay, sự mập mờ này có thể trở thành gánh nặng cho doanh nghiệp. Nhiều công ty fintech đa quốc gia hiện đã áp dụng các chính sách quyền riêng tư khu vực chi tiết hơn, phân biệt rõ ràng cách xử lý dữ liệu khách hàng ở từng khu vực.

Chưa có vi phạm quy định nhưng lo ngại an ninh quốc gia vẫn âm ỉ

Hiện chưa có cơ quan quản lý nào xác nhận Airwallex vi phạm quy định. Bộ Tài chính Mỹ, Mạng lưới Thực thi Tội phạm Tài chính (FinCEN) và các cơ quan liên quan cũng chưa công bố điều tra chính thức. Về mặt pháp lý, Airwallex vẫn đang trong trạng thái tuân thủ, sở hữu các giấy phép hoạt động cần thiết và trải qua các cuộc kiểm tra định kỳ.

Dù vậy, xung đột lần này đã đẩy Airwallex trở thành tâm điểm trong lĩnh vực an ninh quốc gia, đặc biệt trong bối cảnh các công ty fintech xuyên biên giới đối mặt với giai đoạn nhạy cảm. Trong bối cảnh cạnh tranh công nghệ Mỹ - Trung ngày càng gay gắt, bất kỳ luồng dữ liệu xuyên biên giới nào liên quan đến Trung Quốc cũng có thể bị xem xét kỹ lưỡng hơn. Trải nghiệm của TikTok, Huawei… cho thấy, ngay cả khi không có bằng chứng về lạm dụng dữ liệu, lo ngại an ninh quốc gia vẫn có thể ảnh hưởng nghiêm trọng tới hoạt động doanh nghiệp.

Tính đến hiện tại, Airwallex vẫn kiên định lập trường của mình. Zhang cho biết, sự thật sẽ tự chứng minh, những cáo buộc trên mạng sẽ mở đường cho sự thật. Công ty đang cân nhắc áp dụng các biện pháp minh bạch hơn, bao gồm khả năng mời bên thứ ba kiểm toán độc lập hệ thống bảo vệ dữ liệu và công bố chính sách xử lý dữ liệu khu vực chi tiết hơn.