Luật An Ninh mạng mới được Quốc hội thông qua với tỷ lệ phát lộc (86.86%) đang gây nhiều chia rẽ trên newfeeds của mình. (Nghe nhiều người nói là trong xã hội nữa, nhưng mình chưa kiểm chứng được). Rất nhiều góc nhìn đa chiều về luật an ninh mạng đã được đưa lên, có một vài ý kiến khá là khó tiêu hóa và có vẻ hiểu sai vấn đề. Mình chỉ xin đưa ra một vài ý kiến cá nhân khi đã đọc một số luật và tham khảo một số tài liệu (mọi người có thể tìm thông tin tham khảo và trích dẫn ở cuối bài):
Contents
1. Vấn đề trung tâm dữ liệu
Cụ thể: Quy định tại Điều 26 khoản 3, Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
Dự thảo vừa được thông qua này không còn yêu cầu phải có xây dựng trung tâm dữ liệu tại Việt Nam, nhưng yêu cầu các thông tin liên quan đến người dùng phải lưu trữ tại đây. Bảo vệ điều luật này, UB Thường vụ Quốc hội đưa ra lý lẽ hiện tại có 18 nước lớn, phát triển thuộc WTO như Úc, Mỹ, Canada… (không thấy đưa Trung Quốc, Nga vào) cũng yêu cầu lưu trữ dữ liệu nội địa [1], nên quy định của Việt Nam là hoàn toàn hợp lý. Mình thấy hơi tò mò nên có tìm hiểu và biết được như sau:
• Úc: Yêu cầu lưu trữ hồ sơ sức khỏe (health records) nội địa, theo Điều 77 Requirement not to hold or take records outside Australia của Đạo luật Kiểm soát hồ sơ sức khỏe điện tử cá nhân (Personally Controlled Electronic Health Records Act 2012).[2]
• Mỹ: Yêu cầu lưu trữ dữ liệu nội địa, nhưng chủ yếu là các thông tin nhạy cảm liên quan đến mua sắm công hoặc ảnh hưởng tới an ninh. Ví dụ, năm 2016, Sở Thuế vụ Hoa Kỳ yêu cầu các cơ quan của liên bang phải lưu trữ thông tin thuế liên bang (federal tax information) nội địa. Năm 2015, Bộ Quốc phòng yêu cầu các nhà cung cấp dịch vụ điện toán đám mây làm việc cho Bộ phải lưu trữ dữ liệu nội đia…[3][4]
• Canada: Hai bang British Columbia và Nova Scotia yêu cầu các thông tin cá nhân được lưu giữ bởi các cơ quan công cộng như nhà trường, bệnh viện… phải lưu trữ nội địa.[4]
Qua đó có thể thấy các nước trên đã có sự phân loại về thông tin cần được lưu trữ, dựa trên nguyên tắc những thông tin nhạy cảm của cá nhân, thông tin liên quan đến tài chính quốc gia, an ninh quốc phòng… thì nên được lưu trữ nội địa để đảm bảo an toàn cho công dân cũng như an ninh đất nước. Hay như Argentina không cho phép chuyển thông tin qua nước ngoài nếu nước đó không có mức độ bảo vệ thông tin tương đương.[4] Như vậy tiền đề của họ khi yêu cầu nội địa hóa thông tin là để bảo vệ các thông tin nhạy cảm, các thông tin liên quan tới an ninh quốc gia. Và thường được quy định riêng trong các bộ luật, luật chuyên ngành chứ ít khi gom lại trong duy nhất một đạo luật.
Với yêu cầu thông tin cá nhân có liên quan phải được lưu trữ ở Việt Nam mà không có mức phân loại hợp lý sẽ gia tăng chi phí cho doanh nghiệp, vì tất cả thượng vàng hạ cám thông tin liên quan đều phải lưu trữ tại Việt Nam và điều này hoàn toàn trái với mục tiêu giảm thiểu chi phí, mở cửa thị trường của chính phủ kiến tạo của Thủ tướng Nguyễn Xuân Phúc.
Bên cạnh đó, mình thấy rất nhiều người xoáy vào vấn đề này và lo sợ khi yêu cầu mấy công ty công nghệ phải lưu trữ dữ liệu tại Việt Nam sẽ khiến mấy ông xách áo ôm máy tính đi ra hết. Điển hình là người dùng Facebook với nỗi sợ luật mới sẽ khiến người khổng lồ tới từ xứ sở cờ hoa sẽ vì bất tuân luật lệ Việt Nam mà bị chặn. Thời đại VPN, mạng xã hội cây nhà lá vườn, lá nhà cây hàng xóm đang đến dần. Mình nghĩ khả năng cao vấn đề này khó có thể xảy ra vì Facebook có rất nhiều lí do để ở lại:
– Việt Nam là thị trường béo bở: Thật khó để từ bỏ 64 triệu người dùng (thứ 7 thế giới) đang hằng ngày in tiền cho Facebook. Theo bộ trưởng Trương Minh Tuấn, doanh thu quảng cáo của trang mạng xã hội này tại Việt Nam là hơn 100 triệu đô la, còn theo Phó Thủ Tướng Nguyễn Đức Đam tổng cộng hai ông lớn Google và Facebook đã thu về 320 triệu đô[5].
– Case study không thể tốt hơn cho người láng giềng 16 chữ vàng của Việt Nam: Mình vẫn đang nghĩ, không biết Facebook có đang vui mừng khi thấy đạo luật này được thông qua không. Nhưng dựa vào hành vi gần đây của mạng xã hội này có thể thấy họ chẳng có gì phải lo lắng. Facebook trước đó đã đồng ý trực tiếp làm việc với chính phủ Việt Nam để gỡ bỏ các thông tin được cho là vi phạm pháp luật sở tại, Trưởng bộ phận chính sách toàn cầu của Facebook đã diện kiến Bộ trưởng TTTT năm ngoái để thảo luận thêm về vấn đề này [6]. Trong một diễn biến khác, khi trang mạng xã hội dành cho doanh nghiệp, Workplace by Facebook, ra đời, họ cũng đã kịp thuyết phục Cổng Thông tin Điện tử Chính phủ Việt Nam với 200 người dùng thử vào tháng 4 năm 2017 [7]. Mark thèm khát thị trường Trung Quốc là vấn đề ai cũng thấy rõ, 721 triệu người dùng internet, một mỏ vàng thực sự. Rất chịu khó, rất thiện chí, Mark học tiếng Hoa, nói chuyện với ông Tập, giao lưu với sinh viên Trung Quốc, chạy bộ ở Thiên An Môn. Tuy nhiên chính quyền Trung Quốc vẫn thờ ơ với Facebook, cánh cửa vẫn đóng chặt. Vậy còn gì tuyệt vời hơn thể hiện cho Trung Quốc thấy những gì Facebook có thể làm ở Việt Nam, nơi họ có thể chứng minh được rằng mình hoàn toàn có thể có những giải pháp đáp ứng các yêu cầu khắt khe theo pháp luật cuả một nước có quy định khá tương đồng. Hãy chờ các hành động của Facebook. Và đừng mong đợi Weibo làm gì.
2. Vấn đề tiết lộ dữ liệu
Cụ thể: Quy định tại Điều 26 Khoản 3.a Yêu cầu doanh nghiệp cung cấp thông tin
cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.
Việt Nam tất nhiên không phải là Quốc gia duy nhất yêu cầu cung cấp thông tin để điều tra. Nhưng hãy so sánh với cách làm của các nước khác. Ví dụ dễ tìm nhất là Hoa Kỳ. Để tránh mất thời gian đọc luật, chúng ta hãy đơn giản lên đọc hướng dẫn về báo cáo minh bạch của Google tại đây https://support.google.com/transparency…/answer/7380434… . Google chia sẻ rằng FBI có quyền dùng thư an ninh Quốc gia (NSL) để yêu cầu Google cung cấp thông tin liên quan đến các cuộc điều tra an ninh quốc gia. NSL phải được báo cáo quốc hội 2 năm một lần và Bộ tư pháp Mỹ cũng rất sát sao theo dõi cách dùng NSL. Bên cạnh đó Google cũng phải tiết lộ thông tin theo quy định của Đạo luật giám sát tình báo nước ngoài (FISA). Dễ thấy thông tin được yêu cầu tiết lộ cho cơ quan điều tra đều là những vấn đề nguy hiểm liên quan tới an ninh Quốc gia và bên yêu cầu phải có văn bản chứng minh rõ ràng. Lưu ý rằng không thể sử dụng NSL trong các vấn đề hình sự, dân sự hay hành chính thông thường.
Hoa Kỳ với tam quyền phân lập có vẻ xa xôi. Chúng ta hãy đến với một quốc gia gần đây có tiếng vô pháp vô thiên, sẵn sàng xuống tay với tội phạm ma túy mà không cần xét xử thông qua tòa án, đó là Phillipine. Tham khảo luật sô 10175 (ACT NO. 10175) có liên quan đến tội phạm công nghệ cao. Điều 14: Tiết lộ dữ liệu máy tính ….yêu cầu tiết lộ này phải theo lệnh của Tòa án (a court warrant) bắt buộc cá nhân và tổ chức cung cấp dịch vụ phải cung cấp thông tin trong vòng 72 giờ…. [8]
Như vậy hai quốc gia trên có yêu cầu bên cung cấp dịch vụ tiết lộ thông tin:
– Cho cơ quan tình báo hoặc cục điều tra liên bang đối với các trường hợp ảnh hưởng tới an ninh quốc gia như gián điệp hay khủng bố.
– Với một yêu cầu của Tòa án.
Đạo luật An ninh mạng của Việt Nam có vẻ đã trao nhiều quyền cho một “lực lượng chuyên trách bảo vệ An ninh” vì họ có quyền yêu cầu tiết lộ thông tin để phục vụ điều tra, xử lý vi phạm pháp luật về an ninh mạng. Và phạm vi của vi phạm pháp luật an ninh mạng được quy định trong đạo luật này thì rất nhiều.
Trong phiên tranh luận ở Quốc hội, thậm chí Giám đốc Công an Nghệ An còn tuyên bố họ áp dụng trưng cầu giám định của các sở ban ngành để xác định các hành vị vi phạm. Cụ thể, nếu tài liệu liên quan đến văn hóa thì Bộ Văn hóa giám định, liên quan đến Sở Thông tin Truyền thông thì Sở giám định và trả lời bằng văn bản. Từ khi nào các Sở, các Bộ có quyền làm thay chức trách của Tòa án![9]
3. Vấn đề các hành vi vi phạm pháp luật
Vấn đề này thấy hơi mơ hồ, mơ hồ vì quá nhiều, vì các nhà làm luật có vẻ muốn ôm tất cả các hành vi trên mạng về quản lý nên được quy định một cách rộng khắp. Hãy đọc Điều 8, Điều 16, Điều 17 và Điều 18. Bạn sẽ cảm thấy run tay khi định soạn bất cứ tin nhắn hoặc bình luận nào trên mạng mà không biết nó có vi phạm vào điều cấm nào không.
Thậm chí trong một xã hội tràn ngập thông tin và phản biện nhiều chiều. Các nghiên cứu về kinh tế, văn hóa, xã hội, lịch sử cũng đưa ra các giả thiết, kết quả khác nhau. Cách quy định mơ hồ như “Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc” hay “Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc” thật khiến chúng ta lo lắng.
Chắc sẽ có thông tư, nghị định hướng dẫn. Vì với các quy định này áp dụng vào thực tế, thật khó để biết được lúc nào mình đang thực hiện một hành vi vi phạm pháp luật.
4. Nhìn ra thế giới
Nhìn qua hàng xóm: Trước đó chắc ai cũng biết Trung Quốc kiểm soát thông tin trên mạng rất chặt chẽ, họ có tường lửa được gọi là Vạn lý hỏa thành, đội quân định hướng an ninh mạng mà mọi người hay gọi là đội quân 50 xu (giá cho mỗi bình luận ngắn). Năm 2015, Trung Quốc có luật An ninh Quốc gia, theo đó lực lượng an ninh có quyền yêu cầu các công ty cho phép tiếp cận thông tin người dùng. Năm ngoái, Luật An ninh mạng Trung Quốc vừa được áp dụng ngày 1 tháng 6, yêu cầu các thông tin nhạy cảm phải được lưu trữ nội địa [10]. Luật áp dụng xong Apple vội vàng mở ngay trung tâm dữ liệu để tiếp tục chăm con gà đẻ trứng vàng của mình. Tất nhiên giống như Amazon, Apple phải mở trung tâm dữ liệu thông qua đối tác tại Trung Quốc, được nhà nước phê duyệt, tên anh là Guizhou-Cloud Big Data (GCBD) thuộc sở hữu của nhà nước. Apple cũng nhẹ nhàng đổi điều khoản sử dụng rằng ngoài Apple thì GCBD cũng được quyền xem thông tin của người dùng [11]. Vì vậy, Các bạn đừng ca ngợi vụ không mở khóa Iphone cho FBI của Apple nữa, chuyện đó chỉ xảy ra ở Mỹ quốc thôi!
An ninh mạng nhà người ta: Hãy xem qua một báo cáo về anh ninh mạng của hai chuyên gia về an ninh và luật để xem người ta hướng đến an ninh mạng như thế nào.[12]. Theo đó Erica Wiking Häger và Carolina Dackö chia an ninh mạng thành 3 nhóm:
– Các yêu cầu về luật an ninh nội địa: Đưa ra các yêu cầu đối với các cơ quan công quyền cũng như các nhà cung cấp dịch vụ để đảm bảo rằng họ có các biện pháp an ninh để ngăn chặn các cuộc tấn công. Những luật này thường áp đặt các tiêu chuẩn tối thiểu để bảo vệ các dịch vụ công cộng (các dịch vụ thiết yếu hoặc cơ sở hạ tầng quan trọng như điện nước, bệnh viện, ngân hàng..) chống lại các mối đe dọa trên mạng. Ngoài ra, còn có các quy tắc an toàn trên không gian mạng liên quan đến quyền riêng tư dữ liệu thuộc về nhóm này.
Cái này chính là cái mà Vietnam Airline sau khi bị tấn công năm 2016 hay Hệ thống email của Bộ ngoại giao năm 2017 được hacker lạ hỏi thăm đang cần.
– Bảo vệ lợi ích an ninh quốc gia: Các luật này được xem xét chặt chẽ về lợi ích quốc phòng và nhằm duy trì tính toàn vẹn quốc gia của nhà nước bằng cách ngăn chặn ví dụ: hành vi gián điệp do nhà nước khác tài trợ. Do đó, các luật này có thể bỏ qua các nguyên tắc thị trường mở, và hạn chế các nhà đầu tư nước ngoài mua lại các doanh nghiệp trong nước, hoặc có thể hạn chế các nhà cung cấp nước ngoài bỏ thầu dự án cơ sở hạ tầng quan trọng. Họ cũng có thể hạn chế xuất khẩu và cung cấp công nghệ bảo mật quan trọng để ngăn chặn việc phổ biến công nghệ bảo mật.
Báo cáo này đưa ra một loạt trường hợp các nước Đức, Mỹ, Úc… cho Huawei ra rìa, không cho phép đấu thầu các dự án viễn thông quan trọng. Còn Việt Nam thì sau khi Sân bay Tân Sơn Nhất bị tê liệt, các báo mới dè dặt lên tiếng về vấn đề các nhà mạng Việt Nam sử dụng hầu hết là các thiết bị Trung Quốc, trong đó có Huwei (Bộ trưởng Trương Minh Tuấn trả lời báo chí xác nhận).[13]
– Quy định các hoạt động vi phạm pháp luật trên mạng: Các luật này nhắm đến tội phạm hóa các hành vi cụ thể được thực hiện chủ yếu bằng phương tiện kỹ thuật số hoặc điện tử và các hành vi mà rõ ràng là phạm tội nếu nó được thực hiện tương ứng một cách cơ học. Ví dụ, trộm cắp có thể so sánh được trong thế giới mạng với sự xâm nhập, đánh cắp và trộm cắp dữ liệu bất hợp pháp. Nhiều quốc gia đã hoặc đang thực hiện thỏa thuận quốc tế về tội phạm mạng (Công ước Budapest).
Luật an ninh mạng mới ban hành có vẻ thuộc về nhóm này với chủ yếu quy định các hành vi vi phạm pháp luật trên mạng.
Như vậy, có thể thấy luật an ninh mạng Việt Nam đang có những quy định chưa được hợp lý về lưu trữ dữ liệu, hành vi phạm tội và quyền lực cho lực lượng chuyên trách nhưng thiếu một chiến lược cụ thể và toàn diện để bảo vệ an ninh Quốc gia trên không gian mạng.
[1] https://goo.gl/A4pgJT (Báo Tuổi trẻ)
[2] https://www.legislation.gov.au/Details/C2012A00063 Article 77 (Page 62)
[3] https://www.irs.gov/pub/irs-pdf/p1075.pdf 9.3.15.7 External Information System Services (Page 95)
[4] https://goo.gl/63UFas (Báo cáo của ITIF)
[5] https://goo.gl/w3t74k (Báo dân trí)
[6] https://goo.gl/TAFi2H (VOA)
[7] https://goo.gl/1jzsb5 (Báo đầu tư)
[8] https://www.lawphil.net/…/rep…/ra2012/ra_10175_2012.html Session 14
[9] https://goo.gl/swrz71 (Báo Dân trí)
[10] https://goo.gl/atCBtg (The Verge)
[11] https://goo.gl/MHpQfY (CNN)
[12] https://www.mannheimerswartling.se/…/cybersecurity-law…
[13] https://goo.gl/uXa7Jg (Báo Thanh niên)