Dự thảo có năm chương, ngoại trừ chương 5, phần lớn nội dung tập trung vào vấn đề bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Mặc dù có những quy định khá ngớ ngẩn như bắt buộc đổi mật khẩu mỗi tháng một lần, chúng ta phải ghi nhận nỗ lực của nhóm soạn dự thảo và thành công phần nào của họ khi đưa ra được một chính sách an toàn thông tin chung cho các hệ thống trọng yếu.
Tôi sẽ có ý kiến riêng về nội dung an toàn thông tin của dự thảo, ở đây tôi tập trung vào chương 5, bắt đầu từ trang 40. Chỉ trong vòng vài trang giấy, dự thảo nghị định do Bộ Công an soạn thảo đã trao cho Cục An ninh mạng, Bộ Công an những quyền sau đây:
- Điểm b, khoản 1, điều 57: bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải có sự đồng ý của Cục An ninh mạng ($$$$).
- Điều 54, 55, 56, 57: bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ tất cả dữ liệu ở Việt Nam và phải cung cấp tất cả dữ liệu khi nhận được yêu cầu của Cục An ninh mạng.
- Khoản 5, điều 58: Bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ và chuyển giao cho Cục An ninh mạng "nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch" sau 36 tháng kể từ lúc dữ liệu được thu thập. Nếu công ty đóng cửa hoạt động hoặc ngừng cung cấp dịch vụ, phải chuyển giao tất cả thông tin người dùng cho Cục An ninh mạng.
Khi tôi viết tất cả, ý của tôi là tất cả. Tất cả những gì bạn gõ vào Facebook hay Zalo. Tất cả hình bạn đã chụp và chia sẻ. Tất cả những email bạn đã gửi. Tất cả những gì bạn đã tìm kiếm. Tất cả website bạn đã vào. Tất cả những thông tin tế nhị, nhạy cảm, sâu thẳm nhất. Bạn có bao nhiêu tiền trong tài khoản. Ai cho bạn tiền, bạn cho tiền ai. Bạn thích quần lót màu gì. Bạn có mấy cô bồ nhí. Bạn thích phim con heo thể loại gì. Tất tần tật.
Trong các phần tiếp theo tôi sẽ giải thích tại sao dự thảo này không đem lại lợi ích gì mà còn tạo ra nhiều nguy cơ kinh tế và an ninh.
Bắt buộc lưu trữ dữ liệu ở Việt Nam không đem lại ích lợi gì
Chính phủ muốn yêu cầu các công ty nước ngoài lưu trữ dữ liệu và mở văn phòng ở Việt Nam là để nắm chủ quyền trên dữ liệu của người Việt Nam và có quyền tài phán đối với các công ty này. Đây không phải là một yêu cầu vô lý, vì suy cho cùng chính phủ phải có trách nhiệm và can dự vào việc bảo vệ dữ liệu của người dân. Tuy vậy có một lỗ hổng pháp lý lớn và vài vấn đề kỹ thuật mà Luật An ninh mạng và dự thảo 03/10/2018 đã bỏ qua.
Đa số các công ty Internet quốc tế phổ biến ở Việt Nam đến từ Mỹ, nên trong phần này tôi tập trung vào luật của Mỹ. Về mặt kỹ thuật, để an toàn, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của Mỹ là không được cung cấp khoá. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt Nam vẫn không thể tự do truy cập dữ liệu.
Từ năm 1986, Đạo luật Riêng Tư Trong Liên Lạc Điện Tử (Electronic Communications Privacy Act, ECPA [2]) của Mỹ nghiêm cấm các công ty nước này cung cấp dữ liệu cho bất kỳ chính phủ nào khác, mà không có sự đồng ý của Bộ Tư pháp. Đây là lý do mà trong những lần điều trần trước Ủy ban Việt Nam của Quốc hội Mỹ, đại diện Facebook đã nhiều lần khẳng định họ sẽ không bao giờ chia sẻ dữ liệu với chính phủ Việt Nam, vì chia sẻ như thế là trái luật.
Hồi tháng 3 năm nay, Đạo luật ECPA đã được bổ sung bởi Đạo luật Đám Mây (Clarifying Lawful Overseas Use of Data Act - CLOUD Act [3]). Đạo luật Đám Mây quy định các công ty chỉ được phép cung cấp dữ liệu cho các chính phủ đã được Nhà Trắng phê duyệt. Vương quốc Anh và Liên minh Châu Âu có thể là hai chính thể được phê duyệt đầu tiên. Nếu muốn truy cập dữ liệu để phục vụ cho việc phòng chống tội phạm, chính phủ Việt Nam nên gấp rút nghiên cứu Đạo luật Đám Mây, đàm phán với chính phủ Mỹ. Một khi đã được chính phủ Mỹ phê duyệt, chính phủ Việt Nam có thể đường hoàng yêu cầu các công ty Mỹ cung cấp thông tin và các công ty phải nhanh chóng đáp ứng như thể đó là yêu cầu từ chính phủ Mỹ.
Nếu muốn truy cập dữ liệu để phục vụ cho việc phòng chống tội phạm, chính phủ Việt Nam nên gấp rút nghiên cứu Đạo luật Đám Mây, đàm phán với chính phủ Mỹ.<br/>-Kỹ sư Dương Ngọc Thái
Cần phải nhấn mạnh rằng việc Việt Nam phải được Mỹ phê duyệt không phải là chuyện nước lớn ép nước nhỏ, nhắc lại ngay cả Anh và Châu Âu vẫn phải đàm phán với Mỹ, mà chỉ đơn giản vì người Việt Nam sử dụng dịch vụ của các công ty Mỹ. Nếu như người Mỹ sử dụng Zalo của Việt Nam, chính phủ Mỹ muốn truy cập dữ liệu này họ vẫn phải thông qua chính phủ Việt Nam. Đây là cách thế giới vận hành, muốn hay không muốn chúng ta vẫn phải tuân theo. Tạo ra một bộ luật nội địa không làm thay đổi luật chơi quốc tế.
Vừa rồi Apple đã nhún nhường Trung Quốc, chuyển dữ liệu iCloud của người Trung Quốc về giao lại cho một công ty Trung Quốc. Đây là một cách lách luật và Apple đã phải hứng chịu rất nhiều chỉ trích [24]. Câu hỏi đặt ra là liệu Việt Nam có đủ tài lực để ép Apple như Trung Quốc đã làm? Nếu có đủ đi chăng nữa, liệu Việt Nam có nên làm như vậy? Tôi sẽ phân tích những điểm này trong phần cuối khi nói về Trung Quốc.
Phải thừa nhận rằng lưu trữ dữ liệu nội địa là một vấn đề đang gây nhiều tranh cãi. Kể từ sau sự kiện Snowden năm 2013, một số quốc gia đã đưa ra luật nội địa hóa dữ liệu lên bàn nghị sự. Nhưng thông tin “đã có 18 nước quy định phải lưu trữ dữ liệu trong nước” dễ gây lầm tưởng rằng tất cả các quốc gia đều yêu cầu lưu tất cả dữ liệu cá nhân hay cho phép một đơn vị như Cục An ninh mạng được phép tự ý truy xuất các dữ liệu đó. Sự thật không phải như vậy. Cùng với Việt Nam, chỉ có Trung Quốc, Nga, Indonesia là bắt buộc lưu trữ tất cả dữ liệu cá nhân. Đa số các quốc gia như Mỹ, Anh, Bỉ, Phần Lan, Thụy Điển, New Zealand, Hà Lan, Venezuela, v.v. chỉ yêu cầu lưu trữ dữ liệu thuế, kế toán, tài chính, hoặc dữ liệu của các tổ chức đại chúng [21].
Cùng với Việt Nam, chỉ có Trung Quốc, Nga, Indonesia là bắt buộc lưu trữ tất cả dữ liệu cá nhân.<br/>-Kỹ sư Dương Ngọc Thái
Ngoài lưu trữ dữ liệu nội địa, dự thảo còn bắt buộc các công ty phải mở văn phòng ở Việt Nam. Đây không phải là một yêu cầu quá đáng, nhưng câu hỏi mà chính phủ cần đặt ra là tại sao chúng ta phải ép bằng luật. Singapore đâu cần ép gì đâu, các công ty vẫn đua nhau mở trụ sở. Thậm chí nhiều công ty khởi nghiệp Việt Nam cũng đều đăng ký ở Singapore. Không chỉ Singapore, Thái Lan, Malaysia, Indonesia, Philippines và Myanmar đều có các công ty Internet lớn của thế giới đặt trụ sở. Rõ ràng mở văn phòng ở đâu là quyết định của doanh nghiệp, chính phủ không nên can thiệp mà chỉ có thể khuyến khích. Chính sách thuận lợi, không cản trở kinh doanh, luật pháp minh bạch, văn minh, không cần ra luật người ta cũng tự tìm đến.
Chính phủ nói rất nhiều về cách mạng công nghiệp 4.0. Các quan chức đã nhiều lần tuyên bố muốn biến Sài Gòn, Hòa Lạc hay Bình Dương thành Silicon Valley. Đây là một giấc mơ lớn, đáng trân trọng, muốn thực hiện trước nhất phải thu hút được đầu tư của các tập đoàn công nghệ hàng đầu thế giới, mà quan trọng nhất là Mỹ và Châu Âu. Nhưng chính sách và luật pháp của Việt Nam ra sao để rồi bây giờ chỉ yêu cầu mở văn phòng thôi, chứ chưa nói đầu tư hay chuyển giao công nghệ gì, mà người ta vẫn không muốn vào? Đây là một câu hỏi lớn, nhưng Luật An ninh mạng và dự thảo 03/10/2018 không phải là câu trả lời.
* Bài viết không thể hiện quan điểm của Đài Á Châu Tự Do