Luật an ninh mạng: không chỉ là tự do ngôn luận

Luật an ninh mạng vừa được thông qua ngày 12/06/2018 rất có thể sẽ trở thành một bức tường thép ngăn cản chúng ta với thế giới, cả về văn minh lẫn công nghệ.
Quả thực đây là một bộ luật dễ gây tranh cãi, nhưng phần lớn các tranh luận tôi thấy đều tập trung vào thiên kiến chính trị (aka cờ vàng vs cờ đỏ) và dễ chuyển sự chú ý cũng như các luận điểm vào những gì xảy ra trong cuộc biểu tình hôm Chủ Nhật. Tuy nhiên mục đích cũng như phạm vi ảnh hưởng của luật này không chỉ dừng lại ở việc kiểm duyệt phát biểu trên mạng, hay vấn đề duy trì "ổn định trật tự xã hội", mà còn rộng hơn rất nhiều. 
Dưới đây là ý kiến của tôi về những vấn đề của bộ luật này, cùng những trích dẫn lấy từ toàn văn bộ luật (mọi người có thể xem toàn văn ở 1 post khác trên spiderum).


1. Khái niệm mập mờ
Về định nghĩa không gian mạng , trích trực tiếp từ khoản 3 và 4 trong điều 2 của luật: 
"3. Không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng internet, mạng máy tính, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu; là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian.
4. Không gian mạng quốc gia là không gian mạng do Chính phủ xác lập, quản lý và kiểm soát."
Khoản 4 này thực ra là một tuyên bố sở hữu trá hình dưới mác định nghĩa, vì nó không xác định được đối tượng nào thuộc hay không thuộc không gian mạng VN. Nó có thể dịch như sau: Chính phủ có quyền quản lý và kiểm soát không gian mạng quốc gia. Tôi bỏ qua từ xác lập vì nó không thể định nghĩa nổi - xác lập cái gì, nếu đó là phạm vi của không gian mạng thì sao lại không có định nghĩa phạm vi, còn nếu đối tượng được xác lập là chính “không gian mạng” thì đây là một sự đánh tráo khái niệm vô cùng nghiêm trọng. Vì theo khoản 3, không gian mạng bao gồm “cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng internet, mạng máy tính, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu”, trong những thứ được nêu không có cái nào thuộc quyền sở hữu của nhà nước VN, tức là nhà nước đã tự cho mình quyền quản lý và kiểm soát những đối tượng này. 
Cần phải nói, hiện nay không có một chính phủ hay tổ chức nào thừa nhận quyền sở hữu hay quản lý không gian mạng (chỉ có ICANN - một tổ chức phi lợi nhuận của Mỹ và các nước châu Âu - quản lý cơ sở dữ liệu tên miền các trang web, nhưng chỉ dừng lại ở tên miền, ICANN cũng không có quyền quản lý nội dung các trang này). Thông tin ở máy chủ của ai thì thuộc về người đó, còn khi bạn sử dụng những dịch vụ của Google hay facebook hay các dịch vụ lưu trữ đám mây thì thông tin vẫn là của bạn, nhưng quyền sử dụng hay công bố thông tin đó tùy thuộc vào điều khoản sử dụng dịch vụ mà bạn đã ấn “Đồng ý”. 
Lấy luôn facebook làm ví dụ, trước năm 2018 hãng này đăng kí là một công ty công nghệ nên hoàn toàn không chịu trách nhiệm gì trước những thông tin người dùng đăng tải. Sau bê bối ‘fake news’, khi Mark Zuckerberg ra điều trần và thừa nhận công ty có tạo ra cũng như định hướng nội dung (và phải gỡ tính năng ‘trending news’), thì facebook mới phải hứa sẽ kiểm duyệt các tin thất thiệt trên trang của mình. Điều cần chú ý ở đây là: 1. Các chính phủ vẫn không được can thiệp trực tiếp vào thông tin hay xử lý chủ sở hữu thông tin, mà chỉ có thể yêu cầu facebook thay đổi thỏa thuận người dùng để chặn bớt điều này. 2. Toàn bộ những hành vi trên chỉ gói gọn trong một nguồn thông tin đơn lẻ là facebook, không có luật nào được đưa ra để áp dụng với toàn bộ không gian mạng.
Vì thế, khoản 4 điều 2 ở trên, được sử dụng làm định nghĩa cho những điều luật kế tiếp, vốn đã không đạt sự minh bạch cần thiết.
                ------------------------------------------
Trong điều 16, khi đưa ra những loại thông tin bị cấm phát tán:
Mục c Khoản 1: “Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc.”
Ai sẽ quyết định thế nào là xúc phạm và đâu là ranh giới giữa phê phán và xúc phạm? Tôi bảo cờ Nepal đẹp vì có hình cây thông còn cờ Việt Nam xấu vì tôi ghét màu đỏ thì đấy là quan điểm cá nhân hay là xúc phạm? Trong bộ luật cũng không đề ra danh sách hay tiêu chí nào để xét một người là “vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc”. Lịch sử cần phải được nhìn nhận một cách thằng thắn và khách quan, chứ không phải dưới lăng kính tuyên truyền với thái độ đã được định sẵn và 1 bộ luật sẵn sàng xử lý những ý kiến trái chiều.
Mục a khoản 2: “Tuyền truyền xuyên tạc, phỉ báng chính quyền nhân dân”
Theo tôi, những từ như “xuyên tạc” và “phỉ báng”, vốn mang nặng tính biểu cảm hơn tính pháp lý, không nên có trong một văn bản luật. “Phỉ báng” theo tôi tra trên từ điển tiếng Việt là “chê bai, tỏ thái độ coi khinh”, nếu hiểu theo nghĩa này tức là người dân không có quyền chê chính quyền trên mạng? Thế nào là chê? Chê bai là một hành vi đánh giá mang tính chủ quan chứ không phải một cáo buộc, ví dụ như khi tôi nói “EVN làm ăn như hạch” thì đó là một lời chê, còn khi tôi nói “EVN tham nhũng gây thất thoát hàng ngàn tỉ” thì đó là một cáo buộc. Câu thứ 2 có thể khiến tôi bị xử lý vì vu khống, dĩ nhiên là sau khi điều tra và tố tụng, còn câu thứ nhất được bảo hộ bởi quyền tự do ngôn luận của tôi theo hiến pháp. 
Mục b khoản 2: “Kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự.”
Khỏi nói thêm thì ai cũng nhận ra mục này muốn nhắm vào việc chống vận động biểu tình, với định nghĩa vô cùng lỏng lẻo về cả hành vi lẫn mức độ như “tụ tập đông người”, “chống người thi hành công vụ”, “ gây mất ổn định về an ninh trật tự” 
Những định nghĩa lỏng lẻo ở điều 16 có thể dễ dàng trở thành công cụ của nhà cầm quyền để áp đặt quan điểm cũng như dập tắt các ý kiến trái chiều. Mâu thuẫn giữa người dân và chính quyền luôn xảy ra, nhưng có sự khác biệt rất lớn giữa một cuộc tuần hành đòi gỡ bỏ trạm thu phí với một âm mưu nổi dậy lật đổ nhà nước. Nếu không xác định rõ ranh giới mà dùng chung 1 chế tài để dập tắt cả 2, theo tôi không đưa chúng ta tới một xã hội công bằng văn minh hơn, mà chỉ tạo điều kiện để bộ luật bị lợi dụng nhằm hạn chế quyền dân chủ của nhân dân và che giấu những vụ việc tiêu cực.
2. Quyền hạn hay quyền vô hạn
“Điều 26. Bảo đảm an ninh thông tin trên không gian mạng
1. Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này và các thông tin khác có nội dung xâm phạm an ninh quốc gia.
2. Doanh nghiệp trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm sau đây:
a) Xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng;
b) Ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này trên dịch vụ hoặc hệ thống thông tin do cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông và lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ;
c) Không cung cấp hoặc ngừng cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông.
3. Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
Doanh nghiệp nước ngoài quy định tại khoản này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
4. Chính phủ quy định chi tiết khoản 3 Điều này.“
Điều 26 này, mỗi khoản của nó nếu được thực thi đều là một thảm họa. Tôi sẽ cố gắng nói về từng khoản theo thứ tự.
Khoản 1 và mục b khoản 2 cấm tất cả các báo và kênh truyền thông đăng tải những thông tin bất lợi cho chính quyền, đồng thời bắt các tổ chức cũng như cá nhân phải xóa những thông tin trên trong vòng 24h nếu có yêu cầu của công an. Ngoài ra nhà nước có thể cắt luôn dịch vụ viễn thông (internet, điện thoại) của những cá nhân và tổ chức vi phạm. Cộng thêm sự mập mờ trong các khái niệm đã nói ở trên và luật tố cáo vừa được thông qua chỉ cho phép hình thức tố cáo duy nhất là nộp đơn viết tay có chữ kí,  đây sẽ là 1 cú giáng mạnh vào tự do ngôn luận cũng như khả năng kiểm soát chính quyền của người dân, kéo chúng ta lùi xa khỏi những tiến bộ về nhân quyền trên thế giới.
Nhưng, bỏ qua các hệ lụy chính trị (thường là đề tài của những cuộc tranh cãi nảy lửa), thì những hậu quả trực tiếp lên nền kinh tế lại đến từ Mục a khoản 2 và khoản 3.
Mục a khoản 2 cho phép bộ công an yêu cầu mọi công ty trong và ngoài nước hoạt động tại việt nam cung cấp thông tin người dùng mà không cần lý do. Đừng chỉ nhìn vào mấy cái status facebook, đây còn là lịch sử giao dịch ngân hàng, email cá nhân, công việc, tin nhắn, vân vân và mây mây. Mục này vi phạm điều 21 hiến pháp sửa đổi năm 2013: "Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đinh; có quyền bảo vệ danh dự, uy tín của minh. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đỉnh được pháp luật bảo đảm an toàn. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hỉnh thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hỉnh thức trao đổi thông tin riêng tư của người khác"
Luật trên không hề nhắc đến việc quyền hạn và trách nhiệm lưu trữ, sử dụng, bảo mật hay phát tán những thông tin nhạy cảm vốn có thể được tận dụng để phá hoại, tống tiền cũng như hủy diệt cá nhân hay cả một công ty này của Bộ Công An. Điều gì sẽ đảm bảo những thông tin được cung cấp này không bị lộ ra ngoài qua những cuộc tấn công mạng, hay tuồn cho đối thủ kinh doanh dẫn tới việc cạnh tranh không lành mạnh. Nhất là ở một nước và Bộ Quốc phòng cũng như Bộ Công an đều được quyền làm kinh tế như VN (thường ở các nước quân đội và CA sẽ chỉ được sử dụng vốn ngân sách để tránh xung đột về lợi ích kinh tế và cạnh tranh không lành mạnh), liệu một công ty có thể tự tin cạnh tranh bình đẳng trong cùng một mảng với những doanh nghiệp trực thuộc 2 bộ trên, khi tất cả những gì đảm bảo cho họ chỉ là một niềm tin rằng việc lạm quyền sẽ không xảy ra? Liệu các công ty nước ngoài có còn muốn đầu tư vào thị trường Việt Nam nếu an toàn thông tin của họ không được đảm bảo? 
Không chỉ có nỗi lo về để lộ thông tin, việc bắt các công ty tiết lộ dữ liệu người dùng còn trở thành một rào cản lớn ngăn các doanh nghiệp trong nước vươn ra thế giới. Các doanh nghiệp nước ngoài luôn đặt nặng vấn đề bảo mật, và thỏa thuận bảo mật thông tin luôn là một trong những điều cần thống nhất trước khi kí hợp đồng. Nếu không thể đảm bảo vấn đề này, liệu các doanh nghiệp Việt Nam có thể duy trì sức cạnh tranh trong thời đại 4.0 với các doanh nghiệp tiềm năng đến từ các nước đang phát triển khác? Và đừng nói điều này là suy đoán vẩn vơ, công ty cũ của tôi đã từng bị 1 khách hàng lớn bên Nhật chấm dứt mọi hợp đồng và đòi bồi thường chỉ vì họ vẫn truy cập được vào 1 server dùng để test (vốn không có dữ liệu thật) sau khi đã đóng dự án. Việc này quá cỏn con so với phải cung cấp toàn bộ dữ liệu người dùng như trong luật.
Để đưa ra thêm 1 ví dụ về việc bảo mật dữ liệu người dùng quan trọng thế nào trong mắt các công ty nước ngoài, khi cảnh sát Mỹ yêu cầu hãng Apple phải unlock chiếc iPhone 5C của thủ phạm vụ xả súng ở San Bernardino ngày 02/12/2016 làm 14 người thiệt mạng và 22 người bị thương , CEO của hãng, Tim Cook đã kiên quyết từ chối bất chấp sức ép từ chính quyền, vì việc vi phạm thỏa thuận bảo mật có thể gây nguy hại cho hàng chục triệu người dùng của Apple hiện tại, và nhiều triệu người dùng trong tương lai của Apple, một việc có thể gây ra hệ lụy lớn hơn nhiều so với một vụ xả súng. Bạn có thể đọc về sự kiện này cũng như trả lời của Cook tại đây: https://www.washingtonpost.com/news/post-nation/wp/2016/02/17/apple-ceo-the-u-s-government-wants-something-we-consider-too-dangerous-to-create/?utm_term=.8ce16d05d025
            ------------------------------------------
Mục 3 khoản 2 chính là điều được dư luận nhắc đến nhiều trong thời gian gần đây, cũng như lo lắng về nguy cơ facebook hay Google có thể không chấp nhận và rời khỏi VN:
“Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
Doanh nghiệp nước ngoài quy định tại khoản này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.”
Trước tiên phải nói rằng, Google lẫn facebook chỉ là những buzzword đặt lên tít báo để thấy rõ sự thiển cận về mặt công nghệ của điều luật này (mặc dù nếu Google bỏ đi thật thì người viết chắc cũng sẽ thất nghiệp luôn, vì hiện tại công ti tôi đang làm phụ thuộc vào vô cùng nhiều dịch vụ đến từ Google). Vì ngoài 2 công ty trên, thì còn hàng ngàn công ty nước ngoài khác đang hoạt động tại Việt Nam với đủ các quy mô khác nhau: Viber, Snap, Grab, Yahoo, Sony, Nintendo, SEGA , Koei… Việc bắt tất cả các công ty này đặt cả văn phòng đại diện lẫn máy chủ tại VN là một điều không những không khả thi mà còn vi phạm những quy ước và thỏa thuận quốc tế mà nước ta đã kí kết. Nhất là trong thời đại công nghệ, khi mà các công ty có thể cung cấp dịch vụ toàn cầu với một đội ngũ rất nhỏ, thì yêu cầu trên chỉ khiến họ rời bỏ thị trường này và biến VN thành một vùng trũng internet thế giới (mà chúng ta vốn đã là vùng trũng, khi Amazon, hãng bán lẻ lớn nhất thế giới, ship hàng tới 21 quốc gia và vùng lãnh thổ tại Châu Á Thái Bình Dương nhưng trong đó không có Việt Nam). Điều luật trên được đưa vào thực hiện, sẽ không chỉ tạo ra một cuộc di cư của các công ti công nghệ khỏi VN, mà còn trở thành một rào chắn ngăn chặn các công ti khác khỏi thị trường nước ta, kéo dài thêm khoảng cách công nghệ giữa VN và thế giới.
Không chỉ có những công ti nước ngoài chịu thiệt hại, mà các công ti trong nước, nhất là những công ti tin học vừa và nhỏ, cũng sẽ gặp khó khăn khi tuân thủ điều luật này. Ở thời đại của điện toán đám mây, việc quy định đặt server vật lý tại trong nước là một quy định đi ngược sự tiến hóa của công nghệ. 
Để giải thích một cách trực quan, tôi sẽ lấy ví dụ về công ti mình đang làm. Trừ những công ty lớn ra, các công ti vừa và nhỏ hiện nay không còn đặt server vật lý (một cái máy tính to như cái tủ với mớ dây nối nhằng nhịt, hay đôi khi chỉ là một PC bình thường có kết nối internet) mà thay vào đó sẽ sử dụng dịch vụ cloud của những hãng lớn như Google hay Amazon. Có thể coi việc này như mình thuê máy chủ của họ, với nhiều điểm lợi như: giá thành rẻ, đường truyền mạnh kết nối quốc tế 24/7, không phải lo bảo trì phần cứng, và dễ dàng nâng cấp khi mở rộng quy mô (chỉ cần trả thêm tiền để mua thêm tốc độ xử lý, RAM hay bộ nhớ, thay vì phải nâng cấp phần cứng hoặc mua mới máy chủ mạnh hơn). Khi luật an ninh mạng được thi hành, công ti của tôi sẽ phải đối mặt với 2 lựa chọn:
  1. Đặt server tại VN, tốn tiền, mất hết những tiện ích phía trên cùng với 1 kết nối quốc tế thi thoảng bị “cá mập cắn”.
  2. Vẫn sử dụng dịch vụ cloud của Google, nhưng phải đặt thêm 1 máy chủ và cơ sở dữ liệu người dùng riêng tại trong nước, tốn thêm tiền và những chi phí trong việc duy trì, cập nhật, thống nhất 2 hệ thống với 2 cơ sở dữ liệu riêng biệt.
Hiện tại ở cả Châu Á  - Thái Bình Dương, Google chỉ có 2 trung tâm dữ liệu tại Singapore và Đài Loan, xin nhắc lại là toàn bộ châu lục, thậm chí Google còn không đặt trung tâm dữ liệu nào ở Ấn Độ, Châu Phi, Trung Quốc, Nga hay Úc, nên đừng mong đạo luật này sẽ buộc Google phải đặt 1 cái ở VN. Khi luật này được đưa vào sử dụng, nó sẽ trở thành 1 cú giáng nữa vào doanh thu cũng như sức cạnh tranh của các doanh nghiệp nước ta, tăng thêm khoảng cách về công nghệ giữa VN với thế giới, lúc đó chắc việc tiến lên 4.0 chỉ còn là ước mơ của các nhà làm luật và những kẻ hoang tưởng.
3. Kết
Trong khi đạo luật về an ninh mạng tại các nước phát triển tập trung vào các quyền cũng như biện pháp bảo vệ dữ liệu của người dùng, thì bộ luật nước ta lại chỉ nhắm vào nội dung mang tính chính trị của dữ liệu. Với sự mập mờ trong định nghĩa và giới hạn, thiển cận về mặt tầm nhìn công nghệ, cùng với việc trao quyền hạn quá lớn cho Bộ Công an, nếu luật an ninh mạng được thi hành vào tháng 1 năm sau, hậu quả cả về mặt kinh tế lẫn xã hội sẽ vô cùng khó lường.
PS: bài này dài hơn so với tưởng tượng ban đầu của tôi. Trong bài có thể có những điểm tôi hiểu chưa rõ hoặc không đúng, mong mọi người thảo luận để cùng hướng tới một cái nhìn rõ ràng hơn về bộ luật có thể nói là gây tranh cãi nhất năm này.
63
9927 lượt xem
63
59
59 bình luận