Luật an ninh mạng hay Luật theo dõi quần chúng?

- Quảng Cáo -

Quốc Anh – Luật Khoa tạp chí|

Dự thảo Luật An ninh mạng được dự kiến thông qua vào ngày 12/6 sắp đến, nếu không có gì thay đổi. Đây có lẽ là dự thảo Luật có nhiều “quyết tâm chính trị” nhất, còn hơn cả dự thảo Luật Đặc khu đang gây sốt hiện nay. Có hai chỉ dấu cho điều này.

Thứ nhất, khác với các thảo luận về Luật Đặc khu đang xuất hiện khá dầy đặc trên báo chí, những tiếng nói phản biện dự thảo Luật An ninh mạng ít xuất hiện hơn (có thể do dư luận không hiểu được nhiều về tính kĩ thuật của dự luật?). Thậm chí có những phản biện như của các chuyên gia đầu ngành ICT (có người từng là Bộ trưởng) chỉ xuất hiện trên báo chính thống được vài giờ, trước khi những thông tin này biến mất.

Thứ hai, có lẽ chưa có dự thảo Luật nào mà đích thân Chủ nhiệm Uỷ ban Quốc phòng và An ninh của Quốc hội, là đơn vị thẩm tra dự luật, lại có đến hai lần trong cùng một bài phát biểu đề nghị Quốc hội “giữ nguyên toàn văn dự thảo” mà không có một chỉnh sửa nào, bất chấp rất nhiều phản ứng từ các Đại biểu Quốc hội (Xem biên bản họp Quốc hội ngày 29/05).

- Quảng Cáo -

Nói thế mới thấy an ninh mạng trở thành ưu tiên rất lớn của Nhà nước Việt Nam. Không lạ khi dự thảo Luật An Ninh Mạng đã dùng đến những thuật ngữ tưởng như chỉ xuất hiện trong thời chiến như “chiến tranh thông tin”, “tác chiến điện tử”…

Nhưng chiến tranh, cho dù là chiến tranh thông tin đi chăng nữa, thì phải do Quốc hội tuyên bố tình trạng. Và chỉ khi đó, những quyền tự do của con người mới có thể tạm gác lại cho nhiệm vụ giữ đất nước. Còn không thì tất cả có lẽ chỉ là sự tranh chấp về ý thức hệ và minh bạch thông tin.

Khái niệm an ninh quốc phòng mà dự thảo Luật đưa ra để làm cơ sở lý thuyết cho chính nó do đó đã trở nên rất mơ hồ và có phần được sử dụng tuỳ tiện.

Nhiều chuyên gia đã lên tiếng cho rằng dự thảo này sẽ khiến cho quyền tự do cá nhân, quyền riêng tư của công dân bị xâm phạm, trao cho một thực thể không phải toà án quá nhiều quyền can dự vào tự do, và làm ảnh hưởng đến kinh tế. Nói vậy nhiều người sẽ cho là nói quá, vì thật sự Luật An ninh mạng không ảnh hưởng trực tiếp đến người dùng internet nếu xét theo câu chữ của nó, nhưng cái ngụ ý (implication) của nó thì lại hết sức đáng lo ngại. Có thể tóm tắt lại Dự thảo này với ba quy định chính yếu có thể hạn chế rất nhiều quyền tự do của người dân.

Nội địa hoá dữ liệu internet

Đầu tiên phải kể đến quy định về nội địa hoá dữ liệu. Theo đó, Điều 26 khoản 2 điểm d) quy định:

“[Cơ quan, tổ chức trong và ngoài nước khi cung cấp dịch vụ trên không gian mạng hoặc sở hữu hệ thống thông tin tại Việt Nam phải]: Lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam và các dữ liệu quan trọng liên quan đến an ninh quốc gia; đặt trụ sở hoặc văn phòng đại diện tại Việt Nam”

Nghe chừng thì có vẻ là một quy định hiển nhiên và hợp lý. Tuy nhiên, đây chính là một nỗ lực rất lớn của Nhà nước Việt Nam, mà cụ thể hơn là Bộ Công an, nhằm kiểm soát dữ liệu và thông tin của người dùng trên mạng internet.

Thuật ngữ “dữ liệu quan trọng liên quan đến an ninh quốc gia” là hết sức tối nghĩa, và nó đặt gánh nặng giải thích lên vai các nhà cung cấp dịch vụ. Một khả năng dễ xảy ra đó chính là các nhà cung cấp dịch vụ sẽ giải nghĩa nó theo ý là tất cả các dữ liệu liên quan đến cá nhân đó đều phải được lưu trữ lại, để đề phòng trường hợp nó trở thành quan trọng cho “an ninh quốc gia” một ngày nào đó.

Cách giải thích này rất nguy hiểm, nhưng không phải là không có cơ sở trong bối cảnh ngôn ngữ của dự thảo Luật rất mập mờ như vậy. Và quy định thứ hai yêu cầu các tổ chức nước ngoài cung cấp dịch vụ phải đặt trụ sở hoặc văn phòng đại diện tại Việt Nam có vẻ chính là sự đảm bảo thi hành quy định ở trên.

Tuy nhiên, một câu hỏi khác đặt ra đó là ai là người phải tuân thủ quy định này? Có phải chỉ những tổ chức mà đã bị chỉ mặt đặt tên bấy lâu nay như Youtube, Facebook, Google?

Rất có thể ý đồ của dự thảo này chỉ là nhắm đến các tổ chức đó. Nhưng nếu ta xét nhỏ câu chữ ra, thì ngụ ý của điều luật này còn rộng hơn rất nhiều.

Dự thảo hiện nay nói rằng Chính phủ sẽ quy định chi tiết hơn điều này để xác định tổ chức nào phải đặt trụ sở ở Việt Nam và thông tin nào phải lưu trữ tại Việt Nam. Nhưng rất có thể chính cả những doanh nghiệp đang cung cấp những dịch vụ phi chính trị (hoặc không được sử dụng cho những mục đích ngôn luận chính trị) qua mạng internet, như ngân hàng, thương mại điện tử cũng sẽ phải tuân thủ quy định này.

Hãy lấy ví dụ, nếu một ngân hàng nước ngoài cung cấp các dịch vụ online banking cho cá nhân ở Việt Nam. Như vậy, ngân hàng đó đang được xem là tổ chức “cung cấp dịch vụ trên không gian mạng” và sẽ phải chịu sự điều chỉnh của quy định này.

Nghe có vô lý không? Nhưng sự vô lý đó rất có thể sẽ thành hiện thực. Nhiều doanh nghiệp nước ngoài đã bày tỏ sự lo lắng của mình với quy định này và rất có thể sẽ chọn giải pháp tuân thủ triệt để quy định kể trên bằng việc… rút hoàn toàn hoạt động ở Việt Nam.

Việc quy định “nội địa hoá” dữ liệu như trên không phải chưa được áp dụng ở Việt Nam. Nghị định 72 mà các quốc gia thường xuyên kêu gọi Việt Nam sửa đổi trong các phiên đối thoại, kiểm điểm nhân quyền đã từng quy định về việc đặt máy chủ tại Việt Nam với các doanh nghiệp cung cấp dịch vụ mạng xã hội. Dự thảo Luật này có vẻ còn muốn mở rộng hơn nữa đối tượng này. Mục đích là gì thì trong bản giải trình của ban soạn thảo, cũng như trong các đăng đàn của ban thẩm tra tại Quốc hội, chỉ xoay quanh một cụm từ gần như mông lung “an ninh quốc gia”.

Nhưng “nội địa hoá” dữ liệu chưa phải là điều đáng lo ngại nhất của dự thảo luật này.

Doanh nghiệp có nghĩa vụ hợp tác toàn diện với chính quyền

Nội địa hoá dữ liệu có vẻ như chỉ là một biện pháp bảo đảm cho các nhà cung cấp dịch vụ này phải hợp tác toàn diện với cơ quan chấp pháp Việt Nam (cụ thể là Bộ Công an và Bộ Thông tin – Truyền thông) trong việc kiểm soát người dùng và thông tin đăng tải.

Theo dự thảo luật này, nhà cung cấp dịch vụ sẽ phải hợp tác với cơ quan công an hoặc cơ quan của Bộ TT-TT trong những vấn đề sau:

  • Xoá thông tin đăng tải trên mạng theo yêu cầu của cơ quan chấp pháp và lưu vết thông tin đó để cung cấp cho cơ quan chấp pháp (Điều 26 khoản 2 điểm b);
  • Xác thực thông tin người dùng, và cung cấp nó cho cơ quan chấp pháp khi có yêu cầu (Điều 26 khoản 2 điểm a); và
  • Tất cả các yêu cầu khác của cơ quan chấp pháp (Điều 26 khoản 2 điểm đ)

Những quy định này có mới không? Xin thưa là không mới, nó chỉ ngày một mở rộng.

Chẳng hạn, việc xác thực thông tin người dùng đã có từ Nghị định 72 và Nghị định 27 và cung cấp cho cơ quan chấp pháp khi có yêu cầu. Nhưng quy định ngày xưa chỉ nói rằng việc cung cấp này được thực hiện đối với thông tin của cá nhân có liên quan đến hoạt động khủng bộ, tội phạm, vi phạm pháp luật. Dự thảo Luật đã mở rộng cái quyền này ra hơn nữa. Đó là cơ quan chấp pháp sẽ có quyền yêu cầu cung cấp thông tin người dùng cho mọi trường hợp, bằng cách gửi văn bản cho tổ chức cung cấp dịch vụ mạng. Có nghĩa là, cơ quan chấp pháp không cần phải chứng minh cá nhân đó có vi phạm pháp luật hay không, hay cá nhân đó có tham gia hoạt động khủng bố hay không. Tất cả những gì họ cần là một văn bản, không hơn không kém.

Yếu tố an ninh quốc gia nào có thể biện minh cho quy định tuỳ nghi này?

Hay quy định về lưu vết thông tin, hay quy định về chấp thuận vô điều kiện các yêu cầu của cơ quan chấp pháp. Để đảm bảo cho việc thực thi những quy định này, dự thảo Luật còn cho phép cơ quan chấp pháp được kiểm tra hệ thống thông tin mạng của các cơ quan tổ chức khi có tình huống theo quy định (Điều 24 khoản 2). Nó giống như là những quy định cho phép cơ quan chấp pháp có một chìa khoá vạn năng để bước vào thế giới mạng và tìm hiểu về bất kỳ ai, không một giới hạn, không một trình tự, không một lý do nào hết.

Vậy câu hỏi đặt ra, liệu đây có còn là luật về an ninh mạng, hay là có một ngụ ý nào khác?

Hướng tới một đạo luật theo dõi quần chúng?

Hãy thử tưởng tượng, ngày qua ngày, bạn sử dụng Facebook, check in với bạn bè, đăng tải hình ảnh, nghe nhạc, xem phim, chat với người yêu, đặt mua quà cho người tình… Tất cả chính là dữ liệu cá nhân của bạn.

Việc Facebook, Google, hay các trang mạng khác lưu trữ những thông tin này và chuyển tới các bên làm dịch vụ không phải là chuyện quá xa lạ nữa. Tuy nhiên, ngay cả khi Facebook thu thập dữ liệu người dùng và bán lại cho bên thứ ba, họ cũng không đưa toàn bộ thông tin, dữ liệu của bạn cho người khác. Facebook áp dụng các thuật toán để đảm bảo chỉ cung cấp những thông tin cần thiết cho các bên làm dịch vụ và không để lộ những thông tin nhạy cảm khác. Và trên hết, những bên nhận thông tin này không có trong tay quyền lực Nhà nước để làm điều gì khác hơn là quảng cáo, hoặc các chiến dịch PR (chính trị hoặc phi chính trị).

Nhưng với dự thảo Luật An ninh mạng này, nếu được thông qua, Nhà nước Việt Nam sẽ có quyền tiếp cận với toàn bộ các dữ liệu đó, không cần phải có lệnh của toà để có thể xâm nhập, không cần lý do.

Chúng ta có nhớ lại hình ảnh CEO của Apple Jim Cook từ chối các nhân viên Cục Điều tra Liên bang Mỹ (FBI) khi họ yêu cầu Apple phải cung cấp đoạn mật mã để mở chiếc điện thoại iPhone 5C của nghi can xả súng không? Chuẩn mực của nhà nước pháp quyền là phải như thế, khi quyền tự do của cá nhân, cho dù là cá nhân phạm tội chứ chưa nói đến cá nhân vô tội, nếu bị tước đi thì phải do toà án quyết định.

Vậy thì, không có một lý do nào giải thích được cho điều này, ngoài một lý do, đó là ý đồ giám sát quần chúng dưới danh nghĩa an ninh quốc gia.

Nếu đó chính là lý do chính, liệu dự thảo Luật này có nên được thông qua? Tự do của chúng ta có nên bị đánh đổi như vậy không?

- Quảng Cáo -

4 CÁC GÓP Ý

Chúng Tôi Mong Có Góp Ý Kiến Thêm Từ Quý Vị

Please enter your comment!
Please enter your name here