Posted on 14/10/2018
Thông thường, doanh nghiệp Internet chết thì dữ liệu
người dùng chết theo hoặc doanh nghiệp sẽ bán nó cho một doanh nghiệp khác. Tuy
nhiên, dự thảo nghị định hướng dẫn Luật An ninh mạng lại đưa ra một
khả năng khác: doanh nghiệp chuyển giao toàn bộ dữ liệu của tất cả người dùng
cho Cục An ninh mạng thuộc Bộ Công an quản lý.
Điều này được quy định tại Điều 58, Khoản 5 của
dự thảo nghị định:
Điều 58, Khoản 5 về thẩm quyền của Cục An ninh mạng: “Tiếp nhận dữ liệu
được quy định tại Khoản 1, 2 Điều 54 Nghị định này sau khi doanh nghiệp kết
thúc hoạt động hoặc kết thúc thời gian lưu trữ dữ liệu được quy định tại Điều
56 Nghị định này”.
Theo Điều 54 và 56 của dự thảo nghị định, doanh nghiệp
Internet phải lưu trữ hầu hết dữ liệu của người dùng trong suốt thời gian doanh
nghiệp hoạt động hoặc thời gian cung cấp dịch vụ. Những dữ liệu này bao gồm các
thông tin về nhân thân, số thẻ tín dụng, hồ sơ tài chính, tình trạng sức khoẻ,
hồ sơ y tế, quan điểm chính trị, sinh trắc học, thông tin khởi tạo tài khoản
người dùng, v.v.
Ngoài ra, doanh nghiệp phải lưu trữ các dữ liệu sau
trong 36 tháng: nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy
cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch, thông tin về
thiết bị, thuộc tính, hoạt động, số nhận dạng, tín hiệu, dữ liệu từ cài đặt thiết
bị, mạng và kết nối, và dữ liệu cookie.
Tuy nhiên, liệu Khoản 5, Điều 58 này có thể được hiểu
là trước khi chết hoặc hết thời hạn lưu trữ dữ liệu 36 tháng, doanh nghiệp có
nghĩa vụ chuyển giao dữ liệu của tất cả người dùng cho Cục An ninh mạng không?
Doanh nghiệp có thể cãi rằng Cục An ninh mạng chỉ có
thẩm quyền “tiếp nhận” (theo đúng cách hành văn của dự thảo) nếu doanh nghiệp tự
nguyện và chủ động chuyển giao, thay vì có thẩm quyền “yêu cầu” và “bắt buộc”
doanh nghiệp phải chuyển giao.
Tuy nhiên, việc dự thảo nghị định đề cập đến việc tiếp
nhận dữ liệu do doanh nghiệp chuyển giao cho thấy rằng, Bộ Công an muốn lưu trữ
vĩnh viễn toàn bộ dữ liệu người dùng sau khi doanh nghiệp chết hoặc hết thời hạn
lưu trữ 36 tháng.
Để buộc doanh nghiệp phải chuyển giao dữ liệu, Bộ
Công an và Cục An ninh mạng có thể tìm cách diễn giải nghĩa vụ mơ hồ của doanh
nghiệp trong việc “phối hợp, tạo điều kiện cho lực lượng chuyên trách bảo vệ an
ninh mạng trong bảo vệ an ninh mạng” (Điều 41, Luật An ninh mạng).
Cho dù cách diễn giải của họ có hợp lý hay không,
doanh nghiệp cũng khó mà “cãi” lại được Bộ Công an. Khả năng doanh nghiệp
phải chuyển giao toàn bộ dữ liệu người dùng cho Bộ Công an trước khi khai tử
doanh nghiệp/dịch vụ là cao.
Điều đó có nghĩa là, kể từ thời điểm doanh nghiệp
chuyển giao các dữ liệu trên, Cục An ninh mạng có thể tra cứu toàn bộ dữ liệu của
tất cả người dùng bất cứ khi nào họ muốn mà không cần ra văn bản yêu cầu doanh
nghiệp nữa.
Dự thảo nghị định cũng trao cho Cục An ninh mạng một
quyền hạn rộng lớn hơn rất nhiều so với Luật An ninh mạng.
Điều 26, Luật An ninh mạng, là văn bản cao hơn nghị
định, chỉ cho phép Cục An ninh mạng yêu cầu doanh nghiệp “cung cấp thông
tin người dùng […] để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an
ninh mạng”.
Điều đó có nghĩa là Cục An ninh mạng chỉ có thể yêu
cầu doanh nghiệp cung cấp thông tin của một hoặc một số người dùng cụ thể liên
quan đến những vi phạm cụ thể đang bị điều tra, chứ không được yêu cầu cung cấp
dữ liệu của tất cả người dùng.
Dự thảo nghị định, do đó, là trái luật, vì luật (do
Quốc hội ban hành) là văn bản pháp lý cao hơn nghị định (do Chính phủ ban
hành). Theo Luật
Ban hành Văn bản Quy phạm Pháp luật, khi đã có luật thì nghị định chỉ có chức
năng chi tiết hoá hoặc hướng dẫn thi hành luật chứ không được quy định ngoài phạm
vi của luật.
Nếu không có sửa đổi gì thêm, dự thảo trên sẽ có hiệu
lực kể từ ngày 1/1/2019, cùng thời điểm với Luật An ninh mạng.
No comments:
Post a Comment