Kỹ sư Dương Thái
Gửi
cho BBC từ Silicon Valley
14 tháng 10 2018
BBC
xin giới thiệu phần một (trong hai phần) bài viết của kỹ sư Dương
Thái, một chuyên gia bảo mật thông tin đang làm việc ở Silicon
Valley, về dự thảo nghị định hướng dẫn thi hành Luật An ninh mạng
ngày 3/10/2018.
Sau khi tốn bao nhiêu mồ hôi, nước mắt và nước miếng
viết hai lá tâm thư mà Quốc hội vẫn thông qua Luật An ninh mạng, tôi muốn đưa
ra một đánh giá toàn diện về bộ luật này, ở góc độ kỹ nghệ và pháp lý, nên đã
dành ra bảy bảy bốn chín ngày tìm hiểu luật pháp an ninh mạng quốc tế. Những gì
tôi đọc được thật thú vị. Hóa ra công việc của luật sư không khác lắm công việc
của hacker, thay vì tấn công và phòng thủ bằng code họ chơi bằng từ ngữ.
Tôi tính sẽ viết một loạt bài về đề tài này, nhưng rồi
giữa tháng 8 năm nay bạn tôi rủ tham gia nhóm 100 "nhân tài" về Việt
Nam gặp gỡ lãnh đạo Việt Nam với kỳ vọng tôi sẽ có cơ hội được chụp hình chung
với thủ tướng, tay bắt mặt mừng rồi nếu còn thời gian thì phân tích cho ngài thủ
tướng nghe lợi và hại của Luật An ninh mạng. Nhưng rốt cuộc, vì mải chụp hình,
tôi không có cơ hội chia sẻ ý kiến.
Với những thay đổi về nhân sự trong nhóm những người
làm ra Luật An ninh mạng và quan sát quyết tâm phát triển kinh tế công nghệ của
chính phủ, tôi đã từng hi vọng các ý kiến của tôi không còn cần thiết nữa, rằng
khi soạn thảo nghị định hướng dẫn thực hiện luật, vì phát triển kinh tế, vì lợi
thế cạnh tranh của Việt Nam, vì riêng tư cho người dân và an ninh quốc gia,
chính phủ sẽ giữ cho người dân Việt Nam một Internet mở, tự do và an toàn.
Nhưng tôi đã lầm. Dự thảo nghị định hướng dẫn Luật
An ninh mạng đề ngày 03/10/2018 [1] còn nặng nề tăm tối hơn cả luật. Cái giá của
tự do quả là một sự cảnh giác vĩnh cửu, hở ra một chút là mất.
Vì dự thảo chỉ tiếp nhận ý kiến đóng góp trong vòng
20 ngày, thay vì 6 tháng như thường lệ, tôi viết vội bài này, thôi thì không nói
được với thủ tướng thì chia sẻ với quốc dân đồng bào tại sao tôi nghĩ dự thảo
nghị định 03/10/2018 sẽ không giúp ích được gì trong việc phòng chống tội phạm,
mà còn tạo ra những nguy cơ không thể xem thường về kinh tế và an ninh quốc
gia.
Ý kiến của tôi giải thích thì dài nhưng mục tiêu rất
ngắn gọn: bỏ chương 5 của dự thảo 03/10/2018.
Thượng Tướng Tô Lâm chủ trì cuộc họp Ban soạn thảo, Tổ biên tập xây dựng
các văn bản hướng dẫn thi hành Luật An ninh mạng hôm 9/10/2018. BO CONG AN
Tóm tắt
Dự thảo có năm chương, ngoại trừ chương 5, phần lớn
nội dung tập trung vào vấn đề bảo vệ an toàn thông tin cho các hệ thống trọng yếu
quốc gia. Mặc dù có những quy định khá ngớ ngẩn như bắt buộc đổi mật khẩu mỗi
tháng một lần, chúng ta phải ghi nhận nỗ lực của nhóm soạn dự thảo và thành
công phần nào của họ khi đưa ra được một chính sách an toàn thông tin chung cho
các hệ thống trọng yếu.
Tôi sẽ có ý kiến riêng về nội dung an toàn thông tin
của dự thảo, ở đây tôi tập trung vào chương 5. Chỉ trong vòng vài trang giấy, dự
thảo nghị định do Bộ Công an soạn thảo đã trao cho Cục An ninh mạng, Bộ Công an
những quyền sau đây:
Điểm
b, khoản 1, điều 57: bất kỳ công ty trong và
ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải có sự đồng
ý của Cục An ninh mạng.
Điều
54, 55, 56, 57: bất kỳ công ty trong và ngoài nước cung cấp sản
phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ tất cả dữ liệu ở Việt Nam
và phải cung cấp tất cả dữ liệu khi nhận được yêu cầu của Cục An ninh mạng.
Khoản
5, điều 58: Bất kỳ công ty trong và ngoài nước cung cấp sản
phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ và chuyển giao cho Cục An
ninh mạng "nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy
cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch" sau 36
tháng kể từ lúc dữ liệu được thu thập. Nếu công ty đóng cửa hoạt động hoặc ngừng
cung cấp dịch vụ, phải chuyển giao tất cả thông tin người dùng cho Cục An ninh
mạng.
Khi tôi viết tất cả, ý của tôi là tất cả. Tất cả những
gì bạn gõ vào Facebook hay Zalo. Tất cả hình bạn đã chụp và chia sẻ. Tất cả những
email bạn đã gửi. Tất cả những gì bạn đã tìm kiếm. Tất cả website bạn đã vào. Tất
cả những thông tin tế nhị, nhạy cảm, sâu thẳm nhất.
Nghị định hướng dẫn thi hành Luật An ninh mạng có điều khoản buộc cáo
công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt
Nam phải lưu trữ và chuyển giao 'tất cả thông tin người dùng' cho Cục An ninh mạng.
LEON NEAL/GETTY IMAGES
Trong các phần tiếp theo tôi sẽ giải thích tại sao dự
thảo này không đem lại lợi ích gì mà còn tạo ra nhiều nguy cơ kinh tế và an
ninh. Tôi giải thích chi tiết nên hơi dài, ở đây tôi tóm tắt các ý chính:
1. Dự thảo bắt buộc các công ty Internet quốc tế phải
lưu trữ dữ liệu cá nhân của người Việt Nam tại Việt Nam, nhưng bất kể các công
ty tuân thủ, chính phủ cũng không thể tự ý truy cập vào nguồn dữ liệu này. Về mặt
kỹ thuật, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá
và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của
Mỹ là không được cung cấp khoá, nếu chưa có sự đồng ý của Bộ Tư Pháp hoặc Nhà
Trắng. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt Nam vẫn không thể tự
do truy cập dữ liệu.
2. Bắt buộc các công ty mở văn phòng ở Việt Nam
không phải là một yêu cầu quá đáng, nhưng chính phủ cần phải hiểu được tại sao
người ta không muốn mở. Singapore đâu cần ra luật gì, các công ty vẫn đua nhau
mở trụ sở. Bắt buộc người ta vào, người ta sẽ vào cho có lệ, rốt cuộc Việt Nam
sẽ không nhận được vốn hay công nghệ gì cả, mà lại còn tạo tiền lệ xấu. Việt
Nam không thể tự lực tự cường thành cường quốc công nghệ, mà chúng ta cần vốn,
công nghệ và tri thức của phương Tây. Chọn thế đối đầu với các tập đoàn công
nghệ lớn của thế giới, chúng ta chỉ từ chết đến bị thương, không được gì cả.
3. Bắt buộc các công ty lưu trữ dữ liệu ở Việt Nam sẽ
khiến họ chỉ có hai lựa chọn: rút khỏi thị trường Việt Nam hoặc sao chép dữ liệu
thô từ trung tâm dữ liệu của họ sang các máy chủ thuê mướn ở Việt Nam. Rất nhiều
công ty nước ngoài phản đối Luật An ninh mạng vì việc sao chép dữ liệu thô làm
gia tăng rủi ro dữ liệu bị xâm phạm, nếu xảy ra sự cố sẽ ảnh hưởng rất xấu đến
hoạt động kinh doanh của họ, vốn dựa rất lớn vào niềm tin của khách hàng. Và
đương nhiên họ phải tốn thêm chi phí thiết kế lại hệ thống, thuê mướn thêm thiết
bị lưu trữ, chi phí này sẽ do chính người dân Việt Nam phải chi trả, khi các
công ty phải tăng giá thành dịch vụ, sản phẩm đối với thị trường Việt Nam.
Bộ Công an còn yêu cầu các công ty phải bàn giao dữ
liệu hàng loạt. Ưu tiên hàng đầu của các công ty quốc tế là đảm bảo an toàn dữ
liệu và riêng tư cho khách hàng, trừ khi có lệnh của tòa án và luật sư của họ đồng
ý, họ không thể nào đơn phương tùy tiện chuyển giao dữ liệu cho bên thứ ba. Nếu
có chuyển họ cũng chuyển từng trường hợp cụ thể, chứ không thể nào chuyển tất cả.
Họ làm sao biết được Bộ Công an sẽ quản lý dữ liệu, sử dụng và chia sẻ dữ liệu
của họ như thế nào. Nhưng nếu vì bất kỳ lý do gì dữ liệu bị lộ ra ngoài, họ sẽ
hứng đủ. Vả lại, dữ liệu là tài sản của công ty, yêu cầu họ chuyển sang cho
chính phủ Việt Nam chẳng khác nào quốc hữu hóa. Còn ai muốn làm ăn ở Việt Nam?
Một khi rủi ro, áp lực chính trị, và chi phí hoạt động
quá cao, các công ty sẽ phải tính đến phương án rút khỏi Việt Nam. Đã có rất
nhiều tiền lệ các công ty rút khỏi thị trường khi không thể chịu đựng được luật
pháp sở tại. Mới đây thôi, khi Châu Âu chính thức đưa vào thực thi General Data
Protection Regulation, rất nhiều trang web ở Mỹ đã ngưng phục vụ khách hàng
Châu Âu. Nếu các công ty rút khỏi Việt Nam, chúng ta sẽ lấy gì thay thế, Baidu
và Weibo chăng?
4. Chuyển dữ liệu từ Singapore hay Đài Loan về Việt
Nam sẽ không khiến dữ liệu được an toàn hơn. Internet không có biên giới, chuyển
địa điểm lưu trữ không làm cho dữ liệu an toàn hơn, trái lại là đằng khác. Thay
vì sử dụng dịch vụ Cloud Computing của những nhà cung cấp dịch vụ tốt nhất thế
giới, các công ty trong và ngoài nước sẽ phải sử dụng dịch vụ của các công ty nội
địa, vốn có rất ít kinh nghiệm trong việc chống tội phạm chuyên nghiệp hoặc lực
lượng tình báo mạng của các quốc gia. Thay vì chỉ phải tập trung bảo vệ dữ liệu
ở một nơi, các công ty phải phân tán nguồn lực để bảo vệ nhiều nơi khác nhau.
Các công ty công nghệ lớn còn có đủ tài chính và nhân lực để thiết kế các giải
pháp đảm bảo an ninh, còn các công ty nhỏ hơn, đặc biệt là những công ty đang sử
dụng dịch vụ Cloud Computing ở nước ngoài, sẽ chọn những giải pháp nội địa đơn
giản, rẻ tiền nhưng cũng kém an toàn nhất.
5. Bộ Công an tuyên bố sẽ xây dựng trung tâm dữ liệu
để tiếp nhận dữ liệu mà họ yêu cầu các công ty cung cấp. Nghĩa là toàn bộ dữ liệu
của người Việt Nam sẽ được lưu ở một chỗ duy nhất, tạo thành một mục tiêu béo bở
cho giới tội phạm chuyên nghiệp hoặc lực lượng tình báo mạng của các quốc gia.
6. Toàn bộ dữ liệu không chỉ của người dân, mà cả
lãnh đạo cấp cao và toàn bộ hệ thống chính trị nằm trong tầm kiểm soát của Cục
An ninh mạng, Bộ Công an. Với viễn cảnh u tối như Đông Đức năm 1984, ai còn muốn
đến Việt Nam sống và làm việc? Nếu không thu hút được tài năng, làm sao Việt
Nam có đủ nhân lực để làm cách mạng công nghệ?
7. Sau 30 năm nhận vốn và công nghệ thế giới, Trung
Quốc đang giàu lên rất nhanh và đe dọa cả thế giới. Phương Tây đang rất lo ngại
và muốn tìm đối tác đầu tư thay thế. Đây là cơ hội của Việt Nam, nhưng dự thảo
03/10/2018 chẳng khác nào một lời tuyên bố rằng Việt Nam không muốn đi cùng với
thế giới. Nguy hiểm hơn hết, khi Việt Nam cản trở các công ty công nghệ phương
Tây, các tập đoàn công nghệ rất giàu mạnh của Trung Quốc sẽ thao túng thị trường
và dữ liệu của người Việt Nam, tạo ra những hiểm họa khôn lường.
Vì những lý do kể trên, tôi đề nghị chính phủ loại bỏ
chương 5 của dự thảo 03/10/2018 và giới hạn phạm vi của dự thảo vào nội dung bảo
vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Yêu cầu lưu trữ dữ liệu
nội địa cần được tách ra và hướng dẫn thực hiện bằng một dự thảo khác.
Đạo luật Riêng Tư Trong Liên Lạc Điện Tử của Mỹ nghiêm cấm các công ty nước
này cung cấp dữ liệu cho bất kỳ chính phủ nào khác, mà không có sự đồng ý của Bộ
Tư pháp. ULLSTEIN BILD/GETTY IMAGES
Bắt buộc
lưu trữ dữ liệu ở Việt Nam không đem lại ích lợi gì
Chính phủ muốn yêu cầu các công ty nước ngoài lưu trữ
dữ liệu và mở văn phòng ở Việt Nam là để nắm chủ quyền trên dữ liệu của người
Việt Nam và có quyền tài phán đối với các công ty này. Đây không phải là một
yêu cầu vô lý, vì suy cho cùng chính phủ phải có trách nhiệm và can dự vào việc
bảo vệ dữ liệu của người dân. Tuy vậy có một lỗ hổng pháp lý lớn và vài vấn đề
kỹ thuật mà Luật An ninh mạng và dự thảo 03/10/2018 đã bỏ qua.
Đa số các công ty Internet quốc tế phổ biến ở Việt
Nam đến từ Mỹ, nên trong phần này tôi tập trung vào luật của Mỹ. Về mặt kỹ thuật,
để an toàn, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá
và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của
Mỹ là không được cung cấp khoá. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt
Nam vẫn không thể tự do truy cập dữ liệu.
Từ năm 1986, Đạo luật Riêng Tư Trong Liên Lạc Điện Tử
(Electronic Communications Privacy Act, ECPA [2]) của Mỹ nghiêm cấm các công ty
nước này cung cấp dữ liệu cho bất kỳ chính phủ nào khác, mà không có sự đồng ý
của Bộ Tư pháp. Đây là lý do mà trong những lần điều trần trước Ủy ban Việt Nam
của Quốc hội Mỹ, đại diện Facebook đã nhiều lần khẳng định họ sẽ không bao giờ
chia sẻ dữ liệu với chính phủ Việt Nam, vì chia sẻ như thế là trái luật.
Hồi tháng 3 năm nay, Đạo luật ECPA đã được bổ sung bởi
Đạo luật Đám Mây (Clarifying Lawful Overseas Use of Data Act - CLOUD Act [3]).
Đạo luật Đám Mây quy định các công ty chỉ được phép cung cấp dữ liệu cho các
chính phủ đã được Nhà Trắng phê duyệt. Vương quốc Anh và Liên minh Châu Âu có
thể là hai chính thể được phê duyệt đầu tiên. Nếu muốn truy cập dữ liệu để phục
vụ cho việc phòng chống tội phạm, chính phủ Việt Nam nên gấp rút nghiên cứu Đạo
luật Đám Mây, đàm phán với chính phủ Mỹ. Một khi đã được chính phủ Mỹ phê duyệt,
chính phủ Việt Nam có thể đường hoàng yêu cầu các công ty Mỹ cung cấp thông tin
và các công ty phải nhanh chóng đáp ứng như thể đó là yêu cầu từ chính phủ Mỹ.
Cần phải nhấn mạnh rằng việc Việt Nam phải được Mỹ
phê duyệt không phải là chuyện nước lớn ép nước nhỏ, nhắc lại ngay cả Anh và
Châu Âu vẫn phải đàm phán với Mỹ, mà chỉ đơn giản vì người Việt Nam sử dụng dịch
vụ của các công ty Mỹ. Nếu như người Mỹ sử dụng Zalo của Việt Nam, chính phủ Mỹ
muốn truy cập dữ liệu này họ vẫn phải thông qua chính phủ Việt Nam. Đây là cách
thế giới vận hành, muốn hay không muốn chúng ta vẫn phải tuân theo. Tạo ra một
bộ luật nội địa không làm thay đổi luật chơi quốc tế.
Vừa rồi Apple đã nhún nhường Trung Quốc, chuyển dữ
liệu iCloud của người Trung Quốc về giao lại cho một công ty Trung Quốc. Đây là
một cách lách luật và Apple đã phải hứng chịu rất nhiều chỉ trích [24]. Câu hỏi
đặt ra là liệu Việt Nam có đủ tài lực để ép Apple như Trung Quốc đã làm? Nếu có
đủ đi chăng nữa, liệu Việt Nam có nên làm như vậy? Tôi sẽ phân tích những điểm
này trong phần cuối khi nói về Trung Quốc.
Phải thừa nhận rằng lưu trữ dữ liệu nội địa là một vấn
đề đang gây nhiều tranh cãi. Kể từ sau sự kiện Snowden năm 2013, một số quốc
gia đã đưa ra luật nội địa hóa dữ liệu lên bàn nghị sự. Nhưng thông tin
"đã có 18 nước quy định phải lưu trữ dữ liệu trong nước" dễ gây lầm
tưởng rằng tất cả các quốc gia đều yêu cầu lưu tất cả dữ liệu cá nhân hay cho
phép một đơn vị như Cục An ninh mạng được phép tự ý truy xuất các dữ liệu đó. Sự
thật không phải như vậy. Cùng với Việt Nam, chỉ có Trung Quốc, Nga, Indonesia
là bắt buộc lưu trữ tất cả dữ liệu cá nhân. Đa số các quốc gia như Mỹ, Anh, Bỉ,
Phần Lan, Thụy Điển, New Zealand, Hà Lan, Venezuela, v.v. chỉ yêu cầu lưu trữ dữ
liệu thuế, kế toán, tài chính, hoặc dữ liệu của các tổ chức đại chúng [21].
Ngoài lưu trữ dữ liệu nội địa, dự thảo còn bắt buộc
các công ty phải mở văn phòng ở Việt Nam. Đây không phải là một yêu cầu quá
đáng, nhưng câu hỏi mà chính phủ cần đặt ra là tại sao chúng ta phải ép bằng luật.
Singapore đâu cần ép gì đâu, các công ty vẫn đua nhau mở trụ sở. Thậm chí nhiều
công ty khởi nghiệp Việt Nam cũng đều đăng ký ở Singapore. Không chỉ Singapore,
Thái Lan, Malaysia, Indonesia, Philippines và Myanmar đều có các công ty
Internet lớn của thế giới đặt trụ sở. Rõ ràng mở văn phòng ở đâu là quyết định
của doanh nghiệp, chính phủ không nên can thiệp mà chỉ có thể khuyến khích.
Chính sách thuận lợi, không cản trở kinh doanh, luật pháp minh bạch, văn minh,
không cần ra luật người ta cũng tự tìm đến.
Chính phủ nói rất nhiều về cách mạng công nghiệp
4.0. Các quan chức đã nhiều lần tuyên bố muốn biến Sài Gòn, Hòa Lạc hay Bình
Dương thành Silicon Valley. Đây là một giấc mơ lớn, đáng trân trọng, muốn thực
hiện trước nhất phải thu hút được đầu tư của các tập đoàn công nghệ hàng đầu thế
giới, mà quan trọng nhất là Mỹ và Châu Âu. Nhưng chính sách và luật pháp của Việt
Nam ra sao để rồi bây giờ chỉ yêu cầu mở văn phòng thôi, chứ chưa nói đầu tư
hay chuyển giao công nghệ gì, mà người ta vẫn không muốn vào? Đây là một câu hỏi
lớn, nhưng Luật An ninh mạng và dự thảo nghị định 03/10/2018 không phải là câu
trả lời.
*
Bài viết thể hiện thể hiện quan điểm và văn phong của tác giả, một
chuyên gia về bảo mật thông tin đang làm việc tại Silicon Valley, Mỹ.
BBC
sẽ đăng tiếp phần hai về những điều tác giả cho là nguy cơ về kinh tế và an
ninh cho Việt Nam mà Luật An ninh mạng có thể đem lại.
LIÊN
QUAN
No comments:
Post a Comment