Luật An ninh mạng có thật sự đảm bảo được lợi ích quốc gia?

 09:44 | Thứ hai, 28/05/2018  0
Trong lịch sử lập pháp Việt Nam, có lẽ chưa có tiền lệ làm luật nào mà một cơ quan chủ trì soạn thảo lại sử dụng quyền ‘viết luật’ trong tay để tự trao cho mình quá nhiều quyền lực đến vậy.

LTS: Ngày mai, ngày 29.5, Quốc hội sẽ thảo luận lần cuối về dự thảo Luật An ninh mạng, trước khi biểu quyết thông qua vào ngày 12.6. Trong bối cảnh này, Thiếu tướng Nguyễn Thanh Hồng, Ủy viên Thường trực Ủy ban Quốc phòng và An ninh, cơ quan thẩm tra dự án Luật An ninh mạng vừa lên tiếng cho rằng: “nếu không có luật này thì sẽ không đáp ứng được yêu cầu bảo vệ an ninh mạng, đấu tranh phòng chống các loại tội phạm xâm phạm tới an ninh quốc gia, nói xấu Đảng, Nhà nước, cá nhân các lãnh đạo. Thậm chí nội bộ của từng quốc gia cũng bị can thiệp”. 

Bài phân tích trực tiếp vào nhiều điều khoản trong dự thảo Luận An ninh mạng của chuyên gia chính sách công Nguyễn Quang Đồng, Viện trưởng Viện Chính sách và phát triển truyền thông (IPS) gửi cho Người Đô Thị dưới đây lại cho thấy: dự luật này đang có xu hướng đẩy người dân, doanh nghiệp dùng internet dễ bị rơi vào tình trạng phạm luật; quyền tự do cá nhân của người dùng có nguy cơ bị xâm phạm bất cứ lúc nào bởi cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an,… Chưa kể là những tác động tiêu cực trực tiếp đến doanh nghiệp; đến môi trường kinh doanh và tăng trưởng kinh tế.

Xin giới thiệu cùng bạn đọc.

_____________________

Luật An ninh mạng có thật sự đảm bảo được lợi ích quốc gia? 

Trong lịch sử lập pháp Việt Nam, có lẽ chưa có tiền lệ làm luật nào mà một cơ quan chủ trì soạn thảo lại sử dụng quyền "viết luật" trong tay để tự trao cho mình quá nhiều quyền lực đến vậy.

Không cần thiết có Luật An ninh mạng

Đã có nhiều lý do được đưa ra cho sự cần thiết phải có Luật An ninh mạng. Tuy nhiên, xin nói ngay rằng, về khía cạnh pháp lý, không cần thêm một luật mới như Luật An ninh mạng. Lý do: các vấn đề thuộc về an ninh quốc gia nói chung, đã có Luật An ninh quốc gia; Luật cơ yếu điều chỉnh. Vấn đề an toàn thông tin cho người dùng được Luật an toàn thông tin mạng điều chỉnh.

Ông Nguyễn Quang Đồng

Về khía cạnh kỹ thuật, để bảo vệ an ninh mạng quốc gia, điều quan trọng nhất là bảo vệ bằng các biện pháp kỹ thuật và con người: bảo vệ hệ thống hạ tầng thông tin; kỹ năng sử dụng internet an toàn của người dùng.

Đối với vấn đề an toàn dữ liệu người dùng, là vấn đề nóng nhất hiện nay. Cần thấy rằng, các nguyên tắc chính đã được quy định tại luật Dân sự (an toàn thư tín); luật An toàn thông tin mạng và nằm trong một số luật chuyên ngành. Ví dụ: bảo vệ trẻ em trong Luật bảo vệ trẻ em; các vấn đề về thông tin hồ sơ tài chính trong các văn bản dưới luật do Ngân hàng Nhà nước hướng dẫn các tổ chức tài chính, tín dụng…

Do đó về mặt tiếp cận pháp lý, xây dựng pháp lý: không cần một luật mới để đảm bảo an ninh mạng. Thay vào đó, để đảm bảo an ninh mạng thì cần cụ thể hóa ở các văn bản dưới luật, đặc biệt tập trung vào các khía cạnh: chuyển nhượng thông tin người dùng cho bên thứ 3; bảo vệ dữ liệu tài chính; hồ sơ y tế người dùng.

Rủi ro dưới lý do kiểm tra “an ninh mạng”

Điểm c khoản 2 điều 26 yêu cầu các doanh nghiệp cung cấp dịch vụ internet, dịch vụ viễn thông ngừng cung cấp dịch vụ cho khách hàng, với lý do người dùng đăng tải trên không gian mạng các nội dung tuyên truyền chống phá Nhà nước, kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế. Trong khi việc xác định các hành vi như điều 15 liệt kê là chưa đủ rõ ràng, cụ thể; quy định này có thể gây rủi ro xâm phạm các quyền chính trị, kinh tế cơ bản của công dân.

Điểm a và b Khoản 2 Điều 26 yêu cầu doanh nghiệp phải có cơ chế xác thực tài khoản số hay xoá bỏ, ngăn chặn việc chia sẻ thông tin. Quy định này là không khả thi với doanh nghiệp, trong nhiều trường hợp gây mất lợi thế cạnh tranh công nghệ; gia tăng chi phí thực thi cho doanh nghiệp khởi nghiệp Việt Nam trong cạnh tranh toàn cầu vì phải hạ thấp các tiêu chuẩn bảo vệ thông tin và dữ liệu người dùng.

Tại sao? Xin nêu một thực tế:

Nếu hiểu đúng theo quy định, những thiết bị (tức phần cứng) và phần mềm (phần mềm ứng dụng) sử dụng những công nghệ bảo mật tiên tiến nhất và an toàn nhất cho người dùng sẽ không có đất sống ở Việt Nam. Bởi những hãng công nghệ như Apple, với Iphone chẳng hạn, hoặc các doanh nghiệp phát triển dịch vụ nhắn tin như Skype, Viber, Whatapps - luôn coi "lợi thế" công nghệ - mà bảo mật là một trong những yếu tố cốt lõi, là "lẽ sống" của họ.

Vì thế, thông tin người dùng được sử dụng công nghệ mã hóa và lưu tại các thiết bị đầu – cuối, nghĩa là lưu trên điện thoại của người dùng, chứ không gửi về và lưu trữ trên hệ thống của hãng. Các phần mềm ứng dụng như Telegram, What App hay Skype mà cũng sử dụng những kỹ thuật tương tự. Hay dịch vụ lưu trữ dữ liệu của Amazon trên nền tảng điện toán đám mây cũng là mã hóa đầu cuối. Nghĩa là những doanh nghiệp phát triển ứng dụng hoàn toàn không biết về nội dung thông tin người dùng gửi đi qua ứng dụng của mình là gì.

Như thế, doanh nghiệp bị đặt vào thế lưỡng nan: để cạnh tranh quốc tế, chiếm được khách hàng thì bảo mật phải tối ưu hoá; và tối ưu hoá thì họ không thể biết được thông tin người dùng được trao đổi là gì; nhưng như thế thì lại vi phạm luật: vì luật nói rõ, phải cung cấp được thông tin người dùng; phải ngăn chặn, gỡ bỏ được nội dung thông tin của người dùng khi cơ quan quản lý yêu cầu.

Thế nên quy định như vậy là xua đuổi doanh nghiệp. Họ sang Singapore là phải, bởi ở đó tránh được những rủi ro pháp lý như vừa nêu.

Chúng ta luôn nói về kiến tạo; nói về cách mạng công nghiệp 4.0 nhưng lại quên đi rằng, cạnh tranh công nghệ giữa các doanh nghiệp trở thành động lực phát triển của nền kinh tế. Cách mạng công nghiệp 4.0 sẽ không thể có được nếu các cạnh tranh như thế bị bóp nghẹt. Ở cấp cao nhất, Đảng và Chính phủ nói khuyến khích 4.0 nhưng luật pháp lại cài bẫy doanh nghiệp, xua đuổi doanh nghiệp.

Gánh nặng cho doanh nghiệp và toàn bộ nền kinh tế; rủi ro kinh doanh trái luật

Sau các lần chỉnh lý, dự thảo trình lên kỳ họp thứ 5, Quốc hội thay đổi ngôn ngữ và cách viết, theo đó không trực tiếp yêu cầu đặt máy chủ, dữ liệu tại Việt Nam, nhưng yêu cầu “lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam”. Điều này có hàm ý pháp lý rằng dữ liệu và máy chủ phải đặt tại Việt Nam.

Theo các phân tích kinh tế, nếu thực thi nghiêm ngặt quy định về lưu trữ dữ liệu, đặt máy chủ tại Việt Nam (như quy định tại Điểm d Khoản 2 Điều 26) có thể làm giảm 1.7% tăng trưởng GDP, giảm 3.1% đầu tư nước ngoài vào Việt Nam.

Cụ thể, có 5 vấn đề đáng lưu ý :

(1) quy định tác động tiêu cực đến phát triển kinh tế thông qua hạn chế trao đổi dữ liệu quốc tế; tăng chi phí, giảm khả năng tận dụng sự phát triển công nghệ của doanh nghiệp trong nước. Dịch vụ lưu trữ dữ liệu điện toán đám mây là dịch vụ sẽ bị ảnh hưởng lớn nhất. Dịch vụ này được cung cấp bởi các nhà cung cấp toàn cầu (ví dụ Amazon, Microsoft). Các doanh nghiệp này cạnh tranh với nhau, cung cấp giải pháp an toàn tốt nhất cho khách hàng (ví dụ công nghệ mã hóa đầu cuối như đã dẫn ở trên). Hạn chế lưu trữ dữ liệu theo phạm vi địa lý sẽ ngăn doanh nghiệp và người dùng Việt Nam được hưởng lợi từ các hệ thống linh hoạt, an toàn, đáng tin cậy và có giá thành rẻ của thế giới. Điều này, một lần nữa làm giảm khả năng cạnh tranh của doanh nghiệp Việt Nam.

(2) Trong trường hợp Doanh nghiệp nước ngoài buộc phải tuân thủ, dù rằng chi phí trực tiếp để thực thi quy định này có thể rơi vào nhóm doanh nghiệp nước ngoài, nhưng chi phí gián tiếp sẽ bị phân bổ lên toàn bộ doanh nghiệp và kinh tế Việt Nam.

(3) làm ảnh hưởng đến môi trường đầu tư kinh doanh, giảm sức hút đầu tư đối với doanh nghiệp nước ngoài ở Việt Nam. Bởi như đã phân tích ở điểm 1, doanh nghiệp nước ngoài có nhu cầu sử dụng các công nghệ mới, an toàn và chi phí thấp. Họ sẽ giảm quan tâm nếu chi phí gia tăng. 

(4) thực tiễn thực thi các quy định tại các quốc gia khác, cụ thể là Indonesia cũng cho thấy quy định này vừa khó thực thi trên thực tế, vừa gây khó khăn cho doanh nghiệp, trong khi đó hiệu quả bảo vệ an ninh mạng thực tế không được nâng cao.

(5) Cuối cùng, cần đặt ra câu hỏi, nếu các doanh nghiệp nước ngoài không chịu đặt máy chủ dữ liệu – thì quy định này sẽ đẩy doanh nghiệp Việt Nam vào rủi ro kinh doanh trái phép. Vì từ hình thức đơn giản nhất là các dịch vụ như email (Gmail; Yahoo mail, Hotmail); các dịch vụ lưu dữ liệu trên đám mây (từ đơn giản như các dịch vụ Google Drive, Icloud (của Apple); đến các dịch vụ chuyên nghiệp có trả phí (của Amazon) – Doanh nghiệp Việt Nam chưa đủ khả năng cung cấp với chi phí rẻ và đảm bảo mức độ bảo mật cho người dùng. Người dùng Việt Nam sẽ dùng dịch vụ gì – còn nếu dùng các dịch vụ kể trên trong khi các hãng nước ngoài không chấp nhận đặt máy chủ, dữ liệu ở Việt Nam thì người dùng coi như phạm luật ( Điều 26 dự thảo).

Trao quyền quá lớn cho cơ quan quản lý nhà nước

Một điều đáng nói nữa là vấn đề thanh kiểm tra về an ninh mạng. Cơ quan chuyên trách an ninh mạng được trao rất nhiều quyền trong việc đánh giá, thẩm định, kiểm tra về an ninh mạng, không chỉ riêng với cơ quan nhà nước mà còn đối với cả tổ chức doanh nghiệp.

Không chỉ với hệ thống tin quan trọng về an ninh quốc gia, cả hệ thống thông tin riêng của doanh nghiệp, nằm ngoài phạm vi ảnh hưởng về an ninh quốc gia cũng bị đưa vào diện đánh giá, kiểm tra. Trong khi đó đối tượng, nội dung, trình tự thủ tục thực hiện thanh kiểm tra lại không rõ ràng. Và toàn bộ chức năng đánh giá, kiểm tra này lại trao hết về cho lực lượng chuyên trách an ninh mạng. Trong khi Cục An ninh mạng là cơ quan chủ trì soạn thảo luật, mà lực lượng chuyên trách an ninh mạng được trao quá nhiều quyền – cơ chế giám sát và thực thi quyền lại thiếu vắng, là vấn đề đáng đặt câu hỏi.

Cá nhân tôi, trong quá trình nghiên cứu luật pháp, đánh giá rằng, trong lịch sử lập pháp Việt Nam, có lẽ chưa có tiền lệ làm luật nào mà một cơ quan chủ trì soạn thảo lại sử dụng quyền "viết luật" trong tay để tự trao cho mình quá nhiều quyền lực đến vậy.

Nhưng "viết luật" có thể thuộc về cơ quan soạn thảo, quyền "xem xét" và thông qua nằm trong tay đại biểu. Và đại biểu, mới là người chịu trách nhiệm cuối cùng về việc liệu có thông qua một đạo luật, mà lợi ích thu được về an ninh quốc gia, an toàn thông tin cho người dân chưa rõ ràng, nhưng thiệt hại về kinh tế; thiệt hại về quyền con người là nhãn tiền.

Nguyễn Quang Đồng

(Viện trưởng Viện Chính sách và phát triển truyền thông IPS)

bài viết liên quan
Loading...
để lại bình luận của bạn
có thể bạn quan tâm
*Chỉ được phép sử dụng thông tin từ website này khi có chấp thuận bằng văn bản của Người Đô Thị.