Những hiểu nhầm tai hại về Luật An Ninh Mạng 2018

Trong những ngày tháng 6/2018 sau khi Luật An Ninh Mạng  (ANM) được thông qua đã gây ra những tranh luật gay gắt cũng như những ý kiến trái chiều trên mạng. Sau đây là ý kiến một thành viên của 47 Cyberforce(*) và một phản biện nhà hoạt động xã hội Lê Nguyễn Duy Hậu.

  1. Ý KIẾN CỦA 47 CYBERFORCE:
  2. Cấm Facebook, Google,… ở Việt Nam để xài mạng riêng giống Trung Quốc.

Sai!! Việt Nam chỉ yêu cầu các doanh nghiệp nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải lưu trữ tại Việt Nam đối với dữ liệu quan trọng của người sử dụng dịch vụ tại Việt Nam.

  1. “Chỉ có Việt Nam và Trung Quốc mới yêu cầu phải đặt máy chủ lưu trữ dữ liệu người dùng trong nước”

Sai!!!! Đến nay, đã có hơn 18 quốc gia thành viên của WTO (trong đó có Hoa Kỳ, Canada, Úc, Đức, Pháp,…) đã quy định bắt buộc phải lưu trữ dữ liệu trong lãnh thổ quốc gia. Mới đây nhất có thêm Ấn Độ cũng yêu cầu điều tương tự!

  1. Luật an ninh mạng Việt Nam yêu cầu “Cung cấp toàn bộ thông tin người dùng cho nhà nước, kể cả tin nhắn cá nhân, riêng tư….”

Sai!!! Toàn văn luật yêu cầu “ Cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng”. Có nghĩa là khi cần cung cấp thông tin thì người đó phải là người phạm pháp, và phải l có văn bản của BCA. Bạn ko làm gì sai, ko ai lấy thông tin của bạn!

  1. “Các công ty sẽ không cung cấp thông tin cho Việt Nam vì luật rừng này.”

Sai – Facebook hàng năm vẫn cung cấp thông tin đều đặn theo yêu cầu của chính phủ. Bạn có thể search “Báo cáo 2017 tránparency của Facebook” hoặc xem tại đây : https://transparency.facebook.com/government-data-requests/country/VN

  1. “Luật ANM vi phạm nhân quyền và không có quốc gia nào có luật này…”

Sai!!! Rất nhiều quốc gia đã có luật ANM và còn gắt gao hơn nhiều ở VN. Tại Đức, bộ tư pháp rất nghiêm trọng việc an ninh mạng, họ ra chỉ thị rõ ràng cho FB nếu anh quản lý không tốt để người dân kích động bạo lực, chửi bới trên mạng, xuyên tạc sẽ bị phạt thẳng tay từ thằng FB đến thằng phát biểu. Đạo luật Netzwerkdurchsetzungsgesetz (NetzDG) được thông qua giữa năm ngoái nhưng chính thức có hiệu lực vào 1/1/2018 vừa qua sau 2 tháng gia hạn để các nhà cung cấp dịch vụ mạng xã hội phát triển các công cụ ngăn chặn phát ngôn kích động thù hận. Tại Hàn, nếu bạn cứ dùng mạng xã hội chửi idol nhiều vào xem có sớm nhận được đơn kiện từ công ty chủ quản của nó ko nhé.

KẾT LUẬN : Các anh các chị dùng FB, nếu các anh chị không vi phạm những điều sau đây : Bịa đặt , nói xấu và bôi nhọ danh dự không có chứng cứ cá nhân hoặc tổ chức, kích động bạo lực trên FB, bịa đặt thông tin không chính xác, tuyên tuyền kêu gọi gây rối trật tự công công và an ninh quốc gia.

Nếu các anh chị không vi phạm những điều trên, hãy cứ dùng FB thoải mái, không ai cấm anh chị dùng FB và cấm anh chị phát ngôn cả. Nhưng các anh chị phải chịu trách nhiệm về lời nói phát ngôn trên mạng của mình chứ không phải tao thích thì tao nói nếu sai thì thôi. Và dĩ nhiên nếu anh chị bị kẻ khác bôi nhọ nói xấu thì các anh chị đã có luật pháp bảo vệ và truy tố kẻ đó. Hết! “

B CÒN ĐÂY LÀ Ý KIẾN CỦA BẠN LÊ NGUYỄN DUY HẬU

1.”Nếu chúng ta không làm gì sai thì không sợ việc chính quyền có thu thập thông tin của chúng ta hay không, và chính quyền cũng sẽ không làm vậy.”

Thử tưởng tượng một ngày xấu trời, chính quyền đến và nói với mọi người rằng để bảo vệ an toàn cho họ, chính quyền sẽ lắp đặt thiết bị camera trong phòng ngủ của mỗi gia đình. Chính quyền cam kết rằng chỉ khi nào bạn bị điều tra thì chính quyền mới mở camera lên (và bạn cũng không biết khi nào camera được mở). Chính quyền trấn an bạn rằng nếu bạn không vi phạm thì chính quyền chẳng mở camera làm gì.

Bao nhiêu người đồng ý với quy định này?

Luật An Ninh Mạng có hàm ý tương tự như thế thôi.

“2. “Chỉ có Việt Nam và Trung Quốc mới yêu cầu phải đặt máy chủ lưu trữ dữ liệu người dùng trong nước”: Sai!!!! Đến nay, đã có hơn 18 quốc gia thành viên của WTO (trong đó có Hoa Kỳ, Canada, Úc, Đức, Pháp,…) đã quy định bắt buộc phải lưu trữ dữ liệu trong lãnh thổ quốc gia. Mới đây nhất có thêm Ấn Độ cũng yêu cầu điều tương tự!”

SAI – Hoa Kỳ chưa bao giờ có luật về nội địa hoá thông tin người dùng (data localization), chỉ duy thông tin về thuế phải lưu trữ. Canada chỉ có quy định ở hai bang là Nova Scotia và British Columbia (trong những trường hợp đặc biệt. Úc chỉ quy định với thông tin liên quan đến sức khoẻ người dân. Pháp đã không thể thông qua được đạo luật đó. Ấn Độ thậm chí còn chưa thông qua đạo luật này mà chỉ có một thông báo của RBI áp dụng cho các doanh nghiệp cung cấp dịch vụ thanh toán điện tử. Đức thì chỉ áp dụng cho telecommunication metadata (không liên quan đến nội dung). Ngay cả GDPR của EU quy định chỉ được chuyển data ra khỏi EU nếu đảm bảo data đó được bảo vệ. Tức là mục tiêu của nó là bảo vệ data, không phải để kiểm soát data.

Cần phải xác định khi nào quy định data localization là để bảo vệ data, khi nào là để kiểm soát data.

Mình có thể go on mãi mãi.

Nga, Trung Quốc, và giờ đây là Việt Nam là các quốc gia có quy định về lưu trữ toàn bộ dữ liệu. Việt Nam có đỡ hơn là lưu trữ 1 thời gian nhất định mà thôi.

Và nữa, vấn đề không phải là có nội địa hoá dữ liệu không, mà là nội địa hoá để làm gì. Nhiều quốc gia nội địa hoá và chỉ cho phép chuyển ra nước ngoài khi có các biện pháp bảo vệ dữ liệu (tức mục đích là bảo vệ dữ liệu). Một số quốc gia khác nội địa hoá để kiểm soát thông tin. Cho nên đừng lập lờ.

Nguồn:

https://www.huntonprivacyblog.com

http://www.mondaq.com

C – MÌNH CŨNG CÓ VÀI Ý KIẾN CÁ NHÂN VỀ CÁC Ý BÊN TRÊN

1. Việc lưu trữ giữ liệu người dùng trong lãnh thổ quốc gia là chuyện không một công ty cung cấp dịch vụ internet nào có thể làm được trừ khi công ty đó “tự giới hạn khách hàng trong lãnh thổ quốc gia và sử dụng intranet thay vì Internet”. Ngày nay, để đảm bảo An toàn dữ liệu (An toàn và Bảo mật dữ liệu là không hoàn toàn đồng nghĩa với nhau, dữ liệu bảo mật nhưng chưa chắc đã an toàn – Xem thêm: Chọn nhà cung cấp tên miền như thế nào để bảo vệ thương hiệu) các công ty cung cấp dịch vụ dựa trên nền tảng internet hiểu rằng họ nên có datacenter ở nhiều nơi, các dự liệu giờ đây được đồng bộ ở nhiều nơi (ở nhiều datacenter khác nhau hoặc trên một mạng CDN nào đó do chính người dùng thiết lập) nhưng tựu chung lại việc này sẽ có lợi cho khách hàng, khi dữ liệu sẽ luôn luôn gần người dùng cuối cùng nhất. Cái này gọi là Cloud Data (CDN là một trong những thứ có thể được gọi là Cloud Data).

Về viêc các nước như Mỹ, Úc bắt buộc lưu trữ dữ liệu trong lãnh thổ thì nên nhớ dữ liệu đó là dữ liệu “thuộc sở hữu của Cục thuế Mỹ và Bộ Y tế Úc”, nó khác hoàn toàn với việc “dữ liệu thuộc sở hữu người dùng”. Để có thể nội địa hóa dữ liệu như vậy, Bộ Y tế Úc sẽ cần có Data center riêng, dữ liệu này không ở dạng public, được ngăn cách với thế giới bên ngoài bởi tường lửa (dạng vật lý hoặc cả hai) và muốn tiếp cận thông tin, bắt buộc phải có Username và mật khẩu, người dùng trong mạng đó sẽ được phân quyền để tiếp cận giới hạn những loại thông tin khác nhau.

Có nghĩa là, Mỹ và Úc không quy định các công ty Internet nội địa hóa dữ liệu người dùng với các dữ liệu thuộc sở hữu riêng của người dùng.

2. Ai sẽ là người đưa ra quyết định là người sử dụng có vi phạm khoản 1 điều 8 luật ANM hay không ?

Theo Điều 26, Luật An ninh mạng 2018 “Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản” khi có một trong các điều kiện quy định tại khoản 1 Điều 8 của Luật này và các thông tin khác có nội dung xâm phạm chủ quyền, an ninh quốc gia. Nhưng tại khoản 1 điều 4 về Nguyên tắc bảo vệ an ninh mạng thì quy định “Tuân thủ Hiến pháp, pháp luật, bảo đảm lợi ích Nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân”. 47 Cyberforce viết “Có nghĩa là khi cần cung cấp thông tin thì người đó phải là người phạm pháp, và phải  có văn bản của BCA”, nhưng trong Luật ANM không quy định “chỉ người phạm pháp” mới bị buộc phải cung cấp thông tin cá nhân mà chỉ cần Bộ Công an yêu cầu nhà cung cấp dịch vụ là họ phải cung cấp các loại thông tin người dùng theo yêu cầu của BCA. Các biện pháp được áp dụng theo điều 5 có thể là “Ngăn chặn, yêu cầu ngừng cung cấp thông tin mạng; đình chỉ, tạm đình chỉ các hoạt động thiết lập, cung cấp và sử dụng mạng viễn thông công cộng, mạng viễn thông dùng riêng, mạng internet, việc sản xuất và sử dụng thiết bị phát, thu phát sóng vô tuyến theo quy định của pháp luật; Phong tỏa, hạn chế hoạt động của hệ thống thông tin; đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền theo quy định của pháp luật”.

***Bộ luật Tố tụng hình sự quy định “Không ai bị coi là có tội và phải chịu hình phạt khi chưa có bản án kết tội của Toà án đã có hiệu lực pháp luật” Điều 21 Hiến pháp năm 2013 quy định: “(1) Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đinh; có quyền bảo vệ danh dự, uy tín của minh. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đỉnh được pháp luật bảo đảm an toàn. (2) Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hỉnh thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hỉnh thức trao đổi thông tin riêng tư của người khác“. Có nghĩa là các công ty cung cấp dịch vụ phải tuyệt đối bảo vệ an toàn thông tin khách hàng của mình bằng tất cả các biện pháp.

3.Google, Facebook và các hãng công nghệ khác có thể đối mặt với việc (1) bảo vệ an toàn thông tin khách hàng (theo luật nơi họ đặt trụ sở chính, theo policy của họ) hoặc (2) quay lưng lại với khách hàng để tuân thủ các điều khoản trong luật ANM vẫn còn là vấn đề gây tranh cãi, nhưng trong quá khứ, chuyện này đã xảy ra ở Trung Quốc rồi.

Giả sử họ bỏ đi thì các hãng công nghệ trong nước hoặc nước khác có coi đây là một cơ hội lớn hay không, cái này CÓ, chắc chắn luôn.

4.Về vấn đề Luật NetzDG của Đức, Luật NetzDG của Đức yêu cầu các nhà cung cấp dịch vụ mạng xã hội phát triển các công cụ ngăn chặn hate speechfake news trong vòng 24h (tối đa là 7 ngày) sau khi nhận được “quyết định là nội dung đó là vi phạm phát luật”.

Tham khảo thêm tại:

https://www.hrw.org/news/2018/02/14/germany-flawed-social-media-law

https://law.yale.edu/mfia/case-disclosed/germanys-netzdg-and-threat-online-free-speech

https://www.bbc.com/news/blogs-trending-41042266

https://www.theguardian.com/world/2018/jan/05/tough-new-german-law-puts-tech-firms-and-free-speech-in-spotlight

Cuối cùng, đạo luật này đè nặng lên các nhà cung cấp dịch vụ mạng xã hội, chứ không phải người dùng, vì chính quyền Đức phạt tiền nhà cung cấp dịch vụ mạng xã hội nếu không xóa bỏ thông tin khi đã xác định là vi phạm và không hề có điều khoản phạt người dùng.

TÓM LẠI

Dù luật An Ninh Mạng đã được thông qua ngày 12/6/2018 nhưng đến nay vẫn còn khá nhiều cách hiểu khác nhau về những quy định trong Luật, về việc áp dụng luât. Những cách hiểu này sẽ gây ảnh hưởng không nhỏ đến đời sống kinh tế xã hội nếu cách tiếp cận luật còn tạo ra rất nhiều mâu thuẫn giữa những đối tượng khác nhau (Cơ quan nhà nước, các chuyên gia, người sử dụng dịch vụ và người cung cấp dịch vụ).

*47 Cyberforce được biết đến là một lực lượng bao gồm các kĩ sư về khoa học máy tính, trí tuệ nhân tạo, Big Data, các chuyên gia về bảo mật có khả năng sử dụng thành thạo MXH Facebook.