Luật An Ninh Mạng: Giới hạn nào cho Luật?

  • Bởi Admin
    23/11/2018
    0 phản hồi

    Trần Hoàng Duy

    Pháp luật phải có các điều kiện đảm bảo để thực thi. Trước hết, pháp luật phải đầy đủ, chính xác, vì đó là cơ sở quyết định việc một hành vi là phạm pháp hay không, việc một người là có hay không có tội. Sau đó, pháp luật phải đến được với người dân, làm cho dân hiểu rõ. Một công dân phải hiểu luật thì mới biết quyền lợi, nghĩa vụ của mình được quy định bởi luật, nhờ đó mới sống và làm theo pháp luật được.

    Cá nhân tôi, tuy đã dành thời gian tìm hiểu Luật An ninh mạng (ANM) [1] và Nghị định 31.10.2018 [2], vẫn còn nhiều điều chưa hiểu. Tất cả xoay quanh câu chuyện Luật này sẽ được áp dụng như thế nào khi vắng bóng những điều kiện đảm bảo để thực thi.

    Trước hết, cần phải chỉ rõ rằng hiệu lực của văn bản quy phạm pháp luật là bắt buộc trong một giai đoạn nhất định (từ thời điểm luật có hiệu lực), trên một không gian nhất định (lãnh thổ nước CHXHCN Việt Nam) và với những chủ thể pháp luật nhất định (bao gồm mọi cơ quan, tổ chức, cá nhân có quyền, nghĩa vụ theo quy định của pháp luật) (Điều 151, 155, Luật 80/2015/QH13 về ban hành văn bản quy phạm pháp luật).

    Trong khi đó, Luật ANM Điều 2, Khoản 3 định nghĩa không gian mạng (là nơi con người thực hiện các hành vi xã hội) không bị giới hạn bởi không gian và thời gian. Nói một cách ngắn gọn, Luật ANM tuy chỉ có hiệu lực trên không gian, thời gian nhất định mà lại được áp dụng để phân định các hành vi trên không gian mạng vốn không bị giới hạn bởi không gian và thời gian. Chính sự không tương thích này dẫn tới những điều khó hiểu, có thể được chỉ ra trong một vài trường hợp cụ thể khi áp dụng luật. Cần nói thêm rằng, đây không phải là một vài trường hợp riêng lẻ, mà liên quan tới hàng chục triệu người. Xin nhấn mạnh những từ sau: hàng chục triệu người.

    “Người sử dụng dịch vụ tại Việt Nam” là chủ thể pháp luật tại Điều 26, Khoản 3 của Luật cũng như theo Điều 24, Khoản 2 của Nghị định. Hẳn nhiên hơn 95 triệu người đang sinh sống trên lãnh thổ Việt Nam thuộc đối tượng này. Nhưng thật không đơn giản khi nhắc tới hơn 4,5 triệu người Việt đang định cư ở nước ngoài.

    Những người có quốc tịch Việt Nam tạo lập và sử dụng các tài khoản số (ví dụ như Gmail, Facebook, Zalo) bên ngoài lãnh thổ Việt Nam liệu có nằm trong phạm vi điều chỉnh của Luật ANM Việt Nam? Nếu họ có một vài tương tác trên mạng xã hội hay trao đổi thư từ, hay tin nhắn với người thân tại Việt Nam, họ có được coi là “người sử dụng dịch vụ tại Việt Nam”? Dữ liệu của họ có phải lưu trữ ở Việt Nam? Nếu câu trả lời là có, Điều 24, Khoản 2 Nghị định viết những dữ liệu phải lưu trữ tại Việt Nam gồm thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị. Nhưng trên Gmail, Facebook hay Zalo của họ chắc chắn có rất nhiều dữ liệu công việc và cuộc sống cá nhân khác ngoài những thứ có liên quan tới không gian mạng Việt Nam. Trước khi đặt câu hỏi về việc có lưu trữ tất cả dữ liệu này tại Việt Nam hay không, cần phải đặt một câu hỏi khác: liệu những công ty cung cấp dịch vụ có quyền làm việc đó? Những người Việt Nam này phải tuân thủ và được bảo vệ bởi luật pháp nơi họ định cư. Điều 45 Quy định bảo vệ dữ liệu (General Data Protection Regulation, GDPR) của Liên minh Châu Âu [3] ghi rõ dữ liệu cá nhân của người dùng có thể được chuyển tới 13 quốc gia được đánh giá đảm bảo tiêu chuẩn bảo vệ thông tin [4]. Nhật Bản, Hàn Quốc, Singapore đều không nằm trong danh sách này. Rất tiếc Việt Nam cũng thế. Điều 9 GDPR [5] cấm việc xử lý các dạng dữ liệu đặc biệt (trong đó có thông tin sức khỏe, sinh trắc học, quan điểm chính trị, niềm tin tôn giáo) của người dùng, trừ 10 trường hợp như người dùng cho phép làm việc đó hay việc xử lý dữ liệu này là cần thiết để bảo vệ những quyền lợi sống còn của người dùng này. Yêu cầu chuyển dữ liệu từ một chính phủ hay tổ chức ngoài Liên minh hoàn toàn không nằm trong 10 trường hợp kể trên. Facebook, Google, Zalo sẽ lấy đâu dữ liệu về sức khỏe và sinh trắc học của người Việt tại châu Âu để đáp ứng yêu cầu của Điều 24, Khoản 1 Nghị định đã nêu? Điều 48 GDPR [6] qui định, yêu cầu của tòa án một nước thứ ba về chuyển giao dữ liệu của người dùng chỉ được chấp nhận trong khuôn khổ các hiệp ước tương trợ pháp lý hoặc các hiệp định quốc tế. Việt Nam đã ký kết hiệp định, hiệp ước nào cho phép làm điều đó? Có vẻ như điều kiện đảm bảo để thực thi Luật ANM là chưa đủ. Một luật được thông qua để rồi không thể được áp dụng trong nhiều triệu trường hợp, có lẽ đây không phải là pháp luật nghiêm minh mà chúng ta hướng tới.

    Nếu dữ liệu của những người này không phải lưu trữ ở Việt Nam theo Luật ANM, mặc dù họ đã từng đặt chân lên “không gian mạng không bị giới hạn bởi không gian, thời gian” được quy định bởi chính phủ Việt Nam, điều đó chứng tỏ một người có phải là “người sử dụng dịch vụ tại Việt Nam” hay không phụ thuộc hoàn toàn vào việc họ sử dụng dịch vụ ở trong hay ngoài lãnh thổ Việt Nam. Điều này phù hợp với định nghĩa không gian hiệu lực của một văn bản pháp luật. Như thế, luật ANM không có hiệu lực với một số lượng người sử dụng dịch vụ rất lớn ở ngoài lãnh thổ Việt Nam. Một câu hỏi khác được đặt ra là, việc áp dụng Luật ANM có “bình đẳng” cho những cá nhân khác cùng tham gia không gian mạng? Anh A và chị B cùng là người Việt Nam, cùng trao đổi trên Facebook, anh A ở Hà Nội, chị B ở Berlin, theo Luật dữ liệu của anh A phải lưu trữ tại Việt Nam, còn chị B thì không. Thêm vào đó, trao đổi giữa A và B chứa dữ liệu của không chỉ bên B, mà còn liên quan cả bên A. Lưu dữ liệu của bên B, cũng có nghĩa là lưu dữ liệu của A vốn không chịu tác động bởi Luật, như thế có là trái Luật? Một luật có hiệu lực với người này, nhưng không có hiệu lực với người khác cùng thực hiện hành vi ấy trong cùng một không gian, tại cùng một thời điểm, liệu luật ấy có thể nhấn mạnh nguyên lý cơ bản về sự bình đẳng trước pháp luật của công dân? Chỉ một trường hợp này thôi, ta thấy thế khó của phiên bản hiện tại của Luật và Nghị định ANM. Muốn nghiêm minh, muốn bình đẳng nhưng không có cách áp dụng luật nào có thể làm được.

    Chưa hết, còn phải kể tới hàng triệu người không có quốc tịch Việt Nam, định cư tại nước ngoài, nhưng sử dụng ngôn ngữ Việt trong các giao tiếp trên không gian mạng với người quen hay đối tác kinh doanh tại Việt Nam. Liệu Luật ANM có thể đưa đám mây dữ liệu của những công dân Mỹ, Anh, Pháp, Đức, Nhật, Hàn... này về trong lãnh thổ Việt Nam? Cái hữu hạn không bao giờ có thể bao trùm lên cái vô hạn.

    Hãy tiếp tục câu chuyện với định nghĩa “người sử dụng dịch vụ tại Việt Nam”. 515 nghìn tỷ đồng, tương đương 23 tỷ USD hay 160 tỷ Nhân dân tệ, tức là 7% GDP của đất nước. Đó là doanh thu du lịch năm 2017 với 13 triệu lượt khách nước ngoài. Khách tới khám phá đất nước và văn hóa Việt Nam, trải nghiệm, chụp ảnh, và theo thói quen sẽ chia sẻ với những người bạn trên không gian mạng của họ, cả những người bạn Việt Nam mới quen, trên Facebook, trên blog hay là trên ứng dụng Zalo mà họ vừa cài đặt. Những khách du lịch này có phải là “người sử dụng dịch vụ tại Việt Nam”? Không thể nói họ không có quốc tịch Việt Nam thì không phải tuân thủ pháp luật nước này. Người nước ngoài tới Việt Nam thì phải tuân thủ pháp luật nước sở tại. Khách du lịch không phải là ngoại lệ. Trong Luật và Nghị định cũng không quy định thời gian sử dụng tối thiểu để một người là “người sử dụng dịch vụ tại Việt Nam”, tức là chỉ cần một cú nhấp chuột là đủ. Vậy câu trả lời phải là có, những khách du lịch ngoại quốc này cũng là người sử dụng dịch vụ tại Việt Nam. Có cần thông báo cho những khách du lịch này biết rằng dữ liệu của họ sẽ được lưu tại Việt Nam trước khi sử dụng Facebook hay Gmail? Luật và Nghị định không quy định rằng chủ thể pháp lý được thông báo khi thông tin của họ được thu thập. Những khách du lịch này, đặc biệt là những người đến từ Châu Âu, sẽ nghĩ gì khi biết điều rằng dữ liệu của họ bị lưu trữ mà không có sự đồng ý trước, nhất là khi đem so sánh với GDPR mà họ quen thuộc, nơi toàn bộ Chương 3, Điều 12 tới 23 qui định chi tiết quyền của người sử dụng dịch vụ. Họ có quyền được thông báo ai, tổ chức nào thu thập dữ liệu cá nhân của họ, thời gian lưu trữ, địa chỉ liên hệ, mục đích thu thập thông tin, cơ sở pháp lý, những nơi sẽ tiếp nhận dữ liệu, dữ liệu có bị chuyển tới một nước thứ ba hay không, nơi đó có đạt tiêu chuẩn bảo vệ dữ liệu không…[7]. Họ có quyền được biết tất cả những gì liên quan tới dữ liệu của họ. Đặc biệt, họ có quyền yêu cầu sửa chữa, xóa bỏ ngay lập tức các dữ liệu cá nhân không chính xác hay từ chối việc xử lý dữ liệu cá nhân. Hãy thử làm một phép so sánh, xem 95 triệu người sử dụng dịch vụ tại Việt Nam có những quyền gì với dữ liệu của họ? Chương nào, điều nào quy định những điều này? Những khách du lịch ngoại quốc sẽ nghĩ gì khi biết dữ liệu của họ sẽ được lưu trữ tối thiểu là 36 tháng (theo Điều 26, Khoản 3 Nghị định)? Và những dữ liệu nào được lưu, dữ liệu trong mấy ngày ngắn ngủi tại Việt Nam, hay là một khoảng thời gian lâu hơn nữa? Khá nhiều câu hỏi trước khi quyết định có chia sẻ bức ảnh đẹp về Việt Nam hay không. Câu trả lời là hiển nhiên đối với những người quan tâm tới sự riêng tư của bản thân: “No”. Một bức ảnh ít đi, một chia sẻ ít đi, là sự quảng bá miễn phí, hiệu quả cho du lịch Việt Nam giảm đi một chút. Nhiều triệu bức ảnh, nhiều triệu chia sẻ (nếu tồn tại) của những người trải nghiệm thực tế, theo tôi sinh động, cuốn hút và có giá trị hơn tỉ lần những giây quảng cáo đắt đỏ trên các kênh truyền hình nước ngoài.

    Thêm vào đó, tôi không nghĩ một tội phạm nước ngoài muốn thực hiện một vụ tấn công mạng Việt Nam lại cần phải tự thân đi tới nước này, lại càng không có nhu cầu sử dụng mạng xã hội hay những ứng dụng mà người dùng phổ thông hay dùng để tổ chức các cuộc tấn công. Bạn đã từng nghe những nhóm hacker nào sử dụng Gmail, Facebook như công cụ để trao đổi và phạm tội? Không, đơn giản bởi vì những ứng dụng phổ thông này không được thiết kế để làm điều đó. Tài khoản Gmail, Facebook của người dùng là mục đích tấn công chứ không phải công cụ. Một số điều khoản của Luật và Nghị định ANM hiện tại chẳng những không thể chạm tới đối tượng tội phạm này mà lại gây ra nghi ngại nơi 13 triệu khách du lịch tiềm năng, rất nhiều trong số đó hiểu rõ và tôn thờ Internet tự do. Thêm vào đó, nếu lưu trữ dữ liệu người dùng phổ thông không thể ngăn chặn hay giúp truy bắt tội phạm tấn công mạng, thì lưu trữ thực chất để làm gì?

    Giờ hãy thử hình dung một ngày không xa khi tổng thống Mỹ Donald Trump trở lại thăm Việt Nam nhân dịp ký kết một hiệp định thương mại quan trọng. Khi chuyên cơ Air Force 1 vừa hạ cánh xuống sân bay quốc tế Nội Bài, ông Trump cầm điện thoại nhắn gửi một lời chào thân ái trên Twitter: “xin chào các bạn Việt Nam, tôi yêu các bạn, tôi yêu Việt Nam”. Ngay lập tức hàng ngàn người dùng Việt Nam nhấn nút yêu thích và chia sẻ thiện ý của ông Trump. Rõ ràng ông Trump xuất hiện trên không gian mạng Việt Nam, và cũng đang ở trên lãnh thổ đất nước này. Những dữ liệu nào của ông Trump phải được lưu lại theo luật định? Tương tự, nếu một ngày Tổng bí thư, Chủ tịch nước Trung Quốc Tập Cận Bình tới Việt Nam, cũng gửi một lời chào thân ái, và cũng được đón nhận nồng nhiệt trên không gian mạng, dữ liệu của ông Tập liệu có được lưu lại Việt Nam? Việc các chính khách quốc tế tới Việt Nam và tương tác trên không gian mạng là một điều bình thường trong thế giới hiện đại. Nhưng ai trong số họ đồng ý việc dữ liệu của mình ở lại một khi chuyến thăm kết thúc? Lấy dữ liệu của các khách V.I.P này, thông thường đấy là một nhiệm vụ rất nan giải của các cơ quan tình báo nước khác. Có nên xác định một danh sách V.I.P được miễn trừ tuân thủ Luật? Nếu có, chẳng lẽ Luật lại không áp dụng trên một số người chỉ vì họ là lãnh đạo? Nếu không, phải làm gì để thượng tôn pháp luật mà không ảnh hưởng tới quan hệ bang giao?

    Chúng ta đã thấy, sự không tương thích về không gian mạng và không gian có hiệu lực của luật có thể dẫn tới sự khó khăn trong việc hiểu và áp dụng luật này như thế nào. Giờ hãy bàn về khái niệm thời gian. Những dữ liệu trên Gmail, Facebook, hay Zalo đã được tích lũy qua nhiều năm sử dụng dịch vụ. Những dữ liệu này có mối liên hệ nội dung với nhau trên cả tiến trình thời gian. Mở Gmail ra, bạn có thể tra cứu những thư điện tử từ nhiều năm trước, chuyển nội dung này tới người đang cần thông tin. Luật ANM có hiệu lực từ ngày 1.1.2019. Những dữ liệu được tạo ra trước thời điểm này có phải được lưu trữ tại Việt Nam hay không, trong khi dữ liệu kết nối với nhau? Có lẽ câu trả lời là không, vì luật chỉ có hiệu lực từ ngày đã định. Nhưng Nghị định cũng không đề cập tới chi tiết quan trọng này.

    Điểm cuối cùng mà tôi dù đã rất cố gắng cũng không thể hình dung được, do tính trừu tượng của nó. Không gian mạng quốc gia là không gian mạng do Chính phủ xác lập, quản lý và kiểm soát, đó là định nghĩa trong Luật, Điều 1, Khoản 4. Không gian mạng là một không gian vô hình, nơi vốn chẳng tồn tại một đường biên giới nào. Bạn đang ngồi trong phòng khách nhà bạn, với internet và một chút vốn ngôn ngữ, bạn có thể tham gia các tham gia một cuộc trao đổi đang xảy ra ở phía bên kia quả địa cầu. Không gian thực, không gian vật lý ban đầu cũng như vậy, vốn không có đường biên giới. Những đường biên giới hữu hình xuất hiện khi hình thành các quốc gia, và chúng thay đổi thường xuyên nếu so sánh với chiều dài lịch sử nhân loại. Theo luật định, Chính phủ xác lập, quản lý và kiểm soát một “không gian mạng quốc gia”. Vậy “đường biên giới” của không gian vô hình ấy là ở đâu? Đường biên ấy có bao giờ thay đổi, theo chiều nới rộng ra hay thu nhỏ lại? Đến khi nào một người muốn “bước qua” đường biên giới ấy phải có sự chấp thuận của “Cục xuất nhập cảnh” không gian mạng?

    Trên đây sơ lược một vài điểm mà cá nhân tôi còn chưa hiểu khi ngày Luật An ninh mạng “đi vào cuộc sống” đang gần kề. Chúng ta có một không gian mạng thực sự không bị giới hạn bởi không gian và thời gian. Không giới hạn, bởi không chỉ người Việt Nam sử dụng không gian ấy, mà đấy là kho tàng tri thức nơi cả thế giới gặp gỡ, trao đổi, thông tin, để hiểu biết về quá khứ, xây dựng hiện tại và chuẩn bị tương lai. Cuộc cách mạng công nghệ nào từ 4.0 trở lên cũng đều từ bắt nguồn từ không gian đấy. Chúng ta có một luật đã được thông qua, và chỉ có hiệu lực trong một không gian hạn chế. Liệu rằng đây có phải là một hạn chế của luật? Luật này đã đầy đủ, chính xác chưa khi ngay cả định nghĩa về chủ thể pháp luật vẫn còn khá mơ hồ? Các điều kiện đảm bảo việc thực thi luật liệu đã hội tụ đủ khi không có khung pháp lý quốc tế nào cho phép di chuyển và chạm tới dữ liệu của hàng triệu người dùng? Và chắc chắn luật này không còn hạn chế nào khác?

    [1] http://cand.com.vn/Giai-dap-phap-luat/TOAN-VAN-LUAT-AN-NINH-MANG-496765/
    [2] http://www.mps.gov.vn/van-ban/van-ban-moi/du-thao-nghi-dinh-quy-dinh-chi-tiet-mot-so-dieu-cua-luat-an-ninh-mang-314.html
    [3] https://gdpr-info.eu/art-45-gdpr/
    [4] https://gdpr-info.eu/issues/third-countries/ 13 quốc gia đáp ứng tiêu chuẩn bảo vệ dữ liệu của Liên minh Châu Âu gồm: Andorra, Argentina, Canada, Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland, Uruguay và USA (nếu bên nhận đáp ứng tiêu chuẩn Privacy Shield)
    [5] https://gdpr-info.eu/art-9-gdpr/
    [6] https://gdpr-info.eu/art-48-gdpr/
    [7] https://gdpr-info.eu/chapter-3/

    Hãy chia sẻ suy nghĩ của bạn

    0 phản hồi