Nếu các bạn đang lo lắng, thậm chí sợ hãi trước luật An ninh mạng sắp hiệu lực (gần nhất là dự thảo nghị định hướng dẫn thực thi luật An ninh mạng), thì nên đọc bài này. Bài viết của một chuyên gia bảo mật đang làm việc tại Silicon Valley, kỹ sư Dương Thái.
Bài khá dài, nhưng nên đọc (hiếm khi, share và đọc kỹ một bài viết dài đến thế). Đọc, để hiểu rằng:
- Nỗi lo lắng và sợ hãi nếu có, thuộc về chính phủ.
- Các cây bút phản biện, những nhà hoạt động dân chủ và bất đồng chính kiến, sẽ hoàn toàn yên tâm. Dù có 10, hay 100 bộ luật thế, cũng không thể buộc các doanh nghiệp Mỹ (cụ thể là Facebook, Google, Apple... ) cung cấp “dữ liệu cá nhân” của ngừoi dùng cho chính phủ Việt Nam. Hoặc, nếu họ buộc phải cung cấp “dữ liệu” cho Việt Nam, thì đó là những “gói dữ liệu” phải đến... 1000 năm sau Việt Nam chưa mở được.
Vậy nên, đọc để yên tâm. Cười một phát thật sảng khoái, và cứ thế mà... tiếp tục, chẳng gì phải lo sợ. Chúng ta vẫn an toàn.
Nhật ký Cờ Mờ 4.0: về dự thảo 03/10/2018 hướng dẫn thực thi Luật An ninh mạng
DƯƠNG THÁI
Nhắc lại chuyện cái ao:
Sau khi tốn bao nhiêu mồ hôi, nước mắt và nước miếng viết hai lá tâm thư mà Quốc hội vẫn thông qua Luật An ninh mạng, tôi muốn đưa ra một đánh giá toàn diện về bộ luật này, ở góc độ kỹ nghệ và pháp lý, nên đã dành ra bảy bảy bốn chín ngày tìm hiểu luật pháp an ninh mạng quốc tế. Những gì tôi đọc được thật thú vị. Hóa ra công việc của luật sư không khác lắm công việc của hacker, thay vì tấn công và phòng thủ bằng code họ chơi bằng từ ngữ.
Tôi tính sẽ viết một loạt bài về đề tài này, nhưng rồi giữa tháng 8 năm nay bạn tôi rủ tham gia nhóm 100 “nhân tài" về Việt Nam gặp gỡ lãnh đạo Việt Nam với kỳ vọng tôi sẽ có cơ hội được chụp hình chung với thủ tướng, tay bắt mặt mừng rồi nếu còn thời gian thì phân tích cho ngài thủ tướng nghe lợi và hại của Luật An ninh mạng. Nhưng rốt cuộc, vì mãi chụp hình, tôi không có cơ hội chia sẻ ý kiến.
Với những thay đổi về nhân sự trong nhóm những người làm ra Luật An ninh mạng và quan sát quyết tâm phát triển kinh tế công nghệ của chính phủ, tôi đã từng hi vọng các ý kiến của tôi không còn cần thiết nữa, rằng khi soạn thảo nghị định hướng dẫn thực hiện luật, vì phát triển kinh tế, vì lợi thế cạnh tranh của Việt Nam, vì riêng tư cho người dân và an ninh quốc gia, chính phủ sẽ giữ cho người dân Việt Nam một Internet mở, tự do và an toàn.
Nhưng tôi đã lầm. Dự thảo nghị định hướng dẫn Luật An ninh mạng đề ngày 03/10/2018 [1] còn nặng nề tăm tối hơn cả luật. Cái giá của tự do quả là một sự cảnh giác vĩnh cửu, hở ra một chút là mất.
Vì dự thảo chỉ tiếp nhận ý kiến đóng góp trong vòng 20 ngày, thay vì 6 tháng như thường lệ, tôi viết vội bài này, thôi thì không nói được với thủ tướng thì chia sẻ với quốc dân đồng bào tại sao tôi nghĩ dự thảo nghị định 03/10/2018 sẽ không giúp ích được gì trong việc phòng chống tội phạm, mà còn tạo ra những nguy cơ không thể xem thường về kinh tế và an ninh quốc gia.
Bài này hơi dài, đúng là nếu có thời gian tôi đã viết ngắn hơn. Thời buổi này mà bắt người ta bỏ ra 15 phút tập trung đọc một tiểu luận chính trị là một tội ác chống lại loài người và Mark Zuckerberg. Tôi biết tội của tôi, nên tôi đã tóm tắt các ý chính, nếu ai không có thời gian chỉ cần đọc tóm tắt là đủ. Ý kiến của tôi giải thích thì dài nhưng mục tiêu rất ngắn gọn: bỏ chương 5 của dự thảo 03/10/2018.
Nếu có nhiều thời gian hơn, xin hãy đọc hết và cho tôi biết ý kiến (thaidn@gmail.com). Chúng ta cần một cuộc thảo luận đại chúng về dự thảo 03/10/2018.
Tóm tắt
Dự thảo này chưa được công bố, nhưng ai đó đã chia sẻ trên mạng. Toàn văn dự thảo có thể xem ở đây.
Dự thảo có năm chương, ngoại trừ chương 5, phần lớn nội dung tập trung vào vấn đề bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Mặc dù có những quy định khá ngớ ngẩn như bắt buộc đổi mật khẩu mỗi tháng một lần, chúng ta phải ghi nhận nỗ lực của nhóm soạn dự thảo và thành công phần nào của họ khi đưa ra được một chính sách an toàn thông tin chung cho các hệ thống trọng yếu.
Tôi sẽ có ý kiến riêng về nội dung an toàn thông tin của dự thảo, ở đây tôi tập trung vào chương 5, bắt đầu từ trang 40. Chỉ trong vòng vài trang giấy, dự thảo nghị định do Bộ Công an soạn thảo đã trao cho Cục An ninh mạng, Bộ Công an những quyền sau đây:
Khi tôi viết tất cả, ý của tôi là tất cả. Tất cả những gì bạn gõ vào Facebook hay Zalo. Tất cả hình bạn đã chụp và chia sẻ. Tất cả những email bạn đã gửi. Tất cả những gì bạn đã tìm kiếm. Tất cả website bạn đã vào. Tất cả những thông tin tế nhị, nhạy cảm, sâu thẳm nhất. Bạn có bao nhiêu tiền trong tài khoản. Ai cho bạn tiền, bạn cho tiền ai. Bạn thích quần lót màu gì. Bạn có mấy cô bồ nhí. Bạn thích phim con heo thể loại gì. Tất tần tật.
Trong các phần tiếp theo tôi sẽ giải thích tại sao dự thảo này không đem lại lợi ích gì mà còn tạo ra nhiều nguy cơ kinh tế và an ninh. Tôi giải thích chi tiết nên hơi dài, ở đây tôi tóm tắt các ý chính:
1. Dự thảo bắt buộc các công ty Internet quốc tế phải lưu trữ dữ liệu cá nhân của người Việt Nam tại Việt Nam, nhưng bất kể các công ty tuân thủ, chính phủ cũng không thể tự ý truy cập vào nguồn dữ liệu này. Về mặt kỹ thuật, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của Mỹ là không được cung cấp khoá, nếu chưa có sự đồng ý của Bộ Tư Pháp hoặc Nhà Trắng. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt Nam vẫn không thể tự do truy cập dữ liệu.
2. Bắt buộc các công ty mở văn phòng ở Việt Nam không phải là một yêu cầu quá đáng, nhưng chính phủ cần phải hiểu được tại sao người ta không muốn mở. Singapore đâu cần ra luật gì, các công ty vẫn đua nhau mở trụ sở. Bắt buộc người ta vào, người ta sẽ vào cho có lệ, rốt cuộc Việt Nam sẽ không nhận được vốn hay công nghệ gì cả, mà lại còn tạo tiền lệ xấu. Việt Nam không thể tự lực tự cường thành cường quốc công nghệ, mà chúng ta cần vốn, công nghệ và tri thức của phương Tây. Chọn thế đối đầu với các tập đoàn công nghệ lớn của thế giới, chúng ta chỉ từ chết đến bị thương, không được gì cả.
3. Bắt buộc các công ty lưu trữ dữ liệu ở Việt Nam sẽ khiến họ chỉ có hai lựa chọn: rút khỏi thị trường Việt Nam hoặc sao chép dữ liệu thô từ trung tâm dữ liệu của họ sang các máy chủ thuê mướn ở Việt Nam. Rất nhiều công ty nước ngoài phản đối Luật An ninh mạng vì việc sao chép dữ liệu thô làm gia tăng rủi ro dữ liệu bị xâm phạm, nếu xảy ra sự cố sẽ ảnh hưởng rất xấu đến hoạt động kinh doanh của họ, vốn dựa rất lớn vào niềm tin của khách hàng. Và đương nhiên họ phải tốn thêm chi phí thiết kế lại hệ thống, thuê mướn thêm thiết bị lưu trữ, chi phí này sẽ do chính người dân Việt Nam phải chi trả, khi các công ty phải tăng giá thành dịch vụ, sản phẩm đối với thị trường Việt Nam.
Bộ Công an còn yêu cầu các công ty phải bàn giao dữ liệu hàng loạt. Ưu tiên hàng đầu của các công ty quốc tế là đảm bảo an toàn dữ liệu và riêng tư cho khách hàng, trừ khi có lệnh của tòa án và luật sư của họ đồng ý, họ không thể nào đơn phương tùy tiện chuyển giao dữ liệu cho bên thứ ba. Nếu có chuyển họ cũng chuyển từng trường hợp cụ thể, chứ không thể nào chuyển tất cả. Họ làm sao biết được Bộ Công an sẽ quản lý dữ liệu, sử dụng và chia sẻ dữ liệu của họ như thế nào. Nhưng nếu vì bất kỳ lý do gì dữ liệu bị lộ ra ngoài, họ sẽ hứng đủ.Vả lại, dữ liệu là tài sản của công ty, yêu cầu họ chuyển sang cho chính phủ Việt Nam chẳng khác nào quốc hữu hóa. Còn ai muốn làm ăn ở Việt Nam?
Một khi rủi ro, áp lực chính trị, và chi phí hoạt động quá cao, các công ty sẽ phải tính đến phương án rút khỏi Việt Nam. Đã có rất nhiều tiền lệ các công ty rút khỏi thị trường khi không thể chịu đựng được luật pháp sở tại. Mới đây thôi, khi Châu u chính thức đưa vào thực thi General Data Protection Regulation rất nhiều trang web ở Mỹ đã ngưng phục vụ khách hàng Châu Âu. Nếu các công ty rút khỏi Việt Nam, chúng ta sẽ lấy gì thay thế, Baidu và Weibo chăng?
4. Chuyển dữ liệu từ Singapore hay Đài Loan về Việt Nam sẽ không khiến dữ liệu được an toàn hơn. Internet không có biên giới, chuyển địa điểm lưu trữ không làm cho dữ liệu an toàn hơn, trái lại là đằng khác. Thay vì sử dụng dịch vụ Cloud Computing của những nhà cung cấp dịch vụ tốt nhất thế giới, các công ty trong và ngoài nước sẽ phải sử dụng dịch vụ của các công ty nội địa, vốn có rất ít kinh nghiệm trong việc chống tội phạm chuyên nghiệp hoặc lực lượng tình báo mạng của các quốc gia. Thay vì chỉ phải tập trung bảo vệ dữ liệu ở một nơi, các công ty phải phân tán nguồn lực để bảo vệ nhiều nơi khác nhau. Các công ty công nghệ lớn còn có đủ tài chính và nhân lực để thiết kế các giải pháp đảm bảo an ninh, còn các công ty nhỏ hơn, đặc biệt là những công ty đang sử dụng dịch vụ Cloud Computing ở nước ngoài, sẽ chọn những giải pháp nội địa đơn giản, rẻ tiền nhưng cũng kém an toàn nhất.
5. Bộ Công an tuyên bố sẽ xây dựng trung tâm dữ liệu ($$$$) để tiếp nhận dữ liệu mà họ yêu cầu các công ty cung cấp. Nghĩa là toàn bộ dữ liệu của người Việt Nam sẽ được lưu ở một chỗ duy nhất, tạo thành một mục tiêu béo bở cho giới tội phạm chuyên nghiệp hoặc lực lượng tình báo mạng của các quốc gia.
6. Toàn bộ dữ liệu không chỉ của người dân, mà cả lãnh đạo cấp cao và toàn bộ hệ thống chính trị nằm trong tầm kiểm soát của Cục An ninh mạng, Bộ Công an. Với viễn cảnh u tối như Đông Đức năm 1984, ai còn muốn đến Việt Nam sống và làm việc? Nếu không thu hút được tài năng, làm sao Việt Nam có đủ nhân lực để làm cách mạng công nghệ?
7. Sau 30 năm nhận vốn và công nghệ thế giới, Trung Quốc đang giàu lên rất nhanh và đe dọa cả thế giới. Phương Tây đang rất lo ngại và muốn tìm đối tác đầu tư thay thế. Đây là cơ hội của Việt Nam, nhưng dự thảo 03/10/2018 chẳng khác nào một lời tuyên bố rằng Việt Nam không muốn đi cùng với thế giới. Nguy hiểm hơn hết, khi Việt Nam cản trở các công ty công nghệ phương Tây, các tập đoàn công nghệ rất giàu mạnh của Trung Quốc sẽ thao túng thị trường và dữ liệu của người Việt Nam, tạo ra những hiểm họa khôn lường.
Vì những lý do kể trên, tôi đề nghị chính phủ loại bỏ chương 5 của dự thảo 03/10/2018 và giới hạn phạm vi của dự thảo vào nội dung bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Yêu cầu lưu trữ dữ liệu nội địa cần được tách ra và hướng dẫn thực hiện bằng một dự thảo khác.
Bắt buộc lưu trữ dữ liệu ở Việt Nam không đem lại ích lợi gì
Chính phủ muốn yêu cầu các công ty nước ngoài lưu trữ dữ liệu và mở văn phòng ở Việt Nam là để nắm chủ quyền trên dữ liệu của người Việt Nam và có quyền tài phán đối với các công ty này. Đây không phải là một yêu cầu vô lý, vì suy cho cùng chính phủ phải có trách nhiệm và can dự vào việc bảo vệ dữ liệu của người dân. Tuy vậy có một lỗ hổng pháp lý lớn và vài vấn đề kỹ thuật mà Luật An ninh mạng và dự thảo 03/10/2018 đã bỏ qua.
Đa số các công ty Internet quốc tế phổ biến ở Việt Nam đến từ Mỹ, nên trong phần này tôi tập trung vào luật của Mỹ. Về mặt kỹ thuật, để an toàn, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của Mỹ là không được cung cấp khoá. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt Nam vẫn không thể tự do truy cập dữ liệu.
Từ năm 1986, Đạo luật Riêng Tư Trong Liên Lạc Điện Tử (Electronic Communications Privacy Act, ECPA [2]) của Mỹ nghiêm cấm các công ty nước này cung cấp dữ liệu cho bất kỳ chính phủ nào khác, mà không có sự đồng ý của Bộ Tư pháp. Đây là lý do mà trong những lần điều trần trước Ủy ban Việt Nam của Quốc hội Mỹ, đại diện Facebook đã nhiều lần khẳng định họ sẽ không bao giờ chia sẻ dữ liệu với chính phủ Việt Nam, vì chia sẻ như thế là trái luật.
Hồi tháng 3 năm nay, Đạo luật ECPA đã được bổ sung bởi Đạo luật Đám Mây (Clarifying Lawful Overseas Use of Data Act - CLOUD Act [3]). Đạo luật Đám Mây quy định các công ty chỉ được phép cung cấp dữ liệu cho các chính phủ đã được Nhà Trắng phê duyệt. Vương quốc Anh và Liên minh Châu Âu có thể là hai chính thể được phê duyệt đầu tiên. Nếu muốn truy cập dữ liệu để phục vụ cho việc phòng chống tội phạm, chính phủ Việt Nam nên gấp rút nghiên cứu Đạo luật Đám Mây, đàm phán với chính phủ Mỹ. Một khi đã được chính phủ Mỹ phê duyệt, chính phủ Việt Nam có thể đường hoàng yêu cầu các công ty Mỹ cung cấp thông tin và các công ty phải nhanh chóng đáp ứng như thể đó là yêu cầu từ chính phủ Mỹ.
Cần phải nhấn mạnh rằng việc Việt Nam phải được Mỹ phê duyệt không phải là chuyện nước lớn ép nước nhỏ, nhắc lại ngay cả Anh và Châu Âu vẫn phải đàm phán với Mỹ, mà chỉ đơn giản vì người Việt Nam sử dụng dịch vụ của các công ty Mỹ. Nếu như người Mỹ sử dụng Zalo của Việt Nam, chính phủ Mỹ muốn truy cập dữ liệu này họ vẫn phải thông qua chính phủ Việt Nam. Đây là cách thế giới vận hành, muốn hay không muốn chúng ta vẫn phải tuân theo. Tạo ra một bộ luật nội địa không làm thay đổi luật chơi quốc tế.
Vừa rồi Apple đã nhún nhường Trung Quốc, chuyển dữ liệu iCloud của người Trung Quốc về giao lại cho một công ty Trung Quốc. Đây là một cách lách luật và Apple đã phải hứng chịu rất nhiều chỉ trích [24]. Câu hỏi đặt ra là liệu Việt Nam có đủ tài lực để ép Apple như Trung Quốc đã làm? Nếu có đủ đi chăng nữa, liệu Việt Nam có nên làm như vậy? Tôi sẽ phân tích những điểm này trong phần cuối khi nói về Trung Quốc.
Phải thừa nhận rằng lưu trữ dữ liệu nội địa là một vấn đề đang gây nhiều tranh cãi. Kể từ sau sự kiện Snowden năm 2013, một số quốc gia đã đưa ra luật nội địa hóa dữ liệu lên bàn nghị sự. Nhưng thông tin “đã có 18 nước quy định phải lưu trữ dữ liệu trong nước” dễ gây lầm tưởng rằng tất cả các quốc gia đều yêu cầu lưu tất cả dữ liệu cá nhân hay cho phép một đơn vị như Cục An ninh mạng được phép tự ý truy xuất các dữ liệu đó. Sự thật không phải như vậy. Cùng với Việt Nam, chỉ có Trung Quốc, Nga, Indonesia là bắt buộc lưu trữ tất cả dữ liệu cá nhân. Đa số các quốc gia như Mỹ, Anh, Bỉ, Phần Lan, Thụy Điển, New Zealand, Hà Lan, Venezuela, v.v. chỉ yêu cầu lưu trữ dữ liệu thuế, kế toán, tài chính, hoặc dữ liệu của các tổ chức đại chúng [21].
Ngoài lưu trữ dữ liệu nội địa, dự thảo còn bắt buộc các công ty phải mở văn phòng ở Việt Nam. Đây không phải là một yêu cầu quá đáng, nhưng câu hỏi mà chính phủ cần đặt ra là tại sao chúng ta phải ép bằng luật. Singapore đâu cần ép gì đâu, các công ty vẫn đua nhau mở trụ sở. Thậm chí nhiều công ty khởi nghiệp Việt Nam cũng đều đăng ký ở Singapore. Không chỉ Singapore, Thái Lan, Malaysia, Indonesia, Philippines và Myanmar đều có các công ty Internet lớn của thế giới đặt trụ sở. Rõ ràng mở văn phòng ở đâu là quyết định của doanh nghiệp, chính phủ không nên can thiệp mà chỉ có thể khuyến khích. Chính sách thuận lợi, không cản trở kinh doanh, luật pháp minh bạch, văn minh, không cần ra luật người ta cũng tự tìm đến.
Chính phủ nói rất nhiều về cách mạng công nghiệp 4.0. Các quan chức đã nhiều lần tuyên bố muốn biến Sài Gòn, Hòa Lạc hay Bình Dương thành Silicon Valley. Đây là một giấc mơ lớn, đáng trân trọng, muốn thực hiện trước nhất phải thu hút được đầu tư của các tập đoàn công nghệ hàng đầu thế giới, mà quan trọng nhất là Mỹ và Châu Âu. Nhưng chính sách và luật pháp của Việt Nam ra sao để rồi bây giờ chỉ yêu cầu mở văn phòng thôi, chứ chưa nói đầu tư hay chuyển giao công nghệ gì, mà người ta vẫn không muốn vào? Đây là một câu hỏi lớn, nhưng Luật An ninh mạng và dự thảo 03/10/2018 không phải là câu trả lời.
Những nguy cơ mới cho nền kinh tế
Bắt buộc các công ty lưu trữ dữ liệu ở Việt Nam chẳng những không đem lại lợi ích gì trong việc phòng chống tội phạm, đẩy Việt Nam vào thế đối đầu các tập đoàn công nghệ lớn, mà còn tạo ra nhiều nguy cơ không thể xem thường cho nền kinh tế, đặc biệt là kinh tế công nghệ, quyền riêng tư của người dân và cả hệ thống chính trị. Đây không phải là ý kiến của cá nhân tôi mà còn là của rất nhiều học giả, luật sư, chuyên gia công nghệ và các nhà nghiên cứu luật pháp quốc tế [5] [6] [7] [8] [9]. Trong phần này tôi sẽ nói về các rủi ro cho nền kinh tế, sau đó tôi sẽ bàn về các rủi ro an ninh.
Muốn lưu dữ liệu thì phải có trung tâm dữ liệu. Nhưng khả năng các công ty nước ngoài xây dựng trung tâm dữ liệu ở Việt Nam là gần như bằng không. Không phải họ ghét bỏ gì Việt Nam, mà đây là bài toán kinh tế. Việt Nam không phải là trung tâm, đầu mối Internet của thế giới và khu vực. Đường truyền Internet quốc tế của Việt Nam đã có nhiều cải thiện, nhưng dăm bữa nửa tháng lại có sự cố. Chỉ số Rủi Ro Trung Tâm Dữ Liệu [4], một báo cáo xếp hạng các quốc gia dựa vào công nghệ, kinh tế và an ninh chính trị đối với trung tâm dữ liệu, thậm chí còn không xếp hạng Việt Nam (Trung Quốc, Indonesia và Nga, những quốc gia bắt buộc lưu dữ liệu nội địa xếp hạng rất thấp).
Có thông tin cho rằng các công ty lớn trên thế giới đã đặt hàng ngàn máy chủ ở Việt Nam từ lâu rồi [10]. Nói thế chỉ đúng một nửa. Đúng là các công ty đã có thuê mướn, đặt máy chủ ở Việt Nam, nhưng các máy chủ này đều không lưu dữ liệu cá nhân (như đã định nghĩa trong dự thảo 03/10/2018), mà chỉ lưu tạm (caching) một số ít dữ liệu ai cũng đã biết ví dụ như các video công cộng được chia sẻ trên mạng xã hội. Về mặt kỹ thuật, việc lưu trữ đầy đủ dữ liệu cá nhân đòi hỏi các công ty lớn phải thiết lập cơ sở hạ tầng máy chủ, sử dụng phần cứng chuyên biệt, với quy mô gấp vài chục lần những gì họ đang có tại Việt Nam.
Nếu không có trung tâm dữ liệu ở Việt Nam, các công ty sẽ lưu dữ liệu người dùng ở đâu? Họ chỉ có hai lựa chọn: đóng cửa không phục vụ Việt Nam hoặc sao chép dữ liệu thô về đặt ở các máy chủ thuê mướn của các công ty như Viettel hay VNPT. Các công ty lớn, có doanh thu tương đối ở Việt Nam sẽ sao chép dữ liệu, còn lại đa số những công ty nhỏ hơn, doanh thu không đáng kể, tôi dự đoán sẽ cấm cửa người đến từ Việt Nam. Việc bóc tách dữ liệu, sao chép về Việt Nam sẽ làm tăng chi phí thiết kế, vận hành sản phẩm. Tất cả chi phí này sẽ đổ lên đầu người dân Việt Nam, khi các công ty tăng giá thành dịch vụ, sản phẩm đối với thị trường Việt Nam.
Việc sao chép dữ liệu đến nhiều nơi còn làm gia tăng rủi ro dữ liệu bị xâm phạm, nếu xảy ra sự cố sẽ ảnh hưởng rất xấu đến hoạt động kinh doanh của các công ty công nghệ, vốn dựa rất lớn vào niềm tin của khách hàng. Đó là lý do nhiều công ty đã phản đối Luật An ninh mạng. Đơn cử, Business Software Alliance, một tổ chức có nhiều thành viên là các công ty công nghệ lớn như Adobe, Apple, IBM, Microsoft, Oracle, hay Salesforce, đã có một kiến nghị rất chi tiết phản đối Luật An ninh mạng và yêu cầu xóa điều luật lưu trữ dữ liệu nội địa [14]. Ngoài ra Asia Internet Coalition, hiệp hội bao gồm các công ty công nghệ hàng đầu về Internet như AirBnB, Amazon, Apple, Expedia, Facebook, Google, Line, LinkedIn, Rakuten, Twitter và Yahoo, đã đưa ra một thông báo rằng họ nghĩ Luật An ninh mạng sẽ ảnh hưởng tiêu cực đến kinh tế Việt Nam [15].
Ngoài yêu cầu lưu trữ dữ liệu, Khoản 5, điều 58 của dự thảo 03/10/2018 còn yêu cầu các công ty phải chuyển giao hàng loạt cho Cục An ninh mạng “nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch” sau 36 tháng kể từ lúc dữ liệu được thu thập. Nếu công ty đóng cửa hoạt động hoặc ngừng cung cấp dịch vụ, phải chuyển giao tất cả thông tin người dùng cho Cục An ninh mạng.
Quy định này hoặc là không thực hiện được hoặc là sẽ đẩy tất cả các công ty quốc tế ra khỏi Việt Nam. Ưu tiên hàng đầu của các công ty quốc tế là đảm bảo an toàn dữ liệu và riêng tư cho khách hàng, họ không thể nào đơn phương tùy tiện chuyển giao dữ liệu cho bên thứ ba. Nếu có chuyển các công ty cũng chỉ có thể chuyển từng trường hợp cụ thể, sau khi có lệnh của tòa án, xét duyệt của luật sư và cơ quan tư pháp chính phủ Mỹ.
Các công ty làm sao biết được Bộ Công an sẽ quản lý dữ liệu, sử dụng và chia sẻ dữ liệu của họ như thế nào. Nhưng nếu vì bất kỳ lý do gì dữ liệu bị lộ ra ngoài, họ sẽ hứng đủ. Sự cố lộ dữ liệu liên quan đến Cambridge Analytica đã khiến cổ phiếu Facebook sụt giảm 13%, tức khoảng 75 tỉ USD [24]. Để so sánh, theo một nguồn tin không chính thức, doanh thu năm 2015 của Facebook ở Việt Nam là 150 triệu USD [25]. Rõ ràng doanh thu ở Việt Nam chỉ là muối bỏ bể so với thiệt hại mà Facebook có thể phải gánh chịu nếu để xảy ra sự cố lộ dữ liệu.
Vả lại, dữ liệu là tài sản của công ty, yêu cầu họ chuyển sang cho chính phủ Việt Nam chẳng khác nào quốc hữu hóa. Ai sẽ còn muốn làm ăn ở Việt Nam?
Một khi rủi ro, áp lực chính trị và chi phí hoạt động quá cao, các công ty sẽ phải tính đến phương án rút khỏi Việt Nam. Đã có rất nhiều tiền lệ các công ty rút khỏi thị trường khi không thể chịu đựng được luật pháp sở tại. Mới đây thôi, khi Châu Âu chính thức đưa vào thực thi General Data Protection Regulation rất nhiều trang web ở Mỹ đã ngưng phục vụ khách hàng Châu Âu [11] [12]. Nếu các công ty rút khỏi Việt Nam, chúng ta sẽ lấy gì thay thế, Baidu và Weibo chăng?
Không phải Việt Nam không thể tự xây dựng những sản phẩm “Made in Vietnam” để thay thế. Nhưng để vươn ra thế giới, có một nền công nghiệp số tầm cỡ thế giới, Việt Nam cần vốn, công nghệ và tài năng của thế giới. Buôn có bạn, bán có phường, một khi các tập đoàn lớn nói không với Việt Nam thì cả thế giới công nghệ sẽ chẳng ai muốn chơi với chúng ta nữa (ngoại trừ Trung Quốc, tôi sẽ nhắc đến trong phần sau). Không có vốn, không có công nghệ, không có tài năng, không có cách chi Việt Nam xây dựng được những công ty công nghệ tầm cỡ thế giới.
Đã hi sinh kinh tế, nhưng vẫn không đảm bảo được an ninh
Đôi khi vì an ninh quốc gia, vì riêng tư của người dân chúng ta buộc phải cắn răng chọn lựa những chính sách gây hại cho phát triển kinh tế. Nhưng trong phần này tôi sẽ giải thích tại sao Luật An ninh mạng và dự thảo 03/10/2018 khiến cho Việt Nam tiền mất tật mang, vừa gây nguy hiểm cho sự phát triển kinh tế vừa tạo ra những rủi ro đáng ngại cho an ninh quốc gia và sự riêng tư của người dân cũng như toàn bộ hệ thống chính trị.
Như đã phân tích ở trên, vì lý do kinh tế, các công ty sẽ không thể nào xây dựng trung tâm dữ liệu đúng chuẩn ở Việt Nam. Họ sẽ phải chép dữ liệu ra khỏi các trung tâm dữ liệu được bảo vệ tối đa của họ, nghĩa là dữ liệu của người Việt Nam sẽ không được bảo vệ như dữ liệu của phần còn lại của thế giới. Thay vì chỉ phải tập trung bảo vệ dữ liệu ở một nơi, các công ty phải phân tán nguồn lực để bảo vệ nhiều nơi khác nhau. Các công ty công nghệ lớn còn có đủ tài chính và nhân lực để thiết kế các giải pháp đảm bảo an ninh, còn các công ty nhỏ hơn, đặc biệt là những công ty đang sử dụng dịch vụ Cloud Computing ở nước ngoài, sẽ chọn những giải pháp nội địa đơn giản, rẻ tiền nhưng cũng kém an toàn nhất.
Tại khoản 6, điều 58 của dự thảo 03/10/2018, Bộ Công an tuyên bố họ sẽ xây dựng trung tâm dữ liệu để tiếp nhận dữ liệu mà họ yêu cầu các công ty cung cấp. Nói cách khác, toàn bộ dữ liệu của người Việt Nam sẽ được lưu ở một chỗ duy nhất, tạo thành một mục tiêu béo bở cho giới tội phạm mạng và lực lượng tình báo mạng của các quốc gia khác.
Nếu chúng ta lo lắng giới tội phạm hay lực lượng tình báo mạng của các quốc gia khác xâm phạm dữ liệu của người Việt Nam, tôi không hiểu tại sao dự thảo lại cho rằng việc chuyển dữ liệu từ Singapore hay Đài Loan về Việt Nam sẽ khiến dữ liệu được an toàn hơn. Internet không có biên giới, chuyển địa điểm lưu trữ không làm cho dữ liệu an toàn hơn, trái lại là đằng khác. Thay vì sử dụng dịch vụ Cloud Computing của những nhà cung cấp dịch vụ tốt nhất thế giới, các công ty sẽ phải sử dụng dịch vụ của các công ty nội địa, vốn có rất ít kinh nghiệm trong việc chống tội phạm chuyên nghiệp và lực lượng tình báo mạng của các quốc gia. Tôi chia sẻ lo lắng của chính phủ về việc dữ liệu cá nhân của người Việt Nam nằm trong sự kiểm soát của các công ty quốc tế, nhưng nóng vội đem dữ liệu về Việt Nam ở thời điểm hiện tại không giúp được gì mà còn làm tăng nguy cơ dữ liệu bị xâm phạm.
Tôi thấy rất khó hiểu khi người ta giải thích Luật An ninh mạng và dự thảo 03/10/2018 sẽ giúp bảo vệ riêng tư của người dân. Có lẽ câu hỏi đầu tiên chúng ta cần phải đặt ra là: bảo vệ chống lại ai?
Tôi được biết Bộ trưởng Văn phòng Chính phủ Mai Tiến Dũng sử dụng Gmail. Tôi đoán ngài Bộ trưởng, như bao người dân khác, cũng mong muốn có được an toàn và riêng tư khi sử dụng Internet. Nhưng dự thảo 10/03/2018 sẽ cho phép Cục An ninh mạng đơn phương, không thông qua bất kỳ cơ chế kiểm soát, yêu cầu bên cung cấp dịch vụ cung cấp tất cả dữ liệu, bao gồm tất cả email của ngài bộ trưởng. Sau khi đã lấy được thông tin, Cục An ninh mạng sẽ lưu trữ, sử dụng, tiết lộ thông tin đó như thế nào, là toàn quyền quyết định của họ. Nói cách khác, không chỉ người dân, mà cả lãnh đạo cấp cao và toàn bộ hệ thống chính trị sẽ nằm trong tầm kiểm soát của công an.
Với viễn cảnh u tối như Đông Đức năm 1984, ai còn muốn đến Việt Nam sống và làm việc? Nếu không thu hút được tài năng, làm sao chúng ta có đủ nhân lực để làm cách mạng công nghệ?
Sao chép Trung Quốc chỉ dẫn đến sự lệ thuộc
Thật khó để không nghĩ đến yếu tố Trung Quốc khi bàn đến Luật An ninh mạng, nhất là khi Luật An ninh mạng Việt Nam rất giống Luật An ninh mạng Trung Quốc [16]. Trong phần này tôi giải thích tại sao sao chép Trung Quốc chỉ làm lợi cho họ nhưng gây hại cho Việt Nam.
Với sức mạnh của nền kinh tế lớn thứ hai và sức hút của thị trường lớn nhất thế giới, Trung Quốc có thừa khả năng đặt ra luật chơi riêng và bắt buộc các công ty phải tuân theo. Apple vừa rồi đã đồng ý chuyển dữ liệu iCloud của người Trung Quốc về Trung Quốc [17]. Facebook luôn thèm khát thị trường Trung Quốc, đã nhiều lần xin giấy phép, nhưng vẫn chưa được chính phủ Trung Quốc cho vào. Tháng 7 vừa qua, Trung Quốc cấp giấy phép cho Facebook nhưng ngay lập tức thu hồi chỉ sau đó 1 ngày [18].
Có thể thấy rằng cách mà Trung Quốc ép các công ty công nghệ là cơ sở để những nhà làm luật Việt Nam tạo ra Luật An ninh mạng, nhưng Việt Nam không phải Trung Quốc, chúng ta không có đủ tài lực để ra yêu sách với thế giới. Trung Quốc không cho Facebook vào, còn Facebook không thèm vào Việt Nam. Cùng một chính sách, nhưng kết quả không thể khác nhau hơn.
Mô hình phát triển kinh tế số của Trung Quốc không thể áp dụng cho Việt Nam. Trung Quốc có một thị trường nội địa rộng lớn, và sau hơn 30 năm liên tục nhận vốn và công nghệ thế giới, Trung Quốc đã có những trung tâm nghiên cứu, những trường đại học, những tập đoàn công nghệ, những quỹ đầu tư top đầu thế giới [19]. Trước đây Trung Quốc chỉ sao chép công nghệ thế giới, nhưng bây giờ họ đặt ra mục tiêu năm 2030 sẽ vượt Mỹ, đứng đầu thế giới về những công nghệ cao cấp như Trí Tuệ Nhân Tạo [20].
Việt Nam không có gì có thể so sánh được cả. Chúng ta chỉ có gần 100 triệu dân, nhưng sức mua không lớn vì dân còn nghèo, phương tiện thanh toán điện tử còn chưa phổ biến. Tình trạng gian lận tràn lan (ví dụ như đánh cắp thẻ tín dụng để mua hàng hay click quảng cáo giả) cũng khiến việc kinh doanh trên Internet ở Việt Nam có chi phí cao hơn các quốc gia khác.
May mắn cho chúng ta, phương Tây đang rất lo sợ Trung Quốc, họ mong muốn tìm kiếm một đối tác khác để đầu tư, hợp tác và Việt Nam đang nổi lên như là một lựa chọn tốt. Để phát triển, Việt Nam cần dịch vụ, sản phẩm tiên tiến của thế giới, nhưng cần nhất vẫn là vốn, công nghệ và tri thức để tự phát triển các sản phẩm tương tự. Nhưng dự thảo 03/10/2018 chẳng khác nào một lời tuyên bố rằng Việt Nam không muốn đi cùng với thế giới. Không gì có lợi hơn cho Trung Quốc và bất lợi hơn cho Việt Nam khi Việt Nam “xù lông nhím" với phương Tây, vì Trung Quốc sẽ “bất chiến tự nhiên thành" loại bỏ bớt một đối thủ cạnh tranh thu hút vốn và công nghệ của thế giới.
Nguy hiểm hơn hết, khi Việt Nam cản trở các công ty công nghệ phương Tây, các tập đoàn công nghệ rất giàu mạnh của Trung Quốc sẽ thao túng thị trường và dữ liệu của người Việt Nam. Chuyện gì sẽ xảy ra nếu Baidu, Tencent, Alibaba tổng “tấn công” thị trường Việt Nam? Trước khi phát triển được những sản phẩm nội địa, chúng ta vẫn cần những đối tác phương Tây để đảm bảo dữ liệu không rơi vào tay Trung Quốc, nếu không muốn học lại mãi bài học lịch sử ngàn đời của cha ông.
Thay vì sao chép Trung Quốc để rồi phải lệ thuộc hoàn toàn vào Trung Quốc, Việt Nam cần phải đi một con đường khác, xích lại gần hơn với thế giới. Chúng ta vẫn phải chơi với Trung Quốc, nhưng mục tiêu là giảm lệ thuộc và phải tận dụng lợi thế cạnh tranh của mình. Nhờ có Internet tự do hơn, so với Trung Quốc, Việt Nam có một xã hội cởi mở hơn và một không gian tự do ngôn luận rộng rãi hơn. Để tồn tại và phát triển, chúng ta phải giữ được những khác biệt này. Nếu Trung Quốc yêu cầu lưu trữ dữ liệu nội địa, Việt Nam phải giải phóng dữ liệu và trở thành thiên đường dữ liệu nơi mà cả thế giới có thể an tâm lưu trữ dữ liệu của họ. Nếu Trung Quốc đóng cửa Internet, Việt Nam phải có Internet tự do. Nếu Trung Quốc có Bức Tường Lửa Vĩ Đại, Việt Nam phải dùng Internet để kết nối và đi cùng thế giới.
Tài liệu tham khảo:
[1] Nghị định Quy định chi tiết một số điều của Luật An ninh mạng, dự thảo ngày 3/10/2018, https://drive.google.com/file/d/1gBwAnqcdtEloR9dk0A3Pmz4mbzZlFRhl/view
[2] How Law Enforcement Should Access Data Across Borders, http://www2.itif.org/2017-law-enforcement-data-borders.pdf
[3] CLOUD Act, https://www.congress.gov/bill/115th-congress/house-bill/4943
[4] Data Centre Risk Index 2016, https://verne-global-lackey.s3.amazonaws.com/uploads%2F2017%2F1%2Fb5e0a0da-5ad2-01b3-1eb8-8f782f22a534%2FC%26W_Data_Centre+Risk_Index_Report_2016.pdf
[5] Where Is Your Data, Really?: The Technical Case Against Data Localization, https://www.lawfareblog.com/where-your-data-really-technical-case-against-data-localization
[6] Global Data Flows and Connectivity Are Creating New Economic and Trade Opportunities, https://www.brookings.edu/research/regulating-for-a-digital-economy-understanding-the-importance-of-cross-border-data-flows-in-asia/
[7] Data Localization Laws: an Emerging Global Trend, https://www.jurist.org/commentary/2017/01/Courtney-Bowman-data-localization
[8] Data Nationalism, http://law.emory.edu/elj/content/volume-64/issue-3/articles/data-nationalism.html
[9] The False Promise of Data Nationalism, http://www2.itif.org/2013-false-promise-data-nationalism.pdf
[10] Google, Facebook đã đặt hàng ngàn máy chủ ở Việt Nam, https://vtc.vn/google-facebook-da-dat-hang-ngan-may-chu-o-viet-nam-d367295.html
[11] Sites block users, shut down activities and flood inboxes as GDPR rules loom, https://www.theguardian.com/technology/2018/may/24/sites-block-eu-users-before-gdpr-takes-effect
[12] Major US news websites are going down in Europe as GDPR goes into effect, https://www.theverge.com/2018/5/25/17393894/gdpr-news-websites-down-europe
[13] Chưa có thông tin Google, Facebook rời Việt Nam do luật An ninh mạng, https://thanhnien.vn/cong-nghe/chua-co-thong-tin-google-facebook-roi-viet-nam-do-luat-an-ninh-mang-973883.html
[14] Joint Industry Comments on Draft Law on Cybersecurity, https://www.bsa.org/~/media/Files/Policy/Data/02262018BSAJointIndustry%20CommentsVietnamCybersecurityLaw.pdf
[15] Statement from the AIC following the Congress of the United States letter on the Vietnam Law on Cybersecurity (17th July 2018), https://www.aicasia.org/2018/07/17/statement-from-the-asia-internet-coalition-following-the-letter-by-the-congress-of-the-united-states-on-the-law-on-cybersecurity-in-vietnam/
[16] Dự luật An ninh mạng: Hàng Việt Nam ‘Made in China’?, https://www.luatkhoa.org/2017/11/du-luat-ninh-mang-hang-viet-nam-made-china/
[17] Apple officially moves its Chinese iCloud operations and encryption keys to China, https://www.theverge.com/2018/2/28/17055088/apple-chinese-icloud-accounts-government-privacy-speed
[18] China Said to Quickly Withdraw Approval for New Facebook Venture, https://www.nytimes.com/2018/07/25/business/facebook-china.html
[19] China Internet Report 2018, https://www.abacusnews.com/china-internet-report/
[20] A Next Generation Artificial Intelligence Development Plan, https://chinacopyrightandmedia.wordpress.com/2017/07/20/a-next-generation-artificial-intelligence-development-plan/
[21] Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?, https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost
[22] Here Come the Viet Gamers, https://www.forbes.com/global/2010/0208/companies-technology-online-games-vietnam-social-networking.html#69b03c824b70
[23] Apple is under fire for moving iCloud data to China, https://money.cnn.com/2018/02/28/technology/apple-icloud-data-china/index.html
[24] Facebook fell 13 percent this week to below $160, the stock's worst week since July 2012,https://www.cnbc.com/2018/03/23/facebook-cambridge-analytica-stock-sees-third-worst-trading-week-ever.html
[25] Google, Facebook thu lợi hàng ngàn tỉ đồng mỗi năm, https://thanhnien.vn/tai-chinh-kinh-doanh/google-facebook-thu-loi-hang-ngan-ti-dong-moi-nam-898994.html
Bài bình luận gần đây