Sunday, October 14, 2018

TỪ SILICON VALLEY NGHĨ VỀ DỰ THẢO NGHỊ ĐỊNH THỰC THI LUẬT ANM (Kỹ sư Dương Thái, Silicon Valley)




Kỹ sư Dương Thái
Gửi cho BBC từ Silicon Valley
14 tháng 10 2018

BBC xin giới thiệu phần một (trong hai phần) bài viết của kỹ sư Dương Thái, một chuyên gia bảo mật thông tin đang làm việc ở Silicon Valley, về dự thảo nghị định hướng dẫn thi hành Luật An ninh mạng ngày 3/10/2018.

Sau khi tốn bao nhiêu mồ hôi, nước mắt và nước miếng viết hai lá tâm thư mà Quốc hội vẫn thông qua Luật An ninh mạng, tôi muốn đưa ra một đánh giá toàn diện về bộ luật này, ở góc độ kỹ nghệ và pháp lý, nên đã dành ra bảy bảy bốn chín ngày tìm hiểu luật pháp an ninh mạng quốc tế. Những gì tôi đọc được thật thú vị. Hóa ra công việc của luật sư không khác lắm công việc của hacker, thay vì tấn công và phòng thủ bằng code họ chơi bằng từ ngữ.

Tôi tính sẽ viết một loạt bài về đề tài này, nhưng rồi giữa tháng 8 năm nay bạn tôi rủ tham gia nhóm 100 "nhân tài" về Việt Nam gặp gỡ lãnh đạo Việt Nam với kỳ vọng tôi sẽ có cơ hội được chụp hình chung với thủ tướng, tay bắt mặt mừng rồi nếu còn thời gian thì phân tích cho ngài thủ tướng nghe lợi và hại của Luật An ninh mạng. Nhưng rốt cuộc, vì mải chụp hình, tôi không có cơ hội chia sẻ ý kiến.


Với những thay đổi về nhân sự trong nhóm những người làm ra Luật An ninh mạng và quan sát quyết tâm phát triển kinh tế công nghệ của chính phủ, tôi đã từng hi vọng các ý kiến của tôi không còn cần thiết nữa, rằng khi soạn thảo nghị định hướng dẫn thực hiện luật, vì phát triển kinh tế, vì lợi thế cạnh tranh của Việt Nam, vì riêng tư cho người dân và an ninh quốc gia, chính phủ sẽ giữ cho người dân Việt Nam một Internet mở, tự do và an toàn.

Nhưng tôi đã lầm. Dự thảo nghị định hướng dẫn Luật An ninh mạng đề ngày 03/10/2018 [1] còn nặng nề tăm tối hơn cả luật. Cái giá của tự do quả là một sự cảnh giác vĩnh cửu, hở ra một chút là mất.

Vì dự thảo chỉ tiếp nhận ý kiến đóng góp trong vòng 20 ngày, thay vì 6 tháng như thường lệ, tôi viết vội bài này, thôi thì không nói được với thủ tướng thì chia sẻ với quốc dân đồng bào tại sao tôi nghĩ dự thảo nghị định 03/10/2018 sẽ không giúp ích được gì trong việc phòng chống tội phạm, mà còn tạo ra những nguy cơ không thể xem thường về kinh tế và an ninh quốc gia.

Ý kiến của tôi giải thích thì dài nhưng mục tiêu rất ngắn gọn: bỏ chương 5 của dự thảo 03/10/2018.

Thượng Tướng Tô Lâm chủ trì cuộc họp Ban soạn thảo, Tổ biên tập xây dựng các văn bản hướng dẫn thi hành Luật An ninh mạng hôm 9/10/2018. BO CONG AN

Tóm tắt

Dự thảo có năm chương, ngoại trừ chương 5, phần lớn nội dung tập trung vào vấn đề bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Mặc dù có những quy định khá ngớ ngẩn như bắt buộc đổi mật khẩu mỗi tháng một lần, chúng ta phải ghi nhận nỗ lực của nhóm soạn dự thảo và thành công phần nào của họ khi đưa ra được một chính sách an toàn thông tin chung cho các hệ thống trọng yếu.

Tôi sẽ có ý kiến riêng về nội dung an toàn thông tin của dự thảo, ở đây tôi tập trung vào chương 5. Chỉ trong vòng vài trang giấy, dự thảo nghị định do Bộ Công an soạn thảo đã trao cho Cục An ninh mạng, Bộ Công an những quyền sau đây:

Điểm b, khoản 1, điều 57: bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải có sự đồng ý của Cục An ninh mạng.

Điều 54, 55, 56, 57: bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ tất cả dữ liệu ở Việt Nam và phải cung cấp tất cả dữ liệu khi nhận được yêu cầu của Cục An ninh mạng.

Khoản 5, điều 58: Bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ và chuyển giao cho Cục An ninh mạng "nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch" sau 36 tháng kể từ lúc dữ liệu được thu thập. Nếu công ty đóng cửa hoạt động hoặc ngừng cung cấp dịch vụ, phải chuyển giao tất cả thông tin người dùng cho Cục An ninh mạng.

Khi tôi viết tất cả, ý của tôi là tất cả. Tất cả những gì bạn gõ vào Facebook hay Zalo. Tất cả hình bạn đã chụp và chia sẻ. Tất cả những email bạn đã gửi. Tất cả những gì bạn đã tìm kiếm. Tất cả website bạn đã vào. Tất cả những thông tin tế nhị, nhạy cảm, sâu thẳm nhất.


Nghị định hướng dẫn thi hành Luật An ninh mạng có điều khoản buộc cáo công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ và chuyển giao 'tất cả thông tin người dùng' cho Cục An ninh mạng. LEON NEAL/GETTY IMAGES

Trong các phần tiếp theo tôi sẽ giải thích tại sao dự thảo này không đem lại lợi ích gì mà còn tạo ra nhiều nguy cơ kinh tế và an ninh. Tôi giải thích chi tiết nên hơi dài, ở đây tôi tóm tắt các ý chính:

1. Dự thảo bắt buộc các công ty Internet quốc tế phải lưu trữ dữ liệu cá nhân của người Việt Nam tại Việt Nam, nhưng bất kể các công ty tuân thủ, chính phủ cũng không thể tự ý truy cập vào nguồn dữ liệu này. Về mặt kỹ thuật, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của Mỹ là không được cung cấp khoá, nếu chưa có sự đồng ý của Bộ Tư Pháp hoặc Nhà Trắng. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt Nam vẫn không thể tự do truy cập dữ liệu.

2. Bắt buộc các công ty mở văn phòng ở Việt Nam không phải là một yêu cầu quá đáng, nhưng chính phủ cần phải hiểu được tại sao người ta không muốn mở. Singapore đâu cần ra luật gì, các công ty vẫn đua nhau mở trụ sở. Bắt buộc người ta vào, người ta sẽ vào cho có lệ, rốt cuộc Việt Nam sẽ không nhận được vốn hay công nghệ gì cả, mà lại còn tạo tiền lệ xấu. Việt Nam không thể tự lực tự cường thành cường quốc công nghệ, mà chúng ta cần vốn, công nghệ và tri thức của phương Tây. Chọn thế đối đầu với các tập đoàn công nghệ lớn của thế giới, chúng ta chỉ từ chết đến bị thương, không được gì cả.

3. Bắt buộc các công ty lưu trữ dữ liệu ở Việt Nam sẽ khiến họ chỉ có hai lựa chọn: rút khỏi thị trường Việt Nam hoặc sao chép dữ liệu thô từ trung tâm dữ liệu của họ sang các máy chủ thuê mướn ở Việt Nam. Rất nhiều công ty nước ngoài phản đối Luật An ninh mạng vì việc sao chép dữ liệu thô làm gia tăng rủi ro dữ liệu bị xâm phạm, nếu xảy ra sự cố sẽ ảnh hưởng rất xấu đến hoạt động kinh doanh của họ, vốn dựa rất lớn vào niềm tin của khách hàng. Và đương nhiên họ phải tốn thêm chi phí thiết kế lại hệ thống, thuê mướn thêm thiết bị lưu trữ, chi phí này sẽ do chính người dân Việt Nam phải chi trả, khi các công ty phải tăng giá thành dịch vụ, sản phẩm đối với thị trường Việt Nam.

Bộ Công an còn yêu cầu các công ty phải bàn giao dữ liệu hàng loạt. Ưu tiên hàng đầu của các công ty quốc tế là đảm bảo an toàn dữ liệu và riêng tư cho khách hàng, trừ khi có lệnh của tòa án và luật sư của họ đồng ý, họ không thể nào đơn phương tùy tiện chuyển giao dữ liệu cho bên thứ ba. Nếu có chuyển họ cũng chuyển từng trường hợp cụ thể, chứ không thể nào chuyển tất cả. Họ làm sao biết được Bộ Công an sẽ quản lý dữ liệu, sử dụng và chia sẻ dữ liệu của họ như thế nào. Nhưng nếu vì bất kỳ lý do gì dữ liệu bị lộ ra ngoài, họ sẽ hứng đủ. Vả lại, dữ liệu là tài sản của công ty, yêu cầu họ chuyển sang cho chính phủ Việt Nam chẳng khác nào quốc hữu hóa. Còn ai muốn làm ăn ở Việt Nam?

Một khi rủi ro, áp lực chính trị, và chi phí hoạt động quá cao, các công ty sẽ phải tính đến phương án rút khỏi Việt Nam. Đã có rất nhiều tiền lệ các công ty rút khỏi thị trường khi không thể chịu đựng được luật pháp sở tại. Mới đây thôi, khi Châu Âu chính thức đưa vào thực thi General Data Protection Regulation, rất nhiều trang web ở Mỹ đã ngưng phục vụ khách hàng Châu Âu. Nếu các công ty rút khỏi Việt Nam, chúng ta sẽ lấy gì thay thế, Baidu và Weibo chăng?

4. Chuyển dữ liệu từ Singapore hay Đài Loan về Việt Nam sẽ không khiến dữ liệu được an toàn hơn. Internet không có biên giới, chuyển địa điểm lưu trữ không làm cho dữ liệu an toàn hơn, trái lại là đằng khác. Thay vì sử dụng dịch vụ Cloud Computing của những nhà cung cấp dịch vụ tốt nhất thế giới, các công ty trong và ngoài nước sẽ phải sử dụng dịch vụ của các công ty nội địa, vốn có rất ít kinh nghiệm trong việc chống tội phạm chuyên nghiệp hoặc lực lượng tình báo mạng của các quốc gia. Thay vì chỉ phải tập trung bảo vệ dữ liệu ở một nơi, các công ty phải phân tán nguồn lực để bảo vệ nhiều nơi khác nhau. Các công ty công nghệ lớn còn có đủ tài chính và nhân lực để thiết kế các giải pháp đảm bảo an ninh, còn các công ty nhỏ hơn, đặc biệt là những công ty đang sử dụng dịch vụ Cloud Computing ở nước ngoài, sẽ chọn những giải pháp nội địa đơn giản, rẻ tiền nhưng cũng kém an toàn nhất.

5. Bộ Công an tuyên bố sẽ xây dựng trung tâm dữ liệu để tiếp nhận dữ liệu mà họ yêu cầu các công ty cung cấp. Nghĩa là toàn bộ dữ liệu của người Việt Nam sẽ được lưu ở một chỗ duy nhất, tạo thành một mục tiêu béo bở cho giới tội phạm chuyên nghiệp hoặc lực lượng tình báo mạng của các quốc gia.

6. Toàn bộ dữ liệu không chỉ của người dân, mà cả lãnh đạo cấp cao và toàn bộ hệ thống chính trị nằm trong tầm kiểm soát của Cục An ninh mạng, Bộ Công an. Với viễn cảnh u tối như Đông Đức năm 1984, ai còn muốn đến Việt Nam sống và làm việc? Nếu không thu hút được tài năng, làm sao Việt Nam có đủ nhân lực để làm cách mạng công nghệ?

7. Sau 30 năm nhận vốn và công nghệ thế giới, Trung Quốc đang giàu lên rất nhanh và đe dọa cả thế giới. Phương Tây đang rất lo ngại và muốn tìm đối tác đầu tư thay thế. Đây là cơ hội của Việt Nam, nhưng dự thảo 03/10/2018 chẳng khác nào một lời tuyên bố rằng Việt Nam không muốn đi cùng với thế giới. Nguy hiểm hơn hết, khi Việt Nam cản trở các công ty công nghệ phương Tây, các tập đoàn công nghệ rất giàu mạnh của Trung Quốc sẽ thao túng thị trường và dữ liệu của người Việt Nam, tạo ra những hiểm họa khôn lường.

Vì những lý do kể trên, tôi đề nghị chính phủ loại bỏ chương 5 của dự thảo 03/10/2018 và giới hạn phạm vi của dự thảo vào nội dung bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Yêu cầu lưu trữ dữ liệu nội địa cần được tách ra và hướng dẫn thực hiện bằng một dự thảo khác.

Đạo luật Riêng Tư Trong Liên Lạc Điện Tử của Mỹ nghiêm cấm các công ty nước này cung cấp dữ liệu cho bất kỳ chính phủ nào khác, mà không có sự đồng ý của Bộ Tư pháp. ULLSTEIN BILD/GETTY IMAGES

Bắt buộc lưu trữ dữ liệu ở Việt Nam không đem lại ích lợi gì

Chính phủ muốn yêu cầu các công ty nước ngoài lưu trữ dữ liệu và mở văn phòng ở Việt Nam là để nắm chủ quyền trên dữ liệu của người Việt Nam và có quyền tài phán đối với các công ty này. Đây không phải là một yêu cầu vô lý, vì suy cho cùng chính phủ phải có trách nhiệm và can dự vào việc bảo vệ dữ liệu của người dân. Tuy vậy có một lỗ hổng pháp lý lớn và vài vấn đề kỹ thuật mà Luật An ninh mạng và dự thảo 03/10/2018 đã bỏ qua.

Đa số các công ty Internet quốc tế phổ biến ở Việt Nam đến từ Mỹ, nên trong phần này tôi tập trung vào luật của Mỹ. Về mặt kỹ thuật, để an toàn, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của Mỹ là không được cung cấp khoá. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt Nam vẫn không thể tự do truy cập dữ liệu.

Từ năm 1986, Đạo luật Riêng Tư Trong Liên Lạc Điện Tử (Electronic Communications Privacy Act, ECPA [2]) của Mỹ nghiêm cấm các công ty nước này cung cấp dữ liệu cho bất kỳ chính phủ nào khác, mà không có sự đồng ý của Bộ Tư pháp. Đây là lý do mà trong những lần điều trần trước Ủy ban Việt Nam của Quốc hội Mỹ, đại diện Facebook đã nhiều lần khẳng định họ sẽ không bao giờ chia sẻ dữ liệu với chính phủ Việt Nam, vì chia sẻ như thế là trái luật.

Hồi tháng 3 năm nay, Đạo luật ECPA đã được bổ sung bởi Đạo luật Đám Mây (Clarifying Lawful Overseas Use of Data Act - CLOUD Act [3]). Đạo luật Đám Mây quy định các công ty chỉ được phép cung cấp dữ liệu cho các chính phủ đã được Nhà Trắng phê duyệt. Vương quốc Anh và Liên minh Châu Âu có thể là hai chính thể được phê duyệt đầu tiên. Nếu muốn truy cập dữ liệu để phục vụ cho việc phòng chống tội phạm, chính phủ Việt Nam nên gấp rút nghiên cứu Đạo luật Đám Mây, đàm phán với chính phủ Mỹ. Một khi đã được chính phủ Mỹ phê duyệt, chính phủ Việt Nam có thể đường hoàng yêu cầu các công ty Mỹ cung cấp thông tin và các công ty phải nhanh chóng đáp ứng như thể đó là yêu cầu từ chính phủ Mỹ.

Cần phải nhấn mạnh rằng việc Việt Nam phải được Mỹ phê duyệt không phải là chuyện nước lớn ép nước nhỏ, nhắc lại ngay cả Anh và Châu Âu vẫn phải đàm phán với Mỹ, mà chỉ đơn giản vì người Việt Nam sử dụng dịch vụ của các công ty Mỹ. Nếu như người Mỹ sử dụng Zalo của Việt Nam, chính phủ Mỹ muốn truy cập dữ liệu này họ vẫn phải thông qua chính phủ Việt Nam. Đây là cách thế giới vận hành, muốn hay không muốn chúng ta vẫn phải tuân theo. Tạo ra một bộ luật nội địa không làm thay đổi luật chơi quốc tế.

Vừa rồi Apple đã nhún nhường Trung Quốc, chuyển dữ liệu iCloud của người Trung Quốc về giao lại cho một công ty Trung Quốc. Đây là một cách lách luật và Apple đã phải hứng chịu rất nhiều chỉ trích [24]. Câu hỏi đặt ra là liệu Việt Nam có đủ tài lực để ép Apple như Trung Quốc đã làm? Nếu có đủ đi chăng nữa, liệu Việt Nam có nên làm như vậy? Tôi sẽ phân tích những điểm này trong phần cuối khi nói về Trung Quốc.


Phải thừa nhận rằng lưu trữ dữ liệu nội địa là một vấn đề đang gây nhiều tranh cãi. Kể từ sau sự kiện Snowden năm 2013, một số quốc gia đã đưa ra luật nội địa hóa dữ liệu lên bàn nghị sự. Nhưng thông tin "đã có 18 nước quy định phải lưu trữ dữ liệu trong nước" dễ gây lầm tưởng rằng tất cả các quốc gia đều yêu cầu lưu tất cả dữ liệu cá nhân hay cho phép một đơn vị như Cục An ninh mạng được phép tự ý truy xuất các dữ liệu đó. Sự thật không phải như vậy. Cùng với Việt Nam, chỉ có Trung Quốc, Nga, Indonesia là bắt buộc lưu trữ tất cả dữ liệu cá nhân. Đa số các quốc gia như Mỹ, Anh, Bỉ, Phần Lan, Thụy Điển, New Zealand, Hà Lan, Venezuela, v.v. chỉ yêu cầu lưu trữ dữ liệu thuế, kế toán, tài chính, hoặc dữ liệu của các tổ chức đại chúng [21].

Ngoài lưu trữ dữ liệu nội địa, dự thảo còn bắt buộc các công ty phải mở văn phòng ở Việt Nam. Đây không phải là một yêu cầu quá đáng, nhưng câu hỏi mà chính phủ cần đặt ra là tại sao chúng ta phải ép bằng luật. Singapore đâu cần ép gì đâu, các công ty vẫn đua nhau mở trụ sở. Thậm chí nhiều công ty khởi nghiệp Việt Nam cũng đều đăng ký ở Singapore. Không chỉ Singapore, Thái Lan, Malaysia, Indonesia, Philippines và Myanmar đều có các công ty Internet lớn của thế giới đặt trụ sở. Rõ ràng mở văn phòng ở đâu là quyết định của doanh nghiệp, chính phủ không nên can thiệp mà chỉ có thể khuyến khích. Chính sách thuận lợi, không cản trở kinh doanh, luật pháp minh bạch, văn minh, không cần ra luật người ta cũng tự tìm đến.

Chính phủ nói rất nhiều về cách mạng công nghiệp 4.0. Các quan chức đã nhiều lần tuyên bố muốn biến Sài Gòn, Hòa Lạc hay Bình Dương thành Silicon Valley. Đây là một giấc mơ lớn, đáng trân trọng, muốn thực hiện trước nhất phải thu hút được đầu tư của các tập đoàn công nghệ hàng đầu thế giới, mà quan trọng nhất là Mỹ và Châu Âu. Nhưng chính sách và luật pháp của Việt Nam ra sao để rồi bây giờ chỉ yêu cầu mở văn phòng thôi, chứ chưa nói đầu tư hay chuyển giao công nghệ gì, mà người ta vẫn không muốn vào? Đây là một câu hỏi lớn, nhưng Luật An ninh mạng và dự thảo nghị định 03/10/2018 không phải là câu trả lời.


* Bài viết thể hiện thể hiện quan điểm và văn phong của tác giả, một chuyên gia về bảo mật thông tin đang làm việc tại Silicon Valley, Mỹ.
BBC sẽ đăng tiếp phần hai về những điều tác giả cho là nguy cơ về kinh tế và an ninh cho Việt Nam mà Luật An ninh mạng có thể đem lại.

 --------------------

 --------------------------


LIÊN QUAN

.
.
.
.
 .
.









No comments: