Phan Dương Hiệu
04/01/2019
Nhân dịp Bộ Công an lấy ý kiến cho Dự thảo Nghị định
quy định một số điều chi tiết của Luật An ninh mạng, Giáo sư ngành mật mã học,
Đại học Limoges, Pháp, Phan Dương Hiệu đã có cuộc trao đổi với Tia Sáng về việc
cân bằng giữa an ninh quốc gia và quyền riêng tư.
Việc theo dõi hay truy cập dữ liệu của bất kì cá
nhân nào, kể cả của đối tượng nghi phạm nguy hiểm nhất định phải được
thông qua một quá trình tường minh, chặt chẽ ở mức rất cao. Nguồn: Reflex.cz
Trong một thế giới nhiều biến động, thì “lòng tin”
là một yếu tố vô cùng quan trọng, là cơ sở thiết yếu cho sự phát triển. Việc trợ
giúp bảo vệ thông tin cá nhân, yêu cầu các nhà cung cấp dịch vụ phải đạt chuẩn
bảo mật cao, cho phép người dùng được quyền quyết định xử lý dữ liệu liên quan
đến cá nhân (như truy vết những nơi lưu trữ, hay yêu cầu xóa vĩnh viễn dữ liệu
cá nhân) là những biện pháp Chính phủ có thể làm để gây lòng tin cho người
dân, cho doanh nghiệp, cho các đối tác nước ngoài để tạo một môi trường phát
triển lành mạnh.
An
ninh quốc gia (public safety) và quyền riêng tư (privacy)
Việc đảm bảo đồng thời an ninh quốc gia và quyền
riêng tư cho công dân và cho các tổ chức, doanh nghiệp luôn là một thách thức
không nhỏ đối với các chính phủ.
Trong những hoàn cảnh đặc biệt nguy cấp, như sau một
cuộc khủng bố, các chính phủ thường có xu hướng đưa ra các biện pháp nhằm bảo đảm
an ninh (public safety) bằng cách cho phép can thiệp phần nào quyền riêng tư
(privacy) của công dân. Đó là khi dân chúng đang hoang mang nên một bộ phận
không nhỏ có thể có xu hướng nhượng bộ giảm quyền riêng tư để đổi lấy sự an
toàn. Tuy nhiên, ngay cả trong những tình huống đặc biệt nguy cấp như vậy, sự đối
thoại vẫn rất cần thiết để có những dự luật hợp lý, mức độ can thiệp quyền
riêng tư ở mức tối thiểu, chấp nhận được và với một quy trình tường minh, chặt
chẽ.
Tại Mỹ, nơi nguy cơ khủng bố rình rập, điều này cũng
được thực hiện một cách có quy trình nghiêm ngặt. Sau vụ khủng bố năm 2001, cơ
quan an ninh quốc gia Mỹ (NSA) đã có quyền thu thập dữ liệu các cuộc điện đàm.
Tuy nhiên, đến năm 2015, luật này đã bị bãi bỏ nhằm trả lại quyền riêng tư cho
người dân, và mọi sự theo dõi cần được thực hiện dựa trên quyết định của toà án1.
Thực tế, NSA và các cơ quan phản gián của Mỹ cũng chẳng
xa lạ gì với việc truy cập, theo dõi thông tin cá nhân với lý do nhằm bảo đảm
an toàn an ninh quốc gia. Nếu không có sự giám sát của các chuyên gia và phản
biện của công dân thì sự theo dõi này rất dễ bị lạm dụng. Những phát giác
về sự lạm dụng theo dõi diện rộng và cài những backdoor để phá các chuẩn bảo mật2 đã
có tác dụng hạn chế đáng kể sự tuỳ tiện đó. Sự phản đối cũng đến từ các nhà
chuyên môn khi các nhà khoa học về mật mã và an toàn thông tin ở Mỹ đã có thư
ngỏ lên án những sự theo dõi diện rộng3. Tháng 3 năm nay, đạo luật
Cloud Act (clarifying lawful overseas use of data act) của Mỹ cho phép chính phủ
nước này tiếp cận dữ liệu lưu trữ cả trong và ngoài nước, đồng thời, các công
ty từ những quốc gia đồng minh cũng được tiếp cận dữ liệu của các công ty Mỹ.
Đạo luật này ngay lập tức gây ra rất nhiều tranh cãi và phản đối ở Mỹ,
cho rằng nó vi phạm tu chính án thứ Tư của Hiến Pháp Hoa Kỳ và bị phê phán ở
nhiều quốc gia khác, đặc biệt là các nước châu Âu. Sự lạm dụng theo dõi cần bị
lên án và từ đó trả lại quyền riêng tư cho người dân. Tháng 6 năm nay, bang
California, nơi tập trung trụ sở của hầu hết các công ty công nghệ lớn nhất thế
giới, đã có một bước đi tiến bộ đáng kể trong việc bảo vệ quyền
riêng tư cho người dân khi thông qua một luật cho phép người dùng được truy xuất
dấu vết dữ liệu của họ4. Theo đó người dùng có quyền được biết
những công ty nào thu thập thông tin về họ, lý do tại sao và những thông tin đó
được chia sẻ với ai. Họ cũng có quyền yêu cầu xóa thông tin cá nhân.
Ở Châu Âu, chúng ta hãy xem xét trường hợp nước
Pháp, nơi cũng thường xuyên bị đe doạ bởi nguy cơ khủng bố. Sau vụ khủng bố
tháng 1/2015, một dự luật cho phép an ninh tình báo can thiệp dữ liệu cá nhân
đã được đề nghị. Nhưng sự can thiệp phải qua những thủ tục chính như sau:
i) Khi có tình huống nghi ngờ xảy ra, an ninh tình
báo cần gửi cho Thủ tướng. Thủ tướng sau đó bắt buộc cần lấy ý kiến đồng ý của
một Hội đồng quốc gia (Commission nationale de contrôle des techniques de
renseignement - CNCTR) - gồm 13 thành viên: ba nghị sỹ hạ viện, ba nghị sỹ thượng
viện, ba thành viên của hội đồng nhà nước (Conseil d’Etat), ba thành viên tư
pháp và một chuyên gia về thông tin. Chỉ sau khi Hội đồng đồng ý thì Thủ tướng
mới có thể quyết định cho phép dùng các biện pháp để theo dõi mạng với đối tượng
nghi ngờ. Trong trường hợp tối khẩn (urgence absolue) thì Thủ tướng có thể quyết
định trước khi trình bày cho Hội đồng.
ii) Trường hợp thực thi khẩn cấp: Trong trường hợp
có đe doạ an ninh khẩn cấp (urgence opérationelle), Chính phủ đề nghị trong dự
luật là an ninh có thể “tiền trảm hậu tấu” bằng cách can thiệp theo dõi gấp, vì
nếu trì hoãn thì cơ hội sẽ qua đi, rồi sau đó trong 24h sẽ giải trình cho Thủ
tướng và Hội đồng. Đây là trường hợp gây tranh cãi nhiều, vì quy trình không tường
minh.
Sự can thiệp với quy trình như trên bị các hội đoàn,
và dân phản đối, ngay trong hoàn cảnh bị khủng bố đe doạ. Nhiều ý kiến chuyên
gia, ý kiến các hội đoàn đã được đưa ra, cùng các cuộc biểu tình phản đối đã diễn
ra để bảo vệ quyền riêng tư.
Kết cục cuối cùng là Hội đồng Bảo Hiến đã bác bỏ việc
thực hiện mục ii) “trường hợp thực thi khẩn cấp” vì cho rằng nó vi hiến, trái với
luật về quyền riêng tư cá nhân. Như vậy, sẽ không có thể có bất cứ trường hợp
nào, dù trong bất cứ hoàn cảnh nguy cấp nào, mà sự theo dõi lại không cần thông
qua sự phê chuẩn của Thủ tướng.
Tóm lại, trong một số trường hợp tối cần thiết, việc
theo dõi hay truy cập dữ liệu của bất kì cá nhân nào, kể cả của đối tượng nghi
phạm nguy hiểm nhất định phải được thông qua một quá trình tường minh, chặt chẽ
ở mức rất cao như phải có quyết định của toà án hoặc có sự phê chuẩn của thủ tướng.
Các
chuẩn bảo mật giúp bảo vệ quyền riêng tư
Tại châu Âu, đã có những chuẩn bảo mật mới được ban
hành để đảm bảo tốt hơn quyền riêng tư của dân, thậm chí các công ty còn phải
cam kết xoá bỏ mọi thông tin về người dùng nếu người dùng yêu cầu. Những quy định
này nghiêm ngặt hơn Mỹ. Trong quan hệ xuyên lục địa Âu – Mỹ, uỷ ban Châu Âu từng
đánh giá là “US Privacy Act” của Mỹ không đủ điều kiện để bảo vệ dữ liệu riêng
của công dân châu Âu. Do đó, châu Âu và Mỹ đã thống nhất đưa ra “Privacy
Shield”5 yêu cầu tất cả các doanh nghiệp cần tuân thủ các yêu cầu
bảo mật ở mức độ rất cao để bảo vệ dữ liệu riêng tư của người dùng. Mới đây
châu Âu cũng đưa ra các quy định bảo mật dữ liệu (GDPR)6 nhằm bảo
vệ dữ liệu cho công dân. Quy định này thực sự nhằm hướng đến bảo vệ dữ liệu
công dân, không yêu cầu dữ liệu phải đặt trên đất châu Âu mà có thể đặt tại bất
kỳ quốc gia nào đạt chuẩn đảm bảo an toàn dữ liệu của họ. Đó là những bước đi
mà các chính phủ châu Âu làm để bảo vệ dữ liệu riêng tư cho công dân, và từ đó
tạo lòng tin cho dân.
Như vậy xu hướng của thế giới là cố gắng phát triển
các biện pháp kỹ thuật, các chuẩn bảo mật để đảm bảo quyền riêng tư cá nhân cho
công dân mình.
Các
biện pháp đưa ra cần đồng bộ và phù hợp với chuẩn quốc tế
Điều cần chú trọng là các biện pháp chúng ta đưa ra
cần phải đồng bộ, phù hợp với các quy chuẩn thế giới mà chúng ta đã cam kết,
tránh việc làm doanh nghiệp trong nước và quốc tế gặp khó khăn và mâu thuẫn
trong việc tuân thủ đồng thời các thủ tục trong nước và cam kết quốc tế.
Về mặt kỹ thuật, việc yêu cầu dữ liệu do người sử dụng
dịch vụ tại Việt Nam tạo ra phải được lưu trữ tại Việt Nam không có tính khả
thi cao và cũng không có hiệu quả thật sự. Thường các công ty quốc tế lưu trữ
nhiều bản sao dữ liệu tại nhiều địa điểm khác nhau nhằm đảm bảo an toàn. Để
tránh bị mất dữ liệu khi một địa điểm bị tấn công thì dữ liệu có thể được lưu một
cách phân tán sao cho chỉ khi tất cả các địa điểm bị tấn công thì dữ liệu mới bị
mất. Việc yêu cầu tập trung dữ liệu về mặt kỹ thuật là đi ngược lại với việc đảm
bảo an toàn dữ liệu. Ngoài ra, các công ty đạt chuẩn bảo mật đều chỉ lưu dữ liệu
dạng mã hoá. Do vậy ngay cả khi chúng ta có dữ liệu thì cũng chỉ có dữ liệu dạng
mã hoá, muốn giải mã cần phải có chìa khoá giải mã. Mật mã phân tán đang được
áp dụng rộng rãi cho phép khoá giải mã được phân tán làm nhiều phần và có thể
lưu tại nhiều địa điểm, chỉ khi tập hợp đủ các phần này thì mỡi giải mã được. Nếu
tại các nước lưu các phần khoá mà luật không cho phép công ty làm lộ thông tin
(khi không có yêu cầu của toà án) thì dù có ép dữ liệu lưu trữ tại Việt Nam
cũng không giải mã được.
Về mặt thực tế vận hành các hệ thống, nhân bài viết
này, tôi đã hỏi ý kiến và được anh Nguyễn Quốc Khánh đồng ý góp ý kiến. Anh
hoàn thành tiến sỹ mật mã ở Úc, đã có kinh nghiệm làm bảo mật trong các tập
đoàn lớn của thế giới như Gemalto, và nay về công tác trong nước tại trung tâm
công nghệ thông tin của ngân hàng Vietcombank. Với những kinh nghiệm thực tế,
anh chia sẻ : “Luật An ninh mạng quy định không gian mạng là mạng lưới kết nối
con người sử dụng CNTT mọi lúc mọi nơi. Phạm vi điều chỉnh của luật như vậy là
rất rộng. Đối với dịch vụ liên quan tới ngành ngân hàng, có 2 lĩnh vực luật sẽ ảnh
hưởng trực tiếp là dịch vụ thanh toán và thương mại điện tử. Với dịch vụ thanh
toán, các tổ chức tín dụng tại Việt Nam và trên thế giới đều sử dụng SWIFT,
VISA và Mastercard là trung gian thanh toán cho các giao dịch quốc tế và thẻ quốc
tế. Các trung gian thanh toán này hoạt động rất tập trung. Swift chỉ có 3 trung
tâm dữ liệu trên thế giới (tại Mỹ, Thuỵ Sỹ và tại 1 địa điểm bí mật). Trường hợp
các tổ chức trung gian thanh toán này không thể đáp ứng yêu cầu tại Điều 24
(lưu trữ dữ liệu tại Việt Nam) của dự thảo nghị định có thể ảnh hưởng tới khả
năng cung cấp dịch vụ thanh toán quốc tế của các tổ chức tín dụng tại Việt Nam.
Đối với thương mại điện tử, hiện tại rất nhiều đơn vị trên thế giới cung cấp
các dịch vụ trực tuyến trong nhiều lĩnh vực (giáo dục, y tế, sức khoẻ , khoa học,
công nghệ, bán lẻ… ) trên không gian mạng. Rất nhiều các đơn vị sẽ không thể đặt
văn phòng tại Việt Nam (do quy mô kinh doanh và các lý do khác), trường hợp áp
dụng Luật với các đơn vị này sẽ ảnh hưởng to lớn tới khả năng tiếp cận các dịch
vụ này với người sử dụng tại Việt Nam.”
Xử
lý khối lượng dữ liệu lớn nhưng không truy xuất đến thông tin cá nhân
Chúng ta biết rằng, sự phát triển của điện toán đám
mây cho phép việc các phương pháp học máy, trí tuệ nhân tạo được áp dụng rộng
rãi nhằm đưa đến nhiều ứng dụng tiện lợi cho người dùng. Tuy nhiên, việc
thực hiện phương pháp này hiện nay đang nằm trong tay của những nhà cung cấp dịch
vụ điện toán đám mây lớn và sở hữu chủ yếu dữ liệu của chúng ta, và họ hoàn
toàn có thể khai thác dữ liệu riêng của ta hoặc làm lộ nó dù là theo cách bị động
hay chủ động. Trong bài phát biểu mới tại hội nghị CRYPTO 2018 vừa qua, Shafi
Goldwasser - người đoạt giải Turing (được coi như giải Nobel của Tin học) và
hai giải Godel (giải thưởng cho bài báo xuất sắc nhất trong lĩnh vực lý thuyết
khoa học máy tính) - cho rằng: “thách thức lớn nhất tiếp theo của mật mã là đảm
bảo tính bảo mật thông tin trong việc thực hiện các phương pháp học máy”. Nhiệm
vụ của mật mã trong tương lai là làm sao vẫn sử dụng công nghệ điện toán đám
mây nhưng vẫn đảm bảo được dữ liệu, mà không phụ thuộc vào đạo đức của những
nhà cung cấp dịch vụ. Rất nhiều nghiên cứu nằm trong hướng đi này, và một trong
các nghiên cứu mà tác giả tham gia, trong một dự án của châu Âu, là nhằm đảm bảo
quyền bảo mật dữ liệu riêng trong những ứng dụng liên kết giữa nhiều người mà
không cần đặt sự tin tưởng vào bất cứ nhà cung cấp trung gian nào sao cho ngay
cả khi nhà cung cấp bị lộ dữ liệu thì người dùng vẫn có thể đảm bảo thông tin
riêng7. Đảm bảo an toàn dữ liệu ngay cả khi các nhà cung cấp dịch vụ
bị tấn công hay tự ý lộ thông tin là yêu cầu tương lai của bảo mật.
Lời
kết
Trong thời đại kỹ thuật số với dữ liệu cá nhân được
lưu trữ và khai thác khắp nơi, chúng ta cần tập trung nghiên cứu các biện pháp
kỹ thuật và các chuẩn bảo mật phù hợp với các chuẩn quốc tế nhằm bảo vệ dữ liệu
cho người dân.
Quyền riêng
tư là một trong các quyền con người cơ bản và ta cần nhất thiết bảo vệ nó. Trong thời đại kỹ thuật số với dữ liệu cá nhân được lưu trữ và khai thác
khắp nơi, chúng ta cần tập trung nghiên cứu các biện pháp kỹ thuật và các chuẩn
bảo mật phù hợp với các chuẩn quốc tế nhằm bảo vệ dữ liệu cho người dân. Trong
những trường hợp đặc biệt nghiêm trọng, các cơ quan điều tra có thể được truy
xuất dữ liệu cá nhân của nghi phạm, nhưng rất cần tránh sự lạm dụng và sự truy
xuất đó cần phải được phê chuẩn bởi toà án hoặc bởi Thủ tướng theo một quy
trình chặt chẽ, minh bạch.
Tuyên bố sau đây tại cuộc họp Eurocrypt 2014 ở
Copenhagen (Đan Mạch) được toàn thể các thành viên của IACR (International
Asscociation for Cryptologic Research - Hiệp hội nghiên cứu mật mã quốc tế) ủng
hộ8:
“Các thành viên của IACR phản đối việc theo dõi
trên bình diện rộng và các quyết định làm suy yếu các giải pháp, tiêu chuẩn mật
mã. Việc theo dõi người dân trên diện rộng đe dọa dân chủ và nhân phẩm con người.
Chúng tôi kêu gọi đẩy mạnh nghiên cứu và triển khai các kỹ thuật hiệu quả để bảo
vệ quyền riêng tư cá nhân trước những hành động thái quá của các chính phủ và
doanh nghiệp.”
Việt Nam đã hội nhập cùng thế giới và tổ chức rất
thành công hội nghị mật mã lớn nhất tại châu Á của IACR (Asiacrypt 2016),
chúng ta cần tiếp tục đi theo các xu hướng phát triển tiến bộ của thế giới.
P.
D. H.
--------------------
Nguồn
dẫn:
Nguồn
: Tia sáng, 04/12/2018
No comments:
Post a Comment