Vào đúng những ngày đầu tháng 11 này năm ngoái, Quốc
hội Trung Quốc thông qua Luật An ninh mạng, ấn định ngày nó bắt đầu có hiệu lực
là 1/6/2017.
Năm ngày sau khi đạo luật trên có hiệu lực, Bộ Công an
Việt Nam gửi tờ
trình lên Chính
phủ, chính thức đề xuất dự thảo Luật An ninh mạng của Việt Nam. Đây là kết quả
của một quá trình lập pháp kéo dài từ tháng 7/2016, khi Quốc hội đưa luật này
vào nghị trình của mình và Bộ Công an cũng thành lập Ban soạn thảo và Tổ Biên
tập dự án Luật An ninh mạng cuối tháng 3 năm nay.
Trải qua quá trình lấy ý kiến và bốn lần dự thảo, dự
luật này đang nằm trên bàn Quốc hội. Nó sẽ được Quốc hội thảo luận trong kỳ họp
cuối năm 2017 này và dự kiến sẽ thông qua trong kỳ họp tiếp theo vào giữa năm
tới.
Dự luật An ninh mạng của Việt Nam, không biết do vô
tình hay cố ý, giống Luật An ninh mạng của Trung Quốc một cách đáng kinh ngạc.
Trong tờ trình gửi Chính phủ, Bộ Công an cũng nói rõ
họ có tham khảo các đạo luật an ninh mạng của Trung Quốc, Nhật, Cộng hoà Séc,
Hàn Quốc, và Mỹ.
Cần phải làm rõ rằng tôi không có bằng chứng nào về
việc chính phủ Việt Nam sao chép luật của Trung Quốc. Tuy nhiên, việc hai quốc
gia có chế độ chính trị như nhau sử dụng những công cụ lập pháp giống nhau là
điều dễ hiểu, nhất là khi Bộ Công an đã thừa nhận họ có tham khảo luật Trung
Quốc như đã nói ở trên.
Bên cạnh đó, việc
sao chép, học hỏi kinh nghiệm lập pháp của nước ngoài không phải khi nào cũng
mang lại hệ quả xấu.
Ta hãy cùng so sánh dự
thảo lần thứ 4 của
Luật An ninh mạng đang được trình Quốc hội và bản dịch tiếng Anh của Luật
An ninh mạng Trung Quốc để
xem chúng giống nhau như thế nào và có thể mang lại hệ quả xấu hay không.
1. Hai văn bản, một thuật ngữ
Có một thuật ngữ mà chúng ta cần để ý trong dự luật của
Việt Nam, đó là “hệ thống thông tin quan trọng về an ninh quốc gia”, quy định
tại Điều 9.
Trong Luật An ninh mạng của Trung Quốc cũng có một
thuật ngữ tương tự: “cơ sở hạ tầng thông tin quan trọng” (critical information
infastructure), quy định tại Điều 31.
Đây là một trong những thuật ngữ trung tâm của hai
luật này, và định nghĩa của hai luật cũng rất giống nhau: chúng đều chỉ những
thông tin mà nếu bị xâm hại thì sẽ làm nguy hại đến an ninh quốc gia, trật tự
và an toàn xã hội.
Các thông tin đó trong cả hai luật đều bao gồm các
lĩnh vực: năng lượng, tài chính, giao thông, báo chí – xuất bản, và chính phủ
điện tử.
Dự luật của Việt Nam quy định thêm thông tin quốc
phòng – an ninh, bí mật nhà nước, ngân hàng, tài nguyên môi trường, hoá chất, y
tế, và các công trình an ninh quốc gia.
Dự luật không nói rõ phạm vi bao quát của khái niệm
“hệ thống thông tin quan trọng về an ninh quốc gia” có bao gồm các doanh nghiệp
tư nhân và doanh nghiệp nước ngoài hay không. Xét về câu chữ, những đối
tượng được nói đến ở đây hoàn toàn có thể bao gồm cả các cơ quan nhà nước và
doanh nghiệp. Chính phủ và những người thừa hành cũng hoàn toàn có thể giải
thích theo hướng mở rộng khái niệm hết mức có thể.
Hãng luật Baker & McKenzie, khi phân
tích Luật An ninh mạng của Trung Quốc,
cảnh báo rằng bất kỳ công ty nào có quan hệ với các chủ thể nêu trên đều có thể
nằm trong phạm vi điều chỉnh của luật.
Các cơ quan và doanh nghiệp nằm trong phạm vi điều
chỉnh này sẽ phải tuân thủ các tiêu chuẩn kỹ thuật do nhà nước ban hành, chịu
kiểm tra và giám sát của Bộ Công an, phải xin các giấy phép triển khai và vận
hành thiết bị, và phải hợp tác với chính quyền trong việc theo dõi thông tin người
dùng.
Các quy định này giữa Việt Nam và Trung Quốc giống
nhau như hai giọt nước.
2. Nhắm trực diện đến thông tin nguy hiểm cho chế độ
Không có gì đáng ngạc nhiên khi Việt Nam và Trung Quốc
cùng rất quan tâm đến vấn đề này.
Dự luật An ninh mạng của Việt Nam tập trung nhấn mạnh
việc “phòng ngừa, đấu tranh, làm thất bại hoạt động sử dụng không gian mạng xâm
phạm an ninh quốc gia, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, tuyên
truyền phá hoại tư tưởng, phá hoại nội bộ, phá hoại khối đại đoàn kết toàn dân
tộc, kích động biểu tình, phá rối an ninh trên không gian mạng của các thế lực
thù địch, phản động”, như tờ trình của Bộ Công an nêu rõ.
Điều 22 của dự luật nói rõ nhà nước sẽ áp dụng những
biện pháp kỹ thuật cần thiết để xử lý các thông tin này.
Điều 12 của luật Trung Quốc có một điều khoản tương
tự, khi cấm người dùng mạng “tham gia vào các hoạt động gây nguy hại đến an
ninh quốc gia, danh dự và lợi ích quốc gia, kích động lật đổ chủ quyền quốc
gia, lật đổ chế độ xã hội chủ nghĩa, kích động chủ nghĩa ly khai, phá hoại khối
đoàn kết quốc gia, cổ xuý cho chủ nghĩa khủng bố hoặc chủ nghĩa cực đoan, kích
động thù hằn sắc tộc và kỳ thị sắc tộc, lan truyền thông tin bạo lực, khiêu dâm
hoặc kích dục, tạo ra và lan truyền thông tin sai sự thật để làm gián đoạn trật
tự kinh tế hoặc xã hội, cũng như xâm phạm đến uy ín, quyền riêng tư, quyền sở
hữu trí tuệ và những quyền và lợi ích hợp pháp khác của người khác”.
3. Ép người dùng Internet cung cấp thông tin cá nhân
thực
Điều 47 của dự luật An ninh mạng của Việt Nam nói rõ
các doanh nghiệp cung cấp dịch vụ viễn thông, Internet phải “yêu cầu chủ thể sử
dụng cung cấp thông tin xác thực. Nếu chủ thể sử dụng không cung cấp thông tin
xác thực, doanh nghiệp cung cấp dịch vụ có trách nhiệm từ chối cung cấp các
dịch vụ liên quan cho chủ thể sử dụng đó”.
Đồng thời, doanh nghiệp cũng phải có cơ chế xác thực
các thông tin đăng ký của người dùng để đảm bảo tính trung thực của các thông
tin này, theo quy định tại Điều 33.
Điều 24 của Luật An ninh mạng Trung Quốc có nội dung
hoàn toàn trùng khớp với Điều 47 nêu trên.
Khi danh tính thực của người dùng lọt vào tay doanh
nghiệp và nhà nước, không có gì đảm bảo họ không sử dụng những thông tin này
vào những mục đích trái phép, thậm chí gây hại cho người dùng.
4. Đặt máy chủ trong nước và truyền dữ liệu ra nước
ngoài
Đây là điều đã gây xôn xao dư luận mấy ngày qua, khi
Điều 34 của dự luật Việt Nam yêu cầu “doanh nghiệp nước ngoài khi cung cấp dịch
vụ viễn thông, Internet tại Việt Nam phải (…) có giấy phép hoạt động, đặt
cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ
nước Cộng hòa xã hội chủ nghĩa Việt Nam”.
Điều 48 của dự luật cũng nói rõ các thông tin cá nhân
và dữ liệu quan trọng về an ninh quốc gia phải được lưu trữ trong phạm vi lãnh
thổ Việt Nam, nếu muốn chuyển dữ liệu này ra nước ngoài thì phải đánh giá mức
độ an ninh theo quy định của các cơ quan nhà nước có liên quan.
Đây là những quy định mà nhiều người lo ngại rằng sẽ
khiến Google, Facebook và các dịch vụ thư điện tử, mạng xã hội, dịch vụ lưu trữ
khác phải cuốn gói rời khỏi thị trường Việt Nam.
Thật đáng ngạc nhiên, Điều 37 của Luật An ninh mạng
Trung Quốc có cả hai nội dung tương tự như vậy.
Mới đây nhất, vào tháng 6 vừa rồi, gã khổng lồ công
nghệ Apple đã phải phối hợp với một công ty Trung Quốc để đầu tư mở
một trung tâm dữ liệu theo
quy định này. Microsoft, IBM và Amazon cũng đã phải làm điều tương tự.
5. Ép người dùng và doanh nghiệp thành chỉ điểm
Nếu bản dự luật An ninh mạng này được thông qua, người
dùng Internet và các doanh nghiệp cung cấp dịch vụ viễn thông, Internet sẽ phải
hợp tác với chính quyền một cách khá toàn diện.
Điều 45 bắt buộc người tham gia không gian mạng phải
làm theo hướng dẫn về an ninh mạng của chính quyền, cũng như tạo điều kiện cho
chính quyền tiến hành các biện pháp an ninh.
Không những thế, các nhà cung cấp dịch vụ mạng còn
phải làm việc với chính quyền để xác định danh tính người sử dụng Internet;
đồng thời tiến hành ngăn chặn các thông tin bất lợi cho chính quyền, theo Điều
46 và 47.
Ta có thể thấy những quy định tương tự tại Điều 28 của
Luật An ninh mạng Trung Quốc, khi yêu cầu các nhà khai thác mạng phải hỗ trợ kỹ
thuật và cung cấp thông tin cho các cơ quan an ninh trong việc bảo vệ an ninh
quốc gia và điều tra tội phạm.
6. Ép doanh nghiệp công nghệ tuân thủ các quy chuẩn kỹ
thuật do nhà nước ban hành
Các doanh nghiệp sản xuất, kinh doanh thiết bị số và
cung cấp dịch vụ mạng sẽ phải tuân thủ các “điều kiện đảm bảo chất lượng” trước
khi tung sản phẩm ra thị trường “theo quy định của pháp luật”, theo Điều 46.
Nhà nước cũng sẽ ban hành các tiêu chuẩn đối với các
thiết bị phần cứng và phần mềm này, buộc các chủ thể phải tuân theo.
Đây là cơ sở để chính phủ có thể ban hành các nghị
định, thông tư quy định chi tiết các tiêu chuẩn kỹ thuật và áp các tiêu chuẩn
này lên thị trường.
Kinh nghiệm ở Trung Quốc cho thấy, chính quyền đã yêu
cầu cài phần
mềm kiểm duyệt tự động Green Dam lên tất cả các máy tính mới và ép các doanh
nghiệp, kể cả Google, phải cài phần mềm này trên các máy tính của họ.
Việc nhà nước can thiệp vào các tiêu chuẩn kỹ thuật
trên thị trường công nghệ đương nhiên là mở toang một cánh cửa tham nhũng và
lạm quyền cho Bộ Công an, Bộ Quốc phòng, Bộ Khoa học và Công nghệ, và các cơ
quan nhà nước có liên quan.
7. Ép đơn vị liên quan đến “thông tin quan trọng” khi
mua phần cứng và phần mềm phải qua thẩm định của chính quyền
Điều 11, Điều 16, Điều 48 của dự luật An ninh mạng
trao quyền cho Bộ Công an, Bộ Quốc phòng và một số cơ quan nhà nước khác được
kiểm tra các thiết bị, ứng dụng mạng liên quan đến hệ thống thông tin quan
trọng quốc gia trước khi đưa vào vận hành hay nâng cấp.
Điều 35 của Luật An ninh mạng
Trung Quốc cũng có quy định tương tự.
Quy định này có nghĩa là các cơ
quan nhà nước, doanh nghiệp có hệ thống thông tin liên quan đến năng
lượng, tài chính quốc gia, ngân hàng, giao thông vận tải, hóa chất, y tế, tài
nguyên môi trường, phát thanh, truyền hình, báo chí và xuất bản sẽ phải qua cửa
Bộ Công an và/hoặc Bộ Quốc phòng khi mua các phần cứng, phần mềm, dịch vụ mạng
phục vụ công tác của mình.
Trong khi quy định này là dễ
hiểu với các cơ quan nhà nước, việc nó “bao sân” sang các lĩnh vực như ngân
hàng, y tế, báo chí, xuất bản lại đặt ra rất nhiều dấu hỏi về tham vọng kiểm
soát thông tin của họ.
Các quy định này sẽ trao chìa
khoá tiếp cận các hệ thống phần cứng và phần mềm cho công an và quân đội, là cơ
hội để họ gây sức ép lên các cơ quan, doanh nghiệp, và cũng là nguy cơ dẫn đến
tham nhũng và lạm quyền.
—
Trên đây chỉ là bảy điểm giống nhau nổi bật của hai văn bản về
an ninh mạng của Việt Nam và Trung Quốc. Nếu mổ xẻ hai văn bản này, bạn đọc có
thể tìm thấy nhiều quy định nhỏ hơn cũng rất giống nhau.