06 novembre 2017

Dự luật An ninh mạng: Hàng Việt Nam ‘Made in China’ như KhaiSilk?


KhaiSilk: mác Việt Nam hàng Trung Quốc!
Luật An ninh mạng: hàng Trung Quốc mác Việt Nam

Vào đúng những ngày đầu tháng 11 này năm ngoái, Quốc hội Trung Quốc thông qua Luật An ninh mạng, ấn định ngày nó bắt đầu có hiệu lực là 1/6/2017.

Năm ngày sau khi đạo luật trên có hiệu lực, Bộ Công an Việt Nam gửi tờ trình lên Chính phủ, chính thức đề xuất dự thảo Luật An ninh mạng của Việt Nam. Đây là kết quả của một quá trình lập pháp kéo dài từ tháng 7/2016, khi Quốc hội đưa luật này vào nghị trình của mình và Bộ Công an cũng thành lập Ban soạn thảo và Tổ Biên tập dự án Luật An ninh mạng cuối tháng 3 năm nay.



Trải qua quá trình lấy ý kiến và bốn lần dự thảo, dự luật này đang nằm trên bàn Quốc hội. Nó sẽ được Quốc hội thảo luận trong kỳ họp cuối năm 2017 này và dự kiến sẽ thông qua trong kỳ họp tiếp theo vào giữa năm tới.

Dự luật An ninh mạng của Việt Nam, không biết do vô tình hay cố ý, giống Luật An ninh mạng của Trung Quốc một cách đáng kinh ngạc.

Trong tờ trình gửi Chính phủ, Bộ Công an cũng nói rõ họ có tham khảo các đạo luật an ninh mạng của Trung Quốc, Nhật, Cộng hoà Séc, Hàn Quốc, và Mỹ.

Cần phải làm rõ rằng tôi không có bằng chứng nào về việc chính phủ Việt Nam sao chép luật của Trung Quốc. Tuy nhiên, việc hai quốc gia có chế độ chính trị như nhau sử dụng những công cụ lập pháp giống nhau là điều dễ hiểu, nhất là khi Bộ Công an đã thừa nhận họ có tham khảo luật Trung Quốc như đã nói ở trên.

Bên cạnh đó, việc sao chép, học hỏi kinh nghiệm lập pháp của nước ngoài không phải khi nào cũng mang lại hệ quả xấu.

Ta hãy cùng so sánh dự thảo lần thứ 4 của Luật An ninh mạng đang được trình Quốc hội và bản dịch tiếng Anh của Luật An ninh mạng Trung Quốc để xem chúng giống nhau như thế nào và có thể mang lại hệ quả xấu hay không.

1. Hai văn bản, một thuật ngữ

Có một thuật ngữ mà chúng ta cần để ý trong dự luật của Việt Nam, đó là “hệ thống thông tin quan trọng về an ninh quốc gia”, quy định tại Điều 9.

Trong Luật An ninh mạng của Trung Quốc cũng có một thuật ngữ tương tự: “cơ sở hạ tầng thông tin quan trọng” (critical information infastructure), quy định tại Điều 31.

Đây là một trong những thuật ngữ trung tâm của hai luật này, và định nghĩa của hai luật cũng rất giống nhau: chúng đều chỉ những thông tin mà nếu bị xâm hại thì sẽ làm nguy hại đến an ninh quốc gia, trật tự và an toàn xã hội.

Các thông tin đó trong cả hai luật đều bao gồm các lĩnh vực: năng lượng, tài chính, giao thông, báo chí – xuất bản, và chính phủ điện tử.

Dự luật của Việt Nam quy định thêm thông tin quốc phòng – an ninh, bí mật nhà nước, ngân hàng, tài nguyên môi trường, hoá chất, y tế, và các công trình an ninh quốc gia.

Dự luật không nói rõ phạm vi bao quát của khái niệm “hệ thống thông tin quan trọng về an ninh quốc gia” có bao gồm các doanh nghiệp tư nhân và doanh nghiệp nước ngoài hay không. Xét về câu chữ, những đối tượng được nói đến ở đây hoàn toàn có thể bao gồm cả các cơ quan nhà nước và doanh nghiệp. Chính phủ và những người thừa hành cũng hoàn toàn có thể giải thích theo hướng mở rộng khái niệm hết mức có thể.

Hãng luật Baker & McKenzie, khi phân tích Luật An ninh mạng của Trung Quốc, cảnh báo rằng bất kỳ công ty nào có quan hệ với các chủ thể nêu trên đều có thể nằm trong phạm vi điều chỉnh của luật.

Các cơ quan và doanh nghiệp nằm trong phạm vi điều chỉnh này sẽ phải tuân thủ các tiêu chuẩn kỹ thuật do nhà nước ban hành, chịu kiểm tra và giám sát của Bộ Công an, phải xin các giấy phép triển khai và vận hành thiết bị, và phải hợp tác với chính quyền trong việc theo dõi thông tin người dùng.

Các quy định này giữa Việt Nam và Trung Quốc giống nhau như hai giọt nước.

2. Nhắm trực diện đến thông tin nguy hiểm cho chế độ

Không có gì đáng ngạc nhiên khi Việt Nam và Trung Quốc cùng rất quan tâm đến vấn đề này.

Dự luật An ninh mạng của Việt Nam tập trung nhấn mạnh việc “phòng ngừa, đấu tranh, làm thất bại hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, tuyên truyền phá hoại tư tưởng, phá hoại nội bộ, phá hoại khối đại đoàn kết toàn dân tộc, kích động biểu tình, phá rối an ninh trên không gian mạng của các thế lực thù địch, phản động”, như tờ trình của Bộ Công an nêu rõ.

Điều 22 của dự luật nói rõ nhà nước sẽ áp dụng những biện pháp kỹ thuật cần thiết để xử lý các thông tin này.

Điều 12 của luật Trung Quốc có một điều khoản tương tự, khi cấm người dùng mạng “tham gia vào các hoạt động gây nguy hại đến an ninh quốc gia, danh dự và lợi ích quốc gia, kích động lật đổ chủ quyền quốc gia, lật đổ chế độ xã hội chủ nghĩa, kích động chủ nghĩa ly khai, phá hoại khối đoàn kết quốc gia, cổ xuý cho chủ nghĩa khủng bố hoặc chủ nghĩa cực đoan, kích động thù hằn sắc tộc và kỳ thị sắc tộc, lan truyền thông tin bạo lực, khiêu dâm hoặc kích dục, tạo ra và lan truyền thông tin sai sự thật để làm gián đoạn trật tự kinh tế hoặc xã hội, cũng như xâm phạm đến uy ín, quyền riêng tư, quyền sở hữu trí tuệ và những quyền và lợi ích hợp pháp khác của người khác”.

3. Ép người dùng Internet cung cấp thông tin cá nhân thực

Điều 47 của dự luật An ninh mạng của Việt Nam nói rõ các doanh nghiệp cung cấp dịch vụ viễn thông, Internet phải “yêu cầu chủ thể sử dụng cung cấp thông tin xác thực. Nếu chủ thể sử dụng không cung cấp thông tin xác thực, doanh nghiệp cung cấp dịch vụ có trách nhiệm từ chối cung cấp các dịch vụ liên quan cho chủ thể sử dụng đó”.

Đồng thời, doanh nghiệp cũng phải có cơ chế xác thực các thông tin đăng ký của người dùng để đảm bảo tính trung thực của các thông tin này, theo quy định tại Điều 33.

Điều 24 của Luật An ninh mạng Trung Quốc có nội dung hoàn toàn trùng khớp với Điều 47 nêu trên.

Khi danh tính thực của người dùng lọt vào tay doanh nghiệp và nhà nước, không có gì đảm bảo họ không sử dụng những thông tin này vào những mục đích trái phép, thậm chí gây hại cho người dùng.

4. Đặt máy chủ trong nước và truyền dữ liệu ra nước ngoài

Đây là điều đã gây xôn xao dư luận mấy ngày qua, khi Điều 34 của dự luật Việt Nam yêu cầu “doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, Internet tại Việt Nam phải (…) có giấy phép hoạt động, đặt cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam”.

Điều 48 của dự luật cũng nói rõ các thông tin cá nhân và dữ liệu quan trọng về an ninh quốc gia phải được lưu trữ trong phạm vi lãnh thổ Việt Nam, nếu muốn chuyển dữ liệu này ra nước ngoài thì phải đánh giá mức độ an ninh theo quy định của các cơ quan nhà nước có liên quan.

Đây là những quy định mà nhiều người lo ngại rằng sẽ khiến Google, Facebook và các dịch vụ thư điện tử, mạng xã hội, dịch vụ lưu trữ khác phải cuốn gói rời khỏi thị trường Việt Nam.

Thật đáng ngạc nhiên, Điều 37 của Luật An ninh mạng Trung Quốc có cả hai nội dung tương tự như vậy.

Mới đây nhất, vào tháng 6 vừa rồi, gã khổng lồ công nghệ Apple đã phải phối hợp với một công ty Trung Quốc để đầu tư mở một trung tâm dữ liệu theo quy định này. Microsoft, IBM và Amazon cũng đã phải làm điều tương tự.

5. Ép người dùng và doanh nghiệp thành chỉ điểm

Nếu bản dự luật An ninh mạng này được thông qua, người dùng Internet và các doanh nghiệp cung cấp dịch vụ viễn thông, Internet sẽ phải hợp tác với chính quyền một cách khá toàn diện.

Điều 45 bắt buộc người tham gia không gian mạng phải làm theo hướng dẫn về an ninh mạng của chính quyền, cũng như tạo điều kiện cho chính quyền tiến hành các biện pháp an ninh.

Không những thế, các nhà cung cấp dịch vụ mạng còn phải làm việc với chính quyền để xác định danh tính người sử dụng Internet; đồng thời tiến hành ngăn chặn các thông tin bất lợi cho chính quyền, theo Điều 46 và 47.

Ta có thể thấy những quy định tương tự tại Điều 28 của Luật An ninh mạng Trung Quốc, khi yêu cầu các nhà khai thác mạng phải hỗ trợ kỹ thuật và cung cấp thông tin cho các cơ quan an ninh trong việc bảo vệ an ninh quốc gia và điều tra tội phạm.

6. Ép doanh nghiệp công nghệ tuân thủ các quy chuẩn kỹ thuật do nhà nước ban hành

Các doanh nghiệp sản xuất, kinh doanh thiết bị số và cung cấp dịch vụ mạng sẽ phải tuân thủ các “điều kiện đảm bảo chất lượng” trước khi tung sản phẩm ra thị trường “theo quy định của pháp luật”, theo Điều 46.

Nhà nước cũng sẽ ban hành các tiêu chuẩn đối với các thiết bị phần cứng và phần mềm này, buộc các chủ thể phải tuân theo.

Đây là cơ sở để chính phủ có thể ban hành các nghị định, thông tư quy định chi tiết các tiêu chuẩn kỹ thuật và áp các tiêu chuẩn này lên thị trường.

Kinh nghiệm ở Trung Quốc cho thấy, chính quyền đã yêu cầu cài phần mềm kiểm duyệt tự động Green Dam lên tất cả các máy tính mới và ép các doanh nghiệp, kể cả Google, phải cài phần mềm này trên các máy tính của họ.

Việc nhà nước can thiệp vào các tiêu chuẩn kỹ thuật trên thị trường công nghệ đương nhiên là mở toang một cánh cửa tham nhũng và lạm quyền cho Bộ Công an, Bộ Quốc phòng, Bộ Khoa học và Công nghệ, và các cơ quan nhà nước có liên quan.

7. Ép đơn vị liên quan đến “thông tin quan trọng” khi mua phần cứng và phần mềm phải qua thẩm định của chính quyền

Điều 11, Điều 16, Điều 48 của dự luật An ninh mạng trao quyền cho Bộ Công an, Bộ Quốc phòng và một số cơ quan nhà nước khác được kiểm tra các thiết bị, ứng dụng mạng liên quan đến hệ thống thông tin quan trọng quốc gia trước khi đưa vào vận hành hay nâng cấp.

Điều 35 của Luật An ninh mạng Trung Quốc cũng có quy định tương tự.

Quy định này có nghĩa là các cơ quan nhà nước, doanh nghiệp có hệ thống thông tin liên quan đến năng lượng, tài chính quốc gia, ngân hàng, giao thông vận tải, hóa chất, y tế, tài nguyên môi trường, phát thanh, truyền hình, báo chí và xuất bản sẽ phải qua cửa Bộ Công an và/hoặc Bộ Quốc phòng khi mua các phần cứng, phần mềm, dịch vụ mạng phục vụ công tác của mình.

Trong khi quy định này là dễ hiểu với các cơ quan nhà nước, việc nó “bao sân” sang các lĩnh vực như ngân hàng, y tế, báo chí, xuất bản lại đặt ra rất nhiều dấu hỏi về tham vọng kiểm soát thông tin của họ.

Các quy định này sẽ trao chìa khoá tiếp cận các hệ thống phần cứng và phần mềm cho công an và quân đội, là cơ hội để họ gây sức ép lên các cơ quan, doanh nghiệp, và cũng là nguy cơ dẫn đến tham nhũng và lạm quyền.


Trên đây chỉ là bảy điểm giống nhau nổi bật của hai văn bản về an ninh mạng của Việt Nam và Trung Quốc. Nếu mổ xẻ hai văn bản này, bạn đọc có thể tìm thấy nhiều quy định nhỏ hơn cũng rất giống nhau.