Tóm tắt ý chính: Luật được xây dựng không dựa trên nguyên tắc rõ ràng.
Luật An Ninh Mạng đã được Quốc Hội Việt Nam chính thức thông qua với hơn 80% số phiếu bầu. Thiết nghĩ, với tư cách là người làm về an toàn thông tin, an ninh mạng; chúng tôi nên đóng góp ý kiến của mình về luật này. Sự lên tiếng này có lẽ đã quá muộn, tuy nhiên chúng tôi vẫn mong nó được lắng nghe và thấu hiểu của quý vị dân biểu.
Thứ nhất, về phần nguyên tắc để xây dựng luật này — Điều 4 — quá tập trung vào các yếu tố phụ trợ như “tuân thủ hiến pháp, pháp luật”, “đặt dưới sự lãnh đạo của Đảng Cộng Sản”, “đảm bảo an ninh quốc gia”… Do vậy, tựu chung, luật không tập trung vào các yếu tố liên quan trực tiếp đến an ninh mạng, các yếu tố nòng cốt mang tính kĩ thuật, mà chủ yếu tập trung vào vấn đề bảo toàn an ninh quốc gia trên không gian mạng.
Thứ nhì, các hành vi bị nghiêm cấm quá tập trung vào các vấn đề như thông tin tuyên truyền chống nhà nước, các thông tin vu khống… Thiết nghĩ, các vấn đề này nếu có, thì đã được quy định rõ ở các luật về bảo vệ nhà nước, trong các bộ luật dân sự, hình sự… Mạng ở đây chỉ là phương tiện, nếu có thì cứ chiếu theo luật liên quan mà thi hành, không nhất thiết phải ra luật với mỗi loại phương tiện. Tuy nhiên về phương diện quản lý nhà nước, thông tin phản biện từ người dân là cần thiết, nếu áp dụng các điều khoản cấm đoán này, sẽ không còn ai dám phản biện hoặc đưa ra ý kiến về các vấn đề bất cập với nhà nước cả.
3. Sản xuất, đưa vào sử dụng công cụ, phương tiện, phần mềm hoặc có hành vi cản trở, gây rối loạn hoạt động của mạng máy tính, mạng viễn thông; phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử; xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác.
— Khoản 3, điều 8
Điều này trái với thực tế hiện đang có ở khắp mọi nơi trên thế giới. Không nên cho rằng hành vi viết các hướng dẫn, công cụ, mã độc là hành vi vi phạm pháp luật. Các công cụ bảo mật, exploit, shellcode, PoC, tài liệu hacking, … phục vụ cho việc nghiên cứu đều có thể có khả năng gây hại, như điều khoản này mô tả.
Thứ ba, đến điều 26, bảo đảm an ninh thông tin trên không gian mạng, đây là điều nếu được áp dụng rốt ráo ngoài thực tế, sẽ ảnh hưởng rất lớn đến người dùng, công ty cung cấp dịch vụ internet cho người dùng Việt.
1. Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này và các thông tin khác có nội dung xâm phạm an ninh quốc gia.
Trước tiên, phải đảm bảo an ninh quốc gia, an ninh nhà nước bằng các biện pháp đã nêu ở trên. Hay nói cách khác, mạng, sẽ như sách, báo chí, truyền hình hiện tại, chỉ những thông tin được nhà nước cho phép mới được đăng lên, và nếu trong khả năng kĩ thuật có thể, không nghi ngờ gì về việc nhà nước sẽ áp dụng một chính sách kiểm duyệt mạnh mẽ như chính quyền Trung quốc đã và đang áp dụng. (Xin lưu ý trong vài năm trở lại đây, các biện pháp cản lọc DNS, đã được áp dụng rộng rãi; cản lọc ở tầng web application đối với các giao thức như HTTP đã đang được thử nghiệm đối với người dùng internet của mạng Viettel…)
Khoản 2 điều này, buộc các công ty trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm:
a) Xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng;
Nghĩa là yêu cầu người dùng cung cấp danh tính thực khi tham gia mạng, điều này đi ngược lại hoàn toàn đặc tính của mạng, đó là tính ẩn danh nếu cần thiết. Và hơn nữa, phá vỡ tính riêng tư của người dùng trên mạng Internet. Việc phải cung cấp thông tin cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu sẽ tạo điều kiện cho sự lạm quyền về xâm phạm tự do và thông tin cá nhân. Vụ án khởi tố và bắt tạm giam đường dây đánh bạc lớn nhất Việt Nam có liên quan đến những lãnh đạo chuyên trách phòng chống tội phạm công nghệ cao tại C50 là một minh chứng cho thấy việc lạm dụng chức vụ quyền hạn là điều thực sự có thể xảy ra và đáng quan ngại. Để ví dụ rõ hơn, có thể lấy cụ thể từ trường hợp Hacking Team (https://tienpp.blogspot.com/2015/07/hackingteam-vietnam-customers-khach.html) xảy ra cách đây tròn 3 năm đã tiết lộ công an Việt Nam, quân đội Việt Nam là những khách hàng lớn của họ, điều gì ngăn cản làm những điều tương tự nếu họ đã được luật này hậu thuẫn? Chúng tôi đề nghị điều khoản này cần được thay đổi, trong đó việc cung cấp thông tin người dùng chỉ được phép thực hiện khi có lệnh yêu cầu từ Toà án.
Khoản 3 của điều này quy định:
3. Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. Doanh nghiệp nước ngoài quy định tại khoản này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Điểm này đã được điều chỉnh một chút so với dự thảo luật. Tuy nhiên điều luật này nếu được thi hành, sẽ mang lại màn đêm tăm tối cho người dùng Internet Việt Nam, đóng cánh cửa tiếp cận internet của thế giới đối với họ. Các dịch vụ lớn như Google, Gmail, Office, Wikipedia… hay các dịch vụ điện toán phục vụ trực tiếp cho các kĩ sư máy tính như Github, StackOverflow,… sẽ khó thỏa mãn được điều kiện này. Điểm này của luật là một điểm trừ to lớn đối với tính mở và dễ tiếp cận của internet, một tính chất mà giúp internet phát triển như ngày hôm nay.
Cuối cùng, là tạo gánh nặng cho doanh nghiệp. Theo sau luật an ninh mạng này, sẽ là các nghị định yêu cầu các doanh nghiệp tuân thủ theo các chỉ tiêu an ninh mạng do nhà nước ban hành, và nhà nước sẽ đứng ra “Thực hiện yêu cầu và hướng dẫn của cơ quan quản lý nhà nước có thẩm quyền trong bảo vệ an ninh mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng.” Điều mà chúng ta biết, là năng lực của nhà nước trong công tác phòng ngừa, xử lý, khắc phục các hậu quả của các vấn đề liên quan tới an ninh mạng là không tốt, nếu không cho là rất yếu kém (sự cố an ninh mạng ở Vietnam Airlines và các sân bay tại Việt Nam năm là một minh chứng.)
Trên đây là các ý kiến vắn tắt chúng tôi muốn thông tin rộng rãi cho cộng đồng. Nếu các điều luật trên đây được thực hiện một cách nghiêm chỉnh, không nghi ngờ gì nữa chúng ta sẽ tự đóng cánh cửa nhìn ra thế giới của mình.
Tác giả: Tienpp
