Dự luật An ninh mạng: Để thúc đẩy thay vì kìm hãm

Tại Hội thảo Luật An ninh mạng và tác động đến các ngành công nghệ, truyền thông và nội dung số: Đánh giá và kiến nghị chính sách do Tia Sáng phối hợp cùng Viện Chính sách và Phát triển truyền thông - Hội truyền thông số Việt Nam (Bộ Thông tin và Truyền thông) tổ chức hôm 21/11/2017, những ý kiến phản biện cho rằng ban soạn thảo nên đánh giá lại tính khả thi và tác động bất lợi của một số điều khoản trong Dự thảo luật đối với sự phát triển của các doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin, truyền thông và nội dung số tại Việt Nam.

Thách thức

Bên cạnh lợi ích, sự bùng nổ của Internet cũng mang lại rất nhiều thách thức, trong đó có nguy cơ về an toàn và an ninh, khi ngày càng nhiều các vụ tấn công mạng được thực hiện nhắm vào hệ thống cơ sở hạ tầng thông tin của các quốc gia, như vụ hacker chiếm đoạt quyền điều khiển website sân bay Nội Bài năm 2016. Trước tình hình đó, các chính phủ cần thiết phải ban hành những quy định và khung pháp lý để điều chỉnh. Tại Việt Nam, Luật An toàn Thông tin (ATTT) do Bộ Thông tin và Truyền thông soạn đã được Quốc hội khóa XIII, kỳ họp thứ 10 chính thức thông qua trong năm 2015. Tuy nhiên, Bộ Công an lại vừa đề xuất và soạn thảo thêm Luật An ninh mạng (ANM) Việt Nam, và đã trình Quốc hội tại Kỳ họp thứ 4 – Quốc hội khóa XIV, dự kiến sẽ thông qua vào Kỳ họp thứ 5, tháng 5/2018. Trong nội dung của dự luật có một số điều khoản hướng tới việc kiểm soát chặt chẽ hơn nữa môi trường không gian mạng như quy định các công ty cung cấp dịch vụ Google, Facebook hay YouTube phải đặt máy chủ ở Việt Nam, và hợp tác cung cấp thông tin dữ liệu cá nhân người dùng khi được yêu cầu vì lý do an ninh quốc phòng. Chính các điều khoản này là nguyên nhân gây ra nhiều tranh luận xoay quanh mục đích và phạm vi điều chỉnh của Luật ANM.

Quyền lợi của doanh nghiệp và người dùng có được bảo vệ?  

Ông Nguyễn Quang Đồng – Viện trưởng Viện Chính sách và Phát triển truyền thông cho biết, khi thực hiện một cuộc điều tra và khảo sát ý kiến từ cộng đồng các doanh nghiệp, phần lớn các đại diện bày tỏ mối lo ngại khi cho rằng Dự luật có nhiều điều khoản được diễn dịch thiếu rõ ràng, hay trùng lặp và chồng chéo về chức năng đối với những quy định đã có trong Luật Dân sự, Hình sự và An toàn thông tin. Điều này khiến các doanh nghiệp sẽ trở nên lúng túng khi triển khai vì không biết phải tuân thủ theo quy định nào. Đại diện của một số doanh nghiệp còn cho biết, để tránh những điều khoản ràng buộc phức tạp trong Luật ANM, họ đang tính tới phương án chuyển hoạt động sang Singapore – nơi có những quy định ít rắc rối hơn nhiều, hay thuê máy chủ và các dịch vụ lưu trữ trên nền tảng điện toán đám mây (như Amazon) hoàn toàn đặt tại nước ngoài.

Một khoảng trống nữa trong Dự luật ANM, theo ông Nguyễn Quang Đồng, đó là chúng ta chưa thiết lập được một nhóm các quy định về an toàn thông tin cá nhân để bảo vệ người dùng. Quan điểm này dựa trên nguyên tắc: người dùng là chủ sở hữu của thông tin, và quyền đó luôn thuộc về người dùng. Khi người dùng cung cấp thông tin cho doanh nghiệp, và doanh nghiệp lại trải qua những hoạt động như mua bán sáp nhập thì phần thông tin người dùng cần phải được loại trừ khỏi danh mục chuyển mục. Ông Đồng nêu ví dụ về trường hợp của JomlArt – một startup Việt Nam khi mua lại đối thủ Gavick (đặt tại châu Âu), Liên minh châu Âu khi đó đã có hẳn một quy định rất rõ ràng để bảo vệ thông tin cá nhân của những người tham gia trong những vụ mua bán như vậy.

Khi khẳng định hùng hồn về sự hiện hữu của Cuộc cách mạng công nghiệp lần thứ 4 là đồng nghĩa với việc thừa nhận toàn bộ xã hội và con người, bao gồm cả các thiết chế chính trị, nhà nước, pháp luật và đời sống công dân, đang đồng thời tồn tại trong hai không gian và thế giới riêng biệt: thật và ảo. Cái “thật” như ta vốn biết và đã luôn luôn tồn tại. Cái “ảo” thì mới được tạo ra từ mạng internet, khởi đầu là một công cụ kỹ thuật, còn giờ đây đã trở thành một lối sống mới và không gian sống mới, được gọi chung là không gian ảo. Thực tế này đương nhiên không chỉ mang đến những tiện ích và thú vị, mà còn cả các tranh cãi và xung đột giữa các cá nhân và bộ phận khác nhau trong xã hội. Tại sao? Đơn giản không phải ai cũng có cơ hội tiếp cận với không gian sống ảo đó, lại cũng không đủ hiểu biết về nó để có thể ứng phó và tự bảo vệ, chưa nói đến sự thừa nhận và hưởng lợi từ môi trường sống mới này. Tại Việt Nam, các vấn đề phát sinh, mâu thuẫn và xung đột về cả nhận thức, năng lực và lợi ích đã được đẩy lên tầng chính sách và thể chế. Theo lẽ thường như vậy, mọi vấn đề được coi là vướng mắc và khó khăn từ cuộc sống tiếp tục có xu hướng được đưa cả vào luật, coi việc ban hành luật như một giải pháp độc tôn và tối ưu. Cá nhân tôi, rất tiếc chưa bao giờ được thuyết phục bởi điều này. Luật sư Nguyễn Tiến Lập

Luật sư Nguyễn Tiến Lập, thành viên NHQuang & Cộng sự, Trọng tài viên Trung tâm trọng tài quốc tế VIAC, nhận định, Luật An ninh mạng và Luật An toàn thông tin 2015 bản thân đã không thể tự định hình được mình khi phạm vi bao trùm quá rộng, cả về chính trị, kinh tế, xã hội lẫn quyền của người dân và doanh nghiệp. Đối với ba vấn đề rất nóng bỏng hiện nay, đó là: tội phạm công nghệ cao, tội phạm mạng, và chiến tranh mạng, luật sư Lập nhận thấy theo kinh nghiệm quốc tế, có những khía cạnh mà luật không thể xử lý được, mà chỉ có thể thông qua các biện pháp kỹ thuật công nghệ, chẳng hạn các chính phủ như Trung Quốc đang hậu thuẫn cho cả một đội quân tin tặc khổng lồ để thực hiện những mục tiêu kinh tế chính trị mong muốn – hoạt động của họ nằm ngoài phạm vi điều chỉnh của luật Việt Nam. Trong lĩnh vực này, chúng ta muốn đi cùng hay “một mình một đường” so với thế giới?

Cũng theo luật sư Lập, khi chúng ta ý thức được về sự hiện hữu của cuộc Cách mạng lần thứ 4 thì cũng đồng thời là chúng ta đã thừa nhận về sự tồn tại của hai không gian và thế giới riêng biệt đối với xã hội loài người: thật và ảo. Không phải ai khi tiếp xúc với không gian ảo cũng có đủ hiểu biết hay kỹ năng để tự ứng phó và bảo vệ mình, dẫn tới những mâu thuẫn và xung đột phát sinh cần phải giải quyết, từ đó đưa tới nhu cầu làm luật. Nhưng tại Việt Nam, các vấn đề phát sinh, mâu thuẫn và xung đột về cả nhận thức, năng lực lẫn lợi ích lại được đẩy lên tận thượng tầng chính sách lẫn thể chế. Những vấn đề được coi là vướng mắc và khó khăn từ cuộc sống đang có xu hướng được đưa tất cả vào luật, chúng ta đang coi việc ban hành luật như một giải pháp độc tôn và tối ưu. Trong trường hợp Luật An ninh mạng Việt Nam, nếu không được cân nhắc hợp lý, khi đi vào hoạt động có thể sẽ gây ra những tổn thương không thể lượng hóa đối với niềm tin và tâm lý xã hội.

Nguy cơ bị trả đũa thương mại

Từ Khoa Luật – Đại học Kinh tế TP. Hồ Chí Minh tham gia Hội thảo trên phần mềm Skype, PGS. TS Võ Trí Hảo đã nêu tóm tắt tham luận cá nhân, chủ yếu tập trung vào câu hỏi: làm sao để các điều khoản của Dự luật An ninh mạng không xung đột với những cam kết hội nhập mà Việt Nam đã ký khi tham gia WTO, hay các hiệp định đang đàm phán là EVFTA và CPTPP. Cụ thể, như Điều 34 Khoản 4 quy định các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải đặt máy chủ quản lý dữ liệu người dùng Việt Nam trên lãnh thổ Việt Nam, mang tới mối lo ngại về nguy cơ kìm hãm sự phát triển của khoa học công nghệ, trao đổi tri thức lẫn hoạt động thương mại điện tử, trong trường hợp Google hay Facebook từ chối thực thi và rút khỏi Việt Nam.

Theo PGS Hảo, Việt Nam rất khác với Trung Quốc, vì vậy những người ủng hộ Dự luật không nên lấy những gì đang diễn ra ở Trung Quốc để dự báo cho tương lai của một cuộc chiến tranh thương mại (nếu có) giữa Việt Nam và các nước phương Tây (như Mỹ, EU), một phần do tác động của Luật An ninh mạng. Do Việt Nam không có được sức nặng kinh tế trong đàm phán như Trung Quốc cho nên chúng ta sẽ rất dễ bị tổn thương nếu các nước phương Tây lựa chọn những lĩnh vực được xem là thế mạnh của chúng ta như xuất khẩu da giày, dệt may, thủy hải sản, lúa gạo,… để trả đũa.

Bên cạnh đó còn là nguy cơ về việc tái diễn giấy phép con (mà Chính phủ kiến tạo của Thủ tướng Nguyễn Xuân Phúc đang thực hiện xóa bỏ), như Điều 48 của Dự luật ANM quy định về sự độc quyền chứng nhận hợp chuẩn, hợp quy đối với các dịch vụ mạng, đối tượng điều chỉnh không chỉ là các cơ quan nhà nước mà cả doanh nghiệp. Ngoài ra, trước những tiến bộ quá nhanh của công nghệ, pháp luật và chính sách nhiều khi không theo kịp, dẫn tới một số quy định trong Dự luật, như Điều 34 Khoản 3 yêu cầu các doanh nghiệp viễn thông, internet thiết lập cơ chế xác thực thông tin người dùng và cung cấp cho cơ quan chuyên trách bảo vệ an ninh mạng có thẩm quyền có thể sẽ không khả thi.

Do đó, GS Hảo đề xuất nên đổi tên Dự thảo thành Luật An ninh Quốc gia trên mạng, và luật này sẽ chỉ tập trung vào bảo vệ lợi ích công cộng (public interest), chống lại hành vi tiết lộ bí mật Nhà nước và loại trừ những mối nguy hại đối với an ninh quốc gia (như ngăn chặn các vụ tấn công có chủ đích vào cơ sở hạ tầng thông tin nhà nước); đối với các lợi ích khác (như của doanh nghiệp và cá nhân) thì nên có những quy định riêng bằng các văn bản khác, điều này góp phần làm duy trì hiệu quả của bàn tay vô hình trong kinh tế thị trường, bảo đảm sự tự do, năng động cho các doanh nghiệp cung cấp dịch vụ trong cuộc cạnh tranh toàn cầu.

Để luật đi vào cuộc sống

Theo luật sư Trương Trọng Nghĩa – Đại biểu Quốc hội TP. Hồ Chí Minh, để những đạo luật thực sự đem lại hiệu quả và đi vào cuộc sống thì quy trình làm luật cần phải tuân thủ nguyên tắc: luật điều chỉnh lĩnh vực nào thì nhất thiết cần có sự tham vấn của chuyên gia trong lĩnh vực đó, và phải đo lường được hết những tác động của các dự luật đối với xã hội. Đối với Dự thảo Luật An ninh mạng, ông Nghĩa cho rằng các quy định trong luật này còn quá dài và bao trùm phạm vi quá rộng, lại trùng lặp và mâu thuẫn về chức năng với nhiều luật sẵn có. Vì thế ông đề nghị Ủy ban soạn thảo nên lắng nghe ý kiến của các chuyên gia, cả trong và ngoài nước, hoặc có thể cân nhắc những hướng tiếp cận mới như sửa đổi luật cũ, thậm chí làm mới, nhưng nên tích hợp vào trong một bộ luật chung duy nhất (chẳng hạn Bộ luật Thông tin truyền thông).

Việc cơ quan nhà nước ban hành tiêu chuẩn an ninh mạng và áp dụng các tiêu chuẩn này đối với các cơ quan nhà nước, hoạt động công chức, với hệ thống thông tin lõi của quốc gia là hoàn toàn cần thiết và hợp lý; nhưng việc bắt buộc các doanh nghiệp và người tiêu dùng cũng phải áp dụng các tiêu chuẩn này và có các giấy phép, chứng nhận hợp chuẩn hợp quy sẽ làm tăng chi phí kinh doanh của doanh nghiệp, phát sinh thủ tục và mở ra mảnh mới cho tiêu cực sinh sôi. Các chuẩn mực do các hiệp hội do các hiệp hội công nghệ thông tin quốc tế thường luôn tiên phong, đa dạng và linh hoạt hơn so với các tiêu chuẩn của chính phủ, dù chính phủ Việt Nam hay Hoa Kỳ, Campuchia. Bởi vậy, nếu trói các doanh nghiệp viễn thông, công nghệ thông tin Việt Nam với các chuẩn khô cứng, trí tuệ của nhà nước thì sẽ kéo theo cả nền công nghệ thông tin trì trệ, mất sức cạnh tranh khi cánh cửa thị trường viễn thông cũng sắp phải mở toang cho nước ngoài. PGS.TS. Võ Trí Hảo

 

Tác giả