Quyền riêng tư trên mạng
Nhân dịp Bộ Công an lấy ý kiến cho Dự thảo Nghị định quy định một số điều chi tiết của Luật An ninh mạng, Giáo sư ngành mật mã học, Đại học Limoges, Pháp, Phan Dương Hiệu đã có cuộc trao đổi với Tia Sáng về việc cân bằng giữa an ninh quốc gia và quyền riêng tư.
Việc theo dõi hay truy cập dữ liệu của bất kì cá nhân nào, kể cả của đối tượng nghi phạm nguy hiểm nhất định phải được thông qua một quá trình tường minh, chặt chẽ ở mức rất cao. Nguồn: Reflex.cz
Trong một thế giới nhiều biến động, thì “lòng tin” là một yếu tố vô cùng quan trọng, là cơ sở thiết yếu cho sự phát triển. Việc trợ giúp bảo vệ thông tin cá nhân, yêu cầu các nhà cung cấp dịch vụ phải đạt chuẩn bảo mật cao, cho phép người dùng được quyền quyết định xử lý dữ liệu liên quan đến cá nhân (như truy vết những nơi lưu trữ, hay yêu cầu xóa vĩnh viễn dữ liệu cá nhân) là những biện pháp Chính phủ có thể làm để gây lòng tin cho người dân, cho doanh nghiệp, cho các đối tác nước ngoài để tạo một môi trường phát triển lành mạnh.
An ninh quốc gia (public safety) và quyền riêng tư (privacy)
Việc đảm bảo đồng thời an ninh quốc gia và quyền riêng tư cho công dân và cho các tổ chức, doanh nghiệp luôn là một thách thức không nhỏ đối với các chính phủ.
Trong những hoàn cảnh đặc biệt nguy cấp, như sau một cuộc khủng bố, các chính phủ thường có xu hướng đưa ra các biện pháp nhằm bảo đảm an ninh (public safety) bằng cách cho phép can thiệp phần nào quyền riêng tư (privacy) của công dân. Đó là khi dân chúng đang hoang mang nên một bộ phận không nhỏ có thể có xu hướng nhượng bộ giảm quyền riêng tư để đổi lấy sự an toàn. Tuy nhiên, ngay cả trong những tình huống đặc biệt nguy cấp như vậy, sự đối thoại vẫn rất cần thiết để có những dự luật hợp lý, mức độ can thiệp quyền riêng tư ở mức tối thiểu, chấp nhận được và với một quy trình tường minh, chặt chẽ.
Tại Mỹ, nơi nguy cơ khủng bố rình rập, điều này cũng được thực hiện một cách có quy trình nghiêm ngặt. Sau vụ khủng bố năm 2001, cơ quan an ninh quốc gia Mỹ (NSA) đã có quyền thu thập dữ liệu các cuộc điện đàm. Tuy nhiên, đến năm 2015, luật này đã bị bãi bỏ nhằm trả lại quyền riêng tư cho người dân, và mọi sự theo dõi cần được thực hiện dựa trên quyết định của toà án1.
Thực tế, NSA và các cơ quan phản gián của Mỹ cũng chẳng xa lạ gì với việc truy cập, theo dõi thông tin cá nhân với lý do nhằm bảo đảm an toàn an ninh quốc gia. Nếu không có sự giám sát của các chuyên gia và phản biện của công dân thì sự theo dõi này rất dễ bị lạm dụng. Những phát giác về sự lạm dụng theo dõi diện rộng và cài những backdoor để phá các chuẩn bảo mật2 đã có tác dụng hạn chế đáng kể sự tuỳ tiện đó. Sự phản đối cũng đến từ các nhà chuyên môn khi các nhà khoa học về mật mã và an toàn thông tin ở Mỹ đã có thư ngỏ lên án những sự theo dõi diện rộng3. Tháng 3 năm nay, đạo luật Cloud Act (clarifying lawful overseas use of data act) của Mỹ cho phép chính phủ nước này tiếp cận dữ liệu lưu trữ cả trong và ngoài nước, đồng thời, các công ty từ những quốc gia đồng minh cũng được tiếp cận dữ liệu của các công ty Mỹ. Đạo luật này ngay lập tức gây ra rất nhiều tranh cãi và phản đối ở Mỹ, cho rằng nó vi phạm tu chính án thứ Tư của Hiến Pháp Hoa Kỳ và bị phê phán ở nhiều quốc gia khác, đặc biệt là các nước châu Âu. Sự lạm dụng theo dõi cần bị lên án và từ đó trả lại quyền riêng tư cho người dân. Tháng 6 năm nay, bang California, nơi tập trung trụ sở của hầu hết các công ty công nghệ lớn nhất thế giới, đã có một bước đi tiến bộ đáng kể trong việc bảo vệ quyền riêng tư cho người dân khi thông qua một luật cho phép người dùng được truy xuất dấu vết dữ liệu của họ4. Theo đó người dùng có quyền được biết những công ty nào thu thập thông tin về họ, lý do tại sao và những thông tin đó được chia sẻ với ai. Họ cũng có quyền yêu cầu xóa thông tin cá nhân.
Ở Châu Âu, chúng ta hãy xem xét trường hợp nước Pháp, nơi cũng thường xuyên bị đe doạ bởi nguy cơ khủng bố. Sau vụ khủng bố tháng 1/2015, một dự luật cho phép an ninh tình báo can thiệp dữ liệu cá nhân đã được đề nghị. Nhưng sự can thiệp phải qua những thủ tục chính như sau:
i) Khi có tình huống nghi ngờ xảy ra, an ninh tình báo cần gửi cho Thủ tướng. Thủ tướng sau đó bắt buộc cần lấy ý kiến đồng ý của một Hội đồng quốc gia (Commission nationale de contrôle des techniques de renseignement – CNCTR) – gồm 13 thành viên: ba nghị sỹ hạ viện, ba nghị sỹ thượng viện, ba thành viên của hội đồng nhà nước (Conseil d’Etat), ba thành viên tư pháp và một chuyên gia về thông tin. Chỉ sau khi Hội đồng đồng ý thì Thủ tướng mới có thể quyết định cho phép dùng các biện pháp để theo dõi mạng với đối tượng nghi ngờ. Trong trường hợp tối khẩn (urgence absolue) thì Thủ tướng có thể quyết định trước khi trình bày cho Hội đồng.
ii) Trường hợp thực thi khẩn cấp: Trong trường hợp có đe doạ an ninh khẩn cấp (urgence opérationelle), Chính phủ đề nghị trong dự luật là an ninh có thể “tiền trảm hậu tấu” bằng cách can thiệp theo dõi gấp, vì nếu trì hoãn thì cơ hội sẽ qua đi, rồi sau đó trong 24h sẽ giải trình cho Thủ tướng và Hội đồng. Đây là trường hợp gây tranh cãi nhiều, vì quy trình không tường minh.
Sự can thiệp với quy trình như trên bị các hội đoàn, và dân phản đối, ngay trong hoàn cảnh bị khủng bố đe doạ. Nhiều ý kiến chuyên gia, ý kiến các hội đoàn đã được đưa ra, cùng các cuộc biểu tình phản đối đã diễn ra để bảo vệ quyền riêng tư.
Kết cục cuối cùng là Hội đồng Bảo Hiến đã bác bỏ việc thực hiện mục ii) “trường hợp thực thi khẩn cấp” vì cho rằng nó vi hiến, trái với luật về quyền riêng tư cá nhân. Như vậy, sẽ không có thể có bất cứ trường hợp nào, dù trong bất cứ hoàn cảnh nguy cấp nào, mà sự theo dõi lại không cần thông qua sự phê chuẩn của Thủ tướng.
Tóm lại, trong một số trường hợp tối cần thiết, việc theo dõi hay truy cập dữ liệu của bất kì cá nhân nào, kể cả của đối tượng nghi phạm nguy hiểm nhất định phải được thông qua một quá trình tường minh, chặt chẽ ở mức rất cao như phải có quyết định của toà án hoặc có sự phê chuẩn của thủ tướng.
Các chuẩn bảo mật giúp bảo vệ quyền riêng tư
Tại châu Âu, đã có những chuẩn bảo mật mới được ban hành để đảm bảo tốt hơn quyền riêng tư của dân, thậm chí các công ty còn phải cam kết xoá bỏ mọi thông tin về người dùng nếu người dùng yêu cầu. Những quy định này nghiêm ngặt hơn Mỹ. Trong quan hệ xuyên lục địa Âu – Mỹ, uỷ ban Châu Âu từng đánh giá là “US Privacy Act” của Mỹ không đủ điều kiện để bảo vệ dữ liệu riêng của công dân châu Âu. Do đó, châu Âu và Mỹ đã thống nhất đưa ra “Privacy Shield”5 yêu cầu tất cả các doanh nghiệp cần tuân thủ các yêu cầu bảo mật ở mức độ rất cao để bảo vệ dữ liệu riêng tư của người dùng. Mới đây châu Âu cũng đưa ra các quy định bảo mật dữ liệu (GDPR)6 nhằm bảo vệ dữ liệu cho công dân. Quy định này thực sự nhằm hướng đến bảo vệ dữ liệu công dân, không yêu cầu dữ liệu phải đặt trên đất châu Âu mà có thể đặt tại bất kỳ quốc gia nào đạt chuẩn đảm bảo an toàn dữ liệu của họ. Đó là những bước đi mà các chính phủ châu Âu làm để bảo vệ dữ liệu riêng tư cho công dân, và từ đó tạo lòng tin cho dân.
Như vậy xu hướng của thế giới là cố gắng phát triển các biện pháp kỹ thuật, các chuẩn bảo mật để đảm bảo quyền riêng tư cá nhân cho công dân mình.
Các biện pháp đưa ra cần đồng bộ và phù hợp với chuẩn quốc tế
Điều cần chú trọng là các biện pháp chúng ta đưa ra cần phải đồng bộ, phù hợp với các quy chuẩn thế giới mà chúng ta đã cam kết, tránh việc làm doanh nghiệp trong nước và quốc tế gặp khó khăn và mâu thuẫn trong việc tuân thủ đồng thời các thủ tục trong nước và cam kết quốc tế.
Về mặt kỹ thuật, việc yêu cầu dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải được lưu trữ tại Việt Nam không có tính khả thi cao và cũng không có hiệu quả thật sự. Thường các công ty quốc tế lưu trữ nhiều bản sao dữ liệu tại nhiều địa điểm khác nhau nhằm đảm bảo an toàn. Để tránh bị mất dữ liệu khi một địa điểm bị tấn công thì dữ liệu có thể được lưu một cách phân tán sao cho chỉ khi tất cả các địa điểm bị tấn công thì dữ liệu mới bị mất. Việc yêu cầu tập trung dữ liệu về mặt kỹ thuật là đi ngược lại với việc đảm bảo an toàn dữ liệu. Ngoài ra, các công ty đạt chuẩn bảo mật đều chỉ lưu dữ liệu dạng mã hoá. Do vậy ngay cả khi chúng ta có dữ liệu thì cũng chỉ có dữ liệu dạng mã hoá, muốn giải mã cần phải có chìa khoá giải mã. Mật mã phân tán đang được áp dụng rộng rãi cho phép khoá giải mã được phân tán làm nhiều phần và có thể lưu tại nhiều địa điểm, chỉ khi tập hợp đủ các phần này thì mỡi giải mã được. Nếu tại các nước lưu các phần khoá mà luật không cho phép công ty làm lộ thông tin (khi không có yêu cầu của toà án) thì dù có ép dữ liệu lưu trữ tại Việt Nam cũng không giải mã được.
Về mặt thực tế vận hành các hệ thống, nhân bài viết này, tôi đã hỏi ý kiến và được anh Nguyễn Quốc Khánh đồng ý góp ý kiến. Anh hoàn thành tiến sỹ mật mã ở Úc, đã có kinh nghiệm làm bảo mật trong các tập đoàn lớn của thế giới như Gemalto, và nay về công tác trong nước tại trung tâm công nghệ thông tin của ngân hàng Vietcombank. Với những kinh nghiệm thực tế, anh chia sẻ : “Luật An ninh mạng quy định không gian mạng là mạng lưới kết nối con người sử dụng CNTT mọi lúc mọi nơi. Phạm vi điều chỉnh của luật như vậy là rất rộng. Đối với dịch vụ liên quan tới ngành ngân hàng, có 2 lĩnh vực luật sẽ ảnh hưởng trực tiếp là dịch vụ thanh toán và thương mại điện tử. Với dịch vụ thanh toán, các tổ chức tín dụng tại Việt Nam và trên thế giới đều sử dụng SWIFT, VISA và Mastercard là trung gian thanh toán cho các giao dịch quốc tế và thẻ quốc tế. Các trung gian thanh toán này hoạt động rất tập trung. Swift chỉ có 3 trung tâm dữ liệu trên thế giới (tại Mỹ, Thuỵ Sỹ và tại 1 địa điểm bí mật). Trường hợp các tổ chức trung gian thanh toán này không thể đáp ứng yêu cầu tại Điều 24 (lưu trữ dữ liệu tại Việt Nam) của dự thảo nghị định có thể ảnh hưởng tới khả năng cung cấp dịch vụ thanh toán quốc tế của các tổ chức tín dụng tại Việt Nam. Đối với thương mại điện tử, hiện tại rất nhiều đơn vị trên thế giới cung cấp các dịch vụ trực tuyến trong nhiều lĩnh vực (giáo dục, y tế, sức khoẻ , khoa học, công nghệ, bán lẻ… ) trên không gian mạng. Rất nhiều các đơn vị sẽ không thể đặt văn phòng tại Việt Nam (do quy mô kinh doanh và các lý do khác), trường hợp áp dụng Luật với các đơn vị này sẽ ảnh hưởng to lớn tới khả năng tiếp cận các dịch vụ này với người sử dụng tại Việt Nam.”
Xử lý khối lượng dữ liệu lớn nhưng không truy xuất đến thông tin cá nhân
Chúng ta biết rằng, sự phát triển của điện toán đám mây cho phép việc các phương pháp học máy, trí tuệ nhân tạo được áp dụng rộng rãi nhằm đưa đến nhiều ứng dụng tiện lợi cho người dùng. Tuy nhiên, việc thực hiện phương pháp này hiện nay đang nằm trong tay của những nhà cung cấp dịch vụ điện toán đám mây lớn và sở hữu chủ yếu dữ liệu của chúng ta, và họ hoàn toàn có thể khai thác dữ liệu riêng của ta hoặc làm lộ nó dù là theo cách bị động hay chủ động.
Trong bài phát biểu mới tại hội nghị CRYPTO 2018 vừa qua, Shafi Goldwasser – người đoạt giải Turing (được coi như giải Nobel của Tin học) và hai giải Godel (giải thưởng cho bài báo xuất sắc nhất trong lĩnh vực lý thuyết khoa học máy tính) – cho rằng: “thách thức lớn nhất tiếp theo của mật mã là đảm bảo tính bảo mật thông tin trong việc thực hiện các phương pháp học máy”. Nhiệm vụ của mật mã trong tương lai là làm sao vẫn sử dụng công nghệ điện toán đám mây nhưng vẫn đảm bảo được dữ liệu, mà không phụ thuộc vào đạo đức của những nhà cung cấp dịch vụ. Rất nhiều nghiên cứu nằm trong hướng đi này, và một trong các nghiên cứu mà tác giả tham gia, trong một dự án của châu Âu, là nhằm đảm bảo quyền bảo mật dữ liệu riêng trong những ứng dụng liên kết giữa nhiều người mà không cần đặt sự tin tưởng vào bất cứ nhà cung cấp trung gian nào sao cho ngay cả khi nhà cung cấp bị lộ dữ liệu thì người dùng vẫn có thể đảm bảo thông tin riêng7. Đảm bảo an toàn dữ liệu ngay cả khi các nhà cung cấp dịch vụ bị tấn công hay tự ý lộ thông tin là yêu cầu tương lai của bảo mật.
Lời kết
Quyền riêng tư là một trong các quyền con người cơ bản và ta cần nhất thiết bảo vệ nó. Trong thời đại kỹ thuật số với dữ liệu cá nhân được lưu trữ và khai thác khắp nơi, chúng ta cần tập trung nghiên cứu các biện pháp kỹ thuật và các chuẩn bảo mật phù hợp với các chuẩn quốc tế nhằm bảo vệ dữ liệu cho người dân. Trong những trường hợp đặc biệt nghiêm trọng, các cơ quan điều tra có thể được truy xuất dữ liệu cá nhân của nghi phạm, nhưng rất cần tránh sự lạm dụng và sự truy xuất đó cần phải được phê chuẩn bởi toà án hoặc bởi Thủ tướng theo một quy trình chặt chẽ, minh bạch.
Tuyên bố sau đây tại cuộc họp Eurocrypt 2014 ở Copenhagen (Đan Mạch) được toàn thể các thành viên của IACR (International Asscociation for Cryptologic Research – Hiệp hội nghiên cứu mật mã quốc tế) ủng hộ8: “Các thành viên của IACR phản đối việc theo dõi trên bình diện rộng và các quyết định làm suy yếu các giải pháp, tiêu chuẩn mật mã. Việc theo dõi người dân trên diện rộng đe dọa dân chủ và nhân phẩm con người. Chúng tôi kêu gọi đẩy mạnh nghiên cứu và triển khai các kỹ thuật hiệu quả để bảo vệ quyền riêng tư cá nhân trước những hành động thái quá của các chính phủ và doanh nghiệp.”
Việt Nam đã hội nhập cùng thế giới và tổ chức rất thành công hội nghị mật mã lớn nhất tại châu Á của IACR (Asiacrypt 2016), chúng ta cần tiếp tục đi theo các xu hướng phát triển tiến bộ của thế giới.□
—
Nguồn dẫn:
1 https://eu.usatoday.com/story/news/politics/2015/06/02/patriot-act-usa-freedom-act-senate-vote/28345747/
2 https://en.wikipedia.org/wiki/PRISM_(surveillance_program
3 http://masssurveillance.info/)
4 https://www.nytimes.com/2018/06/28/technology/california-online-privacy-law.html