Dương Ngọc Thái Viết từ Hoa KỳTheo BBC- 7 tháng 11 2018
Bài viết nói về một số điểm khác biệt chính giữa Luật An ninh mạng Việt Nam và luật General Data Protection Regulation (GDPR) (Quy định Bảo vệ Dữ liệu) của Liên minh châu Âu, và quyền riêng tư của người dân có thực sự được bảo vệ hay không.
Theo VnExpress, trong cuộc họp báo ngày 3/11/2018, thiếu tướng Lương Tam Quang - Chánh văn phòng Bộ Công an đã nói :
"...Có 18 quốc gia trên thế giới đã có văn bản luật quy định các doanh nghiệp nước ngoài phải lưu trữ dữ liệu quan trọng trong phạm vi lãnh thổ quốc gia, như Mỹ, Canada, Trung Quốc."
Ngày 25/5, quy định bảo vệ dữ liệu cá nhân của Liên minh châu Âu cũng chính thức có hiệu lực, cho phép cá nhân kiểm soát dữ liệu của mình khi tham gia các diễn đàn, mạng xã hội. Các công ty phải cam kết không chuyển dữ liệu cá nhân cho bên thứ 3; nếu bị phát hiện sẽ bị phạt 20 triệu euro hay 4% doanh số toàn cầu.
Về con số 18 quốc gia tôi đã phân tích trong bài về dự thảo 03/10/2018, chỉ nhắc lại ở đây là ông Quang nhắc đến "dữ liệu quan trọng" nên chắc ông cũng đã tìm hiểu để thấy rằng Mỹ chỉ yêu cầu lưu trữ dữ liệu tài chính và thuế, còn Canada chỉ yêu cầu lưu trữ dữ liệu của những tổ chức hành chính công như trường học công, bệnh viện công hay cơ quan nhà nước (nguồn).
Giả sử như người Mỹ hay người Canada sử dụng Zalo, chính phủ Mỹ và chính phủ Canada không yêu cầu Zalo phải lưu dữ liệu ở Mỹ hay Canada. Do đó tôi thấy thật khó hiểu khi ông Quang đem hai quốc gia này ra làm ví dụ.
Đến khi ông Quang nhắc đến General Data Protection Regulation (GDPR) của Châu Âu tôi chuyển từ khó hiểu sang khó ở. GDPR không giống gì với Luật An ninh mạng Việt Nam, đặt hai bộ Luật này vào cùng một câu giống như ăn hủ tíu mà cho mắm tôm.
GDPR chỉ yêu cầu lưu dữ liệu ở quốc gia đạt chuẩn
Thứ nhất, luật An ninh mạng Việt Nam yêu cầu các công ty phải lưu dữ liệu ở Việt Nam, nhưng GDPR không bắt buộc phải lưu dữ liệu ở Châu Âu, miễn sao dữ liệu được lưu ở một quốc gia đạt tiêu chuẩn an toàn dữ liệu.
Hiện tại có 13 quốc gia nằm trong danh sách này, trong đó có Mỹ, nếu bên nhận dữ liệu đảm bảo được tiêu chuẩn Privacy Shield. Các công ty công nghệ lớn của Mỹ như Amazon, Facebook, Google, Microsoft, v.v. đều đạt chuẩn Privacy Shield.
Tóm lại, Châu Âu không yêu cầu các công ty này phải lưu dữ liệu ở Châu Âu, mà họ có thể lưu ở Mỹ hoặc ở các nước khác đạt chuẩn. Ở Việt Nam đến cái bồn cầu còn theo tiêu chuẩn Châu Âu, vậy mà Luật An ninh mạng lại không theo.
GDPR không yêu cầu các công ty cung cấp dữ liệu của người dân
Thứ hai, GDPR không có bất kỳ điều luật nào yêu cầu các công ty phải cung cấp dữ liệu của người dân Châu Âu cho Nghị viện Châu Âu hay chính phủ các nước thành viên, vì bảo vệ riêng tư của người dân, trước tiên, là không chuyển dữ liệu cho chính phủ, nếu không có lệnh của tòa án.
Trách nhiệm của chính phủ là giúp người dân bảo vệ dữ liệu, nhưng dữ liệu vẫn thuộc sở hữu của người dân, chứ chính phủ không có quyền tự ý quốc hữu hóa dữ liệu của dân chúng. Trong khi GDPR yêu cầu các công ty phải có trách nhiệm bảo vệ dữ liệu của người dân Châu Âu và cung cấp công cụ để người dân kiểm soát dữ liệu của chính họ. Luật An ninh mạng Việt Nam yêu cầu các công ty phải cung cấp dữ liệu cho Bộ Công an, mà không có sự kiểm soát của tòa án hay bất kỳ thể chế độc lập nào.
Luật ANM Việt Nam tước đi quyền ẩn danh trên Internet của người dân
Thứ ba, Luật An ninh mạng và dự thảo 31/10/2018 tước đi quyền ẩn danh trên Internet, tức là cản trở người dân tự bảo vệ và thực thi quyền riêng tư, vì ẩn danh chính là cách bảo vệ riêng tư tốt nhất. Các công nghệ riêng tư phổ biến như Tor hay VPN chẳng làm gì khác ngoài việc che dấu danh tính của người dùng.
Thay vì giúp người dân che dấu danh tính khi sử dụng Internet, Bộ Công an lại bắt buộc người dân phải tiết lộ danh tính, yêu cầu những công ty Internet phải thu thập, xác minh và cung cấp cho Bộ Công an họ tên, ngày tháng năm sinh cho đến số chứng minh thư, số thẻ tín dụng, tình trạng sức khỏe, v.v.
Thử tưởng tượng mỗi khi đi ăn hủ tíu bà bán hủ tíu yêu cầu bạn phải cung cấp đầy đủ họ tên, địa chỉ, số chứng minh thư, sau đó bả chuyển qua cho Bộ Công an khi họ yêu cầu. Rõ ràng chuyện này không thể xảy ra ở ngoài đời. Vậy cơ sở pháp lý nào cho phép Bộ Công an bắt buộc người dân phải khai báo danh tính khi tham gia Internet?
Về mặt kỹ thuật, mạng Internet không hề yêu cầu chúng ta phải dùng danh tính thật. Bản chất của Internet là ẩn danh. Ai cũng có thể vào blog này hoặc email cho tôi mà không cần phải báo cho tôi biết họ là ai. Tiết lộ danh tính hay không là một lựa chọn của người dân, chính phủ không có quyền ép buộc.
Tôi đoán chính phủ muốn biết danh tính của người dùng Internet để dễ bắt tội phạm. Nhưng có lẽ nào vì những trang blog không do dân chúng tạo ra như Chân Dung Quyền Lực hay Quan Làm Báo mà phải hi sinh riêng tư của tất cả dân chúng và cả hệ thống chính trị?
Dân chúng lên tiếng phê phán chính quyền và các quan chức là phúc chứ không phải họa. Sợ là sợ dân giàu và giỏi bỏ đi hết, chứ sợ gì chuyện người ta bức xúc. Phàm đã là quan chức chính phủ, tức đã là người của công chúng, hãy để cho công luận quyết định công và tội.
Cây ngay không sợ chết đứng, nếu có ai đó nói sai về mình, thay vì dùng quyền lực để bịt miệng người ta, hãy để công chúng lên tiếng bảo vệ. Người dân luôn biết rõ ai làm được việc cho họ, đừng sợ làm tốt mà người ta không biết đến.
Cuối cùng, còn gì mỉa mai và cay đắng bằng khi bộ luật tước đi quyền ẩn danh của dân chúng lại được Quốc hội bỏ phiếu ẩn danh. Ngoại trừ lác đác vài ba vị đại biểu đã lên tiếng, cho đến nay dân chúng hoàn toàn không biết ai đã bỏ phiếu thuận, ai đã bỏ phiếu chống Luật An ninh mạng.
Đất nước mình lạ quá phải không em? Những người quyền cao chức trọng cần phải tuyệt đối rõ ràng minh bạch lại được quyền ẩn danh hèn nhát, còn người dân thấp cổ bé họng lại sắp bị tước đi cả cái quyền lẩn mình vào đám đông để tự vệ trước cường quyền.
* Bài viết thể hiện thể hiện quan điểm và văn phong của tác giả, một chuyên gia về bảo mật thông tin đang làm việc tại Silicon Valley, Mỹ.
Bài đã đăng trên blog cá nhân của Kỹ sư Dương Thái.
No comments:
Post a Comment