Luật an ninh mạng: Mất nhiều hơn được

FB Nguyễn Quang Đông

17-5-2018

Trong lịch sử lập pháp Việt Nam, có lẽ chưa có tiền lệ làm luật nào mà một cơ quan chủ trì soạn thảo lại sử dụng quyền ‘viết luật’ trong tay mình để tự trao cho mình quá nhiều quyền lực đến vậy.

Nếu được thông qua như hiện nay, và được thực thi nghiêm ngặt, luật sẽ gây tác động kinh tế cực lớn. Tính toán của Trung tâm nghiên cứu kinh tế Chính trị Châu Âu (ECIPE) cho thấy, chỉ riêng yêu cầu ‘địa phương hóa’ dữ liệu – tức bắt buộc đặt máy chủ và lưu dữ liệu người dùng tại Việt Nam, sẽ khiến GDP sụt giảm 1.7%; đầu tư nước ngoài giảm 3.1 % (so với việc không yêu cầu như hiện nay).

Cần lưu ý rằng, việc tham gia CPTPP, mà Việt Nam mất rất nhiều nỗ lực để đàm phán, cũng chỉ mang lại thêm 3.5% tăng trưởng GDP, theo kịch bản lạc quan nhất, hay 1.1% GDP theo kịch bản khiêm tốn nhất, dựa vào tính toán của Ngân hàng thế giới.

Cần nói thêm rằng, nghiên cứu của ECIPE là nghiên cứu uy tín, được trích dẫn và tham chiếu rộng rãi bởi hầu hết các tổ chức nghiên cứu tên tuổi và chính phủ nhiều quốc gia. Nghiên cứu tập trung vào gói đề xuất pháp lý (legislation package) về địa phương hóa dữ liệu ở 7 nước và vùng lãnh thổ, bao gồm Brazil, Trung Quốc, Ấn Độ, Indonesia, Hàn Quốc, Việt Nam và 28 nước châu Âu, vốn áp dụng chung luật lệ.

Việt Nam là nước bị đánh giá sẽ thiệt hại nặng nề nhất, như đã nói, giảm tăng trưởng GDP 1.7%, trong khi Trung Quốc là 1.1%, Ấn Độ 0.8%, Indonesia là 0.7% . Ước tính con số thiệt hại của Việt Nam cao như vậy là hoàn toàn có căn cứ, bởi độ mở về thương mại và đầu tư của Việt Nam là rất cao; tốc độ tăng trưởng người dùng internet, mức độ ứng dụng công nghệ lẫn tốc độ số hóa của kinh tế Việt Nam luôn nằm trong nhóm cao nhất thế giới.

Cần lưu ý rằng, cách hiểu phổ biến hiện nay là yêu cầu đặt máy chủ, quản lý dữ liệu chỉ gây tăng chi phí cho doanh nghiệp nước ngoài, đặc biệt là các doanh nghiệp lớn, chứ không ảnh hưởng đến doanh nghiệp và kinh tế Việt Nam là không chính xác. Bởi chi phí tăng thêm đó không phải do các ‘ông lớn’ gánh một mình mà được phân bổ lan tỏa đến toàn bộ doanh nghiệp, dù lớn, dù nhỏ. Thiệt hại cuối cùng thuộc về toàn bộ nền kinh tế như phân tích đã nêu.

Đáng tiếc rằng, dù được phân tích và góp ý nhiều, yêu cầu ‘máy chủ’, ‘dữ liệu’ được xào xáo lại về ngôn ngữ nhưng bản chất pháp lý không hề thay đổi. Sau các lần chỉnh lý, dự thảo Luật trình phiên họp 24 của Uỷ ban Thường vụ, ngày 16 tháng 5, chỉ thay đổi ngôn ngữ và cách viết. Theo đó không trực tiếp yêu cầu đặt máy chủ, dữ liệu tại Việt Nam, nhưng yêu cầu ‘lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam’. Điều này có hàm ý pháp lý rằng, để tuân thủ được yêu cầu đó, dữ liệu và máy chủ vẫn phải đặt tại Việt Nam.

Hơn thế nữa, cái ‘mất’ của Luật an ninh mạng nếu được thông qua có thể còn cao hơn thế, nếu tính đến cả chi phí về giấy phép con, chi phí tốn kém do thanh kiểm tra, vốn được trao quyền cho lực lượng chuyên trách an ninh mạng. Cách quy định mơ hồ ‘doanh nghiệp phải đảm bảo chất lượng sản phẩm’ là cánh cửa mở cho những các loại tiêu chuẩn, quy chuẩn để sau này các bộ ngành có thể đặt ra ‘giấy phép con cháu’ và nhũng nhiễu doanh nghiệp. Báo cáo định kỳ về an ninh mạng là một loại chi phí nữa có thể phát sinh. Và với thực tiễn Việt Nam, rất nhiều các loại ‘thông báo’ ‘báo cáo’ đã dễ dàng bị biến tướng thành ‘giấy phép’ – thành một ‘thủ tục’ để yêu cầu ‘bôi trơn’. Bởi rất dễ hiểu, không ‘bôi trơn’, báo cáo rất dễ không đạt yêu cầu, đặc biệt khi an ninh mạng, an ninh quốc gia trong luật là những tiêu chí nặng về cảm tính hơn là khoa học.

Trao quyền quá lớn cho lực lượng chuyên trách an ninh mạng, Bộ Công An

Đáng nói hơn, điều 24 của dự thảo luật, trao cho lực lượng này quyền được kiểm tra cả những hệ thống thông tin không quan trọng về an ninh quốc gia khi có dấu hiệu ảnh hưởng đến an ninh quốc gia. Trong khi tiêu chí xác định thế nào là an ninh quốc gia không được làm rõ, điều này tạo ra rủi ro, cho phép lực lượng này được phép kiểm tra, can thiệp vào tất cả hệ thống thông tin, dữ liệu của các tổ chức, doanh nghiệp. Nếu như vậy, bí mật kinh doanh của tổ chức, doanh nghiệp, dữ liệu cá nhân của công dân làm sao có thể đảm bảo?

Đáng lo ngại hơn, quy định này, kết hợp với việc luật trao cho cơ quan chức năng được quyền được yêu cầu tiếp cận tài khoản người dùng (như quy định tại khoản a, b điều 26 của dự thảo), mà không đi kèm với hướng dẫn thủ tục rõ ràng, càng khiến rủi ro bị xâm phạm quyền riêng tư của người dùng internet Việt Nam gia tăng. Bởi đơn giản là chỉ cần ‘bịa đặt, xuyên tạc, làm nhục, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm của cá nhân’, – chưa cần biết đến tính chất, mức độ của hành vi, cũng đã là hành vi bị cấm, bị đặt vào diện gây mất an ninh mạng và là lý do hợp pháp để cơ quan chức năng có thể can thiệp.

Trong lịch sử lập pháp Việt Nam, có lẽ chưa có tiền lệ làm luật nào mà một cơ quan chủ trì soạn thảo lại, sử dụng quyền ‘viết luật’ trong tay mình để tự trao cho mình nhiều quyền lực đến vậy. Và điều kiện để thực thi quyền lực đó lại cũng quá dễ dàng khi một loạt hoạt động kiểm tra, thậm chí yêu cầu doanh nghiệp tạm dừng, dừng hẳn hoạt động mà hề không hề phải trải qua các trình tự thủ tục từ phía cơ quan tư pháp (tòa án).

Nhưng ‘viết luật’ có thể thuộc về cơ quan soạn thảo, quyền ‘xem xét’ và thông qua nằm trong tay đại biểu. Và đại biểu, mới là người chịu trách nhiệm cuối cùng về việc liệu có thông qua một đạo luật, mà lợi ích thu được về an ninh quốc gia, an toàn thông tin cho người dân chưa rõ ràng, nhưng thiệt hại về kinh tế; thiệt hại về quyền con người là nhãn tiền.

Bình Luận từ Facebook