Luật ANM: Nguy cơ ‘cho cả an ninh và kinh tế’

BBC

Kỹ sư Dương Thái

Gửi đến BBC từ Silicon Valley, Hoa Kỳ

16-10-2018

BBC xin giới thiệu phần hai bài viết của kỹ sư Dương Thái về những điều tác giả cho là nguy cơ về kinh tế và an ninh cho Việt Nam mà Luật An ninh mạng có thể đem lại. Xem phần một: ‘Từ Silicon Valley nghĩ về dự thảo nghị định thực thi Luật ANM‘

Bắt buộc các công ty lưu trữ dữ liệu ở Việt Nam chẳng những không đem lại lợi ích gì trong việc phòng chống tội phạm, đẩy Việt Nam vào thế đối đầu các tập đoàn công nghệ lớn, mà còn tạo ra nhiều nguy cơ không thể xem thường cho nền kinh tế, đặc biệt là kinh tế công nghệ, quyền riêng tư của người dân và cả hệ thống chính trị. Đây không phải là ý kiến của cá nhân tôi mà còn là của rất nhiều học giả, luật sư, chuyên gia công nghệ và các nhà nghiên cứu luật pháp quốc tế.

Trong phần này tôi sẽ nói về các rủi ro cho nền kinh tế, sau đó tôi sẽ bàn về các rủi ro an ninh.

Muốn lưu dữ liệu thì phải có trung tâm dữ liệu. Nhưng khả năng các công ty nước ngoài xây dựng trung tâm dữ liệu ở Việt Nam là gần như bằng không. Không phải họ ghét bỏ gì Việt Nam, mà đây là bài toán kinh tế. Việt Nam không phải là trung tâm, đầu mối Internet của thế giới và khu vực.

Đường truyền Internet quốc tế của Việt Nam đã có nhiều cải thiện, nhưng dăm bữa nửa tháng lại có sự cố. Chỉ số Rủi Ro Trung Tâm Dữ Liệu, một báo cáo xếp hạng các quốc gia dựa vào công nghệ, kinh tế và an ninh chính trị đối với trung tâm dữ liệu, thậm chí còn không xếp hạng Việt Nam (Trung Quốc, Indonesia và Nga, những quốc gia bắt buộc lưu dữ liệu nội địa xếp hạng rất thấp).

Có thông tin cho rằng các công ty lớn trên thế giới đã đặt hàng ngàn máy chủ ở Việt Nam từ lâu rồi. Nói thế chỉ đúng một nửa. Đúng là các công ty đã có thuê mướn, đặt máy chủ ở Việt Nam, nhưng các máy chủ này đều không lưu dữ liệu cá nhân (như đã định nghĩa trong dự thảo 03/10/2018), mà chỉ lưu tạm (caching) một số ít dữ liệu ai cũng đã biết ví dụ như các video công cộng được chia sẻ trên mạng xã hội.

Về mặt kỹ thuật, việc lưu trữ đầy đủ dữ liệu cá nhân đòi hỏi các công ty lớn phải thiết lập cơ sở hạ tầng máy chủ, sử dụng phần cứng chuyên biệt, với quy mô gấp vài chục lần những gì họ đang có tại Việt Nam.

Nếu không có trung tâm dữ liệu ở Việt Nam, các công ty sẽ lưu dữ liệu người dùng ở đâu?

Họ chỉ có hai lựa chọn: đóng cửa không phục vụ Việt Nam hoặc sao chép dữ liệu thô về đặt ở các máy chủ thuê mướn của các công ty như Viettel hay VNPT. Các công ty lớn, có doanh thu tương đối ở Việt Nam sẽ sao chép dữ liệu, còn lại đa số những công ty nhỏ hơn, doanh thu không đáng kể, tôi dự đoán sẽ cấm cửa người đến từ Việt Nam.

Việc bóc tách dữ liệu, sao chép về Việt Nam sẽ làm tăng chi phí thiết kế, vận hành sản phẩm. Tất cả chi phí này sẽ đổ lên đầu người dân Việt Nam, khi các công ty tăng giá thành dịch vụ, sản phẩm đối với thị trường Việt Nam.

Việc sao chép dữ liệu đến nhiều nơi còn làm gia tăng rủi ro dữ liệu bị xâm phạm, nếu xảy ra sự cố sẽ ảnh hưởng rất xấu đến hoạt động kinh doanh của các công ty công nghệ, vốn dựa rất lớn vào niềm tin của khách hàng. Đó là lý do nhiều công ty đã phản đối Luật An ninh mạng.

Đơn cử, Business Software Alliance, một tổ chức có nhiều thành viên là các công ty công nghệ lớn như Adobe, Apple, IBM, Microsoft, Oracle, hay Salesforce, đã có một kiến nghị rất chi tiết phản đối Luật An ninh mạng và yêu cầu xóa điều luật lưu trữ dữ liệu nội địa.

Ngoài ra Asia Internet Coalition, hiệp hội bao gồm các công ty công nghệ hàng đầu về Internet như AirBnB, Amazon, Apple, Expedia, Facebook, Google, Line, LinkedIn, Rakuten, Twitter và Yahoo, đã đưa ra một thông báo rằng họ nghĩ Luật An ninh mạng sẽ ảnh hưởng tiêu cực đến kinh tế Việt Nam.

Ngoài yêu cầu lưu trữ dữ liệu, Khoản 5, điều 58 của dự thảo 03/10/2018 còn yêu cầu các công ty phải chuyển giao hàng loạt cho Cục An ninh mạng “nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch” sau 36 tháng kể từ lúc dữ liệu được thu thập. Nếu công ty đóng cửa hoạt động hoặc ngừng cung cấp dịch vụ, phải chuyển giao tất cả thông tin người dùng cho Cục An ninh mạng.

Quy định này hoặc là không thực hiện được hoặc là sẽ đẩy tất cả các công ty quốc tế ra khỏi Việt Nam. Ưu tiên hàng đầu của các công ty quốc tế là đảm bảo an toàn dữ liệu và riêng tư cho khách hàng, họ không thể nào đơn phương tùy tiện chuyển giao dữ liệu cho bên thứ ba. Nếu có chuyển các công ty cũng chỉ có thể chuyển từng trường hợp cụ thể, sau khi có lệnh của tòa án, xét duyệt của luật sư và cơ quan tư pháp chính phủ Mỹ.

Các công ty làm sao biết được Bộ Công an sẽ quản lý dữ liệu, sử dụng và chia sẻ dữ liệu của họ như thế nào. Nhưng nếu vì bất kỳ lý do gì dữ liệu bị lộ ra ngoài, họ sẽ hứng đủ.

Sự cố lộ dữ liệu liên quan đến Cambridge Analytica đã khiến cổ phiếu Facebook sụt giảm 13%, tức khoảng 75 tỉ USD. Để so sánh, theo một nguồn tin không chính thức, doanh thu năm 2015 của Facebook ở Việt Nam là 150 triệu USD. Rõ ràng doanh thu ở Việt Nam chỉ là muối bỏ bể so với thiệt hại mà Facebook có thể phải gánh chịu nếu để xảy ra sự cố lộ dữ liệu.

Vả lại, dữ liệu là tài sản của công ty, yêu cầu họ chuyển sang cho chính phủ Việt Nam chẳng khác nào quốc hữu hóa. Ai sẽ còn muốn làm ăn ở Việt Nam?

Một khi rủi ro, áp lực chính trị và chi phí hoạt động quá cao, các công ty sẽ phải tính đến phương án rút khỏi Việt Nam. Đã có rất nhiều tiền lệ các công ty rút khỏi thị trường khi không thể chịu đựng được luật pháp sở tại. Mới đây thôi, khi Châu Âu chính thức đưa vào thực thi General Data Protection Regulation rất nhiều trang web ở Mỹ đã ngưng phục vụ khách hàng Châu Âu.

Nếu các công ty rút khỏi Việt Nam, chúng ta sẽ lấy gì thay thế, Baidu và Weibo chăng?

Không phải Việt Nam không thể tự xây dựng những sản phẩm “Made in Vietnam” để thay thế. Nhưng để vươn ra thế giới, có một nền công nghiệp số tầm cỡ thế giới, Việt Nam cần vốn, công nghệ và tài năng của thế giới. Buôn có bạn, bán có phường, một khi các tập đoàn lớn nói không với Việt Nam thì cả thế giới công nghệ sẽ chẳng ai muốn chơi với chúng ta nữa (ngoại trừ Trung Quốc, tôi sẽ nhắc đến trong phần sau). Không có vốn, không có công nghệ, không có tài năng, không có cách chi Việt Nam xây dựng được những công ty công nghệ tầm cỡ thế giới.

Hy sinh kinh tế mà không đảm bảo được an ninh

Đôi khi vì an ninh quốc gia, vì riêng tư của người dân chúng ta buộc phải cắn răng chọn lựa những chính sách gây hại cho phát triển kinh tế.

Nhưng trong phần này tôi sẽ giải thích tại sao Luật An ninh mạng và dự thảo 03/10/2018 khiến cho Việt Nam tiền mất tật mang, vừa gây nguy hiểm cho sự phát triển kinh tế vừa tạo ra những rủi ro đáng ngại cho an ninh quốc gia và sự riêng tư của người dân cũng như toàn bộ hệ thống chính trị.

Như đã phân tích ở trên, vì lý do kinh tế, các công ty sẽ không thể nào xây dựng trung tâm dữ liệu đúng chuẩn ở Việt Nam. Họ sẽ phải chép dữ liệu ra khỏi các trung tâm dữ liệu được bảo vệ tối đa của họ, nghĩa là dữ liệu của người Việt Nam sẽ không được bảo vệ như dữ liệu của phần còn lại của thế giới.

Thay vì chỉ phải tập trung bảo vệ dữ liệu ở một nơi, các công ty phải phân tán nguồn lực để bảo vệ nhiều nơi khác nhau. Các công ty công nghệ lớn còn có đủ tài chính và nhân lực để thiết kế các giải pháp đảm bảo an ninh, còn các công ty nhỏ hơn, đặc biệt là những công ty đang sử dụng dịch vụ Cloud Computing ở nước ngoài, sẽ chọn những giải pháp nội địa đơn giản, rẻ tiền nhưng cũng kém an toàn nhất.

Tại khoản 6, điều 58 của dự thảo 03/10/2018, Bộ Công an tuyên bố họ sẽ xây dựng trung tâm dữ liệu để tiếp nhận dữ liệu mà họ yêu cầu các công ty cung cấp. Nói cách khác, toàn bộ dữ liệu của người Việt Nam sẽ được lưu ở một chỗ duy nhất, tạo thành một mục tiêu béo bở cho giới tội phạm mạng và lực lượng tình báo mạng của các quốc gia khác.

Nếu chúng ta lo lắng giới tội phạm hay lực lượng tình báo mạng của các quốc gia khác xâm phạm dữ liệu của người Việt Nam, tôi không hiểu tại sao dự thảo lại cho rằng việc chuyển dữ liệu từ Singapore hay Đài Loan về Việt Nam sẽ khiến dữ liệu được an toàn hơn. Internet không có biên giới, chuyển địa điểm lưu trữ không làm cho dữ liệu an toàn hơn, trái lại là đằng khác.

Thay vì sử dụng dịch vụ Cloud Computing của những nhà cung cấp dịch vụ tốt nhất thế giới, các công ty sẽ phải sử dụng dịch vụ của các công ty nội địa, vốn có rất ít kinh nghiệm trong việc chống tội phạm chuyên nghiệp và lực lượng tình báo mạng của các quốc gia.

Tôi chia sẻ lo lắng của chính phủ về việc dữ liệu cá nhân của người Việt Nam nằm trong sự kiểm soát của các công ty quốc tế, nhưng nóng vội đem dữ liệu về Việt Nam ở thời điểm hiện tại không giúp được gì mà còn làm tăng nguy cơ dữ liệu bị xâm phạm.

Tôi thấy rất khó hiểu khi người ta giải thích Luật An ninh mạng và dự thảo 03/10/2018 sẽ giúp bảo vệ riêng tư của người dân. Có lẽ câu hỏi đầu tiên chúng ta cần phải đặt ra là: bảo vệ chống lại ai?

Tôi được biết Bộ trưởng Văn phòng Chính phủ Mai Tiến Dũng sử dụng Gmail. Tôi đoán ngài Bộ trưởng, như bao người dân khác, cũng mong muốn có được an toàn và riêng tư khi sử dụng Internet.

Nhưng dự thảo 10/03/2018 sẽ cho phép Cục An ninh mạng đơn phương, không thông qua bất kỳ cơ chế kiểm soát, yêu cầu bên cung cấp dịch vụ cung cấp tất cả dữ liệu, bao gồm tất cả email của ngài bộ trưởng. Sau khi đã lấy được thông tin, Cục An ninh mạng sẽ lưu trữ, sử dụng, tiết lộ thông tin đó như thế nào, là toàn quyền quyết định của họ. Nói cách khác, không chỉ người dân, mà cả lãnh đạo cấp cao và toàn bộ hệ thống chính trị sẽ nằm trong tầm kiểm soát của công an.

Với viễn cảnh u tối như Đông Đức năm 1984, ai còn muốn đến Việt Nam sống và làm việc? Nếu không thu hút được tài năng, làm sao chúng ta có đủ nhân lực để làm cách mạng công nghệ?

Thật khó để không nghĩ đến yếu tố Trung Quốc khi bàn đến Luật An ninh mạng, nhất là khi Luật An ninh mạng Việt Nam rất giống Luật An ninh mạng Trung Quốc. Trong phần này tôi giải thích tại sao sao chép Trung Quốc chỉ làm lợi cho họ nhưng gây hại cho Việt Nam.

Với sức mạnh của nền kinh tế lớn thứ hai và sức hút của thị trường lớn nhất thế giới, Trung Quốc có thừa khả năng đặt ra luật chơi riêng và bắt buộc các công ty phải tuân theo. Apple vừa rồi đã đồng ý chuyển dữ liệu iCloud của người Trung Quốc về Trung Quốc. Facebook luôn thèm khát thị trường Trung Quốc, đã nhiều lần xin giấy phép, nhưng vẫn chưa được chính phủ Trung Quốc cho vào. Tháng 7 vừa qua, Trung Quốc cấp giấy phép cho Facebook nhưng ngay lập tức thu hồi chỉ sau đó một ngày.

Có thể thấy rằng cách mà Trung Quốc ép các công ty công nghệ là cơ sở để những nhà làm luật Việt Nam tạo ra Luật An ninh mạng, nhưng Việt Nam không phải Trung Quốc, chúng ta không có đủ tài lực để ra yêu sách với thế giới. Trung Quốc không cho Facebook vào, còn Facebook không thèm vào Việt Nam. Cùng một chính sách, nhưng kết quả không thể khác nhau hơn.

Mô hình phát triển kinh tế số của Trung Quốc không thể áp dụng cho Việt Nam. Trung Quốc có một thị trường nội địa rộng lớn, và sau hơn 30 năm liên tục nhận vốn và công nghệ thế giới, Trung Quốc đã có những trung tâm nghiên cứu, những trường đại học, những tập đoàn công nghệ, những quỹ đầu tư top đầu thế giới.

Trước đây Trung Quốc chỉ sao chép công nghệ thế giới, nhưng bây giờ họ đặt ra mục tiêu năm 2030 sẽ vượt Mỹ, đứng đầu thế giới về những công nghệ cao cấp như Trí Tuệ Nhân Tạo.

Việt Nam không có gì có thể so sánh được cả. Chúng ta chỉ có gần 100 triệu dân, nhưng sức mua không lớn vì dân còn nghèo, phương tiện thanh toán điện tử còn chưa phổ biến. Tình trạng gian lận tràn lan (ví dụ như đánh cắp thẻ tín dụng để mua hàng hay click quảng cáo giả) cũng khiến việc kinh doanh trên Internet ở Việt Nam có chi phí cao hơn các quốc gia khác.

May mắn cho chúng ta, phương Tây đang rất lo sợ Trung Quốc, họ mong muốn tìm kiếm một đối tác khác để đầu tư, hợp tác và Việt Nam đang nổi lên như là một lựa chọn tốt. Để phát triển, Việt Nam cần dịch vụ, sản phẩm tiên tiến của thế giới, nhưng cần nhất vẫn là vốn, công nghệ và tri thức để tự phát triển các sản phẩm tương tự.

Nhưng dự thảo 03/10/2018 chẳng khác nào một lời tuyên bố rằng Việt Nam không muốn đi cùng với thế giới. Không gì có lợi hơn cho Trung Quốc và bất lợi hơn cho Việt Nam khi Việt Nam “xù lông nhím” với phương Tây, vì Trung Quốc sẽ “bất chiến tự nhiên thành” loại bỏ bớt một đối thủ cạnh tranh thu hút vốn và công nghệ của thế giới.

Nguy hiểm hơn hết, khi Việt Nam cản trở các công ty công nghệ phương Tây, các tập đoàn công nghệ rất giàu mạnh của Trung Quốc sẽ thao túng thị trường và dữ liệu của người Việt Nam. Chuyện gì sẽ xảy ra nếu Baidu, Tencent, Alibaba tổng “tấn công” thị trường Việt Nam?

Trước khi phát triển được những sản phẩm nội địa, chúng ta vẫn cần những đối tác phương Tây để đảm bảo dữ liệu không rơi vào tay Trung Quốc, nếu không muốn học lại mãi bài học lịch sử ngàn đời của cha ông.

Thay vì sao chép Trung Quốc để rồi phải lệ thuộc hoàn toàn vào Trung Quốc, Việt Nam cần phải đi một con đường khác, xích lại gần hơn với thế giới.

Chúng ta vẫn phải chơi với Trung Quốc, nhưng mục tiêu là giảm lệ thuộc và phải tận dụng lợi thế cạnh tranh của mình. Nhờ có Internet tự do hơn, so với Trung Quốc, Việt Nam có một xã hội cởi mở hơn và một không gian tự do ngôn luận rộng rãi hơn. Để tồn tại và phát triển, chúng ta phải giữ được những khác biệt này.

Nếu Trung Quốc yêu cầu lưu trữ dữ liệu nội địa, Việt Nam phải giải phóng dữ liệu và trở thành thiên đường dữ liệu nơi mà cả thế giới có thể an tâm lưu trữ dữ liệu của họ. Nếu Trung Quốc đóng cửa Internet, Việt Nam phải có Internet tự do. Nếu Trung Quốc có Vạn Lý Hỏa Thành (Great Fire Wall), Việt Nam phải dùng Internet để kết nối và đi cùng thế giới.

Bài viết thể hiện thể hiện quan điểm và văn phong của tác giả, một chuyên gia về bảo mật thông tin đang làm việc tại Silicon Valley, California, Hoa Kỳ.