Luật về an ninh mạng của Việt Nam đe dọa đến
quyền riêng tư và mã hóa thông tin

Mới đây chính phủ Việt Nam đã mở một "cửa hậu" (backdoor) trên các kênh truyền thông được mã hóa. Chính vì vậy, các nhà hoạt động xã hội Việt Nam cần lưu ý điều này.

Việt Nam hiện đang là quốc gia bị tấn công mạng nhiều nhất vì những căng thẳng ngoại giao với Trung Quốc [1]. Đợt tấn công hồi tháng Bảy vào hệ thống tại sân bay Nội Bài đã cho thấy quy mô tội phạm mạng và vấn nạn tấn công mạng tại của Việt Nam. Mã độc được gửi đến người dùng internet, bao gồm cả nhân viên của các cơ quan chính phủ, được cho là cửa tấn công chính của những kẻ xâm nhập.

Cùng lúc đó, vào ngày 1 tháng Bảy, Việt Nam đã ban hành Luật An ninh Thông tin Mạng. Luật này cho phép đặt một hệ thống nhằm phân loại thông tin dạng số và ghi rõ những bước mà các tổ chức công cần thực hiện theo để bảo vệ dữ liệu đó. Chính phủ Việt Nam đã ủy thác cho Bộ Thông tin và Truyền thông phối hợp cùng Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) là cơ quan lãnh đạo trong cuộc chiến chống lại tội phạm mạng.

Nếu nhìn trên bề mặt thì luật này bao gồm cả việc bảo vệ tính riêng tư của người dùng và sự tự do sử dụng internet. Tuy nhiên, khi đào sâu hơn thì thấy rõ ràng là quyền của người sử dụng đã bị xếp sau các vấn đề được cho là có liên quan đến an ninh quốc gia và “trật tự xã hội”. Đặc biệt, luật này có thể được dùng để hạn chế người dân sử dụng các kênh truyền thông được mã hóa cũng như cho phép đánh cắp và giải mã các dữ liệu trong những trường hợp được cho rằng là cần thiết.

Đầu tiên, hãy nói về tin tốt

Về nguyên tắc, bộ luật này bảo vệ quyền riêng tư về thông tin. Việc đối phó với các sự cố an ninh thông tin mạng “có thể không được xâm phạm bí mật cá nhân và gia đình của các cá nhân và thông tin mật của các tổ chức.”

Luật cũng quy định rằng không ai được quyền chặn hay xâm nhập vào internet, các hành vi bị cấm bao gồm “chặn đường truyền mạng” và “gây ảnh hưởng hoặc cản trở bất hợp phát đến hoạt động của hệ thống thông tin và sự truy cập thông tin của người sử dụng.”

Luật này cũng quy định: “Việc xâm nhập vào các bí mật được mã hóa và các thông tin của các cơ quan, tổ chức và cá nhân” đều bị cấm – mặc dù điều luật này cũng chỉ ra rằng “việc sử dụng và giao dịch trong các sản phẩm mật mã dân sự không rõ nguồn gốc” cũng bị cấm (các dịch vụ và công cụ mã hóa thương mại sẽ phải xin giấy phép, xem tiếp bên dưới).

Nhưng cuối cùng, vấn đề an ninh đã chiến thắng

Tại Khoản 2, Điều 16 của Luật An ninh Thông tin Mạng, quyền riêng tư cá nhân bị xem nhẹ hơn các điều luật về an ninh và quốc phòng:

“Việc xử lý thông tin cá nhân nhằm mục đích đảm bảo an ninh quốc phòng, trật tự xã hội và vấn đề an toàn hay các mục đích phi thương mại phải tuân thủ theo các luật khác có liên quan.”

Chương 3 của bộ luật này cũng đề cập đến vấn đề “mật mã dân sự” (bao gồm lưu trữ, gửi và nhận các thông điệp được mã hóa). Từ góc độ về quyền, thì chương này và Nghị định về Mật mã Dân sự được ban hành vào tháng Bảy năm 2016 có liên quan mật thiết với nhau.[2]

Các công cụ và dịch vụ mã hóa hiện được chia thành hai loại chủ yếu – gồm những loại cần có giấp phép và những loại có thể phân phối miễn phí mà không cần giấy phép.

Những dịch vụ trò chuyện được sử dụng rộng rãi như WhatsApp, cho phép mã hóa đầu cuối, thì không cần xin phép: “Các hệ thống vận hành, trình duyệt Internet và phần mềm với các thành phần mã hóa tích hợp (dù cho việc mã hóa để bảo mật thông tin không phải là chức năng chính), được sử dụng rộng rãi và được phát triển để người dùng cài đặt mà không cần sự trợ giúp từ nhà cung cấp” đều được miễn giấy phép.

Tuy nhiên, tất cả các dịch vụ và công cụ khác vốn tập trung vào mã hóa thông tin, bao gồm PGP email (một công cụ mã nguồn mở) và các dịch vụ khác sử dụng hệ thống hạ tầng khóa công khai (public key infrastructure) giờ sẽ phải trải qua quy trình xin cấp phép dài dòng và phức tạp để được sử dụng hợp pháp tại Việt Nam. [3]

Bên cạnh việc phải trả phí xin cấp phép, các doanh nghiệp kinh doanh các sản phẩm và dịch vụ mật mã dân sự phải được thẩm định kỹ thuật, phải có kế hoạch kinh doanh phù hợp với các quy định, cùng với một kế hoạch về thông tin mạng, bảo mật và an ninh.

Bên cạnh các thủ tục phức tạp này, luật cũng yêu cầu doanh nghiệp phải thiết đặt một dạng cửa hậu trong hệ thống thông tin được mã hóa.

Điều 36 ghi rằng trách nhiệm của người sử dụng các sản phẩm và dịch vụ mật mã bao gồm: “Cung cấp thông tin cần thiết liên quan đến các mã khóa cho các cơ quan nhà nước có thẩm quyền khi được yêu cầu.” Hơn nữa, tất cả người dùng, trừ các nhân viên công tác trong ngành ngoại giao và các cơ quan liên chính phủ, đều phải khai báo việc sử dụng sản phẩm mật mã dân sự với Ban Cơ yếu Chính phủ.

Nghị định hồi tháng Bảy năm 2016 về Mật mã Dân sự có nhiều từ ngữ mơ hồ qua đó cho phép chính quyền được truy cập vào thông tin mã hóa (xem các điểm c và d ở dưới) và sẽ xử phạt bất cứ cá nhân hay tổ chức nào không hợp tác:

Điều 8:

Xử phạt từ 40.000.000 đến 50.000.000 VNĐ đối với các trường hợp:
a) Kinh doanh các sản phẩm và dịch vụ mật mã dân sự, xuất khẩu và nhập khẩu các sản phẩm này mà không có giấy phép…;
b) Không tạm ngừng và ngừng cung cấp các sản phẩm và dịch vụ mật mã dân sự để đảm bảo an ninh quốc phòng, an ninh quốc gia và trật tự an toàn xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền.
c) Không phối hợp và hỗ trợ cơ quan nhà nước có thẩm quyền thực hiện các biện pháp nghiệm vụ khi có yêu cầu
d) Từ chối cung cấp thông tin cần thiết liên quan đến khóa mã khi các cơ quan nhà nước có thẩm quyền yêu cầu.
Một luật sư người Việt tại nước ngoài giấu tên đã chỉ ra lỗi trong những điểm trên: “Theo nghị định này thì không phối hợp theo yêu cầu hay từ chối cung cấp thông tin khóa mã sẽ bị phạt nặng. Hơn nữa, các yêu cầu này không hề kèm theo sự tham gia của tòa án hay bất cứ trình tự cụ thể nào. Vì lẽ đó, ở đây cũng không hề đề cập đến quy định về quyền riêng tư cá nhân.”

Phần lớn các nhà hoạt động xã hội tại Việt Nam đề không lên tiếng về Luật An ninh Thông tin Mạng năm 2015 và sau đó là Nghị định về Mật mã Dân sự. Đó là vấn đề liên quan đến kỹ thuật vốn không có nhiều người am hiểu.

Hiện không có bất cứ dữ liệu nào về việc sử dụng phương tiện truyền thông được mã hóa tại Việt Nam, nhưng theo báo cáo trong giai đoạn gần đây của các nhà hoạt động thì nó hiếm khi được sử dụng. Ứng dụng WhatsApp (được mã hóa đầu cuối) không được sử dụng rộng rãi như Zalo hay Facebook Messenger (vốn không được mã hóa).

Khi người dân Việt Nam ngày càng trở nên hiểu biết về internet hơn thì sự quan tâm dành cho vấn đề mã hóa càng được gia tăng, nhất là khi môi trường tội phạm mạng tại Việt Nam tăng cao như hiện nay. Nghị định mới này, nếu được thông qua, sẽ làm kiềm chế sự phát triển của phương tiện liên lạc an toàn. Cũng khá là thú vị xem xem chính quyền Việt Nam sẽ làm thế nào để cân bằng được chi phí điều hành và kiểm soát việc sử dụng dịch vụ mã hóa dân sự cũng như bảo mật dữ liệu trong công cuộc chống lại tội phạm mạng và các đợt tấn công mạng trên diện rộng.

Theo Tia Sáng Việt Nam

[1] Báo cáo Global Threat năm 2014 của công ty an ninh mạng Crowdstrike: “Việt Nam - quốc gia có khả năng bị tấn công nhiều nhất và Goblin Panda (nhóm ở Trung Quốc chuyên phát tán mã độc)- đối thủ hoạt động tích cực nhất”

[2] Tên đầy đủ: Nghị định 58/2016/NĐ-CP về việc Kinh doanh Sản phẩm và Dịch vụ Mật mã Dân sự và Xuất khẩu, Nhập khẩu Sản phẩm Dịch vụ Mật mã Dân sự.

[3] Dù cho các công cụ chat có quảng cáo về tính an toàn khi sử dụng, thì khả năng mã hóa được miễn giấy phép đều không rõ ràng.

nguồn: https://www.danluan.org/tin-tuc/20160911/luat-ve-an-ninh-mang-cua-viet-nam-de-doa-den-quyen-rieng-tu-va-ma-hoa-thong-tin