Thư ngỏ gửi Quốc hội về dự thảo luật An Ninh Mạng (Dương Ngọc Thái)
Thứ hai, chính sách an ninh mạng quốc gia cần phải bảo vệ quyền riêng
tư của người dân. Quyền riêng tư là một quyền hiến định và được Liên
Hợp Quốc công nhận là quyền cơ bản của con người. Nhà nước không thể dựa
vào lý do an ninh quốc gia để tùy tiện xâm phạm riêng tư của người dân.
Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm việc ở Mỹ. Tôi
năm nay 34 tuổi, bắt đầu học và làm an ninh mạng từ năm 18 tuổi. Năm 20
tuổi tôi đã là trưởng phòng an ninh mạng của một Ngân hàng ở Việt Nam.
Năm 2011, tôi rời Việt Nam sang Silicon Valley làm việc. Tôi là một
chuyên gia nghiên cứu về an ninh phần mềm. Các phát hiện của tôi có ảnh
hưởng sâu rộng đến sự an toàn của Internet, được trích dẫn trong nhiều
bài báo khoa học, được đưa vào giảng dạy ở các đại học danh tiếng và
đăng tải trên các tờ báo lớn trên thế giới.
Tôi giới thiệu dài dòng như vầy với hi vọng Quốc Hội hiểu rằng tôi là
một kỹ sư an ninh mạng có kinh nghiệm thực tế và được thế giới biết
đến.
Để soạn thảo và thông qua một bộ luật đòi hỏi nhiều kiến thức chuyên
môn như Luật An Ninh Mạng, Chính phủ và Quốc hội cần phải dựa vào sự tư
vấn và lắng nghe ý kiến của các chuyên gia. Tuy vậy cho đến ngày
31/5/2018, mục “Ý kiến chuyên gia" trên trang Dự Thảo Online của Quốc
hội không có ý kiến nào. Cá nhân tôi chỉ biết về dự thảo khi báo chí đưa
tin. Với trách nhiệm xã hội của một chuyên gia, tôi viết thư này để
chia sẻ với Quốc hội và những ai quan tâm góc nhìn của một người đã dành
nhiều thời gian suy nghĩ về an ninh mạng. Ba vấn đề tôi đặt ra và phân
tích với Quốc hội (1) liệu dự thảo có đưa ra được các giải pháp chính
sách thực sự để giải quyết vấn đề an ninh mạng? (2) tác động dự thảo đến
doanh nghiệp, đến phát triển kinh tế như thế nào; và (3) khuyến nghị
của tôi cho luật an ninh mạng và chính sách an ninh mạng Việt Nam.
Đây là ý kiến của cá nhân tôi, không thể hiện quan điểm hay ý kiến của nơi tôi làm việc hay bất kỳ ai khác.
Chống nói xấu Đảng không đảm bảo được an ninh mạng
Tôi đã học và làm việc chung với nhiều giáo sư và chuyên gia hàng đầu
thế giới, nhưng tôi chưa bao giờ nghe ai giải thích về an ninh mạng như
đại biểu Nguyễn Thanh Hồng - Uỷ viên thường trực Uỷ ban Quốc phòng và
An ninh của Quốc hội đã nói trên tờ VnExpress: "An ninh mạng nếu giải
thích dễ hiểu nhất là không truyền bá, cổ súy, khai thác những nội dung
chống phá Đảng, Nhà nước và làm sao để mỗi công dân có ý thức trong việc
phòng chống tội phạm, bảo vệ bản thân và gia đình". Hiểu an ninh mạng
như vậy là sai bản chất và có thể dẫn đến nguy cơ vừa mất an ninh quốc
gia vừa kìm hãm sự phát triển của đất nước.
Đúng là Việt Nam đã và đang liên tục bị tấn công trên không gian
mạng. Năm 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục
vì Trung Quốc kéo giàn khoan HD-981 vào Biển Đông, các chuyên gia đã
phát hiện hệ thống máy tính của Bộ Tài Nguyên Môi Trường Việt Nam bị xâm
nhập. Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà
nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hải trình, báo
cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt
động tuần tra bảo vệ của Việt Nam trên Biển Đông. Ngoài Bộ Tài Nguyên
Môi Trường, Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn
Thông Việt Nam cũng bị xâm nhập. Có nhiều bằng chứng để tin rằng những
đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc.
Gần đây hơn, nhiều sự cố an ninh mạng cũng liên tục xảy ra:
- Tháng 5/2016, ngân hàng Tiên Phong Bank bị hacker xâm nhập, đánh
cắp 1,1 triệu đôla Mỹ (đại diện Tiên Phong Bank nói rằng họ phát hiện và
chặn được tấn công đúng lúc).
- Tháng 7/2016, mạng máy tính sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines bị hacker Trung Quốc phá hoại.
- Tháng 5/2017, ngay trong lúc ngài Thủ tướng Nguyễn Xuân Phúc đang
sang thăm Mỹ, hệ thống máy chủ email của Bộ Ngoại Giao lại bị hacker
“lạ" xâm nhập.
- Từ nhiều năm nay, các công ty công nghệ Việt Nam đã nằm trong tầm
ngấm của những nhóm hacker “lạ". Tháng 4/2018, kẻ tấn công đã tung lên
mạng thông tin cá nhân bao gồm tên, ngày sinh, chứng minh nhân dân, số
điện thoại, email và mật khẩu của gần 75 triệu tài khoản người dùng của
VNG, công ty game và Internet lớn nhất Việt Nam.
Có lẽ không cần nói thêm, Quốc hội cũng hiểu rằng “chống truyền bá,
cổ súy, khai thác những nội dung chống phá Đảng, Nhà nước” không thể bảo
vệ Việt Nam khỏi những vụ tấn công như trên.
Đảm bảo an ninh mạng không có nghĩa là phải hi sinh phát triển kinh tế và tự do của người dân
Trong lúc hệ thống mạng máy tính Việt Nam liên tục bị tấn công, chính
phủ mất bí mật, doanh nghiệp bị mất tiền, người dân mất thông tin cá
nhân, sẽ là một sai lầm chiến lược nếu Quốc hội thông qua dự thảo Luật
An Ninh Mạng. Dự thảo này không có nhiều sáng kiến cụ thể có thể giúp
Việt Nam kiện toàn an ninh mạng mà còn có khả năng cản trở đà phát triển
kinh tế, kìm hãm sự tự do sáng tạo và xâm hại riêng tư của người dân.
Một vệ sĩ giỏi là người biết lùi lại phía sau, âm thầm quan sát, đảm
bảo an toàn cho yếu nhân mà không gây cản trở công việc của họ. Một
chuyên gia lành nghề là người hiểu mục tiêu kinh doanh của công ty, từ
đó sáng tạo các giải pháp có sự cân bằng giữa an ninh, chi phí và tiện
dụng để sản phẩm làm ra đáp ứng nhu cầu khách hàng, giúp công ty kinh
doanh thuận lợi, với những rủi ro chấp nhận được. Tôi hay nói với đồng
nghiệp công việc của chúng ta không phải là chỉ là đảm bảo an ninh, mà
là đảm bảo an ninh để công ty vẫn có thể sáng tạo và phát triển. Trách
nhiệm của chúng ta là phục vụ các nhóm làm sản phẩm, giúp họ đảm bảo an
toàn thông tin mà vẫn có thể tự do sáng tạo, vẫn tiết kiệm được thời
gian, công sức, chứ không thể bắt họ phục tùng. Nếu chính sách an ninh
kìm hãm sự tự do sáng tạo, làm chậm tốc độ phát triển, thì chính sách đó
chưa đạt yêu cầu. Kỹ sư an ninh mạng làm việc có tâm phải luôn trăn trở
tìm cách để chính sách an ninh không những không gây cản trở, mà còn
đem đến lợi thế cạnh tranh.
Tương tự như vậy, ở tầm quốc gia, một chiến lược an ninh mạng đúng
đắn không thể bỏ qua phát triển kinh tế. Việt Nam cần đảm bảo an ninh
mạng, nhưng an ninh mạng chỉ là phương tiện, không phải đích đến, để đạt
đến các mục tiêu quan trọng nhất của đất nước là phát triển kinh tế,
khai phóng con người, bảo vệ môi trường sống và nâng cao chất lượng cuộc
sống. Muốn vậy, lực lượng chuyên trách an ninh mạng quốc gia cần đóng
vai trò người hỗ trợ chứ không phải người kiểm soát. Nhưng tôi e rằng
trao quyền cho cơ quan quản lý trực tiếp can thiệp vào cách doanh nghiệp
điều hành và quản lý hệ thống thông tin của họ (như điều 26 và 24 dự
luật) dễ dẫn đến lạm quyền, tạo điều kiện cho tham nhũng. Việc yêu cầu
báo cáo, đánh giá - đi kèm với phê duyệt, chấp thuận - sẽ làm tăng chi
phí; giảm sự sáng tạo; làm mất lợi thế cạnh tranh của doanh nghiệp (vì
thời gian là ‘vàng’ trong kinh tế số và thị trường công nghệ vốn cạnh
tranh khốc liệt).
Bài toán mà Quốc hội cần phải đặt ra cho dự thảo Luật An Ninh Mạng
là: làm thế nào để không bị tấn công mạng, nhưng vẫn giữ tốc độ phát
triển kinh tế cao, đảm bảo tự do cho người dân, tăng khả năng cạnh tranh
và uy tín của Việt Nam trên thế giới? Đặt đúng câu hỏi là đã giải quyết
được một nửa vấn đề. Trong phần tiếp theo tôi đề xuất một số ý kiến về
chính sách để giải quyết nửa còn lại.
Giải pháp nào cho an ninh mạng quốc gia?
Đối với Luật An Ninh Mạng nói riêng, chính sách và chiến lược an ninh mạng quốc gia nói chung, tôi đề xuất ba điểm.
Thứ nhất, thay vì ôm đồm rất nhiều nội dung, luật chỉ nên tập trung
vào hệ thống thông tin trọng yếu, chủ thể trung tâm trong vấn đề bảo vệ
an ninh quốc gia trên không gian mạng. Hệ thống thông tin trọng yếu bao
gồm hệ thống công, do Chính phủ quản lý và hệ thống tư, thuộc sự quản lý
và là tài sản của các doanh nghiệp tư nhân. Chính phủ chịu trách nhiệm
và tùy nghi điều chỉnh hệ thống công, nhưng Chính phủ không được phép
kiểm soát hệ thống tư, mà chỉ đóng vai trò hỗ trợ, ngoại trừ có sự đồng ý
của doanh nghiệp hoặc lệnh của tòa án.
Để giúp đỡ doanh nghiệp, Chính phủ có thể chủ động chia sẻ thông tin
tình báo, thông tin sự cố an toàn thông tin, hoặc các nhóm hacker nước
ngoài mà Chính phủ đã theo dõi và nắm bắt được. Chính phủ cũng có thể
khuyến khích doanh nghiệp hợp tác, chia sẻ thông tin, nhưng bất kỳ sự
chia sẻ nào cũng phải là tự nguyện và phải đảm bảo được sự riêng tư của
khách hàng của các doanh nghiệp. Chính phủ không thể mặc nhiên yêu cầu
doanh nghiệp cung cấp tất cả thông tin mà Chính phủ muốn. Quá trình chia
sẻ thông tin, nội dung chia sẻ giữa doanh nghiệp và Chính phủ phải được
luật hóa cụ thể.
Chính phủ cũng có thể giúp doanh nghiệp bằng cách đặt ra các tiêu
chuẩn về an toàn thông tin. Các tiêu chuẩn này chỉ áp dụng cho hệ thống
mạng máy tính của Nhà nước. Tuy nhiên doanh nghiệp có thể dựa vào đó để
tự xây dựng tiêu chuẩn cho hệ thống máy tính và sản phẩm của họ. Nhà
nước chỉ mua các sản phẩm đạt chuẩn, tạo động lực để doanh nghiệp muốn
bán sản phẩm cho Nhà nước xây dựng các sản phẩm đúng chuẩn.
Một việc có ích khác Chính phủ nên làm là dùng ngân sách để đào tạo
nguồn nhân lực an toàn thông tin chất lượng cao và nâng cao nhận thức an
toàn thông tin cũng như quyền riêng tư của người dân. Bộ Thông Tin
Truyền Thông đã trình Chính phủ những đề án cụ thể về hai vấn đề này,
trách nhiệm của Quốc hội lúc này là giám sát việc thực thi các đề án
này. Để đánh giá đề án thực thi có hiệu quả, có đúng với mục tiêu đặt
ra, Quốc hội nên tham khảo ý kiến đánh giá độc lập của các chuyên gia.
Thứ hai, chính sách an ninh mạng quốc gia cần phải bảo vệ quyền riêng
tư của người dân. Quyền riêng tư là một quyền hiến định và được Liên
Hợp Quốc công nhận là quyền cơ bản của con người. Nhà nước không thể dựa
vào lý do an ninh quốc gia để tùy tiện xâm phạm riêng tư của người dân.
Luật An Toàn Thông Tin Mạng có đề cập đến quyền riêng tư, nhưng tôi e
rằng chưa đủ. Để bảo vệ riêng tư của người dân, tối thiểu Việt Nam cần
có luật yêu cầu những tổ chức thu thập thông tin cá nhân của người dân
phải thông báo đại chúng khi những nơi này bị xâm nhập và để lộ thông
tin. Ngoài ra, Việt Nam cũng cần cân nhắc tạo luật yêu cầu những do tổ
chức thu thập và xử lý thông tin cá nhân nhạy cảm như tài chính và y tế
phải có cơ chế đảm bảo sự riêng tư của khách hàng. Luật này sẽ đặt ra
những tiêu chuẩn cụ thể, cách thức người dân có thể phản ánh khiếu nại
và cách Nhà nước sẽ xử lý chế tài ra sao các doanh nghiệp hay tổ chức
phạm luật.
Nhưng bảo vệ riêng tư không có nghĩa là phải lưu trữ dữ liệu ở Việt
Nam. Đa số người dân châu Âu sử dụng dịch vụ của các công ty Mỹ, nhưng
Quy định chung về bảo vệ dữ liệu (GDPR) không yêu cầu các công ty Mỹ
phải đặt máy chủ ở châu Âu. Do đó cách quy định như điều 26 của dự thảo
luật không có mấy ý nghĩa thực tế.
Dữ liệu là vấn đề pháp lý phức tạp, tôi cho rằng Quốc hội nên nghiên
cứu kỹ lưỡng để có một đạo luật riêng về vấn đề này thay vì gộp chung
vào Luật An Ninh Mạng như hiện nay.
Cuối cùng, tôi cho rằng, để chống lại tấn công mạng, điều cốt lõi là
con người, chứ không phải là công cụ pháp lý. Tuy nhiên, những chuyên
gia hàng đầu Việt Nam mà tôi đã có dịp trao đổi đều không làm việc cho
Chính phủ vì khu vực doanh nghiệp trả lương cao hơn, đãi ngộ tốt hơn, cơ
hội nghề nghiệp công bằng hơn. Nhưng với uy tín của Chính phủ, tôi tin
rằng Chính phủ dễ dàng huy động được những chuyên gia tên tuổi tham gia
vào các dự án giúp đỡ đất nước. Năm 2016 tôi có đề xuất Việt Nam nên
thành lập một đội đặc nhiệm bao gồm những chuyên gia Việt Nam giỏi nhất
mà Việt Nam hiện có (xem bài Có một Biển Đông trên không gian mạng).
Nhóm chuyên gia này, tương tự như tổ tư vấn về chính sách kinh tế, làm
việc theo cơ chế phi lợi nhuận, sẽ giúp Chính phủ về chính sách và công
nghệ. Đội đặc nhiệm này có vai trò tương tự như “Lực lượng chuyên trách
bảo vệ an ninh mạng thuộc Bộ Công an” mà dự thảo nêu ra, nhưng chỉ đóng
vai trò hỗ trợ, chứ không có quyền kiểm soát doanh nghiệp.
Kết thư
Từ vài năm nay tôi đã dành nhiều thời gian suy nghĩ về chiến lược an
ninh mạng quốc gia cho Việt Nam. Những ý kiến của tôi ở đây đều là tổng
kết của quá trình suy nghĩ lâu dài, không phải những suy nghĩ vội vàng.
Tôi thấy cần phải chỉnh sửa, thu hẹp phạm vi của dự thảo Luật An Ninh
Mạng, chỉ nên tập trung vào mục tiêu đảm bảo an ninh mạng cho hệ thống
máy tính trọng yếu do nhà nước quản lý, loại bỏ những nội dung vi phạm
quyền hiến định của người dân như quyền tự do ngôn luận, quyền riêng tư,
cản trở tự do báo chí, tăng chi phí kinh doanh, giảm năng lực cạnh
tranh, tạo cơ sở pháp lý cho một nhóm thiểu số nhũng nhiễu doanh nghiệp.
Tôi không phải là một luật sư, nhưng với vốn kiến thức hạn hẹp tôi thấy
rằng làm luật để kiểm soát người dân, kiểm soát doanh nghiệp là dùng
pháp luật để cai trị dân chúng, chứ không phải dùng pháp luật để vận
hành và phát triển đất nước. Dự thảo Luật An Ninh Mạng, do đó, nếu được
thông qua, sẽ đẩy Việt Nam đi thụt lùi trên con đường trở thành một quốc
gia pháp quyền.
Kính thưa Quốc hội,
Tôi đến Mỹ vì muốn tìm kiếm cơ hội chạy đua cùng thế giới, nhưng điều
mà tôi tìm thấy lại quý giá hơn nhiều lần, đó là sự tự do. Nước Mỹ được
như hôm nay là vì hiến pháp và văn hóa tôn trọng tự do của mỗi cá nhân.
Ai cũng có quyền nói. Báo chí độc lập, là quyền lực thứ tư, giữ vai trò
giám sát Nhà nước cho người dân. Internet không bị tường lửa ngăn chặn.
Ở Trung Quốc thì ngược lại hoàn toàn. Vì vậy, mặc dù Trung Quốc đang
giàu lên rất nhanh, nhưng người Trung Quốc vẫn muốn thành người Mỹ, chứ
người Mỹ không muốn thành người Trung Quốc. Dự thảo Luật An Ninh Mạng có
khả năng biến Việt Nam thành một bản sao xấu xí của Trung Quốc.
Tôi hi vọng Quốc hội sẽ có một lựa chọn sáng suốt để người dân Việt
Nam, chí ít là cá nhân tôi, không phải mong muốn trở thành công dân một
quốc gia khác.
Alsace, 31/5/2018
Dương Ngọc Thái