Huy Đức - Nên xem xét lại một cách toàn diện Luật An ninh mạng

Khác với người tiền nhiệm, lãnh đạo mới của Cục An ninh mạng (A05 - nhập từ A68 và C50) đã lắng nghe ý kiến của Bộ Thông tin Truyền thông (TTTT) và của các bộ ngành hơn. Dự thảo mới nhất của Nghị định hướng dẫn thi hành Luật An Ninh Mạng (ANM), vì thế, đã bỏ khá nhiều quy định xâm phạm quyền tự do kinh doanh từng bị phản đối trong hai dự thảo trước (3-10 & 11-10-2018).

Dự thảo mới cũng đã bỏ yêu cầu “doanh nghiệp kinh doanh online phải xin phép và có sự đồng ý của Cục ANM” (một biến trướng của giấy phép con); bỏ việc thành lập trung tâm dữ liệu và tiếp nhận dữ liệu doanh nghiệp chuyển giao… Dự thảo cũng không còn yêu cầu doanh nghiệp cung cấp dữ liệu gốc, chưa mã hóa của người dùng cho cơ quan điều tra. Bằng cách không dùng các từ nhạy cảm như “thái độ, quan điểm…”, dự thảo có cho cảm giác thu hẹp phạm vi dữ liệu người dùng nằm trong tầm kiểm soát của Cục An ninh mạng. Thẩm quyền yêu cầu doanh nghiệp chuyển dữ liệu bây giờ là bộ trưởng bộ Công an thay vì cục trưởng cục An ninh mạng như hai dự thảo cũ. 

Tuy nhiên, bản chất của dự thảo này vẫn chưa thay đổi. Phạm vi dữ liệu người dùng bị buộc phải lưu trữ ở Việt Nam vẫn còn rất rộng - gần như toàn bộ dữ liệu của mạng xã hội và các dịch vụ online - chi phí của nền kinh tế để thi hành luật là vẫn vô cùng lớn và vô lý. 

Đặc biệt, cách làm Luật ANM và các nghị định là một ví dụ điển hình vi phạm các nguyên tắc căn bản khi ban hành các văn bản quy phạm pháp luật. Luật Ban hành văn bản quy phạm pháp luật 2015 đòi, một luật nếu cần “văn bản quy định chi tiết” (thông tư, nghị định) thì các “dự thảo văn bản quy định chi tiết phải được chuẩn bị và trình đồng thời với dự án luật, pháp lệnh” (Điều 11). Hậu quả của việc không tuân thủ nguyên tắc này là, không chỉ dân chúng mà cả Quốc hội cho đến tận bây giờ cũng chưa hiểu hết tầm ảnh hưởng của Luật ANM. 

Đối tượng và phạm vi điều chỉnh là một trong những điểm cốt yếu nhất của một quy phạm, lẽ ra nó phải được minh định ngay trong luật, Luật lại giao cho cơ quan thi hành luật lên danh sách (doanh nghiệp được lưu chuyển dữ liệu; phải lưu dữ liệu và đặt văn phòng đại diện tại VN). Cách tiếp cận của dự thảo là đã coi các doanh nghiệp, dân chúng, những người tham gia mạng xã hội (MXH) như đã là tội phạm. Cục ANM, cơ quan soạn thảo, đã tự trao cho mình quyền quản lý nhà nước đặc biệt với hoạt động kinh doanh, phần việc nếu cần thì phải thuộc về Bộ TTTT. Công an là lực lượng chống tội phạm, lẽ ra chỉ được trinh sát, điều tra khi có dấu hiệu phạm tội.

Phần quy định cụ thể về “chặn dịch vụ, gỡ thông tin người dùng trên MXH/internet…” cho đến nay vẫn nằm trong một nghị định bị đóng dấu mật, một cách làm chính sách mà không có quốc gia nào chấp nhận. Và, mặc dù đã bỏ nội dung yêu cầu cung cấp “dữ liệu đã được mã hóa” nhưng các doanh nghiệp vẫn phải “cung cấp dữ liệu cho cơ quan điều tra” trong khi không nêu rõ trình tự thủ tục để thực thi quyền đó.

Những dữ liệu mà người dùng cung cấp cho các MXH hay các dịch vụ internet thuộc quyền sở hữu của công dân, có những dữ liệu còn là tài sản của công dân; nhiều dữ liệu thuộc phạm vi “bí mật đời tư” được Hiến pháp bảo hộ. Trừ những người có hành vi phạm tội, không ai được quyền cung cấp những dữ liệu đó kể cả cung cấp cho cơ quan nhà nước. Quyền đòi cung cấp dữ liệu người dùng phải là quyền tư pháp. Cơ quan điều tra chỉ được quyền thu thập những thông tin được coi là bằng chứng đối với những người bị điều tra trong một vụ án đã bị khởi tố chứ không phải tùy tiện như viết trong dự thảo. 

Nguyên tắc các văn bản quy phạm “không làm cản trở việc thực hiện các điều ước quốc tế mà Việt Nam là thành viên” (Điều 5, khoản 5, Luật BHVB 2015) cũng không được Luật ANM và các dự thảo nghị định tuân thủ. Khi ký TPP và ngay cả khi ký CPTPP, VN đều cam kết “không bắt buộc đặt máy chủ tại một địa điểm xác định, kể cả lãnh thổ nước mình”. Vậy nhưng Luật và nghị định vẫn đòi các doanh nghiệp phải “lưu trữ dữ liệu người dùng tại VN”. Cái cách tướng Võ Trọng Việt “kéo đám mây dữ liệu” về VN cho thấy ông, hoặc là không hiểu gì về iCloud và MXH nói chung, hoặc đã nghe các báo cáo không trung thực về “máy chủ và đám mây điện toán”. 

Việt Nam cũng đã cam kết trong NAFTA, WTO, TPP & CPTPP, « Đảm bảo quyền tự do lưu chuyển, lưu trữ thông tin mà ko bị kiểm soát, ngăn chặn (trừ liên quan đến quốc phòng, an ninh, đảm bảo trật tự an toàn xã hội); không đánh thuế vào các giao dịch điện tử xuyên biên giới ». Chúng ta đã hội nhập. Không như các cam kết WTO hay trong ASEAN, các hiệp định như CPTPP và EVFTA có các chế tài rất nghiêm ngặt, nếu vẫn thi hành Luật ANM với cách tiếp cận như hai nghị định đang chuẩn bị, VN chắc chắn sẽ đối diện ngay với các chế tài. 

Không phủ nhận là trên “hệ sinh thái số” đang xuất hiện khá nhiều hành vi có dấu hiệu tội phạm, nhưng bộ luật hình sự (BLHS) đã định rất nhiều tội danh dành cho những hành vi này. Chưa kể, khác với các quốc gia văn mình, BLHS VN còn coi nhiều hành vi đơn thuần chỉ là bày tỏ chính kiến, phản đối ôn hòa… như tội phạm. 

Tội phạm sử dụng MXH gây án chứ tự thân MXH không thể gây án. Lẽ ra, Luật này chỉ nên đưa ra các nguyên tắc thu thập bằng chứng điện tử và các chế tài bổ sung (gỡ bài, gỡ link… khi tòa đã coi là tin xấu) khi điều tra 29 tội danh trong BLHS vừa trở thành đối tượng điều chỉnh của Luật này.

Sai một ly, đi một dặm. Giao cho Bộ Công an làm Luật ANM là cái gốc của sai. Tiến trình soạn thảo, thông qua lại ít lắng nghe, lạm quyền, trấn áp những tiếng nói khác. Luật được chuẩn bị mà vừa không tuân thủ các quy định của pháp luật VN (Luật BHCVB QPPL 2015) vừa bỏ ngoài tai các cam kết quốc tế thì không sai mới lạ.

Luật ANM và các quy phạm đang hình thành trong nghị định không những không có giải pháp nào bảo vệ hữu hiệu mạng VN trước các hacker, mà còn đặt nó trong những nguy cơ cao hơn, khi ép lưu trữ dữ liệu cá nhân trong một quốc gia có nền tảng công nghệ thấp và đội ngũ thi hành công vụ rất dễ lạm quyền. Luật không những không giúp bảo vệ chế độ mà (sự bóp nghẹt MXH) còn làm tăng ứng chế trong xã hội, nuôi dưỡng nguy cơ cao hơn cho chế độ. Luật không những đe doạ tăng trưởng kinh tế, giảm đầu tư mà còn trình bày một hình ảnh rất xấu cho VN trong mắt cộng đồng quốc tế. 

Ủy ban Thường vụ Quốc hội, Bộ Chính trị và Tân Chủ tịch nước nên nghe lại, đầy đủ và nhiều chiều. Nếu nghị định không hạn chế được các ảnh hưởng xấu của Luật thì nên hoãn thi hành nó. Tôi tin, nếu trước đây, các cơ quan thẩm quyền được nghe đánh giá đầy đủ tác động của Luật An Ninh Mạng thì Luật này đã không được ban hành như thế.

HUY ĐỨC 24.10.2018