Nhật ký Cờ Mờ 4.0: về dự thảo 03/10/2018 hướng dẫn thực thi Luật An ninh mạng

(Một phiên bản của bài này đã đăng trên BBC)
(Cập nhật: bỏ phần tóm tắt cho ngắn lại; bài trên BBC hoặc trong phần comment có tóm tắt)
(Cập nhật: chôm từ "Vạn Lý Hỏa Thành" của một bạn đọc)

Nhắc lại chuyện cái ao:

Sau khi tốn bao nhiêu mồ hôi, nước mắt và nước miếng viết hai lá tâm thư mà Quốc hội vẫn thông qua Luật An ninh mạng, tôi muốn đưa ra một đánh giá toàn diện về bộ luật này, ở góc độ kỹ nghệ và pháp lý, nên đã dành ra bảy bảy bốn chín ngày tìm hiểu luật pháp an ninh mạng quốc tế. Những gì tôi đọc được thật thú vị. Hóa ra công việc của luật sư không khác lắm công việc của hacker, thay vì tấn công và phòng thủ bằng code họ chơi bằng từ ngữ.

Tôi tính sẽ viết một loạt bài về đề tài này, nhưng rồi giữa tháng 8 năm nay bạn tôi rủ tham gia nhóm 100 “nhân tài" về Việt Nam gặp gỡ lãnh đạo Việt Nam với kỳ vọng tôi sẽ có cơ hội được chụp hình chung với thủ tướng, tay bắt mặt mừng rồi nếu còn thời gian thì phân tích cho ngài thủ tướng nghe lợi và hại của Luật An ninh mạng. Nhưng rốt cuộc, vì mãi chụp hình, tôi không có cơ hội chia sẻ ý kiến.

Với những thay đổi về nhân sự trong nhóm những người làm ra Luật An ninh mạng và quan sát quyết tâm phát triển kinh tế công nghệ của chính phủ, tôi đã từng hi vọng các ý kiến của tôi không còn cần thiết nữa, rằng khi soạn thảo nghị định hướng dẫn thực hiện luật, vì phát triển kinh tế, vì lợi thế cạnh tranh của Việt Nam, vì riêng tư cho người dân và an ninh quốc gia, chính phủ sẽ giữ cho người dân Việt Nam một Internet mở, tự do và an toàn.

Nhưng tôi đã lầm. Dự thảo nghị định hướng dẫn Luật An ninh mạng đề ngày 03/10/2018 [1] còn nặng nề tăm tối hơn cả luật. Cái giá của tự do quả là một sự cảnh giác vĩnh cửu, hở ra một chút là mất.

Vì dự thảo chỉ tiếp nhận ý kiến đóng góp trong vòng 20 ngày, thay vì 6 tháng như thường lệ, tôi viết vội bài này, thôi thì không nói được với thủ tướng thì chia sẻ với quốc dân đồng bào tại sao tôi nghĩ dự thảo nghị định 03/10/2018 sẽ không giúp ích được gì trong việc phòng chống tội phạm, mà còn tạo ra những nguy cơ không thể xem thường về kinh tế và an ninh quốc gia.

Bài này hơi dài, đúng là nếu có thời gian tôi đã viết ngắn hơn. Thời buổi này mà bắt người ta bỏ ra 15 phút tập trung đọc một tiểu luận chính trị là một tội ác chống lại loài người và Mark Zuckerberg. Ý kiến của tôi giải thích thì dài nhưng mục tiêu rất ngắn gọn: bỏ chương 5 của dự thảo 03/10/2018. Tôi hi vọng mọi người đọc hết và cho tôi biết ý kiến (thaidn@gmail.com). Chúng ta cần một cuộc thảo luận đại chúng về dự thảo 03/10/2018.

Tóm tắt dự thảo


Dự thảo này chưa được công bố, nhưng ai đó đã chia sẻ trên mạng. Toàn văn dự thảo có thể xem ở đây.

Dự thảo có năm chương, ngoại trừ chương 5, phần lớn nội dung tập trung vào vấn đề bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Mặc dù có những quy định khá ngớ ngẩn như bắt buộc đổi mật khẩu mỗi tháng một lần, chúng ta phải ghi nhận nỗ lực của nhóm soạn dự thảo và thành công phần nào của họ khi đưa ra được một chính sách an toàn thông tin chung cho các hệ thống trọng yếu.

Tôi sẽ có ý kiến riêng về nội dung an toàn thông tin của dự thảo, ở đây tôi tập trung vào chương 5, bắt đầu từ trang 40. Chỉ trong vòng vài trang giấy, dự thảo nghị định do Bộ Công an soạn thảo đã trao cho Cục An ninh mạng, Bộ Công an những quyền sau đây:
  • Điểm b, khoản 1, điều 57: bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải có sự đồng ý của Cục An ninh mạng ($$$$).
  • Điều 54, 55, 56, 57: bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ tất cả dữ liệu ở Việt Nam và phải cung cấp tất cả dữ liệu khi nhận được yêu cầu của Cục An ninh mạng.
  • Khoản 5, điều 58: Bất kỳ công ty trong và ngoài nước cung cấp sản phẩm, dịch vụ trên Internet tại Việt Nam phải lưu trữ và chuyển giao cho Cục An ninh mạng “nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch” sau 36 tháng kể từ lúc dữ liệu được thu thập. Nếu công ty đóng cửa hoạt động hoặc ngừng cung cấp dịch vụ, phải chuyển giao tất cả thông tin người dùng cho Cục An ninh mạng.

Khi tôi viết tất cả, ý của tôi là tất cả. Tất cả những gì bạn gõ vào Facebook hay Zalo. Tất cả hình bạn đã chụp và chia sẻ. Tất cả những email bạn đã gửi. Tất cả những gì bạn đã tìm kiếm. Tất cả website bạn đã vào. Tất cả những thông tin tế nhị, nhạy cảm, sâu thẳm nhất. Bạn có bao nhiêu tiền trong tài khoản. Ai cho bạn tiền, bạn cho tiền ai. Bạn thích quần lót màu gì. Bạn có mấy cô bồ nhí. Bạn thích phim con heo thể loại gì. Tất tần tật.

Trong các phần tiếp theo tôi sẽ giải thích tại sao dự thảo này không đem lại lợi ích gì mà còn tạo ra nhiều nguy cơ kinh tế và an ninh.

Bắt buộc lưu trữ dữ liệu ở Việt Nam không đem lại ích lợi gì


Chính phủ muốn yêu cầu các công ty nước ngoài lưu trữ dữ liệu và mở văn phòng ở Việt Nam là để nắm chủ quyền trên dữ liệu của người Việt Nam và có quyền tài phán đối với các công ty này. Đây không phải là một yêu cầu vô lý, vì suy cho cùng chính phủ phải có trách nhiệm và can dự vào việc bảo vệ dữ liệu của người dân. Tuy vậy có một lỗ hổng pháp lý lớn và vài vấn đề kỹ thuật mà Luật An ninh mạng và dự thảo 03/10/2018 đã bỏ qua.

Đa số các công ty Internet quốc tế phổ biến ở Việt Nam đến từ Mỹ, nên trong phần này tôi tập trung vào luật của Mỹ. Về mặt kỹ thuật, để an toàn, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của Mỹ là không được cung cấp khoá. Do đó, có đem dữ liệu về Việt Nam, chính phủ Việt Nam vẫn không thể tự do truy cập dữ liệu.

Từ năm 1986, Đạo luật Riêng Tư Trong Liên Lạc Điện Tử (Electronic Communications Privacy Act, ECPA [2]) của Mỹ nghiêm cấm các công ty nước này cung cấp dữ liệu cho bất kỳ chính phủ nào khác, mà không có sự đồng ý của Bộ Tư pháp. Đây là lý do mà trong những lần điều trần trước Ủy ban Việt Nam của Quốc hội Mỹ, đại diện Facebook đã nhiều lần khẳng định họ sẽ không bao giờ chia sẻ dữ liệu với chính phủ Việt Nam, vì chia sẻ như thế là trái luật.

Hồi tháng 3 năm nay, Đạo luật ECPA đã được bổ sung bởi Đạo luật Đám Mây (Clarifying Lawful Overseas Use of Data Act - CLOUD Act [3]). Đạo luật Đám Mây quy định các công ty chỉ được phép cung cấp dữ liệu cho các chính phủ đã được Nhà Trắng phê duyệt. Vương quốc Anh và Liên minh Châu Âu có thể là hai chính thể được phê duyệt đầu tiên. Nếu muốn truy cập dữ liệu để phục vụ cho việc phòng chống tội phạm, chính phủ Việt Nam nên gấp rút nghiên cứu Đạo luật Đám Mây, đàm phán với chính phủ Mỹ. Một khi đã được chính phủ Mỹ phê duyệt, chính phủ Việt Nam có thể đường hoàng yêu cầu các công ty Mỹ cung cấp thông tin và các công ty phải nhanh chóng đáp ứng như thể đó là yêu cầu từ chính phủ Mỹ.

Cần phải nhấn mạnh rằng việc Việt Nam phải được Mỹ phê duyệt không phải là chuyện nước lớn ép nước nhỏ, nhắc lại ngay cả Anh và Châu Âu vẫn phải đàm phán với Mỹ, mà chỉ đơn giản vì người Việt Nam sử dụng dịch vụ của các công ty Mỹ. Nếu như người Mỹ sử dụng Zalo của Việt Nam, chính phủ Mỹ muốn truy cập dữ liệu này họ vẫn phải thông qua chính phủ Việt Nam. Đây là cách thế giới vận hành, muốn hay không muốn chúng ta vẫn phải tuân theo. Tạo ra một bộ luật nội địa không làm thay đổi luật chơi quốc tế.

Vừa rồi Apple đã nhún nhường Trung Quốc, chuyển dữ liệu iCloud của người Trung Quốc về giao lại cho một công ty Trung Quốc. Đây là một cách lách luật và Apple đã phải hứng chịu rất nhiều chỉ trích [24]. Câu hỏi đặt ra là liệu Việt Nam có đủ tài lực để ép Apple như Trung Quốc đã làm? Nếu có đủ đi chăng nữa, liệu Việt Nam có nên làm như vậy? Tôi sẽ phân tích những điểm này trong phần cuối khi nói về Trung Quốc.

Phải thừa nhận rằng lưu trữ dữ liệu nội địa là một vấn đề đang gây nhiều tranh cãi. Kể từ sau sự kiện Snowden năm 2013, một số quốc gia đã đưa ra luật nội địa hóa dữ liệu lên bàn nghị sự. Nhưng thông tin “đã có 18 nước quy định phải lưu trữ dữ liệu trong nước” dễ gây lầm tưởng rằng tất cả các quốc gia đều yêu cầu lưu tất cả dữ liệu cá nhân hay cho phép một đơn vị như Cục An ninh mạng được phép tự ý truy xuất các dữ liệu đó. Sự thật không phải như vậy. Cùng với Việt Nam, chỉ có Trung Quốc, Nga, Indonesia là bắt buộc lưu trữ tất cả dữ liệu cá nhân. Đa số các quốc gia như Mỹ, Anh, Bỉ, Phần Lan, Thụy Điển, New Zealand, Hà Lan, Venezuela, v.v. chỉ yêu cầu lưu trữ dữ liệu thuế, kế toán, tài chính, hoặc dữ liệu của các tổ chức đại chúng [21].

Ngoài lưu trữ dữ liệu nội địa, dự thảo còn bắt buộc các công ty phải mở văn phòng ở Việt Nam. Đây không phải là một yêu cầu quá đáng, nhưng câu hỏi mà chính phủ cần đặt ra là tại sao chúng ta phải ép bằng luật. Singapore đâu cần ép gì đâu, các công ty vẫn đua nhau mở trụ sở. Thậm chí nhiều công ty khởi nghiệp Việt Nam cũng đều đăng ký ở Singapore. Không chỉ Singapore, Thái Lan, Malaysia, Indonesia, Philippines và Myanmar đều có các công ty Internet lớn của thế giới đặt trụ sở. Rõ ràng mở văn phòng ở đâu là quyết định của doanh nghiệp, chính phủ không nên can thiệp mà chỉ có thể khuyến khích. Chính sách thuận lợi, không cản trở kinh doanh, luật pháp minh bạch, văn minh, không cần ra luật người ta cũng tự tìm đến.

Chính phủ nói rất nhiều về cách mạng công nghiệp 4.0. Các quan chức đã nhiều lần tuyên bố muốn biến Sài Gòn, Hòa Lạc hay Bình Dương thành Silicon Valley. Đây là một giấc mơ lớn, đáng trân trọng, muốn thực hiện trước nhất phải thu hút được đầu tư của các tập đoàn công nghệ hàng đầu thế giới, mà quan trọng nhất là Mỹ và Châu Âu. Nhưng chính sách và luật pháp của Việt Nam ra sao để rồi bây giờ chỉ yêu cầu mở văn phòng thôi, chứ chưa nói đầu tư hay chuyển giao công nghệ gì, mà người ta vẫn không muốn vào? Đây là một câu hỏi lớn, nhưng Luật An ninh mạng và dự thảo 03/10/2018 không phải là câu trả lời.

Những nguy cơ mới cho nền kinh tế


Bắt buộc các công ty lưu trữ dữ liệu ở Việt Nam chẳng những không đem lại lợi ích gì trong việc phòng chống tội phạm, đẩy Việt Nam vào thế đối đầu các tập đoàn công nghệ lớn, mà còn tạo ra nhiều nguy cơ không thể xem thường cho nền kinh tế, đặc biệt là kinh tế công nghệ, quyền riêng tư của người dân và cả hệ thống chính trị. Đây không phải là ý kiến của cá nhân tôi mà còn là của rất nhiều học giả, luật sư, chuyên gia công nghệ và các nhà nghiên cứu luật pháp quốc tế [5] [6] [7] [8] [9]. Trong phần này tôi sẽ nói về các rủi ro cho nền kinh tế, sau đó tôi sẽ bàn về các rủi ro an ninh.

Muốn lưu dữ liệu thì phải có trung tâm dữ liệu. Nhưng khả năng các công ty nước ngoài xây dựng trung tâm dữ liệu ở Việt Nam là gần như bằng không. Không phải họ ghét bỏ gì Việt Nam, mà đây là bài toán kinh tế. Việt Nam không phải là trung tâm, đầu mối Internet của thế giới và khu vực. Đường truyền Internet quốc tế của Việt Nam đã có nhiều cải thiện, nhưng dăm bữa nửa tháng lại có sự cố. Chỉ số Rủi Ro Trung Tâm Dữ Liệu [4], một báo cáo xếp hạng các quốc gia dựa vào công nghệ, kinh tế và an ninh chính trị đối với trung tâm dữ liệu, thậm chí còn không xếp hạng Việt Nam (Trung Quốc, Indonesia và Nga, những quốc gia bắt buộc lưu dữ liệu nội địa xếp hạng rất thấp).

Có thông tin cho rằng các công ty lớn trên thế giới đã đặt hàng ngàn máy chủ ở Việt Nam từ lâu rồi [10]. Nói thế chỉ đúng một nửa. Đúng là các công ty đã có thuê mướn, đặt máy chủ ở Việt Nam, nhưng các máy chủ này đều không lưu dữ liệu cá nhân (như đã định nghĩa trong dự thảo 03/10/2018), mà chỉ lưu tạm (caching) một số ít dữ liệu ai cũng đã biết ví dụ như các video công cộng được chia sẻ trên mạng xã hội. Về mặt kỹ thuật, việc lưu trữ đầy đủ dữ liệu cá nhân đòi hỏi các công ty lớn phải thiết lập cơ sở hạ tầng máy chủ, sử dụng phần cứng chuyên biệt, với quy mô gấp vài chục lần những gì họ đang có tại Việt Nam.

Nếu không có trung tâm dữ liệu ở Việt Nam, các công ty sẽ lưu dữ liệu người dùng ở đâu? Họ chỉ có hai lựa chọn: đóng cửa không phục vụ Việt Nam hoặc sao chép dữ liệu thô về đặt ở các máy chủ thuê mướn của các công ty như Viettel hay VNPT. Các công ty lớn, có doanh thu tương đối ở Việt Nam sẽ sao chép dữ liệu, còn lại đa số những công ty nhỏ hơn, doanh thu không đáng kể, tôi dự đoán sẽ cấm cửa người đến từ Việt Nam. Việc bóc tách dữ liệu, sao chép về Việt Nam sẽ làm tăng chi phí thiết kế, vận hành sản phẩm. Tất cả chi phí này sẽ đổ lên đầu người dân Việt Nam, khi các công ty tăng giá thành dịch vụ, sản phẩm đối với thị trường Việt Nam.

Việc sao chép dữ liệu đến nhiều nơi còn làm gia tăng rủi ro dữ liệu bị xâm phạm, nếu xảy ra sự cố sẽ ảnh hưởng rất xấu đến hoạt động kinh doanh của các công ty công nghệ, vốn dựa rất lớn vào niềm tin của khách hàng. Đó là lý do nhiều công ty đã phản đối Luật An ninh mạng. Đơn cử, Business Software Alliance, một tổ chức có nhiều thành viên là các công ty công nghệ lớn như Adobe, Apple, IBM, Microsoft, Oracle, hay Salesforce, đã có một kiến nghị rất chi tiết phản đối Luật An ninh mạng và yêu cầu xóa điều luật lưu trữ dữ liệu nội địa [14]. Ngoài ra Asia Internet Coalition, hiệp hội bao gồm các công ty công nghệ hàng đầu về Internet như AirBnB, Amazon, Apple, Expedia, Facebook, Google, Line, LinkedIn, Rakuten, Twitter và Yahoo, đã đưa ra một thông báo rằng họ nghĩ Luật An ninh mạng sẽ ảnh hưởng tiêu cực đến kinh tế Việt Nam [15].

Ngoài yêu cầu lưu trữ dữ liệu, Khoản 5, điều 58 của dự thảo 03/10/2018 còn yêu cầu các công ty phải chuyển giao hàng loạt cho Cục An ninh mạng “nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch” sau 36 tháng kể từ lúc dữ liệu được thu thập. Nếu công ty đóng cửa hoạt động hoặc ngừng cung cấp dịch vụ, phải chuyển giao tất cả thông tin người dùng cho Cục An ninh mạng.

Quy định này hoặc là không thực hiện được hoặc là sẽ đẩy tất cả các công ty quốc tế ra khỏi Việt Nam. Ưu tiên hàng đầu của các công ty quốc tế là đảm bảo an toàn dữ liệu và riêng tư cho khách hàng, họ không thể nào đơn phương tùy tiện chuyển giao dữ liệu cho bên thứ ba. Nếu có chuyển các công ty cũng chỉ có thể chuyển từng trường hợp cụ thể, sau khi có lệnh của tòa án, xét duyệt của luật sư và cơ quan tư pháp chính phủ Mỹ.

Các công ty làm sao biết được Bộ Công an sẽ quản lý dữ liệu, sử dụng và chia sẻ dữ liệu của họ như thế nào. Nhưng nếu vì bất kỳ lý do gì dữ liệu bị lộ ra ngoài, họ sẽ hứng đủ. Sự cố lộ dữ liệu liên quan đến Cambridge Analytica đã khiến cổ phiếu Facebook sụt giảm 13%, tức khoảng 75 tỉ USD [24]. Để so sánh, theo một nguồn tin không chính thức, doanh thu năm 2015 của Facebook ở Việt Nam là 150 triệu USD [25]. Rõ ràng doanh thu ở Việt Nam chỉ là muối bỏ bể so với thiệt hại mà Facebook có thể phải gánh chịu nếu để xảy ra sự cố lộ dữ liệu.

Vả lại, dữ liệu là tài sản của công ty, yêu cầu họ chuyển sang cho chính phủ Việt Nam chẳng khác nào quốc hữu hóa. Ai sẽ còn muốn làm ăn ở Việt Nam?

Một khi rủi ro, áp lực chính trị và chi phí hoạt động quá cao, các công ty sẽ phải tính đến phương án rút khỏi Việt Nam. Đã có rất nhiều tiền lệ các công ty rút khỏi thị trường khi không thể chịu đựng được luật pháp sở tại. Mới đây thôi, khi Châu Âu chính thức đưa vào thực thi General Data Protection Regulation rất nhiều trang web ở Mỹ đã ngưng phục vụ khách hàng Châu Âu [11] [12]. Nếu các công ty rút khỏi Việt Nam, chúng ta sẽ lấy gì thay thế, Baidu và Weibo chăng?

Không phải Việt Nam không thể tự xây dựng những sản phẩm “Made in Vietnam” để thay thế. Nhưng để vươn ra thế giới, có một nền công nghiệp số tầm cỡ thế giới, Việt Nam cần vốn, công nghệ và tài năng của thế giới. Buôn có bạn, bán có phường, một khi các tập đoàn lớn nói không với Việt Nam thì cả thế giới công nghệ sẽ chẳng ai muốn chơi với chúng ta nữa (ngoại trừ Trung Quốc, tôi sẽ nhắc đến trong phần sau). Không có vốn, không có công nghệ, không có tài năng, không có cách chi Việt Nam xây dựng được những công ty công nghệ tầm cỡ thế giới.

Đã hi sinh kinh tế, nhưng vẫn không đảm bảo được an ninh


Đôi khi vì an ninh quốc gia, vì riêng tư của người dân chúng ta buộc phải cắn răng chọn lựa những chính sách gây hại cho phát triển kinh tế. Nhưng trong phần này tôi sẽ giải thích tại sao Luật An ninh mạng và dự thảo 03/10/2018 khiến cho Việt Nam tiền mất tật mang, vừa gây nguy hiểm cho sự phát triển kinh tế vừa tạo ra những rủi ro đáng ngại cho an ninh quốc gia và sự riêng tư của người dân cũng như toàn bộ hệ thống chính trị.

Như đã phân tích ở trên, vì lý do kinh tế, các công ty sẽ không thể nào xây dựng trung tâm dữ liệu đúng chuẩn ở Việt Nam. Họ sẽ phải chép dữ liệu ra khỏi các trung tâm dữ liệu được bảo vệ tối đa của họ, nghĩa là dữ liệu của người Việt Nam sẽ không được bảo vệ như dữ liệu của phần còn lại của thế giới. Thay vì chỉ phải tập trung bảo vệ dữ liệu ở một nơi, các công ty phải phân tán nguồn lực để bảo vệ nhiều nơi khác nhau. Các công ty công nghệ lớn còn có đủ tài chính và nhân lực để thiết kế các giải pháp đảm bảo an ninh, còn các công ty nhỏ hơn, đặc biệt là những công ty đang sử dụng dịch vụ Cloud Computing ở nước ngoài, sẽ chọn những giải pháp nội địa đơn giản, rẻ tiền nhưng cũng kém an toàn nhất.

Tại khoản 6, điều 58 của dự thảo 03/10/2018, Bộ Công an tuyên bố họ sẽ xây dựng trung tâm dữ liệu để tiếp nhận dữ liệu mà họ yêu cầu các công ty cung cấp. Nói cách khác, toàn bộ dữ liệu của người Việt Nam sẽ được lưu ở một chỗ duy nhất, tạo thành một mục tiêu béo bở cho giới tội phạm mạng và lực lượng tình báo mạng của các quốc gia khác.

Nếu chúng ta lo lắng giới tội phạm hay lực lượng tình báo mạng của các quốc gia khác xâm phạm dữ liệu của người Việt Nam, tôi không hiểu tại sao dự thảo lại cho rằng việc chuyển dữ liệu từ Singapore hay Đài Loan về Việt Nam sẽ khiến dữ liệu được an toàn hơn. Internet không có biên giới, chuyển địa điểm lưu trữ không làm cho dữ liệu an toàn hơn, trái lại là đằng khác. Thay vì sử dụng dịch vụ Cloud Computing của những nhà cung cấp dịch vụ tốt nhất thế giới, các công ty sẽ phải sử dụng dịch vụ của các công ty nội địa, vốn có rất ít kinh nghiệm trong việc chống tội phạm chuyên nghiệp và lực lượng tình báo mạng của các quốc gia. Tôi chia sẻ lo lắng của chính phủ về việc dữ liệu cá nhân của người Việt Nam nằm trong sự kiểm soát của các công ty quốc tế, nhưng nóng vội đem dữ liệu về Việt Nam ở thời điểm hiện tại không giúp được gì mà còn làm tăng nguy cơ dữ liệu bị xâm phạm.

Tôi thấy rất khó hiểu khi người ta giải thích Luật An ninh mạng và dự thảo 03/10/2018 sẽ giúp bảo vệ riêng tư của người dân. Có lẽ câu hỏi đầu tiên chúng ta cần phải đặt ra là: bảo vệ chống lại ai?

Tôi được biết Bộ trưởng Văn phòng Chính phủ Mai Tiến Dũng sử dụng Gmail. Tôi đoán ngài Bộ trưởng, như bao người dân khác, cũng mong muốn có được an toàn và riêng tư khi sử dụng Internet. Nhưng dự thảo 10/03/2018 sẽ cho phép Cục An ninh mạng đơn phương, không thông qua bất kỳ cơ chế kiểm soát, yêu cầu bên cung cấp dịch vụ cung cấp tất cả dữ liệu, bao gồm tất cả email của ngài bộ trưởng. Sau khi đã lấy được thông tin, Cục An ninh mạng sẽ lưu trữ, sử dụng, tiết lộ thông tin đó như thế nào, là toàn quyền quyết định của họ. Nói cách khác, không chỉ người dân, mà cả lãnh đạo cấp cao và toàn bộ hệ thống chính trị sẽ nằm trong tầm kiểm soát của công an.

Với viễn cảnh u tối như Đông Đức năm 1984, ai còn muốn đến Việt Nam sống và làm việc? Nếu không thu hút được tài năng, làm sao chúng ta có đủ nhân lực để làm cách mạng công nghệ?

Sao chép Trung Quốc chỉ dẫn đến sự lệ thuộc


Thật khó để không nghĩ đến yếu tố Trung Quốc khi bàn đến Luật An ninh mạng, nhất là khi Luật An ninh mạng Việt Nam rất giống Luật An ninh mạng Trung Quốc [16]. Trong phần này tôi giải thích tại sao sao chép Trung Quốc chỉ làm lợi cho họ nhưng gây hại cho Việt Nam.

Với sức mạnh của nền kinh tế lớn thứ hai và sức hút của thị trường lớn nhất thế giới, Trung Quốc có thừa khả năng đặt ra luật chơi riêng và bắt buộc các công ty phải tuân theo. Apple vừa rồi đã đồng ý chuyển dữ liệu iCloud của người Trung Quốc về Trung Quốc [17]. Facebook luôn thèm khát thị trường Trung Quốc, đã nhiều lần xin giấy phép, nhưng vẫn chưa được chính phủ Trung Quốc cho vào. Tháng 7 vừa qua, Trung Quốc cấp giấy phép cho Facebook nhưng ngay lập tức thu hồi chỉ sau đó 1 ngày [18].

Có thể thấy rằng cách mà Trung Quốc ép các công ty công nghệ là cơ sở để những nhà làm luật Việt Nam tạo ra Luật An ninh mạng, nhưng Việt Nam không phải Trung Quốc, chúng ta không có đủ tài lực để ra yêu sách với thế giới. Trung Quốc không cho Facebook vào, còn Facebook không thèm vào Việt Nam. Cùng một chính sách, nhưng kết quả không thể khác nhau hơn.

Mô hình phát triển kinh tế số của Trung Quốc không thể áp dụng cho Việt Nam. Trung Quốc có một thị trường nội địa rộng lớn, và sau hơn 30 năm liên tục nhận vốn và công nghệ thế giới, Trung Quốc đã có những trung tâm nghiên cứu, những trường đại học, những tập đoàn công nghệ, những quỹ đầu tư top đầu thế giới [19]. Trước đây Trung Quốc chỉ sao chép công nghệ thế giới, nhưng bây giờ họ đặt ra mục tiêu năm 2030 sẽ vượt Mỹ, đứng đầu thế giới về những công nghệ cao cấp như Trí Tuệ Nhân Tạo [20].

Việt Nam không có gì có thể so sánh được cả. Chúng ta chỉ có gần 100 triệu dân, nhưng sức mua không lớn vì dân còn nghèo, phương tiện thanh toán điện tử còn chưa phổ biến. Tình trạng gian lận tràn lan (ví dụ như đánh cắp thẻ tín dụng để mua hàng hay click quảng cáo giả) cũng khiến việc kinh doanh trên Internet ở Việt Nam có chi phí cao hơn các quốc gia khác.

May mắn cho chúng ta, phương Tây đang rất lo sợ Trung Quốc, họ mong muốn tìm kiếm một đối tác khác để đầu tư, hợp tác và Việt Nam đang nổi lên như là một lựa chọn tốt. Để phát triển, Việt Nam cần dịch vụ, sản phẩm tiên tiến của thế giới, nhưng cần nhất vẫn là vốn, công nghệ và tri thức để tự phát triển các sản phẩm tương tự. Nhưng dự thảo 03/10/2018 chẳng khác nào một lời tuyên bố rằng Việt Nam không muốn đi cùng với thế giới. Không gì có lợi hơn cho Trung Quốc và bất lợi hơn cho Việt Nam khi Việt Nam “xù lông nhím" với phương Tây, vì Trung Quốc sẽ “bất chiến tự nhiên thành" loại bỏ bớt một đối thủ cạnh tranh thu hút vốn và công nghệ của thế giới.

Nguy hiểm hơn hết, khi Việt Nam cản trở các công ty công nghệ phương Tây, các tập đoàn công nghệ rất giàu mạnh của Trung Quốc sẽ thao túng thị trường và dữ liệu của người Việt Nam. Chuyện gì sẽ xảy ra nếu Baidu, Tencent, Alibaba tổng “tấn công” thị trường Việt Nam? Trước khi phát triển được những sản phẩm nội địa, chúng ta vẫn cần những đối tác phương Tây để đảm bảo dữ liệu không rơi vào tay Trung Quốc, nếu không muốn học lại mãi bài học lịch sử ngàn đời của cha ông.

Thay vì sao chép Trung Quốc để rồi phải lệ thuộc hoàn toàn vào Trung Quốc, Việt Nam cần phải đi một con đường khác, xích lại gần hơn với thế giới. Chúng ta vẫn phải chơi với Trung Quốc, nhưng mục tiêu là giảm lệ thuộc và phải tận dụng lợi thế cạnh tranh của mình. Nhờ có Internet tự do hơn, so với Trung Quốc, Việt Nam có một xã hội cởi mở hơn và một không gian tự do ngôn luận rộng rãi hơn. Để tồn tại và phát triển, chúng ta phải giữ được những khác biệt này. Nếu Trung Quốc yêu cầu lưu trữ dữ liệu nội địa, Việt Nam phải giải phóng dữ liệu và trở thành thiên đường dữ liệu nơi mà cả thế giới có thể an tâm lưu trữ dữ liệu của họ. Nếu Trung Quốc đóng cửa Internet, Việt Nam phải có Internet tự do. Nếu Trung Quốc có Vạn Lý Hỏa Thành, Việt Nam phải dùng Internet để kết nối và đi cùng thế giới.

Tài liệu tham khảo


[1] Nghị định Quy định chi tiết một số điều của Luật An ninh mạng, dự thảo ngày 3/10/2018, https://drive.google.com/file/d/1gBwAnqcdtEloR9dk0A3Pmz4mbzZlFRhl/view

[2] How Law Enforcement Should Access Data Across Borders, http://www2.itif.org/2017-law-enforcement-data-borders.pdf



[5] Where Is Your Data, Really?: The Technical Case Against Data Localization, https://www.lawfareblog.com/where-your-data-really-technical-case-against-data-localization

[6] Global Data Flows and Connectivity Are Creating New Economic and Trade Opportunities, https://www.brookings.edu/research/regulating-for-a-digital-economy-understanding-the-importance-of-cross-border-data-flows-in-asia/

[7] Data Localization Laws: an Emerging Global Trend, https://www.jurist.org/commentary/2017/01/Courtney-Bowman-data-localization


[9] The False Promise of Data Nationalism, http://www2.itif.org/2013-false-promise-data-nationalism.pdf

[10] Google, Facebook đã đặt hàng ngàn máy chủ ở Việt Nam, https://vtc.vn/google-facebook-da-dat-hang-ngan-may-chu-o-viet-nam-d367295.html

[11] Sites block users, shut down activities and flood inboxes as GDPR rules loom, https://www.theguardian.com/technology/2018/may/24/sites-block-eu-users-before-gdpr-takes-effect

[12] Major US news websites are going down in Europe as GDPR goes into effect, https://www.theverge.com/2018/5/25/17393894/gdpr-news-websites-down-europe

[13] Chưa có thông tin Google, Facebook rời Việt Nam do luật An ninh mạng, https://thanhnien.vn/cong-nghe/chua-co-thong-tin-google-facebook-roi-viet-nam-do-luat-an-ninh-mang-973883.html


[15] Statement from the AIC following the Congress of the United States letter on the Vietnam Law on Cybersecurity (17th July 2018), https://www.aicasia.org/2018/07/17/statement-from-the-asia-internet-coalition-following-the-letter-by-the-congress-of-the-united-states-on-the-law-on-cybersecurity-in-vietnam/

[16] Dự luật An ninh mạng: Hàng Việt Nam ‘Made in China’?, https://www.luatkhoa.org/2017/11/du-luat-ninh-mang-hang-viet-nam-made-china/

[17] Apple officially moves its Chinese iCloud operations and encryption keys to China, https://www.theverge.com/2018/2/28/17055088/apple-chinese-icloud-accounts-government-privacy-speed

[18] China Said to Quickly Withdraw Approval for New Facebook Venture, https://www.nytimes.com/2018/07/25/business/facebook-china.html

[19] China Internet Report 2018, https://www.abacusnews.com/china-internet-report/


[21] Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?, https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost


[23] Apple is under fire for moving iCloud data to China, https://money.cnn.com/2018/02/28/technology/apple-icloud-data-china/index.html

[24] Facebook fell 13 percent this week to below $160, the stock's worst week since July 2012, https://www.cnbc.com/2018/03/23/facebook-cambridge-analytica-stock-sees-third-worst-trading-week-ever.html

[25] Google, Facebook thu lợi hàng ngàn tỉ đồng mỗi năm, https://thanhnien.vn/tai-chinh-kinh-doanh/google-facebook-thu-loi-hang-ngan-ti-dong-moi-nam-898994.html

Comments

Mỗi người Việt Nam cần phải lên tiếng, đóng góp ý kiến của mình. Mong Thái không đơn độc.
Thai Duong said…
Tóm tắt dành cho ai lười đọc:

1. Dự thảo bắt buộc các công ty Internet quốc tế phải lưu trữ dữ liệu cá nhân của người Việt Nam tại Việt Nam, nhưng bất kể các công ty tuân thủ, chính phủ cũng không thể tự ý truy cập vào nguồn dữ liệu này. Về mặt kỹ thuật, dữ liệu các công ty đặt trên các máy chủ sẽ luôn luôn ở dạng mã hoá và chỉ có thông qua công ty sở hữu dữ liệu mới có chìa khoá để mở nhưng luật của Mỹ là không được cung cấp khoá, nếu chưa có sự đồng ý của Bộ Tư Pháp hoặc Nhà Trắng.

2. Bắt buộc các công ty mở văn phòng ở Việt Nam không phải là một yêu cầu quá đáng, nhưng chính phủ cần phải hiểu được tại sao người ta không muốn mở. Singapore đâu cần ra luật gì, các công ty vẫn đua nhau mở trụ sở. Bắt buộc người ta vào, người ta sẽ vào cho có lệ, rốt cuộc Việt Nam sẽ không nhận được vốn hay công nghệ gì cả, mà lại còn tạo tiền lệ xấu.

3. Bắt buộc các công ty lưu trữ dữ liệu ở Việt Nam sẽ khiến họ chỉ có hai lựa chọn: rút khỏi thị trường Việt Nam hoặc sao chép dữ liệu thô từ trung tâm dữ liệu của họ sang các máy chủ thuê mướn ở Việt Nam. Sao chép dữ liệu thô làm gia tăng rủi ro dữ liệu bị xâm phạm, nếu xảy ra sự cố sẽ ảnh hưởng rất xấu đến hoạt động kinh doanh của họ, vốn dựa rất lớn vào niềm tin của khách hàng. Và đương nhiên họ phải tốn thêm chi phí thiết kế lại hệ thống, thuê mướn thêm thiết bị lưu trữ, chi phí này sẽ do chính người dân Việt Nam phải chi trả, khi các công ty phải tăng giá thành dịch vụ, sản phẩm đối với thị trường Việt Nam.

Bộ Công an còn yêu cầu các công ty phải bàn giao dữ liệu hàng loạt. Ưu tiên hàng đầu của các công ty quốc tế là đảm bảo an toàn dữ liệu và riêng tư cho khách hàng, trừ khi có lệnh của tòa án và luật sư của họ đồng ý, họ không thể nào đơn phương tùy tiện chuyển giao dữ liệu cho bên thứ ba. Họ làm sao biết được Bộ Công an sẽ quản lý dữ liệu, sử dụng và chia sẻ dữ liệu của họ như thế nào. Nhưng nếu vì bất kỳ lý do gì dữ liệu bị lộ ra ngoài, họ sẽ hứng đủ.Vả lại, dữ liệu là tài sản của công ty, yêu cầu họ chuyển sang cho chính phủ Việt Nam chẳng khác nào quốc hữu hóa. Còn ai muốn làm ăn ở Việt Nam?

Một khi rủi ro, áp lực chính trị và chi phí hoạt động quá cao, các công ty sẽ phải tính đến phương án rút khỏi Việt Nam. Nếu các công ty rút khỏi Việt Nam, chúng ta sẽ lấy gì thay thế, Baidu và Weibo chăng?

4. Chuyển dữ liệu từ Singapore hay Đài Loan về Việt Nam sẽ không khiến dữ liệu được an toàn hơn. Internet không có biên giới, chuyển địa điểm lưu trữ không làm cho dữ liệu an toàn hơn, trái lại là đằng khác.

5. Bộ Công an tuyên bố sẽ xây dựng trung tâm dữ liệu ($$$$) để tiếp nhận dữ liệu mà họ yêu cầu các công ty cung cấp. Nghĩa là toàn bộ dữ liệu của người Việt Nam sẽ được lưu ở một chỗ duy nhất, tạo thành một mục tiêu béo bở cho giới tội phạm chuyên nghiệp hoặc lực lượng tình báo mạng của các quốc gia.

6. Toàn bộ dữ liệu không chỉ của người dân, mà cả lãnh đạo cấp cao và toàn bộ hệ thống chính trị nằm trong tầm kiểm soát của Cục An ninh mạng, Bộ Công an. Với viễn cảnh u tối như Đông Đức năm 1984, ai còn muốn đến Việt Nam sống và làm việc? Nếu không thu hút được tài năng, làm sao Việt Nam có đủ nhân lực để làm cách mạng công nghệ?

7. Sau 30 năm nhận vốn và công nghệ thế giới, Trung Quốc đang giàu lên rất nhanh và đe dọa cả thế giới. Phương Tây đang rất lo ngại và muốn tìm đối tác đầu tư thay thế. Đây là cơ hội của Việt Nam, nhưng dự thảo 03/10/2018 chẳng khác nào một lời tuyên bố rằng Việt Nam không muốn đi cùng với thế giới. Nguy hiểm hơn hết, khi Việt Nam cản trở các công ty công nghệ phương Tây, các tập đoàn công nghệ rất giàu mạnh của Trung Quốc sẽ thao túng thị trường và dữ liệu của người Việt Nam, tạo ra những hiểm họa khôn lường.

Vì những lý do kể trên, tôi đề nghị chính phủ loại bỏ chương 5 của dự thảo 03/10/2018 và giới hạn phạm vi của dự thảo vào nội dung bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Yêu cầu lưu trữ dữ liệu nội địa cần được tách ra và hướng dẫn thực hiện bằng một dự thảo khác.
Thai Duong said…
QUYNH HA: cảm ơn chị.
Cương Trần said…
Mong sao lãnh đạo nào thực sự có tâm và có khả năng làm thay đổi được nội dung cái luật này thì may ra mới có hy vọng, chỉ sợ tất cả nằm trong tiến trình hết rồi nên đưa ra cũng chỉ mang tính thông báo thôi
Cao Cau said…
Có tâm thì đã không cs.
Duong said…
Cảm ơn bài viết chi tiết của anh, có một vấn đề em nghĩ anh cần đưa thêm vào, đó là trước đây em có R&D cho một công ty quân đội, đã làm nhiều dự án với bên Cục Cơ yếu quân đội và Chính phủ và đúng như cái tên của những đơn vị này trình độ chuyên môn của họ rất yếu. Chúng ta cũng không thể đòi hỏi được những đơn vị này thu hút được tài năng vì thu nhập và môi trường làm việc không hấp dẫn. Em nghĩ rằng trình độ nhân lực của bên cục An ninh mạng cũng thấp và việc chúng ta giao dữ liệu của toàn bộ người dân VN cho những người không xứng đáng và đủ khả năng là vô cùng nguy hiểm không những cho người dân mà cả hệ thống chính trị. Thanks anh.
Wolf said…
Thank bài viết quá hay, tôi có thắc mắc thêm là: Vd tôi xem sếch nhưng cung cấp sếch ko được công nhận là sản phẩm hay dịch vụ của VN vậy thì tính thế nào nhỉ? data có bị lưu trữ ko và nếu bên cung cấp ko làm thì thế nào ạ?  
Unknown said…
hy vọng mọi người cùng góp sức "đề nghị chính phủ loại bỏ chương 5 của dự thảo 03/10/2018 và giới hạn phạm vi của dự thảo vào nội dung bảo vệ an toàn thông tin cho các hệ thống trọng yếu quốc gia. Yêu cầu lưu trữ dữ liệu nội địa cần được tách ra và hướng dẫn thực hiện bằng một dự thảo khác."
Danh sách văn phòng đoàn đại biểu Quốc hội tại đây: http://quochoi.vn/vanphongquochoi/cocautochuc/Pages/vp-doan-dai-bieu-quoc-hoi.aspx?ItemID=323
Unknown said…
Mục tiêu duy nhất của luật này là: Họ muốn kiểm soát mọi hoạt động của người dân để bảo vệ cái chính quyền mà đang mất lòng dân của họ. Mọi cuộc biểu tình, phản đối gì đó xảy ra thì họ muốn biết ai là người đứng đầu để nhổ cỏ tận gốc, chứ không phải vì lợi ích của nhân dân quốc gia mịa gì đâu.
ps: Em không phải là phản động và rất ghét bọn phản động, em đã có giấy chứng nhận cảm tình đảng ^^
Lê Thành said…
Cám ơn bạn Thái đã phân tích rất chính xác và rõ ràng.
Thật đáng tiếc, qua nhiều hành động, có thể thấy chính phủ Việt Nam không muốn phát triển mà chỉ muốn lệ thuộc vào Trung Quốc để giữ vững cái ghế của họ.
Unknown said…
Hi anh Thái, em thì ủng hộ luật. Về mặt kinh tế, Google và Facebook đã khai
thác Việt Nam quá lâu rồi mà chưa có đóng góp tương xứng. Họ nên đặt data center ở Việt Nam để tạo công ăn việc làm cho kỹ sư Việt phục vụ Việt Nam và chuyển giao công nghệ đi. Em thì không tin vào lời hứa vì một thế giới đại đồng của bất cứ CEO nào :)). Về mặt an ninh thì ví dụ như một anh kỹ sư Facebook ở bên Mỹ copy dữ liệu của người Việt đem bán cho tổ chức tội phạm. Lúc đó sẽ giải quyết thế nào ?. Gửi thư mời Mark Zuckerberg sang quốc hội Việt Nam điều trần như quốc hội Mỹ ? Chắc gì anh ý đã sang nếu không có con tin là cái data center của Facebook. :) Hi vọng mọi người hiểu tại sao phải đặt cơ sở dữ liệu người Việt tại Việt Nam.
Thai Duong said…
Kim Hoan Pham: dẫu có mở data center ở Việt Nam thì việc đó cũng không tạo ra nhiều công ăn việc làm. Data center được tự động hóa tối đa, thuê mướn chừng 10-20 người là hết.

Về đóng góp cho Việt Nam thì nếu bạn nhìn rộng ra hơn bạn sẽ thấy sở dĩ Google và Facebook phổ biến ở Việt Nam là vì sản phẩm dịch vụ của họ đem đến nhiều lợi ích cho nhiều người Việt Nam. Tôi không biết cân đo đong đếm đóng góp này như thế nào, nhưng nếu nói họ không có đóng góp gì thì không đúng.

>Về mặt an ninh thì ví dụ như một anh kỹ sư Facebook ở bên Mỹ copy dữ liệu của người Việt đem bán cho tổ chức tội phạm. Lúc đó sẽ giải quyết thế nào ?. Gửi thư mời Mark Zuckerberg sang quốc hội Việt Nam điều trần như quốc hội Mỹ ? Chắc gì anh ý đã sang nếu không có con tin là cái data center của Facebook. :) Hi vọng mọi người hiểu tại sao phải đặt cơ sở dữ liệu người Việt tại Việt Nam.

Doanh thu của Facebook bắt buộc họ phải tự có trách nhiệm bảo vệ dữ liệu. Họ có đủ tiền của và tài năng để làm việc đó, nếu họ không làm được thị trường sẽ đào thải họ. Nếu có một kỹ sư đánh cắp dữ liệu của Facebook thì FBI sẽ vào cuộc.

Tôi hoàn toàn ủng hộ việc bảo vệ dữ liệu của người dùng Việt Nam. Việt Nam có thể đưa ra luật bảo vệ dữ liệu, nếu các công ty vi phạm thì bị xử phạm hoặc phải có trách nhiệm giải quyết sự cố, giống như GDPR của Châu Âu. Một bộ luật như vậy phải xuất phát từ giá trị cốt lõi là bảo vệ riêng tư của người dân và không cần phải đem dữ liệu về Việt Nam.

Cuối cùng, chỉ có bắt cóc tống tiền mới nghĩ đến con tin thôi bạn ơi. Facebook thừa hiểu chính phủ Việt Nam muốn gì. Nếu là bạn, bạn có muốn đầu tư vào một nơi luôn hâm he bắt nhân viên và tài sản của bạn làm con tin?
Unknown said…
À đoạn bắt cóc con tin em chỉ lấy hình tượng thế thôi. Trump lên làm tổng thống cũng "tống tiền" bao nhiêu công ty tập đoàn đấy thôi :D Mấy cái anh đưa ra ví dụ như GPDR đều hay, nhưng nếu không có ràng buộc cụ thể ở Việt Nam thì chỉ trông chờ vào thị trường đào thải, bằng nói mồm hứa mồm của CEO với chính phủ Việt Nam với nhau hả anh. Nếu FB đem tư liệu người dùng Việt Nam bán thì công an Việt Nam phải gọi điện cho FBI của Mỹ ? Việc mở rộng thị trường Việt Nam mà chẳng có ràng buộc nào thì em nghĩ không thực tế anh ạ. Em vẫn ủng hộ Facebook, Google, nhưng em tin họ phải đặt datacenter ở Việt Nam.
Unknown said…
Đóng góp của FB và Google là lớn nhưng họ không phải là phi lợi nhuận. Họ thâý lợi thì mới nhảy vào thị trường VN. Tiền quảng cáo thu lại là rất lớn. Vì vậy việc đòi hỏi của chính phủ em không cho là quá đáng.Việc xây data center em nghĩ chuyển giao công nghệ cũng là cái quan trọng, chứ không phải số lượng công an việc làm.
Thuong said…
Anh Thái viết bài này hay quá. Chung quy lại cũng chỉ là một câu hỏi, ta chọn TQ hay thế giới?
Ned said…
Kim Hoan Pham: nếu đặt câu hỏi "lỡ như FB bán dữ liệu người dùng Việt Nam thì sao", thì tại sao em không đặt thêm một số câu hỏi nữa:
+ Nhỡ như Apple cài bom vào iphone bán cho người Việt Nam thì sao?
+ Nhỡ như quần áo made in China nhập vào Việt Nam có tẩm thuốc độc thì sao?
+ Nhỡ như xe hơi nhập khẩu của Nhật, Thái Lan có chứa thiết bị theo dõi thì sao?

Vậy em có muốn tất cả các đối tác xuất khẩu vào Việt Nam phải đăng kí đặt toàn bộ nhà máy và qui trình sản xuất của họ ở VIệt Nam để cho yên tâm?

Nguyên tắc kinh doanh hàng đầu thế giới vẫn là "trust but validate". Chỉ trừ một số hàng hoá đặc biệt mà sai sót là chuyện có kết quả nghiêm trọng như trang thiết bị điện tử cho nguyên thủ quốc gia, hầu hết các chiến lược kinh doanh đều phải dựa trên chữ tín đi đầu. Nếu họ làm sai thì ta mới giải quyết với họ sau (dừng làm ăn, kiện...).

Chính sách đầu tư kinh tế "trust nothing, no one" của em nếu áp dụng ở thị trường Việt Nam thì chỉ sau vài năm nước ta chỉ có thể sá nh vai với Bắc Triều Tiên và Cuba :-)
Unknown said…
Kim Hoan Pham: việc đặt dc ở đâu ko quan trọng lắm. Dữ liệu ko phải là thứ hữu hình có thể nhốt trong 1 căn phòng. cty nước ngoài có thể lách luật đặt 1 đống dummy server ở vn r cho 1 vài anh quản trị mạng ngồi làm bảo vệ để hợp pháp hóa, thế nên đừng có mơ mà chuyển giao công nghệ gì hết. Vấn đề nó năm ở chỗ đòi fb gg phải cung cấp thông tin người dùng cho cục an ninh mạng, điều này quá bất hợp lý và chg khác gì chặn cửa cty nước ngoài.

Unknown said…
Hi anh Nghĩa chính vì mức độ quan trọng của data với an ninh và nói thật luôn là về mặt chính trị nên việc quản lý data phải chặt chẽ hơn những thứ như quần áo, xe hơi. Điện thoại thì cũng là data và không nên dùng của Tàu, và nếu dùng iphone thì nên bắt Apple đặt server ở Việt Nam như Trung Quốc làm. Em rất trung lập ở đây thôi. Vấn đề lớn hơn là những công ty như Google hay Facebook hiện nay quá độc quyền trong lĩnh vực của họ, sở hữu thông tin quá quan trọng có ảnh hưởng trực tiếp đến chính trị. Họ có thể manipulate rất khéo bằng cách tung tin, tung feed, chạy quảng cáo ... ai sẽ quản lý họ? Anh liệu có tin vào Mark Zukerberg? Có chế tài nào để đảm bảo FB/Google không tác động hoặc thậm chí là lũng đoạn chính trị, kinh tế. Nếu FB/Google quá lớn, em sẽ không ngạc nhiên khi chính phủ/ quốc hội Mỹ tìm cách break up như nhiều trường hợp trong lịch sử. Việt Nam cũng không ngây thơ để Google hay Facebook muốn làm gì thì làm và cũng hiểu FB/Google muốn gì. Giống như anh đi thuê nhà để ở vậy thôi, anh phải có tiền đặt cọc cho chủ nhà làm tin.
Unknown said…
Hi bạn Unknown, bạn bảo các công ty nước ngoài sẽ lách luật sau đó lại đòi công bằng kinh doanh, không được chặn cửa ? Thế tức là thế nào ạ? Đạo đức đầu tiên của một công ty là phải tuân thủ pháp luật của nước sở tại bạn nhé :) Việt Nam sẽ không welcome công ty Coca Cola thứ hai đến chuyển giá làm bậy, hay bất cứ các công ty Đài Loan, Nhật Bản, Trung Quốc ... đến biến Việt Nam thành bãi rác công nghiệp. Trường hợp của Google/FB là từ lâu họ kinh doanh trên Việt Nam mà chẳng có tí ràng buộc nào cả. Ít nhất mấy bọn làm bậy ở trên còn có đầu tư nhà máy. Google, Facebook thì có gì ? Đường link đến trang web và vài pháp nhân đại diện ở Việt Nam là đủ? Mình nghĩ Việt Nam đã quá dễ dãi thì đúng hơn.
Ned said…
"mức độ quan trọng của data với an ninh" - theo tôi bạn đánh giá quá cao tầm quan trọng của dữ liệu người dùng của mạng xã hội Facebook. Tôi dám cá 99% các dữ liệu đó chỉ là ảnh selfie, than vãn, tin bài về ca sĩ đánh ghen với người mẫu, đại gia đi cặp với chân dài,... Nếu sử dụng dữ liệu đó mà làm mất an ninh quốc gia được thì họ đã làm lâu rồi, không đợi đến bây giờ.

Thứ hai là những dịch vụ kiểu như Facebook, Google là dịch vụ internet miễn phí. Không ai bắt buộc bạn phải sử dụng nếu bạn không muốn. Nếu người dùng để dữ liệu quan trọng lên các dịch vụ đó có nguy cơ bị mất thì đó là lỗi người dùng. Giải pháp ở đây phải là tuyên truyền để mọi người nâng cao ý thức những dịch vụ trên, hoặc chính phủ Việt Nam có thể bắt buộc Google/Facebook phải tuân thủ về việc giáo dục người sử dụng về việc tự bảo vệ dữ liệu mật cá nhân. Những giải pháp kiểu này hiệu quả gấp nhiều lần việc bắt Facebook hay Google phải đặt máy chủ ở Việt Nam.

Ngoài ra bạn cũng nên hiểu là về mặt kĩ thuật thì việ c đặt server ở Việt Nam không giúp gì được về bảo vệ tài liệu cho người dùng. Nếu Facebook/Google muốn bán hay sử dụng các dữ liệu đó vào mục đích xấu, dù là có đặt server ở Việt Nam thì họ vẫn có thể copy tất cả các dữ liệu đó sang server khác của họ đặt nằm ngoài Việt Nam. Dữ liệu máy vi tính chứ không phải là hàng hoá vật chất, việc sao chép một lượng lớn dữ liệu có thể thực hiện đơn giản chỉ trong một phần vài ngàn giây.

Ví dụ như việc Trung Quốc bắt Apple đặt server ở nước họ theo tôi là để bảo vệ dữ liệu người dùng Trung Quốc thì ít, mà để chính phủ Trung Quốc dễ dàng kiểm soát dữ liệu người dân Trung Quốc là nhiều.
Unknown said…
Hi anh Nghĩa, có mấy luận điểm của anh không đúng như sau.
Thứ nhất, data trên FB 99% là như anh nói, nhưng hay ở chỗ nó hoàn toàn có và thực tế đã được sử dụng để manipulate vào chính chính trị Mỹ trong cuộc bầu cử 2016, anh có thể google để tìm hiểu thêm về fake news, đảng dân chủ đang kêu ầm lên là Nga can thiệp vào bầu cử Mỹ ...vân vân. Nói thế để hiểu rõ data quan trọng như thế nào với an ninh và tại sao phải regulate mạnh.
Thứ hai, Gg/ Fb tưởng là dịch vụ miễn phí nhưng thực chất không phải. Họ đang khai thác lợi nhuận trên chính dữ liệu người dùng. Đây chính là điểm mấu chốt thứ hai tại sao phải đưa data về Việt Nam vì đó là tài nguyên kinh tế giống hệt như giàu mỏ vậy đó ... thậm chí lại ảnh hưởng rất lớn đến an ninh quốc phòng.
Unknown said…
À còn nữa, anh có nói phải bắt Google làm thế này thế nọ. Trong làm ăn kinh doanh anh không chỉ dùng niềm tin hoặc hợp đồng là được mà phải có công cụ để kiểm soát. Ra ngân hàng vay thì cần tài sản thế chấp. Trước thị trường VN nhỏ, VN thả cho Gg muốn làm gì thì làm, giờ to hơn thì cho vào regulate là đúng.
Khai Tran said…
Regulate là đúng, nhưng nó chẳng liên quan gì đến việc đặt máy chủ ở đâu. Bạn phải phân biét đc policy, algorithms với nơi đặt dữ liệu.

Chả có công nghệ nào đc chuyển giao khi đặt data center ở Vietnam cả.
Unknown said…
Ok có thể đoạn chuyển giao em không chuẩn. Tuy nhiên sẽ regulate Gg/Fb kiểu gì nếu họ không đặt cơ sở dữ liệu ở VN. Anh có thể nói là lấy hợp đồng, policy này nọ nhưng trở lại thực tế là Google/Facebook chẳng có gì để ở Việt Nam ngoài vài pháp nhân và đường link đến trang web. Mình phải tin tưởng tuyệt đối vào ethic của Fb/Gg ư. Em xin lỗi nhưng em không tin, vì đây là công ty, hoạt động vì lợi nhuận chứ không phải NGO.
Khai Tran said…
Bạn vào Google tìm hiểu về GDPR compliance như thế nào. Fake news thì phải control bằng feed ranking algorithms.

Bạn tin hay không tin không quan trọng, nhưng có một công cụ để kiểm tra tính compliance gọi là auditing, hy vọng là bạn biết. Nhưng thứ khác bạn nên Google trước.
Unknown said…
GDPR là của châu Âu mà bạn ơi, hoạt động ở Việt Nam mà lại chỉ dựa hoàn vào luật của nước ngoài là sao? Chưa có luật mà bạn nói đến compliance, auditing? Google đang tuân thủ GDPR nhưng đến Việt Nam thì cần phải tuân thủ luật nội địa nữa nhé. :)
Unknown said…
Lãnh đạo ko thích điều này :D
Ned said…
"regulate Gg/Fb kiểu gì nếu họ không đặt cơ sở dữ liệu ở VN" -> bạn gỉai thích cho tôi hiểu thử vì sao bắt họ đặt cơ sở dữ liệu ở VN thì giúp regulate kiểu gì được?

Một số cách regulate cụ thể tôi biết là:
1) Dựa vào luật thương mại quốc tế. Ta đưa ra hợp đồng, nếu phát hiện họ không tuân theo thì thưa kiện và dưa vào ICC giải quyết
2) Block IP addresses: nếu kiện tụng quốc tế không ăn thua thì Việt Nam có thể chặn tất cả các truy cập vào dịch vụ của FB/Google.
3) Ngừng cung cấp giấy phép quảng cáo: các cty Google, FB có lợi nhuận từ VN thông qua doanh nghiệp Việt Nam đặt quảng cáo online. Chính phủ Việt Nam có thể dừng ngay các hoạt động để làm đòn trừng phạt.
Unknown said…
Hi anh Nghĩa,
Những công cụ regulate anh đưa ra là không đủ mạnh, chỉ là chặn, kiện hoặc bắt ngừng kinh doanh. Vấn đề vẫn là Gg/Fb đã và đang thu nhập và lưu trữ dữ liệu của Việt Nam ở nước ngoài, những nơi mà chả có pháp chế nào cho Việt Nam xử lý. Việc yêu cầu Gg/Fb đặt data center ở Việt Nam đương nhiêu họ sẽ không thích vì tăng chi phí, nhưng họ sẽ không ngây thơ mà từ bỏ thị trường 100 triệu dân. Em nhận ra hai bên đều có quan điểm khác nhau về vấn đề này và rất khó để có tiếng nói chung. Em sẽ bảo lưu quan điểm của mình. Chân thành.
Thai Duong said…
Kim Hoan Pham: nếu đã xác định ai nói gì cũng không thay đổi quan điểm thì tôi thấy đúng là khó để nói chuyện tiếp.

Tôi chỉ muốn nói với bạn rằng mặc dù làm việc cho Google, hay có nhiều ý kiến ủng hộ Facebook, tôi là người Việt Nam, tôi rất muốn Việt Nam phát triển. Tôi muốn các công ty công nghệ lớn đầu tư vào Việt Nam, mở data center để dịch vụ nhanh hơn, mở văn phòng engineering để đào tạo thuê mướn người trong nước. Những gì tôi viết ở đây chỉ ra rằng Luật An ninh mạng sẽ khiến giấc mơ đó rất khó thành hiện thực.

Điều cuối cùng mà tôi muốn nhắn với bạn, Luật An ninh mạng không phải là câu chuyện giữa chính phủ Việt Nam và các công ty quốc tế. Câu chuyện đó chỉ làm nền cho một câu chuyện khác hệ trọng hơn nhiều. Đó là câu chuyện giữa chính phủ và người dân, giữa tự do và kiểm soát. Hi vọng rằng bạn sẽ suy nghĩ thêm về câu chuyện đó và rút ra các kết luận mới cho riêng mình.
Known said…
Hi @Kim Hoan Pham,
Việc đặt máy chủ vật lý ở VN không có nghĩa là chính phủ sẽ kiểm soát được những dữ liệu đó, vì chỉ cần 1 cái tíc-tắc là dữ liệu có thể biến mất, CP phải hiểu dữ liệu là đối tượng phi vật thể. Theo mình đây là việc thừa thải.

Điểm mấu chốt là "phải cung cấp tất cả dữ liệu khi nhận được yêu cầu của Cục An ninh mạng", đây sẽ là điều tiên quyết về việc đi/ở của những công ty cung cấp dịch vụ nước ngoài.

Nếu như tôi là người làm luật, chỉ cần sửa thành "Cung cấp môi trường, địa điểm làm việc, công cụ để truy cập tới những dữ liệu được chỉ định, có sự phê duyệt của tòa án hoặc vks hoặc thủ trưởng cơ quan điều tra và được vks cùng cấp phê duyệt trước khi tiến hành" là đủ. Khi đó các đơn vị cung cấp dịch vụ trên mạng sẽ cho cái tool để công an có thể truy cập được tới đúng dữ liệu cần coi (cụ thể theo lệnh của vks), chứ không phải muốn coi gì thì coi.
Khai Tran said…
Kim Hoan Pham: Tôi bảo bạn tham khảo GDPR để xem cách châu Âu họ regulate các công ty Mỹ thế nào, có điều khoản nào đề cập đến đặt data center ở đâu không? Việt Nam muốn làm luật thì nên học châu Âu hay học Trung Quốc thì chắc bạn cũng có câu trả lời.
Khai Tran said…
Chốt lại vẫn là tư duy "kéo đám mây" thôi :)
Known said…
Chừng nào cái này mới được đưa ra lấy ý kiến nhỉ?

Trên trang
http://moj.gov.vn/dtvb/Pages/trang-chu.aspx

Chưa có.
dominhthang85 said…
thế giới người ta ra luật để bảo vệ thông tin cá nhân của người dùng, Việt Nam ra luật để cướp thông tin cá nhân của người dùng :D
Unknown said…
Vấn đề là ở chỗ Trung Quốc có an ninh mạng còn kinh hơn VN, giờ dân Trung Quốc có biết Facebook, Google là cái gì đâu, toàn dùng Weibo mí Baidu. Thế mà doanh nghiệp phương tây vẫn đổ vào Trung Quốc ầm ầm. Đến nỗi Trump hốt hoảng phải phát động chiến tranh áp thuế ầm ầm.

Lo ngại FB với Google bỏ thị trường mấy chục triệu dân VN á? Không bao giờ có chuyện đó. Tiền quyết định tất cả.

Luật VN bắt chước hoàn toàn luật TQ, mà TQ làm được thì VN cũng sẽ làm được.

Chú đừng hù dọa vớ vẩn
Kha Tran Ac said…
Thời CM 4.0 này, công việc an ninh mạng nhàn tênh ấy mà. Mình làm nhân viên an ninh thông tin doanh nghiệp, mình biết rõ:

-- Tất cả các phần mềm quản lý chứng thư bất kể là của nhà cung cấp nào cũng đều có chung 1 thành phần gọi là crypto driver gì gì đó, của 1 công ty nước ngoài có tên là Giang Sơn (Zheng Sheng) Technologies gì gì đó.

-- Muốn chạy được những phần mềm của Chính phủ (VD như phần mềm khai thuế) thì phải tìm ra hết những tính năng bảo mật của hệ thống, nghĩa là bất cứ tính năng nào có mấy từ authentication, authorization, SSL, TLS, blah blah, và tắt hết chúng đi.

Việc của nhà cung cấp, họ đã làm rồi. Việc của mình, mình cũng làm rồi. Cục an ninh mạng có cần làm gì thêm nữa đâu. Nhỉ?
kyris said…
Cá nhân mình thấy có 2 điểm đơn giản khiến các nước khác phải bỏ VN khi luật ANM có hiệu lực:
1. Hạ tầng VN không đủ tầm để làm DC
2. VN không đủ sức hút như TQ để các công ty lớn đánh đổi chuyện tiền bạc đổi lấy thị trường
Khi có luật ANM thì không cách gì có thể khiến VN phát triển được 2 ý trên, chứ không phải là chuyện công an hay toà án.

Mọi người có thể xem thử ở 1 bài thế này: https://kinhdoanh.vnexpress.net/tin-tuc/quoc-te/nha-may-my-thanh-nan-nhan-vi-don-thue-cua-ong-trump-3824309.html
Quan điểm mình chỉ đơn giản là lỡ mất cơ hội cạnh tranh nguồn lực với các nước khác, thay vì chuyện thông tin.
Ned said…
"Lo ngại FB với Google bỏ thị trường mấy chục triệu dân VN á? Không bao giờ có chuyện đó. Tiền quyết định tất cả."

Thu nhập của Google và FB ở Việt Nam năm 2015 là khoảng 100-140 triệu USD (https://baomoi.com/thu-nghin-ty-moi-nam-nhung-google-facebook-dong-thue-nho-giot-tai-viet-nam/c/23891886.epi).

Giờ cho là kinh tế phát triển, thu nhập của mỗi ông lớn đó ở Việt Nam là 200 triệu USD đi.

Chi phí xây dựng 1 data center theo chuẩn qui mô của Facebook/Google là khoảng 250-500 triệu USD (http://www.sphomerun.com/data-center-sales-and-marketing-blog/what-does-it-cost-to-build-a-data-center). Đó là chưa kể khó khăn tìm kiếm nhân lực đủ mạnh để vận hành DC ở Việt Nam.

Vài con tính đơn giản trên là hiểu ngay FB/Google có sẵn sàng bỏ thị trường VN không thôi :)
Khai Tran said…
Thị trường mấy chục triệu dân của VN đáng giá bao nhiêu với FB?

Doanh thu trung bình một user của FB ở Bắc Mỹ là tầm $27, ở châu Á nói chung là tầm $2.5, tức là gấp hơn chục lần. VN thuộc dạng đáy ở Asia Pacific (tính theo thu nhập bình quân đầu người) nên ước tính doanh thu trên user ở VN chỉ bằng 1/2 đến 1/3 của mức châu Á (có thể thấp hơn nữa).

Năm 2018 FB có khoảng 34 triệu user, đến năm 2022 thì sẽ đạt khoảng 40 triệu users. Con số này nếu quy đổi sang doanh thu thì chỉ bằng cỡ hơn một triệu users của Bắc Mỹ.

Unknown said…
Một tài năng bj bỏ rơi.Anh quả là tâm huyết với vạn mệnh của đất nước .Kiến thức qua pro
Thai Duong said…
Khanh lê: còm của bạn tếu quá. Tôi chưa có yêu ai làm cho chính phủ cả!
Unknown said…
Cảm ơn anh về bài viết rất đầy đủ.
Unknown said…
Cảm ơn anh rất nhiều về bài viết rất tâm huyết, cung cấp thông tin rất chi tiết, chặt chẽ, đầy đủ, ... cho người đọc!
Kha Tran Ac said…
Tôi có người anh họ làm cố vấn cấp cao. "Cao cấp" tức là chuyên tư vấn cho chính phủ các vấn đề chiến lược khoa học công nghệ, cỡ CM 4.5 trở lên ấy. Nhiều năm trước, khi anh ấy cho tôi cái danh thiếp, tôi đã hỏi:

- Sao anh không dùng địa chỉ e-mail của cơ quan, lại dùng gmail?

Anh hỏi lại:

- Gửi tiền ở đâu chắc hơn, ngân hàng nhà nước hay ngân hàng Thụy Sỹ?

Gần đây, nhân vụ bà con bàn luận về Luật an ninh mạng, tôi lấy chuyện cũ ra hỏi kháy:

- Sao lại bắt ngân hàng Thụy Sỹ chuyển kho tiền sang để VN?

Anh chỉ bảo:

- Thế là đọc luật mà mới hiểu chữ thôi, chưa hiểu nghĩa rồi.

Và anh cho tôi cái danh thiếp mới, địa chỉ e-mail mới. X.Y@Z.vn.
Unknown said…
Cám ơn bạn thái đã phân tích.
Vu said…
Cái buồn của VN là không phải không có người giỏi, chỉ là những người này lại không có tác động được tới chính sách phát triển cho VN.
Thái phân tích rất hay về luật này. Mọi thứ ở VN cứ y như copy từ TQ, và đi chậm hơn.
Kha Tran Ac said…
Mấy hãng tin nước ngoài họ dịch Luật An Ninh Mạng là Network Security Law. Network Securiry cái gì? Secure the Network thì có.
RacTun said…
May qua' co phan tom tat
tktk86 said…
Tôi lười đọc thật nhưng, càng đọc thì càng bị lôi cuốn. Vả lại đọc để biết thêm thờ tin và có thêm thờ tin về một vấn đề rất lớn liên quan trực tiếp tới cá nhân mình, tới sự phát triển của xã hội thì, nếu nó có dài đi nữa tôi cũng sẽ cố đọc hết để hiểu.
Quang Nguyễn said…
Nhờ blog của anh Thái mà tôi được hiểu rõ luật gọi là An ninh mạng này, tôi phản đối cái luật này. Hi vọng sau này lớp trẻ lớn lên sẽ hủy bỏ cái luật gây hại nhiều hơn là có lợi này.
This comment has been removed by the author.
Unknown said…
Xin phép anh em share bài viết của anh lên FB ạ.
Unknown said…
Có 30 điều thì anh. Bộ công an vừa công bố.
http://bocongan.gov.vn/van-ban/van-ban-moi/du-thao-nghi-dinh-quy-dinh-chi-tiet-mot-so-dieu-cua-luat-an-ninh-mang-314.html
Kha Tran Ac said…
Dự thảo nghị định, chú ý Điều 10: sẽ triển khai vạn lý trường thành. Công an mạng vận hành. Nhà mạng chịu chi phí lắp đặt, kết nối, mặt bằng, điện lạnh,...
Kha Tran Ac said…
Microsoft rất cứng rắn trong việc bảo mật dữ liệu khách hàng, tuy chưa phải là cứng rắn nhất, nghĩa là họ vẫn hợp tác với chính phủ (Mỹ). Họ có server ở VN thật đấy, nhưng bảo họ cung cấp data của khách hàng à, đừng có mơ.

Google thì mềm dẻo hơn. Họ có thể cung cấp registration data và metadata của khách hàng theo yêu cầu của công an VN. Còn data của khách hàng, nếu không phải là trường hợp khẩn cấp (cần cứu mạng người), ai muốn tiếp cận thì phải yêu cầu thông qua chính phủ Mỹ. Công an VN cũng không phải là ngoại lệ.

Facebook là dễ nhất. Công an VN có thể yêu cầu bất cứ dữ liệu nào, chỉ cần đáp ứng 4 điều kiện: (1) Bên có quyền xem xét tính hợp pháp của yêu cầu đó là Facebook, hơn là chính phủ VN (2) Yêu cầu phù hợp với chuẩn mực quốc tế (ví dụ, tội danh "tuyên truyền chống nhà nước" là không chính đáng) (3) Đối tượng là công dân VN hoặc pháp nhân VN (4) Việc cung cấp dữ liệu không phải là nghĩa vụ, mà là dịch vụ, nghĩa là Facebook thu phí.

Chính sách đó là toàn cầu, nghĩa là dữ liệu để ở nước nào cũng thế. Chính sách ấy là bất di bất dịch, nghĩa là họ chỉ thay đổi theo mục tiêu kinh doanh của họ, không thay đổi để chiều theo luật pháp của nước nào hết.

Theo đó, có thể phán đoán Skype, gmail sẽ sớm bị chặn ngay, còn Facebook thì rồi cũng sẽ bị chặn thôi, nhưng không sớm.
Unknown said…
Luật rất có ích cho An ninh mạng. Nhưng một phần nào đó lạ can thiệp vào đời sống cá nhân người dùng
Tư vấn Luật IURA
Unknown said…
Luật này dùng để giúp có thêm an ninh mạng khỏi các phần tử xuyên tạc chống phá đang nhỡn nhơ trên mạng xã họi

Tư vấn Luật IURA