Header Ads

  • Breaking News

    Gia Mỹ Bình - Định danh tài khoản mạng xã hội: Có nhất quyết phải đánh đổi riêng tư để lấy an ninh?

    Chính quyền muốn kiểm soát hoàn toàn không gian mạng hơn là bảo vệ quyền riêng tư và tự chủ dữ liệu.

    Luật Khoa tạp chí

    03/7/2023


    Đồ họa: Tùy Phong/ Luật Khoa. 

    Hãy hình dung một đêm nọ bạn đang tay trong tay với người yêu dạo bước vào chỗ ít đèn thì bỗng nhận ra cả hai đang đeo cái bảng sáng choang ghi đầy đủ họ tên và số điện thoại mỗi đứa. Vâng, tất nhiên bạn thấy cụt cả hứng vì mất đi sự riêng tư.

    Dự thảo nghị định do Bộ Thông tin và Truyền thông vừa đề xuất quy định tài khoản mạng xã hội cần xác thực bằng tên thật và số điện thoại để có thể đăng bài, bình luận và livestream cũng có tác động tương tự như thế. 

    Đề xuất này là một phần của dự thảo thay thế Nghị định 72/2013/NĐ-CP về quản lý Internet mà Bộ đang hoàn thiện để trình Chính phủ vào quý II/2023. [1] Từ đây, cái bảng tên sẽ được dán trên người bạn mọi lúc mọi nơi khi bạn dạo bước trên không gian mạng.

    Nếu Saudi Arabia hồi năm 2022 phải cất công đưa gián điệp vào Twitter mới lấy được danh tính và vị trí của những chủ tài khoản dám đưa tin bình luận chính phủ và gia đình hoàng gia Saudi, thì nhà nước Việt Nam đã đi xa hơn một bước với dự thảo mới này, thể hiện rõ ràng thông điệp: cần gì chơi trò điệp viên khi thông tin tường tận về người dùng mạng xã hội sẽ được tự động chuyển thẳng về máy chủ quân ta. [2]

    Rất ít quốc gia có khung pháp lý tốt để bảo vệ quyền riêng tư

    Dự thảo định danh tài khoản cá nhân được đưa ra với lý do rất chính đáng. Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Thanh Lâm trình bày: “Có thời điểm cơ quan chức năng xác định được chủ tài khoản mạng xã hội vi phạm pháp luật nhưng không truy vết được vì tội phạm sử dụng ứng dụng xuyên biên giới.” [3] Bởi thế, “tài khoản không định danh sẽ bị đấu tranh, ngăn chặn, xử lý với các mức độ khác nhau,” thứ trưởng cảnh báo. [4]

    Mặt khác, Việt Nam không phải là quốc gia duy nhất đang lên kế hoạch cho chính sách này. Khoảng 80% quốc gia trên thế giới đã triển khai luật về an ninh mạng, cho phép họ giám sát mạng xã hội với nhiều cấp độ khác nhau. [5] Tuy nhiên, số đông không phải lúc nào cũng đúng, chúng ta cần xem xét vấn đề này trên nhiều phương diện để đưa ra đánh giá phù hợp. 

    Một số lý thuyết về luật và xã hội học đã nhấn mạnh sự không thể tách rời giữa luật pháp và ngữ cảnh xã hội. Một điều được giới luật học công nhận rộng rãi theo chủ nghĩa hiện thực pháp lý (legal realism) là các thẩm phán (dù tốt hoặc xấu) thường bị ảnh hưởng mạnh mẽ bởi quan điểm chính trị của họ, giá trị cá nhân, tính cách cá nhân và các yếu tố ngoài pháp luật khác. [6] Còn nếu dựa trên quan điểm của chủ nghĩa Marx về học thuyết pháp lý (Marxist theory of law) thì pháp luật là công cụ của tầng lớp tư sản (tầng lớp thống trị) để duy trì quyền lực kinh tế và xã hội của họ đối với tầng lớp vô sản (tầng lớp lao động). Lý thuyết này coi pháp luật như một công cụ kiểm soát xã hội và cho rằng nó được hình thành nhằm phục vụ lợi ích của tầng lớp thống trị. [7]

    Bởi vậy, chúng ta cần xem xét ngữ cảnh mà Thứ trưởng Nguyễn Thanh Lâm đang dùng để lập luận cho tính hợp lý của dự thảo nghị định định danh tài khoản mạng xã hội này. 

    Trên bình diện toàn cầu, trong số các quốc gia áp dụng luật an ninh mạng, rất nhiều nước đã và đang thực hiện đồng thời các biện pháp đàn áp hoặc hạn chế quyền tự do của người dân mình. Theo thống kê của tổ chức Freedom House năm 2021, trong số 4,5 tỷ người có thể truy cập Internet, có 76% đang sống ở các quốc gia mà các cá nhân bị bắt hoặc giam giữ vì đăng tải nội dung về các vấn đề chính trị, xã hội, hoặc tôn giáo; 64% sống ở các quốc gia thực hiện việc ngăn chặn những nội dung chính trị, xã hội, hoặc tôn giáo trên Internet; 51% sống ở các quốc gia nơi mà quyền truy cập vào các nền tảng mạng xã hội bị hạn chế tạm thời hoặc vĩnh viễn. [8] [9]

    Có thể kể đến một vài ví dụ: Luật Thông tin của Indonesia, ban đầu được ban hành để bảo vệ người tiêu dùng trong các giao dịch điện tử, nhưng ngày càng bị lạm dụng để bịt miệng những người phản đối chính trị. Sự mơ hồ của các định nghĩa trong luật này cùng với việc mở rộng quyền hạn của cảnh sát đã khiến những vụ bắt bớ ngày càng gia tăng. [10] Tại Syria, chính phủ của Tổng thống Bashar al-Assad đã cập nhật luật tội phạm mạng vào tháng 4/2022 để nhắm vào các cá nhân phê phán tổng thống, nhà nước và hiến pháp. Ở Ai Cập, luật về tội phạm mạng đã được sử dụng để phạt tiền và tù giam các ca sĩ “vi phạm thuần phong mỹ tục” trong một video trên YouTube. [11] Và còn nhiều ví dụ nữa được tóm tắt sơ lược trong ảnh thông tin dưới đây.

    https://www.luatkhoa.com/content/images/2023/07/A-nh-chu-p-Ma-n-hi-nh-2023-07-03-lu-c-3.08.38-CH.png


    Nguồn: Freedom House 

    Thế nên, không khó để thấy là trong số các quốc gia ban hành luật an ninh mạng, rất ít quốc gia có các khung pháp lý được phát triển và thực thi tốt để bảo vệ quyền riêng tư và tự chủ dữ liệu, đồng thời cho phép công dân hưởng quyền được bảo vệ khi phát biểu ý kiến và đấu tranh cho quyền lợi của mình. 

    Một ví dụ cho khung pháp lý như thế là Quy định bảo vệ dữ liệu chung (GDPR) của châu Âu. Quy định này, sau bảy năm xây dựng ròng rã, cuối cùng cũng có hiệu lực vào ngày 25/5/2018 và được thiết lập để cho phép người dùng có quyền kiểm soát dữ liệu cá nhân hơn bao giờ hết. Nhờ GDPR, bạn có thể từ chối một số cách mà công ty công nghệ sử dụng thông tin của bạn, yêu cầu quyền truy cập vào dữ liệu cá nhân từ các nhà môi giới dữ liệu, hoặc xóa hoàn toàn thông tin của bạn khỏi các trang web. [12] Ngay cả như thế, người dân ở các quốc gia này vẫn phải liên tục đấu tranh chống lại sự đẩy mạnh của việc chính phủ giám sát hàng loạt (mass surveillance), ví dụ như nước Anh. [13]

    Chính quyền Việt Nam đẩy mạnh tiến trình kiểm soát hoàn toàn không gian mạng

    Xét ngữ cảnh của Việt Nam, nước ta bị xếp chót trên hầu hết các thang đo về quyền công dân và tự do khi chỉ đạt 22 trên 100 điểm trong Báo cáo Tự do trên mạng năm 2022, theo Freedom House; hoặc xếp hạng 178 trên 180 theo tổ chức Phóng viên Không biên giới (RSF) năm 2023. [14] [15] Việt Nam hiện giam giữ hơn 160 người vì thực hiện ôn hòa các quyền dân sự và chính trị cơ bản, kết án tù dài hạn ít nhất 27 người trong chín tháng đầu năm 2022 vì đã lên tiếng chỉ trích chính phủ và vận động cho các mục tiêu nhân quyền, môi trường hoặc dân chủ. [16]

    Quan trọng hơn, chúng ta có thể quan sát thấy chính phủ đang liên tục đẩy mạnh tiến trình kiểm soát hoàn toàn không gian mạng:

    Từ cột mốc đầu tiên là khi Việt Nam hòa mạng Internet vào ngày 9/11/1997 đến 20 năm sau đó, nhà nước Việt Nam đã ban hành, sửa đổi hàng loạt luật, nghị định và thông tư để kiểm soát Internet tại Việt Nam. [17]

    Tiếp theo, Luật An ninh mạng có hiệu lực từ ngày 01/01/2019 đã dập tắt một cách hữu hiệu các cuộc thảo luận dân sự/ chính trị/ hoạt động nhân quyền trên cõi mạng. [18]

    Gần đây hơn, Nghị định 53 có hiệu lực từ ngày 01/10/2022 để quy định chi tiết một số điều của Luật An ninh mạng đã yêu cầu tất cả các doanh nghiệp thực hiện các hoạt động thu thập/ khai thác/ phân tích/ xử lý dữ liệu trên mạng viễn thông, Internet và các dịch vụ gia tăng giá trị trong không gian mạng của Việt Nam phải lưu trữ dữ liệu tại Việt Nam. Các dữ liệu này bao gồm: (i) dữ liệu cá nhân của người sử dụng dịch vụ ở Việt Nam; (ii) dữ liệu do người sử dụng dịch vụ ở Việt Nam tạo ra, bao gồm: - tên tài khoản người sử dụng dịch vụ - thời gian sử dụng dịch vụ - thông tin thẻ tín dụng - địa chỉ email - địa chỉ mạng (IP) của lần đăng nhập/ đăng xuất gần nhất - số điện thoại đã đăng ký liên kết với tài khoản hoặc dữ liệu; và (iii) dữ liệu về mối quan hệ của người sử dụng dịch vụ ở Việt Nam, bao gồm: bạn bè và nhóm mà người dùng kết nối hoặc tương tác (khoản 3 Điều 26). [19]

    Trong năm nay:


    Đề án 06 xác thực Cơ sở dữ liệu quốc gia về dân cư với số điện thoại.

    Đến ngày 15/4/2023, những thuê bao không xác thực chính chủ đã bị cắt liên lạc hai chiều.

    Bộ Công an thông tin, sắp tới Bộ sẽ bàn với Ngân hàng Nhà nước tiến hành xác thực tài khoản thanh toán.

    Luật Viễn thông sẽ quy định việc quản lý các ứng dụng OTT (các ứng dụng liên lạc, giải trí trên mạng) viễn thông xuyên biên giới cũng như các nền tảng trong nước.

    Cuối năm 2023, tất cả chủ tài khoản mạng xã hội dù là cá nhân hay tổ chức đều phải thực hiện việc định danh tài khoản mạng xã hội, áp dụng cho cả mạng xã hội nước ngoài như Facebook, YouTube, TikTok.

    Ngoài lĩnh vực không gian mạng, Bộ Công an còn đề xuất cấp và quản lý biển số xe theo mã định danh điện tử của chủ xe, dự kiến có hiệu lực từ ngày 01/7/2023. [20] [21]

    Rõ ràng là chính phủ Việt Nam đang ráo riết hoàn thiện từng mảnh ghép một, họ sớm sẽ có một bức tranh toàn diện về mỗi công dân của mình. Đến đây, chúng ta sẽ nhận ra có nhiều dấu hiệu cho thấy xu hướng Việt Nam xây dựng một chương trình xác định và thống nhất danh tính điện tử (digital ID) quy mô quốc gia, một chương trình mà các chuyên gia và tổ chức nhân quyền đã lên tiếng cảnh báo. [22]

    Nếu bạn đang nghĩ rằng vậy thì chắc hẳn Việt Nam đã có một văn bản quy phạm liên quan được âm thầm thông qua, thì xin thưa đúng thế. Nghị định số 59/2022/NĐ-CP quy định về định danh và xác thực điện tử được ban hành ngày 05/9/2022 và đã có hiệu lực từ ngày 20/10/2022. [23]

    Nói dễ hiểu, nghị định này tạo cho bạn một mã vạch (barcode) riêng biệt tương ứng với số căn cước công dân của bạn, được chính phủ gọi là mã định danh điện tử cá nhân. Bất kì ai với một cái máy quét chuyên dụng đều có thể quét mã và xem tường tận về cuộc sống của bạn, ví dụ như những nơi bạn đã đi với chiếc xe gắn bảng số định danh, những ai bạn đã tương tác từ số điện thoại định danh, cũng như những dữ liệu định danh khác mà Nghị định 53 ở trên đã thu thập được. Khi dự thảo định danh tài khoản mạng xã hội được thông qua, mã vạch này sẽ xuất hiện trên cái bảng tên sáng choang mà bạn phải đeo mỗi khi lên “phây” dạo newsfeed.

    Tất cả những khuôn khổ pháp lý vừa nêu là điều đáng quan ngại bởi chúng đã, đang và sẽ được thông qua mà không có sự giải trình minh bạch cũng như bỏ qua phản ứng của dư luận. Những điều luật này có khả năng thay đổi hoàn toàn bộ mặt xã hội nhưng lại được thực hiện tuần tự trong thầm lặng.

    Hình dung về một chương trình danh tính điện tử tốt

    Nếu chương trình thống nhất danh tính điện tử trên mọi phương diện tại Việt Nam đã là thế bất khả kháng thì điều ít nhất chúng ta có thể làm là tìm hiểu xem một chương trình danh tính điện tử như thế nào mới có thể được coi là tốt? Theo nghiên cứu của McKinsey Global Institute, một danh tính điện tử tốt cần hội đủ bốn điều kiện sau:

    Được xác minh và chứng thực với mức độ tin cậy cao.

    Là duy nhất: Với một danh tính điện tử duy nhất, mỗi người chỉ có một danh tính trong một hệ thống, và mỗi hệ thống danh tính chỉ tương ứng với một người. Điều này không đặc trưng với hầu hết các danh tính trên mạng xã hội hiện nay.

    Được thành lập với sự đồng ý của cá nhân: Sự đồng ý có nghĩa là cá nhân biết rõ việc đăng ký và sử dụng danh tính điện tử với kiến thức về dữ liệu cá nhân nào sẽ được thu thập và cách chúng được sử dụng. (Dễ thấy được là nếu “tài khoản không định danh sẽ bị đấu tranh” như lời Thứ trưởng Nguyễn Thanh Lâm thì việc này không đạt tới điểm đồng thuận).

    Bảo vệ quyền riêng tư của người dùng và đảm bảo kiểm soát dữ liệu cá nhân: Có các biện pháp bảo vệ được xây dựng để đảm bảo quyền riêng tư và an ninh cũng như cho phép người dùng truy cập dữ liệu cá nhân của họ, quyền quyết định về việc ai có quyền truy cập dữ liệu đó, với sự minh bạch về ai đã truy cập vào đó. (Cũng dễ thấy được rằng với bối cảnh Việt Nam như ta phân tích ở trên thì yếu tố này còn lâu mới đạt). [24]

    Quay trở lại lý do mà Thứ trưởng Nguyễn Thanh Lâm đưa ra để biện hộ cho dự thảo nghị định định danh tài khoản mạng xã hội – rằng đó là để “truy vết [...] tội phạm sử dụng ứng dụng xuyên biên giới” – thì liệu dự thảo có thật sự cần thiết để thực hiện mục đích này không? Phân tích về hành vi lăng mạ phân biệt chủng tộc trên nền tảng mạng xã hội Twitter nhắm vào các cầu thủ Anh trong trận chung kết Euro 2020, nghiên cứu của Twitter nhận xét rằng: “Việc xác minh ID sẽ không thể ngăn chặn việc lạm dụng xảy ra - vì các tài khoản mà chúng tôi đình chỉ đều không ẩn danh. Trong số các tài khoản bị treo vĩnh viễn [...], 99% chủ sở hữu tài khoản có thể định danh được.” [25]

    Dự thảo này cũng đặt gánh nặng lớn lên người dân trong việc giữ gìn an ninh, và giảm thiểu trách nhiệm cho chính quyền và các tập đoàn. Trong khi đó, giải pháp được chuyên gia đề xuất là “chuyển quyền kiểm soát danh tính điện tử từ chính phủ và các bên tư nhân cho người dân. Điều này đòi hỏi các hệ thống danh tính điện tử được thiết kế với quyền riêng tư, cho phép người dân kiểm soát ai truy cập dữ liệu của họ.” [26]

    Chính phủ có thể cân nhắc ứng dụng công nghệ tự chủ danh tính (self sovereign identity - SSI), vốn ngày càng phổ biến trong các hệ thống chính phủ điện tử (e-government) để tăng cường quyền riêng tư của công dân trong khi cho phép xác định danh tính. Hiện nay, các hệ thống quản lý danh tính truyền thống, như các giải pháp eID di động (mà chính phủ Việt Nam đặt tên là VNeID), mang tính tập trung và thường gặp các vấn đề như điểm lỗi duy nhất (SPoF) khi một sai sót trong thiết kế hoặc vận hành có thể dẫn đến sự cố nghiêm trọng của toàn bộ hệ thống, thiếu tính tương tác hệ thống (interoperability), cũng như đe dọa quyền riêng tư. Ngược lại, SSI là một cách tiếp cận phi tập trung cho phép người dùng hoàn toàn sở hữu và quản lý danh tính số của họ mà không cần dựa vào bên thứ ba. [27]

    Một số giải pháp giữ gìn an ninh và phòng chống tội phạm mạng khác đã được chuyên gia đề xuất như sau: 

    Xây dựng chương trình giáo dục cộng đồng toàn diện về an toàn mạng để cải thiện các hành vi trực tuyến trong cộng đồng ở mọi cấp độ từ trẻ em đến người lớn và giúp các doanh nghiệp và gia đình an toàn hơn. 

    Xác định các tiêu chuẩn ngành tối thiểu cho nhân viên chính phủ, bao gồm cả các nhà quản lý, nhân viên công nghệ và nhân viên phát triển phần mềm. Ví dụ, Bộ Quốc phòng Hoa Kỳ đã giới thiệu chứng chỉ ngành tối thiểu cho những người trong chính phủ làm việc liên quan tới xử lý dữ liệu.

    Lập danh sách các chiến lược mà doanh nghiệp vừa và nhỏ có thể áp dụng để giảm nguy cơ bị tấn công mạng, cũng như đưa ra các chương trình chính phủ hỗ trợ doanh nghiệp nhỏ lẻ.

    Tập trung cải thiện hệ thống an ninh mạng của các lĩnh vực y tế, pháp lý và giáo dục. Theo Văn phòng Ủy viên Thông tin Úc (Office of the Australian Information Commissioner), đây là ba trong số bốn lĩnh vực có mức độ trưởng thành thấp về hệ thống quản lý mạng cũng như báo cáo vi phạm mạng và rò rỉ dữ liệu hàng đầu. [28]

    Còn tuyên bố “muốn an ninh thì phải đánh đổi riêng tư thôi” thì có vấn đề gì? Hai việc này không hề loại trừ lẫn nhau, mà trái lại có thể cùng phát triển nếu chính phủ chấp nhận tiếp cận vấn đề với cái nhìn toàn diện và vị nhân quyền hơn. Rất tiếc, chính phủ Việt Nam đã không lựa chọn cách làm như vậy.

    Nhìn toàn cảnh, có vẻ như lợi thế trong cuộc chiến giành tự do thông tin đang không nghiêng về phía khổ chủ của các tài khoản mạng xã hội nói riêng và cả cộng động nói chung. Nhưng, như một bài phân tích của Luật Khoa đã chỉ ra từ một sự kiện nóng gần đây, dù quyền trao đổi tự do bị hạn chế thì cộng đồng vẫn không mất kỳ vọng đối thoại, thông qua việc các đồn đoán bắt đầu dấy lên, trong đó có sự đồn đoán chính trị. [29]

    https://www.luatkhoa.com/2023/07


    Không có nhận xét nào