Năm nay sẽ có năm mạng xã hội Việt Nam ra đời, do doanh nghiệp tư nhân làm.
Đó là tuyên bố của Bộ Thông tin – Truyền thông do ICT News đưa tin ngày 23/7/2019.
Cùng ngày, mạng xã hội Gapo ra mắt (dù không lâu sau đã phải đóng cửa để xử lý sự cố kỹ thuật). Còn trước đó vài hôm thì trưởng ngành thông tin – truyền thông Nguyễn Mạnh Hùng kêu gọi xây dựng mạng xã hội và công cụ tìm kiếm thay Facebook, Google với một “triết học khác”.
Mọi thứ đều tạo ra cảm giác rằng thị trường mạng xã hội và công cụ tìm kiếm nội địa đang bắt đầu bùng nổ với sự hậu thuẫn lớn từ phía nhà nước.
Trong khi lợi ích từ việc có thêm lựa chọn công nghệ là chưa rõ ràng thì những rủi ro sau đây hoặc là đã rõ như ban ngày, hoặc là rất tiềm tàng.
1. Phải khai báo thông tin cá nhân xác thực khi đăng ký
Một trong những đặc điểm làm nên sức hấp dẫn và sức mạnh của Internet là tính “ẩn danh” (anonymity). Nó cho phép người dùng xây dựng một danh tính riêng của mình trên mạng và không sợ bị phán xét hay truy cứu trách nhiệm. Điều này đặc biệt có lợi cho người dùng và có hại cho chính quyền ở các nước độc tài như Việt Nam. Nhưng với mạng xã hội Việt Nam, tính ẩn danh sẽ không còn tồn tại nữa.
Luật An ninh mạng 2018 yêu cầu doanh nghiệp cung cấp dịch vụ phải “xác thực thông tin khi người dùng đăng ký tài khoản số” (Điều 26.1.a).
Nghị định 72/2013/NĐ-CP, hiện vẫn còn hiệu lực, cũng cho phép Bộ Thông tin – Truyền thông ban hành quy định về việc “xác thực thông tin cá nhân [người dùng] với cơ sở dữ liệu điện tử về chứng minh nhân dân của Bộ Công an”.
Làm thế nào doanh nghiệp có thể xác thực được thông tin người dùng? Có mấy cách: yêu cầu khai báo tên thật và số chứng minh thư nhân dân/thẻ căn cước/hộ chiếu, yêu cầu đăng ký bằng số điện thoại (vốn trên lý thuyết phải khai báo thông tin cá nhân khi mua sim).
Một cách để xác thực khá hiệu quả mà website đặt phòng AirBnB làm là yêu cầu người dùng cung cấp hình chụp giấy tờ tuỳ thân và chụp hình selfie tại chỗ bằng ứng dụng của họ để đối chiếu với hình trên giấy tờ tuỳ thân. Tuy nhiên, người ta dùng AirBnB để thuê nhà, cho thuê nhà, chứ không phải để… phát biểu ý kiến, chia sẻ thông tin.
2. Thông tin cá nhân có thể bị chính quyền tra cứu bất cứ lúc nào
Thông tin cá nhân người dùng khai báo nằm trong cơ sở dữ liệu của doanh nghiệp. Nhưng doanh nghiệp đó phải cung cấp dữ liệu người dùng cho chính quyền bất cứ lúc nào bị yêu cầu.
Vẫn được quy định tại điều 26.1.a của Luật An ninh mạng kể trên, doanh nghiệp phải “cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng”.
Thông tin người dùng ở đây có thể gồm rất nhiều thứ, không chỉ là thông tin trên giấy tờ tuỳ thân.
Hồi tháng 10 năm ngoái, Bộ Công an có dự thảo một nghị định hướng dẫn Luật An ninh mạng. Tuy dự thảo nghị định này hiện đã biến mất, nhưng cách Bộ Công an tư duy về khái niệm “thông tin người dùng”, “dữ liệu cá nhân” thì rất rõ, cụ thể tại Điều 2, Khoản 2:
“Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định chính xác danh tính một cá nhân, bao gồm:
Dữ liệu về thông tin cá nhân: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khoẻ, hồ sơ y tế, hồ sơ tài chính, sở thích, sở trường, quan điểm chính trị, nguồn gốc dân tộc, chủng tộc, niềm tin triết lý, vị trí trong xã hội, sinh trắc học;
Dữ liệu do cá nhân tạo ra: nội dung tương tác, tính năng sử dụng, hành động thực hiện, thời gian, tần suất hoạt động, thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị;
Dữ liệu về mối quan hệ của cá nhân: bạn bè, trang, tài khoản, từ khoá, nhóm mà người sử dụng kết nối hoặc tương tác.”
Chưa hết, nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch, thông tin về thiết bị, thuộc tính, hoạt động, số nhận dạng, tín hiệu, dữ liệu từ cài đặt thiết bị, mạng và kết nối, dữ liệu cookie cũng nằm trong khái niệm “thông tin người dùng”, “dữ liệu cá nhân” của Bộ Công an khi đó.
Cũng theo dự thảo nghị định này, khi doanh nghiệp mạng xã hội ngừng hoạt động, toàn bộ dữ liệu người dùng phải được chuyển giao cho Bộ Công an.
Liệu Bộ Công an có thay đổi cách hiểu của họ trong tương lai không? Khó có cơ sở nào để kỳ vọng vào điều đó.
3. Không được đăng thông tin “nhạy cảm”
“Nền tảng mạng xã hội phải tuân thủ pháp luật nước sở tại” – đó là phát biểu của ông Nguyễn Mạnh Hùng, Bộ trưởng Bộ Thông tin – Truyền thông hôm 15/7.
Pháp luật Việt Nam hẳn khác với pháp luật Mỹ (nơi Facebook, Google đóng trụ sở) trong lĩnh vực ngôn luận. Nếu như nước Mỹ nổi tiếng với việc bảo vệ tự do ngôn luận (thậm chí đặt tự do lên trên những thiệt hại mà nhiều người cho rằng nó có thể gây ra), thì Việt Nam lại nổi tiếng với một nền kiểm duyệt khắt khe và những án phạt nặng nề cho những ai “lỡ dại” mà phạm phải những vùng cấm thông tin.
Điều 16, Khoản 1 của Luật An ninh mạng có đề cập đến những thông tin cấm như tuyên truyền chống chính quyền, xúc phạm danh nhân/anh hùng dân tộc, xúc phạm cá nhân/tổ chức, đưa tin sai sự thật, v.v.
Chuyện “chống chính quyền” thì đã rõ khả năng đi tù, nhưng không phải khi nào người dân cũng biết thế nào là thông tin “nhạy cảm” cần phải tránh.
Mới đây, ngày 17/7, Zing đưa tin Công an Phú Thọ xử phạt hành chính ban quản trị nhóm Facebook “Chốt-thanh ba”, vốn là một nhóm kín chuyên chia sẻ vị trí chốt kiểm tra của cảnh sát giao thông và hướng dẫn cách tránh các chốt này.
Còn một số ví dụ khác như việc bác sĩ Hoàng Công Truyện lên Facebook nói Bộ trưởng Y tế Nguyễn Thị Kim Tiến nên nghỉ hưu vì không hiểu nỗi khổ của bác sĩ tuyến cơ sở; hay chuyện cô giáo Lê Thị T bình luận về Chủ tịch tỉnh An Giang là “nhìn cái mặt kênh kiệu”. Cả hai đều bị phạt hành chính năm triệu đồng, mặc dù sau đó chính quyền đã huỷ quyết định xử phạt bác sĩ Hoàng Công Truyện.
Với các mạng xã hội Việt Nam, những thông tin nêu trên sẽ khó có thể được lưu hành và sẽ nhanh chóng bị doanh nghiệp gỡ bỏ. Việc gỡ bỏ có lẽ phần nhiều sẽ do doanh nghiệp chủ động làm (một hình thức tự kiểm duyệt như các doanh nghiệp Trung Quốc vẫn làm), hoặc theo yêu cầu của Bộ Thông tin – Truyền thông và Bộ Công an.
4. Doanh nghiệp ăn cắp dữ liệu người dùng
Tháng 4/2018, Cốc Cốc, một doanh nghiệp cung cấp dịch vụ tìm kiếm và trình duyệt có vốn đầu tư nước ngoài tại Việt Nam, bị các chuyên gia công nghệ tố cáo ăn cắp dữ liệu người dùng. Công ty này phủ nhận nhưng khó có thể bác bỏ bằng chứng các chuyên gia đưa ra.
Công bằng mà nói, không chỉ phần mềm, ứng dụng Việt Nam mới ăn cắp dữ liệu người dùng. Một phần mềm, ứng dụng được tải về máy tính, điện thoại luôn hàm chứa khả năng nó bí mật ăn cắp thông tin trong thiết bị đó và gửi cho nhà phát triển, dù nhà phát triển đó có quốc tịch nào đi chăng nữa.
Điều người sử dụng Việt Nam không có (như ở các nước phát triển) là một hệ thống pháp luật đủ mạnh để bảo vệ họ và một hệ thống báo chí đủ độc lập để phanh phui các vụ ăn cắp dữ liệu này, nhất là khi doanh nghiệp có quan hệ mật thiết với chính quyền.
Cũng không thể loại trừ khả năng bản thân các chính quyền, đặc biệt là các chính quyền độc tài, đứng đằng sau hoặc hậu thuẫn một số phần mềm, ứng dụng ăn cắp dữ liệu.
5. Viễn cảnh cấm Facebook, Google
Việc các mạng xã hội, công cụ tìm kiếm nội địa nở rộ chỉ một năm sau khi Luật An ninh mạng được thông qua hàm chứa nhiều nghi vấn.
Bản thân Luật An ninh mạng không có nhiều quy định mới với doanh nghiệp và người dùng Việt Nam. Doanh nghiệp và người dùng Việt Nam từ lâu đã nằm trong tầm kiểm soát của chính quyền. Đối tượng thực sự mà đạo luật tai tiếng này nhắm tới, nhiều khả năng, chính là các doanh nghiệp nước ngoài như Facebook, Google. Đây là những doanh nghiệp nằm ngoài tầm kiểm soát của chính quyền và tạo ra một môi trường thông tin rất tự do cho người Việt Nam, vốn là điều hoàn toàn không có lợi cho chính quyền.
Quan chức Việt Nam không ngần ngại bày tỏ thái độ hoặc là thù địch, hoặc là không thân thiện với Facebook và Google. Họ luôn muốn các doanh nghiệp này hợp tác bằng cách gỡ bỏ thông tin xấu độc theo yêu cầu của chính quyền Việt Nam, đặt máy chủ ở Việt Nam, mở văn phòng ở Việt Nam và cung cấp thông tin người dùng cho chính quyền Việt Nam, như Luật An ninh mạng đã nêu rõ.
Lý do cho đến nay Việt Nam vẫn chưa cấm Facebook và Google hoạt động, phần nhiều có lẽ là vì Việt Nam chưa có các dịch vụ thay thế, như cách người Trung Quốc đã làm được từ lâu. Phản ứng tiêu cực từ hàng chục triệu người dùng khao khát thông tin và nhu cầu kết nối là điều chính quyền không mong muốn. Nhưng nếu có hàng loạt dịch vụ thay thế đủ tốt thì cuộc chơi có thể sẽ rất khác. Những dịch vụ này có thể không cần thiết phải do người Việt Nam tự phát triển, mà có thể nhập từ Trung Quốc về, vốn có sẵn và chất lượng đã được kiểm chứng ở thị trường hơn một tỷ dân.
Khi hệ sinh thái công nghệ trong nước đã đủ nhiều, đủ tốt, việc cấm Facebook, Google và các dịch vụ nước ngoài sẽ trở nên dễ dàng hơn nhiều.
July 25, 2019
5 rủi ro khi dùng mạng xã hội Việt Nam
by Nhan Quyen • [Human Rights]
Ảnh: drkarensutherland.com.
Năm nay sẽ có năm mạng xã hội Việt Nam ra đời, do doanh nghiệp tư nhân làm.
Đó là tuyên bố của Bộ Thông tin – Truyền thông do ICT News đưa tin ngày 23/7/2019.
Cùng ngày, mạng xã hội Gapo ra mắt (dù không lâu sau đã phải đóng cửa để xử lý sự cố kỹ thuật). Còn trước đó vài hôm thì trưởng ngành thông tin – truyền thông Nguyễn Mạnh Hùng kêu gọi xây dựng mạng xã hội và công cụ tìm kiếm thay Facebook, Google với một “triết học khác”.
Mọi thứ đều tạo ra cảm giác rằng thị trường mạng xã hội và công cụ tìm kiếm nội địa đang bắt đầu bùng nổ với sự hậu thuẫn lớn từ phía nhà nước.
Trong khi lợi ích từ việc có thêm lựa chọn công nghệ là chưa rõ ràng thì những rủi ro sau đây hoặc là đã rõ như ban ngày, hoặc là rất tiềm tàng.
1. Phải khai báo thông tin cá nhân xác thực khi đăng ký
Một trong những đặc điểm làm nên sức hấp dẫn và sức mạnh của Internet là tính “ẩn danh” (anonymity). Nó cho phép người dùng xây dựng một danh tính riêng của mình trên mạng và không sợ bị phán xét hay truy cứu trách nhiệm. Điều này đặc biệt có lợi cho người dùng và có hại cho chính quyền ở các nước độc tài như Việt Nam. Nhưng với mạng xã hội Việt Nam, tính ẩn danh sẽ không còn tồn tại nữa.
Luật An ninh mạng 2018 yêu cầu doanh nghiệp cung cấp dịch vụ phải “xác thực thông tin khi người dùng đăng ký tài khoản số” (Điều 26.1.a).
Nghị định 72/2013/NĐ-CP, hiện vẫn còn hiệu lực, cũng cho phép Bộ Thông tin – Truyền thông ban hành quy định về việc “xác thực thông tin cá nhân [người dùng] với cơ sở dữ liệu điện tử về chứng minh nhân dân của Bộ Công an”.
Làm thế nào doanh nghiệp có thể xác thực được thông tin người dùng? Có mấy cách: yêu cầu khai báo tên thật và số chứng minh thư nhân dân/thẻ căn cước/hộ chiếu, yêu cầu đăng ký bằng số điện thoại (vốn trên lý thuyết phải khai báo thông tin cá nhân khi mua sim).
Một cách để xác thực khá hiệu quả mà website đặt phòng AirBnB làm là yêu cầu người dùng cung cấp hình chụp giấy tờ tuỳ thân và chụp hình selfie tại chỗ bằng ứng dụng của họ để đối chiếu với hình trên giấy tờ tuỳ thân. Tuy nhiên, người ta dùng AirBnB để thuê nhà, cho thuê nhà, chứ không phải để… phát biểu ý kiến, chia sẻ thông tin.
2. Thông tin cá nhân có thể bị chính quyền tra cứu bất cứ lúc nào
Thông tin cá nhân người dùng khai báo nằm trong cơ sở dữ liệu của doanh nghiệp. Nhưng doanh nghiệp đó phải cung cấp dữ liệu người dùng cho chính quyền bất cứ lúc nào bị yêu cầu.
Vẫn được quy định tại điều 26.1.a của Luật An ninh mạng kể trên, doanh nghiệp phải “cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng”.
Thông tin người dùng ở đây có thể gồm rất nhiều thứ, không chỉ là thông tin trên giấy tờ tuỳ thân.
Hồi tháng 10 năm ngoái, Bộ Công an có dự thảo một nghị định hướng dẫn Luật An ninh mạng. Tuy dự thảo nghị định này hiện đã biến mất, nhưng cách Bộ Công an tư duy về khái niệm “thông tin người dùng”, “dữ liệu cá nhân” thì rất rõ, cụ thể tại Điều 2, Khoản 2:
“Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định chính xác danh tính một cá nhân, bao gồm:
Chưa hết, nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch, thông tin về thiết bị, thuộc tính, hoạt động, số nhận dạng, tín hiệu, dữ liệu từ cài đặt thiết bị, mạng và kết nối, dữ liệu cookie cũng nằm trong khái niệm “thông tin người dùng”, “dữ liệu cá nhân” của Bộ Công an khi đó.
Cũng theo dự thảo nghị định này, khi doanh nghiệp mạng xã hội ngừng hoạt động, toàn bộ dữ liệu người dùng phải được chuyển giao cho Bộ Công an.
Liệu Bộ Công an có thay đổi cách hiểu của họ trong tương lai không? Khó có cơ sở nào để kỳ vọng vào điều đó.
3. Không được đăng thông tin “nhạy cảm”
“Nền tảng mạng xã hội phải tuân thủ pháp luật nước sở tại” – đó là phát biểu của ông Nguyễn Mạnh Hùng, Bộ trưởng Bộ Thông tin – Truyền thông hôm 15/7.
Pháp luật Việt Nam hẳn khác với pháp luật Mỹ (nơi Facebook, Google đóng trụ sở) trong lĩnh vực ngôn luận. Nếu như nước Mỹ nổi tiếng với việc bảo vệ tự do ngôn luận (thậm chí đặt tự do lên trên những thiệt hại mà nhiều người cho rằng nó có thể gây ra), thì Việt Nam lại nổi tiếng với một nền kiểm duyệt khắt khe và những án phạt nặng nề cho những ai “lỡ dại” mà phạm phải những vùng cấm thông tin.
Điều 16, Khoản 1 của Luật An ninh mạng có đề cập đến những thông tin cấm như tuyên truyền chống chính quyền, xúc phạm danh nhân/anh hùng dân tộc, xúc phạm cá nhân/tổ chức, đưa tin sai sự thật, v.v.
Chuyện “chống chính quyền” thì đã rõ khả năng đi tù, nhưng không phải khi nào người dân cũng biết thế nào là thông tin “nhạy cảm” cần phải tránh.
Mới đây, ngày 17/7, Zing đưa tin Công an Phú Thọ xử phạt hành chính ban quản trị nhóm Facebook “Chốt-thanh ba”, vốn là một nhóm kín chuyên chia sẻ vị trí chốt kiểm tra của cảnh sát giao thông và hướng dẫn cách tránh các chốt này.
Còn một số ví dụ khác như việc bác sĩ Hoàng Công Truyện lên Facebook nói Bộ trưởng Y tế Nguyễn Thị Kim Tiến nên nghỉ hưu vì không hiểu nỗi khổ của bác sĩ tuyến cơ sở; hay chuyện cô giáo Lê Thị T bình luận về Chủ tịch tỉnh An Giang là “nhìn cái mặt kênh kiệu”. Cả hai đều bị phạt hành chính năm triệu đồng, mặc dù sau đó chính quyền đã huỷ quyết định xử phạt bác sĩ Hoàng Công Truyện.
Với các mạng xã hội Việt Nam, những thông tin nêu trên sẽ khó có thể được lưu hành và sẽ nhanh chóng bị doanh nghiệp gỡ bỏ. Việc gỡ bỏ có lẽ phần nhiều sẽ do doanh nghiệp chủ động làm (một hình thức tự kiểm duyệt như các doanh nghiệp Trung Quốc vẫn làm), hoặc theo yêu cầu của Bộ Thông tin – Truyền thông và Bộ Công an.
4. Doanh nghiệp ăn cắp dữ liệu người dùng
Tháng 4/2018, Cốc Cốc, một doanh nghiệp cung cấp dịch vụ tìm kiếm và trình duyệt có vốn đầu tư nước ngoài tại Việt Nam, bị các chuyên gia công nghệ tố cáo ăn cắp dữ liệu người dùng. Công ty này phủ nhận nhưng khó có thể bác bỏ bằng chứng các chuyên gia đưa ra.
Công bằng mà nói, không chỉ phần mềm, ứng dụng Việt Nam mới ăn cắp dữ liệu người dùng. Một phần mềm, ứng dụng được tải về máy tính, điện thoại luôn hàm chứa khả năng nó bí mật ăn cắp thông tin trong thiết bị đó và gửi cho nhà phát triển, dù nhà phát triển đó có quốc tịch nào đi chăng nữa.
Điều người sử dụng Việt Nam không có (như ở các nước phát triển) là một hệ thống pháp luật đủ mạnh để bảo vệ họ và một hệ thống báo chí đủ độc lập để phanh phui các vụ ăn cắp dữ liệu này, nhất là khi doanh nghiệp có quan hệ mật thiết với chính quyền.
Cũng không thể loại trừ khả năng bản thân các chính quyền, đặc biệt là các chính quyền độc tài, đứng đằng sau hoặc hậu thuẫn một số phần mềm, ứng dụng ăn cắp dữ liệu.
5. Viễn cảnh cấm Facebook, Google
Việc các mạng xã hội, công cụ tìm kiếm nội địa nở rộ chỉ một năm sau khi Luật An ninh mạng được thông qua hàm chứa nhiều nghi vấn.
Bản thân Luật An ninh mạng không có nhiều quy định mới với doanh nghiệp và người dùng Việt Nam. Doanh nghiệp và người dùng Việt Nam từ lâu đã nằm trong tầm kiểm soát của chính quyền. Đối tượng thực sự mà đạo luật tai tiếng này nhắm tới, nhiều khả năng, chính là các doanh nghiệp nước ngoài như Facebook, Google. Đây là những doanh nghiệp nằm ngoài tầm kiểm soát của chính quyền và tạo ra một môi trường thông tin rất tự do cho người Việt Nam, vốn là điều hoàn toàn không có lợi cho chính quyền.
Quan chức Việt Nam không ngần ngại bày tỏ thái độ hoặc là thù địch, hoặc là không thân thiện với Facebook và Google. Họ luôn muốn các doanh nghiệp này hợp tác bằng cách gỡ bỏ thông tin xấu độc theo yêu cầu của chính quyền Việt Nam, đặt máy chủ ở Việt Nam, mở văn phòng ở Việt Nam và cung cấp thông tin người dùng cho chính quyền Việt Nam, như Luật An ninh mạng đã nêu rõ.
Lý do cho đến nay Việt Nam vẫn chưa cấm Facebook và Google hoạt động, phần nhiều có lẽ là vì Việt Nam chưa có các dịch vụ thay thế, như cách người Trung Quốc đã làm được từ lâu. Phản ứng tiêu cực từ hàng chục triệu người dùng khao khát thông tin và nhu cầu kết nối là điều chính quyền không mong muốn. Nhưng nếu có hàng loạt dịch vụ thay thế đủ tốt thì cuộc chơi có thể sẽ rất khác. Những dịch vụ này có thể không cần thiết phải do người Việt Nam tự phát triển, mà có thể nhập từ Trung Quốc về, vốn có sẵn và chất lượng đã được kiểm chứng ở thị trường hơn một tỷ dân.
Khi hệ sinh thái công nghệ trong nước đã đủ nhiều, đủ tốt, việc cấm Facebook, Google và các dịch vụ nước ngoài sẽ trở nên dễ dàng hơn nhiều.