An ninh mạng: Nhìn từ cách làm của châu Âu

Minh họa

Bước một chân vào không gian mạng, bạn đã để lại vài dấu vết. Còn nếu lang thang trên mạng vài ba tháng, người ta có thể biết tất tần tật về bạn: một người đàn ông 60 tuổi, sống ở TP.HCM, độc thân, làm nghề dịch thuật tự do, theo đạo Phật, bị gout, chê Trump thô lậu nhưng lại thích Melania, thích đạp xe và xem phim hoạt hình... Thậm chí có lần bạn trả lời một bảng khảo sát và người ta biết bạn thần tượng Nietzsche, từng dùng thẻ tín dụng mua mấy cuốn sách, nay số thẻ vẫn nằm đâu đó trên không gian mạng. Một chân dung giả định.

Những thông tin cá nhân này có cần bảo vệ không? Cần quá đi chứ, vì từng có những vụ lộ thông tin gây lo lắng ở nhiều người. Nhưng ai bảo vệ chúng? Câu hỏi này châu Âu từng đối diện, cân nhắc, suy tính và cuối cùng đi đến câu trả lời: trách nhiệm này là của nơi thu thập thông tin và họ phải có thỏa thuận với người bị thu thập thông tin để hai bên cùng đi đến một thỏa ước; nhà nước chỉ đóng vai trò trung gian bảo đảm thỏa ước được tôn trọng.

Đó là tinh thần cốt lõi của chính sách bảo vệ dữ liệu cá nhân của EU - các trang web phải thông báo rõ ràng cho người dùng mình đang thu thập dữ liệu gì từ họ, sẽ dùng dữ liệu đó vào việc gì, bảo vệ nó ra sao và đồng thời phải trao cho người dùng quyền xóa các thông tin đã bị thu thập. Có lẽ mấy tháng qua, nhiều người từng thấy nhiều trang web hỏi họ có đồng ý với chính sách bảo mật mới hay không. Đây chính là cách các trang web này tuân thủ luật lệ mới của EU.

Vai trò của nhà nước nằm ở chỗ đặt ra những luật chơi và các bên phải tuân thủ. Nhà nước có lẽ không cần biết quan điểm chính trị của bạn, xu hướng tình dục của bạn, nhưng nơi nào thu thập thông tin này phải xin phép chính bạn, được bạn đồng ý mới thu thập. Dĩ nhiên trên không gian mạng, không có trang web nào dại dột đi hỏi về gốc gác của bạn, bạn là da màu hay da vàng cùng các thông tin nhạy cảm khác. Nhưng từ những “bước chân âm thầm” của bạn trên mạng, trí tuệ thông minh nhân tạo sẽ phân tích dữ liệu để suy luận chính xác mọi thứ về bạn.

Tuân thủ luật lệ mới của EU tạo ra chi phí không nhỏ. Nếu chi phí vượt quá lợi nhuận mà các trang web thu được từ người dùng ở châu Âu, họ sẽ bỏ luôn thị trường này. Đó là tình cảnh hàng ngàn trang web của báo chí Mỹ, phải cắt bỏ sự hiện diện của họ tại châu Âu vì không có kinh phí làm theo các quy định mới. Người dùng châu Âu khi mở trang web của các báo này đều nhận thông báo dịch vụ đọc báo chúng tôi không được cung ứng cho khu vực của quý vị - rất tiếc nhưng đành chia tay! Có lẽ thiệt hại chia đều cho cả hai, bên chủ trang web và người đọc ở những nước bị ảnh hưởng. Phía độc giả EU chịu thiệt thòi nặng hơn là đương nhiên.

Nhà nước đứng sang một bên sau khi đặt ra luật lệ, để hai bên ứng xử với nhau. Chẳng hạn khi EU nhấn mạnh quyền được quên lãng trên không gian mạng, có nghĩa là các dịch vụ tìm kiếm như Google Search phải xóa các dấu tích của một vụ việc nào đó trong quá khứ nếu các bên liên quan yêu cầu. Chú ý, họ buộc xóa, chứ không phải buộc lưu trữ và bảo vệ nội dung lưu trữ.

Điều quan trọng cuối cùng là khi EU bàn thảo về khuôn khổ luật lệ để bảo vệ thông tin cá nhân, họ hiểu đó là những thông tin định danh cá nhân và những dữ liệu thô từ đó có thể xử lý, phân tích để tạo ra chân dung người dùng. Thực tế các nơi như Google hay Facebook thường xuyên làm chuyện dựng chân dung này để giội bom quảng cáo chính xác hơn. Đương nhiên nội dung người dùng tải lên các dịch vụ, ví dụ như DropBox, nội dung nhắn tin trên Viber, các file lưu trữ trên Google Drive... là tài sản riêng tư của người dùng, bất khả xâm phạm.

Một nguyên tắc đang được áp dụng rộng rãi là con người có quyền gì ở ngoài đời thì trên không gian mạng cũng phải được hưởng quyền đó. Luật lệ phổ quát đều bảo vệ các quyền bất khả xâm phạm, như quyền bí mật thư tín, thì quyền này cũng được mở rộng lên không gian mạng để không ai có quyền xâm phạm đến thư điện tử, tin nhắn... của người dùng.

Chính các nơi cung cấp dịch vụ cũng hiểu điều này, nên phải đặt ra cơ chế bảo vệ tự động. Viber, chẳng hạn, tuyên bố ngay chính họ cũng không đọc được trao đổi giữa người dùng với nhau, vì dịch vụ của họ sử dụng mã hóa đầu vào và đầu ra. Có muốn, có buộc họ, họ cũng không đọc được. Và có lẽ những nơi cung ứng dịch vụ với cơ chế bảo vệ triệt để như thế sẽ là xu hướng, còn việc dùng thông tin người dùng rồi trao cho bên thứ ba như kiểu Facebook trước sau gì cũng bị tẩy chay.■