Khi quyền riêng tư 'va chạm' pháp lý

Tháng 5-2016, WhatsApp bị chặn hoàn toàn tại Brazil trong 72 giờ vì từ chối cung cấp dữ liệu tin nhắn phục vụ điều tra hình sự. Lý do được đưa ra: công ty không thể truy cập nội dung tin nhắn do đã mã hóa đầu - cuối (end-to-end encryption). Vụ việc ngay lập tức gây tranh cãi toàn cầu. Chính phủ nhấn mạnh an ninh quốc gia, trong khi cộng đồng công nghệ lo ngại quyền riêng tư bị xâm phạm.

Tại Việt Nam, cuối tháng 5-2025, người dùng bất ngờ không thể truy cập Telegram - nền tảng nhắn tin vốn được ưa chuộng. Theo Cục Viễn thông, Bộ Khoa học và Công nghệ, việc chặn Telegram được thực hiện theo đề nghị của Cục A05 (Bộ Công an), với lý do “không hợp tác” và “vi phạm quy định quản lý dịch vụ mạng xã hội xuyên biên giới”.

Trong hai câu chuyện nêu trên, quyền riêng tư và nghĩa vụ pháp lý có thể hài hòa thế nào trong thời đại mã hóa đầu - cuối? Và liệu các ứng dụng tương tự như Messenger hay Viber có đang đứng trước áp lực tương tự?

Thế tiến thoái lưỡng nan của cam kết bảo mật tuyệt đối

Các ứng dụng như Signal, WhatsApp hay Telegram sử dụng mã hóa đầu - cuối. Tin nhắn được mã hóa ngay từ thiết bị người gửi và chỉ có thể giải mã tại thiết bị người nhận. Máy chủ trung gian chỉ chuyển tiếp dữ liệu đã mã hóa (ciphertext), và bản thân nền tảng không thể đọc được nội dung. Khi cơ quan chức năng yêu cầu truy xuất tin nhắn, các nhà cung cấp thường trả lời rằng họ không có dữ liệu gốc (plaintext) hay khóa giải mã - vốn chỉ tồn tại cục bộ trên thiết bị người dùng.

Quyền riêng tư không còn là vùng cấm tuyệt đối. Ảnh: TL

Điều này tạo ra thế cân bằng mong manh giữa quyền riêng tư và yêu cầu truy xuất phục vụ điều tra. Tại Mỹ, Signal nhiều lần nhận trát của tòa án nhưng chỉ cung cấp được metadata cơ bản như ngày tạo tài khoản hay IP đăng nhập gần nhất.

Một vụ việc khác đang gây tranh cãi lớn là WhatsApp với Chính phủ Ấn Độ. Từ năm 2021 đến nay, Ấn Độ yêu cầu WhatsApp phải truy vết nguồn gốc tin nhắn trong các cuộc điều tra hình sự, kể cả khi nội dung đã được mã hóa đầu - cuối. WhatsApp phản đối, cho rằng điều này buộc họ phải phá bỏ chính sách bảo mật toàn cục, làm suy yếu quyền riêng tư của hàng triệu người dùng. Cuộc đối đầu pháp lý này vẫn chưa có hồi kết nhưng cho thấy rõ xu hướng nhiều quốc gia đang gia tăng kiểm soát đối với các nền tảng mã hóa xuyên biên giới.

Tuy nhiên, vượt qua rào cản kỹ thuật, một số quốc gia chọn cách khác. Năm 2020, cảnh sát châu Âu triệt phá EncroChat - nền tảng nhắn tin mã hóa được tội phạm sử dụng - bằng cách cài phần mềm gián điệp vào thiết bị người dùng để thu thập tin nhắn trước khi mã hóa.

Tại Việt Nam, theo quy định tại Luật Dữ liệu 2024, mã hóa được hiểu là quá trình chuyển đổi dữ liệu sang dạng không thể nhận biết được, nhằm đảm bảo an toàn thông tin. Doanh nghiệp sử dụng mã hóa đầu - cuối có thể lưu trữ ciphertext mà không cần giữ plaintext. Tuy nhiên, trong các trường hợp liên quan đến an ninh quốc gia hoặc điều tra tội phạm nghiêm trọng, doanh nghiệp vẫn có nghĩa vụ phối hợp giải mã nếu được cơ quan có thẩm quyền yêu cầu.

Chính vì vậy, để một ứng dụng nhắn tin mã hóa như Telegram được phép cung cấp dịch vụ tại Việt Nam, trước tiên phải hoàn tất thủ tục thông báo với Bộ Khoa học và Công nghệ theo quy định của Luật Viễn thông 2023 và Nghị định 163/2024/NĐ-CP. Hồ sơ thông báo cần bao gồm thông tin về hạ tầng kỹ thuật, kế hoạch bảo vệ dữ liệu và cam kết tuân thủ quy định an ninh mạng hiện hành. Bên cạnh đó, các quy định hiện hành cũng yêu cầu doanh nghiệp lưu trữ metadata tại Việt Nam - bao gồm tên tài khoản, địa chỉ IP, thời gian truy cập và danh bạ. Đây là dữ liệu giúp cơ quan chức năng có thể điều tra và xử lý vi phạm khi cần thiết. Nếu một nền tảng chỉ lưu ciphertext mà không có metadata hoặc không đặt máy chủ trong nước, khả năng hợp tác gần như bằng không - và đây chính là nguồn cơn của xung đột pháp lý nêu trên.

Trường hợp Telegram và hàm ý cho tương lai

Telegram được sáng lập bởi doanh nhân người Nga Pavel Durov, nổi bật với thông điệp “không phục vụ chính phủ nào, chỉ phục vụ người dùng”. Ứng dụng cho phép trò chuyện bí mật, thiết lập tin nhắn tự hủy và không bắt buộc dùng số điện thoại - tạo ra mức độ riêng tư gần như tuyệt đối. Tuy nhiên, chính điều này khiến Telegram nhiều lần bị các quốc gia “gọi tên”.

Tại Pháp, nhà sáng lập từng bị triệu tập do lo ngại liên quan đến khủng bố. Tại Đức, Telegram bị yêu cầu gỡ bỏ các kênh phát tán thông tin cực đoan. Ngay tại Nga - quê hương của Durov - ứng dụng này từng bị chặn trong hai năm vì từ chối chia sẻ dữ liệu. Ở Ấn Độ, Telegram bị cáo buộc tiếp tay cho các nhóm lừa đảo xuyên biên giới.

Tại Việt Nam, Telegram đã bị yêu cầu chặn kết nối vào tháng 5-2025. Cụ thể, ứng dụng chưa hoàn tất thủ tục thông báo theo Luật Viễn thông 2023 và đã để tồn tại nhiều kênh có nội dung vi phạm pháp luật. Ba nhà mạng là Viettel, VNPT và MobiFone được chỉ đạo chặn toàn bộ IP và domain liên quan đến Telegram, hoàn tất việc chặn vào cuối tháng. Đại diện Telegram cho biết họ “rất bất ngờ” vì “vừa nhận được yêu cầu thông báo và đang xử lý hồ sơ”. Tuy nhiên, từ góc độ quản lý, việc cung cấp dịch vụ mà chưa thực hiện nghĩa vụ pháp lý - dù là vô tình hay chưa kịp - vẫn có thể bị xử lý như vi phạm.

Việc Telegram bị chặn là lời cảnh báo rõ ràng cho các ứng dụng nhắn tin xuyên biên giới như WhatsApp, Signal. Nếu chưa kịp hoàn thành thủ tục, họ có thể bị chặn tương tự. Luật Viễn thông 2023 và Nghị định 163 đặt ra yêu cầu cao về hạ tầng, thủ tục thông báo và giám sát nội dung vi phạm. Nếu muốn tiếp cận hơn 70 triệu người dùng tại Việt Nam, doanh nghiệp phải đầu tư đáng kể cho hệ thống máy chủ nội địa và chủ động đối thoại với cơ quan chức năng. Trong bối cảnh pháp luật về bảo vệ dữ liệu nói chung, dữ liệu cá nhân nói riêng ngày càng được hoàn thiện, chỉ khi tuân thủ toàn diện, doanh nghiệp mới cân bằng được cam kết bảo mật với quyền lợi kinh doanh.

Xét về nguyên tắc, nếu một nền tảng xuyên biên giới muốn giữ lời hứa “bảo mật tuyệt đối”, họ không thể lưu trữ khóa giải mã hay nội dung tin nhắn trên máy chủ - kể cả khi cơ quan chức năng yêu cầu. Trong khi đó, luật pháp Việt Nam buộc các nền tảng phải lưu trữ dữ liệu do người dùng tạo ra ngay trong nước, bao gồm tên tài khoản, địa chỉ IP và thời gian truy cập. Mâu thuẫn nảy sinh giữa “bảo mật tuyệt đối” và “bắt buộc lưu giữ metadata”.

Giải pháp mà nhiều doanh nghiệp cân nhắc là “phân tách dữ liệu”: chỉ lưu metadata (thời gian liên lạc, địa chỉ IP, danh bạ) ở máy chủ trong nước, còn nội dung tin nhắn đã mã hóa lưu giữ ở máy chủ nước ngoài. Khi có yêu cầu hợp pháp, họ mới giải mã và cung cấp nội dung. Cách này giảm thiểu rủi ro vi phạm luật và tiết kiệm so với lưu trữ toàn bộ nội dung. Tuy nhiên, việc duy trì hạ tầng phức tạp cùng quy trình bảo mật chặt chẽ vẫn là gánh nặng, đặc biệt với các công ty nhỏ hoặc startup.

Thực tế, nhu cầu nhắn tin mã hóa tại Việt Nam ngày càng lớn, nhưng các nền tảng không thể tồn tại bền vững nếu đứng ngoài pháp luật. Từ trường hợp Telegram bị chặn, chúng ta thấy rõ rằng quyền riêng tư không phải “vùng cấm” tuyệt đối, mà cần hài hòa cùng nghĩa vụ pháp lý và yêu cầu an ninh quốc gia. Khi khung pháp lý ngày càng chặt chẽ, các doanh nghiệp công nghệ, dù trong nước hay xuyên biên giới, buộc phải lựa chọn: hoặc chủ động thích ứng, hoặc chấp nhận rời thị trường.

(*) Khoa Luật, CELG, Đại học Kinh tế TPHCM.

Tô Kiến Lương - Mai Nguyễn Dũng (*)