Nội dung được biên tập từ chuyên mục tư vấn luật Dân sự của Công ty luật Minh Khuê
>> Luật sư tư vấn pháp luật Dân sự, gọi: 1900 6162
1. Cơ sở pháp lý:
- Luật An ninh mạng năm 2018
2. Tấn công mạng là gì?
Năm 2010, Hội đồng tham mưu trưởng liên quân Hoa Kỳ đã đưa ra định nghĩa về các hoạt động phổ biến trên không gian mạng. Theo đó, “chiến tranh mạng” (cyber warfare) được chia thành tấn công mạng, phòng thủ mạng và các hoạt động tạo thuận lợi mạng (cyber enabling operations). Tấn công mạng (cyber attack) được định nghĩa là hành vi thù địch, sử dụng máy tính hoặc hệ thống, mạng lưới liên quan để gây gián đoạn và phá huỷ hệ thống, thiết bị mạng trọng yếu của đối phương.
Hướng dẫn Tallinn đưa ra định nghĩa tấn công mạng là hoạt động mạng, mang tính công kích hoặc phòng thủ, có mục đích gây thiệt hại, tổn thất về người và tài sản. Khái niệm này được áp dụng đối với xung đột vũ trang quốc tế và phi quốc tế.
Khoản 8 Điều 2 Luật An ninh mạng năm 2018 định nghĩa tấn công mạng là “hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để phá hoại, gây gián đoạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống máy tính, hệ thống thông tin, hệ thống xử lí và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử”.
Như vậy, cách hiểu về tấn công mạng của Việt Nam có điểm tương đồng và cũng có khác biệt so với các định nghĩa khác. Theo đó, tấn công mạng là hành vi có chủ đích ác ý, thù địch nhằm làm gián đoạn và (hoặc) phá hoại các thiết bị máy tính, hệ thống máy tính, thông tin thông qua các phương tiện mạng. Mục tiêu chính nhắm tới là hệ thống an ninh mạng. Tuy nhiên, Luật an ninh mạng lại không đề cập thiệt hại về người và các loại tài sản khác. Trên thực tế, việc tấn công mạng hoàn toàn có thể gây ra thiệt hại về người và các tài sản khác dù đây có thể chỉ là tác động thứ cấp. Hành vi như vậy được thực hiện bởi một quốc gia thì có thể bị coi là hành vi vi phạm nguyên tắc cấm sử dụng vũ lực theo luật quốc tế.
3. Liên hệ tấn công mạng và nguyên tắc cấm sử dụng vũ lực trong luật quốc tế
3.1. Sử dụng vũ lực trong luật quốc tế được hiểu như thế nào?
Tới nay luật quốc tế vẫn chưa có quy định cụ thể điều chỉnh các hoạt động trong không gian mạng nói chung và tấn công mạng nói riêng. Nói khác đi, vẫn chưa hình thành luật cứng trong vấn đề an ninh mạng giữa các quốc gia.
Hiến chương Liên hợp quốc được thông qua vào năm 1945. Tại thời điểm đó, đương nhiên các nhà soạn thảo Hiến chương khó có thể tiên liệu được sự phát triển như vũ bão của công nghệ số như thời điểm hiện nay. Chính vì vậy, câu hỏi liệu không gian mạng có thuộc phạm vi điều chỉnh của Hiến chương hay không vẫn còn gây tranh cãi. Tuy nhiên, liệu sự thiếu vắng những quy định cụ thể có đồng nghĩa với việc “quốc gia có thể làm những gì mà luật không cấm”?
Thẩm phán Simma của Toà án Công lí Quốc tế (ICJ) trong tuyên bố của mình đính kèm trong vụ tư vấn “Kosovo” cho rằng “không có quy định cấm… có nghĩa là được phép” là cách nhìn đã quá lỗi thời và ấu trĩ trong luật quốc tế. Nguyên cố vấn pháp lí của Bộ ngoại giao Hoa Kỳ, Harold Koh, đã nhiều lần khẳng định, mặc dù không gian mạng mở ra nhiều vấn đề pháp lí mới nhưng các nguyên tắc cơ bản của luật quốc tế vẫn luôn có giá trị áp dụng trong khoảng không gian này.
Trong một ý kiến tư vấn của mình năm 1971, Toà ICJ đã lập luận rằng: “Một văn kiện quốc tế phải được giải thích và áp dụng trong khuôn khổ tổng thể hệ thống pháp luật hiện hành tại thời điểm [nó] được giải thích”. Điều này có nghĩa là việc giải thích pháp luật có tính linh hoạt và độ mở cao, thích ứng với bối cảnh tại thời điểm diễn giải được đưa ra. Lập luận này được củng cố khi đọc Điều 31(3)(b) Công ước Viên năm 1969 về Luật điều ước quốc tế, theo đó, quy tắc giải thích điều ước cần phải chú ý đến “mọi thực tiễn sau này khi thực hiện điều ước…”. Vận dụng quy tắc này trong vụ Costa Rica v. Nicaragua, Toà ICJ cho rằng, khi sử dụng những từ ngữ chung (generic terms) trong điều ước quốc tế, các bên cần ý thức được rằng ý nghĩa của những từ ngữ đó có thể “phát triển theo thời gian”. Đây là điểm xuất phát cho lập luận liên quan tới cách hiểu về “vũ khí”.
Việc cấm sử dụng sử dụng vũ lực và đe doạ sử dụng vũ lực từ lâu đã được quy định rõ ràng tại Điều 2(4) Hiến chương LHQ năm 1945. Ngoài ra, nguyên tắc này còn được ghi nhận là quy phạm tập quán pháp quốc tế, một trong các nguyên tắc cơ bản của luật quốc tế và đồng thời là một quy phạm jus cogens.
Để áp dụng nguyên tắc cấm sử dụng vũ lực đối với hành vi tấn công trên không gian mạng, cần đáp ứng được ba điều kiện:
Thứ nhất, hành vi này phải do quốc gia tiến hành, cá nhân và nhóm vũ trang không nằm trong phạm vi điều chỉnh của nguyên tắc này. Vấn đề này liên quan trực tiếp tới trách nhiệm của quốc gia trong luật quốc tế.
Thứ hai, hành vi này phải đạt tới mức độ “vũ lực” theo Điều 2(4) Hiến chương.
Thứ ba, việc sử dụng vũ lực phải được thực hiện trong quan hệ quốc tế. Điều này loại trừ khả năng tấn công mạng được thực hiện bởi một nhà nước đối với một chủ thể phi nhà nước có thể bị coi là sử dụng vũ lực chịu sự điều chỉnh của Điều 2(4).
Điều 2(4) Hiến chương nghiêm cấm việc sử dụng “vũ lực” (force) nhưng lại không đưa ra định nghĩa “vũ lực” là gì. Từ lâu, nỗ lực nhằm cắt nghĩa thuật ngữ này đã gây ra vô số những tranh luận không chỉ giữa các quốc gia mà còn cả trong giới học thuật. Theo từ điển Black’s Law, “vũ lực” được hiểu là “sức mạnh, bạo lực hoặc áp lực nhắm tới một người hoặc vật”. Nếu như vậy thì phạm vi của thuật ngữ này rộng đến mức bao quát không chỉ “vũ trang” (armed force) mà còn cả các hình thức cưỡng ép khác (phi vũ trang), ví dụ như cưỡng ép kinh tế, chính trị. Đây là cách hiểu được ủng hộ bởi các quốc gia đang phát triển; trong khi đó, các quốc gia phát triển cho rằng “vũ lực” phải được diễn giải theo nghĩa hẹp, chỉ bao gồm các hoạt động có vũ trang.
Cách hiểu vũ lực là vũ trang có vẻ hợp lí hơn khi đọc toàn bộ Hiến chương LHQ. Thuật ngữ này xuất hiện trong Lời nói đầu, Điều 41, Điều 46 Hiến chương và đi kèm với nó là “vũ khí” (armed). Hơn thế nữa, mục tiêu của Hiến chương là nhằm “phòng ngừa cho thế hệ tương lai khỏi thảm hoạ chiến tranh…”. Do vậy, “vũ lực” được đề cập trong Điều 2(4) nên được hiểu thống nhất trong mối tương quan với các điều khoản khác của Hiến chương, hàm ý “vũ trang” hoặc “vũ khí”.
3.2. Tấn công mạng được có vi phạm nguyên tắc cấm sử dụng vũ lực?
Câu hỏi đặt ra là liệu tấn công mạng có bị coi là “vũ lực” thuộc phạm vi điều chỉnh của Điều 2(4) Hiến chương hay không? Có ba cách tiếp cận để trả lời câu hỏi này:
Thứ nhất, căn cứ vào công cụ, phương tiện thực hiện hành vi, ví dụ như các loại vũ khí truyền thống (súng, đạn, bom, mìn…). Nếu dựa trên cách tiếp cận này thì tấn công mạng không thể bị coi là sử dụng vũ lực kể cả trong trường hợp có thiệt hại thực tế xảy ra.
Thứ hai, căn cứ vào mục tiêu, nếu tấn công mạng nhắm tới hạ tầng trọng yếu của quốc gia thì bị coi là sử dụng vũ lực bất kể tác động của nó ra sao. Cách tiếp cận này lại quá rộng bởi không rõ hạ tầng trọng yếu của quốc gia là những gì; ngoài ra, một số hoạt động thu thập thông tin đơn thuần khó có thể bị coi là vũ lực.
Thứ ba, cách tiếp cận nhận được nhiều sự ủng hộ nhất đó là dựa trên tác động của hành vi. Khác với các hình thức cưỡng ép kinh tế hay chính trị, “vũ khí” hay “vũ trang”’ có tác động phá huỷ trực tiếp, dẫn tới thiệt hại về con người và tài sản.
Nhìn chung, quan điểm thứ ba có tính hợp lí và thuyết phục hơn. Theo đó, đặc điểm để nhận biết những công cụ này không phải hình dáng vật chất hay cơ chế hoạt động, mà là tác động của chúng. Đây là cách tiếp cận được ICJ sử dụng trong vụ “Nicaragua”, theo đó, việc Hoa Kỳ trang bị vũ khí và huấn luyện cho phiến quân nổi loạn chống lại Nicaragua là một hình thức sử dụng vũ lực gián tiếp bởi hậu quả bạo lực mà nó gây ra. Quan điểm này được chia sẻ bởi nhiều học giả, trong đó nguyên cố vấn pháp lí của Bộ ngoại giao Hoa Kỳ cho rằng: “Nếu hậu quả thực tế của tấn công mạng tương đương với thiệt hại vật chất mà bom đạn hay tên lửa gây ra, thì tấn công trên mạng chính là sử dụng vũ lực.”
Lập luận này tiếp tục được Toà ICJ đưa ra trong vụ tư vấn về tính hợp pháp của vũ khí hạt nhân. Theo đó, Toà làm rõ các điều 2(4), 51 và 42 Hiến chương LHQ có giá trị áp dụng với hành vi sử dụng vũ lực bất kể loại vũ khí nào được sử dụng để gây thiệt hại. Vì vậy, không có lí do gì để loại trừ phạm vi áp dụng của những điều khoản này đối với những loại vũ khí phi truyền thống có sức phá huỷ tương đương, thậm chí lớn hơn vũ khí truyền thống, chẳng hạn như vũ khí hoá học hay sinh học.
Ngoài ra, Hướng dẫn Tallinn có đưa ra một số tiêu chí để đánh giá khi nào hành vi tấn công mạng đạt tới mức độ sử dụng vũ lực, bao gồm: tính nghiêm trọng, khẩn cấp, trực tiếp, mức độ xâm phạm, khả năng đánh giá tác động, tính chất quân sự, quốc gia liên quan và tính hợp pháp giả định.
Tới nay, nhiều quốc gia và tổ chức quốc tế thể hiện quan điểm cho rằng các quy định hiện hành của luật quốc tế về sử dụng vũ lực và xung đột vũ trang có thể được áp dụng đối với các hoạt động trên mạng, có thể kể tới như Úc, Trung Quốc, Liên minh châu Âu, Nga, và Anh. Năm 2015, nhóm các chuyên gia chính phủ (GGE) được thành lập bởi Liên hợp quốc đã khuyến nghị rằng, trong quá trình sử dụng công nghệ thông tin và truyền thông, quốc gia phải tuân thủ các nguyên tắc của pháp luật quốc tế, trong đó có tôn trọng chủ quyền quốc gia, giải quyết hoà bình các tranh chấp, không sử dụng vũ lực, và không can thiệp vào công việc nội bộ của nhau.
Chủ quyền trên không gian mạng là vấn đề mới và hết sức phức tạp. Nhiều quốc gia đã nhận thức rõ về những mối đe doạ với an ninh mạng, coi đây là thách thức mới, mối đe doạ mới có tầm quan trọng và nguy hiểm cao nên đã cụ thể hoá thành các văn bản chính sách, văn bản pháp luật… nhằm tạo ra các thiết chế, cơ sở pháp lí chống lại các nguy cơ đe dạo đến an ninh quốc gia từ không gian mạng. Chỉ trong vòng 6 nằm trở lại đây (2012 – 2018), đã có 23 quốc gia trên thế giới ban hành văn bản luật về an ninh mạng. Tuy khác nhau về tên gọi song nội dung của các luật này đều hướng đến cải thiện tình hình an ninh thông tin của chính phủ, cơ quan công quyền, các doanh nghiệp, cũng như bảo vệ tốt hơn người dân khi ở trong môi trường mạng toàn cầu.
4. Liên hệ thực tiễn ở Việt Nam
Thực tiễn gần đây cho thấy, Việt Nam đang là một trong những quốc gia nạn nhân của tấn công mạng và những thiệt hại mà tấn công mạng gây ra cho Việt Nam ngày càng rõ nét. Theo báo cáo của Cục an toàn thông tin và Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Bộ thông tin và truyền thông, trong năm 2017, các hệ thống thông tin tại Việt Nam đã phải hứng chịu khoảng 15.000 cuộc tấn công mạng, gồm khoảng 3.000 cuộc tấn công lừa đảo, 6.500 cuộc tấn công cài phần mềm độc hại và 4.500 cuộc tấn công thay đổi giao diện. Trong đó, số cuộc tấn công vào hệ thống thông tin của các cơ quan nhà nước có tên miền “gov.vn” cũng lên tới hàng trăm. Năm 2017, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 12.300 tỉ đồng (~ 540 triệu USD), vượt xa mốc 10.400 tỉ đồng của năm 2016. Trong 5 tháng đầu năm 2018 đã ghi nhận 4.035 sự cố tấn công mạng vào Việt Nam, riêng tháng 2 và tháng 3/2018 có tới hơn 1.5000 vụ tấn công mạng. Việt Nam xếp ở vị trí thứ 4 trong Top 10 quốc gia bị kiểm soát bởi mạng máy tính ma (mạng máy tính bị nhiễm độc – botnet). Theo đánh giá của Liên minh viễn thông quốc tế (ITU), Chỉ số quốc tế về an ninh mạng cuối năm 2017 của Việt Nam đứng thứ 101/193 nước trên thế giới. Chỉ số này do ITU đánh giá dựa trên nhiều tiêu chí như khuôn khổ pháp luật, năng lực tổ chức liên quan tới chiến lược bảo vệ an toàn mạng ở tầm quốc gia, năng lực kĩ thuật, hợp tác trong và ngoài nước…
Nhận thức được vấn đề này, Chính phủ Việt Nam trong những năm gần đây đã nỗ lực để xây dựng hành lang pháp lí vững chắc nhằm ngăn ngừa, phòng chống những hiểm hoạ từ tấn công mạng. Bằng chứng đó là Bộ tư lệnh tác chiến không gian mạng đã được thành lập theo Quyết định của Thủ tướng Chính phủ số 1198/QĐ-TTg ngày 15/8/2017 trên cơ sở nâng cấp từ Cục công nghệ thông tin thuộc Bộ tổng tham mưu. Bên cạnh đó, Luật an ninh mạng Việt Nam đã được Quốc hội thông qua ngày 12/6/2018, điều chỉnh các hoạt động mạng tiềm ẩn ảnh hưởng tới an ninh quốc gia, trật tự toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Luật an ninh mạng năm được đánh giá là một trong những cơ sở pháp lí quan trọng để các cơ quan nhà nước có thẩm quyền thực hiện các hoạt động bảo vệ an ninh quốc gia; xử lí các hành vi vi phạm pháp luật trong không gian mạng; bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia; nhằm phòng, chống tấn công mạng.
Những hậu quả nghiêm trọng mà tấn công mạng gây ra cho các quốc gia là không thể phủ nhận, do đó, ngoài việc mỗi quốc gia xây dựng hành lang pháp lí của riêng mình nhằm bảo vệ quyền và lợi ích quốc gia thì các quốc gia cần có sự hợp tác với nhau để phòng chống các hành vi này. Không chỉ là những thoả thuận song phương giữa các quốc gia, mà các quy định chung của luật quốc tế cũng sẽ được áp dụng trong lĩnh vực này.
Việt Nam cần thể hiện rõ quan điểm của mình về vấn đề này. Đó là các nguyên tắc cơ bản của luật quốc tế có giá trị áp dụng đối với các hoạt động của quốc gia tiến hành trên không gian mạng. Các hành vi thực hiện trong không gian này không được xâm phạm chủ quyền quốc gia, can thiệp vào công việc nội bộ của Việt Nam. Đặc biệt, trường hợp hành vi tấn công mạng gây thiệt hại về người và của thì phải bị coi là hành vi sử dụng vũ lực, đi ngược lại nguyên tắc cơ bản ghi nhận trong Hiến chương LHQ và đáng bị lên án.
Quan điểm này có lợi đối với Việt Nam vì nhiều lí do:
Thứ nhất, Việt Nam là quốc gia yêu chuộng hoà bình, không hay gây hấn với quốc gia khác trên cả không gian thực và không gian ảo.
Thứ hai, nguy cơ Việt Nam bị tấn công mạng là hiện hữu trong bối cảnh chính trị quốc tế ngày càng phức tạp. Nếu tận dụng hiệu quả, pháp luật quốc tế có thể là công cụ bảo đảm sự công bằng, bình đẳng giữa các quốc gia trong quá trình thực thi chủ quyền của mình.
Cuối cùng, việc Việt Nam thể hiện quan điểm của mình về hành vi tấn công mạng có thể được coi là quan điểm, thực tiễn quốc gia, là một trong những căn cứ hình thành nên tập quán pháp quốc tế. Một cách gián tiếp, uy tín và vị thế của Việt Nam trong khu vực và quốc tế có thể tăng lên đáng kể bởi khả năng dẫn dắt của mình.
Trên đây là tư vấn của chúng tôi. Nếu còn vướng mắc, chưa rõ hoặc cần hỗ trợ pháp lý khác bạn vui lòng liên hệ bộ phận tư vấn pháp luật trực tuyến qua tổng đài điện thoại số: 1900 6162 để được giải đáp.
Rất mong nhận được sự hợp tác!
Trân trọng./.
Luật Minh Khuê - Sưu tầm & biên tập
