Thông thường, doanh nghiệp Internet chết thì dữ liệu người dùng chết theo hoặc doanh nghiệp sẽ bán nó cho một doanh nghiệp khác. Tuy nhiên, dự thảo nghị định hướng dẫn Luật An ninh mạng lại đưa ra một khả năng khác: doanh nghiệp chuyển giao toàn bộ dữ liệu của tất cả người dùng cho Cục An ninh mạng thuộc Bộ Công an quản lý.
Điều này được quy định tại Điều 58, Khoản 5 của dự thảo nghị định:
Điều 58, Khoản 5 về thẩm quyền của Cục An ninh mạng: “Tiếp nhận dữ liệu được quy định tại Khoản 1, 2 Điều 54 Nghị định này sau khi doanh nghiệp kết thúc hoạt động hoặc kết thúc thời gian lưu trữ dữ liệu được quy định tại Điều 56 Nghị định này”.
Theo Điều 54 và 56 của dự thảo nghị định, doanh nghiệp Internet phải lưu trữ hầu hết dữ liệu của người dùng trong suốt thời gian doanh nghiệp hoạt động hoặc thời gian cung cấp dịch vụ. Những dữ liệu này bao gồm các thông tin về nhân thân, số thẻ tín dụng, hồ sơ tài chính, tình trạng sức khoẻ, hồ sơ y tế, quan điểm chính trị, sinh trắc học, thông tin khởi tạo tài khoản người dùng, v.v.
Ngoài ra, doanh nghiệp phải lưu trữ các dữ liệu sau trong 36 tháng: nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch, thông tin về thiết bị, thuộc tính, hoạt động, số nhận dạng, tín hiệu, dữ liệu từ cài đặt thiết bị, mạng và kết nối, và dữ liệu cookie.
Tuy nhiên, liệu Khoản 5, Điều 58 này có thể được hiểu là trước khi chết hoặc hết thời hạn lưu trữ dữ liệu 36 tháng, doanh nghiệp có nghĩa vụ chuyển giao dữ liệu của tất cả người dùng cho Cục An ninh mạng không?
Doanh nghiệp có thể cãi rằng Cục An ninh mạng chỉ có thẩm quyền “tiếp nhận” (theo đúng cách hành văn của dự thảo) nếu doanh nghiệp tự nguyện và chủ động chuyển giao, thay vì có thẩm quyền “yêu cầu” và “bắt buộc” doanh nghiệp phải chuyển giao.
Tuy nhiên, việc dự thảo nghị định đề cập đến việc tiếp nhận dữ liệu do doanh nghiệp chuyển giao cho thấy rằng, Bộ Công an muốn lưu trữ vĩnh viễn toàn bộ dữ liệu người dùng sau khi doanh nghiệp chết hoặc hết thời hạn lưu trữ 36 tháng.
Để buộc doanh nghiệp phải chuyển giao dữ liệu, Bộ Công an và Cục An ninh mạng có thể tìm cách diễn giải nghĩa vụ mơ hồ của doanh nghiệp trong việc “phối hợp, tạo điều kiện cho lực lượng chuyên trách bảo vệ an ninh mạng trong bảo vệ an ninh mạng” (Điều 41, Luật An ninh mạng).
Cho dù cách diễn giải của họ có hợp lý hay không, doanh nghiệp cũng khó mà “cãi” lại được Bộ Công an. Khả năng doanh nghiệp phải chuyển giao toàn bộ dữ liệu người dùng cho Bộ Công an trước khi khai tử doanh nghiệp/dịch vụ là cao.
Điều đó có nghĩa là, kể từ thời điểm doanh nghiệp chuyển giao các dữ liệu trên, Cục An ninh mạng có thể tra cứu toàn bộ dữ liệu của tất cả người dùng bất cứ khi nào họ muốn mà không cần ra văn bản yêu cầu doanh nghiệp nữa.
Dự thảo nghị định cũng trao cho Cục An ninh mạng một quyền hạn rộng lớn hơn rất nhiều so với Luật An ninh mạng.
Điều 26, Luật An ninh mạng, là văn bản cao hơn nghị định, chỉ cho phép Cục An ninh mạng yêu cầu doanh nghiệp “cung cấp thông tin người dùng […] để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng”.
Điều đó có nghĩa là Cục An ninh mạng chỉ có thể yêu cầu doanh nghiệp cung cấp thông tin của một hoặc một số người dùng cụ thể liên quan đến những vi phạm cụ thể đang bị điều tra, chứ không được yêu cầu cung cấp dữ liệu của tất cả người dùng.
Dự thảo nghị định, do đó, là trái luật, vì luật (do Quốc hội ban hành) là văn bản pháp lý cao hơn nghị định (do Chính phủ ban hành). Theo Luật Ban hành Văn bản Quy phạm Pháp luật, khi đã có luật thì nghị định chỉ có chức năng chi tiết hoá hoặc hướng dẫn thi hành luật chứ không được quy định ngoài phạm vi của luật.
Nếu không có sửa đổi gì thêm, dự thảo trên sẽ có hiệu lực kể từ ngày 1/1/2019, cùng thời điểm với Luật An ninh mạng.