Bill C-22: Phiên bản "tái chế" của cơn ác mộng giám sát tại Canada

Năm ngoái, chính phủ Canada từng cố gắng thông qua dự luật C-2 với lý do "an ninh biên giới", nhưng đã thất bại trước sự phản đối dữ dội từ cộng đồng bảo vệ quyền riêng tư. Giờ đây, "phần tiếp theo" đáng sợ nhất trong mùa xuân năm nay, Bill C-22 hay còn gọi là Đạo luật Truy cập Hợp pháp (The Lawful Access Act), đang cố gắng thực hiện lại mục tiêu đó.

Giống như hầu hết các phần tiếp theo, Bill C-22 có một số thay đổi so với các yếu tố gây tranh cãi trước đây, nhưng về cơ bản vẫn giữ nguyên những vấn đề cốt lõi. Dự luật buộc các dịch vụ kỹ thuật số — có thể bao gồm các nhà mạng viễn thông, ứng dụng nhắn tin và nhiều nền tảng khác — phải ghi lại và lưu trữ metadata (dữ liệu siêu dữ liệu) trong suốt một năm. Ngoài ra, nó còn mở rộng việc chia sẻ thông tin với các chính phủ nước ngoài, bao gồm cả Hoa Kỳ. Metadata có thể tiết lộ rất nhiều điều về việc bạn giao tiếp với ai, bạn đi đâu và bạn làm điều đó khi nào. Việc mở rộng việc thu thập metadata sẽ yêu cầu các công ty phải lưu trữ nhiều thông tin hơn về người dùng, tạo ra động lực cho các tác nhân xấu tìm cách khai thác kho dữ liệu này.

Tệ nhất là, Bill C-22 làm xói mòn quyền riêng tư của hàng triệu người bằng cách cung cấp cơ chế cho Bộ trưởng An toàn Công cộng yêu cầu các công ty tạo ra backdoor (cửa sau) vào dịch vụ của họ để cung cấp cho cơ quan thực thi pháp luật quyền truy cập dữ liệu, miễn là các yêu cầu này không tạo ra "lỗ hổng mang tính hệ thống". Những cửa sau giám sát rộng rãi này có khả năng sẽ tạo điều kiện cho nhiều vụ vi phạm dữ liệu hơn mức chúng ta thấy hiện nay. Dự luật cũng cấm các công ty công khai sự tồn tại của các lệnh này.

Các định nghĩa về "lỗ hổng mang tính hệ thống" và "mã hóa" trong C-22 không đủ rõ ràng, để lại chỗ trống cho chính phủ yêu cầu các công ty lách qua lớp mã hóa. Các định nghĩa quá rộng trong dự luật có thể bao gồm cả ứng dụng và hệ điều hành. Các quan chức Canada đã khẳng định họ tin rằng có thể thêm giám sát mà không gây ra lỗ hổng hệ thống, nhưng điều này hoàn toàn sai lầm. Việc giám sát các liên lạc được mã hóa về cơ bản chính là một lỗ hổng hệ thống.

Tình huống này tương tự như những gì đã xảy ra ở Anh vào năm ngoái, khi chính phủ yêu cầu Apple triển khai loại backdoor này vào tính năng Bảo vệ Dữ liệu Nâng cao (Advanced Data Protection) tùy chọn của họ, dẫn đến việc Apple buộc phải thu hồi tính năng này đối với người dùng Anh thay vì tuân thủ yêu cầu. Cho đến nay, người dùng Anh vẫn không thể truy cập vào tính năng bảo vệ quyền riêng tư mạnh mẽ này. Cả Meta và Apple đều lo ngại rằng C-22 sẽ trao cho chính phủ Canada quyền lực tương tự, và cả hai công ty đều đã lên tiếng phản đối dự luật. Các ủy ban Tư pháp và Ngoại giao của Hạ viện Hoa Kỳ cũng đã gửi một thư chung đến Bộ trưởng An toàn Công cộng của Canada, nêu bật mối lo ngại xung quanh các backdoor vào hệ thống được mã hóa.

Những nguy hiểm của các loại backdoor này không chỉ là lý thuyết. Vào năm 2024, vụ hack Salt Typhoon đã tận dụng một hệ thống được xây dựng bởi các Nhà cung cấp Dịch vụ Internet (ISP) để cấp cho cơ quan thực thi pháp luật quyền truy cập vào dữ liệu người dùng. Khi bạn xây dựng các hệ thống này, tin tặc sẽ đến.

Người Canada xứng đáng có các biện pháp bảo vệ quyền riêng tư mạnh mẽ, sự minh bạch về cách các công ty xử lý dữ liệu người dùng và các biện pháp bảo vệ rõ ràng xung quanh dữ liệu được mã hóa. Bill C-22 không cung cấp bất kỳ điều nào trong số đó, thay vào đó, nó vươn tay sâu hơn vào các "túi kỹ thuật số" của các công ty công nghệ để xây dựng các cơ chế truy cập hợp pháp rộng khắp.