Tình hình lập pháp của các nước liên quan đến công nghệ Deepfake
Cùng với những sự triển của công nghệ thông tin (CNTT) như công nghệ deep learning, mạng neuron,… thì công nghệ mô phỏng ứng dụng trí tuệ nhân tạo (AI) điển hình là công nghệ deepfake (giả mạo sâu) ngày càng trở nên tinh vi. Việc thay thế khuôn mặt, mô phỏng giọng nói con người trong các video giả mạo sâu gần như đạt đến mức độ khó phân biệt thật giả. Mặc dù công nghệ mới này có giá trị ứng dụng trong việc phân tích hình ảnh và cải thiện khả năng mô phỏng của con người; nhưng khi bị lạm dụng, công nghệ deepfake sẽ gây ra nhiều rủi ro như: Hình ảnh cá nhân, Danh tiếng và quyền riêng tư bị tổn hại; Ảnh hưởng đến kinh tế và uy tín của doanh nghiệp; Làm suy giảm niềm tin xã hội đối với ngành truyền thông; Ảnh hưởng đến an ninh quốc gia và an toàn công cộng.
MỸ
Mỹ là nước tiên phong trong việc lập pháp liên quan đến deepfake, đồng thời cũng là quốc gia có nhiều luật nhất liên quan đến lĩnh vực này ở cả cấp quốc gia và cấp bang.
Ở cấp quốc gia
Tháng 12/2018, Thượng viện Mỹ đã công bố “Luật cấm deepfake độc hại 2018” (Malicious Deep Fake Prohibition Act of 2018). Luật này quy định phạt tiền hoặc giam giữ tới 2 năm đối với những đối tượng có các hành vi như: Tạo ra nội dung giả mạo; Xâm phạm đời tư cá nhân; Phát tán nội dung giả mạo. Nếu nội dung giả mạo kích động bạo lực, làm rối loạn hoạt động của chính quyền hoặc hoạt động bầu cử và gây ra hậu quả nghiêm trọng thì thời gian bị giam giữ có thể lên tới 10 năm.
Cũng trong tháng 6/2019, Hạ viện Mỹ đề xuất “Luật về trách nhiệm deepfake” (Deepfakes Accountability Act) yêu cầu bất kỳ ai có hành vi tạo ra ảnh, video sử dụng công nghệ deepfake đều phải sử dụng kỹ thuật “thủy vân số” để giải thích rõ là bản gốc hay bản chỉnh sửa, nếu không sẽ thuộc hành vi phạm tội.
Đồng thời đề xuất “Luật ủy quyền tình báo Damon Paul Nelson và Matthew Young Pollard cho các năm tài chính 2018, 2019 và 2020” (Damon Paul Nelson and Matthew Young Pollard Intelligence Authorization Act for Fiscal Years 2018, 2019, and 2020) đề xuất các cuộc thi liên quan đến kỹ thuật xác định công nghệ deepfake nhằm kích thích nghiên cứu lĩnh vực này.
Thêm vào đó, các nghị sĩ thuộc hai đảng Dân chủ và Cộng hòa tại Hạ viện và Thượng viện đề xuất “Luật báo cáo deepfake 2019” (Deepfakes Report Act of 2019) quy định Bộ An ninh nội địa Mỹ là cơ quan chủ quản định kỳ báo cáo tình hình liên quan đến deepfake. Theo Luật này, Bộ An ninh nội địa sẽ là cơ quan điều phối, đồng thời quy định việc xây dựng báo cáo thuộc trách nhiệm của Thứ trưởng phụ trách các vấn đề khoa học - công nghệ; các đơn vị trong Bộ An ninh nội địa có trách nhiệm tham gia nghiên cứu deepfake như: Cục Khoa học - Kỹ thuật, Cục An ninh mạng.
Ở cấp các bang
Tại thời điểm đó, bang Texas thông qua dự luật “S.B. No. 751” quy định tội hình sự nếu tạo ra video lừa đảo với mục đích ảnh hưởng đến kết quả bầu cử. Luật này định nghĩa các hành vi sử dụng kỹ thuật deepfake để tạo video nhằm can thiệp hoạt động bầu cử là hành vi phạm tội hình sự. Luật này có hiệu lực từ tháng 9/2019.
Tháng 7/2019, bang Virginia ban hành Luật sửa đổi Luật trả thù tình dục (Revenge porn law) để chống lại các nội dung xấu, trong đó định nghĩa hành vi “sản xuất, truyền bá video, ảnh khiêu dâm giả mạo” nhằm đe dọa, quấy rối hoặc khủng bố người khác là hành vi phạm tội hình sự; coi hành vi đăng tải, truyền bá các video sử dụng deepfake là thủ đoạn trả thù tình dục; người vi phạm sẽ bị giam giữ tới 12 tháng hoặc phạt tiền 2.500 USD. Luật này có hiệu lực từ tháng 7/2019 và là luật cấp bang có hiệu lực đầu tiên của Mỹ liên quan đến deepfake.
Tháng 10/2019, Thống đốc bang California, ông Gavin Newson đã ký luật “AB 730” có hiệu lực từ 01/01/2020, định nghĩa các hành vi phát tán video âm thanh, hình ảnh giả mạo, độc hại, gây ảnh hưởng xấu tới các chính khách là ứng cử viên trong hoạt động bầu cử là hành vi phạm tội.
Các luật và quy định liên quan khác
Tháng 3/2019, Thượng viện Mỹ công bố dự luật “Luật bảo mật nhận diện khuôn mặt thương mại 2019” (Commercial Facial Recognition Privacy Act of 2019). Đây là dự luật đầu tiên về bảo vệ quyền riêng tư trong nhận diện khuôn mặt ở Mỹ và được coi là một động thái quan trọng trong công tác quản lý của chính quyền liên bang. Dự luật quy định, các công ty thương mại khi sử dụng công nghệ nhận diện khuôn mặt cần phải được sự đồng ý của chủ thể và yêu cầu phải có sự kiểm tra của bên thứ ba về công nghệ nhận diện khuôn mặt trước khi đưa sản phẩm ra thị trường nhằm đáp ứng các tiêu chuẩn, tránh gây hại cho người tiêu dùng. Dự luật cấm cung cấp dữ liệu người dùng cho bên thứ ba nếu không có sự đồng ý của người dùng, đồng thời cũng xác định rõ các yêu cầu cụ thể đối với người kiểm soát dữ liệu, người xử lý dữ liệu trong việc phát triển hoặc bán các sản phẩm hoặc dịch vụ nhận diện khuôn mặt và lưu trữ dữ liệu nhận diện khuôn mặt. Dự luật yêu cầu các công ty cung cấp dịch vụ nhận dạng khuôn mặt phải đáp ứng các tiêu chuẩn về bảo mật thông tin liên quan do Ủy ban Thương mại Liên bang (FTC: Federal Trade Commission) và Viện Tiêu chuẩn và Kỹ thuật Quốc gia (NIST: National Institute of Standards and Technology) đặt ra.
Tháng 4/2019, Thượng viện Mỹ công bố “Dự luật quyền riêng tư” (Privacy Bill of Rights Act) nhằm tạo hành lang pháp lý bảo vệ toàn diện dữ liệu cá nhân. Dự luật định nghĩa cụ thể về dữ liệu cá nhân, yêu cầu Ủy ban Thương mại Liên bang đưa ra quy định cho phép cá nhân có một số quyền gồm: Quyền nhận thông báo về việc thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu cá nhân khi thông tin cá nhân bị thu thập, sử dụng; Quyền chọn tham gia, truy cập tới các thông tin liên quan đến hoạt động xử lý dữ liệu cá nhân; Quyền sửa dữ liệu cá nhân không chính xác; quyền yêu cầu xóa dữ liệu cá nhân.
Ngày 13/6/2019, Ủy ban Tình báo Hạ viện Hoa Kỳ (House Intelligence Committee) đã tổ chức một phiên điều trần về deepfake, thảo luận công khai những rủi ro, biện pháp phòng ngừa và đối phó trước ảnh hưởng của deepfake đối với quốc gia, xã hội và người dân. Tại phiên điều trần, các chuyên gia cho rằng, việc lạm dụng công nghệ deepfake có thể gây hại cho quyền công dân, kinh tế và an ninh cộng đồng.
KHU VỰC CHÂU ÂU
Liên minh châu Âu
Để đối phó với mặt trái của công nghệ deepfake, Liên minh châu Âu chủ yếu thông qua các quy định như bảo vệ thông tin cá nhân, quản lý thông tin giả mạo. Ngày 26/4/2018, Ủy ban châu Âu gửi bức thư với nội dung “Xử lý thông tin giả trực tuyến: Cách tiếp cận của châu Âu” (Tackling online disinformation: a European approach) tới Nghị viện châu Âu, Hội đồng châu Âu, Ủy ban kinh tế - xã hội và Ủy ban khu vực. Phương án tiếp cận tập trung vào giải thích quan điểm cơ bản của Ủy ban châu Âu trước thách thức của thông tin giả trực tuyến, đề xuất cải thiện tính minh bạch của nguồn tin, cải thiện tính đa dạng và nâng cao độ tin cậy của thông tin, đưa ra các nguyên tắc để ngăn chặn thông tin giả, tránh các tình huống bị đối tượng xấu sử dụng để thao túng dư luận.
Tháng 5/2018, Liên minh châu Âu chính thức thực thi “Quy định bảo vệ dữ liệu chung (GDPR)”, đặt dữ liệu cá nhân dưới sự bảo vệ của luật pháp EU, bao gồm cả những dữ liệu (ví dụ như ảnh cá nhân) bị deepfake sử dụng để tạo ra ảnh, video giả mạo hoặc vấn đề lộ lọt thông tin cá nhân do phần mềm chỉnh sửa ảnh của các công ty phần mềm hoặc các hãng truyền thông gây ra.
Tháng 9/2018, Liên minh châu Âu đã ban hành “Bộ quy tắc thực thi chống thông tin sai lệch” (Code of practice against disinformation) nhằm tăng cường tự kiểm duyệt nội dung của các công ty công nghệ, loại bỏ nội dung sai lệch từ gốc nguồn.
Tháng 01/2020, Ủy ban Châu Âu tuyên bố trong đầu năm sẽ khởi động đánh giá toàn diện hiệu quả thực hiện “Bộ quy tắc thực thi chống thông tin sai lệch”. Việc đánh giá chủ yếu nhằm vào các công ty công nghệ đã ký “Bộ quy tắc”, kiểm tra mức độ loại bỏ thông tin giả của các hãng truyền thông, các diễn đàn mạng, trong đó bao gồm cả việc kiểm soát các tệp âm thanh và video do công nghệ deepfake tạo ra.
Đức
Đức là quốc gia phương Tây đầu tiên đưa ra quy định cụ thể về phát ngôn có hại trên mạng. Để hạn chế mặt trái của công nghệ deepfake, Đức có thể diễn giải các luật hiện hành của mình. Tháng 6/1997, Đức thông qua “Luật dịch vụ thông tin và truyền thông” (Information and Communications Services Act – ICSA). Luật này còn được gọi là “Luật đa phương tiện”, đề cập trách nhiệm của các nhà cung cấp dịch vụ Internet, bảo vệ quyền riêng tư cá nhân, chữ ký số, tội phạm mạng và bảo vệ trẻ vị thành niên. Có thể nói, đây là một bộ luật mang tính tổng hợp và toàn diện.
Là luật đầu tiên của châu Âu quy định đầy đủ nội dung thông tin trực tuyến, “Luật đa phương tiện” đã tác động đến việc kiểm soát Internet của Đức trên ba lĩnh vực chính: Tăng cường trách nhiệm của các nhà cung cấp dịch vụ Internet trong phổ biến nội dung vi phạm pháp luật; Tạo hành lang pháp lý cho lực lượng cảnh sát mạng có quyền giám sát việc truyền bá các nội dung độc hại; Coi hành vi sản xuất hoặc phổ biến những nội dung có hại cho trẻ em là hành vi phạm tội.
Từ năm 2000 đến nay, Đức liên tiếp công bố hơn 10 bộ luật và quy định liên quan đến quản lý Internet. Việc xử lý thông tin sai lệch được phản ánh trong nhiều luật, như: Luật Hình sự, Luật Dân sự, Luật Tự do Thông tin, Luật Dịch vụ viễn thông. Trong đó, Luật Hình sự quy định rằng những người phát tán tin đồn gây nguy hiểm cho trật tự công cộng và gây mất ổn định xã hội sẽ bị kết án đến 6 tháng tù hoặc bị phạt tiền; nếu dẫn đến chết người sẽ bị phạt tù tới 5 năm.
Năm 2018, Đức thông qua “Luật Truyền thông xã hội” (Social media law) yêu cầu các công ty truyền thông xã hội phải thiết lập cơ chế để kiểm tra nội dung khiếu nại trực tuyến và phải xóa thông tin được xác định là vi phạm trong vòng 24 giờ. Cá nhân vi phạm phải đối mặt với khoản tiền phạt lên tới 5 triệu euro và các công ty không đáp ứng các tiêu chuẩn quy định phải đối mặt với mức phạt lên tới 50 triệu euro.
Anh
Tại Anh, bảo vệ dữ liệu ảnh khuôn mặt cá nhân và các thông tin khác chủ yếu dựa vào “Luật Bảo vệ dữ liệu” (Data Protection Act - DPA). Theo Luật này, đối tượng được bảo vệ là dữ liệu nhận dạng cá nhân (bao gồm cả dữ liệu tự động và dữ liệu được ghi lại để xử lý tự động); các hệ thống lưu trữ thủ công và hồ sơ cho các hệ thống lưu trữ liên quan. Bất kể dữ liệu cá nhân được xử lý tự động hay ghi lại thủ công mà có thông tin ảnh hưởng đến quyền riêng tư của một người, thì đủ để được coi là dữ liệu cá nhân. “Luật bảo vệ dữ liệu” áp dụng cho cả tổ chức và cá nhân.
Nga
Luật và các quy định hiện hành của Nga có thể quản lý công nghệ deepfake từ phương diện giám sát tình hình dư luận trên Internet.
Để bảo vệ người dùng trước thông tin độc hại, chính phủ Nga quy định, tất cả các trang web trong lãnh thổ Nga có nghĩa vụ phải nhanh chóng làm sạch thông tin bất hợp pháp. Nếu cơ quan thực thi pháp luật tìm thấy thông tin vi phạm, họ sẽ nhanh chóng thông báo cho bộ phận quản trị trang web để gỡ bỏ. Nếu bộ phận quản trị trang web từ chối hợp tác, cơ quan thực thi pháp luật sẽ đưa ra cảnh báo. Sau hai lần cảnh báo không có kết quả, trang web sẽ bị đóng cửa.
Tháng 5/2011, chính quyền thành phố Moscow đi đầu trong việc ban hành các quy định của địa phương, trao thêm quyền cho các cơ quan quản lý nhằm tăng cường giám sát các phương tiện truyền thông mới nổi.
Tháng 7/2016, Nga ban hành “Luật danh sách đen Internet” (Russia Internet blacklist law) để hạn chế sự lan truyền nội dung bất hợp pháp trên mạng. Các trang web truyền tải nội dung không lành mạnh, khuyến khích tự tử hoặc tự làm hại bản thân, liên quan đến ma túy,... sẽ bị cơ quan có thẩm quyền đưa vào danh sách đen và bị đóng cửa, thậm chí có thể bị truy tố.
Tháng 3/2019, Duma Quốc gia Nga đã thông qua hai dự luật để chống lại tin tức giả mạo và ngăn chặn mạo phạm các biểu tượng quốc gia, hạn chế chỉ trích trực tuyến đối với chính phủ Nga; người đăng thông tin sai lệch về chính phủ có thể bị phạt tù hoặc phạt tiền. Ngoài ra, Nga cũng đang xem xét hai dự luật mới, yêu cầu các nền tảng mạng xã hội phải xóa thông tin có hại trong vòng 24 giờ sau khi được cảnh báo và những người vi phạm phải đối mặt với mức phạt cao.
CÁC NƯỚC CHÂU Á
Trung Quốc
Tháng 6/2017, Trung Quốc chính thức thực thi “Luật An ninh mạng”, tạo ra hành lang pháp lý cho việc bảo vệ an toàn thông tin cá nhân, ngăn chặn thông tin cá nhân bị đánh cắp, tiết lộ và sử dụng phi pháp.
Tháng 11/2019, các cơ quan quản lý của Trung Quốc đã ban hành “Quy tắc quản lý dịch vụ tin tức, âm thanh, hình ảnh trên Internet”, quy định người cung cấp dịch vụ hoặc người sử dụng dịch vụ không được lợi dụng các công nghệ như AI và thực tế ảo để xuất bản và tuyên truyền tin tức giả trái quy định. Quy định này có hiệu lực từ ngày 01/01/2020.
Văn phòng Thông tin Internet Quốc gia Trung Quốc cho biết: Bất kỳ việc sử dụng AI hoặc thực tế ảo nào cũng phải được đánh dấu rõ ràng theo cách nổi bật; không tuân thủ sẽ bị coi là phạm tội hình sự.
Hàn Quốc
Các quy định hiện hành của Hàn Quốc đã bao hàm được những nội dung còn tranh cãi về tính pháp lý liên quan đến công nghệ deepfake; coi âm thanh, video, ảnh được tạo ra bởi công nghệ deepfake là “dư luận Internet”. Hàn Quốc là quốc gia đầu tiên có các quy định kiểm duyệt trực tuyến, “Luật Thương mại điện tử 1995” đã đưa ra quy định yêu cầu các nhà cung cấp phải xóa thông tin hoặc hạn chế một số nội dung khi cần thiết.
Từ năm 2002, Hàn Quốc đã thúc đẩy thực hiện hệ thống tên thật trực tuyến. Để ngăn chặn thông tin sai lệch trên mạng, chính phủ Hàn Quốc yêu cầu người dùng khi tham gia đăng tin trên các trang web phải cung cấp thông tin chi tiết về tên thật, số ID, địa chỉ cư trú và những thông tin liên quan khác; sau khi đã được xác nhận thông qua kiểm tra tên và số ID, người dùng mới có thể tạo, truy cập blog và diễn đàn và tham gia trò chuyện.
Tháng 10/2005, chính phủ Hàn Quốc đã ban hành và sửa đổi các quy định như “Luật Cơ bản về thúc đẩy tin học hóa” và “Luật Bảo vệ cơ bản thông tin truyền thông” để tạo cơ sở pháp lý cho hệ thống tên thật trực tuyến. Năm 2007, Hàn Quốc ban hành “Luật liên quan đến đẩy mạnh sử dụng thông tin truyền thông và bảo vệ thông tin”, quy định rằng trước khi cư dân mạng để lại tin nhắn mạng, các trang web phải ghi lại và xác minh thông tin như số ID của người gửi tin nhắn, nếu không thực hiện, quản trị trang web sẽ phải chịu số tiền tối đa lên tới 30.000 USD.
Để bảo vệ dữ liệu cá nhân, Hàn Quốc đã thực thi “Đạo luật bảo vệ thông tin cá nhân” kể từ tháng 9/2011, cấm các tổ chức có liên quan thu thập và sử dụng thông tin cá nhân mà không có sự đồng ý của chủ thông tin và cấm cung cấp thông tin cá nhân cho bên thứ ba. Luật quy định rằng nếu thông tin cá nhân được cung cấp cho bên thứ ba mà không có sự đồng ý của chủ thông tin, người vi phạm sẽ bị kết án tới 5 năm tù hoặc phạt tiền từ 50 triệu won trở lên.
Singapore
“Luật phát sóng” (The Broadcasting Act 2012) của Singapore quy định các nhà cung cấp dịch vụ viễn thông phải thực hiện nghĩa vụ chặn, phong tỏa các trang web và các bình luận để kịp thời phát hiện, điều tra xử lý thông tin vi phạm. Chính phủ có quyền yêu cầu các nhà cung cấp phải xóa nội dung khiêu dâm khỏi các trang web, những tin đồn gây hại nghiêm trọng sẽ bị truy tố như tội phỉ báng. Nếu nhà cung cấp không thực hiện nghĩa vụ của mình sẽ bị phạt hoặc bị đình chỉ giấy phép kinh doanh.
Tháng 5/2019, Quốc hội Singapore đã thông qua “Luật Ngăn chặn thông tin giả và thao túng mạng Internet” (The Protection from Online Falsehoods and Manipulation Act), cho phép chính phủ quyền yêu cầu các cá nhân hoặc nền tảng trực tuyến sửa hoặc xóa nội dung sai lệch, gây ảnh hưởng tiêu cực đến lợi ích công cộng. Luật này áp dụng cho các nội dung âm thanh và video giả mạo được sản xuất bằng công nghệ deepfake. Theo Luật, chính phủ Singapore có thể yêu cầu các trang web đăng thông tin sai lệch phải thực hiện sửa hoặc gỡ bỏ, nếu không thực hiện có thể bị phạt tới 1 triệu đô-la Singapore, những cá nhân tán phát thông tin sai lệch sẽ phải đối mặt với mức án lên đến 10 năm tù.
KẾT LUẬN
Nhiều quốc gia đã ý thức được rủi ro tiềm ẩn mà công nghệ deepfake mang lại, do đó đã có những động thái phản ứng dưới góc độ chính sách và lập pháp. Các nước đi đầu về lĩnh vực công nghệ như Mỹ, châu Âu, Trung Quốc, Hàn Quốc, Nga, Singapore đã ban hành luật và quy định để kiểm soát công nghệ deepfake. Việc nghiên cứu, xem xét công tác lập luật của các nước về quản lý deepfake sẽ giúp Việt Nam ứng phó tốt hơn trước các rủi ro, mặt trái mà công nghệ này đem lại.
Trần Văn Liệu (Bộ Công an)
