Dự thảo Luật An ninh mạng và một số vấn đề đặt ra với doanh nghiệp

Ảnh minh họa

Thừa hoặc trùng lắp với các quy định pháp luật đã có trước đó

Dự thảo Luật An ninh mạng có những quy định chồng chéo, nhiều điểm trùng lắp với những luật đã được ban hành như: Luật An toàn thông tin mạng, Luật Công nghệ thông tin, Luật Dân sự, luật Hình sự, Luật An toàn thông tin, Luật Viễn thông, Luật Giao dịch điện tử…., hoặc trái với thẩm quyền quản lý của các văn bản khác như Nghị định 72/2013/NĐ-CP về quản lý, cùng cấp, sử dụng dịch vụ internet,… Vì thế, đã có những ý kiến đề xuất nên tích hợp các nội dung của Luật An ninh mạng vào Luật An toàn thông tin mạng được sửa đổi.

Ví dụ điển hình về sự trùng lắp: Điều 38, bộ Luật Dân sự quy định để đảm bảo an toàn thông tin cá nhân, thông qua việc đặt ra nghĩa vụ xin phép cá nhân liên quan khi “thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân”. Cá nhân bị vi phạm quy định này có thể yêu cầu cơ quan, tổ chức có thẩm quyền buộc chấm dứt hành vi xâm phạm, buộc xin lỗi, cải chính công khai, buộc bồi thường thiệt hại. Vậy các điều khoản quy định về trách nhiệm của tổ chức cá nhân - không phải là cơ quan công quyền, về đảm bảo an ninh mạng mà thực chất là đảm bảo an toàn thông tin cá nhân, liệu có cần quy định riêng trong Dự thảo Luật An ninh mạng ?

Luật An toàn thông tin mạng (năm 2015) và Dự thảo Luật An ninh mạng đều có quy định về “hệ thống thông tin quan trọng quốc gia”, dẫn đến cùng lĩnh vực bảo vệ thông tin và hoạt động trên không gian mạng. Do đó, sẽ cùng tồn tại 2 hệ thống phân loại về các hệ thống thông tin quan trọng đối với quốc gia.

Nội hàm khái niệm "an ninh mạng" cũng có nhiều điểm trùng lặp với khái niệm trong các luật trước đó, như Luật An toàn thông tin, Luật An toàn thông tin mạng, Luật An ninh thông tin,...

Luật An toàn thông tin mạng giải thích từ ngữ: “An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin”. Theo đó, Luật An toàn thông tin mạng đã điều chỉnh các vấn đề về kỹ thuật, công nghệ. Trong dự thảo Luật An ninh mạng lại tiếp tục đặt ra khái niệm mới, quy định phạm vi điều chỉnh mới đối với chính vấn đề này. Nếu Luật được thông qua mà vẫn giữ nguyên nội dung này, khi đi vào thực thi sẽ xảy ra tình trạng một vấn đề nhưng hai cách hiểu; hai đầu mối thực thi. Vậy các bên bị tác động, các bên thực thi luật sẽ biết "theo" luật nào ?

Vẫn thiếu những giải pháp kĩ thuật và pháp luật cơ bản

Việt Nam được đánh giá là một trong 7 quốc gia có tốc độ phát triển và ứng dụng mạng cao nhất thế giới. Hiện có 58 triệu người dùng internet với 80 triệu tài khoản Facebook và 50 triệu thuê bao. Số người dùng một lúc 2 đến nhiều tài khoản không hề ít, đang tạo ra những ảnh hưởng lớn. Đồng thời, trong bối cảnh của cuộc cách mạng công nghiệp 4.0, việc ứng dụng công nghệ thông tin đã được triển khai mạnh mẽ trong quản lý nhà nước, do đó, thực tiễn nhu cầu bảo mật, an toàn thông tin trên mạng đòi hỏi rất cao. Mặc dù vấn đề bảo mật thông tin cá nhân đã được quy định cụ thể trong nhiều luật, giữa các luật cũng có sự giao thoa. Tuy nhiên, tình trạng “rò rỉ” thông tin của cá nhân vẫn rất phổ biến, hoặc nhiều hệ thống mạng quan trọng cấp quốc gia còn có rất nhiều sơ hở và dề dàng bị tin tặc tấn công… nhưng trong Dự thảo Luật An ninh mạng lại chưa có các điều luật và giải pháp kỹ thuật cụ thể để thực thi hiệu quả những vấn đề này.

Những sự cố xảy ra trong thực tế như “rò rỉ” thông tin cá nhân, tin tặc nhiều lần tấn công hệ thống thông tin mạng của sân bay, cảng hàng không cho thấy, việc đảm bảo an ninh mạng cho những hệ thống có tầm quan trọng lớn có quá nhiều sơ hở. Điều này chứng tỏ về trình độ công nghệ, kĩ thuật cũng như khả năng tự vệ của các hệ thống quản trị rất yếu kém, chưa tương xứng với tầm quan trọng của hệ thống.

Nếu không được nghiên cứu kỹ, phạm vi điều chỉnh theo Dự thảo Luật không tách bạch rõ ràng, khi Luật được ban hành chẳng những an toàn thông tin mạng không được bảo đảm mà còn có nguy cơ cao hơn về sự mất an toàn, nhất là ở các đầu mối quản lý nhà nước.

Vấn đề đặt ra đối với doanh nghiệp

Trong Luật An toàn thông tin mạng quy định: doanh nghiệp nếu muốn kinh doanh lĩnh vực an toàn thông tin thì phải được sự thẩm định, cấp phép của Bộ Thông tin và Truyền thông, nay dự thảo Luật An ninh mạng cũng quy định và còn phải có thêm sự thẩm định của Bộ Công an. Như vậy, cùng một người, cùng một lĩnh vực, khi làm thủ tục kinh doanh phải chịu nhiều sự thẩm định, cấp phép; cấp nọ đè lên cấp kia, và cấp nào mới là cấp cuối cùng ra quyết định ?! Hơn thế, doanh nghiệp sẽ còn phải tốn thêm bao thời gian, kinh phí cho những thủ tục này ? !

Vấn đề chứng nhận hợp chuẩn hợp quy rất được các doanh nghiệp công nghệ quan tâm. Luật An toàn thông tin mạng đã quy định về đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng. Bản thân trong Luật cũng quy định các đơn vị chức năng thuộc Bộ Công an, Bộ Quốc phòng có trách nhiệm tham gia chứng nhận hợp chuẩn, hợp quy, tuân thủ theo các quy định cụ thể trong Luật tiêu chuẩn, quy chuẩn kỹ thuật. Trong Dự thảo Luật An ninh mạng cũng lại quy định tương tự. Như vậy, điều này một lần nữa khiến doanh nghiệp lúng túng và tốn kém thêm chi phí. Vì muốn kinh doanh một sản phẩm hay một thiết bị phải thực hiện hợp chuẩn, hợp quy quá nhiều lần. Đồng thời, sự trùng lặp, chồng chéo này sẽ dẫn tới nguy cơ giảm lợi ích của doanh nghiệp, thay vì khuyến khích họ phát triển cũng như đảm bảo quyền lợi an toàn thông tin của doanh nghiệp trong hoạt động kinh doanh. Mặt khác, việc cụ thể hóa các quy định trong Luật hình sự và Luật dân sự - là cách tiếp cận đúng đắn và thuận lợi hơn để giải quyết những vấn đề này.

Trong bối cảnh Chính phủ đang nêu cao tinh thần kiến tạo, giảm chi phí cho doanh nghiệp, khuyến khích phát triển công nghệ cao và khởi nghiệp công nghệ… việc ban hành những quy định như vậy chẳng khác gì rải “đinh” thảm, khiến cho các đối tượng là doanh nghiệp bất an.

Ngoài ra, trong các cam kết quốc tế mà Việt Nam là thành viên, đặc biệt là cam kết của Tổ chức Thương mại Thế giới (WTO), Hiệp định Thương mại tự do Việt Nam - EU (EVFTA) đã có các quy định cụ thể liên quan đến lĩnh vực an ninh mạng. Vì vậy, khi ban hành Luật An ninh mạng, Việt Nam phải bảo đảm không quy định trái với các thỏa thuận được ghi nhận trong hai văn bản cam kết quốc tế trên.

Việc ban hành Luật An toàn thông tin mạng và trong tháng 5 này Quốc hội sẽ tiếp tục thông qua Luật An ninh mạng, đã thể hiện rõ ý chí và tham vọng của các nhà làm luật ở nước ta trong việc xiết chặt việc quản lý mạng bằng con đường hành chính truyền thống đối với xã hội và người dân khi tham gia tự do vào các kênh thông tin và đời sống mạng. Tuy nhiên, dư luận vẫn còn nhiều băn khoăn, lo lắng bởi sự ra đời hàng loạt các luật về an toàn, an ninh mạng với những quy định chồng chéo, trùng lắp nhưng dường như lại đang thiếu sự nhìn nhận điềm tĩnh và đánh giá khách quan về một xu thế vận động không thể cưỡng lại, cũng như thiếu vắng đi các nền tảng lý thuyết căn bản... Như vậy, rất có thể các vấn đề của đời sống kinh tế - xã hội được tham vọng kiểm soát sẽ càng trở nên phức tạp hơn, bởi việc ứng dụng thái quá các công cụ pháp luật, đặc biệt trong bối cảnh các tiến trình của đời sống ảo đang chi phối toàn cầu mới chỉ bắt đầu.

Vấn đề an toàn an ninh môi trường mạng đang là mối quan tâm hàng đầu của nhiều quốc gia. Ở Việt Nam, đây vẫn còn là một vấn đề khá mới mẻ. Chính vì thế, phần đông người sử dụng mạng ở Việt Nam chưa lường trước được các nguy cơ tiềm ẩn trong môi trường mạng. An ninh mạng đang là một thách thức không chỉ đối với cá nhân mà với cả hệ thống quản lý của nhà nước.

Thảo Nguyên