Đại diện Hiệp hội An toàn thông tin Việt Nam (VNISA) cho rằng, việc xây dựng, ban hành Luật An ninh mạng là hết sức cần thiết nhằm phòng ngừa, ứng phó với các nguy cơ đe dọa an ninh mạng. Về nguyên tắc, đây là sở cứ để khắc phục những tồn tại, hạn chế liên quan bảo vệ an ninh mạng, góp phần thể chế hóa đầy đủ, kịp thời các chủ trương, đường lối của Đảng về an ninh mạng và hoàn thiện hệ thống pháp luật trong lĩnh vực bảo vệ thông tin.
Tuy nhiên, một số nội dung của dự thảo Luật An ninh mạng có tác động tới hoạt động của các tổ chức, doanh nghiệp cung cấp sản phẩm, dịch vụ trong lĩnh vực công nghệ thông tin, an toàn thông tin và các tổ chức, cá nhân tham gia hoạt động trên không gian mạng.
Với mong muốn dự thảo luật bảo đảm tính thống nhất trong hệ thống pháp luật của nhà nước và đáp ứng yêu cầu thực tiễn, phù hợp với các đối tượng áp dụng, Hiệp hội An toàn thông tin Việt Nam đã trao đổi, thảo luận với một số Hiệp hội trong lĩnh vực CNTT-TT và có một số góp ý cụ thể theo bản Dự thảo Luật An ninh mạng ngày 22/05/2018.
Nhiều vấn đề cần cụ thể hóa
Đại diện Hiệp hội An toàn thông tin Việt Nam cho rằng, theo dự thảo, phạm vi điều chỉnh của Luật an ninh mạng khá rộng, gần như bao quát hết các vấn đề liên quan tới bảo vệ an ninh mạng và các hoạt động trên không gian mạng. Bởi vậy dễ trùng lặp về nội dung và chồng chéo về thẩm quyền quản lý nhà nước với các văn bản luật khác đang hiện hành như Luật An toàn thông tin mạng (ATTTM), Luật Cơ yếu, Luật Công nghệ thông tin... Đặc biệt, phạm vi điều chỉnh của Dự thảo Luật cần phải có sự phân định rõ ràng với một đạo luật cùng lĩnh vực là Luật ATTTM.
Bên cạnh đó, việc bao quát một phạm vi rộng về bảo vệ an ninh mạng trong một văn bản luật cũng dễ gây ra tình trạng chưa quy định hết các tình huống xảy ra và biện pháp giải quyết.
“Theo đó, dự thảo luật hiện nay nên co hẹp lại, chỉ điều chỉnh trách nhiệm cụ thể của đảm bảo an ninh mạng trong khu vực Nhà nước. Trọng tâm chính là luật hóa trách nhiệm giữa các cơ quan nhà nước, cách thức điều phối, phối hợp giữa các bộ ngành, cơ quan, tổ chức nhà nước trong bảo vệ hạ tầng an ninh mạng quốc gia; bảo vệ an ninh mạng trong nội bộ cơ quan nhà nước. Các vấn đề còn lại nên quy định ở một đạo luật khác, được nghiên cứu và chuẩn bị kỹ hơn”, đại diện VNISA lưu ý.
Trao đổi về vấn đề “hệ thống thông tin quan trọng về an ninh quốc gia”, VNISA cho rằng, đây là một trong những khái niệm trọng tâm nhất liên quan đến đối tượng điều chỉnh và chịu tác động của luật (điều 9) nên cần được xây dựng định nghĩa thống nhất giữa các văn bản pháp luật. Quyền và nghĩa vụ pháp lý cụ thể của doanh nghiệp gắn bó chặt chẽ với định nghĩa cụ thể của khái niệm này.
Hiện tại, danh mục hệ thống thông tin quan trọng quốc gia đang được đề xuất chờ Chính phủ quy định. Danh mục này cần phải được cụ thể hóa ngay trong luật để từ đó có xác định rõ ràng phạm vi và đối tượng điều chỉnh, giúp xác định được tổ chức, cá nhân sở hữu hệ thống thông tin nào sẽ bị tác động và tác động như thế nào.
Vị đại diện VNISA cũng cho rằng, sự trùng lặp trong quy định về hệ thống thông tin giữa 2 luật “Luật An toàn thông tin mạng” và dự thảo Luật cần được xem xét cụ thể.
“Khi Luật An ninh mạng được thực thi, trong lĩnh vực bảo vệ thông tin sẽ cùng tồn tại hai hệ thống phân loại đối với các hệ thống thông tin quan trọng đối với quốc gia. Việc này sẽ gây khó khăn cho chủ quản hệ thống thông tin trong việc xác định và đưa biện pháp bảo vệ cho hệ thống thông tin của đơn vị mình, gây sự chồng chéo trong quản lý nhà nước giữa Bộ TT&TT và Bộ Công an. Nhiều chủ quản hệ thống thông tin sẽ phải thực hiện đồng thời các quy định về thẩm định, kiểm tra, đánh giá, giảm sát,... theo sự quản lý của Bộ TT&TT và Bộ Công an theo quy định của cả hai luật", Hiệp hội An toàn thông tin Việt Nam nhấn mạnh.
Tăng chi phí và thủ tục phải tuân thủ đối với doanh nghiệp
Bàn về việc một số nội dung của dự thảo Luật An ninh mạng có liên quan tới hoạt động của các tổ chức, doanh nghiệp, bao gồm các doanh nghiệp sản xuất và kinh doanh các thiết bị, giải pháp kỹ thuật về an toàn, an ninh mạng và các doanh nghiệp cung cấp giải pháp, dịch vụ mạng, nội dung số, giải pháp công nghệ…. Các quy định được đề xuất trong dự thảo Luật sẽ có thể làm gia tăng chi phí hoạt động cho các doanh nghiệp này, gồm có: chi phí tuân thủ, chi phí giấy phép và thủ tục hành chính.
Ví dụ: Chi phí đánh giá và báo cáo an ninh mạng định kỳ, chi phí thẩm định an ninh mạng đối với dịch vụ an toàn thông tin (khoản 2b điều 10); chi phí xác thực thông tin người dùng… và có thể phát sinh thêm các loại giấy phép: giấy phép kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin (điều 24), giấy chứng nhận giải pháp, sản phẩm hệ thông thông tin đủ điều kiện về an ninh mạng (điều 11).
Trao đổi về yêu cầu doanh nghiệp tạm dừng, dừng cung cấp sản phẩm, dịch vụ vì lý do ảnh hưởng đến an ninh quốc gia (khoản 2 điều 39), VNISA cho rằng, cần làm rõ quy trình thực thi của quy định này vì có thể tác động nghiêm trọng đến lợi ích doanh nghiệp, và trình tự thực hiện cần có quyết định từ cơ quan tư pháp chứ không phải chỉ là cơ quan hành chính.
Theo đại diện VNISA, dự thảo cũng không quy định trường hợp nào tạm ngừng, trường hợp nào ngừng cung cấp; ngừng hoặc tạm ngừng trên toàn bộ không gian mạng hay chỉ ngừng cung cấp cho một đối tượng cụ thể; thời hạn ngừng hoặc tạm ngừng là bao lâu. Dự thảo không quy định rõ cơ quan có thẩm quyền trong việc yêu cầu ngừng hoặc tạm ngừng cung cấp thiết bị số, dịch vụ mạng, ứng dụng.
Hiện nay, phần lớn các doanh nghiệp khởi nghiệp công nghệ chỉ cung cấp một ứng dụng, dịch vụ duy nhất nên việc tạm ngừng cung cấp ứng dụng, dịch vụ đó cũng cũng tương đương với việc tạm ngừng kinh doanh. Dự thảo cũng không quy định rõ về việc giải quyết quyền lợi của doanh nghiệp trong trường hợp doanh nghiệp phải tạm ngừng hoặc ngừng cung cấp dịch vụ, ứng dụng của mình cho khách hàng.
Đồng thời, về vấn đề kiểm tra, đánh giá an ninh mạng, Hiệp hội An toàn thông tin Việt Nam cho rằng, theo quy định của dự thảo Luật (điều 24), lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an được trao quyền kiểm tra, đánh giá an ninh mạng bao gồm cả những hệ thống thông tin không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
Theo khoản 3c điều 12, đối tượng bị kiểm tra, đánh giá bao gồm cả “thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin”. Như vậy, khả năng xâm phạm bí mật kinh doanh, bí mật người dùng dịch vụ, ứng dụng của doanh nghiệp hoàn toàn có thể xảy ra. Kết quả kiểm tra và việc sử dụng kết quả kiểm tra theo quy định hiện nay của Dự thảo được bảo vệ theo quy định của pháp luật bảo vệ bí mật Nhà nước. Tuy nhiên, dự thảo Luật bảo vệ bí mật nhà nước cũng không quy định vấn đề này.
“Việc trao cho lực lượng chuyên trách an ninh mạng đánh giá, kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin của các cơ quan, tổ chức không thuộc danh mục hệ thống thông tin quan trọng về an ninh quốc gia là chưa phù hợp, cần được xem xét lại”, Hiệp hội An toàn thông tin Việt Nam lưu ý.
Ngoài ra, về vấn đề xác minh thông tin, xác định chủ thể đăng ký tài khoản số, VNISA cho rằng, trong giai đoạn hiện nay, hầu hết các doanh nghiệp kinh doanh hay sử dụng các giải pháp công nghệ đều cung cấp tài khoản số cho người dùng. Phạm vi điều chỉnh: “Doanh nghiệp cung cấp dịch vụ mạng; ứng dụng mạng” có thể bao trùm lên hầu hết các chủ thể có giao dịch, thực hiện trao đổi thông tin qua kênh số hóa. Nếu bắt buộc phải xác minh, xác định chủ thể rộng như thế này sẽ làm phát sinh chi phí không cần thiết. Cần phân cấp mức độ quan trọng của tài khoản người dùng để có yêu cầu bảo vệ thông tin phù hợp chứ không yêu cầu xác minh toàn bộ như dự thảo hiện nay.