Góp ý Dự thảo Nghị định Luật An ninh mạng:

Có nên dùng nhiều biện pháp quản lý mang tính tiền kiểm?

VietTimes - Nghiên cứu Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng, Hội Truyền thông số Việt Nam (VDCA) nhận định Dự thảo Nghị định còn đưa ra nhiều biện pháp quản lý mang tính tiền kiểm (thẩm định, kiểm tra, đánh giá, chứng nhận). Việc này sẽ dẫn đến phát sinh thêm các thủ tục hành chính, làm tăng thêm chi phí cho hoạt động của doanh nghiệp, đặc biệt là đối với doanh nghiệp vừa và nhỏ và doanh nghiệp khởi nghiệp.
Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng được Bộ Công an tổ chức lấy ý kiến ý kiến đóng góp từ cuối năm 2018.
Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng được Bộ Công an tổ chức lấy ý kiến ý kiến đóng góp từ cuối năm 2018.

Hội Truyền thông số Việt Nam (VDCA) vừa gửi đến Bộ Công an văn bản Góp ý Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng.

Trước tiên, VDCA khẳng định luôn ủng hộ những nỗ lực của Chính phủ trong việc xây dựng khung pháp lý về an ninh mạng và an toàn thông tin. “VDCA hoan nghênh Cơ quan chủ trì soạn thảo (Bộ Công an) đã công bố Dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng”, văn bản nhấn mạnh.

Cũng theo đánh giá của đại diện Ban Thường vụ Hội, Dự thảo Nghị định đã nêu rất rõ phạm vi quy định và có nhiều nội dung quy định chi tiết, rõ ràng quyền và trách nhiệm của các bên liên quan trong các hoạt động trên mạng.

Tuy nhiên, với mong muốn các quy định tại Dự thảo Nghị định giúp đảm bảo an ninh mạng mà không có thêm thủ tục hành chính không cần thiết, không giúp tăng cường an ninh mạng và làm tăng thêm chi phí cho hoạt động của doanh nghiệp, đặc biệt là đối với doanh nghiệp vừa và nhỏ và doanh nghiệp khởi nghiệp, VDCA đưa ra một số góp ý cụ thể để Cơ quan soạn thảo xem xét, cân nhắc.

Nguy cơ phát sinh các thủ tục hành chính

VDCA cho rằng Dự thảo Nghị định còn đưa ra nhiều biện pháp quản lý mang tính tiền kiểm (thẩm định, kiểm tra, đánh giá, chứng nhận). Việc này sẽ dẫn đến phát sinh thêm các thủ tục hành chính.

Cụ thể như tại điều 17 về Thẩm định an ninh mạng, hồ sơ thẩm định yêu cầu báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công trước khi phê duyệt.

“Tuy nhiên, các hồ sơ này theo quy định của pháp luật về đầu tư chưa hướng dẫn các nội dung về an ninh thông tin. Vậy cơ quan thẩm định sẽ thẩm định nội dung gì ở các hồ sơ này? Việc thẩm định hồ sơ không có tiêu chí, yêu cầu cụ thể sẽ không mang lại hiệu quả”, VDCA đặt vấn đề.

Cũng tại khoản 2 điểm d Điều 18 quy định việc cấp “Giấy chứng nhận đủ điều kiện an ninh mạng” trước khi đưa hệ thống vào sử dụng. Theo VDCA nhận định, việc này sẽ dẫn tới một số vấn đề.

Trường hợp hệ thống thông tin đủ điều kiện an ninh mạng, vậy khi có sự cố, vấn đề đối với hệ thống thì đơn vị nào là bên chịu trách nhiệm - Bộ Công an hay Chủ quản hệ thống thông tin? Với trường hợp không đủ điệu kiện thì lực lượng chuyên trách yêu cầu “bổ sung, nâng cấp”. Việc bổ sung, nâng cấp liên quan đến đầu tư và không thể thực hiện trong thời gian ngắn. Vậy hệ thống không thể đưa vào hoạt động cho đến khi đủ điều kiện. Việc này là không thực tế và khả thi.

Bên cạnh đó, “hồ sơ đề nghị chứng nhận đủ điều kiện yêu cầu có hồ sơ giải pháp bảo đảm an ninh mạng. Các yêu cầu về điều kiện an ninh mạng còn tương đối chung chung, định tính nhiều, tham chiếu cả các tiêu chuẩn, quy chuẩn về an toàn thông tin mạng nhưng lại không chỉ ra tiêu chuẩn cụ thể nào. Việc này sẽ rất khó để xác định một hệ thống thế nào là đủ điều kiện an ninh mạng”, VDCA phản biện.

Thêm nữa VDCA cho rằng, về mặt hồ sơ thẩm định và đánh giá là không thống nhất. Yêu cầu về hồ sơ tại Điều 11 là phương án bảo đảm an toàn thông tin. Trong khi yêu cầu tại Điều 18 lại là hồ sơ giải pháp bảo đảm an ninh mạng. Như vậy chủ quản hệ thống thông tin phải xây dựng hai hồ sơ khác nhau để thực hiện cùng một nội dung thẩm định hay đánh giá.

Do đó việc thẩm định, kiểm tra nên đồng bộ với việc thẩm định Hồ sơ đề xuất cấp độ theo Luật An toàn thông tin để không phát sinh thêm thủ tục hành chính. Các yêu cầu bảo đảm an ninh mạng phải rõ ràng để đánh giá được hệ thống có đủ điều kiện hay không.

Không những thế, việc thẩm định, kiểm tra hồ sơ nên chỉ tập trung đánh giá vào mặt phương án mà không nên đánh giá hệ thống đủ điều kiện hay không.

Ngoài ra, việc kiểm tra, đánh giá bảo đảm an ninh mạng phải thực hiện dựa trên nguyên tắc đánh giá phương án quản lý và giảm thiểu rủi ro của hệ thống trên cơ sở tham khảo kinh nghiệm, tiêu chuẩn, thông lệ quốc tế.

Lưu trữ dữ liệu bao lâu là phù hợp?

Riêng về thời gian lưu trữ dữ liệu được quy định tại Điều 26 của dự thảo, VDCA cho rằng nên có yêu cầu linh hoạt tùy thuộc vào loại dữ liệu cần phải lưu trữ. Trong khi đó, tại Điều 26 của dự thảo quy định thời gian lưu trữ dữ liệu tối thiểu kéo dài từ 36 tháng tới toàn bộ thời gian hoạt động của doanh nghiệp. Thời gian lưu trữ bắt buộc quá dài sẽ tạo ra gánh nặng chi phí cho các doanh nghiệp, đặc biệt là đối với các doanh nghiệp vừa và nhỏ hoặc doanh nghiệp khởi nghiệp.

VDCA đề nghị Cơ quan soạn thảo xem xét quy định về lưu trữ dữ liệu chỉ nên áp dụng đối với những trường hợp vi phạm nghiêm trọng hoặc hành vi vi phạm tái diễn nhiều lần. Trong những trường hợp như vậy, cơ quan soạn thảo nên cân nhắc rút ngắn thời gian lưu trữ dữ liệu bằng việc xác định một khoảng thời gian lưu trữ dữ liệu tối đa và hợp lý cũng như cân nhắc những chi phí liên quan việc thực hiện quy định này.

Ở góc nhìn tổng thể, VDCA nhận định, nội dung dự thảo các văn bản hướng dẫn Luật An ninh mạng có một số nội dung giao thoa với Luật An toàn thông tin mạng, đặc biệt ở góc độ kỹ thuật. Điều này dẫn tới cùng một việc, chủ quản hệ thống thông tin phải thực hiện nhiều lần. Ví dụ như các quy định về thẩm định, kiểm tra và giám sát hệ thống thông tin.

“Do đó, đối với những nội dung có giao thoa, đối tượng bị điều chỉnh bởi cả Luật An toàn thông tin mạng và Luật An ninh mạng cần đồng bộ các văn bản hướng dẫn áp dụng theo nguyên tắc: Các cơ quan quản lý nhà nước phối hợp với nhau theo hướng một việc chủ quản hệ thống thông tin chỉ phải thực hiện một lần, giảm thiểu thủ tục hành chính.

Những hệ thống thông tin không phải là hệ thống thông tin quan trọng về an ninh quốc gia là các hệ thống thông tin thuộc lĩnh vực dân sự và đã được điều chỉnh tại Luật An toàn thông tin mạng. Do đó đề nghị bỏ các quy định đối với Chủ quản hệ thống thông tin không thuộc danh mục hệ thống thông tin quan trọng quốc gia tại các Điều 17, 18 và 19 của Dự thảo Nghị định”, VDCA đề xuất.

Ngoài ra, văn bản của VDCA cũng có nhiều nội dung góp ý liên quan việc kiểm tra an ninh mạng, xác định phạm vi hệ thống thông tin quan trọng liên quan đến an ninh quốc gia, quy định về việc lưu trữ dữ liệu,…

Được biết, Dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng gồm 06 chương, 30 điều. Theo Bộ Công an, các nội dung này quy định rất cụ thể, trọng tâm về các vấn đề được giao xây dựng, trong đó tập trung chủ yếu vào xác định căn cứ xác lập, điều kiện và cơ chế phối hợp bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; vấn đề lưu trữ dữ liệu và đặt văn phòng đại diện tại Việt Nam.

Xin mời theo dõi toàn văn nội dung VDCA góp ý Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng tại đây.

Trước đó, Luật An ninh mạng được Quốc hội khóa XIV thông qua ngày 12/6 vừa qua tại kỳ họp thứ năm và vừa có hiệu lực thi hành kể từ ngày 1/1/2019. Luật An ninh mạng gồm 7 Chương 43 Điều quy định những nội dung cơ bản về bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; phòng ngừa, xử lý hành vi xâm phạm an ninh mạng; triển khai hoạt động bảo vệ an ninh mạng và quy định trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.