Sau 14 lần chỉnh sửa, Dự thảo Luật An ninh mạng đã được trình Quốc hội tại kỳ họp Quốc hội thứ 4 và dự kiến được thông qua trong kỳ họp Quốc hội thứ 5 vào cuối tháng 5, đầu tháng 6/2018. Đến thời điểm này có hai kịch bản xảy ra, một là Dự thảo Luật sẽ được yêu cầu bổ sung và chưa được thông qua trong kỳ họp tới; hai là Dự thảo Luật sẽ được thông qua như dự kiến và sẽ được chỉnh sửa, bổ sung sau một thời gian áp dụng trong thực tế.
Tại Hội thảo góp ý hoàn thiện Dự thảo Luật An ninh mạng do VCCI tổ chức gần đây, ông Vũ Tú Thành -- Phó Giám đốc điều hành Khu vực của Hội đồng kinh doanh Hoa Kỳ - ASEAN cho rằng có sự tự mâu thuẫn trong Dự thảo Luật này. Khi một mặt yêu cầu đòi hỏi nhà cung cấp dịch vụ Internet phải xác thực thông tin người dùng chính xác nhất, kèm theo hệ quả pháp lý nếu họ không thực hiện được; mặt khác, luật lại yêu cầu thông tin về người dùng Việt Nam phải được đặt máy chủ tại Việt Nam.
Như vậy, “một mặt chúng ta không cho phép thông tin người dùng của Việt Nam được đưa ra nước ngoài. Mặt khác lại yêu cầu nhà cung cấp dịch vụ (DN nước ngoài – PV) lại phải xác thực thông tin người dùng chính xác nhất có thể. Hai nguyên tắc này mâu thuẫn nhau và khó có thể cùng thực hiện”, ông Thành nói.
Về yêu cầu phải đặt máy chủ tại Việt Nam (điều 34.3), các doanh nghiệp (DN) cung cấp dịch vụ phải đặt máy chủ tại Việt Nam và đặt cơ quan đại diện tại Việt Nam, ông Thành đánh giá là chưa rõ về mục tiêu chính sách. Dẫn giải các thảo luận quốc tế về đặt máy chủ và địa phương hoá dữ liệu, ông cho rằng việc này phản ánh tư duy cũ về chủ quyền quốc gia, áp đặt tư duy trước kỷ nguyên số và nền kinh tế số.
“Việc đặt máy chủ ở đâu không quan trọng bằng quy trình đảm bảo an ninh mạng đối với dữ liệu đó. Máy chủ ở đâu cũng không có ý nghĩa gì về an ninh thông tin nếu quy trình, kỹ thuật, công nghệ không đáp ứng yêu cầu chuẩn mực. Ví dụ, máy chủ của hãng Fax là một trong những hãng lớn nhất ở Mỹ đặt máy chủ ở Mỹ cũng vẫn bị mất an ninh như bình thường.
Việc yêu cầu máy chủ tại Việt Nam không có nhiều ý nghĩa trong bảo đảm an ninh thông tin. Nếu các DN, tổ chức ở Việt Nam không được sử dụng những dịch vụ lưu trữ dữ liệu an toàn nhất để đặt dữ liệu thì còn tạo ra nguy cơ mất an ninh mạng cao hơn đối với DN, tổ chức cá nhân Việt Nam”, ông nhấn mạnh.
Từ đó, vị đại diện Hội đồng kinh doanh Hoa Kỳ - ASEAN đề nghị Ban soạn thảo xác định rõ mục tiêu chính sách của việc yêu cầu đặt máy chủ.
Theo Trung tướng Hoàng Phước Thuận, Cục trưởng Cục An ninh mạng (Bộ Công an), các vấn đề được quy định trong Luật An ninh mạng đều xuất phát từ nhu cầu cấp thiết của thực tiễn về tình hình an ninh mạng trong nước và thế giới, phát triển của công nghiệp 4.0, ứng dụng công nghệ trong đời sống xã hội. Ngoài ra, việc ban hành luật này còn nhằm thể chế hoá chủ trường, đường lối của Đảng về an ninh mạng, bảo đảm thực hiện Hiến pháp 2013 về quyền con người, quyền công dân và phù hợp thông lệ quốc tế.
Thực tiễn hiện nay đặt ra yêu cầu đấu tranh phòng chống tội phạm trên mạng, xâm phạm an ninh quốc gia, trật tự an toàn xã hội, chiếm đoạt thông tin, khủng bố mạng,… hệ thống thông tin quan trọng quốc gia, trách nhiệm của các cơ quan nhà nước, đặt nền móng triển khai biện pháp bảo đảm an ninh mạng, xây dựng cơ chế chia sẻ thông tin, khắc phục tồn tại thực tế.
“Việc xây dựng Luật này còn nhằm một mục đích đặc trưng riêng của nước ta, phòng chống các hoạt động đe doạ sự ổn định chế độ chính trị của Việt Nam. Ví dụ, rất nhiều nội dung trên Youtube, Facebook là những thông tin chính trị, liên quan đến chủ trương chính sách của Việt Nam, không chỉ mang tính thông tin vụ việc mà còn hạ thấp uy tín của lãnh đạo, uy tín của Việt Nam trên trường quốc tế. (…) Trên phương diện kinh tế, dự thảo Luật An ninh mạng cũng giải quyết nhu cầu bức thiết đặt ra”, Tướng Thuận nhấn mạnh.
Đại diện Ban soạn thảo cũng dẫn ra trường hợp Vietnam Airlines bị tin tặc tấn công như ví dụ rất cụ thể về việc các chủ thể trong nền kinh tế đang phải đối mặt với nguy cơ tấn công trên môi trường mạng và nếu chúng ta không nhanh chóng có quy định chặt chẽ, cụ thể thì có thể gây ra thảm hoạ.
Trung tướng Hoàng Phước Thuận cũng cho biết, một yêu cầu nữa vừa mang tính kinh tế, vừa mang tính quản lý nhà nước là mất kiểm soát về an toàn, an ninh mạng. Hệ thống hạ tầng thông tin của Việt Nam sử dụng nhiều thiết bị của các công ty nước ngoài, có những trường hợp công ty chưa có uy tín. Những thiết bị này không chỉ ở hạ tầng, dịch vụ lõi, mà còn ở cá nhân, hộ gia đình. Nếu chất lượng thiết bị không bảo đảm thì mỗi thiết bị đều có thể trở thành nguồn tấn công mạng, thu thập thông tin, nguy cơ mất kiểm soát rất lớn, bởi trong thời đại IoT hiện nay, nồi cơm điện, tủ lạnh hay các thiết bị gia dụng cũng có thể kết nối mạng.
Ngoài ra, nhiều chuyên gia cho rằng dự thảo Luật An ninh mạng và Luật an toàn thông tin mạng có một số nội dung trùng nhau về nội hàm, dù câu chữ có thể khác nhau nhưng nội hàm đều hướng tới bảo vệ thông tin và hệ thống thông tin, dẫn đến việc phạm vi điều chỉnh, đối tượng áp dụng là trùng nhau nhưng các quy định quản lý, trách nhiệm của tổ chức, cá nhân liên quan là khác nhau do điều chỉnh bởi 2 luật khác nhau.
Ông Vũ Quốc Thành – Phó chủ tịch Hiệp hội An toàn thông tin Việt Nam (VNISA) cho biết, trong dự thảo Luật quy định về Hệ thống thông tin quan trọng về an ninh quốc gia và định nghĩa, đó “là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội”. Bên cạnh đó, trong Luật An toàn thông tin mạngcó quy định về Hệ thống thông tin quan trọng quốc gia và trách nhiệm bảo đảm an toàn cho hệ thống thông tin quan trọng quốc gia. Như vậy, trong cùng lĩnh vực bảo vệ thông tin và hoạt động trên không gian mạng sẽ cùng tồn tại hai hệ thống phân loại về các hệ thông thông tin quan trọng đối với quốc gia.
Hiện nay, tiêu chí xác định và phân loại của Hệ thống thông tin quan trọng quốc gia đã được nhà nước quy định. Vì vậy việc xác định tiêu chí, phân loại và xây dựng danh mục của Hệ thống thông tin quan trọng về an ninh quốc gia nên xem xét để có sự dẫn chiếu, tương đồng giữa hai hệ thống phân loại, tránh tình trạng có sự mâu thuẫn giữa các văn bản quy định của nhà nước.
“Bởi vì, việc có hai hệ thống phân loại khác biệt nhau với mục đích bảo vệ thông tin cho cùng một đối tượng sẽ gây khó khăn cho chủ quản hệ thống thông tin trong việc xác định và đưa ra biện pháp bảo vệ cho hệ thống thông tin của đơn vị mình, gây sự chồng chéo trong quản lý nhà nước”, ông Thành nói thêm.
Trước thực tế Luật An ninh mạng đang vấp phải những ý kiến trái chiều từ cộng đồng DN và người dân, nhằm thông tin tới các DN trong lĩnh vực công nghệ, truyền thông và nội dung số về những tác động của Dự thảo Luật An ninh mạng đến ngành, cũng như thu thập ý kiến phản hồi của DN, góp ý cho các cơ quan liên quan đến xây dựng dự thảo Luật, Viện Chính sách và Phát triển truyền thông – Hội truyền thông số Việt Nam phối hợp tổ chức Toạ đàm khoa học: “Luật An ninh mạng và tác động đến các ngành công nghệ, truyền thông và nội dung số: Đánh giá và kiến nghị chính sách” vào 13h30 hôm nay (21/11) tại Khách sạn Công đoàn, số 14 Trần Bình Trọng, Hoàn Kiếm, Hà Nội.