Trao đổi với VietTimes tại hội thảo "Luật An ninh mạng và tác động đến các ngành công nghệ, truyền thông và nội dung số: Đánh giá và kiến nghị chính sách" vừa diễn ra ngày 21/11 vừa qua, ông Nguyễn Quang Đồng, chuyên gia chính sách công, Viện Chính sách và Phát triển Truyền thông (IPS) - Hội Truyền thông số Việt Nam cho rằng nên điều chỉnh, bổ sung và quy định chi tiết ở các luật khác, không nên ra một luật mới với những quy định quá rộng như Dự thảo Luật An ninh mạng (LANM) hiện nay.
- Dưới góc nhìn về một chuyên gia chính sách, tôi thấy dự thảo luật này vẫn ôm đồm và chưa phân biệt được phạm vi điều chỉnh của nó. Với các tiếp cận luật như thế này, còn nhiều điều khoản chồng lấn với nhau, một số điểm còn mơ hồ, dẫn đến rủi ro khi thực hiện.
Giống như ý kiến nhiều chuyên gia lo ngại, đối với các quy định quá rộng, đến khi áp dụng, quyền lợi của doanh nghiệp sẽ bị ảnh hưởng. Như ông Trương Trọng Nghĩa đang lo ngại về giấy phép con… sẽ tác động đến doanh nghiệp.
Theo quan điểm của tôi, với vấn đề an ninh mạng có nhiều chính sách công cụ điều chỉnh khác nhau để giải quyết, không đơn thuần cần luật mới giải quyết được. Bởi vì, luật cần có những quy phạm cụ thể đến điều chỉnh hành vi và nếu không tuân theo thì phải có chế tài xử lý.
Nhưng trong dự thảo luật hiện nay chưa đáp ứng đủ những yếu tố này, tức là yếu tố quy phạm không rõ để điều chỉnh hành vi bắt đối tượng này làm cái gì, cấm cái gì và chế tài đi kèm theo vẫn chưa rõ. Như vậy, Dự thảo này đang mang dáng dấp kế hoạch tác chiến của ngành nhiều hơn là mang dáng dấp của luật.
Tôi cho rằng, đối với vấn đề như thế này, cần phải xác định trúng vấn đề chính sách rồi lựa chọn các giải pháp chính sách khác nhau, chứ không nhất thiết phải ra luật mới. Còn nếu Quốc hội vẫn muốn làm luật, nên thu hẹp luật này lại.
Các vấn đề nói xấu, bôi nhọ danh dự cá nhân trên mạng, nên chuyển sang quy định rõ ở luật hình sự, luật dân sự, luật xử phạt hành chính… Còn ở LANM chỉ nên nói về trách nhiệm của các cơ quan nhà nước trong việc quy định các trách nhiệm cụ thể và sự phối hợp giữa các cơ quan trong việc quản lý an ninh quốc gia, không cần đụng chạm quá nhiều đến doanh nghiệp.
Còn về quy chuẩn về an ninh, an toàn thông tin đã có luật an toàn thông tin điều chỉnh, không cần quy định ở luật này nữa.
- Một trong những nội dung trong dự thảo thu hút sự quan tâm của cộng đồng công nghệ Việt Nam, đó là quy định các nhà cung cấp dịch vụ mạng nước ngoài, như FaceBook, Google phải đặt máy chủ ở Việt Nam. Ông bình luận thế nào về việc này?
- Điều này không khả thi!
Giả sử các nhà cung cấp dịch vụ mạng nước ngoài không chịu đặt máy chủ ở Việt Nam thì chế tài xử phạt họ như thế nào? Rõ ràng là không thể xử phạt được các nhà cung cấp dịch vụ này. Họ vẫn đặt máy chủ ở nơi khác và người dùng Việt Nam vẫn dùng.
Như vậy chỉ còn cách dùng biện pháp kỹ thuật bóp đường truyền, can thiệp vào hệ thống đường truyền mạng chung này. Nhưng việc này sẽ ảnh hưởng đến toàn bộ đến hệ thống Internet, không chỉ riêng các nhà cung cấp dịch vụ mạng như Facebook, Google. Như vậy là không khả thi.
Tôi cho rằng hiện lợi ích của hệ thống internet quá lớn, nên việc chặn FaceBook, Google để ảnh hưởng đến internet là không nên.
- Ban soạn thảo cho biết LANM mới sẽ ra quy định chặt chẽ cho người dân, doanh nghiệp hoạt động tại Việt Nam. Thế còn mối nguy hiểm từ các đối tượng không ở Việt Nam thì sao, thưa ông?
Cái gọi là không gian mạng là không gian phi quốc gia nên chỉ có thể có chế tài xử phạt bởi các nhóm kỹ thuật cụ thể. Bây giờ, mình cần phải tiếp cận việc xử lý bằng kỹ thuật trên từng mảng, bằng luật chuyên ngành hơn là một luật tổng thể như trong nội dung Dự thảo LANM.
Còn nếu muốn tấn công mạng, ngay cả nhóm đối tượng ngồi ngoài Việt Nam vẫn có thể tấn công được. Luật này lại không chế tài được một kẻ tấn công không ở Việt Nam.
Vậy vai trò của nhà nước là gì?
Một là tuyên truyền giáo dục cho người dân về những nguy cơ của tấn công mạng. Phải đưa các tác hại của tấn công mạng vào chương trình giảng dạy của nhà trường. Bởi vì rủi ro không chỉ đến từ những kẻ ngoài xã hội, mà còn do ý thức kém của mình.
Hai là các giải pháp bảo mật về hệ thống hạ tầng an ninh quốc gia cần phải tập hợp những trí tuệ giỏi nhất để làm, chứ không thể điều chỉnh hành vi doanh nghiệp như thế này.
Một lần nữa, tôi cho rằng giải pháp xử lý các vấn đề về an toàn an ninh mạng hiện nay nằm ở chỗ khác chứ không phải nằm ở trong luật này.
- Có nhiều ý kiến cho rằng nếu giao cho Bộ Công an “bao” toàn bộ đường truyền, tiêu chuẩn, tiêu chí… thì sẽ gây ảnh hưởng thế nào đến doanh nghiệp. Ông nhận định thế nào về ý kiến này?
- Không thể nói doanh nghiệp đứng ngoài nên chỉ giao cho cơ quan quản lý “bao” toàn bộ.
Bởi vì, ví dụ như một doanh nghiệp làm về thanh toán tài chính trong hệ thống thanh toán cần kết nối với hệ thống tài chính quốc gia để thanh toán. Rõ ràng khi đã kết nối vào hệ thống tài chính quốc gia thì sẽ liên quan đến quy chuẩn kết nối như thế nào?
Quy chuẩn này, theo luật cũ, là do Bộ TT&TT đặt. Nhưng theo luật mới này, doanh nghiệp lại phải đến Bộ Quốc phòng, Bộ Công an làm thêm một chứng nhận hợp chuẩn hợp quy mới, đó là chồng chéo.
Giả sử kết quả 2 đơn vị này vênh nhau, thì đơn vị nào là đơn vị ra quyết định cuối cùng? Theo tôi, rõ ràng là làm khó doanh nghiệp.
Việc xây dựng, ban hành Luật An ninh mạng là cần thiết. Tuy nhiên, đề nghị Ban soạn thảo nghiên cứu, rà soát các nội dung trong dự thảo Luật để tránh quy định chồng chéo với các luật khác liên quan. Theo đó, cần xác định rõ vai trò, chức năng, nhiệm vụ của Bộ Quốc phòng, Bộ Công an trong dự thảo Luật.