Dư luận đang có tranh luận về dự thảo Luật An ninh mạng (ANM) do Bộ Công an soạn thảo. Ở đây, tôi xin không tranh luận các khía cạnh pháp lý của vấn đề mà xin chia sẻ dưới góc độ chuyên môn về An ninh mạng hay An toàn thông tin mạng.
Cân nhắc lợi ích kinh tế
Trong dự thảo luật ANM, có những điều kiện đặt ra khiến các “ông lớn” trên môi trường mạng internet có thể sẽ cân nhắc rời khỏi Việt Nam. Theo tôi cần cân nhắc thêm về tính lợi hại của đề xuất trong dự luật.
Cụ thể, tại mục 4 điều 34 dự luật ANM đề xuất: “Các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải tuân thủ pháp luật, tôn trọng chủ quyền, lợi ích, an ninh quốc gia Việt Nam, có giấy phép hoạt động, đặt cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; bảo mật thông tin người dùng và thông tin tài khoản của người dùng; xử lý nghiêm các hành vi sai phạm theo quy định của pháp luật.”
Hiện nay các công ty như Google, Facebook, Microsoft đang cung cấp các dịch vụ Gmail, Drive, Google Plus, Youtube (Google), Facebook, Messenger (Facebook) Yahoo mail (Yahoo) , Skype (Microsoft), Viber (Rakuten) xuyên biên giới nghĩa là cung cấp dich vụ trên nền tảng đám mây (cloud) và vị trí máy chủ (server) không được xác định cụ thể với người dùng.
Những người sử dụng ở Việt Nam có thể dùng cách dịch vụ trên với máy chủ đặt ở Mỹ, Châu Âu, Châu Á. Tuy nhiên, các nhà cung cấp thường triển khai hệ thống máy chủ gần với người sử dụng. Chúng ta truy cập dịch vụ này với các máy chủ đặt khu vực lân cận như (Singapore, Hồng Kong). Google cũng đã thiết lập một số máy chủ ở Việt Nam.
Vì vậy theo dự thảo luật ANM thì các nhà cung cấp dịch vụ cần phải đầu tư hệ thống máy chủ khổng lồ tại Việt Nam mới có thể được kinh doanh. Điều này sẽ khiến họ phải cân nhắc: có hay không tiếp tục kinh doanh tại Việt Nam!
Như chúng ta đã biết, Facebook, Google bị cấm ở Trung Quốc và Cộng hòa dân chủ nhân dân Triều Tiên. Tuy nhiên hiện nay, Facebook đang tìm cách quay trở lại thị trường đông dân nhất thế giới và khả năng thỏa hiệp với các điều kiện của chính phủ Trung quốc. Đây là vấn đề kinh tế chứ không phải vấn đề chính trị.
Trong khi đó, theo công bố của Facebook và được We Are Social tổng hợp, đến tháng 7.2017, số tài khoản Facebook tại Việt Nam đạt 64 triệu, chiếm 3% trên tổng số hai tỷ thành viên trên Facebook, đứng hàng thứ 7 trên thế giới.
Vì thế, ở góc độ kinh doanh Facebook cũng sẽ cân nhắc việc có tuân thủ luật ANM không nếu dự thảo luật này được áp dụng vào thực tế. Tôi cho rằng Facebook vẫn sẽ tuân thủ luật ANM Việt Nam dựa trên các quyền lợi kinh tế của họ.
Vả lại, xét trên phương diện người sử dụng bình thường, việc các nhà cung cấp lắp đặt hệ thống máy chủ với số lượng lớn ở VN thì người dùng sẽ được lợi khi tốc độ truy cập nhanh hơn. Bởi chúng ta truy cập dịch vụ tại địa phương và không phải qua cổng quốc tế phụ thuộc cáp quang biển thường xuyên có sự cố. Đồng thời, các hiện tượng fake new, vụ khống, bịa đặt trên mạng xã hội cũng sẽ giảm.
Sao phải chia thành 2 luật?
Quy định đặt máy chủ tại Việt Nam đối với các nhà cung cấp dịch vụ xuyên biên giới như Facebook, Google chỉ là một trong những tranh cãi đến từ dự luật ANM do Bộ Công an soạn thảo. Vấn đề đáng quan tâm hơn, theo tôi, là có những nội dung dễ trùng lặp, chồng chéo về thẩm quyền quản lý nhà nước của dự luật ANM với các văn bản luật khác đang hiện hành như luật ATTTM.
Trước dự luật An ninh mạng, Quốc hội đã thông qua Luật An toàn thông tin mạng (Luật ATTTM) vào ngày 19.11.2015 và luật đã có hiệu lực từ 1.7.2016. Luật ATTTM do bộ Thông tin và Truyền Thông soạn thảo.
Có một ranh giới khá mờ giữa hai khái niệm an toàn thông tin và an ninh mạng. Về thực chất đây là hai mặt của một vấn đề bảo mật, an ninh trên không gian điều khiển (cybersecurity).
Theo chuyên môn thì an toàn thông tin (tiếng anh là Information Security) hay An ninh Mạng (Network Security) đều là lĩnh vực thuộc về “Security”, một cái đề cập đến nội dung cần phải bảo vệ (thông tin) và một cái nhấn mạnh đến phương tiện truyền dẫn thông tin (Network).
Sự trùng lặp nội dung của dự luật đang lấy ý kiến với luật ATTTM có thể nhận thấy qua một số ví dụ sau đây.
Trong mục 4 điều 12 luật ATTTM: “Bộ Thông tin và Truyền thông có trách nhiệm điều phối ứng cứu sự cố an toàn thông tin mạng trên toàn quốc; quy định chi tiết về điều phối ứng cứu sự cố an toàn thông tin mạng”.
Trong khi đó dự luật ANM là trách nhiệm của Bộ Công An tại mục 4 điều 19: “a) Chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia hoặc khi xảy ra tình huống nguy hiểm về an ninh mạng, sự cố an ninh mạng xảy ra gây ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia trên phạm vi cả nước; - b) Tham gia ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu”.
Tại dự Luật ANM mô tả chi tiết “Hệ thống thông tin quan trọng về an ninh quốc gia” trong điều 9, còn luật ATTTM “Hệ thống thông tin quan trọng quốc gia” trong điều 26.
Các vấn đề trách nhiệm bảo vệ thông tin cá nhân đều được đề cập giữa dự thảo luật ANM (điều 45, 46) và luật ATTTM (mục 2: bảo vệ thông tin cá nhân các điều 16,17,18).
Cá nhân tôi tán thành ý kiến của TS Mai Anh, đại biểu Quốc hội khóa XI, Chủ tịch Hội Tin học Viễn thông Hà Nội khi cho rằng nên tích hợp dự thảo luật An ninh mạng vào Luật An toàn thông tin mạng năm 2015 để trình Quốc hội sửa đổi Luật An toàn thông tin mạng. Đồng thời, đổi tên thành Luật An ninh mạng và an toàn thông tin trong môi trường mạng.
Trong một Chính phủ kiến tạo, các Bộ nên ngồi lại với nhau để có một luật chung, mỗi Bộ chịu trách nhiệm một mảng. Hơn là mỗi người “ôm một miếng”, rút bớt được thủ tục lại “đẻ” ra giấy phép con.