Hiệp hội An toàn thông tin Việt Nam - VNISA vừa tiếp tục có văn bản góp ý cho dự thảo Luật An ninh mạng (ANM). Hiện dự thảo Luật này đang được đưa ra thảo luận tại kỳ họp thứ 5 Quốc hội khóa XIV.
Theo VNISA, việc xây dựng, ban hành Luật ANM là hết sức cần thiết nhằm phòng ngừa, ứng phó với các nguy cơ đe dọa ANM, khắc phục tồn tại, hạn chế liên quan bảo vệ ANM, góp phần thể chế hóa đầy đủ, kịp thời các chủ trương, đường lối của Đảng về ANM và hoàn thiện hệ thống pháp luật trong lĩnh vực bảo vệ thông tin. Tuy nhiên, một số nội dung của dự thảo Luật ANM có tác động tới hoạt động của các tổ chức, doanh nghiệp cung cấp sản phẩm, dịch vụ trong lĩnh vực CNTT, an toàn thông tin (ATTT) và các tổ chức, cá nhân tham gia hoạt động trên không gian mạng. Bởi vậy, là một Hiệp hội nghề nghiệp trong lĩnh vực ATTT, trên cơ sở trao đổi, thảo luận với một số Hiệp hội trong lĩnh vực ICT, VNISA góp ý cụ thể về dự thảo Luật ANM tập trung vào 6 điểm chính.
Đề xuất co hẹp phạm vi điều chỉnh của Luật ANM
Cụ thể, về phạm vi điều chỉnh của Luật ANM, VNISA nêu, theo dự thảo, phạm vi điều chỉnh của Luật khá rộng, gần như bao quát hết các vấn đề liên quan tới bảo vệ ANM và các hoạt động trên không gian mạng, bởi vậy dễ trùng lặp về nội dung và chồng chéo về thẩm quyền quản lý nhà nước với các văn bản luật khác đang hiện hành như Luật An toàn thông tin mạng (ATTTM), Luật Cơ yếu, Luật CNTT...
“Đặc biệt, phạm vi điều chỉnh của Dự thảo Luật phải có sự phân định rõ ràng với một đạo luật cùng lĩnh vực là Luật ATTTM. Bên cạnh đó, việc bao quát một phạm vi rộng về bảo vệ ANM trong 1 văn bản luật cũng dễ gây ra tình trạng chưa quy định hết các tình huống xảy ra và biện pháp giải quyết. Theo đó, dự thảo luật hiện nay nên co hẹp lại, chỉ điều chỉnh trách nhiệm cụ thể của đảm bảo ANM trong khu vực Nhà nước. Trọng tâm chính là luật hóa trách nhiệm giữa các cơ quan nhà nước, cách thức điều phối, phối hợp giữa các bộ ngành, cơ quan, tổ chức nhà nước trong bảo vệ hạ tầng ANM quốc gia; bảo vệ ANM trong nội bộ cơ quan nhà nước. Các vấn đề còn lại nên quy định ở một đạo luật khác, được nghiên cứu và chuẩn bị kỹ hơn”, VNISA nêu.
Cần cụ thể hóa danh mục hệ thống tin quan trọng về ANQG ngay trong luật
Với vấn đề “hệ thống thông tin quan trọng về an ninh quốc gia (ANQG)”, VNISA nhận định, đây là một trong những khái niệm trọng tâm nhất liên quan đến đối tượng điều chỉnh và chịu tác động của luật (Điều 9) nên cần được xây dựng định nghĩa thống nhất giữa các văn bản pháp luật. Quyền và nghĩa vụ pháp lý cụ thể của doanh nghiệp gắn bó chặt chẽ với định nghĩa cụ thể của khái niệm này.
Cũng theo VNISA, hiện danh mục hệ thống thông tin quan trọng quốc gia đang được đề xuất chờ Chính phủ quy định. Danh mục này cần phải được cụ thể hóa ngay trong luật để từ đó có xác định rõ ràng phạm vi và đối tượng điều chỉnh, giúp xác định được tổ chức, cá nhân sở hữu hệ thống thông tin nào sẽ bị tác động và tác động như thế nào. Thêm vào đó, sự trùng lặp trong quy định về hệ thống thông tin giữa 2 luật “Luật ATTTM” và dự thảo Luật cần được xem xét cụ thể.
Khi Luật ANM được thực thi, trong lĩnh vực bảo vệ thông tin sẽ cùng tồn tại hai hệ thống phân loại đối với các hệ thống thông tin quan trọng đối với quốc gia. Việc này sẽ gây khó khăn cho chủ quản hệ thống thông tin trong việc xác định và đưa ra biện pháp bảo vệ cho hệ thống thông tin của đơn vị mình, gây sự chồng chéo trong quản lý nhà nước giữa Bộ TT&TT và Bộ Công an. Nhiều chủ quản hệ thống thông tin sẽ phải thực hiện đồng thời các quy định về thẩm định, kiểm tra, đánh giá, giám sát… theo sự quản lý của Bộ TT&TT và Bộ Công an theo quy định của cả 2 luật.
Lo ngại gia tăng chi phí và thủ tục phải tuân thủ với doanh nghiệp
Góp ý của VNISA cũng cho hay, một số nội dung của dự thảo Luật ANM có liên quan tới hoạt động của các tổ chức, doanh nghiệp, bao gồm các doanh nghiệp sản xuất và kinh doanh các thiết bị, giải pháp kỹ thuật về an toàn, ANM và các doanh nghiệp cung cấp giải pháp, dịch vụ mạng, nội dung số, giải pháp công nghệ…. Các quy định được đề xuất trong dự thảo Luật sẽ có thể làm gia tăng chi phí hoạt động cho các doanh nghiệp này, gồm có: chi phí tuân thủ, chi phí giấy phép và thủ tục hành chính. Ví dụ: chi phí đánh giá và báo cáo ANM định kỳ, chi phí thẩm định ANM đối với dịch vụ an toàn thông tin (khoản 2b Điều 10); chi phí xác thực thông tin người dùng… và có thể phát sinh thêm các loại giấy phép: giấy phép kiểm tra, đánh giá ANM đối với hệ thống thông tin (Điều 24), giấy chứng nhận giải pháp, sản phẩm hệ thống thông tin đủ điều kiện về ANM (Điều 11).
Kiến nghị làm rõ quy trình yêu cầu doanh nghiệp tạm dừng, dừng cung cấp dịch vụ
Đề cập đến yêu cầu doanh nghiệp tạm dừng, dừng cung cấp sản phẩm, dịch vụ vì lý do ảnh hưởng đến an ninh quốc gia được quy định tại khoản 2 Điều 39 của dự thảo Luật ANM, VNISA kiến nghị cần làm rõ quy trình thực thi của quy định này vì có thể tác động nghiêm trọng đến lợi ích doanh nghiệp, và trình tự thực hiện cần có quyết định từ cơ quan tư pháp chứ không phải chỉ là cơ quan hành chính.
“Dự thảo luật ANM cũng không quy định trường hợp nào tạm ngừng, trường hợp nào ngừng cung cấp; ngừng hoặc tạm ngừng trên toàn bộ không gian mạng hay chỉ ngừng cung cấp cho một đối tượng cụ thể; thời hạn ngừng hoặc tạm ngừng là bao lâu. Dự thảo không quy định rõ cơ quan có thẩm quyền trong việc yêu cầu ngừng hoặc tạm ngừng cung cấp thiết bị số, dịch vụ mạng, ứng dụng. Hiện nay, phần lớn các doanh nghiệp khởi nghiệp công nghệ chỉ cung cấp một ứng dụng, dịch vụ duy nhất nên việc tạm ngừng cung cấp ứng dụng, dịch vụ đó cũng cũng tương đương với việc tạm ngừng kinh doanh. Dự thảo cũng không quy định rõ về việc giải quyết quyền lợi của doanh nghiệp trong trường hợp doanh nghiệp phải tạm ngừng hoặc ngừng cung cấp dịch vụ, ứng dụng của mình cho khách hàng”, đại diện VNISA phân tích.
Khả năng xâm phạm bí mật kinh doanh, bí mật người dùng?
Góp ý về quy định kiểm tra, đánh giá ANM, VNISA cho rằng, theo quy định của dự thảo Luật (Điều 24), lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an được trao quyền kiểm tra, đánh giá ANM bao gồm cả những hệ thống thông tin không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Theo khoản 3c Điều 12, đối tượng bị kiểm tra, đánh giá bao gồm cả “thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin”. Như vậy, khả năng xâm phạm bí mật kinh doanh, bí mật người dùng dịch vụ, ứng dụng của doanh nghiệp hoàn toàn có thể xảy ra. Kết quả kiểm tra và việc sử dụng kết quả kiểm tra theo quy định hiện nay của Dự thảo được bảo vệ theo quy định của pháp luật bảo vệ bí mật Nhà nước. Tuy nhiên, dự thảo Luật bảo vệ bí mật nhà nước cũng không quy định vấn đề này.
“Việc trao cho lực lượng chuyên trách ANM đánh giá, kiểm tra, đánh giá ANM đối với hệ thống thông tin của các cơ quan, tổ chức không thuộc danh mục hệ thống thông tin quan trọng về ANQG là chưa phù hợp, cần được xem xét lại”, VNISA kiến nghị.
Vấn đề xác minh thông tin, xác định chủ thể đăng ký tài khoản số
VNISA cũng nhận định, trong giai đoạn hiện nay, hầu hết các doanh nghiệp kinh doanh hay sử dụng các giải pháp công nghệ đều cung cấp tài khoản số cho người dùng. Phạm vi điều chỉnh: “doanh nghiệp cung cấp dịch vụ mạng; ứng dụng mạng” của dự thảo Luật ANM có thể bao trùm lên hầu hết các chủ thể có giao dịch, thực hiện trao đổi thông tin qua kênh số hóa.
VNISA góp ý: “Nếu bắt buộc phải xác minh, xác định chủ thể rộng như thế này sẽ làm phát sinh chi phí không cần thiết. Cần phân cấp mức độ quan trọng của tài khoản người dùng để có yêu cầu bảo vệ thông tin phù hợp chứ không yêu cầu xác minh toàn bộ như dự thảo hiện nay”.