Ngày 12/6, dự thảo Luật An ninh mạng chính thức được Quốc hội thông qua. 

luat an ninh mang
Những quy định mới trong Luật An ninh mạng có giúp hệ thống an toàn trước những cuộc tấn công mạng (network attack)? (Ảnh minh họa/Getty Images)

Theo kết quả biểu quyết công bố, 466 đại biểu tham gia, 423 đại biểu bấm nút tán thành (86,86%), 15 đại biểu không tán thành (3,08%), 28 đại biểu không biểu quyết (5,75%).

Trước đó, tới ngày 29/5 – phiên thảo luận lần cuối về dự luật, 18 đại biểu đăng đàn nêu lên nhiều ý kiến băn khoăn trước những quy định về  yêu cầu đặt cơ quan đại diện và lưu trữ dữ liệu người sử dụng Việt Nam trên lãnh thổ Việt Nam, việc kiểm tra an ninh mạng, xử lý vi phạm, vai trò của lực lượng chuyên trách thuộc Bộ Công an…

Giải trình cuối phiên họp, Thượng tướng Võ Trọng Việt, Chủ nhiệm Uỷ ban Quốc phòng An ninh, ba lần đề nghị Quốc hội “cho giữ như dự thảo Luật“.

Với việc chính thức được thông qua, Luật An ninh mạng sẽ bắt đầu có hiệu lực từ ngày 1/1/2019. Tuy nhiên, những nội dung nào cần chú ý?

Theo định nghĩa khái niệm của bộ luật, “An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân”; “Bảo vệ an ninh mạng là phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm an ninh mạng”.

Bảo đảm an ninh mạng thực chất là bảo vệ hệ thống khỏi những cuộc tấn công trên không gian mạng (network attack). Thực tế, Việt Nam gặp nhiều sự cố an ninh mạng, như năm 2014, hệ thống máy tính của Bộ TN&MT bị hacker xâm nhập; năm 2016, TPBank bị xâm nhập, đánh cắp 1,1 triệu USD; tháng 7/2016 và tháng 3/2017, website sân bay Tân Sơn Nhất bị hacker tấn công; tháng 4/2018, 160 triệu tài khoản của VNG – công ty game và Internet lớn nhất Việt Nam bị lộ, thông tin cá nhân của gần 75 triệu tài khoản người dùng bị tung lên mạng.

Việc định nghĩa “an ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia” không giúp bảo vệ Việt Nam khỏi những vụ tấn công nói trên, thay vào đó, sẽ nhắm mục tiêu tới tất cả những  hoạt động trên không gian mạng gây phương hại đến an ninh quốc gia.

Quy định về những nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế  cần phòng ngừa, xử lý (Điều 16) không phải là giải pháp để bảo vệ dữ liệu, ngăn tấn công mạng. Theo thư kiến nghị gửi Quốc hội, Thủ tướng về Luật An ninh mạng, nhóm chuyên gia do GS Đặng Hữu thay mặt nhận định nhận định: Pháp lý không phải là công cụ hữu quả để chống lại các vụ tấn công mạng. Thực tế, đảm bảo an ninh mạng là vấn đề chuyên môn kỹ thuật và pháp lý, đặt trên cơ sở tôn trọng phát triển kinh tế và tự do của người dân.

Khoản 2 Điều 26 về đảm bảo an ninh thông tin trên không gian mạng quy định doanh nghiệp trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm:

a) Xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng;

b) Ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này trên dịch vụ hoặc hệ thống thông tin do cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ TT&TT và lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ;

c) Không cung cấp hoặc ngừng cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ TT&TT.

Theo nội dung quy định, Bộ Công An hoặc cơ quan có thẩm quyền của Bộ TT&TT có quyền can thiệp vào dữ liệu cá nhân, việc sử dụng dịch vụ trên mạng Internet mà không cần có sự đồng ý của cá nhân đó. Điều này khiến các doanh nghiệp đi ngược với cam kết đảm bảo quyền bí mật thông tin cho khách hàng.

Bộ Công an hoặc cơ quan có thẩm quyền của Bộ TT&TT được trao quyền can thiệp vào quyền riêng tư về dữ liệu cá nhân, sử dụng dịch vụ trên mạng Internet của người dân – điều này xâm phạm vào quyền riêng tư của cá nhân, bí mật an toàn thư tín, vốn được bảo vệ bởi Hiến pháp: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình; Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác” (Điều 21).

Theo Bộ luật tố tụng hình sự năm 2015, chứng cứ là do cơ quan tố tụng xác định và tiến hành thu thập. Luật An ninh mạng chưa định rõ dữ liệu nào là thông tin quan trọng về an ninh quốc gia; Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ được giao quyền thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, thay vì các cơ quan chuyên trách về khoa học công nghệ.

Một khoản chi phí khổng lồ của xã hội sẽ phải chi dùng cho bộ máy “chuyên trách an ninh mạng”. Hiện lực lượng chuyên trách bảo vệ an ninh mạng đã được tổ chức, bố trí tại Bộ Công an, Bộ Quốc phòng, còn ở các bộ, ngành khác và địa phương thì bố trí lực lượng bảo vệ an ninh mạng.

Hệ thống thông tin quan trọng về an ninh quốc gia do Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ, các Bộ, ngành chức năng trong việc thực hiện các hoạt động thẩm định, đánh giá, kiểm tra, giám sát. Danh mục hệ thống thông tin quan trọng về an ninh quốc gia do Thủ tướng Chính phủ ban hành và sửa đổi, bổ sung (Khoản 2, 3, 4 Điều 10).

Hệ thống thông tin của cơ quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, do lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an tiến hành kiểm tra (Điều 24).

Khoản 3 Điều 26 quy định về việc “lưu trữ tại Việt Nam thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam và các dữ liệu quan trọng liên quan đến an ninh quốc gia”. Điều này đồng nghĩa với việc cô lập không gian mạng trong phạm vi Việt Nam.

Về góc độ kỹ thuật, yêu cầu này có thể sẽ khó khả thi vì các chủ sở hữu mạng khác nhau có chuẩn công nghệ với mức độ bảo mật khác nhau. Về hiệu quả kinh tế, chỉ riêng yêu cầu báo cáo, đánh giá – đi kèm với phê duyệt, chấp thuận – sẽ làm tăng chi phí, nảy sinh tình trạng giấy phép con, can thiệp hành chính làm giảm sự sáng tạo, tốn thời gian gây mất lợi thế cạnh tranh của doanh nghiệp CNTT, khó ứng dụng thành tựu CNTT luôn cập nhật của thế giới. Theo tính toán của Trung tâm Nghiên cứu kinh tế chính trị châu Âu (ECIPE), chỉ riêng yêu cầu “địa phương hóa” dữ liệu có thể khiến GDP của Việt Nam sụt giảm 1,7%, đầu tư nước ngoài giảm 3,1%.

Theo các chuyên gia quản lý CNTT, để bảo vệ an ninh mạng quốc gia, Việt Nam đã có 4 cơ quan: Cục cảnh sát phòng chống tội phạm công nghệ cao; Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT), Ban Cơ yếu Chính phủ, và Bộ tư lệnh tác chiến không gian mạng để ứng phó với tấn công mạng từ bên ngoài lãnh thổ. Nâng cao giải pháp kỹ thuật và nhân lực con người trong các cơ quan chuyên trách là hướng đi đúng đắn để bảo vệ an ninh mạng quốc gia.

An toàn không có nghĩa là siết lại phát triển và tự do để kiểm soát. Bảo đảm an ninh mạng không đồng nghĩa với việc gây nguy cơ xâm phạm quyền bảo mật thông tin, cũng như hạn chế tiếng nói phản biện trong xã hội. Giải quyết vấn đề tấn công mạng, bảo vệ an toàn Internet, đặt sự phát triển của Internet, kinh tế số và xã hội thông tin Việt Nam – đó mới là điều để tăng cường phát triển dựa trên tính minh bạch và trao đổi thông tin trong xã hội.

Vĩnh Long

Xem thêm: