Dự thảo nghị định yêu cầu doanh nghiệp phải đặt chi nhánh hoặc văn phòng đại diện, lưu danh sách bạn bè, số thẻ tín dụng, dữ liệu do người sử dụng dịch vụ tạo ra… tại Việt Nam. 

Không chỉ dữ liệu về thông tin cá nhân, dữ liệu bạn bè… của người sử dụng dịch vụ phải lưu trữ, mà cả nhật ký hệ thống về việc ngăn chặn, xóa bỏ các thông tin được coi là có nội dung tuyên truyền chống nhà nước, kích động bạo loạn, phá rối an ninh… cũng phải lưu trữ để thực hiện điều tra, xử lý.

luat an ninh mang
Dự thảo nghị định hướng dẫn Luật An ninh mạng vừa được công bố, có thời hạn 1 tháng để đóng góp ý kiến, ngày 1/1/2019 chính thức thi hành. (Ảnh minh họa/Shutterstock)

Bộ Công an ngày 2/11 cho biết đã hoàn tất dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng (gọi tắt là dự thảo Nghị định). Thời hạn lấy ý kiến đóng góp bắt đầu từ ngày 2/11 đến ngày 2/12/2018 (1 tháng).

Dự thảo Nghị định gồm 6 chương 30 điều, quy định chi tiết các quy định trong Luật An ninh mạng về “hệ thống thông tin quan trọng về an ninh quốc gia” và dữ liệu thuộc các doanh nghiệp trong và ngoài nước cung cấp dịch vụ mạng tại Việt Nam (các quy định tại Khoản 4 Điều 10, Khoản 5 Điều 12, Điểm d Khoản 1 Điều 23, Khoản 7 Điều 24, Điểm b Khoản 2 và Khoản 4 Điều 26, Khoản 5 Điều 36 Luật An ninh mạng).

Thế nào là “hệ thống thông tin quan trọng về an ninh quốc gia”?

Theo quy định tại Khoản 2 Điều 10 Luật An ninh mạng, hệ thống thông tin quan trọng về an ninh quốc gia bao gồm: hệ thống thông tin quân sự, an ninh, ngoại giao, cơ yếu; hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước; hệ thống thông tin phục vụ lưu giữ, bảo quản hiện vật, tài liệu có giá trị đặc biệt quan trọng; hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi trường sinh thái; hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý cơ sở vật chất đặc biệt quan trọng khác liên quan đến an ninh quốc gia; hệ thống thông tin quan trọng phục vụ hoạt động của cơ quan, tổ chức ở trung ương; hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên môi trường, hóa chất, y tế, văn hóa, báo chí; hệ thống điều khiển và giám sát tự động tại công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia.

Phần lớn danh mục trên có tính chất xác định phạm vi lĩnh vực, loại thông tin, chưa xác định rõ ràng, phân loại đâu là thông tin cơ sở, đâu là thông tin quan trọng về an ninh quốc gia. Ví dụ, trong lĩnh vực giao thông vận tải, hợp đồng dự án BOT được coi là hợp đồng dân sự (được ký giữa cơ quan nhà nước có thẩm quyền và nhà đầu tư), việc công khai thông tin hợp đồng là đúng pháp luật đối với người dân – người sử dụng, trả phí cho các dự án BOT.

Điều 3 dự thảo Nghị định về Luật an ninh mạng đã quy định cụ thể về căn cứ xác lập hệ thống thông tin quan trọng về an ninh quốc gia.

Cụ thể, hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin thuộc các lĩnh vực trên, và “khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ gây ra một trong các hậu quả sau đây:

– Trực tiếp tác động đến sự tồn tại của chế độ và Nhà nước Cộng hòa XHCN Việt Nam.

– Gây tổn hại nghiêm trọng đến quốc phòng, an ninh quốc gia; làm suy yếu khả năng phòng thủ bảo vệ Tổ quốc.

– Trở thành phương tiện thông tin, tuyên truyền chống lại chính quyền nhà nước, lật đổ chế độ.

– Gây hậu quả đặc biệt nghiêm trọng đến nền kinh tế quốc dân.

– Gây thảm họa đối với đời sống con người, môi trường sinh thái.

– Ảnh hưởng nghiêm trọng đến cơ sở hạ tầng không gian mạng quốc gia.

– Ảnh hưởng nghiêm trọng đến hoạt động của công trình xây dựng cấp I và cấp đặc biệt theo phân cấp của pháp luật về xây dựng.

– Ảnh hưởng nghiêm trọng đến hoạt động nghiên cứu, hoạch định chủ trương, chính sách thuộc phạm vi bí mật nhà nước.

– Ảnh hưởng nghiêm trọng đến sự chỉ đạo điều hành trực tiếp của các cơ quan Đảng, Nhà nước ở Trung ương.

Trừ các tác động liên quan tới kinh tế, môi trường sinh thái, đời sống con người, cơ sở hạ tầng không gian mạng, công trình xây dựng có thể thống kê con số gây thiệt hại cụ thể, để xác định có nằm trong ranh giới “gây hậu quả đặc biệt nghiêm trọng” hay “gây thảm họa”… hay không; các tác động còn lại đang nặng về định tính hơn định lượng.

Làm thế nào để xác định một hệ thống thông tin là quan trọng về an ninh quốc gia? Là khi nó “bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại” sẽ “trực tiếp tác động đến sự tồn tại của chế độ và Nhà nước Cộng hòa XHCN Việt Nam”? hoặc, “trở thành phương tiện thông tin, tuyên truyền chống lại chính quyền nhà nước, lật đổ chế độ”?

Cách định nghĩa trên là dựa trên hệ quả tác động, tức là điều chưa xảy ra, và được cho rằng nếu xảy ra sẽ gây hậu quả như trên. Tuy nhiên, xác định thế nào về mức độ “trực tiếp tác động đến sự tồn tại của chế độ” hay “gây ảnh hưởng nghiêm trọng đến sự chỉ đạo điều hành trực tiếp của các cơ quan Đảng, Nhà nước”? Tiêu chuẩn gì để phân loại thông tin “chống lại chính quyền” khác với thông tin “phản biện chính quyền”?

>> Trung Quốc đã trở nên thế nào sau khi luật An ninh mạng được thông qua?

Thông tin phải lưu trữ tại Việt Nam

Đối với doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet trên không gian mạng tại Việt Nam, dự thảo Nghị định quy định các doanh nghiệp phải lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

Dữ liệu phải lưu trữ tại Việt Nam bao gồm 19 đầu mục về Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam (gồm: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khỏe, hồ sơ y tế, sinh trắc học).

Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra, gồm: thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị.

Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam, gồm: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác. (Điều 24)

(Lưu trữ thông tin đồng bộ hoặc nhập từ thiết bị: Khi người dùng có thiết bị có thể kết nối Internet hoặc  sinh ra dữ liệu, ví dụ như điện thoại, máy tính hoặc đồng hồ thông minh, thậm chí thiết bị IoT, thì các thông tin do người dùng nhập vào các thiết bị này (ví dụ: địa chỉ, tên tuổi…) hoặc thông tin do các thiết bị này tạo ra (ví dụ: địa chỉ IP, vị trí của người dùng)… đều phải được lưu trữ ở Việt Nam)

Không chỉ các doanh nghiệp cung cấp trong các dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng phải lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Mà các doanh nghiệp có hoạt động thu thập, khai thác, phân tích, xử lý các loại dữ liệu nêu trên cũng phải lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. (Điều 25)

Về thời gian lưu trữ dữ liệu

Không chỉ dữ liệu về thông tin cá nhân, dữ liệu bạn bè… của người sử dụng dịch vụ phải lưu trữ, mà cả nhật ký hệ thống về việc ngăn chặn, xóa bỏ các thông tin được coi là có nội dung tuyên truyền chống nhà nước, kích động bạo loạn, phá rối an ninh… cũng phải lưu trữ để thực hiện điều tra, xử lý.

Theo Điều 26 dự thảo Nghị định, nhật ký hệ thống về việc ngăn chặn chia sẻ, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật An ninh mạng  phải lưu trữ trong thời hạn tối thiểu 12 tháng.

Các thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật An ninh mạng được quy định như sau:

Điều 16. Phòng ngừa, xử lý thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế

1. Thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam bao gồm:

a) Tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân;

b) Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước;

c) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc.

2. Thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng bao gồm:

a) Kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền nhân dân;

b) Kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự.

3. Thông tin trên không gian mạng có nội dung làm nhục, vu khống bao gồm:

a) Xúc phạm nghiêm trọng danh dự, uy tín, nhân phẩm của người khác;

b) Thông tin bịa đặt, sai sự thật xâm phạm danh dự, uy tín, nhân phẩm hoặc gây thiệt hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

4. Thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế bao gồm:

a) Thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín phiếu, công trái, séc và các loại giấy tờ có giá khác;

b) Thông tin bịa đặt, sai sự thật trong lĩnh vực tài chính, ngân hàng, thương mại điện tử, thanh toán điện tử, kinh doanh tiền tệ, huy động vốn, kinh doanh đa cấp, chứng khoán.

5. Thông tin trên không gian mạng có nội dung sai sự thật gây hoang mang trong nhân dân, gây thiệt hại cho các hoạt động kinh tế – xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

Theo điểm b khoản 2 Điều 26 của Luật An ninh mạng, việc lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ.

Như vậy, các thông tin có nội dung trong Điều 16 không chỉ bị xóa bỏ, ngăn chặn mà còn lưu nhật ký hệ thống trong vòng ít nhất 1 năm để thực hiện điều tra, xử lý hành vi.

Đối với dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam (gồm 19 đầu mục), dự thảo Nghị định quy định phải lưu trữ theo thời gian hoạt động của doanh nghiệp hoặc đến khi không còn cung cấp dịch vụ.

Các dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra (thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị) và dữ liệu về bạn bè, nhóm tương tác của người sử dụng dịch vụ tại Việt Nam phải lưu trữ trong thời gian tối thiểu là 3 năm.

Điều 29 dự thảo quy định trong 12 tháng kể từ ngày Bộ trưởng Công an yêu cầu, các doanh nghiệp phải lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

Dự thảo Nghị định nếu được thông qua, sẽ có hiệu lực từ ngày 1/1/2019.

Vĩnh Long

Xem thêm: