Dự án Luật An ninh mạng

Cần rõ phạm vi “can thiệp” của cơ quan chức năng

07:38 | 15/05/2018
Dự án Luật An ninh mạng sẽ được trình QH xem xét, thông qua tại Kỳ họp thứ Năm tới. Dẫu vậy, đến thời điểm này, nhiều quy định liên quan đến nghĩa vụ pháp lý của tổ chức, doanh nghiệp và người dân vẫn bị đánh giá là thiếu rõ ràng, có nguy cơ phát sinh giấy phép, thủ tục hành chính và chi phí kinh doanh, ảnh hưởng đến sự phát triển của kinh tế số.

“Địa phương hóa” dữ liệu có hợp lý?  

Một nội dung của dự luật thu hút sự quan tâm của dư luận là yêu cầu “địa phương hóa” dữ liệu. Nói cách khác là yêu cầu một số loại dữ liệu của quốc gia không được trao đổi qua biên giới khi chưa có sự đồng thuận của cá nhân sở hữu dữ liệu hoặc luật pháp của quốc gia đó. Yêu cầu này được quy định tại Điều 28 và Điều 42 của dự luật. Theo đó, doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải đặt trụ sở hoặc văn phòng đại diện tại Việt Nam. Doanh nghiệp nước ngoài và trong nước đều phải lưu trữ tại Việt Nam đối với thông tin cá nhân người sử dụng dịch vụ tại Việt Nam, các dữ liệu quan trọng khác được thu thập, tạo ra từ hoạt động khai thác cơ sở hạ tầng không gian mạng quốc gia của Việt Nam (theo quy định của Chính phủ).


Diễn tập quốc tế về an toàn thông tin

Giám đốc Viện Nghiên cứu Chính sách và Phát triển truyền thông (IPS) Nguyễn Quang Đồng cho rằng, nếu áp dụng nghiêm ngặt quy định “địa phương hóa” dữ liệu với doanh nghiệp trong nước thì có thể khiến mỗi đơn vị khởi nghiệp phát sinh chi phí, ngoài chi phí ban đầu về vốn, nhân lực và kỹ thuật. Nếu áp dụng nghiêm quy định này với doanh nghiệp nước ngoài lại dễ làm tăng chi phí tiếp cận dữ liệu của người dân vì doanh nghiệp sẽ cần thiết lập hệ thống lưu trữ dữ liệu mới với riêng người dùng Việt Nam. Và các chi phí cho việc này sẽ được phân bổ ngược lại cho người dùng, doanh nghiệp trong nước. Chưa kể, quy định này có thể sẽ vi phạm quyền riêng tư của doanh nghiệp, bởi trước đó hệ thống dữ liệu, thông tin người dùng doanh nghiệp sở hữu, vận hành vốn chịu sự quản lý của hệ thống quốc tế, hoặc quốc gia mà họ đăng ký, ông Nguyễn Quang Đồng nhấn mạnh.

Đưa ra kinh nghiệm từ Indonesia - một quốc gia trong khu vực Đông Nam Á có quy định về “địa phương hóa” dữ liệu thông qua việc đặt máy chủ nội địa, Giám đốc điều hành Hiệp hội điện toán đám mây châu Á Lim May - Ann cho biết, doanh nghiệp nhỏ và vừa tại Indonesia rất chật vật thực hiện quy định này. Lý do là chi phí tạo hạ tầng, thuê chuyên gia công nghệ thông tin để đáp ứng quy định này là quá lớn.

Tuy nhiên, từ thực tế cung cấp dịch vụ an ninh mạng, Tổng giám đốc Công ty cổ phần An toàn thông tin Bùi Quang Minh lại đồng ý với yêu cầu doanh nghiệp nước ngoài phải mở văn phòng đại diện và hoạt động theo pháp luật ở Việt Nam. Bởi lẽ, sẽ khó can thiệp khi xảy ra rò rỉ thông tin người sử dụng dịch vụ viễn thông hay internet nếu doanh nghiệp không mở văn phòng đại diện ở nước ta. Ông Bùi Quang Minh cũng lưu ý, về mặt kỹ thuật thì khó có thể nhận biết được doanh nghiệp nước ngoài có lưu trữ dữ liệu ở Việt Nam hay không.

Trường hợp nào cần can thiệp?

Bên cạnh đó, theo quy định của dự thảo Luật, doanh nghiệp còn có thể chịu ảnh hưởng từ các quy định về kiểm tra, giám sát hệ thống thông tin (Điều 44); tạm dừng cung cấp dịch vụ và bảo đảm chất lượng sản phẩm (Điều 41); kiểm tra, đánh giá an ninh mạng (Điều 26); bảo đảm an ninh thông tin trên không gian mạng (Điều 28)… Nội hàm quy định tại các điều khoản này không trực tiếp tác động đến doanh nghiệp mà chủ yếu là do phạm vi của an ninh mạng được xác định tại dự luật rất rộng. Theo đó, an ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

Tại các hiệp định đa phương, song phương nước ta từng ký kết, các hoạt động nhằm bảo đảm an ninh quốc gia đều được loại trừ áp dụng theo quy định của hiệp định. Nhưng, các hoạt động nhằm chống ảnh hưởng đến trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân lại không được loại trừ áp dụng. Mặt khác, nếu như phạm vi điều chỉnh của yêu cầu bảo đảm an ninh quốc gia hẹp thì việc bảo đảm “trật tự, an toàn xã hội”, “quyền và lợi ích hợp pháp của tổ chức, cá nhân” lại có phạm vi điều chỉnh khá rộng. Hai nội dung này cũng đang được quy định tại nhiều văn bản quy phạm pháp luật khác (Bộ luật Dân sự, Bộ luật Hình sự…). Vì vậy, theo nhiều chuyên gia, dự luật phải điều chỉnh đúng “khoảng trống” pháp luật, tránh quy định chung chung, dễ làm phát sinh giấy phép con, thủ tục hành chính mới với tổ chức, doanh nghiệp.

Dự luật An ninh mạng được xây dựng nhằm đưa ra hệ thống các chính sách và biện pháp để bảo vệ an ninh quốc gia trên không gian mạng. Một yêu cầu của dự luật là phải khắc phục được các “khoảng trống” pháp lý mà các văn bản pháp luật có liên quan đến lĩnh vực này chưa điều chỉnh. Nếu nhìn ở góc độ này sẽ thấy không khó để tìm ra điểm cân bằng giữa hai yêu cầu bảo đảm an ninh quốc gia và tạo điều kiện cho kinh tế số phát triển. Đó là, phải xác định rõ những hoạt động nào trên không gian mạng gây ảnh hưởng đến “trật tự an toàn xã hội”, “quyền và lợi ích hợp pháp của tổ chức, cá nhân” mới cần thiết áp dụng một số biện pháp xử lý mạnh được quy định tại dự luật. Nếu không xác định rành mạch phạm vi và quy trình can thiệp của cơ quan chức năng liên quan thì hoàn toàn có thể dẫn đến sự thiếu thống nhất trong áp dụng pháp luật, gây khó khăn cho doanh nghiệp và người dân.

Thanh Hải