VCCI góp ý Dự án Luật an ninh mạng

Kính gửi: Ủy ban Quốc phòng và An ninh của Quốc hội

Để cộng đồng doanh nghiệp đóng góp ý kiến góp phần hoàn thiện Dự án Luật an ninh mạng, Phòng Thương mại và Công nghiệp Việt Nam (VCCI) đã tổ chức “Hội thảo lấy ý kiến hoàn thiện Dự án Luật an ninh mạng” vào ngày 09/10/2017 vừa qua. Tham dự Hội thảo có đại diện của các cơ quan nhà nước liên quan, cơ quan ngoại giao, các doanh nghiệp, hiệp hội doanh nghiệp Việt Nam và nước ngoài, các cơ quan nghiên cứu, chuyên gia và các phóng viên truyền hình, báo chí và đã thu được rất nhiều ý kiến đóng góp xây dựng. Tại Hội thảo, đại diện cơ quan chủ trì soạn thảo (Cục An ninh mạng, Bộ Công an) đã trình bày về sự cần thiết xây dựng và các nội dung cơ bản của Dự án Luật này (phiên bản số 14, ngày 25/9/2017).

Dự thảo Luật an ninh mạng (sau đây gọi tắt là Dự thảo) cùng với một số tài liệu liên quan đã được đăng trên website của VCCI (www.vibonline.com.vn) để lấy ý kiến.

Trên cơ sở các ý kiến góp ý mà VCCI nhận được, VCCI có một số ý kiến góp ý như sau:

1. Về quan điểm tiếp cận

Việc xây dựng các quy định pháp luật về an ninh mạng là cần thiết và sẽ góp phần hoàn thiện cơ sở pháp lý, góp phần bảo vệ an ninh quốc gia, bảo đảm an ninh kinh tế, chính trị và cũng như đảm bảo trật tự đời sống xã hội trong bối cảnh hội nhập quốc tế. Nhu cầu này càng quan trọng trong xu thế nước ta đang mạnh mẽ phát triển công nghệ thông tin, chuẩn bị thích ứng với cuộc cách mạng công nghệ 4.0, đang và sẽ đối mặt với những diễn biến phức tạp trên không gian mạng.

Phạm vi điều chỉnh và nhiều nội dung của Dự thảo có liên quan tới hoạt động của các tổ chức, doanh nghiệp cung cấp sản phẩm, dịch vụ trong lĩnh vực công nghệ thông tin, an toàn thông tin và các tổ chức, cá nhân tham gia hoạt động trên không gian mạng, do đó, việc đóng góp ý kiến của cộng đồng doanh nghiệp là cần thiết và góp phần hoàn thiện Dự thảo.

Trước tình hình an ninh mạng phức tạp như hiện nay, rõ ràng Việt Nam cần một khung khổ pháp lý về an ninh mạng. Tuy nhiên, cần cân nhắc để tránh gánh nặng không cần thiết về quản lý nhà nước, tránh đặt ra quá nhiều rào cản dẫn đến gánh nặng tuân thủ cho các doanh nghiệp, làm cản trở sự sáng tạo, hạn chế lợi ích được thụ hưởng dịch vụ tốt một cách chính đáng của người dân Việt Nam.

Các quy định của Dự thảo cần đảm bảo:

• tính thống nhất: các quy định phù hợp với các cam kết quốc tế của Việt Nam và các thông lệ quốc tế, thống nhất với hệ thống pháp luật Việt Nam (không chồng chéo, mâu thuẫn) về an ninh mạng;
• tính minh bạch: các quy định rõ ràng về quyền và nghĩa vụ của các chủ thể, dễ hiểu, dễ áp dụng;
• tính hợp lý và khả thi: các quy định không tạo ra gánh nặng bất hợp lý cho doanh nghiệp và có khả năng thực thi trên thực tế đối với cả doanh nghiệp và cơ quan quản lý nhà nước.

1. Các vấn đề cụ thể

• Về tính thống nhất

Đối với thông lệ và các cam kết quốc tế, trên thế giới hiện nay dùng chung một khái niệm “cyber security” chứ không tách riêng an ninh mạng và an toàn thông tin mạng. Ranh giới giữa an toàn thông tin và an ninh thông tin là rất khó phân định. Nhiều quốc gia ban hành Luật an ninh mạng hoặc nhiều Luật khác nhau quy định về các vấn đề khác nhau của an ninh mạng nhưng chưa thấy quốc gia nào ban hành hai Luật riêng biệt về an toàn thông tin và an ninh thông tin.

Khoản 4 Điều 34 của Dự thảo quy định “Các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải tuân thủ pháp luật, tôn trọng chủ quyền, lợi ích, an ninh quốc gia Việt Nam, có giấy phép hoạt động, đặt cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam…”.

Về quy định đặt cơ quan đại diện của doanh nghiệp nước ngoài tại Việt Nam, trong cam kết của Tổ chức Thương mại Thế giới (WTO), dịch vụ viễn thông cung cấp qua biên giới là không hạn chế tiếp cận thị trường, trừ một số trường hợp cụ thể nhưng trong các trường hợp loại trừ đó không quy định phải có cơ quan đại diện trên lãnh thổ Việt Nam. Cam kết trong Hiệp định Thương mại tự do Việt Nam – EU (EVFTA) mà Việt Nam đã ký kết cũng tương tự.

Như vậy, quy định về việc đặt cơ quan đại diện tại Việt Nam tại khoản 4 Điều 34 của Dự thảo là trái với cam kết WTO và EVFTA của Việt Nam.

Về việc đặt máy chủ, trong nội dung Hiệp định Đối tác Xuyên Thái Bình Dương (TPP) đã được Việt Nam ký kết tháng 02 năm 2016, Chương Thương mại điện tử, khoản 2 Điều 14.13 (Địa điểm của hạ tầng công nghệ thông tin) quy định: “Không Bên nào yêu cầu đối tượng áp dụng của Chương này được sử dụng hoặc lựa chọn địa điểm lắp đặt các cơ sở hạ tầng công nghệ thông tin trong phạm vi lãnh thổ của Bên mình để xem đó như là điều kiện để triển khai công việc kinh doanh trong lãnh thổ đó”.

Quy định về việc đặt máy chủ trên lãnh thổ Việt Nam như vậy là chưa phù hợp với tinh thần cam kết của Việt Nam trong TPP. An ninh mạng, theo định nghĩa tại khoản 3 Điều 3 của Dự thảo liên quan tới nhiều vấn đề chứ không chỉ riêng đối với an ninh quốc phòng, do đó không phải là trường hợp ngoại lệ để không áp dụng cam kết.

Hiện nay, mặc dù TPP chưa được Quốc hội Việt Nam phê chuẩn nhưng Việt Nam và 10 nước còn lại trừ Hoa Kỳ vẫn tiếp tục đàm phán để đưa ra quyết định cuối cùng. Do đó, VCCI cho rằng cần hết sức cân nhắc và không nên đặt ra quy định pháp luật trong nước đi ngược lại hướng của TPP.

Đối với hệ thống pháp luật trong nước của Việt Nam, hiện nay có rất nhiều quy định liên quan đến an ninh mạng, đặc biệt, năm 2015, Quốc hội đã ban hành Luật an toàn thông tin mạng mà phạm vi điều chỉnh là “quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng” (Điều 1).

Phạm vi điều chỉnh (Điều 1) của Dự thảo là: “quy định về nguyên tắc, biện pháp, nội dung, hoạt động, điều kiện bảo đảm triển khai hoạt động bảo vệ an ninh mạng; trách nhiệm của cơ quan, tổ chức, cá nhân tham gia không gian mạng và có liên quan tới hoạt động bảo vệ an ninh mạng của nước Cộng hòa xã hội chủ nghĩa Việt Nam”.

Trong nội dung của Luật an toàn thông tin mạng và Dự thảo có quy định trùng nhau và cần xem xét cân nhắc để đảm bảo tính thống nhất, như:

1.1. Hệ thống thông tin quan trọng quốc gia

Luật an toàn thông tin mạng		Dự thảo Luật an ninh mạng
Khoản 3 Điều 3	Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.	Khoản 5 Điều 3	Cơ sở hạ tầng không gian mạng quốc gia là hệ thống trang thiết bị phục vụ cho việc tạo lập, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin, bao gồm:...
Khoản 4 Điều 3	Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.	Khoản 6 Điều 3	Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích an ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội.
Khoản 5 Điều 3	Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.	Khoản 23 Điều 3	Cơ quan chủ quản hệ thống thông tin là đơn vị có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin

Từ sự trùng nhau ở trên thì hệ thống thông tin quan trọng quốc gia sẽ:

• thuộc đối tượng điều chỉnh của cả hai Luật;
• cùng một chủ quản hệ thống thông tin sẽ phải áp dụng các biện pháp khác nhau, thực thi trách nhiệm khác nhau để đảm bảo an toàn, an ninh mạng;
• sẽ do hai cơ quan nhà nước khác nhau quản lý (Bộ Thông tin và Truyền thông và Bộ Công an) và trùng lặp các biện pháp quản lý nhà nước, các trách nhiệm, nghĩa vụ phải thực thi của chủ quản hệ thống thông tin;
• thuộc cả hai Danh mục Hệ thống thông tin quan trọng quốc gia hoặc hệ thống thông tin quan trọng về an ninh quốc gia do Thủ tướng hoặc Chính phủ ban hành.

Luật an toàn thông tin mạng quy định Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng trình Thủ tướng Chính phủ ban hành Danh mục hệ thống thông tin quan trọng quốc gia. Ngày 10/5/2017, Thủ tướng Chính phủ đã ký Quyết định số 632/QĐ-TTg ban hành Danh mục hệ thống thông tin quan trọng quốc gia và giao Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng định kỳ hàng năm trước 30/11 cập nhật, điều chỉnh, bổ sung Danh mục.

Khoản 4 Điều 9 Dự thảo Luật này lại giao Chính phủ quy định chi tiết về Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.

Như vậy, đây là sự trùng lặp không cần thiết vì theo quy định tại Luật an toàn thông tin mạng, Bộ Công an đã được giao nhiệm vụ quản lý nhà nước về an ninh đối với các hệ thống thông tin thuộc thẩm quyền quản lý của Bộ Công an.

1.2. Điều kiện kinh doanh

          Điều 11 Dự thảo quy định “Bộ Công an thẩm định về năng lực, điều kiện đối với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia”, trong khi trước đó Luật an toàn thông tin mạng (Điều 44) quy định “Bộ Thông tin và Truyền thông chủ trì, phối hợp với bộ, ngành có liên quan thẩm định và cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trừ kinh doanh sản phẩm, dịch vụ quy định tại điểm c, điểm d khoản 1 và điểm a khoản 2 Điều 41 của Luật này; và Điều 48 quy định – Bộ Thông tin và Truyền thông quy định chi tiết về trình tự, thủ tục, hồ sơ cấp Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng theo giấy phép. (Sản phẩm được thực hiện chứng nhận công bố hợp chuẩn hợp quy trước khi nhập khẩu).

Kinh doanh trong lĩnh vực an toàn thông tin là ngành, nghề kinh doanh có điều kiện, bao gồm kinh doanh sản phẩm và kinh doanh dịch vụ an toàn thông tin được xác định trong Luật đầu tư và được cụ thể hóa tại chương V Luật an toàn thông tin mạng.

Dự thảo Luật an ninh mạng đang theo hướng bổ sung một số thủ tục hành chính nữa đối với việc cung cấp sản phẩm, dịch vụ này.

Do đó, cần cân nhắc kỹ để tránh chồng chéo giữa các Luật, gây khó khăn cho doanh nghiệp. Cùng một doanh nghiệp cung cấp dịch vụ lại chịu hai lần thẩm định về điều kiện và năng lực ở hai thời điểm khác nhau tại hai cơ quan quản lý.

Ở đây có trường hợp xảy ra mà chưa rõ cách xử lý khi đã đấu thầu thành công, đến giai đoạn ký hợp đồng mà:

1. không được chấp thuận của Bộ Công an khi thẩm định về năng lực, điều kiện; hoặc
2. khi đã triển khai lắp đặt thiết bị vào sử dụng mà không đáp ứng yêu cầu thẩm định, kiểm tra an ninh mạng của Bộ Công an.

Khi đó, những hậu quả pháp lý, tổn thất đầu tư sẽ xử lý ra sao, ai chịu trách nhiệm, tình huống này càng phức tạp hơn khi là đấu thầu quốc tế.

1.3. Tiêu chuẩn, quy chuẩn kỹ thuật

Luật an toàn thông tin mạng		Dự thảo Luật an ninh mạng
Điều 37 Khoản 6	Bộ Thông tin và Truyền thông có trách nhiệm sau đây: a) Xây dựng dự thảo tiêu chuẩn quốc gia an toàn thông tin mạng, trừ tiêu chuẩn quốc gia quy định tại khoản 7 Điều này; b) Ban hành quy chuẩn kỹ thuật quốc gia an toàn thông tin mạng, trừ quy chuẩn quốc gia quy định tại khoản 7 Điều này; quy định về đánh giá hợp quy về an toàn thông tin mạng;	Điều 14 Khoản 1	Bộ Công an chủ trì, phối hợp với cơ quan liên quan xây dựng dự thảo tiêu chuẩn quốc gia về an ninh mạng, đề nghị thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng, chủ trì xây dựng và ban hành quy chuẩn kỹ thuật quốc gia về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật.

Luật an toàn thông tin mạng đã quy định về đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng. Việc đánh giá hợp chuẩn, hợp quy này không chỉ duy nhất Bộ Thông tin và Truyền thông thực hiện, mà các đơn vị chức năng thuộc Bộ Công an, Bộ Quốc phòng cũng có thể thực hiện theo quy định của Luật tiêu chuẩn, quy chuẩn kỹ thuật.

Vì vậy, việc đưa thêm yêu cầu đánh giá hợp chuẩn, hợp quy về an ninh mạng tại Điều 15, Điều 16 của Dự thảo sẽ dẫn đến tình huống một sản phẩm hoặc thiết bị phải thực hiện hợp chuẩn, hợp quy nhiều lần.

1.4. Phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng

Các Điều từ 22 đến 28 của Dự thảo quy định về phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng. Tuy nhiên, nội hàm của các quy định trùng lặp với với quy định về ứng cứu sự cố an toàn thông tin mạng đã được quy định trước đó tại Luật an toàn thông tin mạng (Điều 13, 14, 15) và Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.

Việc chồng chéo như vậy sẽ gây khó khăn khi triển khai thực tiễn, do các cơ quan, tổ chức sẽ không biết đâu là đầu mối chính trong hoạt động liên quan.

Do có nhiều nội dung trùng lắp như đã phân tích ở trên, đề nghị Cơ quan soạn thảo hết sức cân nhắc, rà soát các nội dung liên quan của các văn bản pháp luật khác như để có những quy định phù hợp và tránh chồng chéo. Đây cũng là yêu cầu của Luật ban hành văn bản quy phạm pháp luật (khoản 2 Điều 8): “Văn bản quy phạm pháp luật phải quy định cụ thể nội dung cần điều chỉnh, không quy định chung chung, không quy định lại các nội dung đã được quy định trong văn bản quy phạm pháp luật khác”.

Bên cạnh đó, cần có những đánh giá, làm rõ những điểm mà Luật an toàn thông tin mạng và các văn bản pháp luật khác chưa đáp ứng với tình hình thực tế để xem xét bổ sung quy định.

Từ những phân tích trên về tính thống nhất với pháp luật quốc tế và thống nhất trong hệ thống pháp luật Việt Nam, đề nghị quý Ủy ban cân nhắc việc tích hợp nội dung Dự thảo và Luật an toàn thông tin mạng thành một Luật duy nhất, trình Quốc hội xem xét.

• Về tính minh bạch

          2.1. Các thuật ngữ, tên gọi chưa thống nhất

Trong Dự thảo sử dụng cách phân loại và tên gọi các thành phần kỹ thuật nhưng chưa thống nhất, ví dụ:

• Thiết bị số, dịch vụ mạng, ứng dụng mạng (khoản 1 Điều 16);
• Hệ thống phần cứng, phần mềm (điểm a khoản 4 Điều 12);
• Hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin (điểm b, c khoản 1, điểm b, c khoản 2 Điều 15);
• Thiết bị, sản phẩm, dịch vụ thông tin liên lạc, thiết bị kỹ thuật số, thiết bị điện tử (điểm b khoản 3 Điều 23);
• Hệ thống thông tin, phương tiện điện tử (điểm e khoản 1 Điều 27)…

Do đó, đề nghị Cơ quan soạn thảo chỉnh sửa để thống nhất một cách hiểu và thuận tiện cho việc áp dụng.

          2.2. Một số quy định chưa rõ

Trong Dự thảo có một số quy định khó lượng hóa hoặc xác định, ví dụ:

• Dự thảo chưa định nghĩa các khái niệm như: “hoạt động sử dụng không gian mạng”, “an ninh thông tin mạng”, “thiết bị số”… Các khái niệm này được sử dụng trong Dự thảo, do đó cần được bổ sung vào Điều 3 (Giải thích từ ngữ) để có cách hiểu thống nhất;
• Mức độ quan trọng của sự cố an ninh mạng tại khoản 2 Điều 20 và các kịch bản ứng cứu tương ứng;
• Xác định dịch vụ đăng tải thông tin: điểm c khoản 6 Điều 22 quy định việc cơ quan chức năng áp dụng biện pháp “Tạm đình chỉ, đình chỉ, yêu cầu ngừng hoạt động hoặc thu hồi giấy phép hoạt động của dịch vụ đăng tải thông tin theo quy định của pháp luật”, tuy nhiên chưa xác định rõ dịch vụ đăng tải là dịch vụ mạng hay dịch vụ phần mềm;
• Tiêu chí đánh giá mức độ nguy hiểm về an ninh mạng quy định tại Điều 27 (diện rộng, quy mô lớn, cường độ cao…);
• Nghĩa vụ của các doanh nghiệp được quy định nhưng chưa rõ quyền: các Điều 45, 46, 47 quy định trách nhiệm của các cá nhân, cơ quan, tổ chức nhưng chưa có quy định về quyền của các chủ thể này, ví dụ như yêu cầu các cơ quan chức năng hỗ trợ hoặc phối hợp để ứng phó với các sự cố an ninh mạng;
  • Trách nhiệm của doanh nghiệp trong bảo đảm an ninh thông tin mạng: Điểm e khoản 2 Điều 47 quy định “Xây dựng, kiện toàn quy trình bảo vệ và cơ chế hợp tác an ninh mạng, tăng cường đánh giá, phân tích các loại rủi ro an ninh mạng, định kỳ cảnh báo nguy cơ, đồng thời ủng hộ, giúp đỡ các thành viên nâng cao khả năng ứng phó với rủi ro an ninh mạng”: quy định này chung chung, không rõ ở các khâu sẽ làm gì và như thế nào…

Đề nghị Cơ quan soạn thảo làm rõ hơn những quy định này.

• Về tính hợp lý và khả thi

Dự thảo có một số quy định chưa khả thi, sẽ gây khó khăn và tạo ra chi phí bất hợp lý cho doanh nghiệp.

3.1. Việc bảo đảm an ninh thông tin mạng (Điều 34)

• Khoản 3 quy định “Các doanh nghiệp dịch vụ viễn thông, internet, doanh nghiệp sở hữu hệ thống thông tin phải thiết lập cơ chế xác thực thông tin khi người dùng đăng ký tài khoản số để bảo đảm tính bảo mật và tính trung thực của thông tin đăng ký và phải cung cấp cho cơ quan chuyên trách bảo vệ an ninh mạng có thẩm quyền…”. Việc yêu cầu doanh nghiệp đảm bảo tính trung thực của thông tin đăng ký của người dùng là không khả thi vì doanh nghiệp không thể xác thực cũng như đảm bảo tính trung thực của thông tin mà người dùng khai báo, trong khi hiện nay, hệ thống quốc gia về căn cước công dân còn chưa sẵn sàng để doanh nghiệp kết nối, xác thực. Việc yêu cầu doanh nghiệp thiết lập cơ chế xác thực thông tin của người dùng cũng khó khả thi;
• Khoản 4 quy định “Các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải tuân thủ pháp luật, tôn trọng chủ quyền, lợi ích, an ninh quốc gia Việt Nam, có giấy phép hoạt động, đặt cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam…”.

Bên cạnh việc phân tích về sự phù hợp với cam kết TPP ở trên, thì ở đây chưa rõ về mục tiêu chính sách khi yêu cầu đặt máy chủ tại Việt Nam. Việc đặt máy chủ ở đâu không quan trọng bằng quy trình đảm bảo an ninh mạng đối với dữ liệu trên đó. Máy chủ đặt ở đâu cũng không có ý nghĩa gì về an ninh thông tin nếu quy trình, kỹ thuật, công nghệ không đáp ứng yêu cầu chuẩn mực. Nếu các doanh nghiệp, tổ chức ở Việt Nam mà không được sử dụng những dịch vụ lưu trữ dữ liệu an toàn nhất để đặt dữ liệu (thường không có máy chủ ở Việt Nam) thì điều này còn tạo ra nguy cơ mất an ninh mạng cao hơn đối với doanh nghiệp, tổ chức cá nhân Việt Nam. Đề nghị Cơ quan soạn thảo xác định rõ mục tiêu chính sách của việc yêu cầu đặt máy chủ.

Đối với yêu cầu đặt cơ quan đại diện, quy định này chưa rõ là cơ quan đại diện ở mức độ nào. Theo Thông tư 38/2016/TT-BTTTT quy định chi tiết về việc cung cấp thông tin công cộng qua biên giới, thì chỉ cần có đầu mối liên lạc ở Việt Nam để có thể trao đổi theo thời gian thực (điểm c khoản 1 Điều 4). Nếu không ở Việt Nam thì khó trao đổi, đặc biệt là về xử lý gỡ bỏ thông tin khẩn cấp trong vòng 24 giờ. Do đó, cần làm rõ khái niệm “đại diện”. Nếu yêu cầu phải có đại diện pháp lý là hạn chế quyền kinh doanh và không khả thi vì các doanh nghiệp có thể cung cấp dịch vụ xuyên biên giới mà không cần có đại diện tại địa phương, nhất là trong kỷ nguyên số thì tính đại diện và cách thức thực hiện đại diện cũng đa dạng hơn rất nhiều. Mặt khác, việc yêu cầu thông tin cá nhân và dữ liệu quan trọng chỉ được lưu giữ bên trong lãnh thổ Việt Nam sẽ hạn chế khả năng tiếp cận những công nghệ và dịch vụ dựa trên việc truyền tải dữ liệu quốc tế của người dùng, doanh nghiệp và cơ quan Việt Nam, đặc biệt là các doanh nghiệp vừa và nhỏ (ví dụ dịch vụ đám mây, công cụ chống gian lận…). Quy định này có nguy cơ làm tăng chi phí hoạt động kinh doanh tại Việt Nam đối với cả doanh nghiệp trong nước và doanh nghiệp nước ngoài, đặc biệt là những doanh nghiệp vừa và nhỏ sẽ bị tác động lớn hơn do có ít nguồn lực hơn trong việc tuân thủ về yêu cầu lưu trữ dữ liệu.

3.2. Trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet (Điều 47)

Tại Điều 47 có khá nhiều quy định thiếu hợp lý và khó có thể thực hiện trên thực tế, ví dụ:

• Điểm a khoản 1 quy định “Yêu cầu chủ thể sử dụng cung cấp thông tin xác thực. Nếu chủ thể sử dụng không cung cấp thông tin xác thực, doanh nghiệp cung cấp dịch vụ có trách nhiệm từ chối cung cấp các dịch vụ liên quan cho chủ thể sử dụng đó”. Việc yêu cầu doanh nghiệp đảm bảo tính trung thực của thông tin đăng ký của người dùng là không khả thi vì không có cách nào xác thực cũng như đảm bảo tính trung thực của thông tin mà người dùng khai báo. Quy định này cũng trùng với khoản 3 Điều 34, do đó đề nghị bỏ quy định này;
• Điểm d khoản 2 quy định “Tiến hành ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng trong vòng 24 giờ theo yêu cầu của cơ quan quản lý nhà nước về an ninh mạng…“. Các quy định về trách nhiệm xử lý, gỡ bỏ, ngăn chặn thông tin xấu này sẽ tạo thêm gánh nặng chi phí và nhân lực cho doanh nghiệp trong khi chưa xác định rõ lỗi của do ai. Doanh nghiệp chỉ quản lý một phần nhỏ trong không gian mạng nên không thể chịu trách nhiệm với toàn bộ không gian mạng rộng lớn có sự tham gia của nhiều đối tượng. Do đó, đề nghị sửa đổi theo hướng: xóa bỏ thông tin xấu (như xác định ở trên) trong hệ thống thông tin do doanh nghiệp trực tiếp quản lý và quy định thời hạn tối đa, theo yêu cầu của cơ quan nhà nước có thẩm quyền;
• Điểm đ khoản 2 quy định “Không cung cấp dịch vụ viễn thông, internet, hỗ trợ kỹ thuật, quảng cáo, hỗ trợ thanh toán cho các tổ chức, cá nhân đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng”: việc từ chối cung cấp dịch vụ cho người dùng như vậy là không thống nhất với quy định tại Điều 26 của Luật viễn thông (“Doanh nghiệp viễn thông không được từ chối giao kết hợp đồng hoặc đơn phương chấm dứt hợp đồng với người sử dụng dịch vụ viễn thông, trừ trường hợp có yêu cầu bằng văn bản của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật”). Mặt khác, doanh nghiệp cũng không có dữ liệu về tổ chức, cá nhân nào đăng tải các thông tin đó;
• Điểm g khoản 2 quy định: “Xây dựng cơ chế phản hồi, khiếu nại về an ninh thông tin mạng; công bố thông tin về phương thức phản hồi, khiếu nại; kịp thời tiếp nhận và xử lý các phản hồi, khiếu nại liên quan an ninh thông tin mạng”. Việc yêu cầu doanh nghiệp xây dựng cơ chế phản hồi, khiếu nại về an ninh thông tin mạng như vậy là không hợp lý vì việc này thuộc trách nhiệm của cơ quan quản lý nhà nước. Mặt khác, yêu cầu này sẽ tạo khó khăn cho doanh nghiệp do thiếu nguồn lực và chuyên môn, kinh nghiệm trong lĩnh vực này.

3.3. Trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia (Điều 48)

Khoản 6 Điều 48 quy định “Tiến hành hoặc ủy thác cho tổ chức cung cấp dịch vụ an ninh mạng tiến hành khảo sát, đánh giá mức độ an toàn và khả năng ứng phó rủi ro của cơ sở đó ít nhất 02 lần/năm, đồng thời gửi báo cáo…”. Đề nghị xem xét quy định ít nhất 02 lần/năm liệu có nhiều và gây lãng phí hay không.

3.4. Việc xin ý kiến của Bộ Công an trước khi ký hợp đồng (Điều 49)

Điểm e khoản 1 quy định Bộ Công an “Có văn bản cho ý kiến khi cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia đề nghị được ký hợp đồng với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng”.

Đề nghị Cơ quan soạn thảo xem xét bỏ quy định này vì Dự thảo không quy định trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia phải xin ý kiến Bộ công an trước khi ký hợp đồng. Mặt khác, cũng không rõ dựa trên tiêu chí nào và Bộ Công an sẽ cho ý kiến về vấn đề gì, cho phép hay không cho phép ký hợp đồng, quy trình thủ tục như thế nào.

Việc phân công trách nhiệm cần tránh chồng chéo, đảm bảo tính khả thi đối với các cơ quan liên quan, từ các Bộ, đến các doanh nghiệp, đặc biệt là các doanh nghiệp cung cấp dịch vụ viễn thông, Internet, trên cơ sở tính toán xem xét đến căn cứ, điều kiện về mặt kỹ thuật, nguồn lực.

• Một số vấn đề cần xem xét bổ sung

Vấn đề mất an ninh mạng đối với hạ tầng cơ sở mạng quốc gia không chỉ do các hành vi gây ra trong quá trình khai thác, sử dụng mạng mà còn bắt nguồn từ quá trình thiết kế, xây dựng để hình thành cơ sở hạ tầng kỹ thuật mạng quốc gia, từ hệ thống thiết bị truyền dẫn, trang thiết bị phân luồng, thiết bị đầu cuối v.v… Do đó, đề nghị Cơ quan soạn thảo xem xét bổ sung quy định (có thể là một Chương) về Xây dựng, quản lý hạ tầng cơ sở mạng quốc gia.

Nâng cao nhận thức và phổ biến giáo dục cho người dân về an ninh mạng là việc cần thiết để giúp người dân tự bảo vệ mình, bảo vệ an toàn thông tin, giảm thiểu rủi ro an ninh mạng và chống chiến tranh mạng. Do đó, cần bổ sung quy định về vấn đề này.