VCCI góp ý Dự thảo Luật an toàn thông tin

Thứ Ba 10:53 07-04-2015

Kính gửi: Ủy ban Khoa học, Công nghệ và Môi trường của Quốc hội

Trả lời Công văn số 1430/UBKHCNMT13 ngày 06/02/2015 của Ủy ban Khoa học, Công nghệ và Môi trường của Quốc hội về việc lấy ý kiến Dự thảo Luật An toàn thông tin (sau đây gọi tắt là Dự thảo), sau khi tham vấn ý kiến của một số doanh nghiệp, chuyên gia thông qua công văn và đăng tải trên website www.vibonline.com.vn, Phòng Thương mại và Công nghiệp Việt Nam (VCCI) có một số góp ý ban đầu như sau:

I.                  Về quan điểm tiếp cận

Trong bối cảnh công nghệ ứng dụng và các hoạt động kinh tế - xã hội trên mạng Internet đang ngày càng phổ biến, cùng với đó là những hiện tượng mất an toàn thông tin, từ đó gây ra thiệt hại cho tổ chức, cá nhân, đang diễn ra phức tạp, việc xây dựng một văn bản pháp luật làm cơ sở để điều chỉnh, bảo vệ an toàn thông tin trên mạng Internet, ngăn chặn, kiểm soát những hành vi gây tổn hại tới an toàn thông tin của tổ chức, cá nhân và xã hội là cần thiết.

Mặc dù vậy, liên quan tới các vấn đề về an toàn thông tin trên mạng Internet, pháp luật hiện tại cũng đã có những quy định bao trùm (áp dụng chung cho nhiều lĩnh vực, trong đó có lĩnh vực này), ví dụ:

-         Pháp luật hình sự (Bộ luật Hình sự): trong đó có quy định về các tội danh liên quan tới việc can thiệp, phá hoại tài sản, thông tin bí mật kinh doanh, thông tin đời tư... gây thiệt hại cho tổ chức cá nhân;

-         Pháp luật dân sự (Bộ luật Dân sự, Luật Sở hữu trí tuệ): trong đó có quy định về các nghĩa vụ bắt buộc đối với việc tôn trọng quyền riêng tư (trong đó có thông tin riêng tư), tài sản trí tuệ, bí mật kinh doanh của tổ chức cá nhân;

-         Pháp luật về công nghệ thông tin: trong đó có một số quy định về các hành vi bị cấm hoặc hạn chế liên quan tới thông tin qua mạng Internet.

Với hiện trạng như vậy, để đảm bảo tính thống nhất của hệ thống pháp luật cũng như tính hợp lý, khả thi, Luật này chỉ nên điều chỉnh kiểm soát các hoạt động:

-         Liên quan tới an toàn thông tin của tổ chức cá nhân mà có ảnh hưởng trực tiếp hoặc có nguy cơ gây ra tác động đáng kể tới an toàn thông tin của tổ chức, cá nhân khác hoặc của xã hội; và

-         Chưa được các văn bản khác điều chỉnh hoặc cần được quy định riêng xuất phát từ những đặc điểm đặc thù.

Cũng như vậy, phương pháp điều chỉnh của Luật cần đảm bảo tạo điều kiện để hoạt động an toàn thông tin phát triển và chỉ kiểm soát chặt các hoạt động có nguy cơ cao.

II.               Góp ý chi tiết

Rà soát Dự thảo cho thấy hiện còn khá nhiều các quy định các quy định chưa đảm bảo các yêu cầu này.

1.     Về các chủ thể nghĩa vụ

Điều 8.1, 8.2 Dự thảo yêu cầu tổ chức sở hữu thông tin phải phân loại thông tin theo cấp bí mật và phải xây dựng quy định, thủ tục để xử lý thông tin đã phân loại.Quy định này chỉ thích hợp nếu thông tin mà tổ chức đó sở hữu là thông tin thuộc về Nhà nước (ví dụ các thông tin quản lý Nhà nước) hoặc thông tin có gắn với quyền và lợi ích của nhiều tổ chức, cá nhân khác (ví dụ các thông tin về người sử dụng dịch vụ). Trường hợp thông tin của riêng tổ chức (ví dụ một hội, một câu lạc bộ...) nếu bản thân họ không có nhu cầu kiểm soát loại thông tin đó thì việc bắt buộc họ phải phân loại, rồi phải xây dựng quy định, thủ tục để xử lý thông tin phân loại có phù hợp không? Nếu không thực hiện thì họ cũng không gây ra nguy cơ gì cho tổ chức, cá nhân khác hay xã hội cả (Chú ý là với các quy định bắt buộc như thế này, tổ chức không thực hiện nghĩa vụ thì sẽ bị coi là vi phạm pháp luật và bị xử phạt.)

Tương tự, các quy định tại Điều 10.1 (về nghĩa vụ phòng ngừa, ngăn chặn phần mềm độc hại của tổ chức, cá nhân), Điều 28.1 (về trách nhiệm tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định về cung cấp thông tin cá nhân)... đã đi quá xa, với việc quy định trách nhiệm của chính tổ chức, cá nhân đối với thông tin của chính mình (trong khi nếu họ không thực hiện các công việc này thì chủ thể bị thiệt hại là họ chứ không phải ai khác).

Vì vậy, đề nghị Ban soạn thảo:

-         Điều chỉnh để giới hạn phạm vi chủ thể chịu trách nhiệm trong các trường hợp này ở các tổ chức, cá nhân sở hữu thông tin thuộc diện phải đảm bảo an toàn thông tin (ví dụ thông tin của Nhà nước, thông tin của tổ chức, cá nhân khác mà mình tập hợp được...);

-         Rà soát lại tất cả các quy định của Dự thảo để đảm bảo rằng Dự thảo không đặt ra những yêu cầu/trách nhiệm không cần thiết đối với tổ chức cá nhân nếu không tạo ra nguy cơ đáng kể cho tổ chức, cá nhân khác, cho Nhà nước hoặc xã hội.

2.     Về các quy định vượt quá mức cần thiết

Bảo vệ lợi ích của các nhóm tổ chức, cá nhân khỏi các hành vi vi phạm về an toàn thông tin là điều cần thiết, tuy nhiên việc bảo vệ này cần khả thi và hợp lý. Dự thảo hiện còn một số quy định chưa đáp ứng được yêu cầu này, ví dụ:

-         Điều 9.3b Dự thảo yêu cầu tổ chức chung cấp dịch vụ viễn thông phải áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ chức, cá nhân về thông tin quấy rối, vi phạm quy định của pháp luật.

Quy định này tạo ra trách nhiệm quá lớn và bất hợp lý lên doanh nghiệp viễn thông bởi:

+ Không rõ thông tin quấy rối là thông tin gì? Thông tin vi phạm quy định của pháp luật là thông tin gì? Ai là người xác minh, xác nhận tính chất của các thông tin này?

+ Việc thực hiện ngay các biện pháp ngăn chặn có thể dẫn tới tình trạng tổ chức, cá nhân cố ý thông báo sai lệch hoặc gây rối loạn/vu khống tổ chức, cá nhân khác?

Vì vậy đề nghị Ban soạn thảo cân nhắc điều chỉnh lại quy định tại Điều 9.3b này theo hướng tổ chức cung cấp dịch vụ viễn thông chỉ phải thực hiện các biện pháp liên quan khi thông báo của tổ chức, cá nhân có kèm theo các bằng chứng xác thực và kiểm chứng được về hành vi quấy rối thông tin hoặc vi phạm pháp luật về an toàn thông tin.

-         Điều 30.3 Dự thảo yêu cầu tổ chức cá nhân xử lý thông tin cá nhân phải hủy bỏ vĩnh viễn thông tin cá nhân đã lưu trữ khi hết hạn hoặc hết mục đích sự dụng và phải thông báo cho chủ thể thông tin cá nhân biết.

Quy định này cũng đặt ra trách nhiệm và kèm theo là chi phí rất lớn cho việc thực hiện của các tổ chức cá nhân (bởi trong nhiều trường hợp số lượng phải thông báo là rất lớn, và không phải khi nào cũng có thể liên lạc với các chủ thể này).

Trong khi đó, việc hủy bỏ là trách nhiệm pháp lý bắt buộc theo quy định tại khoản này cũng như theo thỏa thuận giữa tổ chức, cá nhân thu thập với chủ sở hữu thông tin cá nhân rồi, vì vậy việc hủy bỏ là đương nhiên mà không cần phải thông báo. Trên thực tế thì chỉ có trường hợp ngược lại (muốn kéo dài thời gian sử dụng thông tin cá nhân hoặc thay đổi mục đích sử dụng thông tin) thì mới cần phải thông báo để xin ý kiến chủ sở hữu thông tin.

Vì vậy, đề nghị Ban soạn thảo bỏ quy định về “thông báo” tại Điều 30.3.

3.     Về vấn đề bảo vệ thông tin của tổ chức

Liên quan tới thông tin riêng tư, Dự thảo hiện chỉ điều chinh các hoạt động bảo vệ thông tin cá nhân (với định nghĩa tại Điều 3.15 Thông tin cá nhân là thông tin gắn với việc xác định rõ ràng danh tính, nhân thân của một con người cụ thể).

Tuy nhiên, trên thực tế, một số hành vi lợi dụng thông tin gắn với việc xác định rõ ràng danh tính của một tổ chức đã và đang xảy ra, gây thiệt hại cho tổ chức liên quan và vì vậy cũng cần được nghiên cứu điều chỉnh bởi Luật này. Ví dụ, hiện nay có hiện tượng một số người rao bán danh sách địa chỉ email, số điện thoại, hoặc các thông tin khác của các doanh nghiệp mà không được sự đồng ý của doanh nghiệp gây thiệt hại cho doanh nghiệp (ví dụ các trường hợp mua thông tin về lãnh đạo doanh nghiệp để gửi tin nhắn quảng cáo...).

Do đó, đề nghị Ban Soạn thảo cân nhắc việc mở rộng khái niệm thông tin cá nhân bao gồm cả thông tin gắn với việc xác định rõ ràng một tổ chức cụ thể, để từ đó quản lý hành vi thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân của pháp nhân trên mạng.

4.     Xử lý thông tin cá nhân vì mục đích phi thương mại

Điều 3.18 của Dự thảo giải thích khái niệm xử lý thông tin cá nhân chỉ giới hạn ở mục đích thương mại, kinh doanh. Tiếp đó, Điều 28.5 của Dự thảo cũng quy định: “…việc xử lý thông tin cá nhân… chỉ để phục vụ nhu cầu sử dụng cá nhân không nhằm mục đích thương mại, kinh doanh không thuộc phạm vi điều chỉnh của Luật này.” Như vậy, các quy định liên quan tới xử lý thông tin trong Dự thảo được hiểu là chỉ áp dụng cho các trường hợp nhằm mục đich thương mại.

Tuy nhiên, trên thực tế, việc thu thập, biên tập, lưu trữ thông tin cá nhân ban đầu thường là nhằm các mục đích phi thương mại (như thông tin người dùng diễn đàn, các website chia sẻ). Tuy nhiên, sau đó các thông tin này mới được sử dụng dưới mục đích thương mại hoặc được cung cấp, chia sẻ, phát tán cho bên khác để sử dụng dưới mục đích thương mại. Do đó nếu chỉ quy định như Điều 3.18 và 28.5 của Dự thảo thì toàn bộ các hành vi thu thập, biên tập, lưu trữ thông tin cá nhân vì mục đích phi thương mại sẽ không thuộc phạm vi điều chỉnh của Luật này.

Vì vậy, đề nghị Ban soạn thảo sửa đổi như sau:

-         Tách khái niệm xử lý thông tin cá nhân thành hai khái niệm: thu thập thông tin cá nhânsử dụng thông tin cá nhân.

-         Luật này điều chỉnh mọi hành vi thu thập, biên tập, lưu trữ thông tin cá nhân (dù là vì mục đích thương mại hay phi thương mại) trừ trường hợp phục vụ nhu cầu cá nhân và trường hợp pháp luật quy định phải thu thập thông tin.

-         Đối với hành vi sử dụng thông tin cá nhân thì chỉ điều chỉnh trường hợp sử dụng vì mục đích thương mại (như quảng cáo, tiếp thị…) và không điều chỉnh việc sử dụng vì mục đích phi thương mại (như điều tra, khảo sát, gửi cảnh báo…)

5.     Quản lý gửi thông tin

Điều 70.2 và Điều 70.3 của Luật Công nghệ thông tin quy định: “Tổ chức, cá nhân gửi thông tin quảng cáo trên môi trường mạng phải bảo đảm cho người tiêu dùng khả năng từ chối nhận thông tin quảng cáo. Tổ chức, cá nhân không được tiếp tục gửi thông tin quảng cáo trên môi trường mạng đến người tiêu dùng nếu người tiêu dùng đó thông báo không đồng ý nhận thông tin quảng cáo.” Tuy nhiên, trên thực tế hiện nay, việc trốn tránh quy định này không khó khi mà các chủ thể sử dụng nhiều nguồn gửi tin khác nhau khiến người dùng không thể từ chối hết lần này đến lần khác. Do đó, cần có biện pháp mạnh mẽ hơn để bảo vệ người dùng, tránh thông tin rác.

Trong bối cảnh này, quy định tại Điều 9.2 của Dự thảo về việc “Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ của người tiếp nhận khi chưa được người tiếp nhận đồng ý, yêu cầu…” có thể là cách tiếp cận hợp lý hơn (theo đó khác với Luật Công nghệ thông tin cho phép người gửi được gửi thông tin quảng cáo và chỉ cấm khi người nhận đã từ chối, còn ở đây thì ngay từ đầu người gửi đã phải nhận được đồng ý của người nhận).

Tuy nhiên vế sau của quy định này lại quy định trường hợp “…hoặc người tiếp nhận thông tin từ chối (tức là lặp lại cách quy định của Luật Công nghệ thông tin). Quy định này do đó là chưa rõ ràng và có thể bị diễn giải theo hướng: Có thể áp dụng quy định này hoặc quy định tại Luật Công nghệ thông tin, tức là khi người  chưa từ chối thì vẫn có thể gửi thông tin thương mại.

Do đó, đề nghị Ban soạn thảo:

-         Bỏ đoạn “hoặc người tiếp nhận thông tin từ chối: khỏi Điều 9.2 (nếu người nhận từ chối thì cũng có nghĩa là người nhận không đồng ý một cách minh thị rồi);

-         Bỏ đoạn “trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật” (lý do là Điều 9.2 này chỉ quy định về việc gửi thông tin mang tính thương mại, vì vậy quy định về ngoại lệ này là không cần thiết bởi không có thông tin vì mục đích thương mại nào lại bắt buộc người nhận phải tiếp nhận cả).

6.     Phân loại hệ thống thông tin theo cấp độ bảo vệ và biện pháp bảo vệ tương ứng

Điều 15 của Dự thảo đã quy định về phân loại cấp độ an toàn thông tin của hệ thống thông tin. Tuy nhiên, Điều luật này hiện chỉ quy định rất sơ lược về phương pháp luận của việc phân loại và bảo vệ hệ thống thông tin, sau đó lại giao Chính phủ quy định chi tiết. Tất nhiên, có thể điều này phát sinh từ thực tế là vấn đề này hiện đã được quy định trong Nghị định 72 và Thông tư về phân cấp an toàn thông tin rồi.

Mặc dù vậy, từ góc độ nguyên tắc pháp luật, các vấn đề quan trọng, ảnh hưởng tới quyền và lợi ích của số lớn tổ chức, cá nhân như phân loại, xác định cấp độ an toàn thông tin, nhất thiết phải được đưa ngay vào trong luật chứ không nên để ở văn bản hướng dẫn. Hơn nữa, việc đã có sẵn các văn bản cấp dưới về vấn đề này càng phải là cơ sở thuận lợi để Dự thảo nêu các nguyên tắc về vấn đề này một cách hợp lý, khả thi.

Ngoài ra, ngay cả với các nguyên tắc đã được nêu trong Dự thảo hiện tại thì cũng còn rất nhiều vấn đề bất cập, ví dụ:

-         Thiếu quy định pháp lý: Từ Điều 15-19 Dự thảo đều chỉ là các định nghĩa (nêu các nội dung phân loại, bảo vệ hệ thống thông tin) mà không phải quy định pháp lý thực sự (không có chủ thể phải thực hiện vì vậy không có nghĩa vụ nào được nêu);

-         Chưa thống nhất về cách phân loại các hệ thống thông tin: Điều 15 quy định rằng các hệ thống thông tin được phân loại thành cấp độ bảo vệ, và dựa vào tiêu chí về quy mô và phạm vi ảnh hưởng đối với quốc phòng, an ninh, trật tự an toàn xã hội, lợi ích công cộng, quyền và lợi ích hợp pháp của tổ chức, cá nhân khi bị xâm phạm. Điều 22 quy định về Hệ thống thông tin quan trọng quốc gia. Không rõ Hệ thống thông tin quan trọng quốc gia có phải là một cấp độ trong số nhiều cấp độ không?

Tóm lại, đề nghị Ban Soạn thảo thiết kế lại Mục 2 Chương III theo hướng:

-         Bổ sung đầy đủ các nguyên tắc về bảo vệ hệ thống thông tin vào Dự thảo (chứ giao không hết quyền quy định cho các văn bản cấp dưới như hiện nay)

-         Sửa lại các nội dung hiện tại của Dự thảo (Điều 15-19) để chuyển thành quy định pháp lý (chứ không phải định nghĩa như hiện nay)

-         Nêu rõ các tiêu chí cơ bản được sử dụng để phân loại hệ thống thông tin, như quy mô ảnh hưởng, nguồn vốn, số lượng cá nhân, tài sản quản lý; xác định các cấp độ tương ứng (cùng với nghĩa vụ của các chủ thể liên quan trong việc áp dụng các biện pháp bảo vệ các hệ thống thông tin tương ứng với từng cấp độ).

-         Làm rõ mối quan hệ giữa hệ thống thông tin quốc gia với các cấp độ thông tin nói ở trên.

7.     Quyền yêu cầu cung cấp thông tin của cơ quan nhà nước

Theo quy định trong Dự thảo hiện nay, cơ quan nhà nước có quyền yêu cầu tổ chức, cá nhân cung cấp thông tin cá nhân mà mình đã có được (Điều 29.2), có quyền thanh tra, kiểm tra các tổ chức, doanh nghiệp xử lý thông tin cá nhân (Điều 32.1), có quyền yêu cầu doanh nghiệp cung cấp dịch vụ trên internet cung cấp đầy đủ thông tin. Ngoài ra, Điều 14 còn quy định tổ chức, cá nhân sử dụng dịch vụ trên mạng chịu sự quản lý, thanh tra, kiểm tra và thực hiện yêu cầu của cơ quan nhà nước, Điều 37.2 cho phép cơ quan mật mã quốc gia quyền định kỳ hoặc đột xuất kiểm tra, đánh giá đối với hoạt động sử dụng mật mã dân sự.

Tất cả các quyền này đều không kèm theo quy định về các điều kiện/hoàn cảnh mà cơ quan có thẩm quyền được phép thực hiện các quyền này, cũng không có quy định về các thủ tục cơ bản để thực hiện các quyền này (ví dụ thời hạn thông báo trước, thời hạn kiểm tra, chi phí phục vụ cho việc cung cấp thông tin...).

Cách quy định như vậy là trao quyền quá lớn cho các cơ quan quản lý nhà nước thuộc nhánh hành pháp (có quá nhiều trường hợp được phép, và không có điều kiện ràng buộc nào kèm theo) và có thể dẫn tới nguy cơ xâm phạm quyền riêng tư, tài sản trí tuệ của tổ chức, cá nhân.

Đối với riêng các doanh nghiệp, về góc độ kinh tế, các thông tin trong hệ thống thông tin đều là tài sản trí tuệ của doanh nghiệp, một số có thể được coi là bí mật kinh doanh. Cách thức quy định này khiến nhiều doanh nghiệp lo ngại nguy cơ thiệt hại nếu cán bộ nhà nước có hành vi không chính đáng trong việc tiếp nhận và xử lý thông tin mà doanh nghiệp cung cấp hoặc ít nhất cũng là tốn kém thời gian, chi phí phục vụ cho việc cung cấp thông tin này cho cơ quan Nhà nước.

Do đó, để cân bằng giữa nhu cầu quản lý nhà nước và bảo vệ quyền riêng tư, quyền tài sản của người dân và doanh nghiệp, đề nghị Ban soạn thảo bổ sung quy định về mục đích, điều kiện, trình tự, thủ tục ra quyết định yêu cầu cung cấp thông tin cũng như cơ chế chịu trách nhiệm của cơ quan, cán bộ nhà nước theo hướng:

-         Cơ quan nhà nước chỉ được phép yêu cầu doanh nghiệp cung cấp thông tin cá nhân mà họ có được, cung cấp các cơ sở dữ liệu khác hoặc yêu cầu doanh nghiệp trao quyền truy cập hệ thống thông tin của mình trong trường hợp doanh nghiệp có dấu hiệu vi phạm pháp luật hoặc thông tin mà doanh nghiệp có là thông tin vi phạm pháp luật;

-         Thẩm quyền ra quyết định yêu cầu doanh nghiệp cung cấp thông tin chỉ dừng lại ở cấp Bộ trưởng Bộ TTTT, Bộ trưởng Bộ Quốc phòng, Bộ trưởng Bộ Công an chứ không ủy quyền thấp hơn. Trong quyết định yêu cầu cung cấp thông tin phải nêu rõ lý do yêu cầu, tên của người được quyền tiếp cận thông tin lấy được, mục đích của việc sử dụng thông tin;

-         Việc kiểm tra, thanh tra, đánh giá của cơ quan nhà nước không bao gồm việc cung cấp cơ sở dữ liệu hay quyền truy cập. Nếu kết quả thanh tra, kiểm tra, đánh giá của cơ quan nhà nước phát hiện dấu hiệu vi phạm thì mới được yêu cầu doanh nghiệp cung cấp thông tin cơ sở dữ liệu hoặc quyền truy cập.

8.     Quản lý mật mã dân sự

Hiện nay, nhiều quốc gia trên thế giới đang theo xu hướng giảm các biện pháp quản lý mật mã. Lý do chủ yếu được đưa ra là việc áp dụng các biện pháp pháp lý không mang lại hiệu quả khi mà rất nhiều sản phẩm mật mã hiện nay có thể dễ dàng được sản xuất, chuyển giao và sử dụng mà các chính phủ không thể kiểm soát được. Kết quả là các công cụ pháp lý nhằm quản lý mật mã chỉ gây cản trở đối với những cá nhân, tổ chức sử dụng vì mục đích hợp pháp, còn các trường hợp sử dụng vì mục đích bất hợp pháp lại không gặp trở ngại.

Ở Việt Nam, cùng với sự phát triển của các ứng dụng công nghệ thông tin trong các hoạt động kinh tế - xã hội, nhu cầu sử dụng mật mã cho các mục đích kinh tế xã hội đang gia tăng nhanh chóng, đặc biệt trong các lĩnh vực tài chính, ngân hàng, chứng khoán… Và mặc dù đã xảy ra các hiện tượng phá mật mã dân sự nhằm các mục tiêu bất hợp pháp, gây thiệt hại cho tổ chức, cá nhân, lợi ích và sự tồn tại của các sản phẩm mật mã dân sự trong các ngành kinh tế là không thể phủ nhận và cần được khuyến khích (cũng giống như không thể vì lo ngại nguy cơ nhà bị đột nhập mà hạn chế, kiểm soát ngành làm chìa khóa).

Trong bối cảnh này, việc quản lý sản phẩm mật mã dân sự chỉ nên dừng lại ở các mục tiêu (i) Ngăn chặn việc sản phẩm mật mã được sử dụng cho các mục đích phi dân sự có hại cho an ninh quốc gia như tình báo…; (ii) Ngăn chặn các lỗ hổng bảo mật, kể cả cố ý và vô ý, có thể bị lợi dụng để gây mất an toàn thông tin; và (iii) Cho phép cơ quan nhà nước có thể giải mã và biết được thông tin về các hoạt động kinh tế, dân sự của người dân và doanh nghiệp trong các trường hợp pháp luật cho phép.

Tuy nhiên, các công cụ quản lý đối với ngành mật mã dân sự mà Dự thảo đưa ra như giấy phép kinh doanh, giấy chứng nhận đủ điều kiện kinh doanh, quy định về nghĩa vụ khai báo/thông báo khi sử dụng mật mã dân sự... lại không giúp ích nhiều trong việc bảo đảm được các mục đích này, thậm chí còn có thể gây ra tác động ngược lại:

-         Thứ nhất, các quy định về quản lý mật mã trong Dự thảo chỉ áp dụng cho mật mã dân sự, vốn là mật mã được sử dụng cho các mục đích nghiên cứu, khoa học, kinh tế, xã hội... Nếu một người nào đó muốn sử dụng mật mã để thực hiện các hoạt động tình báo (là hoạt động vi phạm pháp luật theo pháp luật về an ninh) thì chắc chắn họ sẽ không đi khai báo, xin phép cơ quan nhà nước. Như vậy,  mục tiêu ngăn chặn về “mục đích sử dụng” qua các thủ tục hầu như không thể đạt được. Trong khi đó, việc quy định đơn giản là các mật mã dân sự không được sử dụng cho mục đích khác ngoài dân sự đã là đủ để ghép một chủ thể vào tội vi phạm bất kỳ khi nào hành vi được phát hiện.

-         Đối với mục tiêu thứ hai, ngăn chặn lỗ hổng bảo mật là điều cần thiết, đặc biệt đối với nước ngoài. Tuy nhiên, đây chỉ là là vấn đề nếu lỗ hổng bảo mật là thuộc hệ thống thông tin của cơ quan Nhà nước hoặc các chủ thể sở hữu thông tin cần bảo vệ/có ảnh hưởng tới các lợi ích công cộng hoặc quyền và lợi ích của cá nhân, tổ chức khác. Việc can thiệp vào sản phẩm mật mã của các chủ thể dân sự, sử dụng cho thông tin thuộc quyền của chính họ là không cần thiết và thiếu căn cứ (bởi nếu có lỗ hổng thì cũng là vấn đề của họ, không ảnh hưởng tới lợi ích công cộng hay của tổ chức, cá nhân khác);

-         Mục tiêu thứ ba về quyền truy cập của nhà nước lại khiến nhiều doanh nghiệp lo ngại. Về mặt nguyên tắc cơ quan Nhà nước chỉ được phép truy cập, giải mã mật mã dân sự của doanh nghiệp, tổ chức, cá nhân trong những trường hợp hạn chế. Tuy nhiên Dự thảo lại đang thiết kế theo hướng cho phép cơ quan nhà nước tiếp cận bất kỳ thông tin nào của doanh nghiệp, kể cả các thông tin thuộc về bí mật kinh doanh hoặc các thông tin của khách hàng mà doanh nghiệp đã cam kết bảo mật. Và như đã đề cập ở mục 8 nói trên, cách quy định này can thiệp quá sâu và bất hợp lý vào quyền bí mật thông tin và riêng tư của tổ chức, cá nhân. Đó là chưa kể tới nguy cơ cán bộ tại cơ quan nhà nước lợi dụng quy định này để trục lợi khiến doanh nghiệp bị thiệt hại rất lớn. Để khắc phục điều này, nhiều quốc gia trên thế giới chỉ quy định ở mức độ là khi có yêu cầu của cơ quan nhà nước (và có sự phê chuẩn của tòa án) thì người sử dụng mật mã phải cung cấp chìa khóa để giải mã.

Với các lý do đó, đề nghị Ban Soạn thảo sửa đổi các quy định về quản lý mật mã theo hướng như sau:

-         Việc sản xuất sản phẩm mật mã trong nước chỉ phải tiến hành khai báo với cơ quan quản lý mật mã, và đáp ứng điều kiện kinh doanh cụ thể, chứ không cần phải xin giấy phép kinh doanh.

-         Chất lượng của sản phẩm mật mã sẽ do bên cung cấp và bên sử dụng tự thỏa thuận với nhau. Trong trường hợp bên sử dụng không đủ năng lực để kiểm tra chất lượng sản phẩm mật mã thì có thể thuê dịch vụ có trả phí của các đơn vị/doanh nghiệp có chuyên môn;.

-         Quy định cụ thể và hạn chế (theo cách liệt kê) những trường hợp người sử dụng mật mã buộc phải cung cấp chìa khóa cho cơ quan nhà nước, cùng với thủ tục và thẩm quyền rõ ràng.

9.     Sản phẩm an toàn thông tin phải có giấy chứng nhận lưu hành

Điều 43 Dự thảo quy định “Đối với sản phẩm an toàn thông tin chuyên dụng trên thị trường phải được Bộ Thông tin và truyền thông cấp giấy chứng nhận lưu hành”.

Quy định này chưa làm rõ thế nào là sản phẩm an toàn thông tin “chuyên dụng” và vì vậy không rõ đối tượng nào sẽ phải áp dụng quy định này. Tuy nhiên, về cơ bản việc quy định điều kiện đối với sản phẩm an toàn thông tin là cần xem xét lại.

Cụ thể, hiện tại pháp luật chỉ quy định điều kiện kinh doanh đối với sản phẩm trong các trường hợp rất hạn chế, chủ yếu là đối với các sản phẩm thuộc diện phải hạn chế lưu thông như súng săn, hàng hóa chứa chất phóng xạ, vật liệu nổ công nghiệp, hóa chất bảng 2 và bảng 3, thực vật, động vật hoang dã quý hiếm, thuốc lá, rượu,... Đi kèm với đó, pháp luật quy định giới hạn về phạm vi, quy mô, thời gian, địa điểm kinh doanh, số lượng thương nhân tham gia kinh doanh hàng hóa, dịch vụ phù hợp với yêu cầu quản lý đặc thù và quy hoạch phát triển mạng lưới kinh doanh trong từng thời kỳ. Tóm lại, giấy phép kinh doanh đối với sản phẩm kinh doanh chỉ áp dụng trong trường hợp nhà nước không khuyến khích tiêu dùngcần hạn chế sản lượng cung ứng hàng hóa, dịch vụ ra thị trường ở một mức độ xác định.

Việc Dự thảo buộc các sản phẩm an toàn thông tin chuyên dụng phải được cấp “chứng nhận lưu hành” đồng nghĩa với việc mọi sản phẩm dạng này phải được cấp phép trước khi bán ra. Hệ quả của việc này là số lượng các sản phẩm này sẽ bị hạn chế đáng kể, dẫn tới số lượng các sản phẩm an toàn thông tin có trên thị trường và người dùng có thể tiếp cận được sẽ bị hạn chế. Điều này hoàn toàn đi ngược mục tiêu khuyến khích loại hình kinh doanh này để phục vụ nhu cầu đang gia tăng mạnh mẽ của việc tăng cường bảo mật cho các thông tin trong các hoạt động kinh tế - xã hội như đã đề cập.

Tất nhiên, việc quản lý chất lượng của các sản phẩm này là cần thiết, tuy nhiên đó là câu chuyện của các tiêu chuẩn, quy chuẩn kỹ thuật chứ không phải quản lý bằng biện pháp hành chính bằng giấy phép lưu hành nhằm hạn chế các sản phẩm này (trong khi như đã đề cập, đây là loại hàng hóa cần được khuyến khích tiêu dùng, bởi chúng sẽ làm tăng tính an toàn cho các hệ thống thông tin của tổ chức, cá nhân ở Việt Nam).

Do đó, đề nghị Ban soạn thảo bỏ quy định tại Điều 43 về giấy phép lưu hành đối với sản phẩm an toàn thông tin chuyên dụng.

Ngoài ra, cần chú ý là Điều 44.3 Dự thảo có quy định “Tổ chức kinh doanh sản phẩm an toàn thông tin tại Điều 42.2 phải có giấy phép cung cấp sản phẩm an toàn thông tin do cơ quan Nhà nước có thẩm quyền cấp”. Quy định này không rõ ràng, vì vậy không thể xác định được đây là giấy phép cấp một lần cho tổ chức kinh doanh hay giấy phép cấp cho sản phẩm an toàn thông tin. Đề nghị Ban soạn thảo làm rõ quy định này, và trường hợp đây là giấy phép dự kiến cấp cho sản phẩm an toàn thông tin thì đề nghị bỏ Điều 44.3 (với lý do như trên); nếu là giấy phép cấp cho doanh nghiệp thì đề nghị thực hiện theo đề xuất tại điểm 10 dưới đây.

10.                        Điều kiện kinh doanh an toàn thông tin

(i)                Về các ngành nghề kinh doanh có điều kiện

Theo Điều 44.1 và 44.2 thì các dịch vụ kinh doanh an toàn thông tin là ngành nghề kinh doanh có điều kiện (trừ “dịch vụ an toàn thông tin khác” mà hiện chưa xác định là dịch vụ nào) theo giấy phép kinh doanh (tức là phải có Giấy tờ của cơ quan có thẩm quyền trước khi kinh doanh) dưới 02 tên gọi:

-         Giấy phép kinh doanh (cho dịch vụ tại điểm a,b,c khoản 1 Điều 44) và

-         Giấy chứng nhận đủ điều kiện kinh doanh (dịch vụ tại điểm d, đ, e khoản 1 Điều 44).

Lĩnh vực công nghệ thông tin nói chung và an toàn thông tin nói riêng là lĩnh vực năng động, phát triển nhanh và luôn đổi mới. Một trong những đặc điểm tạo nên sự thành công của lĩnh vực này chính là do điều kiện gia nhập thị trường rất thấp, nên có rất nhiều doanh nghiệp khởi nghiệp (start-up) có thể nhanh chóng đưa ra sản phẩm, dịch vụ mới và cạnh tranh trên thị trường. Ngoài việc cung cấp sản phẩm, dịch vụ mới, các doanh nghiệp nhỏ này chính là động lực khiến cho các doanh nghiệp lớn hơn buộc phải cải thiện mình để thích nghi, tồn tại và phát triển. Chính vì thế, việc nuôi dưỡng các doanh nghiệp vừa và nhỏ là điều đặc biệt quan trọng quyết định sự thành công của ngành công nghệ thông tin mỗi quốc gia.

Cũng theo tinh thần tại Luật Đầu tư sửa đổi 2014 để thực thi Hiến pháp 2013 thì các ngành nghề kinh doanh có điều kiện cần được giới hạn ở những lĩnh vực quan trọng và cần thiết nhất. Do đó, việc quyết định các dịch vụ an toàn thông tin nào cần được xem là ngành nghề kinh doanh có điều kiện cần phải được cân nhắc đầy đủ và toàn diện.

Trong khi đó, với quy định tại Điều 44 thì hầu như tất cả các ngành dịch vụ an toàn thông tin được xác định đến thời điểm hiện tại đều bị xếp vào diện “ngành nghề có điều kiện”. Trong khi Tờ trình chỉ có giải trình rất đơn giản về lý do là để giải quyết được vấn đề lộn xộn của thị trường thời gian qua.

Lý do này dường như là quá dễ dãi và không đủ thuyết phục để đưa tất cả các ngành nghề dịch vụ an toàn thông tin vào diện “có điều kiện”, điều sẽ dẫn tới hạn chế số lượng doanh nghiệp trên thị trường. và trong dài hạn sẽ khiến các doanh nghiệp đã được phép gia nhập thị trường thiếu động lực cạnh tranh, từ đó các sản phẩm, dịch vụ an toàn thông tin trở nên nghèo nàn, kém sáng tạo và không đáp ứng được nhu cầu xã hội và khiến cho ngành kinh doanh này ở Việt Nam cũng như công nghệ thông tin nói chung tiếp tục bị cản trở.

Do đó, đề nghị Ban soạn thảo cân nhắc lại việc xếp tất cả các dịch vụ an toàn thông tin vào diện ngành nghề kinh doanh có điều kiện này, và chỉ nên giữ lại các dịch vụ có khả năng rõ ràng và có nguy cơ cao trong việc tạo ra rủi ro, thiệt hại cho các lợi ích công cộng (ví dụ dịch vụ chứng thực chữ ký số).

(ii)             Về các điều kiện kinh doanh/điều kiện cấp phép

Ngay cả khi một số ngành dịch vụ an toàn thông tin cần thiết phải coi là ngành nghề kinh doanh có điều kiện (Ban soạn thảo giải trình thuyết phục về vấn đề này) thì các quy định về điều kiện kinh doanh kèm theo cần được nêu rõ ràng, minh bạch và phải là cần thiết để bảo vệ lợi ích liên quan.

Tuy nhiên, các quy định hiện tại của Dự thảo về điều kiện để được cấp 02 loại giấy phép này (Điều 45, 46, 47) là rất mơ hồ, không rõ ràng hoặc thiếu căn cứ. Ví dụ:

-         Chiến lược, quy hoạch phát triển an toàn thông tin này do ai ban hành? Đã có chưa? Nếu chưa có thì làm thế nào?

-         “năng lực tài chính” thế nào là đủ (chú ý rằng các dịch vụ kinh doanh sản phẩm an toàn thông tin là dịch vụ chủ yếu dựa vào trí tuệ và năng lực của con người, không đòi hỏi quá nhiều nguồn vốn)?

-         Đội ngũ nhân viên… như thế nào được coi là “đáp ứng được yêu cầu chuyên môn”? ai đánh giá việc đáp ứng này? (Chú ý là trong lĩnh vực công nghệ thông tin, bằng cấp không phản ánh được năng lực chuyên môn)?

-         Hệ thống thiết bị kỹ thuật như thế nào là “phù hợp với quy định pháp luật” (chú ý là pháp luật hiện không có quy định nào)? Ai đánh giá sự phù hợp này? Bình luận tương tự với các yêu cầu đối với “phương án kỹ thuật”;

-         Phương án kinh doanh là bí mật của doanh nghiệp, vậy tại sao cơ quan có thẩm quyền lại xét duyệt phương án này? Và cơ quan thẩm quyền căn cứ vào đâu để xác định một phương án kinh doanh là khả thi (chú ý là cơ quan quản lý suy đoán là không có chuyên môn về kinh doanh);

-         Tại sao chủ sở hữu và người đứng đầu doanh nghiệp phải là công dân Việt Nam? (chú ý là không có văn bản nào xác định ai là “người đứng đầu doanh nghiệp” – ví dụ chủ tịch hội đồng quản trị hay tổng giám đốc?) Nếu có tiền án tiền sự trong các lĩnh vực khác không liên quan (ví dụ an toàn giao thông…) thì tại sao cấm?

Vì vậy, đề nghị Ban soạn thảo làm rõ các nội dung trên trong Dự thảo để đảm bảo các điều kiện kinh doanh là minh bạch, cụ thể và khả thi.

11.                        Danh mục sản phẩm yêu cầu quản lý an toàn thông tin và Danh mục sản phẩm an toàn thông tin nhập khẩu theo giấy phép

Dự thảo giao Bộ TTTT quy định chi tiết về 2 Danh mục, gồm (1) Danh mục sản phẩm yêu cầu quản lý an toàn thông tin (Điều 39, 40); và về (2) Danh mục sản phẩm an toàn thông tin nhập khẩu theo giấy phép (Điều 49).

Tuy nhiên, Dự thảo lại không đề cập đến định nghĩa các nhóm sản phẩm, dịch vụ này (để giới hạn các Danh mục), cũng không nêu tiêu chí đưa sản phẩm, dịch vụ vào các Danh mục.

Điều này đồng nghĩa với việc Luật trao toàn quyền cho Bộ trong việc đưa bất kỳ sản phẩm an toàn thông tin nào vào và ra khỏi danh mục (không bị ràng buộc bởi bất kỳ một tiêu chí/mục đích luật định nào để làm việc này). Đây là điều không phù hợp trong bối cảnh Hiến pháp đã quy định rõ về quyền tự do kinh doanh trong tất cả các lĩnh vực nào mà luật không cấm.

Do đó, đề nghị Ban soạn thảo bổ sung vào Dự thảo các quy định về:

-         Định nghĩa các nhóm sản phẩm thuộc 02 danh mục này và

-         Các tiêu chí để xét một sản phẩm thông tin có thuộc diện cần phải đưa vào một trong hai danh mục hay không.

12.                        Chứng chỉ đào tạo an toàn thông tin

Điều 52 của Dự thảo quy định về chứng chỉ đào tạo an toàn thông tin. Đây là một hình thức giấy phép kinh doanh theo quy định tại Luật Doanh nghiệp 2005 và Luật Đầu tư 2014.

Quy định ở Điều này chỉ nêu thẩm quyền của cơ quan nhà nước trong việc quy định chi tiết cho đào tạo, cấp chứng chỉ, công nhận chứng chỉ mà không có chi tiết nào về các nội dung cốt lõi, cơ bản nhất của một giấy phép kinh doanh (điều kiện cấp phép) mà Luật cần quy định (các văn bản hướng dẫn chỉ hướng dẫn chi tiết chứ không phải là đặt ra yêu cầu mới hoàn toàn). Đây cũng là nội dung ảnh hưởng trực tiếp tới quyền và nghĩa vụ của các cá nhân và doanh nghiệp liên quan.

Do đó, đề nghị Ban soạn thảo quy định rõ các nguyên tắc cơ bản về điều kiện cấp giấy phép này ngay trong Dự thảo.

13.                        Kỹ thuật lập pháp

Trong văn bản Dự thảo còn chứa khá nhiều lỗi về kỹ thuật lập pháp, đề nghị Cơ quan soạn thảo điều chỉnh, cụ thể:

-         Điều 48.3 quy định: “Trong trường hợp Việt Nam chưa có quy chuẩn kỹ thuật an toàn thông tin tương ứng đối với sản phẩm nhập khẩu thì áp dụng theo thỏa thuận quốc tế, điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.” Không rõ Việt Nam hiện đã tham gia điều ước quốc tế nào quy định cụ thể về quy chuẩn kỹ thuật an toàn thông tin?

Ngoài ra, nếu đã quy các quy chuẩn như vậy thì theo nguyên tắc tại Điều 6 Luật Điều ước quốc tế, trường hợp Việt Nam có quy định nhưng quy định trái với cam kết quốc tế thì áp dụng cam kết quốc tế.

Vì vậy đề nghị Ban soạn thảo làm rõ thêm quy định này.

-         Điều 49.1 quy định: “Tổ chức, doanh nghiệp nhập khẩu sản phẩm an toàn thông tin phải đăng ký ngành nghề kinh doanh nhập khẩu.” Trong hệ thống mã ngành kinh tế của Việt Nam không có ngành nghề kinh doanh nhập khẩu. Đây chỉ được coi là một giai đoạn của quá trình vận chuyển và phân phối hàng hóa, không phải là ngành nghề kinh doanh. Đề nghị Ban Soạn thảo bỏ quy định này;

-         Điều 43 có tên là “sản phẩm an toàn thông tin lưu hành trên thị trường”, trong khi đó, nội dung của Điều này lại là về sản phẩm an toàn thông tin chuyên dụng bán trên thị trường. Đề nghị cơ quan soạn thảo bổ sung từ “chuyên dụng” vào tên Điều 43 cho phù hợp.

-         Ngoài ra, cần chú ý là có rất nhiều các quy định trong Dự thảo không đảm bảo tính chính xác về mặt pháp lý/ngữ pháp, ví dụ:

+ Điều 43: Câu “Đối với sản phẩm an toàn thông tin chuyên dụng bán trên thị trường phải được Bộ cấp giấy…”: câu thừa chữ “đối với”;

+ Điều 46.1 “Doanh nghiệp được cấp giấy phép… phải đáp ứng điều kiện sau”: Quy định này được hiểu là doanh nghiệp được cấp phép trước khi đáp ứng các điều kiện?

Trên đây là một số ý kiến ban đầu của Phòng Thương mại và Công nghiệp Việt Nam về Dự thảo Luật An toàn thông tin. Rất mong Quý Ủy ban xem xét, cân nhắc khi thẩm tra Dự thảo này.

Trân trọng cảm ơn Quý Ủy ban./.

Các văn bản liên quan