VCCI góp ý Dự thảo Thông tư quy định về phân loại và xác định cấp độ an toàn hệ thống thông tin

Kính gửi: Cục An toàn thông tin

        Bộ Thông tin và Truyền thông

Trả lời Công văn số 111/BTTTT-CATTT của Bộ Thông tin và Truyền thông ngày 21/01/2015 về việc đề nghị góp ý Dự thảo Thông tư quy định về phân loại và xác định cấp độ an toàn hệ thống thông tin (sau đây gọi tắt là Dự thảo), Phòng Thương mại và Công nghiệp Việt Nam có một số ý kiến như sau:

Thông tư này quy định chi tiết việc phân loại và xác định cấp độ an toàn hệ thống thông tin, tương ứng với từng cấp độ là trách nhiệm của các chủ thể có liên quan. Để đảm bảo thuận lợi trong thực tế áp dụng, các quy định tại Thông tư cần cụ thể, chi tiết và rõ ràng.

Rà soát Dự thảo cho thấy một số quy định chưa đáp ứng được yêu cầu trên và vì vậy cần được Ban soạn thảo cân nhắc, xem xét để hoàn thiện.

1.      Về xác định đối tượng thiệt hại (Điều 6)

Điều 6 Dự thảo quy định về các nhóm đối tượng thiệt hại.  Tuy nhiên, các quy định cụ thể tại Dự thảo chưa rõ ràng, chồng lấn và vì vậy không cho phép phân biệt rõ các nhóm đối tượng thiệt hại với nhau, ví dụ:

-         Liên quan tới các thiệt hại kinh tế: Thiệt hại liên quan đến “hoạt động của các loại hình kinh tế” ( mà chính xác phải là thiệt hại phát sinh đối với “hoạt động của các tổ chức, chủ thể kinh tế”) thuộc nhóm “đối tượng thiệt hại liên quan tới trật tự xã hội, lợi ích công cộng” (khoản 2, điểm a) có thể chồng lấn với thiệt hại về “quyền kinh tế” và “lợi ích hợp pháp về kinh tế” (điểm a, c khoản 1) thuộc nhóm “đối tượng thiệt hại liên quan tới quyền, lợi ích hợp pháp của tổ chức, cá nhân”. Trong khi đó hai nhóm đối tượng thiệt hại này có cơ chế riêngvề cấp độ an toàn thông tin. Vì vậy, đề nghị Ban soạn thảo  rà soát lại các yếu tố tại các nhóm đối tượng thiệt hại để đảm bảo phân biệt rõ, tránh sự chồng lấn về phạm vi.

-         Liên quan tới các thiệt hại thuộc nhóm “đối tượng thiệt hại liên quan tới quyền, lợi ích hợp pháp của tổ chức, cá nhân”: Nội dung và phạm vi các yếu tố được liệt kê trong nhóm này tại Dự thảo chưa thật rõ ràng, trùng lặp và vì vậy có thể sẽ gây khó khăn trong quá trình áp dụng. Ví dụ

+ Không rõ “quyền về chính trị, dân sự, kinh tế, văn hóa, xã hội” cụ thể là những quyền gì? Quy định tại văn bản pháp luật nào? (“Quyền về dân sự” có được hiểu là quyền của cá nhân được quy định trong Bộ luật dân sự không? …). Điều này sẽ gây khó khăn cho các đối tượng khi xác định các cấp độ thông tin do mình sở hữu và/hoặc quản lý, sử dụng. Đề nghị Ban soạn thảo quy định cụ thể hơn các quyền và lợi ích hợp pháp của tổ chức cá nhân, theo hướng dẫn chiếu tới các quy định tại các văn bản pháp luật có liên quan.

+ Việc tách bạch các yếu tố về “trật tự xã hội” và “lợi ích công cộng” là không cần thiết, bởi thực chất thì trật tự xã hội là một loại lợi ích công cộng.

Đề nghị Ban soạn thảo chỉ nêu “lợi ích công cộng” là đủ.

2.      Về xác định mức độ tổn hại (Điều 7)

Điều 7 Dự thảo quy định về xác định mức độ tổn hại, tuy nhiên một số quy định quá chung chung, dễ gây ra cách hiểu khác nhau trong quá trình áp dụng, ví dụ:

-         “Gây thiệt hại về người” (điểm e khoản 2 và điểm d khoản 3 Điều 7): thiệt hại về người được xem là gây chết người, hay làm bị thương, hay chỉ cần ảnh hưởng tới sức khỏe con người? Phân biệt phạm vi và số lượng thiệt hại về người giữa 02 quy định này thế nào (thế nào là “phạm vi, số lượng lớn”)?

-         “Tổn hại nghiêm trọng tới cá nhân, tổ chức” (điểm đ khoản 2) và “tổn hại đặc biệt nghiêm trọng tới cá nhân, tổ chức” (điểm d khoản 3) phân biệt với nhau như thế nào (thế nào là “đặc biệt”)?

Đề nghị Ban soạn thảo quy định theo hướng có thể định lượng được các vấn đề trên để đảm bảo thuận lợi khi triển khai thực hiện.

3.      Danh sách hệ thống thông tin phải phân loại và xác định cấp độ (Phụ lục 2)

Hệ thống thông tin thuộc các lĩnh vực được xác định trong Phụ lục 2 là quá rộng và chưa cụ thể. Điều này có thể khiến cho các chủ thể phải áp dụng Thông tư này gặp khó khăn trong việc xác định hệ thống thông tin phải xác định các cấp độ an toàn thông tin và có thể phát sinh thêm khá nhiều thủ tục hành chính (bởi theo quy định tại Dự thảo thì các cơ quan, tổ chức phải thực hiện báo cáo về Bộ Thông tin và Truyền thông về việc phân loại cấp độ an toàn thông tin), gây phiền hà cho các đối tượng áp dụng, trong đó có cộng đồng doanh nghiệp. Cụ thể

-         Cách quy định “vét/quét”: theo mục 3 Phụ lục 2 thì có thể thấy hệ thống thông tin trong tất cả các hoạt động, các khía cạnh kinh tế xã hội thuộc 08 lĩnh vực được liệt kê đều thuộc diện phải phân loại, xác định cấp độ theo Thông tư này (bởi ở mỗi lĩnh vực đều có quy định kiểu “...” – được hiểu là quy định “quét” tất cả các khía cạnh trong lĩnh vực đó ngoài các khía cạnh đã nêu). Việc sử dụng quy định kiểu “...” về mặt pháp lý là không phù hợp.

-         Ngay cả đối với các khía cạnh được nêu trong từng lĩnh vực thì cách quy định cũng quá rộng (ví dụ “xuất nhập khẩu” là các hệ thống thông tin trực tiếp trong quy trình xuất khẩu, nhập khẩu hay cả các quy trình có liên quan tới xuất nhập khẩu..)

Tóm lại, đề nghị Ban soạn thảo rà soát lại toàn bộ Danh mục trong Phụ lục 2 để giới hạn phạm vi các lĩnh vực mà hệ thống thông tin cần phải được phân loại và xác định cấp độ ở những khía cạnh thực sự quan trọng, cần thiết (không phải tất cả các khía cạnh ở 08 lĩnh vực được nêu đều cần kiểm soát) và với các đối tượng mà việc quản lý là khả thi và có ý nghĩa (không phải mọi đối tượng hoạt động trong 08 lĩnh vực liệt kê đều có thể kiểm soát được).

4.      Báo cáo kết quả phân loại và xác định cấp độ an toàn hệ thống thông tin (Điều 12)

Điều 12 Dự thảo quy định về các chủ thể có trách nhiệm/nghĩa vụ trong phân loại, xác định cấp độ an toàn thông tin và gửi báo cáo cho cơ quan nhà nước có thẩm quyền là “cơ quan chủ quản hoặc trực tiếp vận hành, khai thác và sử dụng hệ thống thông tin”.

Quy định này được hiểu sẽ có 2 chủ thể có nghĩa vụ gồm:

-         Đơn vị chủ quản (được hiểu là chủ sở hữu của hệ thống thông tin); hoặc

-         Đơn vị chịu trách nhiệm vận hành, khai thác, sử dụng (được hiểu là nhà cung cấp dịch vụ về thông tin cho chủ sở hữu)

Quy định lựa chọn (hoặc chủ sở hữu, hoặc nhà cung cấp dịch vụ) này sẽ dẫn tới tình trạng: hoặc là không có ai thực hiện việc phân loại và gửi báo cáo (cơ quan nhà nước cũng sẽ thiếu cơ sở pháp lý để xử phạt các đối tượng này) hoặc cả hai chủ thể này sẽ cùng thực hiện thủ tục theo quy định.

Vô hình trung, hoặc quy định sẽ không được thực thi hoặc gây lãng phí về thời gian và chi phí của các đối tượng phải áp dụng, đồng thời gây khó khăn trong quản lý vì có sự chồng lấn về thông tin do các đối tượng cung cấp.

Để khắc phục hạn chế trên, đề nghị Ban soạn thảo xác định cụ thể chủ thể phải tiến hành phân loại, xác định cấp độ an toàn và gửi báo cáo cho cơ quan nhà nước có thẩm quyền là cơ quan chủ quan hay là tổ chức trực tiếp vận hành, khai thác và sử dụng hệ thống thông tin.

Trên đây là một số ý kiến ban đầu của Phòng Thương mại và Công nghiệp Việt Nam đối với Dự thảo Thông tư quy định về phân loại và xác định cấp độ an toàn hệ thống thông tin. Rất mong quý Cơ quan soạn thảo cân nhắc để chỉnh sửa, hoàn thiện.

Trân trọng cảm ơn sự hợp tác của quý Cơ quan.