VCCI_ Góp ý Dự thảo Nghị định quy định về điều kiện kinh doanh sản phẩm, dịch vụ an ninh mạng

Thứ Sáu 17:29 11-02-2022

Kính gửi: Cục An ninh mạng và phòng, chống tội phạm sử dụng CNC – Bộ Công an

Trả lời Công văn số 209/BCA-A05 của Bộ Công an đề nghị góp ý Dự thảo Nghị định quy định về điều kiện kinh doanh sản phẩm, dịch vụ an ninh mạng (sau đây gọi tắt là Dự thảo), Phòng Thương mại và Công nghiệp Việt Nam (VCCI) có một số ý kiến sơ bộ ban đầu như sau[1]:

  1. Sản phẩm, dịch vụ an ninh mạng

Trong quá trình xây dựng và đề xuất bổ sung “kinh doanh sản phẩm, dịch vụ an ninh mạng” vào Danh mục ngành nghề đầu tư kinh doanh có điều kiện, một trong những vấn đề được quan tâm và cân nhắc nhiều nhất là đảm bảo sự phân biệt giữa ngành nghề này với ngành nghề “kinh doanh sản phẩm, dịch vụ an toàn thông tin”. Phân biệt rõ ràng giữa “sản phẩm, dịch vụ an ninh mạng” và “sản phẩm, dịch vụ an toàn thông tin” sẽ tránh trường hợp doanh nghiệp không xác định được cơ quan quản lý, không biết phải xin giấy phép ở cơ quan nào hoặc phải cùng lúc xin giấy phép ở hai cơ quan cấp phép khác nhau và chịu sự kiểm tra, giám sát của cả hai cơ quan quản lý, gây khó khăn cho hoạt động kinh doanh. Sự thiếu rõ ràng này sẽ là rào cản cho các doanh nghiệp muốn gia nhập lĩnh vực công nghệ an ninh mạng và đi ngược lại chỉ đạo của Bộ Chính trị trong Nghị quyết 30-NQ-TW ngày 25/7/2018 về Chiến lược An ninh mạng “có cơ chế khuyến khích, hỗ trợ và huy động các tổ chức, cá nhân khởi nghiệp về công nghệ an ninh mạng”.

Đối chiếu quy định về “sản phẩm, dịch vụ an ninh mạng” tại Điều 2, 3 Dự thảo với “sản phẩm, dịch vụ an toàn thông tin mạng” tại Điều 3 Nghị định 108/2016/NĐ-CP[2] nhận thấy một số điểm chưa rõ ràng giữa hai loại sản phẩm, dịch vụ này, cụ thể:

– Đối với sản phẩm an ninh mạng:

          + “Sản phẩm kiểm soát an ninh lưu lượng mạng” (khoản 2 Điều 2 Dự thảo) có tính chất tương tự và khó phân biệt với “sản phẩm giám sát an toàn thông tin mạng” quy định tại điểm b khoản 1 Điều 3 Nghị định 108/2016/NĐ-CP;

+ “Sản phẩm phát hiện phần mềm gián điệp, vũ khí mạng” (khoản 6 Điều 2 Dự thảo), “Sản phẩm chống tấn công, xâm nhập hệ thống thông tin quan trọng về an ninh quốc gia” (khoản 8 Điều 2 Dự thảo) có tính năng trùng lặp và khó phân biệt với “sản phẩm chống tấn công, xâm lấn là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin” quy định tại điểm c khoản 1 Điều 3 Nghị định 108/2016/NĐ-CP;

+ “Sản phẩm phát hiện nguy cơ gây sự cố an ninh mạng, lộ, mất bí mật Nhà nước trên không gian mạng” (khoản 7 Điều 2 Dự thảo) có tính năng trùng lặp và khó phân biệt với “sản phẩm kiểm tra, đánh giá an toàn thông tin mạng” quy định tại điểm a khoản 1 Điều 3 Nghị định 108/2016/NĐ-CP.

– Dịch vụ an ninh mạng

+ “Dịch vụ kiểm tra an ninh mạng” (khoản 1 Điều 3 Dự thảo), “Dịch vụ kiểm thử an ninh mạng” (khoản 5 Điều 3 Dự thảo) có tính chất trùng lặp và khó phân biệt với “dịch vụ kiểm tra, đánh giá an toàn thông tin mạng” quy định tại điểm e khoản 2 Điều 3 Nghị định 108/2016/NĐ-CP;

+ “Dịch vụ giám sát an ninh mạng” (khoản 2 Điều 3 Dự thảo) có tính chất trùng lặp và khó phân biệt với “dịch vụ giám sát an toàn thông tin mạng” quy định tại điểm a khoản 2 Điều 3 Nghị định 108/2016/NĐ-CP;

+ “Dịch vụ tư vấn an ninh mạng” (khoản 3 Điều 3 Dự thảo) có tính chất trùng lặp và khó phân biệt với dịch vụ “tư vấn an toàn thông tin mạng” quy định tại điểm c khoản 2 Điều 3 Nghị định 108/2016/NĐ-CP;

+ “Dịch vụ ứng phó, khắc phục sự cố an ninh mạng, tình huống nguy hiểm về an ninh mạng” (khoản 7 Điều 3 Dự thảo) có tính chất trùng lặp và khó phân biệt với dịch vụ “ứng cứu sự cố an toàn thông tin mạng” quy định tại điểm d khoản 2 Điều 3 Nghị định 108/2016/NĐ-CP.

Để đảm bảo thuận lợi khi triển khai trên thực tế, hạn chế những rủi ro cho doanh nghiệp, đề nghị Ban soạn thảo rà soát lại sản phẩm, dịch vụ an ninh mạng quy định tại Điều 2, 3 Dự thảo với sản phẩm, dịch vụ an toàn thông tin quy định tại Điều 3 Nghị định 108/2016/NĐ-CP để tránh trùng lặp, khó phân biệt giữa hai loại sản phẩm, dịch vụ này.

  1. Điều kiện kinh doanh sản phẩm dịch vụ an ninh mạng (Điều 4 Dự thảo)
  • Điều kiện về an ninh, trật tự

Khoản 1 Điều 4 Dự thảo yêu cầu doanh nghiệp phải đáp ứng điều kiện tại Điều 7 Nghị định 96/2016/NĐ-CP[3]. Quy định này cần cân nhắc, xem xét ở điểm:

Điều 7 Nghị định 96/2016/NĐ-CP quy định điều kiện về an ninh, trật tự áp dụng cho 22 ngành, nghề được liệt kê tại Điều 3 Nghị định này. Trong 22 ngành nghề này, “kinh doanh các thiết bị gây nhiễu, phá sóng thông tin di động gồm: Sản xuất, nhập khẩu, xuất khẩu, mua, bán các thiết bị ngăn chặn tín hiệu liên lạc từ điện thoại di động đến trạm gốc” (khoản 19 Điều 3) có tính chất gần với “sản phẩm an ninh mạng”, nhưng phạm vi hẹp hơn các sản phẩm an ninh mạng quy định tại Điều 2 Dự thảo.

Mặt khác, theo quy định tại khoản 4 Điều 13 Nghị định 96/2016/NĐ-CP thì “Chỉ cơ sở kinh doanh thuộc Bộ Quốc phòng và Bộ Công an mới được kinh doanh thiết bị gây nhiễu, phá sóng thông tin di động”, trong khi đó điều kiện kinh doanh quy định tại Điều 4 Dự thảo lại không giới hạn về nguồn gốc vốn của doanh nghiệp. Như vậy, giữa Nghị định 96/2016/NĐ-CP với Dự thảo đang quy định khác nhau về doanh nghiệp kinh doanh “thiết bị gây nhiễu, phá sóng di động”.

Các phân tích trên cho thấy yêu cầu doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng phải đáp ứng điều kiện an ninh, trật tự là chưa phù hợp với quy định tại Nghị định 96/2016/NĐ-CP.

Đề nghị Ban soạn thảo: i) bỏ quy định tại khoản 1 Điều 4; ii) rà soát điều kiện kinh doanh sản phẩm, dịch vụ an ninh mạng với điều kiện kinh doanh các thiết bị gây nhiễu, phá sóng thông tin di động quy định tại Nghị định 96/2016/NĐ-CP để đảm bảo thống nhất trong quy định.

  • Điều kiện về phương án kinh doanh

Các nội dung trong phương án kinh doanh quy định tại khoản 3 Điều 4 Dự thảo cần xem xét ở các điểm:

       + Phương án kinh doanh phù hợp với “chiến lược, chủ trương, chính sách, kế hoạch, phương án bảo vệ an ninh mạng”: không rõ “kế hoạch, phương án bảo vệ an ninh mạng” ở đâu, có công khai không, do cơ quan nhà nước nào ban hành?

          + “Đối tượng cung cấp sản phẩm, dịch vụ”: Dự thảo không quy định rõ đối tượng nào được sử dụng sản phẩm, dịch vụ an ninh mạng, vì vậy rất khó để doanh nghiệp hoàn thành nội dung này;

          + “Sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm, dịch vụ”: Không rõ hiện nay đã có các quy chuẩn kỹ thuật đối với các sản phẩm, dịch vụ an ninh mạng chưa?

          + “Sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm dịch vụ”, “các tính năng kỹ thuật cơ bản của sản phẩm, dịch vụ” các nội dung này trùng với điều kiện về nội dung của “phương án kỹ thuật” quy định tại khoản 6 Điều 4 Dự thảo.

Để đảm bảo tính hợp lý và minh bạch, đề nghị Ban soạn thảo:

          + Bỏ điều kiện về có phương án kinh doanh quy định tại khoản 3 Điều 4 vì các nội dung quan trọng của phương án kinh doanh đã thể hiện trong các điều kiện về phương án kỹ thuật quy định tại khoản 6 Điều 4;

          + Trong trường hợp vẫn giữ điều kiện phải có “phương án kinh doanh” đề nghị loại bỏ các nội dung trùng lặp với khoản 6 Điều 4 (đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật; các tính năng kỹ thuật cơ bản của sản phẩm, dịch vụ), đồng thời giải trình các vấn đề còn chưa rõ nêu ở trên.

  • Điều kiện về nhân sự

Khoản 5 Điều 4 Dự thảo quy định “có nhân sự chịu trách nhiệm bảo mật thông tin, quản trị, hiểu biết chuyên sâu về đảm bảo an ninh mạng hệ thống”. Không rõ như thế nào được cho là “hiểu biết chuyên sâu về đảm bảo an ninh mạng hệ thống”? Đây là điều kiện rất khó để định lượng, vì vậy đề nghị Ban soạn thảo bỏ khái niệm này để tránh nhiều cách diễn giải khác nhau và gây khó khăn cho doanh nghiệp trong quá trình thực hiện thủ tục.

  1. Thời hạn giấy phép

Theo quy định tại khoản 2 Điều 5 Dự thảo, thời hạn của giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng là 05 năm. So với giấy phép kinh doanh sản phẩm dịch vụ an toàn thông tin mạng thì thời hạn của giấy phép này ngắn hơn hẳn (bằng 1/2).

Đề nghị Ban soạn thảo cân nhắc kéo dài thời hạn của giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng ít nhất bằng thời hạn của giấy phép kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, 10 năm. Thời hạn giấy phép dài sẽ góp phần giảm thủ tục hành chính cho doanh nghiệp, trong khi đó cơ quan nhà nước có thể kiểm soát hoạt động của doanh nghiệp thông qua cơ chế kiểm tra, thanh tra. Nếu doanh nghiệp không đáp ứng điều kiện kinh doanh cơ quan quản lý có thể thu hồi giấy phép.

  1. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng (Điều 6 Dự thảo)
  • Phiếu lý lịch tư pháp của người đại diện theo pháp luật (điểm b khoản 2)

Đề nghị Ban soạn thảo bỏ tài liệu này vì điều kiện tại khoản 1 Điều 4 Dự thảo là chưa phù hợp như phân tích ở mục 2 trên.

  • Bản sao Giấy chứng nhận đăng ký doanh nghiệp, Giấy chứng nhận đăng ký đầu tư (điểm c khoản 2)

Đề nghị Ban soạn thảo bỏ tài liệu này, vì các thông tin về đăng ký doanh nghiệp có thể tra cứu trên Cổng thông tin đăng ký quốc gia về doanh nghiệp. Hiện nay, trong nhiều phương án cắt giảm chi phí tuân thủ cho doanh nghiệp, nhiều đề xuất bỏ yêu cầu phải cung cấp các loại giấy tờ mà cơ quan nhà nước có thể tra cứu thông tin trên hệ thống thông tin chung.

  • Tài liệu chứng minh phương án bảo mật thông tin (điểm e khoản 2)

Đề nghị Ban soạn thảo quy định rõ là tài liệu nào để đảm bảo thống nhất trong cách hiểu khi áp dụng.

  1. Giải trình, nộp hồ sơ bổ sung trong quá trình thẩm định (Điều 9 Dự thảo)
  • Thời hạn lùi nộp hồ sơ bổ sung

Theo quy định tại khoản 3 Điều 9 Dự thảo, doanh nghiệp có thể đề nghị lùi thời hạn nộp hồ sung hồ sơ. Tuy nhiên, Dự thảo lại không quy định rõ doanh nghiệp làm thế nào để được lùi thời hạn nộp hồ sơ bổ sung (gửi tài liệu nào, cơ quan cấp phép sẽ xem xét như thế nào); thời hạn được lùi là bao nhiêu ngày?

Đề nghị Ban soạn thảo bổ sung quy định về vấn đề trên trong Dự thảo.

  • Thời hạn thẩm định hồ sơ ban đầu

Điểm a khoản 4 Điều 9 Dự thảo quy định thời hạn thẩm định “không vượt quá 15 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị cấp Giấy phép”. Quy định này là chưa thống nhất với quy định tại khoản 1 Điều 8 Dự thảo về thời hạn thẩm định và cấp giấy phép: 20 ngày làm việc kể từ ngày nhận đủ hồ sơ.

Theo quy định tại khoản 3 Điều 11 Dự thảo thì thời hạn xem xét tính hợp lệ của hồ sơ là “03 ngày làm việc kể từ khi nhận được hồ sơ”. Như vậy, thời hạn thẩm định và cấp phép theo quy định tại điểm a khoản 4 Điều 9 Dự thảo là 18 ngày làm việc kể từ ngày nhận được hồ sơ.

Đề nghị Ban soạn thảo xem xét lại quy định này để đảm bảo thống nhất trong quy định.

  1. Sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi và cấp lại Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng (Điều 10 Dự thảo)
  • Gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng

Khoản 3 Điều 10 Dự thảo quy định trong hồ sơ xin gia hạn giấy phép phải có “Báo cáo hoạt động của doanh nghiệp trong 02 năm gần nhất”. Yêu cầu này là chưa phù hợp, tạo gánh nặng về thủ tục hành chính cho doanh nghiệp. Bởi vì, điều kiện để được gia hạn Giấy phép là “cơ sở kinh doanh không vi phạm quy định của pháp luật về kinh doanh sản phẩm, dịch vụ an ninh mạng”. Để biết được thông tin này, cơ quan cấp phép có thể tra cứu trong hệ thống dữ liệu về xử phạt vi phạm hành chính. Báo cáo hoạt động của doanh nghiệp không thể hiện điều kiện của gia hạn trên.

          Để tạo thuận lợi cho doanh nghiệp, đề nghị Ban soạn thảo bỏ quy định tại điểm c khoản 3 Điều 10.

  • Đình chỉ hoạt động kinh doanh

Đề nghị Ban soạn thảo bỏ quy định tại điểm c khoản 4 “các trường hợp khác theo quy định của pháp luật” vì chưa rõ ràng. Doanh nghiệp sẽ rất khó nhận biết các trường hợp giấy phép bị thu hồi, trong khi đây lại là quy định tác động rất lớn đến hoạt động kinh doanh của doanh nghiệp.

  1. Kiểm tra tính hợp lệ hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng (Điều 11 Dự thảo)

Khoản 1 Điều 11 Dự thảo quy định số lượng hồ sơ doanh nghiệp phải nộp là 01 bộ hồ sơ gốc, 04 bộ bản sao hồ sơ hợp lệ đối với trường hợp cấp mới; 01 bộ hồ sơ gốc và 01 bộ bản sao hồ sơ hợp lệ đối với các trường hợp đề nghị sửa đổi, bổ sung và gia hạn giấy phép.

Số lượng hồ sơ thực hiện thủ tục hành chính trên là khá nhiều, tạo gánh nặng về chi phí tuân thủ cho doanh nghiệp, đề nghị Ban soạn thảo cân nhắc giảm số lượng hồ sơ xuống (cấp mới: số lượng hồ sơ là 02 bộ; sửa đổi, gia hạn: số lượng hồ sơ là 01 bộ).

Khoản 4 Điều 11 Dự thảo quy định doanh nghiệp có quyền nộp hồ sơ bổ sung hoặc văn bản giải trình tính hợp lệ của hồ sơ trong trường hợp cơ quan cấp phép thông báo hồ sơ không hợp lệ. Tuy nhiên, Dự thảo không quy định thời hạn nộp hồ sơ bổ sung hoặc gửi văn bản giải trình. Điều này có thể khiến cho quy trình thủ tục hành chính bị kéo dài và khó khăn trong thực tế thực hiện. Đề nghị Ban soạn thảo quy định rõ về thời hạn này và bổ sung quy định cơ quan cấp phép chỉ yêu cầu 01 lần.

Trên đây là một số ý kiến ban đầu của Phòng Thương mại và Công nghiệp Việt Nam đối với Dự thảo Nghị định quy định về điều kiện kinh doanh sản phẩm, dịch vụ an ninh mạng. Rất mong quý Cơ quan soạn thảo cân nhắc để chỉnh sửa, hoàn thiện.

Trân trọng cảm ơn sự hợp tác của quý Cơ quan

[1] Do thời hạn lấy ý kiến ngắn, Dự thảo Nghị định xây dựng theo trình tự thủ tục rút gọn, VCCI không thể triển khai lấy ý kiến rộng rãi doanh nghiệp – đối tượng chịu tác động của Dự thảo này.

[2] Nghị định 108/2016/NĐ-CP của Chính phủ ngày 01/7/2016 quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

[3] Nghị định 96/2016/NĐ-CP của Chính phủ quy định điều kiện về an ninh, trật tự đối với một số ngành, nghề đầu tư kinh doanh có điều kiện