VCCI_Góp ý Dự thảo Quyết định của Thủ tướng quy định lựa chọn, sử dụng máy móc, thiết bị, sản phẩm, giải pháp trong các hệ thống thông tin để đảm bảo an toàn thông tin mạng
Kính gửi: Cục An toàn thông tin, Bộ Thông tin và Truyền thông
Trả lời Công văn số 20/CATTT-QHPT của Bộ Thông tin và Truyền thông về việc đề nghị góp ý Dự thảo Quyết định quy định về việc lựa chọn, sử dụng máy móc, thiết bị, sản phẩm, giải pháp trong các hệ thống thông tin để đảm bảo an toàn thông tin mạng (sau đây gọi tắt là Dự thảo), Phòng Thương mại và Công nghiệp Việt Nam, có một số ý kiến ban đầu như sau:
- Về việc cấp phép cho các doanh nghiệp cung cấp sản phẩm, giải pháp, dịch vụ an toàn thông tin, an ninh mạng
Theo quy định tại điểm c khoản 2 Điều 6 Dự thảo quy định, Bộ Thông tin và Truyền thông có trách nhiệm “tổ chức đánh giá, cấp phép, chứng nhận và công bố Danh mục các tổ chức, doanh nghiệp được cấp phép và đủ năng lực sản xuất, cung cấp sản phẩm, giải pháp, dịch vụ an toàn thông tin, an ninh mạng cho các hệ thống thông tin phục vụ Chính phủ điện tử …”.
Quy định này là chưa rõ ở các điểm:
- Tính pháp lý: Theo quy định trên thì doanh nghiệp phải có giấy phép mới được cung cấp sản phẩm, giải pháp, dịch vụ an toàn thông tin, an ninh mạng cho hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quốc gia. Đây được xem như là một dạng của giấy phép kinh doanh. Để đảm bảo tính thống nhất trong hệ thống pháp luật, đề nghị Ban soạn thảo giải trình về căn cứ pháp lý của việc quy định về loại giấy phép này;
- Tính minh bạch: Không rõ tiêu chí để cấp phép cho các doanh nghiệp cung cấp sản phẩm, giải pháp, dịch vụ an toàn thông tin, an ninh mạng cho hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quốc gia như thế nào? Trình tự thủ tục như thế nào? Đề nghị Ban soạn thảo quy định về vấn đề này hoặc dẫn chiếu tới văn bản có quy định.
- Về yêu cầu bảo đảm an toàn và bảo mật dữ liệu khi máy móc, thiết bị, sản phẩm, giải pháp không còn được sử dụng hoặc chuyển đổi mục đích sử dụng
Theo quy định tại điểm c khoản 1 Điều 8 Dự thảo thì một trong các biện pháp đảm bảo an toàn và bảo mật dữ liệu khi máy móc, thiết bị, sản phẩm, giải pháp không còn được sử dụng hoặc chuyển đổi mục đích sử dụng đó là “kiểm tra, đánh giá đảm bảo không có khả năng dữ liệu bị khôi phục trái phép sau khi xóa bỏ, hủy bỏ”.
Quy định này có thể đưa đến cách hiểu là các dữ liệu sau khi xóa bỏ, hủy bỏ có thể được khôi phục nếu “được phép”. Điều này dường như chưa phù hợp với các biện pháp trước đó “xóa bỏ toàn bộ dữ liệu đã được lưu trên máy móc, thiết bị, sản phẩm, giải pháp; Có biện pháp xóa vĩnh viễn hoặc hủy bỏ nếu cần đối với các thiết bị/cấu phần lưu trữ dữ liệu” (điểm b khoản 1 Điều 8 Dự thảo). Như vậy, các dữ liệu sau khi xóa bỏ, hủy bỏ phải đảm bảo không có khả năng bị khôi phục lại và bất kì hành vi khôi phục nào cũng được xem là “trái phép”.
Do đó, cụm từ “trái phép” trong quy định tại điểm c khoản 1 Điều 8 Dự thảo vừa không cần thiết vừa có thể tạo ra cách hiểu khác, đề nghị Ban soạn thảo cân nhắc bỏ cụm từ này.
- Về xác định và khuyến cáo các máy móc, thiết bị, sản phẩm, giải pháp có nguy cơ gây mất an toàn thông tin, an ninh mạng
Điểm a khoản 1 Điều 9 Dự thảo quy định máy móc, thiết bị, sản phẩm, giải pháp sẽ bị xem xét, thẩm định, xác minh để khuyến cáo có nguy cơ gây mất an toàn, an ninh mạng khi “có tổ chức, doanh nghiệp có thẩm quyền kiểm tra, đánh giá và xác minh có lỗ hổng nghiêm trọng …”.
Quy định chưa rõ ở điểm: doanh nghiệp nào được cho là có thẩm quyền thực hiện các hoạt động trên? Có được cơ quan nhà nước có thẩm quyền cấp phép hoặc ủy quyền không? Tiêu chí nào để xác định được các doanh nghiệp này?
Để đảm bảo tính minh bạch, đề nghị Ban soạn thảo quy định rõ những vấn đề trên.
Trên đây là một số ý kiến ban đầu của Phòng Thương mại và Công nghiệp Việt Nam đối với Dự thảo Quyết định quy định về việc lựa chọn, sử dụng máy móc, thiết bị, sản phẩm, giải pháp trong các hệ thống thông tin để đảm bảo an toàn thông tin mạng. Rất mong quý Cơ quan soạn thảo cân nhắc để chỉnh sửa, hoàn thiện.
Trân trọng cảm ơn sự hợp tác của quý Cơ quan.