“Tài sản Quốc gia” được bảo vệ như thế nào”: TS. LS. Nguyễn Thị Huyền Trang nói về trách nhiệm an ninh mạng mới

19/11/2025 08:10  
Việc hợp nhất Luật An ninh mạng (ANM) và Luật An toàn thông tin mạng (ATTTM) thành một đạo luật duy nhất được kỳ vọng tạo ra hành lang pháp lý thống nhất, hiệu lực hơn trong bối cảnh chuyển đổi số. Tuy nhiên, thay đổi này tác động trực tiếp đến hoạt động kinh doanh và quyền riêng tư của người dân như thế nào? Phóng viên tạp chí TAND đã có cuộc phỏng vấn với TS.LS. Nguyễn Thị Huyền Trang, Giám đốc Công ty Luật Viên An, Đoàn Luật sư TP. Hồ Chí Minh; Giảng viên Khoa Tư pháp Hình sự, Trường Đại học Luật, ĐHQG Hà Nội, để làm rõ những điểm mấu chốt này.

Bảo vệ dữ liệu tổ chức nghiêm trọng hơn cá nhân, đừng để bị "tê liệt số"

PV: Thưa Luật sư, việc hợp nhất hai đạo luật quan trọng về an ninh và an toàn thông tin mạng thành một luật duy nhất có ý nghĩa như thế nào đối với các doanh nghiệp (DN) và người dùng cuối? Liệu việc này có chấm dứt tình trạng "lỗ hổng" pháp lý mà các bên thường gặp phải?

TS.LS. Nguyễn Thị Huyền Trang: Việc hợp nhất này là yêu cầu bắt buộc trước sự vận hành của xã hội kỷ nguyên số, tạo ra một hành lang pháp lý minh bạch hơn cho DN và bảo vệ người dùng.

Trước đây, DN phải chịu sự điều chỉnh của hai luật với hai mục tiêu khác nhau (ATTTM tập trung kỹ thuật; ANM tập trung an ninh quốc gia và tội phạm mạng), gây khó khăn trong việc áp dụng và tuân thủ. Luật hợp nhất sẽ chuẩn hóa hệ thống khái niệm, phạm vi điều chỉnh, và cơ chế xử lý vi phạm, giảm thiểu tối đa xung đột pháp lý, giúp DN dễ dàng xây dựng các quy trình tuân thủ an ninh mạng nội bộ.

Mục tiêu quan trọng của luật hợp nhất là phân định rõ thẩm quyền giữa các cơ quan quản lý (Bộ Công an, Bộ Khoa học-Công nghệ, Bộ Quốc phòng), tránh tình trạng trùng lặp. Cơ chế phối hợp liên ngành hiệu quả hơn sẽ giúp việc giải quyết sự cố và điều tra tội phạm mạng nhanh chóng và đồng bộ hơn, mang lại lợi ích trực tiếp cho DN bị tấn công và người dùng bị xâm hại.

PV: Dự thảo Luật bổ sung quy định về bảo đảm an ninh dữ liệu tổ chức, dữ liệu hệ thống, dữ liệu vận hành,... bên cạnh dữ liệu cá nhân. Vì sao việc bảo vệ dữ liệu phi cá nhân lại trở nên cấp thiết, thưa luật sư, khi mà "dữ liệu" được coi là "tài sản quốc gia" và "hạt nhân" của kinh tế số?

TS.LS. Nguyễn Thị Huyền Trang: Dưới góc độ quản trị rủi ro, việc luật hóa việc bảo đảm an ninh dữ liệu nói chung là cực kỳ cấp thiết, thậm chí là đã quá chậm.

Mặc dù hoạt động trên mạng là của cá nhân, nhưng hành vi tấn công mạng nhắm vào tổ chức (đặc biệt là các tổ chức hoạt động về an ninh, tài chính, y tế) có thể gây ra thiệt hại nghiêm trọng hơn rất nhiều. Dữ liệu vận hành hệ thống, dữ liệu chiến lược, bí mật thương mại... chính là lõi của mọi hoạt động Chính phủ số, kinh tế số và xã hội số. Nếu những dữ liệu này bị xâm phạm, rò rỉ, có thể dẫn tới nguy cơ "tê liệt số" ở quy mô quốc gia, đe dọa trực tiếp tới an ninh kinh tế.

Hiện nay, khoảng trống lớn nhất nằm ở việc bảo vệ dữ liệu dưới góc độ an ninh quốc gia và an ninh kinh tế. Luật hợp nhất sẽ tạo ra vòng bảo vệ pháp lý đồng bộ, chuyển từ chỉ bảo vệ dữ liệu cá nhân sang bảo vệ toàn bộ "hệ sinh thái dữ liệu" của quốc gia, bao gồm cả dữ liệu công và dữ liệu của DN.

Yêu cầu định danh IP: Làm sao cân bằng giữa truy vết tội phạm mạng và quyền riêng tư của người dân?

PV: Một quy định quan trọng là yêu cầu các DN cung cấp dịch vụ trên không gian mạng có trách nhiệm định danh địa chỉ IP và cung cấp cho lực lượng chuyên trách. Quy định này đóng vai trò gì trong việc phòng, chống tội phạm mạng? Và làm sao để dung hòa giữa yêu cầu này với quyền riêng tư của người dùng?

TS.LS. Nguyễn Thị Huyền Trang: Việc yêu cầu định danh địa chỉ IP đóng vai trò chủ đạo trong công tác ngăn ngừa và đấu tranh phòng chống tội phạm mạng.

Thứ nhất, tội phạm mạng thường hoạt động dưới hình thức ẩn danh. Khi DN có trách nhiệm định danh và quản lý thông tin gắn với IP, lực lượng chuyên trách có thể xác định ngay nguồn phát sinh hành vi vi phạm để ngăn chặn ngay lập tức (đóng hệ thống, cắt nguồn) và chuyển tin báo tội phạm. Điều này giúp rút ngắn thời gian xử lý, tăng khả năng ngăn chặn kịp thời các hành vi lừa đảo, tấn công mạng.

Thứ hai, quy định này nâng cao tính răn đe và trách nhiệm. Người dùng sẽ có ý thức hơn trong việc tuân thủ pháp luật, hạn chế các hành vi như phát tán thông tin sai sự thật hoặc tổ chức đánh bạc trực tuyến.

Tuy nhiên, thách thức lớn nhất là tâm lý của người dùng và DN lo lắng dữ liệu bị rò rỉ. Để dung hòa, việc triển khai định danh IP phải có lộ trình, và phải được quy định rõ ràng về căn cứ pháp lý, đúng thẩm quyền và minh bạch khi trích xuất thông tin. Dữ liệu chỉ được cung cấp khi có yêu cầu hợp pháp. Ngoài ra, Luật cần quy định chế tài xử lý vi phạm thật cụ thể và rõ ràng và dành một lộ trình nhất định để DN hoàn thiện hạ tầng kỹ thuật, đảm bảo việc thực thi pháp luật một cách nghiêm minh.

Quy định tối thiểu 10% kinh phí CNTT cho an ninh mạng: Đảm bảo tự chủ công nghệ và khả năng ứng phó sự cố.

PV: Quy định tối thiểu 10% tổng kinh phí triển khai dự án công nghệ thông tin phải dành cho sản phẩm, dịch vụ an ninh mạng có thực sự là giải pháp căn cơ để nâng cao năng lực tự chủ và khắc phục tình trạng xử lý sự cố chậm trễ?

TS.LS. Nguyễn Thị Huyền Trang: Đây là một chủ trương quan trọng và cần thiết nhằm khắc phục điểm yếu kéo dài trong công tác bảo đảm an ninh mạng.

Việc "định mức" tối thiểu 10% buộc các cơ quan, tổ chức phải đưa an ninh mạng vào hạng mục đầu tư ngay từ khâu thiết kế hệ thống. Điều này tạo ra nguồn lực tài chính ổn định để triển khai các giải pháp thiết yếu như giám sát 24/7, xây dựng trung tâm ứng cứu sự cố (SOC). Nhờ đó, khả năng phát hiện - cảnh báo - khoanh vùng - khắc phục sự cố được cải thiện đáng kể, tăng tính chủ động, giảm thiểu rủi ro.

Hơn nữa, quy định này còn có ý nghĩa thúc đẩy tự chủ công nghệ an ninh mạng quốc gia. Khi có thị trường đầu tư ổn định, các DN công nghiệp an ninh mạng trong nước sẽ có điều kiện mở rộng nghiên cứu, phát triển sản phẩm, góp phần giảm lệ thuộc vào giải pháp ngoại nhập và nâng cao năng lực phòng thủ quốc gia.

Tuy nhiên, cần nhấn mạnh 10% chỉ là điều kiện cần. Điều kiện đủ phải là quản trị an ninh mạng theo mô hình tổng thể, kết hợp công nghệ, con người (đào tạo), quy trình và quản trị an toàn thông tin. Nếu kinh phí không đi kèm với quy trình vận hành và nhân lực, hiệu quả sẽ không cao.

Hành lang pháp lý cho kỷ nguyên AI và tài sản ảo

PV: Trong bối cảnh Cách mạng công nghiệp lần thứ 4, với sự phát triển của AI, tài sản ảo, tiền mã hóa… Luật An ninh mạng hợp nhất đã giải quyết được những "điểm nghẽn" pháp lý nào để tạo hành lang cho những vấn đề phi truyền thống này?

TS.LS. Nguyễn Thị Huyền Trang: Luật hợp nhất được xây dựng để xử lý những "điểm nghẽn" cũ và tạo nền tảng pháp lý chủ động cho các vấn đề an ninh phi truyền thống:

Thứ nhất, Luật bổ sung quy định về bảo đảm an ninh dữ liệu (coi dữ liệu là tài sản), tạo cơ chế bảo vệ dữ liệu trong suốt vòng đời, giúp phòng ngừa rủi ro bị thao túng hoặc tấn công vào các hệ thống dữ liệu lớn – nền tảng cho Trí tuệ nhân tạo (AI) và Big Data.

Thứ hai, Luật đã mở rộng phạm vi điều chỉnh đối với các hoạt động liên quan đến tài sản ảo, giao dịch số. Bằng cách tăng cường trách nhiệm của các DN cung cấp dịch vụ (đặc biệt là xuyên biên giới), Luật góp phần nâng cao tính minh bạch trong định danh người dùng và quản lý nội dung, từ đó hạn chế các hành vi lợi dụng công nghệ để lừa đảo, rửa tiền hoặc chiếm đoạt tài sản.

Thứ ba, khi luật có hiệu lực, dữ liệu cư dân và tổ chức được cập nhật công khai, giúp người dân thực hiện được quyền giám sát, làm chủ một cách rõ ràng, dân chủ nhất, tạo môi trường tin cậy cho cá nhân, tổ chức tham gia kinh doanh và sinh lợi trong kỷ nguyên số.

Xin chân thành cảm ơn những phân tích sâu sắc của Luật sư!

QUANG MINH

Bài liên quan