Chuyên gia phân tích những bất cập trong Dự Luật An ninh mạng

12/03/2018 11:32  
Chia sẻ
Lo ngại một số trùng lặp giữa nội dung của dự thảo Luật An ninh mạng và Luật An toàn thông tin mạng 2015 là vấn đề nổi cộm mà nhiều luật gia, luật sư, chuyên gia công nghệ nêu lên khi cơ quan soạn thảo tổ chức lấy ý kiến về dự thảo Luật An ninh mạng

Băn khoăn nhiều điểm trùng lặp giữa hai Luật

Dù có nhiều quan điểm cho rằng phải có hành lang pháp lý riêng để đảm bảo an ninh mạng trong bảo vệ an ninh quốc gia, đảm bảo trật tự an toàn xã hội, nhất là trong quá trình hội nhập quốc tế, phát triển công nghệ thông tin, đặc biệt là cuộc cách mạng công nghiệp 4.0 là cần thiết, nhưng vẫn có không ít băn khoăn về tính khả thi của dự án Luật An ninh mạng đang được Bộ Công an xây dựng.

Quang cảnh Hội thảo góp ý hoàn thiện Dự án Luật An ninh mạng do VCCI phối hợp tổ chức. Ảnh: vnmedia.vn
Quang cảnh Hội thảo góp ý hoàn thiện Dự án Luật An ninh mạng do VCCI phối hợp tổ chức. Ảnh: vnmedia.vn

Góp ý vào dự thảo Luật này, ông Nguyễn Chí Thành – Chánh Văn phòng Hiệp hội An toàn thông tin Việt Nam (VNISA) và là một trong những chuyên gia đầu ngành về an toàn thông tin cho rằng, theo dự thảo (tháng 9/2017), phạm vi điều chỉnh của Luật An ninh mạng khá rộng, gần như bao quát hết các vấn đề liên quan tới bảo vệ an ninh mạng và các hoạt động trên không gian mạng, bởi vậy dễ trùng lặp về nội dung và chồng chéo về thẩm quyền quản lý nhà nước với các văn bản luật khác đang có hiệu lực như Luật An toàn thông tin 2015, Luật Cơ yếu, Luật Công nghệ thông tin…

Cụ thể khi soi vào các điều luật, Luật An toàn thông tin mạng 2015 đã có quy định tại Điều 21 về Phân loại cấp độ an toàn hệ thống thông tin nhằm mục đích để xác định phương hướng xử lý khi có tình huống bất thường xảy ra. Theo đó, phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ. Theo điều luật thì Hệ thống thông tin được phân loại theo cấp độ an toàn như sau: a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia; d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia; đ) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia….

Trong khi đó dự Luật An ninh mạng Điều 22. Phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng lại có những quy định na ná: Tình huống nguy hiểm về an ninh mạng gồm: “a) Xuất hiện thông tin có thể dẫn đến bạo loạn, phá rối an ninh, khủng bố; b) Tấn công cục bộ hệ thống thông tin quan trọng về an ninh quốc gia; c) Tấn công diện rộng hệ thống thông tin quan trọng về an ninh quốc gia; d) Tấn công trên quy mô lớn, cường độ cao vào hệ thống thông tin quốc gia; đ) Tấn công mạng nhằm phá hủy công trình quan trọng về an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia hoặc nhằm gây thiệt hại về sinh mạng, tài sản; e) Khi xảy ra tấn công mạng, xâm nhập hệ thống thông tin, phương tiện điện tử gây ảnh hưởng nghiêm trọng tới chủ quyền, lợi ích, an ninh quốc gia, đặc biệt nghiêm trọng tới trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc gây thiệt hại về tính mạng… Từ đó điều luật này quy định về cách thức đối phó khi có những tình huống nguy hiểm về an ninh mạng. Thực ra dù là cách gọi khác nhau nhưng thực chất đều là phân cấp để có các biện pháp xử lý khi có các tình huống về an toàn thông tin hay an ninh mạng diễn ra.

Không chỉ vậy, Luật An toàn thông tin mạng 2015 đã có riêng một điều luật (Điều 27) quy định về Trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia. Theo đó: 1. Chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm sau đây: a) Thực hiện quy định tại khoản 2 Điều 25 của Luật này; b) Định kỳ đánh giá rủi ro an toàn thông tin mạng. Việc đánh giá rủi ro an toàn thông tin mạng phải do tổ chức chuyên môn được cơ quan nhà nước có thẩm quyền chỉ định thực hiện; c) Triển khai biện pháp dự phòng cho hệ thống thông tin; d) Lập kế hoạch bảo vệ, lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia; 2. Bộ Thông tin và Truyền thông có trách nhiệm sau đây: a) Chủ trì, phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia, Bộ Công an và bộ, ngành có liên quan hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia, trừ hệ thống thông tin quy định tại khoản 3 và khoản 4 Điều này; b) Yêu cầu doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng tham gia tư vấn, hỗ trợ kỹ thuật, ứng cứu sự cố an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia; 3. Bộ Công an chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Công an quản lý; phối hợp với Bộ Thông tin và Truyền thông, chủ quản hệ thống thông tin quan trọng quốc gia, bộ, ngành, Ủy ban nhân dân các cấp có liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia khác khi có yêu cầu của cơ quan nhà nước có thẩm quyền; 4. Bộ Quốc phòng chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Quốc phòng quản lý; 5. Ban Cơ yếu Chính phủ chủ trì tổ chức triển khai giải pháp dùng mật mã để bảo vệ thông tin trong hệ thống thông tin quan trọng quốc gia của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị – xã hội; phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia trong việc giám sát an toàn thông tin mạng theo quy định của pháp luật.

Thế nhưng cũng cùng những chủ thể trên với trách nhiệm và nhiệm vụ tương tự, Luật An ninh mạng tách ra thành một chương (chương 7) với 8 điều luật về trách nhiệm của các chủ thể trên. Nhiều người đặt câu hỏi, phải chăng Dự Luật An ninh mạng dùng để hướng dẫn Luật An toàn thông tin mạng 2015, hay cụ thể hóa Luật này?

Nên tích hợp hai đạo luật?

Theo tài liệu thảo luận tại tổ của ĐBQH thì đa số ý kiến nhất trí với sự cần thiết ban hành Luật An ninh mạng. Tuy nhiên, có một số ý kiến không nhất trí với sự cần thiết ban hành Luật An ninh mạng. Theo đó có ý kiến đề nghị sửa đổi Luật An toàn thông tin mạng để bổ sung các quy định về an ninh mạng. Có ý kiến đề nghị gộp dự thảo Luật này với Luật An toàn thông tin mạng đã ban hành thành một đạo luật, lấy tên là Luật An ninh, an toàn thông tin mạng; hoặc ý kiến khác đề xuất ban hành văn bản hướng dẫn thi hành Luật An toàn thông tin mạng, trong đó quy định cụ thể về vấn đề an ninh mạng; để 5-7 năm nữa thì mới ban hành Luật An ninh mạng.

TS Mai Anh - Chủ tịch Hội Tin học Viễn thông Hà Nội phát biểu tại Hội thảo. Ảnh: vnmedia.vn
TS Mai Anh – Chủ tịch Hội Tin học Viễn thông Hà Nội phát biểu tại Hội thảo. Ảnh: vnmedia.vn

TS. Mai Anh – Đại biểu Quốc hội khóa XI, nay là Chủ tịch Hội Tin học Viễn thông Hà Nội cho rằng, an ninh mạng và an toàn thông tin trong môi trường mạng thực chất là hai mặt không thể tách rời của một vấn đề. Cụm từ “an ninh mạng và an toàn thông tin” thường xuyên được đề cập đến trong nghiên cứu, triển khai, trong các hội thảo quốc tế và tài liệu chuyên môn trong nước và thế giới. Thực tế, Luật An toàn thông tin mạng cũng có đề cập đến vấn đề an ninh mạng và dự Luật An ninh mạng cũng đề cập nhiều đến an toàn thông tin trên môi trường mạng (tại các điều 8, 9,10, 22). “Năm 2015, Quốc hội khóa XIII đã ban hành Luật An toàn thông tin mạng, do vậy nội dung Luật An ninh mạng nên được tích hợp vào Luật An toàn thông tin mạng, trình Quốc hội xây dựng dự án sửa đổi, bổ sung Luật An toàn thông tin mạng 2015 và đổi tên thành “Luật An ninh mạng và an toàn thông tin trong môi trường mạng” – TS. Mai Anh đề xuất.

Trong tài liệu góp ý của Hội truyền thông số có ghi ý kiến đại diện cho các doanh nghiệp Internet Việt Nam, bà Phan Thị Hoài Thu – Phó Chủ tịch Hiệp hội Internet Việt Nam kiến nghị sửa đổi, bổ sung điểm d, khoản 2 Điều 47 Dự thảo Luật: “Việc yêu cầu doanh nghiệp xóa bỏ thông tin trên không gian mạng là bất khả thi, nhất là trong vòng 24 giờ, vì doanh nghiệp chỉ quản lý một phần nhỏ không gian mạng, chứ không quản lý toàn bộ. Vì vậy đề nghị sửa đổi theo hướng là thông tin trên hệ thống thông tin do doanh nghiệp trực tiếp quản lý, chứ không thể trên toàn bộ không gian mạng được.”

Bà Hoài Thu cho biết thêm: Pháp luật về an ninh mạng của phần lớn các nước trên thế giới đều chỉ giới hạn ở phạm vi điều chỉnh các biện pháp kỹ thuật nhằm ngăn chặn và đối phó đối với những hoạt động truy cập trái phép và các cuộc tấn công mạng.

Theo phaply.vn

MINH HẢI