Dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng

Vừa qua, Bộ Công an đã hoàn thành dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng. Dự thảo Nghị định gồm 06 chương 30 điều.

Dự thảo Nghị định này được đăng trên Cổng Thông tin điện tử của Bộ Công an cùng với dự thảo Quyết định của Thủ tướng Chính phủ ban hành Danh mục hệ thống thông tin quan trọng về an ninh quốc gia để lấy ý kiến đóng góp của nhân dân trong thời gian 02 tháng kể từ ngày đăng.

Các ý kiến đóng góp xin gửi về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, địa chỉ 40A Hàng Bài, quận Hoàn Kiếm, Hà Nội, email: luatanm@gmail.com


**********

1. Dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng: gồm 06 chương, 30 điều, quy định các nội dung cụ thể, trọng tâm của các vấn đề được giao xây dựng, trong đó tập trung chủ yếu vào xác định căn cứ xác lập, điều kiện và cơ chế phối hợp bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; vấn đề lưu trữ dữ liệu và đặt văn phòng đại diện tại Việt Nam. Một số nội dung trọng tâm là:

(1) Xác lập hệ thống thông tin quan trọng về an ninh quốc gia (Điều 3): Dự thảo đã quy định “căn cứ xác lập” để nâng cao khả năng triển khai trong thực hiện với những quy định đã có trong Điều 10 Luật An ninh mạng, tập trung xác định những căn cứ rõ ràng, liên quan trực tiếp tới an ninh quốc gia. Bộ Công an cũng thấy rằng, để bảo đảm phù hợp hơn với thực tế, cần có sự khảo sát, đánh giá kỹ lưỡng những hệ thống điển hình của các ngành, lĩnh vực trọng yếu, qua đó khái quát, rút ra những căn cứ chung nhất, bổ sung vào dự thảo.

(2) Phối hợp thẩm định, kiểm tra, giám sát đối với hệ thống thông tin quan trọng về an ninh quốc gia (Mục 2, Chương 2): Hiện nay, có 03 nội dung cần sự phối hợp giữa Bộ Công an, Bộ Thông tin và Truyền thông là các hệ thống thông tin trùng nhau giữa Danh mục hệ thống thông tin quan trọng quốc gia và Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, đó là: kiểm tra, giám sát, thẩm định đối với những hệ thống này. Qua thảo luận, trao đổi, các cơ quan có liên quan đã thống nhất cơ chế phối hợp: giao Bộ Công an chủ trì, phối hợp với cơ quan quản lý nhà nước về an toàn thông tin của Bộ Thông tin và Truyền thông và các cơ quan, tổ chức có liên quan trong kiểm tra, giám sát, thẩm định; chia sẻ dữ liệu thu thập được từ những hệ thống này để phục vụ chung cho công tác bảo đảm an toàn thông tin mạng, bảo vệ an ninh mạng. Đây là nội dung mang tính đột phá nhằm hạn chế những trùng dẫm trong thực hiện nhiệm vụ được giao, hạn chế các thủ tục hành chính.

(3) Điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia (Mục 3, Chương 2): quy định những điều kiện là nền tảng cơ bản, thực sự cần thiết để bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.

(4) Trình tự, thủ tục áp dụng một số biện pháp bảo vệ an ninh mạng (Chương 3): Dự thảo Nghị định quy định trình tự, thủ tục thực hiện 04 biện pháp bảo vệ an ninh mạng là thẩm định, đánh giá, kiểm tra và ứng phó, khắc phục sự cố an ninh mạng. Đây là những biện pháp kỹ thuật, áp dụng đối với 02 chủ thể chính là chủ quản hệ thống thông tin và lực lượng chuyên trách bảo vệ an ninh mạng.

(5) Triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước, tổ chức chính trị ở Trung ương và địa phương (Chương 4): tập trung những nội dung mang tính nguyên tắc, khuyến nghị áp dụng, với 03 nội dung chính: Xây dựng, hoàn thiện quy định, quy chế sử dụng mạng máy tính của cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương; Xây dựng, hoàn thiện phương án bảo đảm an ninh mạng đối với hệ thống thông tin của cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương; Phương án ứng phó, khắc phục sự cố an ninh mạng của cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương.

(6) Quy định yêu cầu lưu trữ dữ liệu tại Việt Nam, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam (khoản 3 Điều 26). Mặc dù có nhiều ý kiến cho rằng, vị trí đặt dữ liệu không góp phần tăng cường tính bảo mật của dữ liệu, nhưng trong vấn đề này cần được đánh giá trên nhiều yếu tố, nhiều phương diện và nhiều chiều. Từ góc độ quản lý nhà nước và bảo đảm cho nền kinh tế phát triển bền vững trong tương lai, Nhà nước phải làm chủ và quản lý, bảo vệ được các dữ liệu về thông tin cá nhân và thông tin do công dân trong nước tạo ra. Đây là vấn đề chủ quyền dữ liệu, tránh tình trạng tập trung, độc quyền của các doanh nghiệp, tổ chức nước ngoài, bất bình đẳng với các doanh nghiệp trong nước, trong khi nguy cơ an ninh dữ liệu được đặt ở mức cao hơn khi bên thứ ba có thể tiếp cận, khai thác, sử dụng mà Nhà nước không quản lý được. Việc Facebook liên tục lộ, lọt dữ liệu người dùng qua các hình thức khác nhau đã chứng minh sự bất cập khi một công ty nước ngoài quản lý toàn bộ dữ liệu công dân của quốc gia khác. Tương lai, dữ liệu mới là nguyên liệu đầu vào quan trọng nhất cho nền kinh tế, khi mà các hoạt động của Nhà nước đều phải dựa trên sự phân tích, thống kê dữ liệu. Làm chủ được dữ liệu góp phần giúp quốc gia làm chủ được tương lai.

Để bảo đảm được tính đa chiều, phù hợp với tình hình thực tế và thăm dò dư luận xã hội, qua nhiều phiên họp, thảo luận, dự thảo Nghị định hiện quy định phương án:

Đối với dữ liệu phải lưu trữ tại Việt Nam: Dự thảo Nghị định quy định 03 loại dữ liệu cần lưu trữ theo Khoản 3 Điều 26 Luật An ninh mạng, nhưng không phải toàn bộ các loại hình lưu trữ, mà thiết lập “bộ lọc”, xác định quy định một số loại dữ liệu thực sự cần thiết, cần áp dụng các biện pháp bảo vệ tương xứng trong 03 loại dữ liệu nêu trên để bảo đảm yêu cầu bảo vệ an ninh dữ liệu.

Đối với doanh nghiệp phải lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam thuộc 10 loại hình doanh nghiệp, đáp ứng đầy đủ 04 điều kiện: (1) Là doanh nghiệp cung cấp một trong các dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng có hoạt động kinh doanh tại Việt Nam sau đây: Dịch vụ viễn thông; Dịch vụ lưu trữ, chia sẻ dữ liệu trên không gian mạng; Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; Thương mại điện tử; Thanh toán trực tuyến; Trung gian thanh toán; Dịch vụ kết nối vận chuyển qua không gian mạng; Mạng xã hội và truyền thông xã hội; Trò chơi điện tử trên mạng; Thư điện tử. (2) Có hoạt động thu thập, khai thác, phân tích, xử lý các loại dữ liệu quy định tại Điều 24 Nghị định này. (3)  Để cho người sử dụng dịch vụ thực hiện hành vi được quy định tại Khoản 1, 2 Điều 8 Luật An ninh mạng. (4) Vi phạm quy định tại Khoản 4 Điều 8, điểm a hoặc điểm b khoản 2 Điều 26 Luật An ninh mạng.

-Về thẩm quyền yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc đặt văn phòng đại diện tại Việt Nam: Dự thảo Nghị định quy định Bộ trưởng Bộ Công an yêu cầu doanh nghiệp đủ điều kiện và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

- Về chế tài xử lý: Do chưa có văn bản quy phạm pháp luật quy định về vấn đề này nên dự thảo quy định: “Các doanh nghiệp không chấp hành quy định lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam thì tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật”.

2. Dự thảo Quyết định của Thủ tướng Chính phủ ban hành Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, gồm 03 điều, 01 Phụ lục Danh mục hệ thống, chỉ quy định việc ban hành Danh mục và trách nhiệm của các bộ, ngành liên quan tới Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Dự thảo này cơ bản nhận được sự đồng ý của thành viên Ban Soạn thảo, Tổ Biên tập, không có nhiều ý kiến tham gia.