Dự thảo Luật An ninh mạng: Bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật về an toàn, an ninh mạng
Việc ban hành Luật ANM cũng góp phần thể chế hóa đầy đủ, kịp thời các chủ trương, đường lối của Đảng về an ninh mạng; Bảo đảm sự phù hợp với quy định của Hiến pháp 2013 về quyền con người, quyền cơ bản của công dân và bảo vệ Tổ quốc; Bảo đảm công tác an ninh mạng của nước ta có sự phù hợp nhất định với thông lệ quốc tế.
Dự thảo Luật ANM được thảo luận cho ý kiến tại kỳ họp thứ 4 Quốc hội khóa XIV, gồm 8 Chương và 55 Điều. Trong đó, có những quy định chung về phạm vi điều chỉnh, đối tượng áp dụng, giải thích từ ngữ, chính sách an ninh mạng, nguyên tắc, biện pháp bảo vệ an ninh mạng, hợp tác quốc tế về an ninh mạng và các hành vi bị nghiêm cấm.
Quá trình xây dựng Dự thảo Luật đã được Ban soạn thảo Dự án Luật xây dựng công phu, lấy ý kiến đóng góp của toàn xã hội và đã lĩnh hội nhiều ý kiến góp ý xác đáng. Tuy nhiên, Dự thảo Luật ANM cũng cần làm rõ một số nội dung để bảo đảm tính khả thi cao khi áp dụng vào thực tiễn và bảo đảm sự đồng bộ, thống nhất với hệ thống văn bản pháp luật hiện hành.
Về phạm vi điều chỉnh của Luật An ninh mạng
Theo Dự thảo, phạm vi điều chỉnh của Luật ANM khá rộng, gần như bao quát hết các vấn đề liên quan tới bảo vệ an ninh mạng và các hoạt động trên không gian mạng, bởi vậy dễ trùng lặp về nội dung và chồng chéo về thẩm quyền quản lý nhà nước với các văn bản luật hiện hành như Luật An toàn thông tin mạng (ATTTM), Luật Cơ yếu, Luật Công nghệ thông tin…. Đặc biệt, phạm vi điều chỉnh của Dự thảo Luật phải có sự phân định rõ ràng với một đạo luật cùng lĩnh vực là Luật ATTTM. Bên cạnh đó, việc bao quát một phạm vi rộng về bảo vệ an ninh mạng trong một văn bản luật cũng dễ gây ra tình trạng chưa quy định hết các tình huống xảy ra và biện pháp giải quyết.
Về khái niệm “an ninh mạng”
Việc định nghĩa chính xác, rõ ràng và phù hợp của khái niệm “an ninh mạng” rất quan trọng. Vì đây là khái niệm cơ bản, liên quan và tác động tới phạm vi điều chỉnh và các nội dung cụ thể quy định trong Dự thảo Luật.
Theo Dự thảo, khái niệm này được định nghĩa: “An ninh mạng là sự bảo đảm hoạt động sử dụng không gian mạng không gây phương hại đến sự ổn định, phát triển bền vững của chế độ xã hội chủ nghĩa và Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc, an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân”. Như vậy, đối tượng tác động của an ninh mạng là “hoạt động sử dụng không gian mạng”, sẽ được hiểu theo nghĩa rất rộng và có thể sẽ có sự trùng lẫn với đối tượng tác động của các luật khác như Luật ATTTM, Luật Cơ yếu.... Nội hàm khái niệm “an ninh mạng” cũng cần được làm rõ hơn để có thể xác định được phạm vi, đối tượng của nhiều nội dung quy định trong Dự thảo Luật như về tiêu chuẩn, quy chuẩn, thẩm định, kiểm tra, đánh giá, giám sát an ninh mạng....
Về hệ thống thông tin quan trọng về an ninh quốc gia
Trong Dự thảo Luật quy định về Hệ thống thông tin quan trọng về an ninh quốc gia và định nghĩa, đó “là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội”. Bên cạnh đó, trong Luật ATTTM hiện hành có quy định, “Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia”. Với các định nghĩa như vậy, việc phân biệt giữa 2 hệ thống thông tin này sẽ không dễ dàng. Cho nên, trong Dự thảo Luật ANM cần có sự giải thích rõ ràng hơn đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Cùng với Luật ATTTM, khi Luật ANM có hiệu lực thì trong lĩnh vực bảo vệ thông tin sẽ cùng tồn tại hai hệ thống phân loại đối với các hệ thống thông tin quan trọng quốc gia. Việc có hai hệ thống phân loại khác biệt nhau với mục đích bảo vệ thông tin cho cùng một đối tượng sẽ gây khó khăn cho chủ quản hệ thống thông tin trong việc xác định và đưa ra biện pháp bảo vệ cho hệ thống thông tin của đơn vị mình, gây sự chồng chéo trong công tác quản lý nhà nước giữa các cơ quan chức năng. Nhiều chủ quản hệ thống thông tin sẽ phải thực hiện đồng thời các quy định về thẩm định, kiểm tra, đánh giá, chứng nhận hợp chuẩn, hợp quy theo sự quản lý của Bộ TT&TT và Bộ Công an theo quy định của 2 luật này.
Vì vậy, việc xác định tiêu chí, phân loại và xây dựng danh mục của Hệ thống thông tin quan trọng về an ninh quốc gia nên xem xét để có sự tương đồng, tránh tình trạng có sự mâu thuẫn giữa các văn bản quy định của nhà nước.
Bên cạnh đó, với định nghĩa và cách xác định Hệ thống thông tin quan trọng về an ninh quốc gia trong Dự thảo Luật (khoản 6 Điều 3 và mục c, d khoản 2 Điều 9) thì tiêu chí xác định chưa rõ ràng, dễ dẫn đến đối tượng xác định có thể mở rộng phạm vi, nguồn lực bảo đảm cho việc bảo vệ các hệ thống này sẽ rất lớn và khó khăn cho nhiều chủ quản hệ thống thông tin, khó khăn cho sự quản lý của cơ quan chuyên trách về an ninh mạng.
Về tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng đối với hệ thống thông tin quan trọng quốc gia
Hiện nay, theo Luật ATTTM, việc xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn và quản lý chất lượng của các sản phẩm, dịch vụ ATTTM đã được giao cho Bộ TT&TT và Bộ Quốc phòng (Ban Cơ yếu Chính phủ). Với các nội dung được quy định trong Chương II, Mục 2 của Dự thảo Luật ANM, chủ quản các hệ thống thông tin sẽ phải thực hiện hai hệ thống tiêu chuẩn trong lĩnh vực chuyên môn rất gần nhau. Việc phân biệt rõ ràng giữa tiêu chuẩn, quy chuẩn về ATTTM và an ninh mạng khá khó khăn, dễ bị chồng lẫn về nội dung và phạm vi áp dụng. Điều đó cũng dẫn đến việc cùng một sản phẩm, dịch vụ ATTTM sẽ phải áp dụng đồng thời hai hệ thống tiêu chuẩn và chịu sự kiểm định, đánh giá của 2 cơ quan quản lý nhà nước khác nhau, làm tăng thủ tục hành chính và chi phí cho doanh nghiệp.
Về điều kiện kinh doanh dịch vụ an toàn thông tin mạng
Hoạt động của doanh nghiệp cung cấp dịch vụ ATTTM hiện đang chịu sự điều chỉnh của Luật ATTTM, chịu sự thẩm định, cấp phép hoạt động của Bộ TT&TT và Ban Cơ yếu Chính phủ (đối với sản phẩm, dịch vụ mật mã dân sự). Tuy nhiên, tại khoản 3 Điều 11 Dự thảo Luật ANM quy định: “Bộ Công an thẩm định về năng lực, điều kiện đối với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia”. Như vậy, các doanh nghiệp này sẽ chịu sự thẩm định năng lực, điều kiện của hai cơ quan quản lý nhà nước khác nhau khi cung cấp dịch vụ đối với hệ thống thông tin quan trọng quốc gia. Điều này gây khó khăn cho doanh nghiệp và chồng chéo giữa Dự thảo Luật ANM và Luật ATTTM. Bởi vậy, cần có quy định rõ ràng về sự phối hợp giữa hai cơ quan quản lý nhà nước này để vừa đảm bảo quản lý chặt chẽ, nhưng cũng tạo sự thuận lợi và giảm đầu mối thực hiện thủ tục hành chính cho doanh nghiệp.
Trong Dự thảo Luật ANM cũng còn quy định nhắc lại một số nội dung liên quan tới nhiệm vụ của các Bộ, ban, ngành, đã được quy định trong các văn bản Luật hiện hành: Trách nhiệm của Bộ TT&TT trong quản lý nhà nước về ATTTM đã được quy định trong Luật ATTTM; Nhiệm vụ của Ban Cơ yếu Chính phủ đối với công tác cơ yếu và quản lý nhà nước về mật mã dân sự đã được quy định trong Luật Cơ yếu và các văn bản pháp luật khác.
Theo Luật Cơ yếu, việc tổ chức triển khai và quản lý toàn diện mạng liên lạc cơ yếu trên toàn quốc đã được giao cho Ban Cơ yếu Chính phủ. Vì vậy, các hoạt động liên quan tới bảo đảm an ninh mạng cho hệ thống mạng liên lạc cơ yếu do Ban Cơ yếu Chính phủ chịu trách nhiệm đảm bảo. Vấn đề này cần được quy định rõ trong Luật ANM để tránh trùng lặp.
Trong quá trình xây dựng, cùng với sự tham gia đóng góp ý kiến của toàn xã hội, chắc chắn Dự thảo Luật ANM sẽ ngày càng hoàn thiện, có tính thực tiễn cao, góp phần đắc lực cho công tác quản lý nhà nước và triển khai các hoạt động đảm bảo an ninh mạng, đáp ứng được yêu cầu cấp thiết về bảo vệ an ninh quốc gia, trật tự, an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân trong giai đoạn sắp tới.