Luật an toàn thông tin liệu có khả thi?

An toàn thông tin (ATTT) đang trở thành vấn đề cấp thiết, mang ý nghĩa sống còn của mỗi quốc gia, nhưng hiện nay Việt Nam vẫn chưa có một văn bản đầy đủ, chuyên biệt, đặc thù về ATTT. Vì vậy, Luật ATTT được coi là một trong những văn bản pháp luật về CNTT được mong đợi nhất trong năm 2015. Tuy nhiên, những tranh cãi về phạm vi điều chỉnh, tên gọi, đặc biệt là nội dung của dự thảo luật còn mang tính kỹ thuật cao và hơi khó hiểu đang đặt ra câu hỏi về tính khả thi của dự luật này.

Ảnh minh họa - nguồn internet.Ảnh minh họa - nguồn internet.

“Hâm nóng” bàn nghị sự

Đầu tháng 6 vừa qua, Bộ trưởng Bộ Thông tin và Truyền thông (Bộ TT&TT) Nguyễn Bắc Son đã trình bày báo cáo thuyết minh chi tiết dự thảo Luật ATTT trước Quốc hội, đây cũng là một trong những nội dung làm nóng nghị trường tại kỳ họp thứ 9 Quốc hội khóa XIII.

Theo Bộ trưởng Nguyễn Bắc Son, ngày nay thông tin có thể được lan truyền nhanh chóng trên mạng, hệ thống thông tin tạo nền tảng cho hầu hết các hoạt động chính trị, kinh tế, xã hội. Bất cứ thông tin sai lệch nào, bất kỳ sự cố nào đối với hệ thống thông tin cũng sẽ gây ra hậu quả nặng nề đối với nhà nước và xã hội. Luật ATTT được ban hành sẽ có vai trò quan trọng ảnh hưởng tới nhiều lĩnh vực phát triển đời sống, kinh tế, xã hội.

Đối với cơ quan nhà nước, Luật ATTT góp phần tăng cường quản lý nhà nước và thực thi pháp luật nhằm thúc đẩy phát triển nhanh và ứng dụng hiệu quả CNTT và truyền thông, đảm bảo an ninh quốc phòng, ngăn chặn các hành vi lợi dụng CNTT với mục đích xấu đối với các hoạt động chính trị, kinh tế, xã hội.

Đối với doanh nghiệp, Luật ATTT sẽ giúp doanh nghiệp yên tâm thực hiện các hoạt động đầu tư, kinh doanh nói chung và trên môi trường mạng nói riêng, đồng thời nâng cao hiệu quả hoạt động và năng lực cạnh tranh. Trong thương mại điện tử và hợp tác quốc tế, luật góp phần tạo dựng uy tín quốc gia, mở rộng cũng như hủy bỏ các rào cản đang hạn chế sự phát triển kinh tế.

Còn đối với người dân, Luật ATTT sẽ góp phần bảo vệ quyền, lợi ích hợp pháp của người dân và cộng đồng trong việc sử dụng các ứng dụng và dịch vụ do CNTT mang lại.

Trong những năm gần đây Chính phủ đã chỉ đạo các bộ, ngành và địa phương tổ chức thực hiện nhiều chương trình, dự án tăng cường đảm bảo ATTT. Việc đầu tư trang bị các hệ thống thiết bị bảo vệ, đưa ra các chính sách nhằm tăng cường các biện pháp quản lý, các chương trình nâng cao nhận thức đã góp phần quan trọng nâng cao năng lực đảm bảo ATTT. Tuy nhiên, công tác quản lý nhà nước về lĩnh vực này vẫn còn những thách thức và bất cập, chủ yếu từ việc thiếu hành lang pháp lý. Công tác quản lý đảm bảo an toàn thông tin còn chưa thống nhất từ trung ương đến địa phương, còn thiếu cơ chế phối hợp và tính đồng bộ, các biện pháp chế tài còn thiếu hoặc chưa đủ mạnh…

Nhận thức được vấn đề này, Đảng và Nhà nước đã thể hiện sự quan tâm bằng việc chỉ đạo đường lối và ban hành các văn bản điều hành như: Chỉ thị số 58-CT/TW về đẩy mạnh ứng dụng và phát triển công nghệ thông phục vụ sự nghiệp công nghiệp hóa, hiện đại hóa; Nghị quyết số 08-NQ/TW về một số chủ trương chính sách lớn để phát triển kinh tế; Quyết định số 63/QĐ-TTg về phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020; Chỉ thị số 28-CT/TW ngày 16/9/2013 của Ban bí thư về tăng cường công tác đảm bảo ATTT mạng. Sự quan tâm chỉ đạo của Chính phủ về ATTT còn thể hiện qua các cam kết về tăng cường ATTT trong khu vực ASEM tại Hội nghị cấp cao ASEM5...

Bộ trưởng Nguyễn Bắc Son cũng nhấn mạnh ATTT là một lĩnh vực rộng, đa ngành, đòi hỏi có sự tham gia quản lý nhà nước của nhiều bộ, ngành, địa phương. Mỗi hoạt động lại bao gồm nhiều nhiệm vụ và mỗi nhiệm vụ lại có thể cần sự tham gia chỉ đạo, điều hành và phối hợp thực hiện của nhiều bộ, ngành, địa phương. Vì vậy mục tiêu của dự thảo luật đặt ra là hoàn thiện pháp luật về ATTT theo hướng đảm bảo tính thống nhất, đồng bộ, khả thi của các quy định trong lĩnh vực này. Luật bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động ATTT; ngăn chặn những hành vi lợi dụng mạng gây ảnh hưởng đến an ninh quốc gia, vi phạm đạo đức, thuần phong mỹ tục, vi phạm các quy định của pháp luật. Hệ thống thông tin, các thông tin trên mạng và môi trường mạng sẽ được bảo vệ. Luật ATTT cũng nhằm tạo môi trường kinh doanh, phát triển các sản phẩm, dịch vụ ATTT, sản phẩm mật mã dân sự, đồng thời phân định trách nhiệm rõ của các cơ quan quản lý nhà nước.

Dựa trên những quan điểm cơ bản, xuyên suốt các vấn đề về ATTT để phù hợp với thực tiễn về nhu cầu bảo đảm ATTT nhằm thúc đẩy phát triển kinh tế thị trường trong bối cảnh hội nhập kinh tế quốc tế, dự thảo Luật ATTT được Bộ TT&TT xây dựng gồm 9 chương, 55 điều. Nội dung xoay quanh các quy định về hoạt động ATTT, bao gồm bảo đảm ATTT trên mạng; bảo vệ thông tin cá nhân trên mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật ATTT; kinh doanh trong lĩnh vực ATTT; phát triển nguồn nhân lực ATTT; quản lý nhà nước về ATTT; quyền và nghĩa vụ của tổ chức, cá nhân tham gia hoạt động ATTT.

Với vai trò thẩm tra dự án Luật ATTT và báo cáo trước Quốc hội, Chủ nhiệm Ủy ban Khoa học, Công nghệ và Môi trường (Ủy ban KH, CN&MT) Phan Xuân Dũng cho rằng CNTT luôn phải đối mặt với nhiều thách thức, đó là hàng loạt loại hình tấn công ngày càng thường xuyên hơn, tinh vi hơn và càng khó đối phó hơn. Mạng thông tin càng mở rộng, số người sử dụng mạng càng nhiều, tốc độ truy nhập càng cao thì nguy cơ mất ATTTvà mức độ thiệt hại do các tấn công càng lớn. Các sự cố về mất ATTT đã tăng lên nhanh chóng trong thời gian qua, kéo theo những thiệt hại về vật chất và phi vật chất, ảnh hưởng lớn đến hoạt động của các cơ quan nhà nước, doanh nghiệp và người dân, gây bức xúc, lo lắng cho xã hội. Theo đó, nguy cơ mất ATTT đã trở thành thách thức lớn đối với mỗi quốc gia, trong đó có Việt Nam.

Do đó, Ủy ban KH, CN&MT nhất trí với tờ trình của Chính phủ về sự cần thiết ban hành Luật ATTT. Việc ban hành luật sẽ góp phần hoàn thiện cơ sở pháp lý về ATTT, tạo điều kiện phát triển ổn định, bình đẳng cho các tổ chức, cá nhân đang hoạt động, sản xuất, kinh doanh tại Việt Nam, góp phần tăng cường vai trò, trách nhiệm của các cơ quan quản lý nhà nước trong lĩnh vực ATTT.

Tuy nhiên, một số nội dung dự thảo luật còn khá rộng, chưa có những quy định cụ thể, rõ ràng với thực tiễn, cần phải điều chỉnh, rà soát lại như vấn đề về quản lý mật mã dân sự, trách nhiệm thẩm định về an toàn thông tin, chủ quyền quốc gia về không gian mạng. Một số thuật ngữ, quy định còn chung chung, khó thực hiện hoặc có thể dẫn đến việc áp dụng, hướng dẫn tùy tiện. Do đó, Ban soạn thảo cần tiếp tục nghiên cứu, rà soát, sửa đổi lại các quy định này cho rõ ràng, minh bạch hơn tạo thuận lợi khi thực hiện luật. Đây cũng là ý kiến chung của nhiều đại biểu Quốc hội khi tham gia thảo luận về dự thảo Luật ATTT.

Đổi tên thành Luật ATTT mạng?

Theo Ủy ban KH, CN&MT, phạm vi thông tin cần được pháp luật bảo đảm an toàn như trong dự thảo luật là rất rộng, không chỉ là thông tin được số hóa, được trao đổi thông qua các phương tiện điện tử hay mạng internet. Trong khi đó, theo tờ trình của Chính phủ phần lớn nội dung của dự thảo luật chỉ tập trung quy định về bảo đảm ATTT trên mạng (bao gồm mạng viễn thông, internet và mạng máy tính). Dự thảo luật không điều chỉnh về nội dung thông tin mà chỉ chỉ tập trung về các vấn đề kỹ thuật nhằm bảo đảm quá trình truyền tải thông tin không bị sửa đổi, tiết lộ, gián đoạn, thông tin được bảo đảm nguyên vẹn. Do đó, Ủy ban KH,CN&MT đề nghị đổi tên gọi của dự thảo luật thành Luật ATTT mạng để bảo đảm thống nhất với phạm vi điều chỉnh của luật.

Bên cạnh đó, mối quan hệ giữa ATTT với an ninh thông tin cũng cần làm rõ, bổ sung một số nội dung liên quan giữa bảo đảm ATTT phục vụ phát triển kinh tế - xã hội với an ninh thông tin trong thực hiện nhiệm vụ bảo đảm an ninh, quốc phòng theo tinh thần của Nghị quyết IPU-132 về chiến tranh mạng.

Ủy ban KH,CN&MT cho rằng quy định về bảo vệ thông tin cá nhân trên mạng phải là một nội dung cơ bản, quan trọng trong luật này. Nhưng quy định trong dự thảo luật có dung lượng và nội hàm còn nhiều hạn chế. Cả giải thích thuật ngữ cũng như nội dung quy định tại chương này chưa có sự phân biệt trong việc thu thập, xử lý, sử dụng các thông tin do cá nhân thực hiện khai báo theo yêu cầu của tổ chức cung cấp dịch vụ với các thông tin cá nhân do cá nhân chủ động đưa lên mạng.

Do vậy chưa thể hiện được một cách toàn diện trách nhiệm của tất cả các bên liên quan trong việc bảo vệ, bảo đảm an toàn đối với từng loại thông tin này. Hơn nữa, theo các quy định liên quan tại dự thảo luật thì có thể hiểu các quy định này chỉ tập trung vào việc bảo vệ các thông tin cá nhân trên mạng được nắm giữ và xử lý bởi các tổ chức, cá nhân với mục đích thương mại, kinh doanh.

Còn đối với việc thu thập, sử dụng thông tin cá nhân nhằm các mục đích khác hoặc do các cơ quan nhà nước nắm giữ, xử lý lại chưa rõ cơ chế bảo vệ như thế nào. Ủy ban KH,CN&MT đề nghị Ban soạn thảo nghiên cứu bổ sung các quy định có tính khả thi hơn về bảo vệ thông tin cá nhân trên cơ sở bộ luật dân sự (sửa đổi), kinh nghiệm của một số quốc gia trong việc xây dựng luật về bảo vệ dữ liệu cá nhân.

Việc quy định về loại hình kinh doanh dịch vụ, sản phẩm ATTT trong dự thảo luật còn khá chung chung, khái quát và thiếu minh bạch. Chẳng hạn dự thảo luật quy định về điều kiện kinh doanh ATTT đã khẳng định đối với tổ chức kinh doanh dịch vụ ATTT thì phải có giấy phép cung cấp dịch vụ hoặc giấy chứng nhận đủ điều kiện cung cấp dịch vụ, còn tổ chức kinh doanh sản phẩm ATTT phải có giấy phép cung cấp sản phẩm ATTT. Nhưng dự thảo luật chỉ quy định về điều kiện cấp giấy phép và giấy chứng nhận đối với tổ chức kinh doanh dịch vụ ATTT. Trong khi đó, điều kiện cấp giấy phép đối với tổ chức kinh doanh sản phẩm ATTT chưa được quy định trong dự thảo luật. Hơn nữa, những quy định này còn quá chung chung, rất khó cho việc xác định thế nào là đủ điều kiện kinh doanh. Dự thảo cũng cần cân nhắc về việc có nhiều hình thức giấy phép, giấy chứng nhận đối với loại hình kinh doanh này như các quy định trong dự thảo luật.

Về trách nhiệm thẩm định về ATTT quy định, quy định về thẩm định ATTT như trong dự thảo là cần thiết nhằm bảo đảm chức năng quản lý nhà nước về an ninh, ATTT. Tuy nhiên, việc quản lý ATTT phải đáp ứng yêu cầu bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội. Do đó, việc chỉ giao Bộ TT&TT “thẩm định về ATTT trong hồ sơ thiết kế hệ thống thông tin” như trong dự thảo luật là chưa phù hợp. Bộ TT&TT cần phải chủ trì, phối hợp chặt chẽ với các cơ quan có liên quan như cơ quan mật mã quốc gia, Bộ Công an, Bộ Quốc phòng... thực hiện nhiệm vụ này.

Dự thảo luật cũng cần bổ sung quy định cụ thể hơn trách nhiệm quản lý nhà nước của các bộ như: Bộ Quốc phòng, Bộ Công an, Bộ Kế hoạch và Đầu tư và Ủy ban nhân dân các cấp, đặc biệt là trách nhiệm của người đứng đầu trong hoạt động ATTT; rà soát lại các quy định giao Chính phủ và các bộ, ngành hướng dẫn để bảo đảm phù hợp về mặt thẩm quyền, đồng thời tăng cường tính khả thi của dự thảo luật.

Mặt khác, một số đại biểu Quốc hội còn cho rằng dự thảo cần cân nhắc một số thuật ngữ chưa thực sự rõ ràng, chính xác, bổ sung một số thuật ngữ. Chẳng hạn, tuy có tên là Luật ATTT nhưng dự thảo không đưa ra khái niệm thông tin, thậm chí giải thích từ ngữ trong luật không có hoặc lệch hẳn. Toàn bộ dự thảo không có phần nào giải thích như thế nào thông tin trên mạng, hệ thống thông tin toàn cơ sở dữ liệu phần cứng, phần mềm... dù có cả chương về bảo vệ hệ thống thông tin.

Ngoài ra, dự thảo cần bổ sung thêm một số quy định về hệ thống giám sát ATTT quốc gia, quy định cụ thể về hành vi vi phạm, hình thức xử phạt, biện pháp khắc phục, bồi thường thiệt hại, hình thức công bố hành vi vi phạm, quy định về dịch vụ OTT...

Trước những ý kiến, tranh luận về dự thảo Luật ATTT, Bộ TT&TT đã tiếp thu các ý kiến của Ủy ban Thường vụ Quốc hội và ý kiến thẩm tra của Ủy ban KH,CN&MT để có dự kiến sửa đổi, bổ sung dự thảo luật cũng như các Nghị định hướng dẫn kèm theo. Sau Kỳ họp thứ 9 của Quốc hội, Bộ TT&TT sẽ phối hợp với Ủy ban KH,CN&MT và các cơ quan có liên quan để tiếp tục hoàn thiện dự án luật cũng như chỉnh sửa về kỹ thuật lập pháp trình Quốc hội xem xét, thông qua.

Dự kiến, nếu được Quốc hội sớm thông qua vào kỳ họp tháng 10 năm nay thì luật này sẽ chính thức đi vào triển khai từ năm 2016, nhằm tạo cơ sở tốt hơn cho hoạt động bảo đảm ATTT, cũng như làm rõ quyền và trách nhiệm của mọi tổ chức, cá nhân tham gia vào môi trường mạng.

(Thanh Huyền)