Tranh luận về dự thảo Luật An ninh mạng: Giẫm chân, chồng chéo và lãng phí

Đặc biệt, nhiều nội dung lại “đẻ” thêm thủ tục làm khó cho cả cơ quan quản lý lẫn cộng đồng doanh nghiệp.

Điều băn khoăn nhất là phạm vi, đối tượng điều chỉnh của 2 luật: luật An toàn thông tin mạng năm 2015 và luật An ninh mạng đang dự thảo không có sự phân định rạch ròi.

Cụ thể, luật An toàn thông tin mạng quy định: “Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng”. Còn dự thảo luật An ninh mạng viết “Cơ sở hạ tầng không gian mạng quốc gia là hệ thống trang thiết bị phục vụ cho việc tạo lập, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin”. Trong khi đó ở các nước khác, trong thuật ngữ pháp lý đều dùng chung khái niệm "cyber security" với hàm nghĩa như nhau cho một đối tượng: "không gian mạng".

Cùng một đối tượng điều chỉnh nhưng dự thảo mới lại quy định Bộ Công an là cơ quan quản lý nhà nước và là đầu mối chứng nhận, cấp phép về hợp chuẩn, hợp quy an ninh mạng quốc gia. Trong khi đó, luật An toàn thông tin mạng 2015 giao việc đó cho Bộ TT-TT, sự xung đột thẩm quyền từ phạm vi điều chỉnh trùng nhau là rất rõ.

Đơn cử như khi xảy ra sự cố mạng, riêng vấn đề ứng cứu đã có sự xung đột về đầu mối. Luật An toàn thông tin mạng, điều 14, khoản 4, điểm b quy định: Bộ TT-TT có trách nhiệm chủ trì điều phối công tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia. Nhưng dự thảo luật An ninh mạng lại nói: Bộ Công an điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia hoặc khi xảy ra tình huống khẩn cấp về an ninh mạng, sự cố an ninh mạng… (điều 20 khoản 4). Vậy các cơ quan thực thi sẽ nghe Bộ TT-TT hay Bộ Công an?

Cũng vậy, nếu việc chứng nhận hợp chuẩn hợp quy không được sửa đổi, khi luật có hiệu lực thi hành, nếu phải chứng nhận hợp chuẩn hợp quy, DN cần đến "tìm ai"? Nếu phải tìm cả hai bộ cho 1 giấy phép, giả sử khi quyết định đưa ra là "trái nhau" thì cơ quan nào phân xử "đúng sai"? DN sẽ lãnh đủ, vừa lúng túng khi thực thi, tốn kém thêm chi phí; đồng thời lại chịu rủi ro pháp lý vì bị cả hai bộ kiểm soát.

Trong khi Chính phủ đang nêu cao tinh thần kiến tạo, giảm chi phí cho DN; khuyến khích phát triển công nghệ cao và khởi nghiệp công nghệ - những quy định trong luật An ninh mạng lại tiềm ẩn rủi ro cắm "đinh" dưới thảm. Luật vì vậy rất có thể vừa không đạt mục tiêu đảm bảo an toàn an ninh quốc gia; đồng thời tạo nên một đợt "di cư" mới của DN sang các quốc gia khác đăng ký kinh doanh vừa thuận lợi, lại an toàn.

Theo kinh nghiệm quốc tế, không có quốc gia nào đưa ra 2 khái niệm riêng biệt về an ninh và an toàn mạng. Tuy nhiên, điều 37 luật An toàn thông tin mạng quy định Bộ TT-TT có trách nhiệm: xây dựng dự thảo tiêu chuẩn quốc gia an toàn thông tin mạng; ban hành quy chuẩn kỹ thuật quốc gia an toàn thông tin mạng; quy định về đánh giá hợp quy về an toàn thông tin mạng…

Trong khi đó, dự thảo luật An ninh mạng, khoản 1, điều 14 lại tiếp tục quy định: Bộ Công an chủ trì, phối hợp với cơ quan liên quan xây dựng dự thảo tiêu chuẩn quốc gia về an ninh mạng, đề nghị thẩm định... chủ trì xây dựng và ban hành quy chuẩn kỹ thuật quốc gia về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật.

Nếu chiếu theo câu từ được viết trên dự thảo luật An ninh mạng, các nhà sản xuất thiết bị phần cứng, phần mềm đều nằm trong diện có thể bị yêu cầu phải "xin" chứng nhận sản phẩm của mình đáp ứng tiêu chuẩn an ninh mạng VN. Nếu không có “giấy phép” xác nhận đạt chuẩn, họ sẽ không thể đưa sản phẩm ra thị trường.

Nhìn từ phía các đơn vị kinh doanh phần cứng, đó là rủi ro gia tăng thêm chi phí với đơn vị nhập khẩu, cuối cùng là chi phí rơi vào người tiêu dùng. Bởi DN Việt Nam hầu như không sản xuất phần cứng mà phải nhập khẩu. Vậy với những hãng kinh doanh toàn cầu như Apple chẳng hạn, liệu họ có sản xuất riêng iPhone đáp ứng “chuẩn Việt Nam” hay không? Khả năng lớn là không, và các nhà nhập khẩu sẽ phải làm việc đó. Ở đây, một câu hỏi nữa cũng được đặt ra, liệu các cơ sở “kiểm định” của Việt Nam có đủ khả năng kiểm định một sản phẩm nguyên chiếc như iPhone?

tin liên quan

'Bắt' Google, Facebook đặt máy chủ ở Việt Nam, doanh nghiệp nội bất lợi

Không chỉ cộng đồng doanh nghiệp lo ngại, ngay cả chuyên gia cũng đang bày tỏ băn khoăn, sự bất an đối với dự thảo luật An ninh mạng khi thảo luận tại buổi tọa đàm do Hội Truyền thông số tổ chức ngày 21.11.