KIẾN NGHỊ VỀ LUẬT AN NINH MẠNG CỦA NHÓM CHUYÊN GIA CÔNG NG HỆ THÔNG TIN

Kính gửi: Chủ tịch Quốc Hội nước Cộng Hoà Xã hội Chủ Nghĩa Việt Nam

- Đại biểu Quốc hội, Quốc hội nước Cộng hoà Xã hội Chủ nghĩa Việt Nam

- Thủ tướng Chính phủ nước Cộng hoà Xã hội Chủ nghĩa Việt Nam

Chúng tôi, nhóm chuyên gia trong lĩnh vực quản lý Công nghệ Thông tin gồm Đặng Hữu, Chu Hảo, Mai Liêm Trực, Nguyễn Khánh Toàn… được chính phủ giao đánh giá và chuẩn bị đưa internet vào Việt Nam cuối thập niên 1990, hoan nghênh Quốc hội và Chính phủ đã có những quan tâm kịp thời đến vấn đề an ninh mạng. Chúng tôi hoàn toàn đồng ý rằng rủi ro tấn công mạng đang ngày càng gia tăng; đồng thời chúng tôi chia sẻ những lo lắng, quan ngại của Quốc hội và Chính phủ về việc mạng internet nói chung, mạng xã hội nói riêng bị sử dụng để truyền bá các thông tin không chính xác, các phát ngôn quá khích, thù ghét.

Tuy nhiên, nghiên cứu kỹ lưỡng dự thảo luật Quốc hội đang thảo luận, chúng tôi cho rằng, các điều luật đề xuất không những không giải quyết được vấn đề tấn công mạng; không giúp bảo vệ được an toàn internet của Nhà nước và người dân, mà ngược lại có thể kéo lùi sự phát triển của internet, của kinh tế số và xã hội thông tin Việt Nam.

Kinh nghiệm quốc tế mà chúng tôi tham khảo cũng cho thấy rằng, an ninh mạng là “cuộc chiến kỹ thuật”, các giải pháp sử dụng công cụ pháp lý hình sự hay hành chính không phải là lựa chọn tối ưu.

I. Nhận xét nội dung Dự thảo

Trở lại Dự thảo, các giải pháp pháp lý được đề xuất, cụ thể ở Điều 5 không thể giúp giảm thiểu rủi ro tấn công mạng. Ngược lại, đưa các tổ chức, cá nhân cung cấp dịch vụ viễn thông, internet; tổ chức cá nhân cung cấp dịch vụ mạng; và cả người dùng thành đối tượng điều chỉnh có thể gây tác dụng ngược, thu hẹp quyền tiếp cận và cơ hội sử dụng internet cho việc học tập, nghiên cứu, kinh doanh, trao đổi thông tin của người dân.

Cụ thể là Điều 26 về đảm bảo an ninh thông tin trên không gian mạng.

Thứ nhất, điều luật này ảnh hưởng đến quyền dân sự, chính trị của công dân, đồng thời có thể đặt doanh nghiệp vào rủi ro phạm pháp khi làm ăn kinh doanh.

Điểm a, b và c, khoản 2, Điều 26 yêu cầu cơ quan, tổ chức trong và ngoài nước khi cung cấp dịch vụ trên không gian mạng hoặc sở hữu hệ thống thông tin phải xác thực được thông tin người dùng đăng ký tài khoản và cung cấp cho lực lượng chuyên trách an mạng khi có yêu cầu; phải xoá bỏ thông tin, ngăn chặn việc chia sẻ thông tin; không cung cấp, ngừng cung cấp dịch vụ viễn thông, dịch vụ internet và các dịch vụ gia tăng cho tổ chức, cá nhân nếu thông tin bị xác định là "xấu, độc" theo Điều 15.

Tại quy định này, đối tượng thực thi là tổ chức cung cấp dịch vụ trên không gian mạng, hoặc sở hữu hệ thống thông tin – hàm nghĩa là toàn bộ tổ chức có sử dụng internet trên toàn bộ các lĩnh vực kinh tế, xã hội. Trong khi đó, các thông tin “xấu, độc” như quy định tại Điều 15 – buộc phải gỡ, chặn; và thậm chí ngừng cung cấp dịch vụ lại quá rộng và không rõ ràng. Như vậy, chỉ cần cơ quan quản lý cho rằng một tổ chức, cá nhân đăng tải thông tin bị cho là “ xấu, độc” – thì đã có thể yêu cầu bên cung cấp dịch vụ cắt dịch vụ internet, điện thoại, tài khoản email … Điều luật này rõ ràng hạn chế tự do internet, đi ngược lại tiến bộ; đặt công dân trước rủi ro vi phạm pháp luật và bị thanh tra, kiểm tra, nhũng nhiễu bởi lực lượng chuyên trách an ninh mạng (LLCTANM), bộ Công An.

Việc yêu cầu tổ chức, doanh nghiệp phải cung cấp thông tin người dùng cho LLCTAM, cho dù là có yêu cầu bằng văn bản đi nữa, trong khi không đi kèm với điều kiện cung cấp; thủ tục thực hiện tạo ra rủi ro lớn xâm phạm vào quyền riêng tư của cá nhân, bí mật an toàn thư tín, vốn được bảo vệ bởi Hiến pháp ( Điều 21). Chúng tôi cho rằng, chỉ có lệnh từ toà án, mới có thể đưa ra yêu cầu này.

Thứ 2, quy định về việc “lưu trữ tại Việt Nam thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam và các dữ liệu quan trọng liên quan đến an ninh quốc gia”.

Dữ liệu thế nào là quan trọng đến an ninh quốc gia không hề được xác định trong luật này, cũng như luật An ninh quốc gia, hoặc các văn bản pháp luật đã ban hành.
Yêu cầu “lưu trữ tại Việt Nam” đối với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam đồng nghĩa với việc cô lập không gian mạng trong phạm vi nước ta. Xét trên góc độ kỹ thuật, chưa bàn đến phạm vi “thông tin cá nhân”, yêu cầu này có thể sẽ khó khả thi trên thực tế vì các chuẩn công nghệ của các chủ sở hữu mạng khác nhau với mức độ bảo mật khác nhau. Các máy chủ cũng có chức năng khác nhau, việc yêu cầu doanh nghiệp dành riêng một số máy chủ để lưu dữ liệu người dùng để phục vụ cơ quan quản lý sẽ là một giải pháp thiếu hiệu quả với nền kinh tế. Thêm vào đó, cơ quan quản lý cũng không dễ dàng để biết được rằng doanh nghiệp thực thi nghiêm túc hay chỉ mang tính đối phó. Điều này tạo ra sự cạnh tranh bất bình đẳng giữa doanh nghiệp có tính tuân thủ cao với các doanh nghiệp không tuân thủ.

Thứ 3, chúng tôi lo ngại về việc trao quá nhiều quyền hạn cho lực lượng chuyên trách an ninh mạng của Bộ Công an. Trong dự thảo luật, có 18 điểm dẫn chiếu và trao quyền cho lực lượng này, từ thẩm định, thanh kiểm tra, đánh giá đến xử lý vi phạm an ninh mạng. Đáng nói rằng, nội dung và thủ tục thực thi không được quy định rõ ràng. Chúng tôi cho rằng, rủi ro lạm quyền đe doạ tổ chức, doanh nghiệp, cá nhân xuất phát từ lực lượng này là rất cao.

II. Quan điểm của chúng tôi về vấn đề an ninh mạng:

Là những chuyên gia trong lĩnh vực quản lý Công nghệ Thông tin, chúng tôi khẳng định rằng:

1. Tấn công mạng là nguy cơ có thực, tuy nhiên, để ứng phó lại với tấn công mạng, chúng tôi khẳng định rằng, chỉ có thể ứng phó bằng giải pháp kỹ thuật và bằng con người. Pháp lý không phải là công cụ hữu quả để chống lại các vụ tấn công mạng. Xét trên khía cạnh này, về lực lượng bảo vệ an ninh mạng quốc gia, Việt Nam đã có 4 cơ quan: Cục cảnh sát phòng chống tội phạm công nghệ cao; Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT), Ban Cơ yếu Chính phủ, và Bộ tư lệnh tác chiến không gian mạng để ứng phó với tấn công mạng từ bên ngoài lãnh thổ. Đầu tư cho các lực lượng này là hướng đi đúng đắn để bảo vệ an ninh mạng quốc gia.

2. Vấn đề bảo vệ dữ liệu người dùng:

Bảo vệ dữ liệu riêng tư của người dùng, sau các vụ rò rỉ dữ liệu cá nhân là quan tâm chính đáng mà ban soạn thảo đưa ra. Nhưng bản thân quyền về dữ liệu là quan hệ dân sự - giữa các chủ thể dân sự (cá nhân – tổ chức ). Để bảo vệ chủ thể sở hữu dữ liệu, quyền này được cụ thể hoá bằng nhiều mức độ khác nhau, trong đó địa phương hoá dữ liệu – tức máy chủ, dữ liệu phải đặt trong phạm vi một quốc gia, chỉ là một trong 11 biện pháp bảo vệ quyền dữ liệu. Chúng tôi xin nêu ví dụ ở phần phụ lục các quyền cụ thể mà các quốc gia khác đang áp dụng để tham khảo.

Tuy nhiên, đây là vấn đề phức tạp, mới mẻ và gây tranh cãi ở nhiều nước. Tính hiệu quả thực thi chưa được xác thực, nhưng chi phí thực thi lớn khiến các nước đang thực thi, ví dụ Indonesia đang phải xem xét để sửa đổi quy định này. Chúng tôi cho rằng đưa quy định về địa phương hoá dữ liệu như Điều 26.d vào thời điểm này cho Việt Nam vẫn là quá sớm.

III. Kiến nghị

Chúng tôi cho rằng, kể từ năm 1997, trong 21 năm Việt Nam có internet, internet đã góp phần trọng yếu đến phát triển kinh tế - thông qua thúc đẩy thương mại và đầu tư; mở rộng tự do ngôn luận; tăng cường tính minh bạch và trao đổi thông tin trong xã hội. Trên internet có thông tin không chính xác; có thông tin chống đối Đảng và Nhà nước, nhưng tự do thông tin, theo chúng tôi, không làm Đảng và Nhà nước yếu đi mà ngược lại, giúp cho Nhà nước mạnh hơn thông qua tăng cường tính minh bạch và trách nhiệm giải trình với người dân.

Phát biểu tranh luận tại phiên họp ngày 29.3.2017, các đại biểu như đại biểu Trần Thị Dung, đại biểu Nguyễn Phương Tuấn, đại biểu Nguyễn Lân Hiếu, và nhiều đại biểu khác, đã phân tích xác đáng, tâm huyết và có trách nhiệm về những tác động tiêu cực của dự thảo. Chúng tôi mong muốn, những tiếng nói hiểu biết và có trách nhiệm này cần được tiếp thu.
Vì vậy, chúng tôi kiến nghị 4 điểm sau :

1. Dự thảo luật chỉ nên thông qua khi thu hẹp phạm vi điều chỉnh của Luật hiện nay, tập trung vào bảo đảm an ninh mạng trong các Cơ quan Nhà nước. Các vấn đề liên quan đến khu vực ngoài nhà nước thực hiện theo khuôn khổ pháp lý hiện hành, gồm Luật Dân sự, luật Hình sự, Luật An toàn thông tin mạng và các luật chuyên ngành khác.

2. Như cách tiếp cận ở đề xuất 1, Chúng tôi kiến nghị Bãi bỏ hoàn toàn Điều 24, 26, 38, 39 và 40 của dự thảo.

3. “Cuộc chiến” an ninh mạng là “cuộc chiến” thông minh, đòi hỏi am hiểu cả vấn đề chuyên môn kỹ thuật và pháp lý; do đó chúng tôi kiến nghị Quốc hội giao Uỷ ban Khoa học, Công nghệ và Môi trường thẩm tra dự thảo thay vì giao cho Uỷ ban Quốc phòng An ninh.

4. Đối với vấn đề bảo vệ dữ liệu người dùng, chúng tôi kiến nghị Quốc hội và Chính phủ tiếp tục nghiên cứu vấn đề này và đề xuất xây dựng bổ sung luật về dữ liệu người dùng trong thời gian sắp tới.

Đón bắt được thời cơ của cuộc Cách mạng công nghiệp 4.0 đang là chủ trương lớn của Đảng và Chính phủ. Nhưng cần nhớ rằng, các cuộc cách mạng dù là 1.0; 2.0, hay 3.0, động lực của nó vẫn là khối tư nhân, mà “trái tim” và “nguồn sống” của nó đến từ sức tạo sáng tạo của khu vực tư nhân. Với ý nghĩa như vậy, cần phải bãi bỏ các quy định tạo ra rào cản, gánh nặng kéo lùi sự phát triển của khu vực tư nhân, kéo lùi tiến bộ và phát triển, – đi ngược chủ trương và cam kết của Quốc hội và Chính phủ hiện nay.

Chúng tôi trân trọng đề nghị Chủ tịch Quốc hội và Thủ tướng Chính phủ cẩn trọng xem xét các vấn đề nêu trên trước khi thông qua Dự thảo Luật này.

Thay mặt nhóm kiến nghị

Giáo sư Đặng Hữu

(nguyên Ủy viên trung ương Đảng, nguyên Bộ trưởng Bộ Khoa học Công nghệ)