Quốc hội biểu quyết thông qua Luật An ninh mạng với tỷ lệ tán thành 86,86%. (Ảnh: Dương Giang/TTXVN)

Với đa số phiếu tán thành, Kỳ họp thứ 5, Quốc hội khóa XIV đã thông qua Luật An ninh mạng.

Đây là lĩnh vực mới, tác động sâu rộng vào mọi mặt đời sống xã hội, Luật đã được chuẩn bị và xây dựng kỹ lưỡng, xin ý kiến các cơ quan, bộ, ngành, đoàn thể, tổ chức xã hội và quần chúng nhân dân, trải qua nhiều lần tiếp thu, chỉnh lý, giải trình, để giải quyết cơ bản những vấn đề đặt ra cho công tác bảo đảm an ninh mạng trong tình hình hiện nay.

Nguy cơ mất an toàn thông tin mạng đang gia tăng nhanh chóng

Về tình hình an ninh mạng tại Việt Nam, Thiếu tướng Nguyễn Minh Đức, Viện trưởng Viện khoa học cảnh sát - Học viện Cảnh sát nhân dân cho biết, theo báo cáo của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và Truyền thông, trong năm 2017, các hệ thống thông tin tại Việt Nam đã phải hứng chịu khoảng 15.000 cuộc tấn công mạng, gồm khoảng 3.000 cuộc tấn công lừa đảo (Phishing), 6.500 cuộc tấn công cài phần mềm độc hại (Malware) và 4.500 cuộc tấn công thay đổi giao diện (Deface). Trong đó, số cuộc tấn công vào hệ thống thông tin của các cơ quan nhà nước có tên miền “.gov.vn” cũng lên tới hàng trăm.

Năm 2017, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 12.300 tỷ đồng (540 triệu USD), vượt xa mốc 10.400 tỷ đồng của năm 2016 và đã đạt kỷ lục trong nhiều năm trở lại đây.

Trong 5 tháng đầu năm 2018 đã ghi nhận 4.035 sự cố tấn công mạng vào Việt Nam, riêng tháng 2 và 3 có tới hơn 1.500 vụ tấn công mạng; bên cạnh đó với khoảng 637.400 máy tính bị kiểm soát nằm trong mạng máy tính bị nhiễm mã độc (mạng máy tính ma - botnet), Việt Nam xếp ở vị trí thứ 4 trong Top 10 quốc gia bị kiểm soát bởi mạng máy tính ma.

Lỗ hổng mất an toàn ngày càng gia tăng, khoảng hơn 300%/năm khiến nguy cơ an toàn thông tin mạng đang gia tăng nhanh chóng khi bước vào Cách mạng công nghiệp 4.0.

Trước các cuộc tấn công mạng thường trực như vậy đối với Việt Nam, lực lượng an ninh mạng chuyên trách của Bộ Công an, Bộ Quốc phòng và của các cơ quan chức năng khác của Việt Nam đã tập trung mọi giải pháp về kỹ thuật cũng như con người để phòng, chống tấn công mạng, nhưng khó đạt hiệu quả cao nhất.

Theo các chuyên gia an ninh mạng, sự bảo vệ hiện nay không đủ để đối phó với tấn công mạng hiện đại vì các biện pháp triển khai khác nhau thường độc lập với nhau; thiếu hành lang pháp lý rõ ràng tạo trách nhiệm liên kết các biệp pháp triển khai của các cơ quan chức năng Việt Nam với nhau, đặc biệt là với các nước.

Hầu hết các nước có hệ thống phòng chống tấn công mạng hiệu quả ngoài giải pháp kỹ thuật, con người còn có hành lang pháp lý cụ thể.

"Điều đó nói lên rằng, chỉ có thể phòng chống tấn công mạng hiệu quả, ngoài biện pháp kỹ thuật, con người thì phải có hệ thống pháp luật cụ thể, rõ ràng đủ điều kiện triển khai các biện pháp pháp lý và hợp tác quốc tế" - Thiếu tướng Nguyễn Minh Đức nhấn mạnh.

Thực tế trước những cuộc tấn công mạng có chủ đích ngày càng hiện đại, tinh vi, chỉ một sai sót của cơ quan, tổ chức, doanh nghiệp, người dùng là có thể chịu hậu quả rất nặng nề, cho nên đa số họ chủ động đề xuất lực lượng chuyên trách bảo vệ an ninh mạng giúp đỡ kiểm tra từ đầu, cũng như thường xuyên các thiết bị cũng như hệ thống mạng của họ, để họ yên tâm sản xuất, kinh doanh.

Một bộ phận lo ngại bị kiểm tra, giám sát là do chưa hiểu rõ tầm quan trọng cũng như sự trợ giúp đắc lực từ phía cơ quan chuyên trách bảo vệ an ninh mạng, hoặc có thể có không ít trường hợp làm ăn mờ ám, thiếu minh bạch nên mới lo ngại sợ bị kiểm tra.

Các quy định trong chương 2 của Dự thảo Luật an ninh mạng quy định cơ quan chuyên trách bảo vệ an ninh mạng của Bộ Công an phải có trách nhiệm bảo vệ an ninh quốc gia và trật tự an toàn xã hội trên không gian mạng.

Trước khi dự thảo Luật An ninh mạng quy định về hệ thống thông tin quan trọng về an ninh quốc gia, chưa một văn bản Luật nào quy định về nội dung này, kể cả khi Luật An toàn thông tin mạng được ban hành.

Cho nên các hệ thống thông tin quan trọng về an ninh quốc gia chưa được bảo vệ tương xứng với mức độ quan trọng.

[Luật An ninh mạng: Những thông tin bị nghiêm cấm và hình thức xử lý]

Không cản trở hoạt động của người dân và doanh nghiệp

Thiếu tướng Nguyễn Minh Đức cho rằng, việc quy định “Lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng tại Việt Nam và các dữ liệu quan trọng liên quan đến an ninh quốc gia; đặt trụ sở hoặc văn phòng đại diện tại Việt Nam” tại điểm d khoản 2 Điều 26 là khả thi, phù hợp với pháp luật trong nước, thông lệ quốc tế, không trái với các điều ước mà chúng ta tham gia, cũng không cản trở hoạt động của doanh nghiệp.

Thiếu tướng Nguyễn Minh Đức đưa ra 5 yếu tố để chứng minh cho lập luận trên.

Thứ nhất, về lưu trữ dữ liệu quan trọng quốc gia trong nước, theo thống kê, hiện đã có 18 quốc gia trên thế giới quy định phải lưu trữ dữ liệu ở trong nước, như Mỹ, Canada, Liên bang Nga, Pháp, Đức, Trung Quốc, Australia, Indonesia, Hi Lạp, Bulgaria, Đan Mạch, Phần Lan, Thụy Điển, Thổ Nhĩ Kỳ, Venezuela, Colombia, Argentina, Brazil.

Như vậy là thông lệ quốc tế đã có, chúng ta không phải là quốc gia đầu tiên áp dụng quy định này.

Thứ hai, qua rà soát các văn bản cam kết gia nhập WTO như Hiệp định chung về thuế quan và thương mại (GATT 1994), Hiệp định chung về thương mại dịch vụ (GATS), Hiệp định về các khía cạnh liên quan đến thương mại của quyền sở hữu trí tuệ (TRIPS); đồng thời, rà soát Hiệp định Đối tác toàn diện và tiến bộ xuyên Thái Bình Dương (CPTPP), tôi thấy các văn kiện này đều có quy định về ngoại lệ an ninh, cho phép tôn trọng và bảo vệ an ninh quốc gia ở mức cao nhất.

Ví dụ khách quan nhất là 18 nước nêu trên đều đã tham gia WTO, họ quy định được tức là không vi phạm vị cam kết WTO họ mới làm. Như vậy, có thể khẳng định, ta không vi phạm các cam kết quốc tế.

Thứ ba, về văn phòng đại diện, theo quy định của pháp luật nước ta về thương mại, các tổ chức xúc tiến thương mại nước ngoài phải lập văn phòng đại diện tại Việt Nam theo Luật thương mại năm 2005, Luật Quản lý ngoại thương năm 2017 và các văn bản hướng dẫn thi hành, trực tiếp là Nghị định 28/2018/NĐ-CP của Chính phủ quy định chi tiết Luật quản lý ngoại thương về một số biện pháp phát triển ngoại thương.

Hiện Google đã đặt khoảng 70 văn phòng đại diện, Facebook khoảng 80 văn phòng đại diện tại các quốc gia trên thế giới.

Riêng tại khu vực Đông Nam Á, Google, Facebook đã mở văn phòng đại diện tại Singapore (Google và Facebook đều đặt máy chủ lưu trữ dữ liệu tại nước này), Malaysia, Indonesia (riêng Facebook đã đặt trung tâm dữ liệu theo pháp luật của Indonesia năm 2014).

"Như vậy là phù hợp với pháp luật trong nước. Nếu các doanh nghiệp trên bị cản trở, ảnh hưởng tới lợi ích kinh doanh thì chắc chắn họ sẽ không đặt gần 100 văn phòng đại diện tại các quốc gia trên thế giới như đã nêu. Mặt khác, việc quy định đặt văn phòng đại diện sẽ tạo môi trường kinh doanh bình đẳng vì các doanh nghiệp trong nước phải chịu nhiều quy định điều chỉnh của pháp luật ngay từ khi đăng ký cũng như trong quá trình hoạt động, trong khi các doanh nghiệp nước ngoài không chịu bất cứ nghĩa vụ gì" - Thiếu tướng Đức lý giải.

Thứ tư, quy định nêu trên là có trọng tâm, trọng điểm. Về dữ liệu, quy định này không yêu cầu lưu trữ toàn bộ dữ liệu có liên quan tới Việt Nam trên không gian mạng, không yêu cầu lưu trữ dữ liệu nền tảng (platform), mà chỉ yêu cầu lưu trữ đối với một số loại dữ liệu cụ thể, liên quan tới bí mật cá nhân trong trường hợp cần thiết và các dữ liệu liên quan tới an ninh quốc gia, vì đây là tài sản của công dân, tài sản của quốc gia cần được quản lý, bảo vệ.

Về đối tượng áp dụng, quy định không áp dụng đối với toàn bộ các cơ quan, tổ chức hoạt động trên không gian mạng Việt Nam, chỉ áp dụng đối với một số cơ quan, tổ chức cung cấp dịch vụ mà bị sử dụng, lợi dụng hoặc có ảnh hưởng tới an ninh quốc gia.

Về quản lý, việc quản lý dữ liệu được thực hiện thông qua các trung tâm dữ liệu tại Việt Nam và bằng các công cụ quản lý. Khi các cơ quan, tổ chức nước ngoài cung cấp dịch vụ trên không gian mạng và sở hữu hệ thống thông tin tại Việt Nam lưu trữ dữ liệu, cơ quan chức năng Việt Nam sẽ phối hợp với các cơ quan, tổ chức cung cấp dịch vụ trên không gian mạng xây dựng các công cụ phục vụ việc quản lý, giám sát việc sử dụng các loại dữ liệu này. Chính phủ sẽ quy định cụ thể nội dung này.

Thứ năm, trong thực tiễn, việc không quản lý được dữ liệu người dùng và dữ liệu quan trọng quốc gia đã và đang ảnh hưởng tới lợi ích, an ninh quốc gia.

Về an ninh quốc gia và phòng, chống tội phạm, hiện nay, các thế lực thù địch, phản động, chống đối và tội phạm đang tăng cường sử dụng không gian mạng để xâm phạm an ninh quốc gia, trật tự an toàn xã hội, trong khi cơ quan chức năng gặp rất nhiều khó khăn trong điều tra, xác minh, truy tìm, xử lý các trường hợp vi phạm này vì toàn bộ dữ liệu đều được đặt ở nước ngoài; các doanh nghiệp nước ngoài thường thiếu thiện chí, không hợp tác, không cung cấp hoặc cung cấp chậm các thông tin liên quan, dẫn tới việc xử lý theo pháp luật không được bảo đảm.

Về lợi ích quốc gia, dữ liệu người dùng là tài sản có giá trị khai thác vô hạn, là nguyên liệu đầu vào của nhiều hoạt động kinh tế mang lại giá trị lợi nhuận cao, trong khi các cơ quan, tổ chức nước ngoài kiếm được hàng nghìn tỷ đồng mỗi năm từ dữ liệu người dùng Việt Nam thì nước ta đang bị thất thu thuế. Việc quy định về lưu trữ dữ liệu và đặt văn phòng đại diện sẽ góp phần tháo gỡ khó khăn trên.

Về vấn đề bảo mật thông tin cá nhân, trong dự thảo quy định cơ quan chức năng phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản. Nhiều người lo ngại sẽ bị lộ lọt thông tin cá nhân.

"Tuy nhiên, tôi có thể khẳng định rằng sẽ không bao giờ xảy ra việc lộ lọt thông tin người dùng. Thực tế từ khi ra đời đến nay, các lực lượng chuyên trách của Bộ Công an luôn thực hiện nhiệm vụ quản lý nhà nước về an ninh, trật tự, bao gồm từ quản lý cư trú, căn cước lai lịch công dân; giao thông; kinh doanh ngành nghề có điều kiện về an ninh, trật tự; xuất nhập cảnh;... chưa bao giờ có sự lộ lọt thông tin.

Việc bảo đảm bí mật tuyệt đối thông tin các nhân của công dân vừa là trách nhiệm mà còn là nghĩa vụ pháp lý; nếu để lọt, lộ sẽ bị xử lý nghiêm minh theo quy định của pháp luật, tùy theo tính chất, mức độ, hậu quả" - Thiếu tướng Nguyễn Minh Đức nhấn mạnh./.