Dự thảo Luật An ninh mạng – ‘thiếu’ và ‘thừa’
Luật An ninh mạng là một trong những chủ đề nóng được thảo luận rộng rãi thời gian qua. Trong kỳ họp quốc hội lần này, dự thảo Luật sẽ được đưa lên bàn nghị sự để các đại biểu mổ xẻ lần thứ nhất. Tính cần thiết của việc hoàn thiện các khung khổ pháp lý về an ninh mạng là điều không cần bàn cãi; nhưng xây dựng khung khổ pháp lý theo hướng nào, thì dự thảo luật đến thời điểm này vẫn chưa có câu trả lời thuyết phục. Đánh giá dự thảo luật, bao gồm cả việc theo dõi các thảo luận gần đây góp ý cho Luật, lẫn rà soát lại hệ thống chính sách – quy định pháp lý hiện hành, tôi cho rằng một loạt các vấn đề căn bản cần tiếp tục cân nhắc cho việc hoàn thiện dự thảo luật trong thời gian sắp tới.
Hai câu chuyện – hai lát cắt về dự thảo luật
Câu chuyện thứ nhất liên quan đến việc những hành khách đi máy bay bị lộ thông tin về chuyến bay. Ngay khi máy bay vừa hạ cánh, tin nhắn mời đi taxi đã được gửi vào điện thoại của khách đi. Thông tin hành khách – trong đó gồm hai thông tin riêng tư cơ bản nhất: điện thoại cá nhân và lịch trình đi lại, đã bị bán ra bên ngoài. Nhìn rộng ra, có lẽ hầu hết mọi người dùng điện thoại, email, hay các tài khoản cá nhân trên mạng xã hội đều trải nghiệm việc bị “quấy rối” – hoặc ít nhất nhận những thông tin không mong muốn từ một bên thứ ba nào đó. Chưa bàn đến việc các thông tin cá nhân bị ‘rò rỉ’ bằng cách nào, nhưng tính phổ biến của việc xâm phạm quyền riêng tư và bảo mật cá nhân rõ ràng là rất phổ biến. Bản thân cá nhân tôi, trong thời gian một tháng gần đây – chuẩn bị cho các đánh giá liên quan đến dự thảo luật này, tôi ghi nhận được trung bình năm cuộc điện thoại từ các công ty bảo hiểm; công ty bất động sản chào mời dịch vụ; và mỗi ngày khoảng 2, 3 tin nhắn quảng cáo từ đủ mọi loại dịch vụ, nhắn vào số điện thoại cá nhân. Bằng cách nào những công ty mà tôi chưa một lần giao dịch lại có được số điện thoại cá nhân của tôi? Khi quyền lợi cá nhân bị xâm phạm – bị quấy nhiễu một cách không mong muốn, tôi cần làm thế nào để bảo vệ mình, cơ quan, tổ chức nào – cả cơ quyền công quyền; hoặc không phải là thiết chế phi nhà nước nào là địa chỉ tôi có thể tìm đến?
Trong khi đây mới là những thông tin chưa đáng lưu tâm, và những thiệt hại gây ra chưa phải là lớn, những dữ liệu cá nhân ở tầm mức rất quan trọng: dữ liệu tài chính cá nhân; hồ sơ sức khỏe (hồ sơ khám chữa bệnh tại viện công, viện tư…) nếu vẫn bị rò rỉ thì hậu quả sẽ lớn hơn rất nhiều. Xuyên suốt luật an ninh mạng, những vấn đề này chưa có câu trả lời thỏa đáng.
Câu chuyện thứ 2 liên quan đến những quan ngại ở tầm mức vĩ mô hơn – tác động kinh tế của một số quy định trong dự thảo Luật. Quy định yêu cầu các bên cung cấp dịch vụ trên nền tảng internet như Google, Facebook… phải đặt máy chủ tại Việt Nam. Một tập đoàn khổng lồ như Google mới chỉ có bốn trung tâm dữ liệu ở Châu Âu – với quy mô dân số, người dùng và giao dịch tất cả đều vượt xa Việt Nam, tính khả thi của những quy định kỹ thuật đó có là cần thiết?
Tạm dẫn hai lát cắt nhỏ, nhưng điều đó đã phần nào thể hiện, có những vấn đề dự thảo Luật đặt ra là không hợp lý và không phù hợp, nhưng đồng thời, có những khoảng trống cần lấp đầy lại chưa được lấp đầy.
Vấn đề lớn nhất của Luật: trùng lắp với các quy định pháp luật sẵn có
Dù nhu cầu thực tiễn yêu cầu có Luật an ninh mạng là đúng; công tác rà soát pháp luật trong tiến trình chuẩn bị hồ sơ dự án Luật chưa được ban soạn thảo làm tốt. Dự thảo Luật hiện tại dẫm chân rất nhiều lên 3 luật căn bản khác đã được ban hành: Luật dân sự, luật Hình sự và Luật an toàn thông tin. Ví dụ, tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín của người khác được quy định trong Điều 125 Bộ Luật Hình Sự hiện hành. Ngoài ra, Điều 38, bộ Luật dân sự cũng có điều khoản để đảm bảo an toàn thông tin cá nhân, thông qua việc đặt ra nghĩa vụ xin phép cá nhân liên quan khi “thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân”. Cá nhân bị vi phạm quy định này có thể yêu cầu cơ quan, tổ chức có thẩm quyền buộc chấm dứt hành vi xâm phạm, buộc xin lỗi, cải chính công khai, buộc bồi thường thiệt hại. Vậy thì các điều khoản quy định về trách nhiệm của tổ chức cá nhân – không phải là cơ quan công quyền – về đảm bảo an ninh mạng – mà thực chất là đảm bảo an toàn thông tin cá nhân, có cần quy định riêng trong dự thảo luật? Tôi cho rằng, việc cụ thể hóa các quy định trong Luật hình sự, và Luật dân sự – là tiếp cận đúng đắn hơn để giải quyết những vấn đề này.
Hoặc một ví dụ thuyết phục nữa liên quan đến chồng chéo giữa dự thảo hiện tại và Luật an toàn thông tin. Luật An toàn thông tin mạng năm 2015 đã định nghĩa: “An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin”. Với nội hàm khái niệm này, Luật An toàn thông tin mạng đã điều chỉnh các vấn đề về kỹ thuật, công nghệ – trong khi đó Luật An ninh mạng lại tiếp tục đặt ra khái niệm mới, quy định phạm vi điều chỉnh mới đối với chính vấn đề này. Nếu Luật được thông qua vẫn giữ nguyên nội dung này, khi đi vào thực thi sẽ xảy ra tình trạng một vấn đề nhưng hai cách hiểu; hai đầu mối thực thi.Vậy các bên bị tác động, các bên thực thi luật sẽ biết ‘theo’ luật nào? Một cách cụ thể hơn, vấn đề chứng nhận hợp chuẩn hợp quy – chuyện rất được các doanh nghiệp công nghệ quan tâm.Luật an toàn thông tin mạng đã quy định về đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng. Bản thân trong Luật cũng nói, các đơn vị chức năng thuộc Bộ Công an, Bộ Quốc phòng có trách nhiệm tham gia chứng nhận hợp chuẩn hợp quy, tuân thủ theo các quy định cụ thể trong Luật tiêu chuẩn, quy chuẩn kỹ thuật. Nay dự thảo Luật an ninh mạng quy định lại một lần nữa, sẽ khiến doanh nghiệp lúng túng và tốn kém chi phí khi một sản phẩm, thiết bị phải thực hiện hợp chuẩn, hợp quy nhiều lần. Trong khi Chính phủ đang nêu cao tinh thần kiến tạo, giảm chi phí cho doanh nghiệp; khuyến khích phát triển công nghệ cao và khởi nghiệp công nghệ – những quy định như vậy thực sự là ‘đinh’ nằm dưới thảm, khiến doanh nghiệp nản lòng.
Cần làm gì tiếp theo?
Tôi cho rằng các đại biểu quốc hội cần nghiên cứu kỹ và đặt yêu cầu cao với Ban soạn thảo, nhằm cải thiện tiếp chất lượng của dự thảo luật. Các công việc chính bao gồm:
Thứ nhất – tiến hành rà soát cẩn trọng lại hệ thống pháp luật – đặc biệt là bốn luật: Luật Dân sự, Luật hình sự, Luật An toàn thông tin, Luật Trẻ em – là nơi giao thoa phạm vi điều chỉnh với Luật an ninh mạng để phát hiện khoảng trống mà Luật mới cần giải quyết.
Thứ hai, nhiều vấn đề nên được xử lý bằng cách cụ thể hóa các quy định ở các luật nêu trên, đơn cử ví dụ điển hình là bảo mật thông tin cá nhân; hay xử lý (cả về nội dung, lẫn trình tự thủ tục) các phát ngôn thù hận (hate speech). Luật mới nên thu hẹp phạm vi, không nên điều chỉnh những vấn đề này nữa.
Thứ ba, ba vấn đề đặc biệt quan trọng liên quan đến thông tin cá nhân cần chú ý – thông tin về tài chính cá nhân; thông tin về sức khỏe; và thông tin liên quan đến trẻ em – cần được cụ thể hóa và quy định khắt khe. Thông lệ các quốc gia khác cũng đặc biệt yêu cầu các bên liên quan, đặc biệt là khối doanh nghiệp thực thi các chuẩn mực khắt khe với các vấn đề này. Việt Nam nên đi theo hướng này và học tập kinh nghiệm các quốc gia khác. Tuy nhiên, về kỹ thuật làm luật; các vấn đề này nên nằm trong bốn luật đã nêu, chứ không nên đặt trong Luật An ninh mạng.
Thứ tư, đối với các nhóm quy định liên quan đến doanh nghiệp, gồm cả việc yêu cầu liên quan đến phần cứng/thiết bị/máy chủ; chứng nhận hợp chuẩn hợp quy – cách tiếp cận quản lý nên tập trung vào kiểm soát tiến trình – hơn là tập trung vào ‘phần cứng’: cơ sở vật chất kỹ thuật, thiết bị cụ thể. Một sản phẩm là phần mềm ứng dụng – cung cấp qua các kho ứng dụng vốn được cập nhật liên tục (các tính năng mới; bản vá lỗi…), nói cách khác là ‘sản phẩm động’ chứ không phải là sản phẩm ‘tĩnh’ (như thực phẩm; hàng tiêu dùng khác…, với đặc tính sản phẩm đến tay người tiêu dùng là sản phẩm hoàn thiện, dùng 1 lần là xong). Do đó, cách tiếp cận quản lý phải khác. Áp dụng chuẩn OECD về quy định thông minh là một gợi ý tốt cho việc đặt ra các quy định (regulation) dạng này.
Dự thảo luật vẫn còn cần được thảo luận tại kỳ họp toàn thể của quốc hội, các phiên họp của Ủy ban thường vụ Quốc hội. Các ‘vòng’ tiếp theo là cơ hội tốt để tiếp tục thảo luận và hoàn thiện dự thảo. Vì vậy, cộng đồng doanh nghiệp; người dân, các chuyên gia, tổ chức nghiên cứu ..cần tiếp tục tham gia tích cực cùng ban soạn thảo và Quốc hội, để hoàn thiện, không chỉ riêng Luật an ninh mạng, mà tổng thể khuôn khổ pháp lý cho lĩnh vực quan trọng này.
