Luật mới về an ninh mạng (LANM 2018) sẽ có hiệu lực từ ngày 1 tháng 1 năm 2019 tại Việt Nam. Luật này không chỉ cung cấp các biện pháp để bảo vệ môi trường mạng ở một mức độ nào đó đã được quy tại Luật An Toàn Thông Tin Mạng ngày 19 tháng 11 năm 2015, LANM 2018 cũng quy định các nội dung khác để kiểm soát các nội dung được đăng hoặc công bố trên mạng. Dưới đây là một số vấn đề nổi bật của LANM 2018.
PHẠM VI ÁP DỤNG CỦA LANM 2018
LANM 2018 áp dụng cho tất cả các cơ quan, tổ chức và cá nhân có liên quan đến việc bảo vệ an ninh mạng, được định nghĩa rất rộng để đảm bảo các hoạt động trong không gian mạng không gây hại cho an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức và cá nhân. Cụ thể, LANM 2018 sẽ áp dụng đối với các tổ chức ở nước ngoài có người dùng cư trú ở Việt Nam như Google hoặc Facebook.
LANM 2018 quy định bao trùm tất cả các mạng cơ sở hạ tầng CNTT, viễn thông, Internet, hệ thống máy tính, cơ sở dữ liệu, hệ thống kiểm soát và lưu trữ, xử lý thông tin, và điều chỉnh hoạt động của mọi doanh nghiệp cung cấp dịch vụ trong không gian mạng và người dùng Internet bao gồm cả thương mại điện tử, trang web, diễn đàn trực tuyến, mạng xã hội và blog.
CHỦ QUẢN HỆ THỐNG THÔNG TIN
LANM 2018 áp đặt các nghĩa vụ khác nhau đối với nhà điều hành hệ thống thông tin. Theo Luật An Toàn Thông Tin Mạng, chủ quản hệ thông thông tin bất kỳ cơ quan, tổ chức, cá nhân nào có quyền quản lý trực tiếp hệ thống thông tin.
HỆ THỐNG THÔNG TIN QUAN TRỌNG VÀ HỆ THỐNG THÔNG TIN THƯỜNG
LANM 2018 phân loại các hệ thống thông tin thành (i) các hệ thống thông tin quan trọng đối với an ninh quốc gia (Hệ Thống Thông Tin Quan Trọng) và (ii) các hệ thống thông tin không thuộc Hệ Thống Thông Tin Quan Trọng (Hệ Thống Thông Tin Thường).
Hệ Thống Thông Tin Quan Trọng được định nghĩa chung là hệ thống thông tin, khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm phạm nghiêm trọng an ninh mạng. Dường như danh mục Hệ Thống Thông Tin Quan Trọng theo LANM 2018 rộng hơn so với danh mục đã được quy định theo Quyết Định 632 của Thủ Tướng Chính Phủ ngày 10 tháng 5 năm 2017 (Quyết Định 632). Hiện nay, Quyết Định 632 quy định đối với các lĩnh vực viễn thông và mạng thông tin trong các cơ quan của Đảng Cộng Sản và Chính phủ mà Bộ Thông Tin và Truyền Thông (Bộ TTTT) hoặc Văn phòng Chính Phủ là đơn vị chủ quản. Hệ Thống Thông Tin Quan Trọng hiện nay bao gồm, nhưng không giới hạn, hệ thống thông tin trong các lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, vận tải, tài nguyên thiên nhiên và môi trường, hóa chất, y tế, văn hóa và báo chí. Có lẽ, Quyết Định 632 có thể được bổ sung thêm nhiều lĩnh vực quan trọng đối với an ninh quốc gia và sự tham gia của các bộ liên quan khác ngoài Bộ TTTT.
Hệ Thống Thông Tin Thường, mặc dù không được định nghĩa rõ ràng, là bất kỳ hệ thống thông tin nào được quản lý bởi các tổ chức và doanh nghiệp tư nhân.
CÁC HÀNH VI BỊ CẤM TRÊN KHÔNG GIAN MẠNG
LANM 2018 cấm sử dụng không gian mạng để thực hiện bất kỳ hành vi nào sau đây:
· Sử dụng không gian mạng, CNTT và phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự an toàn xã hội;
· Tổ chức, hoạt động, câu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
· Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;
· Thông tin sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác;
· Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng;
· Xúi giục, lôi kéo, kích động người khác phạm tội.
Có thể thấy rằng danh sách hành vi bị cấm là khá chung chung và mơ hồ (ví dụ như xuyên tạc lịch sử hoặc từ phủ nhận thành tựu cách mạng) cho phép cơ quan quản lý có quyền quyết định đáng kể.
YÊU CẦU VỀ LƯU TRỮ DỮ LIỆU
“Thông tin cá nhân”, “dữ liệu về mối quan hệ của người sử dụng dịch vụ”, “dữ liệu do người sử dụng dịch vụ tạo ra” tại Việt Nam được thu thập, phân tích, xử lý bởi các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải được lưu trữ tại Việt Nam. Ngoài ra, các doanh nghiệp nước ngoài có các hoạt động này phải thành lập văn phòng đại diện hoặc chi nhánh tại Việt Nam.
Hiện nay nhiều công ty nước ngoài đang cung cấp dịch vụ cho người dùng ở Việt Nam trên cơ sở xuyên biên giới. Để tuân thủ các yêu cầu này, các công ty nước ngoài này có lẽ sẽ phải tăng chi phí thiết lập và duy trì thiết bị lưu trữ tại Việt Nam.
GIÁM SÁT HỆ THỐNG THÔNG TIN QUAN TRỌNG
Hệ Thống Thông Tin Quan Trọng phải được thẩm định bởi các cơ quan có thẩm quyền và chỉ có thể đưa vào hoạt động sau khi được chứng nhận là đáp ứng các điều kiện an ninh mạng. Hệ Thống Thông Tin Quan Trọng có thể được kiểm tra một cách thường xuyên hoặc khi xảy ra một sự kiện được quy định theo luật này. Các đơn vị chủ quản Hệ Thống Thông Tin Quan Trọng phải chịu trách nhiệm giám sát các hệ thống, xây dựng các cơ chế cảnh báo tự động và tiếp nhận cảnh báo về các mối đe dọa đối với an ninh mạng và lập kế hoạch xử lý các tình huống đó.
GIÁM SÁT HỆ THỐNG THÔNG TIN THƯỜNG
Hệ Thống Thông Tin Thường có thể được đặt dưới sự kiểm tra an ninh mạng của Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng khi có vi phạm luật an ninh mạng xâm phạm an ninh quốc gia hoặc gây thiệt hại nghiêm trọng cho trật tự và an toàn xã hội. Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng có thể tiến hành việc kiểm tra sau khi gửi thông báo bằng văn bản ít nhất 12 giờ trước khi kiểm tra cho quản trị viên của một Hệ Thống Thông Tin Thường. Các bộ phận phải kiểm tra bao gồm phần mềm, phần cứng, thiết bị kỹ thuật số; dữ liệu được lưu trữ, xử lý và chuyển giao trong hệ thống; và các phương pháp bảo vệ bí mật Nhà Nước.
Mặc dù vậy, LANM 2018 không đưa ra cơ sở và các thủ tục rõ ràng để xác định việc có hành vi vi phạm LANM 2018. Ví dụ, LANM 2018 cấm sử dụng không gian mạng để xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc; Sẽ rất khó khăn và nhiều cách diễn giải để xác định một hành vi bị coi là xuyên tạc lịch sử và do đó vi phạm quy định này. Như vậy, các quy định này có thể tạo ra sự không chắc chắn cho các doanh nghiệp cung cấp dịch vụ trong không gian mạng và lưu trữ dữ liệu của khách hàng trong quá trình cung cấp dịch vụ của họ.
GIÁM SÁT NỘI DUNG
Các nhà cung cấp dịch vụ trên không gian mạng tại Việt Nam phải tuân thủ nhiều yêu cầu về giám sát nội dung được đăng tải và phổ biến trong không gian mạng:
· Tất cả các trang web, cổng thông tin hoặc trang chuyên dùng trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, tải lên hoặc truyền phát thông tin tuyên truyền chống phá Nhà Nước, xúi giục bạo loạn hoặc phá rối an ninh, hoặc gây rối trật tự công cộng hoặc vu khống hoặc xâm phạm trật tự quản lý kinh tế (nội dung bị cấm );
· Xác minh đăng ký tài khoản của người dùng và cung cấp thông tin của người dùng khi nhận được yêu cầu bằng văn bản của cơ quan có thẩm quyền về an ninh mạng;
· Ngăn chặn việc chia sẻ thông tin và xóa nội dung bị cấm trong vòng 24 giờ sau khi nhận được yêu cầu Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng hoặc Bộ TTTT, và lưu trữ nhật ký hệ thống có liên quan để phục vụ mục đích điều tra; và
· Ngừng cung cấp dịch vụ cho các tổ chức và cá nhân đăng tải thông tin bị cấm.
Có thể sẽ rất khó khăn và tốn kém đối với đơn vị quản lý mạng trong việc xác định và lọc nội dung bị cấm do một số nội dung trong số đó không rõ ràng. Ví dụ, LANM 2018 định nghĩa thông tin tuyên truyền chống Nhà nước để bao gồm nội dung (i) Tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân; (ii) Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước; và (iii) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc. Khi đọc những hạn chế này, có thể gây ra nhầm lẫn, ví dụ:
· những người nào sẽ được coi là "vĩ nhân", lãnh tụ, danh nhân hoặc anh hùng dân tộc?
· liệu một nghiên cứu mới được công bố có quan điểm khác về thành tựu của một “anh hùng dân tộc” có thể bị coi là xúc phạm “anh hùng dân tộc”?
· quy định này có ngăn cản quyền của người dân để chỉ trích sự việc lãnh đạo và quản lý của một hệ thống cơ quan hành chính hay một số cán bộ của hệ thống đó?
THI HÀNH
Các lực lượng chuyên trách sẽ chịu trách nhiệm thi hành LANM 2018 (Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng) sẽ được bổ nhiệm dưới sự chỉ đạo của Bộ Công An và Bộ Quốc Phòng. Các Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng có thẩm quyền rất lớn theo LANM 2018 nhưng lại không được sự giám sát chặt chẽ. Ví dụ, các Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng không bắt buộc phải tuân thủ các thủ tục tương tự như được quy định trong Bộ Luật Tố Tụng Hình Sự để tiến hành kiểm soát hệ thống thông tin hoặc thu thập dữ liệu người dùng và không bắt buộc phải giữ bí mật thông tin mà họ đang thu thập.
Theo LANM 2018, việc vi phạm pháp luật về an ninh mạng có thể phải chịu hình thức kỷ luật, chịu trách nhiệm hành chính hoặc hình sự. Trong trường hợp pháp nhân thương mại, khi xem xét liệu trách nhiệm hình sự có được áp dụng do vi phạm LANM 2018 hay không, pháp nhân nên xác định xem liệu vi phạm đó có thuộc phạm vi tội phạm áp dụng cho pháp nhân thương mại theo Bộ Luật Hình Sự 2015 hay không.
KẾT LUẬN
Các yêu cầu của LANM 2018 có thể làm tăng chi phí, trách nhiệm tuân thủ và đặt ra một tình thế tiến thoái lưỡng nan đối với các nhà cung cấp dịch vụ giữa việc tuân thủ quy định của luật và bảo vệ dữ liệu khách hàng. Nhiều yêu cầu LANM 2018 sẽ theo hướng dẫn thêm của Chính phủ. Do đó, các tổ chức và cá nhân chịu tác động của luật này nên theo dõi các văn bản hướng dẫn luật này.
Bài viết này được đóng góp bởi Nguyễn Bích Ngọc, luật sư cộng sự tại Venture North Law.