Google, Facebook,… không phải đối tượng áp dụng Luật An toàn thông tin

Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng phát biểu khai mạc Hội thảo về Luật An toàn thông tin tại Hà Nội sáng nay 11/3/2014.

Hoàn thiện hành lang pháp lí cho 7 nhóm vấn đề “nóng”

Sáng nay, 11/3/2014, tại Hà Nội đã diễn ra Hội thảo về Luật An toàn thông tin. Phát biểu khai mạc hội thảo, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng cho biết các quốc gia trên thế giới đều đã và đang xây dựng, hoàn thiện hệ thống hành lang pháp lí quy định những hành vi công dân mạng được phép hoặc không được phép làm, ban hành chiến lược, kế hoạch, quy hoạch về an toàn thông tin,…

Tại Việt Nam, đối với hành lang pháp lí về an toàn thông tin, hiện đã có một số điều khoản được quy định trong các văn bản như Luật CNTT, Nghị định 72 của Chính phủ quy định về việc quản lí, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng,… Tuy nhiên, vẫn cần có một văn bản đầy đủ, chuyên biệt cho lĩnh vực an toàn thông tin. Từ năm 2010, Bộ TT&TT đã đề xuất Chính phủ, Quốc hội, và đến năm 2013 chính thức được phân công xây dựng Luật An toàn thông tin số. Trong quá trình xây dựng dự thảo và lấy ý kiến đóng góp cho dự thảo, sau này, tên Luật đã được đổi thành Luật An toàn thông tin.

Đại diện cho Tổ Biên tập và Tổ Thường trực, ông Bùi Huy Dũng nhấn mạnh 7 nhóm vấn đề chính đang thiếu các quy định pháp lí và dự kiến sẽ được hoàn thiện bởi Luật An toàn thông tin, gồm: tăng mạnh số vụ tấn công mạng; phát tán thư rác, mã độc; lưu hành phần cứng, phần mềm có lỗ hổng; rao bán thông tin cá nhân; bảo vệ lợi ích quốc gia trên mạng; phát triển nguồn nhân lực an toàn thông tin; phát triển sản phẩm, thị trường.

Chẳng hạn đối với sự gia tăng số lượng vụ tấn công mạng, theo thống kê của Trung tâm Ứng cứu khẩn cấp sự cố máy tính Việt Nam (VNCERT), tại Việt Nam năm 2010 phát hiện hơn 150 vụ, đến năm 2011 có hơn 550 vụ, và năm 2012 lên tới hơn 2000 vụ. Hiện đã có đủ hành lang pháp lí để xử lí hành vi tấn công mạng (với các mức phạt tiền từ 2 triệu đến 200 triệu, phạt tù từ 1 năm đến 12 năm), nhưng vẫn thiếu cơ sở pháp lí về trách nhiệm của chủ quản hệ thống, và cơ sở pháp lí cho việc tổ chức mạng lưới ứng cứu sự cố cũng chưa đủ mạnh.

Hoặc về vấn nạn phát tán thư rác, hiện vẫn chưa có quy định về lực lượng “làm vệ sinh” trên môi trường mạng, tương tự như các đội vệ sinh môi trường công cộng chuyên xử lí rác, làm sạch môi trường sống ngoài đời thực.

Với hoạt động rao bán thông tin cá nhân bất hợp pháp, nguyên nhân sâu xa của sự phát triển mạnh hoạt động phát tán thông tin cá nhân là do nảy sinh nhiều loại hình dịch vụ mạng thu thập thông tin cá nhân của khách hàng, trong khi đó hành lang pháp lí vẫn đang thiếu quy định cụ thể, rõ ràng, nhất quán về trách nhiệm của người thu thập thông tin cá nhân.

Ông Nguyễn Thanh Hải, Tổ trưởng Tổ thường trực xây dựng Luật, Phó Giám đốc VNCERT nhấn mạnh 3 đối tượng chính mà Luật An toàn thông tin tập trung quản lí. Một là các hệ thống thông tin, về lí thuyết, muốn quản lí được an toàn thông tin thì phải quản lí được các hệ thống thông tin, thế nhưng thực tế hiện không thể nắm được toàn quốc có bao nhiêu hệ thống thông tin đang hoạt động. Hai là các tổ chức, cá nhân cung cấp dịch vụ an toàn thông tin, hiện có nhiều tổ chức cung cấp dịch vụ nhưng chất lượng ra sao, có đảm bảo hay không thì chưa rõ. Ba là các sản phẩm, dịch vụ an toàn thông tin, trong khi nhiều quốc gia khác quản lí rất chặt, sản phẩm phải được cấp phép mới được lưu hành trên thị trường thì ở Việt Nam vẫn đang có vẻ “thả lỏng”.

Không “quản” các dịch vụ của Facebook, Google

Tại hội thảo sáng nay, đã có khoảng 20 ý kiến đóng góp cho dự thảo Luật An toàn thông tin, trong đó có nhiều luồng ý kiến trái chiều nhau. Các đại biểu đều đánh giá cao sự nghiêm túc, chuyên nghiệp của Ban Soạn thảo và Tổ Biên tập. Tuy nhiên, nhiều ý kiến cho rằng cần tăng hơn nữa độ quyết liệt của Luật An toàn thông tin, để Luật đủ mạnh khi đi vào thực tế. Hiện đã có những quy định rõ ràng về những việc các tổ chức, cá nhân buộc phải làm để đảm bảo an toàn thông tin cho cả hệ thống, thế nhưng không thấy nêu rõ chế tài cụ thể về việc nếu tổ chức, cá nhân không tuân thủ thì sẽ bị xử lí thế nào. Bởi trên thực tế, đầu tư về an toàn thông tin rất tốn kém, có khi lên tới hàng tỉ đồng, không loại trừ các tổ chức, cá nhân sẵn “lờ đi” trách nhiệm trang bị giải pháp, dịch vụ để đảm bảo an toàn thông tin.

Một vấn đề khác cũng còn nhiều luồng ý kiến khác nhau đó là có nên đưa các nhà cung cấp dịch vụ xuyên biên giới như Google, Facebook vào diện đối tượng thi hành Luật An toàn thông tin hay không. Cho đến phiên bản dự thảo Luật An toàn thông tin mới nhất được công bố sáng nay, đối tượng áp dụng vẫn chỉ là tổ chức, cá nhân trong nước và nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin tại Việt Nam, còn hoạt động xuyên biên giới vẫn được xác định là đối tượng khó điều chỉnh bằng Luật An toàn thông tin mà phải triển khai hoạt động phối hợp quốc tế.

Ban Soạn thảo và Tổ Biên tập cho biết sẽ tiếp thu các ý kiến đóng góp để tiếp tục hoàn thiện dự thảo Luật An toàn thông tin trong thời gian tới, sớm báo cáo Chính phủ. Theo lộ trình dự kiến, dự thảo Luật An toàn thông tin sẽ được Quốc hội thảo luận vào phiên họp tháng 10/2014 để thông qua tại kì họp tháng 1/2015, và Luật sẽ chính thức có hiệu lực từ đầu năm 2016.