Dự án Luật An ninh mạng mới được bổ sung những gì (bài 1)
Dự án Luật An ninh mạng mới được xây dựng trên cơ sở sửa đổi, bổ sung và hợp nhất Luật An ninh mạng năm 2018 và Luật An toàn thông tin mạng năm 2015 thành một luật duy nhất. Mục tiêu chính là bảo vệ chủ quyền, an ninh quốc gia và trật tự an toàn xã hội trên không gian mạng, đồng thời thích ứng với tình hình mới như sự bùng phát của các hình thức lừa đảo công nghệ cao.
Dự thảo Luật gồm 09 chương với 58 điều; trong đó: kế thừa 30 điều của Luật An ninh mạng năm 2018 (giữ nguyên 21 điều, sửa đổi, bổ sung 09 điều); kế thừa 16 điều của Luật An toàn thông tin mạng năm 2015 (sửa đổi, bổ sung năm 2018) (giữ nguyên 12 điều, sửa đổi, bổ sung 04 điều); hợp nhất nội dung của 09 điều luật của 02 luật nêu trên; bổ sung 03 điều.
Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
Với các nội dung mới được sửa đổi, bổ sung trong dự thảo Luật An ninh mạng; cụ thể như sau:
Bổ sung quy định về bảo đảm an ninh dữ liệu. Hiện nay, dữ liệu được xem là “hạt nhân” của quá trình chuyển đổi số. Không có dữ liệu thì không thể triển khai được Chính phủ điện tử, không thể cung cấp dịch vụ công trực tuyến, không thể xây dựng nền kinh tế số, xã hội số… Trong thời đại Cách mạng công nghiệp lần thứ Tư, dữ liệu là tài sản quốc gia; tuy nhiên, thực tế, nước ta đang chủ yếu quan tâm đến việc quản lý, khai thác, sử dụng, xử lý dữ liệu để phục vụ chuyển đổi số mà chưa có quy định cụ thể về việc bảo đảm an ninh, an toàn với dữ liệu nói chung.
Tại Kỳ họp thứ 9 vừa qua, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân, tuy nhiên, ngoài dữ liệu cá nhân, dữ liệu còn gồm dữ liệu tổ chức, dữ liệu hệ thống, dữ liệu trong quá trình truyền tải, hạ tầng công nghệ và dữ liệu về quyền riêng tư của người dùng. Với thuộc tính đa dạng ấy, khi dữ liệu bị chiếm đoạt, sử dụng, khai thác trái phép hoặc tiêu hủy thì hậu quả sẽ vô cùng nguy hiểm, có thể trực tiếp ảnh hưởng đến an ninh quốc gia, trật tự, an toàn xã hội, thậm chí gây ra thảm họa khôn lường. Với sự phát triển vượt bậc của khoa học công nghệ cùng với những đặc tính riêng có của dữ liệu thì an ninh dữ liệu đã trở thành một bộ phận không thể tách rời của an ninh mạng. Việc bảo đảm an ninh dữ liệu là yếu tố vô cùng quan trọng, không thể thiếu và là yêu cầu xuyên suốt trong quá trình chuyển đổi số quốc gia và xây dựng hệ sinh thái số tại Việt Nam hiện nay và thời gian tới.
Bổ sung quy định yêu cầu doanh nghiệp cung cấp dịch vụ trên không gian mạng có trách nhiệm định danh địa chỉ IP và cung cấp cho lực lượng chuyên trách bảo vệ an ninh mạng. Địa chỉ IP là địa chỉ đơn nhất tương tự “địa chỉ địa lý” trên không gian mạng cho phép các thiết bị điện tử (máy tính, điện thoại thông minh…) nhận diện và liên lạc với nhau để trao đổi thông tin, dữ liệu. Địa chỉ IP cho phép lực lượng chức năng xác định địa điểm, thời gian và thông tin về thuê bao sử dụng để kết nối, truy cập vào mạng Internet (giống như xác định thông tin cư trú đối với một địa chỉ nhà cố định).
Địa chỉ IP do Bộ Khoa học và Công nghệ (trực tiếp là Trung tâm Internet Việt Nam) quản lý nhà nước, có chức năng quản lý cấp phát, phân bổ, điều phối các khối địa chỉ IP của Việt Nam cho các nhà cung cấp dịch vụ Internet và các tổ chức sử dụng. Tuy nhiên, các nhà cung cấp dịch vụ Internet mới là chủ thể định danh và quản lý, cấp phát địa chỉ IP cho các thuê bao khách hàng sử dụng để kết nối với mạng Internet và các địa chỉ IP này thường xuyên được thay đổi từ thuê bao này sang thuê bao khác, từ địa điểm này sang địa điểm khác hoặc thu hồi không sử dụng mà chưa có cơ quan chức năng nào quản lý về an ninh, trật tự đối với hoạt động này.
Việc định danh và quản lý, khai thác thông tin địa chỉ IP phục vụ công tác bảo đảm an ninh quốc gia và bảo đảm trật tự, an toàn xã hội thời gian qua còn nhiều bất cập, chưa đáp ứng được yêu cầu công tác (tỷ lệ tra cứu địa chỉ IP có thông tin rất thấp; thời gian tra cứu rất chậm không còn ý nghĩa nghiệp vụ) gây khó khăn rất lớn cho công tác nghiệp vụ, đấu tranh phòng chống tội phạm. Lực lượng chức năng hiện nay xác minh thông qua gửi yêu cầu tra cứu tới các nhà cung cấp dịch vụ Internet và phụ thuộc hoàn toàn vào mức độ phối hợp của các doanh nghiệp (cơ chế xin cho) và làm phát sinh một số hành vi tiêu cực tại các doanh nghiệp như: mua bán thông tin, cơ chế riêng trong việc cung cấp thông tin và có nguy cơ bị lộ lọt thông tin, đối tượng, hoạt động nghiệp vụ của lực lượng công an.
Thực tế về kỹ thuật, việc định danh, quản lý toàn bộ địa chỉ IP có các nhà cung cấp dịch vụ internet cấp phát là hoàn toàn khả thi. Các doanh nghiệp luôn chủ động trong việc định danh địa chỉ IP để phục vụ việc tính cước, thu phí sử dụng Internet. Tuy nhiên, việc cung cấp thông tin cho lực lượng công an phục vụ đảm bảo an ninh trật tự thì không chủ động; không đồng ý giải pháp kỹ thuật (API) cho phép lực lượng công an kết nối vào cơ sở dữ liệu để chủ động tra cứu; cũng như từ chối cung cấp toàn bộ dữ liệu cho lực lượng chức năng khi được đề nghị hợp tác.
Từ thực trạng nêu trên, việc quy định yêu cầu các doanh nghiệp cung cấp dịch vụ Internet tại Việt Nam có trách nhiệm định danh, quản lý, cung cấp thông tin sử dụng địa chỉ IP cho lực lượng chuyên trách bảo vệ an ninh mạng và phòng chống tội phạm sử dụng công nghệ cao quản lý tập trung, khai thác phục vụ công tác bảo đảm an ninh quốc gia và bảo đảm trật tự, an toàn xã hội là phù hợp, khả thi và rất cấp thiết, đảm bảo khắc phục các tồn tại, bất cập hiện nay; đặc biệt là trong kỷ nguyên mới, kỷ nguyên chuyển đổi số mạnh mẽ và yêu cầu bảo vệ chủ quyền quốc gia trên không gian mạng.
