GS Đặng Hữu, nguyên Ủy viên Trung ương Đảng, nguyên
Bộ trưởng Bộ Khoa học Công nghệ vừa đại diện nhóm chuyên gia trong lĩnh vực
quản lý Công nghệ Thông tin gồm Đặng Hữu, Chu Hảo, Mai Liêm Trực, Nguyễn Khánh
Toàn,… vừa gửi tới Chủ tịch Quốc hội, đại biểu Quốc hội và Thủ tướng Chính phủ
Việt Nam Thư kiến nghị về Luật An ninh mạng.
Đây là những chuyên gia đã được Chính phủ giao đánh
giá và chuẩn bị đưa internet vào Việt Nam cuối thập niên 1990.
Với việc đưa được internet vào Việt Nam vào năm
1997 (chậm so với khởi đầu của thế giới khoảng 7 - 8 năm; so
với các dịch vụ viễn thông của Việt Nam mở ra chậm hơn thế giới khoảng 40 - 50
năm, dịch vụ điện thoại di động chậm hơn khoảng 15 - 20 năm), theo nhiều
đánh giá, dù Việt Nam đã bỏ lỡ cơ hội với 3 cuộc cách mạng công nghiệp trước,
nhưng riêng với internet, Việt Nam đã không chậm hơn, và đó là điều kiện để Việt
Nam rút ngắn khoảng cách so với các nước.
Tuy nhiên, ở dự thảo Luật An ninh mạng hiện nay,
nhóm chuyên gia do GS. Đặng Hữu thay mặt, qua nghiên cứu kỹ lưỡng, đã cho rằng:
"các điều luật đề xuất không giải quyết được vấn đề tấn công mạng; không
giúp bảo vệ được an toàn internet của Nhà nước và người dân, và có thể kéo lùi
sự phát triển của internet, kinh tế số và xã hội thông tin Việt Nam."
Nhóm chuyên gia quan điểm, an ninh mạng là “cuộc chiến
kỹ thuật”, các giải pháp sử dụng công cụ pháp lý hình sự hay hành chính không
phải là lựa chọn tối ưu.
Đồng thời, với vấn đề địa phương hoá dữ liệu - tức
máy chủ, dữ liệu phải đặt trong phạm vi một quốc gia - nếu áp dụng cho Việt
Nam thời điểm này là quá sớm. Bởi đây là vấn đề phức tạp, mới mẻ và đang gây
tranh cãi ở nhiều nước; tính hiệu quả thực thi chưa được xác thực, nhưng chi
phí thực thi lớn.
Theo đó, nhóm chuyên gia đưa ra 4 điểm kiến nghị, cụ
thể: Dự thảo luật chỉ nên thông qua khi thu hẹp phạm vi điều chỉnh, tập trung
vào bảo đảm an ninh mạng trong các cơ quan Nhà nước.
Kiến nghị Bãi bỏ hoàn toàn Điều 24, 26, 38, 39 và 40
của dự thảo, do tác động thu hẹp quyền tiếp cận và cơ hội sử dụng internet cho
việc học tập, nghiên cứu, kinh doanh, trao đổi thông tin của người dân; ảnh hưởng
đến quyền dân sự, chính trị của công dân, có thể đặt doanh nghiệp vào rủi ro phạm
pháp; rủi ro lớn xâm phạm quyền riêng tư của cá nhân, bí mật an toàn thư
tín,...
Thư kiến nghị Quốc hội giao Uỷ ban Khoa học, Công
nghệ và Môi trường thẩm tra dự thảo, thay vì giao cho Uỷ ban Quốc phòng An
ninh.
Kiến nghị tiếp tục nghiên cứu vấn đề bảo vệ dữ liệu
người dùng, và xây dựng bổ sung luật sau,…
“Trên internet có thông tin không chính xác; có
thông tin chống đối Đảng và Nhà nước, nhưng tự do thông tin, theo chúng tôi,
không làm Đảng và Nhà nước yếu đi mà ngược lại, giúp cho Nhà nước mạnh hơn
thông qua tăng cường tính minh bạch và trách nhiệm giải trình với người dân.”,
Thư kiến nghị viết.
THƯ KIẾN NGHỊ VỀ LUẬT AN NINH MẠNG
Kính
gửi: Chủ
tịch Quốc Hội nước Cộng Hoà Xã hội Chủ Nghĩa Việt Nam
Đại biểu Quốc hội, Quốc hội nước Cộng
hoà Xã hội Chủ nghĩa Việt Nam
Thủ tướng Chính phủ nước Cộng
hoà Xã hội Chủ nghĩa Việt Nam
Chúng
tôi, nhóm chuyên gia trong lĩnh vực quản lý Công nghệ Thông tin gồm Đặng Hữu,
Chu Hảo, Mai Liêm Trực, Nguyễn Khánh Toàn… được chính phủ giao đánh giá và chuẩn
bị đưa internet vào Việt Nam cuối thập niên 1990, hoan nghênh Quốc hội và Chính
phủ đã có những quan tâm kịp thời đến vấn đề an ninh mạng. Chúng tôi hoàn toàn
đồng ý rằng rủi ro tấn công mạng đang ngày càng gia tăng; đồng thời chúng tôi
chia sẻ những lo lắng, quan ngại của Quốc hội và Chính phủ về việc mạng
internet nói chung, mạng xã hội nói riêng bị sử dụng để truyền bá các thông tin
không chính xác, các phát ngôn quá khích, thù ghét.
Tuy
nhiên, nghiên cứu kỹ lưỡng dự thảo luật Quốc hội đang thảo luận, chúng tôi cho
rằng, các điều luật đề xuất không những không giải quyết được vấn đề tấn công mạng;
không giúp bảo vệ được an toàn internet của Nhà nước và người dân, mà ngược lại
có thể kéo lùi sự phát triển của internet, của kinh tế số và xã hội thông tin
Việt Nam.
Kinh
nghiệm quốc tế mà chúng tôi tham khảo cũng cho thấy rằng, an ninh mạng là “cuộc
chiến kỹ thuật”, các giải pháp sử dụng công cụ pháp lý hình sự hay hành chính
không phải là lựa chọn tối ưu.
I.
Nhận xét nội dung Dự thảo
Trở
lại Dự thảo, các giải pháp pháp lý được đề xuất, cụ thể ở Điều 5 không thể giúp
giảm thiểu rủi ro tấn công mạng. Ngược lại, đưa các tổ chức, cá nhân cung cấp dịch
vụ viễn thông, internet; tổ chức cá nhân cung cấp dịch vụ mạng; và cả người
dùng thành đối tượng điều chỉnh có thể gây tác dụng ngược, thu hẹp quyền tiếp cận
và cơ hội sử dụng internet cho việc học tập, nghiên cứu, kinh doanh, trao đổi
thông tin của người dân.
Cụ
thể là Điều 26 về đảm bảo an ninh thông tin trên không gian mạng.
Thứ
nhất, điều luật này ảnh hưởng đến quyền dân sự,
chính trị của công dân, đồng thời có thể đặt doanh nghiệp vào rủi ro phạm pháp
khi làm ăn kinh doanh.
Điểm
a, b và c, khoản 2, Điều 26 yêu cầu cơ quan, tổ chức trong và ngoài nước khi
cung cấp dịch vụ trên không gian mạng hoặc sở hữu hệ thống thông tin phải xác
thực được thông tin người dùng đăng ký tài khoản và cung cấp cho lực lượng
chuyên trách an mạng khi có yêu cầu; phải xoá bỏ thông tin, ngăn chặn việc chia
sẻ thông tin; không cung cấp, ngừng cung cấp dịch vụ viễn thông, dịch vụ
internet và các dịch vụ gia tăng cho tổ chức, cá nhân nếu thông tin bị xác định
là "xấu, độc" theo Điều 15.
Tại
quy định này, đối tượng thực thi là tổ chức cung cấp dịch vụ trên không gian mạng,
hoặc sở hữu hệ thống thông tin – hàm nghĩa là toàn bộ tổ chức có sử dụng
internet trên toàn bộ các lĩnh vực kinh tế, xã hội. Trong khi đó, các thông tin
“xấu, độc” như quy định tại Điều 15 – buộc phải gỡ, chặn; và thậm chí ngừng
cung cấp dịch vụ lại quá rộng và không rõ ràng. Như vậy, chỉ cần cơ quan quản
lý cho rằng một tổ chức, cá nhân đăng tải thông tin bị cho là “ xấu, độc” – thì
đã có thể yêu cầu bên cung cấp dịch vụ cắt dịch vụ internet, điện thoại,
tài khoản email … Điều luật này rõ ràng hạn chế tự do internet, đi ngược lại tiến
bộ; đặt công dân trước rủi ro vi phạm pháp luật và bị thanh tra, kiểm tra,
nhũng nhiễu bởi lực lượng chuyên trách an ninh mạng (LLCTANM), bộ Công An.
Việc
yêu cầu tổ chức, doanh nghiệp phải cung cấp thông tin người dùng cho LLCTAM,
cho dù là có yêu cầu bằng văn bản đi nữa, trong khi không đi kèm với điều kiện
cung cấp; thủ tục thực hiện tạo ra rủi ro lớn xâm phạm vào quyền riêng tư của
cá nhân, bí mật an toàn thư tín, vốn được bảo vệ bởi Hiến pháp ( Điều 21).
Chúng tôi cho rằng, chỉ có lệnh từ toà án, mới có thể đưa ra yêu cầu này.
Thứ
2, quy định về việc “lưu trữ tại Việt Nam thông
tin cá nhân của người sử dụng dịch vụ tại Việt Nam và các dữ liệu quan trọng
liên quan đến an ninh quốc gia”.
- Dữ liệu thế nào là quan trọng đến
an ninh quốc gia không hề được xác định trong luật này, cũng như luật An
ninh quốc gia, hoặc các văn bản pháp luật đã ban hành.
- Yêu cầu “lưu trữ tại Việt Nam” đối
với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam đồng nghĩa với
việc cô lập không gian mạng trong phạm vi nước ta. Xét trên góc độ kỹ thuật,
chưa bàn đến phạm vi “thông tin cá nhân”, yêu cầu này có thể sẽ khó khả
thi trên thực tế vì các chuẩn công nghệ của các chủ sở hữu mạng khác nhau
với mức độ bảo mật khác nhau. Các máy chủ cũng có chức năng khác nhau, việc
yêu cầu doanh nghiệp dành riêng một số máy chủ để lưu dữ liệu người dùng để
phục vụ cơ quan quản lý sẽ là một giải pháp thiếu hiệu quả với nền kinh tế.
Thêm vào đó, cơ quan quản lý cũng không dễ dàng để biết được rằng doanh
nghiệp thực thi nghiêm túc hay chỉ mang tính đối phó. Điều này tạo ra sự cạnh
tranh bất bình đẳng giữa doanh nghiệp có tính tuân thủ cao với các doanh
nghiệp không tuân thủ.
Thứ
3, chúng tôi lo ngại về việc trao quá nhiều quyền
hạn cho lực lượng chuyên trách an ninh mạng của Bộ Công an. Trong dự thảo luật,
có 18 điểm dẫn chiếu và trao quyền cho lực lượng này, từ thẩm định, thanh kiểm
tra, đánh giá đến xử lý vi phạm an ninh mạng. Đáng nói rằng, nội dung và thủ tục
thực thi không được quy định rõ ràng. Chúng tôi cho rằng, rủi ro lạm quyền đe
doạ tổ chức, doanh nghiệp, cá nhân xuất phát từ lực lượng này là rất cao.
II.
Quan điểm của chúng tôi về vấn đề an ninh mạng:
Là
những chuyên gia trong lĩnh vực quản lý Công nghệ Thông tin, chúng tôi khẳng định
rằng:
1. Tấn
công mạng là nguy cơ có thực, tuy nhiên, để ứng phó lại với tấn công mạng,
chúng tôi khẳng định rằng, chỉ có thể ứng phó bằng giải pháp kỹ thuật và bằng
con người. Pháp lý không phải là công cụ hữu quả để chống lại các vụ tấn công mạng.
Xét trên khía cạnh này, về lực lượng bảo vệ an ninh mạng quốc gia, Việt Nam đã
có 4 cơ quan: Cục cảnh sát phòng chống tội phạm công nghệ cao; Trung tâm Ứng cứu
Khẩn cấp Máy tính Việt Nam (VNCERT), Ban Cơ yếu Chính phủ, và Bộ tư lệnh tác
chiến không gian mạng để ứng phó với tấn công mạng từ bên ngoài lãnh thổ. Đầu
tư cho các lực lượng này là hướng đi đúng đắn để bảo vệ an ninh mạng quốc gia.
2. Vấn
đề bảo vệ dữ liệu người dùng:
Bảo
vệ dữ liệu riêng tư của người dùng, sau các vụ rò rỉ dữ liệu cá nhân là quan
tâm chính đáng mà ban soạn thảo đưa ra. Nhưng bản thân quyền về dữ liệu là quan
hệ dân sự - giữa các chủ thể dân sự (cá nhân – tổ chức ). Để bảo vệ chủ thể sở
hữu dữ liệu, quyền này được cụ thể hoá bằng nhiều mức độ khác nhau, trong đó địa
phương hoá dữ liệu – tức máy chủ, dữ liệu phải đặt trong phạm vi một quốc gia,
chỉ là một trong 11 biện pháp bảo vệ quyền dữ liệu. Chúng tôi xin nêu ví dụ ở
phần phụ lục các quyền cụ thể mà các quốc gia khác đang áp dụng để tham khảo.
Tuy
nhiên, đây là vấn đề phức tạp, mới mẻ và gây tranh cãi ở nhiều nước. Tính hiệu
quả thực thi chưa được xác thực, nhưng chi phí thực thi lớn khiến các nước đang
thực thi, ví dụ Indonesia đang phải xem xét để sửa đổi quy định này. Chúng tôi
cho rằng đưa quy định về địa phương hoá dữ liệu như Điều 26.d vào thời điểm này
cho Việt Nam vẫn là quá sớm.
III.
Kiến nghị
Chúng
tôi cho rằng, kể từ năm 1997, trong 21 năm Việt Nam có internet, internet đã
góp phần trọng yếu đến phát triển kinh tế - thông qua thúc đẩy thương mại và đầu
tư; mở rộng tự do ngôn luận; tăng cường tính minh bạch và trao đổi thông tin
trong xã hội. Trên internet có thông tin không chính xác; có thông tin chống đối
Đảng và Nhà nước, nhưng tự do thông tin, theo chúng tôi, không làm Đảng và Nhà
nước yếu đi mà ngược lại, giúp cho Nhà nước mạnh hơn thông qua tăng cường tính
minh bạch và trách nhiệm giải trình với người dân.
Phát
biểu tranh luận tại phiên họp ngày 29.3.2017, các đại biểu như đại biểu Trần Thị
Dung, đại biểu Nguyễn Phương Tuấn, đại biểu Nguyễn Lân Hiếu, và nhiều đại biểu
khác, đã phân tích xác đáng, tâm huyết và có trách nhiệm về những tác động tiêu
cực của dự thảo. Chúng tôi mong muốn, những tiếng nói hiểu biết và có trách nhiệm
này cần được tiếp thu.
Vì
vậy, chúng tôi kiến nghị 4 điểm sau :
1. Dự
thảo luật chỉ nên thông qua khi thu hẹp phạm vi điều chỉnh của Luật hiện nay, tập
trung vào bảo đảm an ninh mạng trong các Cơ quan Nhà nước. Các vấn đề liên quan
đến khu vực ngoài nhà nước thực hiện theo khuôn khổ pháp lý hiện hành, gồm Luật
Dân sự, luật Hình sự, Luật An toàn thông tin mạng và các luật chuyên ngành
khác.
2. Như
cách tiếp cận ở đề xuất 1, Chúng tôi kiến nghị Bãi bỏ hoàn toàn Điều 24, 26,
38, 39 và 40 của dự thảo.
3. “Cuộc
chiến” an ninh mạng là “cuộc chiến” thông minh, đòi hỏi am hiểu cả vấn đề
chuyên môn kỹ thuật và pháp lý; do đó chúng tôi kiến nghị Quốc hội giao Uỷ ban
Khoa học, Công nghệ và Môi trường thẩm tra dự thảo thay vì giao cho Uỷ ban Quốc
phòng An ninh.
4. Đối
với vấn đề bảo vệ dữ liệu người dùng, chúng tôi kiến nghị Quốc hội và Chính phủ
tiếp tục nghiên cứu vấn đề này và đề xuất xây dựng bổ sung luật về dữ liệu người
dùng trong thời gian sắp tới.
Đón
bắt được thời cơ của cuộc Cách mạng công nghiệp 4.0 đang là chủ trương lớn của
Đảng và Chính phủ. Nhưng cần nhớ rằng, các cuộc cách mạng dù là 1.0; 2.0, hay
3.0, động lực của nó vẫn là khối tư nhân, mà “trái tim” và “nguồn sống” của nó
đến từ sức tạo sáng tạo của khu vực tư nhân. Với ý nghĩa như vậy, cần phải bãi
bỏ các quy định tạo ra rào cản, gánh nặng kéo lùi sự phát triển của khu vực tư
nhân, kéo lùi tiến bộ và phát triển, – đi ngược chủ trương và cam kết của Quốc
hội và Chính phủ hiện nay.
Chúng
tôi trân trọng đề nghị Chủ tịch Quốc hội và Thủ tướng Chính phủ cẩn trọng xem
xét các vấn đề nêu trên trước khi thông qua Dự thảo Luật này.
Thay
mặt nhóm kiến nghị
Giáo
sư Đặng Hữu
(nguyên
Ủy viên trung ương Đảng, nguyên Bộ trưởng Bộ Khoa học Công nghệ)
