Dự thảo Luật An ninh mạng: Góc nhìn từ doanh nghiệp

Hội thảo do Hội Truyền thông số Việt Nam và Hiệp hội Điện toán đám mây châu Á chủ trì, Viện Nghiên cứu Chính sách và Phát triển truyền thông (IPS) tổ chức. Hội thảo có sự tham gia của ông Nguyễn Minh Hồng, Chủ tịch HộiTtruyền thông số Việt Nam, Thứ trưởng Bộ Thông tin và Truyền thông; bà Lim May-Ann, Giám đốc điều hành Hiệp hội Đện toán đám mây châu Á cùng đại điện của Quốc hội và chính phủ; lãnh đạo các Bộ, Ban, Ngành; các tổ chức, cơ quan ngoại giao; các chuyên gia và các doanh nghiệp trong nước và quốc tế.

Vào tháng 5 này, dự thảo Luật An ninh mạng Việt Nam dự kiến sẽ trình Quốc hội thông qua với mục đích xây dựng một hành lang pháp lý đảm bảo môi trường mạng an toàn, tạo điều kiện thuận lợi phát triển kinh tế số và đáp ứng nhu cầu của cách mạng 4.0. Luật An ninh mạng với một số quy định có khả năng tác động trực tiếp đến quyền pháp lý và lợi ích kinh tế của doanh nghiệp. Mặt khác, Dự thảo luật tiếp tục yêu cầu doanh nghiệp phải lưu trữ thông tin dữ liệu tại Việt Nam. Đây là quy định mang tính chất “địa phương hóa” dữ liệu, có thể gây cản trở dòng chảy thông tin dữ liệu giữa Việt Nam và quốc tế, làm tăng chi phí kinh doanh của doanh nghiệp Việt Nam và doanh nghiệp nước ngoài.

Ông Nguyễn Minh Hồng, Chủ tịch Hội Truyền thông số Việt Nam, Thứ trưởng Bộ Thông tin và Truyền thông phát biểu khai mạc Hội thảo

Phát biểu khai mạc Hội thảo, ông Nguyễn Minh Hồng, Chủ tịch Hội Truyền thông số Việt Nam, Thứ trưởng Bộ Thông tin và Truyền thông cho biết: “Trong thời gian sắp tới, trước khi bấm nút để thông qua dự thảo luật đã có sự cân nhắc kỹ lưỡng tới các điều khoản mà có thể có nằm ở ranh giới giữa việc có ảnh hưởng tới an ninh quốc gia, an ninh mạng hay không với việc có ảnh hưởng đến hoạt động của các doanh nghiệp CNTT và truyền thông”.

Thứ trưởng nhấn mạnh:”Hy vọng rằng Luật An ninh mạng sắp tới sẽ được thông qua với các quy định hợp lý vừa đảm bảo an ninh mạng nhưng đồng thời cũng tạo điều kiện cho lĩnh vực CNTT&TT cũng như truyền thông số phát triển”.

Tại Hội thảo, các chuyên gia đã đưa ra các phân tích, ý kiến đóng góp cho dự thảo. Theo ông Nguyễn Quang Đồng, chuyên gia Viện Nghiên cứu Chính sách và Phát triển truyền thông, Dự thảo Luật An ninh mạng có thể điều chỉnh trực tiếp và tác động đến quyền và lợi ích của 3 nhóm doanh nghiệp: (1) nhóm sản xuất và kinh doanh các thiết bị, giải pháp kỹ thuật về an ninh mạng (doanh nghiệp sản xuất, nhập khẩu, phân phối giải pháp, phần mềm, thiết bị bảo mật, v.v…); (2) nhóm các doanh nghiệp kinh doanh dịch vụ tài chính công nghệ (còn gọi là Fintech) - vốn là nhóm đang phát triển nhanh tại Việt Nam; và (3) nhóm các doanh nghiệp cung cấp giải pháp và dịch vụ nội dung số, giải pháp công nghệ nói chung. Nhóm 3 này gồm hầu hết các doanh nghiệp khởi nghiệp công nghệ, hay còn gọi là start-up. Đây đều là các doanh nghiệp đóng vai trò rất quan trọng, thúc đẩy sự phát triển kinh tế số và tiếp cận với cuộc cách mạng công nghệ 4.0. Một cách tổng thể, các quy định được đề xuất trong dự thảo Luật sẽ có thể làm gia tăng chi phí hoạt động cho các nhóm doanh nghiệp đã nêu (chi phí tuân thủ, chi phí giấy phép và thủ tục hành chính). Như vậy, mặc dù các định hướng và chủ trương của Chính phủ luôn nhất quán ủng hộ những nhóm doanh nghiệp này thì các quy định trong dự thảo Luật trên thực tế có thể gây tác động tiêu cực nhiều hơn là tích cực.

Cũng theo ông Đồng, trong bản dự thảo này nhấn mạnh tới vai trò của cơ quan quản lý nhà nước, tới vấn đề thanh kiểm tra chứ chưa đánh giá hết tác động của nó. Do đó, Việt Nam cần thời gian để xem xét kỹ lưỡng các tác động như vấn đề phân loại dữ liệu, các tầng nấc của dữ liệu thế nào cần điều chỉnh.

Ông Nguyễn Quang Đồng, Chuyên gia Viện IPS trình bày đánh giá tác động của các quy định về an ninh mạng đến khối doanh nghiệp nói chung

Đại diện phía doanh nghiệp, ông Bùi Quang Minh, Tổng Giám đốc Công ty cổ phần An toàn thông tin MVS cho rằng, luật đưa ra phải cho phép các doanh nghiệp thực hiện bảo vệ thông tin người dùng theo các tiêu chuẩn quốc gia hay quốc tế về an ninh mạng. Việc đặt máy chủ tại Việt Nam với mục đích là bảo vệ quyền lợi của người dùng, bảo vệ an ninh quốc gia. Nếu để bảo vệ người dùng Việt Nam đối với các thông tin giao dịch trên Internet, việc đặt máy chủ tại Việt Nam không quan trọng bằng việc yêu cầu các tập đoàn đa quốc gia đặt chi nhánh văn phòng đại diện tại Việt Nam và hoạt động theo quy định pháp luật của Việt Nam.

Theo kết quả cuộc khảo sát ý kiến của doanh nghiệp về dự thảo Luật An ninh mạng 2018 do Viện IPS thực hiện đã thu được kết quả hợp lệ từ 24 doanh nghiệp, trong đó có 8 doanh nghiệp khởi nghiệp gồm: 2 doanh nghiệp thuộc lĩnh vực tài chính; 6 doanh nghiệp thuộc lĩnh vực cung cấp giải pháp công nghệ, sản xuất phần mềm; 16 doanh nghiệp còn lại thuộc các lĩnh vực công nghệ thông tin, tài chính, cung cấp dịch vụ và có sử dụng không gian mạng thường xuyên. Các câu hỏi về mức độ hiểu biết pháp luật liên quan cho thấy hầu hết doanh nghiệp đã biết đến dự thảo Luật An ninh mạng và các quy định pháp lý khác, nhưng chưa ý thức rõ được ảnh hưởng của từng quy định đối với hoạt động kinh doanh của mình. Cụ thể, 18 doanh nghiệp đã biết về dự thảo Luật, chỉ 10 doanh nghiệp có hiểu biết về những quy định mới của dự thảo Luật sẽ áp dụng lên tổ chức của mình và 16 doanh nghiệp đã tìm hiểu về các quy định về an ninh, an toàn thông tin mạng khác ngoài dự thảo Luật.

Một nội dung khác cũng được các chuyên gia và diễn giả quốc tế đề cập đến tại Hội thảo đó là tự do dòng chảy dữ liệu toàn cầu và các hiệu quả kinh tế. Ông Joshua Meltzer, đại diện từ Viện Nghiên cứu Brookings, đã chỉ ra những cơ hội to lớn mà dữ liệu toàn cầu đem lại cho các doanh nghiệp nhỏ và vừa, đặc biệt cho các doanh nghiệp muốn tham gia vào thương mại quốc tế. Điều này đặc biệt quan trọng với Đông Á, khu vực mà các doanh nghiệp nhỏ chiếm 60 - 99% trong tổng số doanh nghiệp, chịu trách nhiệm cho 50-98% tổng việc làm và đóng góp 35 - 70% GDP. Tuy nhiên, theo các diễn giả, một số chính phủ có xu hướng tiến hành các biện pháp hạn chế dòng chảy dữ liệu xuyên biên giới thông qua những quy định địa phương hóa dữ liệu. Thực tế, nó không giúp đảm bảo an ninh mạng mà còn làm tăng thêm chi phí cho doanh nghiệp.

Trước những vấn đề trên, Viện IPS đã đưa ra một số kiến nghị: (1) Chỉ nên xây dựng Luật từng phần, giải quyết từng nhóm vấn đề, không xây dựng Luật bao trùm như hiện nay; (2) Cần tiếp tục xem xét việc xây dựng một nhóm đạo luật riêng về bảo vệ dữ liệu; (3) Việt Nam không nên đi theo hướng các quy định về địa phương hóa dữ liệu bởi chi phí thực thi là lớn hơn so với lợi ích thu được; (4) Nên bỏ các yêu cầu về việc ngừng, tạm ngừng cung cấp các dịch vụ và kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin của các cơ quan, tổ chức không thuộc danh mục hệ thống thông tin quan trọng về an ninh mạng quốc gia; (5) Bãi bỏ các thủ tục, quy định có rủi ro gây ra giấy phép con cho doanh nghiệp.