VCCI chỉ ra hàng loạt bất hợp lý của Dự thảo Luật An ninh mạng

Trái cam kết WTO, EVFTA

VCCI cho rằng Việt Nam cần một khung pháp lý về an ninh mạng. Tuy nhiên, cần cân nhắc để tránh gánh nặng không cần thiết về quản lý nhà nước, tránh đặt ra quá nhiều rào cản dẫn đến gánh nặng tuân thủ cho các doanh nghiệp, làm cản trở sự sáng tạo.

Đối với thông lệ và các cam kết quốc tế, trên thế giới hiện nay dùng chung một khái niệm "cyber security" chứ không tách riêng an ninh mạng và an toàn thông tin mạng. Trên thế giới, chưa thấy quốc gia nào ban hành hai Luật riêng biệt về an toàn thông tin và an ninh thông tin.

Góp ý cho Khoản 4 Điều 34 của Dự thảo quy định đặt cơ quan đại diện của doanh nghiệp nước ngoài tại Việt Nam, VCCI cho biết trong cam kết của Tổ chức Thương mại Thế giới (WTO), dịch vụ viễn thông cung cấp qua biên giới là không hạn chế tiếp cận thị trường, trừ một số trường hợp cụ thể nhưng trong các trường hợp loại trừ đó không quy định phải có cơ quan đại diện trên lãnh thổ Việt Nam. Cam kết trong Hiệp định Thương mại tự do Việt Nam - EU (EVFTA) mà Việt Nam đã ký kết cũng tương tự.

“Như vậy, quy định về việc đặt cơ quan đại diện tại Việt Nam tại khoản 4 Điều 34 của Dự thảo là trái với cam kết WTO và EVFTA của Việt Nam”, VCCI nêu.

Bên cạnh đó, quy định về việc phải đặt máy chủ trên lãnh thổ Việt Nam là chưa phù hợp với tinh thần cam kết của Việt Nam trong TPP. An ninh mạng, theo định nghĩa tại khoản 3 Điều 3 của Dự thảo liên quan tới nhiều vấn đề chứ không chỉ riêng đối với an ninh quốc phòng, do đó không phải là trường hợp ngoại lệ để không áp dụng cam kết.

“Hiện nay, mặc dù TPP chưa được Quốc hội Việt Nam phê chuẩn nhưng Việt Nam và 10 nước còn lại trừ Hoa Kỳ vẫn tiếp tục đàm phán để đưa ra quyết định cuối cùng. Do đó, VCCI cho rằng cần hết sức cân nhắc và không nên đặt ra quy định pháp luật trong nước đi ngược lại hướng của TPP”, VCCI nêu.

Cơ quan này cũng cho rằng, việc đặt máy chủ ở đâu không quan trọng bằng quy trình đảm bảo an ninh mạng đối với dữ liệu trên đó. Máy chủ đặt ở đâu cũng không có ý nghĩa gì về an ninh thông tin nếu quy trình, kỹ thuật, công nghệ không đáp ứng yêu cầu chuẩn mực.

“Nếu các doanh nghiệp, tổ chức ở Việt Nam mà không được sử dụng những dịch vụ lưu trữ dữ liệu an toàn nhất để đặt dữ liệu (thường không có máy chủ ở Việt Nam) thì điều này còn tạo ra nguy cơ mất an ninh mạng cao hơn đối với doanh nghiệp, tổ chức cá nhân Việt Nam”, văn bản cho hay.

Tích hợp để tránh chồng chéo

VCCI nhận định, Dự thảo Luật an ninh mạng đang theo hướng bổ sung một số thủ tục hành chính nữa đối với việc cung cấp sản phẩm, dịch vụ này. Do đó, cần cân nhắc kỹ để tránh chồng chéo giữa các Luật, gây khó khăn cho doanh nghiệp. Cùng một doanh nghiệp cung cấp dịch vụ lại chịu hai lần thẩm định về điều kiện và năng lực ở hai thời điểm khác nhau tại hai cơ quan quản lý.

“Ở đây có trường hợp xảy ra mà chưa rõ cách xử lý khi đã đấu thầu thành công, đến giai đoạn ký hợp đồng mà không được chấp thuận của Bộ Công an khi thẩm định về năng lực, điều kiện; hoặc khi đã triển khai lắp đặt thiết bị vào sử dụng mà không đáp ứng yêu cầu thẩm định, kiểm tra an ninh mạng của Bộ Công an. Khi đó, những hậu quả pháp lý, tổn thất đầu tư sẽ xử lý ra sao, ai chịu trách nhiệm, tình huống này càng phức tạp hơn khi là đấu thầu quốc tế”, văn bản nêu.

VCCI cũng chỉ ra một số quy định về phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng bị trùng lặp. Việc chồng chéo như vậy sẽ gây khó khăn khi triển khai thực tiễn, do các cơ quan, tổ chức sẽ không biết đâu là đầu mối chính trong hoạt động liên quan.

“Nên cân nhắc việc tích hợp nội dung Dự thảo và Luật an toàn thông tin mạng thành một Luật duy nhất, trình Quốc hội xem xét”, văn bản nêu.

Dự thảo có một số quy định chưa khả thi, sẽ gây khó khăn và tạo ra chi phí bất hợp lý cho doanh nghiệp như việc yêu cầu doanh nghiệp đảm bảo tính trung thực của thông tin đăng ký của người dùng.

VCCI cho rằng doanh nghiệp không thể xác thực cũng như đảm bảo tính trung thực của thông tin mà người dùng khai báo. Trong khi hiện nay, hệ thống quốc gia về căn cước công dân còn chưa sẵn sàng để doanh nghiệp kết nối, xác thực. Việc yêu cầu doanh nghiệp thiết lập cơ chế xác thực thông tin của người dùng cũng khó khả thi.

“Nếu yêu cầu phải có đại diện pháp lý là hạn chế quyền kinh doanh và không khả thi vì các doanh nghiệp có thể cung cấp dịch vụ xuyên biên giới mà không cần có đại diện tại địa phương, nhất là trong kỷ nguyên số thì tính đại diện và cách thức thực hiện đại diện cũng đa dạng hơn rất nhiều”, VCCI nêu quan điểm.

Theo đó, quy định này có nguy cơ làm tăng chi phí hoạt động kinh doanh tại Việt Nam đối với cả doanh nghiệp trong nước và doanh nghiệp nước ngoài, đặc biệt là những doanh nghiệp vừa và nhỏ sẽ bị tác động lớn hơn do có ít nguồn lực hơn trong việc tuân thủ về yêu cầu lưu trữ dữ liệu.

Về việc xin ý kiến của Bộ Công an trước khi doanh nghiệp ký hợp đồng (Điều 49), VCCI đề nghị cơ quan soạn thảo xem xét bỏ quy định này vì dự thảo không quy định trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia phải xin ý kiến Bộ Công an trước khi ký hợp đồng. Mặt khác, cũng không rõ dựa trên tiêu chí nào và Bộ Công an sẽ cho ý kiến về vấn đề gì, cho phép hay không cho phép ký hợp đồng, quy trình thủ tục như thế nào...

VCCI đề nghị cơ quan soạn thảo xem xét bổ sung quy định về Xây dựng, quản lý hạ tầng cơ sở mạng quốc gia, bởi vì vấn đề mất an ninh mạng đối với hạ tầng cơ sở mạng quốc gia không chỉ do các hành vi gây ra trong quá trình khai thác, sử dụng mạng mà còn bắt nguồn từ quá trình thiết kế…