Theo phiên bản dự thảo Luật An toàn thông tin được công bố sáng 11/3/2014, trong số đối tượng áp dụng Luật này sẽ không có các nhà cung cấp dịch vụ mạng xuyên biên giới như Google, Facebook.
Thứ trưởng Nguyễn Minh Hồng nhấn mạnh tầm quan trọng của một văn bản đặc thù, chuyên biệt như Luật ATTT. Ảnh: VietNamNet
Hoàn thiện hành lang pháp lý cho 7 nhóm vấn đề “nóng”
Sáng nay, 11/3/2014, tại Hà Nội đã diễn ra Hội thảo về Luật An toàn thông tin. Phát biểu khai mạc hội thảo, Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng cho biết các quốc gia trên thế giới đều đã và đang xây dựng, hoàn thiện hệ thống hành lang pháp lý quy định những hành vi công dân mạng được phép hoặc không được phép làm, ban hành chiến lược, kế hoạch, quy hoạch về an toàn thông tin,… Tại Việt Nam, đối với hành lang pháp lý về an toàn thông tin, hiện đã có một số điều khoản được quy định trong các văn bản như Luật CNTT, Nghị định 72 của Chính phủ quy định về việc quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng,… Tuy nhiên, vẫn cần có một văn bản đầy đủ, chuyên biệt cho lĩnh vực an toàn thông tin. Từ năm 2010, Bộ TT&TT đã đề xuất Chính phủ, Quốc hội, và đến năm 2013 chính thức được phân công xây dựng Luật An toàn thông tin số. Trong quá trình xây dựng dự thảo và lấy ý kiến đóng góp cho dự thảo, sau này, tên Luật đã được đổi thành Luật An toàn thông tin.
Đại diện cho Tổ Biên tập và Tổ Thường trực, ông Bùi Huy Dũng nhấn mạnh 7 nhóm vấn đề chính đang thiếu các quy định pháp lý và dự kiến sẽ được hoàn thiện bởi Luật An toàn thông tin, gồm: tăng mạnh số vụ tấn công mạng; phát tán thư rác, mã độc; lưu hành phần cứng, phần mềm có lỗ hổng; rao bán thông tin cá nhân; bảo vệ lợi ích quốc gia trên mạng; phát triển nguồn nhân lực an toàn thông tin; phát triển sản phẩm, thị trường.
Chẳng hạn đối với sự gia tăng số lượng vụ tấn công mạng, theo thống kê của Trung tâm Ứng cứu khẩn cấp sự cố máy tính Việt Nam (VNCERT), tại Việt Nam năm 2010 phát hiện hơn 150 vụ, đến năm 2011 có hơn 550 vụ, và năm 2012 lên tới hơn 2000 vụ. Hiện đã có đủ hành lang pháp lý để xử lý hành vi tấn công mạng (với các mức phạt tiền từ 2 triệu đến 200 triệu, phạt tù từ 1 năm đến 12 năm), nhưng vẫn thiếu cơ sở pháp lý về trách nhiệm của chủ quản hệ thống, và cơ sở pháp lý cho việc tổ chức mạng lưới ứng cứu sự cố cũng chưa đủ mạnh.
Hoặc về vấn nạn phát tán thư rác, hiện vẫn chưa có quy định về lực lượng “làm vệ sinh” trên môi trường mạng, tương tự như các đội vệ sinh môi trường công cộng chuyên xử lý rác, làm sạch môi trường sống ngoài đời thực.
Với hoạt động rao bán thông tin cá nhân bất hợp pháp, nguyên nhân sâu xa của sự phát triển mạnh hoạt động phát tán thông tin cá nhân là do nảy sinh nhiều loại hình dịch vụ mạng thu thập thông tin cá nhân của khách hàng, trong khi đó hành lang pháp lý vẫn đang thiếu quy định cụ thể, rõ ràng, nhất quán về trách nhiệm của người thu thập thông tin cá nhân.
Ông Nguyễn Thanh Hải, Tổ trưởng Tổ thường trực xây dựng Luật, Phó Giám đốc VNCERT nhấn mạnh 3 đối tượng chính mà Luật An toàn thông tin tập trung quản lý. Một là các hệ thống thông tin, về lý thuyết, muốn quản lý được an toàn thông tin thì phải quản lý được các hệ thống thông tin, thế nhưng thực tế hiện không thể nắm được toàn quốc có bao nhiêu hệ thống thông tin đang hoạt động. Hai là các tổ chức, cá nhân cung cấp dịch vụ an toàn thông tin, hiện có nhiều tổ chức cung cấp dịch vụ nhưng chất lượng ra sao, có đảm bảo hay không thì chưa rõ. Ba là các sản phẩm, dịch vụ an toàn thông tin, trong khi nhiều quốc gia khác quản lý rất chặt, sản phẩm phải được cấp phép mới được lưu hành trên thị trường thì ở Việt Nam vẫn đang có vẻ “thả lỏng”.
Không “quản” các dịch vụ của Facebook, Google
Tại hội thảo sáng nay, đã có khoảng 20 ý kiến đóng góp cho dự thảo Luật An toàn thông tin, trong đó có nhiều luồng ý kiến trái chiều nhau. Các đại biểu đều đánh giá cao sự nghiêm túc, chuyên nghiệp của Ban Soạn thảo và Tổ Biên tập. Tuy nhiên, nhiều ý kiến cho rằng cần tăng hơn nữa độ quyết liệt của Luật An toàn thông tin, để Luật đủ mạnh khi đi vào thực tế. Hiện đã có những quy định rõ ràng về những việc các tổ chức, cá nhân buộc phải làm để đảm bảo an toàn thông tin cho cả hệ thống, thế nhưng không thấy nêu rõ chế tài cụ thể về việc nếu tổ chức, cá nhân không tuân thủ thì sẽ bị xử lý thế nào. Bởi trên thực tế, đầu tư về an toàn thông tin rất tốn kém, có khi lên tới hàng tỷ đồng, không loại trừ các tổ chức, cá nhân sẵn “lờ đi” trách nhiệm trang bị giải pháp, dịch vụ để đảm bảo an toàn thông tin.
Một vấn đề khác cũng còn nhiều luồng ý kiến khác nhau đó là có nên đưa các nhà cung cấp dịch vụ xuyên biên giới như Google, Facebook vào diện đối tượng thi hành Luật An toàn thông tin hay không. Cho đến phiên bản dự thảo Luật An toàn thông tin mới nhất được công bố sáng nay, đối tượng áp dụng vẫn chỉ là tổ chức, cá nhân trong nước và nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin tại Việt Nam, còn hoạt động xuyên biên giới vẫn được xác định là đối tượng khó điều chỉnh bằng Luật An toàn thông tin mà phải triển khai hoạt động phối hợp quốc tế.
Ban Soạn thảo và Tổ Biên tập cho biết sẽ tiếp thu các ý kiến đóng góp để tiếp tục hoàn thiện dự thảo Luật An toàn thông tin trong thời gian tới, sớm báo cáo Chính phủ. Theo lộ trình dự kiến, dự thảo Luật An toàn thông tin sẽ được Quốc hội thảo luận vào phiên họp tháng 10/2014 để thông qua tại kỳ họp tháng 1/2015, và Luật sẽ chính thức có hiệu lực từ đầu năm 2016.
Theo Ngọc Mai
ICTNews