Luật An ninh mạng đẩy DN vào thế tiến thoái lưỡng nan

	Việt Nam đứng đầu thế giới về lượng máy tính công nghiệp bị tấn công mạng
	ASEAN đối mặt với rủi ro tổn thất 750 tỷ USD từ những cuộc tấn công mạng
	Bùng nổ thị trường bảo hiểm an ninh mạng tại Nhật Bản

Ông Nguyễn Quang Đồng, chuyên gia Viện Chính sách và Phát triển truyền thông - Ảnh: IPS

- Dự thảo mới nhất của Luật An ninh mạng đã bỏ quy định phải đặt máy chủ ở Việt Nam, tuy nhiên vẫn yêu cầu đặt cơ quan đại diện và lưu trữ dữ liệu người dùng Việt Nam trên lãnh thổ Việt Nam. Quan điểm của ông về điều này như thế nào?

- Đây chỉ là việc thay đổi cách viết. Dù không trực tiếp yêu cầu đặt máy chủ, dữ liệu tại Việt Nam, nhưng yêu cầu “lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam” có hàm ý pháp lý rằng dữ liệu và máy chủ phải đặt tại Việt Nam.

Hiện nay, hầu như ai cũng lưu trữ dữ liệu trên đám mây, ví dụ như icloud của iPhone hay drive của Google; hoặc các dịch vụ như email, yahoo… Trong khi đó, nếu các doanh nghiệp này không chịu đặt văn phòng và lưu trữ dữ liệu tại Việt Nam thì có phải doanh nghiệp Việt Nam sử dụng dịch vụ này phạm luật? Điều đó có nghĩa luật này đẩy doanh nghiệp của Việt Nam vào rủi ro phạm luật.

Với rủi ro phạm luật như vậy, nếu cơ quan kiểm tra tìm đến thì dễ nảy sinh tình trạng “bôi trơn”. Nhiều khi đúng còn phải bôi trơn nữa là với quy định này thì doanh nghiệp sẽ sai. Tôi nghĩ đừng nên tạo cơ hội để cho cơ quan quản lý nhũng nhiễu doanh nghiệp.

- Dự thảo luật này cũng yêu cầu doanh nghiệp phải có cơ chế xác thực tài khoản số hay xóa bỏ, ngăn chặn việc chia sẻ thông tin. Ông đánh giá điều này như thế nào?

- Với các doanh nghiệp khởi nghiệp, rủi ro xác minh tài khoản rất cao. Khi làm startup, dữ liệu cá nhân hóa cho từng người dùng, mỗi người gắn với một tài khoản. Trong đó, yếu tố bảo mật là điều tối quan trọng.

Vì thế, thông tin người dùng được sử dụng công nghệ mã hóa và lưu tại các thiết bị đầu – cuối, nghĩa là lưu trên điện thoại của người dùng, chứ không gửi về và lưu trữ trên hệ thống của hãng. Nghĩa là những doanh nghiệp phát triển ứng dụng hoàn toàn không biết về nội dung thông tin người dùng gửi đi qua ứng dụng của mình là gì.

Khi cơ quan chức năng đòi kiểm tra thông tin trên đó, và người nào có những thông tin trao đổi đi ngược lại những nội dung bị cấm trong dự thảo luật thì phải gỡ, xóa, thậm chí đóng tài khoản. Việc này xâm phạm trực tiếp vào lợi ích của doanh nghiệp.

Doanh nghiệp bị đặt vào thế lưỡng nan. Để có được khách hàng thì bảo mật phải tối ưu hóa; và tối ưu hóa thì họ không thể biết được thông tin người dùng được trao đổi là gì. Nhưng như thế thì lại vi phạm luật, vì luật quy định phải cung cấp được thông tin người dùng; ngăn chặn, gỡ bỏ được nội dung thông tin của người dùng khi cơ quan quản lý yêu cầu.

Chúng ta nói nhiều đến cách mạng công nghiệp 4.0, mà động lực của 4.0 là ở doanh nghiệp chứ không phải Nhà nước. Với những quy định thế này thì không doanh nghiệp nào không sai. Vậy thì họ sẽ nghĩ tại sao phải khởi nghiệp ở đây mà không phải là Singapore chẳng hạn. Nhiều doanh nghiệp sẽ sang đó để khởi nghiệp với những chính sách pháp lý thông thoáng hơn, chúng ta sẽ mất mát rất nhiều.

Bên cạnh đó, trong điều 24, dù vẫn đang tranh cãi về danh mục thông tin quan trọng về an ninh quốc gia, tuy nhiên, điều luật này lại “thòng” vào câu “kể cả hệ thống thông tin không nằm trong danh mục cũng bị kiểm tra khi có yêu cầu quản lý nhà nước”.

Tôi nghĩ quy định này rất mơ hồ. Yêu cầu quản lý nhà nước là cái gì cần phải nói rõ ra, nếu không nói thì thủ tục không có hướng dẫn thì bất kỳ cơ quan nào cũng có quyền kiểm tra doanh nghiệp. Theo đó, quy định này cần phải đi kèm với nội dung và trình tự kiểm tra.

- Không chỉ doanh nghiệp, nhiều người cũng lo bị xâm phạm đến quyền công dân với quy định tại điều 15 của dự thảo, thưa ông?

- Tôi nghĩ quy định này xâm phạm quyển công dân rất cao. Việc bịa đặt, xúc phạm danh dự, nhân phẩm… ranh giới đúng và sai rất dễ tranh cãi. Nhưng ở đây chỉ cần cơ quan công an yêu cầu đã cắt thuê bao của người ta thì rất rủi ro.

Nếu muốn làm, cần phải đi qua một quy trình tòa án xét xử thì mới được xử lý. Nếu cá nhân cảm thấy bị bôi nhọ thì kiện lên tòa án và tòa ra phán quyết, nếu đúng thì mới có thể xử lý. Quy định này hết sức rủi ro, không chỉ đối với doanh nghiệp mà còn là toàn bộ người dân.

Theo tôi, các doanh nghiệp viễn thông lớn ở Việt Nam cũng chưa có ý thức bảo vệ quyền lợi của người dùng. Khi quyền lợi của khách hàng bị đe dọa thì các doanh nghiệp này cần lên tiếng, phải có trách nhiệm chăm sóc khách hàng. Họ không lên tiếng thì không thể hiện được văn hóa kinh doanh xứng tầm của mình.

- Có một số thống kê lo ngại rằng nếu luật này được thực thi có thể làm giảm 1,7% GDP và giảm 3,1% đầu tư nước ngoài. Xin ông phân tích thêm về điều này?

- Giả sử như yêu cầu đặt máy chủ, lưu trữ dữ liệu tại Việt Nam thì các doanh nghiệp mất thêm nhiều chi phí để thực hiện. Dưới góc độ người bán hàng, những chi phí đó họ sẽ đẩy cho khách hàng chứ họ không bỏ tiền túi ra chịu. Chi phí đó sẽ phân bổ cho toàn bộ doanh nghiệp đang sử dụng dịch vụ của các nhà cung cấp này.

Có doanh nghiệp nào không dùng hệ sinh thái của Google, Amazon… không? Đã trong hệ sinh thái kinh doanh, khi hạ tầng tăng thêm thì toàn bộ hệ sinh thái đó tăng thêm.

Điều này không chỉ ảnh hưởng đến doanh nghiệp trong nước mà còn làm ảnh hưởng đến môi trường đầu tư kinh doanh, giảm sức hút đầu tư đối với doanh nghiệp nước ngoài ở Việt Nam. Doanh nghiệp mong muốn sử dụng các công nghệ mới, an toàn và chi phí thấp. Họ sẽ giảm quan tâm nếu chi phí gia tăng.

Hơn nữa, doanh nghiệp Việt Nam chưa đủ khả năng cung cấp các dịch vụ trên với chi phí rẻ và đảm bảo mức độ bảo mật cho người dùng như các dịch vụ của nước ngoài.

Về vấn đề trao đổi thông tin dữ liệu ở Việt Nam với nước ngoài, chúng ta nói nhiều đến kinh tế chia sẻ như uber, grab, các trang đặt phòng trực tuyến... hoạt động trên toàn cầu, lưu trữ linh hoạt. Liệu có bắt những doanh nghiệp này nằm yên ở Việt Nam được hay không và riêng ở Việt Nam chi phí có tăng lên hay không? Nếu vậy thì sẽ ngăn chặn một dòng chảy dữ liệu giữa Việt Nam và thế giới. Việc ước tính giảm GDP là hoàn toàn có lý.

- Vậy thưa ông, các nước tiên tiến trên thế giới họ có giải pháp thế nào để đảm bảo an ninh mạng?

- Các nước họ chia ra nhiều giải pháp khác nhau về an ninh mạng. Xét về góc độ pháp lý thì các nước tập trung vào bảo vệ dữ liệu nhiều hơn, còn phòng chống việc tấn công mạng thì chỉ có thể đầu tư vào con người, kỹ thuật để phòng vệ, chứ pháp lý không thể ngăn được tấn công mạng. Họ có thể ngồi ở bất cứ đâu trên thế giới họ tấn công, pháp luật không thể chế tài được.

Bên cạnh đó, họ còn chia theo mức độ quan trọng của dữ liệu. Các dữ liệu về sức khỏe, tài chính là đặc biệt quan trọng, còn những thông tin chơi game, giải trí, chat… thì ít quan trọng hơn và có quy định khác nhau.

Họ không có luật chung chung về an ninh mạng, các nước phân theo từng nhóm vấn đề để có giải pháp pháp lý khác nhau chứ không phải là một luật chung để bao trùm.

Việt Nam hiện nay, về bảo vệ dữ liệu người dùng chỉ có điều 26, một câu rất chung chung là phải đặt dữ liệu ở Việt Nam thì không đủ rõ ràng. Nếu cơ quan soạn thảo muốn bảo vệ dữ liệu cho người dùng thì phải học những phương cách tiên tiến hơn.

Tôi cho rằng, ở khía cạnh pháp lý, không cần thêm một luật mới như Luật An ninh mạng. Lý do là các vấn đề thuộc về an ninh quốc gia nói chung, đã có Luật An ninh quốc gia; Luật Cơ yếu (điều chỉnh)... Vấn đề an toàn thông tin cho người dùng được Luật An toàn thông tin mạng (điều chỉnh).

Về khía cạnh kỹ thuật, để bảo vệ an ninh mạng quốc gia, điều quan trọng nhất là bảo vệ bằng các biện pháp kỹ thuật và con người, bảo vệ hệ thống hạ tầng thông tin; kỹ năng sử dụng internet an toàn của người dùng; xây dựng văn bản dưới luật tập trung vào các khía cạnh như chuyển nhượng thông tin người dùng cho bên thứ 3, bảo vệ dữ liệu tài chính, hồ sơ y tế người dùng...

- Xin cảm ơn ông!