Đến nay vẫn có rất nhiều độc giả chưa biết Luật an ninh là gì, quy định cụ thể như thế nào. Điều này cũng rất dễ hiểu, bộ luật này mới được quy định và chính thức có hiệu lực từ đầu năm 2019 vừa rồi.
Luật An ninh mạng là gì?
Luật An Ninh mạng là một bộ luật đã được Quốc hội Việt Nam đã thông qua. Luật mới về An ninh mạng có hiệu lực từ ngày 1 tháng 1 năm 2019 tại Việt Nam. Không chỉ cung cấp các biện pháp bảo vệ môi trường mạng mà ở một mức độ nào đó đã được quy định bởi Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015, Luật An Ninh Mạng cũng bao gồm nhiều điều khoản khác nhau để kiểm soát nội dung được đăng hoặc xuất bản trên mạng. Dưới đây là một số vấn đề nổi bật luật an ninh mạng.
Phạm vi của luật An ninh mạng
Luật An ninh mạng áp dụng cho tất cả các cơ quan, tổ chức, cá nhân liên quan đến bảo vệ an ninh mạng, được định nghĩa rộng rãi là đảm bảo rằng các hoạt động trong không gian mạng không gây tổn hại đến an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của các cơ quan, tổ chức và cá nhân. Đặc biệt, Luật An ninh mạng sẽ áp dụng cho các tổ chức ở nước ngoài, có người dùng cư trú tại Việt Nam như Google hoặc Facebook.
Luật An ninh mạng bao gồm tất cả các mạng về cơ sở hạ tầng CNTT, viễn thông, Internet, hệ thống máy tính, cơ sở dữ liệu, xử lý thông tin, hệ thống lưu trữ và kiểm soát và điều chỉnh các hoạt động của mọi doanh nghiệp cung cấp dịch vụ trong không gian mạng và người dùng Internet bao gồm thương mại điện tử, trang web, diễn đàn trực tuyến, mạng xã hội và blog.
Luật An ninh mạng áp đặt các nghĩa vụ khác nhau đối với người vận hành hệ thống thông tin. Theo Luật An toàn thông tin mạng theo đó, người vận hành hệ thống thông tin có nghĩa là bất kỳ cơ quan, tổ chức hoặc cá nhân nào có quyền quản lý trực tiếp đối với hệ thống thông tin.
Luật An ninh mạng trong quy định hệ thống thông tin
Luật An ninh mạng phân loại các hệ thống thông tin thành:
- các hệ thống thông tin quan trọng đối với an ninh quốc gia
- các hệ thống không thuộc Hệ thống thông tin quan trọng (Hệ thống thông tin không quan trọng).
Hệ thống thông tin quan trọng: thường được định nghĩa là hệ thống thông tin, nếu gặp sự cố, xâm nhập, chiếm quyền điều khiển hoặc vận hành, bóp méo, gián đoạn, ngừng hoạt động, tê liệt, phá hủy sẽ làm tổn hại nghiêm trọng đến an ninh mạng. Dường như danh sách Hệ thống thông tin quan trọng theo Luật An ninh mạng 2018 rộng hơn so với những gì đã được quy định theo Quyết định 632 của Thủ tướng Chính phủ ngày 10 tháng 5 năm 2017 (Quyết định 632). Hiện tại, Quyết định 632 bao gồm các lĩnh vực viễn thông và mạng lưới thông tin trong các cơ quan của Đảng Cộng sản và chính phủ mà Bộ Thông tin và Truyền thông (MIC) hoặc Văn phòng Chính phủ là quản trị viên (chủ đề). Các hệ thống thông tin quan trọng hiện nay bao gồm hệ thống thông tin trong các lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên và môi trường, hóa chất, y tế, văn hóa và báo chí. Có lẽ, Quyết định 632 có thể được bổ sung với nhiều lĩnh vực quan trọng đối với an ninh quốc gia và sự tham gia của các bộ liên quan khác ngoài MIC.
Hệ thống thông tin không quan trọng: mặc dù không được xác định rõ ràng, nên là bất kỳ hệ thống thông tin nào được quản lý bởi các tổ chức và doanh nghiệp tư nhân.
Hành vi bị cấm trên không gian mạng theo luật an ninh mạng
Luật An ninh mạng 2018 cấm sử dụng không gian mạng để thực hiện bất kỳ hành vi nào sau đây:
- Sử dụng không gian mạng, CNTT và phương tiện điện tử để vi phạm luật pháp về an ninh quốc gia, trật tự và an toàn xã hội;
- Tổ chức, kích hoạt, thông đồng, xúi giục, mua chuộc, lừa đảo hoặc lừa đảo, thao túng, đào tạo hoặc xúi giục, kêu gọi người để chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
- Lịch sử xuyên tạc, phủ nhận thành tựu cách mạng, phá hủy khối đoàn kết dân tộc, tiến hành các hành vi phạm tội chống tôn giáo, phân biệt giới tính hoặc các hành vi phân biệt chủng tộc;
- Cung cấp thông tin sai lệch, gây nhầm lẫn trong công dân, gây tổn hại cho các hoạt động kinh tế xã hội, gây khó khăn cho hoạt động của các cơ quan nhà nước hoặc của người thực hiện công vụ, hoặc xâm phạm quyền và lợi ích hợp pháp của các cơ quan, tổ chức, cá nhân khác;
- Các hoạt động là mại dâm, tệ nạn xã hội hoặc buôn bán người; công bố thông tin là dâm dục, đồi trụy hoặc hình sự; hoặc phá hủy các truyền thống và phong tục tốt đẹp của người dân, đạo đức xã hội hoặc sức khỏe của cộng đồng; và
- Kích động, dụ dỗ hoặc kích hoạt người khác phạm tội.
Luận An ninh mạng giám sát hệ thống thông tin
Hệ thống thông tin quan trọng: Hệ thống thông tin quan trọng phải được các cơ quan có thẩm quyền đánh giá và chỉ có thể được đưa vào hoạt động sau khi được chứng nhận là đáp ứng các điều kiện an ninh mạng. Hệ thống thông tin quan trọng có thể được kiểm tra một cách thường xuyên hoặc khi xảy ra một sự kiện được quy định theo luật này. Các nhà điều hành của Hệ thống thông tin quan trọng chịu trách nhiệm giám sát các hệ thống, xây dựng cơ chế cảnh báo tự động và nhận các cảnh báo về các mối đe dọa đối với an ninh mạng và lập kế hoạch đối phó với các tình huống đó.
Hệ thống thông tin không quan trọng: Hệ thống thông tin không quan trọng có thể bị Lực lượng đặc nhiệm an ninh mạng đặt dưới sự kiểm tra an ninh mạng khi vi phạm luật an ninh mạng vi phạm an ninh quốc gia hoặc gây thiệt hại nghiêm trọng cho trật tự và an toàn xã hội. Lực lượng đặc nhiệm an ninh mạng có thể tiến hành kiểm tra sau khi gửi thông báo bằng văn bản ít nhất 12 giờ trước khi kiểm tra cho quản trị viên của Hệ thống thông tin không quan trọng. Các thành phần được kiểm tra bao gồm phần mềm, phần cứng, thiết bị kỹ thuật số; dữ liệu được lưu trữ, xử lý và chuyển giao trong hệ thống; và phương pháp bảo vệ bí mật nhà nước.
Như vậy, Luật An ninh mạng không đặt ra cơ sở và thủ tục rõ ràng để xác định có vi phạm Luật An ninh mạng hay không. Ví dụ, Luật An ninh mạng 2018 cấm sử dụng không gian mạng để bóp méo lịch sử, phủ nhận thành tích cách mạng, phá hủy khối đoàn kết dân tộc, tiến hành phạm tội chống lại tôn giáo, phân biệt giới tính hoặc hành vi phân biệt chủng tộc. Sẽ rất khó và có thể tranh cãi để xác định một hành động là xuyên tạc lịch sử và do đó vi phạm điều khoản đó. Do đó, các quy định có thể tạo ra sự không chắc chắn cho các doanh nghiệp cung cấp dịch vụ trong không gian ảo và giữ dữ liệu của khách hàng trong quá trình cung cấp dịch vụ.
Luật an ninh mạng sẽ giám sát nội dung
Các nhà cung cấp dịch vụ trên không gian mạng tại Việt Nam phải tuân thủ nhiều yêu cầu để giám sát nội dung được tải lên và phổ biến trong không gian ảo:
- Tất cả các trang web, cổng hoặc trang chuyên biệt trên mạng xã hội của các cơ quan, tổ chức và cá nhân không được cung cấp, tải lên hoặc truyền thông tin với tuyên truyền chống lại Nhà nước, kích động bạo loạn, hoặc phá vỡ an ninh hoặc gây rối trật tự công cộng, gây bối rối hoặc gây ra sự xấu hổ hoặc vi phạm lệnh quản lý kinh tế (nội dung bị cấm);
- Để xác minh đăng ký tài khoản của người dùng và cung cấp thông tin của người dùng khi nhận được yêu cầu bằng văn bản từ các cơ quan có thẩm quyền về an ninh mạng;
- Để ngăn chặn việc chia sẻ thông tin và xóa nội dung bị cấm trong vòng 24 giờ sau khi nhận được yêu cầu bởi Luật an ninh sẽ ngay lập tức điều tra và ngừng cung cấp dịch vụ cho các tổ chức và cá nhân tải lên thông tin bị cấm.
Người quản trị mạng có thể rất khó khăn và tốn kém khi xác định và lọc nội dung bị cấm vì một số trong số đó không rõ ràng. Ví dụ, Luật An ninh mạng 2018 xác định thông tin đang tuyên truyền chống lại Nhà nước để bao gồm nội dung:
- (i) xuyên tạc hoặc phỉ báng các cơ quan hành chính nhân dân;
- (ii) khởi xướng chiến tranh tâm lý, kích động chiến tranh xâm lấn, gây chia rẽ hoặc thù hận giữa các nhóm sắc tộc, tôn giáo và người dân của tất cả các quốc gia;
- (iii) xúc phạm người dân, quốc kỳ, quốc huy, quốc ca, đại nhân, lãnh đạo, người nổi tiếng hoặc anh hùng dân tộc.
Khi đọc những hạn chế này, người ta có thể bị nhầm lẫn, ví dụ: Ai được coi là người vĩ đại? Hồi giáo, lãnh đạo, người nổi tiếng hay anh hùng dân tộc?
Liệu một nghiên cứu công khai mới với một quan điểm khác về thành tích của một anh hùng dân tộc Hồi giáo có thể được coi là xúc phạm người anh hùng dân tộc Hồi giáo? quy định này có thể tước quyền của người dân để chỉ trích sự lãnh đạo và quản trị của một hệ thống hành chính hoặc một số quan chức của hệ thống đó?
Thực thi luật an ninh mạng
Các lực lượng chuyên trách chịu trách nhiệm thi hành Luật An ninh mạng (Lực lượng đặc nhiệm an ninh mạng) sẽ được bổ nhiệm thuộc Bộ Công an và Bộ Quốc phòng. Lực lượng đặc nhiệm an ninh mạng có sức mạnh rộng lớn theo Luật An ninh mạng với sự giám sát hạn chế. Ví dụ, Lực lượng đặc nhiệm an ninh mạng không bắt buộc phải tuân theo các quy trình tương tự như các Quy trình tố tụng hình sự để tiến hành kiểm tra hệ thống thông tin hoặc thu thập dữ liệu người dùng và không bắt buộc phải giữ bí mật thông tin mà họ đang thu thập.
Theo Luật An ninh mạng 2018, hậu quả của việc vi phạm luật về an ninh mạng có thể ở các hình thức kỷ luật, trách nhiệm hành chính hoặc hình sự.
Kết luận
Các yêu cầu của Luật An ninh mạng có thể làm tăng chi phí, trách nhiệm tuân thủ và đặt ra một vấn đề nan giải cho các nhà cung cấp dịch vụ giữa tuân thủ và bảo vệ dữ liệu khách hàng. Nhiều yêu cầu trong Luật An ninh mạng sẽ phải chịu sự hướng dẫn thêm của Chính phủ. Do đó, các tổ chức và cá nhân bị ảnh hưởng nên tiếp tục tuân theo các hướng dẫn luật an ninh mạng để chấp hành tốt nhất.