Góp ý Dự thảo Nghị định hướng dẫn Luật An ninh mạng

Hội Truyền thông số Việt Nam (VDCA) vừa gửi đến Bộ Công an văn bản Góp ý Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng.Có nên dùng nhiều biện pháp quản lýmang tính tiền kiểm?

Trước tiên, VDCA khẳng định luôn ủng hộ nỗ lực của Chính phủ trong việc xây dựng khung pháp lý về an ninh mạng và an toàn thông tin. “VDCA hoan nghênh cơ quan chủ trì soạn thảo (Bộ Công an) công bố Dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng”.

Ban Thường vụ VDCA cho rằng Dự thảo Nghị định đã nêu rất rõ phạm vi quy định và có nhiều nội dung quy định chi tiết, rõ ràng quyền và trách nhiệm của các bên liên quan trong hoạt động trên mạng.

Tuy nhiên, với mong muốn các quy định tại Dự thảo Nghị định giúp đảm bảo an ninh mạng mà không có thêm thủ tục hành chính không cần thiết, không giúp tăng cường an ninh mạng và làm tăng chi phí cho hoạt động của doanh nghiệp; đặc biệt đối với doanh nghiệp vừa và nhỏ và doanh nghiệp khởi nghiệp, VDCA đưa ra một số góp ý cụ thể để Cơ quan soạn thảo xem xét, cân nhắc.

VDCA cho rằng Dự thảo Nghị định còn đưa ra nhiều biện pháp quản lý mang tính tiền kiểm (thẩm định, kiểm tra, đánh giá, chứng nhận). Việc này sẽ dẫn đến phát sinh thêm các thủ tục hành chính. Cụ thể như tại điều 17, về thẩm định an ninh mạng, hồ sơ thẩm định yêu cầu báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công trước khi phê duyệt – “Tuy nhiên, các hồ sơ này theo quy định của pháp luật về đầu tư chưa hướng dẫn các nội dung về an ninh thông tin. Vậy cơ quan thẩm định sẽ thẩm định nội dung gì ở các hồ sơ này? Việc thẩm định hồ sơ không có tiêu chí, yêu cầu cụ thể sẽ không mang lại hiệu quả”. Tại khoản 2 điểm d Điều 18 quy định việc cấp “Giấy chứng nhận đủ điều kiện an ninh mạng” trước khi đưa hệ thống vào sử dụng, theo VDCA, việc này sẽ dẫn tới một số vấn đề. Trường hợp hệ thống thông tin đủ điều kiện an ninh mạng, vậy khi có sự cố, vấn đề đối với hệ thống thì đơn vị nào là bên chịu trách nhiệm – Bộ Công an hay Chủ quản hệ thống thông tin? Với trường hợp không đủ điều kiện thì lực lượng chuyên trách yêu cầu bổ sung, nâng cấp. Việc bổ sung, nâng cấp liên quan đến đầu tư và không thể thực hiện trong thời gian ngắn. Vậy hệ thống không thể đưa vào hoạt động cho đến khi đủ điều kiện. Việc này không thực tế và không khả thi.

Bên cạnh đó, “hồ sơ đề nghị chứng nhận đủ điều kiện yêu cầu có hồ sơ giải pháp bảo đảm an ninh mạng. Các yêu cầu về điều kiện an ninh mạng còn tương đối chung chung, định tính nhiều, tham chiếu cả các tiêu chuẩn, quy chuẩn về an toàn thông tin mạng nhưng không chỉ ra tiêu chuẩn cụ thể nào. Việc này sẽ rất khó để xác định một hệ thống thế nào là đủ điều kiện an ninh mạng”.

Thêm nữa VDCA cho rằng, về mặt hồ sơ thẩm định và đánh giá là không thống nhất. Yêu cầu về hồ sơ tại Điều 11 là phương án bảo đảm an toàn thông tin, trong khi yêu cầu tại Điều 18 lại là hồ sơ giải pháp bảo đảm an ninh mạng. Như vậy chủ quản hệ thống thông tin phải xây dựng hai hồ sơ khác nhau để thực hiện cùng một nội dung thẩm định hay đánh giá. Do đó việc thẩm định, kiểm tra nên đồng bộ với việc thẩm định Hồ sơ đề xuất cấp độ theo Luật An toàn thông tin để không phát sinh thêm thủ tục hành chính. Các yêu cầu bảo đảm an ninh mạng phải rõ ràng để đánh giá được hệ thống có đủ điều kiện hay không.

Không những thế, việc thẩm định, kiểm tra hồ sơ nên chỉ tập trung đánh giá vào mặt phương án mà không nên đánh giá hệ thống đủ điều kiện hay không.

Ngoài ra, việc kiểm tra, đánh giá bảo đảm an ninh mạng phải thực hiện dựa trên nguyên tắc đánh giá phương án quản lý và giảm thiểu rủi ro của hệ thống trên cơ sở tham khảo kinh nghiệm, tiêu chuẩn, thông lệ quốc tế.

Đức Hoàng