Các sự cố về mất an toàn thông tin (ATTT) đã tăng lên nhanh chóng trong thời gian qua, kéo theo những thiệt hại về vật chất và phi vật chất, ảnh hưởng lớn đến hoạt động của các cơ quan nhà nước, doanh nghiệp và người dân, gây bức xúc, lo lắng cho xã hội. Do đó, nguy cơ mất ATTT đã trở thành thách thức lớn đối với mỗi quốc gia, trong đó có Việt Nam.

Tại kỳ họp thứ 9, Quốc hội khóa XIII, sáng 4/6, trình bày Tờ trình dự án Luật An toàn thông tin trước Quốc hội, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Bắc Son cho biết, Việt Nam cũng như các nước trên thế giới đang đứng trước các mối đe dọa từ các tội phạm trên môi trường mạng. Trong khi đó, hành lang pháp lý về an toàn thông tin còn thiếu, không đồng bộ và chưa theo kịp với hiện trạng phát triển xã hội cũng như hội nhập quốc tế. Việt Nam chưa có một văn bản ở tầm luật để điều chỉnh toàn diện hoạt động an toàn thông tin trên mạng, bảo đảm một môi trường mạng an toàn phục vụ cho sự nghiệp công nghiệp hóa, hiện đại hóa đất nước.

Việc xây dựng và ban hành Luật An toàn thông tin sẽ góp phần hoàn thiện cơ sở pháp lý về an toàn thông tin; phát huy các nguồn lực của đất nước để bảo đảm an toàn thông tin, phát triển lĩnh vực an toàn thông tin; bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động an toàn thông tin; đẩy mạnh công tác giám sát, phòng, chống nguy cơ mất an toàn thông tin, đảm bảo hiệu quả công tác thực thi quản lý nhà nước; mở rộng hợp tác quốc tế về an toàn thông tin.

Dự thảo Luật An toàn thông tin trình Quốc hội xem xét, cho ý kiến tại kỳ họp lần này gồm 9 chương, 56 điều. Dự thảo Luật quy định về hoạt động an toàn thông tin, bao gồm: bảo đảm an toàn thông tin trên mạng; bảo vệ thông tin cá nhân trên mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin; kinh doanh trong lĩnh vực an toàn thông tin; phát triển nguồn nhân lực an toàn thông tin; quản lý nhà nước về an toàn thông tin; quyền và nghĩa vụ của tổ chức, cá nhân tham gia hoạt động an toàn thông tin.

Theo đó, dự thảo Luật quy định, cá nhân phải có ý thức tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng; tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo vệ an toàn thông tin đối với thông tin cá nhân do mình xử lý; việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định của pháp luật liên quan. Ngoài ra việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh, trật tự an toàn xã hội và chỉ để phục vụ nhu cầu sử dụng cá nhân đơn thuần không thuộc phạm vi điều chỉnh của luật này.

Đối với việc thu thập và sử dụng thông tin cá nhân, trừ trường hợp pháp luật có quy định khác, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm: Thông báo cho chủ thể thông tin cá nhân biết để xin ý kiến chủ thể thông tin cá nhân về phạm vi, mục đích cụ thể của việc thu thập và sử dụng thông tin cá nhân trước khi tiến hành thu thập thông tin; thông báo cho

chủ thể thông tin cá nhân biết để xin ý kiến trước khi sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu khi tiến hành thu thập thông tin; không được cung cấp, chia sẻ, phát tán thông tin cá nhân thu thập, tiếp cận hoặc kiểm soát được cho bên thứ ba trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc có yêu cầu của cơ quan có thẩm quyền…

Dự thảo Luật quy định tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng các biện pháp ngăn chặn tiết lộ, hủy, sửa đổi, mất thông tin cá nhân người dùng nhằm bảo đảm an toàn thông tin cá nhân: Xác định trách nhiệm quản lý an toàn thông tin cá nhân người dùng đối với các phòng ban khác nhau và với chi nhánh; xây dựng lưu trình công tác và chế độ quản lý an toàn đối với việc thu thập, sử dụng thông tin cá nhân người dùng và hoạt động liên quan; thực hiện quản lý quyền hạn đối với nhân viên và đại lý, thực hiện thẩm tra đối với việc xuất, sao chép, hủy thông tin, đồng thời áp dụng biện pháp ngăn chặn lộ mật; bảo quản riêng các phương tiện giấy, quang, từ ghi thông tin cá nhân người dùng, đồng thời áp dụng biện pháp lưu giữ an toàn tương ứng.

Bên cạnh đó, thực hiện thẩm tra truy nhập hệ thống thông tin lưu giữ thông tin cá nhân người dùng, đồng thời áp dụng biện pháp ngăn chặn thâm nhập, mã độc; ghi thông tin về nhân viên, thời gian, địa điểm tiến hành thao tác đối với thông tin cá nhân người dùng; căn cứ vào quy định của cơ quan quản lý an toàn thông tin triển khai công tác bảo vệ an toàn mạng thông tin.

Luật này cũng quy định trách nhiệm của cơ quan quản lý Nhà nước trong việc bảo vệ thông tin cá nhân trên mạng gồm: Định kỳ tổ chức thanh tra, kiểm tra các tổ chức, doanh nghiệp xử lý thông tin cá nhân; thiết lập kênh thông tin trực tuyến để tiếp nhận phản ánh của người dân về vấn đề liên quan đến bảo vệ thông tin cá nhân; xây dựng và ban hành quy định, hướng dẫn cụ thể về bảo vệ thông tin cá nhân trên mạng.

Dự thảo Luật này cũng nêu rõ: Việc gửi thông tin trên mạng phải bảo đảm không được giả mạo, làm sai lệch nguồn gốc gửi thông tin; không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa có sự đồng ý, yêu cầu của người nhận.

Để đảm bảo cho người dùng dự thảo cũng đã quy định trách nhiệm của doanh nghiệp cung cấp dịch vụ viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin gửi thông tin phải tuân thủ pháp luật về lưu trữ, bảo vệ thông tin cá nhân, thông tin của khách hàng, áp dụng các biện pháp ngăn chặn thông tin quấy rối khách hàng vi phạm pháp luật và cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết khi có yêu cầu của cơ quan có thẩm quyền.

Về đối tượng áp dụng, dự thảo Luật quy định áp dụng đối với tổ chức, cá nhân Việt Nam; tổ chức, cá nhân nước ngoài tại Việt Nam trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin tại Việt Nam.

Thẩm tra dự án Luật, Chủ nhiệm Ủy ban Khoa học, Công nghệ và Môi trường nhất trí với Tờ trình của Chính phủ về sự cần thiết ban hành Luật an toàn thông tin.

Ủy ban Khoa học, Công nghệ và Môi trường đánh giá trong 56 điều của dự thảo Luật vẫn có tới 11 điều khoản sử dụng cụm từ “theo quy định của pháp luật”, 9 điều khoản giao Chính phủ quy định cụ thể, 5 điều khoản giao cho Bộ Thông tin và Truyền thông quy định hoặc chủ trì phối hợp với các cơ quan khác quy định. Một số thuật ngữ, quy định còn chung chung, khó thực hiện hoặc có thể dẫn đến việc áp dụng, hướng dẫn tùy tiện. Do đó, đề nghị Ban soạn thảo cần tiếp tục nghiên cứu, rà soát, sửa đổi lại các quy định này cho rõ ràng, minh bạch hơn tạo thuận lợi khi thực hiện luật; loại bỏ một số quy định khung, bổ sung vào dự thảo Luật những quy định cụ thể trong các dự thảo Nghị định hướng dẫn và các văn bản dưới luật mà đã được kiểm nghiệm trong thực tiễn (ví dụ như vấn đề mật mã dân sự đã được quy định trong Nghị định số 73/NĐ-CP ngày 08/5/2007 của Chính phủ…) để có thể áp dụng ngay, bảo đảm tính khả thi của Luật.

Đánh giá phạm vi thông tin cần được pháp luật bảo đảm an toàn là rất rộng, không chỉ là thông tin được số hóa, được trao đổi thông qua các phương tiện điện tử hay mạng Internet, Ủy ban Khoa học, Công nghệ và Môi trường cho rằng phần lớn nội dung của dự thảo Luật chỉ tập trung quy định về bảo đảm an toàn thông tin trên mạng (bao gồm mạng viễn thông, internet và mạng máy tính).

Dự thảo Luật không điều chỉnh về nội dung thông tin mà chỉ chỉ tập trung về các vấn đề kỹ thuật nhằm bảo đảm quá trình truyền tải thông tin không bị sửa đổi, tiết lộ, gián đoạn, thông tin được bảo đảm nguyên vẹn. Do vậy, Ủy ban Khoa học, Công nghệ và Môi trường đề nghị đổi tên gọi của dự thảo Luật thành Luật An toàn thông tin mạng để bảo đảm thống nhất với phạm vi điều chỉnh của Luật. Đồng thời, Ban soạn thảo cần làm rõ mối quan hệ giữa an toàn thông tin với an ninh thông tin; bổ sung một số nội dung liên quan giữa bảo đảm an toàn thông tin phục vụ phát triển kinh tế - xã hội với an ninh thông tin trong thực hiện nhiệm vụ bảo đảm an ninh, quốc phòng theo tinh thần của Nghị quyết IPU-132 về chiến tranh mạng.

Về bảo vệ thông tin cá nhân trên mạng (Chương III), báo cáo Ủy ban Khoa học, Công nghệ và Môi trường nêu rõ: Theo khoản 15, Điều 3 của dự thảo Luật, thông tin cá nhân là “thông tin gắn với việc xác định rõ ràng danh tính, nhân thân của một con người cụ thể”. Bảo vệ thông tin, dữ liệu cá nhân là một vấn đề rất phức tạp nhưng lại chỉ được quy định trong 5 điều của dự thảo Luật (từ Điều 28 đến Điều 32 Chương III). Hiện nay, có rất nhiều quốc gia đã ban hành một đạo luật riêng về bảo vệ dữ liệu cá nhân như: Pháp, Ý, Hà Lan, Nhật Bản, Singapore, Malaysia, Philippin, Ấn Độ, Hàn Quốc…

Ủy ban Khoa học, Công nghệ và Môi trường cho rằng quy định về bảo vệ thông tin cá nhân trên mạng phải là một nội dung cơ bản, quan trọng trong Luật này. Nhưng quy định trong dự thảo Luật có dung lượng và nội hàm còn nhiều hạn chế. Cả giải thích thuật ngữ cũng như nội dung quy định tại Chương này chưa có sự phân biệt trong việc thu thập, xử lý, sử dụng các thông tin do cá nhân thực hiện khai báo theo yêu cầu của tổ chức cung cấp dịch vụ (thu thập thông tin) với các thông tin cá nhân do cá nhân chủ động đưa lên mạng (ví dụ tên tuổi, địa chỉ, số điện thoại, hình ảnh…), do vậy chưa thể hiện được một cách toàn diện trách nhiệm của tất cả các bên liên quan trong việc bảo vệ, bảo đảm an toàn đối với từng loại thông tin này. Dự thảo cũng chưa chỉ ra được những hành vi bị nghiêm cấm trong việc thu thập, sử dụng thông tin cá nhân cũng như chế tài xử lý đối với các hành vi vi phạm trong lĩnh vực này.

Hơn nữa, theo các quy định liên quan trong dự thảo Luật thì có thể hiểu các quy định này chỉ tập trung vào việc bảo vệ các thông tin cá nhân trên mạng được nắm giữ và xử lý bởi các tổ chức, cá nhân với mục đích thương mại, kinh doanh. Còn đối với việc thu thập, sử dụng thông tin cá nhân nhằm các mục đích khác hoặc do các cơ quan nhà nước nắm giữ, xử lý lại chưa rõ cơ chế bảo vệ như thế nào.

Với những phân tích trên, Ủy ban Khoa học, Công nghệ và Môi trường đề nghị Ban soạn thảo nghiên cứu bổ sung các quy định có tính khả thi hơn về bảo vệ thông tin cá nhân trên cơ sở Bộ luật dân sự (sửa đổi), kinh nghiệm của một số quốc gia trong việc xây dựng luật về bảo vệ dữ liệu cá nhân và xem xét việc đưa chương này thành một mục của Chương II...