Theo đánh giá của giới chuyên gia, Luật An ninh mạng đang được trình Quốc hội hiện nay còn nhiều khái niệm thiếu cụ thể, không rõ ràng. Trong đó, khái niệm trọng tâm nhất liên quan đến đối tượng điều chỉnh và chịu tác động của luật là "hệ thống thông tin quan trọng về an ninh quốc gia" chỉ chung chung chứ chưa cụ thể.
Luật An ninh mạng cần cụ thể hóa tạo điều kiện thuận lợi cho cả cơ quan quản lý và doanh nghiệp trong thực thi. (Ảnh minh họa: KT). |
Theo Hiệp hội An toàn thông tin Việt Nam (VNISA), quyền và nghĩa vụ pháp lý cụ thể của doanh nghiệp gắn bó chặt chẽ với định nghĩa cụ thể của khái niệm này. Do đó, khái niệm này phải được cụ thể hóa hay ngay trong luật để từ đó có xác định rõ ràng phạm vi và đối tượng điều chỉnh, giúp xác định được tổ chức, cá nhân sở hữu hệ thống thông tin nào sẽ bị tác động và tác động như thế nào.
Ví như, hệ thống tài chính - tiền tệ đương nhiên là thông tin quan trọng của an ninh quốc gia. Thế nhưng, hệ thống này lại có vô số các đầu mục công việc, trong đó có fintech - đang được coi là nền tảng phát triển và tái định hình ngành tài chính - cần có sự tham gia rất lớn của doanh nghiệp công nghệ, bao gồm cả các start-up về công nghệ.
Nhiều doanh nghiệp cho biết, nếu khái niệm trọng tâm của Luật không rõ ràng, sẽ là rào cản hạn chế các doanh nghiệp công nghệ, đặc biệt là các start-up về công nghệ, bởi lẽ họ sẽ không biết chính xác công nghệ mình làm có bị rơi vào đối tượng tác động của Luật An ninh mạng hay không?
Thêm vào đó, nếu khái niệm "hệ thống thông tin quan trọng về an ninh quốc gia" không được cụ thể hóa, khi Luật An ninh mạng được thực thi, trong lĩnh vực bảo vệ thông tin sẽ cùng tồn tại hai hệ thống phân loại đối với các hệ thống thông tin quan trọng đối với quốc gia.
"Việc này sẽ gây khó khăn cho chủ quản hệ thống thông tin trong việc xác định và đưa ra biện pháp bảo vệ hệ thống thông tin, gây chồng chéo trong quản lý nhà nước giữa Bộ Thông tin & Truyền thông (Bộ TT&TT) và Bộ Công an. Đồng thời, phải thực hiện quy định về thẩm định, kiểm tra, đánh giá, giám sát… theo quy định của cả hai luật", VNISA lưu ý.
Chủ quản hệ thống thông tin sẽ chịu sự quản lý của cả Bộ Công an lẫn Bộ Thông tin và Truyền thông. (Ảnh: KT). |
Theo Hiệp hội Điện toán đám mây châu Á, cần phân loại hệ thống thông tin theo cấp độ, để có quy định và chế tài bảo vệ thông tin an toàn hợp lý, hài hòa. Kèm theo đó, danh mục hệ thống thông tin quan trọng về an ninh quốc gia cũng phải quy định cụ thể.
Bà Lim May Ann – Giám đốc điều hành Hiệp hội Điện toán đám mây châu Á gợi ý, có thể chia dữ liệu thành 3 mức độ. Mức 1 là dữ liệu an ninh thấp để cộng đồng, thậm chí các quốc gia khác cũng có thể tiếp cận.
Mức 2 là các dữ liệu có mức độ an ninh trung bình, nếu bị rò rỉ có thể ảnh hưởng nghiêm trọng tới một tổ chức, hay doanh nghiệp nào đó. Còn mức 3 là các dữ liệu có tính an ninh, bảo mật cao nhất. Trong trường hợp bị rò rỉ, thậm chí có thể gây ra thảm họa nào đó.
Tuy nhiên, theo kinh nghiệm của nhiều nước trên thế giới, bà Bà Lim May Ann cho rằng dù phân cấp dữ liệu như thế nào, điều quan trọng vẫn là người sử dụng phải có ý thức tự bảo vệ mình, bảo vệ tổ chức, doanh nghiệp của mình.
Ông Nguyễn Thế Trung, Tổng Giám đốc Công ty cổ phần Công nghệ DTT. |
"Cần phân loại thông tin thành các loại tài liệu 1, 2, 3… Trong đó, ví dụ như tài liệu loại 1 là những thông tin đặc biệt quan trọng, thậm chí phải được bảo mật mức độ cao thì vẫn bắt buộc dùng dấu, chữ ký “tươi”. Tài liệu loại 2 có thể là loại vẫn dùng dấu nhưng có thể cho phép chữ ký điện tử và dùng tương đương. Loại 3 là những tài liệu có thể công khai... Có như vậy, doanh nghiệp mới có cơ sở để thực hiện", ông Nguyễn Thế Trung kiến nghị./.Luật An ninh mạng: Tránh tạo cớ “đẻ” thêm “giấy phép con“
Luật An ninh mạng: “Địa phương hóa” dữ liệu là không thực tế