Bộ Công an lấy ý kiến góp ý dự thảo nghị định quy định về an ninh mạng
Bộ Công an đang tổ chức lấy ý kiến góp ý của các cơ quan, tổ chức và cá nhân đối với dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng.
Theo đó, dự thảo nghị định quy định chi tiết một số điều của Luật An ninh mạng về các biện pháp bảo vệ an ninh mạng: Thẩm định an ninh mạng, đánh giá điều kiện an ninh mạng, kiểm tra an ninh mạng, giám sát an ninh mạng; ứng phó, khắc phục sự cố an ninh mạng; sử dụng mật mã để bảo vệ thông tin mạng; thu thập dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng (điểm a, b, c, d, đ, g và l Điều 5); quy định trình tự, thủ tục kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức không thuộc danh mục hệ thống thông tin quan trọng về an ninh quốc gia (khoản 5, Điều 12); quy định chi tiết về việc lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam đối với doanh nghiệp nước ngoài (khoản 4 Điều 25); nội dung và trách nhiệm bảo đảm an ninh dữ liệu (khoản 3 Điều 26); lực lượng bảo vệ an ninh mạng và quy định về phối hợp giữa các lực lượng bảo vệ an ninh mạng (khoản 2 Điều 30); chuẩn kiến thức, kỹ năng chuyên sâu về an ninh mạng; chương trình, nội dung chuyên sâu về an ninh mạng; chương trình nội dung, việc chứng nhận tập huấn kiến thức, kỹ năng chuyên sâu về an ninh mạng (khoản 5 Điều 34).
Dự thảo nghị định được xây dựng theo hướng kế thừa có chọn lọc các quy định còn phù hợp của Nghị định số 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng, đồng thời sửa đổi, bổ sung, lược bỏ nhiều nội dung nhằm bảo đảm phù hợp với Luật An ninh mạng và yêu cầu hoàn thiện thể chế trong giai đoạn hiện nay.
Về lực lượng bảo vệ an ninh mạng, so với Nghị định số 53/2022/NĐ-CP, dự thảo nghị định đã có bước hoàn thiện quan trọng về mô hình tổ chức và cơ chế vận hành của lực lượng bảo vệ an ninh mạng. Nếu như Nghị định số 53/2022/NĐ-CP chủ yếu dừng ở việc xác định lực lượng chuyên trách và trách nhiệm chung của các cơ quan, tổ chức thì dự thảo đã quy định cụ thể hơn về hệ thống lực lượng bảo vệ an ninh mạng từ Trung ương đến địa phương, làm rõ vai trò, phạm vi nhiệm vụ của lực lượng thuộc Bộ Công an, Bộ Quốc phòng và lực lượng bảo vệ an ninh mạng tại các bộ, ngành, chủ quản hệ thống thông tin. Đồng thời, dự thảo bổ sung cơ chế huy động lực lượng, phương tiện, chuyên gia trong các tình huống nguy hiểm về an ninh mạng, qua đó đáp ứng yêu cầu xử lý các sự cố an ninh mạng có quy mô lớn, tính chất phức tạp, liên ngành mà khuôn khổ pháp lý trước đây chưa điều chỉnh đầy đủ.
Về bảo đảm an ninh thông tin mạng, dự thảo nghị định đã mở rộng và cụ thể hóa đáng kể các quy định về bảo đảm an ninh thông tin mạng so với Nghị định số 53/2022/NĐ-CP. Trong khi quy định trước đây chủ yếu tập trung vào nghĩa vụ lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam thì dự thảo đã tiếp cận toàn diện hơn, bao quát cả nguyên tắc bảo đảm an ninh thông tin mạng, trách nhiệm xác thực người sử dụng dịch vụ, nghĩa vụ cung cấp thông tin phục vụ công tác bảo vệ an ninh mạng và các biện pháp ngăn chặn, xử lý thông tin, dịch vụ, ứng dụng vi phạm pháp luật. Việc quy định cụ thể về phạm vi, thời hạn, trình tự thực hiện các nghĩa vụ này góp phần nâng cao tính minh bạch, khả thi và bảo đảm sự cân bằng giữa yêu cầu bảo vệ an ninh quốc gia với quyền và lợi ích hợp pháp của tổ chức, cá nhân trên không gian mạng.
Một điểm mới có tính nền tảng của dự thảo nghị định là việc hình thành khuôn khổ pháp lý tương đối đầy đủ về bảo đảm an ninh dữ liệu, nội dung chưa được quy định một cách hệ thống trong Nghị định số 53/2022/NĐ-CP. Dự thảo đã chuyển từ cách tiếp cận phân tán sang tiếp cận theo vòng đời dữ liệu, quy định rõ trách nhiệm bảo đảm an ninh dữ liệu xuyên suốt từ khâu thu thập, xử lý, lưu trữ, khai thác, chia sẻ đến tiêu hủy dữ liệu. Đồng thời, dự thảo phân định yêu cầu bảo vệ tương ứng đối với dữ liệu cốt lõi và dữ liệu quan trọng, bổ sung các quy định về sử dụng mật mã, kiểm soát nhân sự, quy trình quản trị dữ liệu, đánh giá rủi ro an ninh dữ liệu định kỳ, kiểm soát an ninh đối với việc chuyển dữ liệu ra nước ngoài và xử lý sự cố an ninh dữ liệu. Các quy định này nhằm đáp ứng yêu cầu thực tiễn trong bối cảnh dữ liệu trở thành nguồn lực quan trọng của nền kinh tế số và tiềm ẩn nhiều nguy cơ mất an ninh, an toàn.
Liên quan đến quản lý định danh địa chỉ IP, so với Nghị định số 53/2022/NĐ-CP, dự thảo nghị định đã bổ sung quy định mới về quản lý, định danh địa chỉ IP trên không gian mạng, khắc phục khoảng trống pháp lý trong công tác truy nguyên, xác định chủ thể vi phạm trên môi trường số. Theo đó, dự thảo làm rõ nguyên tắc định danh địa chỉ IP, yêu cầu kỹ thuật và trách nhiệm của doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet trong việc ghi nhận, lưu trữ, quản lý thông tin định danh IP gắn với thông tin thuê bao, địa điểm và thời điểm sử dụng dịch vụ. Quy định này tạo cơ sở pháp lý quan trọng để nâng cao hiệu quả quản lý nhà nước, phục vụ công tác phòng ngừa, phát hiện, điều tra, xử lý các hành vi vi phạm pháp luật trên không gian mạng, đồng thời bảo đảm tính chính xác, liên tục và khả năng truy nguyên của dữ liệu kỹ thuật.
Dự thảo nghị định cũng đã bổ sung quy định về tập huấn, bồi dưỡng kiến thức, kỹ năng chuyên sâu về an ninh mạng, nội dung chưa được quy định cụ thể trong Nghị định số 53/2022/NĐ-CP. Việc bổ sung nội dung này xuất phát từ yêu cầu thực tiễn khi các mối đe dọa an ninh mạng ngày càng đa dạng, tinh vi, vượt ra ngoài khả năng ứng phó nếu chỉ dựa vào quy định pháp luật mà thiếu đội ngũ nhân lực được đào tạo bài bản. Dự thảo tạo cơ sở pháp lý cho việc tổ chức các chương trình đào tạo, tập huấn thường xuyên, chuyên sâu đối với lực lượng bảo vệ an ninh mạng và các chủ thể có liên quan, qua đó góp phần nâng cao năng lực phòng ngừa, phát hiện, xử lý sự cố an ninh mạng, bảo đảm hiệu quả thực thi pháp luật về an ninh mạng trong thực tiễn.