Trước khi Quốc hội biểu quyết thông qua dự Luật, Ủy ban Thường vụ Quốc hội (UBTVQH) đã có báo cáo giải trình, tiếp thu chỉnh lý dự Luật. Theo đó, ngoài phạm vi điều chỉnh của dự án luật vẫn bao gồm cả an ninh quốc gia và trật tự an toàn xã hội, còn một số nội dung khác được nêu trong Báo cáo.
Về kiểm tra an ninh mạng đối với hệ thống thông tin của các cơ quan, tổ chức (điều 24), UBTVQH đã tiếp thu ý kiến các đại biểu, cân nhắc trường hợp kiểm tra khi có yêu cầu quản lý nhà nước về an ninh mạng cho chặt chẽ, cụ thể hơn, tránh lạm dụng.
Theo đó, điều 24 quy định, hệ thống thông tin của cơ quan, tổ chức không thuộc danh mục hệ thống thông tin quan trọng về an ninh quốc gia sẽ bị kiểm tra trong 2 trường hợp:
"Khi có hành vi vi phạm pháp luật về an ninh mạng xâm phạm an ninh quốc gia hoặc gây tổn hại nghiêm trọng trật tự, an toàn xã hội"; và "Khi có đề nghị của chủ quản hệ thống thông tin".
Đối tượng kiểm tra an ninh mạng bao gồm: Hệ thống phần cứng, phần mềm, thiết bị số được sử dụng trong hệ thống thông tin; thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin; các biện pháp bảo vệ bí mật nhà nước, phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật.
Dự thảo cũng quy định, trước thời điểm tiến hành kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo bằng văn bản cho chủ quản hệ thống thông tin ít nhất 12 giờ.
Kết quả kiểm tra an ninh mạng được bảo mật theo quy định của pháp luật.
Dự luật giao Chính phủ quy định trình tự, thủ tục kiểm tra an ninh mạng quy định tại điều này.
Về bảo đảm an ninh thông tin trên không gian mạng (điều 26), có ý kiến đề nghị lược bỏ quy định trách nhiệm “thiết lập cơ chế xác thực thông tin” hoặc bổ sung “yêu cầu cung cấp số định danh cá nhân để xác thực” tại điểm a khoản 2; có ý kiến cho rằng, quy định “cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng” tại điểm a khoản 2 dễ bị lạm dụng, nên đề nghị quy định rõ trường hợp áp dụng.
Tiếp thu ý kiến này, UBTVQH đã chỉ đạo chỉnh lý quy định trách nhiệm của cơ quan, tổ chức là “xác thực thông tin khi người dùng đăng ký tài khoản số”, còn xây dựng cơ chế xác thực thông tin là trách nhiệm của Bộ Công an.
Bên cạnh đó, UBTVQH cho rằng "quy định rõ trường cung cấp thông tin tại điểm a khoản 2 là để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng và chỉnh sửa quy định lưu vết thành lưu nhật ký hệ thống để phục vụ điều tra, xử lý vi phạm tại điểm b khoản 2 cho rõ ràng, khả thi, tránh lạm dụng trong thực hiện.
Các lực lượng này nếu lợi dụng, lạm dụng quyền hạn đã bị nghiêm cấm (tại khoản 5, điều 8) thì tùy theo tính chất, mức độ vi phạm sẽ bị xử lý nghiêm minh và nếu gây thiệt hại phải bồi thường như đã thể hiện tại khoản 7, điều 4 dự thảo.
Theo đó, khoản 7 này quy định “mọi hành vi vi phạm pháp luật về an ninh mạng phải được xử lý kịp thời, nghiêm minh”.
Một số ý kiến còn băn khoăn với quy định tại điểm d khoản 2, quy định doanh nghiệp phải lưu trữ dữ liệu ở Việt Nam, vì cho rằng quy định này không bảo đảm tính khả thi, làm gia tăng chi phí của doanh nghiệp nước ngoài, gây khó khăn cho các hoạt động tiếp cận thông tin và trái với các cam kết quốc tế mà Việt Nam là thành viên.
Theo đó, UBTVQH cho rằng, các Hiệp định cơ bản của WTO và Hiệp định CPTPP đều có điều khoản ngoại lệ về an ninh; do đó, Việt Nam có quyền yêu cầu các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng phải lưu trữ tại Việt Nam đối với dữ liệu quan trọng của người sử dụng dịch vụ tại Việt Nam; đồng thời, yêu cầu các doanh nghiệp nước ngoài tham gia các hoạt động này phải đặt trụ sở hoặc văn phòng đại diện tại Việt Nam.
Đến nay, đã có hơn 18 quốc gia thành viên của WTO (trong đó có Hoa Kỳ, Canada, Úc, Đức, Pháp) quy định bắt buộc phải lưu trữ dữ liệu trong lãnh thổ quốc gia, theo UBTVQH.
Hiện nay, Google và Facebook đang lưu trữ dữ liệu của cơ quan, tổ chức, cá nhân Việt Nam tại trung tâm dữ liệu đặt tại Hồng Kông và Singapore. Nếu quy định của luật này có hiệu lực, các doanh nghiệp này phải dịch chuyển đám mây điện toán (máy chủ ảo) về Việt Nam để mở trung tâm dữ liệu tại Việt Nam là hoàn toàn khả thi.
"Trường hợp trung tâm dữ liệu được đặt ở Việt Nam tuy có gia tăng thêm chi phí của doanh nghiệp, nhưng là quy định cần thiết phải đáp ứng yêu cầu về an ninh mạng của nước ta. Mặt khác, hoạt động kinh doanh của doanh nghiệp nước ngoài cũng như hoạt động sử dụng dịch vụ của các cơ quan, tổ chức, cá nhân trong nước cũng có điểm thuận lợi hơn; nếu gặp sự cố gián đoạn sẽ được xử lý nhanh hơn; cơ quan chức năng sẽ quản lý tốt hơn hoạt động kinh doanh của các doanh nghiệp này; khi có hành vi xâm phạm an ninh mạng, việc phối hợp xử lý thông tin và hành vi vi phạm sẽ hiệu quả và khả thi hơn", báo cáo của UBTVQH cho biết.
Cũng theo báo cáo giải trình, tiếp thu, căn cứ quy định của luật này và tình hình thực tiễn, Chính phủ quy định phạm vi doanh nghiệp cụ thể phải áp dụng quy định này, nên sẽ cơ bản không gây cản trở lưu thông dòng chảy dữ liệu, không ảnh hưởng đến hoạt động bình thường của các cơ quan, tổ chức, doanh nghiệp khác, kể cả doanh nghiệp khởi nghiệp.
Có ý kiến đề nghị thu hẹp và cụ thế hóa các loại dữ liệu cần lưu trữ tại Việt Nam, UBTVQH đã chỉ đạo lược bỏ quy định lưu trữ dữ liệu quan trọng liên quan đến an ninh quốc gia; đồng thời, cụ thể hóa các loại dữ liệu quan trọng của người sử dụng dịch vụ tại Việt Nam.
Theo đó, khoản 3 dự luật quy định “Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ”. “Doanh nghiệp nước ngoài quy định tại khoản này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam”. Chính phủ quy định chi tiết khoản này.
Qua lấy phiếu các vị đại biểu về điều khoản này, có 358/437 đại biểu đồng ý với quy định của điều 26.
Bình luận