Các hành vi bị nghiêm cấm trong luật được quy định rõ ràng, theo từng nhóm, lĩnh vực cụ thể, bao gồm các hành vi sử dụng không gian mạng chống nhà nước, tung tin, tuyên truyền, hoang báo thông tin sai sự thật, bôi nhọ, xúc phạm danh dự nhân phẩm, làm nhục, vu khống gây thiệt hại đến quyền và lợi ích hợp pháp của tổ chức cá nhân, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, gây mất ổn định về an ninh, trật tự (vụ việc gây rối ở Bình Thuận ngày 10, 11.6.2018 là điển hình), bịa đặt trong lĩnh vực tài chính, tiền tệ…; thực hiện tấn công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng, chống lại hoặc cản trở hoạt động của lực lượng bảo vệ an ninh mạng.

Luật cũng quy định cấm việc lợi dụng hoặc lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc để trục lợi. Quy định này giúp cho người sử dụng có thể dễ dàng nhận biết các hành vi bị pháp luật nghiêm cấm khi tham gia không gian mạng, đồng thời là quy định cứng để chế tài, bảo đảm cho hoạt động của các lực lượng chuyên trách thực hiện nhiệm vụ được giao. Mặc dù một số nội dung trong hành vi bị nghiêm cấm đã được quy định trong bộ luật Hình sự, luật Báo chí hoặc các văn bản quy phạm pháp luật khác, nhưng do không gian mạng vô cùng rộng lớn, phản ánh đầy đủ các hoạt động của xã hội nên việc cụ thể các hành vi là cần thiết.

Luật tập trung quy định về phòng ngừa, đấu tranh, xử lý các hành vi vi phạm pháp luật về an ninh mạng, không quy định về điều kiện kinh doanh doanh nghiệp (DN) và nhất là DN khởi nghiệp, các nội dung liên quan tới DN phải bảo đảm chất lượng sản phẩm cũng đã được lược bỏ. Do đó, không tạo ra giấy phép con hoặc thủ tục hành chính có thể cản trở hoạt động của DN hoặc khiến DN không thể hoạt động.

Lần đầu quy định về hệ thống thông tin quan trọng về an ninh quốc gia

Trước khi luật An ninh mạng quy định về hệ thống thông tin quan trọng về an ninh quốc gia, chưa một văn bản luật nào quy định nội dung này, khiến đối tượng này chưa được bảo vệ một cách tương xứng, điển hình là việc hệ thống thông tin tại sân bay Tân Sơn Nhất, Nội Bài bị tấn công mạng năm 2016.

Việc xác định và ban hành Danh mục hệ thống thông tin quan trọng về an ninh quốc gia là cần thiết, vì đây là những hệ thống có tầm quan trọng đặc biệt đối với an ninh quốc gia, trật tự an toàn xã hội, cần tập trung nguồn lực và các biện pháp bảo vệ tương xứng. Qua thực tiễn bảo vệ an ninh quốc gia, những hệ thống này luôn là mục tiêu bị tấn công của hoạt động gián điệp mạng, khủng bố mạng, tấn công mạng. Do đó, hệ thống thông tin quan trọng về an ninh quốc gia có thể bao gồm hệ thống thông tin quan trọng quốc gia trong luật An toàn thông tin mạng và luật An ninh mạng đã quy định các nội dung để bảo đảm vai trò chủ trì, phối hợp của các bộ, ngành liên quan, không dẫn tới tình trạng một hệ thống thông tin bị quản lý bởi hai cơ quan khác nhau.

Quy định phù hợp với thông lệ quốc tế

Bảo vệ dữ liệu người dùng VN là một trong những quy định trọng tâm của luật được nêu tại khoản 3 điều 26, quy định DN trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại VN có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại VN tạo ra phải lưu trữ dữ liệu này tại VN trong thời gian theo quy định của Chính phủ. Các DN nước ngoài cũng phải đặt chi nhánh hoặc văn phòng đại diện tại VN. Đây không phải là quy định mới, bởi trước đó, năm 2013, Nghị định 72/2013/NĐ-CP đã quy định tại khoản 2 điều 24, khoản 8 điều 25 yêu cầu một số DN nước ngoài phải có ít nhất 1 hệ thống máy chủ đặt tại VN.

Ảnh: Mashable Văn phòng của Facebook ở Singapore



Đối tượng bị điều chỉnh bởi quy định này đã được thu hẹp hơn rất nhiều so với các bản dự thảo trước, chỉ áp dụng với một loại hình đối tượng rất cụ thể và rất hẹp là DN cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại VN. Tuy nhiên, không phải tất cả các DN này đều phải thực hiện quy định trên, mà chỉ áp dụng đối với các DN có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu người dùng VN, bao gồm 3 loại dữ liệu cụ thể được nêu trong luật. Khi luật được ban hành, Chính phủ sẽ quy định cụ thể DN nào cần phải thực hiện lưu trữ dữ liệu và đặt văn phòng đại diện tại VN.

Quy định như trên là phù hợp với thông lệ quốc tế, bởi đã có hơn 18 quốc gia trên thế giới có văn bản luật quy định yêu cầu các DN nước ngoài phải lưu trữ dữ liệu quan trọng ở trong phạm vi lãnh thổ quốc gia như như Mỹ, Canada, Liên bang Nga, Đức, Trung Quốc… Quy định như trên cũng phù hợp với khả năng của DN vì Google đã đặt khoảng 70 văn phòng đại diện, Facebook khoảng 80 văn phòng đại diện tại các quốc gia trên thế giới. Pháp luật nước ta, trong đó có luật Thương mại năm 2005, luật Quản lý ngoại thương năm 2017 và các văn bản hướng dẫn thi hành đã quy định các tổ chức xúc tiến thương mại nước ngoài phải lập văn phòng đại diện tại VN. Qua rà soát các cam kết quốc tế mà nước ta tham gia, bao gồm các điều ước liên quan WTO và CPTPP, thấy việc yêu cầu lưu trữ dữ liệu như trên không vi phạm các cam kết quốc tế này. Thiết nghĩ, nếu vi phạm, 18 quốc gia nêu trên sẽ không thể ban hành các quy định yêu cầu lưu trữ dữ liệu trong nước. Hiện nay, Google và Facebook đã đặt gần 2.000 máy chủ ở trong nước mà không khai báo với cơ quan quản lý, điều này cho thấy việc lưu trữ dữ liệu không phải là vấn đề khó đối với các DN này.

Có thể thấy rằng, trong tình hình hiện nay, việc ban hành luật An ninh mạng để bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân là hết sức cần thiết, tạo môi trường lành mạnh, bình đẳng cho tất cả các tổ chức, cá nhân cùng tham gia hoạt động.