PV: Thưa ông, vì sao thời điểm này Việt Nam cần sửa đổi Luật An ninh mạng?
Luật sư Trương Anh Tú: Thứ nhất, chúng ta đang bước vào giai đoạn mà dữ liệu trở thành “tài sản chiến lược”. Chuyển đổi số diễn ra trong toàn bộ hệ thống từ Chính phủ đến doanh nghiệp, trong khi hai đạo luật hiện hành, Luật ATTT mạng 2015 và Luật An ninh mạng 2018, đã ban hành cách đây 07-10 năm, không còn phù hợp với mô hình dữ liệu và các rủi ro mới.
Thứ hai, dự thảo Luật An ninh mạng (sửa đổi) đang được xây dựng theo hướng hợp nhất hai đạo luật cũ, tạo một hành lang pháp lý thống nhất, tránh chồng chéo và phù hợp các nghị quyết lớn như Nghị quyết 57 về đổi mới sáng tạo, hay Nghị quyết 66 về xây dựng pháp luật cho kỷ nguyên số.
Thứ ba, theo tài liệu soạn thảo, các vụ tấn công mạng, lộ dữ liệu, chiếm đoạt thông tin có thể gây hậu quả “khôn lường”, ảnh hưởng trực tiếp đến an ninh quốc gia trên không gian mạng. Vì vậy, yêu cầu bảo vệ dữ liệu quốc gia, dữ liệu doanh nghiệp, dữ liệu cá nhân đang trở thành trọng tâm.
Ảnh minh họa. Nguồn: Internet.
PV: “An ninh dữ liệu” là điểm mới quan trọng nhất?
Luật sư Trương Anh Tú: Đúng vậy. “An ninh dữ liệu” là trụ cột của dự thảo Luật An ninh mạng (sửa đổi). Trước đây, pháp luật chỉ tập trung vào an toàn hệ thống; còn dự thảo mới nhìn dữ liệu như hạt nhân của chuyển đổi số.
Cần nhấn mạnh rằng dữ liệu không chỉ là dữ liệu cá nhân; nó gồm:
- Dữ liệu tổ chức;
- Dữ liệu hệ thống;
- Dữ liệu trong quá trình truyền tải,dữ liệu hạ tầng;
- Dữ liệu điều hành quốc gia.
Một vụ chiếm đoạt hoặc phá hủy dữ liệu có thể gây ra khủng hoảng tài chính, gián đoạn kinh tế hoặc tấn công mạng có tổ chức. Điều này khiến quản trị dữ liệu doanh nghiệp trong chuyển đổi số phải trở thành yêu cầu bắt buộc, không còn là khuyến nghị.
Tôi cho rằng việc đưa “an ninh dữ liệu” vào điều luật mới là bước đi chiến lược, tiệm cận chuẩn an ninh mạng quốc tế OECD/EU.
PV: Quy định doanh nghiệp phải “định danh địa chỉ IP và cung cấp cho lực lượng chuyên trách” đang được dư luận quan tâm. Quan điểm của ông?
Luật sư Trương Anh Tú: Quan điểm của tôi là hoàn toàn cần thiết.
Hiện nay, khi xảy ra tấn công mạng, việc truy xuất nguồn gốc IP thường rất chậm, tỉ lệ có thông tin thấp. Báo cáo của cơ quan soạn thảo cho thấy lực lượng chức năng “phụ thuộc hoàn toàn vào mức độ phối hợp của doanh nghiệp” và cơ chế xin - cho dẫn tới tiêu cực, độ trễ lớn.
Dự thảo Luật An ninh mạng (sửa đổi) yêu cầu:
- Định danh địa chỉ IP;
- Quản lý tập trung;
- Cung cấp theo API hoặc cơ chế kỹ thuật nhanh.
Đây là bước nâng chuẩn an ninh số, phù hợp thông lệ quốc tế.
Doanh nghiệp không chỉ có nghĩa vụ, mà cũng được bảo vệ khỏi việc bị lợi dụng để thực hiện tội phạm mạng. Trong bối cảnh tấn công mạng có tổ chức, quy định này là nền tảng để điều tra, truy vết và ứng phó.
PV: Quy định “tối thiểu 10% kinh phí CNTT dành cho an ninh mạng” có gây áp lực cho doanh nghiệp?
Luật sư Trương Anh Tú: Thực ra không. Quy định này đã được nêu trong Chỉ thị 14/2019 và nhiều văn bản trước đây. Mức 10% là thông lệ quốc tế.
Doanh nghiệp Việt Nam lâu nay đầu tư mạnh vào hạ tầng nhưng lại đầu tư ít cho an ninh, tạo ra lỗ hổng.
Trong chuyển đổi số, an ninh dữ liệu và quản trị rủi ro phải được coi là chi phí bắt buộc – giống như chi phí bảo trì tòa nhà hay phòng cháy chữa cháy. Nếu không dự phòng, thiệt hại khi bị tấn công mạng có thể lên đến hàng trăm tỉ đồng.
PV: Một quy định khác là: “Người đứng đầu hệ thống thông tin quan trọng phải có chứng chỉ an ninh mạng”. Quy định này có khả thi?
Luật sư Trương Anh Tú: Rất khả thi. Và rất đáng hoan nghênh.
Chúng ta đang chứng kiến nhiều vụ tấn công mạng nhưng lãnh đạo không hiểu cơ chế kỹ thuật, dẫn đến chậm ứng phó.
Dự thảo Luật An ninh mạng (sửa đổi) yêu cầu người đứng đầu phải được sát hạch, có chứng chỉ, nghĩa là:
lãnh đạo phải có hiểu biết nền tảng,chịu trách nhiệm quản trị rủi ro số,không thể “khoán trắng” cho kỹ thuật.Đây là tư duy quản trị mới: An ninh mạng không phải chuyện công nghệ – mà là trách nhiệm của người điều hành doanh nghiệp.
PV: Nhiều doanh nghiệp lo ngại về quy định “khuyến khích sử dụng sản phẩm, dịch vụ an ninh mạng Việt Nam”. Điều này có ảnh hưởng cạnh tranh?
Luật sư Trương Anh Tú: Thực tế, đây là quy định khuyến khích, không phải bắt buộc.
Mục tiêu là:
- Thúc đẩy hệ sinh thái an ninh mạng trong nước;
- Tăng năng lực tự chủ công nghệ;
- Bảo vệ dữ liệu quốc gia khỏi nguy cơ phụ thuộc vào sản phẩm nước ngoài.
Tuy nhiên, sản phẩm Việt Nam phải đáp ứng tiêu chuẩn kỹ thuật an ninh mạng theo chuẩn quốc tế. Đó là điều kiện quan trọng để không làm méo mó thị trường.
PV: Ông nhìn thấy “chìa khóa chiến lược” nào trong Luật An ninh mạng (sửa đổi)?
Luật sư Trương Anh Tú: Tôi nhìn thấy ba điểm then chốt:
1. Bảo vệ dữ liệu = bảo vệ chủ quyền quốc gia.
Dữ liệu vận hành mọi lĩnh vực: ngân hàng, năng lượng, hạ tầng đô thị, thương mại điện tử… Dự luật lần đầu tiên xác định dữ liệu là thành tố an ninh quốc gia.
2. Doanh nghiệp phải nâng chuẩn quản trị dữ liệu.
Từ định danh IP, báo cáo sự cố, quản trị dữ liệu doanh nghiệp, đến chuẩn hóa bảo mật – tất cả buộc doanh nghiệp tham gia vào trách nhiệm chung bảo vệ không gian mạng Việt Nam.
3. Một đầu mối thống nhất về an ninh mạng.
Bộ Công an giữ vai trò chủ trì để đảm bảo đồng bộ toàn quốc, phù hợp xu hướng các quốc gia trong OECD và Liên Hợp Quốc.
Nhìn rộng hơn, đây không chỉ là đạo luật về bảo mật; mà là đạo luật về tương lai phát triển số của Việt Nam.
Theo Luật sư Trương Anh Tú, Luật An ninh mạng (sửa đổi) không chỉ siết quản lý, mà còn mở ra chuẩn mực mới về quản trị liệu, trách nhiệm doanh nghiệp, bảo vệ chủ quyền số trong kỷ nguyên chuyển đổi số quốc gia.
Luật sư Trương Anh Tú, Chủ tịch TAT Law Firm, ông là chuyên gia pháp lý trong lĩnh vực an ninh mạng, an ninh dữ liệu, chuyển đổi số doanh nghiệp, sở hữu trí tuệ và pháp lý công nghệ.
Ông có nhiều năm nghiên cứu chính sách an ninh mạng Việt Nam, tư vấn rủi ro số cho các tập đoàn lớn và tham gia xây dựng nhiều báo cáo chiến lược quốc gia.
