Luật An ninh mạng mới được Quốc hội khóa XIV thông qua tại kỳ họp thứ 5 quy định cụ thể trách nhiệm của các doanh nghiệp trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam.
Luật An ninh mạng do Bộ Công an chủ trì xây dựng, được Quốc hội cho ý kiến lần đầu tại kỳ họp thứ tư Quốc hội khóa XIV. Tiếp đó, ngày 29/5/2018, trong kỳ họp thứ năm của Quốc hội khóa XIV, sau nhiều lần chỉnh lý, dự án Luật An ninh mạng đã được Quốc hội đưa ra phiên thảo luận tại hội trường để tiếp tục lấy ý kiến đóng góp của các đại biểu. Và ngày 12/6 vừa qua, sau khi nghe Ủy viên Ủy ban Thường vụ Quốc hội, Chủ nhiệm Ủy ban Quốc phòng và An ninh của Quốc hội Võ Trọng Việt trình bày Báo cáo giải trình, tiếp thu, chỉnh lý dự thảo Luật An ninh mạng, Quốc hội đã biểu quyết thông qua Điều 10 Hệ thống thông tin quan trọng về an ninh quốc gia, Điều 26 Bảo đảm an ninh thông tin trên không gian mạng và toàn văn dự thảo Luật An ninh mạng với 86,86% tổng số đại biểu Quốc hội tán thành.
Gồm 7 Chương 43 Điều, Luật An ninh mạng quy định về hoạt động bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội trên không gian mạng; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Luật này sẽ có hiệu lực thi hành từ ngày 1/1/2019.
Như ICTnews đã thông tin , Điều 16 của Luật An ninh mạng quy định rõ, thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam bao gồm: Tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân; Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước; Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc.
Thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng gồm có: Kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền nhân dân; Kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự.
Thông tin trên không gian mạng có nội dung làm nhục, vu khống gồm: Xúc phạm nghiêm trọng danh dự, uy tín, nhân phẩm của người khác; Thông tin bịa đặt, sai sự thật xâm phạm danh dự, uy tín, nhân phẩm hoặc gây thiệt hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
Thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế bao gồm: Thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín phiếu, công trái, séc và các loại giấy tờ có giá khác; Thông tin bịa đặt, sai sự thật trong lĩnh vực tài chính, ngân hàng, thương mại điện tử, thanh toán điện tử, kinh doanh tiền tệ, huy động vốn, kinh doanh đa cấp, chứng khoán.
Cũng theo Điều 16 Luật An ninh mạng, nội dung thông tin không được đăng tải, phát tán trên không gian mạng còn bao gồm thông tin có nội dung sai sự thật gây hoang mang trong nhân dân, gây thiệt hại cho các hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
Khoản 8 Điều 16 của Luật An ninh mạng cũng quy định rõ, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng và chủ quản hệ thống thông tin có trách nhiệm phối hợp chặt chẽ với cơ quan chức năng xử lý thông tin trên không gian mạng có nội dung vi phạm.
Về bảo đảm an ninh thông tin trên không gian mạng, theo quy định tại Điều 26 Luật An ninh mạng, Trang thông tin điện tử, Cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế đã được quy định cụ thể tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này và các thông tin khác có nội dung xâm phạm an ninh quốc gia.
Liên quan đến trách nhiệm của các doanh nghiệp trong bảo đảm an ninh thông tin trên không gian mạng, Điều 26 Luật An ninh mạng quy định: doanh nghiệp trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.
Doanh nghiệp trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam cũng có trách nhiệm phải ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung vi phạm trên dịch vụ hoặc hệ thống thông tin do cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ TT&TT và lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ.
Không cung cấp hoặc ngừng cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung vi phạm khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ TT&TT cũng là một trách nhiệm của doanh nghiệp.
Khoản 3 Điều 26 của Luật An ninh mạng quy định: doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. Doanh nghiệp nước ngoài quy định tại khoản này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Chính phủ quy định chi tiết khoản 3 Điều 26.
Trong báo cáo giải trình, tiếp thu, chỉnh lý dự thảo Luật An ninh mạng được Ủy viên Ủy ban Thường vụ Quốc hội (UBTVQH), Chủ nhiệm Ủy ban Quốc phòng và An ninh của Quốc hội Võ Trọng Việt trình bày trước Quốc hội ngày 12/6/2018, về Điều 26 quy định bảo đảm an toàn thông tin trên không gian mạng, UBTVQH cho biết, một số ý kiến còn băn khoan với quy định d khoản 2 vì cho rằng quy định này không bảo đảm tính khả thi, làm gia tăng chi phí của doanh nghiệp nước ngoài, gây khó khăn cho hoạt động tiếp cận thông tin và trái với các cam kết quốc tế mà Việt Nam là thành viên.
Để làm rõ thêm tính khả thi của quy định này, báo cáo của UBTVQH nêu: các Hiệp định cơ bản của WTO (Hiệp định GATT, Hiệp định GATS) và Hiệp định CPTPP đều có điều khoản ngoại lệ về an ninh. Do đó, việc chúng ta áp dụng các điều khoản ngoại lệ về an ninh trong Luật này là hết sức cần thiết để bảo vệ lợi ích của người dân và an ninh quốc gia. Theo đó, Việt Nam có quyền yêu cầu các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải lưu trữ tại Việt Nam đối với dữ liệu quan trọng của người sử dụng dịch vụ tại Việt Nam; đồng thời, yêu cầu các doanh nghiệp nước ngoài tham gia các hoạt động này phải đặt trụ sở hoặc văn phòng đại diện tại Việt Nam. Đến nay, đã có hơn 18 quốc gia thành viên của WTO (trong đó có Hoa Kỳ, Canada, Úc, Đức, Pháp) quy định bắt buộc phải lưu trữ dữ liệu trong lãnh thổ quốc gia.
Hiện nay, Google và Facebook đang lưu trữ dữ liệu của cơ quan, tổ chức, cá nhân Việt Nam tại trung tâm dữ liệu đặt tại Hồng Kông và Singapore. Nếu quy định của Luật này có hiệu lực thì các doanh nghiệp này phải dịch chuyển đám mây điện toán (máy chủ ảo) về Việt Nam để mở trung tâm dữ liệu tại Việt Nam là hoàn toàn khả thi.
Trường hợp trung tâm dữ liệu được đặt ở Việt Nam tuy có gia tăng thêm chi phí của doanh nghiệp, nhưng là quy định cần thiết phải đáp ứng yêu cầu về an ninh mạng của nước ta. Mặt khác, hoạt động kinh doanh của doanh nghiệp nước ngoài cũng như hoạt động sử dụng dịch vụ của các cơ quan, tổ chức, cá nhân trong nước cũng có điểm thuận lợi hơn; nếu gặp sự cố gián đoạn sẽ được xử lý nhanh hơn; cơ quan chức năng sẽ quản lý tốt hơn hoạt động kinh doanh của các doanh nghiệp này; khi có hành vi xâm phạm an ninh mạng, việc phối hợp xử lý thông tin và hành vi vi phạm sẽ hiệu quả và khả thi hơn.
Căn cứ quy định của Luật này và tình hình thực tiễn, Chính phủ quy định phạm vi doanh nghiệp cụ thể phải áp dụng quy định này, nên sẽ cơ bản không gây cản trở lưu thông dòng chảy dữ liệu, không ảnh hưởng đến hoạt động bình thường của các cơ quan, tổ chức, doanh nghiệp khác, kể cả doanh nghiệp khởi nghiệp.
"Việc quy định đặt máy chủ và lưu trữ dữ liệu tại Việt Nam không phải lần đầu tiên được quy định trong Luật này. Nghị định số 72/2013/NĐ-CP của Chính phủ đã quy định các tổ chức, doanh nghiệp thiết lập trang thông tin điện tử tổng hợp, thiết lập mạng xã hội, cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động, cung cấp dịch vụ trò chơi điện tử phải "có ít nhất 1 hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan quản lý nhà nước có thẩm quyền và giải quyết khiếu nại của khách hàng", báo cáo của UBTVQH cho hay.