Để bảo đảm quyền lợi doanh nghiệp tại Luật An ninh mạng
Luật An ninh mạng là một trong những chủ đề được thảo luận rộng rãi thời gian qua và dự kiến sẽ được thông qua tại Kỳ họp thứ V, Quốc hội khóa XIV. Việc xây dựng khung khổ pháp lý của dự thảo luật đến thời điểm này vẫn còn tiếp tục phải bàn thảo. Liên quan đến vấn đề này, ngày 22/5/2018, Hội Truyền thông số Việt Nam (VDCA) đã có văn bản góp ý cho dự thảo Luật An ninh mạng gửi Ủy ban Quốc phòng và An ninh của Quốc hội.
Liên quan đến các quy định có thể làm gia tăng chi phí kinh doanh cho doanh nghiệp gây tác động tiêu cực đến tăng trưởng kinh tế dài hạn, cụ thể là Khoản 3 Điều 39 "yêu cầu doanh nghiệp tạm ngừng hoặc ngừng cung cấp thiết bị số, dịch vụ mạng, ứng dụng mạng để bảo đảm an ninh quốc gia, trật tự, an toàn xã hội theo yêu cầu của cơ quan Nhà nước có thẩm quyền" là chưa đủ rõ ràng và có nguy cơ xâm phạm lợi ích doanh nghiệp, người dân.
VDCA kiến nghị cần phải quy định rõ ràng và cụ thể về trường hợp ngừng, tạm ngừng; Quy định cụ thể trình tự, thủ tục thực hiện. Theo VDCA, trong trường hợp ngừng, tạm ngừng hoạt động của doanh nghiệp, thẩm quyền yêu cầu ngừng, tạm ngừng nên thuộc về Tòa án (cơ quan tư pháp) chứ không phải là các cơ quan hành chính.
Trong khi đó, Điểm c Khoản 2 điều 26 yêu cầu các doanh nghiệp cung cấp dịch vụ Internet, dịch vụ viễn thông ngừng cung cấp dịch vụ cho khách hàng với lý do người dùng đăng tải trên không gian mạng các nội dung tuyên truyền chống phá Nhà nước, kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; Xâm phạm trật tự quản lý kinh tế.
Theo VDCA, trong khi việc xác định các hành vi như Điều 15 liệt kê là chưa đủ rõ ràng, cụ thể; Quy định này có thể gây rủi ro xâm phạm các quyền chính trị, kinh tế cơ bản của công dân. Thêm vào đó, Điểm a và b Khoản 2 Điều 26 yêu cầu doanh nghiệp phải có cơ chế xác thực tài khoản số hay xóa bỏ, ngăn chặn việc chia sẻ thông tin là không khả thi với doanh nghiệp, trong nhiều trường hợp gây mất lợi thế cạnh tranh công nghệ; Gia tăng chi phí thực thi cho doanh nghiệp khởi nghiệp Việt Nam trong cạnh tranh toàn cầu vì phải hạ thấp các tiêu chuẩn bảo vệ thông tin và dữ liệu người dùng.
VDCA cũng kiến nghị bỏ quy định về địa phương hóa dữ liệu (đặt máy chủ, lưu dữ liệu tại Việt Nam). Theo các phân tích kinh tế, nếu thực thi nghiêm ngặt quy định về lưu trữ dữ liệu, đặt máy chủ tại Việt Nam (như quy định tại Điểm d Khoản 2 Điều 26 có thể làm giảm 1,7% tăng trưởng GDP, giảm 3,1% đầu tư nước ngoài vào Việt Nam.
Sau các lần chỉnh lý, dự thảo trình Phiên họp 24 của Ủy ban Thường vụ Quốc hội thay đổi ngôn ngữ và cách viết, theo đó không trực tiếp yêu cầu đặt máy chủ, dữ liệu tại Việt Nam, nhưng yêu cầu “lưu trữ tại Việt Nam đối với thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam”. Điều này có hàm ý pháp lý rằng dữ liệu và máy chủ phải đặt tại Việt Nam.
VDCA kiến nghị hủy bỏ quy định này vì quy định tác động tiêu cực đến phát triển kinh tế thông qua hạn chế trao đổi dữ liệu quốc tế; Tăng chi phí, giảm khả năng tận dụng sự phát triển công nghệ của doanh nghiệp trong nước. Dù rằng chi phí trực tiếp để thực thi quy định này có thể rơi vào nhóm doanh nghiệp nước ngoài, nhưng chi phí gián tiếp sẽ bị phân bổ lên toàn bộ doanh nghiệp và kinh tế Việt Nam.
Hơn nữa, việc này có khả năng làm ảnh hưởng đến môi trường đầu tư kinh doanh, giảm sức hút đầu tư đối với doanh nghiệp nước ngoài ở Việt Nam; Có khả năng vi phạm các cam kết quốc tế Việt Nam là thành viên. Chưa kể, thực tiễn thực thi các quy định tại các quốc gia khác, cụ thể là Indonesia cũng cho thấy quy định này vừa khó thực thi trên thực tế, vừa gây khó khăn cho doanh nghiệp, trong khi đó hiệu quả bảo vệ an ninh mạng thực tế không được nâng cao.
VDCA cũng kiến nghị hủy bỏ Điều 24 liên quan đến trao quyền kiểm tra an ninh mạng đối với hệ thống thông tin không thuộc danh mục hệ thống thông tin quan trọng về an ninh quốc gia cho lực lượng chuyên trách an ninh mạng vì quy định này tạo ra rủi ro kiểm tra tràn lan và có thể làm tổn hại đến hoạt động kinh doanh hợp pháp của doanh nghiệp.
VDCA cho rằng, nếu là hệ thống thông tin không quan trọng về an ninh quốc gia, không có lý do hợp lý nào để chủ quản hệ thống thông tin hay lực lượng chuyên trách an ninh mạng phải kiểm tra tổ chức, cá nhân, doanh nghiệp.