Về khái niệm, đối tượng bảo vệ an ninh mạng và giải thích từ ngữ tại điều 3 dự thảo luật an ninh mạng

Nguyễn Mai Bộ* * TS. Ủy ban Quốc phòng và An ninh của Quốc hội Tóm tắt: Sau khi tiếp thu ý kiến của các Đại biểu Quốc hội tại kỳ họp thứ 4 Quốc hội khóa 14, Dự thảo Luật An ninh mạng đã được trình Ủy ban Thường vụ Quốc hội tại phiên họp thứ 201. Mặc dù cơ quan chủ trì soạn thảo đã tiếp thu những ý kiến góp ý của đại biểu Quốc hội và Ủy ban Thường vụ Quốc hội để chỉnh lý bổ sung, tuy nhiên nội dung Dự thảo luật này vẫn còn một số điểm hạn chế cần được tiếp tục hoàn thiện. 1 Dự thảo Luật trình cho ý kiến tại phiên họp thứ 20 của Ủy ban thường vụ Quốc hội khóa XIV. Abstract: After the comments from the National Assembly deputies at the 4th session of the 14th National Assembly are reviewed and incorporated, the Bill on Network Security is submitted to the Standing Committee of National Assembly at its 20th session. Although the revised version of the draft law are amended with incorporation of the comments from National Assembly deputies and the Standing Committee of the National Assembly, a number of shortcoming and limitations in the draft law need to be dealt with for further improvements. Thông tin bài viết: Từ khóa: Dự thảo Luật An ninh mạng, khái niệm an ninh mạng, không gian mạng, tội phạm mạng Lịch sử bài viết: Nhận bài : 27/02/2018 Biên tập : 06/03/2018 Duyệt bài : 19/03/2018 Article Infomation: Keywords: the Bill on Network Security; network security concept, cyberspace, cybercrime Article History: Received : 27 Feb. 2018 Edited : 06 Mar. 2018 Approved : 19 Mar. 2018 1. Giải thích từ ngữ (Điều 3 Dự thảo Luật An ninh mạng) - Khái niệm an ninh mạng Điều 3 Dự thảo Luật An ninh mạng định nghĩa: “1. An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân”. VỀ KHÁI NIỆM, ĐỐI TƯỢNG BẢO VỆ AN NINH MẠNG VÀ GIẢI THÍCH TỪ NGỮ TẠI ĐIỀU 3 DỰ THẢO LUẬT AN NINH MẠNG BAÂN VÏÌ DÛÅ AÁN LUÊÅT 29Số 7(359) T4/2018 Theo chúng tôi, khái niệm an ninh mạng là khái niệm bao hàm cả an ninh quốc gia và trật tự, an toàn xã hội trên mạng công nghệ thông tin và mạng viễn thông. Bởi lẽ, an ninh quốc gia (Điều 3 Luật An ninh quốc gia) chỉ là “sự ổn định, phát triển bền vững của chế độ XHCN và Nhà nước Cộng hòa XHCN Việt Nam, sự bất khả xâm phạm độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc”. Còn hệ thống thông tin quan trọng về an ninh quốc gia (Điều 3 Luật An toàn thông tin mạng) là “hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia”. Nếu tiếp cận khái niệm an ninh mạng theo hướng chỉ là an ninh quốc gia trên không gian mạng, thì mục đích của việc bảo vệ an ninh mạng chỉ là bảo vệ quốc phòng và an ninh quốc gia trên không gian mạng. Do vậy, khái niệm hệ thống thông tin quan trọng về an ninh quốc gia (là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm đoạt quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến an ninh quốc gia hoặc gây tổn hại đặc biệt nghiêm trọng tới trật tự, an toàn xã hội) như khoản 6 Điều 3 Dự thảo Luật An ninh mạng quy định mâu thuẫn với khái niệm hệ thống thông tin quan trọng về an ninh quốc gia quy định tại Điều 3 Luật An toàn thông tin mạng, bởi lẽ, khách thể bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia theo Dự thảo Luật An ninh mạng (Dự thảo luật) được mở rộng sang cả trật tự, an toàn xã hội. Mặt khác, khái niệm “an ninh mạng” quy định trong Điều 3 Dự thảo luật còn bộc lộ hai điểm bất cập sau: Thứ nhất, an ninh mạng chỉ là bảo đảm hoạt động trên không gian mạng có sẵn (mạng công nghệ thông tin, mạng viễn thông đã được lắp đặt hoàn chỉnh). Nghĩa là về thời gian, hoạt động an ninh mạng chỉ được thực hiện từ thời điểm kết thúc việc lắp đặt mạng và bắt đầu vận hành mạng theo chức năng được thiết kế, đầu tư và lắp đặt. Do vậy, sẽ không có cơ sở pháp lý để quy định các biện pháp bảo vệ an ninh mạng tại điểm a, b, c và n khoản 1 Điều 6 Dự thảo luật. Thứ hai, ngoài việc bảo vệ an ninh quốc gia, trật tự, an toàn xã hội, thì chỉ có tổ chức, cá nhân là chủ thể quan hệ pháp luật và được bảo vệ quyền và lợi ích hợp pháp; còn cơ quan thì không được coi là chủ thể quan hệ pháp luật và cũng không được bảo vệ quyền và lợi ích hợp pháp. Chúng tôi cho rằng, an ninh mạng là bảo đảm an toàn của mạng công nghệ thông tin, mạng viễn thông thuộc danh mục công trình quan trọng liên quan đến an ninh quốc gia và phòng chống hành vi sử dụng mạng để thực hiện hành vi vi phạm pháp luật xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, bởi các lý do sau: Một là, theo quy định của Luật Công nghệ thông tin, Luật Viễn thông, Luật An toàn thông tin mạng và Dự thảo luật, mạng là “tập hợp thiết bị tạo lập, thu thập, xử lý, lưu trữ thông tin được liên kết với nhau bằng đường truyền để trao đổi, truyền tải hoặc công bố thông tin”. Hai là, theo quy định của Pháp lệnh Bảo vệ công trình quan trọng liên quan đến an ninh quốc gia và Nghị định số 126/2008/ NĐ-CP ngày 11/12/2008 của Chính phủ Quy định chi tiết và hướng dẫn thi hành một số điều của Pháp lệnh này, thì công trình quan trọng liên quan đến an ninh quốc gia phải có đủ các tiêu chí sau đây: “1. Là công trình có một trong các đặc trưng a) Là cơ sở vật chất đặc biệt quan BAÂN VÏÌ DÛÅ AÁN LUÊÅT 30 Số 7(359) T4/2018 trọng liên quan đến an ninh quốc gia: - Công trình quốc phòng, an ninh quan trọng nếu để xảy ra sự cố hoặc bị phá hoại sẽ làm suy yếu khả năng phòng thủ bảo vệ Tổ quốc hoặc trực tiếp tác động đến sự tồn tại của chế độ. - Công trình văn hoá, thông tin - truyền thông nếu bị phá hoại hoặc bị lợi dụng làm phương tiện thông tin, tuyên truyền chống lại chính quyền Nhà nước sẽ trực tiếp tác động đến tư tưởng người dân, đến sự tồn tại của chế độ. - Công trình có sử dụng công nghệ hạt nhân (lò phản ứng hạt nhân nghiên cứu, nhà máy điện hạt nhân), công trình đặc biệt quan trọng trong các lĩnh vực kinh tế, chính trị - xã hội, giao thông, đê điều, điện lực, thủy lợi, xây dựng nếu để xảy ra sự cố hoặc bị phá hoại sẽ gây hậu quả đặc biệt nghiêm trọng đến nền kinh tế quốc dân, gây thảm họa đối với đời sống con người, môi trường sinh thái. b) Là nơi tập trung lưu giữ, bảo quản nhiều hồ sơ tài liệu, mẫu vật, hiện vật thuộc danh mục bí mật nhà nước hoặc có giá trị đặc biệt quan trọng về chính trị - ngoại giao, văn hóa - lịch sử, kinh tế, khoa học - kỹ thuật; nơi thường xuyên diễn ra các hoạt động nghiên cứu, hoạch định chủ trương, chính sách thuộc phạm vi bí mật nhà nước. c) Là nơi bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi trường sinh thái. d) Công trình khác theo quyết định của Thủ tướng Chính phủ. 2. Là công trình đòi hỏi phải áp dụng công tác bảo vệ đặc biệt, tuyệt đối an toàn trong quá trình khảo sát, thiết kế, xây dựng, quản lý và sử dụng theo quy định của Pháp lệnh Bảo vệ công trình quan trọng liên quan đến an ninh quốc gia, quy định của Nghị định này và các văn bản quy phạm pháp luật khác có liên quan”. Danh mục công trình quan trọng liên quan đến an ninh quốc gia Chính phủ quyết định. Ba là, chỉ tiếp cận khái niệm mạng và an ninh mạng theo cách này mới có thể bảo đảm nội dung của Dự thảo luật mới không trùng lặp với Luật Công nghệ thông tin, Luật Viễn thông, Luật An toàn thông tin mạng, Luật Đấu thầu và các luật kinh doanh, thương mại khác. Đồng thời, cho phép thiết kế các biện pháp tiền kiểm hoặc hậu kiểm theo tiêu chuẩn, quy chuẩn đối với một số mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia. - Không gian mạng Theo quy định của khoản 3 Điều 3 Dự thảo luật An ninh mạng, “Không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng internet, mạng viễn thông, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian”. Chúng tôi cho rằng, quy định này là chưa phù hợp, bởi lẽ, theo quy định của Luật Công nghệ thông tin mạng, thì “cơ sở hạ tầng thông tin là hệ thống trang thiết bị phục vụ cho việc sản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính và cơ sở dữ liệu”. Như vậy, cấu tạo của cơ sở hạ tầng thông tin là hệ thống trang thiết bị phục vụ cho việc sản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính và cơ sở dữ liệu chứ không phải cấu tạo của cơ sở hạ tầng công nghệ thông tin là hệ thống trang thiết bị phục vụ cho việc sản BAÂN VÏÌ DÛÅ AÁN LUÊÅT 31Số 7(359) T4/2018 xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính và cơ sở dữ liệu. Dự thảo luật sử dụng cụm từ cơ sở hạ tầng công nghệ thông tin chỉ đúng với thành phần cấu tạo gồm mạng internet, hệ thống máy tính mà không đúng với thành phần cấu tạo gồm mạng viễn thông. Chúng tôi cho rằng, mạng (theo Luật An toàn thông tin mạng), môi trường mạng (theo Luật Công nghệ thông tin) và không gian mạng (theo Dự thảo luật) là những khái niệm đồng nhất và là môi trường trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi trên nền cơ sở hạ tầng thông tin, là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian. - Không gian mạng quốc gia Theo quy định của khoản 4 Điều 3 Dự thảo luật An ninh mạng, “Không gian mạng quốc gia là không gian mạng do Nhà nước quản lý, kiểm soát bằng chính sách, pháp luật và năng lực công nghệ”. Quy định này có một số điểm không chính xác sau đây: + Dự thảo luật không nói rõ không gian mạng do Nhà nước Cộng hòa XHCN Việt Nam quản lý; + Không đồng nhất với quy định của Điều 8 Hiến pháp năm 2013 “Nhà nước quản lý xã hội bằng pháp luật”; + Cụm từ “và năng lực công nghệ” dễ dẫn đến cách hiểu: trong trường hợp Việt Nam không đủ năng lực công nghệ để quản lý mạng và phải thuê nước ngoài quản lý mạng thuộc sở hữu của Nhà nước ta, thì không gian mạng đó không phải là không gian mạng của Việt Nam. - Cơ sở hạ tầng không gian mạng quốc gia Khoản 5 Điều 3 Dự thảo luật An ninh mạng quy định: “Cơ sở hạ tầng không gian mạng quốc gia là hệ thống cơ sở vật chất, kỹ thuật để tạo lập, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin”. Quy định này không thống nhất với quy định của khoản 4 Điều 4 Luật Công nghệ thông tin, theo đó, “Cơ sở hạ tầng thông tin là hệ thống trang, thiết bị phục vụ cho việc sản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin số, bao gồm mạng viễn thông, mạng Internet, mạng máy tính và cơ sở dữ liệu”. Bởi lẽ, quy định của khoản 5 Điều 3 Dự thảo luật không thể hiện cấu tạo vật chất của “Cơ sở hạ tầng không gian mạng quốc gia gồm mạng viễn thông, mạng Internet, mạng máy tính và cơ sở dữ liệu”. Bên cạnh đó, khoản này còn sử dụng một số thuật ngữ không giải thích rõ nghĩa như: Cơ sở hạ tầng công nghệ thông tin của các thành phố thông minh, Các hệ thống phục vụ công nghiệp 4.4, Internet của vạn vật, Hệ thống phức hợp thực - ảo, Điện toán đám mây, Hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh, Hệ thống trí tuệ nhân tạo - Tội phạm mạng Theo quy định của khoản 7 Điều 3 Dự thảo luật An ninh mạng, “Tội phạm mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để phạm tội”. Quy định này trái với nguyên tắc “Chỉ người nào phạm một tội đã được Bộ luật Hình sự quy định mới phải chịu trách nhiệm hình sự” (khoản 1 Điều 2 Bộ luật Hình sự năm 2015). Do vậy, việc giải thích tội phạm mạng là không cần thiết. Tương tự, đối với các khoản giải thích thuật ngữ “tấn công mạng”, “khủng bố mạng” cũng vậy. 2. Tên gọi của Chương Chúng tôi cho rằng, để bảo đảm phù BAÂN VÏÌ DÛÅ AÁN LUÊÅT 32 Số 7(359) T4/2018 hợp với khái niệm “Bảo vệ an ninh mạng”, tên gọi và nội dung của Chương 2 và Chương 3 cần được thể hiện như sau: - Tên gọi của Chương 2 là: “Bảo vệ an toàn mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia”. Nội dung của Chương bao gồm các quy định về: + Tiêu chuẩn, trình tự, thủ tục và thẩm quyền quyết định ban hành danh mục mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia; + Tiêu chuẩn, quy chuẩn mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia; + Kiểm tra, đánh giá mức độ an toàn của mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia; + Giám sát an ninh đối với mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia; + Ứng phó, khắc phục sự cố kỹ thuật đối với mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia; - Tên gọi của Chương 3 là: “Phòng chống hành vi xâm phạm an toàn mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia”. Phòng, chống hành vi xâm phạm an toàn mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia là phòng chống hành vi sử dụng máy tính và mạng máy tính với mục đích xâm phạm đến an toàn của hệ thống máy tính và quy trình lưu trữ dữ liệu của hệ thống đó hoặc sử dụng máy tính hoặc các phương pháp khác có liên quan đến máy tính, mạng máy tính chiếm giữ bất hợp pháp và đe doạ hoặc làm sai lệnh thông tin bằng phương pháp sử dụng mạng máy tính; và phòng chống hành vi xâm phạm an toàn mạng viễn thông liên quan đến an ninh quốc gia. Vì vậy, nội dung của Chương 3 bao gồm các quy định về: + Nhóm biện pháp phòng chống hành vi phát tán virus là phát tán chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính,...). + Nhóm biện pháp phòng chống hành vi truy cập bất hợp pháp vào website, cơ sở dữ liệu máy tính, mạng máy tính là hành vi cố ý vượt qua tường lửa, cảnh báo, password, sử dụng quyền truy cập, quản trị của người khác..., để thực hiện một số hành vi sau: (1) Tấn công deface là đưa vào, sửa đổi, xóa dữ liệu trên giao diện của website; (2) Lấy cắp quyền quản trị để truy cập vào cơ sở dữ liệu, lấy cắp, sửa đổi, phá hoại cơ sở dữ liệu; (3) Cài các phần mềm độc hại như virus, trojan, backdoor, sniffer, phần mềm điều khiển từ xa để kiểm soát máy tính người bị hại; (4) Ngăn chặn bất hợp pháp việc truyền tải dữ liệu trên mạng internet hoặc mạng LAN, WAN; (5) Lấy cắp, đưa thông tin của tổ chức, cá nhân trái phép lên mạng, như thông tin nhạy cảm trộm cắp được, thông tin thuộc bí mật nhà nước, bí mật kinh doanh của tổ chức, bí mật cá nhân...; (6) Cản trở, làm rối loạn hoạt động của máy tính, mạng máy tính như phá hoại, xóa, làm tổn hại phần mềm máy tính, dữ liệu máy tính; (7) Chiếm đoạt, sử dụng, mua bán hoặc công khai hóa trái phép cơ sở dữ liệu máy tính. + Nhóm biện pháp phòng chống hành vi xâm phạm an toàn mạng viễn thông gây BAÂN VÏÌ DÛÅ AÁN LUÊÅT 33Số 7(359) T4/2018 nhiễu có hại, cản trở hoạt động bình thường của hệ thống thông tin vô tuyến điện. Biện pháp bảo đảm an toàn mạng viễn thông là các biện pháp phòng chống hành vi hủy hoại hoặc cố ý làm hư hỏng thiết bị thông tin vô tuyến điện; gây nhiễu có hại, cản trở hoạt động bình thường của hệ thống thông tin vô tuyến điện. Ngoài ra, Dự thảo luật cần bổ sung một Chương mới, là: “Phòng chống hành vi sử dụng mạng công nghệ thông tin, mạng viễn thông để thực hiện hành vi vi phạm pháp luật xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân”. Tên gọi của Chương không sử dụng cụm từ “liên quan đến an ninh quốc gia” nhằm thể hiện đối tượng phòng chống hành vi sử dụng cả mạng công nghệ thông tin, mạng viễn thông liên quan đến an ninh quốc gia và cả mạng công nghệ thông tin, mạng viễn thông không liên quan đến an ninh quốc gia để thực hiện hành vi vi phạm pháp luật xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Nội dung của Chương bao gồm các quy định về biện pháp phòng chống hành vi sử dụng mạng để xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Đó là các hành vi: (1) Dùng thủ đoạn Phishing (giả mạo một tổ chức hợp pháp để dụ dỗ người dùng cung cấp dữ liệu nhạy cảm), trojan horse (loại virus có thể thay đổi cả địa chỉ của tên miền); spyware (loại phần mềm gián điệp chuyên ăn cắp thông tin cá nhân); keylogger (phần mềm gián điệp theo dõi thao tác bàn phím)... để lấy cắp email, passwords, thông tin tài khoản, thông tin cá nhân như tên chủ tài khoản, địa chỉ, số điện thoại, số chứng minh nhân dân...; (2) Đưa thông tin thẻ tín dụng và các giấy tờ có giá khác đã trộm cắp lên internet để mua bán, trao đổi, cho, tặng; (3) Trộm cắp tiền từ thẻ tín dụng bằng cách: làm thẻ tín dụng giả để rút tiền từ máy ATM, trả tiền cho các dịch vụ như khách sạn, nhà hàng, mua hàng đắt tiền, mua vé máy bay..., mua hàng trực tuyến bằng thông tin thẻ ngân hàng trộm cắp được; (4) Rửa tiền bằng cách chuyển tiền từ tài khoản trộm cắp được sang tài khoản tiền ảo như Liberty Reserve, egold, e-passport, webmoney..., chuyển tiền qua Western Union, Xoom, qua một số trang web có kết nối với hệ thống thẻ tín dụng; (5) Lừa đảo trong hoạt động thương mại điện tử, qua quảng cáo, bán hàng trực tuyến trên internet, trong mua bán ngoại tệ, mua bán và thanh toán cổ phiếu qua mạng, gửi thư lừa đảo trúng thưởng xổ số, rửa tiền, môi giới vốn đầu tư...; (6) Nhắn tin lừa đảo, sử dụng email, nickname lấy trộm của người khác để lừa đảo...; (7) Đánh bạc, cá độ qua mạng, sử dụng thẻ tín dụng trộm cắp để đánh bạc; (8) Buôn bán ma túy qua mạng; (9) Hoạt động mại dâm, truyền bá văn hóa phẩm đồi trụy qua mạng internet; (10) Sử dụng phương tiện kỹ thuật số, mạng máy tính thực hiện hành vi tống tiền, khủng bố, phá hoại, quấy rối, vu khống, làm nhục; (11) Xâm phạm quyền sở hữu trí tuệ trên mạng internet; (12) Sử dụng trái phép tần số vô tuyến điện BAÂN VÏÌ DÛÅ AÁN LUÊÅT 34 Số 7(359) T4/2018