Ngày 19/11/2015 vừa qua, Kỳ họp thứ mười Quốc hội Khóa XIII đã thông qua dự án Luật An toàn thông tin mạng với 424/425 bỏ phiếu tán thành.
Đây là một dự luật được xây dựng mới hoàn toàn, chưa từng có tiền lệ tại Việt Nam, trải qua hơn 4 năm xây dựng, hoàn thiện và qua nhiều vòng thảo luận, góp ý. Luật đề cập đến rất nhiều vấn đề mới, "nóng bỏng" trong lĩnh vực An toàn thông tin hiện nay, cụ thể hóa nhiều vấn đề đang gây bức xúc dư luận xã hội như thư rác; thu thập, phát tán thông tin cá nhân trái phép...
Rao bán thông tin cá nhân của người dùng cũng là một hành vi bị nghiêm cấm |
Cụ thể, 6 nhóm hành vi bị nghiêm cấm đã được quy định rất rõ trong Điều 7 của Luật, bao gồm:
1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.
2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.
3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.
Đại diện Cục An Toàn thông tin, đơn vị trực tiếp xây dựng dự thảo Luật nhấn mạnh rằng, những quy định này hoàn toàn xuất phát từ thực tế. Chẳng hạn như thời gian vừa qua, nhiều website của các cơ quan nhà nước và nhiều doanh nghiệp đã bị tấn công, phá hoại, gây thiệt hại nhiều tỷ đồng. Đơn cử như ngày 13/10/2014, Trung tâm dữ liệu của VCCorp, một doanh nghiệp cung cấp dịch vụ trực tuyến lớn ở Việt Nam gặp sự cố. Sự cố này ảnh hưởng tới hàng trăm trang thông tin điện tử của Việt Nam, trong đó có một số hệ thống thương mại điện tử, một số tờ báo điện tử lớn có hàng triệu người đang sử dụng dịch vụ. Tin tặc không loại trừ một quốc gia, một tổ chức hay cá nhân nào cả, ngay cả nước Mỹ, một trong những nước phát triển nhất trên thế giới về CNTT, cũng gặp không ít rắc rối với chúng.
Một hiện tượng khác cũng gây bức xúc rất lớn trong xã hội là tình trạng số điện thoại di động, thông tin cá nhân của người dùng đang bị rao bán như "rau" trên nhiều website. Chỉ cần bỏ ra từ 200.000 đồng, kẻ xấu đã có thể sở hữu cơ sở dữ liệu về thông tin cá nhân của hàng ngàn người. Một phần cũng vì thông tin cá nhân và số điện thoại người dùng bị "lộ" nhiều như vậy, nên tình trạng tin nhắn rác, tin nhắn quảng cáo dội bom ồ ạt các thuê bao di động cũng hoành hành mà chưa có giải pháp triệt để để chặn đứng.
Theo phân tích của các chuyên gia, hiện thông tin trên mạng đã trở thành tài sản giá trị của mỗi cá nhân, tổ chức và thậm chí cả quốc gia. Có nhiều cá nhân, tổ chức mà tài sản trên mạng của họ còn lớn hơn nhiều các tài sản hữu hình. Cải cách hành chính, chính phủ điện tử, thương mại điện tử và một loạt chương trình lớn của quốc gia sẽ không thể thực hiện được nếu an toàn thông tin không được bảo đảm. Một cá nhân cũng sẽ bị thiệt hại nếu các thông tin cá nhân bị đánh cắp, bị làm sai lệch hay các chương trình ứng dụng công nghệ bị sự cố v.v…
Trong bối cảnh đó, mỗi cá nhân, tổ chức có “tài sản mềm” trước hết cần tự có trách nhiệm, cần nhận thức đầy đủ hơn và có biện pháp bảo vệ phù hợp với loại tài sản này. Chính vì vậy, Điều 4 của Luật an toàn thông tin mạng đưa ra các nguyên tắc bảo đảm an toàn thông tin, trong đó, 2 nguyên tắc cơ bản nhất là: (1) Tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng và (2) Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác, đại diện Cục An toàn thông tin chỉ ra.
Tập trung vào yếu tố kỹ thuật
Đại diện Cục An toàn thông tin nhấn mạnh, Luật an toàn thông tin mạng cũng tương tự như Luật giao thông đường bộ hay Luật an toàn thực phẩm, tức là chỉ tập trung vào các vấn đề kỹ thuật nhằm bảo đảm quá trình truyền tải thông tin được nguyên vẹn, không bị sửa đổi, tiết lộ, gián đoạn. Luật không điều chỉnh các vấn đề thuộc về về nội dung thông tin, bởi chúng đã và đang được điều chỉnh bởi các văn bản pháp luật khác như Luật Báo chí.
"Điều này cũng giống như trong an toàn giao thông, chỉ tập trung vào các vấn đề kỹ thuật như phương tiện tham gia giao thông phải có phanh, đi buổi tối phải bật đèn, có tiêu chuẩn khí thải phù hợp, không được chạy xe quá tải, quá khổ v.v…", vị này so sánh.
Quan điểm của Luật An toàn thông tin mạng là để có thể bảo vệ hiệu quả thì trước hết, cần tiến hành phân loại, xác định cấp độ theo mức độ quan trọng của thông tin và hệ thống thông tin. Thứ hai, nếu chúng ta không thể đủ sức tự chống lại tin tặc xâm phạm trái phép, thì chúng ta có thuê dịch vụ do các doanh nghiệp, tổ chức thứ ba cung cấp. Và thứ ba, trong nhiều trường hợp, “tài sản mềm” của cá nhân, tổ chức này lại đang được lưu giữ trong hệ thống của cá nhân, tổ chức khác. Chẳng hạn, các bài viết trên báo điện tử Dân Trí đang được lưu trữ trong trung tâm dữ liệu của công ty VCCorp; hàng triệu thông tin cá nhân của người sử dụng đang được lưu trữ tại các doanh nghiệp viễn thông. Khi một tổ chức lưu giữ “tài sản mềm” của một hay nhiều tổ chức, cá nhân khác, tổ chức này phải có một số trách nhiệm pháp lý tối thiểu trong việc áp dụng các biện pháp bảo đảm an toàn cho “tài sản mềm” đó.
Theo hệ thống phân cấp hiện hành (từ 1 đến 5), Cấp độ 1 là cấp độ nhẹ nhất, mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; còn Cấp độ 5 là cấp độ nặng nhất, mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
Theo Luật An toàn thông tin mạng, Chính phủ sẽ quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ, từ đó sẽ có những biện pháp bảo vệ tương ứng.
T.C
Tin liên quan