10:41 - 28/05/2018
Ba tác động tiêu cực và lâu dài của dự thảo Luật An ninh mạng
Ba năm qua, thông điệp mạnh mẽ xuyên suốt, cả lời nói lẫn hành động của Chính phủ là kiến tạo môi trường kinh doanh, giảm chi phí cho doanh nghiệp. Nhưng, nhiều quy định khắt khe không cần thiết của dự thảo Luật An ninh mạng đang đi ngược tinh thần đó.
Ba tác động lớn nhất của dự thảo luật này là: thứ nhất, chi phí tuân thủ, bao gồm chi phí báo cáo, chi phí thanh kiểm tra – mà đi kèm đó là rủi ro nhũng nhiễu và đòi hỏi “bôi trơn”; thứ hai, nguy cơ mở đường cho giấy phép con, cháu; và thứ ba, chi phí đổ dồn lên toàn bộ nền kinh tế bởi các quy định về dữ liệu và máy chủ. Đáng lưu ý, các doanh nghiệp khởi nghiệp công nghệ – nhóm doanh nghiệp đang rất được khuyến khích, sẽ là nhóm đầu tiên trực tiếp hứng chịu tác động tiêu cực này.
Chi phí tuân thủ về đánh giá an ninh mạng, thanh kiểm tra, và trách nhiệm báo cáo về an ninh mạng
Trong dự thảo mới nhất phục vụ cho kỳ họp thứ 5, Quốc hội khoá 14, các vấn đề nêu trên được quy định ở các điều 11, 12, và 26.
Theo đó, các doanh nghiệp có sở hữu hệ thống thông tin sẽ phải chuẩn bị cho hoạt động thẩm định, thẩm tra về an ninh mạng. Nếu hệ thống thông tin của doanh nghiệp nằm trong Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, doanh nghiệp sẽ phải tuân thủ nghiêm ngặt các quy định về đánh giá điều kiện an ninh mạng và kiểm tra an ninh mạng tại điều 11,12.
Đáng nói là, kể cả nếu hệ thống thông tin của doanh nghiệp không nằm trong danh mục nói trên thì họ vẫn sẽ bị kiểm tra khi có yêu cầu quản lý nhà nước về an ninh mạng hoặc có hành vi vi phạm pháp luật về an ninh mạng.
Đối với các doanh nghiệp công nghệ, yêu cầu về xác thực thông tin tài khoản người dùng sẽ tác động trực tiếp đối với nhóm này. Điểm a, khoản 1, điều 26 yêu cầu doanh nghiệp phải thiết lập cơ chế xác thực thông tin người dùng đăng ký tài khoản số. Cơ quan chuyên trách an ninh mạng được phép tiếp cận thông tin người dùng khi có yêu cầu bằng văn bản. Điều này có thể làm doanh nghiệp công nghệ mất lợi thế cạnh tranh bởi để đáp ứng được yêu cầu cung cấp thông tin sẽ phải giảm chuẩn bảo mật. Trong khi đó, doanh nghiệp công nghệ phải cạnh tranh trong môi trường toàn cầu chứ không chỉ là Việt Nam. Hơn thế nữa, rủi ro xâm phạm quyền công dân có thể nảy sinh bởi quyền yêu cầu ở đây là cơ quan hành chính, trong khi đáng lẽ ra, nó phải được thực thi thông qua tòa án.
Các quy định trên đây, một mặt là những quy định không đủ rõ ràng; một mặt khác can thiệp sâu vào hoạt động của doanh nghiệp, làm phát sinh chi phí để thực hiện yêu cầu của cơ quan quản lý nhà nước. Bởi đã có hoạt động thẩm định, thẩm tra và báo cáo thì sẽ kèm theo đó là giấy phép, là chứng nhận, tạo môi trường nhũng nhiễu và đòi hỏi phí bôi trơn. Thiết nghĩ, đảm bảo an toàn là trách nhiệm tự thân của doanh nghiệp. Với khu vực tư nhân, dịch vụ đánh giá hay kiểm tra an ninh mạng để tự bảo vệ mình nên là dịch vụ tự nguyện của từng doanh nghiệp chứ không phải là yêu cầu hành chính như dự thảo luật đang quy định.
Chi phí tuân thủ về lưu trữ thông tin và máy chủ
Liên quan đến quy định về địa phương hóa dữ liệu, điểm d, khoản 2, điều 26 bắt buộc các doanh nghiệp, cả Việt Nam và nước ngoài, phải lưu trữ tại Việt Nam đối với thông tin cá nhân người sử dụng dịch vụ tại Việt Nam và các dữ liệu quan trọng liên quan đến an ninh quốc gia; đặt trụ sở hoặc văn phòng đại diện tại Việt Nam. Mặc dù không quy định trực tiếp yêu cầu đặt máy chủ như dự thảo đầu tiên nhưng về bản chất, nội dung hiện nay vẫn không thay đổi, đó là yêu cầu về địa phương hóa dữ liệu.
Yêu cầu địa phương hóa dữ liệu sẽ gây ra hai tác động lớn đối với toàn bộ nền kinh tế: (1) gây khó khăn cho hoạt động tiếp cận với thông tin, dữ liệu lớn quốc tế; các công nghệ, dịch vụ toàn cầu của doanh nghiệp trong nước; (2) làm giảm tính cạnh tranh của môi trường đầu tư đối với các nhà đầu tư nước ngoài. Mặc dù theo giải thích của Ban soạn thảo, yêu cầu hiện nay không áp dụng với tất cả các doanh nghiệp, cũng như không áp dụng với tất cả các loại thông tin, mà chỉ áp dụng với các thông tin quan trọng về an ninh quốc gia. Nhưng hiện nay dự thảo luật không có một tiêu chí nào xác định dữ liệu quan trọng liên quan đến an ninh quốc gia là dữ liệu nào. Cách quy định này hoàn toàn có khả năng bao trùm lên toàn bộ các hệ thống thông tin của nền kinh tế mà không có giới hạn nào. Nếu thực thi nghiêm ngặt, theo tính toán của Trung tâm Nghiên cứu Kinh tế – Chính trị châu Âu (ECIPE), quy định này có thể làm giảm tới 1,7% tăng trưởng GDP của Việt Nam.
Cuộc cách mạng công nghiệp 4.0 đang được lãnh đạo nước ta đặc biệt quan tâm, với quyết tâm nắm bắt được cơ hội lớn này và tạo sự phát triển đột phá. Nhưng cần nhớ rằng, các cuộc cách mạng dù là 1.0; 2.0, hay 3.0, động lực của nó vẫn là khối tư nhân, mà “trái tim” và “nguồn sống” của nó đến từ sức sáng tạo của khu vực tư. Nhà nước chỉ đóng vai trò tạo môi trường và không cản trở. Với ý nghĩa như vậy, nhiều quy định của dự thảo Luật An ninh mạng có thể tạo ra rào cản, tạo ra gánh nặng kéo lùi sự phát triển của khu vực tư nhân – đi ngược lại tinh thần thúc đẩy phát triển doanh nghiệp, đặc biệt là đối với nhóm doanh nghiệp khởi nghiệp. Với một dự thảo luật tác động tiêu cực và lâu dài đến tăng trưởng như vậy, các đại biểu Quốc hội cần phải xem xét cẩn trọng, thảo luận kỹ lưỡng. “ Bóng” vẫn nằm trong chân đại biểu.
Theo Nguyễn Quang Đồng/TBKTSG
Ý kiến của bạn về bài viết
Không có chức năng bình luận cho bài viết này