tích hợp vào tất cả các thành tố của sức mạnh quốc gia hơn là xem nó như là một chủ thể riêng rẽ, từ đó công tác bảo vệ cũng được củng cố trên mọi lĩnh vực.
Chiến lược không gian mạng quốc gia được bố cục thành các mục dựa trên bốn trụ cột chính:
Trụ cột I: Bảo vệ nhân dân, lãnh thổ và lối sống Hoa Kỳ. Trong đó nhấn mạnh ba lĩnh vực chính gồm: Cải thiện khả năng đáp trả của Chính phủ Liên bang trong sự biến động môi trường đe dọa đối với không gian mạng; Đảm bảo an toàn hạ tầng mạng trọng yếu; Đấu tranh chống lại tội phạm trên không gian mạng. Theo đó cần đẩy mạnh và cải thiện hiệu quả đáp trả của chính phủ trong sự biến động của môi trường đe dọa không gian mạng; bảo đảm an toàn hạ tầng mạng trọng yếu của Hoa Kỳ, tập trung vào giảm thiểu đe dọa; Đẩy mạnh chiến dịch chống lại tội phạm không gian mạng.
Trụ cột II: Thúc đẩy sự thịnh vượng của Hoa Kỳ, khuyến khích đầu tư ứng dụng các công nghệ mới cho an toàn không gian mạng, phát triển nhân lực an toàn không gian mạng. Phần này xác định ba nội dung chính là: Thúc đẩy nền kinh tế số năng động và kiên cường; Khích lệ và bảo vệ sự linh hoạt của Hoa Kỳ; và Xây dựng đội ngũ chuyên gia giỏi về không gian mạng.
Trụ cột III: Sử dụng sức mạnh để duy trì hòa bình với hai nội dung chính là nâng cao sự ổn định không gian mạng và xác định, ngăn chặn “hành vi không chấp nhận được trong không gian mạng”. Đây là mục ngắn gọn và có sự khác biệt đáng kể nhất so với Chiến lược năm 2003, thể hiện sự liên kết trực tiếp giữa an ninh không gian mạng với an ninh quốc gia.
Trụ cột IV: Tăng cường ảnh hưởng của Hoa Kỳ bao gồm việc “Thúc đẩy một Internet mở, giao tác, tin cậy và an toàn”; Mục này đưa ra các vấn đề và các hành động của chiến lược mới, các nguyên tắc của Hoa Kỳ có tác động lâu dài về không gian mạng. Thúc đẩy một Internet mở, giao tác, tin cậy và an toàn đã được tuyên bố trong nhiều tài liệu. Đáng lưu ý nhất là Chiến lược quốc tế về không gian mạng năm 2011 (The International Strategy for Cyberspace). Nguyên tắc này tái khẳng định chính sách mà Hoa Kỳ đã tiến hành tại các diễn đàn không gian mạng toàn cầu
trong 15 năm qua và đối lập với các quốc gia độc tài, những quốc gia “xem một Internet mở như là một đe dọa chính trị” – Theo quan điểm của Hoa Kỳ.
2.2. An ninh mạng của Châu Âu
Có thể bạn quan tâm!
-
Thống Kê, Đánh Giá Và Dự Báo Về Tình Hình An Ninh Mạng Của Việt Nam Trong Những Năm Gần Đây Và Thời Gian Sắp Tới -
Một Số Kiến Nghị Hoàn Thiện Pháp Luật An Ninh Mạng Của Việt Nam -
Pháp Luật Về An Ninh Mạng Của Một Số Nước Trên Thế Giới Và Kinh Nghiệm Cho Việt Nam -
Hoàn thiện pháp luật về an ninh mạng - 11 -
Hoàn thiện pháp luật về an ninh mạng - 12
Xem toàn bộ 104 trang tài liệu này.
Ba thành tố cấu tạo nên luật an ninh mạng trong EU bao gồm ENISA (European Union Agency for Cybersecurity), Chỉ thị về An ninh mạng và An ninh thông tin (NIS) (The Directive on security of network and information systems (NIS Directive (EU) 2016/1148)) và Tiêu chuẩn bảo vệ dữ liệu chung của EU (EU GDPR).
ENISA, Cơ quan về an ninh mạng và an ninh thông tin của Liên minh châu Âu EU, là cơ quan quản lý mà ban đầu được thành lập bởi các Quy định (EC) số 460/2004 của Nghị viện Châu Âu và của Hội đồng Liên minh châu Âu vào ngày 10/03/2004 với mục đích nâng cao an ninh mạng và an ninh thông tin, chỉ thị về an ninh mạng và an ninh thông tin (NIS), sự nhận thức cho tất cả các hoạt động liên mạng bên trong EU. ENISA hiện thời hoạt động dưới Quy định (EU) số 526/2013 để thay thế các quy định ban đầu vào năm 2013. ENISA làm việc tích cực với tất cả các nước thành viên của Liên minh châu Âu để cung cấp một loạt các dịch vụ. Trọng tâm của các hoạt động của họ tập trung vào ba yếu tố chính sau: Khuyến nghị các nước thành viên về quá trình hành động đối với vi phạm an ninh mạng; Xây dựng chính sách và hỗ trợ vấn đề thực hiện cho tất cả các thành viên EU; Hỗ trợ trực tiếp - ENISA trực tiếp làm việc với các đội nhóm hoạt động bên trong EU. ENISA đã phát hành các ấn phẩm khác nhau bao quát tất cả các vấn đề quan trọng liên quan đến an ninh mạng. Sáng kiến trong quá khứ và hiện tại của ENISA bao gồm: Chiến lược đám mây EU, các tiêu chuẩn mở trong Công nghệ Truyền thông Thông tin, Chiến lược An ninh mạng của EU và một nhóm điều phối An ninh mạng. ENISA cũng bắt tay hợp tác với các tổ chức tiêu chuẩn quốc tế hiện thời như ISO và ITU.
Chỉ thị về An ninh mạng và An ninh thông tin (NIS) là quy định pháp luật đầu tiên ở cấp độ liên minh Châu Âu về vấn đề an ninh mạng. Vào ngày 06/07/2016, Nghị viện châu Âu đưa Chỉ thị về an ninh của mạng và hệ thống thông tin (chỉ thị NIS) thành chính sách, tất cả các quốc gia thành viên của Liên minh
châu Âu được cho 21 tháng để tích hợp các luật lệ của chỉ thị này vào luật quốc gia riêng của họ. Mục đích của Chỉ thị NIS này là tạo ra một mức độ an ninh mạng tổng thể cao hơn trong EU. Các quốc gia thành viên của EU được yêu cầu phải tạo ra một chiến lược chỉ thị NIS bao gồm các đội phản ứng nhanh sự cố an ninh máy tính bên cạnh các cơ quan có thẩm quyền quốc gia và các cơ quan điều phối; phải áp dụng các yêu cầu đảm bảo an ninh thông tin và nghĩa vụ thông báo khi xảy ra vi phạm đối với các nhà cung cấp dịch vụ thiết yếu ở quốc gia đó, trong cả lĩnh vực công và tư (vận tải, ngân hàng tài chính) và quy định biện pháp chế tài trong trường hợp vi phạm60. Các nhà cung cấp dịch vụ số (ví dụ điện toán đám mây, thương mại điện tử, công cụ tìm kiếm trực tuyến) cũng phải tuân thủ các quy định về an ninh và thông báo vi phạm theo Chỉ thị này.
Tiêu chuẩn bảo vệ dữ liệu chung của EU (EU GDPR) quy định chung về bảo vệ dữ liệu của EU, GDPR, ra đời vào ngay 14/04/2016, tuy nhiên ngày thực thi là 25/5/2018. Các quy định chung này nhằm mang lại một tiêu chuẩn duy nhất để bảo vệ dữ liệu và quyền riêng tư giữa tất cả các nước thành viên trong EU. Quy định không chỉ áp dụng cho các tổ chức hoạt động trong EU mà còn áp dụng cho các tổ chức xử lý dữ liệu của bất kỳ cư dân nào của EU. Bất kể nơi nào dữ liệu được xử lý, nếu dữ liệu của một công dân EU đang được xử lý, các tổ chức hiện tại phải tuân theo quy định này. Tiền phạt cũng trở nên nặng hơn và tổng cộng có thể lên tới 20 triệu euro hay 4% doanh thu hàng năm. Các công ty nắm giữ dữ liệu liên quan đến công dân EU hiện thời cũng phải cung cấp cho các công dân quyền được từ chối chia sẻ dữ liệu dễ dàng như việc người dân đồng ý chia sẻ chúng. Ngoài ra, người dân cũng có thể hạn chế việc xử lý các dữ liệu được lưu trữ về họ; họ có thể chọn lựa để cho phép các công ty lưu trữ dữ liệu của họ nhưng không xử lý nó, do đó, điều này tạo ra một sự khác biệt rõ ràng. Khác với các quy định trước đây, GDPR cũng hạn chế việc chuyển giao dữ liệu của một công dân ra bên ngoài EU hoặc cho một bên thứ ba mà không có sự đồng ý trước của công dân đó. 61
60 “The Directive on security of netwwork and information systems (NIS Directive)”. Tham khảo tại: https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive. Truy cập ngày 23/05/2020
61 Tham khảo tại: https://viettimes.vn/luat-an-ninh-mang-o-cac-nuoc-chau-au-va-my-149360.html. Truy cập ngày 23/05/2020
Ngoài ra, vấn đề trách nhiệm của các bên có liên quan trọng việc đảm bảo tính trung thực và toàn vẹn của thông tin trong quá trình hoạt động được đề cập trong các văn bản khác của EU như: Chỉ thị 2002/21/EC của EU về truyền thông điện tử (The EU electronic communications Directive 2002/21/EC) yêu cầu các bên vận hành hệ thống truyền thông công cộng và dịch vụ truyền thông điện tử phải đảm bảo an toàn thông tin trong quá trình hoạt động; Chỉ thị 2009/140 EC (Directive 2009/140 EC (Telecom Package)) yêu cầu các nhà cung cấp dịch vụ viễn thông phải đảm bảo tính trung thực của thông tin và thông báo về các sự cố; Chỉ thị về bảo mật dữ liệu (EU Data privacy rules and ePrivacy Directive) cũng yêu cầu bên vận hành phải đảm bảo tính trung thực và bảo mật thông tin.
2.3. An ninh mạng của Trung Quốc
Luật An ninh Mạng của Trung Quốc được thông qua vào tháng 11/2016 và có hiệu lực thi hành từ ngày 01/06/2017 bởi Ủy ban Thường vụ Đại hội Đại biểu Nhân dân Toàn quốc Cộng hòa Nhân dân Trung Hoa nhằm tăng cường an ninh mạng và an ninh quốc gia, bảo vệ chủ quyền không gian mạng và lợi ích công cộng, bảo vệ quyền và lợi ích hợp pháp của công dân, pháp nhân và các tổ chức khác và thúc đẩy phát triển kinh tế và xã hội lành mạnh.. Đây là luật đầu tiên của Trung Quốc điều chỉnh các vấn đề về không gian mạng, bao gồm việc thành lập, hoạt động, duy trì và sử dụng hệ thống mạng tại Trung Quốc và việc giám sát và quản lý an ninh mạng.62 Luật tạo ra Nguyên tắc chủ quyền không gian mạng; Xác định nghĩa vụ bảo mật của các nhà cung cấp sản phẩm và dịch vụ internet; Nêu chi tiết nghĩa vụ bảo mật của nhà cung cấp dịch vụ Internet (ISP); Hoàn thiện hơn nữa các quy tắc bảo vệ thông tin cá nhân; Thiết lập một hệ thống bảo mật cho cơ sở hạ tầng thông tin quan trọng.
Như đã nêu ở phần trên, khái niệm "an ninh mạng" của Trung Quốc rộng hơn nhiều so với khái niệm thông thường ở các nước phương Tây. Bất kỳ thông tin số nào ảnh hưởng đến tính ổn định của xã hội và chính trị đều có thể bị xem là một mối nguy về an ninh mạng. Do vậy, luật an ninh mạng Trung Quốc được xem là
62 Tham khảo tại: https://www.lexology.com/library/detail.aspx?g=e09bb238-86dc-4037-8e22-3746f3d8f4f9. Truy cập ngày 23/05/2020
công cụ của nhà cầm quyền để kiểm soát thông tin trên Internet và đảm bảo an ninh quốc gia, tức đảm bảo sự toàn vẹn lãnh thổ, tính ổn định về kinh tế, xã hội và trật tự xã hội.
Nhìn chung, các quy định của luật an ninh mạng Trung Quốc khá tương đồng với luật an ninh mạng của Việt Nam. Một số quy định có thể kể đến:
Yêu cầu đối với các bên điều hành hệ thống mạng: Các bên "điều hành hệ thống mạng” được định nghĩa rộng, có thể được diễn giải bao gồm các nhà cung cấp hạ tầng Internet hay bất kỳ tổ chức nào sử dụng máy vi tính hoặc cổng thông tin như website, ứng dụng di động, nền tảng di động, nơi thông tin được lưu giữ, trao đổi hoặc xử lý. Các nghĩa vụ và yêu cầu đối với các bên "điều hành hệ thống mạng" như xây dựng quy định nội bộ và quản lý hệ thống mạng, bổ nhiệm người chuyên trách về an ninh mạng, xây dựng kế hoạch ứng phó khẩn cấp đối với các sự cố an ninh mạng, hỗ trợ kỹ thuật và hợp tác với cơ quan nhà nước trong việc đảm bảo an ninh quốc gia và điều tra tội phạm, tuân thủ quy định trong thu thập, sử dụng và tiết lộ thông tin cá nhân.
Địa phương hóa dữ liệu: Các bên điều hành hệ thống thông tin thiết yếu bị yêu cầu phải lưu trữ các thông tin cá nhân và các thông tin quan trọng khác tại lãnh thổ Trung Quốc và cần phải có đánh giá và chấp thuận về an ninh từ các cơ quan có thẩm quyền của Trung Quốc trước khi chuyển thông tin hay dữ liệu ra nước ngoài.
III. Kiến nghị hoàn thiện pháp luật và thực thi hiệu quả Luật An ninh mạng của Việt Nam
1. Hoàn thiện pháp luật
Từ lúc cuộc tấn công mạng lớn nhất trong lịch sử - WannaCry diễn ra vào 5/2017, các quy định về an ninh mạng toàn cầu mới cần được cải thiện một cách toàn diện. Thực tế, chúng ta đã được chứng kiến nhiều sự hợp tác toàn cầu giữa các cơ quan thực thi pháp luật nhằm hoàn thiện hệ thống pháp lý trong thời gian gần đây. Tuy nhiên hệ thống pháp luật của mỗi quốc gia luôn tồn tại lỗ hổng và hạn chế nhất định. Như đã chỉ ra ở phần trước thì đối với Việt Nam, pháp luật an ninh mạng đang vướng phải những vấn đề như: chồng chéo quy phạm; hạn chế trong cách quy định và thiếu hụt văn
bản hướng dẫn; thiếu đi một chiến lược an ninh mạng định hướng lâu dài,... Và để cải thiện tất cả những hạn chế này, chúng ta phải cố gắng trong không chỉ một hai năm mà có thể là hàng chục năm, trên nhiều lĩnh vực khác nhau.
Đầu tiên, cần thể chế hóa đầy đủ, kịp thời các chủ trương, đường lối của Đảng về an ninh mạng. Quan điểm, tư tưởng chỉ đạo của Đảng, Nhà nước về an ninh mạng đã thể hiện rõ, nhất quán, có hệ thống và phù hợp với từng thời kỳ, kịp thời điều chỉnh, đưa ra các quan điểm, tư tưởng chỉ đạo về vấn đề an ninh mạng trong tình hình mới. Đây là nền tảng và cơ sở để hoàn thiện hệ thống pháp luật mang màu sắc quốc gia, phù hợp với tình hình chính trị- xã hội của Việt Nam. Ngoài ra, quá trình pháp luật hóa, các quy định phải không được vi phạm nguyên tắc cơ bản của Hiến pháp.
Vấn đề về chồng chéo quy phạm, trùng dẫm trong thực hiện chức năng, nhiệm vụ bảo vệ an ninh mạng giữa các bộ, ngành chức năng, không còn cách nào khác ngoài yêu cầu rà soát, kiểm tra lại hệ thống pháp luật. Một số quy định của LANM là không cần thiết và không phù hợp trong thời đại công nghệ số hiện nay, khi các quy định này không chỉ chồng chéo với luật hiện hành mà còn tạo gánh nặng và rủi ro cao hơn cho các doanh nghiệp kinh doanh dịch vụ trong không gian mạng. Theo đó, những quy định nào trùng lặp thì có thể gộp hoặc bãi bỏ, nếu cùng điều chỉnh một vấn đề nhưng lại theo nhiều hướng khác nhau thì cần thống nhất quan điểm, đưa ra cách xử lý phù hợp. Việc tập hợp tất cả các quy phạm liên quan đến an ninh mạng hiện hành về một văn bản duy nhất là điều bất khả thi do có quá nhiều lĩnh vực điều chỉnh với đặc thù khác nhau, sẽ dẫn đến tình trạng hỗn loạn. Do vậy, nên lấy cơ sở từ LANM đối sánh với các quy định của Luật chuyên ngành khác, từ đó tìm ra điểm trùng nhau hoặc chưa thống nhất để giải quyết. Việc kiểm tra pháp luật cũng giúp cho các cơ quan chức năng hiểu và phân định rõ chức năng, trách nhiệm và quyền hạn của họ, tránh trường hợp làm sang phần việc của cơ quan khác, hay tự suy ra quy trình làm việc cho mình mà không có căn cứ pháp lý nào.
Thứ hai đó là chưa có văn bản hướng dẫn LANM, quy định về công tác an ninh mạng. Các quy định hiện nay chưa đáp ứng được yêu cầu thực tiễn của công
tác an ninh mạng đặt ra trong tình hình mới, còn thiếu sót về các quy trình ứng phó với tấn công mạng, khắc phục hậu quả các cuộc tấn công mạng gây ra trên từng lĩnh vực xã hội, bảo đảm an toàn thông tin cá nhân trong trường hợp phải cung cấp vì lý do an ninh... Thực trạng này đã gây khó khăn, vướng mắc trong tổ chức, triển khai các phương án bảo đảm an ninh thông tin, an ninh mạng cũng như trong công tác phòng ngừa, đấu tranh ngăn chặn các hoạt động sử dụng internet để xâm phạm an ninh quốc gia, trật tự an toàn xã hội. Trong giai đoạn nghị định hướng dẫn LANM chưa được ban hành, với quy định chung chung của LANM, khả năng lạm quyền của cơ quan nhà nước có thể tăng và theo đó, tăng rủi ro xâm phạm các quyền cơ bản của công dân liên quan đến tự do ngôn luận và bảo mật thông tin cá nhân. Do đó, cần đẩy nhanh tiền độ xây dựng và ban hành các văn bản hướng dẫn, cụ thể hóa các quy trình và khắc phục hạn chế đang tồn tại.
LANM quy định các biện pháp nghiệp vụ an ninh mạng, trong đó có một số biện pháp có khả năng ảnh hưởng tới quyền con người, quyền và nghĩa vụ cơ bản của công dân như giám sát an ninh mạng, hạn chế thông tin mạng… bên cạnh đó là những hành vi bị cấm, thì phải cụ thể hơn về điều này, dù ranh giới của nó mong manh, nhưng việc quy định rõ ràng sẽ là cơ sở để người dân thực hiện các quyền tự do của mình mà không vi phạm phát luật, ví dụ:
Biện pháp bảo vệ an ninh mạng cần quy định rõ:
1. Trường hợp nào sẽ áp dụng biện pháp nào, cần quy định chi tiết từng biện pháp cho từng loại thông tin bị quản lý;
2. Quy trình, thủ tục để áp dụng;
3. Mức độ áp dụng, thời gian áp dụng;
4. Quyền lợi của các doanh nghiệp có liên quan;
5. Phải phân định rõ ràng thẩm quyền của Lực lượng chuyên trách và thẩm quyền của Tòa án;
Nghĩa vụ của doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng: cần quy định rõ:
1. Trường hợp nào cơ quan nhà nước có thể yêu cầu cung cấp thông tin, cụ
thể thời điểm và tài liệu, chứng cứ yêu cầu để xem là có hành vi vi phạm pháp luật (ví dụ: chỉ được phép thực hiện khi có lệnh yêu cầu từ Toà án);
2. Mức độ và loại thông tin được cung cấp.
3. Các trường hợp nào mới cần xác thực thông tin người dùng;
4. Mức độ thông tin cần phải xác thực (nên hạn chế ở các thông tin tối thiểu);
Kiểm tra an ninh mạng cần quy định rõ:
1. Trường hợp nào cơ quan nhà nước có thể kiểm tra hệ thống thông tin của tổ chức khác, cụ thể thời điểm và tài liệu, chứng cứ yêu cầu để xem là có hành vi vi phạm pháp luật (chỉ được phép thực hiện khi có lệnh yêu cầu từ Toà án);
2. Mức độ và loại thông tin mà lực lượng chuyên trách được phép tiếp cận;
3. Trình tự, thủ tục và tài liệu yêu cầu mà lực lượng chuyên trách phải thực hiện để tiến hành việc kiểm tra;
4. Trình tự, thủ tục kiểm tra an ninh mạng (cho phép các đối tượng liên quan được khiếu nại, khiếu kiện);
5. Trường hợp nào biên bản kiểm tra được bảo mật, các trường hợp còn lại phải công khai.
Cuối cùng, tiếp thu những điểm tiến bộ của pháp luật an ninh mạng trên thế giới, ứng dụng phù hợp với điều kiện của Việt Nam. Có rất nhiều sáng kiến liên quan đến các vấn đề của an ninh mạng được thúc đẩy bởi các tổ chức quốc tế như Diễn đàn Kinh tế Thế giới(WEF), Liên đoàn và Hiệp hội quản lý rủi ro châu Âu (FERMA), Tổ chức Hợp tác và Phát triển Kinh tế (OECD) hay Diễn đàn quản lý Internet (IGF),....hoặc luật pháp và sự hợp tác giữa những ông lớn như châu Âu và Mỹ là một phần vô cùng quan trọng trong vấn đề bảo vệ an ninh mạng và phòng chống tội phạm công nghệ cao, đóng vai trò như một tấm gương để các khu vực khác trên thế giới học hỏi theo, bao gồm cả Việt Nam. Hợp tác quốc tế về an ninh mạng cần được tăng cường, thực hiện trên cơ sở tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ, không can thiệp vào công việc nội bộ của nhau, bình đẳng và cùng có lợi. Nội dung hợp tác quốc tế về an ninh mạng bao gồm: Nghiên cứu, phân tích xu hướng an ninh mạng; Xây dựng cơ chế, chính sách đẩy mạnh hợp tác giữa