4.Tội phạm mạng
Mạng internet toàn cầu đang trở thành một “mảnh đất màu mỡ” cho đủ loại tội phạm sinh sôi nảy nở với tác hại khôn lường. Theo số liệu báo cáo của Tổ chức Cảnh sát Hình sự quốc tế, tội phạm sử dụng công nghệ cao, cụ thể là tội phạm mạng đứng thứ 2 trong các loại tội phạm nguy hiểm nhất hiện nay, tức là chỉ sau tội phạm khủng bố. Qua thống kê cho thấy phần lớn các loại tội phạm truyền thống đã chuyển sang môi trường mạng hoặc có sử dụng các thiết bị công nghệ cao để hoạt động và thực hiện các hành vi phạm tội.
Tội phạm mạng hay tội phạm không gian ảo (Cyber criminal) là bất kỳ hành động phi pháp nào liên quan đến một máy tính hoặc một mạng máy tính. Các máy tính có thể được dùng như phương tiện để thực hiện các hoạt động phạm pháp hoặc cũng có thể là mục tiêu của hành vi phạm tội. Tội phạm mạng có liên quan mật thiết với hình thức tội phạm công nghệ cao, đó là những hành vi phạm pháp có chủ đích đối với một cá nhân, một nhóm người hay một tổ chức nào đó, gây ảnh hưởng xấu đến danh tiếng của nạn nhân hoặc gây hại về mặt vật chất hoặc tinh thần cho nạn nhân một cách trực tiếp hoặc gián tiếp bằng những công nghệ hiện đại, phần lớn liên quan đến mạng viễn thông như Internet (việc này cũng bao gồm các nhóm chat, email, mạng xã hội,....) và điện thoại (các công nghệ Bluetooth, 3G, SMS, MMS,...). Tội phạm mạng nói chung đã và đang phát triển mạnh, báo cáo của Microsoft cũng cho thấy tội phạm mạng ngày càng trở nên tinh vi hơn khi thực hiện việc mô hình hóa hoạt động của chúng dưới dạng các quy trình nghiệp vụ phổ biến để lừa người sử dụng nhằm đánh cắp và gian lận các thông tin quan trọng, phá hủy hệ thống thông tin.
LANM của Việt Nam định nghĩa tội phạm mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện tội phạm được quy định tại Bộ luật Hình sự. Pháp luật hình sự Việt Nam không đưa ra khái niệm tội phạm mạng nhưng lại có cách quy định điều chỉnh thông qua lĩnh vực hoạt động và từng loại hành vi trái pháp luật của chúng. Tội phạm mạng thực hiện hành vi trái pháp luật thông qua rất nhiều hoạt động như đánh cắp,
tống tiền thông tin, phá hủy dữ liệu,... với các hình thức như phát tán mã độc, truy cập trái phép,... Bộ luật hình sự gián tiếp định nghĩa tội phạm mạng bằng cách quy định sự thể hiện của chúng:
Ví dụ: Trong BLHS, ở Chương XXI, Mục 2 về Tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông:
Điều 287 BLHS quy định Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử là người nào tự ý xóa, làm tổn hại hoặc thay đổi phần mềm, dữ liệu điện tử hoặc ngăn chặn trái phép việc truyền tải dữ liệu của mạng máy tính, mạng viễn thông, phương tiện điện tử hoặc có hành vi khác cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử.
Điều 289 BLHS quy định Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử là người nào cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác chiếm quyền điều khiển; can thiệp vào chức năng hoạt động của phương tiện điện tử; lấy cắp, thay đổi, hủy hoại, làm giả dữ liệu hoặc sử dụng trái phép các dịch vụ.
Có thể bạn quan tâm!
-
Hoàn thiện pháp luật về an ninh mạng - 1 -
Hoàn thiện pháp luật về an ninh mạng - 2 -
Hoàn thiện pháp luật về an ninh mạng - 3 -
Hoàn thiện pháp luật về an ninh mạng - 5 -
Thực Trạng An Ninh Mạng Trên Thế Giới Và Ở Việt Nam -
Thống Kê, Đánh Giá Và Dự Báo Về Tình Hình An Ninh Mạng Của Việt Nam Trong Những Năm Gần Đây Và Thời Gian Sắp Tới
Xem toàn bộ 104 trang tài liệu này.
...
Tuy có thể chưa bao quát được toàn bộ các hành vi nhưng nó cũng đã tác động đến phần lớn các dạng hành vi mà tội phạm mạng thường thực hiện, tùy theo từng mức độ và tính chất mà có phương án xử lý phù hợp. Qua đó góp phần phòng chống tội phạm công nghệ cao, tội phạm mạng và bảo vệ an ninh mạng nói chung.
5. Khủng bố mạng
Khủng bố mạng là việc sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện hành vi khủng bố, tài trợ khủng bố. Hiểu một các nôm na thì đó là những đối tượng và phẩn tử khủng bố thực hiện hành vi qua không gian mạng để đạt được mục đích.
Khủng bố là hoạt động phá hoại, đe dọa bằng lời nói, hình ảnh hoặc video do
cá nhân hoặc tổ chức thực hiện làm thiệt mạng, đặc biệt là thường dân, hoặc gây tổn thất cho xã hội và cộng đồng để tác động vào tâm lý đối phương gây hoang mang khiếp sợ, nhằm mục đích chính trị hoặc tôn giáo (các cuộc tấn công nhằm vào các mục tiêu quân sự khi đang diễn ra xung đột vũ trang dù có gây thiệt mạng cho dân thường vẫn không được coi là khủng bố). Định nghĩa chung của chủ nghĩa khủng bố chỉ đề cập đến những hành vi bạo lực được dự định để tạo ra sự sợ hãi tạo ra nhằm mục tiêu tôn giáo, chính trị hay ý thức hệ; và cố tình nhắm vào các mục tiêu hoặc không quan tâm đến sự an toàn của những người không có khả năng tự vệ. Một đặc tính thống nhất của khủng bố là việc sử dụng bừa bãi bạo lực đối với những người không có khả năng chống cự với mục đích là sự nổi tiếng cho một nhóm, một phong trào, một cá nhân hoặc gây áp lực lên đối thủ chính trị buộc họ phải chấp nhận một giải pháp chính trị có lợi cho mình.
Khủng bố mạng là một phần của chủ nghĩa khủng bố được mở rộng và hoạt động trên lĩnh vực công nghệ thông tin và không gian mạng. Cũng có bản chất của chủ nghĩa khủng bố nên khủng bố mạng nhắm tới sự hoang mang, nỗi khiếp sợ trong nội bộ hoặc trong cộng đồng. Khủng bố mạng với sự phá hoại một cách công khai, trên phạm vi rộng, trực tiếp ảnh hưởng đến cuộc sống và sự ổn định xã hội. Khi hệ thống thông tin hoặc dữ liệu của Nhà Nước bị tấn công sẽ tác động tới các hoạt động bình thường của đất nước có thể gây xôn xao dư luận và mất trật tự an ninh xã hội, chưa kể những tin đồn xuyên tạc với mục tiêu gây bất ổn chính trị, chiêu trò diễn biến hòa bình với hình thức khác nhau trên mạng Internet,... là những thứ mà khủng bố mạng nhắm đến.
6. Gián điệp mạng
Theo LANM, gián điệp mạng là hành vi cố ý vượt qua cảnh báo, mã truy cập, mật mã, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác để chiếm đoạt, thu thập trái phép thông tin, tài nguyên thông tin trên mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử của cơ quan, tổ chức, cá nhân.
Theo định nghĩa này thì có thể thấy rõ tiêu chí để phân biệt gián điệp mạng với khủng bố mạng hay tội phạm mạng, đó là mục tiêu và cách thức thực hiện của chúng. Nếu như khủng bố mạng tấn công công khai làm hoang mang, hoảng sợ nhằm mục đích chính trị thì gián điệp mạng lại tấn công ngầm với mục đích là tài nguyên thông tin hoặc theo dõi hoạt động một cách trái phép. Hành vi xâm nhập trái phép hệ thống mạng để thu thập thông tin được làm rõ và xử lý theo Điều 289 BLHS về Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác như đã phân tích ở phần trước.
Thông thường, gián điệp mạng sẽ sử dụng những mã độc, phần mềm gián điệp để thực hiện hành vi. Phần mềm gián điệp (Spyware) được biết đến như là những phần mềm được cài đặt bí mật hoặc lén lút vào một hệ thống thông tin để thu thập thông tin về cá nhân hoặc các tổ chức mà họ không hề biết đến sự tồn tại đó; là một loại mã độc.18 Với tính chất môi trường không gian mạng thì gián điệp mạng có rất nhiều lợi thế, cực kỳ khó nắm bắt và định danh. Chúng không bị hạn chế bởi những giới hạn không gian và thời gian thông thường nên có thể đột nhập vào nhiều mục tiêu một lúc, trong một thời gian dài, ít rủi ro thực tế, không cần qua các bước trung gian... Gián điệp mạng cũng rất khó bị bại lộ thân phận, cho dù hoạt động gián điệp có bị phát hiện, việc lần ra địa chỉ tốn rất nhiều thời gian.
III. Điểm hạn chế trong pháp luật về an ninh mạng của Việt Nam
1. Sự trùng lặp pháp luật
LANM tới năm 2019 mới có hiệu lực thi hành nhưng trước đó, manh nha về nó đã xuất hiện trong hệ thống pháp luật và nằm rải rác ở những văn bản khác nhau, phần nào đó đã có tác động tới tình hình an ninh mạng nói chung. Kể cả sau khi LANM có hiệu lực thi hành thì những căn cứ đó vẫn có tác dụng bổ sung cho việc thực thi, áp dụng, giải thích trong một số trường hợp thuộc lĩnh vực thuộc chuyên ngành. Tuy nhiên, điều này đôi lúc cũng gây ra một hiện tượng không hiếm gặp của pháp luật Việt Nam đó là sự chồng chéo, quy định trùng lặp hoặc quy định khác nhau về một vấn
18 Nguyên văn: “Spyware – Software that is secretly or surreptitiously installed into an information system to gather information on individuals or organizations without their knowledge; a type of malicious code.” . Tham khảo tại: https://nvlpubs.nist.gov/nistpubs/ir/2013/nist.ir.7298r2.pdf. Truy cập ngày 07/05/2020
đề,... Để làm rõ hơn về sự trùng lặp pháp luật này, chúng ta cần có cơ sở so sánh, từ đó nhìn ra những điểm giống, khác nhau giữa các quy định và xem có thể tăng khả năng bảo vệ an ninh mạng của Việt Nam hay không và có ảnh hưởng tiêu cực nào đối với không chỉ cá nhân mà còn tất cả các doanh nghiệp đang kinh doanh dịch vụ trên không gian mạng và hệ thống thông tin quốc gia nói chung không.
Điểm qua nội dung của một số quy định và văn bản pháp luật có liên quan đến lĩnh vực an ninh mạng:
Thứ nhất, Hiến pháp 2013 với những nguyên tắc bảo vệ quyền tự do ngôn luận, quyền bí mật về thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin khác, quyền bất khả xâm phạm về đời sống riêng tư và bí mật cá nhân. Quyền tự do ngôn luận bao gồm cả với những phát biểu, bình luận trên mạng xã hội, quyền bất khả xâm phạm về bí mật cá nhân bao gồm những dữ liệu trên máy tính hay những cuộc hội thoại cá nhân trên không gian mạng. Đây là những quyền tự do cơ bản mà hầu hết các nước tiến bộ trên thế giới đều công nhận, thể hiện sự văn minh và tôn trọng đối với con người, chúng dần được mở rộng ra theo sự phát triển của xã hội mà cụ thể là với những hoạt động trên không gian mạng.
Thứ hai, những bộ luật quan trọng như Bộ Luật Hình sự với quy định các tội xâm phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông; Bộ Luật Dân sự 2015 cũng có quy định bảo vệ đời sống riêng tư, bí mật cá nhân (Điều 38). Đối với những Luật chuyên ngành: LATTTM 2015 quy định bảo đảm an toàn thông tin mạng, bảo vệ hệ thống thông tin tránh đột nhập trái phép hay phá hoại dữ liệu; Luật Công nghệ thông tin nghiêm cấm hành vi trộm cắp, lưu trữ và sử dụng thông tin của cá nhân và tổ chức một cách phi pháp (Điều 72); Luật Viễn thông 2009 quy định bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh thông tin, bí mật thông tin với tài nguyên viễn thông... Bên cạnh đó, những nghị định, thông tư hướng dẫn, bổ sung và giải thích cũng không hề ít: Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ (Hướng dẫn Luật an toàn thông tin mạng) xác định bảo mật và an toàn dữ liệu, hệ thống và trách nhiệm bảo đảm an toàn thông tin theo từng cấp độ, áp dụng với các chủ thể có liên quan đến hoạt động xây dựng, quản lý hệ
thống thông tin như cơ quan, tổ chức, cá nhân; Thông tư 24/2015/TT-BTTTT quy định về quản lý và sử dụng tài nguyên Internet cũng có phần về giải quyết tranh chấp giữa các chủ thể tham gia hoạt động trên mạng Internet; Thông tư 31/2017/TT- BTTTT quy định về hoạt động giám sát an toàn hệ thống thông tin với nhiều phương thức khác nhau và nghĩa vụ của các chủ thể liên quan.
Các quy định này hiện được thể hiện chung chung và không rõ ràng theo LANM, có khả năng tạo điều kiện cho các cơ quan nhà nước giải thích và áp dụng một cách tùy tiện, đồng thời gây khó khăn cho các doanh nghiệp cung cấp dịch vụ trên không gian mạng và tăng nguy cơ xâm phạm các quyền cơ bản của công dân liên quan đến tự do ngôn luận và bảo mật thông tin cá nhân. Sự trùng lặp giữa các quy định của LANM và các quy định của pháp luật hiện hành được phân tích như sau:
LATTTM và LANM có nhiều quy định trùng lặp:
Có hai cách giải thích về “hệ thống thông tin quan trọng quốc gia”, dẫn đến tồn tại hai hệ thống phân loại, đánh giá và thẩm định về các hệ thống thông tin quan trọng đối với quốc gia.
Điều 10 LANM: Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm phạm nghiêm trọng an ninh mạng.
Điều 3 LATTTM: Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
...
LATTTM quy định về đánh giá tiêu chuẩn về an toàn thông tin mạng, doanh nghiệp kinh doanh lĩnh vực an toàn thông tin, phải được sự thẩm định, cấp phép của Bộ Thông tin và Truyền thông. Bản thân trong Luật này cũng quy định các đơn vị chức năng thuộc Bộ Thông tin và Truyền thông, Bộ Quốc phòng có trách nhiệm tham gia chứng nhận, thẩm định các điều kiện. Phía LANM cũng có quy định tương tự nhưng lại thêm sự phối hợp kiểm tra thẩm định của Bộ Công an. Như vậy sẽ gây ra khó khăn cho doanh nghiệp, tốn kém thời gian và kinh phí do không biết cấp nào mới là cấp cuối cùng ra quyết định, cấp nọ đè lên cấp kia với thủ tục phức tạp.
Khoản 3 Điều 8 LANM nghiêm cấm hành vi phát tán các chương trình tin học gây hại cho hoạt động của hệ thống mạng, trong khi đó, hành vi này đã được quy định tại khoản 4 Điều 7 LATTTM19 và bị xử lý hình sự theo Điều 286 BLHS (Tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử).
Khái niệm Gián điệp mạng theo LANM là hành vi cố ý vượt qua cảnh báo, mã truy cập, mật mã, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác để chiếm đoạt, thu thập trái phép thông tin, tài nguyên thông tin trên mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử của cơ quan, tổ chức, cá nhân. Hành vi này có sự trùng lặp với các hành vi bị nghiêm cấm tại Điều 7 LATTTM, cụ thể:
“Điều 7. Các hành vi bị nghiêm cấm
3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.”
Điều 15 LANM quy định về hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia thì cũng đã được quy định tại Điều 13, 14 LATTTM về ứng cứu sự cố an toàn thông tin mạng và ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia. Đó là còn chưa kể đến một quyết định quy định chi tiết về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia của Thủ tướng Chính phủ.20
19 Khoản 4 Điều 7 về các hành vi bị nghiêm cấm, Luật An toàn thông tin mạng: “Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo”.
20 Thủ tướng Chính phủ, Quyết định số 05/2017/QĐ-TTg về Ban hành quy định về hệ thống phương án ứng
cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia
Còn rất nhiều điểm “tuy giống mà khác” của hai văn bản luật này, cùng một vấn đề nhưng lại có hai hướng giải thích khác nhau, gây ra sự không thống nhất, chồng chéo trong quy định và khó khăn trong áp dụng. Bảo vệ hệ thống kỹ thuật là vấn đề cốt lõi trong bảo vệ an ninh mạng tuy nhiên chúng lại được quy định một cách không chặt chẽ, từ hành vi phá hoại hệ thống kỹ thuật trên không gian mạng, hệ thống thông tin quan trọng về an ninh quốc gia hay hoạt động thẩm định an ninh mạng, đánh giá điều kiện an ninh mạng tới hoạt động ứng phó, khắc phục sự cố an ninh mạng, đều có những lỗ hổng do sự trùng lặp pháp luật như đã phân tích ở trên. Qua rà soát hệ thống pháp luật của một số quốc gia trên thế giới như Anh, Mỹ, Nhật, Úc... cho thấy, các quốc gia này không phân tách “cyber security” thành “an ninh mạng” và “an toàn thông tin mạng” như ở nước ta, mà thống nhất giao một đầu mối thực hiện chức năng quản lý nhà nước, căn cứ vào chức năng, nhiệm vụ của các bộ, ngành để có sự phân công phù hợp. Hai vấn đề trên đã dẫn tới công tác bảo vệ an ninh mạng chưa được triển khai trên tất cả các lĩnh vực, đối tượng mà không gian mạng bao phủ và hiện đang có ảnh hưởng sâu sắc.
2. Hạn chế trong cách quy định và sự thiếu hụt văn bản hướng dẫn
2.1. Quản lý nội dung trên không gian mạng
Quản lý nội dung thông tin trên không gian mạng là nội dung rất quan trọng đối với pháp luật an ninh mạng. Quy định về nội dung thông tin bị nghiêm cấm trên mạng tại LANM không mới và cũng đã được quy định rải rác tại nhiều văn bản khác nhau như Luật Công nghệ thông tin, Luật tiếp cận thông tin, Luật Viễn thông và Nghị định số 72/2013/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng. Bên cạnh đó, đa phần các hành vi này cũng được quy định là tội phạm theo BLHS. Vừa hoạt động quản lý thông tin trên không gian mạng, kiểm soát các luồng thông tin và vừa giữ cho dữ liệu cá nhân không bị xâm phạm, không ảnh hưởng đến quyền riêng tư, bí mật thông tin của các chủ thể là nhiệm vụ rất khó khăn để có thể thực hiện đồng thời hiệu quả. Thời gian đầu khi LANM mới có hiệu lực, hoặc thậm chí ngay khi nó còn nằm trên dự thảo, đã có không ít ý kiến trái chiều đưa ra để chỉ trích LANM thu hẹp, cản trở quyền tự do dân chủ của người dân khiến cho quyền lợi của họ bị hạn chế, đặc biệt là quyền tự do ngôn luận.