Pháp Luật Về An Ninh Mạng Của Một Số Nước Trên Thế Giới Và Kinh Nghiệm Cho Việt Nam


có nền công nghệ tiên tiến hàng đầu như Mỹ, Canada, Anh,... đều có cho mình nền pháp luật an ninh mạng phát triển cùng chiến lược bảo đảm an ninh không gian mạng định hướng lâu dài. Tham khảo cách họ làm, kinh nghiệm từ những vụ việc thực tế hoặc kỹ thuật xây dựng chiến lược và thực thi pháp luật sẽ giúp tìm ra cách loại bỏ hạn chế trong pháp luật và khó khăn vướng mắc trong hoạt động áp dụng. Nhìn chung, an ninh mạng vốn dĩ không phải là vấn đề mang tầm vóc quốc gia, nó đang dần mở rộng và ảnh hưởng trên phạm vi toàn cầu, vậy nên hội nhập, hợp tác và tiếp thu những điểm tốt từ các quốc gia khác được coi là một biện pháp hữu ich để pháp luật phát triển đáp ứng nhu cầu và xu hướng của tương lai.

II. Pháp luật về an ninh mạng của một số nước trên thế giới và kinh nghiệm cho Việt Nam

1. Tổng quan về pháp luật và chiến lược an ninh mạng của các nước trên thế giới

Như đã phân tích, tham khảo pháp luật của các nước trên thế giới, đặc biệt là nước có nền công nghệ tiên tiến, pháp luật về an ninh mạng của họ ra đời sớm với những đặc thù rất khắc biệt là rất cần thiết với nền pháp luật non trẻ mới chỉ trải qua 1 năm đi vào cuộc sống của nước ta. Tuy nhiên, tiếp thu, chắt lọc và ứng dụng những kỹ thuật pháp lý hay chiến lược thực hiện bảo đảm an ninh mạng từ nước ngoài để phù hợp với điều kiện kinh tế xã hội, chính trị và đặc biệt là dân trí ở nước ta lại đặt ra nhiều vấn đề và mất thời gian nghiên cứu. Bên cạnh đó, công tác đưa sáng kiến mới để sửa đổi pháp luật trải qua các quy trình khắt khe, không thể sửa đổi một văn bản luật mới chính thức tồn tại được hơn một năm, mà thực tế nó cũng không bộc lộ quá nhiều hạn chế hay lỗi nghiêm trọng. Do đó, có thể bổ sung vào những văn bản hướng dẫn chưa ra đời, đang trong quá trình xây dựng, sẽ hợp lý hơn.

Về hệ thống pháp luật an ninh mạng trên thế giới, qua nghiên cứu cho thấy, hiện đã có nhiều quốc gia trên thế giới ban hành các văn bản luật về an ninh mạng, điển hình như: Mỹ, Nhật, Trung Quốc, Anh, Úc, Cộng hòa Séc, Hàn Quốc... Riêng Mỹ đã ban hành tới 6 đạo luật chuyên ngành về các vấn đề về an ninh mạng là: Đạo luật Đánh giá Lực lượng An ninh mạng, Đạo luật Tăng cường An ninh mạng năm 2014, Đạo luật Bảo vệ An ninh mạng Quốc gia 2014, Đạo luật hiện đại hóa An ninh


thông tin Liên bang năm 2014, Dự luật Chia sẻ thông tin An ninh mạng năm 2015, Dự luật Tăng cường Bảo vệ An ninh mạng Quốc gia năm 2015. Năm 2015, Hội đồng và Nghị viện châu Âu đạt được sự thống nhất về các biện pháp thúc đẩy an ninh mạng tổng thể trong Liên minh châu Âu tại Chỉ thị An ninh thông tin và mạng (Network and Information Security) nhằm tăng cường các khả năng an ninh mạng của các quốc gia thành viên, tăng cường sự hợp tác của các quốc gia thành viên trong lĩnh vực an ninh mạng.

Báo cáo Cybersecurity Law Overview của tổ chức Mannheimer Swartling, công bố tháng 4 năm 2017 (nghiên cứu và tổng hợp từ quy định về an ninh mạng của các quốc gia khác nhau) phân chia luật an ninh mạng của các quốc gia làm ba nhóm: thứ nhất là nhóm đáp ứng an ninh nội địa, thứ hai là nhóm bảo vệ lợi ích quốc gia, và thứ ba là nhóm ngăn chặn các hình thức tội phạm trong không gian mạng48. Cụ thể:

Nhóm bảo vệ an ninh nội địa yêu cầu tổ chức công quyền và công ty khai thác mạng phải bảo đảm rằng họ có đủ biện pháp ngăn chặn các cuộc tấn công trên nền tảng Internet. Đó là những biện pháp tối thiểu để bảo vệ các dịch vụ công cộng, bao gồm dịch vụ thiết yếu và cơ sở hạ tầng quan trọng như cơ sở cung cấp điện nước, bệnh viện và ngân hàng chống lại những mối đe dọa từ không gian mạng. Mặt khác, nhóm này cũng bao gồm những luật lệ bảo vệ dữ liệu riêng tư của cá nhân hay công dân.

Có thể bạn quan tâm!

Xem toàn bộ 104 trang tài liệu này.

Nhóm bảo vệ lợi ích quốc gia bao gồm những luật lệ liên quan chặt chẽ đến quốc phòng, với mục tiêu giữ gìn toàn vẹn lãnh thổ quốc gia bằng việc ngăn chặn các hoạt động như dùng mạng Internet để do thám hay thực hiện các điệp vụ. Những luật lệ thuộc nhóm này thường hạn chế các nguyên tắc thị trường và giới hạn dòng vốn đầu tư nước ngoài trong việc mua lại các công ty nội địa, hạn chế các nhà cung ứng nước ngoài tham gia đấu thầu các dự án hạ tầng khoa học kỹ thuật và công nghệ thông tin quan trọng. Các luật lệ này cũng thường hạn chế việc xuất khẩu và cung ứng công nghệ an ninh thiết yếu nhằm tránh bị phổ biến ra ngoài.

48 Tham khảo tại: https://www.mannheimerswartling.se/globalassets/publikationer/cybersecurity-law- overview.pdf. Truy cập ngày 21/05/2020

Hoàn thiện pháp luật về an ninh mạng - 9


Nhóm chống các hình thức tội phạm mạng bao gồm những quy định có liên quan đến các hoạt động tội phạm sử dụng phương tiện điện tử hay kỹ thuật số, gọi là cybercrime, và các hoạt động mạng có khả năng dẫn đến tình trạng phạm tội, gọi là cyber-enable crime, phổ biến nhất là các hành động đột nhập hệ thống, đánh cắp thông tin, hay đánh cắp dữ liệu. Trong trường hợp này, nhiều quốc gia áp dụng Công ước về tội phạm mạng (Công ước Budapest)49 trong việc xác định những hoạt động mạng nhất định nào đó có thể trở thành tội phạm mạng. Công ước Budapest không điều chỉnh tất cả các vấn đề của an ninh mạng mà điều chỉnh tội phạm tiến hành qua Internet và các mạng máy tính khác. Hiện có 56 nước tham gia Công ước Budapest (trong đó có các quốc gia Châu Âu, Australia, Cộng hòa Dominica, Nhật Bản, Mauritius, Panama, và Hoa Kỳ)

Một trong các lý do để đi đến ký kết và thông qua một công ước toàn cầu về an ninh mạng là sự khác biệt trong quan niệm về an ninh mạng và các yếu tố của an ninh mạng giữa các nước phương Tây (tiêu biểu là Hoa Kỳ, các nước thuộc Liên minh Châu Âu) và các nước phương Đông (tiêu biểu là Trung Quốc và Liên Bang Nga), cụ thể là những khác biệt về chiến lược, hiểu biết về các nguyên tắc, đối tượng và định nghĩa về an ninh mạng. Dù vậy, theo Báo cáo của OECD50, hầu hết luật, các chiến lược và chính sách an ninh mạng của các quốc gia trên thế giới đều chia sẻ bốn giá trị tương đồng sau:

Thứ nhất, tăng cường sự phối hợp giữa các Chính phủ ở cấp độ chính sách và hoạt động. Do an ninh mạng trở thành ưu tiên cấp quốc gia, trách nhiệm trong hoạch định và thực thi chính sách về an ninh mạng thuộc về Nhà nước. Tuy nhiên, không một cơ quan ngành dọc nào có thể hiểu biết toàn diện và đủ năng lực quản lý tất cả các khía cạnh của an ninh mạng. Do đó, sự phối hợp giữa các cơ quan liên quan là rất quan trọng.


49 Năm 2001, Hội đồng châu Âu đã soạn thảo và thống nhất ban hành Công ước về Tội phạm mạng (Công ước Budapest), đây là hiệp ước quốc tế đầu tiên về tội phạm mạng. Tham khảo tại: https://rm.coe.int/16802fa422. Truy cập ngày 22/05/2020

50 CYBERSECURITY POLICY MAKING AT A TURNING POINT- Analysing a new generation of national

cybersecurity strategies for the Internet economy”. Tham khảo tại: https://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf. Truy cập ngày 22/05/2020


Thứ hai, tăng cường hợp tác công tư. Không gian mạng phần lớn được kiểm soát và vận hành bởi khu vực tư. Do vậy, hợp tác công - tư (trong đó có thể gồm có doanh nghiệp, xã hội dân sự, cộng đồng công nghệ và giới học giả) rất cần thiết để ứng phó phù hợp với những mối đe dọa nhằm vào không gian mạng.

Thứ ba, tăng cường hợp tác quốc tế. Nhiều quốc gia đã nhận thấy tầm quan trọng của hợp tác quốc tế về không gian mạng. Các vấn đề an ninh mạng sẽ không thể giải quyết được bởi một quốc gia đơn lẻ, mà cần có sự hợp tác trên bình diện quốc tế. Tuy nhiên, hợp tác quốc tế trong lĩnh vực này trở nên khó khăn do chính sách an ninh của các quốc gia liên quan đến thông tin mật về an ninh quốc phòng.

Thứ tư, những giá trị cơ bản của Internet và tự do Internet cần phải được tôn trọng. Nói cách khác, những giá trị cơ bản của việc sử dụng Internet như sự riêng tư, tự do ngôn luận và tự do trao đổi thông tin trong chiến lược an ninh mạng của các quốc gia được đề cao. Giá trị này xuất phát từ lập luận và quan điểm cho rằng các quyền con người cơ bản phổ quát được bảo đảm theo Tuyên ngôn quốc tế về nhân quyền và Công ước Quốc tế về các Quyền Dân sự và Chính trị, bao gồm quyền tự do biểu đạt, tự do ngôn luận, quyền riêng tư, quyền tự do phát biểu ý kiến và tự do lập hội, v.v… mà con người có được ở đời thực (môi trường ngoại tuyến) thì cũng phải được bảo vệ trong môi trường trực tuyến.

Cơ sở và lịch sử của giá trị thứ tư này gắn với hai sự kiện/văn kiện tiêu biểu mang tính quốc tế sau: thứ nhất, để đáp lại việc tạo ra Internet như một nền tảng mới để bày tỏ quyền con người cơ bản, Báo cáo viên đặc biệt của Liên Hợp Quốc về Tự do nêu Ý kiến và Tự do Biểu đạt và các báo cáo viên về tự do biểu đạt từ Châu Âu, Châu Mỹ Latinh và Châu Phi đã ký một tuyên bố chung xác nhận rằng "tự do ngôn luận áp dụng cho Internet"51 vào năm 2011; và thứ hai, Hội đồng Nhân quyền Liên Hiệp Quốc tiếp tục khẳng định rằng “các quyền tương tự mà mọi người


51 Nguyên văn: “Freedom of expression applies to the Internet” _ CYBERSECURITY AND HUMAN RIGHTS Tham khảo tại: https://www.gp-digital.org/wp-content/uploads/2015/06/GCCS2015-Webinar- Series-Introductory-Text.pdf. Truy cập ngày 22/05/2020


có được ngoại tuyến cũng phải được bảo vệ trực tuyến”52, do đó, các tuyên bố về quyền con người được đề cập trước đây trong Tuyên ngôn quốc tế về nhân quyền và Công ước Quốc tế về các Quyền Dân sự và Chính trị cũng áp dụng cho môi trường Internet.53 Giá trị thứ tư này là rất quan trọng khi đánh giá luật và chính sách về an ninh mạng của một quốc gia, khu vực hay tổ chức. Một luật hay chính sách an ninh mạng tốt phải khuyến khích tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin, hệ thống và mạng chung và riêng thông qua việc sử dụng các quy định và ưu đãi mang tính dự báo, với mục tiêu bảo vệ nhân quyền và quyền riêng tư, lợi ích kinh tế cũng như an ninh quốc gia. Trong mối quan hệ với vấn đề nhân quyền, các luật và chính sách an ninh mạng của các quốc gia nên được hoạch định, tổ chức theo hướng vừa tạo ra một không gian mạng an toàn cho tất cả người dùng và cũng vừa là một môi trường an toàn cho nhân quyền trong môi trường mạng.

2. Pháp luật an ninh mạng của một số nước trên thế giới

Colombia đã trở thành một trong những quốc gia đầu tiên trên thế giới khi vào năm 2009, họ ban hành một luật đặc biệt nhắm vào không gian mạng. Luật 1273 (Bộ luật hình sự được sửa đổi, theo đó một quyền hợp pháp mới được tạo ra được gọi là bảo vệ thông tin và dữ liệu và các hệ thống sử dụng công nghệ thông tin, truyền thông được bảo vệ toàn diện, trong số các điều khoản khác) kêu gọi phạt tù hoặc phạt tiền lớn cho bất cứ ai bị kết án liên quan đến hệ thống thông tin hoặc tội phạm mạng viễn thông. Pháp luật bao gồm các lĩnh vực như truy cập trái phép thông tin cá nhân, chặn dữ liệu, hủy dữ liệu hoặc sử dụng phần mềm độc hại.54 Georgia thiết lập luật pháp về tội phạm mạng theo các nguyên tắc và quy tắc của


52 Nguyên văn: “the same rights that people have offline must also be protected online”_ CYBERSECURITY AND HUMAN RIGHTS. Tham khảo tại: https://www.gp-digital.org/wp- content/uploads/2015/06/GCCS2015-Webinar-Series-Introductory-Text.pdf. Truy cập ngày 22/05/2020

53 Tham khảo tại: https://vanhocnghethuat.files.wordpress.com/2019/01/savenet-camnangluatanninhmang- nhungdieucanbiet.pdf. Truy cập ngày 22/05/2020

54 Nguyên văn: “Colombia became one of the first countries in the world when, in 2009, it enacted a law

specifically targeting cyberspace. Law 1273 (entitled "By means of which the Penal Code is amended, a new legal right is created - called ’protection of information and data‘- and systems that use information and communication technologies are fully preserved, among other provisions"1 ) calls for a prison sentence or large fines for anyone convicted of information systems or telecommunication network crimes. The law covers areas such as illegally accessing personal information, intercepting data, destroying data or using malicious software”. Tham khảo tại: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-PDF- E.pdf . Truy cập ngày 22/05/2020


Công ước Budapest cả về khía cạnh thực chất và thủ tục. Hành vi bất hợp pháp truy cập vào hệ thống thông tin, can thiệp dữ liệu và hệ thống và sử dụng sai thiết bị bị hình sự bởi bộ luật hình sự Georgia. Đạo luật bảo vệ dữ liệu cá nhân là được Nghị viện ban hành năm 2011 và nhằm đảm bảo bảo vệ quyền con người và các quyền tự do, bao gồm quyền riêng tư, trong quá trình xử lý dữ liệu cá nhân.

2.1. An ninh mạng của Hoa Kỳ

Hoa Kỳ không có một đạo luật chung về an ninh mạng. Các vấn đề liên quan đến an ninh mạng được quy định rải rác trong nhiều văn bản khác nhau, có thể kể đến:

Đạo luật về An ninh mạng năm 2015 (hay còn được gọi là Đạo luật về Chia sẻ Thông tin An ninh mạng) (Cybersecurity Act 2015 or Cybersecurity Information Sharing Act) được ban hành năm 2015: Đạo luật này có thể được xem là một trong những văn bản quan trọng ở cấp liên bang điều chỉnh vấn đề liên quan đến an ninh mạng tại Hoa Kỳ. Đạo luật này quy định về vấn đề chia sẻ thông tin giữa các tổ chức tư nhân (như các công ty công nghệ và sản xuất) và các cơ quan công quyền của Hoa Kỳ. Mục đích của đạo luật này là để tăng cường an ninh mạng tại Hoa Kỳ thông qua việc chia sẻ thông tin về các rủi ro về an ninh mạng.55 Tổng thống Obama nêu ra ba nỗ lực chính để hướng tới một không gian mạng an toàn hơn đối với Mỹ. Nỗ lực chính đầu tiên nhấn mạnh tầm quan trọng của việc cấp phép chia sẻ thông tin an ninh mạng. Bằng cách này, đề xuất của Tổng thống Obama khuyến khích chia sẻ thông tin giữa chính phủ và khu vực tư nhân, cho phép chính phủ biết những hiểm họa mạng chính mà các công ty tư nhân đang phải đối mặt và sau đó sẽ cho phép chính phủ cung cấp bảo vệ trách nhiệm pháp lý đối với những công ty đã chia sẻ thông tin của họ. Hơn thế nữa, điều này sẽ cung cấp cho chính phủ ý tưởng tốt hơn về những gì nước Mỹ cần để bảo vệ chính mình. Một nỗ lực chính khác đã được nhấn mạnh là hiện đại hóa các cơ quan hành pháp để “trang bị” tốt hơn cho việc đối phó với tội phạm mạng bằng cách cung cấp những công cụ mà họ cần. Nó cũng sẽ cập nhật phân loại tội phạm không gian mạng và các hậu quả. Một trong


55 “The Cybersecurity Act of 2015” Tham khảo tại: https://www.sullcrom.com/siteFiles/Publications/SC_Publication_The_Cybersecurity_Act_of_2015.pdf. Truy cập ngày 22/05/2020


những cách để điều này sẽ trở thành hiện thực là quy kết việc bán thông tin tài chính ra nước ngoài là phạm pháp. Một mục tiêu khác của nỗ lực này là việc khởi tố tội phạm mạng. Và nỗ lực lớn cuối cùng là yêu cầu các doanh nghiệp báo cáo việc xâm phạm dữ liệu người dùng nếu thông tin cá nhân của họ phải chịu hi sinh. Bằng cách yêu cầu các công ty phải làm như vậy, người dùng sẽ nhận thức được thời điểm mà dữ liệu cá nhân của họ đang trong tình trạng nguy cấp bị trôm cắp.

Đạo luật Quản trị An ninh Thông tin Liên bang (FISMA) được áp dụng cho mọi cơ quan của chính quyền Liên bang “yêu cầu sự phát triển và áp dụng các chính sách bắt buộc, các nguyên tắc, các tiêu chuẩn và các hướng dẫn về an ninh thông tin”. Tuy nhiên, những luật này lại không giải quyết được vấn đề của các ngành khác liên quan tới máy tính chẳng hạn như ngành cung cấp dịch vụ Internet và ngành phần mềm. Hơn thế nữa, những đạo luật này không chỉ rõ những biện pháp an ninh mạng nào phải được áp dụng và yêu cầu chỉ một mức độ an ninh hợp lý.56

Đạo luật Tăng cường An ninh mạng 2014 (Cybersecurity Enhancement Act of 2014): Đạo luật này được ban hành tháng 12/2014, quy định việc hợp tác giữa khối tư nhân và công quyền trong việc tăng cường an ninh mạng, nghiên cứu và phát triển về an ninh mạng và nâng cao ý thức cộng đồng trong lĩnh vực này.

Trong lĩnh vực tài chính, Đạo luật Gramm-Leach-Bliley năm 1999 (Gramm- Leach-Bliley Act of 1999) được ban hành như là công cụ để kiểm soát việc các tổ chức tài chính xử lý các thông tin cá nhân của. Đạo luật này nêu ra các quy định trong việc thu thập, xử lý và tiết lộ thông tin cá nhân của khách hàng, cũng như yêu cầu các tổ chức tài chính phải xây dựng các chương trình an ninh nhằm đảm bảo các thông tin cá nhân và thông báo cho khách hàng biết trong trường hợp xảy ra vi phạm. Các tổ chức y tế cũng có nghĩa vụ tương tự.

Ngoài ra, nền tảng vững chức của an ninh mạng Mỹ còn dựa trên chiến lược không gian mạng của nước này. Vào năm 2016, Tổng thống Obama đã phát triển Kế hoạch hành động an ninh quốc gia về An ninh Mạng (CNAP). Kế hoạch này đã được thực hiện để tạo ra những hành động và chiến lược lâu dài trong một

56 Tham khảo tại: https://viettimes.vn/luat-an-ninh-mang-o-cac-nuoc-chau-au-va-my-148293.html. Truy cập ngày 22/05/2020


nỗ lực để bảo vệ nước Mỹ chống lại các hiểm họa mạng. Trọng tâm của kế hoạch này là để thông báo cho công chúng về mối đe dọa ngày càng tăng của tội phạm mạng, cải thiện bảo vệ an ninh mạng, bảo vệ thông tin cá nhân của người Mỹ, và để thông báo cho người Mỹ về cách kiểm soát an ninh kỹ thuật số. Một trong những điểm nổi bật của chương trình này bao gồm việc tạo ra một “Ủy ban về Tăng cường An ninh Mạng Quốc gia”. Mục đích của việc này là để tạo ra một Ủy ban bao gồm một nhóm đa dạng các nhà tư tưởng với các quan điểm có thể góp phần vào việc đưa ra khuyến nghị về cách tạo ra một an ninh mạng mạnh mẽ hơn cho khu vực công và tư nhân. Điểm nổi bật thứ hai của kế hoạch này là để thay đổi mảng IT của Chính phủ được an toàn hơn. Điểm nổi bật thứ ba của kế hoạch này là để cho người Mỹ hiểu biết về cách họ có thể bảo mật các tài khoản trực tuyến và tránh hành vi trộm cắp thông tin cá nhân của mình thông qua xác thực đa yếu tố. Và cuối cùng, điểm nổi bật thứ tư của kế hoạch này là để tăng số tiền đầu tư vào an ninh mạng. 57

Gần đây, Chiến lược không gian mạng quốc gia Hoa Kỳ (National cyber strategy of the United States of America58), được Nhà Trắng công bố vào tháng 9/2018, là bản cập nhật đầy đủ đầu tiên sau Chiến lược quốc gia đảm bảo an toàn an ninh không gian mạng (The national strategy to secure cyberspace59) năm 2003. Chiến lược mới duy trì nhiều nguyên tắc và ý tưởng trong tài liệu ban đầu, có sự cập nhật về môi trường đe dọa không gian mạng, nghiên cứu và phát triển, bảo vệ hạ tầng mạng trọng yếu; nhấn mạnh đến vai trò quan trọng của Internet trong nền kinh tế Hoa Kỳ ; duy trì trọng tâm vào các khía cạnh quốc tế của các đe dọa không gian mạng, nhấn mạnh tầm quan trọng về quan hệ với đối tác quốc tế trong đấu tranh chống tội phạm không gian mạng và đáp trả các đe dọa từ các đối địch nước ngoài. Hơn hết, chiến lược này được xây dựng gắn kết trực tiếp với Chiến lược an ninh quốc gia Hoa Kỳ năm 2017 trên nhiều hoạt động, cho thấy không gian mạng được


57 Tham khảo tại: https://viettimes.vn/luat-an-ninh-mang-o-cac-nuoc-chau-au-va-my-148293.html. Truy cập ngày 22/05/2020

58 Tham khảo tại: https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf.

Truy cập ngày 22/05/2020

59 Tham khảo tại: https://www.energy.gov/sites/prod/files/National%20Strategy%20to%20Secure%20Cyberspace.pdf. Truy cập ngày 22/05/2020

Xem tất cả 104 trang.

Ngày đăng: 11/02/2023
Trang chủ Tài liệu miễn phí