VCCI: Yêu cầu đặt máy chủ tại Việt Nam là đi ngược tinh thần cam kết TPP

Yêu cầu đặt máy chủ tại Việt Nam có khả thi?

Khoản 4, Điều 34 Dự thảo Luật quy định: "Các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải tuân thủ pháp luật, tôn trọng chủ quyền, lợi ích, an ninh quốc gia Việt Nam, có giấy phép hoạt động, đặt cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam…"

Theo VCCI, trong nội dung Hiệp định Đối tác Xuyên Thái Bình Dương (TPP) đã được Việt Nam ký kết hồi tháng 2/2016, Chương Thương mại điện tử, khoản 2 Điều 14.13 có quy định: "Không bên nào yêu cầu đối tượng áp dụng của Chương này được sử dụng hoặc lựa chọn địa điểm lắp đặt các cơ sở hạ tầng công nghệ thông tin trong phạm vi lãnh thổ của bên mình để xem đó như là điều kiện để triển khai công việc kinh doanh trong lãnh thổ đó".

Quy định về việc đặt máy chủ trên lãnh thổ Việt Nam như Dự thảo Luật như vậy là chưa phù hợp với tinh thần cam kết của Việt Nam trong TPP. An ninh mạng, theo định nghĩa tại khoản 3 Điều 3 của Dự thảo liên quan tới nhiều vấn đề chứ không chỉ riêng đối với an ninh quốc phòng, do đó không phải là trường hợp ngoại lệ để không áp dụng cam kết.

Hiện nay, mặc dù TPP chưa được Quốc hội Việt Nam phê chuẩn nhưng Việt Nam và 10 nước còn lại trừ Hoa Kỳ vẫn tiếp tục đàm phán để đưa ra quyết định cuối cùng. Do đó, VCCI cho rằng cần hết sức cân nhắc và không nên đặt ra quy định pháp luật trong nước đi ngược lại hướng của TPP.

Quy định đặt máy chủ tại Việt Nam là đi ngược tinh thần cam kết TPP

Ngoài ra, VCCI cũng nhấn mạnh: việc đặt máy chủ ở đâu không quan trọng bằng quy trình đảm bảo an ninh mạng đối với dữ liệu trên đó.

"Máy chủ đặt ở đâu cũng không có ý nghĩa gì về an ninh thông tin nếu quy trình, kỹ thuật, công nghệ không đáp ứng yêu cầu chuẩn mực. Nếu các doanh nghiệp, tổ chức ở Việt Nam mà không được sử dụng những dịch vụ lưu trữ dữ liệu an toàn nhất để đặt dữ liệu (thường không có máy chủ ở Việt Nam) thì điều này còn tạo ra nguy cơ mất an ninh mạng cao hơn đối với doanh nghiệp, tổ chức cá nhân Việt Nam".

Đòi hỏi đảm bảo thông tin trung thực là… làm khó doanh nghiệp

Ngoài đánh giá về yêu cầu đặt máy chủ tại Việt Nam, VCCI cũng đưa ra nhận xét về hàng loạt quy định khác tại Dự thảo.

Chẳng hạn như Khoản 3, Điều 34: "Các doanh nghiệp dịch vụ viễn thông, internet, doanh nghiệp sở hữu hệ thống thông tin phải thiết lập cơ chế xác thực thông tin khi người dùng đăng ký tài khoản số để bảo đảm tính bảo mật và tính trung thực của thông tin đăng ký và phải cung cấp cho cơ quan chuyên trách bảo vệ an ninh mạng có thẩm quyền..."

Theo VCCI, việc yêu cầu doanh nghiệp đảm bảo tính trung thực của thông tin đăng ký của người dùng là không khả thi vì doanh nghiệp không thể xác thực cũng như đảm bảo tính trung thực của thông tin mà người dùng khai báo.

Trong khi đó, hiện nay, hệ thống quốc gia về căn cước công dân còn chưa sẵn sàng để doanh nghiệp kết nối, xác thực. Do vậy, việc yêu cầu doanh nghiệp thiết lập cơ chế xác thực thông tin của người dùng cũng khó khả thi.

Đây cũng là điểm bất hợp lý của Điểm a, Khoản 1, Điều 47: "Yêu cầu chủ thể sử dụng cung cấp thông tin xác thực. Nếu chủ thể sử dụng không cung cấp thông tin xác thực, doanh nghiệp cung cấp dịch vụ có trách nhiệm từ chối cung cấp các dịch vụ liên quan cho chủ thể sử dụng đó".

Doanh nghiệp không thể xác thực thông tin của người dùng 

VCCI cũng cho rằng quy định tại Điểm d, Khoản 2, Điều 47: "Tiến hành ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng trong vòng 24 giờ theo yêu cầu của cơ quan quản lý nhà nước về an ninh mạng..." sẽ tạo thêm gánh nặng chi phí và nhân lực cho doanh nghiệp.

"Doanh nghiệp chỉ quản lý một phần nhỏ trong không gian mạng nên không thể chịu trách nhiệm với toàn bộ không gian mạng rộng lớn có sự tham gia của nhiều đối tượng", VCCI nhận xét.

Việc quy định "Không cung cấp dịch vụ viễn thông, internet, hỗ trợ kỹ thuật, quảng cáo, hỗ trợ thanh toán cho các tổ chức, cá nhân đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng" cũng được cho là không thống nhất với quy định tại Điều 26 của Luật viễn thông. Mặt khác, doanh nghiệp cũng không có dữ liệu về tổ chức, cá nhân nào đăng tải các thông tin đó.

Nhiều quy định chồng chéo

Theo VCCI, trong nội dung của Luật an toàn thông tin mạng và Dự thảo có quy định trùng nhau. Chẳng hạn như quy định về Hệ thống thông tin quan trọng quốc gia.

Luật an toàn thông tin mạng quy định: "Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia".

Trong khi đó, Dự thảo quy định: "Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích an ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội".

Sự trùng nhau này khiến Hệ thống thông tin quan trọng quốc gia sẽ phải chịu sự điều chỉnh của cả hai Luật; do hai cơ quan nhà nước khác nhau quản lý (Bộ Thông tin và Truyền thông và Bộ Công an) và trùng lặp các biện pháp quản lý nhà nước…

Bên cạnh đó, VCCI cũng chỉ ra nội hàm quy định của các Điều từ 22 đến 28 Dự thảo trùng lặp với với quy định về ứng cứu sự cố an toàn thông tin mạng đã được quy định trước đó tại Luật an toàn thông tin mạng (Điều 13, 14, 15) và Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.

"Việc chồng chéo như vậy sẽ gây khó khăn khi triển khai thực tiễn, do các cơ quan, tổ chức sẽ không biết đâu là đầu mối chính trong hoạt động liên quan. Đề nghị cơ quan soạn thảo hết sức cân nhắc, rà soát các nội dung liên quan của các văn bản pháp luật khác như để có những quy định phù hợp và tránh chồng chéo", VCCI kiến nghị.