Tăng cường 'lá chắn' an ninh mạng: Từ an ninh dữ liệu đến bảo vệ trẻ em trực tuyến

Đại biểu Quốc hội Nguyễn Hoàng Bảo Trân, Phó Giám đốc Sở Khoa học công nghệ TPHCM

Báo Phụ nữ Việt Nam đã có cuộc trao đổi với bà Nguyễn Hoàng Bảo Trân, đại biểu Quốc hội, Phó Giám đốc Sở Khoa học công nghệ TPHCM, để làm rõ những điểm mới quan trọng trong dự thảo. Từ đó cho thấy quyết tâm của Nhà nước trong việc hình thành một lá chắn an ninh mạng đồng bộ, hiện đại và phù hợp với chuẩn mực quốc tế.

Tăng quyền truy vết, siết trách nhiệm doanh nghiệp

+ Trong dự thảo Luật An ninh mạng, một điểm mới quan trọng là quy định về bảo đảm an ninh dữ liệu. Theo bà, vì sao an ninh dữ liệu phải trở thành trụ cột trong bảo vệ an ninh mạng?

Bà Nguyễn Hoàng Bảo Trân: Tôi cho rằng an ninh dữ liệu phải trở thành một trụ cột trong bảo vệ an ninh mạng vì 3 lý do rất căn bản.

Thứ nhất, trong bối cảnh chuyển đổi số, dữ liệu chính là "hạt nhân" của Chính phủ số, kinh tế số và xã hội số. Không có dữ liệu chúng ta không thể vận hành dịch vụ công trực tuyến, phát triển các mô hình kinh doanh số hay triển khai hạ tầng số. Nếu dữ liệu không được bảo vệ, toàn bộ quá trình chuyển đổi số quốc gia sẽ bị tổn thương.

Thứ hai, dữ liệu không chỉ bao gồm dữ liệu cá nhân mà còn là dữ liệu của cơ quan, tổ chức, hệ thống… Với đặc tính số hóa, kết nối rộng và lan truyền nhanh, khi dữ liệu bị chiếm đoạt, khai thác, sử dụng trái phép hoặc bị tiêu hủy, hậu quả không chỉ là thiệt hại kinh tế mà còn trực tiếp đe dọa an ninh quốc gia và trật tự, an toàn xã hội.

Thứ ba,thời gian qua chúng ta chủ yếu tập trung vào khai thác, sử dụng dữ liệu để phục vụ phát triển, nhưng còn thiếu một khung pháp lý đồng bộ về an ninh, an toàn dữ liệu nói chung. Luật Bảo vệ dữ liệu cá nhân là bước tiến quan trọng, nhưng chưa bao quát hết các loại dữ liệu, các lớp dữ liệu và những rủi ro mới phát sinh từ công nghệ số, trí tuệ nhân tạo, hay các mô hình kinh doanh nền tảng… Vì vậy, việc lần đầu tiên đưa an ninh dữ liệu vào như một trụ cột của Luật An ninh mạng thể hiện quan điểm rõ ràng: bảo vệ an ninh mạng không chỉ là bảo vệ hệ thống kỹ thuật, mà còn phải bảo vệ toàn bộ vòng đời dữ liệu - từ khâu tạo lập, lưu trữ, xử lý đến khai thác và chia sẻ. Đây là một yêu cầu khách quan, cấp thiết, phù hợp với xu thế chung trên thế giới và định hướng của Đảng, Nhà nước ta.

Quốc hội thảo luận dự thảo Luật An ninh mạng ngày 7/11 vừa qua

+ Dự thảo quy định doanh nghiệp phải định danh và cung cấp thông tin địa chỉ IP khi có yêu cầu. Vì sao đây là chính sách được coi là "rất cấp thiết" trong thực tiễn phòng chống tội phạm mạng?

Bà Nguyễn Hoàng Bảo Trân: Tôi cho rằng yêu cầu doanh nghiệp phải định danh và cung cấp thông tin địa chỉ IP khi có yêu cầu của cơ quan chức năng là một chính sách rất cấp thiết, xuất phát từ những đòi hỏi thực tiễn trong phòng chống tội phạm mạng hiện nay.

Trước hết, địa chỉ IP chính là "địa chỉ nhà" trên không gian mạng. Mọi thiết bị truy cập Internet đều phải sử dụng IP. Nhờ IP, lực lượng chức năng mới xác định được ai, ở đâu, vào thời điểm nào đã thực hiện hành vi trên mạng.

Tuy nhiên, nhiều năm qua, việc tra cứu IP phục vụ điều tra rất chậm, thiếu đầy đủ và phụ thuộc hoàn toàn vào doanh nghiệp cung cấp dịch vụ. Ở một số nơi còn phát sinh tiêu cực, và tình trạng "xin - cho".

Trong khi đó, các doanh nghiệp viễn thông vốn đã định danh IP để tính cước, vận hành hệ thống nhưng khi phục vụ điều tra thì không đồng ý cung cấp qua API, không cung cấp dữ liệu đầy đủ, hoặc chỉ cung cấp nhỏ giọt theo yêu cầu thủ công. Đây là một khoảng trống pháp lý dẫn đến lực lượng chức năng không có đủ công cụ để xử lý tội phạm mạng.

Trong khi đó, tội phạm mạng hiện nay rất tinh vi, ẩn danh, và tốc độ gây án cực nhanh. Chỉ cần chậm vài phút, đối tượng có thể thay đổi, xóa dấu vết hoặc chuyển sang một hệ thống khác. Trong môi trường số hóa sâu rộng, việc thiếu dữ liệu IP chính xác và kịp thời khiến cơ quan chức năng khó truy vết các hành vi tấn công mạng, lừa đảo trực tuyến, chiếm đoạt tài sản, phát tán mã độc hay các cuộc tấn công có chủ đích vào cơ quan, tổ chức.

Chính vì thế, có thể khẳng định đây là một chính sách thực sự cần thiết và cấp bách trong bối cảnh hiện nay.

+ Theo dự thảo, cơ quan, tổ chức phải dành tối thiểu 10% kinh phí CNTT cho bảo vệ an ninh mạng. Bà đánh giá thế nào về tác động của quy định này đối với năng lực bảo vệ hệ thống thông tin quốc gia?

Bà Nguyễn Hoàng Bảo Trân: Tỷ lệ tối thiểu 10% kinh phí CNTT dành cho bảo vệ an ninh mạng là một thông lệ quốc tế, và cũng là mức Chính phủ đã nhiều lần chỉ đạo trong các năm qua. Thực tiễn cho thấy đây là ngưỡng tối thiểu để xây dựng được lớp phòng thủ mạng bài bản, từ có khả năng giám sát, cảnh báo sớm, phòng ngừa và ứng cứu sự cố hiệu quả.

Tôi cho rằng quy định này sẽ tạo ra tác động rất tích cực đối với năng lực bảo vệ hệ thống thông tin quốc gia. Lâu nay, chúng ta thường đầu tư mạnh cho hạ tầng số nhưng phần dành cho an ninh, an toàn lại quá hạn chế, giống như xây một tòa nhà lớn nhưng không trang bị đầy đủ hệ thống phòng cháy. Điều này khiến nhiều cơ quan, tổ chức luôn ở trong tình trạng bị động trước các hình thức tấn công mạng ngày càng tinh vi.

Quan trọng hơn, yêu cầu 10% sẽ buộc các cơ quan thay đổi tư duy: an ninh mạng không phải là chi phí phụ mà là điều kiện bắt buộc để bảo vệ dữ liệu, đảm bảo hoạt động liên tục của bộ máy nhà nước và duy trì các dịch vụ thiết yếu của quốc gia. Khi toàn hệ thống đều có mức đầu tư tương xứng, chúng ta mới có thể hình thành được một lá chắn an ninh mạng đồng bộ, giảm nguy cơ lây lan sự cố từ một đơn vị sang cả hệ thống.

Do đó, tôi đánh giá quy định 10% sẽ góp phần tăng mạnh năng lực tự chủ, khả năng ứng phó, khắc phục sự cố và bảo vệ hệ thống thông tin quốc gia trong bối cảnh chuyển đổi số sâu rộng hiện nay.

Bảo vệ trẻ em trong kỷ nguyên số, đáp ứng yêu cầu Công ước Hà Nội

+ Công ước Hà Nội nhấn mạnh việc bảo vệ trẻ em trước hành vi bóc lột, xâm hại tình dục trực tuyến. Hãy làm rõ dự thảo Luật An ninh mạng đã đáp ứng yêu cầu này thế nào?

Bà Nguyễn Hoàng Bảo Trân: Tôi cho rằng, dự thảo Luật An ninh mạng đã đáp ứng khá đầy đủ các yêu cầu của Công ước Hà Nội về bảo vệ trẻ em trước nguy cơ bóc lột, xâm hại tình dục trực tuyến, thể hiện qua ba nhóm quy định quan trọng.

Thứ nhất, dự thảo Luật đã nội luật hóa các hành vi bị cấm theo Công ước, bao gồm: truy cập trái phép, lưu trữ, sản xuất, phát tán, trao đổi hoặc mua bán hình ảnh và dữ liệu xâm hại tình dục trẻ em trên môi trường mạng. Việc quy định rõ ràng như vậy tạo cơ sở pháp lý chắc chắn để xử lý hình sự, không bỏ lọt hành vi nguy hiểm đối với trẻ em.

Thứ hai, dự thảo tăng cường đáng kể trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng. Doanh nghiệp phải gỡ bỏ kịp thời nội dung xâm hại trẻ em; phải cung cấp thông tin khi cơ quan chức năng yêu cầu; đồng thời chủ động phối hợp phát hiện, cảnh báo các nguy cơ bóc lột trẻ em trực tuyến. Đây là yêu cầu phù hợp với chuẩn mực của Công ước về vai trò và trách nhiệm của các nền tảng số trong bảo vệ trẻ em.

Trong khuôn khổ lễ mở ký “Công ước của Liên Hợp Quốc về chống tội phạm mạng”, phiên tọa đàm “Vai trò của nền tảng trực tuyến trong bảo vệ trẻ em và thanh thiếu niên trước tội phạm mạng” do Liên minh Niềm tin số và Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - A05 (Bộ Công an) chủ trì đã diễn ra ngày 25/10

Thứ ba, dự thảo bổ sung quy định về an ninh dữ liệu, đặc biệt nhấn mạnh bảo vệ dữ liệu cá nhân và dữ liệu nhạy cảm của trẻ em. Tất cả hoạt động thu thập, xử lý, chia sẻ dữ liệu của trẻ em phải bảo đảm an toàn, đúng mục đích, không để lộ lọt hay bị lợi dụng. Đây là yêu cầu then chốt của Công ước nhằm bảo vệ trẻ em cả trước khi xảy ra sự cố và trong giai đoạn khắc phục hậu quả.

Ngoài ra, dự thảo cũng quy định việc chia sẻ chứng cứ điện tử về trẻ em với nước ngoài chỉ thực hiện thông qua một đầu mối có kiểm soát, bảo đảm không bị sử dụng sai mục đích. Quy định này hoàn toàn phù hợp với nguyên tắc hợp tác quốc tế về bảo vệ trẻ em mà Công ước Hà Nội đặt ra.

+ Trong hợp tác quốc tế, việc chia sẻ dữ liệu điện tử là rất nhạy cảm. Dự thảo Luật quy định những "hàng rào" pháp lý nào để bảo đảm dữ liệu công dân Việt Nam không bị lạm dụng khi thực hiện nghĩa vụ theo Công ước Hà Nội?

Bà Nguyễn Hoàng Bảo Trân: Trong hợp tác quốc tế, đặc biệt khi thực hiện Công ước Hà Nội, việc chia sẻ dữ liệu điện tử là vấn đề hết sức nhạy cảm, đòi hỏi những hàng rào pháp lý đủ mạnh. Dự thảo Luật An ninh mạng đã thiết kế một cơ chế rất chặt chẽ để bảo đảm dữ liệu của công dân quy định rõ nguyên tắc chỉ chia sẻ trong phạm vi tối thiểu, đúng mục đích và tuân thủ pháp luật Việt Nam không bị lạm dụng.

Trước hết, dự thảo Luật quy định nguyên tắc chỉ chia sẻ trong phạm vi tối thiểu, đúng mục đích và phải tuân thủ đầy đủ pháp luật Việt Nam.Mọi yêu cầu chia sẻ đều phải được xem xét trong giới hạn nghiêm ngặt, không mở rộng quá nhu cầu hợp tác.

Thứ hai, bám sát tinh thần Nghị quyết 27-NQ/TW về một việc chỉ giao một cơ quan chủ trì dự thảo Luật quy định Bộ Công an là đầu mối duy nhất thẩm định, kiểm soát và quyết định phạm vi dữ liệu được chia sẻ ra nước ngoài. Quy định này ngăn ngừa tình trạng nhiều cơ quan tự ý cung cấp dữ liệu công dân, đồng thời gắn rõ trách nhiệm với người đứng đầu.

Thứ ba, đối tác quốc tế bắt buộc phải có cam kết bảo mật tương ứng, chỉ sử dụng dữ liệu đúng mục đích hợp tác và không chuyển giao cho bên thứ ba nếu không có sự đồng ý của Việt Nam. Toàn bộ quá trình chia sẻ đều được ghi lưu, giám sát và có thể đình chỉ ngay lập tức nếu phát hiện dấu hiệu lạm dụng.

Những quy định này tạo thành hệ thống bảo vệ nhiều lớp, bảo đảm dữ liệu của công dân Việt Nam luôn được giữ an toàn và không bị sử dụng sai mục đích trong bất kỳ tình huống hợp tác quốc tế nào.

+ Trân trọng cảm ơn bà!

Hải Yến