Thứ Năm, 5 tháng 7, 2018

20180705. PHÂN LOẠI TIỀN VÀ VẤN ĐỀ PHÁP LÝ

ĐIỂM BÁO MẠNG
TIỀN  ẢO  VÀ  TIỀN ĐIỆN TỬ

LS TRƯƠNG THANH ĐỨC/ TBKTSG 3-7-2018

(TBKTSG) - Những năm gần đây, tiền điện tử và tiền kỹ thuật số (hay tiền mã hóa hay tiền ảo) đã liên tục xuất hiện và đi vào đời sống qua các con đường khác nhau. Tuy nhiên, cho đến nay các loại được gọi là tiền này vẫn chưa được chính thức điều chỉnh theo pháp luật Việt Nam.

Dù cũng được gọi là tiền, vì có một số đặc điểm tương tự, nhưng khác với tiền điện tử, tiền ảo không gắn với bất kỳ một đồng tiền chính thức nào. Ảnh: Internet
Tiền và tiền ảo
Tiền hay tiền thật là đồng tiền của quốc gia được phát hành và lưu hành hợp pháp. Theo pháp luật Việt Nam thì tiền gồm hai loại là tiền mặt và tiền điện tử (e-money hay electronic money), trong đó tiền mặt gồm tiền giấy và tiền kim loại. Như vậy, các loại khác dù có được gọi là tiền, như tiền ảo, cũng đều không phải là tiền theo pháp luật Việt Nam.
Tiền ảo (vitual currency) không phải là tiền thật, mà là một loại tiền kỹ thuật số, được tạo ra bằng phần mềm tin học và được sử dụng như một đồng tiền trong một nhóm thành viên cộng đồng mạng. Như vậy, dù cũng được gọi là tiền, vì có một số đặc điểm tương tự, nhưng khác với tiền điện tử, tiền ảo không gắn với bất kỳ một đồng tiền chính thức nào.
Tiền ảo không được công nhận là một phương tiện thanh toán hợp pháp, vì vậy nếu phát hành, cung ứng và sử dụng để làm phương tiện thanh toán là trái pháp luật và có thể bị xử phạt hành chính hoặc xử tội hình sự.
Tiền ảo đã được xác định không phải là tiền điện tử thông qua một loạt văn bản trong thời gian gần đây của một số bộ, ngành như Ngân hàng Nhà nước (NHNN), Bộ Tài chính, Văn phòng Chính phủ và Thủ tướng Chính phủ (các công văn số 620/VPCP-KTTH ngày 14-4-2014, số 367/VPCP-KTTH ngày 14-1-2016, số 1644/VPCP-KTTH ngày 9-8-2016; Quyết định số 1255/QĐ-TTg ngày 21-8-2017 và Chỉ thị số 10/CT-TTg ngày 11-4-2018).
NHNN cũng vừa công bố Dự thảo Báo cáo về việc rà soát, đề nghị sửa đổi, bổ sung, ban hành mới văn bản quy phạm pháp luật về tiền điện tử, trong đó phân biệt rõ sự khác nhau giữa tiền ảo và tiền điện tử như nói trên. Và theo đó, NHNN chỉ chịu trách nhiệm quản lý tiền điện tử.
Tiền điện tử
Tiền điện tử đang được hiểu là giá trị tiền thật được lưu giữ dưới dạng điện tử để sử dụng làm phương tiện thanh toán. Theo dự thảo báo cáo nói trên, qua rà soát các văn bản pháp luật hiện hành và đối chiếu với những đặc tính của tiền điện tử và thực tiễn tại Việt Nam, có thể thấy pháp luật Việt Nam mới chỉ thừa nhận hai hình thức là thẻ ngân hàng trả trước và ví điện tử.
Theo Thông tư số 19/2016/TT-NHNN ngày 30-6-2016 của Thống đốc NHNN “Quy định về hoạt động thẻ ngân hàng”, thì thẻ ngân hàng là phương tiện thanh toán được phát hành để thực hiện giao dịch thẻ theo các điều kiện và điều khoản được các bên thỏa thuận. Trong đó, thẻ trả trước là thẻ cho phép chủ thẻ thực hiện giao dịch thẻ trong phạm vi giá trị tiền được nạp vào thẻ tương ứng với số tiền đã trả trước cho tổ chức phát hành thẻ.
Khoản 8, điều 4 về “Giải thích từ ngữ”, Nghị định số 101/2012/NĐ-CP ngày 22-11-2012 của Chính phủ về “Thanh toán không dùng tiền mặt”, đã được sửa đổi, bổ sung bởi Nghị định số 80/2016/NĐ-CP ngày 1-7-2016, quy định về dịch vụ ví điện tử như sau: “Dịch vụ ví điện tử là dịch vụ cung cấp cho khách hàng một tài khoản điện tử định danh do các tổ chức cung ứng dịch vụ trung gian thanh toán tạo lập trên vật mang tin (như chip điện tử, sim điện thoại di động, máy tính...), cho phép lưu giữ một giá trị tiền tệ được đảm bảo bằng giá trị tiền gửi tương đương với số tiền được chuyển từ tài khoản thanh toán của khách hàng tại ngân hàng vào tài khoản đảm bảo thanh toán của tổ chức cung ứng dịch vụ ví điện tử theo tỷ lệ 1:1”.
Theo quy định của pháp luật, ngoài sáu phương tiện thanh toán truyền thống (là tiền mặt và năm phương tiện thanh toán không dùng tiền mặt là séc, lệnh chi, ủy nhiệm chi, nhờ thu và ủy nhiệm thu), những năm gần đây, nhờ công nghệ thông tin nên đã có thêm hai loại phương tiện thanh toán không dùng tiền mặt mới là thẻ ngân hàng (loại trả trước) và ví điện tử.
Trong số tám phương tiện thanh toán nêu trên, riêng đối với tiền mặt, duy nhất do NHNN phát hành. Đối với các phương tiện thanh toán còn lại thì có thể do NHNN, Kho bạc Nhà nước, các tổ chức tín dụng, các tổ chức trung gian thanh toán hoặc doanh nghiệp phát hành.
Cần xây dựng một đạo luật quy định về các phương tiện thanh toán, trong đó có tiền điện tử
Hoạt động thẻ ngân hàng và ví điện tử trước hết là các hoạt động “chuyển tiền điện tử”, “thanh toán điện tử” và “giao dịch điện tử” theo quy định của Luật Giao dịch điện tử năm 2005. Theo đó “Giao dịch điện tử là giao dịch được thực hiện bằng phương tiện điện tử”. Và “phương tiện điện tử là phương tiện hoạt động dựa trên công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ hoặc công nghệ tương tự”.
Vẫn chưa có quy định hiện hành của pháp luật giải thích thế nào là “tiền điện tử”. Ngay cả việc xác định thẻ ngân hàng và ví điện tử là “tiền điện tử” cũng mới chỉ được đề cập đến trong dự thảo báo cáo nói trên của NHNN.
Ngoài ra, pháp luật vẫn còn bỏ ngỏ các loại thẻ cũng có một số đặc điểm giống tiền điện tử, do các doanh nghiệp phát hành để sử dụng trong việc thanh toán hàng hóa, dịch vụ của chính họ hay đơn vị liên kết khác. Nếu không có quy định rõ ràng, thì việc sử dụng các loại thẻ, vé, tem, phiếu, giấy tờ khác làm phương tiện thanh toán cũng vi phạm pháp luật hành chính và hình sự giống như việc sử dụng tiền ảo làm phương tiện thanh toán
Do vậy, cần xây dựng một đạo luật quy định về các phương tiện thanh toán, trong đó có tiền điện tử. Đồng thời cần thừa nhận mở rộng một số phương tiện thanh toán như hối phiếu, phương tiện thanh toán khác, kể cả loại chỉ sử dụng để thanh toán trong một phạm vi hạn hẹp nhất định, trong đó không loại trừ tiền ảo. 
Bên cạnh hai hình thức biểu hiện của tiền điện tử (thẻ ngân hàng trả trước và ví điện tử) đã được quy định trong văn bản quy phạm pháp luật hiện hành, trên thực tế hiện nay một lượng lớn giá trị đang được lưu trữ trên các điện thoại di động của các chủ thuê bao, trường hợp sử dụng giá trị này để thanh toán (thanh toán đa mục đích), xét theo những đặc tính của tiền điện tử thì những loại hình này cần xem xét, quản lý như một hình thái biểu hiện của tiền điện tử.
Đối với việc sử dụng các loại thẻ cào điện thoại của các nhà mạng viễn thông, thẻ trò chơi trực tuyến (không phải phương tiện thanh toán theo pháp luật hiện hành)... sử dụng để thanh toán đa mục đích hoặc có thể quy đổi thành tiền mặt, tiềm ẩn những rủi ro phức tạp và ảnh hưởng đến sự ổn định của thị trường tài chính tiền tệ quốc gia... Do vậy, cần thiết phải có biện pháp để quản lý chặt chẽ các loại thẻ chỉ được thực hiện cho chính dịch vụ được cung cấp bởi nhà phát hành (thẻ thanh toán đơn mục đích), không để biến tướng thành thẻ đa mục đích sử dụng như một phương tiện thanh toán, hạn chế những rủi ro có thể xảy ra đối với tổ chức phát hành và khách hàng.
(Theo Dự thảo Báo cáo về việc rà soát, đề nghị sửa đổi, bổ sung, ban hành mới văn bản quy phạm pháp luật về tiền điện tử của NHNN)

LUẬT AN NINH MẠNG: MỞ ĐƯỜNG CHO MỘT CUỘC TRẤN ÁP MỚI

NGUYỄN HUY VŨ/ FB Nguyễn Huy Vũ /BVN 3-7-2018

Ngày 28/6 vừa rồi, Chủ tịch nước ký lệnh ban hành Luật An ninh mạng. Và như vậy, trừ khi có những tác động ghê gớm, Luật An ninh mạng sẽ có hiệu lực kể từ ngày đầu năm 2019.
Cho tới nay, nhiều người vẫn chưa hiểu một cách trọn vẹn những nguy cơ và tác hại của Luật An ninh mạng này, và vì vậy mà sự lên tiếng vẫn chưa đủ mạnh. Nếu tìm hiểu kỹ, cả về phương diện luật học và về phương diện công nghệ, bạn sẽ thấy Luật An ninh mạng là một công cụ góp phần củng cố và thắt chặt chế độ công an trị của Việt Nam, ảnh hưởng đến tất cả các mặt của xã hội từ tầm mức cá nhân đến an ninh quốc phòng.
Thứ nhất, cho tới gần đây, các nhà hoạt động vẫn truyền cho nhau một kinh nghiệm rằng nếu Cơ quan An ninh đến tra vấn mình rằng các bài viết hay tài liệu trên Facebook mình dùng có phải thực sự là của mình không, thì một số Luật sư sẽ khuyên là nên chối bỏ, trả lời không. Thậm chí khi Cơ quan An ninh bắt giữ bất ngờ, muốn tìm cách thâm nhập tài khoản Facebook của mình trên điện thoại thì hoặc là tìm cách khoá tài khoản Facebook lại, hoặc cực đoan hơn là đập điện thoại, nhúng nước nó, để điện thoại không kích hoạt được và Cơ quan An ninh không tài nào đọc được các dữ liệu trên Facebook của mình.
Nhưng, với Luật An ninh mạng khi đi vào áp dụng, các kinh nghiệm trên sẽ ngay lập tức bị vô hiệu hoá. Cơ quan công an không cần phải ép buộc chính chủ thừa nhận Facebook của mình, họ chỉ cần yêu cầu Facebook giao nộp tất cả thông tin của người dùng, lấy lý do người dùng đang vi phạm pháp luật Việt Nam. Mà cái vi phạm dễ thấy nhất được quy định ngay trong Luật An ninh mạng đó là tuyên truyền chống chế độ.
Facebook lưu lại vô số thông tin của người dùng, từ việc dùng IP nào để truy cập vào tài khoản, địa chỉ truy cập vào tài khoản ở đâu, ngay tại toạ độ nào, mấy giờ, bạn bè với ai, tương tác và liên lạc với ai, đăng bài lúc mấy giờ, ở đâu, v.v. Tất cả những điều đó đủ để chứng minh chính chủ là người chủ của tài khoản Facebook và đó là bằng chứng dùng để kết tội.
Thứ hai, rất nhiều người viết bài xiển dương cho dân chủ, thúc đẩy thay đổi xã hội trong hoà bình, làm cho cái ghế của Đảng Cộng sản ngày càng lung lay, nhưng họ ẩn danh, không ai biết họ, và do đó họ là cái gai trong mắt Cơ quan An ninh. Với Luật An ninh mạng, những người viết bài ẩn danh sẽ nhanh chóng bị phát hiện và tóm gọn. Đơn giản là chỉ cần Cơ quan An ninh yêu cầu Facebook truy xuất địa chỉ người dùng đăng nhập vào Facebook và các thông tin liên quan là đủ để biết toạ độ của người dùng để họ khoanh vùng và bắt lấy.
Thứ ba, Luật An ninh mạng sẽ áp dụng ngay cả đối với các cá nhân mang quốc tịch Việt Nam sống ở nước ngoài. Cơ quan An ninh có thể đưa ra dữ liệu về thông tin cá nhân của người dùng, chứng minh họ là công dân Việt Nam, cho rằng họ vi phạm pháp luật Việt Nam, và yêu cầu Facebook hợp tác cung cấp thông tin từ tài khoản Facebook cá nhân. Cách làm này cũng tương tự như cách mà chính quyền Việt Nam yêu cầu chính quyền Đức giao nộp Trịnh Xuân Thanh khi cho rằng Trịnh Xuân Thanh vi phạm pháp luật Việt Nam. Nhưng ở đây vị thế của chính quyền Việt Nam so với Facebook lớn hơn nhiều khi so với Đức, và vì vậy mà có một xác suất cao sẽ có một sự hợp tác nào đó.
Thứ tư, nhiều người có vẻ ngây thơ cho rằng chỉ cần đăng ký tài khoản rồi điền thông tin đang ở nước ngoài là đủ để Facebook bảo vệ thông tin cho bạn. Đây là một sai lầm hết sức. Cơ quan An ninh có vô số cách để cho rằng một tài khoản nào đó gây phương hại đến an ninh, trật tự, chủ quyền của Việt Nam và yêu cầu Facebook chia sẻ thông tin, hoặc họ cũng có thể trình bày với Facebook các thông tin cá nhân của người dùng hiện đang là công dân Việt Nam và yêu cầu Facebook chia sẻ thông tin.
Thứ năm, dưới áp lực của chính quyền Việt Nam, Facebook có vô số cách hợp tác dưới dạng “mềm” nhằm thực hiện khoanh vùng, hạn chế ảnh hưởng của các tài khoản, các trang mạng đang gây hại đến thanh danh và vị thế của Đảng Cộng sản. Cách dễ nhất mà Facebook có thể áp dụng đó là hạn chế mức lan toả của những bài báo gây nguy hại đến chế độ, khiến ít người đọc được nó, trong khi làm cho dễ dàng việc loan tải các bài báo của những nhóm định hướng của chính quyền.
Thứ sáu, nhiều người bắt đầu nghĩ tới việc chuyển sang một mạng xã hội khác để dùng, như minds, và hy vọng nó sẽ không bị chi phối bởi chính quyền cộng sản Việt Nam. Có vài điều cần lưu ý. Trước hết, rất khó thuyết phục được vài chục triệu người bình dân chuyển sang minds ít nhất là trong một thời gian ngắn. Vì vậy mà muốn gây ảnh hưởng đến xã hội, các nhà hoạt động xã hội dù muốn dù không buộc phải tiếp tục dùng Facebook.
Hầu như không có một mạng xã hội nào mà công ty phát triển không nắm được dữ liệu của người dùng. Nhiều người cho rằng minds không nắm dữ liệu của người dùng vì họ hoạt động theo hình thức phi tập trung nên không thể chia sẻ với chính quyền Việt Nam nếu bị yêu cầu. Điều đó không đúng. Các công ty phát triển khác nhau ở chỗ họ biết bao nhiêu thông tin về người dùng và họ sẽ mã hoá chỗ nào. Ví dụ như minds biết bạn có bao nhiêu người theo dõi, đăng bài thế nào, quan điểm ra sao, bao nhiêu người ủng hộ, kiếm được bao nhiêu tiền, hoạt động giờ nào, đăng nhập ở đâu, v.v. Đây là những thông tin mà chương trình quảng cáo của minds luôn nắm giữ để tối ưu hoá hoạt động quảng cáo. Quảng cáo là bao tử của những mạng xã hội như minds, không có quảng cáo minds sẽ chết. Những thông tin này, nếu minds quyết định xâm nhập vào thị trường Việt Nam và Cơ quan An ninh áp lực đòi minds chia sẻ, thì cuối cùng cơ quan an ninh cũng sẽ có những thông tin này, làm hồ sơ để kết tội.
Thứ bảy, việc chính quyền bắt giữ và truy tố một vài người bằng Luật An ninh mạng sẽ khiến cho nhiều người khác cảm thấy chùn tay, tự kiểm duyệt đối với tất cả các ý kiến viết ra trên Facebook của mình.
Và cuối cùng, trong trường hợp Facebook và các trang mạng Âu Mỹ bị ràng buộc và chế tài bởi các điều luật ở các nước Âu Mỹ về việc cấm chia sẻ thông tin người dùng cho bên thứ ba, sự rút đi nếu có sẽ nhường sân chơi trên thị trường Việt Nam cho các công ty Trung Quốc. Các công ty Trung Quốc sẽ vừa hợp tác với Chính phủ Việt Nam, vừa hợp tác với Chính phủ Trung Quốc. Họ biết các thông tin về người dùng Việt Nam và sẵn sàng theo dõi, định hướng xã hội theo yêu cầu của hai chính quyền. An ninh và xã hội của Việt Nam tất sẽ bị đe doạ, và Việt Nam có thể đối mặt với nguy cơ mất nước. Điều này không phải là một sự suy diễn mà nó đang diễn ra, các công ty Trung Quốc đang đổ bộ vào Việt Nam.
Nói như vậy để thấy rằng không có một mạng xã hội nào là an toàn cho những người lên tiếng và yêu chuộng tự do ở Việt Nam. Cách duy nhất để tránh bị đàn áp và bóp nghẹt tự do đó là đứng cùng nhau để thay đổi tận gốc rễ của vấn đề: chuyển đổi một chế độ độc tài sang một thể chế tự do qua một cuộc bầu cử dân chủ, công bằng, và minh bạch.
30.6.2018
N.H.V.
Nguồn:  FB Nguyễn Huy Vũ

AN NINH MẠNG: TỪ LÝ THUYẾT ĐẾN NHU CẦU THỰC TẾ
ANH VŨ/ TBKTSG 4-7-2018
(TBVTSG) - Sự bùng nổ cả về chiều rộng lẫn chiều sâu của không gian mạng, đi cùng với nó là sự phát triển nhanh chóng của các công nghệ mới như điện toán đám mây (Cloud Computing), dữ liệu lớn (Big Data), trí thông minh nhân tạo (AI) hay Internet vạn vật (IoT) đang hỗ trợ cuộc sống, phát triển nền kinh tế, tái cấu trúc xã hội. Nhưng sự bùng nổ quá nhanh cùng với sự phức tạp của nó cũng tạo ra nhiều tác động tiêu cực, buộc các tổ chức, các quốc gia, các khu vực phải đặt ra những luật lệ cho không gian mạng.

Sự bùng nổ quá nhanh cùng sự phức tạp của không gian mạng buộc các tổ chức, các quốc gia, các khu vực phải đặt ra những luật lệ cho lĩnh vực này.
Ý niệm về việc đặt luật cho không gian mạng đã có từ lâu nhưng rất khó để tìm thấy một định nghĩa cụ thể về luật an ninh mạng (cybersecurity law). Wikipedia diễn giải chung như sau “Quy định an ninh mạng bao gồm những hướng dẫn bảo vệ công nghệ thông tin và hệ thống máy tính nhằm buộc các công ty và tổ chức phải giữ cho dữ liệu và hệ thống của họ khỏi các hình thức tấn công từ các loại virus mạng, các hình thức xâm nhập không được phép như để ăn cắp sở hữu trí tuệ hay thông tin mật, và cho hệ thống máy tính khỏi bị kiểm soát”. Từ sự diễn giải trên khi tìm hiểu về các quy định liên quan đến an ninh mạng tại nhiều quốc gia, chúng ta nhận thấy ý niệm phổ quát các quy định về an ninh mạng nhắm vào các tổ chức hay công ty phải bảo vệ khách hàng hay người sử dụng công nghệ của mình khỏi bị tấn công, và ở phương diện quốc gia là bảo vệ những công dân của họ, điển hình nhất là luật EU GDPR của Liên minh châu Âu (EU).
Mục tiêu của luật phải là bảo vệ con người
Trên thực tế, có ít quốc gia đặt riêng cho mình một luật về an ninh mạng. Ở nhiều nước dự luật đã không trở thành luật vì việc siết chặt an ninh mạng làm tổn hại đến nền kinh tế của họ, đến hoạt động đầu tư và việc làm và cuối cùng tác động đến năng lực cạnh tranh của quốc gia, nhất là trong giai đoạn cách mạng công nghiệp 4.0. Trái lại, những quy định về an ninh mạng, bao gồm cả an ninh quốc phòng trên môi trường mạng được đặt vào trong những bộ luật hiện hành, như luật an ninh nội địa, với mục đích là làm cho hoạt động mạng đáp ứng những bộ luật có sẵn. Tinh thần làm luật này được bản báo cáo Cybersecurity Law Overview của tổ chức Mannheimer Swartling, công bố tháng 4-2017, ghi nhận. Bản báo cáo dẫn ra những quy định về an ninh mạng ở Mỹ, EU, Đức, Mexico, Ấn Độ đều là những đạo luật (Act) nằm dưới hay bên trong các luật (Law).
Bản báo cáo của Mannheimer Swartling, được nghiên cứu và tổng hợp từ quy định về an ninh mạng của các quốc gia khác nhau, cho thấy thuật ngữ an ninh mạng (cybersecurity) là để chỉ việc bảo vệ mạng lưới, máy móc và dữ liệu khỏi các cuộc tấn công, phá hoại, hay đột nhập không được phép, gọi chung là cuộc tấn công (attack). “Việc luật hóa an ninh mạng đang được triển khai tại hầu hết các quốc gia và thường phân tán vào trong các lĩnh vực luật khác nhau”, báo cáo viết. Báo cáo phân chia luật an ninh mạng làm ba nhóm, thứ nhất là nhóm đáp ứng an ninh nội địa, thứ hai là nhóm bảo vệ lợi ích quốc gia, và thứ ba là nhóm ngăn chặn các hình thức tội phạm trong không gian mạng.
Nhóm bảo vệ an ninh nội địa buộc tổ chức công quyền và công ty khai thác mạng phải bảo đảm rằng họ có đủ biện pháp để ngăn chặn các cuộc tấn công trên nền tảng Internet. Ở đây thường là những biện pháp tối thiểu để bảo vệ các dịch vụ công cộng, bao gồm dịch vụ thiết yếu và cơ sở hạ tầng quan trọng như cơ sở về cung cấp điện nước, bệnh viện và ngân hàng chống lại những mối đe dọa từ không gian mạng. Mặt khác, nhóm này cũng bao gồm những luật lệ bảo vệ dữ liệu riêng tư của cá nhân hay công dân.
Nhóm bảo vệ lợi ích quốc gia bao gồm những luật lệ liên quan chặt chẽ đến quốc phòng, trong mục tiêu giữ gìn toàn vẹn lãnh thổ quốc gia bằng việc ngăn chặn các hoạt động như dùng mạng Internet để do thám hay thực hiện điệp vụ. Những luật lệ thuộc nhóm này thường áp lên các nguyên tắc thị trường và giới hạn dòng vốn đầu tư nước ngoài trong việc mua lại các công ty nội địa, hạn chế các nhà cung ứng nước ngoài tham gia đấu thầu các dự án hạ tầng khoa học kỹ thuật và công nghệ thông tin quan trọng. Các luật lệ này cũng thường hạn chế việc xuất khẩu và cung ứng công nghệ an ninh thiết yếu nhằm tránh bị phổ biến ra ngoài.
Nhóm chống các hình thức tội phạm mạng bao gồm những quy định có liên quan đến các hoạt động tội phạm sử dụng phương tiện điện tử hay kỹ thuật số, gọi là cybercrime, và các hoạt động mạng có khả năng dẫn đến tình trạng phạm tội, gọi là cyber-enable crime, phổ biến nhất là các hành động đột nhập hệ thống, đánh cắp thông tin, hay đánh cắp dữ liệu. Trong trường hợp này, nhiều quốc gia áp dụng Công ước Budapest trong việc xác định những hoạt động mạng nhất định nào đó có thể trở thành tội phạm mạng.
Bảo vệ an ninh mạng ở Mỹ
Mỹ là quốc gia có nhiều đạo luật liên quan đến an ninh mạng nhất. Chính phủ Mỹ tin rằng an ninh đối với những hệ thống máy tính quan trọng cho cả thế giới bởi hai nguyên nhân. Trước hết là sự gia tăng vai trò của công nghệ thông tin và theo đó là sự nổi lên của thương mại điện tử hay các hình thức giao dịch trực tuyến. Bảo vệ an toàn cho không gian mạng bây giờ trở thành một thành phần thiết yếu của nền kinh tế. An toàn mạng trở thành yếu tố sống còn cho việc bảo vệ an toàn các hệ thống thiết yếu như đáp ứng tình trạng khẩn cấp và bảo vệ các hệ thống hạ tầng như lưới điện.
Ở cấp liên bang, các đạo luật nhắm đến những ngành công nghiệp đặc thù, bao gồm ba nhóm chính là đạo luật về bảo hiểm y tế 1996 viết tắt là HIPAA, đạo luật về ngân hàng được thiết lập từ 1999 có tên là Gramm-Leach-Bliley Act, và những điều luật liên quan đến quản lý an toàn thông tin gọi tắt là FISMA (Federal Information Security Management Act) nằm trong luật An ninh nội địa được thông qua năm 2002.
Theo sau việc bang California thông qua đạo luật Notice of Security Breach Act buộc các công ty tàng trữ dữ liệu công dân phải công bố trường hợp bị tấn công, nhiều bang khác cũng làm ra các đạo luật bảo vệ hữu hiệu cho công dân mình. Mặt khác, các cơ quan chức năng, tùy theo lĩnh vực của mình cũng ban hành những quy định ngành để bảo đãm phần việc của họ trên không gian mạng.
Bản báo cáo của Mannheimer Swartling cho thấy hệ thống luật pháp ở Mỹ rất rõ ràng, không chồng chéo và các điều luật liên quan đến không gian mạng đặt vào đúng chỗ của nó, bao quát được cả ba mục tiêu bảo vệ an ninh nội địa, bảo vệ lợi ích quốc gia và ngăn chặn tội phạm mạng. Các đạo luật thường do cơ quan chuyên ngành đề nghị, ví dụ Cybersecurity Enhancement Act 2014 do National Institute of Standards and Technology (NIST) nhắm vào việc chuẩn hóa đối với các công ty phát triển hạ tầng thiết yếu, hay National Cybersecurity Protection Act 2014 do National Cybersecurity and Communications Integration Center thuộc Bộ An ninh Nội địa soạn thảo, và đối với lĩnh vực ngân hàng, luật căn bản là Gramm-Leach-Bliley Act 1999.
Giữ gìn trật tự an ninh mạng ở châu Âu
Viêc đặt luật cho không gian mạng ở châu Âu khác với Mỹ. Trong khi ở Mỹ người ta tập trung vào những tiêu chuẩn làm căn bản vận hành không gian mạng thì tại châu Âu các nhà quản lý tạo ra những sự điều chỉnh luật để thích hợp với hoạt động kinh doanh nơi mỗi quốc gia thành viên EU. Tiêu chuẩn an toàn mạng, vì thế, trở thành nổi bật đối với các công ty kinh doanh dựa trên công nghệ.
Ba bộ luật an ninh mạng quan trọng nhất của cộng đồng châu Âu là ENISA, NIS Directive và mới nhất EU GDPR bắt đầu có hiệu lực từ ngày 25-5 vừa qua. ENISA (The European Union Agency for Network and Information Security) ra đời từ năm 2004, được bổ sung vào 2013 nhắm đến việc điều chỉnh các hoạt động mạng. Hướng dẫn NIS về an toàn mạng lưới và hệ thống thông tin có hiệu lực từ tháng 8-2016 nhằm giúp các quốc gia đưa các điều khoản an ninh mạng vào luật của mỗi nước trong vòng 21 tháng. Cuối cùng là Luật bảo vệ dữ liệu tổng quát viết tắt là GDPR (General Data Protection Regulation) ban hành vào ngày 14-4-2016 và có hiệu lục bắt buộc kể từ ngày 25-5-2018.
Có thể nói, ngày 25-5-2018 đánh dấu một giai đoạn quyết liệt của EU trong việc bảo vệ dữ liệu cá nhân và quyền riêng tư cho mỗi công dân trên không gian mạng. Đây là luật của EU, nhưng nó đang lan rộng hiệu ứng đến các nước khác với việc nhiều tập đoàn công nghệ như Microsoft đem vào áp dụng trên toàn cầu. Các tập đoàn khác đang điều chỉnh để đáp ứng luật. Một số công ty tạm ngừng dịch vụ ở châu Âu, trong khi một số công ty khác chấm dứt hoạt động vì không đủ tài nguyên, năng lực để điều chỉnh hay không còn mua được dữ liệu để khai thác. Cái giá để đáp ứng các điều khoản của luật GDPR rất lớn, nhưng lợi ích cho người sử dụng mạng còn lớn lao và lâu dài hơn. Các công ty đang đầu tư hệ thống an ninh mới để có khả năng bảo vệ dữ liệu. Một số công ty đang phải kiểm tra kho dữ liệu đã thu thập xem chúng có chính xác và hợp pháp để lưu giữ không. Và cuối cùng như chúng ta đang thấy, GDPR buộc các công ty công nghệ lớn phải thay đổi chính sách. EU GDPR đang tạo nên hiệu ứng kép, vừa bảo vệ người sử dụng mạng, vừa phát triển công ăn việc làm cho doanh nghiệp và công dân của EU.
Chiều hướng thiết lập luật an ninh mạng
Việc thiết lập luật an ninh mạng, cho dù phân tán vào các luật hiện hành hay tạo thành đạo luật, gọi chung là luật cứng (hard law) thường có những tiêu cực vì không biến đổi kịp theo thời gian và các hướng phát triển rất đa dạng của không gian mạng. Một khuynh hướng mới là hình thành loại luật mềm (soft law) bằng những quy định chuẩn hóa nền kỹ nghệ đạt đến trình độ yêu cầu an ninh hiện hành.
Úc là một trong các quốc gia đi theo hướng này, họ đưa trình độ an ninh mạng lên ngang bằng với Mỹ và châu Âu nhưng lại không đặt thành luật mà thiết chế tiêu chuẩn an ninh thích hợp cho từng lĩnh vực và loại hình doanh nghiệp. Kinh nghiệm này chứng minh cho thấy không phải thiếu luật cứng là không có phương cách bảo vệ an ninh mạng. Một chiều hướng khác, nhiều quốc gia đang xem lại những luật về đầu tư nước ngoài với những ràng buộc mới cho các công ty công nghệ, điển hình như tại Đức và Pháp.
Giới chuyên gia công nghệ cho rằng đã có sự phân cực trong luật an ninh mạng, một đằng hướng về an ninh nội địa bảo vệ công dân, đằng kia thiên về lợi ích quốc gia bảo vệ các dịch vụ thiết yếu và cơ sở hạ tầng quan trọng.
Đặc biệt trong các năm gần đây bảo vệ lợi ích quốc gia được đặt lên trên đầu tư nước ngoài, điển hình như việc Đức và Úc cấm tập đoàn Huawei của Trung Quốc tham gia đấu thầu một số dự án hạ tầng, và Pháp cấm cả việc cung ứng một số thiết bị công nghệ. Gần đây, Mỹ còn đi đầu trong việc dùng cấm vận kinh tế để chống lại nguy cơ an ninh mạng và sử dụng luật xuất khẩu để ngăn chặn việc một công ty nước ngoài bán công nghệ cho các nước thù địch, và đây là trường hợp ZTE cũng của Trung Quốc bán thiết bị công nghệ cho Iran. Không gian mạng tiếp tục bùng nổ và các tế bào mạng tiếp tục nảy sinh, vì thế, việc đặt luật cho không gian mạng không thể cứng nhắc và càng không thể xâm phạm đến quyền hợp pháp của người sử dụng mạng.

Không có nhận xét nào:

Đăng nhận xét