GÓP Ý CỦA LIÊN MINH PHẦN MỀM (BSA) VỀ NGHỊ ĐỊNH 53 HƯỚNG DẪN THI HÀNH LUẬT AN NINH MẠNG 300 Beach Road P +65 6292 2072 Regional Representative Office #30 06 The Concourse F +65 6292 6369 UEN S97RF0005[.]
Ngày 30 tháng năm 2022 GÓP Ý CỦA LIÊN MINH PHẦN MỀM (BSA) VỀ NGHỊ ĐỊNH 53 HƯỚNG DẪN THI HÀNH LUẬT AN NINH MẠNG Kính gửi: Bộ Cơng An Đồng kính gửi: Bộ Thơng Tin Truyền Thơng Thay mặt cho BSA | Liên Minh Phần Mềm (BSA),1 xin gửi tới Quý Bộ lời chào trân trọng lời cảm ơn chân thành đưa hướng dẫn thi hành cho quy định Luật An Ninh Mạng (Luật ANM) Trong vài năm qua, BSA theo sát bước tiến liên quan đến Luật ANM với quan tâm đặc biệt Cụ thể, BSA đưa ý kiến đóng góp sửa đổi dự thảo Nghị Định 72 vào tháng năm 20212 tháng 12 năm 20213 đóng góp ý kiến dự thảo Nghị Định Hướng Dẫn Thi Hành Luật An Ninh Mạng vào tháng 12 năm 2018.4 BSA đóng góp ý kiến hiệp hội ngành dự thảo Luật An Ninh Mạng phiên số 15 số 18 vào tháng năm 20185 tháng năm 2018.6 I Kiến Nghị Ngày 15 tháng năm 2022, Bộ Công An (BCA) công bố phiên cuối Nghị Định số 53/2022/NĐ-CP (Nghị Định 53) Chúng quan tâm đến vấn đề sau Nghị Định 53 xin đưa đề xuất để BCA xem xét: BSA tổ chức hỗ trợ hàng đầu cho ngành công nghiệp phần mềm tồn cầu trước phủ thị trường quốc tế Các thành viên công ty sáng tạo giới, tạo giải pháp phần mềm giúp doanh nghiệp quy mô, thành phần kinh tế đại hóa tăng trưởng Có trụ sở Washington, DC, hoạt động 30 quốc gia, BSA tổ chức tiên phong chương trình tn thủ khuyến khích sử dụng phần mềm hợp pháp ủng hộ sách công nhằm đẩy mạnh đổi công nghệ thúc đẩy tăng trưởng kinh tế kỹ thuật số Các thành viên BSA bao gồm: Adobe, Alteryx, Altium, Amazon Web Services, Atlassian, Autodesk, Bentley Systems, Box, Cisco, CNC/Mastercam, CrowdStrike, Dassault, Databricks, DocuSign, Dropbox, Graphisoft, IBM, Informatica, Intel, Kyndryl, MathWorks, Microsoft, Nikon, Okta, Oracle, Prokon, PTC, Rockwell, Salesforce, SAP, ServiceNow, Shopify Inc., Siemens Industry Software Inc., Splunk, Trend Micro, Trimble Solutions Corporation, TriNet, Twilio, Unity Technologies, Inc., Workday, Zendesk, Zoom Video Communications, Inc Việt Nam: Ý Kiến Đóng Góp Của BSA Dự Thảo Nghị Định Sửa Đổi, Bổ Sung Nghị Định 72 | BSA | Liên Minh Phần Mềm Việt Nam: Ý Kiến Đóng Góp Của BSA Dự Thảo Nghị Định Sửa Đổi, Bổ Sung Nghị Định 72 | BSA | Liên Minh Phần Mềm Việt Nam: Ý Kiến Đóng Góp Của BSA Dự Thảo Nghị Định Hướng Dẫn Thi Hành Luật An Ninh Mạng | BSA | Liên Minh Phần Mềm Việt Nam: Dự Thảo Luật An Ninh Mạng Phiên Bản số 15-Ý Kiến Đóng Góp Của Hiệp Hội Ngành | BSA | Liên Minh Phần Mềm Việt Nam: Ý Kiến Đóng Góp Của Hiệp Hội Ngành dự thảo Luật An Ninh Mạng (phiên số 18) | BSA | Liên Minh Phần Mềm 300 Beach Road #30-06 The Concourse Singapore 199555 P: +65 6292 2072 F: +65 6292 6369 W: bsa.org Regional Representative Office UEN: S97RF0005K a) Định nghĩa “doanh nghiệp nước” có thể không nhất quán với phạm vi nhà cung cấp dịch vụ bị Nghị Định 53 điều chỉnh Điều 26.2 Nghị Định 53 yêu cầu doanh nghiệp nước phải lưu trữ liệu Việt Nam, Điều 2.11 Nghị Định 53 định nghĩa “doanh nghiệp nước” doanh nghiệp thành lập đăng ký thành lập theo pháp luật Việt Nam có trụ sở Việt Nam Dù chúng tơi cảm kích nhiều cơng ty thành viên BSA loại trừ khỏi định nghĩa không bị buộc lưu trữ liệu theo quy định Việt Nam, lo ngại số doanh nghiệp cơng ty có vốn đầu tư trực tiếp nước ngồi (FDI) có trụ sở Việt Nam bị coi doanh nghiệp nước Chúng kiến nghị Quý Bộ nên đưa giải thích thức quy định rõ phạm vi “doanh nghiệp nước” Điều 26.2 không bao gồm doanh nghiệp có vốn đầu tư nước ngồi cơng ty tập đoàn nước tập đoàn đa quốc gia Điều 2.2 định nghĩa “người sử dụng dịch vụ” “tổ chức, cá nhân tham gia sử dụng dịch vụ không gian mạng” Điều 2.3 định nghĩa “người sử dụng dịch vụ Việt Nam” “tổ chức, cá nhân sử dụng không gian mạng lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam.” Chúng khuyến nghị BCA làm rõ thuật ngữ “người sử dụng dịch vụ”, định nghĩa các Điều 2.2 2.3, không buộc doanh nghiệp nước nước coi nhân viên họ nhân viên nội khác “người sử dụng dịch vụ.” Điều cho phép doanh nghiệp nước Việt Nam tiếp tục sử dụng dịch vụ đám mây khả dụng toàn cầu cho hoạt động nội doanh nghiệp b) Điều 26.2 Nghị Định 53 yêu cầu doanh nghiệp nước phải lưu trữ liệu Việt Nam Chúng muốn xác nhận liệu đó có thể chuyển giao, lưu trữ, xử lý bên Việt Nam, miễn liệu đó lưu trữ Việt Nam Các yêu cầu lưu trữ liệu Việt Nam, chẳng hạn yêu cầu áp dụng Nghị Định 53 có tác động tiêu cực đến kinh tế nước quy định không cho phép doanh nghiệp hưởng lợi đầy đủ từ công nghệ dịch vụ tiên tiến có thị trường tồn cầu Để lấy ví dụ, quy định lưu trữ liệu Việt Nam có thể hạn chế doanh nghiệp nước, gồm doanh nghiệp nhỏ vừa (SMEs) tổ chức lớn bệnh viện ngân hàng, sử dụng giải pháp cơng nghệ thơng tin (CNTT) điện tốn đám mây hàng đầu giới từ nhà cung cấp dịch vụ bên Việt Nam.7 Các dịch vụ thường cung cấp khả đảm bảo an toàn liệu tốt nhất; việc cấm công ty nước sử dụng dịch vụ có thể làm giảm khả cạnh tranh công ty này, đặc biệt phạm vi quốc tế, khiến họ gặp rủi ro lớn an toàn liệu Các dịch vụ đám mây cung cấp xuyên biên giới mang lại lợi bảo mật so với phương pháp cung cấp CNTT thay (tại chỗ dịch vụ đám mây cục bộ): • • • • • • Bảo Mật Vật Lý: Nhân đủ điều kiện có thể giám sát cẩn thận máy chủ 24/7 để ngăn chặn vi phạm vật lý có thể áp dụng giao thức quán số ít địa điểm Bảo Mật Dữ Liệu: Nhà Cung Cấp Dịch Vụ Đám Mây (CSP) có thể đảm bảo tính tồn vẹn liệu thơng qua việc sử dụng giao thức mã hóa đại cho liệu trạng thái nghỉ trạng thái truyền Các CSP có thể thiết lập lưu dự phòng liệu trung tâm liệu phân tán mặt địa lý, giảm thiểu rủi ro mát trường hợp điện thảm họa tự nhiên hay nhân tạo Phát Hiện Mối Đe Dọa Nâng Cao: CSP tận dụng trí thông minh bảo mật nâng cao đại Họ sử dụng biện pháp kiểm tra xâm nhập thường xuyên để mô công giới thực đánh giá giao thức bảo mật chống lại mối đe dọa phát sinh Triển Khai Bản Vá Tự Động: Việc triển khai vá tự động tập trung hóa cập nhật thời gian thực cho giao thức bảo mật mạng hoạt động để bảo vệ hệ thống khỏi lỗ hổng xác định Quản Lý Và Ứng Phó Sự Cố: Các CSP trì nhóm chun gia ứng phó cố tồn cầu để ứng phó giảm thiểu tác động công hoạt động phá hoại Chứng Nhận: Các CSP thường chứng nhận theo tiêu chuẩn bảo mật quốc tế đánh giá thường xuyên để trì chứng nhận họ 300 Beach Road #30-06 The Concourse Singapore 199555 P: +65 6292 2072 F: +65 6292 6369 W: bsa.org Regional Representative Office UEN: S97RF0005K Trang / BSA kiến nghị loại bỏ hoàn toàn yêu cầu lưu trữ liệu Việt Nam khỏi Nghị Định 53 Tuy nhiên, Chính Phủ bãi bỏ quy định lưu trữ liệu Việt Nam, kiến nghị BCA giải thích rõ doanh nghiệp nước đáp ứng yêu cầu lưu trữ liệu Việt Nam doanh nghiệp đó lưu trữ điện tử liệu yêu cầu Việt Nam theo hình thức doanh nghiệp đó tự xác định.8 Điều cho phép doanh nghiệp nước tiếp tục sử dụng dịch vụ dựa đám mây mà không không thể lưu trữ liệu Việt Nam phần dịch vụ họ BSA ủng hộ nỗ lực để đảm bảo liệu bảo vệ tương xứng với rủi ro mà hành vi xâm phạm liệu gây việc yêu cầu lưu trữ liệu Việt Nam không làm tăng khả bảo vệ liệu chí có thể làm tăng nguy liệu bị xâm phạm c) Ngày có hiệu lực thi hành Nghị Định 53 gấp doanh nghiệp thuộc phạm vi điều chỉnh không thể di chuyển liệu khối lượng công việc cách hiệu trước ngày tháng 10 năm 2022 Khoảng thời gian tuân thủ eo hẹp có thể khiến doanh nghiệp nước khơng kịp thực thay đổi cần thiết có thể làm gián đoạn hoạt động doanh nghiệp Việc gấp rút tuân thủ yêu cầu lưu trữ liệu Việt Nam có khả hạ thấp tiêu chuẩn an ninh mạng sở liệu có cấu trúc khả bảo mật khơng thực tốt có thể thiết lập doanh nghiệp để kịp đáp ứng ngày có hiệu lực thi hành Nếu cần di chuyển liệu, doanh nghiệp nước cần thời gian để di chuyển liệu khối lượng công việc nhằm thực lưu trữ liệu Việt Nam Chúng kiến nghị doanh nghiệp thuộc phạm vi điều chỉnh nên có thời hạn 24 tháng để tuân thủ Nghị Định 53 ngày có hiệu lực thi hành ngày tháng 10 năm 2022 Việc cho phép cộng đồng doanh nghiệp Việt Nam thời gian chuyển tiếp 24 tháng giúp doanh nghiệp có đủ thời gian để làm quen với nghĩa vụ thực biện pháp để tuân thủ nghĩa vụ đảm bảo tiêu chuẩn an ninh mạng doanh nghiệp mức cao Điều tránh tình trạng luật có hiệu lực, doanh nghiệp không thể tuân thủ, không muốn tuân thủ II Quan Ngại Về Các Cam Kết Của Việt Nam Các Điều Ước Quốc Tế Các kiến nghị đưa nhằm làm rõ nội dung thiếu rõ ràng Nghị Định hành đưa đề xuất có thể giảm thiểu tác động tiêu cực quy định lưu trữ liệu Việt Nam Tuy nhiên, muốn lưu ý số yêu cầu lưu trữ liệu Việt Nam có thể gây lo ngại cam kết Việt Nam điều ước quốc tế thách thức nỗ lực Việt Nam khai thác chuyển đổi số lợi ích kinh tế người dân a) Không nhất quán với Cam Kết CPTPP: Các yêu cầu lưu trữ liệu Việt Nam Điều 26.1 26.2 Nghị Định gây lo ngại việc Việt Nam tuân thủ nghĩa vụ quốc tế Hiệp Định Đối Tác Tồn Diện Tiến Bộ Xun Thái Bình Dương (CPTPP) Mặc dù hai Điều dường yêu cầu doanh nghiệp nước lưu trữ liệu Việt Nam, thực tế quy định yêu cầu doanh nghiệp nước cung cấp dịch vụ lưu trữ xử lý liệu cho pháp nhân Việt Nam “sử dụng đặt máy chủ” Việt Nam điều kiện để tiến hành kinh doanh Các yêu cầu lưu trữ liệu Việt Nam dường không tương thích với Điều 14.13 CPTPP, quy định (trong phần liên quan) sau: Điều 26.5 Nghị Định 53 quy định “Hình thức lưu trữ liệu Việt Nam doanh nghiệp định.” 300 Beach Road #30-06 The Concourse Singapore 199555 P: +65 6292 2072 F: +65 6292 6369 W: bsa.org Regional Representative Office UEN: S97RF0005K Trang / “Điều 14.13: Đặt Hệ Thống Máy Chủ: … Không bên yêu cầu pháp nhân bảo hộ phải sử dụng đặt hệ thống máy chủ lãnh thổ Bên điều kiện để tiến hành hoạt động kinh doanh lãnh thổ đó.” Thời gian chuyển tiếp có phần eo hẹp Việt Nam để tuân thủ nghĩa vụ đến hạn vào tháng năm 2024, có nghĩa yêu cầu lưu trữ liệu Việt Nam thức trái với cam kết CPTPP Việt Nam thời điểm b) Khơng Đủ Điều Kiện để coi Ngoại Lệ Của CPTPP: Các yêu cầu lưu trữ liệu nội địa có thể khơng coi ngoại lệ hợp lý phép theo định nghĩa Điều 14.13.3 CPTPP.9 Việc không áp dụng điều khoản CPTPP nói phải “cần thiết” để đảm bảo tuân thủ pháp luật nước (chẳng hạn pháp luật liên quan đến an ninh mạng) “không áp đặt hạn chế mức cần thiết việc sử dụng đặt hệ thống máy chủ để thực mục tiêu sách cơng cộng chính đáng.” Thật đáng tiếc Nghị Định 53 dường không đáp ứng tiêu chuẩn Thực chất, khác xa với việc thúc đẩy mục tiêu an ninh mạng, yêu cầu lưu trữ liệu Việt Nam Nghị Định 53 có thể làm giảm giá trị mục tiêu nêu Nghị Định cải thiện an toàn liệu bảo vệ liệu Việt Nam Chuyển giao liệu xuyên biên giới giúp cải thiện an toàn liệu, cho phép hiển thị phản ứng theo thời gian thực với mối đe dọa mạng phát sinh, bao gồm phần mềm độc hại, gian lận trực tuyến, hoạt động tội phạm trực tuyến khác Việc chuyển giao liệu xuyên biên giới giúp nâng cao khả phục hồi liệu việc cho phép lưu dự phịng liệu bên ngồi quốc gia Việc đặt yêu cầu lưu trữ liệu Việt Nam có thể cản trở việc chuyển giao liệu xuyên biên giới làm giảm khả doanh nghiệp Việt Nam ứng phó mối đe dọa liệu họ — tạo lỗ hổng an toàn liệu ngồi ý muốn cho Việt Nam c) Xa rời khn khổ IPEF Các Sáng Kiến Thương Mại Khu Vực Khác: Các yêu cầu lưu trữ liệu Việt Nam Nghị Định cản trở khả Việt Nam tham gia hưởng lợi từ sáng kiến thương mại khu vực, chẳng hạn Khuôn Khổ Kinh Tế Ấn Độ Dương - Thái Bình Dương (IPEF) Nếu Việt Nam không tuân thủ cam kết quốc tế có, có quan ngại sức nặng giá trị cam kết mà Việt Nam muốn thực đàm phán khác Việc niềm tin vào khả Việt Nam tuân thủ cam kết quốc tế có thể làm suy giảm sẵn sàng kinh tế đối tác việc tham gia đàm phán thương mại kỹ thuật số với Việt Nam tương lai Các quy định bảo vệ việc chuyển giao liệu xuyên biên giới, cấm lưu trữ liệu nội địa thuế hải quan kỹ thuật số, việc thúc đẩy an ninh mạng bảo vệ liệu cá nhân trụ cột cốt lõi trụ cột thương mại IPEF Những quy định dựa tiêu chuẩn Hiệp Định Thương Mại Kỹ Thuật Số Hoa Kỳ-Nhật Bản (USJDTA), Hiệp Định Kinh Tế Số Úc-Singapore (DEA), Hiệp Định Đối Tác Kỹ Thuật Số Singapore-Hàn Quốc (DPA), Hiệp Định Đối Tác Kinh Tế Số (DEPA), Hiệp Định Hoa Kỳ-Mexico-Canada, CPTPP, với hiệp định khác Thật đáng tiếc hạn chế nêu Nghị Định 53 không tương thích với quy định nói hiệp định nêu Nếu không sửa đổi Nghị Định để loại bỏ yêu cầu lưu trữ liệu Việt Nam, Việt Nam có thể khơng đủ điều kiện tham gia vào đàm phán trụ cột thương mại IPEF liên quan đến vấn đề liệu xuyên biên giới Điều 14.13.3 CPTPP quy định sau: “Khơng Điều ngăn cản Bên áp dụng trì biện pháp không phù hợp với khoản để thực mục tiêu sách cơng cộng chính đáng, miễn biện pháp đó: (a) khơng áp dụng để nhằm mục đích tạo phân biệt đối xử tùy tiện vô lý, cản trở thương mại cách trá hình; (b) khơng áp đặt hạn chế mức cần thiết việc sử dụng đặt hệ thống máy chủ để thực mục tiêu sách cơng cộng chính đáng.” 300 Beach Road #30-06 The Concourse Singapore 199555 P: +65 6292 2072 F: +65 6292 6369 W: bsa.org Regional Representative Office UEN: S97RF0005K Trang / d) Đe doạ Hệ Sinh Thái Đổi Mới Sáng Tạo Và Công Nghệ Việt Nam: Các yêu cầu lưu trữ liệu Việt Nam Nghị Định có thể đe dọa đến hệ sinh thái Việt Nam khởi nghiệp phần mềm công nghệ, khả thu hút đầu tư cạnh tranh với quốc gia ngang hàng Bằng cách áp đặt hạn chế khiến doanh nghiệp nước ngồi khó đồng hành Việt Nam việc phát triển phần mềm chuyển giao cơng nghệ xun biên giới, Việt Nam có nguy kìm hãm chính doanh nghiệp nước làm cho quốc gia trở nên thu hút (trong ngắn hạn dài hạn) đầu tư nước lĩnh vực phát triển phần mềm công nghệ khác Một lần nữa, việc sửa đổi Nghị Định để loại bỏ yêu cầu lưu trữ liệu nước giúp Việt Nam tránh hệ tiêu cực BSA đại diện cho ngành công nghiệp phần mềm doanh nghiệp tồn cầu Các thành viên chúng tơi đầu đổi dựa định hướng liệu, tạo tiến vượt bậc trí tuệ nhân tạo, cơng nghệ máy học phân tích dựa đám mây Các thành viên nhận niềm tin người dùng cách cung cấp cơng nghệ an tồn thiết yếu để bảo vệ chống lại mối đe dọa mạng Bằng cách hợp tác chặt chẽ với phủ tồn giới sách an ninh mạng xây dựng pháp luật, BSA chứng kiến tiềm luật quy định an ninh mạng việc vừa ngăn chặn quản lý công mạng vừa bảo vệ quyền riêng tư quyền tự dân người dân Chúng xin cảm ơn BCA xem xét ý kiến đóng góp Nghị Định 53 hy vọng BCA tích cực thực kiến nghị Chúng kính đề nghị BCA tiếp tục tham gia đối thoại với khu vực tư nhân tiếp tục thảo luận cởi mở để đạt mục tiêu chung nhằm phát triển kinh tế số sôi động cạnh tranh Vui lòng liên hệ với Quý Bộ cần làm rõ vấn đề cần thêm thơng tin Một lần xin cảm ơn Quý Bộ giành thời gian xem xét khuyến nghị Trân trọng, Wong Wai San Quản Lý Chính Sách Cấp Cao – Khu vực Châu Á - Thái Bình Dương 300 Beach Road #30-06 The Concourse Singapore 199555 P: +65 6292 2072 F: +65 6292 6369 W: bsa.org Regional Representative Office UEN: S97RF0005K Trang / ... cơng nghệ an tồn thi? ??t yếu để bảo vệ chống lại mối đe dọa mạng Bằng cách hợp tác chặt chẽ với phủ tồn giới sách an ninh mạng xây dựng pháp luật, BSA chứng kiến tiềm luật quy định an ninh mạng việc... Việt Nam dường không tương thi? ?ch với Điều 14.13 CPTPP, quy định (trong phần liên quan) sau: Điều 26.5 Nghị Định 53 quy định “Hình thức lưu trữ liệu Việt Nam doanh nghiệp định. ” 300 Beach Road #30-06... (DEPA), Hiệp Định Hoa Kỳ-Mexico-Canada, CPTPP, với hiệp định khác Thật đáng tiếc hạn chế nêu Nghị Định 53 không tương thi? ?ch với quy định nói hiệp định nêu Nếu không sửa đổi Nghị Định để loại