Tọa đàm chính sách: Các Nghị định quy định chi tiết, hướng dẫn thi hành Luật An ninh mạng 2025 góp phần nâng cao năng lực bảo vệ hệ thống thông tin quốc gia và bảo vệ người dân trên không gian mạng

Dành tối thiểu 15% cho việc đầu tư về an ninh mạng trong xây dựng, vận hành các hệ thống thông tin

Tại Tọa đàm, Thượng tá Triệu Mạnh Tùng cho biết, dự án Luật An ninh mạng năm 2025 được triển khai trên cơ sở hợp nhất Luật An ninh mạng năm 2018 và Luật An toàn thông tin mạng năm 2015 để đảm bảo phù hợp với mô hình tổ chức của các cơ quan cấp Bộ theo tinh thần Nghị quyết 18 của Bộ Chính trị.

Luật An toàn thông tin mạng năm 2015 chia các hệ thống thông tin thành 5 cấp độ. Trong khi đó, Luật An ninh mạng năm 2018 chia ra thành các hệ thống thông tin quan trọng về an ninh quốc gia và các hệ thống thông tin thông thường. Trên cơ sở đó, dự thảo “Nghị định về bảo vệ an ninh mạng đối với hệ thống thông tin” sẽ quy định chi tiết về các nội dung liên quan, trong đó có quy định về an ninh mạng đối với các hệ thống thông tin. 

Cụ thể, Nghị định sẽ có một số điểm mới nổi bật như sau:

Thứ nhất, Nghị định quy định rõ cách phân loại về các cấp độ hệ thống thông tin. Theo đó, hệ thống thông tin được chia thành 5 cấp độ, trong đó hệ thống thông tin quan trọng về an ninh quốc gia được đặt tại vị trí cao nhất là cấp độ 5. Điều này nhằm đảm bảo hợp nhất hai luật tương thích và triển khai thuận lợi theo các Nghị định trước đây.

Thứ hai, cơ quan soạn thảo đã bổ sung các quy định liên quan đến việc phải đầu tư, trang cấp để đảm bảo việc bảo vệ sự an toàn của hệ thống thông tin trước những nguy cơ tấn công mạng trong bối cảnh hiện nay. Trong Luật An ninh mạng năm 2025 đã quy định cơ quan, tổ chức phải dành tối thiểu 15% cho việc đầu tư về an ninh mạng đối với quá trình triển khai xây dựng, vận hành các hệ thống thông tin. Nghị định sẽ cụ thể hóa nội dung này để làm cơ sở cho chủ quản hệ thống thông tin bố trí con người, phương tiện, giải pháp và quy trình cho phù hợp.

Thứ ba, Nghị định quy định về vai trò, trách nhiệm trong việc chia sẻ các kết quả trong công tác đảm bảo an ninh mạng. Khi chủ quản hệ thống thông tin phát hiện các mối nguy về an ninh mạng, thông tin sẽ được chia sẻ về các hệ thống của cơ quan chuyên trách bảo vệ an ninh mạng của các Bộ, ngành để tổng hợp thành hệ thống cơ sở dữ liệu dùng chung.

Thứ tư, đối với hệ thống thông tin quan trọng sẽ phải triển khai việc kết nối về hệ thống giám sát của cơ quan chuyên trách (chủ yếu là lực lượng chuyên trách ở Bộ Công an, Bộ Quốc phòng) để triển khai công tác giám sát, đảm bảo an ninh an toàn trên diện rộng 24/7.

Xây dựng chế tài đủ mạnh để ngăn chặn tình trạng sử dụng AI, Deepfake để lan truyền tin giả

Thượng tá Triệu Mạnh Tùng cho biết, hiện nay, những hành vi sử dụng AI hay Deepfake để tạo ra những hình ảnh giả, thông tin giả lan truyền trên các nền tảng rất phổ biến. Luật An toàn thông tin mạng năm 2015 tuy đã có một số quy định về vấn đề này, nhưng chưa thực sự điều chỉnh hoặc có chế tài đối với hành vi sử dụng trái phép các ứng dụng này.

Dự thảo “Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân” dự kiến bổ sung nhiều quy định nghiêm khắc nhằm xử lý các hành vi lợi dụng công nghệ AI và Deepfake để tạo dựng, phát tán thông tin sai sự thật. Theo đó, cả hành vi khởi tạo các sản phẩm giả mạo như video, hình ảnh do AI tạo ra và hành vi phát tán, lan truyền các nội dung này đều sẽ bị xử lý với chế tài nghiêm khắc. Đồng thời, dự thảo cũng quy định trách nhiệm đối với các nền tảng số khi để xảy ra vi phạm nhưng không thực hiện kiểm định, kiểm soát hoặc gỡ bỏ nội dung theo yêu cầu của cơ quan nhà nước. Đặc biệt, đối với các hành vi xâm phạm dữ liệu cá nhân, mức xử phạt sẽ được áp dụng ở mức rất cao theo thông lệ quốc tế.

Tăng cường quản lý hội nhóm và định danh tài khoản trên không gian mạng

Liên quan đến vấn đề quản lý hội nhóm trên mạng xã hội và yêu cầu định danh, xác thực điện tử đối với người quản trị, Thượng tá Triệu Mạnh Tùng cho biết nội dung này được quy định trong dự thảo “Nghị định quy định về phòng ngừa, xử lý thông tin và hành vi sử dụng công nghệ thông tin, mạng máy tính, mạng viễn thông và phương tiện điện tử xâm phạm an ninh quốc gia, trật tự an toàn xã hội trên không gian mạng”. Trước đó, dự thảo được xây dựng theo hướng là “Nghị định về phòng, chống tội phạm mạng và tội phạm sử dụng công nghệ cao” và đã được Bộ Công an trình Chính phủ sửa đổi tên sau quá trình thẩm định.

Theo dự thảo Nghị định, việc thiết lập, vận hành và quản trị các hội nhóm trên mạng xã hội phải tuân thủ các trình tự, thủ tục và cơ chế quản lý cụ thể. Trong quá trình hoạt động, quản trị viên hội nhóm có trách nhiệm kiểm soát, duyệt nội dung đăng tải theo quy định nhằm ngăn chặn tình trạng các đối tượng lợi dụng hội nhóm để đăng tải thông tin tiêu cực, gây ảnh hưởng đến an ninh, trật tự. Người khởi tạo và điều hành hội nhóm cũng phải chịu trách nhiệm trong trường hợp bài đăng của thành viên gây tác động xấu đến xã hội nhưng không được kiểm duyệt, xử lý kịp thời.

Đối với công tác định danh điện tử (KYC), Nghị định sẽ quy định triển khai đồng bộ các biện pháp định danh nhằm đấu tranh với tình trạng sử dụng “SIM rác” và tài khoản ngân hàng không chính chủ. Theo đó, từ tài khoản mạng xã hội, tài khoản ngân hàng đến số điện thoại đều phải xây dựng cơ chế định danh xác thực.

Thời gian qua, Ngân hàng Nhà nước đã triển khai làm sạch dữ liệu tài khoản ngân hàng; đồng thời, các doanh nghiệp viễn thông cũng phối hợp với Bộ Công an thực hiện định danh thuê bao thông qua hệ thống Cơ sở dữ liệu quốc gia về dân cư. Khi các nền tảng hoàn thiện cơ sở dữ liệu định danh, sẽ từng bước hình thành hệ thống định danh toàn quốc phục vụ quản lý các tài khoản hoạt động trên không gian mạng.

Dự thảo Nghị định cũng bổ sung trách nhiệm đối với các nhà cung cấp dịch vụ xuyên biên giới. Theo đó, các nền tảng phải xây dựng cơ chế định danh tài khoản khách hàng thông qua các công cụ trực tuyến; đồng thời có trách nhiệm phối hợp, chia sẻ thông tin nhanh chóng cho cơ quan chức năng trong các trường hợp khẩn cấp. Đặc biệt, các nền tảng phải thực hiện gỡ bỏ thông tin xấu độc, ngăn chặn nguy cơ lan truyền trên không gian mạng trong thời hạn 24 giờ kể từ khi nhận được yêu cầu của cơ quan nhà nước có thẩm quyền.