Những vấn đề chung: Theo dự thảo, phạm vi điều chỉnh của Luật An ninh mạng khá rộng, bao quát các vấn đề liên quan tới bảo vệ an ninh mạng và các hoạt động trên không gian mạng nên dễ trùng lặp về nội dung và chồng chéo về thẩm quyền quản lý nhà nước với các văn bản luật khác đang hiện hành như Luật An toàn thông tin mạng, Luật Cơ yếu, Luật Công nghệ thông tin.... Do đó, đề nghị Ban soạn thảo luật rà soát những nội dung đã được văn bản quy phạm pháp luật khác điều chỉnh để xác định hợp lý phạm vi điều chỉnh, nội dung quy định của dự thảo Luật tránh chồng chéo, mâu thuẫn; bảo đảm phân định thẩm quyền giữa các cơ quan hợp lý và bảo đảm tính thống nhất, đồng bộ trong hệ thống pháp luật.

Một số vấn đề cụ thể:

Điều 3 dự thảo Luật An ninh mạng (gọi tắt là dự thảo Luật)

- Khoản 6 Điều 3 dự thảo Luật quy định “Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội”. Bên cạnh đó, khoản 4 Điều 3 Luật An toàn thông tin mạng quy định “Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia”. Như vậy, trong cùng lĩnh vực bảo vệ thông tin và hoạt động trên không gian mạng sẽ cùng tồn tại hai hệ thống phân loại về các hệ thông thông tin quan trọng đối với quốc gia.

Hiện nay, tiêu chí xác định và phân loại của Hệ thống thông tin quan trọng quốc gia đã được nhà nước quy định. Vì vậy, việc xác định tiêu chí, phân loại và xây dựng danh mục của Hệ thống thông tin quan trọng về an ninh quốc gia nên xem xét để có sự dẫn chiếu, tương đồng giữa hai hệ thống phân loại, tránh tình trạng có sự mâu thuẫn giữa các văn bản quy định của nhà nước, gây ra sự chồng chéo trong quản lý nhà nước.

Trong khi đó khoản 3 Điều 9 Dự thảo Luật quy định “Trường hợp hệ thống thông tin được phân loại theo quy định của luật khác mà trùng với hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của Luật này thì áp dụng quy định của Luật này”. Tuy nhiên, dưới góc độ an toàn thông tin mạng, hệ thống thông tin vẫn phải áp dụng theo cả quy định của Luật An toàn thông tin mạng đang hiện hành, tức là vẫn phải áp dụng đồng thời hai hệ thống phân loại. Đề nghị Ban soạn thảo xem xét thêm việc quy định dẫn chiếu này.

- Khoản 9 Điều 3 dự thảo Luật quy định “Tấn công mạng là hành vi phá hoại, gây gián đoạn hoặc truy cập trái phép máy tính, hệ thống máy tính hoặc hệ thống thông tin”, quy định này có nội dung trùng lặp với Khoản 6 Điều 3 Luật An toàn thông tin mạng, theo đó quy định “Xâm phạm an toàn thông tin mạng là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin”. Đề nghị Ban soạn thảo xem xét thêm quy định trên để tránh quy định chồng chéo.

Điều 4 dự thảo Luật: Cần làm rõ thêm nội dung tại khoản 3: “Xây dựng không gian mạng lành mạnh. Các hành vi trên không gian mạng được ứng xử theo quy tắc, chuẩn mực, khuyến khích các hoạt động trung thực và văn minh trên không gian mạng, xử lý nghiêm minh các hành vi vi phạm theo quy định của pháp luật”. Đề nghị xem lại cụm từ “Quy tắc” vì nếu quy định chung chung hoặc không có văn bản quy phạm pháp luật áp dụng thì không xử lý được nếu vi phạm.

Điều 8 dự thảo Luật quy định về các hành vi bị nghiêm cấm: Tại khoản 2 Điều 8 đề nghị bổ sung cụm từ “xúc phạm, bôi nhọ lãnh tụ, anh hùng dân tộc” tại cuối khoản này, vì hiện nay trên không gian mạng, nhất là ở các diễn đàn mạng xã hội, các phần tử phản động chống phá đang ra sức xuyên tạc, bôi nhọ, các lãnh tụ cách mạng Việt Nam, đồng thời để phù hợp, thống nhất với điểm d  khoản 4 Điều 22 của dự thảo Luật.

Ngoài ra, đề nghị bổ sung thêm hành vi nghiêm cấm đối với các cơ quan quản lý, cá nhân có thẩm quyền trong việc lợi dụng nhiệm vụ, quyền hạn để vụ lợi, Điều 8 dự thảo mới chỉ quy định các hành vi bị nghiêm cấm đối với chủ thể là đối tượng sử dụng không gian mạng nhưng chưa quy định trách nhiệm của chủ thể là cơ quan nhà nước.

Điều 13 dự thảo Luật: Tại khoản 3 quy định “tổ chức ứng cứu, khắc phục sự cố an ninh mạng theo quy định của Điều 26 Luật này”, đề nghị thay cụm từ “Ứng cứu” thành cụm từ “Ứng phó” để phù hợp với khoản 2 điều này, theo đó quy định “ứng phó, khắc phục khẩn cấp sự cố an ninh mạng xảy ra đối với hệ thống thông tin thuộc trách nhiệm quản lý” và phù hợp với Điều 17, Điều 19, Điều 20 dự thảo Luật. Đồng thời, chỉnh sửa việc dẫn chiếu đến Điều 26 Luật thành Điều 20, vì Điều 26 quy định về phòng, chống chiến tranh mạng. Tương tự, chỉnh sửa cụm từ “Ứng cứu” tại khoản 2 Điều 20 của dự thảo Luật.

Tại Điều 21 dự thảo Luật quy định ngừng cung cấp thông tin mạng đã dẫn chiếu không đúng nội dung, theo đó quy định “Trường hợp xảy ra tình huống nguy hiểm về an ninh mạng được quy định tại Khoản 1 Điều 29 Luật này”, tuy nhiên Khoản 1 Điều 29 của dự thảo Luật quy định nguyên tắc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước “1. Việc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước phải được ưu tiên, gắn liền với quá trình ứng dụng công nghệ thông tin, bảo đảm tính công khai, minh bạch nhằm nâng cao hiệu lực, hiệu quả hoạt động của cơ quan nhà nước”. Đề nghị chỉnh sửa như sau “Trường hợp xảy ra tình huống nguy hiểm về an ninh mạng được quy định tại Khoản 1 Điều 27 Luật này”. (Điều 27. Tình huống nguy hiểm về an ninh mạng: 1. Khi xảy ra các tình huống sau đây, Thủ tướng Chính phủ xem xét, quyết định hoặc giao Bộ trưởng Bộ Công an xem xét, quyết định tình huống nguy hiểm về an ninh mạng trong cả nước hoặc từng địa phương hoặc đối với một mục tiêu cụ thể).

Điều 47 dự thảo Luật quy định trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet: Theo điểm d khoản 2 quy định doanh nghiệp cung cấp dịch vụ viễn thông, internet có trách nhiệm "…xóa thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng,…".  Tuy nhiên, các doanh nghiệp này chỉ cung cấp truy nhập (kết nối) Internet, còn nội dung thông tin được lưu giữ trên máy chủ của khách hàng (chủ quản hệ thống thông tin), thậm chí là trên máy chủ được đặt ở nước ngoài, nên doanh nghiệp sẽ không thể thực hiện được nhiệm vụ này. Đề nghị ban soạn thảo xem xét, sửa đổi theo hướng yêu cầu chủ quản hệ thống thông tin hoặc nhà cung cấp dịch vụ lưu trữ Website/cho thuê vị trí đặt máy chủ thực hiện nội dung này.

Điều 49 dự thảo Luật quy định về trách niệm của Bộ Công an: Tại  điểm e khoản 1 quy định  Bộ Công an “Có văn bản cho ý kiến khi cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia đề nghị được ký hợp đồng với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng”. Tuy nhiên, tại Điều 48 của dự thảo Luật quy định về trách nhiệm cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia không có nội dung quy phải xin ý kiến Bộ công an trước khi ký hợp đồng. Vì vậy, đề nghị bỏ quy định này trong dự thảo Luật hoặc bổ sung vào tại Điều 48 nội dung xin ý kiến của Bộ Công an trước khi ký hợp đồng.

Về ngôn ngữ, kỹ thuật soạn thảo: Tại tên Chương và mục, đề nghị Ban soạn thảo rà soát, chỉnh lý đảm bảo yêu cầu về ngôn ngữ, kỹ thuật lập pháp. Ngoài ra, nên thống nhất các cụm từ “phần mềm độc hại”, “mã độc”,  “chương trình độc hạị” “chương trình tin học gây hại” sử dụng trong dự thảo Luật.