Khung pháp lý đấu tranh với tội phạm mạng tại Singapore và kinh nghiệm cho Việt Nam

1. Đấu tranh với tội phạm mạng tại Singapore

1.1. Hệthống pháp luật

- Luật an ninh mạng năm 2018 sửa đổi, bổ sung năm 2022:

Được thông qua vào ngày 05/02/2018, Luật an ninh mạng Singapore gồm 06 chương, 51 điều nhằm thiết lập một hệ thống các quy định pháp lý để giám sát và duy trì an ninh mạng tại Singapore. Các điểm chính của luật gồm: Tăng cường bảo vệcơ sở hạ tầng thông tin quan trọng (CII) trước các cuộc tấn công mạng, giao quyền cho Cơ quan An ninh mạng ngăn chặn và ứng phó trước các mối đe dọa và sự cố an ninh mạng, thiết lập cơ chế chia sẻ thông tin an ninh mạng, việc cấp phép của các nhà cung cấp dịch vụ an ninh mạng. Bên cạnh đó, Luật cũng quy định cụ thể chức năng, nhiệm vụ của Ủy viên An ninh mạng (Chương II), các biện pháp ứng phó với các mối đe dọa và sự cố an ninh mạng như quyền điều tra, quyền yêu cầu cung cấp dữ liệu… (Chương IV); thẩm quyền điều tra (Điều 38) hay thẩm quyền xét xử của Tòa án (Điều 40).

- Đạo luật bảo vê dữ liệu cá nhân năm 2012 sửa đổi, bổ sung năm 2020:

Được thông qua vào ngày 15/10/2012, Đạo luật bảo vệdữ liệu cá nhân Singapore gồm 10 chương, 68 điều ban hành các quy định pháp lý điều chỉnh việc các tổ chức quản lý, thu thập, sử dụng và tiết lộ dữ liệu của cá nhân như: Việc thành lập Ủy ban bảo vệdữ liệu cá nhân (PDPC), Ủy ban cố vấn bảo vệdữ liệu, cơ quan quản lý và thực thi Đạo luật bảo vệ dữ liệu cá nhân hay thành lập Sổ đăng ký không gọi. Ngoài ra, Đạo luật này cũng quy định cụ thể các chế tài xử phạt (Điều 48J), các điều khoản giải thích các loại tội phạm ảnh hưởng đến dữ liệu cá nhân và mức hình phạt tương ứng (Chương IX Phần B).

Ví dụ: Chế độ phạt tài chính nâng cao cho phép áp dụng hình phạt tài chính lên tới 10% doanh thu hàng năm của tổ chức tại Singapore (nếu doanh thu hàng năm của tổ chức tại Singapore vượt quá 10 triệu SGD và có hiệu lực từ ngày 01/10/2022).

- Đạo luật lạm dụng máy tính năm 1993 sửa đổi, bổ sung năm 2017:

Đạo luật lạm dụng máy tính Singapore gồm 03 chương, 19 điều quy định các tội phạm trên không gian mạng, trong đó, đáng chú ý là những quy định về việc thu thập, lưu giữ hoặc cung cấp thông tin cá nhân thu được thông qua tội phạm mạng là hành vi vi phạm; việc thu thập những thông tin có thể được sử dụng để thực hiện hành vi phạm tội trên không gian mạng cũng bị coi là hành vi vi phạm; các hành vi tội phạm mạng được thực hiện ở nước ngoài nhằm vào máy tính ở nước ngoài, hoặc gây nguy hại nghiêm trọng tại Singapore; cho phép hợp nhất các cáo trạng về tội phạm mạng.

- Đạo luật an toàn trực tuyến năm 2022:

Đạo luật bao gồm những nội dung có liên quan đến chủ nghĩa khủng bố, tự sát và tự làm hại bản thân, bạo lực thể chất hoặc tình dục và bóc lột tình dục trẻ em, nội dung gây nguy cơ tới sức khỏe cộng đồng hoặc những nội dung có khả năng gây bất hòa về chủng tộc và tôn giáo ở Singapore.

Cơ quan phát triển truyền thông Infocom là cơ quan được Đạo luật này giao quyền quản lý, giám sát và yêu cầu các nền tảng mạng xã hội như Instagram, Youtube hay Tiktok gỡ bỏ các nội dung không phù hợp theo quy định của Đạo luật; đồng thời có thể yêu cầu đơn vị cung cấp dịch vụ truy cập Internet chặn quyền truy cập của người dùng ở Singapore. Việc xử lý các yêu cầu về gỡ bỏ nội dung độc hại phải được tuân thủ theo quy định tại Đạo luật này nếu không sẽ phải đối mặt với khoản tiền phạt lên đến 1 triệu SGD (khoảng 715.000 USD).

- Bộ luật Hình sự Singapore:

Ngoài các hành vi phạm tội được quy định tại Đạo luật lạm dụng máy tính, tội phạm mạng cũng bao gồm các loại hình tội phạm truyền thống nhưng được thực hiện trên không gian mạng như lừa đảo trực tuyến, tống tiền hay doxing. Cụ thể: Hành vi lừa đảo trực tuyến theo Điều 420 Bộ luật Hình sự khiến nạn nhân giao tài sản có thể bị phạt tù lên đến 10 năm, phạt tiền hoặc bị áp dụng cả hai hình phạt trên; hay việc tống tiền qua mạng có thể bị xử phạt từ 02 - 05 năm tù cùng hình phạt bổ sung đánh roi mây.

1.2. Một số cơ quan, đơn vị trong đấu tranh, phòng chống tội phạm mạng tại Singapore

- Cơ quan An ninh mạng (CSA):

Được thành lập từ năm 2015, CSA là cơ quan Chính phủ trực thuộc Văn phòng Thủ tướng, đồng thời được quản lý bởi Bộ Thông tin và truyền thông, có nhiệm vụ là cầu nối giữa các cơ quan nhà nước và các tổ chức tư nhân trong việc bảo vệhệthống cơ sở hạ tầng quốc gia trong lĩnh vực năng lượng và ngân hàng, ngăn chặn những lỗ hổng trong hệthống mạng và bảo vệan ninh dữ liệu của người dân.

Nhiệm vụ cốt lõi của CSA gồm: (1) Để củng cố an ninh quốc gia: CSA liên tục giám sát không gian mạng để tìm các mối đe dọa trên mạng, đồng thời bảo vệ cơ sở hạ tầng thông tin quan trọng (CII) nhằm đảm bảo cung cấp liên tục các dịch vụ thiết yếu cho người dân. CSA phân tích rủi ro mà các mối đe dọa gây ra và thực hiện các biện pháp giảm thiểu thích hợp để ngăn chặn sự ảnh hưởng tiêu cực. CSA cũng chịu trách nhiệm tạo ra một không gian mạng an toàn hơn cho doanh nghiệp và cá nhân, cung cấp dịch vụ tư vấn bảo mật cho các cơ quan Chính phủ khác, chứng nhận sản phẩm và xác thực bảo đảm an ninh của hệ thống; (2) Tạo hệsinh thái an ninh mạng hoạt động hiệu quả: CSA hợp tác chặt chẽ với các trường đại học để khuyến khích đổi mới trong quá trình nghiên cứu các giải pháp an ninh mạng, tăng cường đào tạo nghề và hỗ trợ việc làm đối với chuyên ngành an ninh mạng. Hợp tác với các trường học, học viện, viện nghiên cứu bậc cao, cũng như các đối tác trong ngành để xây dựng một lực lượng an ninh mạng mạnh mẽ; (3) Nâng cao nhận thức về an ninh mạng: CSA đưa ra những cảnh báo, chỉ dẫn cho các bên liên quan khác nhau nhằm bảo vệ cơ quan, tổ chức, cá nhân khỏi các lỗ hổng nghiêm trọng, tiến hành các chương trình tiếp cận cộng đồng để nâng cao nhận thức và thúc đẩy việc áp dụng các biện pháp bảo vệan ninh mạng.

- Hiệp hội liên ngành An ninh mạng Singapore:

Được thành lập bởi Hiệp hội các chuyên gia về an ninh thông tin Singapore (AiSP), Hiệp hội liên ngành an ninh mạng được tạo ra nhằm thúc đẩy hợp tác về an ninh mạng giữa cơ quan nhà nước và các tổ chức tư nhân hoạt động trong lĩnh vực bảo đảm an toàn, an ninh mạng. Hiệp hội hoạt động dưới sự hỗ trợ của CSA và các cơ quan, tổ chức thành viên. Hiệp hội cung cấp các khóa đào tạo, tập huấn chuyên sâu về an ninh mạng, an toàn thông tin cho các đối tượng có nhu cầu, đồng thời tổ chức sự kiện, cuộc thi, giải thưởng về an ninh mạng nhằm tôn vinh những đóng góp xuất sắc của các cá nhân, tổ chức đối với hệ sinh thái an ninh mạng của địa phương và khu vực.

- Hội đồng tư vấn an ninh mạng của Cơ quan quản lý tiền tệ Quốc gia Singapore (CSAP):

Được thành lập từ năm 2017 gồm các chuyên gia an ninh mạng hàng đầu với nhiệm vụ dự báo tình hình công nghệvà cảnh báo các mối đe dọa mạng đối với các dịch vụ tài chính; nghiên cứu, đề xuất các giải pháp chiến lược nhằm bảo đảm an ninh mạng trong lĩnh vực tài chính hoặc đưa ra các cảnh báo về an ninh mạng nhằm nâng cao tiêu chuẩn an ninh mạng và yêu cầu các tổ chức tài chính tại Singapore phải tuân thủ. Ví dụ: Ngày 06/8/2019, CSAP đã ra cảnh báo và yêu cầu các tổ chức tài chính phải thực hiện bảo mật tài khoản quản trị, triển khai lắp đặt các thiết bị an ninh mạng, tăng cường xác thực người dùng và thực hiện các biện pháp chống phần mềm độc hại.

- Lực lượng đặc nhiệm chống mã độc tống tiền (Singapore’s Counter Ransomware Task Force - CRTF):

Tháng 11/2022, Lực lượng đặc nhiệm chống mã độc tống tiền Singapore chính thức được thành lập với sự điều hành của Ủy viên An ninh mạng và Giám đốc điều hành của cơ quan An ninh mạng cùng các thành viên là đại diện cấp cao từ CSA, cơ quan công nghệChính phủ, cơ quan phát triển truyền thông Infocom, Bộ Thông tin và Truyền thông, BộQuốc phòng, BộNội vụ, cơ quan quản lý tiền tệ, lực lượng Cảnh sát cũng như sự hỗ trợ từ Cơ quan Tổng chưởng lý Singapore. Nhiệm vụ chính của lực lượng đặc nhiệm là phối hợp giữa các cơ quan chính phủ trên các lĩnh vực nhằm xây dựng kế hoạch đấu tranh, phòng chống ransomware; thúc đẩy hợp tác quốc tế với các quốc gia đối với vấn đề về an ninh mạng, giám sát tài chính hay các hoạt động thực thi pháp luật xuyên biên giới có liên quan đến tội phạm mạng.

2. Một số hành vi phạm tội phổ biến trên không gian mạng tại Singapore

Tại Singapore, tội phạm mạng được phân loại thành 02 nhóm tội phạm gồm: (1) Nhóm tội phạm phụ thuộc vào mạng là các hành vi vi phạm theo Đạo luật lạm dụng máy tính, mục tiêu chính của hành vi phạm tội là hệthống máy tính như hack, phá hoại trang web, ransomware…; (2) Nhóm tội phạm được thực hiện trên không gian mạng là các hành vi phạm tội, trong đó máy tính được sử dụng như một công cụ, phương tiện để thực hiện hành vi phạm tội: Lừa đảo trực tuyến, quấy rối trực tuyến và tống tiền trên mạng cũng như các hành vi vi phạm khác trong Bộ luật Hình sự được thực hiện thông qua phương tiện trực tuyến.

- Truy cập bất hợp pháp:

Truy cập được hiểu là đặc quyền hoặc quyền được chỉ định để sử dụng dữ liệu máy tính. Trong một hệđiều hành, quyền truy cập được cung cấp thông qua tài khoản người dùng (lượng truy cập có thể được phân biệt trên cơ sở vai trò, vị trí của mỗi người). Quyền truy cập thường được cấp bởi người có quyền truy cập đầy đủ. Thông thường, quản trị viên hê thống sẽ được đặt quyền hoặc quyền truy cập, được cấp hoặc từ chối cho một số người dùng hoặc một nhóm người dùng nhất định. Những người có quyền truy cập thấp có thể bị hạn chế ở một số tính năng, nội dung so với người có quyền truy cập cao hơn. Như vậy, việc truy cập bất hợp pháp là hành vi của một chủ thể không có quyền sử dụng dữ liệu, thông tin cố ý xâm nhập vào hệthống máy tính, máy chủ khi không được sự cho phép của chủ sở hữu (người có quyền) nhằm thực hiện việc xem, khai thác hoặc chiếm đoạt dữ liệu, thông tin của người khác; hoặc sử dụng dữ liệu, thông tin của người khác để thực hiện các hành vi vi phạm pháp luật.

Theo Điều 3 Đạo luật lạm dụng máy tính 1993 sửa đổi, bổ sung năm 2022 (gọi tắt là Đạo luật lạm dụng máy tính), bất kỳ người nào cố ý khiến máy tính thực hiện bất kỳ chức năng nào nhằm mục đích truy cập bất hợp pháp đối với bất kỳ chương trình hoặc dữ liệu nào được lưu trữ trong bất kỳ máy tính nào sẽ được coi là phạm tội và phải chịu hình phạt. Theo đó, phạt tiền đến 5.000 SGD (tăng 3.000 SGD so với quy định trước đây) hoặc phạt tù có thời hạn không quá 02 năm; hoặc bị áp dụng cả hai hình phạt trên đối với trường hợp phạm tội lần đầu. Trường hợp đã có tiền án về thực hiện hành vi phạm tội này thì bị phạt tiền đến 10.000 SGD hoặc phạt tù có thời hạn không quá 03 năm; hoặc bị áp dụng cả hai hình phạt trên. Nếu các hành vi trên gây hậu quả, thiệt hại thì người phạm tội có thể bị phạt tiền đến 50.000 SGD hoặc bị phạt tù có thời hạn không quá 07 năm; hoặc bị áp dụng cả hai hình phạt trên.

Ví dụ: Hành vi khai thác các lỗ hổng trên hệthống để xâm nhập, truy cập trái phép vào một số máy chủ, tệp dữ liệu của các nạn nhân hoặc hành vi lợi dụng sự sơ hở của nạn nhân, lén lút sao chép các dữ liệu trong máy tính của nạn nhân qua ổ cứng (bị phạt tù 03 tuần và phạt tiền 5.000 SGD).

- Tấn công DoS (DoS attack):

DoS (hay Denial of service), là một kiểu tấn công từ chối dịch vụ khi đó máy tính của nạn nhân sẽ bị tấn công bởi lưu lượng truy cập từ hệ thống của hacker. DoS là một cuộc tấn công trực tuyến thường nhắm vào một trang web hoặc máy chủ điển hình. Bằng cách làm quá tải tài nguyên hệ thống, tốc độ hệ thống của máy tính sẽ bị chậm lại đáng kể. Hoạt động này có thể khiến máy tính của bạn ngừng hoạt động hoặc tắt đột ngột. Khi hiện tượng này xảy ra sẽ ảnh hưởng nghiêm trọng đến hệ thống của máy tính và buộc máy tính phải tắt nguồn.

Theo Điều 7 Đạo luật lạm dụng máy tính, bất kỳ người nào cố ý và không có thẩm quyền hoặc lý do hợp pháp thực hiện các hành vi sau được coi là phạm tội cản trở trái phép việc sử dụng máy tính: a) Cản trở hoặc làm gián đoạn việc sử dụng máy tính hợp pháp; b) Cản trở hoặc ngăn cản việc truy cập, hoặc làm giảm tính hiệu quả của bất kỳ chương trình hoặc dữ liệu nào được lưu trữ trong máy tính. Hình phạt đối với trường hợp phạm tội lần đầu lên đến 10.000 SGD hoặc bị phạt tù có thời hạn không quá 03 năm, hoặc bị áp dụng cả hai. Trong khi đó, đối với trường hợp người phạm tội đã có tiền án về tội này, mức phạt tiền sẽ là 20.000 SGD và hình phạt tù có thời hạn không quá 05 năm. Đối với trường hợp gây hậu quả, thiệt hại cho nạn nhân, người phạm tội sẽ chịu mức phạt tiền không quá 50.000 SGD hoặc phạt tù có thời hạn không quá 07 năm, hoặc bị áp dụng cả hai hình phạt trên.

- Lừa đảo:

Theo Điều 3 Đạo luật lạm dụng máy tính, bất kỳ người nào sử dụng hệthống máy tính thực hiện bất kỳ chức năng nào nhằm truy cập bất hợp pháp dữ liệu của người khác đều được xem là hành vi phạm tội, trong đó bao gồm hành vi sử dụng mạng máy tính để lừa đảo. Điển hình: Trong vụ án Lim Yi Jie, Tòa án đã nhận định bị cáo đã lừa đảo nạn nhân thông qua việc sử dụng một trang web lừa đảo và khiến nạn nhân tiết lộmã xác thực 2 yếu tố (two-factor-authentication) và mã PIN của nạn nhân cho bị cáo. Bị cáo không phải chịu trách nhiệm về phương thức thực hiện lừa đảo, mặc dù quan điểm của Tòa án cho rằng hành vi phạm tội của bị cáo có đủ yếu tố cấu thành Tội truy cập bất hợp pháp theo quy định tại Điều 3 Đạo luật lạm dụng máy tính, tuy nhiên sau đó, bị cáo chỉ bị xử lý theo tội danh quy định tại Đạo luật tham nhũng, buôn bán ma túy và các tội phạm nghiêm trọng khác năm 1992.

- Lây nhiễm mã độc ransomware, spyware, worm, trojan hay virus… vào hệthống công nghệ thông tin:

Ransomware (phần mềm tống tiền) là phần mềm độc hại mã hóa các tệp dữ liệu của nạn nhân hoặc ngăn nạn nhân sử dụng máy tính cho đến khi trả tiền (tiền chuộc) để chúng được mở khóa. Nếu máy tính của bạn được kết nối với mạng, mã độc tống tiền cũng có thể lan sang các máy tính hoặc thiết bị lưu trữ khác trên mạng. 

Spyware (phần mềm gián điệp) là phần mềm ghi nhận các hoạt động của người dùng, truy xuất các dữ liệu thông tin từ ổ đĩa, đánh cắp dữ liệu cá nhân và giám sát tất cả các hoạt động trên máy tính của nạn nhân. Mã độc có thể cài đặt trên máy tính của nạn nhân mà họ không hề hay biết. Các chương trình này có thể thay đổi cấu hình máy tính hoặc thu thập dữ liệu quảng cáo và thông tin cá nhân. Phần mềm gián điệp có thể theo dõi thói quen tìm kiếm trên Internet và cũng có thể chuyển hướng trình duyệt web của nạn nhân đến một trang web không phải là trang web mà họ dự định truy cập.

Trojan là một loại phần mềm độc hại phổ biển, không giống như virus, chúng không thể tự lây lan và phải tự tải xuống thủ công hoặc cần tải xuống và cài đặt. Trojan thường sử dụng tên tệp tin giống như các ứng dụng hợp pháp và khiến nạn nhân vô tình tải xuống. Trojan hoạt động như một phương tiện dẫn truyền virus, ghi lại các lần gõ phím và lịch sử duyệt web của người dùng như mật khẩu, chi tiết đăng nhập các trang web; hoặc giúp đối tượng phạm tội chiếm quyền kiểm soát thiết bị bị nhiễm.

Virus máy tính là một chương trình phần mềm nhỏ phát tán giữa các máy tính và can thiệp vào hoạt động của máy tính. Virus máy tính có thể phá hỏng hoặc xóa dữ liệu trên máy tính, sử dụng một email để phát tán virus đó tới các máy tính khác hoặc thậm chí xóa mọi thứ trên đĩa cứng. Virus máy tính thường xuyên lây lan qua các tệp đính kèm trong email, qua tin nhắn tức thời, ẩn trong các phần mềm lậu, trong các tệp hoặc chương trình khác mà bạn có thể tải xuống.

Theo Điều 5 Đạo luật lạm dụng máy tính, người nào thực hiện bất kỳ hành động nào mà biết sẽ gây ra sự thay đổi trái phép các nội dung máy tính thì sẽ bị phạt tiền với khung hình phạt cao nhất lên đến 50.000 SGD, hoặc tù có thời hạn không quá 07 năm hoặc bị áp dụng cả hai hình phạt trên.

- Chế tạo, tàng trữ, mua bán, sử dụng phần cứng, phần mềm hoặc các công cụ khác để thực hiện tội phạm mạng:

Theo Điều 10 Đạo luật lạm dụng máy tính, việc tàng trữ hoặc sử dụng bất kỳ: a) Thiết bị, kể cả chương trình máy tính, được thiết kế hoặc điều chỉnh chủ yếu hoặc có chức năng; b) Mật khẩu, mã truy cập hoặc dữ liệu tương tự được sử dụng nhằm mục đích thực hiện hành vi phạm tội qua mạng được nêu tại các điều 3, 4, 5, 6, 7 Đạo luật này, hoặc nhằm mục đích giúp sức cho việc thực hiện, tạo điều kiện cho hành vi phạm tội qua mạng được thực hiện. Người có hành vi chế tạo, mua bán bất kỳ sản phẩm được quy định tại điểm a, b có thể sẽ bị xử lý theo quy định của Đạo luật này. Hình phạt được quy định lên đến 10.000 SGD hoặc phạt tù có thời hạn không quá 03 năm; hoặc bị áp dụng cả hai hình phạt trên (đối với trường hợp tái phạm, bị phạt tiền không quá 20.000 SGD hoặc phạt tù có thời hạn không quá 05 năm).

- Đánh cắp danh tính hoặc gian lận danh tính:

Theo Điều 4 Đạo luật lạm dụng máy tính, vệc một người khiến máy tính thực hiện bất kỳ chức năng nào nhằm mục đích truy cập bất hợp pháp vào hệthống chương trình, dữ liệu để thực hiện một số hành vi phạm tội liên quan đến gian lận có thể bị kết án phạt tiền không quá 50.000 SGD; phạt tù có thời hạn không quá 10 năm; hoặc cả hai hình phạt trên.

Các hình phạt đối với người phạm tội đánh cắp danh tính hoặc gian lận danh tính cũng được quy định tại Điều 419 Bộluật Hình sự năm 1871. Theo đó, một người gian lận bằng cách mạo danh (nghĩa là việc người đó giả danh là một người khác; hoặc cố ý thay thế người này bằng người khác, hoặc đóng giả bất kỳ người nào khác không phải là chính đối tượng) để phạm tội thì bị kết án phạt tù có thời hạn không quá 05 năm, phạt tiền hoặc bị áp dụng cả hai hình phạt trên.

- Kiểm thử thâm nhập bất hợp pháp:

Kiểm thử thâm nhập là một phương pháp chủ động đánh giá sự an toàn của mạng hoặc hệthống thông tin bằng cách mô phỏng các cuộc tấn công từ hacker.

Theo quy định của pháp luật Singapore, việc kiểm thử thâm nhập nếu được thực hiện mà không có sự cho phép của chủ sở hữu hệthống mạng máy tính sẽ cấu thành hành vi vi phạm theo khoản 1 Điều 3 Đạo luật lạm dụng máy tính (kể cả khi viiệc kiểm thử thâm nhập không thành công - tức phạm tội chưa đạt).

3. Bài học kinh nghiệm cho Việt Nam

Với sự phát triển của cách mạng công nghiệp lần thứ tư đã và đang mang lại những lợi ích vô cùng to lớn trong phát triển kinh tế - xã hội, đặc biệt là các hoạt động kinh tế - xã hội được thực hiện trên không gian mạng. Tuy nhiên, ngoài những lợi ích mang lại, không gian mạng cũng tiềm ẩn nhiều nguy cơ và là không gian để các đối tượng lợi dụng nhằm thực hiện các hành vi xâm phạm chủ quyền, an ninh quốc gia và trật tự an toàn xã hội, quyền và lợi ích hợp pháp của các tổ chức, cá nhân. Tội phạm mạng ngày càng nguy hiểm với nhiều thủ đoạn tinh vi, kỹ thuật cao, sử dụng các loại mã độc ứng dụng trí tuệ nhân tạo để tấn công, xâm nhập. Nhằm xây dựng một hệthống phòng thủ hiệu quả trước những cuộc tấn công mạng, Việt Nam cần hoàn thiện, bổ sung một số nội dung sau:

Một là, nghiên cứu, hoàn thiện Nghị định quy định về bảo vệdữ liệu cá nhân:

Tại Việt Nam, những nội dung liên quan đến bảo vệdữ liệu cá nhân được quy định ở nhiều văn bản pháp luật khác nhau như Bộ luật Dân sự năm 2015 (quyền bất khả xâm phạm thông tin cá nhân); Bộ luật Hình sự năm 2015 sửa đổi, bổ sung năm 2017 (các ộiphạm xâm phạm đến quyền riêng tư, bất khả xâm phạm thông tin cá nhân); Luật an toàn thông tin mạng năm 2015; Luật an ninh mạng năm 2018…Tuy nhiên, hiện chưa có văn bản pháp luật riêng biệt, toàn diện về bảo vệ dữ liệu cá nhân.

Với sự phát triển nhanh chóng của cách mạng công nghệ số và sự gia tăng các loại hình tội phạm mạng, các quy định về bảo vệ dữ liệu cá nhân chưa đáp ứng đủ yêu cầu công tác đấu tranh, phòng chống các hành vi vi phạm tính riêng tư của dữ liệu cá nhân. Do đó, Việt Nam cần sớm nghiên cứu, hoàn thiện các quy định về bảo vệdữ liệu cá nhân nhằm khắc phục sự chồng chéo, mâu thuẫn trong các văn bản luật hiện hành, làm rõ một số quy định phù hợp với chuẩn mực quốc tế như định nghĩa dữ liệu cá nhân, chế tài xử phạt đối với các hành vi vi phạm…

Hai là, xây dựng lực lượng liên ngành các cơ quan Nhà nước và tổ chức, chuyên gia trong lĩnh vực an ninh mạng.

Theo Điều 30 Luật an ninh mạng năm 2018, lực lượng bảo vệan ninh mạng gồm: Lực lượng chuyên trách bảo vệ an ninh mạng được bố trí tại BộCông an, BộQuốc phòng; lực lượng bảo vệan ninh mạng được bố trí tại Bộ, ngành, ban nhân dân cấp tỉnh, cơ quan, tổ chức quản lý trực tiếp hệthống thông tin quan trọng về an ninh quốc gia; tổ chức cá nhân được huy động tham gia bảo vệan ninh mạng. Trên cơ sở đánh giá chức năng, vai trò nhiệm vụ của Hiệp hội liên ngành An ninh mạng Singapore, tác giả kiến nghị cần nghiên cứu thành lập Hiệp hội liên ngành An ninh mạng Việt Nam bao gồm các chuyên gia an ninh mạng đến từ các bộ, ban, ngành, các tổ chức, doanh nghiệp, cá nhân có chuyên môn trong lĩnh vực này. Hiệp hội có chức năng xây dựng cầu nối hợp tác về an ninh mạng giữa cơ quan nhà nước và các tổ chức tư nhân hoạt động trong lĩnh vực; cung cấp các khóa đào tạo, tập huấn về an ninh mạng, an toàn thông tin cho các đối tượng được giao nhiệm vụ bảo vệan toàn an ninh mạng tại cơ quan, đơn vị, tổ chức; hoặc dự báo tình hình an ninh mạng trong từng thời kỳ và đưa ra các khuyến nghị, cảnh báo cũng như biện pháp phòng, chống các cuộc tấn công mạng phù hợp.  

Ba là, có chính sách khuyến khích, thu hút tạo nguồn cán bộ chuyên gia trong lĩnh vực an ninh mạng.

Cần thiết phải xây dựng các chính sách đãi ngộriêng biệt nhằm khuyến khích, thu hút để tạo nguồn cán bộ, chuyên gia trong lĩnh vực an ninh mạng như: chế độlương thưởng, ưu tiên trong việc xem xét, bổ nhiệm giữ các chức vụ, chức danh quan trọng trong các cơ quan, doanh nghiệp; tăng cường ký kết các quy chế phối hợp đào tạo, đảm bảo việc làm cho sinh viên các trường đại học, học viện đối với chuyên ngành an ninh mạng. Đặc biệt, cần nghiên cứu và triển khai đa dạng các chính sách thu hút hacker, đào tạo hacker “mũ trắng” trên cơ sở học tập kinh nghệm từ các quốc gia phát triển trong lĩnh vực an ninh mạng như Mỹ, Singapore….