Proyecto de Ley sobre Ciberseguridad: Estableciendo un ciberespacio más sano y seguro.

Está estrictamente prohibido utilizar la IA para falsificar rostros, voces... para cometer fraude.

La diputada de la Asamblea Nacional, Le Thi Thanh Lam ( Can Tho ), afirmó que el rápido desarrollo de la inteligencia artificial (IA) ha dado lugar a numerosos métodos de delincuencia, como el fraude y la suplantación de identidad (rostro, voz e imagen). La realidad también demuestra que los grupos vulnerables, como las personas mayores, las personas con discapacidad y aquellas con capacidades cognitivas reducidas, son objetivos frecuentes. Los ciberdelincuentes se aprovechan de la falta de conocimientos en ciberseguridad de estos grupos.

Por lo tanto, el delegado sugirió que en el artículo 9 del reglamento sobre actos prohibidos en ciberseguridad, es necesario agregar una disposición que prohíba el uso de IA para falsificar rostros, voces y otras tecnologías falsas para suplantar la identidad de organizaciones e individuos con el fin de defraudar, distorsionar o confundir, e infringir los derechos e intereses legítimos de las personas.

Al mismo tiempo, se seguirá revisando e investigando normativa adicional para prevenir, detener y abordar con prontitud los actos que utilicen tecnología, como la IA o la técnica deepfake, para editar, crear clips, imágenes y sonidos con el fin de falsificar la identidad o las características identificativas de personas famosas o familiares para defraudar, difamar o proporcionar información falsa... en el proyecto de ley.

Además, la diputada Ha Anh Phuong ( Phu Tho ) señaló cuatro lagunas en el artículo 20 sobre la prevención y la lucha contra el abuso infantil en el ciberespacio. Si bien este es un aspecto importante y progresista del proyecto de ley, según la diputada, la normativa vigente carece de criterios o niveles para identificar el contenido perjudicial para los menores, lo que puede dar lugar fácilmente a la eliminación excesiva de contenido o a una gestión inconsistente.

Al mismo tiempo, existe una falta de "barreras" de privacidad al implementar técnicas (principios de minimización de datos, anonimato); una gran carga de cumplimiento para las unidades pequeñas porque las obligaciones no están estratificadas por riesgo/escala; no existe un mecanismo para quejas rápidas e informes transparentes, y no hay cobertura de grupos vulnerables que no sean niños.

Para subsanar las deficiencias mencionadas, la delegada Ha Anh Phuong sugirió que es necesario estudiar y complementar la definición y clasificación del nivel de daño con criterios claros. Se propone añadir el principio de protección de datos (minimización, anonimato), establecer un canal de quejas ágil y publicar los datos periódicamente. Asimismo, se sugiere aplicar el modelo de obligación de «riesgo/escala» con una hoja de ruta para servicios comunitarios y educativos de pequeña escala, lo que implica que no todos los servicios deben cumplir con los mismos requisitos técnicos costosos.

Para las plataformas de redes sociales de alto riesgo (por ejemplo, redes sociales con gran número de usuarios/difusión, muchos menores de edad participantes y contenido sensible), los delegados sugirieron la implementación de filtros/bloqueos y un proceso de denuncia ágil. Para los servicios de riesgo medio (plataformas de comercio electrónico de tamaño medio y foros especializados), se requiere un conjunto de requisitos simplificado. Para los servicios de bajo riesgo o de menor tamaño (sitios web de clubes escolares y aplicaciones para aulas pequeñas), solo se exigen estándares mínimos y se aplica una hoja de ruta más extensa.

“Los criterios de clasificación pueden basarse en el número de usuarios al mes, la capacidad de difundir contenido, la proporción de usuarios menores de edad, el tipo de contenido que se maneja y el historial de infracciones. Este enfoque ayuda a concentrar los recursos en áreas de alto riesgo, reduciendo la carga sobre las unidades pequeñas y garantizando al mismo tiempo la seguridad básica”, enfatizó el delegado.

La delegada también señaló que la disposición del artículo 20 del proyecto de ley sobre la aplicación de medidas profesionales para prevenir y detectar delitos es necesaria, pero no menciona el principio de protección de los datos personales de los menores durante la recopilación y el análisis de información. La vigilancia del ciberespacio puede conllevar riesgos de vulneración de la privacidad si no existen límites ni mecanismos de control independientes. Por lo tanto, la delegada Ha Anh Phuong propuso añadir el principio de que todas las actividades profesionales relacionadas con los datos de menores deben cumplir con el principio de minimización y protección de datos personales.

Ante el hecho de que las personas mayores representan cerca del 50% de las víctimas de fraude en línea, las diputadas de la Asamblea Nacional Le Thi Thanh Lam y Le Thi Ngoc Linh (Ca Mau) propusieron ampliar el grupo de personas protegidas para incluir a personas vulnerables como las personas mayores y aquellas con capacidad civil disminuida o limitada, con el fin de garantizar la exhaustividad de las disposiciones del Capítulo III sobre la prevención y el tratamiento de los actos que vulneran la seguridad de la red. Asimismo, propusieron complementar la normativa sobre las responsabilidades de las plataformas de red, los proveedores de servicios de telecomunicaciones y los bancos en la detección, la alerta y la coordinación del tratamiento de los actos perjudiciales y fraudulentos contra este colectivo.

El Gobierno especifica detalladamente las responsabilidades de los ministerios, ramas y agencias.

En lo que respecta a la fuerza de protección de la ciberseguridad, el diputado de la Asamblea Nacional Nguyen Quoc Duyet (Hanoi) afirmó que el ciberespacio se ha convertido en un nuevo territorio, un espacio estratégico inseparable de la soberanía nacional, un entorno que contiene riesgos y desafíos de seguridad extremadamente complejos.

El ciberespacio se ha convertido en el quinto frente y escenario de combate, junto con los tradicionales entornos terrestres, aéreos, marítimos y espaciales. El ciberespacio se considera parte del territorio nacional y ocupa un lugar especial en la construcción y defensa de la patria. Por lo tanto, proteger la patria en el ciberespacio es una tarea urgente, permanente y a largo plazo, estrechamente vinculada a la construcción y defensa de la patria.

“La naturaleza transfronteriza, asimétrica y no tradicional de las ciberamenazas dificulta la protección de la soberanía nacional en el ciberespacio y exige una estrecha coordinación entre las fuerzas, especialmente aquellas que desempeñan un papel fundamental en el Ministerio de Defensa Nacional y el Ministerio de Seguridad Pública.”

Haciendo hincapié en el requisito anterior, el delegado Nguyen Quoc Duyet sugirió que el proyecto de ley debería definir de manera clara y transparente las funciones del Ministerio de Defensa Nacional, el Ministerio de Seguridad Pública y el Comité de Cifrado del Gobierno; al mismo tiempo, la división de tareas y poderes de los organismos debería basarse en las funciones y tareas de la gestión estatal por sector y ámbito.

El diputado de la Asamblea Nacional, Nguyen Minh Quang (Hai Phong), también señaló que las disposiciones de los artículos 15, 16, 22, 23, 24, 25 y 32 estipulan que el Ministerio de Defensa Nacional tiene la responsabilidad y autoridad para gestionar e implementar diversas medidas de protección de la ciberseguridad de los sistemas de información militar. Por lo tanto, el alcance del proyecto de ley que regula la autoridad y la responsabilidad de gestión del Ministerio de Defensa Nacional es muy limitado y no abarca todas las áreas de la defensa nacional. El diputado sugirió que es necesario adoptar la Ley de Seguridad de la Información en Redes de 2015 y la Ley de Ciberseguridad de 2018.

Sin embargo, el diputado de la Asamblea Nacional, To Van Tam (Kon Tum), coincidió con la normativa que establece la creación de una fuerza especializada en ciberseguridad adscrita al Ministerio de Seguridad Pública y al Ministerio de Defensa Nacional, tal como se indica en el artículo 42 del proyecto de ley. Asimismo, propuso estudiar y complementar la normativa sobre las funciones y tareas de la formación especializada en tecnología y equipamiento, así como establecer políticas y regímenes adecuados que sirvan de base para la creación de una fuerza especializada en ciberseguridad profesional y moderna en el país.

En respuesta a las diversas opiniones sobre este tema, al concluir la sesión de debate, el Vicepresidente de la Asamblea Nacional, el Teniente General Tran Quang Phuong, solicitó al Gobierno y al organismo redactor que continuaran revisando todas las disposiciones sobre las responsabilidades específicas de los ministerios, organismos y entidades locales en el proyecto de ley. De esta manera, se busca garantizar que la ley solo estipule aspectos administrativos, mientras que las responsabilidades generales de los ministerios y organismos se estipulen en el Capítulo III del proyecto de ley; y se encomendó al Gobierno la tarea de especificar los detalles según el alcance de la gestión y la protección de la seguridad de la red de los ministerios, organismos y entidades locales.