Lovforslag om cybersikkerhet: Etablering av et sunnere og tryggere cyberrom

Det er strengt forbudt å bruke AI til å forfalske ansikter, stemmer ... for å begå svindel.

Representant for nasjonalforsamlingen, Le Thi Thanh Lam ( Can Tho ), uttalte at den sterke utviklingen av kunstig intelligens (KI) har gitt opphav til mange metoder for overgrep, som svindel, ansikts-, stemme- og bildeforfalskning. Realiteten viser også at sårbare grupper som eldre, funksjonshemmede og personer med begrenset atferdsevne også er sårbare mål. Høyteknologiske kriminelle utnytter mangelen på cybersikkerhetsferdigheter hos disse gruppene.

Delegaten foreslo derfor at det i forskriftene om forbudte handlinger innen cybersikkerhet i artikkel 9 er nødvendig å legge til en bestemmelse som forbyr bruk av kunstig intelligens til å forfalske ansikter, stemmer og annen falsk teknologi for å utgi seg for å være organisasjoner og enkeltpersoner for å bedra, forvrenge eller forvirre, og krenke folks legitime rettigheter og interesser.

Samtidig må man fortsette å gjennomgå og undersøke ytterligere forskrifter for å forhindre, stoppe og raskt håndtere bruk av teknologi og AI-deepfakes for å redigere, lage klipp, bilder og lyder for å forfalske identiteten, identifisere kjennetegn ved kjente personer eller slektninger for å bedra, ærekrenke, gi falsk informasjon ... i lovutkastet.

I tillegg påpekte nasjonalforsamlingsmedlem Ha Anh Phuong ( Phu Tho ) fire «smutthull» i artikkel 20 om forebygging og bekjempelse av barnemishandling i nettrommet. Selv om dette er et viktig og progressivt innhold i lovutkastet, har ikke gjeldende forskrifter kriterier/nivåer for å identifisere «innhold som er skadelig for barn», ifølge delegaten, så det kan lett føre til overdreven fjerning av innhold eller inkonsekvent håndtering.

Samtidig mangler det personverngjerder når man implementerer teknikker (prinsipper for dataminimering, anonymitet); det er en stor samsvarsbyrde for små enheter fordi forpliktelsene ikke er stratifisert etter risiko/skala; det finnes ingen mekanisme for raske klager og transparent rapportering, og det er ingen dekning av andre sårbare grupper enn barn.

For å tette de ovennevnte «smutthullene» foreslo delegat Ha Anh Phuong at det er nødvendig å studere og supplere definisjonen og klassifiseringen av skadenivået med klare kriterier. Legg til prinsippet om databeskyttelse (minimering, anonymitet), etablere en rask klagekanal og publisere data med jevne mellomrom. Samtidig, anvende «risiko/skala»-forpliktelsesmodellen med en veikart for små/pedagogiske - samfunnstjenester, som betyr at ikke alle tjenester må oppfylle de samme dyre tekniske kravene.

For sosiale medieplattformer med høy risiko (f.eks. store sosiale medier, høyt antall brukere/spredning, mange barn som deltar, sensitivt innhold) foreslo delegatene at det må være filtre/blokkeringer og en rask rapporteringsprosess. For tjenester med middels risiko (middels store e-handelsplattformer, spesialiserte fora) oppfylles et forkortet sett med krav. For tjenester med lav risiko/små tjenester (nettsteder for skoleklubber, små klasseromsapplikasjoner) kreves det kun minimumsstandarder, og det anvendes en lengre plan.

«Nivåinndelingskriteriene kan baseres på antall brukere/måned, evnen til å spre innhold, andelen brukere som er barn, typen innhold som håndteres og historikken med brudd. Denne tilnærmingen bidrar til å fokusere ressurser på høyrisikoområder, reduserer byrden på små enheter samtidig som grunnleggende sikkerhet sikres», understreket delegaten.

Delegaten bemerket også at bestemmelsen om «å anvende profesjonelle tiltak for å forebygge og oppdage» i artikkel 20 i lovutkastet er nødvendig, men nevner ikke prinsippet om å beskytte barns personopplysninger ved innsamling og analyse av informasjon. «Cyberspace-overvåking» kan føre til «risiko for brudd på personvernet» hvis det ikke finnes grenser og uavhengige overvåkingsmekanismer. Derfor foreslo delegaten Ha Anh Phuong å legge til prinsippet «All profesjonell aktivitet knyttet til barns data må overholde prinsippet om å minimere og beskytte personopplysninger».

Stilt overfor det faktum at eldre utgjør omtrent 50 % av ofrene i nettsvindelsaker, foreslo representantene fra nasjonalforsamlingen, Le Thi Thanh Lam og Le Thi Ngoc Linh (Ca Mau), å utvide gruppen av beskyttede personer til å omfatte sårbare personer som eldre, personer med mistet eller begrenset sivil kapasitet ... for å sikre omfattende bestemmelsene i kapittel III om forebygging og håndtering av handlinger som bryter med nettverkssikkerheten. Utfyllende forskrifter om ansvaret til nettverksplattformer, telekommunikasjonstjenesteleverandører og banker for å oppdage, varsle og koordinere håndteringen av skadelige handlinger og svindel mot denne gruppen.

Regjeringen spesifiserer i detalj ansvaret til departementer, avdelinger og etater.

Angående cybersikkerhetsstyrken uttalte nasjonalforsamlingsrepresentant Nguyen Quoc Duyet (Hanoi) at cyberrommet nå har blitt et nytt territorium, et uatskillelig strategisk rom for nasjonal suverenitet, et miljø som inneholder ekstremt komplekse sikkerhetsrisikoer og -utfordringer.

Cyberspace har blitt det femte front- og kampmiljøet, ved siden av de tradisjonelle kampmiljøene på land, i luften, til sjøs og i verdensrommet. Cyberspace regnes som en del av det nasjonale territoriet og har en spesiell posisjon i arbeidet med å bygge og forsvare fedrelandet. Derfor er det å beskytte fedrelandet i cyberspace en presserende, permanent og langsiktig oppgave, nært knyttet til arbeidet med å bygge og forsvare fedrelandet.

«Den grenseoverskridende, asymmetriske og ikke-tradisjonelle naturen til cybertrusler gjør det komplisert å beskytte nasjonal suverenitet i cyberrommet og krever tett koordinering mellom styrker, spesielt de som spiller en kjernerolle i Forsvarsdepartementet og Departementet for offentlig sikkerhet.»

Delegat Nguyen Quoc Duyet understreket kravet ovenfor og foreslo at lovutkastet klart og tydelig burde definere rollene til Forsvarsdepartementet, Departementet for offentlig sikkerhet og Regjeringens krypteringskomité. Samtidig burde oppgavefordelingen og fullmaktene til etatene være basert på funksjonene og oppgavene til statlig forvaltning etter sektor og felt.

Representant for nasjonalforsamlingen, Nguyen Minh Quang (Hai Phong), sa også at bestemmelsene i artikkel 15, 16, 22, 23, 24, 25 og artikkel 32 fastsetter at Forsvarsdepartementet har ansvar og myndighet til å administrere og iverksette en rekke tiltak for å beskytte cybersikkerhet for militære informasjonssystemer. Dermed er omfanget av lovutkastet som regulerer Forsvarsdepartementets myndighet og forvaltningsansvar svært snevert og dekker ikke alle områder av nasjonalt forsvar. Delegaten antydet at det er nødvendig å arve loven om nettverksinformasjonssikkerhet fra 2015 og loven om cybersikkerhet fra 2018.

Nasjonalforsamlingsrepresentant To Van Tam (Kon Tum) var imidlertid enig i forskriften om at den spesialiserte styrken for cybersikkerhetsbeskyttelse skal organiseres ved Departementet for offentlig sikkerhet og Departementet for nasjonalt forsvar, som vist i artikkel 42 i lovutkastet. Samtidig foreslo han å studere og supplere forskrifter om funksjoner og oppgaver for spesialisert opplæring i teknologi og utstyr, samt å ha rimelige retningslinjer og regimer som grunnlag for å bygge en spesialisert styrke for profesjonell og moderne cybersikkerhetsbeskyttelse i landet vårt.

Som svar på ulike meninger om denne saken, ba viseformannen i nasjonalforsamlingen, generalløytnant Tran Quang Phuong, i avslutningen av diskusjonen, regjeringen og lovutkastet om å fortsette å gjennomgå alle bestemmelser om spesifikke ansvarsområder for departementer, avdelinger og lokaliteter i lovutkastet. Dermed sikres det at kun forvaltningsinnhold er fastsatt i loven, mens ansvarsområder for departementer og avdelinger generelt er fastsatt i kapittel III i lovutkastet. Regjeringen får i oppdrag å spesifisere detaljer i henhold til omfanget av forvaltning og beskyttelse av nettverkssikkerheten til departementer, avdelinger og lokaliteter.