Проект закона о кибербезопасности: создание более здорового и безопасного киберпространства

Строго запрещено использовать ИИ для подделки лиц, голосов... в целях мошенничества.

Депутат Национальной ассамблеи Ле Тхи Тхань Лам ( Кантхо ) заявила, что бурное развитие искусственного интеллекта (ИИ) привело к появлению множества методов нарушения, таких как мошенничество, подделка лиц, голоса и изображений. Реальность также показывает, что уязвимые группы населения, такие как пожилые люди, инвалиды и люди с ограниченными поведенческими возможностями, также являются уязвимыми целями. Преступники, использующие высокие технологии, пользуются отсутствием у этих групп навыков кибербезопасности.

В связи с этим делегат предложил в статью 9 «Правил о запрещенных действиях в сфере кибербезопасности» добавить положение, запрещающее использование искусственного интеллекта для подделки лиц, голосов и других поддельных технологий для выдачи себя за организации и отдельных лиц в целях мошенничества, искажения или введения в заблуждение, ущемления законных прав и интересов людей.

В то же время продолжить рассмотрение и исследование дополнительных правил для предотвращения, пресечения и оперативного пресечения случаев использования технологий искусственного интеллекта для редактирования, создания клипов, изображений, звуков с целью подделки личности, идентификации характеристик известных людей или родственников в целях мошенничества, клеветы, предоставления ложной информации... в проекте закона.

Кроме того, депутат Национальной ассамблеи Ха Ань Фыонг ( Фу Тхо ) также указала на четыре «лазейки» в статье 20 о предотвращении и борьбе с жестоким обращением с детьми в киберпространстве. Хотя это важное и прогрессивное положение законопроекта, по словам делегата, действующие правила не содержат критериев/уровней для определения «контента, вредного для детей», что может легко привести к чрезмерному удалению контента или к его некорректному использованию.

В то же время отсутствуют «заборы» конфиденциальности при внедрении методик (принципы минимизации данных, анонимность); большая нагрузка по обеспечению соответствия для небольших подразделений, поскольку обязательства не стратифицированы по риску/масштабу; отсутствует механизм быстрого рассмотрения жалоб и прозрачной отчетности, а также не охвачены уязвимые группы, кроме детей.

Чтобы устранить вышеупомянутые «лазейки», делегат Ха Ань Фыонг предложил изучить и дополнить определение и классификацию уровня вреда чёткими критериями. Добавить принцип защиты данных (минимизация, анонимность), создать быстрый канал подачи жалоб и периодически публиковать данные. Одновременно с этим, применять модель обязательств «риск/масштаб» с дорожной картой для небольших/образовательных и общественных услуг, что означает, что не все услуги должны соответствовать одинаковым дорогостоящим техническим требованиям.

Для высокорисковых социальных сетей (например, крупных социальных сетей, большого количества пользователей/распространения, большого количества детей, конфиденциального контента) делегаты предложили ввести фильтры/блоки и быструю процедуру отчётности. Для сервисов со средним уровнем риска (платформы электронной коммерции среднего уровня, специализированные форумы) применяется сокращённый набор требований. Для низкорисковых/небольших сервисов (сайты школьных клубов, приложения для небольших классов) требуются только минимальные стандарты и применяется более расширенная дорожная карта.

«Критерии распределения по уровням могут основываться на количестве пользователей в месяц, возможности распространения контента, доле детей среди пользователей, типе обрабатываемого контента и истории нарушений. Такой подход позволяет сосредоточить ресурсы на областях высокого риска, снижая нагрузку на небольшие подразделения, при этом обеспечивая базовую безопасность», — подчеркнул делегат.

Делегат также отметил, что положение о «применении профессиональных мер по предотвращению и обнаружению» в статье 20 законопроекта необходимо, но не упоминает принцип защиты персональных данных детей при сборе и анализе информации. «Мониторинг киберпространства» может привести к «рискам нарушения конфиденциальности» при отсутствии ограничений и независимых механизмов мониторинга. Поэтому делегат Ха Ань Фыонг предложила добавить принцип: «Вся профессиональная деятельность, связанная с данными детей, должна соответствовать принципу минимизации и защиты персональных данных».

Учитывая, что пожилые люди составляют около 50% жертв интернет-мошенничества, депутаты Национальной ассамблеи Ле Тхи Тхань Лам и Ле Тхи Нгок Линь (Ка Мау) предложили расширить круг защищаемых лиц, включив в него уязвимых лиц, таких как пожилые люди, лица с утраченной или ограниченной гражданской дееспособностью... для обеспечения полноты положений Главы III о предотвращении и пресечении нарушений сетевой безопасности. Дополнить положения об ответственности сетевых платформ, поставщиков телекоммуникационных услуг и банков по выявлению, предупреждению и координации пресечения актов причинения вреда и мошенничества в отношении этой группы.

Правительство подробно определяет обязанности министерств, отраслей и агентств.

Депутат Национальной ассамблеи Нгуен Куок Дует (Ханой) по вопросам обеспечения кибербезопасности заявил, что киберпространство теперь стало новой территорией, неотъемлемым стратегическим пространством национального суверенитета, средой, которая таит в себе чрезвычайно сложные риски и вызовы безопасности.

Киберпространство стало пятым фронтом и средой боевых действий, наряду с традиционными боевыми условиями на суше, в воздухе, на море и в космосе. Киберпространство рассматривается как часть национальной территории, занимая особое место в деле строительства и защиты Отечества. Поэтому защита Отечества в киберпространстве является неотложной, постоянной и долгосрочной задачей, тесно связанной с делом строительства и защиты Отечества.

«Трансграничный, асимметричный и нетрадиционный характер киберугроз усложняет защиту национального суверенитета в киберпространстве и требует тесной координации между силами, особенно теми, которые играют ключевую роль в Министерстве национальной обороны и Министерстве общественной безопасности».

Подчеркивая вышеуказанное требование, делегат Нгуен Куок Зыет предложил, чтобы в проекте Закона были четко и прозрачно определены роли Министерства национальной обороны, Министерства общественной безопасности и Правительственного комитета по шифрам; при этом разделение задач и полномочий ведомств должно основываться на функциях и задачах государственного управления по секторам и областям.

Депутат Национальной ассамблеи Нгуен Минь Куанг (Хайфон) также отметил, что положения статей 15, 16, 22, 23, 24, 25 и статьи 32 предусматривают, что Министерство национальной обороны несет ответственность и полномочия по управлению и применению ряда мер по защите кибербезопасности военных информационных систем. Таким образом, сфера действия законопроекта, регулирующего полномочия и управленческую ответственность Министерства национальной обороны, весьма узка и не охватывает все сферы национальной обороны. Делегат предложил унаследовать Закон о сетевой информационной безопасности 2015 года и Закон о кибербезопасности 2018 года.

Однако депутат Национальной ассамблеи То Ван Там (Кон Тум) согласился с положением о создании специализированных сил по защите от киберугроз в Министерстве общественной безопасности и Министерстве национальной обороны, как указано в статье 42 законопроекта. В то же время он предложил изучить и дополнить положения о функциях и задачах специализированной подготовки в области технологий и оборудования, а также разработать разумную политику и режимы, которые послужат основой для создания специализированных сил профессиональной и современной защиты от киберугроз в нашей стране.

В ответ на различные мнения по этому вопросу, в заключение дискуссии заместитель председателя Национального собрания, старший генерал-лейтенант Чан Куанг Фыонг, обратился к правительству и ведомству-разработчику с просьбой продолжить рассмотрение всех положений, касающихся конкретных обязанностей министерств, ведомств и местных органов власти, в проекте закона. Тем самым, гарантируя, что в законе будут изложены только вопросы управления, а обязанности министерств и ведомств в целом изложены в главе III проекта закона; правительству было поручено уточнить детали в соответствии с областью управления и обеспечения сетевой безопасности министерств, ведомств и местных органов власти.