Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam năm 2013;
Quốc hội ban hành Luật an toàn thông tin mạng.
Chương I:
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Luật này quy định về hoạt động an toàn thông tin mạng, bao gồm bảo đảm an toàn thông tin trên mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng; quyền và nghĩa vụ của tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng.
Điều 2. Đối tượng áp dụng
Luật này áp dụng đối với tổ chức, cá nhân Việt Nam; tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin mạng tại Việt Nam.
Điều 3. Giải thích từ ngữ
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:
1. An toàn thông tin mạng là sự bảo vệ hệ thống thông tin và thông tin truyền đưa trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
2. Mạng là môi trường trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạng viễn thông và mạng máy tính.
3. Hệ thống thông tin là tập hợp thiết bị phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin.
4. Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin cấp độ 5 theo quy định tại Điều 21 của Luật này.
5. Chủ quản hệ thống thông tin là tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.
6. Xâm phạm an toàn thông tin mạng là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin và hệ thống thông tin.
7. Sự cố an toàn thông tin mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính bảo mật, tính nguyên vẹn hoặc tính khả dụng.
8. Rủi ro an toàn thông tin mạng là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái an toàn thông tin mạng.
9. Đánh giá rủi ro an toàn thông tin mạng là việc phát hiện, phân tích, ước lượng mức độ tổn hại, mối đe dọa đối với thông tin và hệ thống thông tin.
10. Quản lý rủi ro an toàn thông tin mạng là đưa ra hệ thống biện pháp nhằm giảm thiểu rủi ro an toàn thông tin mạng.
11. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
12. Hệ thống lọc phần mềm độc hại là tập hợp phần cứng, phần mềm được kết nối vào mạng để phát hiện, ngăn chặn, lọc và thống kê phần mềm độc hại.
13. Địa chỉ điện tử là địa chỉ được sử dụng để gửi, nhận thông tin trên mạng bao gồm địa chỉ thư điện tử, số điện thoại, địa chỉ Internet và hình thức tương tự khác.
14. Xung đột thông tin là việc hai hoặc nhiều tổ chức trong và ngoài nước trên mạng sử dụng biện pháp công nghệ, kỹ thuật thông tin gây tổn hại đến thông tin và hệ thống thông tin.
15. Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một con người cụ thể.
16. Chủ thể thông tin cá nhân là con người được xác định từ thông tin cá nhân đó.
17. Xử lý thông tin cá nhân là việc thực hiện một hoặc một số thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân trên mạng nhằm mục đích thương mại.
18. Mật mã dân sự là quy tắc, quy ước riêng dùng để thay đổi hình thức biểu hiện thông tin nhằm đảm bảo bí mật, xác thực, toàn vẹn của nội dung thông tin không thuộc phạm vi bí mật nhà nước.
19. Sản phẩm an toàn thông tin là thiết bị phần cứng, phần mềm có chức năng bảo vệ thông tin và hệ thống thông tin.
20. Dịch vụ an toàn thông tin là dịch vụ bảo vệ thông tin và hệ thống thông tin.
Điều 4. Nguyên tắc bảo đảm an toàn thông tin mạng
1. Tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng. Hoạt động an toàn thông tin mạng của tổ chức, cá nhân phải phù hợp với quy định của pháp luật, bảo đảm an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị và thúc đẩy phát triển kinh tế, văn hóa và xã hội.
2. Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác.
3. Xử lý sự cố an toàn thông tin mạng phải đảm bảo quyền và lợi ích hợp pháp của cá nhân, tổ chức, không xâm phạm đến bí mật đời tư của cá nhân, thông tin riêng của tổ chức.
4. Hoạt động bảo đảm an toàn thông tin mạng phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả.
Điều 5. Chính sách của Nhà nước về an toàn thông tin mạng
1. Đẩy mạnh đào tạo, phát triển nguồn nhân lực và xây dựng cơ sở hạ tầng, kỹ thuật an toàn thông tin mạng đáp ứng yêu cầu phát triển chính trị, kinh tế, văn hóa và xã hội; góp phần bảo đảm quốc phòng và an ninh.
2. Khuyến khích nghiên cứu và phát triển, hỗ trợ xuất khẩu, mở rộng thị trường cho sản phẩm, dịch vụ, có cơ chế hỗ trợ áp dụng biện pháp kỹ thuật, công nghệ an toàn thông tin mạng trong nước sản xuất, cung cấp; tạo điều kiện thuận lợi để nhập khẩu sản phẩm, công nghệ hiện đại trong nước chưa có năng lực sản xuất, cung cấp.
3. Bảo đảm môi trường cạnh tranh lành mạnh trong hoạt động kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng, khuyến khích, tạo điều kiện cho tổ chức, cá nhân thuộc mọi thành phần kinh tế của Việt Nam và nước ngoài tham gia đầu tư, nghiên cứu và phát triển sản phẩm và cung cấp dịch vụ an toàn thông tin mạng.
Điều 6. Kinh phí cho an toàn thông tin mạng
Nhà nước bố trí kinh phí nhằm bảo đảm cho an toàn thông tin mạng của cơ quan nhà nước, đặc biệt là an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia.
Điều 7. Hợp tác quốc tế về an toàn thông tin mạng
1. Nguyên tắc hợp tác quốc tế về an toàn thông tin mạng:
a) Tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ quốc gia, không can thiệp vào công việc nội bộ của nhau, bình đẳng và các bên cùng có lợi;
b) Phù hợp với Điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên và quy định của pháp luật Việt Nam, thúc đẩy phát triển kinh tế - xã hội của đất nước và bảo đảm quốc phòng, an ninh quốc gia.
2. Nội dung hợp tác quốc tế về an toàn thông tin mạng:
a) Tăng cường hợp tác quốc tế trong đào tạo, nghiên cứu, ứng dụng khoa học, kỹ thuật và công nghệ về an toàn thông tin mạng;
b) Mở rộng hợp tác quốc tế trong việc phòng, chống hành vi phạm tội xâm phạm đến quyền và lợi ích hợp pháp của tổ chức, cá nhân trên lãnh thổ Việt Nam; điều tra, xử lý sự cố hoạt động vi phạm an toàn thông tin mạng trên mạng, lợi dụng hoạt động thông tin trên mạng để thực hiện hoạt động khủng bố;
c) Thực hiện hoạt động hợp tác quốc tế khác về an toàn thông tin mạng.
Điều 8. Các hành vi bị nghiêm cấm
1. Ngăn chặn trái pháp luật việc truyền tải thông tin trên mạng; can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng.
2. Cản trở trái pháp luật, gây ảnh hưởng tới hoạt động bình thường của hệ thống thông tin hoặc cản trở trái pháp luật, gây ảnh hưởng tới khả năng truy nhập hợp pháp của người sử dụng tới hệ thống thông tin.
3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng cho hệ thống thông tin; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để tấn công, chiếm quyền điều khiển đối với hệ thống thông tin.
4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
6. Xâm nhập, khám phá trái phép bí mật mật mã và thông tin đã mã hóa hợp pháp của tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự gây thiệt hại cho tổ chức, cá nhân; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.
Chương II:
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG
Mục 1: BẢO VỆ THÔNG TIN
Điều 9. Phân loại thông tin
1. Tổ chức sở hữu thông tin phân loại thông tin theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp nhằm ngăn chặn, phát hiện và loại bỏ thiệt hại do mất hoặc tiết lộ bất hợp pháp thông tin đã được phân loại hoặc chưa được phân loại.
2. Tổ chức sử dụng thông tin đã phân loại và chưa phân loại trong hoạt động thuộc lĩnh vực của mình phải có trách nhiệm xây dựng quy định, thủ tục để xử lý thông tin đã phân loại và chưa phân loại, xác định nội dung và phương pháp ghi truy nhập được phép vào thông tin đã được phân loại.
3. Thông tin thuộc phạm vi bí mật nhà nước được phân loại và bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.
Điều 10. Quản lý gửi thông tin
1. Việc gửi thông tin trên mạng phải đảm bảo:
a) Không giả mạo nguồn gốc gửi thông tin;
b) Tuân thủ quy định của Luật này và quy định của pháp luật khác có liên quan.
2. Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận yêu cầu, đồng ý, hoặc người tiếp nhận từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật.
3. Doanh nghiệp cung cấp dịch vụ viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin gửi thông tin có trách nhiệm:
a) Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông tin cá nhân, thông tin riêng của tổ chức, cá nhân;
b) Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật;
c) Có phương thức để người tiếp nhận thông tin có quyền từ chối không tiếp tục tiếp nhận thông tin;
d) Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ quản lý về an toàn thông tin mạng khi có yêu cầu.
4. Chính phủ quy định chi tiết về quản lý gửi thông tin trên mạng.
Điều 11. Phát hiện, ngăn chặn và xử lý phần mềm độc hại
1. Tổ chức, cá nhân có trách nhiệm thực hiện phòng ngừa, ngăn chặn phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền.
2. Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống kỹ thuật nghiệp vụ nhằm phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại.
3. Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của mình và có trách nhiệm báo cáo cho cơ quan có thẩm quyền theo quy định của pháp luật.
4. Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phát hiện, ngăn chặn phát tán thông tin, phần mềm độc hại, thư rác và xử lý theo yêu cầu của cơ quan nhà nước có thẩm quyền.
5. Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và Bộ, ngành liên quan tổ chức phát hiện, ngăn chặn và xử lý phần mềm, thông tin độc hại trên mạng gây ảnh hưởng đến quốc phòng, an ninh quốc gia.
Điều 12. Bảo đảm an toàn tài nguyên viễn thông
1. Tổ chức, cá nhân sử dụng tài nguyên viễn thông có trách nhiệm:
a) Áp dụng biện pháp quản lý và kỹ thuật để ngăn chặn mất an toàn thông tin mạng xuất phát từ tần số, kho số, tên miền và địa chỉ Internet của mình;
b) Cung cấp thông tin liên quan đến an toàn tài nguyên viễn thông và phối hợp với cơ quan quản lý nhà nước có thẩm quyền khi được yêu cầu.
2. Doanh nghiệp cung cấp dịch vụ trên Internet có trách nhiệm quản lý, phối hợp, ngăn chặn mất an toàn thông tin mạng xuất phát từ tài nguyên Internet, khách hàng của mình, cung cấp đầy đủ thông tin theo yêu cầu của cơ quan chức năng. Phối hợp kết nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an toàn, ổn định.
3. Bộ Thông tin và Truyền thông có trách nhiệm thực hiện các biện pháp cần thiết để đảm bảo an toàn thông tin mạng cho hệ thống máy chủ tên miền quốc gia Việt Nam.
Điều 13. Ứng cứu sự cố an toàn thông tin mạng
1. Ứng cứu sự cố an toàn thông tin mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin mạng.
2. Ứng cứu sự cố an toàn thông tin mạng được thực hiện theo các nguyên tắc sau:
a) Kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả;
b) Tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố an toàn thông tin mạng;
c) Phối hợp giữa tổ chức, doanh nghiệp trong nước và quốc tế.
3. Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương, doanh nghiệp viễn thông, chủ quản hệ thống thông tin quan trọng quốc gia phải thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng để phối hợp với Bộ Thông tin và Truyền thông.
4. Bộ Thông tin và Truyền thông có trách nhiệm điều phối ứng cứu sự cố an toàn thông tin mạng trên toàn quốc và quy định chi tiết về điều phối ứng cứu sự cố an toàn thông tin mạng.
Điều 14. Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia
1. Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia là hoạt động ứng cứu trong tình huống thảm họa hoặc theo yêu cầu của cơ quan có thẩm quyền.
2. Ứng cứu khẩn cấp bảo đảm an toàn thông tin quốc gia được thực hiện theo các nguyên tắc sau:
a) Tổ chức thực hiện theo phân cấp;
b) Thực hiện tại chỗ, nhanh chóng, nghiêm ngặt, phối hợp chặt chẽ;
c) Áp dụng khoa học kỹ thuật, đảm bảo hiệu quả, khả thi.
3. Hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia bao gồm:
a) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
b) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của cơ quan Đảng, Nhà nước và các tổ chức chính trị - xã hội;
c) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của địa phương;
d) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của doanh nghiệp viễn thông.
4. Trách nhiệm điều phối bảo đảm an toàn thông tin mạng quốc gia của bên liên quan:
a) Bộ Thông tin và Truyền thông có trách nhiệm chủ trì điều phối công tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
b) Bộ, ngành, địa phương và các cơ quan, tổ chức liên quan có trách nhiệm phối hợp, chỉ đạo ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng trong phạm vi nhiệm vụ, quyền hạn của mình;
c) Doanh nghiệp viễn thông có trách nhiệm thực hiện biện pháp ứng cứu khẩn cấp và phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành, địa phương có liên quan để đảm bảo an toàn thông tin mạng quốc gia.
Điều 15. Trách nhiệm của tổ chức, cá nhân trong bảo đảm an toàn thông tin mạng trên mạng
1. Tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng.
2. Tổ chức, cá nhân sử dụng dịch vụ trên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại, sự cố an toàn thông tin mạng.
Mục 2: BẢO VỆ THÔNG TIN CÁ NHÂN
Điều 16. Nguyên tắc bảo vệ thông tin cá nhân trên mạng
1. Cá nhân có trách nhiệm tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng.
2. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý.
3. Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai chính sách xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình.
4. Việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định của pháp luật chuyên ngành liên quan.
5. Việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh, trật tự an toàn xã hội hoặc không nhằm mục đích thương mại không thuộc phạm vi điều chỉnh của Luật này.
Điều 17. Thu thập và sử dụng thông tin cá nhân
1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm sau đây:
a) Xin ý kiến chủ thể thông tin cá nhân về phạm vi, mục đích cụ thể của việc thu thập và sử dụng thông tin cá nhân trước khi tiến hành thu thập thông tin;
b) Xin ý kiến chủ thể thông tin cá nhân trước khi sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu khi tiến hành thu thập thông tin.
2. Tổ chức, cá nhân không được cung cấp, chia sẻ, phát tán thông tin cá nhân đã thu thập, tiếp cận hoặc kiểm soát cho bên thứ ba trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
3. Cơ quan nhà nước có thẩm quyền chịu trách nhiệm bảo mật, lưu trữ đối với thông tin cá nhân do mình thu thập.
4. Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin của mình do tổ chức, cá nhân đó thu thập, lưu trữ.
Điều 18. Cập nhật, sửa đổi và hủy bỏ thông tin cá nhân
1. Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình do tổ chức, cá nhân xử lý thông tin đó thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba trong trường hợp trước đó đã đồng ý.
2. Ngay khi nhận được yêu cầu đề nghị cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của chủ thể thông tin cá nhân hoặc đề nghị ngừng cung cấp thông tin cá nhân của chủ thể cho bên thứ ba, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm:
a) Thực hiện yêu cầu và thông báo cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận, cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của chủ thể do mình lưu trữ;
b) Áp dụng các biện pháp phù hợp để bảo vệ thông tin cá nhân và thông báo lại cho chủ thể thông tin cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do phát sinh chi phí lớn, do yếu tố kỹ thuật hoặc yếu tố khác.
3. Tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi hết mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác.
Điều 19. Bảo đảm an toàn thông tin cá nhân trên mạng
1. Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng.
2. Khi xảy ra hoặc có nguy cơ xảy ra sự cố kỹ thuật, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng các biện pháp khắc phục trong thời gian sớm nhất.
Điều 20. Trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân
1. Định kỳ hàng năm tổ chức thanh tra, kiểm tra đối với tổ chức xử lý thông tin cá nhân. Trong trường hợp cần thiết, cơ quan nhà nước có thẩm quyền tổ chức thanh tra, kiểm tra đột xuất.
2. Thiết lập kênh thông tin trực tuyến để tiếp nhận phản ánh của tổ chức, cá nhân về vấn đề liên quan đến bảo vệ thông tin cá nhân.
Mục 3: BẢO VỆ HỆ THỐNG THÔNG TIN
Điều 21. Phân loại cấp độ an toàn thông tin của hệ thống thông tin
1. Phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5, để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.
2. Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:
a) Cấp độ 1: Khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự an toàn xã hội, quốc phòng, an ninh quốc gia;
b) Cấp độ 2: Khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự an toàn xã hội, quốc phòng, an ninh quốc gia;
c) Cấp độ 3: Khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, trật tự xã hội và lợi ích công cộng hoặc tạo thành tổn hại tới quốc phòng, an ninh quốc gia;
d) Cấp độ 4: Khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự an toàn xã hội hoặc tạo thành tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;
đ) Cấp độ 5: Khi bị phá hoại sẽ tạo thành tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
3. Chính phủ quy định chi tiết về xác định cấp độ an toàn thông tin và trách nhiệm bảo đảm an toàn thông tin theo cấp độ.
Điều 22. Nhiệm vụ bảo vệ hệ thống thông tin
Trong phạm vi nhiệm vụ, quyền hạn của mình, tổ chức, cá nhân có các nhiệm vụ bảo vệ hệ thống thông tin sau đây:
1. Xác định cấp độ an toàn thông tin của hệ thống thông tin.
2. Đánh giá và quản lý rủi ro an toàn hệ thống thông tin.
3. Đôn đốc giám sát, kiểm tra công tác bảo vệ hệ thống thông tin.
4. Thực hiện chế độ báo cáo theo quy định.
5. Tổ chức tuyên truyền, nâng cao nhận thức về an toàn thông tin mạng.
Điều 23. Biện pháp bảo vệ hệ thống thông tin
Trong phạm vi nhiệm vụ, quyền hạn của mình, tổ chức, cá nhân có trách nhiệm thực hiện các biện pháp bảo vệ hệ thống thông tin sau đây:
1. Ban hành quy định về bảo đảm an toàn thông tin mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin.
2. Áp dụng biện pháp kỹ thuật theo tiêu chuẩn, quy chuẩn về an toàn thông tin mạng để phòng, chống nguy cơ, khắc phục sự cố an toàn thông tin mạng.
3. Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng.
4. Giám sát an toàn hệ thống thông tin.
Điều 24. Giám sát an toàn hệ thống thông tin
1. Giám sát an toàn hệ thống thông tin là hoạt động lựa chọn đối tượng, thu thập, phân tích trạng thái thông tin của đối tượng giám sát nhằm xác định những nhân tố ảnh hưởng đến an toàn hệ thống thông tin; báo cáo, cảnh báo hành vi xâm phạm an toàn thông tin mạng hoặc hành vi có khả năng gây ra sự cố an toàn thông tin mạng đối với hệ thống thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin mạng; đề xuất thay đổi biện pháp kỹ thuật.
2. Đối tượng giám sát an toàn hệ thống thông tin bao gồm: tường lửa, kiểm soát truy nhập (thiết bị đảm bảo an toàn), tuyến thông tin chủ yếu, máy chủ quan trọng, thiết bị quan trọng hoặc thiết bị đầu cuối quan trọng.
3. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin và doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng có trách nhiệm phối hợp với chủ quản hệ thống thông tin trong việc giám sát an toàn hệ thống thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Điều 25. Hệ thống thông tin quan trọng quốc gia
1. Khi thiết lập, mở rộng và nâng cấp hệ thống thông tin quan trọng quốc gia phải thực hiện kiểm định an toàn thông tin trước khi đưa vào vận hành, khai thác.
2. Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành liên quan xây dựng danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành.
Điều 26. Trách nhiệm của chủ quản hệ thống thông tin
1. Thực hiện bảo vệ hệ thống thông tin theo quy định tại Điều 22, Điều 23 và Điều 24 của Luật này.
2. Chính phủ quy định chi tiết về trách nhiệm của chủ quản hệ thống thông tin, mối quan hệ giữa chủ quản hệ thống thông tin và tổ chức liên quan trong trường hợp thuê ngoài dịch vụ công nghệ thông tin.
Điều 27. Trách nhiệm của chủ quản hệ thống thông tin sử dụng nguồn vốn nhà nước
1. Thực hiện bảo vệ hệ thống thông tin theo quy định tại Điều 22, Điều 23, Điều 24 của Luật này.
2. Có thuyết minh phương án bảo đảm an toàn thông tin mạng được cơ quan nhà nước có thẩm quyền thẩm định khi đầu tư thiết lập, mở rộng hoặc nâng cấp hệ thống thông tin.
3. Chỉ định cá nhân, bộ phận phụ trách về an toàn thông tin mạng.
Điều 28. Trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia
1. Chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm:
a) Thực hiện các quy định tại Điều 24 của Luật này;
b) Ban hành quy định nội bộ về bảo đảm an toàn thông tin mạng;
c) Định kỳ đánh giá rủi ro an toàn thông tin mạng. Việc đánh giá rủi ro an toàn thông tin mạng phải do tổ chức chuyên môn được cơ quan nhà nước có thẩm quyền chỉ định thực hiện;
d) Triển khai biện pháp dự phòng cho hệ thống thông tin;
đ) Lập kế hoạch bảo vệ, lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia.
2. Bộ Thông tin và Truyền thông có trách nhiệm:
a) Chủ trì, phối hợp với cơ quan chủ quản hệ thống thông tin quan trọng quốc gia, Bộ Công an và bộ, ngành liên quan hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia, trừ trường hợp quy định tại khoản 3 và 4 của Điều này;
b) Yêu cầu doanh nghiệp viễn thông, doanh nghiệp công nghệ thông tin tham gia tư vấn, hỗ trợ kỹ thuật, ứng cứu sự cố an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia.
3. Bộ Công an chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Công an quản lý; phối hợp với cơ quan chủ quản hệ thống thông tin quan trọng quốc gia và bộ, ngành liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia khác khi có yêu cầu của cơ quan có thẩm quyền.
4. Bộ Quốc phòng chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Quốc phòng quản lý.
5. Ban Cơ yếu Chính phủ chủ trì tổ chức triển khai giải pháp dùng mật mã để bảo vệ thông tin trong hệ thống thông tin quan trọng quốc gia của các cơ quan Đảng, Nhà nước, tổ chức chính trị - xã hội; phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia trong việc giám sát an toàn thông tin mạng theo quy định của pháp luật về cơ yếu.
Mục 4: NGĂN CHẶN XUNG ĐỘT THÔNG TIN TRÊN MẠNG
Điều 29. Nội dung ngăn chặn xung đột thông tin trên mạng
1. Ngăn chặn thông tin phá hoại xuất phát từ hệ thống thông tin của mình; hợp tác xác định nguồn, đẩy lùi, khắc phục hậu quả tấn công mạng được thực hiện thông qua hệ thống thông tin của tổ chức, cá nhân trong và ngoài nước.
2. Ngăn chặn hành động của tổ chức, cá nhân trong nước, ngoài nước có mục đích phá hoại tính nguyên vẹn của mạng.
3. Loại trừ việc tổ chức hoặc khuyến khích tổ chức thực hiện các hoạt động trái pháp luật trên mạng của tổ chức trong và ngoài nước.
Điều 30. Nghĩa vụ của tổ chức, cá nhân trong việc ngăn chặn xung đột thông tin trên mạng
1. Tổ chức, cá nhân trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm ngăn chặn xung đột thông tin trên mạng.
2. Chính phủ quy định chi tiết về ngăn chặn xung đột thông tin trên mạng.
Điều 31. Ngăn chặn hoạt động lợi dụng mạng cho mục đích khủng bố
1. Các biện pháp ngăn chặn hoạt động lợi dụng mạng cho mục đích khủng bố bao gồm:
a) Vô hiệu hóa nguồn Internet có bản chất khủng bố;
b) Ngăn chặn việc thiết lập và mở rộng trao đổi thông tin về các tín hiệu, nhân tố, phương pháp và cách sử dụng Internet cho mục đích khủng bố, về mục tiêu và hoạt động của các tổ chức khủng bố trên mạng;
c) Trao đổi kinh nghiệm và thực tiễn về kiểm soát các nguồn Internet, tìm và kiểm soát nội dung của trang tin điện tử có bản chất khủng bố.
2. Chính phủ quy định chi tiết về các biện pháp ngăn chặn hoạt động lợi dụng mạng cho mục đích khủng bố tại khoản 1 của Điều này.
Chương III:
MẬT MÃ DÂN SỰ
Điều 32. Sản phẩm, dịch vụ mật mã dân sự
1. Sản phẩm mật mã dân sự gồm hệ thống, thiết bị, mô đun và mạch tích hợp, phần mềm chuyên dụng sử dụng để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước bằng mật mã.
2. Dịch vụ mật mã dân sự gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩm mật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân sự.
Điều 33. Kinh doanh sản phẩm, dịch vụ mật mã dân sự
1. Doanh nghiệp phải có Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự khi kinh doanh sản phẩm, dịch vụ mật mã dân sự thuộc Danh mục sản phẩm, dịch vụ mật mã dân sự phải cấp phép kinh doanh.
2. Điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự:
a) Có đội ngũ quản lý điều hành và nhân viên kỹ thuật đáp ứng được yêu cầu chuyên môn về bảo mật và an toàn thông tin mạng;
b) Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm và dịch vụ mật mã dân sự;
c) Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;
d) Có phương án bảo mật và an toàn thông tin mạng trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dân sự;
đ) Có phương án kinh doanh phù hợp với quy định của pháp luật.
3. Sản phẩm mật mã dân sự phải được kiểm định, chứng nhận hợp chuẩn, hợp quy trước khi lưu hành.
4. Chính phủ quy định chi tiết điều này.
Điều 34. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự
1. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự được lập thành 02 bộ, mỗi bộ hồ sơ gồm có:
a) Đơn đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự;
b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư;
c) Bản sao văn bằng hoặc chứng chỉ chuyên ngành về bảo mật và an toàn thông tin mạng của đội ngũ quản lý điều hành và nhân viên kỹ thuật của doanh nghiệp;
d) Hồ sơ phương án kỹ thuật gồm: Tài liệu về đặc tính kỹ thuật, tham số kỹ thuật của sản phẩm; tiêu chuẩn, chất lượng dịch vụ; các biện pháp, giải pháp kỹ thuật; phương án bảo hành, bảo trì sản phẩm;
đ) Hồ sơ phương án kinh doanh gồm: Phạm vi, đối tượng cung cấp, quy mô số lượng sản phẩm, dịch vụ hệ thống phục vụ khách hàng và bảo đảm kỹ thuật.
2. Doanh nghiệp đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự nộp hồ sơ tới Ban Cơ yếu Chính phủ. Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; trường hợp từ chối cấp phép phải thông báo bằng văn bản và nêu rõ lý do. Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự có thời hạn 10 năm.
Điều 35. Sửa đổi, bổ sung, cấp lại, gia hạn và thu hồi giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự
1. Sửa đổi, bổ sung giấy phép
a) Doanh nghiệp phải đề nghị sửa đổi, bổ sung giấy phép trong các trường hợp sau: thay đổi tên doanh nghiệp được cấp phép; thay đổi người đại diện theo pháp luật; thay đổi, bổ sung nội dung danh mục sản phẩm và dịch vụ mật mã dân sự đã được cấp phép;
b) Doanh nghiệp gửi 02 bộ hồ sơ đề nghị sửa đổi, bổ sung giấy phép tới Ban Cơ yếu Chính phủ. Hồ sơ gồm: đơn đề nghị sửa đổi, bổ sung giấy phép; bản sao Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư.
Trường hợp thay đổi người đại diện theo pháp luật, doanh nghiệp cần bổ sung hồ sơ theo quy định tại điểm c khoản 1 Điều 34 Luật này; trường hợp bổ sung danh mục sản phẩm và dịch vụ mật mã dân sự đã được cấp phép, doanh nghiệp cần có Hồ sơ phương án kỹ thuật và Hồ sơ phương án kinh doanh của sản phẩm, dịch vụ bổ sung theo quy định tại điểm d và điểm đ khoản 1 Điều 34 Luật này;
c) Trong thời hạn 20 ngày làm việc kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp lại giấy phép; trường hợp từ chối phải thông báo bằng văn bản và nêu rõ lý do.
2. Cấp lại giấy phép
Trường hợp giấy phép bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị và nêu rõ lý do đề nghị cấp lại giấy phép tới Ban Cơ yếu Chính phủ. Trong 05 ngày làm việc kể từ ngày nhận được đơn đề nghị cấp lại giấy phép, Ban Cơ yếu Chính phủ xem xét và cấp lại giấy phép cho doanh nghiệp;
3. Gia hạn giấy phép
a) Doanh nghiệp không vi phạm các quy định của pháp luật về sản xuất, kinh doanh sản phẩm mật mã dân sự được gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ mật mã 01 lần trong thời gian không quá 01 năm;
b) Hồ sơ đề nghị gia hạn giấy phép được lập thành 02 bộ và gửi tới Ban Cơ yếu Chính phủ ít nhất 60 ngày trước ngày giấy phép hết hạn. Hồ sơ đề nghị gia hạn giấy phép bao gồm: đơn đề nghị gia hạn giấy phép; bản sao giấy phép đang có hiệu lực; báo cáo hoạt động của doanh nghiệp trong 02 năm gần nhất;
c) Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp lại giấy phép; trường hợp từ chối phải thông báo bằng văn bản và nêu rõ lý do.
4. Tạm đình chỉ, thu hồi giấy phép:
a) Doanh nghiệp bị tạm đình chỉ hoạt động trong các trường hợp sau: cung cấp dịch vụ sai với nội dung ghi trên giấy phép; không đáp ứng được một trong các điều kiện về cấp phép trong quá trình kinh doanh. Thời hạn tạm đình chỉ không quá 06 tháng;
b) Doanh nghiệp bị thu hồi giấy phép trong các trường hợp sau: không đáp ứng đủ điều kiện quy định tại Điều 33 của Luật này; không triển khai sản xuất, kinh doanh trong thời hạn 01 năm kể từ ngày được cấp giấy phép;các trường hợp khác theo quy định của pháp luật.
Điều 36. Xuất khẩu, nhập khẩu sản phẩm mật mã dân sự
1. Doanh nghiệp xuất khẩu, nhập khẩu sản phẩm mật mã dân sự thuộc Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép phải có Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự.
2. Sản phẩm mật mã dân sự nhập khẩu thuộc Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép phải được chứng nhận, công bố hợp chuẩn, hợp quy theo quy định tại Điều 41 của Luật này.
3. Hồ sơ đề nghị cấp Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự gồm:
a) Đơn đề nghị cấp giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự;
b) Bản sao Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự;
c) Bản sao Giấy chứng nhận hợp chuẩn, hợp quy đối với sản phẩm mật mã dân sự nhập khẩu.
4. Trong thời hạn 20 ngày kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ cấp giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự; trường hợp từ chối cấp phép phải thông báo bằng văn bản và nêu rõ lý do.
5. Chính phủ quy định chi tiết điều này.
Điều 37. Trách nhiệm của doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự
1. Quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ sản xuất.
2. Lập, lưu giữ và bảo mật thông tin của khách hàng bao gồm: họ, tên, địa chỉ, mã của tổ chức, cá nhân; tên, loại hình, số lượng và mục đích sử dụng của sản phẩm, dịch vụ.
3. Định kỳ hàng năm báo cáo Ban Cơ yếu Chính phủ về tình hình kinh doanh, xuất khẩu, nhập khẩu sản phẩm, dịch vụ mật mã dân sự và tổng hợp thông tin khách hàng trước ngày 31 tháng 12.
4. Có các biện pháp đảm bảo an ninh, an toàn trong vận chuyển và bảo quản sản phẩm mật mã dân sự.
5. Từ chối cung cấp sản phẩm, dịch vụ mật mã dân sự khi phát hiện tổ chức, cá nhân vi phạm pháp luật về sử dụng sản phẩm, dịch vụ mật mã dân sự, vi phạm cam kết đã thỏa thuận về quy định sử dụng sản phẩm, dịch vụ do doanh nghiệp cung cấp.
6. Tạm ngừng hoặc ngừng cung cấp sản phẩm, dịch vụ mật mã dân sự để đảm bảo an ninh quốc gia khi cơ quan nhà nước có thẩm quyền yêu cầu.
7. Phối hợp và tạo điều kiện cho cơ quan nhà nước có thẩm quyền thực hiện các biện pháp nghiệp vụ khi có yêu cầu.
Điều 38. Trách nhiệm của tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân sự
1. Tuân thủ các quy định đã cam kết với doanh nghiệp cung cấp sản phẩm mật mã dân sự về: quản lý sử dụng khóa mã, chuyển nhượng, sửa chữa, bảo dưỡng, bỏ, tiêu hủy sản phẩm mật mã dân sự và các nội dung khác có liên quan.
2. Cung cấp các thông tin cần thiết liên quan tới khóa mã cho cơ quan có thẩm quyền khi có yêu cầu.
3. Phối hợp và tạo điều kiện cho các cơ quan nhà nước có thẩm quyền thực hiện các biện pháp ngăn ngừa tội phạm đánh cắp thông tin, khóa mã và sử dụng sản phẩm mật mã dân sự vào những mục đích không hợp pháp.
4. Tổ chức, cá nhân có sử dụng sản phẩm mật mã không do doanh nghiệp được cấp phép kinh doanh sản phẩm mật mã dân sự cung cấp phải khai báo với Ban Cơ yếu Chính phủ; trừ cơ quan ngoại giao của nước ngoài và cơ quan đại diện của tổ chức quốc tế liên Chính phủ.
Chương IV:
TIÊU CHUẨN, QUY CHUẨN KỸ THUẬT VỀ AN TOÀN THÔNG TIN MẠNG
Điều 39. Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng
1. Hệ thống tiêu chuẩn an toàn thông tin mạng gồm tiêu chuẩn quốc tế, tiêu chuẩn khu vực, tiêu chuẩn quốc gia và tiêu chuẩn cơ sở đối với thiết bị phần cứng, phần mềm, hệ thống thông tin, quy trình quản lý, vận hành an toàn thông tin mạng được công bố, áp dụng tại Việt Nam theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật và chất lượng sản phẩm, dịch vụ.
2. Hệ thống quy chuẩn kỹ thuật an toàn thông tin mạng gồm quy chuẩn kỹ thuật quốc gia và quy chuẩn kỹ thuật địa phương đối với hệ thống thông tin, thiết bị phần cứng, phần mềm, quy trình quản lý, vận hành an toàn thông tin mạng được xây dựng, ban hành và áp dụng tại Việt Nam theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật và chất lượng sản phẩm, dịch vụ.
Điều 40. Quản lý tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng
1. Chứng nhận hợp quy về an toàn thông tin mạng là việc cơ quan nhà nước có thẩm quyền chứng nhận thiết bị phần cứng, phần mềm hệ thống thông tin, hệ thống quản lý an toàn thông tin mạng phù hợp với quy chuẩn kỹ thuật về an toàn thông tin mạng.
2. Công bố hợp quy về an toàn thông tin mạng là việc tổ chức, doanh nghiệp công bố về sự phù hợp của thiết bị phần cứng, phần mềm, hệ thống thông tin, hệ thống quản lý an toàn thông tin mạng với quy chuẩn kỹ thuật về an toàn thông tin mạng.
3. Chứng nhận hợp chuẩn về an toàn thông tin mạng là việc cơ quan nhà nước có thẩm quyền chứng nhận thiết bị phần cứng, phần mềm, hệ thống thông tin, hệ thống quản lý an toàn thông tin mạng phù hợp với tiêu chuẩn về an toàn thông tin mạng.
4. Công bố hợp chuẩn về an toàn thông tin mạng là việc tổ chức, doanh nghiệp công bố về sự phù hợp của thiết bị phần cứng, phần mềm, hệ thống thông tin với tiêu chuẩn về an toàn thông tin mạng.
5. Bộ Khoa học và Công nghệ chủ trì, phối hợp với Bộ Thông tin và Truyền thông thẩm định và công bố tiêu chuẩn quốc gia về an toàn thông tin mạng; chủ trì, phối hợp với Ban Cơ yếu Chính phủ thẩm định và công bố tiêu chuẩn quốc gia về mật mã dân sự.
6. Bộ Thông tin và Truyền thông có trách nhiệm:
a) Ban hành quy chuẩn kỹ thuật quốc gia về an toàn thông tin mạng; quy định về kiểm định, đánh giá hợp quy về an toàn thông tin mạng; Danh mục sản phẩm yêu cầu quản lý an toàn thông tin mạng;
b) Quản lý chất lượng sản phẩm và dịch vụ về an toàn thông tin mạng;
c) Cấp giấy chứng nhận hợp chuẩn, hợp quy sản phẩm an toàn thông tin;
d) Quy định chi tiết điều kiện và quản lý hoạt động của tổ chức đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng.
7. Ban Cơ yếu Chính phủ có trách nhiệm xây dựng tiêu chuẩn, quy chuẩn kỹ thuật đối với sản phẩm mật mã dân sự trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thực hiện; cấp giấy chứng nhận hợp chuẩn, hợp quy sản phẩm mật mã dân sự.
8. Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương có trách nhiệm xây dựng và ban hành quy chuẩn kỹ thuật địa phương về an toàn thông tin mạng.
Điều 41. Kiểm định, đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng
1. Việc kiểm định, đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng được thực hiện trong các trường hợp sau đây:
a) Trước khi tổ chức, cá nhân đưa sản phẩm thuộc Danh mục sản phẩm yêu cầu quản lý an toàn thông tin mạng vào lưu thông trên thị trường phải thực hiện chứng nhận hợp quy hoặc công bố hợp quy và sử dụng dấu hợp quy;
b) Phục vụ hoạt động quản lý nhà nước về an toàn thông tin mạng.
2. Việc kiểm định, đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng phục vụ hệ thống thông tin quan trọng quốc gia và phục vụ hoạt động quản lý nhà nước về an toàn thông tin mạng thực hiện tại tổ chức đánh giá do Bộ trưởng Bộ Thông tin và Truyền thông hoặc bộ, ngành có liên quan.
3. Việc kiểm định, đánh giá hợp chuẩn, hợp quy sản phẩm mật mã dân sự do Ban Cơ yếu Chính phủ thực hiện hoặc chỉ định.
4. Việc thừa nhận lẫn nhau về kết quả đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng giữa Việt Nam với quốc gia, vùng lãnh thổ được thực hiện theo điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên; giữa tổ chức đánh giá sự phù hợp của quốc gia, vùng lãnh thổ được thực hiện theo thỏa thuận giữa các bên.
Chương V:
KINH DOANH TRONG LĨNH VỰC AN TOÀN THÔNG TIN MẠNG
Mục 1: CẤP GIẤY PHÉP KINH DOANH AN TOÀN THÔNG TIN MẠNG
Điều 42. Kinh doanh trong lĩnh vực an toàn thông tin mạng
1. Kinh doanh trong lĩnh vực an toàn thông tin mạng là loại hình kinh doanh có điều kiện. Kinh doanh trong lĩnh vực an toàn thông tin mạng gồm kinh doanh sản phẩm an toàn thông tin mạng và kinh doanh dịch vụ an toàn thông tin mạng.
Kinh doanh sản phẩm, dịch vụ mật mã dân sự, xuất khẩu, nhập khẩu sản phẩm mật mã dân sự thực hiện theo quy định tại Chương III của Luật này.
Kinh doanh dịch vụ chứng thực chữ ký số thực hiện theo quy định của Luật Giao dịch điện tử.
2. Việc kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng phải tuân thủ theo các quy định của Luật này và các quy định khác của pháp luật có liên quan.
Điều 43. Sản phẩm, dịch vụ trong lĩnh vực an toàn thông tin mạng
1. Dịch vụ an toàn thông tin bao gồm:
a) Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng;
b) Dịch vụ bảo mật thông tin không sử dụng mật mã;
c) Dịch vụ mật mã dân sự;
d) Dịch vụ chứng thực chữ ký số;
đ) Dịch vụ tư vấn an toàn thông tin mạng;
e) Dịch vụ giám sát an toàn thông tin mạng;
g) Dịch vụ ứng cứu, khắc phục sự cố an toàn thông tin mạng;
h) Dịch vụ khôi phục dữ liệu;
i) Dịch vụ an toàn thông tin mạng khác.
2. Sản phẩm an toàn thông tin mạng bao gồm:
a) Sản phẩm mật mã dân sự;
b) Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng;
c) Sản phẩm giám sát an toàn thông tin mạng;
d) Sản phẩm chống tấn công, xâm nhập;
đ) Sản phẩm an toàn thông tin mạng khác.
3. Chính phủ quy định các sản phẩm và dịch vụ an toàn thông tin mạng khác.
Điều 44. Điều kiện kinh doanh trong lĩnh vực an toàn thông tin mạng
1. Doanh nghiệp kinh doanh dịch vụ an toàn thông tin mạng quy định tại điểm a, b khoản 1 và sản phẩm an toàn thông tin mạng quy định tại điểm b, c, d, đ khoản 2 Điều 43 của Luật này phải có Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng do cơ quan nhà nước có thẩm quyền cấp. Thời hạn của Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng tối đa là 10 năm.
2. Doanh nghiệp kinh doanh dịch vụ an toàn thông tin mạng quy định tại điểm đ, e, g, h khoản 1 Điều 43 Luật này phải có Giấy chứng nhận đủ điều kiện cung cấp dịch vụ do cơ quan nhà nước có thẩm quyền cấp. Thời hạn của giấy chứng nhận đủ điều kiện cung cấp dịch vụ an toàn thông tin mạng tối đa là 05 năm.
Điều 45. Nguyên tắc cấp giấy phép, giấy chứng nhận đủ điều kiện kinh doanh trong lĩnh vực an toàn thông tin mạng
1. Phù hợp với chiến lược, quy hoạch, kế hoạch phát triển an toàn thông tin mạng quốc gia.
2. Doanh nghiệp được cấp giấy phép, giấy chứng nhận đủ điều kiện kinh doanh trong lĩnh vực an toàn thông tin mạng phải nộp phí, lệ phí theo quy định của pháp luật Phí và lệ phí.
Điều 46. Điều kiện cấp Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng
1. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng khi có đủ các điều kiện sau đây:
a) Có hệ thống trang thiết bị kỹ thuật, tổ chức và hoạt động phù hợp với quy mô cung cấp sản phẩm và dịch vụ an toàn thông tin mạng;
b) Có đội ngũ nhân viên quản lý điều hành, nhân viên kỹ thuật đáp ứng được yêu cầu chuyên môn về an toàn thông tin mạng;
c) Có phương án kinh doanh phù hợp với quy định của pháp luật.
2. Doanh nghiệp được cấp Giấy phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng khi có đủ các điều kiện sau đây:
a) Các điều kiện được quy định tại khoản 1 Điều này;
b) Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam trừ tổ chức nước ngoài, tổ chức hoạt động theo hình thức đầu tư nước ngoài tại Việt Nam;
c) Người đại diện theo pháp luật là công dân Việt Nam thường trú tại Việt Nam, tuân thủ Hiến pháp và pháp luật;
d) Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;
đ) Có phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ;
e) Có đội ngũ nhân sự trực tiếp tham gia hoạt động cung cấp dịch vụ có văn bằng hoặc chứng chỉ chuyên môn về kiểm tra, đánh giá an toàn thông tin mạng; tuân thủ Hiến pháp và pháp luật.
3. Doanh nghiệp được cấp Giấy phép cung cấp dịch vụ bảo mật thông tin không sử dụng mật mã khi có đủ điều kiện sau đây:
a) Các điều kiện được quy định tại các điểm a, b, c, d và đ khoản 2 Điều này;
b) Có đội ngũ nhân sự trực tiếp tham gia hoạt động cung cấp dịch vụ có văn bằng hoặc chứng chỉ chuyên môn về bảo mật thông tin; tuân thủ Hiến pháp và pháp luật.
Điều 47. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng
1. Doanh nghiệp đề nghị cấp Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng nộp 05 bộ hồ sơ về Bộ thông tin và Truyền thông. Hồ sơ đề nghị gồm:
a) Đơn đề nghị cấp Giấy phép trong đó nêu rõ loại hình sản phẩm và dịch vụ an toàn thông tin mạng;
b) Bản sao Giấy đăng ký doanh nghiệp hoặc Giấy chứng nhận đầu tư;
c) Có bản thuyết minh hệ thống thiết bị kỹ thuật bảo đảm phù hợp với quy định của pháp luật;
d) Phương án kinh doanh bao gồm: phạm vi, đối tượng cung cấp sản phẩm, dịch vụ; tiêu chuẩn, chất lượng dịch vụ;
đ) Bản sao văn bằng hoặc chứng chỉ chuyên môn về an toàn thông tin mạng của nhân sự trực tiếp tham gia hoạt động cung cấp dịch vụ.
2. Hồ sơ đề nghị cấp Giấy phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin hoặc cung cấp dịch vụ bảo mật thông tin gồm:
a) Các giấy tờ, tài liệu quy định tại khoản 1 Điều này;
b) Phiếu lý lịch tư pháp của người đại diện theo pháp luật và nhân sự trực tiếp tham gia hoạt động cung cấp dịch vụ;
c) Phương án kỹ thuật;
d) Phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ;
đ) Bản sao văn bằng hoặc chứng chỉ chuyên môn về an toàn thông tin hoặc bảo mật thông tin của nhân sự trực tiếp tham gia hoạt động cung cấp dịch vụ.
Điều 48. Thẩm định hồ sơ và cấp Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng
1. Trong thời hạn 40 ngày kể từ ngày nhận đủ hồ sơ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với bộ, ngành liên quan thẩm định và cấp Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng; trường hợp từ chối phải thông báo bằng văn bản và nêu rõ lý do.
2. Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng bao gồm các nội dung chính sau đây:
a) Tên doanh nghiệp, tên giao dịch của doanh nghiệp bằng tiếng Việt và tiếng nước ngoài (nếu có); địa chỉ trụ sở chính tại Việt Nam;
b) Tên của người đại diện theo pháp luật;
c) Số giấy phép, ngày cấp giấy phép, ngày hết hạn giấy phép;
d) Loại hình sản phẩm và dịch vụ an toàn thông tin mạng được phép kinh doanh;
đ) Các điều khoản, điều kiện doanh nghiệp phải tuân thủ.
Điều 49. Sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi và cấp lại Giấy phép kinh doanh sản phẩm và dịch vụ an toàn thông tin mạng
1. Sửa đổi, bổ sung giấy phép
a) Doanh nghiệp đã được cấp phép phải làm thủ tục đề nghị sửa đổi, bổ sung nội dung Giấy phép khi có những thay đổi sau: tên doanh nghiệp được cấp phép; tên người đại diện theo pháp luật; địa chỉ trụ sở chính; loại hình sản phẩm và dịch vụ cung cấp;
b) Doanh nghiệp nộp 02 bộ hồ sơ đề nghị sửa đổi, bổ sung nội dung Giấy phép về Bộ thông tin và Truyền thông, hồ sơ gồm: Đơn đề nghị sửa đổi, bổ sung nội dung Giấy phép; báo cáo mô tả chi tiết nội dung đề nghị sửa đổi, bổ sung và các tài liệu có liên quan;
c) Trong thời hạn 10 ngày làm việc kể từ ngày nhận được hồ sơ , Bộ Thông tin và Truyền thông thẩm định hồ sơ đề nghị sửa đổi, bổ sung; trường hợp từ chối phải thông báo bằng văn bản và nêu rõ lý do.
2. Gia hạn giấy phép
a) Trường hợp đề nghị gia hạn giấy phép phải nộp 02 bộ hồ sơ tới Bộ Thông tin và Truyền thông ít nhất 60 ngày trước ngày giấy phép hết hạn;
b) Hồ sơ đề nghị gia hạn giấy phép gồm: Đơn đề nghị gia hạn giấy phép; bản sao giấy phép đang có hiệu lực; báo cáo việc thực hiện hoạt động kinh doanh trong 02 năm gần nhất;
c) Trong thời hạn 20 ngày kể từ ngày nhận được hồ sơ, Bộ Thông tin và Truyền thông thẩm định hồ sơ đề nghị gia hạn giấy phép; trường hợp từ chối phải thông báo bằng văn bản và nêu rõ lý do;
d) Giấy phép chỉ được gia hạn 01 lần và thời gian gia hạn không quá 01 năm.
3. Tạm đình chỉ, thu hồi giấy phép
a) Doanh nghiệp bị tạm đình chỉ hoạt động trong các trường hợp sau: cung cấp dịch vụ sai với nội dung ghi trên giấy phép; không đáp ứng được một trong các điều kiện quy định tại Điều 46 của luật này; trường hợp khác theo quy định của pháp luật. Thời hạn tạm đình chỉ không quá 06 tháng;
b) Doanh nghiệp bị thu hồi giấy phép trong các trường hợp sau: không triển khai cung cấp dịch vụ trong thời hạn 01 năm kể từ ngày được cấp phép mà không có lý do chính đáng; Giấy phép đã hết hạn; hết thời hạn tạm đình chỉ mà không khắc phục được các điều kiện quy định tại điểm a khoản này.
4. Trường hợp giấy phép bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị tới Bộ Thông tin và Truyền thông. Trong 05 ngày làm việc kể từ ngày nhận được đơn đề nghị cấp lại giấy phép, Bộ Thông tin và Truyền thông xem xét và cấp lại giấy phép.
Điều 50. Điều kiện cấp Giấy chứng nhận cung cấp dịch vụ an toàn thông tin mạng
1. Là doanh nghiệp được thành lập theo quy định của pháp luật.
2. Có hệ thống trang thiết bị kỹ thuật, tổ chức và hoạt động phù hợp với quy mô cung cấp dịch vụ.
3. Có đội ngũ nhân viên kỹ thuật, nhân viên quản lý điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin mạng.
4. Có phương án kinh doanh phù hợp với quy định của pháp luật.
Điều 51. Thủ tục cấp Giấy chứng nhận cung cấp dịch vụ an toàn thông tin mạng
1. Doanh nghiệp đề nghị cấp Giấy chứng nhận cung cấp dịch vụ an toàn thông tin mạng nộp 05 bộ hồ sơ về Bộ thông tin và Truyền thông, hồ sơ gồm:
a) Đơn đề nghị cấp Giấy chứng nhận trong đó nêu rõ loại hình dịch vụ an toàn thông tin mạng cung cấp;
b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư;
c) Phương án kinh doanh gồm: phạm vi, đối tượng cung cấp dịch vụ; tiêu chuẩn, chất lượng dịch vụ;
d) Bản sao văn bằng hoặc chứng chỉ chuyên môn về an toàn thông tin mạng của nhân sự trực tiếp tham gia các hoạt động cung cấp dịch vụ.
2. Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với bộ, ngành liên quan thẩm định và cấp Giấy chứng nhận cung cấp dịch vụ an toàn thông tin mạng; trường hợp từ chối phải thông báo bằng văn bản và nêu rõ lý do.
Điều 52. Sửa đổi, bổ sung, cấp lại và thu hồi Giấy chứng nhận cung cấp dịch vụ an toàn thông tin mạng
1. Sửa đổi, bổ sung giấy chứng nhận
a) Doanh nghiệp đã được cấp phép phải làm thủ tục đề nghị sửa đổi, bổ sung nội dung Giấy chứng nhận khi có những thay đổi sau: tên doanh nghiệp; người đại diện theo pháp luật; địa chỉ trụ sở chính; loại hình dịch vụ cung cấp;
b) Doanh nghiệp nộp 02 bộ hồ sơ đề nghị sửa đổi, bổ sung nội dung Giấy chứng nhận về Bộ thông tin và Truyền thông, hồ sơ gồm: Đơn đề nghị sửa đổi, bổ sung nội dung Giấy chứng nhận; báo cáo mô tả chi tiết nội dung đề nghị sửa đổi, bổ sung và các tài liệu có liên quan;
c) Trong thời hạn 10 ngày làm việc kể từ ngày nhận đủ hồ sơ, Bộ Thông tin và Truyền thông thẩm định và cấp Giấy chứng nhận cung cấp dịch vụ an toàn thông tin mạng; trường hợp từ chối phải thông báo bằng văn bản và nêu rõ lý do.
2. Trường hợp giấy chứng nhận bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị tới Bộ Thông tin và Truyền thông. Trong 05 ngày làm việc kể từ ngày nhận được đơn đề nghị cấp lại giấy chứng nhận, Bộ Thông tin và Truyền thông xem xét và cấp lại giấy chứng nhận .
3. Doanh nghiệp bị thu hồi giấy chứng nhận trong các trường hợp sau:
a) Cung cấp dịch vụ sai với nội dung ghi trên giấy chứng nhận;
b) Không đáp ứng được một trong các điều kiện quy định tại Điều 50 Luật này;
c) Không triển khai cung cấp dịch vụ trong thời hạn 01 năm kể từ ngày được cấp giấy chứng nhận;
d) Trường hợp khác theo quy định của pháp luật.
Mục 2: QUẢN LÝ AN TOÀN THÔNG TIN MẠNG ĐỐI VỚI SẢN PHẨM NHẬP KHẨU
Điều 53. Nguyên tắc quản lý an toàn thông tin mạng đối với sản phẩm nhập khẩu
1. Việc bảo đảm an toàn thông tin mạng đối với sản phẩm nhập khẩu thực hiện theo quy định của Luật này, quy định của pháp luật về công nghệ thông tin, viễn thông và quy định của pháp luật khác liên quan.
2. Việc nhập khẩu sản phẩm của cơ quan, tổ chức, cá nhân được hưởng quyền ưu đãi, miễn trừ ngoại giao thực hiện theo quy định của pháp luật hải quan, pháp luật có liên quan về ưu đãi, miễn trừ dành cho cơ quan đại diện ngoại giao, cơ quan lãnh sự nước ngoài và cơ quan đại diện của tổ chức quốc tế tại Việt Nam.
3. Trong trường hợp Việt Nam chưa có quy chuẩn kỹ thuật an toàn thông tin mạng tương ứng đối với sản phẩm nhập khẩu thì áp dụng theo thỏa thuận quốc tế, điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.
Điều 54. Sản phẩm nhập khẩu theo giấy phép trong lĩnh vực an toàn thông tin mạng
1. Tổ chức, doanh nghiệp nhập khẩu sản phẩm thuộc Danh mục sản phẩm yêu cầu quản lý an toàn thông tin mạng phải thực hiện chứng nhận, công bố hợp chuẩn, hợp quy trước khi nhập khẩu theo quy định tại Điều 41 của Luật này. Tổ chức, doanh nghiệp nhập khẩu sản phẩm an toàn thông tin mạng phải đăng ký ngành nghề kinh doanh nhập khẩu.
2. Tổ chức, doanh nghiệp nhập khẩu sản phẩm an toàn thông tin mạng thuộc danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép do Bộ Thông tin và Truyền thông ban hành phải có giấy phép nhập khẩu.
3. Doanh nghiệp, cá nhân nhập khẩu sản phẩm theo giấy phép nhập khẩu trong lĩnh vực an toàn thông tin mạng phải được cấp giấy phép nhập khẩu trước khi nhập khẩu.
4. Hồ sơ đề nghị cấp giấy phép nhập khẩu sản phẩm nhập khẩu theo giấy phép trong lĩnh vực an toàn thông tin mạng bao gồm đơn đề nghị, thông tin liên hệ, phạm vi, mục đích và thời hạn sử dụng sản phẩm.
5. Bộ Thông tin và Truyền thông có trách nhiệm:
a) Ban hành danh mục sản phẩm nhập khẩu theo giấy phép trong lĩnh vực an toàn thông tin mạng;
b) Quy định chi tiết về trình tự, thủ tục, hồ sơ cấp phép nhập khẩu sản phẩm nhập khẩu theo giấy phép trong lĩnh vực an toàn thông tin mạng.
Chương VI:
PHÁT TRIỂN NGUỒN NHÂN LỰC AN TOÀN THÔNG TIN MẠNG
Điều 55. Bồi dưỡng nghiệp vụ về an toàn thông tin mạng
1. Chủ quản hệ thống thông tin sử dụng nguồn vốn ngân sách nhà nước phải đào tạo và bồi dưỡng kiến thức, nghiệp vụ cho cán bộ quản lý, kỹ thuật về an toàn thông tin mạng.
2. Cán bộ chuyên trách về an toàn thông tin mạng được bố trí tạo điều kiện làm việc phù hợp chuyên môn, được ưu tiên bồi dưỡng nghiệp vụ về an toàn thông tin mạng.
3. Bộ Nội vụ chủ trì, phối hợp với Bộ Thông tin và Truyền thông xây dựng kế hoạch và tổ chức thực hiện đào tạo, bồi dưỡng kiến thức, nghiệp vụ về an toàn thông tin mạng cho cán bộ, công chức, viên chức trong cơ quan, tổ chức nhà nước.
Điều 56. Đào tạo, dạy nghề an toàn thông tin mạng
1. Nhà nước khuyến khích tổ chức, cá nhân đầu tư, liên doanh, liên kết với tổ chức khác để đầu tư xây dựng cơ sở giáo dục, dạy nghề an toàn thông tin mạng.
2. Cơ sở giáo dục đại học thực hiện đào tạo nhân lực an toàn thông tin mạng được Nhà nước hỗ trợ kinh phí đào tạo.
Điều 57. Chứng chỉ đào tạo an toàn thông tin mạng
Bộ Giáo dục và Đào tạo và Bộ Lao động - Thương binh và Xã hội theo chức năng, nhiệm vụ, quyền hạn của mình chủ trì, phối hợp với Bộ Thông tin và Truyền thông quy định điều kiện hoạt động đào tạo, bồi dưỡng và cấp chứng chỉ đào tạo an toàn thông tin mạng, công nhận chứng chỉ đào tạo an toàn thông tin mạng của tổ chức nước ngoài sử dụng tại Việt Nam.
Chương VII:
QUẢN LÝ NHÀ NƯỚC VỀ AN TOÀN THÔNG TIN MẠNG
Điều 58. Nội dung quản lý nhà nước về an toàn thông tin mạng
1. Xây dựng chiến lược, quy hoạch, kế hoạch và chính sách an toàn thông tin mạng; xây dựng và chỉ đạo thực hiện chương trình quốc gia về an toàn thông tin mạng.
2. Ban hành và tổ chức thực hiện các văn bản quy phạm pháp luật về an toàn thông tin mạng; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng.
3. Quản lý về mật mã dân sự.
4. Đánh giá, kiểm định về an toàn thông tin mạng.
5. Quản lý công tác giám sát an toàn hệ thống thông tin.
6. Thẩm định về an toàn thông tin mạng trong hồ sơ thiết kế hệ thống thông tin theo quy định của Chính phủ.
7. Tuyên truyền, phổ biến pháp luật về an toàn thông tin mạng.
8. Cấp giấy phép, giấy chứng nhận đủ điều kiện kinh doanh, nhập khẩu trong lĩnh vực an toàn thông tin mạng; cấp giấy phép kinh doanh sản phẩm và dịch vụ mật mã dân sự; cấp giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự; cấp chứng chỉ đào tạo an toàn thông tin mạng.
9. Tổ chức nghiên cứu, ứng dụng khoa học và công nghệ về an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; đào tạo cán bộ chuyên trách về an toàn thông tin mạng.
10. Kiểm tra, thanh tra, giải quyết khiếu nại, tố cáo, xử lý vi phạm pháp luật về an toàn thông tin mạng.
11. Hợp tác quốc tế về an toàn thông tin mạng.
Điều 59. Trách nhiệm quản lý nhà nước về an toàn thông tin mạng
1. Chính phủ thống nhất quản lý nhà nước về an toàn thông tin mạng.
2. Bộ Thông tin và Truyền thông chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về an toàn thông tin mạng, có các nhiệm vụ quyền hạn sau đây:
a) Ban hành hoặc trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật, chiến lược, quy hoạch, kế hoạch, tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng;
b) Thẩm định về an toàn thông tin mạng trong hồ sơ thiết kế hệ thống thông tin;
c) Quản lý công tác giám sát an toàn hệ thống thông tin trên toàn quốc trừ các hệ thống thông tin quy định tại điểm c khoản 3 và điểm b khoản 4 Điều này;
d) Đánh giá, kiểm định về an toàn thông tin mạng;
đ) Ban hành danh mục dịch vụ và sản phẩm an toàn thông tin mạng theo từng thời kỳ;
e) Cấp giấy phép, giấy chứng nhận dịch vụ an toàn thông tin mạng;
g) Nghiên cứu, ứng dụng khoa học, công nghệ trong hoạt động an toàn thông tin mạng; đào tạo, bồi dưỡng, phát triển nguồn nhân lực; cấp chứng chỉ đào tạo an toàn thông tin mạng;
h) Quản lý và thực hiện hợp tác quốc tế về an toàn thông tin mạng;
i) Kiểm tra, thanh tra, giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về an toàn thông tin mạng;
k) Chủ trì, phối hợp với bộ, ngành, địa phương và doanh nghiệp trong việc bảo đảm an toàn thông tin mạng;
l) Tổ chức tuyên truyền, phổ biến pháp luật về an toàn thông tin mạng;
m) Định kỳ hàng năm báo cáo Chính phủ về hoạt động an toàn thông tin mạng.
3. Trách nhiệm của Bộ Quốc phòng:
a) Ban hành hoặc trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật, chiến lược, quy hoạch, kế hoạch, quy chuẩn kỹ thuật về an toàn thông tin mạng thuộc lĩnh vực do Bộ Quốc phòng quản lý;
b) Thanh tra, kiểm tra, giải quyết tranh chấp, khiếu nại, tố cáo và xử lý vi phạm pháp luật trong hoạt động bảo đảm an toàn thông tin mạng thuộc lĩnh vực do Bộ Quốc phòng quản lý;
c) Bộ Quốc phòng thực hiện quản lý công tác giám sát an toàn hệ thống thông tin thuộc Bộ Quốc phòng;
4. Ban Cơ yếu Chính phủ có trách nhiệm giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về mật mã dân sự trong các nhiệm vụ sau đây:
a) Xây dựng, trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật về quản lý mật mã dân sự;
b) Chủ trì, phối hợp với các bộ, ngành có liên quan xây dựng, trình cơ quan nhà nước có thẩm quyền ban hành tiêu chuẩn, quy chuẩn kỹ thuật đối với các sản phẩm mật mã dân sự;
c) Quản lý hoạt động kinh doanh và sử dụng mật mã dân sự, chất lượng sản phẩm và dịch vụ mật mã dân sự, kiểm định, đánh giá, chứng nhận hợp chuẩn, chứng nhận hợp quy sản phẩm mật mã dân sự;
d) Xây dựng và trình cấp có thẩm quyền ban hành Danh mục sản phẩm, dịch vụ mật mã dân sự phải cấp phép kinh doanh và Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép;
đ) Cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; cấp giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự;
e) Kiểm tra, thanh tra, giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về hoạt động kinh doanh và sử dụng mật mã dân sự;
g) Hợp tác quốc tế về mật mã dân sự.
5. Bộ Công an chủ trì, phối hợp với Bộ, ngành liên quan triển khai công tác bảo đảm an ninh quốc gia, trật tự an toàn xã hội và phòng chống tội phạm trên mạng, bao gồm:
a) Chủ trì, phối hợp với các bộ, ngành có liên quan xây dựng và trình Chính phủ ban hành hoặc ban hành theo thẩm quyền và hướng dẫn thực hiện các văn bản quy phạm pháp luật về phòng chống tội phạm mạng, các hành vi lợi dụng mạng để xâm phạm an ninh quốc gia, trật tự an toàn xã hội và bảo vệ bí mật nhà nước;
b) Bộ Công an thực hiện quản lý công tác giám sát an toàn hệ thống thông tin thuộc Bộ Công an;
c) Tổ chức, chỉ đạo, triển khai công tác phòng, chống tội phạm, tổ chức điều tra tội phạm mạng và vi phạm pháp luật khác trong lĩnh vực an toàn thông tin mạng trên mạng;
d) Phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thanh tra, kiểm tra và xử lý hành vi vi phạm quy định của pháp luật về bảo đảm an toàn thông tin mạng theo thẩm quyền.
6. Bộ Giáo dục và Đào tạo có trách nhiệm tổ chức đào tạo, phổ biến về an toàn thông tin mạng trong hệ thống cơ sở giáo dục đại học và hệ thống các cơ sở giáo dục khác.
7. Bộ Kế hoạch và Đầu tư, Bộ Tài chính có trách nhiệm bố trí kinh phí bảo đảm thực hiện nhiệm vụ an toàn thông tin mạng theo quy định.
8. Bộ, cơ quan ngang bộ trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm quản lý an toàn thông tin mạng của ngành mình và phối hợp với Bộ Thông tin và Truyền thông thực hiện quản lý nhà nước về an toàn thông tin mạng.
9. Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương trong phạm vi nhiệm vụ, quyền hạn của mình thực hiện quản lý nhà nước về an toàn thông tin mạng.
Điều 60. Xử lý vi phạm trong lĩnh vực an toàn thông tin mạng
1. Tổ chức, cá nhân vi phạm quy định của Luật này, tùy theo tính chất, mức độ vi phạm mà bị xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
2. Chính phủ quy định về xử lý vi phạm hành chính trong lĩnh vực an toàn thông tin mạng.
Chương VIII:
ĐIỀU KHOẢN THI HÀNH
Điều 61. Hiệu lực thi hành
Luật này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2016.
Điều 62. Quy định chi tiết và hướng dẫn thi hành
Chính phủ, cơ quan có thẩm quyền quy định chi tiết các điều, khoản được giao trong Luật.