Tìm hiểu Luật An toàn thông tin mạng ?

Tình hình an toàn trên không gian mạng luôn có những diễn biến phức tạp, khó lường. Các cuộc tấn công vào hệ thống mạng công nghệ thông tin không ngừng tăng cả về số lượng, cường độ và tính phức tạp. Các nhóm tội phạm mạng ngày một gia tăng với sự hỗ trợ mạnh mẽ của các tổ chức kinh tế, chính trị,… và nguy cơ chiến tranh mạng đang hiện hữu, đe dọa hòa bình và an ninh thế giới, chủ quyền quốc gia dân tộc. Nhiều quốc gia trên thế giới đã phát triển lực lượng tác chiến mạng, sẵn sàng tham gia, đối phó với chiến tranh mạng. Vì vậy, vấn đề bảo vệ chủ quyền quốc gia không chỉ là việc bảo vệ chủ quyền lãnh thổ, vùng đất, vùng biển, vùng trời... mà còn là chủ quyền trên không gian mạng.

Trong những năm gần đây, Đảng và Nhà nước ta đã có nhiều chủ trương, chính sách và các biện pháp đẩy mạnh phát triển ứng dụng công nghệ thông tin viễn thông, gắn liền với công tác bảo đảm an toàn, an ninh thông tin, sẵn sàng đối phó với các cuộc chiến tranh trên không gian mạng.

Luật An toàn thông tin mạng được ban hành năm 2015 đã hướng đến giải quyết các yêu cầu về bảo đảm an toàn thông tin mạng quốc gia, qua đó hoàn thiện cơ sở pháp lý ổn định về an toàn thông tin theo hướng áp dụng các quy định pháp luật một cách đồng bộ, khả thi trong thực tiễn thi hành và phát huy các nguồn lực của đất nước để bảo đảm an toàn thông tin mạng, phát triển lĩnh vực an toàn thông tin mạng đáp ứng yêu cầu phát triển kinh tế-xã hội, quốc phòng, an ninh, góp phần bảo đảm quốc phòng, an ninh; bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng; đẩy mạnh công tác phòng, chống nguy cơ mất an toàn thông tin mạng, đảm bảo hiệu quả công tác thực thi quản lý nhà nước trong lĩnh vực an toàn thông tin mạng; mở rộng hợp tác quốc tế về an toàn thông tin mạng trên cơ sở tôn trọng độc lập, chủ quyền, bình đẳng, cùng có lợi, phù hợp với pháp luật Việt Nam và điều ước quốc tế mà Việt Nam tham gia ký kết.

Luật gồm 8 Chương, 54 Điều quy định về hoạt động an toàn thông tin mạng, quyền và trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng và có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2016.

Chương I. Những quy định chung

Chương này có 8 điều, từ Điều 1 đến Điều 8, quy định phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo đảm an toàn thông tin mạng; chính sách của Nhà nước về an toàn thông tin mạng; kinh phí cho an toàn thông tin mạng và hợp tác quốc tế về an toàn thông tin mạng; các hành vi bị nghiêm cấm, xử lý vi phạm trong lĩnh vực an toàn thông tin mạng.

- Về “An toàn thông tin mạng” (Khoản 1 Điều 3) được hiểu là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

- Về nguyên tắc bảo đảm an toàn thông tin mạng (Điều 4): (1) Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng. Hoạt động an toàn thông tin mạng của cơ quan, tổ chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội; (2) Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác; (3) Việc xử lý sự cố an toàn thông tin mạng phải bảo đảm quyền và lợi ích hợp pháp của tổ chức, cá nhân, không xâm phạm đến đời sống riêng tư, bí mật cá nhân, bí mật gia đình của cá nhân, thông tin riêng của tổ chức; (4) Hoạt động an toàn thông tin mạng phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả.

- Về các hành vi bị nghiêm cấm (Điều 7): (1) Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật; (2) Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng; (3) Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin; (4) Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo; (5) Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân; (6) Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc. 

Chương II. Bảo đảm an toàn thông tin mạng

Chương này có 4 mục với 21 điều, từ Điều 9 đến Điều 29

Mục 1. Bảo vệ thông tin mạng, quy định về phân loại thông tin; quản lý gửi thông tin; phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại; bảo đảm an toàn tài nguyên viễn thông; ứng cứu sự cố an toàn thông tin mạng; ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo đảm an toàn thông tin mạng:

Về trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo đảm an toàn thông tin mạng (Điều 15): (1) Cơ quan, tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng; (2) Cơ quan, tổ chức, cá nhân sử dụng dịch vụ trên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại hoặc sự cố an toàn thông tin mạng.

Mục 2. Bảo vệ thông tin cá nhân, quy định về nguyên tắc bảo vệ thông tin cá nhân trên mạng; thu thập và sử dụng thông tin cá nhân; cập nhật, sửa đổi và hủy bỏ thông tin cá nhân; bảo đảm an toàn thông tin cá nhân trên mạng; trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân trên mạng.

Về nguyên tắc bảo vệ thông tin cá nhân trên mạng (Điều 16): (1) Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng; (2) Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý; (3) Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình; (4) Việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan; (5) Việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc không nhằm mục đích thương mại được thực hiện theo quy định khác của pháp luật có liên quan.

Mục 3. Bảo vệ hệ thống thông tin, quy định về phân loại cấp độ an toàn thông tin của hệ thống thông tin; nhiệm vụ bảo vệ hệ thống thông tin; biện pháp bảo vệ hệ thống thông tin; giám sát an toàn hệ thống thông tin; hệ thống thông tin quan trọng quốc gia; trách nhiệm của chủ quản hệ thống thông tin; trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia (trong đó quy định Bộ Công an chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Công an quản lý; phối hợp với Bộ Thông tin và Truyền thông, chủ quản hệ thống thông tin quan trọng quốc gia, bộ, ngành, Ủy ban nhân dân các cấp có liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia khác khi có yêu cầu của cơ quan nhà nước có thẩm quyền).           

Mục 4. Ngăn chặn xung đột thông tin trên mạng, quy định về trách nhiệm của tổ chức, cá nhân trong việc ngăn chặn xung đột thông tin trên mạng; ngăn chặn hoạt động lợi dụng mạng để khủng bố.

- Tổ chức, cá nhân trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm (Điều 28): (1) Ngăn chặn thông tin phá hoại xuất phát từ hệ thống thông tin của mình; hợp tác xác định nguồn, đẩy lùi, khắc phục hậu quả tấn công mạng được thực hiện thông qua hệ thống thông tin của tổ chức, cá nhân trong nước và nước ngoài; (2) Ngăn chặn hành động của tổ chức, cá nhân trong nước và nước ngoài có mục đích phá hoại tính nguyên vẹn của mạng; (3) Loại trừ việc tổ chức thực hiện hoạt động trái pháp luật trên mạng có ảnh hưởng nghiêm trọng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội của tổ chức, cá nhân trong nước và nước ngoài. Chính phủ quy định chi tiết về ngăn chặn xung đột thông tin trên mạng.

- Về các biện pháp ngăn chặn hoạt động sử dụng mạng để khủng bố (Điều 29): (1) Vô hiệu hóa nguồn Internet sử dụng để thực hiện hành vi khủng bố; (2) Ngăn chặn việc thiết lập và mở rộng trao đổi thông tin về các tín hiệu, nhân tố, phương pháp và cách sử dụng Internet để thực hiện hành vi khủng bố, về mục tiêu và hoạt động của các tổ chức khủng bố trên mạng; (3) Trao đổi kinh nghiệm và thực tiễn kiểm soát các nguồn Internet, tìm và kiểm soát nội dung của trang tin điện tử có mục đích khủng bố. Chính phủ quy định chi tiết về trách nhiệm thực hiện và các biện pháp ngăn chặn hoạt động sử dụng mạng để khủng bố.

Chương III. Mật mã dân sự

Chương này có 7 điều, từ Điều 30 đến Điều 36, quy định về sản phẩm, dịch vụ mật mã dân sự; kinh doanh sản phẩm, dịch vụ mật mã dân sự; trình tự, thủ tục đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; sửa đổi, bổ sung, cấp lại, gia hạn tạm đình chỉ và thu hồi Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; xuất khẩu, nhập khẩu sản phẩm mật mã dân sự; trách nhiệm của doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự; trách nhiệm của tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân sự.

Về trách nhiệm của tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân sự (Điều 36): (1) Tuân thủ các quy định đã cam kết với doanh nghiệp cung cấp sản phẩm mật mã dân sự về quản lý sử dụng khóa mã, chuyển nhượng, sửa chữa, bảo dưỡng, bỏ, tiêu hủy sản phẩm mật mã dân sự và các nội dung khác có liên quan; (2) Cung cấp các thông tin cần thiết liên quan tới khóa mã cho cơ quan nhà nước có thẩm quyền khi có yêu cầu; (3) Phối hợp, tạo điều kiện cho cơ quan nhà nước có thẩm quyền thực hiện các biện pháp ngăn ngừa tội phạm đánh cắp thông tin, khóa mã và sử dụng sản phẩm mật mã dân sự vào những mục đích không hợp pháp; (4) Tổ chức, cá nhân sử dụng sản phẩm mật mã dân sự không do doanh nghiệp được cấp phép kinh doanh sản phẩm mật mã dân sự cung cấp phải khai báo với Ban Cơ yếu Chính phủ, trừ cơ quan đại diện ngoại giao, cơ quan lãnh sự của nước ngoài và cơ quan đại diện của tổ chức quốc tế liên Chính phủ tại Việt Nam.

Chương IV. Tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng

Chương này có 3 điều, từ Điều 37 đến Điều 39, quy định về tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng; quản lý tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng; kiểm định, đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng.

Chương V. Kinh doanh trong lĩnh vực an toàn thông tin mạng

Chương này có 2 mục với 9 điều, từ Điều 40 đến Điều 48.

Mục 1. Cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, quy định về kinh doanh trong lĩnh vực an toàn thông tin mạng; sản phẩm, dịch vụ trong lĩnh vực an toàn thông tin mạng; điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; thẩm định hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; sửa đổi, bổ sung, cấp lại, gia hạn, tạm đình chỉ và thu hồi Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; trách nhiệm của tổ chức, cá nhân sử dụng sản phẩm, dịch vụ an toàn thông tin mạng.

Mục 2. Quản lý nhập khẩu sản phẩm an toàn thông tin mạng, quy định về nguyên tắc quản lý nhập khẩu sản phẩm an toàn thông tin mạng; sản phẩm nhập khẩu theo giấy phép trong lĩnh vực an toàn thông tin mạng.

Chương VI. Phát triển nguồn nhân lực an toàn thông tin mạng

Chương này có 2 điều, Điều 49 quy định về đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin mạng và Điều 50 quy định về văn bằng, chứng chỉ đào tạo về an toàn thông tin mạng.

Chương VII. Quản lý nhà nước về an toàn thông tin mạng

Chương này có 2 điều, Điều 51 quy định nội dung quản lý nhà nước về an toàn thông tin mạng và Điều 52 quy định trách nhiệm quản lý nhà nước về an toàn thông tin mạng. Trong đó quy định rõ trách nhiệm của Bộ Thông tin và Truyền thông, Bộ Quốc phòng, Ban Cơ yếu Chính phủ, Bộ Công an và các Bộ, cơ quan ngang bộ, Uỷ ban nhân dân tỉnh, thành phố trực thuộc Trung ương trong phạm vi, nhiệm vụ, quyền hạn của mình thực hiện quản lý nhà nước về an toàn thông tin mạng.

Bộ Công an có nhiệm vụ, quyền hạn: (1) Chủ trì, phối hợp với bộ, ngành có liên quan xây dựng và trình cấp có thẩm quyền ban hành hoặc ban hành theo thẩm quyền và hướng dẫn thực hiện văn bản quy phạm pháp luật về bảo vệ bí mật nhà nước, phòng, chống tội phạm mạng, lợi dụng mạng để xâm phạm an ninh quốc gia, trật tự, an toàn xã hội; (2) Thực hiện quản lý công tác giám sát an toàn hệ thống thông tin thuộc Bộ Công an; (3) Tổ chức, chỉ đạo, triển khai công tác phòng, chống tội phạm, tổ chức điều tra tội phạm mạng và hành vi vi phạm pháp luật khác trong lĩnh vực an toàn thông tin mạng; (4) Phối hợp với Bộ Thông tin và Truyền thông, bộ, ngành có liên quan kiểm tra, thanh tra về an toàn thông tin mạng, xử lý vi phạm pháp luật về an toàn thông tin mạng theo thẩm quyền. 

Để bảo đảm triển khai hiệu quả các quy định của Luật an toàn thông tin mạng, Chính phủ sẽ ban hành các văn bản hướng dẫn thi hành. Trong đó, Bộ Công an chủ trì, xây dựng và trình Chính phủ ban hành Nghị định quy định về ngăn chặn hoạt động sử dụng mạng để khủng bố.

Luật Hoàng Anh