Chương IV Luật An ninh mạng 2018: Hoạt động bảo vệ an ninh mạng
Số hiệu: | 24/2018/QH14 | Loại văn bản: | Luật |
Nơi ban hành: | Quốc hội | Người ký: | Nguyễn Thị Kim Ngân |
Ngày ban hành: | 12/06/2018 | Ngày hiệu lực: | 01/01/2019 |
Ngày công báo: | 14/07/2018 | Số công báo: | Từ số 775 đến số 776 |
Lĩnh vực: | Công nghệ thông tin, Văn hóa - Xã hội | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Văn bản tiếng việt
Văn bản tiếng anh
1. Nội dung triển khai hoạt động bảo vệ an ninh mạng bao gồm:
a) Xây dựng, hoàn thiện quy định, quy chế sử dụng mạng máy tính nội bộ, mạng máy tính có kết nối mạng Internet; phương án bảo đảm an ninh mạng đối với hệ thống thông tin; phương án ứng phó, khắc phục sự cố an ninh mạng;
b) Ứng dụng, triển khai phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin thuộc phạm vi quản lý;
c) Tổ chức bồi dưỡng kiến thức về an ninh mạng cho cán bộ, công chức, viên chức, người lao động; nâng cao năng lực bảo vệ an ninh mạng cho lực lượng bảo vệ an ninh mạng;
d) Bảo vệ an ninh mạng trong hoạt động cung cấp dịch vụ công trên không gian mạng, cung cấp, trao đổi, thu thập thông tin với cơ quan, tổ chức, cá nhân, chia sẻ thông tin trong nội bộ và với cơ quan khác hoặc trong hoạt động khác theo quy định của Chính phủ;
đ) Đầu tư, xây dựng hạ tầng cơ sở vật chất phù hợp với điều kiện bảo đảm triển khai hoạt động bảo vệ an ninh mạng đối với hệ thống thông tin;
e) Kiểm tra an ninh mạng đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật về an ninh mạng; ứng phó, khắc phục sự cố an ninh mạng.
2. Người đứng đầu cơ quan, tổ chức có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.
1. Kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia trong trường hợp sau đây:
a) Khi có hành vi vi phạm pháp luật về an ninh mạng xâm phạm an ninh quốc gia hoặc gây tổn hại nghiêm trọng trật tự, an toàn xã hội;
b) Khi có đề nghị của chủ quản hệ thống thông tin.
2. Đối tượng kiểm tra an ninh mạng bao gồm:
a) Hệ thống phần cứng, phần mềm, thiết bị số được sử dụng trong hệ thống thông tin;
b) Thông tin được lưu trữ, xử lý, truyền đưa trong hệ thống thông tin;
c) Biện pháp bảo vệ bí mật nhà nước và phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật.
3. Chủ quản hệ thống thông tin có trách nhiệm thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi phát hiện hành vi vi phạm pháp luật về an ninh mạng trên hệ thống thông tin thuộc phạm vi quản lý.
4. Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an tiến hành kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức trong các trường hợp quy định tại khoản 1 Điều này.
5. Trước thời điểm tiến hành kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo bằng văn bản cho chủ quản hệ thống thông tin ít nhất là 12 giờ.
Trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo kết quả kiểm tra và đưa ra yêu cầu đối với chủ quản hệ thống thông tin trong trường hợp phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia khắc phục khi có đề nghị của chủ quản hệ thống thông tin.
6. Kết quả kiểm tra an ninh mạng được bảo mật theo quy định của pháp luật.
7. Chính phủ quy định trình tự, thủ tục kiểm tra an ninh mạng quy định tại Điều này.
1. Bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế phải bảo đảm kết hợp chặt chẽ giữa yêu cầu bảo vệ an ninh mạng với yêu cầu phát triển kinh tế - xã hội; khuyến khích cổng kết nối quốc tế đặt trên lãnh thổ Việt Nam; khuyến khích tổ chức, cá nhân tham gia đầu tư xây dựng cơ sở hạ tầng không gian mạng quốc gia.
2. Cơ quan, tổ chức, cá nhân quản lý, khai thác cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế có trách nhiệm sau đây:
a) Bảo vệ an ninh mạng thuộc quyền quản lý; chịu sự quản lý, thanh tra, kiểm tra và thực hiện các yêu cầu về bảo vệ an ninh mạng của cơ quan nhà nước có thẩm quyền;
b) Tạo điều kiện, thực hiện các biện pháp kỹ thuật, nghiệp vụ cần thiết để cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ bảo vệ an ninh mạng khi có đề nghị.
1. Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này và thông tin khác có nội dung xâm phạm an ninh quốc gia.
2. Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm sau đây:
a) Xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng;
b) Ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này trên dịch vụ hoặc hệ thống thông tin do cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông và lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ;
c) Không cung cấp hoặc ngừng cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông.
3. Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
Doanh nghiệp ngoài nước quy định tại khoản này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
4. Chính phủ quy định chi tiết khoản 3 Điều này.
1. Nội dung nghiên cứu, phát triển an ninh mạng bao gồm:
a) Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ an ninh mạng;
b) Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ an ninh mạng đạt chuẩn và hạn chế tồn tại điểm yếu, lỗ hổng bảo mật, phần mềm độc hại;
c) Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng;
d) Phương pháp bảo vệ bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư; khả năng bảo mật khi truyền đưa thông tin trên không gian mạng;
đ) Xác định nguồn gốc của thông tin được truyền đưa trên không gian mạng;
e) Giải quyết nguy cơ đe dọa an ninh mạng;
g) Xây dựng thao trường mạng, môi trường thử nghiệm an ninh mạng;
h) Sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về an ninh mạng;
i) Dự báo an ninh mạng;
k) Nghiên cứu thực tiễn, phát triển lý luận an ninh mạng.
2. Cơ quan, tổ chức, cá nhân có liên quan có quyền nghiên cứu, phát triển an ninh mạng.
1. Nhà nước khuyến khích, tạo điều kiện để cơ quan, tổ chức, cá nhân nâng cao năng lực tự chủ về an ninh mạng và nâng cao khả năng sản xuất, kiểm tra, đánh giá, kiểm định thiết bị số, dịch vụ mạng, ứng dụng mạng.
2. Chính phủ thực hiện các biện pháp sau đây để nâng cao năng lực tự chủ về an ninh mạng cho cơ quan, tổ chức, cá nhân:
a) Thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ an ninh mạng;
b) Thúc đẩy ứng dụng công nghệ mới, công nghệ tiên tiến liên quan đến an ninh mạng;
c) Tổ chức đào tạo, phát triển và sử dụng nhân lực an ninh mạng;
d) Tăng cường môi trường kinh doanh, cải thiện điều kiện cạnh tranh hỗ trợ doanh nghiệp nghiên cứu, sản xuất sản phẩm, dịch vụ, ứng dụng để bảo vệ an ninh mạng.
1. Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội, vui chơi, giải trí, giữ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên không gian mạng.
2. Chủ quản hệ thống thông tin, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng có trách nhiệm kiểm soát nội dung thông tin trên hệ thống thông tin hoặc trên dịch vụ do doanh nghiệp cung cấp để không gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; ngăn chặn việc chia sẻ và xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; kịp thời thông báo, phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an để xử lý.
3. Cơ quan, tổ chức, cá nhân tham gia hoạt động trên không gian mạng có trách nhiệm phối hợp với cơ quan có thẩm quyền trong bảo đảm quyền của trẻ em trên không gian mạng, ngăn chặn thông tin có nội dung gây nguy hại cho trẻ em theo quy định của Luật này và pháp luật về trẻ em.
4. Cơ quan, tổ chức, cha mẹ, giáo viên, người chăm sóc trẻ em và cá nhân khác liên quan có trách nhiệm bảo đảm quyền của trẻ em, bảo vệ trẻ em khi tham gia không gian mạng theo quy định của pháp luật về trẻ em.
5. Lực lượng chuyên trách bảo vệ an ninh mạng và các cơ quan chức năng có trách nhiệm áp dụng biện pháp để phòng ngừa, phát hiện, ngăn chặn, xử lý nghiêm hành vi sử dụng không gian mạng gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em.
CYBERSECURITY PROTECTION ACTIVITIES
Article 23. Cybersecurity protection in central and local authorities and political organizations
1. Struggle for cybersecurity protection includes:
a) Develop and complete regulations on use of local networks and the Internet; plans for assurance of cybersecurity of information systems; plans for cybersecurity incident response and remediation;
b) Implement and apply various cybersecurity protection plans, measures, technologies to information systems, information and documents created, stored and transmitted within information systems under their management;
c) Provide refresher training in cybersecurity for officials, public employees and other employees; improve the capacity of cybersecurity forces;
d) Ensure cybersecurity during provision of public services in cyberspace, exchange of information with other entities; internal and external transmission of information and other activities specified by the Government;
dd) Invest in and develop infrastructure suitable for assurance of cybersecurity of information systems;
e) Inspect cybersecurity of information systems; prevent and deal with violations against regulations of law on cybersecurity; respond to and remediate cybersecurity incidents.
2. Heads of organizations are responsible for organizing cybersecurity protection activities under their management.
Article 24. Inspection of cybersecurity of information systems other than national security information systems
1. An information system other than national security information systems shall undergo cybersecurity inspection in the following cases:
a) There is a violation of regulations of law on cybersecurity that violates national security or seriously disrupts public order;
b) The inspection is requested by the administrator of the information system.
2. Subjects of cybersecurity inspection:
a) Hardware systems, software systems, digital devices in information systems;
b) Information stored, processed and transmitted within the information system;
c) Measures for protection of state secrets; prevention and response to leak of state secrets through technical channels.
3. Administrators of information systems shall inform the professional cybersecurity force of the Ministry of Public Security upon discovery of cybersecurity breach on their systems.
4. The professional cybersecurity force of the Ministry of Public Security shall carryout cybersecurity inspection of information systems in the cases mentioned in Clause 1 of this Article.
5. The cybersecurity force shall inform the information system administrator in writing at least 12 hours before the inspection.
Within 30 days from the end of the inspection, the cybersecurity force shall send a notification and requests to the administrator in case weaknesses or vulnerabilities are found; provide instructions if requested by the admin.
6. The cybersecurity inspection results shall be kept confidential as prescribed by law.
7. The Government shall elaborate procedures for cybersecurity inspection mentioned in this Article.
Article 25. Protection of cybersecurity of national cyberspace infrastructure and international internet gateways
1. Protection of cybersecurity of national cyberspace infrastructure and international internet gateways shall combine cybersecurity protection and socio-economic development; international internet gateways located within Vietnam's territory will be given priority; investments in national cyberspace infrastructure will be given priority.
2. Responsibility of users of national cyberspace infrastructure and international internet gateways:
a) Protect cybersecurity under their management; facilitate administration and inspection and comply with cybersecurity requirements by competent authorities;
b) Enable and implement administrative and technical measures necessary for competent authorities to protect cybersecurity upon request.
Article 26. Assurance of information security in cyberspace
1. Information mentioned in Clause 1 through 5 Article 16 of this Law and other information that violates national security are not allowed on websites, web portals and social media pages of any organization or individual.
2. Domestic and overseas providers of telecommunications services, internet services and value-added services in Vietnam’s cyberspace have the responsibility to:
a) Verify users’ information when they open digital accounts; protect confidentiality of users’ information and accounts; provide users’ information for professional cybersecurity forces of the Ministry of Public Security upon request in writing to serve investigation into cybersecurity violations;
b) Block and delete information mentioned in Clause 1 through 5 Article 16 of this Law on their services or information systems within 24 hours after a request is given by the cybersecurity force of the Ministry of Public Security or a competent authority of the Ministry of Information and Communications; keep a log of such events to serve investigation into cybersecurity violations for a certain period of time specified by the Government;
c) Stop providing or refuse to provide the aforementioned services for the organizations or individuals that post the information mentioned in Clause 1 through 5 Article 16 of this Law upon request by the cybersecurity force of the Ministry of Public Security or a competent authority of the Ministry of Information and Communications.
3. Domestic and overseas providers of telecommunications services, internet services and value-added services in Vietnam’s cyberspace that collect, analyze or process private information or data about relationships of their service users or data created by their service users in Vietnam shall retain such data for a specific period of time defined by the Government.
Overseas enterprises mentioned in this Clause shall open branches or representative offices in Vietnam.
4. The Government shall elaborate Clause 3 of this Article.
Article 27. Cybersecurity research and development
1. Cybersecurity research and development include:
a) Development of cybersecurity software and equipment;
b) Solutions for appraisal of cybersecurity software and equipment; remediation of weaknesses, vulnerability and malicious software;
c) Methods for inspection of functionality of hardware and software;
d) Methods for state-secret information, work secrets, business secrets, personal secrets, family secrets and privacy; security of information transmitted in cyberspace;
dd) Tracing origins of information transmitted in cyberspace;
e) Elimination of cybersecurity threats;
g) Development of cyberspace boot camps and cybersecurity testing environment;
h) Technical initiatives for improving cybersecurity skills and awareness;
i) Cybersecurity forecasting;
k) Cybersecurity practice research and cybersecurity theory development.
2. All organizations and individuals have the right to carry out cybersecurity research and development.
Article 28. Improvement of cybersecurity independence
1. The State will encourage and enable all organizations and individuals to improve their capacity of cybersecurity and the ability to product, inspect, assess digital devices, network services and network applications.
2. The Government shall implement the following measures to improve cybersecurity independence:
a) Promote transfer, research, mastery and development of cybersecurity technology, products, services and applications;
b) Promote application of new and advanced cybersecurity technologies;
c) Organize provision of training, development and employment of cybersecurity personnel
d) Enhance business environment, improve competitiveness and support for enterprises that research or produce cybersecurity products services and applications.
Article 29. Protection of children in cyberspace
1. Children have the right to be protected, access information, participate in social activities and entertainment, personal information confidentiality and other rights in cyberspace.
2. Administrators of information systems, TSPs, ISPs and VAS providers have the responsibility to make sure information on their systems or services are not harmful children and do not violate children’s rights; block and delete information harmful to children or violating children's rights; Promptly inform and cooperate with the cybersecurity force of the Ministry of Public Security whenever such information is detected.
3. Organizations and individuals operating in cyberspace shall cooperate with competent authorities I protecting children’s rights in cyberspace and prevent information harmful to children in accordance with this Law and children laws.
4. Organizations, parents, teachers, caretakers and relevant individuals have the responsibility to protect children’s rights and protect children in cyberspace in accordance with children laws.
5. Professional cybersecurity forces and other competent authorities shall implement every measure necessary for preventing, detecting, intervening harms to children or violations of children’s rights by means of cyberspace.