Tìm kiếm

Chương III Luật An toàn thông tin mạng 2015: Mật mã dân sự

Chương III
Mật mã dân sự
Điều 30. Sản phẩm, dịch vụ mật mã dân sự

1. Sản phẩm mật mã dân sự là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

2. Dịch vụ mật mã dân sự gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩm mật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân sự.

Điều 31. Kinh doanh sản phẩm, dịch vụ mật mã dân sự

1. Doanh nghiệp phải có Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự khi kinh doanh sản phẩm, dịch vụ mật mã dân sự thuộc Danh mục sản phẩm, dịch vụ mật mã dân sự.

2. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự khi đáp ứng đủ các điều kiện sau đây:

a) Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn về bảo mật, an toàn thông tin;

b) Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ mật mã dân sự;

c) Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;

d) Có phương án bảo mật và an toàn thông tin mạng trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dân sự;

đ) Có phương án kinh doanh phù hợp.

3. Sản phẩm mật mã dân sự phải được kiểm định, chứng nhận hợp quy trước khi lưu thông trên thị trường.

4. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự phải nộp phí theo quy định của pháp luật về phí và lệ phí.

5. Chính phủ ban hành Danh mục sản phẩm, dịch vụ mật mã dân sự và quy định chi tiết Điều này.

Điều 32. Trình tự, thủ tục đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự

1. Doanh nghiệp đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự nộp hồ sơ đề nghị cấp Giấy phép tại Ban Cơ yếu Chính phủ.

2. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự được lập thành hai bộ, gồm:

a) Đơn đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự;

b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trị tương đương;

c) Bản sao văn bằng hoặc chứng chỉ chuyên môn về bảo mật, an toàn thông tin của đội ngũ quản lý, điều hành, kỹ thuật;

d) Phương án kỹ thuật gồm tài liệu về đặc tính kỹ thuật, tham số kỹ thuật của sản phẩm; tiêu chuẩn, quy chuẩn kỹ thuật của sản phẩm; tiêu chuẩn, chất lượng dịch vụ; các biện pháp, giải pháp kỹ thuật; phương án bảo hành, bảo trì sản phẩm;

đ) Phương án bảo mật và an toàn thông tin mạng trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dân sự;

e) Phương án kinh doanh gồm phạm vi, đối tượng cung cấp, quy mô số lượng sản phẩm, dịch vụ hệ thống phục vụ khách hàng và bảo đảm kỹ thuật.

3. Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

4. Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự có thời hạn 10 năm.

Điều 33. Sửa đổi, bổ sung, cấp lại, gia hạn, tạm đình chỉ và thu hồi Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự

1. Việc sửa đổi, bổ sung Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự được thực hiện trong trường hợp doanh nghiệp đã được cấp Giấy phép thay đổi tên, thay đổi người đại diện theo pháp luật hoặc thay đổi, bổ sung sản phẩm, dịch vụ mật mã dân sự.

Doanh nghiệp có trách nhiệm nộp hồ sơ đề nghị sửa đổi, bổ sung Giấy phép tại Ban Cơ yếu Chính phủ. Hồ sơ được lập thành hai bộ, gồm:

a) Đơn đề nghị sửa đổi, bổ sung Giấy phép;

b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trị tương đương;

c) Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự đã được cấp;

d) Phương án kỹ thuật, phương án bảo mật và an toàn thông tin mạng, phương án kinh doanh đối với sản phẩm, dịch vụ bổ sung theo quy định tại các điểm d, đ và e khoản 2 Điều 32 của Luật này trong trường hợp doanh nghiệp đề nghị bổ sung sản phẩm, dịch vụ mật mã dân sự, ngành, nghề kinh doanh;

Trong thời hạn 10 ngày làm việc kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định, sửa đổi, bổ sung và cấp lại Giấy phép cho doanh nghiệp; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

2. Trường hợp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị cấp lại Giấy phép, trong đó nêu rõ lý do, tới Ban Cơ yếu Chính phủ. Trong thời hạn 05 ngày làm việc kể từ ngày nhận được đơn đề nghị, Ban Cơ yếu Chính phủ xem xét và cấp lại Giấy phép cho doanh nghiệp.

3. Doanh nghiệp không vi phạm các quy định của pháp luật về kinh doanh sản phẩm, dịch vụ mật mã dân sự được gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự một lần với thời gian gia hạn không quá 01 năm.

Hồ sơ đề nghị gia hạn Giấy phép phải được gửi tới Ban Cơ yếu Chính phủ chậm nhất là 60 ngày trước ngày Giấy phép hết hạn. Hồ sơ đề nghị gia hạn Giấy phép được lập thành hai bộ, gồm:

a) Đơn đề nghị gia hạn Giấy phép;

b) Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự đang có hiệu lực;

c) Báo cáo hoạt động của doanh nghiệp trong 02 năm gần nhất.

Trong thời hạn 20 ngày kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định, quyết định gia hạn và cấp lại Giấy phép cho doanh nghiệp; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

4. Doanh nghiệp bị tạm đình chỉ hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự có thời hạn không quá 06 tháng trong các trường hợp sau đây:

a) Cung cấp sản phẩm, dịch vụ không đúng với nội dung ghi trên Giấy phép;

b) Không đáp ứng được một trong các điều kiện quy định tại khoản 2 Điều 31 của Luật này;

c) Các trường hợp khác theo quy định của pháp luật.

5. Doanh nghiệp bị thu hồi Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự trong các trường hợp sau đây:

a) Không triển khai cung cấp dịch vụ trong thời hạn 01 năm kể từ ngày được cấp Giấy phép mà không có lý do chính đáng;

b) Giấy phép đã hết hạn;

c) Hết thời hạn tạm đình chỉ mà doanh nghiệp không khắc phục được các lý do quy định tại khoản 4 Điều này.

Điều 34. Xuất khẩu, nhập khẩu sản phẩm mật mã dân sự

1. Khi xuất khẩu, nhập khẩu sản phẩm mật mã dân sự thuộc Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép, doanh nghiệp phải có Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự do cơ quan nhà nước có thẩm quyền cấp.

2. Doanh nghiệp được cấp Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự khi đáp ứng đủ các điều kiện sau đây:

a) Có Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự;

b) Sản phẩm mật mã dân sự nhập khẩu phải được chứng nhận, công bố hợp quy theo quy định tại Điều 39 của Luật này;

c) Đối tượng và mục đích sử dụng sản phẩm mật mã dân sự không gây phương hại đến quốc phòng, an ninh quốc gia và trật tự, an toàn xã hội.

3. Hồ sơ đề nghị cấp Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự gồm:

a) Đơn đề nghị cấp Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự;

b) Bản sao Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự;

c) Bản sao Giấy chứng nhận hợp quy đối với sản phẩm mật mã dân sự nhập khẩu.

4. Trong thời hạn 10 ngày làm việc kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự cho doanh nghiệp; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

5. Chính phủ ban hành Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép và quy định chi tiết Điều này.

Điều 35. Trách nhiệm của doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự

1. Quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ của sản phẩm.

2. Lập, lưu giữ và bảo mật thông tin của khách hàng, tên, loại hình, số lượng và mục đích sử dụng của sản phẩm, dịch vụ mật mã dân sự.

3. Định kỳ hằng năm báo cáo Ban Cơ yếu Chính phủ về tình hình kinh doanh, xuất khẩu, nhập khẩu sản phẩm, dịch vụ mật mã dân sự và tổng hợp thông tin khách hàng trước ngày 31 tháng 12.

4. Có các biện pháp bảo đảm an ninh, an toàn trong vận chuyển và bảo quản sản phẩm mật mã dân sự.

5. Từ chối cung cấp sản phẩm, dịch vụ mật mã dân sự khi phát hiện tổ chức, cá nhân vi phạm pháp luật về sử dụng sản phẩm, dịch vụ mật mã dân sự, vi phạm cam kết đã thỏa thuận về sử dụng sản phẩm, dịch vụ do doanh nghiệp cung cấp.

6. Tạm ngừng hoặc ngừng cung cấp sản phẩm, dịch vụ mật mã dân sự để bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền.

7. Phối hợp, tạo điều kiện cho cơ quan nhà nước có thẩm quyền thực hiện các biện pháp nghiệp vụ khi có yêu cầu.

Điều 36. Trách nhiệm của tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân sự

1. Tuân thủ các quy định đã cam kết với doanh nghiệp cung cấp sản phẩm mật mã dân sự về quản lý sử dụng khóa mã, chuyển nhượng, sửa chữa, bảo dưỡng, bỏ, tiêu hủy sản phẩm mật mã dân sự và các nội dung khác có liên quan.

2. Cung cấp các thông tin cần thiết liên quan tới khóa mã cho cơ quan nhà nước có thẩm quyền khi có yêu cầu.

3. Phối hợp, tạo điều kiện cho cơ quan nhà nước có thẩm quyền thực hiện các biện pháp ngăn ngừa tội phạm đánh cắp thông tin, khóa mã và sử dụng sản phẩm mật mã dân sự vào những mục đích không hợp pháp.

4. Tổ chức, cá nhân sử dụng sản phẩm mật mã dân sự không do doanh nghiệp được cấp phép kinh doanh sản phẩm mật mã dân sự cung cấp phải khai báo với Ban Cơ yếu Chính phủ, trừ cơ quan đại diện ngoại giao, cơ quan lãnh sự của nước ngoài và cơ quan đại diện của tổ chức quốc tế liên Chính phủ tại Việt Nam.

Chapter III

CIVIL CRYPTOGRAPHY

Article 30. Civil cryptographic products and services

1. Civil cryptographic products include cryptographic documents and technical and professional equipment used to protect information not classified as state secret.

2. Civil cryptographic services include services of protection of information using civil cryptographic products; inspection and assessment of civil cryptographic products; and counseling on cyberinformation confidentiality and security using civil cryptographic products.

Article 31. Trading in civil cryptographic products and services

1. An enterprise that wishes to trade in civil cryptographic products and services on the list of civil cryptographic products and services shall obtain a license for doing so.

2. An enterprise shall be granted a license for trading in civil cryptographic products and services when fully meeting the following conditions:

a/ Having managerial, administration and technical staff members who meet professional requirements on information confidentiality and security;

b/ Having equipment and physical foundations suitable to the scale of provision of civil cryptographic products and services;

c/ Having a technical plan conformable with standards and technical regulations;

d/ Having a cyberinformation confidentiality and security plan in the course of management and provision of civil cryptographic products and services;

dd/ Having an appropriate business plan.

3. Civil cryptographic products shall be inspected and certified as conformable with regulations before being marketed.

4. To obtain a license for trading in civil cryptographic products and services, an enterprise shall pay a fee in accordance with the law on charges and fees.

5. The Government shall promulgate a list of civil cryptographic products and services and detail this Article.

Article 32. Order and procedures for grant of licenses for trading in civil cryptographic products and services

1. An enterprise applying for a license for trading in civil cryptographic products and services shall submit a dossier of application for a license at the Government Cipher Committee.

2. A dossier of application for a license for trading in civil cryptographic products and services shall be made in two sets, each comprising:

a/ An application for a license for trading in civil cryptographic products and services;

b/ A copy of the enterprise registration certificate, investment registration certificate or another paper of equivalent validity;

c/ Copies of information confidentiality and security diplomas or certificates of managerial, administration and technical staff members;

d/ A technical plan, consisting of papers on technical characteristics and specifications of products; standards or technical regulations of products; standards and quality of services; technical measures and solutions; and product waưanty and maintenance plan;

dd/ A cyberinformation confidentiality and security plan in the course of management and provision of civil cryptographic products and services;

e/ A business plan, indicating the scope of provision and recipients of products and services, scale and quantity of products and services, customer service networks, and technical assurance.

3. Within 30 days after receiving a complete dossier, the Government Cipher Committee shall appraise it and grant a license for trading in civil cryptographic products and services; if refusing to grant a license, it shall issue a written notice clearly stating the reason.

4. A license for trading in civil cryptographic products and services shall be valid for 10 years.

Article 33. Modification, supplementation, re-grant, extension, suspension and revocation of licenses for trading in civil cryptographic products and services

1. A license for trading in civil cryptographic products and services shall be modified and supplemented in case the enterprise possessing this license is renamed, replaces its at-law representative, or changes or adds civil cryptographic products and services.

An enterprise shall submit a dossier for license modification and supplementation at the Government Cipher Committee. Such dossier shall be made in two sets, each comprising:

a/ A written request for license modification and supplementation;

b/ A copy of the enterprise registration certificate, investment registration certificate or another paper of equivalent validity;

c/ The granted license for trading in civil cryptographic products and services;

d/ A technical plan, a cyberinformation confidentiality and security plan, and a business plan for products and services to be added as specified at Points d, dd and e, Clause 2, Article 32 of this Law, in case the enterprise wishes to add civil cryptographic products and services or business lines;

Within 10 working days after receiving a complete dossier, the Government Cipher Committee shall appraise it, modify and supplement the license and re-grant a license to the enterprise; if refusing to re-grant a license, it shall issue a written notice clearly stating the reason.

2. If its license for trading in civil cryptographic products and services is lost or damaged, an enterprise shall send a written request for re-grant,’ clearly stating the reason, to the Government Cipher Committee. Within 5 working days after receiving the request, the Government Cipher Committee shall consider it and re-grant a license to the enterprise.

3. An enterprise that does not violate the law on trading in civil cryptographic products and services may have its license for trading in civil cryptographic products and services extended once for no more than one year.

A dossier for license extension shall be sent to the Government Cipher Committee at least 60 days before the license expires, and shall be made in two sets, each comprising:

a/ A written request for license extension;

b/ The license for trading in civil cryptographic products and services which remains valid;

c/ A report on the enterprise’s operation over the latest 2 years.

Within 20 days after receiving a complete dossier, the Government Cipher Committee shall appraise it, decide to extend the license and re-grant a license to the enterprises; if refusing to re-grant a license, it shall issue a written notice clearly stating the reason.

4. An enterprise shall be suspended from trading in civil cryptographic products and services for up to 6 months in the following cases:

a/ It provides products and services not stated in the license;

b/ It fails to satisfy one of the conditions specified in Clause 2, Article 31 of this Law;

c/ Other cases provided for by law.

5. An enterprise will have its license for trading in civil cryptographic products and services revoked in the following cases:

a/ It fails to provide the services within one year after being granted the license without a plausible reason;

b/ The license expires;

c/ It is unable to remedy the problems mentioned in Clause 4 of this Article after the suspension period expires.

Article 34. Export and import of civil cryptographic products

1. If wishing to export and import civil cryptographic products on the list of civil cryptographic products subject to export and import permit, an enterprise must obtain a permit for export and import of civil cryptographic products from a competent state agency.

2. An enterprise shall be granted a permit for export and import of civil cryptographic products when fully meeting the following conditions:

a/ Possessing a license for trading in civil cryptographic products and services;

b/ Having to-be-imported civil cryptographic products certified and announced as conformable with regulations under Article 39 of this Law;

c/ Ensuring that users and use purposes of civil cryptographic products do not harm national defense and security or social order ad safety.

3. A dossier of application for a permit for export and import of civil cryptographic products must comprise:

a/ An application for a permit for export and import of civil cryptographic products;

b/ A copy of the license for trading in civil cryptographic products and services;

c/ A copy of the regulation conformity certificate, for civil cryptographic products to be imported.

4. Within 10 working days after receiving a complete dossier, the Government Cipher Committee shall appraise it and grant a permit for export and import of civil cryptographic products to the enterprise; if refusing to grant a license, it shall issue a written notice clearly stating the reason.

5. The Government shall promulgate a list of civil cryptographic products subject to export and import permit and detail this Article.

Article 35. Responsibilities of enterprises trading in civil cryptographic products and services

1. To manage dossiers and documents on technical solutions and technologies of the products.

2. To establish, store and secure customer information, and names, types, quantities and use purposes of civil cryptographic products and services.

3. To report to the Government Cipher Committee on the trading in and export and import of civil cryptographic products and services and summarize customer information before December 31 every year.

4. To take measures to ensure secure and safe transportation and preservation of civil cryptographic products.

5. To refuse to provide civil cryptographic products and services when detecting their users’ violations of the law on use of civil cryptographic products and services or violations of agreed commitments on use of the products and services provided by the enterprises.

6. To suspend or stop providing civil cryptographic products and services in order to ensure national defense and security and social order and safety at the request of competent state agencies.

7. To coordinate with and create conditions for competent state agencies to take professional measures upon request.

Article 36. Responsibilities of users of civil cryptographic products and services

1. To comply with the commitments with enterprises providing civil cryptographic products and services regarding the use management of cryptographic keys, transfer, repair, maintenance, abandonment and destruction of civil cryptography products, and other relevant contents.

2. To provide necessary information relating to cryptographic keys for competent state agencies upon request.

3. To coordinate with and create conditions for competent state agencies to take measures to prevent crimes of stealing information or cryptographic keys and using civil cryptographic products for illegal purposes.

4. Except for diplomatic representative missions, foreign consular offices and representative missions of inter-governmental international organizations in Vietnam, organizations and individuals that use civil cryptographic products provided by those other than enterprises licensed to trade in civil cryptographic products shall declare such to the Government Cipher Committee.

1 40 lượt xem
Trang trước
Chia sẻ
Trang sau