Chương V Luật An toàn thông tin mạng 2015: Kinh doanh trong lĩnh vực an toàn thông tin mạng
Số hiệu: | 86/2015/QH13 | Loại văn bản: | Luật |
Nơi ban hành: | Quốc hội | Người ký: | Nguyễn Sinh Hùng |
Ngày ban hành: | 19/11/2015 | Ngày hiệu lực: | 01/07/2016 |
Ngày công báo: | 28/12/2015 | Số công báo: | Từ số 1239 đến số 1240 |
Lĩnh vực: | Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Luật an toàn thông tin mạng 2015 với nhiều quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng;... vừa được ban hành ngày 19/11/2015.
Luật an toàn thông tin mạng năm 2015 gồm 8 Chương, 54 Điều, được tổ chức theo các Chương sau:
- Những quy định chung
- Bảo đảm an toàn thông tin mạng
- Mật mã dân sự
- Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng
- Kinh doanh trong lĩnh vực an toàn thông tin mạng
- Phát triển nguồn nhân lực an toàn thông tin mạng
- Quản lý nhà nước về an toàn thông tin mạng
- Điều khoản thi hành
Luật 86/2015/QH13 có những điểm nổi bật sau:
- Điều 10 Luật an toàn thông tin 2015 quy định việc quản lý gửi thông tin
+ Việc gửi thông tin trên mạng phải bảo đảm các yêu cầu sau: Không giả mạo nguồn gốc gửi thông tin; Tuân thủ Luật ATTT mạng 2015 và quy định liên quan.
+ Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin.
- Sản phẩm, dịch vụ mật mã dân sự tại Điều 30 Luật số 86/2015/QH13
+ Sản phẩm mật mã dân sự là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.
+ Dịch vụ mật mã dân sự gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩm mật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân sự.
- Điều 37 Luật ATTT 2015 về tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng
+ Tiêu chuẩn an toàn thông tin mạng gồm tiêu chuẩn quốc tế, tiêu chuẩn khu vực, tiêu chuẩn nước ngoài, tiêu chuẩn quốc gia và tiêu chuẩn cơ sở đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng được công bố, thừa nhận áp dụng tại Việt Nam.
+ Quy chuẩn kỹ thuật an toàn thông tin mạng gồm quy chuẩn kỹ thuật quốc gia và quy chuẩn kỹ thuật địa phương đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng được xây dựng, ban hành và áp dụng tại Việt Nam.
- Quy định việc kinh doanh trong lĩnh vực an toàn thông tin mạng tại Điều 40 Luật an toàn thông tin mạng năm 2015
+ Kinh doanh trong lĩnh vực an toàn thông tin mạng là ngành, nghề kinh doanh có điều kiện. Kinh doanh trong lĩnh vực an toàn thông tin mạng gồm kinh doanh sản phẩm an toàn thông tin mạng và kinh doanh dịch vụ an toàn thông tin mạng.
+ Doanh nghiệp kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Điều 41 Luật 86 năm 2015 phải có Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng. Thời hạn của Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng là 10 năm.
Luật an toàn thông tin mạng 2015 có hiệu lực từ ngày 01/07/2016.
Văn bản tiếng việt
Văn bản tiếng anh
1. Kinh doanh trong lĩnh vực an toàn thông tin mạng là ngành, nghề kinh doanh có điều kiện. Kinh doanh trong lĩnh vực an toàn thông tin mạng gồm kinh doanh sản phẩm an toàn thông tin mạng và kinh doanh dịch vụ an toàn thông tin mạng.
2. Doanh nghiệp kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Điều 41 của Luật này phải có Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng do cơ quan nhà nước có thẩm quyền cấp. Thời hạn của Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng là 10 năm.
3. Việc kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan.
Điều kiện kinh doanh, trình tự thủ tục cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự, việc xuất khẩu, nhập khẩu sản phẩm mật mã dân sự, trách nhiệm của doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự và việc sử dụng sản phẩm, dịch vụ mật mã dân sự thực hiện theo quy định tại Chương III của Luật này.
Điều kiện kinh doanh, trình tự, thủ tục cấp Giấy phép kinh doanh dịch vụ chứng thực chữ ký điện tử thực hiện theo quy định của pháp luật về giao dịch điện tử.
1. Dịch vụ an toàn thông tin mạng gồm:
a) Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng;
b) Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự;
c) Dịch vụ mật mã dân sự;
d) Dịch vụ chứng thực chữ ký điện tử;
đ) Dịch vụ tư vấn an toàn thông tin mạng;
e) Dịch vụ giám sát an toàn thông tin mạng;
g) Dịch vụ ứng cứu sự cố an toàn thông tin mạng;
h) Dịch vụ khôi phục dữ liệu;
i) Dịch vụ phòng ngừa, chống tấn công mạng;
k) Dịch vụ an toàn thông tin mạng khác.
2. Sản phẩm an toàn thông tin mạng gồm:
a) Sản phẩm mật mã dân sự;
b) Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng;
c) Sản phẩm giám sát an toàn thông tin mạng;
d) Sản phẩm chống tấn công, xâm nhập;
đ) Sản phẩm an toàn thông tin mạng khác.
3. Chính phủ quy định chi tiết danh mục sản phẩm, dịch vụ an toàn thông tin mạng quy định tại điểm k khoản 1 và điểm đ khoản 2 Điều này.
1. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trừ sản phẩm, dịch vụ quy định tại các điểm a, b, c, d khoản 1 và điểm a khoản 2 Điều 41 của Luật này, khi đáp ứng đủ các điều kiện sau đây:
a) Phù hợp với chiến lược, quy hoạch, kế hoạch phát triển an toàn thông tin mạng quốc gia;
b) Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ an toàn thông tin mạng;
c) Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng được yêu cầu chuyên môn về an toàn thông tin;
d) Có phương án kinh doanh phù hợp.
2. Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ kiểm tra, đánh giá an toàn thông tin mạng khi đáp ứng đủ các điều kiện sau đây:
a) Các điều kiện quy định tại khoản 1 Điều này;
b) Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam, trừ doanh nghiệp có vốn đầu tư nước ngoài;
c) Người đại diện theo pháp luật, đội ngũ quản lý, điều hành, kỹ thuật là công dân Việt Nam thường trú tại Việt Nam;
d) Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;
đ) Có phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ;
e) Đội ngũ quản lý, điều hành, kỹ thuật có văn bằng hoặc chứng chỉ chuyên môn về kiểm tra, đánh giá an toàn thông tin.
3. Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ bảo mật thông tin không sử dụng mật mã dân sự khi đáp ứng đủ các điều kiện sau đây:
a) Các điều kiện quy định tại các điểm a, b, c, d và đ khoản 2 Điều này;
b) Đội ngũ quản lý điều hành, kỹ thuật có văn bằng hoặc chứng chỉ chuyên môn về bảo mật thông tin.
4. Chính phủ quy định chi tiết Điều này.
1. Doanh nghiệp đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng nộp hồ sơ đề nghị cấp Giấy phép tại Bộ Thông tin và Truyền thông.
2. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng được lập thành năm bộ, gồm:
a) Đơn đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trong đó nêu rõ loại hình sản phẩm, dịch vụ an toàn thông tin mạng sẽ kinh doanh;
b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp, Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trị tương đương;
c) Bản thuyết minh hệ thống thiết bị kỹ thuật bảo đảm phù hợp với quy định của pháp luật;
d) Phương án kinh doanh gồm phạm vi, đối tượng cung cấp sản phẩm, dịch vụ, tiêu chuẩn, chất lượng sản phẩm, dịch vụ;
đ) Bản sao văn bằng hoặc chứng chỉ chuyên môn về an toàn thông tin của đội ngũ quản lý, điều hành, kỹ thuật.
3. Ngoài giấy tờ, tài liệu quy định tại khoản 2 Điều này, hồ sơ đề nghị cấp Giấy phép kinh doanh dịch vụ kiểm tra, đánh giá an toàn thông tin hoặc dịch vụ bảo mật thông tin không sử dụng mật mã dân sự còn phải có:
a) Phiếu lý lịch tư pháp của người đại diện theo pháp luật và đội ngũ quản lý, điều hành, kỹ thuật;
b) Phương án kỹ thuật;
c) Phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ.
1. Trong thời hạn 40 ngày kể từ ngày nhận đủ hồ sơ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với bộ, ngành có liên quan thẩm định và cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trừ kinh doanh sản phẩm, dịch vụ quy định tại điểm c, điểm d khoản 1 và điểm a khoản 2 Điều 41 của Luật này; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.
2. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng có nội dung chính sau đây:
a) Tên doanh nghiệp, tên giao dịch của doanh nghiệp bằng tiếng Việt và tiếng nước ngoài (nếu có); địa chỉ trụ sở chính tại Việt Nam;
b) Tên của người đại diện theo pháp luật;
c) Số giấy phép, ngày cấp giấy phép, ngày hết hạn giấy phép;
d) Sản phẩm, dịch vụ an toàn thông tin mạng được phép kinh doanh.
3. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải nộp phí theo quy định của pháp luật về phí và lệ phí.
1. Việc sửa đổi, bổ sung Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng được thực hiện trong trường hợp doanh nghiệp đã được cấp Giấy phép thay đổi tên, thay đổi người đại diện theo pháp luật hoặc thay đổi, bổ sung sản phẩm, dịch vụ an toàn thông tin mạng mà mình cung cấp.
Doanh nghiệp có trách nhiệm nộp hồ sơ đề nghị sửa đổi, bổ sung nội dung Giấy phép tại Bộ Thông tin và Truyền thông. Hồ sơ được lập thành hai bộ, gồm đơn đề nghị sửa đổi, bổ sung nội dung Giấy phép, báo cáo mô tả chi tiết nội dung đề nghị sửa đổi, bổ sung và các tài liệu khác có liên quan.
Trong thời hạn 10 ngày làm việc kể từ ngày nhận đủ hồ sơ, Bộ Thông tin và Truyền thông thẩm định, sửa đổi, bổ sung và cấp lại Giấy phép cho doanh nghiệp; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.
2. Trường hợp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị cấp lại Giấy phép, trong đó nêu rõ lý do, tới Bộ Thông tin và Truyền thông. Trong thời hạn 05 ngày làm việc kể từ ngày nhận được đơn đề nghị, Bộ Thông tin và Truyền thông xem xét và cấp lại Giấy phép cho doanh nghiệp.
3. Doanh nghiệp không vi phạm quy định của pháp luật về kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng được gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng một lần với thời gian gia hạn không quá 01 năm. Hồ sơ đề nghị gia hạn Giấy phép phải được gửi tới Bộ Thông tin và Truyền thông chậm nhất là 60 ngày trước ngày Giấy phép hết hạn. Hồ sơ đề nghị gia hạn Giấy phép được lập thành hai bộ, gồm:
a) Đơn đề nghị gia hạn Giấy phép;
b) Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng đang có hiệu lực;
c) Báo cáo hoạt động của doanh nghiệp trong 02 năm gần nhất.
Trong thời hạn 20 ngày kể từ ngày nhận đủ hồ sơ, Bộ Thông tin và Truyền thông thẩm định, quyết định gia hạn và cấp lại Giấy phép cho doanh nghiệp; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.
4. Doanh nghiệp bị tạm đình chỉ hoạt động kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng có thời hạn không quá 06 tháng trong các trường hợp sau đây:
a) Cung cấp dịch vụ không đúng với nội dung ghi trên Giấy phép;
b) Không đáp ứng được một trong các điều kiện quy định tại Điều 42 của Luật này;
c) Các trường hợp khác theo quy định của pháp luật.
5. Doanh nghiệp bị thu hồi Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng trong các trường hợp sau đây:
a) Không triển khai cung cấp dịch vụ trong thời hạn 01 năm kể từ ngày được cấp Giấy phép mà không có lý do chính đáng;
b) Giấy phép đã hết hạn;
c) Hết thời hạn tạm đình chỉ mà doanh nghiệp không khắc phục được các lý do quy định tại khoản 4 Điều này.
1. Quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ của sản phẩm.
2. Lập, lưu giữ và bảo mật thông tin của khách hàng.
3. Định kỳ hằng năm báo cáo Bộ Thông tin và Truyền thông về tình hình kinh doanh, xuất khẩu, nhập khẩu sản phẩm, dịch vụ an toàn thông tin mạng trước ngày 31 tháng 12.
4. Từ chối cung cấp sản phẩm, dịch vụ an toàn thông tin mạng khi phát hiện tổ chức, cá nhân vi phạm pháp luật về sử dụng sản phẩm, dịch vụ an toàn thông tin mạng, vi phạm cam kết đã thỏa thuận về sử dụng sản phẩm, dịch vụ do doanh nghiệp cung cấp.
5. Tạm ngừng hoặc ngừng cung cấp sản phẩm, dịch vụ an toàn thông tin mạng để bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền.
6. Phối hợp, tạo điều kiện cho cơ quan nhà nước có thẩm quyền thực hiện các biện pháp nghiệp vụ khi có yêu cầu.
1. Việc quản lý nhập khẩu đối với sản phẩm an toàn thông tin mạng được thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan.
2. Việc nhập khẩu sản phẩm an toàn thông tin mạng của cơ quan, tổ chức, cá nhân được hưởng quyền ưu đãi, miễn trừ ngoại giao thực hiện theo quy định của pháp luật về hải quan, pháp luật về ưu đãi, miễn trừ dành cho cơ quan đại diện ngoại giao, cơ quan lãnh sự của nước ngoài và cơ quan đại diện của tổ chức quốc tế liên Chính phủ tại Việt Nam.
3. Trong trường hợp Việt Nam chưa có quy chuẩn kỹ thuật an toàn thông tin mạng tương ứng đối với sản phẩm an toàn thông tin mạng nhập khẩu thì áp dụng theo thỏa thuận quốc tế, điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.
1. Khi nhập khẩu sản phẩm an toàn thông tin mạng thuộc Danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép do Chính phủ quy định, doanh nghiệp phải có Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng do cơ quan nhà nước có thẩm quyền cấp.
2. Tổ chức, doanh nghiệp nhập khẩu sản phẩm an toàn thông tin mạng phải thực hiện chứng nhận, công bố hợp quy trước khi nhập khẩu theo quy định tại Điều 39 của Luật này.
3. Tổ chức, doanh nghiệp được cấp Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng khi đáp ứng đủ các điều kiện sau đây:
a) Có Giấy phép kinh doanh sản phẩm an toàn thông tin mạng;
b) Sản phẩm an toàn thông tin mạng phải thực hiện chứng nhận, công bố hợp quy theo quy định tại Điều 39 của Luật này;
c) Đối tượng và mục đích sử dụng sản phẩm an toàn thông tin mạng không gây phương hại đến quốc phòng, an ninh quốc gia và trật tự, an toàn xã hội.
4. Bộ Thông tin và Truyền thông quy định chi tiết về trình tự, thủ tục, hồ sơ cấp Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng theo giấy phép.
TRADING IN THE FIELD OF CYBERINFORMATION SECURITY
Section 1. GRANT OF LICENSES FOR TRADING IN CYBERINFORMATION SECURITY PRODUCTS AND SERVICES
Article 40. Trading in the field of cyberinformation security
1. Trading in the field of cyberinformation security is conditional and covers trading in cyberinformation security products and provision of cyberinformation security services.
2. To trade in cyberinformation security products and services specified in Article 41 of this Law, an enterprise must obtain a license for trading in cyberinformation security products and services from a competent state agency. Such a license shall be valid for 10 years.
3. Trading in cyberinformation security products and services must comply with this Law and other relevant laws.
Conditions and the order and procedures for grant of licenses for trading in civil cryptography products and services, export and import of civil cryptography products, responsibilities of enterprises trading in civil cryptography products and services, and use of civil cryptographic products and services must comply with Chapter III of this Law.
Conditions and the order and procedures for grant of licenses for provision of e-signature certification services must comply with the law on e-transactions.
Article 41. Cyberinformation security products and services
1. Cyberinformation security services include:
a/ Cyberinformation security testing and evaluation services;
b/ Information confidentiality services without using civil cryptography;
c/ Civil cryptographic services;
d/ E-signature certification services;
dd/ Cyberinformation security counseling services;
e/ Cyberinformation security supervision services;
g/ Cyberinformation security incident response services;
h/ Data recovery services;
i/ Cyber-attack prevention and combat services;
k/ Other cyberinformation security services.
2. Cyberinformation security products include:
a/ Civil cryptographic products;
b/ Cyberinformation security testing and evaluation products;
c/ Cyberinformation security supervision products;
d/ Attack and hacking combat products;
dd/ Other cyberinformation security products.
3. The Government shall issue detailed lists of cyberinformation security products and services mentioned at Point k, Clause 1, and Point dd, Clause 2, of this Article.
Article 42. Conditions for grant of licenses for trading in cyberinformation security products and services
1. An enterprise shall be granted a license for trading in cyberinformation security products and services, except those mentioned at Points a, b, c and d, Clause 1, and Point a, Clause 2, Article 41 of this Law, when fully meeting the following conditions:
a/ Such trading complies with the national strategy, master plan or plan on cyberinformation security development;
b/ It has equipment and physical foundations suitable to the scale of provision of cyberinformation security products and services;
c/ It has managerial, administration and technical staff members meeting professional requirements on information security; d/ It has a suitable business plan.
2. An enterprise shall be granted a license for provision of cyberinformation security testing and evaluation services when fully meeting the following conditions:
a/ The conditions specified in Clause 1 of this Article;
b/ It is established and operates lawfully in the Vietnamese territory, except foreign- invested enterprises;
c/ Its at-law representative and managerial, administration and technical staff members are Vietnamese citizens permanently residing in Vietnam;
d/ It has a technical plan conformable with relevant standards or technical regulations;
dd/ It has a customer information confidentiality plan in the course of service provision;
e/ Its managerial, administration and technical staff members possess information security testing and evaluation diplomas or certificates.
3. An enterprise shall be granted a license for provision of information confidentiality services without using civil cryptography when fully meeting the following conditions:
a/ The conditions specified at Points a, b, c, d and dd, Clause 2 of this Article;
b/ Its managerial, administration and technical staff members possess information confidentiality diplomas or certificates.
4. The Government shall detail this Article.
Article 43. Dossiers of application for licenses for ứading in cyberinformation security products and services
1. An enterprise that applies for a license for trading in cyberinformation security products and services shall submit a dossier of application at the Ministry of Information and Communications.
2. A dossier of application for a license for trading in cyberinformation security products and services shall be made in five sets, each comprising:
a/ An application for a license for trading in cyberinformation security products and services, specifying types of cyberinformation security products and services to be traded;
b/ A copy of the enterprise registration certificate, investment registration certificate or another paper of equivalent validity;
c/ A written explanation of the technical equipment system compliant with law;
d/ A business plan specifying the provision scope, users and standards and quality of products and services,
dd/ Copies of information security diplomas or certificates of managerial, administration and technical staff members.
3. In addition to the papers and documents mentioned in Clause 2 of this Article, a dossier of application for a license for provision of information security testing and evaluation services or information confidentiality services without using civil cryptography must comprise:
a/ Judicial record cards of the enterprise’s at-law representative and managerial, administration and technical staff members;
b/ A technical plan;
c/ A customer information confidentiality plan in the course of service provision.
Article 44. Appraisal of dossiers and grant of licenses for trading in cyberinformation security products and services
1. Within 40 days after receiving a complete dossier, the Ministry of Information and Communications shall assume the prime responsibility for, and coordinate with related ministries and sectors in, appraising the dossier, and grant a license for trading in cyberinformation security products and services, except products and services mentioned at Points c and d, Clause 1, and Point a, Clause 2, Article 41 of this Law; if refusing to grant a license, it shall issue a written notice clearly stating the reason.
2. A license for trading in cyberinformation security products and services must have the following principal contents:
a/ Name of the enterprise and its transaction name in Vietnamese and a foreign language (if any); and its head office address in Vietnam;
b/ Name of the enterprise’s at-law representative;
c/ Serial number, date of grant and expiry date of the license;
d/ Cyberinformation security products and services licensed for trading.
3. An enterprise that is granted a license for trading in cyberinformation security products and services shall pay a fee in accordance with the law on charges and fees.
Article 45. Modification, supplementation, extension, suspension, revocation and re-grant of licenses for trading in cyberinformation security products and services
1. A license for trading in cyberinformation security products and services shall be modified and supplemented in case the enterprise possessing this license is renamed or replaces its at-law representative, or changes or adds cyberinformation security products and services it provides.
The enterprise shall submit a dossier for license modification and supplementation at the Ministry of Information and Communications. Such dossier shall be made in two sets, each comprising a written request for license modification and supplementation, a detailed description of contents to be modified and supplemented, and other relevant papers.
Within 10 working days after receiving a complete dossier, the Ministry of Information and Communications shall appraise it, modify and supplement the license, and re-grant a license to the enterprise; if refusing to re-grant a license, it shall issue a written notice clearly stating the reason.
2. If its license for trading in cyberinformation security products and services is lost or damaged, an enterprise shall send a written request for re-grant, clearly stating the reason, to the Ministry of Information and Communications. Within 5 working days after receiving the request, the Ministry of Information and Communications shall consider it and re-grant a license to the enterprise.
3. An enterprise that does not violate the law on trading in cyberinformation security products and services may have its license for trading in cyberinformation security products and services extended once for no more than one year. A dossier for license extension shall be sent to the Ministry of Information and Communications at least 60 days before the license expires, and made in two sets, each comprising:
a/ A written request for license extension;
b/ The license for trading in cyberinformation security products and services which remains valid;
c/ A report on the enterprise’s operation over the latest 2 years.
Within 20 days after receiving a complete dossier, the Ministry of Information and Communications shall appraise it, decide on license extension, and re-grant a license to the enterprise; if refusing to re-grant the license, it shall issue a written notice clearly stating the reason.
4. An enterprise shall be suspended from trading in cyberinformation security products and services for up to 6 months in the following cases:
a/ It provides services not stated in the license;
b/ It fails to satisfy one of the conditions mentioned in Article 42 of this Law;
c/ Other cases prescribed by law.
5. An enterprise will have its license for trading in cyberinformation security products and services revoked in the following cases:
a/ It fails to provide services within one year after being granted the license without a plausible reason;
b/ The license expires;
c/ It fails to remedy the problems mentioned in Clause 4 of this Article after the suspension period expires.
Article 46. Responsibilities of enterprises trading in cyberinformation security products and services
1. To manage dossiers and documents on technical solutions and technologies of products.
2. To establish, store and secure customer information.
3. To report to the Ministry of Information and Communications on the trading in and export and import of cyberinformation security products and services before December 31 every year.
4. To refuse to provide cyberinformation security products and services when detecting organizations’ or individuals’ violations of the law on use of cyberinformation security products and services or violations of agreed commitments on use of products and services provided by the enterprises.
5. To suspend or stop providing cyberinformation security products and services in order to ensure national defense and security and social order and safety at the request of competent state agencies.
6. To coordinate with and create conditions for competent state agencies to take professional measures upon request.
Section 2. MANAGEMENT OF IMPORT OF CYBERINFORMATION SECURITY PRODUCTS
Article 47. Principles of management of import of cyberinformation security products
1. The import of cyber information security products shall be managed in accordance with this Law and other relevant laws.
2. The import of cyberinformation security products by agencies, organizations and individuals entitled to diplomatic privileges and immunities must comply with the customs law and the law on privileges and immunities for diplomatic representative missions, foreign consular offices and representative missions of inter-governmental international organizations in Vietnam.
3. In case Vietnam has no relevant technical regulations on cyberinformation security for imported cyberinformation security products, international agreements or treaties to which the Socialist Republic of Vietnam is a contracting party shall apply.
Article 48. Cyberinformation security products subject to import permit
1. To import cyberinformation security products on the Government-prescribed list of cyberinformation security products subject to import permit, an enterprise shall obtain a permit for import of cyberinformation security products from a competent state agency.
2. Before importing cyberinformation security products, organizations and enterprises must have them certified and announced as conformable with regulations under Article 39 of this Law.
3. An organization or enterprise shall be grantèd a permit for import of cyberinformation security products when fully meeting the following conditions:
a/ Possessing a license for trading in cyberinformation security products;
b/ Having cyberinformation security products certified and announced as confonnable with regulations under Article 39 of this Law;
c/ Ensuring that users and use purposes of cyberinformation security products do not harm national defense and security or social order and safety.
4. The Ministry of Information and Communications shall prescribe in detail the order, procedures and dossier for grant of a permit for import of cyberinformation security products.
Văn bản liên quan
Cập nhật
Mục 1. CẤP GIẤY PHÉP KINH DOANH SẢN PHẨM, DỊCH VỤ AN TOÀN THÔNG TIN MẠNG
Điều 41. Sản phẩm, dịch vụ trong lĩnh vực an toàn thông tin mạng
Điều 42. Điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Điều 44. Thẩm định hồ sơ và cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng