Tìm kiếm
Chương III Nghị định 53/2022/NĐ-CP: Trình tự, thủ tục áp dụng một số biện pháp bảo vệ an ninh mạng
| Số hiệu: | 53/2022/NĐ-CP | Loại văn bản: | Nghị định |
| Nơi ban hành: | Chính phủ | Người ký: | Vũ Đức Đam |
| Ngày ban hành: | 15/08/2022 | Ngày hiệu lực: | 01/10/2022 |
| Ngày công báo: | 08/05/2023 | Số công báo: | Từ số 691 đến số 692 |
| Lĩnh vực: | Công nghệ thông tin, Văn hóa - Xã hội | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Ngày 15/8/2022, Chính phủ ban hành Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng.
Theo đó, doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải thực hiện lưu trữ những dữ liệu sau tại Việt Nam (hình thức lưu trữ sẽ do doanh nghiệp quyết định):
- Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;
- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu;
- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng dịch vụ kết nối hoặc tương tác.
Thời gian lưu trữ dữ liệu bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu đến khi kết thúc yêu cầu; thời gian lưu trữ tối thiểu là 24 tháng.
Theo quy định tại khoản 3 Điều 26 Luật An ninh mạng 2018 thì các doanh nghiệp nêu trên khi có các hoạt động sau phải thực hiện lưu trữ dữ liệu theo quy định:
- Thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân;
- Dữ liệu về mối quan hệ của người sử dụng dịch vụ;
- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra.
Nghị định 53/2022/NĐ-CP có hiệu lực thi hành từ ngày 01/10/2022.
Văn bản tiếng việt
Nghị định 53/2022/NĐ-CP (Bản Word)
Nghị định 53/2022/NĐ-CP (Bản Pdf)
Văn bản tiếng anh
1. Thẩm định an ninh mạng đối với hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện theo quy định.
2. Trình tự thực hiện thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
a) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia nộp hồ sơ đề nghị thẩm định an ninh mạng cho lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền;
b) Lực lượng chuyên trách bảo vệ an ninh mạng tiếp nhận, kiểm tra, hướng dẫn hoàn thiện hồ sơ đề nghị thẩm định an ninh mạng và cấp giấy tiếp nhận ngay sau khi nhận đủ hồ sơ hợp lệ trong thời gian 03 ngày làm việc;
c) Lực lượng chuyên trách bảo vệ an ninh mạng tiến hành thẩm định an ninh mạng theo nội dung quy định tại khoản 3 Điều 11 Luật An ninh mạng và thông báo kết quả trong thời hạn 30 ngày, kể từ ngày cấp giấy tiếp nhận hồ sơ cho chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
3. Hồ sơ đề nghị thẩm định đối với hệ thống thông tin quan trọng về an ninh quốc gia, bao gồm:
a) Văn bản đề nghị thẩm định an ninh mạng (Mẫu số 06 Phụ lục);
b) Báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công dự án đầu tư xây dựng hệ thống thông tin trước khi phê duyệt;
c) Đề án nâng cấp hệ thống thông tin trước khi phê duyệt trong trường hợp nâng cấp hệ thống thông tin quan trọng về an ninh quốc gia.
4. Trường hợp cần xác định sự phù hợp giữa hiện trạng của hệ thống thông tin quan trọng về an ninh quốc gia và hồ sơ đề nghị thẩm định, lực lượng chuyên trách bảo vệ an ninh mạng tiến hành khảo sát, đánh giá hiện trạng thực tế của hệ thống thông tin quan trọng về an ninh quốc gia để đối chiếu với hồ sơ đề nghị thẩm định. Việc khảo sát, đánh giá thực tế bảo đảm không gây ảnh hưởng tới hoạt động bình thường của chủ quản cũng như hệ thống thông tin quan trọng về an ninh quốc gia. Thời gian khảo sát, đánh giá thực tế không quá 07 ngày làm việc.
5. Kết quả thẩm định an ninh mạng được bảo vệ theo quy định của pháp luật.
1. Đánh giá điều kiện an ninh mạng đối với hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện theo quy định.
2. Trình tự đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia:
a) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia nộp hồ sơ đề nghị đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia cho lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền đánh giá điều kiện an ninh mạng theo quy định tại khoản 3 Điều 12 Luật An ninh mạng;
b) Lực lượng chuyên trách bảo vệ an ninh mạng tiếp nhận, kiểm tra, hướng dẫn hoàn thiện hồ sơ đề nghị đánh giá điều kiện an ninh mạng và cấp giấy tiếp nhận ngay sau khi nhận đủ hồ sơ hợp lệ;
c) Sau khi tiếp nhận đủ hồ sơ hợp lệ, lực lượng chuyên trách bảo vệ an ninh mạng tiến hành đánh giá điều kiện an ninh mạng và thông báo kết quả trong thời hạn 30 ngày, kể từ ngày cấp giấy tiếp nhận đủ hồ sơ hợp lệ của chủ quản hệ thống thông tin quan trọng về an ninh quốc gia;
d) Trường hợp đủ điều kiện an ninh mạng, Thủ trưởng cơ quan đánh giá điều kiện an ninh mạng cấp Giấy chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia trong vòng 03 ngày làm việc kể từ khi kết thúc đánh giá điều kiện an ninh mạng.
3. Hồ sơ đề nghị chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:
a) Văn bản đề nghị chứng nhận điều kiện an ninh mạng (Mẫu số 07 Phụ lục);
b) Báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công dự án đầu tư xây dựng hệ thống thông tin trước khi phê duyệt;
c) Hồ sơ giải pháp bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
4. Trường hợp không bảo đảm điều kiện an ninh mạng, lực lượng chuyên trách bảo vệ an ninh mạng yêu cầu chủ quản hệ thống thông tin quan trọng về an ninh quốc gia bổ sung, nâng cấp hệ thống thông tin quan trọng về an ninh quốc gia đê bảo đảm đủ điều kiện.
1. Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an, Bộ Tư lệnh Tác chiến Không gian mạng thuộc Bộ Quốc phòng có trách nhiệm thực hiện giám sát an ninh mạng đối với không gian mạng quốc gia, hệ thống thông tin quan trọng về an ninh quốc gia theo chức năng, nhiệm vụ được giao. Ban Cơ yếu Chính phủ thực hiện giám sát an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ theo chức năng, nhiệm vụ được giao.
2. Trình tự giám sát an ninh mạng của lực lượng chuyên trách bảo vệ an ninh mạng:
a) Gửi thông báo bằng văn bản yêu cầu triển khai biện pháp giám sát an ninh mạng tới chủ quản hệ thống thông tin; trong văn bản nêu rõ lý do, thời gian, nội dung và phạm vi tiến hành giám sát an ninh mạng;
b) Triển khai biện pháp giám sát an ninh mạng;
c) Định kỳ thống kê, báo cáo kết quả giám sát an ninh mạng.
3. Trách nhiệm của chủ quản hệ thống thông tin quan trọng về an ninh quốc gia:
a) Xây dựng, triển khai hệ thống giám sát an ninh mạng, phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thực hiện hoạt động giám sát an ninh mạng đối với hệ thống thông tin thuộc thẩm quyền quản lý;
b) Bố trí mặt bằng, điều kiện kỹ thuật, thiết lập, kết nối hệ thống, thiết bị giám sát của lực lượng chuyên trách bảo vệ an ninh mạng vào hệ thống thông tin do mình quản lý để phục vụ giám sát an ninh mạng;
c) Cung cấp và cập nhật thông tin về hệ thống thông tin thuộc thẩm quyền quản lý, phương án kỹ thuật triển khai hệ thống giám sát cho lực lượng chuyên trách bảo vệ an ninh mạng theo định kỳ hoặc đột xuất khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền;
d) Thông báo với lực lượng chuyên trách bảo vệ an ninh mạng về hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 03 tháng một lần;
đ) Bảo mật các thông tin liên quan trong quá trình phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng.
4. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, viễn thông, internet có trách nhiệm phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng trong giám sát an ninh mạng theo thẩm quyền nhằm bảo vệ an ninh mạng.
5. Kết quả giám sát an ninh mạng được bảo mật theo quy định của pháp luật.
1. Lực lượng chuyên trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đối với hệ thống thông tin theo quy định tại khoản 5 Điều 13, khoản 1 Điều 24 Luật An ninh mạng. Nội dung kiểm tra an ninh mạng, bao gồm: kiểm tra việc tuân thủ các quy định của pháp luật về bảo đảm an ninh mạng, bảo vệ bí mật nhà nước trên không gian mạng; kiểm tra, đánh giá hiệu quả các phương án, biện pháp bảo đảm an ninh mạng, phương án, kế hoạch ứng phó, khắc phục sự cố an ninh mạng; kiểm tra, đánh giá phát hiện lỗ hổng, điểm yếu bảo mật, mã độc và tấn công thử nghiệm xâm nhập hệ thống; kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quy định.
2. Trình tự, thủ tục kiểm tra an ninh mạng của lực lượng chuyên trách bảo vệ an ninh mạng:
a) Thông báo về kế hoạch kiểm tra an ninh mạng theo quy định;
b) Thành lập Đoàn kiểm tra theo chức năng, nhiệm vụ được giao;
c) Tiến hành kiểm tra an ninh mạng, phối hợp chặt chẽ với chủ quản hệ thống thông tin trong quá trình kiểm tra;
d) Lập biên bản về quá trình, kết quả kiểm tra an ninh mạng và bảo quản theo quy định của pháp luật;
đ) Thông báo kết quả kiểm tra an ninh mạng trong 03 ngày làm việc kể từ ngày hoàn thành kiểm tra.
3. Trường hợp cần giữ nguyên hiện trạng hệ thống thông tin, phục vụ điều tra, xử lý hành vi vi phạm pháp luật, phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia khắc phục khi có đề nghị của chủ quản hệ thống thông tin, lực lượng chuyên trách bảo vệ an ninh mạng gửi văn bản đề nghị chủ quản hệ thống thông tin tạm ngừng tiến hành kiểm tra an ninh mạng. Nội dung văn bản phải ghi rõ lý do, mục đích, thời gian tạm ngừng hoạt động kiểm tra an ninh mạng.
1. Đối với các hệ thống thông tin quan trọng về an ninh quốc gia khi gặp sự cố an ninh mạng thì thực hiện trình tự, thủ tục ứng phó, khắc phục sự cố như sau:
a) Lực lượng chuyên trách bảo vệ an ninh mạng thông báo bằng văn bản và hướng dẫn biện pháp tạm thời để ngăn chặn, xử lý hoạt động tấn công mạng, khắc phục hậu quả do tấn công mạng, sự cố an ninh mạng cho chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
Trường hợp khẩn cấp, thông báo bằng điện thoại hoặc các hình thức khác trước khi thông báo bằng văn bản;
b) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm thực hiện các biện pháp theo hướng dẫn và các biện pháp phù hợp khác để ngăn chặn, xử lý, khắc phục hậu quả ngay sau khi nhận được thông báo, trừ quy định tại điểm c khoản này.
Trường hợp vượt quá khả năng xử lý, kịp thời thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng để điều phối, ứng phó khắc phục sự cố an ninh mạng;
c) Trường hợp cần ứng phó ngay để ngăn chặn hậu quả xảy ra có khả năng gây nguy hại cho an ninh quốc gia, lực lượng chuyên trách bảo vệ an ninh mạng quyết định trực tiếp điều phối, ứng phó khắc phục sự cố an ninh mạng.
2. Điều phối, ứng phó khắc phục sự cố an ninh mạng của lực lượng chuyên trách bảo vệ an ninh mạng:
a) Đánh giá, quyết định phương án ứng phó, khắc phục sự cố an ninh mạng;
b) Điều hành công tác ứng phó, khắc phục sự cố an ninh mạng;
c) Chủ trì tiếp nhận, thu thập, xử lý, trao đổi thông tin về ứng phó, khắc phục sự cố an ninh mạng;
d) Huy động, phối hợp với các tổ chức, cá nhân trong và ngoài nước có liên quan tham gia ứng phó, khắc phục sự cố an ninh mạng trong trường hợp cần thiết;
đ) Chỉ định đơn vị đầu mối phối hợp với các đơn vị chức năng của các quốc gia khác hoặc các tổ chức quốc tế trong hoạt động ứng phó, xử lý các sự cố liên quốc gia trên cơ sở thỏa thuận quốc tế hoặc điều ước quốc tế mà Việt Nam là thành viên;
e) Kiểm tra, giám sát, đôn đốc việc thực hiện của các đơn vị liên quan ứng phó, khắc phục sự cố an ninh mạng;
g) Lập biên bản quá trình ứng cứu sự cố an ninh mạng.
3. Tổ chức, cá nhân tham gia ứng phó, khắc phục sự cố an ninh mạng có trách nhiệm thực hiện các biện pháp, hoạt động ứng phó, khắc phục sự cố theo sự điều phối của lực lượng chuyên trách bảo vệ an ninh mạng.
4. Trường hợp bảo vệ an ninh quốc gia, trật tự an toàn xã hội, doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet bố trí mặt bằng, cổng kết nối và các biện pháp kỹ thuật cần thiết để Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thực hiện nhiệm vụ bảo đảm an ninh mạng. Thủ tục, quy trình cụ thể, doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thực hiện.
1. Lực lượng chuyên trách bảo vệ an ninh mạng sử dụng các biện pháp mã hóa bằng mật mã của cơ yếu để bảo vệ thông tin mạng khi truyền đưa thông tin, tài liệu có nội dung thuộc bí mật nhà nước trên không gian mạng. Các biện pháp mã hóa phải bảo đảm các yêu cầu theo quy định của pháp luật về cơ yếu, bảo vệ bí mật nhà nước, an ninh mạng.
2. Trường hợp cần thiết vì lý do an ninh quốc gia, trật tự an toàn xã hội, bảo vệ quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, lực lượng chuyên trách bảo vệ an ninh mạng gửi văn bản yêu cầu các cơ quan, tổ chức, cá nhân có liên quan thực hiện mã hóa các thông tin không nằm trong phạm vi bí mật nhà nước trước khi tiến hành lưu trữ, truyền đưa trên mạng Internet. Nội dung văn bản phải nêu rõ lý do yêu cầu, nội dung cần mã hóa.
1. Trường hợp áp dụng biện pháp:
a) Khi thông tin trên không gian mạng được cơ quan có thẩm quyền xác định là có nội dung xâm phạm an ninh quốc gia, tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng theo quy định của pháp luật;
b) Khi có căn cứ pháp luật xác định thông tin trên không gian mạng có nội dung làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế; bịa đặt, sai sự thật gây hoang mang trong nhân dân, gây thiệt hại nghiêm trọng cho hoạt động kinh tế - xã hội đến mức phải yêu cầu xóa bỏ thông tin;
c) Các thông tin trên không gian mạng khác có nội dung được quy định tại điểm c, điểm đ, điểm e khoản 1 Điều 8 Luật An ninh mạng theo quy định của pháp luật.
2. Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an, Thủ trưởng cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông:
a) Quyết định áp dụng biện pháp yêu cầu xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân theo quy định tại khoản 1 Điều này;
b) Gửi văn bản yêu cầu các doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, dịch vụ trên mạng Internet, dịch vụ gia tăng trên không gian mạng, chủ quản hệ thống thông tin xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân theo quy định tại khoản 1 Điều này;
c) Kiểm tra việc chấp hành thực hiện biện pháp của các chủ thể có liên quan được yêu cầu;
d) Trao đổi, chia sẻ thông tin về việc thực hiện biện pháp này, trừ trường hợp nội dung thuộc phạm vi bí mật nhà nước hoặc yêu cầu nghiệp vụ của Bộ Công an.
3. Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng quyết định áp dụng biện pháp yêu cầu xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, an ninh quân đội theo quy định tại khoản 1 Điều này đối với hệ thống thông tin quân sự.
1. Dữ liệu điện tử là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.
2. Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an quyết định tiến hành biện pháp thu thập dữ liệu điện tử để phục vụ điều tra, xử lý các hành vi xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng.
3. Việc thu thập dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng được thực hiện theo quy định của pháp luật; đồng thời bảo đảm các yêu cầu sau:
a) Giữ nguyên hiện trạng của thiết bị số, dữ liệu điện tử;
b) Việc sao ghi dữ liệu điện tử phải được thực hiện đúng quy trình bằng các thiết bị, phần mềm được công nhận, có thể kiểm chứng được, phải bảo vệ được tính nguyên vẹn của dữ liệu điện tử lưu trong thiết bị;
c) Quá trình khôi phục dữ liệu, tìm kiếm dữ liệu điện tử phải được ghi nhận lại bằng biên bản, hình ảnh, video, khi cần thiết có thể lặp lại quá trình đi tới kết quả tương tự để trình bày tại tòa án;
d) Người thực hiện thu thập dữ liệu điện tử phải là cán bộ chuyên trách được giao thực hiện nhiệm vụ thu thập dữ liệu điện tử.
4. Nguyên tắc sao chép, phục hồi dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng:
a) Trường hợp dữ liệu điện tử được cho là có giá trị chứng minh tội phạm mà cần phải sao chép, phục hồi hoặc nếu muốn sao chép, phục hồi dữ liệu điện tử, người thực hiện sao chép, phục hồi phải có thẩm quyền để sao chép, phục hồi và phải quyết định của cấp có thẩm quyền theo quy định của pháp luật;
b) Lập biên bản cho các hoạt động sao chép, phục hồi chứng cứ điện tử, trường hợp cần thiết có thể mời một bên thứ ba độc lập tham gia, chứng kiến, xác nhận quy trình này.
5. Thu giữ phương tiện lưu trữ, truyền đưa, xử lý dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng được thực hiện theo quy định pháp luật.
6. Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng quyết định áp dụng biện pháp thu thập dữ liệu điện tử để phục vụ điều tra các vụ việc vi phạm, tội phạm gây mất an ninh, an toàn thông tin, xâm phạm an ninh quốc gia, an ninh quân đội trên không gian mạng.
1. Trường hợp áp dụng:
a) Có tài liệu chứng minh hoạt động của hệ thống thông tin là vi phạm pháp luật về an ninh quốc gia, an ninh mạng;
b) Hệ thống thông tin đang được sử dụng vào mục đích xâm phạm an ninh quốc gia, trật tự an toàn xã hội.
2. Bộ trưởng Bộ Công an trực tiếp quyết định đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, tạm ngừng, thu hồi tên miền có hoạt động vi phạm pháp luật về an ninh mạng.
3. Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an có trách nhiệm thực hiện quyết định đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, tạm ngừng, thu hồi tên miền.
4. Trình tự, thủ tục thực hiện biện pháp:
a) Báo cáo về việc áp dụng biện pháp đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, tạm ngừng, thu hồi tên miền;
b) Quyết định đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, tạm ngừng, thu hồi tên miền;
c) Gửi văn bản yêu cầu các cơ quan, tổ chức, cá nhân có liên quan thực hiện đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin hoặc gửi Trung tâm Internet Việt Nam đề nghị tạm ngừng, thu hồi tên miền theo trình tự, thủ tục được pháp luật quy định; văn bản yêu cầu nêu rõ lý do, thời gian, nội dung và kiến nghị;
d) Trong trường hợp cấp bách, cần ngăn chặn kịp thời hoạt động của hệ thống thông tin tránh gây nguy hại cho an ninh quốc gia hoặc cần ngăn chặn hậu quả tác hại có thể xảy ra, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an yêu cầu trực tiếp hoặc bằng văn bản qua fax, email để yêu cầu cơ quan, tổ chức, cá nhân đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin;
Trong thời gian chậm nhất là 24 giờ kể từ khi có yêu cầu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an phải gửi văn bản yêu cầu đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin. Trường hợp quá thời hạn trên mà không có quyết định bằng văn bản thì hệ thống thông tin được tiếp tục hoạt động. Tùy theo tính chất, mức độ, hậu quả xảy ra do việc chậm trễ gửi văn bản yêu cầu, cán bộ thực hiện và những người có liên quan phải chịu trách nhiệm theo quy định của pháp luật;
đ) Việc đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin phải được lập thành biên bản. Biên bản phải ghi rõ thời gian, địa điểm, căn cứ và được lập thành 02 bản. Cơ quan chức năng có thẩm quyền giữ một bản, cơ quan, tổ chức, cá nhân sở hữu, quản lý hệ thống thông tin giữ một bản;
e) Việc tạm ngừng, thu hồi tên miền quốc gia trong các trường hợp quy định tại khoản 1 Điều này, cơ quan chức năng có thẩm quyền gửi văn bản đề nghị Trung tâm Internet Việt Nam tạm ngừng, thu hồi tên miền theo trình tự, thủ tục được pháp luật quy định.
5. Việc đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin mà không có căn cứ được quy định tại khoản 2 Điều này thì Thủ trưởng, Phó Thủ trưởng cơ quan chức năng có thẩm quyền và cán bộ có liên quan phải chịu trách nhiệm trước pháp luật, nếu gây thiệt hại cho cơ quan, tổ chức, cá nhân có liên quan thì phải bồi thường theo quy định của pháp luật.
1. Lực lượng chuyên trách bảo vệ an ninh mạng có trách nhiệm hướng dẫn cụ thể các cơ quan, tổ chức, cá nhân có liên quan thực hiện các quy định về trình tự, thủ tục áp dụng một số biện pháp bảo vệ an ninh mạng.
2. Các cơ quan, tổ chức, cá nhân trong phạm vi trách nhiệm, quyền hạn của mình, kịp thời phối hợp, hỗ trợ lực lượng chuyên trách bảo vệ an ninh mạng thực hiện các quy định về trình tự, thủ tục áp dụng một số biện pháp bảo vệ an ninh mạng.
3. Trường hợp doanh nghiệp cung cấp dịch vụ qua biên giới bị cơ quan có thẩm quyền công bố vi phạm pháp luật Việt Nam, tổ chức, doanh nghiệp Việt Nam có trách nhiệm phối hợp với cơ quan chức năng có thẩm quyền trong ngăn chặn, phòng ngừa, xử lý hành vi vi phạm pháp luật của các doanh nghiệp cung cấp dịch vụ qua biên giới.
4. Mọi hành vi lợi dụng hoặc lạm dụng các biện pháp bảo vệ an ninh mạng để vi phạm pháp luật thì tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật; trường hợp gây thiệt hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân thì phải bồi thường theo quy định của pháp luật.
5. Đối với các hệ thống thông tin không nằm trong Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông phối hợp đồng bộ bảo vệ an ninh mạng, bảo đảm an toàn thông tin mạng theo chức năng, nhiệm vụ được giao:
a) Bộ Thông tin và Truyền thông là đầu mối chủ trì đối với các hoạt động dân sự, trừ trường hợp quy định tại điểm b, c khoản này;
b) Bộ Công an là đầu mối chủ trì đối với các hoạt động bảo vệ an ninh quốc gia, trật tự an toàn xã hội, bảo vệ an ninh mạng, phòng, chống tội phạm mạng, khủng bố mạng, gián điệp mạng;
c) Bộ Quốc phòng là đầu mối chủ trì đối với các hoạt động bảo vệ tổ quốc trên không gian mạng.
ORDER AND PROCEDURES FOR APPLYING CERTAIN CYBERSECURITY PROTECTION MEASURES
Article 13. Order and procedures for cybersecurity appraisals of major national security information systems
1. Cybersecurity protection forces shall conduct cybersecurity appraisals of information systems in the List of major national security information systems as per regulation.
2. Order of the implementation of cybersecurity appraisals of major national security information systems
a) Governing bodies of major national security information systems shall submit applications for cybersecurity appraisals to competent cybersecurity protection forces;
b) Cybersecurity protection forces shall receive, inspect, and provide guidelines on the completion of applications for cybersecurity appraisals and issue receipt documents after adequately receiving the valid applications within 3 working days;
c) Cybersecurity protection forces shall conduct cybersecurity appraisals according to the contents prescribed in Clause 3 Article 11 of the Law on Cybersecurity and provide notifications on the results within 30 days from the receipt date of applications for governing bodies of major national security information systems.
3. An application for cybersecurity appraisal of a major national security information system includes:
a) A written request for cybersecurity appraisal (Form No. 6 of the Appendix);
b) A pre-feasibility research report and a document on the design and construction of the project on investment in the development of the information system before its approval;
c) The scheme for the upgrade of the information system before its approval in case of upgrading the major national security information system.
4. In case of identifying the conformity between the current state of the major national security information and the application for appraisal, cybersecurity protection forces shall conduct surveys and assessments of the actual state of the major national security information system for comparison with the application for appraisal. The actual surveys and assessments shall not affect the normal operation of the governing body as well as the major national security information system. The actual survey and assessment time shall not exceed 7 working days.
5. Cybersecurity appraisal results shall be protected as prescribed by law.
Article 14. Order and procedures for assessing the criteria for cybersecurity of major national security information systems
1. Cybersecurity protection forces shall assess the criteria for cybersecurity of information systems in the List of major national security information systems as per regulation.
2. Order of the assessment of the criteria for cybersecurity of major national security information systems:
a) Governing bodies of major national security information systems shall submit applications for assessment of the criteria for cybersecurity of major national security information systems to cybersecurity protection forces competent to assess the criteria for cybersecurity according to regulations prescribed in Clause 3 Article 12 of the Law on Cybersecurity;
b) Cybersecurity protection forces shall receive, inspect, and provide guidelines on the completion of applications for assessment of the criteria for cybersecurity and issue receipt documents after receiving the valid applications;
c) After receiving the adequate and valid applications, cybersecurity protection forces shall assess the criteria for cybersecurity and provide notifications on the results within 30 days from the receipt date of such applications for governing bodies of major national security information systems;
d) In case of eligibility for cybersecurity, the Director of the cybersecurity criteria assessment agency shall issue certificates of eligibility for cybersecurity to major national security information systems within 3 working days from the end date of the cybersecurity criteria assessment.
3. An application for the certificate of eligibility for cybersecurity of a major national security information system includes:
a) A written request for certification of the criteria for cybersecurity (Form No. 7 of the Appendix);
b) A pre-feasibility research report and a document on the design and construction of the project on investment in the development of the information system before its approval;
c) Documents on solutions to ensure cybersecurity of the major national security information system.
4. In case of failure to achieve cybersecurity eligibility, cybersecurity protection forces shall request the governing body of the major national security information system to supplement and upgrade its major national security information system to ensure eligibility.
Article 15. Order and procedures for cybersecurity supervision
1. The Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam and the Cyber Command of the Ministry of National Defense of Vietnam shall conduct the supervision of cybersecurity of the national cyberspace and national major security information systems according to their functions and assigned tasks. The Cipher Department of the Government of Vietnam shall conduct the supervision of cybersecurity of cipher information systems of the Cipher Department of the Government of Vietnam according to its functions and assigned tasks.
2. Order of the supervision of cybersecurity of cybersecurity protection forces:
a) Send written notifications to governing bodies of information systems to request the implementation of cybersecurity supervision measures which specify the reason, time, content, and the implementation scope of cybersecurity supervision;
b) Implement cybersecurity supervision measures;
c) Make periodic statistics and reports on cybersecurity supervision results.
3. Governing bodies of major national security information systems shall:
a) Develop and implement cybersecurity supervision systems and cooperate with cybersecurity protection forces in implementing cybersecurity supervision activities for information systems under their management;
b) Arrange premises and technical conditions and establish and connect systems and supervision devices of cybersecurity protection forces to information systems under their management for cybersecurity supervision;
c) Provide and update information on information systems under their management, technical plans for the implementation of supervision systems for cybersecurity protection forces periodically or irregularly at the request of competent cybersecurity protection forces;
d) Notify cybersecurity protection forces of their supervision activities once every 3 months;
dd) Protect the confidentiality of relevant information in the process of cooperating with cybersecurity protection forces.
4. Telecommunications enterprises and enterprises that provide services of information technology, telecommunications, and the internet shall cooperate with cybersecurity protection forces in conducting cybersecurity supervision according to their entitlements for cybersecurity protection.
5. Cybersecurity supervision results shall be protected as prescribed by law.
Article 16. Order and procedures for cybersecurity testing
1. Cybersecurity protection forces shall conduct cybersecurity testing for information systems according to regulations prescribed in Clause 5 Article 13 and Clause 1 Article 24 of the Law on Cybersecurity. Cybersecurity testing contents include the inspection of compliance with regulations of laws on cybersecurity assurance and protection of state confidentiality in cyberspace; inspection and assessment of the efficiency of plans and measures to ensure cybersecurity and plans for responding to and remedying cybersecurity incidents; inspection and assessment of detection of vulnerabilities, security weaknesses, and malicious codes and system intrusion test attacks; other testing and assessments prescribed by governing bodies.
2. Order and procedures for cybersecurity testing of cybersecurity protection forces:
a) Notify cybersecurity testing plans as per regulation;
b) Establish Testing Teams according to functions and assigned tasks;
c) Conduct cybersecurity testing and strictly cooperate with governing bodies of information systems during the testing process;
d) Make records of cybersecurity testing processes and results and preserve them as prescribed by law;
dd) Notify cybersecurity testing results within 3 working days from the completion date of the testing.
3. In case it is necessary to keep the current state of information systems to investigate and handle law violations, detect security weaknesses and vulnerabilities, provide guidelines, or participate in remedial activities as requested by governing bodies of information systems, cybersecurity protection forces shall request governing bodies of information systems to suspend cybersecurity testing in writing. The mentioned documents shall specify the reason, purpose, and time of the temporary suspension of cybersecurity testing.
Article 17. Order and procedures for responding to and remedying cybersecurity incidents of major national security information systems
1. Regarding major national security information systems, when facing cybersecurity incidents, shall comply with the following order and procedures for response and remedy as follows:
a) Cybersecurity protection forces shall provide written notifications and guidelines on temporary measures to prevent and handle cyber-attacks and remedy consequences of cyber-attacks and cybersecurity incidents for governing bodies of major national security information systems.
In case of emergencies, provide notifications by phone or other forms before providing written notifications;
b) Governing bodies of major national security information systems shall implement measures according to guidelines and implement other suitable measures to prevent, handle, and remedy consequences right after receiving notifications, excluding cases prescribed in Point c of this Clause.
In case of inability to handle, timely notify cybersecurity protection forces for coordination and response to cybersecurity incidents;
c) In case it is necessary to immediately respond to and prevent consequences that threaten national security, cybersecurity protection forces shall decide on the direct coordination and remedial response to cybersecurity incidents.
2. Coordination and remedial response to cybersecurity incidents of cybersecurity protection forces:
a) Assess and decide on schemes for response and remedy for cybersecurity incidents;
b) Operate the response and remedy for cybersecurity incidents;
c) Preside over the receipt, collection, handling, and sharing of information on response and remedy for cybersecurity incidents;
d) Mobilize and cooperate with organizations and individuals inside and outside of Vietnam related to the participation in responding to and remedying cybersecurity incidents in necessary cases;
dd) Appoint focal agencies to cooperate with relevant agencies of other countries or international organizations in responding to and handling international incidents based on international agreements or treaties that Vietnam is a signatory;
e) Inspect, supervise, and urge the implementation of units related to the response and remedy for cybersecurity incidents;
g) Make records of the process of responding to cybersecurity incidents.
3. Organizations and individuals participating in responding to and remedying cybersecurity incidents shall implement measures, responses, and remedies for incidents according to the coordination of cybersecurity protection forces.
4. In case of the protection of national security and social order and safety, telecommunications enterprises and enterprises that provide Internet services shall arrange premises, connectors, and necessary technical measures for the Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam to carry out their tasks and ensure cybersecurity. Telecommunications enterprises and enterprises that provide Internet services shall cooperate with the Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam in implementing the specific order and procedures.
Article 18. Order and procedures for implementing measures to use passcodes to protect cyber information
1. Cybersecurity protection forces shall use cryptographic measures of the cipher to protect cyber information when transmitting information and documents subject to state confidentiality in cyberspace. Cryptographic measures shall comply with regulations of laws on the cipher, state confidentiality protection, and cybersecurity.
2. In necessary cases, due to reasons of national security, social order and safety, and protection of legitimate rights and benefits of agencies, organizations, and individuals, cybersecurity protection forces shall request relevant agencies, organizations, and individuals to encrypt information not included in the scope of state confidentiality before storing or transmitting on the Internet in writing. The mentioned requesting documents shall specify the reason and content subject to encryption.
Article 19. Order and procedures for implementing measures to request the removal of illegal information or false information in cyberspace that infringes upon national security, social order and safety, and legitimate rights and benefits of agencies, organizations, and individuals
1. The above-mentioned measures shall be applicable:
a) When information in cyberspace is identified by competent agencies to have contents that infringe upon national security, disseminate information that sabotages the Socialist Republic of Vietnam, incite riots, and disrupt public security and order according to regulations of the law;
b) When there are legal bases to determine that information in cyberspace has humiliating and slanderous contents; infringes upon the order of the economic management; fabricates and falsifies information, causing confusion among the people and severe damage to socio-economic activities to the extent that such information must be removed;
c) When other information in cyberspace has contents prescribed in Points c, dd, e Clause 1 Article 8 of the Law on Cybersecurity.
2. The Director of the Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam and Directors of competent agencies of the Ministry of Information and Communications shall:
a) Decide on the application of measures to request the removal of illegal information or false information in cyberspace that infringes upon national security, social order and safety, and legitimate rights and benefits of agencies, organizations, and individuals as prescribed in Clause 1 of this Article;
b) Send written requests to enterprises that provide services on the telecommunications network, services on the Internet, and value-added services in cyberspace and governing bodies of information systems for removal of illegal information or false information in cyberspace that infringes upon national security, social order and safety, and legitimate rights and benefits of agencies, organizations, and individuals as prescribed in Clause 1 of this Article;
c) Inspect the implementation of measures of relevant entities when requested;
d) Trade and share information on the implementation of the mentioned measures, excluding cases included in the scope of state confidentiality or professional requests of the Ministry of Public Security of Vietnam.
3. Cybersecurity protection forces of the Ministry of National Defense of Vietnam shall apply measures to request the removal of illegal information or false information in cyberspace that infringes upon national security and military security according to regulations prescribed in Clause 1 of this Clause to military information systems.
Article 20. Order and procedures for implementing measures to collect data related to acts of infringing upon national security, social order and safety, and legitimate rights and benefits of agencies, organizations, and individuals in cyberspace
1. Data is information in the form of symbols, letters, numbers, images, sounds, or equivalences.
2. The Director of the Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam shall decide on the implementation of measures to collect data to investigate and handle acts of infringing upon national security, social order and safety, and legitimate rights and benefits of agencies, organizations, and individuals in cyberspace.
3. The collection of data related to acts of infringing upon national security, social order and safety, and legitimate rights and benefits of agencies, organizations, and individuals in cyberspace shall be implemented according to regulations of the law while satisfying the following requirements:
a) Maintenance of the status of digital devices and data;
b) The copying and recording of data shall be done according to correct procedures via recognized devices and software that are verifiable and can protect the integrity of data stored in such devices;
c) The process of restoring data or search data shall be recorded via minutes, images, and videos. The process may be repeated if it is necessary for presentation at a court;
d) Data collectors shall be specialized officials assigned to collect data.
4. Principles of copying and restoring data related to acts of infringing upon national security, social order and safety, and legitimate rights and benefits of organizations, organizations, and individuals in cyberspace:
a) If the data is considered necessary to be copied or restored or there is a request to copy and restore the data for the purpose of proving the commission of a crime, the assigned person shall be authorized to copy and restore such data and acquire a decision on approval of competent authority according to regulations of the law;
b) Compilation of records of activities of copying and restoring electronic evidence, and when it is necessary, an independent third party may be invited to witness and confirm such progress.
5. The confiscation of means that store, transmit, and process data related to acts of infringing upon national security, social order and safety, and legitimate rights and benefits of agencies, organizations, and individuals in cyberspace shall be implemented according to regulations of the law.
6. Cybersecurity protection forces of the Ministry of National Defense of Vietnam shall decide on the application of measures to collect data to investigate cases of violations, criminals that cause insecurity, information insecurity, infringement upon national security and military security in cyberspace.
Article 21. Order and procedures for implementing measures to suspend, temporarily suspend, or request the termination of operations of information systems and revoke domain names
1. The above-mentioned measures shall be applicable when:
a) There are documents proving the operation of the information system is violating laws on national security and cybersecurity;
b) The information system is currently used for purposes of infringing upon national security and social order and safety.
2. The Minister of Public Security of Vietnam shall directly decide on the suspension, temporary suspension, or termination of operations of information systems and the suspension or revocation of domain names that have activities that violate laws on cybersecurity.
3. The Director of the Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam shall implement decisions on the suspension, temporary suspension, or request for termination of operations information systems, and suspension or revocation of domain names.
4. Order and procedures for implementing the above-mention measures:
a) Report on the application of measures to suspend, temporarily suspend, or request the termination of operations of information systems and suspend or revoke domain names;
b) Decide on the suspension, temporary suspension, or request for termination of operations of information systems and suspension or revocation of domain names;
c) Send written requests to relevant agencies, organizations, and individuals for the implementation of the suspension, temporary suspension, or request for termination of operations of information systems or send written requests to the Vietnam Internet Network Information Center (VNNIC) for the suspension or revocation of domain names according to the order and procedures prescribed by law; requesting documents shall specify the reason, time, content, and complaints;
d) In case of emergencies, timely prevent operations of information systems to avoid endangering national security or prevent potentially harmful consequences. The Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam shall directly request or send written requests via fax or email to agencies, organizations, and individuals for the suspension, temporary suspension, or request for termination of operations of information systems;
Within 24 hours after receiving requests, the Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam shall send documents on request for suspension, temporary suspension, or request for termination of operation of information systems. In case there are no documents on decisions when the mentioned time limit is overdue, information systems may continue their operations. According to the nature, level, and consequences due to the delay in sending requesting documents, the assigned officials and relevant persons shall take responsibility according to regulations of the law;
dd) The suspension, temporary suspension, or request for termination of operations of information systems shall be made into records. The records shall specify the time, location, and bases and be made into 2 copies. Relevant competent agencies shall keep one copy, and agencies, organizations, and individuals that own and manage information systems shall keep the other one;
e) Regarding the suspension and revocation of national domain names in cases prescribed in Clause 1 of this Article, relevant competent authorities shall send written requests to the VNNIC for the suspension and revocation of domain names according to the order and procedures prescribed by law.
5. If the suspension, temporary suspension, or request for termination of operations of information systems does not comply with the bases prescribed in Clause 2 of this Article, Directors and Deputy Directors of relevant competent agencies and relevant officials shall take legal liability. If such suspension, temporary suspension, or request for termination of operations of information systems cause damage to relevant agencies, organizations, and individuals, compensate as prescribed by law.
Article 22. Responsibilities of agencies, organizations, and units in implementing cybersecurity protection measures
1. Cybersecurity protection forces shall provide specific guidelines to relevant agencies, organizations, and individuals in implementing regulations on order and procedures for applying certain cybersecurity protection measures.
2. Agencies, organizations, and individuals shall, within their scope of responsibilities and entitlements, timely support and cooperate with cybersecurity protection forces in implementing regulations on order and procedures for implementing certain cybersecurity protection measures.
3. In case cross-border supply enterprises are declared to violate Vietnamese laws by competent authorities, Vietnamese organizations and enterprises shall cooperate with relevant competent agencies in preventing and handling acts of violating laws of cross-border supply enterprises.
4. Any acts of exploiting or taking advantage of cybersecurity protection measures to violate laws shall be handled based on their nature and level of violation according to regulations of the law; In case of damage to legitimate rights and benefits of organizations and individuals, compensate as prescribed by law.
5. Regarding information systems not included in the List of major national security information systems, the Ministry of Public Security of Vietnam, the Ministry of National Defense of Vietnam, and the Ministry of Information and Communications of Vietnam shall synchronously cooperate in protecting cybersecurity and cyber information security according to their functions and assigned tasks:
a) The Ministry of Information and Communications of Vietnam shall act as the focal point in charge of civil activities, excluding regulations prescribed in Points b and c of this Clause;
b) The Ministry of Public Security of Vietnam shall be the focal point in charge of activities of protecting national security, social order and safety, and cybersecurity and preventing and combating cybercriminals, cyber-terrorists, and cyber-spies;
c) The Ministry of National Defense of Vietnam shall be the focal point in charge of activities of protecting the Fatherland in cyberspace.