- Chính phủ đã ban hành Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng 2018. Trong đó, các biện pháp bảo vệ an ninh mạng gồm lưu trữ dữ liệu cá nhân người sử dụng dịch vụ; yêu cầu xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng; thu thập dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, an toàn xã hội; đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền,...
Lưu trữ dữ liệu cá nhân người sử dụng dịch vụ
Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam, Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra… phải được lưu trữ tại Việt Nam.
Đối tượng phải lưu trữ các dữ liệu bao gồm: doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, cung cấp tên miền, mạng Internet, thương mại điện tử, thanh toán trực tuyến,... các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải thực hiện lưu trữ những dữ liệu sau tại Việt Nam (hình thức lưu trữ sẽ do doanh nghiệp quyết định):
Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam.
Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu.
Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng dịch vụ kết nối hoặc tương tác.
Thời gian lưu trữ dữ liệu bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu đến khi kết thúc yêu cầu; thời gian lưu trữ tối thiểu là 24 tháng.
Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng 2018. |
Theo quy định tại khoản 3 Điều 26 Luật An ninh mạng 2018 thì các doanh nghiệp nêu trên khi có các hoạt động sau phải thực hiện lưu trữ dữ liệu theo quy định: Thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân; Dữ liệu về mối quan hệ của người sử dụng dịch vụ; Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra. Nghị định 53/2022/NĐ-CP có hiệu lực thi hành từ ngày 1/10/2022.
Trường hợp bất khả kháng mà việc chấp hành yêu cầu của pháp luật về an ninh mạng của doanh nghiệp nước ngoài không thể thực hiện, doanh nghiệp nước ngoài thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an trong vòng 3 ngày làm việc để kiểm tra tính xác thực của việc bất khả kháng. Trong trường hợp này, doanh nghiệp có thời gian 30 ngày làm việc để tìm phương án khắc phục.
Trường hợp dữ liệu do doanh nghiệp thu thập, khai thác, phân tích, xử lý không đầy đủ theo quy định tại Khoản 1 Điều này, doanh nghiệp phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an để xác nhận và tiến hành lưu trữ các loại dữ liệu hiện đang thu thập, khai thác, phân tích, xử lý.
Trường hợp doanh nghiệp tiến hành thu thập, khai thác, phân tích, xử lý bổ sung các loại dữ liệu theo quy định tại Khoản 1 Điều này, doanh nghiệp có trách nhiệm phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an để bổ sung vào danh sách dữ liệu phải lưu trữ tại Việt Nam.
Các trường hợp sẽ bị xóa thông tin trên mạng
Những thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng sẽ được yêu cầu xóa bỏ.
năm trường hợp được yêu cầu xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng.
Những trường hợp này gồm (1) khi thông tin trên không gian mạng được cơ quan có thẩm quyền xác định là có nội dung xâm phạm an ninh quốc gia, tuyên truyền chống Nhà nước CHXHCN Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng theo quy định của pháp luật.
(2) Khi có căn cứ pháp luật xác định thông tin trên không gian mạng có nội dung làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế; bịa đặt, sai sự thật gây hoang mang trong nhân dân, gây thiệt hại nghiêm trọng cho hoạt động kinh tế - xã hội đến mức phải yêu cầu xóa bỏ thông tin.
Ngoài ra, các thông tin trên không gian mạng khác có nội dung được quy định tại điểm c; điểm đ và điểm e khoản 1 Điều 8 Luật An ninh mạng cũng thuộc trường hợp được yêu cầu xóa bỏ.
Cụ thể (3) việc xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc. (4) Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng. (5) Xúi giục, lôi kéo, kích động người khác phạm tội.
Bên cạnh đó, Nghị định này cũng quy định rõ các trường hợp được áp dụng biện pháp đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền.
Những trường hợp này gồm (1) Có tài liệu chứng minh hoạt động của hệ thống thông tin là vi phạm pháp luật về an ninh quốc gia, an ninh mạng, (2) hệ thống thông tin đang được sử dụng vào mục đích xâm phạm an ninh quốc gia, trật tự an toàn xã hội.
An ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
Bên cạnh đó, theo Nghị định 53/2022/NĐ-CP, mạng máy tính truyền đưa bí mật nhà nước phải tách biệt vật lý hoàn toàn với mạng máy tính kết nối Internet
Cụ thể, mạng máy tính của cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương phải xác định rõ hệ thống mạng thông tin và thông tin quan trọng cần ưu tiên bảo đảm an ninh mạng;
Quy định rõ các điều cấm và các nguyên tắc quản lý, sử dụng và bảo đảm an ninh mạng, mạng máy tính nội bộ có lưu trữ, truyền đưa bí mật nhà nước phải được tách biệt vật lý hoàn toàn với mạng máy tính, các thiết bị, phương tiện điện tử có kết nối mạng Internet, trường hợp khác phải bảo đảm quy định của pháp luật về bảo vệ bí mật nhà nước;
Quy trình quản lý, nghiệp vụ, kỹ thuật trong vận hành, sử dụng và bảo đảm an ninh mạng đối với dữ liệu, hạ tầng kỹ thuật, trong đó phải đáp ứng các yêu cầu cơ bản bảo đảm an toàn hệ thống thông tin;
Điều kiện về nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo đảm an ninh mạng, an toàn thông tin và liên quan đến hoạt động soạn thảo, lưu trữ, truyền đưa bí mật nhà nước qua hệ thống mạng máy tính;
Quy định rõ trách nhiệm của từng bộ phận, cán bộ, nhân viên trong quản lý, sử dụng, bảo đảm an ninh mạng, an toàn thông tin; Chế tài xử lý những vi phạm quy định về đảm bảo an ninh mạng.
Ngoài ra, Nghị định 53/2022/NĐ-CP cũng quy định việc xây dựng, hoàn thiện phương án bảo đảm an ninh mạng đối với hệ thống thông tin của cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương.
Theo đó, người đứng đầu cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương có trách nhiệm ban hành phương án bảo đảm an ninh mạng đối với hệ thống thông tin do mình quản lý, bảo đảm đồng bộ, thống nhất, tập trung, có sự chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư trùng lặp.