Luật 86/2015/qh13 an toàn thông tin mạng

      16

 

Luật an toàn thông tin mạng năm 2015 gồm 8 Chương, 54 Điều, được tổ chức theo các Chương sau:

- Những quy định chung

- Bảo đảm an toàn thông tin mạng

- Mật mã dân sự

- Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng

- Kinh doanh trong lĩnh vực an toàn thông tin mạng

- Phát triển nguồn nhân lực an toàn thông tin mạng

- Quản lý nhà nước về an toàn thông tin mạng

- Điều khoản thi hành

Luật 86/2015/QH13 có những điểm nổi bật sau:

- Điều 10 Luật an toàn thông tin 2015 quy định việc quản lý gửi thông tin

+ Việc gửi thông tin trên mạng phải bảo đảm các yêu cầu sau: Không giả mạo nguồn gốc gửi thông tin; Tuân thủ Luật ATTT mạng 2015 và quy định liên quan.

Bạn đang xem: Luật 86/2015/qh13 an toàn thông tin mạng

+ Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin.

- Sản phẩm, dịch vụ mật mã dân sự tại Điều 30 Luật số 86/2015/QH13

+ Sản phẩm mật mã dân sự là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.

+ Dịch vụ mật mã dân sự gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩm mật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân sự.

- Điều 37 Luật ATTT 2015 về tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng

+ Tiêu chuẩn an toàn thông tin mạng gồm tiêu chuẩn quốc tế, tiêu chuẩn khu vực, tiêu chuẩn nước ngoài, tiêu chuẩn quốc gia và tiêu chuẩn cơ sở đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng được công bố, thừa nhận áp dụng tại Việt Nam.

+ Quy chuẩn kỹ thuật an toàn thông tin mạng gồm quy chuẩn kỹ thuật quốc gia và quy chuẩn kỹ thuật địa phương đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng được xây dựng, ban hành và áp dụng tại Việt Nam.

- Quy định việc kinh doanh trong lĩnh vực an toàn thông tin mạng tại Điều 40 Luật an toàn thông tin mạng năm 2015

+ Kinh doanh trong lĩnh vực an toàn thông tin mạng là ngành, nghề kinh doanh có điều kiện. Kinh doanh trong lĩnh vực an toàn thông tin mạng gồm kinh doanh sản phẩm an toàn thông tin mạng và kinh doanh dịch vụ an toàn thông tin mạng.

+ Doanh nghiệp kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Điều 41 Luật 86 năm 2015 phải có Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng. Thời hạn của Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng là 10 năm.

 


MỤC LỤC VĂN BẢN
*
In mục lục

QUỐC HỘI --------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------

Luật số: 86/2015/QH13

Hà Nội, ngày 19 tháng 11 năm 2015

LUẬT

AN TOÀN THÔNG TIN MẠNG

Căn cứ Hiến pháp nước Cộng hòa xã hội chủnghĩa Việt Nam;

Quốc hội ban hành Luật an toàn thông tin mạng.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Luật này quy định về hoạt động an toàn thông tinmạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm antoàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toànthông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triểnnguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng.

Điều 2. Đốitượng áp dụng

Luật này áp dụng đối với cơ quan, tổ chức, cánhân Việt Nam, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quanđến hoạt động an toàn thông tin mạng tại Việt Nam.

Điều 3. Giảithích từ ngữ

Trong Luật này, các từ ngữ dưới đây được hiểunhư sau:

1. An toàn thông tin mạng là sự bảo vệthông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ,gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảomật và tính khả dụng của thông tin.

2. Mạng là môi trường trong đó thông tinđược cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạngviễn thông và mạng máy tính.

3. Hệ thống thông tin là tập hợp phần cứng,phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp,truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

4. Hệ thống thông tin quan trọng quốc gia làhệ thống thông tin mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tớiquốc phòng, an ninh quốc gia.

5. Chủ quản hệ thống thông tin là cơquan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thôngtin.

6. Xâm phạm an toàn thông tin mạng làhành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phépthông tin, hệ thống thông tin.

7. Sự cố an toàn thông tin mạng là việcthông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn,tính bảo mật hoặc tính khả dụng.

8. Rủi ro an toàn thông tin mạng là nhữngnhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái an toànthông tin mạng.

9. Đánh giá rủi ro an toàn thông tin mạnglà việc phát hiện, phân tích, ước lượng mức độ tổn hại, mối đe dọa đối vớithông tin, hệ thống thông tin.

10. Quản lý rủi ro an toàn thông tin mạnglà việc đưa ra các biện pháp nhằm giảm thiểu rủi ro an toàn thông tin mạng.

11. Phần mềm độc hại là phần mềm có khảnăng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thôngtin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ tronghệ thống thông tin.

12. Hệ thống lọc phần mềm độc hại là tậphợp phần cứng, phần mềm được kết nối vào mạng để phát hiện, ngăn chặn, lọc vàthống kê phần mềm độc hại.

13. Địa chỉ điện tử là địa chỉ được sử dụngđể gửi, nhận thông tin trên mạng bao gồm địa chỉ thư điện tử, số điện thoại, địachỉ Internet và hình thức tương tự khác.

14. Xung đột thông tin là việc hai hoặcnhiều tổ chức trong nước và nước ngoài sử dụng biện pháp công nghệ, kỹ thuậtthông tin gây tổn hại đến thông tin, hệ thống thông tin trên mạng.

15. Thông tin cá nhân là thông tin gắn vớiviệc xác định danh tính của một người cụ thể.

16. Chủ thể thông tin cá nhân là người đượcxác định từ thông tin cá nhân đó.

17. Xử lý thông tin cá nhân là việc thựchiện một hoặc một số thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp,chia sẻ, phát tán thông tin cá nhân trên mạng nhằm mục đích thương mại.

18. Mật mã dân sự là kỹ thuật mật mã và sảnphẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộcphạm vi bí mật nhà nước.

19. Sản phẩm an toàn thông tin mạng là phầncứng, phần mềm có chức năng bảo vệ thông tin, hệ thống thông tin.

20. Dịch vụ an toàn thông tin mạnglà dịch vụ bảo vệ thông tin, hệ thống thông tin.

Điều 4.Nguyên tắc bảo đảm an toàn thông tin mạng

1. Cơ quan, tổ chức, cá nhân có trách nhiệm bảođảm an toàn thông tin mạng. Hoạt động an toàn thông tin mạng của cơ quan, tổ chức,cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia,bí mật nhà nước, giữ vững ổn định chính trị, trật tự, an toàn xã hội và thúc đẩyphát triển kinh tế - xã hội.

2. Tổ chức, cá nhân không được xâm phạm an toànthông tin mạng của tổ chức, cá nhân khác.

3. Việc xử lý sự cố an toàn thông tin mạng phảibảo đảm quyền và lợi ích hợp pháp của tổ chức, cá nhân, không xâm phạm đến đờisống riêng tư, bí mật cá nhân, bí mật gia đình của cá nhân, thông tin riêng củatổ chức.

4. Hoạt động an toàn thôngtin mạng phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả.

Điều 5.Chính sách của Nhà nước về an toàn thông tin mạng

1. Đẩy mạnh đào tạo, phát triển nguồn nhân lựcvà xây dựng cơ sở hạ tầng, kỹ thuật an toàn thông tin mạng đáp ứng yêu cầu ổn địnhchính trị, phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh quốc gia,trật tự, an toàn xã hội.

2. Khuyến khích nghiên cứu, phát triển, áp dụngbiện pháp kỹ thuật, công nghệ, hỗ trợ xuất khẩu, mở rộng thị trường cho sản phẩm,dịch vụ an toàn thông tin mạng do tổ chức, cá nhân trong nước sản xuất, cung cấp;tạo điều kiện nhập khẩu sản phẩm, công nghệ hiện đại mà tổ chức, cá nhân trongnước chưa có năng lực sản xuất, cung cấp.

3. Bảo đảm môi trường cạnh tranh lành mạnh tronghoạt động kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng; khuyến khích, tạođiều kiện cho tổ chức, cá nhân tham gia đầu tư, nghiên cứu, phát triển và cung cấpsản phẩm, dịch vụ an toàn thông tin mạng.

4. Nhà nước bố trí kinh phí để bảo đảm an toànthông tin mạng của cơ quan nhà nước và an toàn thông tin mạng cho hệ thốngthông tin quan trọng quốc gia.

Điều 6. Hợptác quốc tế về an toàn thông tin mạng

1. Hợp tác quốc tế về an toàn thông tin mạng phảituân thủ các nguyên tắc sau đây:

a) Tôn trọng độc lập, chủ quyền và toàn vẹn lãnhthổ quốc gia, không can thiệp vào công việc nội bộ của nhau, bình đẳng và cácbên cùng có lợi;

b) Phù hợp với quy định của pháp luật Việt Nam,điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.

2. Nội dung hợp tác quốc tế về an toàn thông tinmạng gồm:

a) Hợp tác quốc tế trong đào tạo, nghiên cứu và ứngdụng khoa học, kỹ thuật, công nghệ về an toàn thông tin mạng;

b) Hợp tác quốc tế trong phòng, chống hành vi viphạm pháp luật về an toàn thông tin mạng; điều tra, xử lý sự cố an toàn thôngtin mạng, ngăn chặn hoạt động lợi dụng mạng để khủng bố;

c) Hoạt động hợp tác quốc tế khác về an toànthông tin mạng.

Điều 7.Các hành vi bị nghiêm cấm

1. Ngăn chặn việc truyền tải thông tin trên mạng,can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệchthông tin trên mạng trái pháp luật.

2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạtđộng bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thốngthông tin của người sử dụng.

3. Tấn công, vô hiệu hóa trái pháp luật làm mấttác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấncông, chiếm quyền điều khiển, phá hoại hệ thống thông tin.

4. Phát tán thư rác, phần mềm độc hại, thiết lậphệ thống thông tin giả mạo, lừa đảo.

5. Thu thập, sử dụng, phát tán, kinh doanh tráipháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thốngthông tin để thu thập, khai thác thông tin cá nhân.

6. Xâm nhập trái pháp luật bí mật mật mã vàthông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin vềsản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mậtmã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.

Điều 8. Xử lý vi phạm phápluật về an toàn thông tin mạng

Người nào có hành vi vi phạm quy định của Luậtnày thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt vi phạmhành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồithường theo quy định của pháp luật.

ChươngII

BẢO ĐẢM ANTOÀN THÔNG TIN MẠNG

Mục 1. BẢO VỆ THÔNG TIN MẠNG

Điều 9.Phân loại thông tin

1. Cơ quan, tổ chức sở hữu thông tin phân loại thôngtin theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp.

2. Thông tin thuộc phạm vi bí mật nhà nước đượcphân loại và bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.

Cơ quan, tổ chức sử dụng thông tin đã phân loạivà chưa phân loại trong hoạt động thuộc lĩnh vực của mình phải có trách nhiệmxây dựng quy định, thủ tục để xử lý thông tin; xác định nội dung và phương phápghi truy nhập được phép vào thông tin đã được phân loại.

Điều 10.Quản lý gửi thông tin

1. Việc gửi thông tin trên mạng phải bảo đảm cácyêu cầu sau đây:

a) Không giả mạo nguồn gốc gửi thông tin;

b) Tuân thủ quy định của Luật này và quy địnhkhác của pháp luật có liên quan.

2. Tổ chức, cá nhân không được gửi thông tin mangtính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếpnhận đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp nhậncó nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật.

3. Doanh nghiệp viễn thông, doanh nghiệp cung cấpdịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thôngtin gửi thông tin có trách nhiệm sau đây:

a) Tuân thủ quy định của pháp luật về lưu trữthông tin, bảo vệ thông tin cá nhân, thông tin riêng của tổ chức, cá nhân;

b) Áp dụng biện pháp ngăn chặn, xử lý khi nhậnđược thông báo của tổ chức, cá nhân về việc gửi thông tin vi phạm quy định củapháp luật;

c) Có phương thức để người tiếp nhận thông tincó khả năng từ chối việc tiếp nhận thông tin;

d) Cung cấp điều kiện kỹ thuật và nghiệp vụ cầnthiết để cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ quản lý, bảo đảm antoàn thông tin mạng khi có yêu cầu.

Điều 11.Phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại

1. Cơ quan, tổ chức, cá nhân có trách nhiệm thựchiện phòng ngừa, ngăn chặn phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quannhà nước có thẩm quyền.

2. Chủ quản hệ thống thông tin quan trọng quốcgia triển khai hệ thống kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặnvà xử lý kịp thời phần mềm độc hại.

3. Doanh nghiệp cung cấp dịch vụ thư điện tử,truyền đưa, lưu trữ thông tin phải có hệ thống lọc phần mềm độc hại trong quátrình gửi, nhận, lưu trữ thông tin trên hệ thống của mình và báo cáo cơ quannhà nước có thẩm quyền theo quy định của pháp luật.

4. Doanh nghiệp cung cấp dịch vụ Internet có biệnpháp quản lý, phòng ngừa, phát hiện, ngăn chặn phát tán phần mềm độc hại và xửlý theo yêu cầu của cơ quan nhà nước có thẩm quyền.

5. Bộ Thông tin và Truyền thông chủ trì, phối hợpvới Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan tổ chức phòng ngừa,phát hiện, ngăn chặn và xử lý phần mềm độc hại gây ảnh hưởng đến quốc phòng, anninh quốc gia.

Điều 12.Bảo đảm an toàn tài nguyên viễn thông

1. Cơ quan, tổ chức, cá nhân sử dụng tài nguyênviễn thông có trách nhiệm sau đây:

a) Áp dụng biện pháp quản lý và kỹ thuật để ngănchặn mất an toàn thông tin mạng xuất phát từ tần số, kho số, tên miền và địa chỉInternet của mình;

2. Doanh nghiệp cung cấp dịch vụ trên Internetcó trách nhiệm quản lý, phối hợp ngăn chặn mất an toàn thông tin mạng xuất pháttừ tài nguyên Internet, từ khách hàng của mình; cung cấp đầy đủ thông tin theoyêu cầu của cơ quan nhà nước có thẩm quyền; phối hợp kết nối, định tuyến để bảođảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an toàn, ổn định.

3. Bộ Thông tin và Truyền thông có trách nhiệmthực hiện bảo đảm an toàn thông tin mạng cho hệ thống máy chủ tên miền quốc giaViệt Nam.

Điều 13. Ứngcứu sự cố an toàn thông tin mạng

1. Ứng cứu sự cố an toàn thông tin mạng là hoạtđộng nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin mạng.

2. Ứng cứu sự cố an toàn thông tin mạng phảituân thủ các nguyên tắc sau đây:

a) Kịp thời, nhanh chóng, chính xác, đồng bộ vàhiệu quả;

b) Tuân thủ quy định của pháp luật về điều phối ứngcứu sự cố an toàn thông tin mạng;

c) Có sự phối hợp giữa cơ quan, tổ chức, doanhnghiệp trong nước và nước ngoài.

3. Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ,Ủy ban nhân dân cấp tỉnh, doanh nghiệp viễn thông, chủ quản hệ thống thông tinquan trọng quốc gia phải thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sựcố an toàn thông tin mạng.

4. Bộ Thông tin và Truyềnthông có trách nhiệm điều phối ứng cứu sự cố an toàn thông tin mạng trên toànquốc; quy định chi tiết về điều phối ứng cứu sự cố an toàn thông tin mạng.

Điều 14. Ứng cứu khẩn cấp bảođảm an toàn thông tin mạng quốc gia

1. Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạngquốc gia là hoạt động ứng cứu sự cố trong tình huống thảm họa hoặc theo yêu cầucủa cơ quan nhà nước có thẩm quyền nhằm bảo đảm an toàn thông tin mạng quốcgia.

2. Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạngquốc gia phải tuân thủ các nguyên tắc sau đây:

a) Tổ chức thực hiện theo phân cấp;

b) Thực hiện tại chỗ, nhanh chóng, nghiêm ngặt,phối hợp chặt chẽ;

c) Áp dụng các biện pháp kỹ thuật, bảo đảm hiệuquả, khả thi.

3. Hệ thống phương án ứng cứukhẩn cấp bảo đảm an toàn thông tin mạng quốc gia gồm:

a) Phương án ứng cứu khẩn cấp bảo đảm an toànthông tin mạng quốc gia;

b) Phương án ứng cứu khẩn cấp bảo đảm an toànthông tin mạng của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xãhội;

c) Phương án ứng cứu khẩn cấp bảo đảm an toànthông tin mạng của địa phương;

d) Phương án ứng cứu khẩn cấp bảo đảm an toànthông tin mạng của doanh nghiệp viễn thông.

4. Trách nhiệm bảo đảm an toàn thông tin mạng quốcgia được quy định như sau:

a) Thủ tướng Chính phủ quyết định hệ thốngphương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

b) Bộ Thông tin và Truyền thông có trách nhiệmchủ trì điều phối công tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốcgia;

c) Bộ, ngành, Ủy ban nhân dân các cấp và cơquan, tổ chức có liên quan trong phạm vi nhiệm vụ, quyền hạn của mình có tráchnhiệm phối hợp, chỉ đạo ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốcgia;

d) Doanh nghiệp viễn thông có trách nhiệm thựchiện biện pháp ứng cứu khẩn cấp, phối hợp với Bộ Thông tin và Truyền thông, bộ,ngành, Ủy ban nhân dân các cấp có liên quan để bảo đảm an toàn thông tin mạngquốc gia.

Điều 15. Trách nhiệm của cơquan, tổ chức, cá nhân trong bảo đảm an toàn thông tin mạng

1. Cơ quan, tổ chức, cá nhân tham gia hoạt độngan toàn thông tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyềnvà tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng.

2. Cơ quan, tổ chức, cá nhân sử dụng dịch vụtrên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụhoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại hoặcsự cố an toàn thông tin mạng.

Mục 2. BẢO VỆ THÔNG TIN CÁNHÂN

Điều 16.Nguyên tắc bảo vệ thông tin cá nhân trên mạng

1. Cá nhân tự bảo vệ thông tin cá nhân của mìnhvà tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịchvụ trên mạng.

2. Cơ quan, tổ chức, cá nhân xử lý thông tin cánhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xửlý.

3. Tổ chức, cá nhân xử lý thông tin cá nhân phảixây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổchức, cá nhân mình.

4. Việc bảo vệ thông tin cá nhân thực hiện theoquy định của Luật này và quy định khác của pháp luật có liên quan.

5. Việc xử lý thông tin cá nhân phục vụ mục đíchbảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc không nhằm mụcđích thương mại được thực hiện theo quy định khác của pháp luật có liên quan.

Điều 17.Thu thập và sử dụng thông tin cá nhân

1. Tổ chức, cá nhân xử lý thông tin cá nhân cótrách nhiệm sau đây:

a) Tiến hành thu thập thông tin cá nhân sau khicó sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thậpvà sử dụng thông tin đó;

b) Chỉ sử dụng thông tin cá nhân đã thu thập vàomục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cánhân;

c) Không được cung cấp, chia sẻ, phát tán thôngtin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trườnghợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quannhà nước có thẩm quyền.

2. Cơ quan nhà nước chịu trách nhiệm bảo mật,lưu trữ thông tin cá nhân do mình thu thập.

3. Chủ thể thông tin cá nhân có quyền yêu cầu tổchức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổchức, cá nhân đó đã thu thập, lưu trữ.

Điều 18.Cập nhật, sửa đổi và hủy bỏ thông tin cá nhân

1. Chủ thể thông tin cá nhân có quyền yêu cầu tổchức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cánhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấpthông tin cá nhân của mình cho bên thứ ba.

2. Ngay khi nhận được yêu cầu của chủ thể thôngtin cá nhân về việc cập nhật, sửa đổi, hủy bỏ thông tin cá nhân hoặc đề nghị ngừngcung cấp thông tin cá nhân cho bên thứ ba, tổ chức, cá nhân xử lý thông tin cánhân có trách nhiệm sau đây:

a) Thực hiện yêu cầu và thông báo cho chủ thểthông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận đểtự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình;

b) Áp dụng biện pháp phù hợp để bảo vệ thông tincá nhân; thông báo cho chủ thể thông tin cá nhân đó trong trường hợp chưa thựchiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác.

3. Tổ chức, cá nhân xử lý thông tin cá nhân phảihủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặchết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trườnghợp pháp luật có quy định khác.

Điều 19.Bảo đảm an toàn thông tin cá nhân trên mạng

1. Tổ chức, cá nhân xử lý thông tin cá nhân phảiáp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mìnhthu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm antoàn thông tin mạng.

2. Khi xảy ra hoặc có nguy cơ xảy ra sự cố antoàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng biệnpháp khắc phục, ngăn chặn trong thời gian sớm nhất.

Điều 20.Trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân trên mạng

1. Thiết lập kênh thông tin trực tuyến để tiếpnhận kiến nghị, phản ánh của tổ chức, cá nhân liên quan đến bảo đảm an toànthông tin cá nhân trên mạng.

2. Định kỳ hằng năm tổ chức thanh tra, kiểm trađối với tổ chức, cá nhân xử lý thông tin cá nhân; tổ chức thanh tra, kiểm tra độtxuất trong trường hợp cần thiết.

Mục 3. BẢO VỆ HỆ THỐNG THÔNGTIN

Điều 21. Phân loại cấp độan toàn hệ thống thông tin

1. Phân loại cấp độ an toàn hệ thống thông tinlà việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độtăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thốngthông tin phù hợp theo cấp độ.

2. Hệ thống thông tin được phân loại theo cấp độan toàn như sau:

a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làmtổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổnhại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốcgia;

b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làmtổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặclàm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toànxã hội, quốc phòng, an ninh quốc gia;

c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làmtổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hộihoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làmtổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hộihoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;

đ) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làmtổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

3. Chính phủ quy định chitiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thốngthông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Xem thêm: Báo New York Times Mỹ New York Times, New York Times

Điều 22.Nhiệm vụ bảo vệ hệ thống thông tin

1. Xác định cấp độ an toàn thông tin của hệ thốngthông tin.

2. Đánh giá và quản lý rủi ro an toàn hệ thốngthông tin.

3. Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệthống thông tin.

4. Tổ chức triển khai các biện pháp bảo vệ hệ thốngthông tin.

5. Thực hiện chế độ báo cáo theo quy định.

6. Tổ chức tuyên truyền, nâng cao nhận thức vềan toàn thông tin mạng.

Điều 23. Biện pháp bảo vệ hệthống thông tin

1. Ban hành quy định về bảo đảm an toàn thôngtin mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏhệ thống thông tin.

2. Áp dụng biện pháp quản lý, kỹ thuật theo tiêuchuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng để phòng, chống nguy cơ, khắcphục sự cố an toàn thông tin mạng.

3. Kiểm tra, giám sát việc tuân thủ quy định vàđánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng.

4. Giám sát an toàn hệ thống thông tin.

Điều 24.Giám sát an toàn hệ thống thông tin

1. Giám sát an toàn hệ thống thông tin là hoạt độnglựa chọn đối tượng giám sát, thu thập, phân tích trạng thái thông tin của đốitượng giám sát nhằm xác định những nhân tố ảnh hưởng đến an toàn hệ thống thôngtin; báo cáo, cảnh báo hành vi xâm phạm an toàn thông tin mạng hoặc hành vi cókhả năng gây ra sự cố an toàn thông tin mạng đối với hệ thống thông tin; tiếnhành phân tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin mạng;đề xuất thay đổi biện pháp kỹ thuật.

2. Đối tượng giám sát an toàn hệ thống thông tingồm tường lửa, kiểm soát truy nhập, tuyến thông tin chủ yếu, máy chủ quan trọng,thiết bị quan trọng hoặc thiết bị đầu cuối quan trọng.

3. Doanh nghiệp viễn thông, doanh nghiệp cung cấpdịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạngcó trách nhiệm phối hợp với chủ quản hệ thống thông tin trong việc giám sát antoàn hệ thống thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Điều 25. Tráchnhiệm của chủ quản hệ thống thông tin

1. Chủ quản hệ thống thông tin có trách nhiệm thựchiện bảo vệ hệ thống thông tin theo quy định tại các điều 22, 23 và 24 của Luậtnày.

2. Chủ quản hệ thống thông tin sử dụng ngân sáchnhà nước thực hiện trách nhiệm quy định tại khoản 1 Điều này và có trách nhiệmsau đây:

a) Có phương án bảo đảm an toàn thông tin mạngđược cơ quan nhà nước có thẩm quyền thẩm định khi thiết lập, mở rộng hoặc nângcấp hệ thống thông tin;

b) Chỉ định cá nhân, bộ phận phụ trách về antoàn thông tin mạng.

Điều 26. Hệ thống thông tinquan trọng quốc gia

1. Khi thiết lập, mở rộng và nâng cấp hệ thốngthông tin quan trọng quốc gia phải thực hiện kiểm định an toàn thông tin trướckhi đưa vào vận hành, khai thác.

2. Bộ Thông tin và Truyền thông chủ trì, phối hợpvới Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan xây dựng Danh mục hệ thốngthông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành.

Điều 27.Trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốcgia

1. Chủ quản hệ thống thông tin quan trọng quốcgia có trách nhiệm sau đây:

a) Thực hiện quy định tại khoản 2 Điều 25 của Luậtnày;

b) Định kỳ đánh giá rủi ro an toàn thông tin mạng.Việc đánh giá rủi ro an toàn thông tin mạng phải do tổ chức chuyên môn được cơquan nhà nước có thẩm quyền chỉ định thực hiện;

c) Triển khai biện pháp dự phòng cho hệ thốngthông tin;

d) Lập kế hoạch bảo vệ, lập phương án và diễn tậpphương án bảo vệ hệ thống thông tin quan trọng quốc gia.

2. Bộ Thông tin và Truyền thông có trách nhiệmsau đây:

a) Chủ trì, phối hợp với chủ quản hệ thống thôngtin quan trọng quốc gia, Bộ Công an và bộ, ngành có liên quan hướng dẫn, đôn đốc,thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thốngthông tin quan trọng quốc gia, trừ hệ thống thông tin quy định tại khoản 3 vàkhoản 4 Điều này;

b) Yêu cầu doanh nghiệp viễn thông, doanh nghiệpcung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toànthông tin mạng tham gia tư vấn, hỗ trợ kỹ thuật, ứng cứu sự cố an toàn thôngtin mạng cho hệ thống thông tin quan trọng quốc gia.

3. Bộ Công an chủ trì hướng dẫn, đôn đốc, thanhtra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tinquan trọng quốc gia do Bộ Công an quản lý; phối hợp với Bộ Thông tin và Truyền thông,chủ quản hệ thống thông tin quan trọng quốc gia, bộ, ngành, Ủy ban nhân dân cáccấp có liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia kháckhi có yêu cầu của cơ quan nhà nước có thẩm quyền.

4. Bộ Quốc phòng chủ trì hướng dẫn, đôn đốc,thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thốngthông tin quan trọng quốc gia do Bộ Quốc phòng quản lý.

5. Ban Cơ yếu Chính phủ chủ trì tổ chức triểnkhai giải pháp dùng mật mã để bảo vệ thông tin trong hệ thống thông tin quan trọngquốc gia của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội;phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia trong việc giámsát an toàn thông tin mạng theo quy định của pháp luật.

Mục 4. NGĂN CHẶN XUNG ĐỘTTHÔNG TIN TRÊN MẠNG

Điều 28.Trách nhiệm của tổ chức, cá nhân trong việc ngăn chặn xung đột thông tin trên mạng

1. Tổ chức, cá nhân trong phạm vi nhiệm vụ, quyềnhạn của mình có trách nhiệm sau đây:

a) Ngăn chặn thông tin phá hoại xuất phát từ hệthống thông tin của mình; hợp tác xác định nguồn, đẩy lùi, khắc phục hậu quả tấncông mạng được thực hiện thông qua hệ thống thông tin của tổ chức, cá nhântrong nước và nước ngoài;

b) Ngăn chặn hành động của tổ chức, cá nhântrong nước và nước ngoài có mục đích phá hoại tính nguyên vẹn của mạng;

c) Loại trừ việc tổ chức thực hiện hoạt độngtrái pháp luật trên mạng có ảnh hưởng nghiêm trọng đến quốc phòng, an ninh quốcgia, trật tự, an toàn xã hội của tổ chức, cá nhân trong nước và nước ngoài.

2. Chính phủ quy định chitiết về ngăn chặn xung đột thông tin trên mạng.

Điều 29.Ngăn chặn hoạt động sử dụng mạng để khủng bố

1. Các biện pháp ngăn chặn hoạt động sử dụng mạngđể khủng bố gồm:

a) Vô hiệu hóa nguồn Internet sử dụng để thực hiệnhành vi khủng bố;

b) Ngăn chặn việc thiết lập và mở rộng trao đổithông tin về các tín hiệu, nhân tố, phương pháp và cách sử dụng Internet để thựchiện hành vi khủng bố, về mục tiêu và hoạt động của các tổ chức khủng bố trên mạng;

c) Trao đổi kinh nghiệm và thực tiễn kiểm soátcác nguồn Internet, tìm và kiểm soát nội dung của trang tin điện tử có mục đíchkhủng bố.

2. Chính phủ quy định chi tiết về trách nhiệm thựchiện và các biện pháp ngăn chặn hoạt động sử dụng mạng để khủng bố quy định tạikhoản 1 Điều này.

Chương III

MẬT MÃ DÂN SỰ

Điều 30.Sản phẩm, dịch vụ mật mã dân sự

1. Sản phẩm mật mã dân sự là các tài liệu, trangthiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vibí mật nhà nước.

2. Dịch vụ mật mã dân sự gồm dịchvụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩmmật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mãdân sự.

Điều 31.Kinh doanh sản phẩm, dịch vụ mật mã dân sự

1. Doanh nghiệp phải có Giấy phépkinh doanh sản phẩm, dịch vụ mật mã dân sự khi kinh doanhsản phẩm, dịch vụ mật mã dân sự thuộc Danh mục sản phẩm, dịchvụ mật mã dân sự.

2. Doanh nghiệp được cấp Giấy phépkinh doanh sản phẩm, dịch vụ mật mã dân sự khi đáp ứng đủ các điều kiện sauđây:

a) Có độingũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn về bảo mật, an toànthông tin;

b) Có hệ thống trang thiết bị, cơsở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ mật mã dân sự;

c) Có phương án kỹ thuật phù hợp vớitiêu chuẩn, quy chuẩn kỹ thuật;

d) Có phương án bảo mật và an toànthông tin mạng trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dânsự;

đ) Có phương án kinh doanh phù hợp.

3. Sản phẩm mật mã dân sự phải đượckiểm định, chứng nhận hợp quy trước khi lưu thông trên thị trường.

4. Doanh nghiệp được cấp Giấy phépkinh doanh sản phẩm, dịch vụ mật mã dân sự phải nộp phí theo quy định của phápluật về phí và lệ phí.

5. Chính phủban hành Danh mục sản phẩm, dịch vụ mật mã dân sự và quy định chi tiết Điềunày.

Điều 32.Trình tự, thủ tục đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dânsự

1. Doanh nghiệp đề nghị cấp Giấyphép kinh doanh sản phẩm, dịch vụ mật mã dân sự nộp hồ sơ đề nghị cấp Giấyphép tại Ban Cơ yếu Chính phủ.

2. Hồ sơ đề nghị cấp Giấy phépkinh doanh sản phẩm, dịch vụ mật mã dân sự được lập thành hai bộ, gồm:

a) Đơn đề nghị cấp Giấy phép kinhdoanh sản phẩm, dịch vụ mật mã dân sự;

b) Bản sao Giấy chứng nhận đăng kýdoanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trịtương đương;

c) Bản sao văn bằng hoặc chứng chỉchuyên môn về bảo mật, an toàn thông tin của đội ngũ quản lý, điều hành, kỹ thuật;

d) Phương án kỹ thuật gồm tài liệuvề đặc tính kỹ thuật, tham số kỹ thuật của sản phẩm; tiêu chuẩn, quy chuẩn kỹthuật của sản phẩm; tiêu chuẩn, chất lượng dịch vụ; các biện pháp, giải pháp kỹthuật; phương án bảo hành, bảo trì sản phẩm;

đ) Phương án bảo mật và an toànthông tin mạng trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dânsự;

e) Phương án kinh doanh gồm phạmvi, đối tượng cung cấp, quy mô số lượng sản phẩm, dịch vụ hệ thống phục vụkhách hàng và bảo đảm kỹ thuật.

3. Trong thời hạn 30 ngày kể từngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp Giấy phép kinh doanhsản phẩm, dịch vụ mật mã dân sự; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

4. Giấy phép kinh doanh sản phẩm,dịch vụ mật mã dân sự có thời hạn 10 năm.

Điều 33. Sửa đổi, bổ sung,cấp lại, gia hạn, tạm đình chỉ và thu hồi Giấy phép kinh doanh sản phẩm, dịch vụmật mã dân sự

1. Việc sửa đổi, bổ sung Giấyphép kinh doanh sản phẩm, dịch vụ mật mã dân sự được thực hiện trong trường hợpdoanh nghiệp đã được cấp Giấy phép thay đổi tên, thay đổi người đại diện theopháp luật hoặc thay đổi, bổ sung sản phẩm, dịch vụ mật mã dân sự.

Doanh nghiệp có trách nhiệm nộphồ sơ đề nghị sửa đổi, bổ sung Giấy phép tại Ban Cơ yếu Chính phủ. Hồ sơ được lập thành hai bộ, gồm:

a) Đơn đề nghị sửa đổi, bổsung Giấy phép;

b) Bản sao Giấy chứng nhậnđăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác cógiá trị tương đương;

c) Giấy phép kinh doanh sản phẩm,dịch vụ mật mã dân sự đã được cấp;

d) Phương án kỹ thuật, phương án bảomật và an toàn thông tin mạng, phương án kinh doanh đối với sản phẩm, dịchvụ bổ sung theo quy định tại các điểm d, đ và e khoản 2 Điều 32 của Luật nàytrong trường hợp doanh nghiệp đề nghị bổ sung sản phẩm, dịch vụ mậtmã dân sự, ngành, nghề kinh doanh;

Trong thời hạn 10 ngày làm việc kểtừ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định, sửa đổi, bổ sung và cấplại Giấy phép cho doanh nghiệp; trường hợp từ chối cấp thì phải thông báo bằngvăn bản và nêu rõ lý do.

2. Trường hợp Giấy phép kinh doanhsản phẩm, dịch vụ mật mã dân sự bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đềnghị cấp lại Giấy phép, trong đó nêu rõ lý do, tới Ban Cơ yếu Chính phủ. Trongthời hạn 05 ngày làm việc kể từ ngày nhận được đơn đề nghị, Ban Cơ yếu Chính phủxem xét và cấp lại Giấy phép cho doanh nghiệp.

3. Doanh nghiệp không vi phạm cácquy định của pháp luật về kinh doanh sản phẩm, dịch vụ mật mã dân sự được gia hạnGiấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự một lần với thời gian giahạn không quá 01 năm.

Hồ sơ đề nghị gia hạn Giấy phép phảiđược gửi tới Ban Cơ yếu Chính phủ chậm nhất là 60 ngày trước ngày Giấy phép hếthạn. Hồ sơ đề nghị gia hạn Giấy phép được lập thành hai bộ, gồm:

a) Đơn đề nghị gia hạn Giấy phép;

b) Giấy phép kinh doanh sản phẩm,dịch vụ mật mã dân sự đang có hiệu lực;

c) Báo cáo hoạt động của doanhnghiệp trong 02 năm gần nhất.

Trong thời hạn 20 ngày kể từ ngàynhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định, quyết định gia hạn và cấp lại Giấyphép cho doanh nghiệp; trường hợp từ chối cấp thì phảithông báo bằng văn bản và nêu rõ lý do.

4. Doanh nghiệp bị tạm đình chỉ hoạtđộng kinh doanh sản phẩm, dịch vụ mật mã dân sự có thời hạn không quá 06 thángtrong các trường hợp sau đây:

a) Cung cấp sản phẩm, dịch vụkhông đúng với nội dung ghi trên Giấy phép;

b) Không đáp ứng được một trongcác điều kiện quy định tại khoản 2 Điều 31 của Luật này;

c) Các trường hợp khác theo quy định của pháp luật.

5. Doanh nghiệp bị thu hồi Giấyphép kinh doanh sản phẩm, dịch vụ mật mã dân sự trong các trường hợp sau đây:

a) Không triển khai cung cấp dịchvụ trong thời hạn 01 năm kể từ ngày được cấp Giấy phép mà không có lý do chínhđáng;

b) Giấy phép đã hết hạn;

c) Hết thời hạn tạm đình chỉ màdoanh nghiệp không khắc phục được các lý do quy định tại khoản 4 Điều này.

Điều 34.Xuất khẩu, nhập khẩu sản phẩm mật mã dân sự

1. Khi xuất khẩu, nhập khẩu sản phẩmmật mã dân sự thuộc Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theogiấy phép, doanh nghiệp phải có Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mãdân sự do cơ quan nhà nước có thẩm quyền cấp.

2. Doanh nghiệp được cấp Giấy phépxuất khẩu, nhập khẩu sản phẩm mật mã dân sự khi đáp ứng đủ các điều kiện sauđây:

a) Có Giấy phép kinh doanh sản phẩm,dịch vụ mật mã dân sự;

b) Sản phẩm mật mã dân sự nhập khẩuphải được chứng nhận, công bố hợp quy theo quy định tại Điều 39 của Luật này;

c) Đối tượng và mục đích sử dụng sảnphẩm mật mã dân sự không gây phương hại đến quốc phòng, an ninh quốc gia và trậttự, an toàn xã hội.

3. Hồ sơ đề nghị cấp Giấy phép xuấtkhẩu, nhập khẩu sản phẩm mật mã dân sự gồm:

a) Đơn đề nghị cấp Giấy phép xuấtkhẩu, nhập khẩu sản phẩm mật mã dân sự;

b) Bản sao Giấy phép kinh doanh sảnphẩm, dịch vụ mật mã dân sự;

c) Bản sao Giấy chứng nhận hợp quyđối với sản phẩm mật mã dân sự nhập khẩu.

4. Trong thời hạn 10 ngày làm việckể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp Giấy phép xuấtkhẩu, nhập khẩu sản phẩm mật mã dân sự cho doanh nghiệp; trường hợp từ chối cấpthì phải thông báo bằng văn bản và nêu rõ lý do.

5. Chính phủban hành Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép vàquy định chi tiết Điều này.

Điều 35.Trách nhiệm của doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự

1. Quản lý hồ sơ, tài liệu vềgiải pháp kỹ thuật, công nghệ của sản phẩm.

2. Lập, lưu giữ và bảo mậtthông tin của khách hàng, tên, loại hình, số lượng và mục đích sử dụng của sảnphẩm, dịch vụ mật mã dân sự.

3. Định kỳ hằng năm báo cáoBan Cơ yếu Chính phủ về tình hình kinh doanh, xuất khẩu, nhập khẩu sản phẩm, dịchvụ mật mã dân sự và tổng hợp thông tin khách hàng trước ngày 31 tháng 12.

4. Có các biện pháp bảo đảm anninh, an toàn trong vận chuyển và bảo quản sản phẩm mật mã dân sự.

5. Từ chối cung cấp sản phẩm,dịch vụ mật mã dân sự khi phát hiện tổ chức, cá nhân vi phạm pháp luật về sử dụngsản phẩm, dịch vụ mật mã dân sự, vi phạm cam kết đã thỏa thuận về sử dụng sảnphẩm, dịch vụ do doanh nghiệp cung cấp.

6. Tạm ngừng hoặc ngừng cung cấpsản phẩm, dịch vụ mật mã dân sự để bảo đảm quốc phòng, an ninh quốc gia, trật tự,an toàn xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền.

7. Phối hợp, tạo điều kiện cho cơ quan nhà nướccó thẩm quyền thực hiện các biện pháp nghiệp vụ khi có yêu cầu.

Điều 36.Trách nhiệm của tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân sự

1. Tuân thủ các quy định đã cam kếtvới doanh nghiệp cung cấp sản phẩm mật mã dân sự về quảnlý sử dụng khóa mã, chuyển nhượng, sửa chữa, bảo dưỡng, bỏ,tiêu hủy sản phẩm mật mã dân sự và các nội dung khác có liên quan.

2. Cung cấp các thông tin cần thiếtliên quan tới khóa mã cho cơ quan nhà nước có thẩm quyền khi có yêu cầu.

3. Phối hợp, tạođiều kiện cho cơ quan nhà nước có thẩm quyền thực hiện các biện pháp ngăn ngừatội phạm đánh cắp thông tin, khóa mã và sử dụng sản phẩm mật mã dân sự vào nhữngmục đích không hợp pháp.

4. Tổ chức, cá nhân sử dụng sản phẩmmật mã dân sự không do doanh nghiệp được cấp phép kinh doanh sản phẩm mật mãdân sự cung cấp phải khai báo với Ban Cơ yếu Chính phủ, trừ cơ quan đại diệnngoại giao, cơ quan lãnh sự của nước ngoài và cơ quan đại diện của tổ chức quốctế liên Chính phủ tại Việt Nam.

Chương IV

TIÊU CHUẨN, QUYCHUẨN KỸ THUẬT AN TOÀN THÔNG TIN MẠNG

Điều 37.Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng

1. Tiêu chuẩn an toàn thông tin mạnggồm tiêu chuẩn quốc tế, tiêu chuẩn khu vực, tiêu chuẩn nước ngoài, tiêu chuẩn quốcgia và tiêu chuẩn cơ sở đối với hệ thống thông tin, phần cứng, phần mềm, hệ thốngquản lý, vận hành an toàn thông tin mạng được công bố, thừa nhận áp dụng tại ViệtNam.

2. Quy chuẩn kỹ thuật an toànthông tin mạng gồm quy chuẩn kỹ thuật quốc gia và quy chuẩn kỹ thuật địa phươngđối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành antoàn thông tin mạng được xây dựng, ban hành và áp dụng tại Việt Nam.

Điều 38.Quản lý tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng

1. Chứng nhận hợp quy về an toàn thông tin mạnglà việc tổ chức chứng nhận sự phù hợp chứng nhận hệ thống thông tin, phần cứng,phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng phù hợp với quy chuẩnkỹ thuật an toàn thông tin mạng.

2. Công bố hợp quy về an toàn thông tin mạng làviệc tổ chức, doanh nghiệp công bố về sự phù hợp của hệ thống thông tin, phần cứng,phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng với quy chuẩn kỹthuật an toàn thông tin mạng.

3. Chứng nhận hợp chuẩn về an toàn thông tin mạnglà việc tổ chức chứng nhận sự phù hợp chứng nhận hệ thống thông tin, phần cứng,phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng phù hợp với tiêuchuẩn an toàn thông tin mạng.

4. Công bố hợp chuẩn về an toàn thông tin mạnglà việc tổ chức, doanh nghiệp công bố về sự phù hợp của hệ thống thông tin, phầncứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng với tiêu chuẩnan toàn thông tin mạng.

5. Bộ Khoa học và Công nghệ chủ trì, phối hợp vớicơ quan có liên quan tổ chức thẩm định và công bố tiêu chuẩn quốc gia về antoàn thông tin mạng theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật.

6. Bộ Thông tin và Truyền thông có trách nhiệmsau đây:

a) Xây dựng dự thảo tiêu chuẩn quốc gia an toànthông tin mạng, trừ tiêu chuẩn quốc gia quy định tại khoản 7 Điều này;

b) Ban hành quy chuẩn kỹ thuật quốc gia an toànthông tin mạng, trừ quy chuẩn quốc gia quy định tại khoản 7 Điều này; quy địnhvề đánh giá hợp quy về an toàn thông tin mạng;

c) Quản lý chất lượng sản phẩm, dịch vụ an toànthông tin mạng, trừ sản phẩm, dịch vụ mật mã dân sự;

d) Đăng ký, chỉ định và quản lý hoạt động của tổchức chứng nhận sự phù hợp về an toàn thông tin mạng, trừ tổ chức chứng nhận sựphù hợp đối với sản phẩm, dịch vụ mật mã dân sự.

7. Ban Cơ yếu Chính phủ có trách nhiệmgiúp Bộ trưởng Bộ Quốc phòng xây dựng dự thảo tiêu chuẩn quốc gia đối với sảnphẩm, dịch vụ mật mã dân sự trình cơ quan nhà nước có thẩm quyền công bố và hướngdẫn thực hiện; xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹthuật quốc gia đối với sản phẩm, dịch vụ mật mã dân sự, chỉ định và quản lý hoạtđộng của tổ chức chứng nhận sự phù hợp đối với sản phẩm, dịch vụ mật mã dân sự;quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự.

8. Ủy ban nhân dân cấp tỉnh xây dựng, ban hànhvà hướng dẫn thực hiện quy chuẩn kỹ thuật địa phương về an toàn thông tin mạng;quản lý chất lượng sản phẩm, dịch vụ an toàn thông tin mạng trên địa bàn.

Điều 39.Đánh giá hợp chuẩn, hợp quy về an toàn thông tin mạng

1. Việc đánh giá hợp chuẩn, hợp quy về an toànthông tin mạng được thực hiện trong các trường hợp sau đây:

a) Trước khi tổ chức, cá nhân đưa sản phẩm antoàn thông tin mạng vào lưu thông trên thị trường phải thực hiện chứng nhận hợpquy hoặc công bố hợp quy và sử dụng dấu hợp quy;

b) Phục vụ hoạt động quản lý nhà nước về an toànthông tin mạng.

2. Việc đánh giá hợp chuẩn, hợp quy về an toànthông tin mạng phục vụ hệ thống thông tin quan trọng quốc gia và phục vụ hoạt độngquản lý nhà nước về an toàn thông tin mạng được thực hiện tại tổ chức chứng nhậnsự phù hợp do Bộ trưởng Bộ Thông tin và Truyền thông chỉ định.

3. Việc đánh giá hợp chuẩn, hợp quy đối với sảnphẩm, dịch vụ mật mã dân sự được thực hiện tại tổ chức chứng nhận sự phù hợp doBộ trưởng Bộ Quốc phòng chỉ định.

4. Việc thừa nhận kết quả đánh giá hợp chuẩn, hợpquy về an toàn thông tin mạng giữa Việt Nam với quốc gia, vùng lãnh thổ khác,giữa tổ chức chứng nhận sự phù hợp của Việt Nam với tổ chức chứng nhận sự phù hợpcủa quốc gia, vùng lãnh thổ khác được thực hiện theo quy định của pháp luật vềtiêu chuẩn, quy chuẩn kỹ thuật.

Chương V

KINH DOANH TRONG LĨNH VỰCAN TOÀN THÔNG TIN MẠNG

Mục 1. CẤP GIẤY PHÉP KINHDOANH SẢN PHẨM, DỊCH VỤ AN TOÀN THÔNG TIN MẠNG

Điều 40.Kinh doanh trong lĩnh vực an toàn thông tin mạng

1. Kinh doanh trong lĩnh vực an toàn thông tin mạnglà ngành, nghề kinh doanh có điều kiện. Kinh doanh trong lĩnh vực an toàn thôngtin mạng gồm kinh doanh sản phẩm an toàn thông tin mạng và kinh doanh dịch vụan toàn thông tin mạng.

2. Doanh nghiệp kinh doanh sản phẩm, dịch vụ antoàn thông tin mạng quy định tại Điều 41 của Luật này phải có Giấy phép kinhdoanh sản phẩm, dịch vụ an toàn thông tin mạng do cơ quan nhà nước có thẩm quyềncấp. Thời hạn của Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạnglà 10 năm.

3. Việc kinh doanh sản phẩm, dịch vụ an toànthông tin mạng phải tuân thủ quy định của Luật này và quy định khác của pháp luậtcó liên quan.

Điều kiện kinh doanh, trình tự thủ tục cấp Giấyphép kinh doanh sản phẩm, dịch vụ mật mã dân sự, việc xuất khẩu, nhập khẩu sảnphẩm mật mã dân sự, trách nhiệm của doanh nghiệp kinh doanh sản phẩm, dịch vụ mậtmã dân sự và việc sử dụng sản phẩm, dịch vụ mật mã dân sự thực hiện theo quy địnhtại Chương III của Luật này.

Điều kiện kinh doanh, trình tự, thủ tục cấp Giấyphép kinh doanh dịch vụ chứng thực chữ ký điện tử thực hiện theo quy định củapháp luật về giao dịch điện tử.

Điều 41. Sản phẩm, dịch vụtrong lĩnh vực an toàn thông tin mạng

1. Dịch vụ an toàn thông tin mạng gồm:

a) Dịch vụ kiểm tra, đánh giá an toàn thông tinmạng;

b) Dịch vụ bảo mật thông tin không sử dụng mậtmã dân sự;

c) Dịch vụ mật mã dân sự;

d) Dịch vụ chứng thực chữ ký điện tử;

đ) Dịch vụ tư vấn an toàn thông tin mạng;

e) Dịch vụ giám sát an toàn thông tin mạng;

g) Dịch vụ ứng cứu sự cố an toàn thông tin mạng;

h) Dịch vụ khôi phục dữ liệu;

i) Dịch vụ phòng ngừa, chống tấn công mạng;

k) Dịch vụ an toàn thông tin mạng khác.

2. Sản phẩm an toàn thông tin mạng gồm:

a) Sản phẩm mật mã dân sự;

b) Sản phẩm kiểm tra, đánh giá an toàn thông tinmạng;

c) Sản phẩm giám sát an toàn thông tin mạng;

d) Sản phẩm chống tấn công, xâm nhập;

đ) Sản phẩm an toàn thông tin mạng khác.

3. Chính phủ quy định chi tiết danh mục sản phẩm,dịch vụ an toàn thông tin mạng quy định tại điểm k khoản 1 và điểm đ khoản 2 Điềunày.

Điều 42. Điều kiện cấp Giấyphép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp được cấp Giấy phép kinh doanh sảnphẩm, dịch vụ an toàn thông tin mạng, trừ sản phẩm, dịch vụ quy định tại các điểma, b, c, d khoản 1 và điểm a khoản 2 Điều 41 của Luật này, khi đáp ứng đủ cácđiều kiện sau đây:

a) Phù hợp với chiến lược, quy hoạch, kế hoạch phát triển an toàn thông tin mạng quốcgia;

b) Có hệ thống trang thiết bị, cơsở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ an toàn thông tin mạng;

c) Có đội ngũ quản lý, điều hành,kỹ thuật đáp ứng được yêu cầu chuyên môn về an toàn thông tin;

d) Có phương án kinh doanh phù hợp.

2. Doanh nghiệp được cấp Giấy phépkinh doanh dịch vụ kiểm tra, đánh giá an toàn thông tin mạng khi đáp ứng đủ cácđiều kiện sau đây:

a) Các điều kiện quy định tại khoản1 Điều này;

b) Là doanh nghiệp được thành lậpvà hoạt động hợp pháp trên lãnh thổ Việt Nam, trừ doanh nghiệp có vốn đầu tư nướcngoài;

c) Người đại diện theo pháp luật,đội ngũ quản lý, điều hành, kỹ thuật là công dân Việt Nam thường trú tại ViệtNam;

d) Có phương án kỹ thuật phù hợp vớitiêu chuẩn, quy chuẩn kỹ thuật;

đ) Có phương án bảo mật thông tinkhách hàng trong quá trình cung cấp dịch vụ;

e) Đội ngũ quản lý, điều hành, kỹthuật có văn bằng hoặc chứng chỉ chuyên môn về kiểm tra, đánh giá an toàn thôngtin.

3. Doanh nghiệp được cấp Giấy phépkinh doanh dịch vụ bảo mật thông tin không sử dụng mật mã dân sự khi đáp ứng đủcác điều kiện sau đây:

a) Các điều kiện quy định tại cácđiểm a, b, c, d và đ khoản 2 Điều này;

b) Đội ngũ quản lý điều hành, kỹthuật có văn bằng hoặc chứng chỉ chuyên môn về bảo mật thông tin.

4. Chính phủquy định chi tiết Điều này.

Điều 43. Hồ sơ đề nghị cấpGiấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp đề nghị cấp Giấy phép kinh doanhsản phẩm, dịch vụ an toàn thông tin mạng nộp hồ sơ đề nghị cấp Giấy phép tại BộThông tin và Truyền thông.

2. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm,dịch vụ an toàn thông tin mạng được lập thành năm bộ, gồm:

a) Đơn đề nghị cấp Giấy phép kinh doanh sản phẩm,dịch vụ an toàn thông tin mạng, trong đó nêu rõ loại hình sản phẩm, dịch vụ antoàn thông tin mạng sẽ kinh doanh;

b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp,Giấy chứng nhận đăng ký đầu tư hoặcgiấy tờ khác có giá trị tương đương;

c) Bản thuyết minh hệ thống thiết bị kỹ thuật bảođảm phù hợp với quy định của pháp luật;

d) Phương án kinh doanh gồm phạm vi, đối tượngcung cấp sản phẩm, dịch vụ, tiêu chuẩn, chất lượng sản phẩm, dịch vụ;

đ) Bản sao văn bằng hoặc chứng chỉ chuyên môn vềan toàn thông tin của đội ngũ quản lý, điều hành, kỹ thuật.

3. Ngoài giấy tờ, tài liệu quy định tại khoản 2Điều này, hồ sơ đề nghị cấp Giấy phép kinh doanh dịch vụkiểm tra, đánh giá an toàn thông tin hoặc dịch vụ bảo mật thông tin không sử dụngmật mã dân sự c