Căn cứ xác lập hệ thống thông tin quan trọng về an ninh quốc gia
Dự thảo Nghị định này gồm 6 chương 30 điều, quy định chi tiết khoản 4 Điều 10, khoản 5 Điều 12, điểm d khoản 1 Điều 23, khoản 7 Điều 24, điểm b khoản 2 và khoản 4 Điều 26, khoản 5 Điều 36 Luật An ninh mạng.
Như vậy, dự thảo sẽ hướng dẫn thực hiện các quy định sau: Xác lập danh mục, cơ chế phối hợp, điều kiện bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia; Phối hợp thẩm định, kiểm tra, giám sát đối với hệ thống thông tin đồng thời thuộc danh mục hệ thống thông tin quan trọng về an ninh quốc gia và danh mục hệ thống thông tin quan trọng quốc gia; Điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; Trình tự, thủ tục thẩm định, đánh giá, kiểm tra, ứng phó, khắc phục sự cố an ninh mạng; Triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước, tổ chức chính trị ở Trung ương và địa phương; Lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Tại khoản 2 Điều 10 Luật An ninh mạng, “Hệ thống thông tin quan trọng về an ninh quốc gia bao gồm: a) Hệ thống thông tin quân sự, an ninh, ngoại giao, cơ yếu; b) Hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước; c) Hệ thống thông tin phục vụ lưu giữ, bảo quản hiện vật, tài liệu có giá trị đặc biệt quan trọng; d) Hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi trường sinh thái; đ) Hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý cơ sở vật chất đặc biệt quan trọng khác liên quan đến an ninh quốc gia; e) Hệ thống thông tin quan trọng phục vụ hoạt động của cơ quan, tổ chức ở Trung ương; g) Hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên và môi trường, hóa chất, y tế, văn hóa, báo chí; h) Hệ thống điều khiển và giám sát tự động tại công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia”.
Điều 3 Dự thảo Nghị định hướng dẫn, khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại hệ thống này sẽ gây ra một trong các hậu quả sau đây: 1. Trực tiếp tác động đến sự tồn tại của chế độ và Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; 2. Gây tổn hại nghiêm trọng đến quốc phòng, an ninh quốc gia; làm suy yếu khả năng phòng thủ bảo vệ Tổ quốc; 3. Trở thành phương tiện thông tin, tuyên truyền chống lại chính quyền nhà nước, lật đổ chế độ; 4. Gây hậu quả đặc biệt nghiêm trọng đến nền kinh tế quốc dân; 5. Gây thảm họa đối với đời sống con người, môi trường sinh thái; 6. Ảnh hưởng nghiêm trọng đến cơ sở hạ tầng không gian mạng quốc gia; 7. Ảnh hưởng nghiêm trọng đến hoạt động của công trình xây dựng cấp I và cấp đặc biệt theo phân cấp của pháp luật về xây dựng; 8. Ảnh hưởng nghiêm trọng đến hoạt động nghiên cứu, hoạch định chủ trương, chính sách thuộc phạm vi bí mật nhà nước; 9. Ảnh hưởng nghiêm trọng đến sự chỉ đạo điều hành trực tiếp của các cơ quan Đảng, Nhà nước ở Trung ương.
Dự thảo này cũng nêu rõ, doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet bố trí mặt bằng, cổng kết nối và các biện pháp kỹ thuật cần thiết để lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an thực hiện nhiệm vụ bảo đảm an ninh mạng.
Những dữ liệu gì phải lưu trữ thông tin?
Khoản 1 Điều 23 dự thảo Nghị định nêu rõ, căn cứ tính chất quan trọng của hệ thống thông tin, thông tin lưu trữ, truyền đưa trên hệ thống thông tin, phương án ứng phó, khắc phục sự cố an ninh mạng có thể bao gồm: a) Phương án phòng ngừa, xử lý thông tin có nội dung tuyên truyền chống Nhà nước CHXHCN Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế bị đăng tải trên hệ thống thông tin; b) Phương án phòng, chống gián điệp mạng; bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên hệ thống thông tin; c) Phương án phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội; d) Phương án phòng, chống tấn công mạng; đ) Phương án phòng, chống khủng bố mạng; e) Phương án phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng.
Điều 24 quy định về dữ liệu phải lưu trữ tại Việt Nam, theo đó, dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam gồm 19 trường thông tin: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khỏe, hồ sơ y tế, sinh trắc học. Những thông tin này phải lưu trữ theo thời gian hoạt động của doanh nghiệp, hoặc đến khi không còn cung cấp dịch vụ.
Bên cạnh đó, dữ liệu phải lưu trữ tại Việt Nam còn bao gồm dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra (thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị) và dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam (bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác). Những dữ liệu này lưu trữ trong thời gian tối thiểu là 36 tháng…
Điều 25 đề xuất, doanh nghiệp trong và ngoài nước có đầy đủ các điều kiện sau đây phải lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam: a) Là doanh nghiệp cung cấp một trong các dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng có hoạt động kinh doanh tại Việt Nam sau đây: Dịch vụ viễn thông; Dịch vụ lưu trữ, chia sẻ dữ liệu trên không gian mạng; Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam; Thương mại điện tử; Thanh toán trực tuyến; Trung gian thanh toán; Dịch vụ kết nối vận chuyển qua không gian mạng; Mạng xã hội và truyền thông xã hội; Trò chơi điện tử trên mạng; Thư điện tử; b) Có hoạt động thu thập, khai thác, phân tích, xử lý các loại dữ liệu quy định tại Điều 24 Nghị định này; c) Để cho người sử dụng dịch vụ thực hiện hành vi được quy định tại khoản 1, 2 Điều 8 Luật An ninh mạng (Các hành vi bị nghiêm cấm về an ninh mạng); d) Vi phạm quy định tại khoản 4 Điều 8, điểm a hoặc điểm b khoản 2 Điều 26 Luật An ninh mạng.
Bộ trưởng Bộ Công an yêu cầu doanh nghiệp đủ điều kiện nói trên lưu trữ dữ liệu quy định tại Điều 24 Nghị định này và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Các doanh nghiệp không chấp hành quy định đó thì tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật.
Dự kiến, Nghị định này có hiệu lực cùng thời gian có hiệu lực của Luật An ninh mạng - ngày 01/01/2019. Trong thời hạn 12 tháng kể từ ngày Bộ trưởng Bộ Công an yêu cầu, các doanh nghiệp quy định tại Điều 25 Nghị định này phải lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam./.
