Muốn kinh doanh mật mã, phải biết bảo mật

Theo khái niệm đưa ra tại Luật An toàn thông tin mạng vừa được QH thông qua,sản phẩm mật mã dân sự gồm hệ thống, thiết bị, mô đun và mạch tích hợp, phần mềm chuyên dụng sử dụng để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước bằng mật mã. Còn dịch vụ mật mã dân sự gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩm mật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân sự.

Luật An toàn thông tin mạng quy định muốn được kinh doanh sản phẩm, dịch vụ mật mã dân sự thuộc danh mục sản phẩm, dịch vụ mật mã dân sự phải cấp phép kinh doanh, doanh nghiệp phải có giấy phép kinh doanh sản phẩm. thuộc danh mục sản phẩm, dịch vụ mật mã dân sự phải cấp phép kinh doanh.

Để được cấp giấy phép kinh doanh, DN phải có đội ngũ quản lý điều hành và nhân viên kỹ thuật đáp ứng được yêu cầu chuyên môn về bảo mật và an toàn thông tin mạng; Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm và dịch vụ mật mã dân sự; Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật; Có phương án bảo mật và an toàn thông tin mạng trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dân sự; Có phương án kinh doanh phù hợp với quy định của pháp luật.

Sản phẩm mật mã dân sự phải được kiểm định, chứng nhận hợp chuẩn, hợp quy trước khi lưu hành.

Ban Cơ yếu Chính phủ có thẩm quyền cấp, đổi, thu hồi giấy phép

Doanh nghiệp đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự nộp hồ sơ tới Ban Cơ yếu Chính phủ. Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ thẩm định và cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; trường hợp từ chối cấp phép phải thông báo bằng văn bản và nêu rõ lý do. Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự có thời hạn 10 năm.

Doanh nghiệp phải đề nghị sửa đổi, bổ sung giấy phép trong các trường hợp sau: thay đổi tên doanh nghiệp được cấp phép; thay đổi người đại diện theo pháp luật; thay đổi, bổ sung nội dung danh mục sản phẩm và dịch vụ mật mã dân sự đã được cấp phép.

Luật cũng quy định các thủ tục, hồ sơ trong trường hợp thay đổi người đại diện theo pháp luật, bổ sung danh mục sản phẩm và dịch vụ mật mã dân sự đã được cấp phép…

Trường hợp giấy phép bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị và nêu rõ lý do đề nghị cấp lại giấy phép tới Ban Cơ yếu Chính phủ. Trong 05 ngày làm việc kể từ ngày nhận được đơn đề nghị cấp lại giấy phép, Ban Cơ yếu Chính phủ xem xét và cấp lại giấy phép cho doanh nghiệp; 

Doanh nghiệp không vi phạm các quy định của pháp luật về sản xuất, kinh doanh sản phẩm mật mã dân sự được gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ mật mã 01 lần trong thời gian không quá 01 năm.

Doanh nghiệp bị tạm đình chỉ hoạt động trong các trường hợp sau: cung cấp dịch vụ sai với nội dung ghi trên giấy phép; không đáp ứng được một trong các điều kiện về cấp phép trong quá trình kinh doanh. Thời hạn tạm đình chỉ không quá 06 tháng.

Doanh nghiệp bị thu hồi giấy phép trong các trường hợp sau: không đáp ứng đủ điều kiện quy định tại Điều 33 của Luật này; không triển khai sản xuất, kinh doanh trong thời hạn 01 năm kể từ ngày được cấp giấy phép;các trường hợp khác theo quy định của pháp luật.

Doanh nghiệp xuất khẩu, nhập khẩu sản phẩm mật mã dân sự thuộc Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép phải có Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự; Sản phẩm mật mã dân sự nhập khẩu thuộc Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép phải được chứng nhận, công bố hợp chuẩn, hợp quy. Trong thời hạn 20 ngày kể từ ngày nhận đủ hồ sơ, Ban Cơ yếu Chính phủ cấp giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự; trường hợp từ chối cấp phép phải thông báo bằng văn bản và nêu rõ lý do.

Đề phòng đánh cắp thông tin

Doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự phải có trách nhiệm quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ sản xuất; Lập, lưu giữ và bảo mật thông tin của khách hàng bao gồm: họ, tên, địa chỉ, mã của tổ chức, cá nhân; tên, loại hình, số lượng và mục đích sử dụng của sản phẩm, dịch vụ; Định kỳ hàng năm báo cáo Ban Cơ yếu Chính phủ về tình hình kinh doanh, xuất khẩu, nhập khẩu sản phẩm, dịch vụ mật mã dân sự và tổng hợp thông tin khách hàng trước ngày 31 tháng 12; Có các biện pháp đảm bảo an ninh, an toàn trong vận chuyển và bảo quản sản phẩm mật mã dân sự;  Từ chối cung cấp sản phẩm, dịch vụ mật mã dân sự khi phát hiện tổ chức, cá nhân vi phạm pháp luật về sử dụng sản phẩm, dịch vụ mật mã dân sự, vi phạm cam kết đã thỏa thuận về quy định sử dụng sản phẩm, dịch vụ do doanh nghiệp cung cấp…

Đối với  tổ chức, cá nhân sử dụng sản phẩm, dịch vụ mật mã dân sự phải tuân thủ các quy định đã cam kết với doanh nghiệp cung cấp sản phẩm mật mã dân sự về: quản lý sử dụng khóa mã, chuyển nhượng, sửa chữa, bảo dưỡng, bỏ, tiêu hủy sản phẩm mật mã dân sự và các nội dung khác có liên qua; Phối hợp và tạo điều kiện cho các cơ quan nhà nước có thẩm quyền thực hiện các biện pháp ngăn ngừa tội phạm đánh cắp thông tin, khóa mã và sử dụng sản phẩm mật mã dân sự vào những mục đích không hợp pháp.

Tổ chức, cá nhân có sử dụng sản phẩm mật mã không do doanh nghiệp được cấp phép kinh doanh sản phẩm mật mã dân sự cung cấp phải khai báo với Ban Cơ yếu Chính phủ; trừ cơ quan ngoại giao của nước ngoài và cơ quan đại diện của tổ chức quốc tế liên Chính phủ.

Trước khi luật ra đời, theo báo cáo của UBTVQH, tiếp thu ý kiến của các vị ĐBQH, các quy định về Mật mã dân sự đã được chỉnh sửa, bổ sung các quy định về quy trình, thủ tục cấp giấy phép, kiểm định, đánh giá hợp chuẩn, hợp quy sản phẩm, quản lý xuất nhập khẩu sản phẩm mật mã dân sự... trên cơ sở các quy định đã được kiểm nghiệm thực tế tại Nghị định 73/NĐ-CP/2007 ngày 08/5/2007 của Chính phủ. 

Hơn nữa, để phù hợp với Luật doanh nghiệp cũng như để giảm bớt các loại giấy phép, thống nhất với Chương V về kinh doanh an toàn thông tin, hai loại giấy phép sản xuất sản phẩm mật mã dân sự và giấy phép tiêu thụ sản phẩm mật mã dân sự được gộp lại thành một loại giấy phép là giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự.

Luật An toàn thông tin mạng có hiệu lực từ 1/7/2016