Luật gồm có 7 chương và 43 Điều, quy định những nội dung cơ bản về bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; phòng ngừa và xử lý hành vi xâm phạm an ninh mạng; triển khai hoạt động bảo vệ an ninh mạng và quy định trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
Bố cục của Luật An ninh mạng gồm:
Chương I. Những quy định chung, gồm 9 điều, (từ Điều 1 đến Điều 9), quy định về phạm vi điều chỉnh; giải thích từ ngữ; chính sách của Nhà nước về an ninh mạng; nguyên tắc và biện pháp bảo vệ an ninh mạng; bảo vệ không gian mạng quốc gia; hợp tác quốc tế về an ninh mạng; các hành vi bị nghiêm cấm về an ninh mạng; xử lý vi phạm pháp luật về an ninh mạng.
Chương II. Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, gồm 6 điều (từ Điều 10 đến Điều 15), quy định về hệ thống thông tin quan trọng về an ninh quốc gia; thẩm định, đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; kiểm tra, giám sát và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Chương III. Phòng ngừa, xử lý hành vi xâm phạm an ninh mạng, gồm7 điều (từ Điều 16 đến Điều 22), quy định về phòng ngừa, xử lý thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế; phòng, chống gián điệp mạng; bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng; phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội; phòng, chống tấn công mạng; phòng, chống khủng bố mạng; phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng; đấu tranh bảo vệ an ninh mạng.
Chương IV. Hoạt động bảo vệ an ninh mạng, gồm 7 điều (từ Điều 23 đến Điều 29), quy định về triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương; kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia; bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia; cổng kết nối mạng quốc tế; bảo đảm an ninh thông tin trên không gian mạng; nghiên cứu, phát triển an ninh mạng; nâng cao năng lực tự chủ về an ninh mạng; bảo vệ trẻ em trên không gian mạng.
Chương V. Bảo đảm hoạt động bảo vệ an ninh mạng, gồm 6 điều (từ Điều 30 đến Điều 35), quy định về lực lượng bảo vệ an ninh mạng; bảo đảm nguồn nhân lực bảo vệ an ninh mạng; tuyển chọn, đào tạo, phát triển lực lượng bảo vệ an ninh mạng; giáo dục, bồi dưỡng kiến thức, nghiệp vụ an ninh mạng; phổ biến kiến thức về an ninh mạng; kinh phí bảo vệ an ninh mạng.
Chương VI. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 7 điều (từ Điều 36 đến Điều 42), quy định về trách nhiệm của Bộ Công an; trách nhiệm của Bộ Quốc phòng; trách nhiệm của Bộ Thông tin và Truyền thông; trách nhiệm của Ban Cơ yếu Chính phủ; trách nhiệm của Bộ, ngành, ủy ban nhân dân cấp tỉnh; trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng; trách nhiệm của cơ quan, tổ chức, cá nhân sử dụng không gian mạng.
Điều 42. Trách nhiệm của cơ quan, tổ chức, cá nhân sử dụng không gian mạng
- Tuân thủ quy định của pháp luật về an ninh mạng.
- Kịp thời cung cấp thông tin liên quan đến bảo vệ an ninh mạng, nguy cơ đe dọa an ninh mạng, hành vi xâm phạm an ninh mạng cho cơ quan có thẩm quyền, lực lượng bảo vệ an ninh mạng.
- Thực hiện yêu cầu và hướng dẫn của cơ quan có thẩm quyền trong bảo vệ an ninh mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng.
Chương VII. Điều khoản thi hành, gồm 01 điều (Điều 43), quy định về hiệu lực thi hành.
Một số điểm mới và nổi bật nhất của Luật An ninh mạng năm 2018
1. Nghiêm cấm thông tin sai sự thật gây hoang mang trên mạng
Điều 8 của Luật này quy định nhiều hành vi bị nghiêm cấm trên môi trường mạng. Trong đó, nghiêm cấm việc sử dụng không gian mạng để thực hiện các hành vi như: Tổ chức, hoạt động, câu kết, xúi giục mua chuộc lừa gạt, lôi kéo người chống phá Nhà nước; xuyên tạc lịch sử; thông tin sai sự thật gây hoang mang; hoạt động mại dâm, tệ nạn xã hội; Sản xuất, đưa vào sử dụng phần mềm gây rối loạn hoạt động của mạng viễn thông, mạng Internet…
Bên cạnh đó, hành vi lợi dụng hoặc lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc để trục lợi cũng là một hành vi bị nghiêm cấm.
2. Doanh nghiệp nước ngoài phải lưu trữ dữ liệu người dùng tại Việt Nam
Khoản 3 Điều 26 của Luật yêu cầu doanh nghiệp trong nước và nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. Riêng doanh nghiệp nước ngoài phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
3. Ngừng cung cấp dịch vụ mạng khi có yêu cầu của cơ quan chức năng
Ngoài yêu cầu phải lưu trữ dữ liệu người dùng tại Việt Nam, tại Điểm c Khoản 2 Điều 26 của Luật quy định: Các doanh nghiệp trong và ngoài nước không được cung cấp hoặc phải ngừng cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên mạng thông tin bị nghiêm cấm (theo quy định tại Điều 8 của Luật này), khi có yêu cầu của lực lượng bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông.
4. Trách nhiệm của các Doanh nghiệp phải cung cấp thông tin người dùng để phục vụ điều tra
Điểm a khoản 2 Điều 26 của Luật quy định: Các Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải có trách nhiệm xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng. Và đặc biệt các doanh nghiệp nêu trên cũng phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.
5. Thông tin vi phạm trên mạng bị xóa bỏ trong vòng 24 giờ
Điểm b khoản 2 Điều 26 quy định: Khi người dùng chia sẻ những thông tin bị nghiêm cấm, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin vi phạm chậm nhất là 24 giờ, kể từ thời điểm có yêu cầu của lực lượng bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan của Bộ Thông tin và Truyền thông.
Đồng thời, doanh nghiệp phải lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian quy định.
6. Bảo vệ trẻ em trên không gian mạng
Đây là một quy định rất nhân văn của Luật An ninh mạng 2018. Theo đó, Điều 29 quy định: Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội, vui chơi, giải trí, giữ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên không gian mạng.
Các doanh nghiệp phải đảm bảo kiểm soát nội dung để không gây nguy hại cho trẻ em; đồng thời, xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em…
7. "Nghe lén" các cuộc đàm thoại được coi là hành vi gián điệp mạng
Các hành vi gián điệp mạng; xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng được liệt kê tại khoản 1 Điều 17 Luật An ninh mạng 2018, trong đó có:
- Đưa lên không gian mạng những thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trái quy định của pháp luật;
- Cố ý nghe, ghi âm, ghi hình trái phép các cuộc đàm thoại;
- Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân…
8. Khuyến khích cá nhân, tổ chức tham gia phổ biến kiến thức an ninh mạng
Nhà nước có chính sách phổ biến kiến thức về an ninh mạng trong phạm vi cả nước, khuyến khích cơ quan Nhà nước phối hợp với tổ chức tư nhân, cá nhân thực hiện chương trình giáo dục và nâng cao nhận thức về an ninh mạng.
Bộ, ngành, cơ quan, tổ chức có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức về an ninh mạng cho cán bộ, công chức trong Bộ, ngành, cơ quan, tổ chức. UBND cấp tỉnh có trách nhiệm phổ biến kiến thức cho cơ quan, tổ chức, cá nhân của địa phương.(các nội dung trên được quy định tại Điều 34 của Luật).
Bố cục của Luật An ninh mạng gồm:
Chương I. Những quy định chung, gồm 9 điều, (từ Điều 1 đến Điều 9), quy định về phạm vi điều chỉnh; giải thích từ ngữ; chính sách của Nhà nước về an ninh mạng; nguyên tắc và biện pháp bảo vệ an ninh mạng; bảo vệ không gian mạng quốc gia; hợp tác quốc tế về an ninh mạng; các hành vi bị nghiêm cấm về an ninh mạng; xử lý vi phạm pháp luật về an ninh mạng.
Chương II. Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, gồm 6 điều (từ Điều 10 đến Điều 15), quy định về hệ thống thông tin quan trọng về an ninh quốc gia; thẩm định, đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; kiểm tra, giám sát và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Chương III. Phòng ngừa, xử lý hành vi xâm phạm an ninh mạng, gồm7 điều (từ Điều 16 đến Điều 22), quy định về phòng ngừa, xử lý thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế; phòng, chống gián điệp mạng; bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng; phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội; phòng, chống tấn công mạng; phòng, chống khủng bố mạng; phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng; đấu tranh bảo vệ an ninh mạng.
Chương IV. Hoạt động bảo vệ an ninh mạng, gồm 7 điều (từ Điều 23 đến Điều 29), quy định về triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương; kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia; bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia; cổng kết nối mạng quốc tế; bảo đảm an ninh thông tin trên không gian mạng; nghiên cứu, phát triển an ninh mạng; nâng cao năng lực tự chủ về an ninh mạng; bảo vệ trẻ em trên không gian mạng.
Chương V. Bảo đảm hoạt động bảo vệ an ninh mạng, gồm 6 điều (từ Điều 30 đến Điều 35), quy định về lực lượng bảo vệ an ninh mạng; bảo đảm nguồn nhân lực bảo vệ an ninh mạng; tuyển chọn, đào tạo, phát triển lực lượng bảo vệ an ninh mạng; giáo dục, bồi dưỡng kiến thức, nghiệp vụ an ninh mạng; phổ biến kiến thức về an ninh mạng; kinh phí bảo vệ an ninh mạng.
Chương VI. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 7 điều (từ Điều 36 đến Điều 42), quy định về trách nhiệm của Bộ Công an; trách nhiệm của Bộ Quốc phòng; trách nhiệm của Bộ Thông tin và Truyền thông; trách nhiệm của Ban Cơ yếu Chính phủ; trách nhiệm của Bộ, ngành, ủy ban nhân dân cấp tỉnh; trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng; trách nhiệm của cơ quan, tổ chức, cá nhân sử dụng không gian mạng.
Điều 42. Trách nhiệm của cơ quan, tổ chức, cá nhân sử dụng không gian mạng
- Tuân thủ quy định của pháp luật về an ninh mạng.
- Kịp thời cung cấp thông tin liên quan đến bảo vệ an ninh mạng, nguy cơ đe dọa an ninh mạng, hành vi xâm phạm an ninh mạng cho cơ quan có thẩm quyền, lực lượng bảo vệ an ninh mạng.
- Thực hiện yêu cầu và hướng dẫn của cơ quan có thẩm quyền trong bảo vệ an ninh mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng.
Chương VII. Điều khoản thi hành, gồm 01 điều (Điều 43), quy định về hiệu lực thi hành.
Một số điểm mới và nổi bật nhất của Luật An ninh mạng năm 2018
1. Nghiêm cấm thông tin sai sự thật gây hoang mang trên mạng
Điều 8 của Luật này quy định nhiều hành vi bị nghiêm cấm trên môi trường mạng. Trong đó, nghiêm cấm việc sử dụng không gian mạng để thực hiện các hành vi như: Tổ chức, hoạt động, câu kết, xúi giục mua chuộc lừa gạt, lôi kéo người chống phá Nhà nước; xuyên tạc lịch sử; thông tin sai sự thật gây hoang mang; hoạt động mại dâm, tệ nạn xã hội; Sản xuất, đưa vào sử dụng phần mềm gây rối loạn hoạt động của mạng viễn thông, mạng Internet…
Bên cạnh đó, hành vi lợi dụng hoặc lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc để trục lợi cũng là một hành vi bị nghiêm cấm.
2. Doanh nghiệp nước ngoài phải lưu trữ dữ liệu người dùng tại Việt Nam
Khoản 3 Điều 26 của Luật yêu cầu doanh nghiệp trong nước và nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. Riêng doanh nghiệp nước ngoài phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
3. Ngừng cung cấp dịch vụ mạng khi có yêu cầu của cơ quan chức năng
Ngoài yêu cầu phải lưu trữ dữ liệu người dùng tại Việt Nam, tại Điểm c Khoản 2 Điều 26 của Luật quy định: Các doanh nghiệp trong và ngoài nước không được cung cấp hoặc phải ngừng cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên mạng thông tin bị nghiêm cấm (theo quy định tại Điều 8 của Luật này), khi có yêu cầu của lực lượng bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông.
4. Trách nhiệm của các Doanh nghiệp phải cung cấp thông tin người dùng để phục vụ điều tra
Điểm a khoản 2 Điều 26 của Luật quy định: Các Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải có trách nhiệm xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng. Và đặc biệt các doanh nghiệp nêu trên cũng phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.
5. Thông tin vi phạm trên mạng bị xóa bỏ trong vòng 24 giờ
Điểm b khoản 2 Điều 26 quy định: Khi người dùng chia sẻ những thông tin bị nghiêm cấm, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin vi phạm chậm nhất là 24 giờ, kể từ thời điểm có yêu cầu của lực lượng bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan của Bộ Thông tin và Truyền thông.
Đồng thời, doanh nghiệp phải lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian quy định.
6. Bảo vệ trẻ em trên không gian mạng
Đây là một quy định rất nhân văn của Luật An ninh mạng 2018. Theo đó, Điều 29 quy định: Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội, vui chơi, giải trí, giữ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên không gian mạng.
Các doanh nghiệp phải đảm bảo kiểm soát nội dung để không gây nguy hại cho trẻ em; đồng thời, xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em…
7. "Nghe lén" các cuộc đàm thoại được coi là hành vi gián điệp mạng
Các hành vi gián điệp mạng; xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng được liệt kê tại khoản 1 Điều 17 Luật An ninh mạng 2018, trong đó có:
- Đưa lên không gian mạng những thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trái quy định của pháp luật;
- Cố ý nghe, ghi âm, ghi hình trái phép các cuộc đàm thoại;
- Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân…
8. Khuyến khích cá nhân, tổ chức tham gia phổ biến kiến thức an ninh mạng
Nhà nước có chính sách phổ biến kiến thức về an ninh mạng trong phạm vi cả nước, khuyến khích cơ quan Nhà nước phối hợp với tổ chức tư nhân, cá nhân thực hiện chương trình giáo dục và nâng cao nhận thức về an ninh mạng.
Bộ, ngành, cơ quan, tổ chức có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức về an ninh mạng cho cán bộ, công chức trong Bộ, ngành, cơ quan, tổ chức. UBND cấp tỉnh có trách nhiệm phổ biến kiến thức cho cơ quan, tổ chức, cá nhân của địa phương.(các nội dung trên được quy định tại Điều 34 của Luật).
Nguyễn Anh Tuấn - Văn phòng Sở