Luật An ninh mạng Những lưu ý với doanh nghiệp Viện Nghiên Cứu Chính sách Phát triển Truyền thơng (IPS) Hà Nội, ngày 16 tháng 8, 2018 Nội dung trình bày Phần Những điểm bật Luật Phần vấn đề nhóm doanh nghiệp Phần Tiến trình dự thảo Nghị định hướng dẫn – Doanh nghiệp cần làm gì? Phần Cơ quan thực thi Luật An ninh mạng – xu hướng lưu ý Phần Những điểm bật Luật Dịch chuyển thẩm quyền Những vấn đề cũ „cơ quan quản lý nhà nước‟ lĩnh vực Cyber Attack Content / Data Thơng tin „xấu, độc‟ An ninh thông tin Lực lượng chuyên trách an ninh mạng Văn hướng dẫn • Nghị định • Quyết định Phần vấn đề nhóm doanh nghiệp cần lưu ý vấn đề Hệ thống thơng tin quan trọng an ninh quốc gia Trách nhiệm với liệu người dùng Thơng tin xấu, độc – chặn, xóa, gỡ, cắt dịch vụ Phương án bảo vệ ANM; báo cáo ANM, cảnh báo cố ANM Đánh giá điều kiện ANM; Thẩm tra, kiểm tra ANM Xác thực tài khoản người dùng Trách nhiệm Doanh nghiệp với thông tin „xấu, độc‟ Điều 26 b) Ngăn chặn việc chia sẻ thơng tin, xóa bỏ thông tin dịch vụ hệ thống thông tin quan, tổ chức trực tiếp quản lý chậm 24 kể từ thời điểm có yêu cầu lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Cơng an quan có thẩm quyền Bộ Thông tin Truyền thông lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật an ninh mạng thời gian theo quy định Chính phủ; c) Không cung cấp ngừng cung cấp dịch vụ mạng viễn thông, mạng Internet, dịch vụ gia tăng cho tổ chức, cá nhân đăng tải khơng gian mạng có u cầu lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an quan có thẩm quyền Bộ Thơng tin Truyền thông Hệ thống hạ tầng thông tin Điều 10 Hệ thống thông tin quan trọng an ninh quốc gia Hệ thống thông tin quan trọng an ninh quốc gia hệ thống thông tin bị cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, công phá hoại xâm phạm nghiêm trọng an ninh mạng Hệ thống thông tin quan trọng an ninh quốc gia bao gồm: a) Hệ thống thông tin quân sự, an ninh, ngoại giao, yếu; b) Hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước; c) Hệ thống thơng tin phục vụ lưu giữ, bảo quản vật, tài liệu có giá trị đặc biệt quan trọng; d) Hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm người, môi trường sinh thái; đ) Hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý sở vật chất đặc biệt quan trọng khác liên quan đến an ninh quốc gia; e) Hệ thống thông tin quan trọng phục vụ hoạt động quan, tổ chức trung ương; g) Hệ thống thông tin quốc gia thuộc lĩnh vực lượng, tài chính, ngân hàng, viễn thơng, giao thơng vận tải, tài ngun mơi trường, hóa chất, y tế, văn hóa, báo chí; h) Hệ thống điều khiển giám sát tự động cơng trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng an ninh quốc gia Thẩm quyền lực lượng An ninh mạng với hạ tầng thông tin – Hệ thống thông tin quan trọng an ninh quốc gia a) Thẩm định an ninh mạng; b) Đánh giá điều kiện an ninh mạng; c) Kiểm tra an ninh mạng; d) Giám sát an ninh mạng; Đối tượng kiểm tra gồm gì? Khoản 3, Điều 13 a) Hệ thống phần cứng, phần mềm, thiết bị số sử dụng hệ thống thông tin; b) Quy định, biện pháp bảo vệ an ninh mạng; c) Thông tin lưu trữ, xử lý, truyền đưa hệ thống thơng tin; d) Phương án ứng phó, khắc phục cố an ninh mạng chủ quản hệ thống thông tin; đ) Biện pháp bảo vệ bí mật nhà nước phòng, chống lộ, bí mật nhà nước qua kênh kỹ thuật; e) Nhân lực bảo vệ an ninh mạng Doanh nghiệp không thuộc „hệ thống thông tin quan trọng an ninh quốc gia‟ ? Điều 24 Kiểm tra an ninh mạng hệ thống thông tin quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng an ninh quốc gia Kiểm tra an ninh mạng khi: a) Khi có hành vi vi phạm pháp luật an ninh mạng xâm phạm an ninh quốc gia gây tổn hại nghiêm trọng trật tự, an toàn xã hội; b) Khi có đề nghị chủ quản hệ thống thông tin; Một số vấn đề tuân thủ khác • Phương án bảo vệ an ninh mạng(Điều 41) – (Doanh nghiệp cung cấp dịch vụ không gian mạng) • Cảnh báo đến người dùng nguy rủi ro an ninh mạng (Điều 41) • Bảo vệ trẻ em không gian mạng: nội dung ‟xấu‟ trẻ em • Văn phòng đại diện với doanh nghiệp nước (Điều 26) Thực thi luật ANM – thẩm quyền quản lý nhà nước ai? • Sáp nhập Cục An ninh mạng Cục Cảnh sát phòng chống tội phạm cơng nghệ cao; • Lực lượng chuyên trách An ninh mạng; • Cơ quan quản lý ???: „chủ quản‟ + Lực lượng chuyên trách an ninh mạng: + Bộ Thông tin Truyền thông; + Bộ „chủ quản‟ Phần Tiến trình dự thảo Nghị định hướng dẫn – doanh nghiệp cần làm gì? Văn hướng dẫn thi hành – doanh nghiệp cần làm gì? • Nghị định: quy định cụ thể hoá nội dung + thủ tục • Quyết định: Danh mục hệ thống thông tin quan trọng an ninh quốc gia • Các Vấn đề cần tiếp tục hướng dẫn: + Dữ liệu người dùng cần lưu Việt Nam – liên quan đến chi phí kinh doanh Doanh nghiệp? + ”Hệ thống thông tin‟ cụ thể nằm hệ thống thông tin quan trọng an ninh quốc gia? + Xác thực ‟tài khoản số‟ – loại tài khoản số lĩnh vực nào? + Văn phòng đại diện doanh nghiệp nước ngồi? Tiến trình soạn thảo góp ý cho dự thảo nghị định • Cơ quan soạn thảo: Bộ Công An (Cục An ninh mạng) • Dự kiến trình Chính phủ: tháng 10 • Thời hạn góp ý với Nghị định • Các kênh góp ý • Các kênh cập nhật thơng tin Phần Cơ quan thực thi Luật An ninh mạng – xu hướng lưu ý Xu hướng dài hạn ANM – Bảo vệ liệu người dùng • Tăng cường quyền riêng tư khả kiểm sốt liệu người dùng; • Xu hướng siết/tăng cường pháp lý với bảo vệ liệu áp đặt trách nhiệm nghiêm ngặt với Doanh nghiệp • GDPR • Trách nhiệm doanh nghiệp: chủ động bảo vệ người dùng/khách hàng Các quy định phổ biến bảo vệ liệu Ấn Độ Indonesia Hàn Quốc Việt Nam Có Liên minh Châu Âu Khơng Có phần Có Có phần Có Có Có Có Có Có Có Khơng Có Có Khơng Có Khơng Có Khơng Khơng Khơng Có Có Có Có Khơng Quyền lãng qn Có Có Có Khơng Khơng Có Có Cảnh báo vi phạm Khơng Có Có Khơng Có Có Khơng Đánh giá tác động Khơng Có Có Khơng Khơng Khơng Khơng Cán bảo mật liệu Xử phạt vi phạm Yêu cầu truy cập Chính phủ u cầu lưu giữ liệu Khơng Khơng Có Khơng Khơng Có Khơng Có Có Có Khơng Có Khơng Có Có Có Khơng Có Khơng Khơng Có Có Khơng Khơng Có Khơng Khơng Có Brazil Trung Quốc Địa phương hóa liệu Đồng thuận thu thập liệu Không Đồng thuận trao đổi liệu cho bên thứ ba Quyền xem xét (Nguồn: European Center for International Political Economy, 2014) Tóm tắt – Những điều khoản cần lưu ý: • Điều – biện pháp bảo đảm an ninh mạng, gắn với thẩm quyền lực lượng chuyên trách an ninh mạng trách nhiệm phát sinh doanh nghiệp; • Điều 10 – hệ thống thơng tin quan trọng an ninh quốc gia • Điều 16 – „thơng tin xấu độc‟ • Điều 26 – trách nhiệm trực tiếp doanh nghiệp; • Điều 41 – số trách nhiệm tuân thủ khác XIN CẢM ƠN!