Quy định Luật an toàn thông tin mạng về bảo vệ thông tin cá nhân trên mạng
Ngày
19/11/2015, tại kỳ họp thứ 10 Quốc hội nước Cộng hòa XHCN Việt Nam khóa XIII đã
thông qua Luật An toàn thông tin mạng số 86/2015/QH13, có hiệu lực thi hành từ
ngày 01/7/2016. Luật gồm 54 điều, 8 chương, quy
định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ
chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu
chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực
an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản
lý nhà nước về an toàn thông tin mạng. Luật An toàn thông tin mạng năm 2015
được ban hành góp phần hoàn thiện cơ sở pháp lý theo hướng đồng bộ với hệ thống
pháp luật liên quan, bảo đảm an toàn, phát triển thông tin mạng đáp ứng yêu cầu
phát triển kinh tế, xã hội, an ninh quốc phòng, bảo vệ quyền và lợi ích hợp
pháp của tổ chức, cá nhân trong công tác thực thi quản lý nhà nước và mở rộng
hợp tác quốc tế trong lĩnh vực an toàn thông tin mạng của Việt Nam.
An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh
bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm
bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin. Mạng là môi trường trong đó
thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông
qua mạng viễn thông và mạng máy tính.
Luật an toàn thông tin mạng quy định về hoạt động an toàn thông tin
mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an
toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn
thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển
nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin
mạng.Luật này áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam, tổ chức, cá
nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn
thông tin mạng tại Việt Nam.
Nguyên tắc bảo đảm an toàn thông tin mạng
Cơ quan, tổ chức, cá nhân có trách nhiệm bảo
đảm an toàn thông tin mạng. Hoạt động an toàn thông tin mạng của cơ quan, tổ
chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh
quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, an toàn xã hội
và thúc đẩy phát triển kinh tế - xã hội.
Tổ chức, cá nhân không được xâm
phạm an toàn thông tin mạng của tổ chức, cá nhân khác.
Việc xử lý sự cố an toàn thông
tin mạng phải bảo đảm quyền và lợi ích hợp pháp của tổ chức, cá nhân, không xâm
phạm đến đời sống riêng tư, bí mật cá nhân, bí mật gia đình của cá nhân, thông
tin riêng của tổ chức.
Hoạt động an toàn thông tin mạng phải được
thực hiện thường xuyên, liên tục, kịp thời và hiệu quả.
Các hành vi bị nghiêm cấm
Ngăn chặn việc truyền tải thông
tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và
làm sai lệch thông tin trên mạng trái pháp luật.
Gây ảnh hưởng, cản trở trái
pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng
truy nhập hệ thống thông tin của người sử dụng.
Tấn công, vô hiệu hóa trái pháp
luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống
thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
Phát tán thư rác, phần mềm độc
hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
Thu thập, sử dụng, phát tán,
kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở,
điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
Xâm nhập trái pháp luật bí mật
mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ
thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp
sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ
nguồn gốc.
Nguyên tắc bảo vệ thông tin cá nhân trên mạng
Cá nhân tự bảo vệ thông tin cá
nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân
khi sử dụng dịch vụ trên mạng.
Cơ quan, tổ chức, cá nhân xử lý
thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông
tin do mình xử lý.
Tổ chức, cá nhân xử lý thông
tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông
tin cá nhân của tổ chức, cá nhân mình.
Việc bảo vệ thông tin cá nhân
thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên
quan.
Việc xử lý thông tin cá nhân
phục vụ mục đích bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội
hoặc không nhằm mục đích thương mại được thực hiện theo quy định khác của pháp
luật có liên quan.
Thu thập và sử dụng thông tin cá nhân
Tổ chức, cá nhân xử lý thông
tin cá nhân có trách nhiệm sau đây:
Tiến hành thu thập thông tin cá
nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích
của việc thu thập và sử dụng thông tin đó;
Chỉ sử dụng thông tin cá nhân
đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể
thông tin cá nhân;
Không được cung cấp, chia sẻ,
phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ
ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu
cầu của cơ quan nhà nước có thẩm quyền.
Cơ quan nhà nước chịu trách
nhiệm bảo mật, lưu trữ thông tin cá nhân do mình thu thập.
Chủ thể thông tin cá nhân có
quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá
nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ.
Cập nhật, sửa đổi và hủy bỏ thông tin cá nhân
Chủ thể thông tin cá nhân có
quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy
bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc
ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba.
Ngay khi nhận được yêu cầu của
chủ thể thông tin cá nhân về việc cập nhật, sửa đổi, hủy bỏ thông tin cá nhân
hoặc đề nghị ngừng cung cấp thông tin cá nhân cho bên thứ ba, tổ chức, cá nhân
xử lý thông tin cá nhân có trách nhiệm sau đây: Thực hiện yêu cầu và thông báo
cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền
tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình. Áp dụng
biện pháp phù hợp để bảo vệ thông tin cá nhân; thông báo cho chủ thể thông tin
cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc
yếu tố khác. Tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá
nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu
trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật
có quy định khác.
Bảo đảm an toàn thông tin cá nhân trên mạng. Tổ chức,
cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù
hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu
chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng.Khi xảy ra hoặc có
nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin
cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất.
Trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ
thông tin cá nhân trên mạng. Thiết lập kênh thông tin trực tuyến để
tiếp nhận kiến nghị, phản ánh của tổ chức, cá nhân liên quan đến bảo đảm an
toàn thông tin cá nhân trên mạng. Định kỳ hằng năm tổ chức thanh tra, kiểm tra
đối với tổ chức, cá nhân xử lý thông tin cá nhân; tổ chức thanh tra, kiểm tra
đột xuất trong trường hợp cần thiết.
Trách nhiệm của tổ chức, cá nhân trong
việc ngăn chặn xung đột thông tin trên mạng
Ngăn chặn thông tin phá hoại xuất phát từ hệ
thống thông tin của mình; hợp tác xác định nguồn, đẩy lùi, khắc phục hậu quả
tấn công mạng được thực hiện thông qua hệ thống thông tin của tổ chức, cá nhân
trong nước và nước ngoài; Ngăn chặn hành động của tổ chức, cá nhân trong nước
và nước ngoài có mục đích phá hoại tính nguyên vẹn của mạng; Loại trừ việc tổ
chức thực hiện hoạt động trái pháp luật trên mạng có ảnh hưởng nghiêm trọng đến
quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội của tổ chức, cá nhân
trong nước và nước ngoài.
Ngăn
chặn hoạt động sử dụng mạng để khủng bố. Vô hiệu
hóa nguồn Internet sử dụng để thực hiện hành vi khủng bố. Ngăn chặn việc thiết lập và mở rộng trao đổi
thông tin về các tín hiệu, nhân tố, phương pháp và cách sử dụng Internet để
thực hiện hành vi khủng bố, về mục tiêu và hoạt động của các tổ chức khủng bố
trên mạng. Trao đổi kinh nghiệm và thực tiễn kiểm soát các nguồn Internet, tìm
và kiểm soát nội dung của trang tin điện tử có mục đích khủng bố.