03 nội dung cần chú ý trong Nghị định hướng dẫn Luật an ninh mạng

Bộ Công an vừa công bố dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng để lấy ý kiến đóng góp từ ngày 2/11 đến 2/12. Dự thảo hướng dẫn một số quy định nổi bật được liệt kê như sau:

1. Kiểm soát truy cập đối với người sử dụng, nhóm người sử dụng thiết bị công cụ sử dụng:

- ...Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin quan trọng về an ninh quốc gia thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng;...

-...

2. Dữ liệu phải lưu trữ tại Việt Nam

-Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam, gồm: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khỏe, hồ sơ y tế,sinh trắc học.

- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra, gồm: thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị.

- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam, gồm: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.

3. Doanh nghiệp trong và nước phải lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam khi đủ các điều kiện sau:

+ Là doanh nghiệp cung cấp một trong các dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng có hoạt động kinh doanh tại Việt Nam sau đây:Dịch vụ viễn thông;Dịch vụ lưu trữ, chia sẻ dữ liệu trên không gian mạng;Cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam;Thương mại điện tử; Thanh toán trực tuyến;Trung gian thanh toán;Dịch vụ kết nối vận chuyển qua không gian mạng;Mạng xã hội và truyền thông xã hội; Trò chơi điện tử trên mạng;Thư điện tử;

+ Có hoạt động thu thập, khai thác, phân tích, xử lý các loại dữ liệu quy định tại Điều 24 Nghị định này gồm:

- Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam

- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra

- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam

+ Để cho người sử dụng dịch vụ thực hiện hành vi được quy định tại Khoản 1, 2 Điều 8 Luật An ninh mạng quy định về Các hành vi bị nghiêm cấm về an ninh mạng;

+ Vi phạm quy định tại Khoản 4 Điều 8 (“Chống lại hoặc cản trở hoạt động của lực lượng bảo vệ an ninh mạng; tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng biện pháp bảo vệ an ninh mạng”, điểm a hoặc điểm b khoản 2 Điều 26 Luật An ninh mạng quy định về Bảo đảm an ninh thông tin trên không gian mạng.

Xem chi tiết dự thảo tại file đính kèm:

Xin vui lòng Đăng nhập hoặc Đăng ký thành viên để tải file 'Dự thảo NĐ Quy định chi tiết một số điều của Luật An ninh mạng'

"không gian mạng" và "không gian mạng quốc gia"  đã được quy giải thích trong luật rồi

Điều 2. Giải thích từ ngữ

Trong Luật này, các từ ngữ dưới đây được hiểu như sau:

1. An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

2. Bảo vệ an ninh mạng là phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm an ninh mạng.

3. Không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu; là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian.

4. Không gian mạng quốc gia là không gian mạng do Chính phủ xác lập, quản lý và kiểm soát.

Công nhận là bạn as00016715 đã đọc khá kỹ bản dự thảo này

Tôi chưa thể đọc kỹ được như bạn, nhưng liên quan đến câu hỏi/ý kiến của bạn thì tôi có suy nghĩ như sau.

1. Phạm vi điều chỉnh của Luật An ninh mạng đã nói ở điều 1 là về "không gian mạng", không phải "không gian mạng quốc gia" hay "không gian mạng tại Việt Nam".

2. Nội dung giải thích ở điều 2.1 dự thảo nghị định là giải thích thế nào là "Doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam". Đây không phải là đối tượng điều chỉnh của luật hay của nghị định.

3. Việc đặt máy chủ tại Việt Nam thì được quy định tại khoản 3 điều 26 LANM và điều 24 dự thảo nghị định. Đọc đến đây thì tôi cũng ... bí . Bí ở chỗ khoản 3 điều 26 LANM có kèm theo điều kiện "có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam", nhưng dự thảo thì dường như đã bỏ đi điều kiện đó. Có nghĩa là trong ví dụ của bạn về doanh nghiệp A thì họ ko cần lưu dữ liệu tại VN nếu không thu thập khai thác dữ liệu, nhưng nghị định thì bắt họ lưu dữ liệu người sử dụng VN tại VN bất chấp điều kiện này.

4. Việc đặt chi nhánh hoặc văn phòng tại VN, theo tôi hiểu là chỉ bắt buộc khi có cả 4 điều kiện ở khoản 1 điều 25 dự thảo, nghĩa là không bắt buộc nếu họ không thu thập khai thác phân tích xử lý dữ liệu.

Tôi đồng ý với bạn as00016715, quy định trong dự thảo đúng là có thể hiểu theo nghĩa chỉ cần 1 người sử dụng Việt Nam thì buộc phải lưu dữ liệu quản lý người này ở Việt Nam => hơi kỳ cục và không khả thi.