Các văn bản quy phạm pháp luật về bảo mật, an toàn và an ninh mạng ban hành năm 2018

20:42 | 04/02/2019

Năm 2018, tình hình mất an toàn, an ninh thông tin và lộ, lọt dữ liệu, bí mật nhà nước tiếp tục diễn ra phức tạp, khó lường. Trên không gian mạng, các thế lực thù địch không ngừng gia tăng các hoạt động chống phá Việt Nam. Bên cạnh đó, Chính phủ cũng quyết tâm triển khai xây dựng Chính phủ điện tử, Chính quyền điện tử các cấp. Trong đó, nhiệm vụ bảo đảm an toàn thông tin được Chính phủ hết sức đề cao. Để thể chế hóa đầy đủ, kịp thời các chủ trương, đường lối của Đảng và Nhà nước trong lĩnh vực bảo mật, an toàn và an ninh mạng, Quốc hội, Chính phủ đã ban hành nhiều văn bản pháp lý quan trọng như: Luật Bảo vệ bí mật nhà nước, Luật An ninh mạng… Bài báo này giới thiệu các văn bản quy phạm pháp luật trong lĩnh vực bảo mật, an toàn và an ninh mạng được ban hành năm 2018.

1. Luật Bảo vệ bí mật nhà nước

Luật Bảo vệ bí mật nhà nước được Quốc hội khóa XIV thông qua tại Kỳ họp thứ 6 (ngày 15/11/2018). Luật gồm 5 chương và 28 điều, có hiệu lực thi hành kể từ ngày 01/7/2020. Trong đó, một số quy định liên quan đến lập, thẩm định, ban hành danh mục bí mật nhà nước, thời hạn bảo vệ bí mật nhà nước, gia hạn thời hạn bảo vệ bí mật nhà nước có hiệu lực thi hành kể từ ngày 01/01/2019.

Trên cơ sở kế thừa và luật hóa những quy định còn phù hợp của Pháp lệnh Bảo vệ bí mật nhà nước năm 2000; sửa đổi, bổ sung những quy định còn thiếu, chưa đảm bảo tính khả thi của Pháp lệnh và các văn bản hướng dẫn thi hành, phù hợp với thực tiễn bảo vệ bí mật nhà nước trong tình hình hiện nay.

So với Pháp lệnh Bảo vệ bí mật nhà nước năm 2000, Luật có một số nội dung mới như: xác định rõ hơn về hình thức, nội dung và tiêu chí của khái niệm bí mật nhà nước; bổ sung các nguyên tắc về bảo vệ bí mật nhà nước, các hành vi bị nghiêm cấm; bổ sung tiêu chí xác định cấp độ mật của bí mật nhà nước, phạm vi bí mật nhà nước, trách nhiệm lập danh mục bí mật nhà nước, thẩm quyền quyết định danh mục bí mật nhà nước, vai trò, trách nhiệm của Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ, trách nhiệm của các cơ quan tổ chức ở trung ương và địa phương về bảo vệ bí mật nhà nước. Bên cạnh đó, các quy định về hoạt động bảo vệ bí mật nhà nước cũng được bổ sung nhiều nội dung mới.

Theo đó, Luật quy định, bí mật nhà nước là thông tin quan trọng, do người đứng đầu cơ quan, tổ chức có thẩm quyền xác định, chưa công khai, nếu bị lộ, bị mất có thể gây nguy hại đến lợi ích quốc gia dân tộc. Luật cũng quy định hình thức chứa đựng bí mật nhà nước bao gồm tài liệu, vật, địa điểm, lời nói, hoạt động hoặc các dạng khác.

Để phòng ngừa lộ, mất bí mật nhà nước và có căn cứ để xử lý các vi phạm pháp luật về bảo vệ bí mật nhà nước, Luật có quy định một điều (Điều 5) về các hành vi bị nghiêm cấm. Trong đó, để phù hợp với quy định khác của pháp luật có liên quan, Luật quy định: “Soạn thảo, lưu giữ tài liệu có chứa nội dung bí mật nhà nước trên máy tính hoặc thiết bị khác đã kết nối hoặc đang kết nối với mạng Internet, mạng máy tính, mạng viễn thông, trừ trường hợp lưu giữ bí mật nhà nước theo quy định của pháp luật về cơ yếu (khoản 5); Truyền đưa bí mật nhà nước trên phương tiện thông tin, viễn thông trái với quy định của pháp luật về cơ yếu (khoản 6)”. Luật quy định, phạm vi bí mật nhà nước là giới hạn thông tin quan trọng trong các lĩnh vực chưa công khai, nếu bị lộ, bị mất có thể gây nguy hại đến quốc gia, dân tộc. Theo đó, nội dung điều luật này được xây dựng trên cơ sở phân loại lĩnh vực theo quy định tại Luật Tổ chức Chính phủ (15 lĩnh vực), đây cũng là kết quả nghiên cứu, rà soát nội dung bí mật nhà nước tại 96 danh mục bí mật nhà nước hiện hành.

Căn cứ vào quy định tại Điều 7 và Điều 8 của Luật, Thủ tướng Chính phủ ban hành danh mục bí mật nhà nước độ Tuyệt mật, Tối mật và Mật trên cơ sở đề xuất của người có trách nhiệm lập danh mục bí mật nhà nước và thẩm định của Bộ Công an (trừ danh mục thuộc lĩnh vực quản lý của Bộ Quốc phòng). Quy định này đã khắc phục tồn tại của Pháp lệnh, cụ thể: Thống nhất một chủ thể ban hành danh mục quy định cả ba độ mật (Tuyệt mật, Tối mật và Mật); bí mật nhà nước được quy định theo ngành và lĩnh vực áp dụng thống nhất từ trung ương đến địa phương, không quy định danh mục bí mật nhà nước của địa phương.

Luật quy định về thời hạn bảo vệ bí mật nhà nước, gia hạn thời hạn bảo vệ bí mật nhà nước. Đây là quy định mới vì Pháp lệnh số 30/2000/PL-UBTVQH10 và các văn bản trước Pháp lệnh đều không quy định thời hạn bảo vệ bí mật nhà nước. Luật quy định thời hạn bảo vệ đối với bí mật nhà nước độ Tuyệt mật là 30 năm, độ Tối mật là 20 năm, độ Mật là 10 năm. Đây được cho là một quy định tiến bộ của Luật nhằm đảm bảo quyền tiếp cận thông tin của công dân.

Luật quy định, bí mật nhà nước được giải mật khi hết thời hạn bảo vệ bí mật nhà nước và thời gian gia hạn thời hạn bảo vệ hoặc giải mật để đáp ứng yêu cầu thực tiễn bảo vệ lợi ích quốc gia, dân tộc, phát triển kinh tế - xã hội, hội nhập, hợp tác quốc tế hoặc bí mật nhà nước không còn thuộc danh mục bí mật nhà nước.

Thông tin về quốc phòng, an ninh, cơ yếu là một trong 15 lĩnh vực thuộc phạm vi Bí mật nhà nước. Căn cứ vào tính chất quan trọng của nội dung thông tin, mức độ nguy hại nếu bị lộ, bị mất thì thông tin bí mật thuộc lĩnh vực Cơ yếu được phân loại thành 03 độ mật là: Tuyệt mật, Tối mật và Mật (Điều 8).

Trách nhiệm bảo vệ bí mật nhà nước của Ban Cơ yếu Chính phủ tại khoản 5, Điều 24 của Luật quy định như sau: Thực hiện công tác bảo vệ bí mật nhà nước trong lĩnh vực Cơ yếu theo quy định của Luật Bảo vệ bí mật nhà nước và quy định khác của pháp luật có liên quan; Tham mưu giúp Chính phủ xây dựng và phát triển hệ thống thông tin mật mã quốc gia; quản lý hoạt động nghiên cứu, sản xuất, cung cấp và sử dụng sản phẩm mật mã để bảo vệ thông tin bí mật nhà nước và thực hiện trách nhiệm được quy định tại khoản 3 Điều 25.

2. Luật An ninh mạng

Luật An ninh mạng được Quốc hội thông qua ngày 12/6/2018, có hiệu lực thi hành kể từ ngày 01/01/2019. Luật gồm 07 chương, 43 điều quy định những nội dung cơ bản về bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; phòng ngừa, xử lý hành vi xâm phạm an ninh mạng; triển khai hoạt động bảo vệ an ninh mạng và quy định trách nhiệm của cơ quan, tổ chức và cá nhân.

Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là một trong những nội dung đặc biệt quan trọng của Luật An ninh mạng. Quy định đầy đủ các biện pháp, hoạt động bảo vệ tương xứng với mức độ quan trọng của hệ thống thông tin này, trong đó nêu ra tiêu chí xác định, lĩnh vực liên quan, quy định các biện pháp như thẩm định an ninh mạng, đánh giá điều kiện, kiểm tra, giám sát an ninh và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.

Để bảo vệ tối đa quyền và lợi ích hợp pháp của tổ chức, cá nhân, Luật An ninh mạng đã dành 01 chương (Chương III) quy định đầy đủ các biện pháp phòng ngừa, đấu tranh, xử lý nhằm loại bỏ các nguy cơ đe dọa, phát hiện và xử lý hành vi vi phạm pháp luật.

 Chương IV của Luật An ninh mạng tập trung quy định về triển khai hoạt động bảo vệ an ninh mạng một cách đồng bộ, thống nhất từ Trung ương tới địa phương, trọng tâm là các cơ quan nhà nước và tổ chức chính trị, quy định rõ các nội dung triển khai, hoạt động kiểm tra an ninh mạng đối với hệ thống thông tin của các cơ quan, tổ chức này. Cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế cũng là một trong những đối tượng được bảo vệ trọng điểm. Với các quy định chặt chẽ, sự tham gia đồng bộ của cơ quan nhà nước, doanh nghiệp và tổ chức, cá nhân, việc sử dụng thông tin để vu khống, làm nhục, xâm phạm danh dư, nhân phẩm, uy tín của người khác sẽ được xử lý nghiêm minh.

Để quản lý chặt chẽ, bảo vệ nghiêm ngặt dữ liệu của nước ta trên không gian mạng, Luật An ninh mạng quy định doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ giá trị gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.

Chương V Luật An ninh mạng đã quy định đầy đủ các nội dung bảo đảm triển khai hoạt động bảo vệ an ninh mạng, xác định lực lượng chuyên trách bảo vệ an ninh mạng, ưu tiên đào tạo nguồn nhân lực an ninh mạng chất lượng cao, chú trọng giáo dục, bồi dưỡng, phổ biến kiến thức về an ninh mạng. Trách nhiệm của cơ quan, tổ chức, cá nhân cũng được quy định rõ trong Luật An ninh mạng, tập trung vào trách nhiệm của lực lượng chuyên trách bảo vệ an ninh mạng đuợc bố trí tại Bộ Công an, Bộ Quốc phòng. Theo chức năng, nhiệm vụ được giao, các Bộ, ngành chức năng, ủy ban nhân dân cấp tỉnh có trách nhiệm thực hiện đồng bộ các biện pháp được phân công để hướng tới một không gian mạng ít nguy cơ, hạn chế tối đa các hành vi vi phạm pháp luật trên không gian mạng.

Luật An ninh mạng cũng quy định cụ thể cơ chế phối hợp phòng, chống tấn công mạng của các Bộ, ngành chức năng, xác định trách nhiệm cụ thể của Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ trong phòng, chống tấn công mạng.

Về công tác giáo dục, bồi dưỡng kiến thức, nghiệp vụ an ninh mạng, Luật cũng quy định Bộ Công an chủ trì, phối hợp với Bộ, ngành có liên quan tổ chức bồi dưỡng nghiệp vụ an ninh mạng cho lực lượng bảo vệ an ninh mạng và công chức, viên chức, người lao động tham gia bảo vệ an ninh mạng. Bộ Quốc phòng, Ban Cơ yếu Chính phủ tổ chức bồi dưỡng nghiệp vụ an ninh mạng cho đối tượng thuộc phạm vi quản lý.

Chương VI của Luật quy định về trách nhiệm của các cơ quan, tổ chức, cá nhân. Trong đó, Ban Cơ yếu Chính phủ có trách nhiệm (Điều 39): Tham mưu, đề xuất Bộ trưởng Bộ Quốc phòng ban hành hoặc trình cơ quan có thẩm quyền ban hành và tổ chức thực hiện văn bản quy phạm pháp luật, chương trình, kế hoạch về mật mã để bảo vệ an ninh mạng thuộc phạm vi Ban Cơ yếu Chính phủ quản lý; Bảo vệ an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp theo quy định của Luật này; Thống nhất quản lý nghiên cứu khoa học, công nghệ mật mã; sản xuất, sử dụng, cung cấp sản phẩm mật mã để bảo vệ thông tin thuộc bí mật nhà nước được lưu trữ, trao đổi trên không gian mạng.

3. Nghị định số 130/2018/NĐ-CP

Ngày 27/9/2018, Chính phủ đã ban hành Nghị định số 130/2018/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số, có hiệu lực thi hành từ ngày 15/11/2018.

Nghị định 130/2018/NĐ-CP thay thế Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số; Nghị định số 106/2011/NĐ-CP ngày 23/11/2011 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP và Nghị định số 170/2013/NĐ-CP ngày 13/11/2013 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP và Nghị định số 106/2011/NĐ-CP.

Nghị định có một chương (Chương VII) quy định vai trò, trách nhiệm của Ban Cơ yếu Chính phủ trong việc tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ cho các cơ quan Đảng và Nhà nước. Theo đó, Ban Cơ yếu Chính phủ có trách nhiệm quản lý, duy trì, vận hành hệ thống kỹ thuật để cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ cho các cơ quan Đảng và Nhà nước; tự cấp chứng thư số cho mình; xây dựng trình cấp có thẩm quyền ban hành và tổ chức hướng dẫn quy trình nghiệp vụ về việc cung cấp, quản lý, sử dụng dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ.

4. Nghị định số 53/2018/NĐ-CP

Ngày 16/4/2018, Thủ tướng Chính phủ đã ký và ban hành Nghị định số 53/2018/NĐ-CP (Nghị định 53) sửa đổi, bổ sung Nghị định 58/2016/NĐ-CP ngày 01/7/2016 của Chính phủ (Nghị định 58) quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự. Chính phủ đã quyết định thay thế Phụ lục II -“Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép tại Nghị định 58” bằng Phụ lục II -   “Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo giấy phép kèm theo Nghị định 53”.

5. Chỉ thị số 14/CT-TTg

Ngày 25/5/2018 của Thủ tướng Chính phủ đã ký Chỉ thị số 14/CT-TTg về việc nâng cao năng lực phòng chống phần mềm độc hại.

Thời gian vừa qua, công nghệ thông tin đã và đang được ứng dụng vào mọi mặt đời sống, phục vụ phát triển kinh tế - xã hội, góp phần bảo đảm quốc phòng, an ninh của đất nước. Trong xu hướng của cuộc cách mạng công nghiệp lần thứ tư, sẽ ngày càng có nhiều thiết bị thông minh được kết nối mạng. Những thiết bị này khi bị lây nhiễm các loại phần mềm độc hại sẽ gây mất an toàn thông tin, tiềm ẩn nguy cơ khó lường.

Để nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy của quốc gia trong hoạt động giao dịch điện tử, thúc đẩy phát triển kinh tế - xã hội, góp phần bảo đảm quốc phòng, an ninh của đất nước, Thủ tướng Chính phủ chỉ thị về: một số giải pháp để các Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương thực hiện; phân công trách nhiệm của Bộ Thông tin - Truyền thông, Hiệp hội An toàn thông tin Việt Nam (VNISA); Bộ Công an chủ trì thực hiện điều tra, xác minh, đấu tranh, xử lý tội phạm phát tán hoặc thực hiện các cuộc tấn công mạng bằng mã độc; Trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh, các cơ quan thông tấn báo chí Trung ương và địa phương, các cổng/trang thông tin điện tử của bộ, ngành, địa phương phát động tuyên truyền, phổ biến về tác hại và phương thức phòng, chống mã độc.

6. Quyết định 28/2018/QĐ-TTg

Ngày 12/7/2018, Thủ tướng Chính phủ đã ban hành Quyết định 28/2018/QĐ-TTg về việc gửi, nhận văn bản điện tử giữa các cơ quan trong hệ thống hành chính Nhà nước. Quyết định có 5 chương, 22 điều quy định việc gửi, nhận văn bản điện tử thông qua kết nối, liên thông các hệ thống quản lý văn bản và điều hành giữa các cơ quan trong hệ thống hành chính nhà nước. Không áp dụng đối với việc gửi, nhận văn bản điện tử có nội dung thuộc bí mật nhà nước. Quyết định này áp dụng đối với các Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các cấp và các cơ quan, đơn vị trực thuộc (gọi chung là bộ, ngành, địa phương). Các cơ quan, tổ chức không thuộc bộ, ngành, địa phương liên quan đến hoạt động gửi, nhận văn bản với các bộ, ngành, địa phương, nếu đáp ứng hạ tầng kỹ thuật, công nghệ để áp dụng, được thực hiện theo quy định tại Quyết định này.

Về trách nhiệm của các Bộ, ban, ngành trong tổ chức thực hiện việc gửi, nhận văn bản điện tử giữa các cơ quan trong hệ thống hành chính nhà nước. Trong đó, Điều 18 quy định trách nhiệm của Ban Cơ yếu Chính phủ:

 - Bảo đảm cung cấp đầy đủ, kịp thời chứng thư số cho các Bộ, ngành, địa phương, cán bộ, công chức, viên chức trong các cơ quan trong hệ thống hành chính nhà nước thực hiện gửi, nhận văn bản điện tử theo lộ trình quy định tại Điều 21 của Quyết định này.

- Nghiên cứu, đề xuất cấp có thẩm quyền rút ngắn quy trình cấp mới; cấp đổi, cấp lại chứng thư số; triển khai giải pháp ký số, xác thực chữ ký số trên các thiết bị di động để thuận tiện cho việc sử dụng của cán bộ, công chức, viên chức trong các cơ quan trong hệ thống hành chính nhà nước.

- Hướng dẫn các Bộ, ngành, địa phương về giải pháp tích hợp chữ ký số và xác thực chữ ký số trên hệ thống quản lý văn bản và điều hành theo phạm vi chức năng, nhiệm vụ được giao.

7. Quyết định số 1017/QĐ-TTg

Ngày 14/8/2018, Thủ tướng Chính phủ đã ban hành Quyết định số 1017/QĐ-TTg về việc Phê duyệt Đề án giám sát an toàn thông tin mạng đối với hệ thống, dịch vụ công nghệ thông tin phục vụ chính phủ điện tử đến năm 2020, định hướng đến năm 2025 (Đề án). 

Mục tiêu của Đề án là định hướng đến năm 2025, mở rộng phạm vi, nâng cao năng lực giám sát an toàn mạng, an toàn hệ thống thông tin cho Trung tâm giám sát an toàn thông tin mạng quốc gia tại Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) và các Bộ, cơ quan ngang bộ, tỉnh thành phố trực thuộc Trung ương, các nhà cung cấp dịch vụ hạ tầng mạng Internet (ISP).

Việc này sẽ giúp tăng cường khả năng phát hiện sớm, cảnh báo kịp thời, chính xác về các sự cố, các dấu hiệu, mã độc, các lỗ hổng có khả năng gây mất an toàn thông tin mạng đối với các hệ thống thông tin, dịch vụ công nghệ thông tin phục vụ Chính phủ điện tử.

Với các nhiệm vụ và giải pháp đề án đặt ra gồm: Xây dựng, hoàn thiện thể chế, tạo cơ sở pháp lý đầy đủ trong triển khai giám sát an toàn thông tin mạng đối với hệ thống, dịch vụ công nghệ thông tin phục vụ Chính phủ điện tử; Nâng cao năng lực Trung tâm giám sát an toàn thông tin mạng quốc gia phục vụ Chính phủ điện tử; Thiết lập và nâng cao hiệu quả hoạt động các hệ thống quan trắc cơ sở và giám sát an toàn mạng cơ sở của các bộ, ngành, địa phương; Đẩy mạnh hoạt động giám sát an toàn thông tin mạng của các nhà mạng ISP và doanh nghiệp cung cấp hệ thống, dịch vụ phục vụ Chính phủ điện tử; Xây dựng, phát triển nguồn nhân lực giám sát, bảo đảm an toàn thông tin mạng quốc gia.

Căn cứ vào trách nhiệm thi hành trong quy định của Luật, Chính phủ ban hành Danh mục và phân công cơ quan chủ trì soạn thảo các văn bản quy định chi tiết và thi hành các Luật đã được Quốc hội khóa XIV thông qua. Theo đó, để thực hiện các văn bản pháp lý do Chính phủ ban hành, trong thời gian sớm nhất, các Bộ, cơ quan ngang bộ, các tỉnh, ban, ngành, địa phương cần tiến hành triển khai cụ thể hóa thành các văn bản quy phạm, thông tư hướng dẫn thi hành để thể chế hóa đầy đủ, kịp thời các chủ trương, đường lối của Đảng và Nhà nước trong lĩnh vực bảo mật, an toàn và an ninh mạng.