Phó thủ tướng Vũ Đức Đam vừa ký Nghị định 53/2022/NĐ-CP, quy định chi tiết một số điều của Luật An ninh mạng.
Có hiệu lực từ 1/10, nghị định tập trung triển khai các hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước, tổ chức chính trị trung ương và địa phương, đồng thời quy định về lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện ở Việt Nam với các doanh nghiệp nước ngoài.
Cụ thể, khoản 1 Điều 26 quy định các dữ liệu phải được lưu trữ tại Việt Nam gồm: dữ liệu thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam, dữ liệu do người dùng dịch vụ tại Việt Nam tạo ra (tên tài khoản, thời gian sử dụng, thông tin thẻ tín dụng, địa chỉ email, IP đăng nhập/đăng xuất gần nhất, số điện thoại gắn với dữ liệu hoặc tài khoản), dữ liệu về mối quan hệ của người dùng dịch vụ tại Việt Nam (bạn bè, nhóm mà người dùng kết nối hoặc tương tác).
Khoản 2 Điều 26 nêu rõ các doanh nghiệp trong nước cần lưu dữ liệu theo quy định tại khoản 1.
Với doanh nghiệp nước ngoài kinh doanh tại Việt Nam, điểm a khoản 3 Điều 26 nêu chi tiết về việc lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng tại Việt Nam với doanh nghiệp thuộc một trong các lĩnh vực như dịch vụ viễn thông, lưu trữ, chia sẻ dữ liệu trên không gian mạng, thanh toán trực tuyến, thương mại điện tử, trò chơi điện tử...
Doanh nghiệp hoạt động trong các lĩnh vực trên phải lưu dữ liệu tại Việt Nam theo quy định tại khoản 1 Điều 26, đồng thời đặt chi nhánh hoặc văn phòng đại diện trong trường hợp dịch vụ do doanh nghiệp cung cấp bị sử dụng cho hành vi vi phạm pháp luật về an ninh mạng, được Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) yêu cầu phối hợp điều tra, xử lý bằng văn bản nhưng không chấp hành hoặc chấp hành chưa đầy đủ.
Điểm b khoản 3 Điều 26 quy định nếu không thể chấp hành yêu cầu của pháp luật về an ninh mạng, doanh nghiệp cần thông báo cho Cục An ninh mạng và phòng chống tội phạm công nghệ cao trong 3 ngày làm việc để kiểm tra tính xác thực. Doanh nghiệp có 30 ngày để tìm giải pháp. Theo khoản 5, hình thức lưu trữ dữ liệu tại Việt Nam do doanh nghiệp quyết định.
Khoản 6 Điều 26 nêu trình tự, thủ tục yêu cầu lưu dữ liệu, đặt chi nhánh hoặc văn phòng của doanh nghiệp nước ngoài tại Việt Nam: Bộ trưởng Bộ Công an ra quyết định, Cục An ninh mạng và phòng chống tội phạm công nghệ cao hướng dẫn, theo dõi, giám sát doanh nghiệp, thông báo cho các cơ quan liên quan để quản lý theo thẩm quyền.
Trong thời hạn 12 tháng từ ngày Bộ trưởng Bộ Công an ra quyết định, các doanh nghiệp quy định tại điểm a khoản 3 Điều 26 phải hoàn thành lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Điều 27 của Nghị định 53 quy định thời gian lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Cụ thể, khoản 1 nêu rõ thời gian lưu trữ tính từ khi doanh nghiệp nhận yêu cầu đến khi kết thúc yêu cầu. Thời gian lưu trữ tối thiểu 24 tháng.
Theo khoản 2 Điều 27, thời gian đặt chi nhánh hoặc văn phòng đại diện tính từ khi doanh nghiệp nhận yêu cầu cho đến khi doanh nghiệp không còn hoạt động, hoặc dịch vụ được quy định không còn cung cấp tại Việt Nam.
Trong khoản 3, nhật ký hệ thống phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng (quy định tại điểm b khoản 2 Điều 26 Luật An ninh mạng) được lưu trữ tối thiểu 12 tháng.
Chương IV Nghị định 53 cũng quy định quy trình xây dựng, hoàn thiện phương án sử dụng mạng máy tính, đảm bảo an ninh mạng với hệ thống thông tin của cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương.
Nghị định nhấn mạnh mạng máy tính truyền đưa bí mật nhà nước phải tách biệt vật lý hoàn toàn với mạng máy tính kết nối Internet, quy định rõ trách nhiệm từng bộ phận, cán bộ, nhân viên trong quản lý, chế tài xử phạt vi phạm.
Ngoài ra, khoản 1 Điều 24 quy định người đứng đầu cơ quan nhà nước, tổ chức chính trị trung ương và địa phương có trách nhiệm ban hành phương án bảo đảm an ninh mạng với hệ thống thông tin do mình quản lý, bảo đảm đồng bộ, thống nhất, tập trung, có sự chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư trùng lặp.
Điều 25 Nghị định 53 quy định phương án ứng phó, khắc phục sự cố an ninh mạng, gồm phương án phòng ngừa, xử lý thông tin có nội dung tuyên truyền chống Nhà nước, phương án phòng chống gián điệp mạng, hành vi sử dụng không gian mạng để vi phạm pháp luật, phương án phòng chống tấn công mạng, khủng bố mạng, phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng.