Luật An ninh mạng 2018 (Cybersecurity Law 2018) là văn bản pháp luật quan trọng được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIV thông qua ngày 12 tháng 6 năm 2018, có hiệu lực thi hành từ ngày 01 tháng 01 năm 2019. Đây là cơ sở pháp lý cao nhất về bảo vệ an ninh quốc gia, trật tự an toàn xã hội trong lĩnh vực không gian mạng (cyberspace), đồng thời quy định rõ trách nhiệm của các tổ chức, cá nhân liên quan đến hoạt động trên môi trường mạng. Văn bản này đánh dấu bước ngoặt quan trọng trong hệ thống pháp luật Việt Nam khi lần đầu tiên có một đạo luật chuyên biệt điều chỉnh toàn diện các vấn đề an ninh mạng ở cấp độ quốc gia.
Luật gồm 7 chương, 43 điều, quy định chi tiết về các hành vi bị cấm trên không gian mạng, các biện pháp phòng ngừa, bảo vệ, ứng phó và khắc phục sự cố an ninh mạng (cybersecurity incident). Đối tượng áp dụng bao gồm cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội, doanh nghiệp cung cấp dịch vụ trực tuyến và người sử dụng mạng tại Việt Nam. Luật yêu cầu các doanh nghiệp cung cấp dịch vụ trên không gian mạng phải lưu trữ dữ liệu tại Việt Nam, đặt máy chủ (server) tại Việt Nam và cung cấp thông tin cho lực lượng chuyên trách bảo vệ an ninh mạng khi có yêu cầu.
Trong bối cảnh ngành ngân hàng Việt Nam đang chuyển đổi số mạnh mẽ với tốc độ tăng trưởng giao dịch trực tuyến lên tới hơn 90% tổng số giao dịch tại nhiều ngân hàng thương mại, Luật An ninh mạng 2018 có ý nghĩa đặc biệt quan trọng. Đây là kim chỉ nam pháp lý giúp các ngân hàng xây dựng hệ thống bảo mật, quản trị rủi ro công nghệ thông tin, đồng thời bảo vệ quyền lợi của hàng chục triệu khách hàng đang sử dụng dịch vụ ngân hàng số, internet banking (ngân hàng trực tuyến qua web) và mobile banking (ngân hàng trực tuyến qua ứng dụng di động).
Thuật ngữ tiếng Anh: Cybersecurity Law 2018 (Law No. 24/2018/QH14) Lĩnh vực: Thuế & Pháp luật
Đặc điểm và phân loại
Cấu trúc tổng thể của Luật
Luật An ninh mạng 2018 được chia thành 7 chương với các nội dung chính như sau:
| Chương | Nội dung | Số điều |
|---|---|---|
| Chương I | Những quy định chung | Điều 1 - Điều 6 |
| Chương II | Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia | Điều 7 - Điều 14 |
| Chương III | Phòng ngừa, ứng phó và khắc phục sự cố an ninh mạng | Điều 15 - Điều 21 |
| Chương IV | Bảo vệ an ninh mạng đối với hoạt động trên không gian mạng | Điều 22 - Điều 28 |
| Chương V | Quản lý nhà nước về an ninh mạng | Điều 29 - Điều 35 |
| Chương VI | Lực lượng chuyên trách bảo vệ an ninh mạng | Điều 36 - Điều 40 |
| Chương VII | Điều khoản thi hành | Điều 41 - Điều 43 |
Các hành vi bị nghiêm cấm (Điều 8, Điều 9, Điều 16, Điều 17)
Luật quy định rõ 9 nhóm hành vi bị cấm trên không gian mạng, bao gồm:
- Tấn công mạng (cyber attack), khủng bố mạng, gián điệp mạng, phá hoại hệ thống thông tin
- Phát tán mã độc (malware), virus, phần mềm gây hại cho hệ thống thông tin
- Đăng tải, phát tán thông tin chống phá Nhà nước, xuyên tạc lịch sử, phủ nhận thành tựu cách mạng
- Xâm phạm an ninh quốc gia, lộ bí mật nhà nước trên không gian mạng
- Lừa đảo trực tuyến (online fraud), chiếm đoạt tài sản qua mạng
- Tổ chức đánh bạc, cá độ bất hợp pháp trên không gian mạng
- Đăng tải thông tin xâm phạm trật tự xã hội, đạo đức xã hội
- Xâm phạm quyền và lợi ích hợp pháp của tổ chức, cá nhân
- Sử dụng không gian mạng để vi phạm pháp luật về an ninh, quốc phòng
Phân loại cấp độ hệ thống thông tin quan trọng về an ninh quốc gia
Theo Điều 6 Luật An ninh mạng 2018 và Nghị định 85/2016/NĐ-CP, hệ thống thông tin quan trọng về an ninh quốc gia được phân thành 5 cấp độ:
| Cấp độ | Đặc điểm | Yêu cầu bảo vệ |
|---|---|---|
| Cấp 1 | Cực kỳ quan trọng, ảnh hưởng nghiêm trọng đến an ninh quốc gia | Bảo vệ nghiêm ngặt nhất, kiểm tra định kỳ 6 tháng/lần |
| Cấp 2 | Quan trọng, ảnh hưởng lớn đến an ninh quốc gia | Bảo vệ cao, kiểm tra định kỳ 1 năm/lần |
| Cấp 3 | Có ảnh hưởng đáng kể | Bảo vệ tiêu chuẩn cao |
| Cấp 4 | Có ảnh hưởng nhất định | Bảo vệ theo tiêu chuẩn ngành |
| Cấp 5 | Bình thường | Áp dụng quy chuẩn kỹ thuật cơ bản |
Hệ thống lực lượng bảo vệ an ninh mạng
Luật quy định thành lập lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an, bao gồm:
- Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05)
- Phòng An ninh mạng tại công an các tỉnh, thành phố trực thuộc trung ương
- Đội ứng cứu sự cố an ninh mạng quốc gia (VNCERT/CC thuộc Bộ TT&TT)
- Lực lượng tại các Bộ, ngành, doanh nghiệp nhà nước
Ví dụ thực tế trong ngành ngân hàng
Ví dụ 1: Yêu cầu lưu trữ dữ liệu tại Việt Nam
Ngân hàng A là một ngân hàng thương mại cổ phần lớn tại Việt Nam với hơn 15 triệu khách hàng sử dụng dịch vụ ngân hàng số. Trước khi Luật An ninh mạng 2018 có hiệu lực, Ngân hàng A sử dụng hệ thống máy chủ đặt tại nước ngoài (khu vực Đông Nam Á) để xử lý giao dịch quốc tế. Khi Luật có hiệu lực, Ngân hàng A đã phải đầu tư khoảng 250 tỷ đồng để xây dựng hệ thống data center (trung tâm dữ liệu) đạt chuẩn Tier III tại TP. Hồ Chí Minh và Hà Nội, đảm bảo toàn bộ dữ liệu khách hàng, lịch sử giao dịch và thông tin tài khoản được lưu trữ trong nước. Thời gian chuyển đổi kéo dài 18 tháng với sự tham gia của hơn 200 kỹ sư công nghệ thông tin.
Ví dụ 2: Quy trình ứng phó sự cố an ninh mạng
Tháng 8 năm 2023, Ngân hàng B phát hiện hệ thống mobile banking của mình bị tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) với lưu lượng lên tới 50 Gbps. Tuân thủ Điều 19 Luật An ninh mạng 2018, Ngân hàng B đã kích hoạt quy trình ứng phó sự cố theo 4 cấp độ:
- Cấp 1 (dưới 30 phút): Kích hoạt hệ thống dự phòng, chuyển hướng lưu lượng truy cập
- Cấp 2 (30 phút - 2 giờ): Thông báo cho Cục An ninh mạng A05, phối hợp VNCERT/CC
- Cấp 3 (2 - 24 giờ): Báo cáo Ngân hàng Nhà nước, đánh giá mức độ ảnh hưởng
- Cấp 4 (trên 24 giờ): Báo cáo Thủ tướng Chính phủ nếu ảnh hưởng nghiêm trọng
Kết quả, Ngân hàng B đã khắc phục sự cố trong vòng 6 giờ, không có dữ liệu khách hàng bị lộ, và hoàn tất báo cáo sự cố theo đúng mẫu quy định của Bộ Công an.
Ví dụ 3: Áp dụng công nghệ sinh trắc học theo Nghị định 13/2023
Khách hàng C sử dụng ứng dụng eKYC (electronic Know Your Customer - định danh khách hàng điện tử) của Ngân hàng C để mở tài khoản thanh toán từ xa. Theo Quyết định 2345/QĐ-NHNN và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (được ban hành để triển khai Luật An ninh mạng), Ngân hàng C phải thực hiện:
- Xác thực khuôn mặt bằng công nghệ Liveness Detection (phát hiện khuôn mặt sống) với độ chính xác 99,5%
- So khớp với dữ liệu sinh trắc học trong chip CCCD gắn chip (Căn cước công dân gắn chip điện tử)
- Mã hóa dữ liệu sinh trắc học bằng thuật toán AES-256 (tiêu chuẩn mã hóa nâng cao 256-bit)
- Lưu trữ tại máy chủ đặt tại Việt Nam, thời gian lưu trữ tối đa theo quy định
Nhờ vậy, tỷ lệ gian lận định danh giảm từ 3,2% xuống còn 0,1%, tiết kiệm chi phí xác minh thủ công khoảng 120 tỷ đồng/năm cho toàn ngành.
Luật An ninh mạng 2018 trong các ngôn ngữ khác
| Ngôn ngữ | Thuật ngữ | Phiên âm |
|---|---|---|
| Tiếng Anh | Cybersecurity Law 2018 (Law No. 24/2018/QH14) | /saɪbərsɪˈkjʊrəti lɔː ˈnaɪntiːn ˈeɪtˈtiːn/ |
| Tiếng Nhật | 2018年サイバーセキュリティ法 (法律第24/2018/QH14号) | Ni-ichi-zero-hachi-nen saibā sekyuriti hō (Hōritsu dai ni-jū-yon/ni-zero-ichi-hachi/QH jū-yon gō) |
| Tiếng Hàn | 2018년 사이버보안법 (법률 제24/2018/QH14호) | Cheon-pal-sip-pal-nyeon saibeo boanbeop (Beomnyul je isip-sa/cheon-pal-sip-pal/QH sip-sa ho) |
| Tiếng Trung | 2018年网络安全法 (第24/2018/QH14号法律) | Èr líng yī bā nián wǎngluò ānquán fǎ (Dì èrshí sì/2018/QH shí sì hào fǎlǜ) |
| Tiếng Tây Ban Nha | Ley de Ciberseguridad 2018 (Ley N.° 24/2018/QH14) | /lei ðe θiβersekjuɾiˈðað dos mil diecioʃo/ |
Câu hỏi thường gặp
Luật An ninh mạng 2018 khác gì Luật An toàn thông tin mạng 2015?
Luật An ninh mạng 2018 (Cybersecurity Law) tập trung vào bảo vệ an ninh quốc gia và trật tự xã hội trên không gian mạng, bao gồm các hành vi chống phá Nhà nước, khủng bố mạng, lừa đảo quy mô lớn, đánh bạc trực tuyến. Trong khi đó, Luật An toàn thông tin mạng 2015 (Law on Information Security) thiên về bảo vệ hệ thống thông tin kỹ thuật, phòng chống mã độc, bảo đảm tính toàn vẹn và bảo mật dữ liệu kỹ thuật. Cả hai luật có sự chồng lấn nhưng bổ trợ cho nhau, trong đó Luật An ninh mạng 2018 được xem là "luật đặc biệt" vì chịu sự điều chỉnh của pháp luật về an ninh quốc gia.
Khi nào cần biết về Luật An ninh mạng 2018?
Người làm ngân hàng cần nắm vững Luật này trong các trường hợp: (1) Thi tuyển vào ngân hàng - đây là nội dung thường xuất hiện trong phần thi pháp luật, đặc biệt vị trí công nghệ thông tin, quản trị rủi ro, compliance; (2) Triển khai dịch vụ ngân hàng số - khi xây dựng sản phẩm internet banking, mobile banking, ví điện tử; (3) Xử lý sự cố an ninh mạng - khi hệ thống bị tấn công, lộ dữ liệu; (4) Báo cáo tuân thủ - khi lập báo cáo an toàn thông tin định kỳ gửi Ngân hàng Nhà nước và Bộ Công an.
Luật An ninh mạng 2018 ảnh hưởng thế nào đến khách hàng?
Đối với khách hàng cá nhân, Luật mang lại nhiều lợi ích thiết thực: (1) Bảo vệ dữ liệu cá nhân tốt hơn, hạn chế tình trạng lộ thông tin giao dịch, số tài khoản, lịch sử tín dụng; (2) Phòng chống lừa đảo hiệu quả hơn nhờ yêu cầu xác thực sinh trắc học và lưu trữ dữ liệu tại Việt Nam; (3) Giảm thiểu rủi ro khi giao dịch trực tuyến vì các ngân hàng phải đầu tư hệ thống bảo mật tiêu chuẩn cao. Tuy nhiên, khách hàng cũng có một số nghĩa vụ như: cung cấp thông tin chính xác khi mở tài khoản, không chia sẻ OTP (One-Time Password - mật khẩu dùng một lần), không sử dụng tài khoản ngân hàng cho hoạt động vi phạm pháp luật.
Tổng kết
Luật An ninh mạng 2018 là một trong những văn bản pháp luật quan trọng bậc nhất trong lĩnh vực công nghệ thông tin và an ninh quốc gia, có hiệu lực từ ngày 01/01/2019. Đối với người làm ngân hàng, việc nắm vững kiến thức về Luật này không chỉ giúp hoàn thành tốt các kỳ thi tuyển dụng, thi chứng chỉ nghiệp vụ mà còn là yêu cầu bắt buộc trong công việc hàng ngày, đặc biệt khi ngành ngân hàng Việt Nam đang chuyển đổi số với tốc độ ngày càng nhanh. Các nội dung cốt lõi cần ghi nhớ bao gồm: 7 chương 43 điều, 9 nhóm hành vi bị cấm, quy định lưu trữ dữ liệu tại Việt Nam, quy trình ứng phó sự cố 4 cấp độ, và mối liên hệ với các văn bản pháp luật khác như Nghị định 13/2023/NĐ-CP, Thông tư 17/2019/TT-NHNN. Hãy thường xuyên cập nhật các văn bản hướng dẫn mới từ Ngân hàng Nhà nước, Bộ Công an và Bộ Thông tin & Truyền thông để đảm bảo tuân thủ đầy đủ và chính xác.