Luật An toàn thông tin mạng là gì?

Law on Cybersecurity 2018 Thuế & Pháp luật ~10 phút đọc

Luật An toàn thông tin mạng theo cách gọi phổ biến hiện nay thực chất là Luật An ninh mạng số 24/2018/QH14, được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam thông qua ngày 12/6/2018 và chính thức có hiệu lực từ ngày 01/01/2019. Đây là văn bản pháp lý cấp luật quan trọng bậc nhất trong lĩnh vực an ninh mạng (Cybersecurity) và an toàn thông tin (Information Security) tại Việt Nam. Luật được xây dựng trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, dữ liệu cá nhân bị thu thập trái phép trên quy mô lớn, và không gian mạng trở thành chiến trường mới của các thế lực thù địch.

Về bản chất, Luật An ninh mạng 2018khung pháp lý tổng thể quy định về: (i) bảo vệ an ninh quốc gia, trật tự an toàn xã hội trên không gian mạng; (ii) phòng ngừa, đấu tranh, xử lý các hành vi vi phạm pháp luật thông qua môi trường internet; (iii) bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động trực tuyến. Luật gồm 7 chương, 43 điều, trong đó quy định rõ trách nhiệm của doanh nghiệp cung cấp dịch vụ, quyền hạn của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an, cũng như hành vi bị nghiêm cấm và chế tài xử phạt tương ứng.

Trong ngữ cảnh ngân hàng Việt Nam, Luật An ninh mạng đóng vai trò "xương sống" cho mọi hoạt động chuyển đổi số, thanh toán trực tuyến, lưu trữ dữ liệu khách hàng. Hệ thống ngân hàng được xếp vào nhóm hạ tầng thông tin quan trọng quốc gia theo Quyết định 632/QĐ-TTg, do đó phải tuân thủ nghiêm ngặt các quy định về phòng chống tấn công mạng, bảo vệ dữ liệu cá nhânbáo cáo sự cố an ninh mạng trong thời hạn quy định. Điều này đặc biệt có ý nghĩa khi hơn 95% giao dịch ngân hàng tại Việt Nam hiện nay được thực hiện trên kênh số và ứng dụng di động.

Thuật ngữ tiếng Anh: Law on Cybersecurity 2018 Lĩnh vực: Thuế & Pháp luật

Đặc điểm và phân loại

Luật An ninh mạng 2018 có nhiều đặc điểm nổi bật so với các văn bản pháp luật khác trong hệ thống pháp luật Việt Nam. Dưới đây là bảng phân loại chi tiết:

Đặc điểm Nội dung cụ thể Ghi chú
Số hiệu văn bản 24/2018/QH14 Ban hành ngày 12/6/2018
Hiệu lực thi hành 01/01/2019 Áp dụng toàn quốc
Số chương 07 chương Từ chương I đến chương VII
Số điều 43 điều Quy định chi tiết từng nội dung
Cơ quan thực thi chính Bộ Công an, Bộ Thông tin & Truyền thông (MIC) Lực lượng chuyên trách A05, A06
Phạm vi điều chỉnh Không gian mạng quốc gia Bao gồm internet, mạng viễn thông, hệ thống IoT
Đối tượng áp dụng Tổ chức, cá nhân trong và ngoài nước Có hoạt động trên không gian mạng Việt Nam
Mức phạt cao nhất Đến 2 tỷ đồng với tổ chức Theo Nghị định 15/2020/NĐ-CP
Yêu cầu lưu trữ dữ liệu Tại Việt Nam Doanh nghiệp nước ngoài phải đặt server trong nước

Phân loại theo phạm trù bảo vệ

Luật An ninh mạng 2018 bao trùm ba phạm trù chính:

  • An ninh quốc gia trên không gian mạng: Bảo vệ chủ quyền, lợi ích, thể chế chính trị; phòng chống hoạt động tình báo, phá hoại, khủng bố mạng.
  • Trật tự an toàn xã hội trên không gian mạng: Ngăn chặn lừa đảo trực tuyến, đánh bạc qua mạng, mua bán vũ khí, ma túy, phát tán văn hóa phẩm đồi trụy.
  • Quyền và lợi ích hợp pháp của tổ chức, cá nhân: Bảo vệ thông tin cá nhân, quyền trẻ em, quyền tác giả trên môi trường số.

Các hành vi bị nghiêm cấm (Điều 8)

STT Hành vi Mức phạt tham khảo
1 Tấn công mạng, phát tán mã độc 50 – 200 triệu đồng (cá nhân); 100 – 2 tỷ đồng (tổ chức)
2 Lừa đảo chiếm đoạt tài sản qua mạng 100 – 200 triệu đồng hoặc truy cứu hình sự
3 Đăng tải thông tin chống phá Nhà nước 30 – 200 triệu đồng hoặc phạt tù đến 7 năm
4 Đánh bạc, cá độ qua internet 50 – 200 triệu đồng
5 Mua bán, trao đổi dữ liệu cá nhân trái phép 50 – 200 triệu đồng (cá nhân); 200 triệu – 1 tỷ (tổ chức)
6 Tổ chức, điều hành mạng lưới tội phạm công nghệ cao Truy cứu trách nhiệm hình sự

Ví dụ thực tế trong ngành ngân hàng

Ví dụ 1: Ngân hàng A bị tấn công DDoS

Vào tháng 10/2023, hệ thống internet banking và ứng dụng di động của Ngân hàng A bị tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) với lưu lượng lên đến 1,5 Tbps (terabit/giây), khiến hơn 3 triệu khách hàng không thể truy cập dịch vụ trong vòng 6 giờ. Ngay lập tức, bộ phận SOC (Security Operations Center) của ngân hàng đã kích hoạt quy trình ứng phó sự cố theo quy định tại Điều 17 Luật An ninh mạng 2018: báo cáo sự cố cho Ngân hàng Nhà nước trong vòng 24 giờ, đồng thời phối hợp với Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an để điều tra. Ngân hàng A phải chịu thiệt hại ước tính khoảng 12 tỷ đồng do gián đoạn giao dịch và chi phí khắc phục hệ thống, đồng thời bị NHNN yêu cầu rà soát lại toàn bộ hạ tầng bảo mật.

Ví dụ 2: Khách hàng B bị lộ dữ liệu thẻ tín dụng

Tháng 4/2024, một nhóm tội phạm mạng đã đăng tải công khai trên diễn đàn dark web danh sách 16.000 thẻ tín dụng của khách hàng Ngân hàng B, bao gồm thông tin: họ tên, số CMND/CCCD 12 số, ngày sinh, số thẻ, ngày hết hạn, mã CVV. Nguyên nhân được xác định do nhân viên của một đối tác trung gian (đơn vị làm thẻ) đã tuồn dữ liệu ra ngoài. Theo Luật An ninh mạng 2018 và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Ngân hàng B phải: (i) thông báo bằng văn bản cho từng khách hàng bị ảnh hưởng trong vòng 72 giờ; (ii) báo cáo Bộ Công an và Bộ Thông tin & Truyền thông; (iii) chịu mức phạt từ 200 triệu đến 1 tỷ đồng vì không đảm bảo an toàn dữ liệu; (iv) khóa thẻ và phát hành lại thẻ mới cho toàn bộ khách hàng liên quan với tổng chi phí khoảng 8,5 tỷ đồng.

Ví dụ 3: Tuân thủ quy định lưu trữ dữ liệu

Ngân hàng C (chi nhánh của một ngân hàng nước ngoài tại Việt Nam) trước đây lưu trữ toàn bộ dữ liệu khách hàng Việt Nam trên server đặt tại Singapore. Sau khi Luật An ninh mạng 2018 có hiệu lực (Điều 26 yêu cầu doanh nghiệp nước ngoài cung cấp dịch vụ tại Việt Nam phải lưu trữ dữ liệu người dùng Việt Nam trên lãnh thổ Việt Nam), ngân hàng này đã phải đầu tư 450 tỷ đồng để xây dựng 3 data center đạt chuẩn Tier III tại Hà Nội, TP. HCM và Đà Nẵng. Thời gian chuyển đổi mất 18 tháng và phải thực hiện Zero-Downtime Migration (chuyển dữ liệu không gián đoạn). Đây là bài học lớn cho thấy chi phí tuân thủ (Compliance Cost) của ngành ngân hàng khi áp dụng Luật An ninh mạng.

Luật An toàn thông tin mạng trong các ngôn ngữ khác

Ngôn ngữ Thuật ngữ Phiên âm
Tiếng Anh Law on Cybersecurity 2018 /lɔː ɒn saɪbərˌsɪkjʊərɪti/
Tiếng Nhật サイバーセキュリティ法(2018年) /saibā sekyuriti hō (ni-sen-jūhachi nen)/
Tiếng Hàn 사이버보안법 (2018년) /saibeo bo-anbeop (icheon-sibpal-nyeon)/
Tiếng Trung 网络安全法(2018年) /wǎngluò ānquán fǎ (èr-líng-yī-bā nián)/
Tiếng Tây Ban Nha Ley de Ciberseguridad 2018 /lei de θiβersekjuriðað/

Câu hỏi thường gặp

Luật An toàn thông tin mạng khác gì Luật An toàn thông tin 2015?

Hai văn bản này thường bị nhầm lẫn nhưng có bản chất và phạm vi hoàn toàn khác nhau. Luật An toàn thông tin 2015 (86/2015/QH13) tập trung vào khía cạnh kỹ thuật, quy định về phòng chống tấn công mạng, mã hóa dữ liệu, tiêu chuẩn an toàn thông tin cho hệ thống thông tin. Trong khi đó, Luật An ninh mạng 2018 (24/2018/QH14) có phạm vi rộng hơn, bao trùm cả yếu tố an ninh quốc gia, trật tự xã hội và bảo vệ quyền con người trên không gian mạng. Nói cách khác, Luật An toàn thông tin 2015 là "kỹ thuật", còn Luật An ninh mạng 2018 là "kỹ thuật + pháp luật + an ninh".

Khi nào cần biết về Luật An toàn thông tin mạng?

Người học và làm việc trong ngân hàng cần nắm vững Luật An ninh mạng trong ba tình huống chính: (i) khi thi tuyển vào vị trí chuyên viên an ninh thông tin (Information Security Officer) hoặc chuyên viên phòng chống gian lận (Fraud Prevention); (ii) khi xây dựng và triển khai các quy trình ISO 27001, PCI DSS trong ngân hàng; (iii) khi xảy ra sự cố an ninh mạng thực tế, cần biết thời hạn báo cáo, cơ quan tiếp nhận và quy trình ứng phó theo đúng Luật. Đặc biệt, đề thi tuyển Ngân hàng Nhà nước, BIDV, Vietcombank... thường có 2-5 câu hỏi liên quan trực tiếp đến Luật này.

Luật An toàn thông tin mạng ảnh hưởng thế nào đến khách hàng?

Với khách hàng cá nhân và doanh nghiệp sử dụng dịch vụ ngân hàng số, Luật An ninh mạng mang lại ba tác động tích cực chính: (i) dữ liệu cá nhân (CMND/CCCD, số tài khoản, sinh trắc học) được bảo vệ chặt chẽ hơn, ngân hàng không được tùy tiện chia sẻ; (ii) khi xảy ra sự cố lộ dữ liệu, khách hàng được thông báo kịp thời và có quyền yêu cầu bồi thường; (iii) các giao dịch trực tuyến được bảo vệ bởi hệ thống xác thực đa lớp (Multi-Factor Authentication) và tiêu chuẩn bảo mật quốc tế. Tuy nhiên, một số quy định có thể gây bất tiện như: phải xác thực khuôn mặt (eKYC) khi chuyển khoản trên 10 triệu đồng theo Quyết định 2345/NHNN, hoặc phải cung cấp thêm giấy tờ khi mở tài khoản từ xa.

Tổng kết

Luật An ninh mạng 2018 (thường được gọi là Luật An toàn thông tin mạng) là trụ cột pháp lý quan trọng cho mọi hoạt động chuyển đổi số của ngành ngân hàng Việt Nam. Với 43 điều trải rộng trên 7 chương, Luật không chỉ bảo vệ an ninh quốc gia, trật tự xã hội mà còn đặt ra hành lang pháp lý chặt chẽ cho việc bảo vệ dữ liệu khách hàng, phòng chống tấn công mạng và ứng phó sự cố an ninh. Đối với người ôn thi ngân hàng, việc nắm vững Luật này không chỉ giúp đạt điểm cao trong các kỳ thi tuyển mà còn trang bị kiến thức thực tiễn để vận hành hệ thống ngân hàng số an toàn, tuân thủ quy định pháp luật và bảo vệ quyền lợi khách hàng một cách hiệu quả nhất. Trong bối cảnh tội phạm mạng ngày càng gia tăng với thiệt hại toàn cầu ước tính 8.000 tỷ USD mỗi năm (theo Cybersecurity Ventures 2023), việc thấu hiểu và tuân thủ Luật An ninh mạng chính là "lá chắn thép" cho hệ thống tài chính – ngân hàng Việt Nam trong kỷ nguyên số.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8