A new Law on Cybersecurity (Luật an ninh mạng) (the CSL 2018) will come into effect from 1 January 2019 in Vietnam. Not only providing measures to secure the cyber-environment which to some extent has been regulated by the Law on Cyber-information Safety dated 19 November 2015, the CSL 2018 also includes various provisions to control the contents posted or published on the cyber-network. Below are some salient issues of the CSL 2018.

SCOPE OF THE CSL 2018

The CSL 2018 applies to all agencies, organizations and individuals involving in the protection of cybersecurity, which is broadly defined as the assurance that activities in cyberspace not causing harm to the national security, social order and safety, lawful rights and interests of agencies, organizations and individuals. In particular, the CSL 2018 will apply to overseas organisations, which have users residing in Vietnam such as Google or Facebook.

The CSL 2018 covers all networks of IT infrastructure, telecommunication, Internet, computer systems, databases, information processing, storage and controlling systems, and regulates activities of every enterprise providing services in cyberspace and Internet users including e-commerce, websites, online forums, social networking and blogs.

OPERATORS OF INFORMATION SYSTEM (CHỦ QUẢN HỆ THỐNG THÔNG TIN)

The CSL 2018 imposes various obligations on an operator of an information system. Under the  Law on Cyber-information Safety according to which, an operators of information systems means any agencies, organizations or individuals having directly managing authority to an information system.

CRITICAL INFORMATION SYSTEMS AND NON-CRITICAL INFORMATION SYSTEM

The CSL 2018 categorizes information systems into (i) the information systems critical to national security (Critical Information Systems) and (ii) those not falling under the Critical Information Systems (Non-critical Information Systems).

Critical Information Systems are generally defined as the information systems which, if subject to an incident, infiltration, hijacking or operational control, distortion, interruption, stoppage, paralysis, attack destruction will seriously compromise cybersecurity. It appears that the list of Critical Information System under the CSL 2018 is broader than those already prescribed under Decision 632 of the Prime Minister dated 10 May 2017 (Decision 632). Currently, Decision 632 covers telecommunication areas and the information network within the Communist Party’s and governmental agencies of which the Ministry of Information and Communication (the MIC) or the Government Office is the administrator (chủ quản). The Critical Information Systems now include, inter alia, the information system in the areas of energy, finance, banking, telecommunication, transportation, natural resource and environment, chemical, healthcare, culture, and press. Probably, Decision 632 could be supplemented with more areas being critical to national security and involvement of relevant ministries other than the MIC.

Non-critical Information Systems, though not defined clearly, should be any information systems administered by private organizations and enterprises.

PROHIBITED ACTS ON CYBERSPACE

The CSL 2018 prohibits using cyberspace to conduct any of the following acts:

• Using cyberspace, IT and electronic media in order to breach the laws on national security, social order and safety;
• Organizing, activating, colluding, instigating, bribing, cheating or tricking, manipulating, training or drilling people to oppose the State of the Socialist Republic of Vietnam;
• Distorting history, denying revolutionary achievements, destroying the national solidarity block, conducting offences against religion, gender discrimination or racist acts;
• Providing false information, causing confusion among the citizens, causing harm to socioeconomic activities, causing difficulties for the operation of State agencies or of people performing public duties, or infringing the lawful rights and interests of other agencies, organizations and individuals;
• Activities being prostitution, social evils or human trafficking; publishing information which is lewd, depraved or criminal; or destroying the fine traditions and customs of the people, social ethics or health of the community; and
• Inciting, enticing or activating other people to commit crime.

One could see that the list of prohibition is quite general and vague (e.g. distorting history or rejecting revolutionary achievement) allowing the authority to substantial discretion.

DATA LOCALIZATION REQUIREMENT

“Personal information”, “data of relations of services users”, “data created by service users” in Vietnam collected, analyzed, processed by either domestic or foreign enterprises providing services in the telecommunication network, internet and value-added services in cyberspace in Vietnam must be stored in Vietnam. In addition, foreign enterprises having these activities have to set up representative office or branches in Vietnam.

Currently many foreign companies are supplying services to users in Vietnam on the cross-border basis. To comply with these requirements, foreign companies would probably have to increase their costs for setting up and maintaining storage equipment in Vietnam.

SUPERVISION OF CRITICAL INFORMATION SYSTEMS

Critical Information Systems are subject to assessment by the competent authorities and can only be put into operation after certified as satisfying cyber-security conditions. Critical Information Systems may be inspected on a regular basis or upon the occurrence of an event specified under this law. The operators of the Critical Information Systems are responsible for supervising the systems, formulating mechanisms for automatic warnings and receipts of warnings of threats to cyber-security, and making plans to deal with those situations.

SUPERVISION OF NON-CRITICAL INFORMATION SYSTEMS

Non-critical Information Systems may be put under a cyber-security inspection by the Cybersecurity Task Force when there is a violation of cybersecurity law infringing national security or causing serious damages to the social order and safety. The Cybersecurity Task Force may conduct the examination after delivering a written notice at least 12 hours before the examination to the administrator of a Non-critical Information System. The components subject to an examination include software, hardware, digital equipment; data stored, processed and transferred within the system; and State secret protection methods.

That having said, the CSL 2018 does not set out clear basis and procedures to determine there is a violation of the CSL 2018. For example, the CSL 2018 prohibits using cyberspace to distorting history, denying revolutionary achievements, destroying the national solidarity block, conducting offences against religion, gender discrimination or racist acts. It would be difficult and arguable to determine an act as distorting history and thus violating that provision. As such, the provisions may create uncertainty for enterprises that provide services in cyberspace and hold customers’ data during their provision of services.

CONTENT MONITORING

Service providers on the cyber space in Vietnam have to comply with many requirements to monitor content uploaded and disseminated in cyberspace:

• All websites, portals or specialized pages on social networks of agencies, organizations and individuals must not provide, upload or transmit the information with propaganda against the State, incites riots, or which disrupts security or causes public disorder, causes embarrassment or which is slanderous or violates economic management orders (prohibited content);
• To verify users’ account registration and to provide users’ information when receiving written requests from the competent authorities of cyber security;
• To prevent the sharing of information and delete prohibited content within 24 hours upon receiving a request by the Cyber-security Task Force or the MIC, and to archive the relevant system log (nhật ký hệ thống) for investigation purposes; and
• To cease the provision of service to organizations and individuals who upload prohibited information.

It could be very difficult and costly for a network administrator to determine and filter the prohibited content as some of them are ambiguous. For example, the CSL 2018 defines the information being propaganda against the State to comprise content (i) distorting or defaming the people’s administrative authorities; (ii) initiating psychology warfare, inciting invasive war, causing division or hatred between ethnic groups, religions and people of all countries; and (iii) insulting people, the national flag, national emblem, national anthem, great men, leaders, famous people or national heroes. When reading these restrictions, one may be confused, for example,

• who are considered as “great men”, leaders, famous people or national heroes?
• whether a new public research with a different viewpoint about achievements of a “national hero” can be considered as insulting the “national hero”?
•  can this regulation deprive the rights of people to criticize the leadership and governance of an administrative system or certain officials of that system?

ENFORCEMENT

Specialized forces responsible for enforcing the CSL 2018 (Cybersecurity Task Forces) will be appointed under the Ministry of Public Security and the Ministry of National Defense. The Cybersecurity Task Forces have broad power under the CSL 2018 with limited oversight. For example, the Cybersecurity Task Forces is not required to follow the procedures similar to those under the Criminal Proceeding Codes for conducting inspection of an information system or collecting user data and is not required to keep confidential the information that they are collecting.

Under the CSL 2018, consequences of violating the laws on cybersecurity may be in disciplinary forms, administrative or criminal responsibilities. In the case of commercial legal entity, when considering whether criminal responsibilities is applicable for its violation of the CSL 2018, the entity should determine whether such violation falls under the scope of crimes applicable to commercial legal entities under the new Criminal Code 2015.

CONCLUSION

The requirements of the CSL 2018 could increase expenses, compliance responsibilities for and pose a dilemma for service providers between compliance and customer data protection. Many requirements under the CSL 2018 will be subject to further guidance of the Government. Therefore, affected organizations and individuals should keep following the instruments guiding this law.

This article was written by Nguyen Bich Ngoc, an associate at Venture North Law.

Luật mới về an ninh mạng (LANM 2018) sẽ có hiệu lực từ ngày 1 tháng 1 năm 2019 tại Việt Nam. Luật này không chỉ cung cấp các biện pháp để bảo vệ môi trường mạng ở một mức độ nào đó đã được quy tại Luật An Toàn Thông Tin Mạng ngày 19 tháng 11 năm 2015, LANM 2018 cũng quy định các nội dung khác để kiểm soát các nội dung được đăng hoặc công bố trên mạng. Dưới đây là một số vấn đề nổi bật của LANM 2018.

PHẠM VI ÁP DỤNG CỦA LANM 2018

LANM 2018 áp dụng cho tất cả các cơ quan, tổ chức và cá nhân có liên quan đến việc bảo vệ an ninh mạng, được định nghĩa rất rộng để đảm bảo các hoạt động trong không gian mạng không gây hại cho an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức và cá nhân. Cụ thể, LANM 2018 sẽ áp dụng đối với các tổ chức ở nước ngoài có người dùng cư trú ở Việt Nam như Google hoặc Facebook.

LANM 2018 quy định bao trùm tất cả các mạng cơ sở hạ tầng CNTT, viễn thông, Internet, hệ thống máy tính, cơ sở dữ liệu, hệ thống kiểm soát và lưu trữ, xử lý thông tin, và điều chỉnh hoạt động của mọi doanh nghiệp cung cấp dịch vụ trong không gian mạng và người dùng Internet bao gồm cả thương mại điện tử, trang web, diễn đàn trực tuyến, mạng xã hội và blog.

CHỦ QUẢN HỆ THỐNG THÔNG TIN

LANM 2018 áp đặt các nghĩa vụ khác nhau đối với nhà điều hành hệ thống thông tin. Theo Luật An Toàn Thông Tin Mạng, chủ quản hệ thông thông tin bất kỳ cơ quan, tổ chức, cá nhân nào có quyền quản lý trực tiếp hệ thống thông tin.

HỆ THỐNG THÔNG TIN QUAN TRỌNG VÀ HỆ THỐNG THÔNG TIN THƯỜNG

LANM 2018 phân loại các hệ thống thông tin thành (i) các hệ thống thông tin quan trọng đối với an ninh quốc gia (Hệ Thống Thông Tin Quan Trọng) và (ii) các hệ thống thông tin không thuộc Hệ Thống Thông Tin Quan Trọng (Hệ Thống Thông Tin Thường).

Hệ Thống Thông Tin Quan Trọng được định nghĩa chung là hệ thống thông tin, khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm phạm nghiêm trọng an ninh mạng. Dường như danh mục Hệ Thống Thông Tin Quan Trọng theo LANM 2018 rộng hơn so với danh mục đã được quy định theo Quyết Định 632 của Thủ Tướng Chính Phủ ngày 10 tháng 5 năm 2017 (Quyết Định 632). Hiện nay, Quyết Định 632 quy định đối với các lĩnh vực viễn thông và mạng thông tin trong các cơ quan của Đảng Cộng Sản và Chính phủ mà Bộ Thông Tin và Truyền Thông (Bộ TTTT) hoặc Văn phòng Chính Phủ là đơn vị chủ quản. Hệ Thống Thông Tin Quan Trọng hiện nay bao gồm, nhưng không giới hạn, hệ thống thông tin trong các lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, vận tải, tài nguyên thiên nhiên và môi trường, hóa chất, y tế, văn hóa và báo chí. Có lẽ, Quyết Định 632 có thể được bổ sung thêm nhiều lĩnh vực quan trọng đối với an ninh quốc gia và sự tham gia của các bộ liên quan khác ngoài Bộ TTTT.

Hệ Thống Thông Tin Thường, mặc dù không được định nghĩa rõ ràng, là bất kỳ hệ thống thông tin nào được quản lý bởi các tổ chức và doanh nghiệp tư nhân.

CÁC HÀNH VI BỊ CẤM TRÊN KHÔNG GIAN MẠNG

LANM 2018 cấm sử dụng không gian mạng để thực hiện bất kỳ hành vi nào sau đây:

·         Sử dụng không gian mạng, CNTT và phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự an toàn xã hội;

·         Tổ chức, hoạt động, câu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;

·         Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;

·         Thông tin sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác;

·         Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng;

·         Xúi giục, lôi kéo, kích động người khác phạm tội.

Có thể thấy rằng danh sách hành vi bị cấm là khá chung chung và mơ hồ (ví dụ như xuyên tạc lịch sử hoặc từ phủ nhận thành tựu cách mạng) cho phép cơ quan quản lý có quyền quyết định đáng kể.

YÊU CẦU VỀ LƯU TRỮ DỮ LIỆU

“Thông tin cá nhân”, “dữ liệu về mối quan hệ của người sử dụng dịch vụ”, “dữ liệu do người sử dụng dịch vụ tạo ra” tại Việt Nam được thu thập, phân tích, xử lý bởi các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải được lưu trữ tại Việt Nam. Ngoài ra, các doanh nghiệp nước ngoài có các hoạt động này phải thành lập văn phòng đại diện hoặc chi nhánh tại Việt Nam.

Hiện nay nhiều công ty nước ngoài đang cung cấp dịch vụ cho người dùng ở Việt Nam trên cơ sở xuyên biên giới. Để tuân thủ các yêu cầu này, các công ty nước ngoài này có lẽ sẽ phải tăng chi phí thiết lập và duy trì thiết bị lưu trữ tại Việt Nam.

GIÁM SÁT HỆ THỐNG THÔNG TIN QUAN TRỌNG

Hệ Thống Thông Tin Quan Trọng phải được thẩm định bởi các cơ quan có thẩm quyền và chỉ có thể đưa vào hoạt động sau khi được chứng nhận là đáp ứng các điều kiện an ninh mạng. Hệ Thống Thông Tin Quan Trọng có thể được kiểm tra một cách thường xuyên hoặc khi xảy ra một sự kiện được quy định theo luật này. Các đơn vị chủ quản Hệ Thống Thông Tin Quan Trọng phải chịu trách nhiệm giám sát các hệ thống, xây dựng các cơ chế cảnh báo tự động và tiếp nhận cảnh báo về các mối đe dọa đối với an ninh mạng và lập kế hoạch xử lý các tình huống đó.

GIÁM SÁT HỆ THỐNG THÔNG TIN THƯỜNG

Hệ Thống Thông Tin Thường có thể được đặt dưới sự kiểm tra an ninh mạng của Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng khi có vi phạm luật an ninh mạng xâm phạm an ninh quốc gia hoặc gây thiệt hại nghiêm trọng cho trật tự và an toàn xã hội. Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng có thể tiến hành việc kiểm tra sau khi gửi thông báo bằng văn bản ít nhất 12 giờ trước khi kiểm tra cho quản trị viên của một Hệ Thống Thông Tin Thường. Các bộ phận phải kiểm tra bao gồm phần mềm, phần cứng, thiết bị kỹ thuật số; dữ liệu được lưu trữ, xử lý và chuyển giao trong hệ thống; và các phương pháp bảo vệ bí mật Nhà Nước.

Mặc dù vậy, LANM 2018 không đưa ra cơ sở và các thủ tục rõ ràng để xác định việc có hành vi vi phạm LANM 2018. Ví dụ, LANM 2018 cấm sử dụng không gian mạng để xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc; Sẽ rất khó khăn và nhiều cách diễn giải để xác định một hành vi bị coi là xuyên tạc lịch sử và do đó vi phạm quy định này. Như vậy, các quy định này có thể tạo ra sự không chắc chắn cho các doanh nghiệp cung cấp dịch vụ trong không gian mạng và lưu trữ dữ liệu của khách hàng trong quá trình cung cấp dịch vụ của họ.

GIÁM SÁT NỘI DUNG

Các nhà cung cấp dịch vụ trên không gian mạng tại Việt Nam phải tuân thủ nhiều yêu cầu về giám sát nội dung được đăng tải và phổ biến trong không gian mạng:

·         Tất cả các trang web, cổng thông tin hoặc trang chuyên dùng trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, tải lên hoặc truyền phát thông tin tuyên truyền chống phá Nhà Nước, xúi giục bạo loạn hoặc phá rối an ninh, hoặc gây rối trật tự công cộng hoặc vu khống hoặc xâm phạm trật tự quản lý kinh tế (nội dung bị cấm );

·         Xác minh đăng ký tài khoản của người dùng và cung cấp thông tin của người dùng khi nhận được yêu cầu bằng văn bản của cơ quan có thẩm quyền về an ninh mạng;

·         Ngăn chặn việc chia sẻ thông tin và xóa nội dung bị cấm trong vòng 24 giờ sau khi nhận được yêu cầu Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng hoặc Bộ TTTT, và lưu trữ nhật ký hệ thống có liên quan để phục vụ mục đích điều tra; và

·         Ngừng cung cấp dịch vụ cho các tổ chức và cá nhân đăng tải thông tin bị cấm.

Có thể sẽ rất khó khăn và tốn kém đối với đơn vị quản lý mạng trong việc xác định và lọc nội dung bị cấm do một số nội dung trong số đó không rõ ràng. Ví dụ, LANM 2018 định nghĩa thông tin tuyên truyền chống Nhà nước để bao gồm nội dung (i) Tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân; (ii) Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước; và (iii) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc. Khi đọc những hạn chế này, có thể gây ra nhầm lẫn, ví dụ:

·         những người nào sẽ được coi là "vĩ nhân", lãnh tụ, danh nhân hoặc anh hùng dân tộc?

·         liệu một nghiên cứu mới được công bố có quan điểm khác về thành tựu của một “anh hùng dân tộc” có thể bị coi là xúc phạm “anh hùng dân tộc”?

·          quy định này có ngăn cản quyền của người dân để chỉ trích sự việc lãnh đạo và quản lý của một hệ thống cơ quan hành chính hay một số cán bộ của hệ thống đó?

THI HÀNH

Các lực lượng chuyên trách sẽ chịu trách nhiệm thi hành LANM 2018 (Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng) sẽ được bổ nhiệm dưới sự chỉ đạo của Bộ Công An và Bộ Quốc Phòng. Các Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng có thẩm quyền rất lớn theo LANM 2018 nhưng lại không được sự giám sát chặt chẽ. Ví dụ, các Lực Lượng Chuyên Trách Bảo Vệ An Ninh Mạng không bắt buộc phải tuân thủ các thủ tục tương tự như được quy định trong Bộ Luật Tố Tụng Hình Sự để tiến hành kiểm soát hệ thống thông tin hoặc thu thập dữ liệu người dùng và không bắt buộc phải giữ bí mật thông tin mà họ đang thu thập.

Theo LANM 2018, việc vi phạm pháp luật về an ninh mạng có thể phải chịu hình thức kỷ luật, chịu trách nhiệm hành chính hoặc hình sự. Trong trường hợp pháp nhân thương mại, khi xem xét liệu trách nhiệm hình sự có được áp dụng do vi phạm LANM 2018 hay không, pháp nhân nên xác định xem liệu vi phạm đó có thuộc phạm vi tội phạm áp dụng cho pháp nhân thương mại theo Bộ Luật Hình Sự 2015 hay không.

KẾT LUẬN

Các yêu cầu của LANM 2018 có thể làm tăng chi phí, trách nhiệm tuân thủ và đặt ra một tình thế tiến thoái lưỡng nan đối với các nhà cung cấp dịch vụ giữa việc tuân thủ quy định của luật và bảo vệ dữ liệu khách hàng. Nhiều yêu cầu LANM 2018 sẽ theo hướng dẫn thêm của Chính phủ. Do đó, các tổ chức và cá nhân chịu tác động của luật này nên theo dõi các văn bản hướng dẫn luật này.

Bài viết này được đóng góp bởi Nguyễn Bích Ngọc, luật sư cộng sự tại Venture North Law.