Sản Phẩm và Dịch Vụ Mật Mã Dân Sự
Hiện nay, để bắt kịp với xu thế toàn cầu, Chính phủ hay tất cả các thành phần tham gia vào nền kinh tế đều đặc biệt quan tâm đến việc bảo mật thông tin, đảm bảo an toàn thông tin và an minh mạng bởi bảo vệ thông tin là yêu cầu cấp thiết trước tốc độ phát triển vô cùng nhanh chóng của công nghệ thông tin hiện đại. Một trong các phương thức mà chúng tôi muốn đề cập đến trong bài viết dưới đây là việc sử dụng mật mã dân sự, đã và đang góp phần quan trọng trong việc triển khai Chính phủ điện tử cũng như số hóa doanh nghiệp ở Việt Nam. Qua bài viết dưới đây, LTT & Các Cộng Sự sẽ cung cấp cho người đọc những thông tin về sản phẩm, dịch vụ mật mã dân sự hiện nay theo quy định pháp luật và cách thức, điều kiện để có thể kinh doanh loại hàng hóa, dịch vụ tương đối đặc biệt này.
I. Khái niệm về sản phẩm, dịch vụ mật mã dân sự
1. Sản phẩm mật mã dân sự
Trước hết, theo quy định tại khoản 18 Điều 3 Luật An toàn thông tin mạng năm 2015, mật mã dân sự là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi nhà nước. Còn tại Điều 30 Luật An toàn thông tin mạng năm 2015 có quy định: sản phẩm mật mã dân sự chính là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.
Các sản phẩm mật mã dân sự hiện nay rất đa dạng, có thể kể đến như hệ thống nhận dạng vân tay điện tử có chức năng mã hóa dữ liệu, điện thoại di động thông minh (bao gồm cả các bộ phận của loại điện thoại này mà có chức năng mã hóa), các camera kỹ thuật số, camera ghi hình ảnh mà có bảo mật luồng IP … Với sự đa dạng như vậy, hiện nay, theo quy định tại Phụ lục I được ban hành kèm theo Nghị định số 58/2016/NĐ-CP, sản phẩm mật mã dân sự bao gồm những loại sau đây:
(i) Sản phẩm sinh khóa mật mã, quản lý hoặc lưu trữ khóa mật mã;
(ii) Thành phần mật mã trong hệ thống PKI (đây là hệ thống tầng khóa công khai – Pulic Key Infrastructure là một cơ chế để một bên thứ ba, thường là nhà cung cấp chứng thực số, cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Thông thường hệ thống PKI bao gồm phần mềm máy khách (client), phần mềm máy chủ (server), phần cứng (như thẻ thông minh smart-card) và các quy trình hoạt động liên quan);
(iii) Sản phẩm bảo mật dữ liệu lưu giữ;
(iv) Sản phẩm bảo mật dữ liệu trao đổi trên mạng;
(v) Sản phẩm bảo mật luồng IP (IP – Internet Protocol có nghĩa là Giao thức Internet là một giao thực hướng dữ liệu được sử dụng bởi các máy chủ nguồn và đích để truyền dữ liệu trong một liên mạng chuyển mạch gói – packet switching) và bảo mật kênh;
(vi) Sản phẩm bảo mật thoại tương tự và thoại số;
(vii) Sản phẩm bảo mật vô tuyến;
(viii) Sản phẩm bảo mật Fax, điện báo.
Trong đó, sản phẩm mật mã dân sự được mô tả là các hệ thống, thiết bị, các mô-đun và mạch tích hợp, các phần mềm được thiết kế chuyên dụng nhằm Mục đích bảo vệ thông tin bằng kỹ thuật mật mã sử dụng “thuật toán mật mã đối xứng” (symmetric-key algorithms là một lớp các thuận toán mật mã hóa trong đó các mật mã dùng cho việc mã hóa và giải mã có quan hệ rõ ràng với nhau – có thể dễ dàng tìm được một mật mã nếu biết mật mã kia. Đây là loại mã hóa không công khai) hoặc “thuật toán mật mã không đối xứng” (asymmetric cryptography là một dạng mật mã hóa cho phép người sử dụng trao đổi các thông tin mật mà không phải trao đổi các mật mã chung bí mật trước đó).
2. Dịch vụ mật mã dân sự
Theo Điều 30 Luật An toàn thông tin mạng năm 2015 có quy định, dịch vụ này bao gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩm mật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân sự.
II. Điều kiện kinh doanh sản phẩm, mật mã dân sự.
Hiện nay, khi nhu cầu triển khai ứng dụng công nghệ thông tin, chuyển đổi số quốc gia ngày càng tăng cao, mật mã dân sự đã và đang từng bước thể hiện được vai trò quan trọng trong việc bảo mật thông tin đối với cơ quan, tổ chức, doanh nghiệp và cá nhân. Theo đó, rất nhiều sản phẩm mật mã dân sự đã xuất hiện trên thị trường. Tuy nhiên, xuất phát từ tính chất bảo mật thông tin, tất cả những sản phẩm này đều phải chịu sự quản lý, đặc biệt là sự kiểm soát về chất lượng một cách chặt chẽ.
Để đảm bảo về mặt chất lượng sản phẩm mật mã dân sự, pháp luật Việt Nam đã xây dựng một hàng lang pháp lý khá đầy đủ quy định về vấn đề này. Trong đó là các điều kiện bắt buộc để được cấp giấy phép kinh doanh đối với sản phẩm.
Trước hết, doanh nghiệp cần phải có Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự khi kinh doanh sản phẩm, thuộc danh mục sản phẩm, được quy định tại Mục I và Mục II của Phụ lục I Nghị định số 58/2016/NĐ-CP (loại trừ những sản phẩm được quy định tại bảng của Mục I.2 của Nghị định số 58/2016/NĐ-CP).
Theo đó, doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự khi đáp ứng đủ các điều kiện (Điều 31 Luật an toàn thông tin mạng năm 2015) sau đây:
(a) Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn về bảo mật, an toàn thông tin;
Theo quy định tại khoản 2 Điều 4 của Nghị định 58/2016/NĐ-CP thì doanh nghiệp phải có ít nhất 2 cán bộ kỹ thuật có trình độ đại học trở lên thuộc một trong các ngành điện tử – viễn thông, công nghệ thông tin, toán học, an toàn thông tin; cán bộ quản lý, điều hành tốt nghiệp một trong các ngành điện tử – viễn thông, công nghệ thông tin, toán học, an toàn thông tin hoặc tốt nghiệp một ngành khác và có chứng chỉ đào tạo về an toàn thông tin.
(b) Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm;
(c) Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;
Theo đó, doanh nghiệp phải có các phương án kỹ thuật phù hợp với một số tiêu chuẩn, quy chuẩn kỹ thuật đã được ban hành hiện nay như Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS của Bộ Quốc phòng (QCVN 01:2022/BQP), Quy chuẩn kỹ thuật quốc gia về mã hóa dữ liệu sử dụng trong lĩnh vực ngân hàng của Bộ Quốc phòng (QCVN 4: 2016/BQP), …
(d) Có phương án bảo mật và an toàn thông tin mạng trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dân sự;
(e) Có phương án kinh doanh phù hợp.
Theo quy định tại khoản 3 Điều 4 của Nghị định 58/2016/NĐ-CP thì doanh nghiệp phải có hệ thống phục vụ khách hàng và bảo đảm kỹ thuật phù hợp với phạm vi, đối tượng cung cấp, quy mô số lượng sản phẩm.
III. Trình tự, thủ tục cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự
Bước 1: Doanh nghiệp đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự nộp hồ sơ đề nghị cấp Giấy phép tại Ban Cơ yếu Chính phủ thông qua Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã bằng một trong các cách dưới đây:
(i) Nộp trực tiếp/Qua đường bưu điện tại Bộ phận tiếp nhận và Giải quyết thủ tục hành chính có địa chỉ tại số 43 Ngụy Như Kon Tum, phường Nhân Chính, quận Thanh Xuân, TP. Hà Nội; hoặc
(ii) Nộp trực tuyến trên Cổng thông tin điện tử của Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (www.nacis.gov.vn).
Theo đó, khoản 2 Điều 32 Luận An toàn thông tin mạng năm 2015 quy định bộ hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự được lập thành 02 (hai) bộ, gồm:
(a) Đơn đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự (Làm theo Mẫu số 01 của Phụ lục III được ban hành kèm theo Nghị định 58/2016/NĐ-CP);
(b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trị tương đương;
(c) Bản sao văn bằng hoặc chứng chỉ chuyên môn về bảo mật, an toàn thông tin của đội ngũ quản lý, điều hành, kỹ thuật;
(d) Phương án kỹ thuật gồm tài liệu về đặc tính kỹ thuật, tham số kỹ thuật của sản phẩm; tiêu chuẩn, quy chuẩn kỹ thuật của sản phẩm; tiêu chuẩn, chất lượng dịch vụ; các biện pháp, giải pháp kỹ thuật; phương án bảo hành, bảo trì sản phẩm;
(e) Phương án bảo mật và an toàn thông tin mạng trong quá trình quản lý và cung cấp sản phẩm;
(f) Phương án kinh doanh gồm phạm vi, đối tượng cung cấp, quy mô số lượng sản phẩm, dịch vụ hệ thống phục vụ khách hàng và bảo đảm kỹ thuật.
Bước 2: Ban Cơ yếu Chính phủ tiến hành thẩm định và trả kết quả cấp/không cấp Giấy phép kinh doanh sản phẩm, cho doanh nghiệp trong vòng 30 ngày kể từ ngày nhận đủ hồ sơ, trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.
Cần lưu ý rằng:
- Theo Điều 32 Luật an toàn thông tin mạng 2015, Giấy phép kinh doanh sản phẩm mật mã dân sự sẽ có thời hạn là 10 năm, khi hết thời hạn 10 năm này, doanh nghiệp phải làm thủ tục gia hạn với Ban Cơ yếu Chính phủ.
- Mức thu phí thẩm định thẩm định cấp giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự; giấy chứng nhận hợp chuẩn sản phẩm mật mã dân sự được thu theo quy định tại Mục I của Phụ lục được ban hành kèm theo Thông tư số 249/2016/TT-BTC của Bộ Tài chính.
Để nhận tư vấn chi tiết về nội dung này, quý khách vui lòng liên hệ với chúng tôi theo thông tin dưới đây:
Email: info@lttlawyers.com
Hotline: 0996901888
Website: https://lttlawyers.com/vi/trang-chu/
TRỤ SỞ CHÍNH (+84) 28 6270 7278 Lầu 3, 185 Đường Cô Bắc, Phường Cô Giang, Quận 1, TP. Hồ Chí Minh.
VĂN PHÒNG HÀ NỘI (+84) 24 7300 1255 Phòng 637, Tầng 6, Tòa nhà CIC, Số 2 Ngõ 219 Trung Kính, Phường Yên Hòa, Quận Cầu Giấy, Thành phố Hà Nội.VĂN PHÒNG ĐÀ NẴNG (+84) 905 783 785 02 Đường Đoàn Nhữ Hài, Phường Hòa Khê, Quận Thanh Khê, TP. Đà Nẵng.