越南公安部 2025年6月27日公布并向社会征求意见的《网络安全法(合并草案)》全文(共8章58条),本次征求意见截止日期为2025年7月16日。该草案预计最早在2025 年10月提交国会一读、2026 年1月起实施。这一重要法律文件预计将整合并取代现行的《2018年网络安全法》和《2015年网络信息安全法》。该法是更广泛的越南数字政策改革的一部分,还包括由国会于2025年6月26日通过的《个人数据保护法》。

《网络安全法(合并草案)》引入了全面变革,大幅拓宽了法律适用范围,并对在越南网络空间运营或提供服务的组织施加了新的义务。《 2015 年网络信息安全法》偏重技术防护、《2018 年网络安全法》偏重国家安全与执法,条款交叉、执法主体并行,企业合规成本居高。越南公安部在立法说明中明确提出“以单一基础法整合、统筹监管”。越南与中国《网络安全法》趋同的本地化与执法模式,使越南被视为“高门槛市场”;美国、欧盟企业在征求意见阶段集中表达对数据跨境限制及执法权限扩张的担忧,故而在草案中取消了设立本地办事处的强制性要求。越南公安部网络安全局继续作为唯一中央执法枢纽,但将在关键决策中引入信息通信部、越南国家银行等多部委会商机制,凸显“安全与发展并重”。

适用范围扩大

草案扩大了“服务提供商”的定义,其涵盖范围不再局限于传统科技公司,而是扩展至多个行业:

  • 互联网服务提供商(ISPs)、电信、托管、服务器、域名、虚拟专用网络(VPNs)、代理服务、云计算

  • 社交网络、网站、网络游戏

  • 金融机构、银行、电子钱包、支付中介

  • 证券交易所、数字资产平台、电子商务平台

  • 物流提供商、数字电视

  • 网络空间中的其他产品和服务类型

    许多先前不在《网络安全法》适用范围内的企业,如今可能面临更严格的要求。

数据存储和本地存在要求的变化

对于外国企业而言,这是一项重大变革。

《2018年网络安全法》:要求收集或处理越南用户数据的国内外企业将数据存储在越南境内,并在此设立分支机构或代表处。(第26.3条)

《网络安全法(合并草案,2025)》:取消了设立本地办事处的强制性要求。然而,收集、利用、分析或处理越南公民个人数据的企业必须遵守《个人数据保护法》(该法将于2026年1月1日生效)。(第13条)

数据保护合规仍是核心,但不再有严格的本地办事处要求。

打击利用高科技实施网络犯罪的新义务

新增一章(第三章)对服务提供商施加了直接义务,以帮助打击利用高科技实施的网络犯罪:

  • 用户身份识别:企业必须在提供服务之前和服务期间验证用户身份,防止使用虚假或未经核实的账户。

  • 报告与合作:必须在24小时内向主管部门报告网络攻击事件。企业必须配合公安部提出的官方要求。

  • 主管部门权力:官员可暂停账户、冻结交易、封锁网站或没收涉及违规行为的电子设备。

    服务用户也有义务保护其数字账户信息的机密性,若其账户被用于非法活动,则需承担责任。根据违规行为的严重程度,用户可能面临纪律处分、行政处罚或刑事处罚,并须赔偿造成的任何损失。此外,用户必须依法向主管部门和服务提供商提供准确、完整的信息。

    值得注意的是,草案明确将知识产权侵权归类为网络犯罪,包括版权、相关权利和工业产权侵权。这一变化为知识产权所有者针对电子商务平台上的假冒和侵权商品、版权盗版以及网络商标误导性使用采取行动提供了另一个法律依据。

“数字资产”的法律定义

草案首次将“数字资产”定义为使用区块链技术创建、发行、转让和验证的,具有民法项下价值和法律权利的技术产品。这对于区块链、加密货币、非同质化代币(NFTs)及其他数字资产领域的企业而言是一项重大进展。这可能为未来的监管奠定基础,但预计将面临更严格的监管。

加强对网络安全产品和服务的管理

草案新增章节(第四章和第五章)引入了适用于信息技术(IT)产品、服务和网络设备的网络安全标准和技术法规,以及针对提供网络安全产品或服务企业的许可和要求。这些新规定旨在加强对网络安全产品和服务的控制,因为组织必须在贸易前对其产品和服务进行认证或公布其符合这些标准的情况。


《越南网络安全法(合并草案)》

越南公安部、司法部;

越南政府办公厅:部长、各位副部长、总理助理;

各司:KSTT、NC、PL、QHĐP;

代表政府受总理委托公安部部长大将梁三光

提案草案:网络安全法

第四次草案网络安全

根据越南社会主义共和国宪法;

国会颁布《网络安全法》。

第一章 总则

第一条 调整范围

本法规定网络安全保障活动,旨在保护国家网络空间主权,维护国家安全,保障社会秩序和安全,保护机关、组织、个人在参与网络空间时的合法权益,包括:网络信息保护、信息系统保护;预防、处理网络安全侵犯行为;预防、打击高科技犯罪;网络安全标准、规范;网络安全产品、服务;网络安全保障条件;网络安全国家管理以及各主体遵守网络安全法律规定的责任。

第二条 适用对象

本法适用于直接参与或与越南网络空间活动相关的越南机关、组织、个人,以及外国组织、个人。

第三条 术语解释

本法中,下列术语的含义如下:

网络安全是指信息、信息系统、网络空间的安全、稳定、可持续性,以及预防和打击网络空间中危害国家安全、社会秩序和安全、机关、组织、个人的合法权益的活动。

网络是指信息通过电信网络和计算机网络进行提供、传输、收集、处理、存储和交换的环境。

网络空间是指信息技术基础设施的互联网络,是人类进行社会活动而不受空间和时间限制的场所。

信息系统是指为在网络空间中创建、提供、传输、收集、处理、存储和交换信息而建立的硬件、软件和数据库的集合。

信息系统主管单位是指对信息系统拥有直接管理权限的机关、组织、个人。

恶意软件是指可能导致信息系统部分或全部异常运行,或非法复制、修改、删除信息系统中存储信息的软件。

恶意硬件是指计算机系统、信息系统的物理部件,可能导致计算机系统、信息系统部分或全部异常运行,或对信息系统中存储的数据进行未授权操作。

系统日志是指一个被建立的系统,其功能是记录、存储并可提取反映系统运行状态、事件、网络安全事件以及用户在使用系统、访问互联网服务过程中生成的数据。

高科技犯罪是指《刑法》规定的通过使用信息技术、计算机网络、互联网或其他数字设备实施的危害社会行为,目的在于欺诈、侵占财产、入侵计算机系统、散布有害信息或对个人、组织和社会造成损害。

网络攻击是指利用网络空间、信息技术或电子手段破坏、中断网络空间活动的行为。

网络恐怖主义是指利用网络空间、信息技术或电子手段实施恐怖主义行为或资助恐怖主义。

网络间谍是指利用网络空间侵犯国家安全,旨在非法窃取、收集越南机关、组织、个人的网络空间信息和信息资源的行为。

数字资产是指通过区块链技术创建、发行、转让和验证所有权的数字技术产品,具有根据民事法律和相关法律规定的价值和财产权。

网络安全事件是指网络空间中突然发生的、严重侵犯国家安全、社会秩序和安全、机关、组织、个人合法权益的事件。

信息冲突是指两个或多个国内外组织使用信息技术手段对网络中的信息、信息系统造成损害的行为。

民用密码是指用于保护或验证非国家秘密信息内容的密码技术和密码产品。

网络安全产品是指具有保护信息、信息系统和网络空间功能的硬件、软件。

网络安全服务是指保护信息、信息系统和网络空间的服务。

服务提供商是指在网络空间中提供产品、服务的企业、组织、个人,包括:互联网服务提供商(ISP)、邮政服务、电信服务、存储服务、服务器、域名、虚拟专用网络(VPN)、代理服务器(Proxy)、云计算服务、社交网络、电子信息网站、电信服务、金融、信贷、银行组织、在越外国银行分支机构、电子钱包、中间支付机构、证券交易平台、数字资产交易平台、电子商务平台、物流服务、数字电视、在线游戏以及网络空间中的其他各类产品、服务。

第四条 国家的网络安全政策

优先在国防、安全、经济-社会发展、科学技术和对外关系中保护网络安全。

建设健康的网络空间,不危害国家安全、社会秩序和安全、机关、组织、个人的合法权益。

优先投入资源建设网络安全专门力量;提高网络安全保护力量以及参与网络安全保护的组织、个人的能力;优先投资于网络安全科学技术的研究和开发。

鼓励和创造条件,使组织、个人参与网络安全保护,处理网络安全威胁;研究、开发技术、产品、服务、应用程序以保护网络安全;与职能机构协调保护网络安全。

加强网络安全国际合作。

第五条 网络安全保护原则

遵守宪法和法律;确保国家安全、主权、国家利益以及机关、组织、个人的合法权益。

置于越南共产党领导下、国家统一管理下;调动政治体系和全民族的综合力量;发挥网络安全专门力量的核心作用。

将网络安全保护、国家重要信息系统保护任务与经济-社会发展任务、保障人权和公民权利的任务紧密结合,为机关、组织、个人在网络空间中的活动创造条件。

主动预防、发现、阻止、打击,挫败一切利用网络空间侵犯国家安全、社会秩序和安全、机关、组织、个人合法权益的活动;随时阻止网络安全威胁。

对国家网络空间基础设施开展网络安全保护活动;采取措施保护国家重要信息系统。

国家重要信息系统在投入运行和使用前应进行网络安全评估和认证,以确保其符合网络安全条件;在使用过程中应定期进行网络安全检查和监督,并及时应对和解决网络安全事件。

所有网络安全违法行为必须及时、严格处理。

第六条 网络安全保护措施

网络安全保护措施包括:

a)科学-技术措施;

b)行政措施;

c)业务措施;

d)调查、起诉措施;

e)法律规定的其他措施。

政府详细规定网络安全保护措施。

第七条 国家网络空间保护

国家网络空间是指由政府确定、管理和控制的网络空间。

国家网络空间基础设施是指在国家网络空间中创建、传输、收集、处理、存储和交换信息的物质和技术基础设施系统。

国家采取措施保护国家网络空间、国家网络空间基础设施;预防、处理网络空间中侵犯国家安全、社会秩序和安全、机关、组织、个人合法权益的行为。

第八条 网络安全国际合作

网络安全国际合作应在尊重独立、主权、领土完整、互不干涉内政、平等互利的基础上进行,并遵守越南宪法、法律以及越南社会主义共和国作为成员国的国际条约。

网络安全国际合作内容包括:

a)分享信息、数据和网络安全风险、事件、攻击的早期预警;

b)建立网络安全保护的法律框架、政策和协调机制;签署和执行网络安全国际条约、国际协议;

c)网络安全领域的培训、咨询、经验分享和专业技术能力提升;

d)预防、打击高科技犯罪;协调调查、处理涉及外国因素的违法行为和高科技犯罪;

đ) 研究、开发、转让技术、产品、技术解决方案,服务于网络安全保护工作;

e)组织国际会议、研讨会、论坛,并实施网络安全国际合作项目;

f)其他网络安全国际合作活动。

第九条 网络安全禁止行为

禁止利用网络空间实施下列行为:

a)组织、活动、勾结、煽动、收买、欺骗、拉拢、培训、训练人员反对越南社会主义共和国;

b)歪曲历史、否定革命成就、破坏民族大团结、侮辱领袖、民族英雄、侮辱宗教、性别歧视、种族歧视;

c)发布虚假信息,在人民群众中制造恐慌,损害经济-社会活动,给国家机关或公职人员的活动造成困难,侵犯其他机关、组织、个人的合法权益;

d)卖淫、社会丑恶现象、贩卖人口;发布淫秽、色情、犯罪信息;破坏民族优良传统、社会道德、社区健康以及其他违法信息;

đ) 煽动、拉拢、教唆他人犯罪。

实施网络攻击、网络恐怖主义、网络间谍、高科技犯罪。

实施下列行为:

a)非法影响、阻碍信息系统正常运行或用户访问信息系统的能力;

b)非法攻击、禁用信息系统网络安全保护措施,使其失效;

c)攻击、控制、破坏信息系统;

d)散布垃圾邮件、违反广告规定的内容、恶意软件,建立虚假信息系统、进行欺诈;

đ) 非法收集、使用、散布、交换、转让、经营他人个人信息;

e)利用信息系统漏洞、弱点收集、利用个人信息;

f)非法侵入机关、组织、个人合法密码秘密和加密信息;

g)披露民用密码产品信息、合法使用民用密码产品的客户信息;

h)使用、经营来源不明的民用密码产品。

制造、投入使用工具、设备、软件或有阻碍、扰乱网络空间活动的行为;散布危害网络空间活动的计算机程序;非法侵入他人信息、信息系统、数据库、电子设备。

反对或阻碍网络安全保护力量的活动;非法攻击、禁用网络安全保护措施,使其失效。

滥用或利用网络安全保护活动侵犯国家主权、利益、安全、社会秩序和安全、机关、组织、个人的合法权益或谋取私利。

其他违反本法规定的行为。

第十条 网络安全违法行为处理

行为主体有违反本法规定的行为,将根据违法行为的性质、程度受到纪律处分、行政处罚或被追究刑事责任;如造成损害,应依法赔偿。

第二章 网络安全保障活动

第一节 网络信息保护

第十一条 信息分类

拥有信息的机关、组织根据信息的秘密属性对其进行分类,以便采取适当的保护措施。

属于国家秘密范围的信息应根据国家秘密保护法律的规定进行分类和保护。机关、组织在使用已分类和未分类信息进行其领域活动时,有责任制定信息处理规定和程序;确定允许访问已分类信息的内容和记录方法。

第十二条 网络信息发送管理

网络信息发送必须满足以下要求:

a)不伪造信息来源;

b)遵守本法和相关法律的其他规定。

组织、个人未经接收者同意或接收者已拒绝的情况下,不得向接收者的电子地址发送商业信息,除非接收者依法有义务接收信息。

电信企业、电信应用服务提供商和信息技术服务提供商在发送信息时有以下责任:

a)遵守法律关于信息存储、个人信息和组织、个人私人信息保护的规定;

b)在收到组织、个人关于发送信息违反法律规定的通知时,采取阻止、处理措施;

c)提供接收者能够拒绝接收信息的方式;

d)在国家主管机关要求时,提供必要的技术和业务条件,以执行管理、保障网络安全的任务。

第十三条 网络空间信息安全保障

机关、组织、个人的电子信息网站、电子门户网站或社交网络专页不得提供、发布、传输内容侵犯国家安全、社会秩序和安全的规定于本法第二十条第一款、第二款、第三款、第四款、第五款的信息。

国内外企业在越南电信网络、互联网、网络空间提供增值服务时,有以下责任:

a)用户注册数字账户时进行信息验证;保护用户信息、账户;应公安部网络安全专门力量的书面、电子邮件、电话或其他已确认的交换形式要求,提供用户信息,以用于调查、处理网络安全违法行为;

b)在收到公安部网络安全专门力量要求后的最迟24小时内,阻止信息共享,删除服务、应用程序中包含违法内容的信息,删除应用商店或直接管理的 信息系统中的信息,并按政府规定时间保存系统日志,以用于调查、处理网络安全违法行为;

c)在收到公安部网络安全专门力量要求时,不向在网络空间发布本法第二十条第一款、第二款、第三款、第四款、第五款规定内容信息的组织、个人提供或停止提供电信网络、互联网、网络空间增值服务。

国内外企业在越南电信网络、互联网、网络空间提供增值服务,且从事越南公民个人数据收集、利用、分析、处理活动的,应按照《个人数据保护法》的规定执行。

第十四条 机关、组织、个人在网络信息保护中的责任

参与网络空间活动的机关、组织、个人有责任与国家主管机关和其他组织、个人协调保护网络信息。

使用网络服务的机关、组织、个人在发现破坏行为或网络安全事件时,有责任及时通知服务提供商或应急专门部门。

第二节 信息系统保护

第十五条 信息系统分级

信息系统分级是指确定信息系统网络安全级别,包括:

a)1级是指一旦被破坏,将严重损害组织、个人的合法权益,但不会损害公共利益、社会秩序和安全、国防、国家安全的级别;

b)2级是指一旦被破坏,将特别严重损害组织、个人的合法权益,或严重损害公共利益,或损害社会秩序和安全的级别;

c)3级是指一旦被破坏,将特别严重损害公共利益、社会秩序和安全,或严重损害国防、国家安全的级别。

3级信息系统是国家重要信息系统。

政府详细规定信息系统分级的标准、权限、程序、手续以及根据各级别保障网络安全的责任。

第十六条 信息系统保护任务

信息系统保护任务内容包括:

确定信息系统的网络安全级别。

评估和管理信息系统安全风险。

督促、监督、检查信息系统保护工作。

组织实施信息系统保护措施。

依法履行报告制度。

组织宣传,提高网络安全意识。

第十七条 信息系统保护措施

信息系统保护措施包括:

颁布信息系统设计、建设、管理、运行、使用、升级、报废中的网络安全保障规定。

按照网络安全标准、规范,采取管理、技术措施,预防风险、解决网络安全事件。

检查、监督规定遵守情况并评估所采取的管理和技术措施的有效性。

实施网络安全监控。

第十八条 国家重要信息系统目录

国家重要信息系统目录是指为确保以下重要领域的稳定运行而建立、颁布并采取相应保护措施的国家重要信息系统清单,包括:

a)军事、安全、外交、密码信息系统;

b)存储、处理国家秘密信息的信息系统;

c)用于保存、保管特别重要文物、资料的信息系统;

d)用于保管对人类、生态环境特别危险的材料、物质的信息系统;

đ) 用于保管、制造、管理与国家安全相关的其他特别重要物质设施的信息系统;

e)服务于中央机关、组织活动的重要信息系统;

f)属于能源、金融、银行、电信、交通运输、自然资源与环境、化工、医疗、文化、新闻领域的国家信息系统;

g)与国家安全相关的关键工程、国家安全重要目标的自动控制和监控系统。

政府总理颁布和修订、补充国家重要信息系统目录。

第十九条 国家重要信息系统网络安全保障责任

国家重要信息系统主管单位有以下责任:

a)执行本法第十六条、第十七条的规定;

b)在电子设备、网络信息安全服务投入使用时进行网络安全检查;在信息系统现状发生变化时进行网络安全检查;每年定期进行网络安全检查;并在每年10月前书面通知主管网络安全专门力量检查结果;

c)牵头并与主管网络安全专门力量协调,定期进行网络安全监控;建立网络安全威胁自动预警和接收预警机制;制定紧急应对和补救方案;

d)制定网络安全事件应对和补救方案;网络安全事件发生时,实施应对和补救方案,并及时向主管网络安全专门力量报告;

đ) 与网络安全专门力量协调,实施突击网络安全检查。

公安部有以下责任:

a)对国家重要信息系统进行网络安全评估,军事信息系统和政府密码委员会的密码信息系统除外;

b)对国家重要信息系统进行网络安全条件评估和认证,军事信息系统和政府密码委员会的密码信息系统除外;

c)对国家重要信息系统进行突击网络安全检查,军事信息系统、政府密码委员会的密码信息系统以及政府密码委员会提供用于保护国家秘密信息的密码产品除外;

d)实施网络安全监控;预警并与信息系统主管单位协调,解决、处理网络安全威胁、网络安全事件;

đ) 牵头协调对国家重要信息系统发生的网络安全事件的应对和补救活动,军事信息系统和政府密码委员会的密码信息系统除外; 在被要求时参与应对和补救事件; 在发现网络攻击、网络安全事件时通知信息系统主管单位。

国防部牵头对国防部管理的重要信息系统进行网络安全评估、检查和突击检查,并协调网络安全事件的应对和补救活动。

政府密码委员会牵头组织实施使用密码保护国家机关、政治组织、政治-社会组织国家重要信息系统中的信息; 对密码信息系统进行网络安全评估、检查和突击检查,网络安全监控并协调网络安全事件的应对和补救活动; 依法与国家重要信息系统主管单位协调进行网络安全监控。

第三节 预防、处理网络安全侵犯行为

第二十条 预防、处理网络空间中具有以下内容的宣传信息:反对越南社会主义共和国;煽动暴乱、扰乱安全、扰乱公共秩序;诽谤、诬告;侵犯经济管理秩序

网络空间中具有反对越南社会主义共和国宣传内容的信息包括:

a)歪曲、诽谤人民政权;

b)心理战、煽动侵略战争、分裂、在各民族、宗教和各国人民之间制造仇恨;

c)侮辱民族、国旗、国徽、国歌、伟人、领袖、名人、民族英雄。

网络空间中具有煽动暴乱、扰乱安全、扰乱公共秩序内容的信息包括:

a)呼吁、动员、煽动、威胁、制造分裂、进行武装活动或使用暴力反对人民政权;

b)呼吁、动员、煽动、威胁、拉拢人群聚集制造骚乱、反对公职人员、阻碍机关、组织活动,造成安全、秩序不稳定。

网络空间中具有诽谤、诬告内容的信息包括:

a)严重侮辱他人名誉、声誉、人格;

b)捏造、虚假信息,侵犯机关、组织、个人名誉、声誉、人格或损害其合法权益。

网络空间中具有侵犯经济管理秩序内容的信息包括:

a)捏造、虚假信息关于产品、商品、货币、债券、票据、公债、支票及其他各类有价证券;

b)捏造、虚假信息在金融、银行、电子商务、电子支付、货币经营、资金募集、多层次营销、证券领域。

网络空间中具有捏造、虚假信息,在人民群众中制造恐慌,损害经济-社会活动,给国家机关或公职人员的活动造成困难,侵犯其他机关、组织、个人合法权益的信息。

信息系统主管单位有责任采取管理、技术措施,预防、发现、阻止、删除其管理范围内信息系统中包含本条第一款、第二款、第三款、第四款和第五款规定的信息内容,经网络安全专门力量要求时。

网络安全专门力量和主管机关采取本法第六条第一款规定的措施,处理网络空间中包含本条第一款、第二款、第三款、第四款和第五款规定的信息内容。

国内外电信网络、互联网、网络空间增值服务提供商以及信息系统主管单位有责任与职能机构协调处理网络空间中包含本条第一款、第二款、第三款、第四款和第五款规定的信息内容。

在网络空间中起草、发布、散布本条第一款、第二款、第三款、第四款和第五款规定的信息内容的组织、个人,经网络安全专门力量要求时,必须删除信息并依法承担责任。

第二十一条 预防、打击网络间谍;保护网络空间中属于国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活的信息

网络间谍行为;侵犯网络空间中属于国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活的信息,包括:

a)窃取、买卖、扣押、故意泄露国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活信息,损害机关、组织、个人的名誉、声誉、人格、合法权益;

b)故意删除、损坏、丢失、更改在网络空间中传输、存储的国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活信息;

c)故意更改、取消或使为保护国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活信息而建立、实施的技术措施失效;

d)将属于国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活的信息非法上传至网络空间;

đ) 故意非法窃听、录音、录像通话;

e)其他故意侵犯国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活秘密的行为。

信息系统主管单位有以下责任:

a)进行网络安全检查,以发现、清除恶意代码、恶意硬件,弥补弱点、安全漏洞;发现、阻止和处理非法入侵活动或其他网络安全威胁;

b)采取管理、技术措施,预防、发现、阻止网络间谍行为、侵犯国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活信息,并及时删除相关信息;

c)协调并执行网络安全专门力量关于预防、打击网络间谍、保护信息系统中属于国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活信息的指示。

起草、存储国家秘密信息、文件的机关有责任依法保护在计算机、其他设备上起草、存储或在网络空间中交换的国家秘密。

公安部有以下责任,本条第五款和第六款规定的除外:

a)对国家重要信息系统进行网络安全检查,以发现、清除恶意代码、恶意硬件,弥补弱点、安全漏洞;发现、阻止和处理非法入侵活动;

b)对通信信息设备、数字设备、电子设备在国家重要信息系统中使用前进行网络安全检查;

c)对国家重要信息系统进行网络安全监控,以发现和处理非法收集国家秘密信息的活动;

d)发现和处理在网络空间中非法发布、存储、交换国家秘密信息、文件的行为;

đ) 参与研究、生产存储、传输国家秘密信息、文件的产品,按照国家秘密保护法和密码法规定; 按照职能、任务生产网络空间信息加密产品;

e)检查、监督国家机关在网络空间中保护国家秘密的工作和国家重要信息系统主管单位的网络安全保护工作;

f)组织培训、提高本法第四十五条第二款规定的网络安全保护力量在网络空间中保护国家秘密、预防网络攻击、网络安全保护的意识和知识。

国防部有责任对军事信息系统执行本条第四款a、b、c、d、đ和e项规定的内容。

政府密码委员会负责对政府密码委员会的密码信息系统执行本条第四款a、b、c、d、đ和e项规定的内容; 有责任组织实施法律规定,使用密码保护在网络空间中存储、交换的国家秘密信息。

第二十二条 预防、打击网络儿童侵害

儿童有权在参与网络空间时受到保护、获取信息、参与社会活动、娱乐、保持个人秘密、私人生活以及其他权利。

信息系统主管单位、电信网络、互联网、网络空间增值服务提供商有责任控制信息系统或企业提供服务中的信息内容,确保不危害儿童、不侵犯儿童、儿童权利;阻止共享和删除危害儿童、侵犯儿童、儿童权利的信息;建立、实施技术系统,支持阻止网络空间中侵害儿童内容的行为;协调各机关、组织、企业阻止网络空间中散布侵害儿童信息的来源;及时通知并与公安部网络安全专门力量协调处理。

参与网络空间活动的机关、组织、个人有责任与主管机关协调,保障儿童在网络空间中的权利,根据本法和儿童法律规定阻止危害儿童的网络信息。

机关、组织、父母、监护人、教师、儿童看护者及其他相关个人有责任根据儿童法律规定,保障儿童权利,保护儿童参与网络空间。

网络安全专门力量和职能机构有责任采取措施,预防、发现、阻止、严厉处理利用网络空间危害儿童、侵犯儿童、儿童权利的行为。

第二十三条 预防、发现、阻止和处理恶意软件

机关、组织、个人有责任根据国家主管机关的指导和要求,预防、阻止恶意软件。

国家重要信息系统主管单位应部署技术系统,以预防、发现、阻止和及时处理恶意软件。

电子邮件、信息传输、存储服务提供商必须在其系统中建立恶意软件过滤系统,用于信息的发送、接收、存储,并依法向国家主管机关报告。

互联网服务提供商应采取管理、预防、发现、阻止恶意软件传播的措施,并根据国家主管机关的要求进行处理。

公安部牵头,协调国防部及相关部委、行业组织预防、发现、阻止和处理影响国防、国家安全的恶意软件。

第二十四条 预防、打击网络攻击

网络攻击行为及相关行为包括:

a)散布危害电信网络、互联网、计算机网络、信息系统、信息处理和控制系统、数据库、电子设备的计算机程序;

b)阻碍、扰乱、瘫痪、中断、停滞网络空间活动,非法阻止数据传输;

c)入侵、损害、窃取通过电信网络、互联网、计算机网络、信息系统、信息处理和控制系统、数据库、电子设备传输、存储的数据;

d)入侵、制造或利用系统弱点、安全漏洞和系统服务,以窃取信息、非法获利;

đ) 生产、买卖、交换、赠送、利用具有危害电信网络、互联网、计算机网络、信息系统、信息处理和控制系统、数据库、电子设备功能的工具、设备、软件,用于非法目的;

e)其他影响电信网络、互联网、计算机网络、信息系统、信息处理和控制系统、数据库、电子设备正常运行的行为。

信息系统主管单位有责任采取技术措施,预防、阻止本条第一款a、b、c、d和e项规定的行为,针对其管理范围内的信息系统。

当发生网络攻击,侵犯或威胁侵犯国家主权、利益、安全,严重损害社会秩序和安全时,网络安全专门力量牵头,协调信息系统主管单位和相关组织、个人采取措施,确定网络攻击来源,收集证据;要求电信网络、互联网、网络空间增值服务提供商过滤信息,以阻止、消除网络攻击行为,并及时、充分提供相关信息、文件。

预防、打击网络攻击的责任规定如下:

a)公安部牵头,协调相关部委、行业,在全国范围内预防、发现、处理本条第一款规定的侵犯或威胁侵犯国家主权、利益、安全,严重损害社会秩序和安全的行为,本款b、c项规定的情况除外;

b)国防部牵头,协调相关部委、行业,对军事信息系统执行本条第一款规定的行为的预防、发现、处理工作;

c)政府密码委员会牵头,协调相关部委、行业,对政府密码委员会的密码信息系统执行本条第一款规定的行为的预防、发现、处理工作。

第二十五条 预防、打击网络恐怖主义

国家主管机关有责任根据本法和反恐怖主义法律的规定,采取措施处理网络恐怖主义。

信息系统主管单位应定期审查、检查其管理范围内的信息系统,以消除网络恐怖主义风险。

当发现网络恐怖主义迹象、行为时,机关、组织、个人必须及时向网络安全保护力量报告。收到举报的机关有责任充分接收网络恐怖主义举报信息,并及时通知网络安全专门力量。

公安部牵头,协调相关部委、行业开展网络恐怖主义预防、打击工作,采取措施使网络恐怖主义来源失效,处理网络恐怖主义,将对信息系统造成的后果降到最低,本条第五款和第六款规定的情况除外。

国防部牵头,协调相关部委、行业开展网络恐怖主义预防、打击工作,采取措施处理针对军事信息系统发生的网络恐怖主义。

政府密码委员会牵头,协调相关部委、行业开展网络恐怖主义预防、打击工作,采取措施处理针对政府密码委员会的密码信息系统发生的网络恐怖主义。

第二十六条 预防、处理网络安全危险情况

网络安全危险情况是指网络空间中发生的严重侵犯国家安全,特别严重损害社会秩序和安全、机关、组织、个人合法权益的事件,包括:

a)网络空间出现煽动性信息,有发生暴乱、扰乱安全、恐怖主义的风险;

b)网络攻击国家重要信息系统;

c)大规模、高强度网络攻击多个信息系统;

d)旨在破坏国家安全重要工程、国家安全重要目标的网络攻击;

đ) 严重侵犯国家主权、利益、安全; 特别严重损害社会秩序和安全、机关、组织、个人合法权益的网络攻击。

预防网络安全危险情况的责任规定如下:

a)网络安全专门力量与国家重要信息系统主管单位协调,部署技术、业务解决方案,以预防、发现、处理网络安全危险情况;

b)电信、互联网、信息技术企业、电信网络、互联网、网络空间增值服务提供商以及相关机关、组织、个人有责任与公安部网络安全专门力量协调,预防、发现、处理网络安全危险情况。

政府详细规定网络安全危险情况的预防和处理。

第二十七条 网络安全斗争

网络安全斗争是指网络安全专门力量在网络空间中进行的有组织活动,旨在保护国家安全和保障社会秩序和安全。

网络安全斗争内容包括:

a)掌握与国家安全保护活动相关的情况;

b)预防、打击攻击并保护国家重要信息系统的稳定运行;

c)使利用网络空间危害国家安全或特别严重损害社会秩序和安全的活动瘫痪或受限;

d)主动攻击并使网络空间目标失效,以保护国家安全和保障社会秩序和安全。

公安部牵头,协调相关部委、行业进行网络安全斗争。

第二十八条 阻止网络信息冲突

阻止网络信息冲突是指采取技术、业务措施,以监控、发现、预警、确定来源、过滤、补救和消除网络信息冲突。

阻止网络信息冲突内容包括:

a)监控、发现、预警网络信息冲突;

b)确定网络信息冲突来源;

c)过滤、补救和消除网络信息冲突;

d)关于阻止网络信息冲突的信息、宣传、教育和国际合作。

组织、个人在其任务、权限范围内有以下责任:

a)阻止来自其信息系统的破坏性信息;合作确定来源,击退、补救通过国内外组织、个人信息系统实施的网络攻击的后果;

b)阻止国内外组织、个人旨在破坏网络完整性的行为;

c)消除国内外组织、个人在网络上实施的严重影响国防、国家安全、社会秩序和安全的非法活动。

政府详细规定阻止网络信息冲突。

第三章 预防、打击高科技犯罪

第二十九条 预防、打击利用网络空间在生产、经营、贸易和知识产权领域实施的犯罪

利用网络空间侵犯生产、经营、贸易领域经济管理秩序的行为,包括:

a)非法运输货物、货币跨境;

b)经营、买卖违禁品、假冒商品;

c)虚假广告;

d)欺骗客户;

đ) 违反电子商务活动、运输服务和运输支持服务的规定;

e)发布虚假广告、买卖虚假文件、印章、假冒商品、违禁品、假冒标签、包装;

f)经营走私商品、来源不明商品;境内流通商品被采取紧急措施;过期商品;

g)侵犯著作权、相关权、工业产权;

h)在网络空间中建立、提供服务或支持非法形式、交易平台、网站、应用程序的运营、经营、交易、买卖、在线营销,包括:电子商务平台;销售网站、应用程序,提供电子商务服务;基于各类商品指数的交易平台;数字资产交易平台,多层次经营;

i)其他在生产、经营、贸易领域利用高科技的违法行为。

网络安全专门力量和职能机构有责任采取措施,打击、预防和打击利用网络空间在生产、经营、贸易和知识产权领域实施的犯罪。

第三十条 预防、打击利用网络空间在税务、金融、银行、证券、保险领域实施的犯罪

利用网络空间侵犯税务、金融、银行、证券、保险领域经济管理秩序的行为,包括:

a)非法收集、存储、交换、买卖、赠送、公开银行账户信息、银行卡、电子钱包账户、证券账户、保险账户、税务账户及其他各类数字账户;

b)在网络空间中非法经营、提供贷款服务、募集资金,在民事交易中高利贷;

c)非法建立、广告、提供点对点贷款平台、虚拟货币、证券、外汇交易平台、中间支付服务;

d)洗钱、非法提供提款、转账、代收服务、将电信预付费卡、游戏卡、虚拟货币、虚拟资产及类似物品的价值转换为货币;

đ) 创建、发布广告、买卖虚假银行应用程序、虚假证券应用程序、假币、虚假转让工具或其他各类虚假有价证券;

e)发布关于税务、金融、银行、证券、保险领域的虚假、不实信息,引起社会舆论恐慌,侵犯国家、组织、个人的合法权益;

f)伪造证券发行、上市文件中的文件,故意发布虚假信息或在证券活动中隐瞒信息,利用内幕信息买卖证券,操纵证券市场;

g)非法买卖发票、国家预算收入凭证;

h)非法访问、使用银行账户信息、银行卡、电子钱包账户、证券账户、保险账户、税务账户及其他各类数字账户;

i)在电子商务、电子支付、货币经营、资金募集、多层次营销或通过网络空间进行证券交易中诈骗财产,以侵占财产;

j)使用虚假身份、他人信息、虚假文件设立企业、建立、注册银行账户、证券账户、保险账户、税务账户及其他数字账户;

k)其他在税务、金融、银行、证券、保险、能源、海关、电子政务、公共行政服务、数字支付、电子支付、中间支付领域利用高科技的违法行为;金融科技。

网络安全专门力量和职能机构有责任采取措施,打击、预防和打击利用网络空间在税务、金融、银行、证券、保险领域实施的犯罪。

第三十一条 预防、打击信息技术、电信网络领域的犯罪

利用网络空间侵犯信息技术、电信网络领域公共秩序的行为,包括:

a)生产、买卖、交换、赠送工具、设备、软件,用于非法目的;

b)散布有害计算机程序;违法内容或违反广告规定;阻碍、扰乱计算机网络、电信网络、电子设备的运行;

c)非法上传、使用计算机网络、电信网络信息;

d)非法侵入机关、组织、个人的计算机网络、电信网络或电子设备;

đ) 利用计算机网络、电信网络、电子设备实施侵占财产行为;

e)非法建立、提供、使用电信服务、互联网、匿名服务;

f)非法使用无线电频率;造成有害干扰,阻碍无线电信息系统、电子设备的正常运行;

g)非法收集、存储、买卖、交换、公开社交网络账户、组织的合法私人信息、个人数据;

h)非法出租、借用、涂改、修改、买卖身份证明、电子身份账户、电子签名;创建、伪造身份;非法买卖、使用电子身份;非法建立、提供电子认证、身份识别服务;

i)其他在信息技术、电信网络领域利用高科技的违法行为,包括:非法生产、运输、买卖、流通、建立、连接、使用、运行、监控、管理不符合标准、规范的软件、设备、电子设备、在线服务,用于计算机网络、电信系统或实施违法行为。

网络安全专门力量和职能机构有责任采取措施,打击、预防和打击信息技术、电信网络领域的犯罪。

第三十二条 预防、处理利用高科技侵犯社会秩序的行为

利用高科技违法、侵犯社会秩序的行为包括:

a)贩卖人口、人体组织或器官;

b)教唆他人自杀;

c)侵占财产;

d)伪造机关、组织、个人的电子信息网站;利用人工智能应用软件生成虚假内容,以实施违法行为;

đ) 非法买卖武器、爆炸物、辅助工具、烟花爆竹; 毒品、毒品前体、致瘾物质、精神药物;假文凭、假证书、假文件; 野生、濒危、珍稀动物;法律规定禁止的其他商品、服务;

e)组织赌博、赌博;非法建立、提供在线游戏;

f)组织卖淫;传播淫秽文化产品;性侵儿童;性骚扰;

g)组织、协助他人非法出境、入境或留在越南;

h)指导他人实施违法行为;

i)其他利用高科技违法、侵犯社会秩序的行为。

网络安全专门力量和职能机构有责任采取措施,打击、预防和打击侵犯社会秩序的犯罪。

第三十三条 网络安全专门力量在预防、打击高科技犯罪中的权限

在预防、打击高科技犯罪过程中,网络安全专门力量有权:

a)依法实施《刑事诉讼法》规定的特别侦查措施及其他业务措施。

b)检查电子设备,监控、发现、收集、恢复和分析、鉴定电子信息、文件、数据,用于发现、调查、处理高科技犯罪和违法行为。

c)要求服务提供商、组织、个人提供信息、文件、物品、电子设备、电子数据;提供场地、连接端口、必要的技术条件,以便专门力量部署技术设备和措施,检查、监控、收集电子数据,用于预防、发现、调查、处理高科技犯罪和违法行为。

d)要求服务提供商关闭数字账户,冻结、解冻数字账户,暂停数字账户交易、活动,重新识别、验证数字账户,用于预防、发现、调查、处理高科技犯罪和违法行为;

đ) 直接或协调国家主管机关要求服务提供商阻止、暂停、停止电子信息网站、信息系统、电子设备、服务提供,撤销运营许可;

e)扣押、暂扣与高科技违法行为相关的物品、文件、电子设备、电子数据、数字资产。

f)警告、要求服务提供商警告关于网络安全的信息、组织、个人、银行账户、电子钱包、证券账户及其他各类数字账户,怀疑与违法活动相关,用于预防、阻止高科技犯罪和其他违法行为。

g)依法履行其他任务、权限。

政府详细规定本条第一款a项。

第三十四条 服务提供商、服务使用组织、个人在预防、打击高科技犯罪中的责任

服务提供商有以下责任:

a)在提供服务前和提供服务过程中,对服务使用组织、个人进行身份识别、验证;有解决方案确定、阻止非本人账户使用服务的情况;保守服务使用组织、个人的信息、文件秘密;

b)遵守法律关于保密、保存期限、存储、提供电子信息、数据,服务于预防、打击高科技犯罪的规定;

c)有责任协调、为网络安全专门力量和高科技犯罪预防力量履行任务创造条件;

d)按照公安部的指示,连接、接收、回复电子文件,服务于网络安全保障和高科技犯罪预防工作;

đ) 按照本法和其他相关法律规定,及时、充分、准确、保密地向主管机关提供信息、文件;

e)在收到网络安全和高科技犯罪警告信息时,立即按照主管机关的指示采取必要措施;

f)不按照主管机关指示执行而造成的损失,应承担责任;

g)信息系统主管单位有责任在发现网络攻击行为后24小时内向网络安全和高科技犯罪预防专门力量报告。

服务使用组织、个人的责任:

a)有责任保护其注册、开立、管理、使用数字账户的信息;如果数字账户被用于实施违法行为,根据违法行为的性质、程度,账户持有人将受到纪律处分、行政处罚或被追究刑事责任;如果对国家利益、组织、个人的合法权益造成损害,应依法赔偿;

b)按照法律规定,真实、充分地向主管机关、服务提供商提供信息、文件。

第四章 网络安全技术标准、规范

第三十五条 网络安全技术标准、规范

网络安全标准包括在越南公布、承认和应用的国际标准、区域标准、外国标准、国家标准和企业标准,适用于信息技术产品、服务和网络连接设备。

网络安全技术规范包括在越南制定、颁布和应用的国家技术规范,适用于信息技术产品、服务和网络连接设备。

第三十六条 网络安全技术标准、规范管理

网络安全合格认证是指合格评定机构认证信息技术产品、服务和网络连接设备符合网络安全技术规范。

网络安全合格声明是指组织、企业声明信息技术产品、服务和网络连接设备符合网络安全技术规范。

网络安全符合性认证是指合格评定机构认证信息技术产品、服务和网络连接设备符合网络安全标准。

网络安全符合性声明是指组织、企业声明信息技术产品、服务和网络连接设备符合网络安全标准。

科学技术部牵头,协调相关机构组织评估和公布网络安全国家标准,按照标准、技术规范法律的规定。

公安部有以下责任:

a)制定网络安全国家标准草案,本条第七款规定的国家标准除外;

b)颁布网络安全国家技术规范,本条第七款规定的国家规范除外;规定网络安全合格评定;

c)管理网络安全产品、服务质量,民用密码产品、服务除外;

d)注册、指定和管理网络安全合格评定机构的活动,民用密码产品、服务合格评定机构除外。

政府密码委员会负责协助国防部部长制定民用密码产品、服务国家标准草案,提交国家主管机关公布并指导实施;制定、提交国防部部长颁布民用密码产品、服务国家技术规范,指定和管理民用密码产品、服务合格评定机构的活动;管理民用密码产品、服务质量。

第三十七条 网络安全合格评定、合格声明评估

网络安全合格评定、合格声明评估在以下情况下进行:

a)组织、个人将网络安全产品投入市场流通前,必须进行合格认证或合格声明并使用合格标志;

b)服务于网络安全国家管理活动。

网络安全合格评定、合格声明评估,服务于国家重要信息系统和网络安全国家管理活动,在合格评定、合格声明机构进行。

网络安全合格评定、合格声明机构是指经公安部指定、承认或认可,具备实施网络安全合格评定、合格声明活动的机构。政府具体规定网络安全合格评定、合格声明机构。

网络安全标签是公安部根据企业、个人要求,颁发给符合标准、规范的网络安全产品、服务的认证。政府具体规定网络安全标签。

越南与其他国家、地区之间,越南合格评定机构与其他国家、地区合格评定机构之间,网络安全合格评定、合格声明结果的互认,应按照标准、技术规范法律的规定执行。

第五章 网络安全产品、服务

第一节 网络安全产品、服务经营许可

第三十八条 网络安全产品、服务

网络安全服务包括:

a)网络安全检查、评估服务;

b)不使用民用密码的信息安全服务;

c)民用密码服务;

d)电子签名认证服务;

đ) 网络安全咨询服务;

e)网络安全监控服务;

f)网络安全事件应急服务;

g)数据恢复服务;

h)预防、打击网络攻击服务;

i)其他网络安全服务。

网络安全产品包括:

a)民用密码产品;

b)网络安全检查、评估产品;

c)网络安全监控产品;

d)防攻击、入侵产品;

đ) 其他网络安全产品。

政府详细规定本条第一款、第二款规定的网络安全产品、服务目录。

第三十九条 获得网络安全产品、服务经营许可证的条件

企业获得网络安全产品、服务经营许可证,本法第三十八条第一款a、b、c、d项和第二款a项规定的产品、服务除外,应满足以下条件:

a)符合国家网络安全发展战略、规划、计划;

b)拥有与网络安全产品、服务提供规模相符的设备、物质设施系统;

c)拥有满足网络安全专业要求的管理、运营、技术团队;

d)拥有符合要求的经营方案。

企业获得网络安全检查、评估服务经营许可证,应满足以下条件:

a)本条第一款规定的条件;

b)是在越南境内合法成立并运营的企业,外资企业除外;

c)法定代表人、管理、运营、技术团队为在越南常住的越南公民;

d)拥有符合标准、技术规范的技术方案;

đ) 拥有在提供服务过程中保护客户信息的方案;

e)管理、运营、技术团队拥有网络安全检查、评估专业文凭或证书。

企业获得不使用民用密码的信息安全服务经营许可证,应满足以下条件:

a)本条第二款a、b、c、d和đ项规定的条件;

b)管理、运营、技术团队拥有信息安全专业文凭或证书。

企业获得民用密码服务经营许可证,应满足以下要求:

a)拥有满足保密、网络安全专业要求的管理、运营、技术团队;

b)拥有与民用密码产品、服务提供规模相符的设备、物质设施系统;

c)拥有符合标准、技术规范的技术方案;

d)拥有在民用密码产品、服务管理和提供过程中保护信息和网络安全的方案;

đ) 拥有符合要求的经营方案;

e)民用密码产品在市场流通前必须经过检验、合格认证。

政府详细规定网络安全产品、服务经营。

第四十条 网络安全产品、服务经营企业的责任

管理、保存技术方案、产品技术文件,根据要求向公安部报告网络安全产品、服务经营、出口、进口情况。

建立、保存和保护客户信息。

在发现组织、个人违反网络安全产品、服务使用法律,违反企业提供产品、服务已约定承诺时,拒绝提供网络安全产品、服务。

根据国家主管机关的要求,为保障国防、国家安全、社会秩序和安全,暂停或停止提供网络安全产品、服务。

协调并为国家主管机关根据要求实施业务措施创造条件。

第二节 网络安全产品进口管理

第四十一条 网络安全产品进出口管理原则

网络安全产品进出口管理按照本法和相关法律的其他规定执行。

享有外交特权、豁免权的机关、组织、个人网络安全产品进出口,按照海关法、外国外交代表机构、领事机构和政府间国际组织在越南代表机构特权、豁免权法律的规定执行。

如果越南尚未有与进口网络安全产品相应的网络安全技术规范,则按照越南社会主义共和国作为成员国的国际协议、国际条约执行。

第四十二条 许可证进口网络安全产品

出口、进口属于政府规定的许可证出口、进口网络安全产品目录的网络安全产品时,企业必须持有国家主管机关颁发的网络安全产品出口、进口许可证。

组织、企业出口、进口网络安全产品,必须在本法第三十九条规定的出口、进口前进行认证、合格声明。

组织、企业获得网络安全产品出口、进口许可证,应满足以下条件:

a)持有网络安全产品经营许可证;

b)网络安全产品必须按照本法第四十一条的规定进行认证、合格声明;

c)网络安全产品的使用对象和目的不危害国防、国家安全以及社会秩序和安全。

政府详细规定许可证出口、进口网络安全产品的程序、手续、档案。

第六章 网络安全保障条件

第四十三条 网络安全研究、开发

网络安全研究、开发内容包括:

a)建设网络安全保护软件、设备系统;

b)评估网络安全保护软件、设备达到标准并限制存在弱点、安全漏洞、恶意软件的方法;

c)检查所提供硬件、软件是否正确执行功能的方法;

d)保护国家秘密、工作秘密、商业秘密、个人秘密、家庭秘密和私人生活秘密的方法;网络空间信息传输中的保密能力;

đ) 确定网络空间中传输信息的来源;

e)解决网络安全威胁;

f)建设网络靶场、网络安全测试环境;

g)提高网络安全意识、技能的技术创新;

h)网络安全预测;

i)网络安全实践研究、理论发展。

相关机关、组织、个人有权研究、开发网络安全。

第四十四条 提高网络安全自主能力

国家鼓励和创造条件,使机关、组织、个人提高网络安全自主能力,提高数字设备、网络服务、网络应用的生产、检查、评估、检验能力。

政府采取以下措施提高机关、组织、个人的网络安全自主能力:

a)促进网络安全保护技术、产品、服务、应用的转让、研究、掌握和开发;

b)促进与网络安全相关的新技术、先进技术的应用;

c)组织网络安全人才培训、发展和使用;

d)改善营商环境,改善竞争条件,支持企业研究、生产网络安全保护产品、服务、应用。

第四十五条 网络安全保护力量

网络安全专门力量设置于公安部、国防部。

网络安全保护力量设置于部委、省市人民委员会、直接管理国家重要信息系统的机关、组织。

组织、个人被动员参与网络安全保护。

政府详细规定网络安全保护力量。

第四十六条 网络安全保护人力资源保障

具有网络安全、信息技术知识的越南公民是网络安全保护的基本、主要人力资源。

国家制定计划、规划,建设、发展网络安全保护人力资源。

发生网络安全危险情况、网络恐怖主义、网络攻击、网络安全事件或网络安全威胁时,国家主管机关决定动员网络安全保护人力资源。网络安全保护人力资源动员的权限、责任、程序、手续按照《国家安全法》、《国防法》、《人民公安法》和相关法律的其他规定执行。

第四十七条 网络安全保护力量的选拔、培训、发展

具备道德品质、健康、学历、网络安全和信息技术知识、有志向的越南公民,可以被选拔进入网络安全保护力量。

优先培训、发展高素质网络安全保护力量。

优先发展达到国际标准的网络安全培训机构;鼓励国家和私人部门、国内外之间在网络安全领域的合作、创造合作机会。

第四十八条 网络安全知识、业务培训和培养

网络安全知识教育、培养内容纳入学校国防安全教育课程、国防安全知识培养计划,按照《国防安全教育法》的规定。

公安部牵头,协调相关部委、行业组织对网络安全保护力量以及参与网络安全保护的干部、公务员、劳动者进行网络安全业务培训。国防部、政府密码委员会组织对其管理对象进行网络安全业务培训。

第四十九条 网络安全知识普及

国家制定政策在全国范围内普及网络安全知识,鼓励国家机关与私人组织、个人协调实施网络安全教育和意识提升计划。

部委、行业、机关、组织有责任制定和实施向本部门、行业、机关、组织干部、公务员、劳动者普及网络安全知识的活动。

省级人民委员会负责制定和实施向地方机关、组织、个人普及网络安全知识、提高网络安全意识的活动。

第五十条 网络安全保护经费

国家机关、政治组织的网络安全保护经费由国家预算保障,并在年度国家预算中列支。国家预算经费的管理、使用按照国家预算法律的规定执行。

本条第一款规定以外的机关、组织信息系统网络安全保护经费由机关、组织自行保障。

第五十一条 网络安全培训文凭、证书

高等教育机构、职业教育机构在其任务、权限范围内颁发网络安全培训文凭、证书。

教育培训部牵头,协调公安部、相关部委、行业承认外国机构颁发的网络安全高等教育文凭。

教育培训部牵头,协调公安部、相关部委、行业承认外国机构颁发的网络安全职业教育文凭、证书。

第七章 网络安全国家管理

第五十二条 网络安全国家管理内容

制定网络安全领域的方针、政策、战略、规划、计划、方案。

颁布并组织实施网络安全规范性法律文件;制定、公布国家标准,颁布网络安全技术规范。

民用密码国家管理。

网络安全合格评定、合格声明管理。

网络安全监控管理。

信息系统设计文件中网络安全评估。

网络安全法律宣传、普及。

网络安全产品、服务经营活动管理。

组织网络安全科学技术研究、应用;发展网络安全人力资源;网络安全培训。

预防、打击、处理网络安全侵犯行为、高科技犯罪。

检查、监察、解决投诉、举报、处理网络安全违法行为。

网络安全国际合作。

第五十三条 网络安全国家管理责任

政府统一管理网络安全国家事务。

公安部对政府负责,在全国范围内统一管理网络安全国家事务,本条第三款规定的除外。

国防部对政府负责,管理其管理范围内的网络安全国家事务。政府密码委员会对国防部部长负责,依法管理民用密码和其管理范围内的网络安全国家事务。

各部委、部级机关、政府直属机关在其职能、任务、权限范围内执行网络安全保护工作;协调公安部执行网络安全国家管理工作;

省级人民委员会执行网络安全保护工作和地方数据国家管理工作。

第五十四条 信息系统主管单位的责任

信息系统主管单位有责任根据本法规定保护信息系统。

使用国家预算的信息系统主管单位履行本条第一款规定的责任,并有以下责任:

a)在建立、扩展或升级信息系统时,有经国家主管机关评估的网络安全保障方案;

b)指定网络安全负责人或部门。

第五十五条 网络空间服务提供商的责任

越南境内的网络空间服务提供商有以下责任:

a)警告其提供的网络空间服务可能存在的网络安全风险并指导预防措施;

b)制定网络安全事件快速响应方案、解决方案,立即处理弱点、安全漏洞、恶意代码、网络攻击、网络入侵及其他安全风险;发生网络安全事件时,立即实施应急方案和适当应对措施,同时按照本法规定向网络安全专门力量报告;

c)采取技术解决方案及其他必要措施,确保信息收集过程的安全,阻止数据泄露、丢失、损坏或丢失的风险;如果发生或可能发生用户数据泄露、丢失、损坏或丢失事件,应立即采取应对措施,同时通知用户并按照本法规定向网络安全专门力量报告;

d)协调网络安全专门力量进行网络安全保护。

在越南提供电信网络、互联网、网络空间增值服务的企业,有责任履行本条第一款、本法第十二条第二款和第三款的规定。

第五十六条 网络空间使用机关、组织、个人的责任

遵守网络安全法律规定。

及时向主管机关、网络安全保护力量提供与网络安全保护、网络安全威胁、网络安全侵犯行为相关的信息。

履行主管机关在网络安全保护方面的要求和指导;协助并为负责机关、组织和人员实施网络安全保护措施创造条件。

第八章 实施条款

第五十七条 过渡条款

各机关、组织、个人有责任在本法生效之日起12个月内,完成将2015年《网络信息安全法》相关内容转换为符合2025年《网络安全法》规定的工作。 在未完成转换期间,各机关、组织、个人继续适用不与本法规定相冲突的《网络信息安全法》规定。

对于本法生效前已获得级别认定决定的信息系统档案,无需按照新级别规定完善档案,但在本法生效之日起12个月内,应适用与新级别规定相应的保护条件、标准和措施。

对于本法生效前已投入使用的国家安全重要信息系统:

a)信息系统主管单位有责任根据本法规定审查、评估并采取网络安全保障措施;

b)在本法生效之日起12个月内,信息系统主管单位必须完成网络安全条件评估和网络安全评估,按照本法规定。

根据2015年《网络信息安全法》颁布的信息安全保障方案、流程、程序,必须在本法生效之日起12个月内,审查、调整、补充,使其符合本法的规定。

在本法生效前已投入使用的网络信息安全保障产品、服务、解决方案、技术设备,如不符合本法规定的网络安全条件,必须在本法生效之日起12个月内更换或升级。

政府详细规定本条规定的过渡条款的实施。

第五十八条 生效条款

本法自2026年1月1日起生效。

本法替代2015年《网络信息安全法》、2018年《网络安全法》。

本法经越南社会主义共和国第十五届国会第十次会议于2025年X月X日通过。

国会主席

https://bocongan.gov.vn/pbgdpl/van-ban-du-thao/du-an-luat-an-ninh-mang-542.html

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。