Quy định pháp luật về Cơ sở hạ tầng thông tin và an ninh mạng

Trả lời

1. Hệ thống của cửa hàng có được xem là Cơ sở hạ tầng thông tin?

Theo định nghĩa pháp luật, cơ sở hạ tầng thông tin là hệ thống trang thiết bị phục vụ cho việc sản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin số, bao gồm mạng viễn thông, mạng Internet, mạng máy tính và cơ sở dữ liệu. Dựa trên định nghĩa này, hệ thống máy tính, website và cơ sở dữ liệu khách hàng của cửa hàng chị Lan hoàn toàn nằm trong phạm vi của cơ sở hạ tầng thông tin. Mặc dù có sự phân biệt giữa "cơ sở hạ tầng thông tin" nói chung và "cơ sở hạ tầng thông tin quốc gia" trong một số quy định, nhưng về cơ bản, các hệ thống công nghệ thông tin của tổ chức, cá nhân đều được pháp luật bảo vệ.

2. Các hành vi xâm nhập trái phép và mức độ xử lý

Pháp luật Việt Nam có quy định rất rõ ràng về việc bảo vệ các hệ thống thông tin. Hành vi xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác là một tội danh hình sự. Cụ thể, Điều 289 Bộ luật Hình sự 2015 quy định về "Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác" ^[1].

Theo đó, người nào cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác để chiếm quyền điều khiển; can thiệp vào chức năng hoạt động; lấy cắp, thay đổi, hủy hoại, làm giả dữ liệu hoặc sử dụng trái phép các dịch vụ, có thể bị phạt tiền từ 50.000.000 đồng đến 300.000.000 đồng hoặc phạt tù từ 01 năm đến 05 năm.

Các mức phạt sẽ tăng lên đáng kể nếu hành vi phạm tội thuộc các trường hợp nghiêm trọng hơn như có tổ chức, thu lợi bất chính lớn, gây thiệt hại lớn, hoặc đặc biệt nghiêm trọng nếu đối tượng là cơ sở hạ tầng thông tin quốc gia hay hệ thống thông tin phục vụ quốc phòng, an ninh ^[1]. Đối với hệ thống của cửa hàng chị Lan, hành vi tấn công sẽ bị xử lý theo các khung hình phạt ở khoản 1 hoặc khoản 2 của Điều 289, tùy thuộc vào mức độ thiệt hại và tính chất của hành vi.

3. Trách nhiệm và biện pháp bảo vệ thông tin

Các văn bản pháp luật như Nghị định sửa đổi Nghị định số 90/2008/NĐ-CP cũng quy định về phạm vi điều chỉnh và đối tượng áp dụng liên quan đến việc trao đổi thông tin và chống thư rác ^[2]. Mặc dù trọng tâm là thư rác, các quy định này thể hiện một phần trách nhiệm của tổ chức, cá nhân trong việc đảm bảo an toàn thông tin và ngăn chặn các hành vi gây hại. Việc phân loại thư rác cũng bao gồm các hành vi phát tán virus máy tính, phần mềm gây hại, hoặc lừa đảo ^[3], cho thấy sự quan tâm của pháp luật đến việc bảo vệ người dùng và hệ thống thông tin khỏi các mối đe dọa trên không gian mạng. Do đó, việc chủ động bảo vệ hệ thống của mình là rất quan trọng để tránh trở thành nạn nhân hoặc bị lợi dụng cho các mục đích xấu.