BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
--------

Số: 25/2010/TT-BTTTT

Hà Nội, ngày 15 tháng 11 năm 2010

THÔNG TƯ

QUYĐỊNH VIỆC THU THẬP, SỬ DỤNG, CHIA SẺ, ĐẢM BẢO AN TOÀN VÀ BẢO VỆ THÔNG TIN CÁNHÂN TRÊN TRANG THÔNG TIN ĐIỆN TỬ HOẶC CỔNG THÔNG TIN ĐIỆN TỬ CỦA CƠ QUAN NHÀNƯỚC

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căncứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về Ứngdụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 187/2007/NĐ-CP ngày 25 tháng 12 năm 2007 của Chính phủ quyđịnh chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin vàTruyền thông;
Theo đề nghị của Cục trưởng Cục Ứng dụng công nghệ thông tin,

QUY ĐỊNH:

Chương 1.

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Thông tư này quyđịnh việc thu thập, sử dụng, chia sẻ thông tin cá nhân và các biện pháp đảm bảoan toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổngthông tin điện tử của cơ quan nhà nước (sau đây gọi là cổng thông tin điện tử).

Điều 2. Đối tượng áp dụng

1. Cơ quan nhànước theo quy định tại Nghị định 64/2007/NĐ-CP đang quản lý, vận hành cổngthông tin điện tử (sau đây gọi là cơ quan chủ quản).

2. Cá nhân khaithác, sử dụng cổng thông tin điện tử của cơ quan nhà nước.

Điều 3. Giải thích từ ngữ

Trong Thông tưnày, các từ ngữ dưới đây được hiểu như sau:

1. Trang thông tin điện tử là trangthông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ choviệc cung cấp, trao đổi thông tin.

2. Cổng thông tin điện tử là điểm truycập duy nhất trên môi trường mạng, liên kết, tích hợp các kênh thông tin, cácdịch vụ và các ứng dụng mà qua đó người dùng có thể khai thác, sử dụng và cánhân hóa việc hiển thị thông tin.

3. Thông tin cá nhân là thông tin đủ đểxác định chính xác danh tính một cá nhân, bao gồm ít nhất một trong những thôngtin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địachỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Nhữngthông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảohiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.

4. Trang chủ là trang thông tin đầu tiênmà người sử dụng nhìn thấy khi mở cổng thông tin điện tử theo địa chỉ cổngthông tin điện tử mà cơ quan, tổ chức đã đăng ký và được cấp.

5. Người sử dụng là cá nhân khai thác,sử dụng cổng thông tin điện tử của cơ quan nhà nước hoặc người đại diện theopháp luật của cá nhân đó.

Điều 4. Nguyên tắc thu thập, sử dụng, chiasẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân

1. Việc thuthập, sử dụng và chia sẻ thông tin cá nhân qua cổng thông tin điện tử của cơquan nhà nước được bảo vệ và đảm bảo an toàn.

2. Việc traođổi, truyền đưa, lưu trữ thông tin cá nhân trên cổng thông tin điện tử được bảovệ và đảm bảo an toàn theo quy định pháp luật.

3. Việc thu thậpvà sử dụng thông tin cá nhân phải được sự đồng ý của cá nhân đó trừ nhữngtrường hợp pháp luật có quy định khác.

4. Đảm bảo antoàn và bảo vệ thông tin cá nhân là yêu cầu bắt buộc trong quá trình thiết kế,xây dựng, vận hành, bảo trì và nâng cấp cổng thông tin điện tử của cơ quan nhànước.

Chương 2.

THU THẬP, SỬ DỤNG VÀ CHIA SẺ THÔNG TIN CÁ NHÂN

Điều 5. Thu thập thông tin cá nhân

1. Cơ quan chủquản thông báo và hướng dẫn trên cổng thông tin điện tử cho cá nhân biết vềhình thức, phạm vi và mục đích của việc thu thập và sử dụng thông tin cá nhân.

2. Hình thức thuthập thông tin cá nhân bao gồm: do người sử dụng cung cấp khi sử dụng dịch vụcông trực tuyến hoặc được thu thập tự động trong quá trình người sử dụng truycập cổng thông tin điện tử.

3. Cơ quan chủquản có trách nhiệm tạo các biểu mẫu điện tử tích hợp trong hệ thống cổng thôngtin điện tử để thu thập thông tin cá nhân.

Điều 6. Sử dụng thông tin cá nhân

1. Cơ quan chủquản chỉ sử dụng thông tin cá nhân cho những mục đích đã được nêu rõ trước khitiến hành thu thập thông tin.

2. Cơ quan chủquản phải cung cấp cơ chế lựa chọn giới hạn nội dung và phạm vi sử dụng thôngtin cá nhân.

Điều 7. Truy cập và cập nhật thông tin cánhân

1. Cơ quan chủquản phải cung cấp cho người sử dụng quyền truy cập vào thông tin cá nhân củamình.

2. Trường hợp cánhân không thể đăng nhập để xem thông tin của mình thì có quyền yêu cầu cơ quanchủ quản cấp lại thông tin về tài khoản đăng nhập.

3. Cá nhân cóquyền yêu cầu cơ quan chủ quản kiểm tra, đính chính, bổ sung, sửa đổi thông tincá nhân.

4. Trường hợpthông tin cá nhân được sửa đổi mà đã cung cấp cho cơ quan nhà nước khác thì cơquan cung cấp thông tin phải thông báo cho cơ quan tiếp nhận thông tin biết đểcập nhật một cách nhanh nhất.

Điều 8. Cung cấp, chia sẻ thông tin cá nhân

1. Cơ quan chủquản không được cung cấp, chia sẻ thông tin cá nhân thu thập, tiếp cận hoặckiểm soát được cho bên thứ ba trừ trường hợp có sự đồng ý của cá nhân đó hoặcpháp luật có quy định khác.

2. Việc xin ýkiến người sử dụng để cung cấp, chia sẻ thông tin cá nhân phải được tiến hànhthông qua một bước riêng để người đó lựa chọn chấp nhận hoặc từ chối. Khôngđược thiết lập cơ chế chọn đồng ý mặc định cho người sử dụng.

3. Người sử dụngcó quyền yêu cầu cấp xác nhận về nội dung thông tin cá nhân do cơ quan chủ quảnlưu trữ.

4. Cơ quan chủquản khi tiếp nhận thông tin cá nhân từ một cơ quan nhà nước khác theo quy địnhpháp luật phải có trách nhiệm đảm bảo an toàn và sử dụng thông tin cá nhân đúngmục đích.

Chương 3.

CÁC BIỆN PHÁP ĐẢM BẢO AN TOÀN VÀ BẢO VỆ THÔNG TIN CÁ NHÂN

Điều 9. Hoạt động đảm bảo an toàn và bảo vệthông tin cá nhân

1. Cơ quan chủquản có trách nhiệm xây dựng và ban hành quy định về đảm bảo an toàn và bảo vệthông tin cá nhân; hướng dẫn và kiểm tra thường xuyên việc thực hiện quy định;bảo đảm cổng thông tin cá nhân đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về antoàn thông tin cá nhân.

2. Cơ quan chủquản không chịu trách nhiệm về đảm bảo an toàn và bảo vệ thông tin cá nhân đốivới các trường hợp sau:

a) Thông tin cánhân được tiết lộ, công khai bởi cơ quan tiếp nhận thông tin;

b) Thông tin cánhân do người sử dụng vô tình hoặc cố ý tiết lộ, chia sẻ.

Điều 10. Giám sát quá trình sử dụng thôngtin cá nhân

1. Cơ quan chủquản có trách nhiệm xây dựng và ban hành nội quy đảm bảo an toàn và bảo vệthông tin cá nhân khi khai thác, sử dụng dịch vụ công trực tuyến trên cổngthông tin điện tử.

2. Nội quy baogồm các quy tắc quản lý thông tin cá nhân đơn giản, dễ hiểu để áp dụng một cáchthích hợp và hiệu quả, phù hợp với quy mô cung cấp thông tin và dịch vụ côngtrực tuyến trên cổng thông tin điện tử.

3. Nội quy đảmbảo an toàn và bảo vệ thông tin cá nhân phải được duy trì và giám sát thực hiệnthường xuyên.

Điều 11. Công khai quy định đảm bảo an toànvà bảo vệ thông tin cá nhân

1. Cơ quan chủquản có trách nhiệm thông báo rõ các quy định về đảm bảo an toàn và bảo vệthông tin cá nhân trên trang chủ hoặc cung cấp một cơ chế để người sử dụng dễdàng tiếp cận và tìm hiểu trên cổng thông tin điện tử.

2. Các quy địnhvề đảm bảo an toàn và bảo vệ thông tin cá nhân phải đáp ứng các yêu cầu sauđây:

a) Nội dung đơngiản, rõ ràng, dễ hiểu, phù hợp với tính chất, quy trình công việc liên quan vàkhông chồng chéo;

b) Được tổ chứckhoa học, có khả năng in ấn, hiển thị được về sau và có thể truy cập bằngphương pháp trực tuyến;

c) Mô tả cáchthức thông tin cá nhân sẽ được xử lý sau khi thu thập trên cổng thông tin điệntử, các nội dung thông tin có thể được chia sẻ với bên thứ ba;

d) Được hiển thịrõ đối với người sử dụng trước thời điểm người sử dụng gửi thông tin cá nhân.

3. Trường hợpquy định đảm bảo an toàn và bảo vệ thông tin cá nhân có thay đổi dưới bất kỳhình thức nào, cơ quan chủ quản phải đăng tải thông tin cập nhật trên cổngthông tin điện tử.

Điều 12. Các biện pháp kỹ thuật để đảm bảoan toàn và bảo vệ thông tin cá nhân

1. Cơ quan chủquản có trách nhiệm áp dụng các biện pháp kỹ thuật để đảm bảo an toàn dữ liệu,an toàn mạng máy tính, đảm bảo an toàn và bảo vệ thông tin cá nhân; chống truycập, sử dụng, thay đổi, phát tán trái phép thông tin cá nhân và các hành vikhông được phép khác.

2. Áp dụng quytrình đảm bảo an toàn và bảo vệ thông tin cá nhân.

3. Sử dụng côngnghệ mã hóa đối với thông tin thuộc bí mật cá nhân.

4. Áp dụng quytrình quản lý an toàn hạ tầng kỹ thuật bao gồm (nhưng không giới hạn):

a) Thiết lập hệthống tường lửa;

a) Mã hóa tínhiệu trên đường truyền;

c) Sử dụng tàikhoản, mật khẩu;

d) Thiết lậpgiải pháp và hệ thống thiết bị dự phòng, tự động khôi phục dữ liệu;

đ) Sử dụng cácthiết bị chuyên dụng có chức năng bảo vệ tự động tăng cường khả năng phòng,chống sự tấn công đột nhập từ bên ngoài.

5. Cơ quan chủquản phải tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn, bảovệ thông tin cá nhân trong quá trình chia sẻ, trao đổi thông tin giữa các cơquan nhà nước.

Điều 13. Lưu trữ thông tin cá nhân

1. Cơ quan chủquản có trách nhiệm lưu trữ thông tin cá nhân trên cổng thông tin điện tử tớikhi nào còn cần thiết để thực hiện dịch vụ công trực tuyến được đăng ký và tuânthủ quy định của Nhà nước về Lưu trữ.

2. Thông tin cánhân được thu thập để phục vụ cho mục đích khảo sát, thống kê chỉ được lưu trữđến khi công tác khảo sát, thống kê kết thúc.

Điều 14. Bảo đảm tính tương thích với côngnghệ

Cơ quan chủ quảnhoặc tổ chức, doanh nghiệp được thuê xây dựng, duy trì hệ thống cổng thông tinđiện tử cho cơ quan nhà nước phải áp dụng các tiêu chuẩn, quy chuẩn kỹ thuậtliên quan đến bảo đảm an toàn và bảo vệ thông tin cá nhân.

Điều 15. Kiểm tra, đánh giá mức độ đảm bảoan toàn và bảo vệ thông tin cá nhân

1. Cơ quan chủquản cần tiến hành kiểm tra, đánh giá thường xuyên về mức độ đảm bảo an toàn vàbảo vệ thông tin cá nhân.

2. Quy trìnhkiểm tra, đánh giá phải đáp ứng các yêu cầu sau đây:

a) Tuân thủ cácquy định pháp luật;

b) Xác định nộidung thu thập, mục đích thu thập, mục đích sử dụng, các cơ quan được chia sẻthông tin cá nhân;

c) Đánh giá hiệuquả và rủi ro của việc thu thập, sử dụng và chia sẻ thông tin cá nhân;

d) Kiểm tra vàđánh giá mức độ đảm bảo an toàn và bảo vệ thông tin cá nhân;

đ) Kiểm định hạtầng kỹ thuật về mặt an toàn thông tin phù hợp với các tiêu chuẩn, quy chuẩn kỹthuật được quy định;

e) Xây dựng biệnpháp dự phòng để giảm thiểu tác động xấu khi xảy ra mất an toàn đối với thôngtin cá nhân;

g) Nghiên cứucác hạn chế của cổng thông tin điện tử liên quan đến bảo đảm tính toàn vẹn củathông tin cá nhân để tiến hành các biện pháp khắc phục kịp thời.

3. Ngay khi cósự thay đổi hoặc nâng cấp cổng thông tin điện tử, cơ quan chủ quản phải kiểmtra đánh giá lại về mức độ đảm bảo an toàn và bảo vệ thông tin cá nhân.

Điều 16. Điều kiện đảm bảo an toàn và bảovệ thông tin cá nhân

1. Cán bộ, côngchức trong cơ quan chủ quản phải nắm vững các quy định pháp luật và nội quy củacơ quan về bảo đảm an toàn và bảo vệ thông tin cá nhân.

2. Chuyên viênkỹ thuật phải được tuyển chọn, đào tạo, thường xuyên bồi dưỡng nghiệp vụ phùhợp với nhiệm vụ được giao và được tạo điều kiện làm việc phù hợp.

3. Ưu tiên sửdụng chuyên viên kỹ thuật của cơ quan chủ quản để bảo đảm an toàn và bảo vệthông tin cá nhân lưu trữ trên cổng thông tin điện tử. Trường hợp cần thiết cóthể sử dụng dịch vụ đảm bảo an toàn thông tin của các tổ chức, doanh nghiệp bênngoài nhưng phải có cam kết bằng văn bản với tổ chức, doanh nghiệp đó về đảmbảo an toàn và bảo vệ thông tin cá nhân.

4. Cơ quan chủquản có trách nhiệm bố trí kinh phí để phục vụ cho công tác đảm bảo an toàn vàbảo vệ thông tin cá nhân trên cổng thông tin điện tử.

Chương 4.

TỔ CHỨC THỰC HIỆN

Điều 17. Trách nhiệm của cơ quan chủ quản

1. Thực hiệntheo các quy định tại Thông tư này để đảm bảo thông tin cá nhân cung cấp trêncổng thông tin điện tử được sử dụng đúng mục đích, không bị mất, đánh cắp, tiếtlộ hay thay đổi hoặc phá hủy.

2. Phối hợp vớicác cơ quan có thẩm quyền trong quá trình điều tra, xử lý các hành vi vi phạmcác quy định pháp luật về đảm bảo an toàn và bảo vệ thông tin cá nhân.

3. Phổ biến vàđảm bảo việc thực hiện các quy định về đảm bảo an toàn và bảo vệ thông tin cánhân trong nội bộ cơ quan.

4. Tuyên truyền,nâng cao nhận thức cho các tổ chức, cá nhân tham gia cung cấp, khai thác thôngtin và sử dụng dịch vụ công trực tuyến trên cổng thông tin điện tử về mục đích,vai trò, ý nghĩa của việc đảm bảo an toàn và bảo vệ thông tin cá nhân.

Điều 18. Trách nhiệm của người sử dụng

1. Cung cấpthông tin cá nhân chính xác, đầy đủ, trung thực để thực hiện dịch vụ công trựctuyến hoặc khi được cơ quan nhà nước yêu cầu và chịu trách nhiệm đối với nhữngthông tin cá nhân do mình cung cấp.

2. Giữ kín tàikhoản cá nhân khi tham gia khai thác, sử dụng cổng thông tin điện tử của cơquan nhà nước và hoàn toàn chịu trách nhiệm đối với tất cả các hoạt động diễnra thông qua việc sử dụng tài khoản của mình.

3. Tuân thủ cácquy định và hướng dẫn của cơ quan nhà nước để đảm bảo an toàn và bảo vệ thôngtin cá nhân trên cổng thông tin điện tử.

Điều 19. Trách nhiệm hướng dẫn thi hành

1. Cục Ứng dụngcông nghệ thông tin - Bộ Thông tin và Truyền thông có trách nhiệm tuyên truyền,hướng dẫn, đôn đốc việc thực hiện các nội dung của Thông tư này; hằng năm đánhgiá việc đảm bảo an toàn và bảo vệ thông tin cá nhân trên cổng thông tin điệntử của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cáctỉnh, thành phố trực thuộc Trung ương.

2. Trung tâm Ứngcứu khẩn cấp máy tính Việt Nam (VNCERT) có trách nhiệm phối hợp, hỗ trợ các vấnđề liên quan đến cổng thông tin điện tử có khả năng gây mất an toàn, an ninhthông tin cá nhân; phối hợp xây dựng các tiêu chuẩn kỹ thuật áp dụng cho cổngthông tin điện tử để đảm bảo an toàn và bảo vệ thông tin cá nhân; hỗ trợ các cơquan nhà nước trong việc khắc phục sự cố mất đảm bảo an toàn thông tin cá nhântrên cổng thông tin điện tử.

3. Thanh tra BộThông tin và Truyền thông có trách nhiệm thanh tra, kiểm tra, xử lý vi phạmtheo quy định của pháp luật trong việc thực hiện các quy định của Thông tư này.

4. Đơn vị chuyêntrách công nghệ thông tin các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, SởThông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương có tráchnhiệm tuyên truyền, phổ biến, hướng dẫn việc thực hiện các quy định của Thôngtư này trong cơ quan và các đơn vị trực thuộc.

Điều 20. Hiệu lực thi hành

1. Thông tư nàycó hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2011.

2. Trong quátrình thực hiện nếu có vấn đề phát sinh, vướng mắc, các cơ quan, tổ chức, cánhân cần phản ánh kịp thời về Bộ Thông tin và Truyền thông để xem xét, bổ sung,sửa đổi./.

Nơi nhận:
- Thủ tướng Chính phủ, các PTTgCP (để báo cáo);
- Văn phòng Quốc hội;
- Văn phòng TW và các Ban của Đảng;
- Các Bộ và cơ quan ngang Bộ, cơ quan thuộc Chính phủ;
- Viện Kiểm sát nhân dân tối cao;
- Tòa án nhân dân tối cao;
- Kiểm toán Nhà nước;
- UBND các tỉnh, thành phố trực thuộc Trung ương;
- Đơn vị chuyên trách CNTT các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ;
- Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương;
- Công báo, Cổng Thông tin điện tử Chính phủ;
- Ban Chỉ đạo quốc gia về CNTT;
- Ban Chỉ đạo CNTT cơ quan Đảng;
- Cục Kiểm tra VBQPPL (Bộ Tư pháp);
- Bộ TT&TT: Bộ trưởng và các Thứ trưởng; Các cơ quan, đơn vị thuộc Bộ; Cổng thông tin điện tử của Bộ;
- Lưu: VT, ƯDCNTT (5b).

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Nguyễn Minh Hồng