Văn bản pháp luật Hành chính, Thông tin-Truyền thông

Thông tư 25/2010/TT-BTTTT về thông tin cá nhân trên trang thông tin điện tử của nhà nước

thuộc tính Thông tư 25/2010/TT-BTTTT

Thông tư 25/2010/TT-BTTTT của Bộ Thông tin Truyền Thông quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước
Cơ quan ban hành: Bộ Thông tin và Truyền thông
Số công báo:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Số công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Số hiệu:25/2010/TT-BTTTT
Ngày đăng công báo:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày đăng công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Loại văn bản:Thông tư
Người ký:Nguyễn Minh Hồng
Ngày ban hành:15/11/2010
Ngày hết hiệu lực:Đang cập nhật
Áp dụng:
Đã biết

Vui lòng đăng nhập tài khoản để xem Ngày áp dụng. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Tình trạng hiệu lực:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Lĩnh vực: Hành chính, Thông tin-Truyền thông
 

TÓM TẮT VĂN BẢN

Bảo vệ thông tin cá nhân trên website của cơ quan nhà nước
Ngày 15/11/2010, Bộ Thông tin và Truyền thông đã ban hành thông tư 25/2010/TT-BTTTT quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước.
Đối tượng áp dụng của Thông tư này là các cơ quan nhà nước theo quy định tại Nghị định 64/2007/NĐ-CP đang quản lý, vận hành cổng thông tin điện tử (sau đây gọi là cơ quan chủ quản) và các cá nhân khai thác, sử dụng cổng thông tin điện tử của cơ quan nhà nước.
Cơ quan chủ quản có trách nhiệm xây dựng và ban hành quy định về đảm bảo an toàn và bảo vệ thông tin cá nhân; hướng dẫn và kiểm tra thường xuyên việc thực hiện quy định; bảo đảm cổng thông tin điện tử đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin cá nhân và thông báo rõ các quy định về đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang chủ hoặc cung cấp một cơ chế để người sử dụng dễ dàng tiếp cận và tìm hiểu trên cổng thông tin điện tử.
Bên cạnh đó, cơ quan chủ quản có trách nhiệm áp dụng các biện pháp kỹ thuật để đảm bảo an toàn dữ liệu, an toàn mạng máy tính, đảm bảo an toàn và bảo vệ thông tin cá nhân; chống truy cập, sử dụng, thay đổi, phát tán trái phép thông tin cá nhân và các hành vi không được phép khác; áp dụng quy trình đảm bảo an toàn và bảo vệ thông tin cá nhân; sử dụng công nghệ mã hóa đối với thông tin thuộc bí mật cá nhân.
Đồng thời phải áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật bao gồm (nhưng không giới hạn): Thiết lập hệ thống tường lửa; mã hóa tín hiệu trên đường truyền; sử dụng tài khoản, mật khẩu; thiết lập giải pháp và hệ thống thiết bị dự phòng, tự động khôi phục dữ liệu; sử dụng các thiết bị chuyên dụng có chức năng bảo vệ tự động tăng cường khả năng phòng, chống sự tấn công đột nhập từ bên ngoài. Cơ quan chủ quản phải tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn, bảo vệ thông tin cá nhân trong quá trình chia sẻ, trao đổi thông tin giữa các cơ quan nhà nước…
Thông tư này có hiệu lực thi hành kể từ ngày 01/01/2011.

Xem chi tiết Thông tư25/2010/TT-BTTTT tại đây

tải Thông tư 25/2010/TT-BTTTT

Thông tư 25/2010/TT-BTTTT DOC (Bản Word)
Thông tư 25/2010/TT-BTTTT PDF (Bản có dấu đỏ)
Thông tư 25/2010/TT-BTTTT ZIP (Bản Word)
LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.
Tình trạng hiệu lực: Đã biết

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

---------------------

Số: 25/2010/TT-BTTTT

 

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

---------------------

Hà Nội, ngày 15 tháng 11 năm 2010

THÔNG TƯ

Quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin  điện tử của cơ quan nhà nước

-----------------------------

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 187/2007/NĐ-CP ngày 25 tháng 12 năm 2007 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Theo đề nghị của Cục trưởng Cục Ứng dụng công nghệ thông tin,

QUY ĐỊNH:

CHƯƠNG I QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Thông tư này quy định việc thu thập, sử dụng, chia sẻ thông tin cá nhân và các biện pháp đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước (sau đây gọi là cổng thông tin điện tử).
Điều 2. Đối tượng áp dụng
1. Cơ quan nhà nước theo quy định tại Nghị định 64/2007/NĐ-CP đang quản lý, vận hành cổng thông tin điện tử (sau đây gọi là cơ quan chủ quản).
2. Cá nhân khai thác, sử dụng cổng thông tin điện tử của cơ quan nhà nước.
Điều 3. Giải thích từ ngữ
Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:
1. Trang thông tin điện tử là trang thông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin.
2. Cổng thông tin điện tử là điểm truy cập duy nhất trên môi trường mạng, liên kết, tích hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.
3. Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất một trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.
4. Trang chủ là trang thông tin đầu tiên mà người sử dụng nhìn thấy khi mở cổng thông tin điện tử theo địa chỉ cổng thông tin điện tử mà cơ quan, tổ chức đã đăng ký và được cấp.
5. Người sử dụng là cá nhân khai thác, sử dụng cổng thông tin điện tử của cơ quan nhà nước hoặc người đại diện theo pháp luật của cá nhân đó.
Điều 4. Nguyên tắc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân
1. Việc thu thập, sử dụng và chia sẻ thông tin cá nhân qua cổng thông tin điện tử của cơ quan nhà nước được bảo vệ và đảm bảo an toàn.
2. Việc trao đổi, truyền đưa, lưu trữ thông tin cá nhân trên cổng thông tin điện tử được bảo vệ và đảm bảo an toàn theo quy định pháp luật.
3. Việc thu thập và sử dụng thông tin cá nhân phải được sự đồng ý của cá nhân đó trừ những trường hợp pháp luật có quy định khác.
4. Đảm bảo an toàn và bảo vệ thông tin cá nhân là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vận hành, bảo trì và nâng cấp cổng thông tin điện tử của cơ quan nhà nước.
CHƯƠNG II THU THẬP, SỬ DỤNG VÀ CHIA SẺ THÔNG TIN CÁ NHÂN
Điều 5. Thu thập thông tin cá nhân
1. Cơ quan chủ quản thông báo và hướng dẫn trên cổng thông tin điện tử cho cá nhân biết về hình thức, phạm vi và mục đích của việc thu thập và sử dụng thông tin cá nhân.
2. Hình thức thu thập thông tin cá nhân bao gồm: do người sử dụng cung cấp khi sử dụng dịch vụ công trực tuyến hoặc được thu thập tự động trong quá trình người sử dụng truy cập cổng thông tin điện tử.
3. Cơ quan chủ quản có trách nhiệm tạo các biểu mẫu điện tử tích hợp trong hệ thống cổng thông tin điện tử để thu thập thông tin cá nhân.
Điều 6. Sử dụng thông tin cá nhân
1.   Cơ quan chủ quản chỉ sử dụng thông tin cá nhân cho những mục đích đã được nêu rõ trước khi tiến hành thu thập thông tin.
2.   Cơ quan chủ quản phải cung cấp cơ chế lựa chọn giới hạn nội dung và phạm vi sử dụng thông tin cá nhân.
Điều 7. Truy cập và cập nhật thông tin cá nhân
1.   Cơ quan chủ quản phải cung cấp cho người sử dụng quyền truy cập vào thông tin cá nhân của mình.
2.   Trường hợp cá nhân không thể đăng nhập để xem thông tin của mình thì có quyền yêu cầu cơ quan chủ quản cấp lại thông tin về tài khoản đăng nhập.
3.   Cá nhân có quyền yêu cầu cơ quan chủ quản kiểm tra, đính chính, bổ sung, sửa đổi thông tin cá nhân.
4.   Trường hợp thông tin cá nhân được sửa đổi mà đã cung cấp cho cơ quan nhà nước khác thì cơ quan cung cấp thông tin phải thông báo cho cơ quan tiếp nhận thông tin biết để cập nhật một cách nhanh nhất.
Điều 8. Cung cấp, chia sẻ thông tin cá nhân
1.   Cơ quan chủ quản không được cung cấp, chia sẻ thông tin cá nhân thu thập, tiếp cận hoặc kiểm soát được cho bên thứ ba trừ trường hợp có sự đồng ý của cá nhân đó hoặc pháp luật có quy định khác. 
2.   Việc xin ý kiến người sử dụng để cung cấp, chia sẻ thông tin cá nhân phải được tiến hành thông qua một bước riêng để người đó lựa chọn chấp nhận hoặc từ chối. Không được thiết lập cơ chế chọn đồng ý mặc định cho người sử dụng.
3.   Người sử dụng có quyền yêu cầu cấp xác nhận về nội dung thông tin cá nhân do cơ quan chủ quản lưu trữ.
4.   Cơ quan chủ quản khi tiếp nhận thông tin cá nhân từ một cơ quan nhà nước khác theo quy định pháp luật phải có trách nhiệm đảm bảo an toàn và sử dụng thông tin cá nhân đúng mục đích.
CHƯƠNG III CÁC BIỆN PHÁP ĐẢM BẢO AN TOÀN VÀ BẢO VỆ THÔNG TIN CÁ NHÂN
Điều 9. Hoạt động đảm bảo an toàn và bảo vệ thông tin cá nhân
1. Cơ quan chủ quản có trách nhiệm xây dựng và ban hành quy định về đảm bảo an toàn và bảo vệ thông tin cá nhân; hướng dẫn và kiểm tra thường xuyên việc thực hiện quy định; bảo đảm cổng thông tin điện tử đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin cá nhân.
2. Cơ quan chủ quản không chịu trách nhiệm về đảm bảo an toàn và bảo vệ thông tin cá nhân đối với các trường hợp sau:
a) Thông tin cá nhân được tiết lộ, công khai bởi cơ quan tiếp nhận thông tin;
b) Thông tin cá nhân do người sử dụng vô tình hoặc cố ý tiết lộ, chia sẻ.
Điều 10. Giám sát quá trình sử dụng thông tin cá nhân
1.   Cơ quan chủ quản có trách nhiệm xây dựng và ban hành nội quy đảm bảo an toàn và bảo vệ thông tin cá nhân khi khai thác, sử dụng dịch vụ công trực tuyến trên cổng thông tin điện tử.
2.   Nội quy bao gồm các quy tắc quản lý thông tin cá nhân đơn giản, dễ hiểu để áp dụng một cách thích hợp và hiệu quả, phù hợp với quy mô cung cấp thông tin và dịch vụ công trực tuyến trên cổng thông tin điện tử.
3.   Nội quy đảm bảo an toàn và bảo vệ thông tin cá nhân phải được duy trì và giám sát thực hiện thường xuyên.
Điều 11.  Công khai quy định đảm bảo an toàn và bảo vệ thông tin cá nhân
1.   Cơ quan chủ quản có trách nhiệm thông báo rõ các quy định về đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang chủ hoặc cung cấp một cơ chế để người sử dụng dễ dàng tiếp cận và tìm hiểu trên cổng thông tin điện tử.
2.   Các quy định về đảm bảo an toàn và bảo vệ thông tin cá nhân phải đáp ứng các yêu cầu sau đây:
a)   Nội dung đơn giản, rõ ràng, dễ hiểu, phù hợp với tính chất, quy trình công việc liên quan và không chồng chéo;
b)  Được tổ chức khoa học, có khả năng in ấn, hiển thị được về sau và có thể truy cập bằng phương pháp trực tuyến;
c)   Mô tả cách thức thông tin cá nhân sẽ được xử lý sau khi thu thập trên cổng thông tin điện tử, các nội dung thông tin có thể được chia sẻ với bên thứ ba;
d)  Được hiển thị rõ đối với người sử dụng trước thời điểm người sử dụng gửi thông tin cá nhân.
3.   Trường hợp quy định đảm bảo an toàn và bảo vệ thông tin cá nhân có thay đổi dưới bất kỳ hình thức nào, cơ quan chủ quản phải đăng tải thông tin cập nhật trên cổng thông tin điện tử.
Điều 12. Các biện pháp kỹ thuật để đảm bảo an toàn và bảo vệ thông tin cá nhân
1.   Cơ quan chủ quản có trách nhiệm áp dụng các biện pháp kỹ thuật để đảm bảo an toàn dữ liệu, an toàn mạng máy tính, đảm bảo an toàn và bảo vệ thông tin cá nhân; chống truy cập, sử dụng, thay đổi, phát tán trái phép thông tin cá nhân và các hành vi không được phép khác.
2.   Áp dụng quy trình đảm bảo an toàn và bảo vệ thông tin cá nhân.
3.   Sử dụng công nghệ mã hóa đối với thông tin thuộc bí mật cá nhân.
4.   Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật bao gồm (nhưng không giới hạn):
a) Thiết lập hệ thống tường lửa;
b) Mã hóa tín hiệu trên đường truyền;
c) Sử dụng tài khoản, mật khẩu;
d) Thiết lập giải pháp và hệ thống thiết bị dự phòng, tự động khôi phục dữ liệu;
đ) Sử dụng các thiết bị chuyên dụng có chức năng bảo vệ tự động tăng cường khả năng phòng, chống sự tấn công đột nhập từ bên ngoài.
5.   Cơ quan chủ quản phải tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn, bảo vệ thông tin cá nhân trong quá trình chia sẻ, trao đổi thông tin giữa các cơ quan nhà nước.
Điều 13. Lưu trữ thông tin cá nhân
1.   Cơ quan chủ quản có trách nhiệm lưu trữ thông tin cá nhân trên cổng thông tin điện tử tới khi nào còn cần thiết để thực hiện dịch vụ công trực tuyến được đăng ký và tuân thủ quy định của Nhà nước về Lưu trữ.
2.   Thông tin cá nhân được thu thập để phục vụ cho mục đích khảo sát, thống kê chỉ được lưu trữ đến khi công tác khảo sát, thống kê kết thúc.
Điều 14. Bảo đảm tính tương thích với công nghệ
Cơ quan chủ quản hoặc tổ chức, doanh nghiệp được thuê xây dựng, duy trì hệ thống cổng thông tin điện tử cho cơ quan nhà nước phải áp dụng các tiêu chuẩn, quy chuẩn kỹ thuật liên quan đến bảo đảm an toàn và bảo vệ thông tin cá nhân.
Điều 15. Kiểm tra, đánh giá mức độ đảm bảo an toàn và bảo vệ thông tin cá nhân
1.   Cơ quan chủ quản cần tiến hành kiểm tra, đánh giá thường xuyên về mức độ đảm bảo an toàn và bảo vệ thông tin cá nhân.
2.   Quy trình kiểm tra, đánh giá phải đáp ứng các yêu cầu sau đây:
a) Tuân thủ các quy định pháp luật;
b) Xác định nội dung thu thập, mục đích thu thập, mục đích sử dụng, các cơ quan được chia sẻ thông tin cá nhân;
c) Đánh giá hiệu quả và rủi ro của việc thu thập, sử dụng và chia sẻ thông tin cá nhân;
d) Kiểm tra và đánh giá mức độ đảm bảo an toàn và bảo vệ thông tin cá nhân;
đ) Kiểm định hạ tầng kỹ thuật về mặt an toàn thông tin phù hợp với các tiêu chuẩn, quy chuẩn kỹ thuật được quy định;
e) Xây dựng biện pháp dự phòng để giảm thiểu tác động xấu khi xảy ra mất an toàn đối với thông tin cá nhân;
g) Nghiên cứu các hạn chế của cổng thông tin điện tử liên quan đến bảo đảm tính toàn vẹn của thông tin cá nhân để tiến hành các biện pháp khắc phục kịp thời.
3.   Ngay khi có sự thay đổi hoặc nâng cấp cổng thông tin điện tử, cơ quan chủ quản phải kiểm tra đánh giá lại về mức độ đảm bảo an toàn và bảo vệ thông tin cá nhân.
Điều 16. Điều kiện đảm bảo an toàn và bảo vệ thông tin cá nhân
1.   Cán bộ, công chức trong cơ quan chủ quản phải nắm vững các quy định  pháp luật và nội quy của cơ quan về bảo đảm an toàn và bảo vệ thông tin cá nhân.
2.   Chuyên viên kỹ thuật phải được tuyển chọn, đào tạo, thường xuyên bồi dưỡng nghiệp vụ phù hợp với nhiệm vụ được giao và được tạo điều kiện làm việc phù hợp.
3.   Ưu tiên sử dụng chuyên viên kỹ thuật của cơ quan chủ quản để bảo đảm an toàn và bảo vệ thông tin cá nhân lưu trữ trên cổng thông tin điện tử. Trường hợp cần thiết có thể sử dụng dịch vụ đảm bảo an toàn thông tin của các tổ chức, doanh nghiệp bên ngoài nhưng phải có cam kết bằng văn bản với tổ chức, doanh nghiệp đó về đảm bảo an toàn và bảo vệ thông tin cá nhân.
4.   Cơ quan chủ quản có trách nhiệm bố trí kinh phí để phục vụ cho công tác đảm bảo an toàn và bảo vệ thông tin cá nhân trên cổng thông tin điện tử.
CHƯƠNG IV TỔ CHỨC THỰC HIỆN
Điều 17. Trách nhiệm của cơ quan chủ quản
1.   Thực hiện theo các quy định tại Thông tư này để đảm bảo thông tin cá nhân cung cấp trên cổng thông tin điện tử được sử dụng đúng mục đích, không bị mất, đánh cắp, tiết lộ hay thay đổi hoặc phá hủy.
2.   Phối hợp với các cơ quan có thẩm quyền trong quá trình điều tra, xử lý các hành vi vi phạm các quy định pháp luật về đảm bảo an toàn và bảo vệ thông tin cá nhân.
3.   Phổ biến và đảm bảo việc thực hiện các quy định về đảm bảo an toàn và bảo vệ thông tin cá nhân trong nội bộ cơ quan.
4.   Tuyên truyền, nâng cao nhận thức cho các tổ chức, cá nhân tham gia cung cấp, khai thác thông tin và sử dụng dịch vụ công trực tuyến trên cổng thông tin điện tử về mục đích, vai trò, ý nghĩa của việc đảm bảo an toàn và bảo vệ thông tin cá nhân.
Điều 18. Trách nhiệm của người sử dụng
1. Cung cấp thông tin cá nhân chính xác, đầy đủ, trung thực để thực hiện dịch vụ công trực tuyến hoặc khi được cơ quan nhà nước yêu cầu và chịu trách nhiệm đối với những thông tin cá nhân do mình cung cấp.
2. Giữ kín tài khoản cá nhân khi tham gia khai thác, sử dụng cổng thông tin điện tử của cơ quan nhà nước và hoàn toàn chịu trách nhiệm đối với tất cả các hoạt động diễn ra thông qua việc sử dụng tài khoản của mình.
3. Tuân thủ các quy định và hướng dẫn của cơ quan nhà nước để đảm bảo an toàn và bảo vệ thông tin cá nhân trên cổng thông tin điện tử.
Điều 19. Trách nhiệm hướng dẫn thi hành
1.   Cục Ứng dụng công nghệ thông tin – Bộ Thông tin và Truyền thông có trách nhiệm tuyên truyền, hướng dẫn, đôn đốc việc thực hiện các nội dung của Thông tư này; hằng năm đánh giá việc đảm bảo an toàn và bảo vệ thông tin cá nhân trên cổng thông tin điện tử của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương.
2.   Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) có trách nhiệm phối hợp, hỗ trợ các vấn đề liên quan đến cổng thông tin điện tử có khả năng gây mất an toàn, an ninh thông tin cá nhân; phối hợp xây dựng các tiêu chuẩn kỹ thuật áp dụng cho cổng thông tin điện tử để đảm bảo an toàn và bảo vệ thông tin cá nhân; hỗ trợ các cơ quan nhà nước trong việc khắc phục sự cố mất đảm bảo an toàn thông tin cá nhân trên cổng thông tin điện tử.
3.   Thanh tra Bộ Thông tin và Truyền thông có trách nhiệm thanh tra, kiểm tra, xử lý vi phạm theo quy định của pháp luật trong việc thực hiện các quy định của Thông tư này.
4.   Đơn vị chuyên trách công nghệ thông tin các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương có trách nhiệm tuyên truyền, phổ biến, hướng dẫn việc thực hiện các quy định của Thông tư này trong cơ quan và các đơn vị trực thuộc.
Điều 20. Hiệu lực thi hành
1.   Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2011.
2.   Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các cơ quan, tổ chức, cá nhân cần phản ánh kịp thời về Bộ Thông tin và Truyền thông để xem xét, bổ sung, sửa đổi./.

Nơi nhận:

- Thủ tướng Chính phủ, các PTTgCP (để b/c);

- Văn phòng Quốc hội;

- Văn phòng TW và các Ban của Đảng;

- Các Bộ và cơ quan ngang Bộ, cơ quan thuộc Chính phủ;

- Viện Kiểm sát nhân dân tối cao;

- Toà án nhân dân tối cao;

- Kiểm toán Nhà nước;

- UBND các tỉnh, thành phố trực thuộc Trung ương;

- Đơn vị chuyên trách CNTT các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ;

- Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc TW;

- Công báo, Cổng Thông tin điện tử Chính phủ;

- Ban Chỉ đạo quốc gia về CNTT;

- Ban Chỉ đạo CNTT cơ quan Đảng;

- Cục Kiểm tra VBQPPL (Bộ Tư pháp);                                              

- Bộ TT&TT: Bộ trưởng và các Thứ trưởng; Các cơ quan, đơn vị thuộc Bộ; Cổng thông tin điện tử của Bộ;

- Lưu: VT, ƯDCNTT (5b).

 

KT. BỘ TRƯỞNG

THỨ TRƯỞNG

 

 

 

 

 

Nguyễn Minh Hồng

 
LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.
Tình trạng hiệu lực: Đã biết

THE INFORMATION TECHNOLOGY APPLICATION DEPARTMENT
-------

No. 25/2010/TT-BTTTT

SOCIALISTREPUBLIC OF VIET NAM
Independence - Freedom – Happiness
---------

Hanoi, November 15, 2010

 

CIRCULAR

ON COLLECTION, USE, SHARING, SECURITY ASSURANCE AND PROTECTION OF PERSONAL INFORMATION ON WEBSITES OR PORTALS OF STATE AGENCIES

THE INFORMATION TECHNOLOGY APPLICATION DEPARTMENT

Pursuant to the June 29, 2006 Law on Information Technology;
Pursuant to the Government s Decree No. 64/ 2007/ND-CP of April 10, 2007, on application of information technology to the operation of state agencies;
Pursuant to the Government s Decree No. 187/2007/ND-CP of December 25, 2007, defining the functions, tasks, powers and organizational structure of the Ministry of Information and Communications;
At the proposal of the Director of the Information Technology Application Department,

STIPULATES:

Chapter I

GENERAL PROVISIONS

Article 1. Scope of regulation

This Circular provides the collection, use and sharing of, and measures to ensure security for and protect, personal information on websites or portals of state agencies (below referred to as portals).

Article 2. Subjects of application

1. State agencies defined under Decree No. 64/200/ND-CP, which are managing and operating portals (below referred to as managing agencies).

2. Individuals who exploit and use portals of state agencies.

Article 3. Interpretation of terms

In this Circular, the terms below are construed as follows:

1. Website means a web page or a collection of web pages in a network environment which serves the provision and exchange of information.

2. Portal means the sole access point in a network environment linking and integrating information channels, services and applications, through which users can exploit and use information and personalize information display.

3. Personal information means information sufficient to precisely identify an individual, which includes at least one of the following details: full name, birth date, occupation, title, contact address, email address, telephone number, identity card number and passport number. Information of personal privacy includes health record, tax payment record, social insurance card number, credit card number and other personal secrets.

4. Homepage means the first web page seen by users when opening a portal at the address registered by and licensed to an agency or organization.

5. User means an individual exploiting and using portals of state agencies or his/her representative at law.

Article 4. Principles of collection, use, sharing, security assurance and protection of personal information

1. The collection, use and sharing of personal information through portals of slate agencies are protected and assure security.

2. The exchange, transmission and storage of personal information on portals are protected and assure security under law.

3. The collection and use of-personal information must be consented by individuals unless otherwise provided by law.

4. Personal information security assurance and protection are compulsory in the designing, formation, operation, maintenance and upgrading of portals of state agencies.

Chapter II

COLLECTION, USE AND SHARING OF PERSONAL INFORMATION

Article 5. Collection of personal information

1. Managing agencies shall publicize and guide on their portals forms, scope and purposes of personal information collection and use for individuals.

2. Personal information can be provided by users themselves upon their use of online public services or automatically collected upon users f access to portals.

3. Managing agencies shall create electronic integrated forms in the portal system to collect personal information.

Article 6. Use of personal information

1. Managing agencies may use personal information only for the purposes clearly stated before collecting information.

2. Managing agencies shall provide options to limit details and scope of use of personal information.

Article 7. Personal information access and updating

1. Managing agencies shall provide users with the right to access their personal information.

2. An individual who cannot access his/her information may request a managing agency to re-grant information on his/her access account.

3. An individual may request a managing agency to check, correct and add his/her information.

4. An agency that has provided personal information to another state agency shall promptly notify the latter of revised information for earliest updating.

Article 8. Provision and sharing of personal information

1. A managing agency may neither provide nor share personal information it has collected, accessed or controlled to a third party unless so consented by concerned individuals or otherwise provided by law.

2. The mechanism to ask for users permission for provision and sharing of their personal information must allow users to opt for acceptance or rejection in a separate step without establishing a default option of acceptance by users.

3. A user may request certification of personal information details stored by a managing agency.

4. When receiving personal information from another state agency under law, a managing agency shall assure security for such information and use it for proper purposes.

Chapter III

PERSONAL INFORMATION SECURITY ASSURANCE AND PROTECTION MEASURES

Article 9. Personal information security assurance and protection

1. Managing agencies shall elaborate and issue regulations on personal information security assurance and protection; guide and regularly examine their implementation; and assure their portals conformity with standards and technical regulations on personal information security.

2. Managing agencies are not liable for personal information security assurance and protection in the following cases:

a/ Personal information is disclosed and publicized by information receiving agencies;

b/ Personal information is accidentally or deliberately disclosed and shared by users.

Article 10. Surveillance of personal information use

1. A managing agency shall elaborate and issue a regulation on personal information security assurance and protection upon exploitation and use of online public services on its portal.

2. This regulation must cover simple and clear rules on personal information management for appropriate and effective application suitable to the online provision of information and public services on the portal.

3. The regulation on personal information security assurance and protection must be maintained and its implementation be regularly supervised.

Article 11. Publicity of regulations on personal information security assurance and protection

1. A managing agency shall clearly publicize on the homepage its regulations on personal information security assurance and protection or provide a mechanism allowing users easy access to these regulations on the portal.

2. Regulations on personal information security assurance and protection must meet the following requirements:

a/ Being simple, clear, easy to understand and appropriate to the nature and process of related matters and not overlapping;

b/ Being scientifically organized, allowing printout, subsequent display and online access;

c/ Describing the processing of personal information after being collected on portals; listing information details which can be shared to a third party;

d/ Being clearly displayed to users before they send their personal information.

3. When regulations on personal information security assurance and protection change in any forms, managing agencies shall publish updated information on portals.

Article 12. Technical measures for personal information security assurance and protection

1. A managing agency shall take technical measures to guarantee data and computer network security and personal information security and protection; and prevent illegal access, use, change and transmission of personal information and other illegal acts.

2. A managing agency shall apply a process for personal information security assurance and protection.

3. A managing agency shall employ coding technology for information of personal privacy.

4. A managing agency shall apply a technical infrastructure security management process which includes (but is not limited to):

a/ Formation of a firewall system:

b/ Coding of signals in transmission lines;

c/ Use of accounts and passwords;

d/ Establishment of backup solutions and equipment system which allow automatic data recovery;

e/ Use of special-use equipment with automatic security functions against hacking.

5. A managing agency shall observe standards and technical regulations on personal information security assurance and protection in sharing and exchanging information with other state agencies.

Article 13. Storage of personal information

1. A managing agency shall store personal information on its portal till it is no longer necessary for its provision of registered online public services and comply with state regulations on archives.

2. Personal information collected for survey and statistical purposes must be removed upon completion of survey or statistical work.

Article 14. Assurance of technological compatibility

A managing agency or an organization or enterprise hired to set up and maintain the portal system of a state agency shall apply relevant standards and technical regulations on personal information security assurance and protection.

Article 15. Inspection and assessment of personal information security assurance and protection

1. A managing agency shall regularly inspect and assess the level of personal information security assurance and protection.

2. The inspection and evaluation process must meet the following requirements:

a/ Observance of law;

b/ Identification of information to be collected, purposes of information collection and use and agencies entitled to personal information sharing;

c/ Assessment of efficiency and risks of personal information collection, use and sharing;

d/ Inspection and assessment of the level of personal information security assurance and protection;

e/ Inspection of infrastructure s conformity with prescribed technical standards and technical regulations in terms of information security;

f/ Adoption of preventive measures to mitigate adverse impacts upon occurrence of personal information insecurity incidents;

g/ Study of portals limits related to personal information integrity to take prompt remedies.

3. When a portal has changes or is upgraded, its managing agency shall immediately reassess the level of personal information security assurance and protection.

Article 16. Conditions on personal information security assurance and protection

1. Cadres and civil servants of managing agencies are conversant with law and their agencies regulations on personal information security assurance and protection.

2. Technicians are recruited, trained and regularly retrained in professional operations relevant to their assigned tasks and given appropriate working conditions.

3. Technicians of managing agencies are prioritized to take charge of security assurance and protection of personal information stored on their portals. When necessary, outside information security assurance services may be used, provided that written commitment to personal information security assurance and protection must be made by service providers.

4. Managing agencies shall allocate funds for security assurance and protection of personal information on portals.

Chapter IV

ORGANIZATION OF IMPLEMENTATION

Article 17. Responsibilities of managing agencies

1. To observe this Circular to ensure that personal information provided on portals is used properly, not lost, stolen, disclosed, changed or destroyed.

2. To coordinate with competent agencies in investigating and handling violations of the law on personal information security assurance and protection .

3. To disseminate and ensure the implementation of regulations on personal information security assurance and protection within their agencies.

4. To disseminate and raise awareness about purposes, role and significance of personal information security assurance and protection for organizations and individuals providing and exploiting information and using online public services on portals.

Article 18. Responsibilities of users

1. To accurately, fully and truthfully provide personal information to receive online public services or when so requested by state agencies and take responsibility for their personal information provided.

2. To keep confidential their personal accounts when exploiting and using portals of stale agencies and take full responsibility for all transactions made through their accounts.

3. To observe regulations and guidance of state agencies for security assurance and protection of personal information on portals.

Article 19. Responsibilities for implementation guidance

1. The Information Technology Application Department under the Ministry of Information and Communications shall disseminate, guide and urge the implementation of this Circular; annually assess personal information security assurance and protection on portals of ministries, ministerial-level agencies, government-attached agencies and provincial-level People s Committees.

2. The Vietnam Computer Emergency Response Team (VNCERT) shall coordinate and support matters related to portals with potential personal information insecurity; coordinate in elaborating technical standards applicable to portals for personal information security assurance and protection; and assist state agencies in remedying personal information insecurity incidents on portals.

3. The Inspectorate of the Ministry of Information and Communications shall inspect and examine the implementation of this Circular and handle violations under law.

4. Information technology units of ministries, ministerial-level agencies, government-attached agencies and provincial-level Information and Communications Departments shall disseminate and guide the implementation of this Circular in their agencies and attached units.

Article 20. Effect

1. This Circular takes effect on January 1, 2011.

2. Any problems arising in the course of implementation should be promptly reported to the Ministry of Information and Communications for consideration and revision-

 

 

FAR THE MINISTER OF INFORMATION AND COMMUNICATIONS
DEPUTY MINISTER




Nguyen Minh Hong

 

 

Vui lòng Đăng nhập tài khoản gói Nâng cao để xem đầy đủ bản dịch.

Chưa có tài khoản? Đăng ký tại đây

Lược đồ

Vui lòng Đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Lược đồ.

Chưa có tài khoản? Đăng ký tại đây

Văn bản này chưa có chỉ dẫn thay đổi
văn bản tiếng việt
Thông tư 25/2010/TT-BTTTT DOC (Bản Word)
Thông tư 25/2010/TT-BTTTT PDF (Bản có dấu đỏ)
Thông tư 25/2010/TT-BTTTT ZIP (Bản Word)
văn bản TIẾNG ANH
Bản dịch tham khảo
Circular 25/2010/TT-BTTTT DOC (Word)
Vui lòng Đăng nhập tài khoản gói Tiếng Anh hoặc Nâng cao để tải file.

Chưa có tài khoản? Đăng ký tại đây

* Lưu ý: Để đọc được văn bản tải trên Luatvietnam.vn, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

Để được giải đáp thắc mắc, vui lòng gọi

19006192

Theo dõi LuatVietnam trên

TẠI ĐÂY

Hỏi đáp pháp luật về Thông tin-Truyền thông

Xem thêm

Tin văn bản mới

Mới: Link kê khai thuế đối với hộ, cá nhân kinh doanh online từ 19/12/2024

Xem thêm
văn bản cùng lĩnh vực
văn bản mới nhất