Các văn bản pháp luật liên quan đến bảo mật ứng dụng di động tại Việt Nam

Ứng dụng di động ngày càng trở thành kênh chính trong giao tiếp và giao dịch giữa doanh nghiệp với khách hàng. Việc đảm bảo an toàn thông tin và bảo mật ứng dụng không chỉ là lựa chọn kỹ thuật, mà còn là yêu cầu pháp lý. Cùng điểm qua những quy định quan trọng doanh nghiệp cần nắm rõ.

Vì sao bảo mật ứng dụng di động cần được đặt lên hàng đầu?

Sự phát triển nhanh chóng của công nghệ số đã biến ứng dụng di động thành công cụ cốt lõi trong các lĩnh vực như ngân hàng, ví điện tử, thương mại điện tử, y tế, giáo dục và chính phủ điện tử. Tuy nhiên, đi kèm với đó là những mối đe dọa ngày càng phức tạp như:

  • Đảo ngược mã nguồn (reverse engineering)
  • Giả mạo ứng dụng để đánh cắp thông tin
  • Tấn công vào API hoặc mã OTP
  • Lộ lọt dữ liệu cá nhân người dùng

Không chỉ dừng ở thiệt hại tài chính và uy tín, các cuộc tấn công vào ứng dụng di động còn có thể khiến doanh nghiệp vi phạm pháp luật, dẫn đến xử phạt, bồi thường hoặc bị đình chỉ hoạt động.

Dưới đây là những văn bản pháp luật quan trọng liên quan đến việc bảo mật ứng dụng di động mà bất kỳ doanh nghiệp nào cũng nên biết.

Luật An ninh mạng 2018 – Cơ sở pháp lý về an toàn không gian mạng

Luật số 24/2018/QH14, có hiệu lực từ ngày 01/01/2019, là nền tảng pháp lý quy định nghĩa vụ của tổ chức, cá nhân khi tham gia hoạt động trên không gian mạng.

💡 Điều 26 nêu rõ: “Doanh nghiệp cung cấp dịch vụ trên không gian mạng có trách nhiệm bảo đảm an ninh thông tin cho người sử dụng; phòng ngừa hành vi xâm phạm, khai thác, sử dụng trái phép thông tin cá nhân.” (Luật An Ninh mạng)
Với các ứng dụng di động, đây là căn cứ bắt buộc để doanh nghiệp phải có biện pháp bảo vệ người dùng, dữ liệu và ứng dụng trước các hành vi tấn công mạng. 

Nghị định 53/2022/NĐ-CP – Quy định chi tiết về hệ thống thông tin theo cấp độ

Được ban hành ngày 15/08/2022, Nghị định 53/2022/NĐ-CP là văn bản hướng dẫn thực thi Luật An ninh mạng.

Theo Điều 5, hệ thống thông tin được phân loại theo 5 cấp độ an toàn, từ Cấp 1 (thấp) đến Cấp 5 (rất cao), dựa trên mức độ ảnh hưởng nếu bị xâm phạm.

Các ứng dụng di động thuộc các lĩnh vực như:

  • Tài chính - Ngân hàng
  • Y tế
  • Giáo dục
  • Dịch vụ công trực tuyến… 

➡️ Thường được xếp từ Cấp độ 3 trở lên, do có xử lý dữ liệu nhạy cảm và ảnh hưởng đến nhiều người dùng.

Điều 11 và Điều 12 yêu cầu chủ quản hệ thống phải:

  • Xác định cấp độ hệ thống
  • Triển khai các biện pháp kỹ thuật tương ứng
  • Đánh giá và kiểm định an toàn thông tin định kỳ

Nghị định 13/2023/NĐ‑CP – Bảo vệ dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP, có hiệu lực từ ngày 01/07/2023, là văn bản đầu tiên tại Việt Nam điều chỉnh đầy đủ và chuyên biệt về quyền riêng tư và bảo vệ dữ liệu cá nhân.

Theo Điều 5, mọi hành vi xử lý dữ liệu cá nhân phải được sự đồng ý rõ ràng từ chủ thể dữ liệu.

Điều 42 quy định mức xử phạt hành chính: “Tổ chức vi phạm có thể bị xử phạt hành chính đến 800 triệu đồng khi xử lý dữ liệu cá nhân trái quy định, hoặc để xảy ra sự cố gây rò rỉ dữ liệu cá nhân.”

Với các ứng dụng di động thu thập thông tin như:

  • Tên, email, số điện thoại
  • Dữ liệu định vị, hành vi sử dụng
  • Mã OTP, lịch sử giao dịch…

➡️ Doanh nghiệp bắt buộc phải xây dựng chính sách bảo mật rõ ràng, mã hóa dữ liệu, và có phương án xử lý sự cố dữ liệu.

Thông tư 50/2024/TT‑NHNN – Quy định an toàn, bảo mật dịch vụ trực tuyến (Mobile Banking)

Có hiệu lực từ 01/01/2025, Thông tư 50/2024/TT-NHNN do Ngân hàng Nhà nước ban hành nhằm tăng cường bảo mật cho dịch vụ ngân hàng trực tuyến, đặc biệt là ứng dụng Mobile Banking.

Một số yêu cầu đáng chú ý:

  • Mã hóa đầu-cuối toàn bộ dữ liệu trao đổi giữa app và hệ thống
  • Cấm lưu mật khẩu cố định, khuyến khích OTP hoặc sinh trắc học
  • Chống giả mạo ứng dụng, ngăn reverse engineering
  • Giám sát thiết bị truy cập, auto-logout nếu không hoạt động
  • Phân quyền rõ ràng, mã hóa thông tin người dùng nhạy cảm
  • Báo cáo sự cố bảo mật cho NHNN và cảnh báo người dùng

Ngoài ra, ứng dụng ngân hàng phải đáp ứng tối thiểu cấp độ 3 về an toàn hệ thống thông tin theo Nghị định 53/2022/NĐ-CP và tuân thủ tiêu chuẩn TCVN 11930:2017.

➡️ Đây là một trong những thông tư mang tính bắt buộc và có ảnh hưởng trực tiếp đến các tổ chức tài chính, đơn vị phát triển ứng dụng trong ngành ngân hàng.

Kết luận

Việc bảo mật ứng dụng di động không chỉ là vấn đề kỹ thuật, mà còn là yêu cầu pháp lý gắn liền với nhiều văn bản quan trọng. Chủ động nắm bắt và triển khai đúng quy định sẽ giúp doanh nghiệp giảm thiểu rủi ro, bảo vệ người dùng và tạo nền tảng phát triển bền vững.