Luật có hiệu lực vào ngày 7.12.2022, bãi bỏ Luật Viễn thông được ban hành năm 2001. Ủy ban Công nghệ thông tin và truyền thông Ảrập Xêút (CITC) là cơ quan chính chịu trách nhiệm giám sát và thực thi luật này.
Luật Công nghệ thông tin và viễn thông 2022 mở rộng phạm vi áp dụng từ các dịch vụ viễn thông thuần túy theo Luật Viễn thông cũ sang một loạt hoạt động và dịch vụ công nghệ thông tin, kỹ thuật số mới. Nó điều chỉnh các công nghệ mới nổi với trọng tâm cụ thể là thúc đẩy chuyển đổi kỹ thuật số ở Ảrập Xêút, đồng thời khuyến khích đổi mới, khởi nghiệp, nghiên cứu và phát triển kỹ thuật.
Định nghĩa về viễn thông được mở rộng, bao gồm các hệ thống và thiết bị liên lạc giữa máy với máy. Luật cũng định nghĩa công nghệ thông tin theo nghĩa rộng bao gồm “công nghệ, phần mềm, hệ thống, mạng và bất kỳ quy trình liên quan nào để thiết lập, biên soạn, bảo mật, xử lý, lưu trữ hoặc phân tích dữ liệu hoặc thông tin, bao gồm các ứng dụng công nghệ thông tin và viễn thông”. Điều đó có nghĩa là, một loạt nhà cung cấp dịch vụ kỹ thuật số sẽ nằm trong phạm vi điều chỉnh của luật.
Khuyến khích cạnh tranh
Luật mới quy định, các nhà cung cấp dịch vụ chịu trách nhiệm đưa ra mức giá hợp lý cho các dịch vụ công nghệ thông tin. Nó cũng kiểm soát các nhà cung cấp dịch vụ (tức là những nhà cung cấp có hơn 40% thị trường liên quan) phải đáp ứng các yêu cầu về kết nối hoặc khả năng truy cập theo các điều khoản công bằng và với giá hợp lý dựa trên chi phí được CITC phê duyệt. Việc sáp nhập giữa các nhà cung cấp dịch vụ (ở trong nước hay nước ngoài) hoặc mua lại hơn 5% cổ phần hoặc cổ phần trong bất kỳ nhà cung cấp dịch vụ được cấp phép nào đều phải được sự chấp thuận trước của CITC. Luật cũng nghiêm cấm các hành vi phản cạnh tranh cũng như các nhà cung cấp dịch vụ lạm dụng vị trí thống lĩnh của họ.
Liên quan đến vấn đề cấp phép, đăng ký và ủy quyền. Giờ đây, giấy phép không chỉ được yêu cầu đối với việc cung cấp dịch vụ viễn thông mà còn đối với việc sử dụng mạng viễn thông cho các mục đích này. Các hoạt động được cấp phép khác bao gồm cung cấp dịch vụ cơ sở hạ tầng cho các mạng viễn thông công cộng, sử dụng bất kỳ tài nguyên số hoặc phổ tần số nào và cung cấp dịch vụ đăng ký tên miền Ảrập Xêút hoặc thành lập các trung tâm đăng ký tên miền.
Ngoài chế độ cấp phép, luật còn đề cập đến các loại phê duyệt thay thế dưới hình thức đăng ký hoặc ủy quyền. Luật quy định, CITC có thể yêu cầu giấy phép, đăng ký hoặc ủy quyền để cung cấp các dịch vụ cụ thể liên quan đến viễn thông hoặc công nghệ thông tin (bao gồm cả nền tảng nội dung kỹ thuật số), sở hữu hoặc sử dụng các thiết bị công nghệ thông tin và thành lập mạng viễn thông đặc biệt.
Luật sửa đổi còn có các điều khoản về chuyển nhượng giấy phép. Nó yêu cầu phải có sự chấp thuận của CITC trước khi thực hiện bất kỳ thay đổi quan trọng nào về quyền sở hữu của người được cấp phép hoặc nhà cung cấp đã đăng ký. CITC phải đưa ra quyết định của mình trong vòng 90 ngày sau khi đơn đăng ký được nộp, nếu không đơn đăng ký sẽ được coi là thành công.
Ngoài ra, bổ sung đáng chú ý của luật mới là một chương về bảo vệ dữ liệu người dùng và tài liệu mật. Nó yêu cầu các nhà cung cấp dịch vụ tuân thủ các quy định của Luật bảo vệ dữ liệu cá nhân năm 2021 của Ảrập Xêút, khi sử dụng, kiểm soát hoặc xử lý bất kỳ dữ liệu cá nhân nào của người dùng. Các nhà cung cấp dịch vụ sẽ phải thực hiện tất cả các bước và biện pháp phòng ngừa cần thiết để bảo đảm bảo mật thông tin và tài liệu cá nhân của người dùng. Dữ liệu người dùng không thể được tiết lộ mà không có sự đồng ý của họ. Thông tin liên lạc qua điện thoại hoặc thông tin được tiết lộ trên các mạng truyền thông công cộng được tuyên bố rõ là loại mật và không được truy cập, xem hoặc ghi lại trừ khi luật pháp yêu cầu.
Các nhà cung cấp dịch vụ cũng có nghĩa vụ thông báo cho người dùng và CITC trong trường hợp dữ liệu hoặc tài liệu cá nhân của người dùng bị vi phạm và thực hiện các biện pháp thích hợp để bảo vệ dữ liệu cá nhân. Trong khi đó, theo quy định của luật, CITC sẽ bảo đảm việc bảo vệ an ninh mạng và cơ sở hạ tầng quan trọng (được định nghĩa là các mạng và thiết bị công nghệ viễn thông mà thiết bị của chúng có thể làm gián đoạn hoặc làm suy giảm hoàn toàn hoặc một phần sự ổn định hoặc an ninh của lĩnh vực này) bằng cách tuân thủ các quyết định do Cơ quan An ninh mạng quốc gia ban hành (NCA). Luật cũng lưu ý, CITC sẽ đánh giá mức độ an ninh mạng của từng nhà cung cấp dịch vụ để bảo đảm rằng biện pháp bảo vệ phù hợp với mức độ mà NCA mong đợi.
Các hình phạt thích đáng
Luật đưa ra thêm hành vi phạm tội liên quan đến việc sở hữu, bán, cho thuê, cung cấp, sản xuất, hoặc kinh doanh bất kỳ thiết bị, dịch vụ hoặc phần mềm nào không phù hợp với các thông số kỹ thuật và tiêu chuẩn bắt buộc, hoặc không tuân thủ các quy tắc, kiểm soát và yêu cầu do CITC đặt ra.
Hình phạt có thể bao gồm phạt tiền lên tới 25.000.000 SAR (khoảng 6.657.500 USD). Luật đề cập rõ đến việc chặn toàn bộ hoặc một phần các nền tảng nội dung kỹ thuật số và CITC được trao quyền cung cấp hỗ trợ kỹ thuật để thực thi các phán quyết cuối cùng của tòa án đối với các nhà cung cấp dịch vụ nền tảng kỹ thuật số.