Các quy định mới của Luật An ninh mạng 2025 cần lưu ý

Luật An ninh mạng 2025 vừa được ban hành đánh dấu một bước ngoặt quan trọng trong nỗ lực bảo vệ không gian mạng quốc gia. Trong bối cảnh công nghệ phát triển nhanh chóng và các mối đe dọa an ninh mạng ngày càng phức tạp, Luật mới không chỉ củng cố khung pháp lý hiện hành mà còn đưa ra nhiều quy định đột phá để quản lý dữ liệu, kiểm soát công nghệ Trí tuệ nhân tạo (AI) và tăng cường bảo vệ người dùng. Bài viết này sẽ phân tích các quy định mới đáng chú ý nhất, từ việc hợp nhất đầu mối quản lý, siết chặt định danh người dùng, đến trách nhiệm lưu trữ dữ liệu và các biện pháp bảo vệ trẻ em, nhằm giúp các tổ chức và cá nhân hiểu rõ hơn về những thay đổi quan trọng này. 

1. Hợp nhất đầu mối quản lý và thống nhất khái niệm

Sự ra đời của Luật An ninh mạng 2025 nhằm thay thế và hợp nhất hai văn bản luật tiền nhiệm là Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018. Việc hợp nhất này giải quyết các bất cập về sự chồng chéo trong phạm vi điều chỉnh giữa “an toàn thông tin” (tập trung vào khía cạnh kỹ thuật) và “an ninh mạng” (tập trung vào khía cạnh an ninh quốc gia), đồng thời cập nhật các quy định để đối phó với các thách thức phi truyền thống mới nổi như trí tuệ nhân tạo (AI) và tội phạm mạng công nghệ cao. 

Theo đó, luật mới bãi bỏ thuật ngữ “an toàn thông tin mạng” trong nhiều văn bản pháp luật hiện hành và thay thế thống nhất bằng cụm từ “an ninh mạng”. Điều này nhằm giảm sự chồng chéo giữa các quy định trước đây. 

Ngoài ra, Chính phủ thống nhất quản lý nhà nước về an ninh mạng. Bộ Công an được giao là cơ quan đầu mối giúp Chính phủ thực hiện quản lý nhà nước, chịu trách nhiệm chính về an ninh mạng (thay vì phân tán giữa Bộ Thông tin và Truyền thông và Bộ Công an như trước đây).  

2. Siết chặt quản lý định danh và thông tin người dùng

Luật An ninh mạng 2025 quy định doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng (“doanh nghiệp cung cấp dịch vụ trên không gian mạng”) phải có trách nhiệm định danh địa chỉ IP của tổ chức, cá nhân sử dụng dịch vụ Internet và cung cấp thông tin này cho lực lượng chuyên trách khi có yêu cầu. Quy định này nhằm hỗ trợ điều tra tội phạm mạng và hạn chế tình trạng ẩn danh để vi phạm pháp luật. 

Doanh nghiệp cung cấp dịch vụ trên không gian mạng phải xác thực thông tin khi người dùng đăng ký tài khoản số và phải cung cấp thông tin người dùng cho lực lượng chuyên trách thuộc Bộ Công an chậm nhất là 24 giờ kể từ khi có yêu cầu. Trong trường hợp khẩn cấp đe dọa an ninh quốc gia hoặc tính mạng con người, thời hạn này rút xuống còn 03 giờ. Ngoài ra, doanh nghiệp cung cấp dịch vụ trên không gian mạng phải ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin, gỡ bỏ dịch vụ, ứng dụng có nội dung vi phạm quy định của Luật An ninh mạng 2025 chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an và lưu nhật ký hệ thống để phục vụ xác minh, điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của pháp luật; trường hợp khẩn cấp đe dọa xâm hại an ninh quốc gia, yêu cầu ngăn chặn, xóa bỏ thông tin chậm nhất là 06 giờ.  

Đặc biệt, Luật An ninh mạng 2025 bổ sung quyền yêu cầu “gỡ bỏ dịch vụ, ứng dụng” (app takedown) và “ngừng cung cấp dịch vụ” đối với các chủ thể vi phạm, thay vì chỉ gỡ bỏ nội dung bài viết như trước đây.  

Điều 25 Khoản 3 tiếp tục khẳng định yêu cầu lưu trữ dữ liệu tại Việt Nam. Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, Internet, dịch vụ gia tăng tại Việt Nam có hoạt động thu thập, khai thác, phân tích dữ liệu cá nhân, dữ liệu mối quan hệ người dùng, hoặc dữ liệu do người dùng tạo ra tại Việt Nam phải: 

• Lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. 

• Doanh nghiệp nước ngoài phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. 

3. Quy định mới về Trí tuệ nhân tạo (AI) và các hành vi bị cấm

Luật An ninh mạng 2025 bổ sung quy định cụ thể để đối phó với các rủi ro từ công nghệ mới, đặc biệt là Deepfake, cụ thể:  

(i) Cấm sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định pháp luật (Deepfake).  

(ii) Ngoài các hành vi truyền thống, luật cấm các hành vi phản ánh sai lệch về chủ quyền, biên giới quốc gia; kêu gọi tẩy chay gây thiệt hại cho doanh nghiệp; hoặc làm nhái sản phẩm, thương hiệu trên không gian mạng. 

(iii) Mạo danh, giả mạo thông tin, hình ảnh, làm nhái sản phẩm, nhãn hiệu hàng hóa, thương hiệu của tổ chức, doanh nghiệp bằng cách sử dụng các tiện ích công nghệ, gây ảnh hưởng đến uy tín của tổ chức, doanh nghiệp. 

Các quy định này tạo cơ sở pháp lý vững chắc để xử lý các đối tượng sử dụng công nghệ Deepfake để giả mạo người thân, lãnh đạo cơ quan nhà nước nhằm lừa đảo chiếm đoạt tài sản hoặc xúc phạm danh dự nhân phẩm.  

4. Bảo vệ dữ liệu và Quy định lưu trữ

Luật An ninh mạng 2025 đưa ra khái niệm “An ninh dữ liệu” (Điều 26) và coi dữ liệu là tài nguyên chiến lược cần được bảo vệ bằng các biện pháp kỹ thuật và mật mã chuyên dụng. Các doanh nghiệp có hoạt động thu thập, xử lý dữ liệu cá nhân tại Việt Nam phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. Dữ liệu phải lưu trữ bao gồm tên tài khoản, thời gian sử dụng, thông tin thanh toán, địa chỉ IP và các dữ liệu liên quan. Doanh nghiệp nước ngoài cung cấp dịch vụ tại Việt Nam thuộc diện này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. 

5. Bảo vệ trẻ em và nhóm yếu thế

Luật mới mở rộng phạm vi bảo vệ đối với các nhóm đối tượng dễ bị tổn thương trên không gian mạng, bao gồm: Trẻ em, người cao tuổi, và người khó khăn trong nhận thức. Các nhóm đối tượng này được Nhà nước ưu tiên phổ biến kiến thức và hướng dẫn kỹ năng tự bảo vệ. Doanh nghiệp cung cấp dịch vụ phải kiểm soát nội dung, ngăn chặn việc chia sẻ và xóa bỏ thông tin gây nguy hại cho trẻ em. Cha mẹ/người giám hộ phải đăng ký tài khoản cho trẻ em bằng thông tin của mình và chịu trách nhiệm giám sát. 

6. Nguồn lực và kinh phí bảo vệ an ninh mạng

Luật An ninh mạng 2025 quy định Cơ quan, tổ chức, doanh nghiệp nhà nước phải bố trí tối thiểu 15% tổng kinh phí thực hiện chương trình, dự án chuyển đổi số, ứng dụng CNTT hàng năm để dành cho bảo vệ an ninh mạng. 

Nhà nước ưu tiên đầu tư hạ tầng công nghiệp an ninh mạng và khuyến khích sử dụng sản phẩm, dịch vụ an ninh mạng sản xuất trong nước (Make in Vietnam).  

Nhà nước ưu tiên bố trí nguồn vốn ngân sách để đầu tư xây dựng hạ tầng công nghiệp an ninh mạng gồm: Cơ sở nghiên cứu, thiết kế, sản xuất, thử nghiệm sản phẩm, dịch vụ an ninh mạng; Phòng thí nghiệm trọng điểm quốc gia về an ninh mạng; Cơ sở đo kiểm, thử nghiệm, đánh giá sản phẩm, dịch vụ an ninh mạng; Trung tâm dữ liệu lớn; Khu công nghiệp an ninh mạng tập trung; Tổ hợp công nghiệp an ninh mạng. 

Hoạt động đầu tư xây dựng hạ tầng công nghiệp an ninh mạng là ngành, nghề đặc biệt ưu đãi đầu tư, được hưởng ưu đãi, hỗ trợ theo quy định của pháp luật về đầu tư, thuế, đất đai và pháp luật khác có liên quan.  

CÁC KHUYẾN NGHỊ CHO DOANH NGHIỆP  

Để chuẩn bị cho thời điểm Luật An ninh mạng 2025 có hiệu lực (từ 01/07/2026), doanh nghiệp cần tận dụng giai đoạn chuyển tiếp để thực hiện các bước chuẩn bị quan trọng sau đây, nhằm đảm bảo tuân thủ pháp luật và giảm thiểu rủi ro: 

1. Rà soát và Phân loại Hệ thống thông tin

• Đánh giá lại cấp độ an ninh: Doanh nghiệp cần xác định hệ thống thông tin của mình thuộc cấp độ nào trong 5 cấp độ an ninh mới (Điều 8). Các hệ thống đã được xác định cấp độ theo luật cũ (Luật An toàn thông tin mạng 2015) vẫn được công nhận nhưng doanh nghiệp phải cập nhật các biện pháp bảo vệ để đáp ứng tiêu chuẩn mới trong vòng 12 tháng kể từ ngày Luật có hiệu lực. 

• Kiểm tra hệ thống quan trọng: Đặc biệt lưu ý nếu doanh nghiệp vận hành các hệ thống thông tin quan trọng về an ninh quốc gia, cần chuẩn bị hồ sơ để thẩm định và chứng nhận đủ điều kiện an ninh mạng trước khi vận hành. 

2. Nâng cấp Hạ tầng kỹ thuật và Quy trình vận hành: 

• Đảm bảo hệ thống hạ tầng kỹ thuật có khả năng “định danh địa chỉ IP” của người sử dụng và cung cấp cho lực lượng chuyên trách khi có yêu cầu. 

• Rà soát quy trình lưu trữ dữ liệu để đảm bảo các loại dữ liệu như thông tin cá nhân, thời gian sử dụng, thông tin thanh toán và địa chỉ IP được lưu trữ tại Việt Nam trong thời gian quy định. 

• Đối với các nền tảng trực tuyến, cần triển khai các giải pháp kỹ thuật để chủ động kiểm soát, ngăn chặn nội dung xâm hại trẻ em và các thông tin bị cấm khác. 

3. Xây dựng Quy trình Phản ứng Nhanh (Quy tắc 3h/6h/24h):

Doanh nghiệp cần thiết lập các quy trình nội bộ và bố trí nhân sự trực chiến để đảm bảo khả năng đáp ứng các thời hạn khắt khe khi có yêu cầu từ Bộ Công an.

4. Chuẩn bị Nguồn lực và Ngân sách

• Nếu là doanh nghiệp nhà nước hoặc đơn vị sử dụng ngân sách, cần lưu ý quy định bắt buộc dành tối thiểu 15% tổng kinh phí dự án chuyển đổi số/CNTT cho hạng mục bảo vệ an ninh mạng. 

• Tăng cường đào tạo nhận thức an ninh mạng cho nhân viên, đặc biệt là kỹ năng nhận diện lừa đảo và bảo vệ dữ liệu khách hàng. 

5. Cập nhật Chính sách Nội bộ:

Doanh nghiệp nên rà soát và sửa đổi các chính sách bảo mật thông tin, quy chế sử dụng mạng nội bộ và quy trình xử lý khủng hoảng truyền thông để phù hợp với các hành vi bị nghiêm cấm mới được quy định (như cấm sử dụng AI/Deepfake để gian lận, cấm kêu gọi tẩy chay trái pháp luật).

Kết luận: 

Luật An ninh mạng 2025 là một văn bản pháp lý toàn diện, thể hiện sự chuyển đổi mạnh mẽ trong chiến lược bảo vệ không gian mạng quốc gia. Luật không chỉ chuyển trọng tâm từ bảo vệ hệ thống kỹ thuật sang an ninh dữ liệu và trật tự xã hội trên mạng, mà còn giải quyết các thách thức mới như công nghệ AI. Đối với các tổ chức và cá nhân, việc nắm vững và tuân thủ các quy định mới này là cần thiết để đảm bảo hoạt động hợp pháp trên không gian mạng và đóng góp vào một môi trường mạng an toàn, lành mạnh.  

Luật này sẽ chính thức có hiệu lực thi hành từ ngày 01 tháng 07 năm 2026.  

Ngày viết bài: 20/01/2026

Chia sẻ: