Luật An ninh mạng 2025 đánh dấu bước chuyển mới trong việc bảo vệ không gian mạng quốc gia, bảo đảm an ninh dữ liệu, kiểm soát rủi ro từ công nghệ mới và tăng cường trách nhiệm của tổ chức, doanh nghiệp cung cấp dịch vụ trên không gian mạng. Luật có hiệu lực từ ngày 01/7/2026, trong bối cảnh tội phạm mạng, lừa đảo trực tuyến, tấn công dữ liệu, deepfake, giả mạo danh tính và các rủi ro liên quan đến trí tuệ nhân tạo ngày càng gia tăng. Trong bài viết này, FIRST COUNSEL tổng hợp các điểm mới trọng yếu mà doanh nghiệp cần lưu ý trước thời điểm Luật có hiệu lực.
Hợp nhất khung pháp lý về an ninh mạng và thống nhất đầu mối quản lý
Luật An ninh mạng 2025 xây dựng một khung pháp lý thống nhất hơn về an ninh mạng, trong đó an ninh mạng không chỉ bao gồm khía cạnh kỹ thuật bảo vệ hệ thống thông tin, mà còn gắn với bảo vệ an ninh quốc gia, trật tự an toàn xã hội, dữ liệu, quyền và lợi ích hợp pháp của tổ chức, cá nhân trên không gian mạng. Theo Luật mới, Bộ Công an là cơ quan đầu mối giúp Chính phủ thực hiện quản lý nhà nước về an ninh mạng, trừ một số nội dung thuộc phạm vi quản lý của Bộ Quốc phòng và Ban Cơ yếu Chính phủ.
Trước đây, các quy định liên quan đến an toàn thông tin mạng và an ninh mạng được điều chỉnh bởi nhiều văn bản khác nhau, dẫn đến nguy cơ chồng chéo trong phạm vi quản lý và nghĩa vụ tuân thủ của doanh nghiệp.
Đối với doanh nghiệp, việc thống nhất đầu mối quản lý giúp xác định rõ hơn cơ quan có thẩm quyền trong các vấn đề như yêu cầu cung cấp thông tin, xử lý sự cố, gỡ bỏ thông tin vi phạm, bảo vệ hệ thống thông tin và phối hợp điều tra, xác minh hành vi vi phạm trên không gian mạng.
Tăng trách nhiệm định danh, xác thực và cung cấp thông tin người dùng
Luật An ninh mạng 2025 đặt ra nghĩa vụ rõ hơn đối với doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng. Doanh nghiệp có trách nhiệm xác thực thông tin khi người dùng đăng ký tài khoản số, bảo mật thông tin tài khoản của người dùng và cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng khi có yêu cầu.
Đáng chú ý, thời hạn cung cấp thông tin là chậm nhất 24 giờ kể từ thời điểm có yêu cầu hợp lệ. Trường hợp khẩn cấp đe dọa xâm hại an ninh quốc gia hoặc đe dọa tính mạng con người, thời hạn này được rút xuống còn 03 giờ.
Bên cạnh đó, doanh nghiệp còn có trách nhiệm định danh địa chỉ IP của tổ chức, cá nhân sử dụng dịch vụ Internet và cung cấp thông tin định danh địa chỉ IP cho lực lượng chuyên trách bảo vệ an ninh mạng. Những quy định này có tác động trực tiếp đến doanh nghiệp nền tảng số, mạng xã hội, thương mại điện tử, ứng dụng di động, dịch vụ nội dung số, viễn thông, trò chơi trực tuyến và các dịch vụ có tài khoản người dùng.
Bổ sung cơ chế gỡ bỏ dịch vụ, ứng dụng và ngừng cung cấp dịch vụ
Luật An ninh mạng 2025 mở rộng sang cơ chế gỡ bỏ dịch vụ, ứng dụng và ngừng cung cấp dịch vụ trong một số trường hợp. Doanh nghiệp phải ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin, gỡ bỏ dịch vụ, ứng dụng có nội dung vi phạm trong thời hạn chậm nhất 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an. Trong trường hợp khẩn cấp đe dọa xâm hại an ninh quốc gia, thời hạn này là 06 giờ.
Ngoài ra, doanh nghiệp có thể phải không cung cấp hoặc ngừng cung cấp dịch vụ cho tổ chức, cá nhân đăng tải thông tin có nội dung vi phạm khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.
Đối với doanh nghiệp vận hành nền tảng trực tuyến, quy định này đòi hỏi phải có quy trình phản ứng nhanh, đầu mối pháp lý – kỹ thuật rõ ràng, cơ chế tiếp nhận yêu cầu từ cơ quan nhà nước, khả năng truy vết nội dung và khả năng thực thi biện pháp gỡ bỏ trong thời hạn rất ngắn.
Tiếp tục yêu cầu lưu trữ dữ liệu tại Việt Nam đối với một số doanh nghiệp
Luật An ninh mạng 2025 tiếp tục ghi nhận yêu cầu lưu trữ dữ liệu tại Việt Nam đối với doanh nghiệp trong nước và doanh nghiệp nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng Internet hoặc dịch vụ gia tăng trên không gian mạng tại Việt Nam, nếu có hoạt động thu thập, khai thác, phân tích hoặc xử lý một số loại dữ liệu của người dùng tại Việt Nam.
Các nhóm dữ liệu liên quan có thể bao gồm thông tin cá nhân của người sử dụng dịch vụ, dữ liệu về mối quan hệ của người sử dụng dịch vụ và dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra. Doanh nghiệp nước ngoài thuộc diện áp dụng còn phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Đối với doanh nghiệp công nghệ, nền tảng số, mạng xã hội, thương mại điện tử, ứng dụng di động, dịch vụ cloud hoặc dịch vụ trực tuyến xuyên biên giới, đây là nhóm nghĩa vụ cần được đánh giá kỹ, đặc biệt khi đang sử dụng hạ tầng máy chủ, cloud, CDN, trung tâm dữ liệu hoặc nhà cung cấp dịch vụ ở nước ngoài.
Bổ sung khái niệm và yêu cầu bảo đảm an ninh dữ liệu
Luật An ninh mạng 2025 bổ sung và nhấn mạnh khái niệm an ninh dữ liệu, thể hiện xu hướng coi dữ liệu là một loại tài nguyên chiến lược cần được bảo vệ trong quá trình chuyển đổi số. Bảo đảm an ninh dữ liệu được hiểu là tổng thể các biện pháp kỹ thuật, tổ chức và pháp lý nhằm bảo vệ dữ liệu, phòng chống xâm phạm an ninh dữ liệu.
Các nội dung bảo đảm an ninh dữ liệu bao gồm xây dựng chính sách, thiết lập quy trình, áp dụng tiêu chuẩn và quy chuẩn kỹ thuật, sử dụng mật mã, kiểm soát nhân sự trực tiếp xử lý dữ liệu, kiểm tra, đánh giá rủi ro định kỳ, đánh giá việc chuyển dữ liệu xuyên biên giới và điều kiện bảo đảm an ninh dữ liệu trong các hệ thống quan trọng.
Điều này cho thấy doanh nghiệp không chỉ cần tuân thủ pháp luật về bảo vệ dữ liệu cá nhân, mà còn phải nhìn nhận dữ liệu trong mối quan hệ rộng hơn với an ninh mạng, an ninh hệ thống, an ninh quốc gia và trách nhiệm quản trị rủi ro công nghệ.
Quy định mới về AI, deepfake và hành vi giả mạo trên không gian mạng
Luật An ninh mạng 2025 bổ sung các quy định nhằm xử lý rủi ro phát sinh từ trí tuệ nhân tạo và các công nghệ mới. Đáng chú ý, Luật nghiêm cấm hành vi sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định pháp luật. Đây là cơ sở pháp lý quan trọng để xử lý các hành vi deepfake, giả mạo danh tính, lừa đảo trực tuyến, xúc phạm danh dự, nhân phẩm hoặc gây thiệt hại cho tổ chức, cá nhân.
Ngoài ra, Luật cũng tiếp tục nghiêm cấm các hành vi như giả mạo trang thông tin điện tử, thu thập, mua bán, trao đổi trái phép thông tin, dữ liệu cá nhân, phát tán thông tin vi phạm pháp luật, tổ chức đánh bạc qua mạng, lừa đảo chiếm đoạt tài sản và các hành vi xâm phạm an ninh quốc gia trên không gian mạng.
Đối với doanh nghiệp sử dụng AI trong marketing, chăm sóc khách hàng, tạo nội dung, nhận diện giọng nói, hình ảnh, chatbot hoặc tự động hóa quy trình, cần có chính sách nội bộ rõ ràng về sử dụng AI, kiểm soát dữ liệu đầu vào, xác thực nội dung tạo sinh và phòng ngừa rủi ro giả mạo.
Tăng cường bảo vệ trẻ em trên không gian mạng
Luật An ninh mạng 2025 có quy định riêng về phòng, chống xâm hại trẻ em trên không gian mạng. Trẻ em có quyền được bảo vệ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia không gian mạng. Trường hợp trẻ em sử dụng dịch vụ giá trị gia tăng trên không gian mạng, cha mẹ hoặc người giám hộ đăng ký tài khoản bằng thông tin của mình và có trách nhiệm giám sát, quản lý nội dung trẻ em truy cập.
Doanh nghiệp cung cấp dịch vụ trên không gian mạng có trách nhiệm kiểm soát nội dung trên hệ thống hoặc dịch vụ do mình cung cấp để không gây nguy hại cho trẻ em, ngăn chặn và xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em, xây dựng hệ thống kỹ thuật hỗ trợ ngăn chặn nội dung xâm hại trẻ em và phối hợp với cơ quan có thẩm quyền khi phát sinh sự việc.
Đối với các nền tảng có người dùng là trẻ em hoặc có khả năng trẻ em tiếp cận, doanh nghiệp cần thiết kế cơ chế kiểm soát nội dung, báo cáo vi phạm, giới hạn độ tuổi, kiểm soát tài khoản và quy trình xử lý khiếu nại phù hợp.
Bảo đảm nguồn lực và kinh phí cho an ninh mạng
Luật An ninh mạng 2025 quy định rõ hơn về nguồn lực bảo vệ an ninh mạng, bao gồm nhân lực, hạ tầng, đào tạo, sản phẩm, dịch vụ và kinh phí. Đối với cơ quan, tổ chức, doanh nghiệp nhà nước và đơn vị sự nghiệp công lập do ngân sách nhà nước bảo đảm, Luật yêu cầu phải bố trí tối thiểu 15% tổng kinh phí thực hiện chương trình, đề án, dự án đầu tư chuyển đổi số, ứng dụng công nghệ thông tin để bảo vệ an ninh mạng.
Luật cũng thể hiện định hướng ưu tiên phát triển hạ tầng công nghiệp an ninh mạng, cơ sở nghiên cứu, thiết kế, sản xuất, thử nghiệm sản phẩm, dịch vụ an ninh mạng, phòng thí nghiệm trọng điểm, trung tâm dữ liệu lớn và khu công nghiệp an ninh mạng tập trung.
Đối với khu vực tư nhân, dù không thuộc nhóm bắt buộc bố trí tỷ lệ 15%, doanh nghiệp vẫn cần tự bảo đảm kinh phí an ninh mạng phù hợp với quy mô hệ thống, loại dữ liệu xử lý, mức độ rủi ro và yêu cầu tuân thủ pháp luật.
Doanh nghiệp cần chuẩn bị gì trước ngày 01/7/2026?
- 01Rà soát hệ thống thông tin, dữ liệu, nền tảng, ứng dụng và dịch vụ trực tuyến đang vận hành để xác định các nghĩa vụ an ninh mạng có liên quan theo Luật mới.
- 02Đánh giá khả năng định danh địa chỉ IP, xác thực tài khoản người dùng, lưu nhật ký hệ thống, truy vết giao dịch và cung cấp thông tin theo yêu cầu của cơ quan có thẩm quyền.
- 03Xây dựng quy trình phản ứng nhanh để đáp ứng các mốc thời hạn 03 giờ, 06 giờ và 24 giờ trong trường hợp có yêu cầu cung cấp thông tin, gỡ bỏ thông tin hoặc xử lý nội dung vi phạm.
- 04Rà soát hoạt động lưu trữ dữ liệu, vị trí máy chủ, nhà cung cấp cloud, luồng chuyển dữ liệu xuyên biên giới và khả năng đáp ứng yêu cầu lưu trữ dữ liệu tại Việt Nam nếu thuộc diện áp dụng.
- 05Cập nhật chính sách nội bộ về an ninh mạng, bảo mật thông tin, xử lý dữ liệu, sử dụng AI, phòng chống deepfake, quản lý tài khoản và xử lý sự cố.
- 06Đối với nền tảng có trẻ em sử dụng hoặc có khả năng tiếp cận, thiết lập cơ chế kiểm soát nội dung, báo cáo vi phạm, gỡ bỏ nội dung gây hại và hỗ trợ bảo vệ trẻ em theo quy định.
- 07Rà soát hợp đồng với nhà cung cấp dịch vụ công nghệ, cloud, hosting, bảo mật, AI và phân tích dữ liệu để phân bổ rõ trách nhiệm an ninh mạng, lưu trữ dữ liệu, xử lý sự cố và hỗ trợ cung cấp thông tin khi có yêu cầu hợp pháp.
- 08Đào tạo nhân sự nội bộ về nhận diện rủi ro an ninh mạng, lừa đảo trực tuyến, bảo vệ dữ liệu, sử dụng AI có trách nhiệm và quy trình báo cáo sự cố.
An ninh mạng — Yêu cầu pháp lý và quản trị vận hành
Luật An ninh mạng 2025 tạo ra khung pháp lý toàn diện hơn cho việc bảo vệ không gian mạng tại Việt Nam. Các quy định mới về định danh người dùng, cung cấp thông tin, gỡ bỏ dịch vụ, lưu trữ dữ liệu tại Việt Nam, an ninh dữ liệu, AI, deepfake, bảo vệ trẻ em và bảo đảm kinh phí an ninh mạng sẽ tác động trực tiếp đến nhiều doanh nghiệp, đặc biệt là doanh nghiệp công nghệ, nền tảng số, thương mại điện tử, viễn thông, truyền thông, tài chính, giáo dục và dịch vụ trực tuyến.
Đối với doanh nghiệp, tuân thủ an ninh mạng không chỉ là vấn đề kỹ thuật, mà là một phần của quản trị pháp lý, quản trị dữ liệu, quản trị rủi ro và quản trị vận hành. Việc chuẩn bị sớm trước ngày 01/7/2026 sẽ giúp doanh nghiệp giảm thiểu rủi ro pháp lý, bảo vệ uy tín và duy trì hoạt động ổn định trên không gian mạng.
FIRST COUNSEL hỗ trợ doanh nghiệp rà soát nghĩa vụ tuân thủ Luật An ninh mạng 2025, xây dựng chính sách an ninh mạng, rà soát hợp đồng công nghệ, đánh giá luồng dữ liệu, tư vấn lưu trữ dữ liệu tại Việt Nam, thiết kế quy trình phản ứng nhanh và đào tạo nội bộ về an ninh mạng, dữ liệu và sử dụng AI có trách nhiệm.
Liên hệ tư vấn →
Cần Luật Sư tư vấn trực tiếp?.