Luật An Ninh Mạng 2025 của Việt Nam: Những điểm mới và các vấn đề doanh nghiệp cần lưu ý

25/12/2025 12:00

Ngày 10 tháng 12 năm 2025, Quốc Hội Việt Nam thông qua Luật An Ninh Mạng 2025 (Luật An Ninh Mạng 2025), có hiệu lực từ ngày 1 tháng 7 năm 2026.

Luật An Ninh Mạng 2025 hợp nhất hai văn bản pháp luật quan trọng gồm Luật số 86/2015/QH13 về an toàn thông tin mạng, được Quốc Hội Việt Nam thông qua ngày 19 tháng 11 năm 2015, được sửa đổi, bổ sung theo từng thời điểm (Luật An Toàn Thông Tin Mạng 2015), và Luật số 24/2018/QH14 về an ninh mạng, được Quốc Hội Việt Nam thông qua ngày 12 tháng 6 năm 2018 (Luật An Ninh Mạng 2018), thành một khuôn khổ pháp lý thống nhất.

Đáng chú ý, theo Luật An Ninh Mạng 2025, thuật ngữ “an toàn thông tin mạng” vốn được sử dụng trong nhiều văn bản pháp luật hiện hành được bãi bỏ và thay thế bằng khái niệm thống nhất là “an ninh mạng”. Do an toàn thông tin mạng từ trước đến nay luôn là một phần của an ninh mạng, nên giữa hai khái niệm này vẫn tồn tại những điểm tương đồng đáng kể và sự trùng lặp trong thực tiễn áp dụng.

Thông qua việc tinh giản các quy định chồng chéo và phân định rõ hơn thẩm quyền của các cơ quan quản lý nhà nước, Chính Phủ Việt Nam hướng tới việc xây dựng một hệ thống pháp luật thống nhất, chặt chẽ và hiệu quả hơn nhằm bảo vệ an ninh quốc gia, các hệ thống thông tin quan trọng, hạ tầng kỹ thuật số và dữ liệu cá nhân trong bối cảnh các cuộc tấn công mạng, rò rỉ dữ liệu và tội phạm trên không gian mạng ngày càng gia tăng.

Mặc dù văn bản chính thức của Luật An Ninh Mạng 2025 vẫn đang trong quá trình hoàn thiện, dưới đây là những điểm thay đổi chính của Luật An Ninh Mạng 2025 dựa trên bản dự thảo mới nhất được trình Quốc Hội.

1. Tăng Cường Quản Lý Nhà Nước

Theo Luật An Toàn Thông Tin Mạng 2015, Bộ Thông Tin và Truyền Thông (BTTTT) chịu trách nhiệm trước Chính Phủ về quản lý nhà nước đối với an toàn thông tin mạng; trong khi đó, theo Luật An Ninh Mạng 2018, Bộ Công An (BCA) chịu trách nhiệm trước Chính Phủ về quản lý nhà nước đối với an ninh mạng. Cách tiếp cận này dẫn đến sự chồng chéo về thẩm quyền và trách nhiệm thi hành. Để khắc phục tình trạng này, Luật An Ninh Mạng 2025 hợp nhất thẩm quyền quản lý nhà nước bằng việc khẳng định Chính Phủ thống nhất quản lý nhà nước về an ninh mạng và giao cho BCA là cơ quan đầu mối giúp Chính Phủ thực hiện quản lý nhà nước trong lĩnh vực này. BCA đồng thời có trách nhiệm xây dựng các tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về an ninh mạng. Mặc dù có các biện pháp nhằm định hướng và cải thiện môi trường pháp lý, trên thực tế chúng có thể đặt ra những thách thức nhất định về tuân thủ đối với doanh nghiệp. Việc xác định rõ BCA là cơ quan đầu mối được kỳ vọng sẽ giúp tinh giản cơ chế quản lý và tạo ra một đầu mối hướng dẫn thống nhất cho doanh nghiệp khi thực hiện các nghĩa vụ pháp lý liên quan.

2. Tăng Cường Bảo Vệ An Ninh Quốc Gia và Các Nhóm Dễ Bị Tổn Thương

Luật An Ninh Mạng 2025 tăng cường chế độ bảo vệ đối với các hệ thống thông tin, đặc biệt là các hệ thống thông tin quan trọng liên quan đến an ninh quốc gia. Mặc dù nhiều nghĩa vụ cơ bản không hoàn toàn mới, Điều 10 và Điều 11 của Luật An Ninh Mạng 2025 đã hợp nhất và quy định rõ hơn về nhiệm vụ xác định cấp độ an ninh mạng, đánh giá và quản lý rủi ro, giám sát an ninh mạng, ứng phó với sự cố và báo cáo. Đáng chú ý, chủ quản hệ thống thông tin quan trọng về an ninh quốc gia phải tuân thủ các yêu cầu nghiêm ngặt hơn, bao gồm đánh giá an ninh mạng, báo cáo và phối hợp thường xuyên với lực lượng chuyên trách bảo vệ an ninh mạng. Khung pháp lý này thể hiện mức độ kiểm soát chặt chẽ hơn và sự giám sát tăng cường đối với các hệ thông tin quan trọng về an ninh quốc gia.

Bên cạnh các biện pháp bảo vệ trẻ em trên không gian mạng vốn đã được quy định và tiếp tục áp dụng theo Luật An Ninh Mạng 2025, chủ quản hệ thống thông tin, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ giá trị gia tăng trên không gian mạng còn có nghĩa vụ xây dựng và triển khai các hệ thống kỹ thuật hỗ trợ hoạt động ngăn chặn nội dung xâm hại trẻ em trên không gian mạng. Ngoài ra, Luật An Ninh Mạng 2025 cũng quy định trẻ em, người cao tuổi và người khó khăn trong nhận thức là các nhóm đối tượng được ưu tiên hoạt động giáo dục về an ninh mạng, nhằm nâng cao khả năng tự bảo vệ quyền và lợi ích hợp pháp của họ trên không gian mạng.

3. Nội Dung và Hành Vi Bị Cấm

Các cuộc tấn công mạng và hoạt động tội phạm trên không gian mạng ngày càng phức tạp, gây thiệt hại nghiêm trọng cho tổ chức, cá nhân và ảnh hưởng lớn đến trật tự công cộng cũng như an ninh quốc gia. Để giải quyết vấn đề này, Luật An Ninh Mạng 2025 quy định cụ thể các nội dung và hành vi bị cấm về an ninh mạng. Cụ thể, bên cạnh việc kế thừa các quy định của Luật An Ninh Mạng 2018, Luật An Ninh Mạng 2025 nghiêm cấm các hành vi: (a) cố ý nghe lén, ghi âm, ghi hình trái phép các cuộc đàm thoại trên không gian mạng; (b) thu thập, sử dụng, phát tán, trao đổi, chuyển nhượng, kinh doanh trái pháp luật thông tin, dữ liệu cá nhân; (c) sử dụng công nghệ mới để thực hiện các hành vi bị cấm.

Đáng chú ý, phạm vi nội dung bị cấm theo Luật An Ninh Mạng 2025 được mở rộng so với quy định của pháp luật trước đây, bao gồm: (a) phản ánh sai lệch, không chính xác về đường biên giới quốc gia, bản đồ Việt Nam và chủ quyền lãnh thổ của Việt Nam; (b) gây mâu thuẫn, chia rẽ giữa các tầng lớp nhân dân; (c) kích động ly khai dân tộc; (d) cản trở chính sách đoàn kết quốc tế; (e) kêu gọi tẩy chay hàng hóa, dịch vụ gây thiệt hại cho doanh nghiệp; và (f) giả mạo thông tin, làm nhái sản phẩm của doanh nghiệp.

4. Phân Loại Thông Tin và Hệ Thống Thông Tin

Luật An Ninh Mạng 2025 kế thừa cách tiếp cận của Luật An Toàn Thông Tin Mạng 2015 và duy trì cách phân loại hệ thống thông tin theo năm cấp độ, căn cứ vào mức độ tổn hại tới an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cá nhân, tổ chức và lợi ích công cộng khi xảy ra sự cố hoặc vi phạm pháp luật về an ninh mạng. Cụ thể, hệ thống thông tin được phân loại như sau:

(i) Cấp độ 1: có thể làm tổn hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân;

(ii) Cấp độ 2: có thể làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng;

(iii) Cấp độ 3: có thể làm tổn hại đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; tổn hại nghiêm trọng tới lợi ích công cộng; tổn hại hoặc tổn hại nghiêm trọng tới trật tự, an toàn xã hội hoặc làm tổn hại tới an ninh quốc gia;

(iv) Cấp độ 4: có thể làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng, trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới an ninh quốc gia;

(v) Cấp độ 5: có thể làm tổn hại đặc biệt nghiêm trọng tới an ninh quốc gia.

Hệ thống thông tin đã được xác định cấp độ theo quy định của Luật An Toàn Thông Tin Mạng 2015 tiếp tục được công nhận. Tuy nhiên, trong thời hạn 12 tháng kể từ ngày Luật An Ninh Mạng 2025 có hiệu lực, các điều kiện, tiêu chuẩn và biện pháp bảo vệ tương ứng phải được cập nhật theo quy định mới. Trường hợp cần điều chỉnh lại cấp độ của hệ thống thông tin, quy định này sẽ được áp dụng. Chính Phủ sẽ quy định chi tiết tiêu chí, trình tự xác định cấp độ hệ thống thông tin và các biện pháp, trách nhiệm và nghĩa vụ đối với từng cấp độ.

5. Tuân Thủ Yêu Cầu của Cơ Quan Có Thẩm Quyền

Luật An Ninh Mạng 2025 đưa ra các quy định chặt chẽ hơn liên quan đến việc tuân thủ yêu cầu của cơ quan có thẩm quyền trong công tác phòng chống tội phạm mạng. Các nghĩa vụ đáng chú ý bao gồm phối hợp, cung cấp thông tin người dùng và gỡ bỏ nội dung vi phạm.

(i) Yêu cầu phối hợp:

Luật An Ninh Mạng 2025 quy định rằng, theo yêu cầu của cơ quan có thẩm quyền, doanh nghiệp có nghĩa vụ phối hợp bằng cách: (a) thiết lập hệ thống kết nối,  đấu nối đường truyền kỹ thuật và truyền tải dữ liệu; và (b) tạo điều kiện cho việc triển khai các giải pháp, biện pháp bảo vệ, nhằm phục vụ công tác điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.

Tùy thuộc vào các văn bản hướng dẫn chi tiết, có thể thấy rằng quy định này nhằm thiết lập một cơ chế can thiệp kỹ thuật cụ thể hơn, cho phép lực lượng chuyên trách bảo vệ an ninh mạng tiếp cận hệ thống của doanh nghiệp và yêu cầu cung cấp một số dữ liệu nhất định. Mặc dù việc phối hợp được giới hạn cho mục đích điều tra, xử lý vi phạm pháp luật về an ninh mạng, nhưng phạm vi và mức độ phối hợp vẫn còn tương đối rộng và chưa rõ ràng về cách thực thi.

(ii) Yêu cầu cung cấp thông tin người sử dụng và gỡ bỏ nội dung:

Dù Luật An Ninh Mạng 2018 nhìn chung đã yêu cầu doanh nghiệp cung cấp thông tin người dùng để phục vụ công tác điều tra, xử lý vi phạm về an ninh mạng, Luật An Ninh Mạng 2025 giờ đây đã quy định cụ thể thời hạn tuân thủ. Theo đó, doanh nghiệp phải cung cấp thông tin người sử dụng cho lực lượng chuyên trách bảo vệ an ninh mạng của BCA trong vòng hai mươi bốn (24) giờ kể từ khi nhận được yêu cầu bằng văn bản, thư điện tử, điện thoại hoặc các hình thức liên lạc khác đã được xác nhận. Trong trường hợp khẩn cấp đe dọa xâm hại an ninh quốc gia hoặc tính mạng con người, thời hạn này được rút ngắn xuống còn ba (3) giờ. Tương tự, bên cạnh thời hạn hai mươi bốn (24) giờ hiện hành đối với việc ngăn chặn chia sẻ và xóa bỏ nội dung vi phạm pháp luật, Luật An Ninh Mạng 2025 còn bổ sung nghĩa vụ gỡ bỏ các dịch vụ hoặc ứng dụng vi phạm và quy định thời hạn sáu (6) giờ kể từ khi có yêu cầu đối với việc xóa bỏ thông tin trong các trường hợp khẩn cấp đe dọa xâm hại an ninh quốc gia.

6. Quản Lý Nội Dung Liên Quan Đến Trí Tuệ Nhân Tạo

Luật An Ninh Mạng 2025 đã giải quyết các rủi ro phát sinh từ công nghệ mới thông qua việc bổ sung các quy định phù hợp với sự phát triển của trí tuệ nhân tạo (AI). Theo đó, Luật nghiêm cấm việc sử dụng AI hoặc công nghệ mới để làm giả video, hình ảnh hoặc giọng nói của người khác trái pháp luật, cũng như để đăng tải, lan truyền các nội dung bị cấm.

Tuy nhiên, trước tác động sâu rộng của AI trong bối cảnh hiện nay, các quy định chuyên biệt về AI sẽ được điều chỉnh bởi một văn bản pháp luật độc lập, cụ thể là Luật Trí tuệ nhân tạo.[1] 

7. Lưu Trữ và Lưu Giữ Dữ Liệu tại Việt Nam

Mặc dù Luật Bảo Vệ Dữ Liệu Cá Nhân vẫn là một văn bản pháp luật độc lập, Luật An Ninh Mạng 2025 được kỳ vọng sẽ bổ trợ và tăng cường các nghĩa vụ bảo vệ dữ liệu, đặc biệt liên quan đến quản trị rủi ro an ninh mạng và phòng chống vi phạm.

Luật An Ninh Mạng 2025 tiếp tục duy trì yêu cầu lưu trữ dữ liệu tại Việt Nam theo Luật An Ninh Mạng 2018, với hướng dẫn chi tiết được quy định bởi Chính Phủ.

Đáng chú ý, Luật An Ninh Mạng 2025 đã làm rõ hơn các loại dữ liệu phải được lưu trữ tại Việt Nam, bao gồm tên tài khoản, thời gian sử dụng dịch vụ, thông tin thanh toán phí sử dụng dịch vụ, địa chỉ IP truy cập và các dữ liệu liên quan khác. 

Quy định này làm rõ rằng một số dữ liệu nhất định phải được lưu giữ trong thời hạn theo quy định của pháp luật, kể cả sau khi người sử dụng đã kết thúc việc sử dụng dịch vụ.

8. Nhận dạng địa chỉ IP

Luật An Ninh Mạng 2025 yêu cầu doanh nghiệp cung cấp dịch vụ trên không gian mạng phải định danh địa chỉ IP của tổ chức, cá nhân sử dụng dịch vụ của mình và cung cấp thông tin này cho lực lượng chuyên trách bảo vệ an ninh mạng nhằm phục vụ công tác quản lý và thực hiện biện pháp bảo vệ an ninh mạng. Chính Phủ kỳ vọng quy định này sẽ hỗ trợ hiệu quả hơn cho công tác điều tra trong bối cảnh các hành vi phạm tội trên không gian mạng như lừa đảo, cờ bạc hoặc mua bán trái phép chất ma túy ngày càng gia tăng.

Tuy nhiên, do đặt ra các yêu cầu nghiêm ngặt hơn trong quản lý thông tin người dùng, quy định này có thể làm gia tăng chi phí tuân thủ đối với các nhà cung cấp dịch vụ.

9. Khung Pháp Lý Hợp Nhất về Sản Phẩm và Dịch Vụ An Ninh Mạng

Luật An Ninh Mạng 2025 hợp nhất các khung pháp lý hiện hành theo Luật An Toàn Thông Tin Mạng 2015 liên quan đến sản phẩm an toàn thông tin mạng và mật mã dân sự thành một khuôn khổ thống nhất, được gọi là “sản phẩm, dịch vụ an ninh mạng”.

Trong bối cảnh đó, Luật An Ninh Mạng 2025 quy định các yêu cầu chung về cấp phép đối với doanh nghiệp cung cấp sản phẩm hoặc dịch vụ an ninh mạng, và các nội dung chi tiết sẽ được Chính Phủ hướng dẫn cụ thể hơn.

Nhìn chung, các quy định này hướng tới việc tinh giản thủ tục hành chính và cải thiện môi trường kinh doanh đối với lĩnh vực sản phẩm, dịch vụ an ninh mạng.

10. Thời điểm triển khai và các bước tiếp theo

Mặc dù Luật An Ninh Mạng 2025 đã được Quốc Hội thông qua, các văn bản hướng dẫn thi hành dự kiến sẽ tiếp tục làm rõ các nghĩa vụ tuân thủ chi tiết, tiêu chuẩn kỹ thuật và quy trình thực thi.

Để chuẩn bị cho thời điểm Luật An Ninh Mạng 2025 có hiệu lực, các tổ chức đang hoạt động tại Việt Nam hoặc cung cấp dịch vụ hướng tới thị trường Việt Nam nên cân nhắc:

  • Rà soát các chính sách hiện hành về an ninh mạng, bảo vệ dữ liệu và ứng phó sự cố;
  • Đánh giá liệu hệ thống thông tin của mình có thuộc diện được quản lý hoặc hệ thống quan trọng hay không;
  • Tăng cường cơ chế quản trị nội bộ, biện pháp kỹ thuật và đào tạo nhân sự; và
  • Theo dõi các văn bản hướng dẫn thi hành để kịp thời bảo đảm tuân thủ.

Tải bản tin về máy tại đây: Cập Nhật Pháp Lý - Luật An Ninh Mạng 2025 của Việt Nam: Những điểm mới và các vấn đề doanh nghiệp cần lưu ý

[1] Vui lòng tham khảo Cập nhật pháp lý của chúng tôi - Tổng Quan Về Luật Trí Tuệ Nhân Tạo Đầu Tiên Của Việt Nam, để biết thêm chi tiết.

Bài viết này chỉ cung cấp một bản tóm tắt về chủ đề được đề cập, mà không có bất kỳ nghĩa vụ nào do Công ty Luật Frasers chịu trách nhiệm. 

Bản tóm tắt không nhằm mục đích cũng như không nên dựa vào nó để thay thế cho lời khuyên pháp lý.

© Bản quyền của ấn phẩm này thuộc về Công ty Luật Frasers.