Dữ liệu cá nhân

Luật An ninh mạng 2025: Rà soát nghĩa vụ dữ liệu cá nhân và AI trước 1/7/2026

2026-07-11 · Đọc 17 phút · MeshLaw Ban biên tập

Tin gốc: "Một số nội dung cần lưu ý về Luật An ninh mạng 2025 có hiệu lực thi hành từ ngày 1/7/2026" (Cổng thông tin điện tử Tỉnh Nghệ An) · Tìm bài gốc Dưới đây là bài phân tích gốc do AI biên soạn dựa trên các sự kiện được xác minh từ 3 nguồn tin thực tế (không phải dịch hay sao chép bản gốc). Xem nguồn ở cuối bài.

Luật An ninh mạng 2025 (Nghị quyết 116/2025/QH15) chính thức có hiệu lực thi hành từ ngày 1/7/2026, đánh dấu bước chuyển quan trọng trong việc tích hợp các quy định về an toàn thông tin và bảo vệ dữ liệu cá nhân. Với các quy định mới cấm sử dụng AI tạo nội dung giả mạo (deepfake) và tăng cường trách nhiệm bảo mật, doanh nghiệp cần khẩn trương rà soát quy trình xử lý dữ liệu để tránh vi phạm pháp luật. Đây là thời điểm vàng để pháp chế doanh nghiệp điều chỉnh chính sách, đảm bảo tuân thủ nghiêm ngặt các tiêu chuẩn an ninh mạng trước khi luật bắt buộc áp dụng.

Bối cảnh: Sự ra đời của Luật An ninh mạng 2025 và lộ trình áp dụng

Bối cảnh: Sự ra đời của Luật An ninh mạng 2025 và lộ trình áp dụng

Luật An ninh mạng số 116/2025/QH15 đã chính thức được Quốc hội khóa XV, kỳ họp thứ 10 thông qua vào ngày 10/12/2025, đánh dấu một bước ngoặt quan trọng trong hệ thống pháp luật về không gian mạng của Việt Nam. Văn bản pháp lý này không chỉ là một quy định mới mà còn là sự tổng hợp và kế thừa có chọn lọc các quy định từ Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015. Mục tiêu của việc tích hợp này là để loại bỏ các điểm chồng chéo, mâu thuẫn và xây dựng một khung pháp lý đồng bộ, hiện đại hơn, đáp ứng yêu cầu quản lý nhà nước trong bối cảnh chuyển đổi số diễn ra mạnh mẽ.

Theo quy định tại Điều 2 của Luật mới, khái niệm "an ninh mạng" được định nghĩa lại rõ ràng hơn, bao gồm sự ổn định, an toàn và bảo mật của không gian mạng. Đồng thời, "an toàn thông tin mạng" được hiểu là việc đảm bảo tính toàn vẹn, tính bí mật và tính sẵn có của thông tin trên môi trường mạng. Sự định nghĩa lại này giúp cơ quan quản lý và các tổ chức, cá nhân có cái nhìn thống nhất về phạm vi bảo vệ, từ đó dễ dàng xác định các hành vi vi phạm và nghĩa vụ tuân thủ trong hoạt động kinh doanh, dịch vụ số.

Lộ trình áp dụng Luật An ninh mạng 2025 được thiết kế với thời gian chuẩn bị kỹ lưỡng để các chủ thể kinh tế và xã hội có thể thích nghi. Văn bản này sẽ chính thức có hiệu lực thi hành từ ngày 1/7/2026. Khoảng thời gian gần một năm kể từ ngày thông qua đến khi có hiệu lực là giai đoạn vàng để các doanh nghiệp, đặc biệt là những đơn vị cung cấp dịch vụ internet, nền tảng mạng xã hội và công nghệ thông tin, rà soát lại các quy trình nội bộ, cập nhật chính sách bảo mật và đào tạo nhân sự. Việc tuân thủ đúng lộ trình này không chỉ là nghĩa vụ pháp lý mà còn là yếu tố then chốt để duy trì hoạt động kinh doanh liên tục và tránh các rủi ro chế tài nghiêm trọng trong tương lai.

Vấn đề cốt lõi: Định nghĩa lại an ninh mạng và bảo vệ dữ liệu

Vấn đề cốt lõi: Định nghĩa lại an ninh mạng và bảo vệ dữ liệu

Luật An ninh mạng 2025 (Số 116/2025/QH15), được Quốc hội khóa XV thông qua tại kỳ họp thứ 10 ngày 10 tháng 12 năm 2025, đánh dấu bước chuyển mình quan trọng trong khung pháp lý kỹ thuật số của Việt Nam. Văn bản này không chỉ là sự hợp nhất các quy định từ Luật An ninh mạng 2018 và Luật An ninh thông tin mạng 2015, mà còn tái định nghĩa rõ ràng hai khái niệm nền tảng: an ninh mạng và an ninh thông tin mạng. Theo Điều 2 của Luật mới, an ninh mạng được xác định là bảo đảm sự ổn định, an toàn và an ninh của không gian mạng, trong khi an ninh thông tin mạng tập trung vào việc bảo đảm tính toàn vẹn, bí mật và khả dụng của dữ liệu. Sự phân định này giúp làm rõ trọng tâm bảo vệ thông tin cá nhân, một vấn đề ngày càng cấp thiết trong kỷ nguyên số.

Việc tách biệt hai khái niệm trên tạo ra một cơ sở pháp lý vững chắc hơn cho việc thực thi các quy định về bảo vệ dữ liệu. Trong khi an ninh mạng hướng đến sự ổn định của môi trường kỹ thuật số, thì an ninh thông tin mạng trực tiếp bảo vệ các giá trị cốt lõi của dữ liệu. Điều này đặt ra yêu cầu mới đối với các tổ chức, cá nhân xử lý dữ liệu, khi không chỉ cần đảm bảo hệ thống hoạt động liên tục mà còn phải chứng minh được tính chính xác và bảo mật của thông tin cá nhân. Sự thay đổi này phản ánh xu hướng toàn cầu trong đó bảo vệ quyền riêng tư và an toàn dữ liệu trở thành trụ cột chính của an ninh mạng.

Để hiện thực hóa mục tiêu bảo vệ dữ liệu và nâng cao nhận thức cộng đồng, Luật An ninh mạng 2025 quy định các biện pháp cụ thể và đối tượng ưu tiên trong giáo dục và hỗ trợ kỹ thuật:

  • Đối tượng ưu tiên: Điều 35 quy định trẻ em, người cao tuổi và người khuyết tật trí tuệ là những nhóm đối tượng được ưu tiên trong các chương trình giáo dục an ninh mạng và hướng dẫn kỹ năng ứng phó.
  • Hỗ trợ công nghệ: Điều 37 nhấn mạnh vai trò của Nhà nước trong việc hỗ trợ nâng cao tính tự chủ về an ninh mạng, bao gồm hỗ trợ sản xuất và kiểm định thiết bị an ninh mạng trong nước.
  • Cấm tuyệt đối nội dung AI giả mạo: Điều 7 nghiêm cấm việc sử dụng công nghệ AI để tạo ra hình ảnh, âm thanh, video giả mạo (deepfake) nhằm lừa đảo, gây hiểu lầm hoặc làm hại đến uy tín, danh dự cá nhân và tổ chức.
  • Chống lừa đảo và gian lận: Luật cũng quy định nghiêm cấm các hành vi như tổ chức cờ bạc trực tuyến, giao dịch trái phép thông tin thẻ tín dụng và các hình thức lừa đảo mạng khác, bảo vệ người dân khỏi các rủi ro tài chính và an ninh cá nhân.

Những quy định này không chỉ giúp bảo vệ người dùng yếu thế mà còn tạo ra một môi trường mạng lành mạnh, nơi công nghệ AI được sử dụng có trách nhiệm và dữ liệu cá nhân được tôn trọng. Sự kết hợp giữa định nghĩa lại khái niệm an ninh mạng và các biện pháp cụ thể về bảo vệ dữ liệu, chống lừa đảo, tạo nên một khung pháp lý toàn diện, sẵn sàng cho việc áp dụng từ ngày 1 tháng 7 năm 2026.

Tác động thực tiễn: Rà soát quy trình xử lý dữ liệu cá nhân

Tác động thực tiễn: Rà soát quy trình xử lý dữ liệu cá nhân

Việc Luật An ninh mạng 2025 (số 116/2025/QH15) được Quốc hội thông qua tại kỳ họp thứ 10, khóa XV vào ngày 10 tháng 12 năm 2025, đánh dấu bước chuyển mình quan trọng trong khung pháp lý về bảo vệ dữ liệu. Luật này không chỉ tích hợp các quy định từ Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015 mà còn nâng tầm khái niệm an ninh mạng thành "an ninh mạng" (cybersecurity) với trọng tâm là bảo đảm tính ổn định, an toàn của không gian mạng. Đồng thời, an toàn thông tin mạng (cyber information security) được định nghĩa rõ ràng hơn qua ba trụ cột: tính toàn vẹn, tính bí mật và tính sẵn có của thông tin. Với lộ trình có hiệu lực thi hành từ ngày 1/7/2026, doanh nghiệp và tổ chức xử lý dữ liệu cá nhân cần khẩn trương rà soát lại các quy trình hiện hành để thích nghi với tiêu chuẩn bảo mật mới.

Đối với doanh nghiệp, việc tuân thủ không chỉ dừng lại ở nghĩa vụ bảo vệ dữ liệu mà còn phải chủ động phòng ngừa rủi ro rò rỉ thông tin. Các quy trình thu thập, lưu trữ và xử lý dữ liệu cá nhân cần được kiểm toán kỹ lưỡng để đảm bảo tính minh bạch và an toàn. Đặc biệt, Luật nhấn mạnh vào việc bảo vệ các nhóm đối tượng dễ bị tổn thương; do đó, các hệ thống xử lý dữ liệu liên quan đến trẻ em, người cao tuổi và người khuyết tật trí tuệ cần có cơ chế bảo mật đặc biệt và tuân thủ nghiêm ngặt các tiêu chuẩn kỹ thuật mới. Sự thiếu hụt trong việc áp dụng các biện pháp bảo mật tiên tiến có thể dẫn đến các chế tài xử phạt nghiêm khắc và thiệt hại lớn về uy tín thương hiệu.

Để chuẩn bị sẵn sàng cho ngày 1/7/2026, doanh nghiệp nên tập trung vào các hạng mục rà soát cốt lõi sau:

  • Kiểm toán quy trình dữ liệu: Đánh giá toàn diện các điểm tiếp xúc dữ liệu cá nhân, đảm bảo rằng mọi hoạt động xử lý đều có cơ sở pháp lý và tuân thủ nguyên tắc bảo mật tối thiểu.
  • Nâng cấp hạ tầng an toàn thông tin: Đầu tư vào các giải pháp bảo mật hiện đại để đảm bảo tính toàn vẹn, bí mật và sẵn có của thông tin, đồng thời thiết lập cơ chế ứng phó sự cố nhanh chóng.
  • Đào tạo và nâng cao nhận thức: Tổ chức đào tạo định kỳ cho nhân sự, đặc biệt chú trọng đến đối tượng quản lý dữ liệu nhạy cảm, nhằm giảm thiểu rủi ro từ yếu tố con người.
  • Rà soát chính sách riêng tư: Cập nhật chính sách bảo mật dữ liệu cá nhân để phản ánh đúng các yêu cầu mới của Luật An ninh mạng 2025, đảm bảo quyền lợi của chủ thể dữ liệu.

Những thay đổi này không chỉ là nghĩa vụ tuân thủ pháp luật mà còn là cơ hội để doanh nghiệp củng cố niềm tin của khách hàng thông qua việc thể hiện cam kết mạnh mẽ về bảo vệ quyền riêng tư và an toàn thông tin trong kỷ nguyên số.

Nguy cơ pháp lý: Cấm tuyệt đối nội dung AI giả mạo và lừa đảo

Nguy cơ pháp lý: Cấm tuyệt đối nội dung AI giả mạo và lừa đảo

Luật An ninh mạng 2025 (Số 116/2025/QH15) được Quốc hội thông qua ngày 10/12/2025, đánh dấu bước ngoặt trong việc siết chặt quản lý không gian mạng với trọng tâm là kiểm soát công nghệ trí tuệ nhân tạo (AI). Theo quy định tại Điều 7 của luật mới, các hành vi sử dụng AI để tạo ra hình ảnh, giọng nói, video giả mạo (deepfake) bị nghiêm cấm tuyệt đối. Luật pháp không chỉ ngăn chặn việc tạo ra nội dung giả mà còn cấm cả hành vi phổ biến các thông tin sai sự thật có nguy cơ gây hại cho an ninh quốc gia, trật tự, an toàn xã hội và đạo đức xã hội. Sự thay đổi này yêu cầu các tổ chức, cá nhân hoạt động trong lĩnh vực công nghệ phải rà soát lại các thuật toán và quy trình kiểm duyệt nội dung để đảm bảo không vô tình tạo ra hoặc lan truyền các nội dung vi phạm.

Bên cạnh việc kiểm soát nội dung AI, luật cũng đặt ra các lệnh cấm nghiêm ngặt đối với các hành vi lừa đảo và hoạt động bất hợp pháp trên môi trường mạng. Điều 7 quy định rõ việc tổ chức, tham gia hoặc hỗ trợ các hoạt động như cờ bạc trực tuyến, giao dịch trái phép thông tin thẻ tín dụng, và các hình thức lừa đảo mạng khác là hành vi bị cấm. Các quy định này không chỉ nhắm vào các đối tượng trực tiếp thực hiện hành vi vi phạm mà còn bao gồm cả những bên cung cấp hạ tầng hoặc hỗ trợ kỹ thuật cho các hoạt động này. Điều này tạo ra một khung pháp lý chặt chẽ hơn, buộc các nhà cung cấp dịch vụ internet và nền tảng số phải có cơ chế giám sát và báo cáo kịp thời các dấu hiệu bất thường liên quan đến lừa đảo và cờ bạc.

Để tuân thủ các quy định mới này, doanh nghiệp và cá nhân cần lưu ý các điểm cốt lõi sau:

  • Cấm sử dụng Deepfake: Nghiêm cấm mọi hình thức tạo ra hoặc sử dụng nội dung AI giả mạo (hình ảnh, âm thanh, video) nhằm đánh lừa người khác hoặc gây hiểu lầm.
  • Chống thông tin sai lệch: Cấm phổ biến thông tin giả mạo gây thiệt hại cho an ninh quốc gia, trật tự công cộng và lợi ích chính đáng của tổ chức, cá nhân.
  • Ngăn chặn lừa đảo và cờ bạc: Cấm tổ chức, tham gia hoặc hỗ trợ các hoạt động cờ bạc trực tuyến, giao dịch trái phép thông tin tài chính và các hình thức lừa đảo mạng khác.
  • Trách nhiệm tuân thủ: Các nền tảng số cần nâng cấp hệ thống kiểm duyệt nội dung để phát hiện và loại bỏ kịp thời các nội dung vi phạm Điều 7 trước khi chúng được lan truyền rộng rãi.

Với hiệu lực thi hành từ ngày 1/7/2026, Luật An ninh mạng 2025 tạo ra một môi trường pháp lý minh bạch hơn nhưng cũng đòi hỏi sự thích nghi nhanh chóng từ cộng đồng doanh nghiệp công nghệ. Việc nghiêm cấm tuyệt đối các hành vi sử dụng AI vào mục đích xấu và lừa đảo không chỉ bảo vệ người dùng mà còn góp phần củng cố niềm tin vào hệ sinh thái số quốc gia. Các tổ chức cần chủ động rà soát chính sách nội dung và quy trình xử lý dữ liệu để đảm bảo tuân thủ đầy đủ các quy định mới, tránh những rủi ro pháp lý nghiêm trọng có thể xảy ra sau khi luật có hiệu lực.

Điểm cần rà soát: Nghĩa vụ giáo dục và tự chủ công nghệ

Điểm cần rà soát: Nghĩa vụ giáo dục và tự chủ công nghệ

Theo Luật An ninh mạng 2025 (số 116/2025/QH15), được Quốc hội thông qua trong kỳ họp thứ 10, khóa 15 vào ngày 10/12/2025, doanh nghiệp và tổ chức cung cấp dịch vụ mạng cần đặc biệt chú trọng đến nhóm đối tượng dễ bị tổn thương. Cụ thể, Điều 35 của luật này xác định trẻ em, người cao tuổi và người khuyết tật (người có rối loạn nhận thức) là những đối tượng ưu tiên cần được hướng dẫn về an ninh mạng. Đây không chỉ là khuyến cáo mà là nghĩa vụ pháp lý bắt buộc, đòi hỏi các nhà cung cấp dịch vụ phải xây dựng nội dung giáo dục phù hợp với đặc thù nhận thức của từng nhóm đối tượng này. Việc thiếu hụt các chương trình hướng dẫn an toàn trực tuyến cho các nhóm đối tượng này có thể bị xem là vi phạm nghĩa vụ bảo vệ người dùng, đặc biệt trong bối cảnh các mối đe dọa trực tuyến ngày càng tinh vi.

Song song với nghĩa vụ giáo dục, luật pháp cũng nhấn mạnh vào chiến lược tự chủ công nghệ thông qua Điều 37. Điều khoản này quy định rõ việc nhà nước hỗ trợ nâng cao năng lực tự chủ trong an ninh mạng, bao gồm cả việc sản xuất và kiểm định các thiết bị công nghệ. Đối với doanh nghiệp Việt Nam, điều này đồng nghĩa với việc cần rà soát lại chuỗi cung ứng thiết bị công nghệ, ưu tiên sử dụng các giải pháp trong nước hoặc các sản phẩm đã được kiểm định an toàn theo tiêu chuẩn quốc gia. Việc phụ thuộc hoàn toàn vào thiết bị nhập khẩu mà không có cơ chế kiểm định an ninh mạng nội địa có thể tiềm ẩn rủi ro về an toàn thông tin, đồng thời không tận dụng được các chính sách ưu đãi hỗ trợ tự chủ công nghệ mà nhà nước đang khuyến khích.

Để chuẩn bị cho ngày luật có hiệu lực thi hành từ 1/7/2026, doanh nghiệp cần tập trung vào các hành động cụ thể sau:

  • Xây dựng chương trình giáo dục chuyên biệt: Thiết kế lại giao diện người dùng và nội dung hướng dẫn an ninh mạng, đảm bảo tính dễ hiểu và phù hợp với người cao tuổi, trẻ em và người khuyết tật, tuân thủ đúng tinh thần của Điều 35.
  • Rà soát chuỗi cung ứng thiết bị: Đánh giá lại các thiết bị công nghệ đang sử dụng, ưu tiên chuyển đổi sang các sản phẩm sản xuất trong nước hoặc thiết bị đã được kiểm định an ninh mạng theo quy định tại Điều 37.
  • Đào tạo nội bộ về tự chủ công nghệ: Tổ chức các khóa đào tạo cho nhân sự kỹ thuật về quy trình kiểm định thiết bị và áp dụng các giải pháp an ninh mạng tự chủ, nhằm giảm thiểu rủi ro phụ thuộc vào công nghệ nước ngoài.
  • Cập nhật chính sách bảo vệ người dùng yếu thế: Điều chỉnh chính sách bảo vệ dữ liệu và an toàn người dùng để tích hợp các biện pháp bảo vệ đặc biệt cho các nhóm đối tượng ưu tiên, tránh các rủi ro pháp lý liên quan đến việc không thực hiện nghĩa vụ hướng dẫn.

Câu hỏi thường gặp

Luật An ninh mạng 2025 có hiệu lực thi hành từ ngày nào và thay đổi gì so với luật cũ?

Luật An ninh mạng 2025 (số 116/2025/QH15) chính thức có hiệu lực từ ngày 1/7/2026. Văn bản này là sự hợp nhất các quy định từ Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015, giúp hệ thống pháp lý trở nên thống nhất và rõ ràng hơn.

Luật An ninh mạng 2025 quy định thế nào về việc sử dụng AI và công nghệ Deepfake?

Theo Điều 7 của Luật, việc sử dụng AI để tạo ra hình ảnh, âm thanh, video giả mạo (Deepfake) nhằm gây hiểu lầm hoặc lừa đảo bị nghiêm cấm. Luật cũng cấm các hành vi tung tin giả, thông tin xấu độc làm ảnh hưởng đến an ninh quốc gia và trật tự xã hội.

Đối tượng nào được ưu tiên trong các chương trình giáo dục an ninh mạng theo Luật mới?

Điều 35 của Luật An ninh mạng 2025 xác định trẻ em, người cao tuổi và người khuyết tật trí tuệ là các đối tượng ưu tiên. Họ sẽ được tập trung vào các chương trình giáo dục và hướng dẫn kỹ năng bảo vệ bản thân trên không gian mạng.

Nguồn tham khảo

Ứng dụng AI vào công việc pháp lý một cách thận trọng

MeshLaw là công cụ quản lý vụ việc bằng AI cho luật sư. Không ảo giác, có thể kiểm chứng.

Xem MeshLaw →

← Xem tất cả bản tin

Quản lý vụ việc bằng AI cho luật sư — MeshLaw Dùng thử miễn phí →