Luật An ninh mạng 2025: Lộ trình tuân thủ dữ liệu cá nhân và AI trước 1/7/2026
Tin gốc: "Một số nội dung cần lưu ý về Luật An ninh mạng 2025 có hiệu lực thi hành từ ngày 1/7/2026" (Cổng thông tin điện tử Tỉnh Nghệ An) · Tìm bài gốc Dưới đây là bài phân tích gốc do AI biên soạn dựa trên các sự kiện được xác minh từ 3 nguồn tin thực tế (không phải dịch hay sao chép bản gốc). Xem nguồn ở cuối bài.
Luật An ninh mạng 2025 (Nghị quyết 116/2025/QH15) chính thức có hiệu lực thi hành từ ngày 1/7/2026, đánh dấu bước chuyển mình quan trọng trong việc bảo vệ dữ liệu cá nhân và kiểm soát AI rủi ro cao tại Việt Nam. Với việc luật này kế thừa và tích hợp các quy định từ Luật An ninh mạng 2018, các luật sư và bộ phận pháp chế doanh nghiệp cần khẩn trương rà soát để đảm bảo tuân thủ các yêu cầu kỹ thuật và tổ chức mới trước thời hạn bắt buộc. Sự ra đời của khung pháp lý mới không chỉ nâng tầm vị thế của dữ liệu như nguồn lực chiến lược mà còn đặt ra những thách thức thực tiễn về an toàn thông tin và phòng chống tội phạm mạng.
Bối cảnh pháp lý: Sự ra đời của Luật An ninh mạng 2025
Bối cảnh pháp lý: Sự ra đời của Luật An ninh mạng 2025
Luật An ninh mạng số 116/2025/QH15 đã chính thức được thông qua trong kỳ họp thứ 10, Quốc hội khóa XV, diễn ra vào ngày 10 tháng 12 năm 2025. Văn bản pháp lý mới này có hiệu lực thi hành chính thức từ ngày 1 tháng 7 năm 2026, đánh dấu một bước chuyển mình quan trọng trong việc hoàn thiện khung pháp lý về không gian mạng tại Việt Nam. Mục tiêu cốt lõi của việc ban hành luật mới là để thay thế và tích hợp các quy định hiện hành, cụ thể là kế thừa và thống nhất các quy định từ Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018. Sự ra đời của văn bản này nhằm đáp ứng yêu cầu cấp thiết trong bối cảnh chuyển đổi số quốc gia đang diễn ra mạnh mẽ, đảm bảo tính đồng bộ và loại bỏ các chồng chéo pháp lý trước đây.
Việc ban hành Luật An ninh mạng 2025 không chỉ đơn thuần là thay thế văn bản cũ mà còn là sự nâng cấp toàn diện về khái niệm và phạm vi bảo vệ. Luật mới xác định rõ ràng không gian mạng là một bộ phận không thể tách rời của chủ quyền quốc gia, nơi mà an ninh mạng gắn liền với an ninh quốc gia, trật tự, an toàn xã hội và an toàn công cộng. Điều này phản ánh xu thế chung của cộng đồng quốc tế trong việc coi không gian mạng là lĩnh vực chiến lược cần được bảo vệ nghiêm ngặt, tương thích với các chuẩn mực quản lý dữ liệu và an ninh mạng tiên tiến trên thế giới như GDPR hay các quy định về AI đang được áp dụng rộng rãi.
Để người dân và doanh nghiệp có đủ thời gian thích nghi, mốc thời gian 1/7/2026 đóng vai trò là giai đoạn chuyển tiếp quan trọng. Trong khoảng thời gian này, các cơ quan nhà nước có thẩm quyền sẽ tiến hành rà soát, ban hành các văn bản hướng dẫn chi tiết, đồng thời các tổ chức, cá nhân cung cấp dịch vụ trên không gian mạng cần chủ động rà soát hệ thống và quy trình để đảm bảo tuân thủ. Sự tích hợp các quy định về an ninh mạng hiện hành vào một văn bản luật duy nhất giúp tạo ra một hệ thống pháp lý minh bạch, dễ tiếp cận và dễ thực thi hơn, giảm thiểu rủi ro pháp lý cho các chủ thể hoạt động trong môi trường số.
Vấn đề cốt lõi: Định nghĩa lại an ninh mạng và an ninh dữ liệu
Vấn đề cốt lõi: Định nghĩa lại an ninh mạng và an ninh dữ liệu
Luật An ninh mạng 2025 (Số 116/2025/QH15) được Quốc hội khóa XV thông qua vào ngày 10 tháng 12 năm 2025, chính thức đánh dấu bước chuyển mình trong tư duy quản lý không gian mạng của Việt Nam. Với hiệu lực thi hành từ ngày 1 tháng 7 năm 2026, văn bản pháp lý này không chỉ kế thừa và tích hợp các quy định từ Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018, mà còn thiết lập lại khung khái niệm nền tảng để thích ứng với bối cảnh chuyển đổi số hiện đại. Điểm nhấn quan trọng nhất nằm ở sự phân định rõ ràng giữa hai khái niệm từng bị trộn lẫn trong thực tiễn: an ninh mạng và an ninh dữ liệu.
Theo quy định tại Điều 2 của Luật mới, an ninh mạng được định nghĩa là sự ổn định của không gian mạng, đảm bảo không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội và an ninh công cộng. Trong khi đó, Điều 2 khoản 2 cụ thể hóa "an ninh thông tin mạng" là khái niệm kỹ thuật, tập trung vào việc bảo đảm tính toàn vẹn, tính bí mật và tính sẵn sàng của thông tin. Sự tách biệt này giúp các tổ chức, doanh nghiệp xác định rõ ràng các biện pháp kỹ thuật cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công làm gián đoạn dịch vụ hoặc đánh cắp dữ liệu, thay vì chỉ tập trung vào khía cạnh quản lý rủi ro pháp lý chung chung.
Đặc biệt, Luật lần đầu tiên pháp chế hóa khái niệm "an ninh dữ liệu" tại Điều 2 khoản 3, coi dữ liệu là nguồn tài nguyên chiến lược phục vụ phát triển kinh tế - xã hội và công cuộc chuyển đổi số quốc gia. Điều này phản ánh sự thay đổi tư duy từ việc xem dữ liệu chỉ là sản phẩm phụ của hoạt động kỹ thuật sang vị thế là tài sản quốc gia cần được bảo vệ đặc biệt. Bên cạnh đó, Điều 2 khoản 6 cũng chính thức định nghĩa "không gian mạng quốc gia" là vùng không gian mạng thuộc chủ quyền, quyền chủ quyền và quyền tài phán của nước Cộng hòa xã hội chủ nghĩa Việt Nam, tạo cơ sở pháp lý vững chắc để thực thi các biện pháp bảo vệ an ninh mạng trong phạm vi lãnh thổ và không gian số mà Việt Nam có thẩm quyền.
Tác động thực tiễn: Quản lý rủi ro từ AI và nội dung số
Tác động thực tiễn: Quản lý rủi ro từ AI và nội dung số
Luật An ninh mạng 2025 (số 116/2025/QH15) đã chính thức đưa ra các quy định nghiêm ngặt nhằm kiểm soát rủi ro từ công nghệ trí tuệ nhân tạo (AI) và nội dung số, với hiệu lực thi hành bắt đầu từ ngày 1/7/2026. Văn bản pháp luật này kế thừa và tích hợp các quy định từ Luật An ninh mạng 2015 và Luật An ninh mạng 2018, đồng thời lần đầu tiên pháp chế hóa khái niệm an ninh dữ liệu, coi dữ liệu là nguồn lực chiến lược cho chuyển đổi số quốc gia. Trong bối cảnh đó, Luật không chỉ tập trung vào bảo vệ tính toàn vẹn, bí mật và khả năng sẵn có của thông tin mà còn đặc biệt chú trọng đến việc ngăn chặn các hành vi lợi dụng công nghệ để gây hại cho trật tự, an toàn xã hội.
Một điểm nhấn quan trọng trong Luật là việc nghiêm cấm tuyệt đối các hành vi sử dụng AI để tạo ra hình ảnh giả mạo, lừa đảo hoặc thực hiện các hành vi gian lận khác. Đây là phản ứng trực tiếp trước sự bùng nổ của công nghệ deepfake và các hình thức tội phạm mạng tinh vi hơn, nơi ranh giới giữa thực và ảo ngày càng mờ nhạt. Doanh nghiệp cung cấp dịch vụ nền tảng số và các tổ chức liên quan đến AI cần nhận thức rõ trách nhiệm pháp lý của mình trong việc kiểm soát nội dung, đảm bảo không phát tán hoặc tạo điều kiện cho các nội dung vi phạm bị lan truyền. Sự thiếu hụt trong việc giám sát nội dung do AI tạo ra có thể dẫn đến các chế tài nghiêm khắc, không chỉ ảnh hưởng đến uy tín mà còn đe dọa đến hoạt động kinh doanh của doanh nghiệp.
Để tuân thủ hiệu quả trước khi Luật có hiệu lực, các tổ chức và doanh nghiệp cần rà soát ngay các biện pháp kỹ thuật và tổ chức hiện tại. Dưới đây là những trọng tâm cần ưu tiên thực hiện:
- Thiết lập quy trình kiểm duyệt nội dung AI: Xây dựng cơ chế tự động và thủ công để phát hiện sớm các hình ảnh, video hoặc văn bản có dấu hiệu giả mạo, lừa đảo do AI tạo ra trước khi chúng được phát tán rộng rãi.
- Minh bạch hóa nguồn gốc nội dung: Áp dụng các tiêu chuẩn kỹ thuật để gắn nhãn hoặc xác thực nguồn gốc nội dung số, giúp người dùng phân biệt rõ ràng giữa nội dung thật và nội dung do AI tạo ra.
- Đào tạo và nâng cao nhận thức: Tổ chức các chương trình đào tạo nội bộ về nhận diện rủi ro từ AI và trách nhiệm pháp lý của doanh nghiệp trong việc quản lý nội dung trên nền tảng số, đặc biệt chú trọng đến việc bảo vệ các nhóm đối tượng dễ bị tổn thương như trẻ em và người cao tuổi.
- Cập nhật chính sách tuân thủ: Rà soát và điều chỉnh các chính sách bảo mật, điều khoản sử dụng dịch vụ để phù hợp với các quy định mới về an ninh mạng và an ninh dữ liệu, đảm bảo sự nhất quán với Luật An ninh mạng 2025.
Việc chủ động thích ứng với những thay đổi pháp lý này không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý mà còn xây dựng niềm tin với người dùng trong kỷ nguyên số. Sự kết hợp giữa công nghệ kiểm soát nội dung tiên tiến và quy trình quản trị chặt chẽ sẽ là chìa khóa để doanh nghiệp hoạt động bền vững và an toàn trong môi trường mạng ngày càng phức tạp.
Yêu cầu cụ thể: Bảo vệ nhóm đối tượng dễ bị tổn thương
Yêu cầu cụ thể: Bảo vệ nhóm đối tượng dễ bị tổn thương
Luật An ninh mạng 2025 (số 116/2025/QH15), được Quốc hội thông qua tại kỳ họp thứ 10, khóa XV vào ngày 10 tháng 12 năm 2025, đã chính thức hóa các quy định bảo vệ đặc biệt dành cho các nhóm đối tượng yếu thế trong không gian mạng. Theo quy định tại Điều 35 của Luật này, trẻ em, người cao tuổi và những người có khó khăn trong nhận thức hoặc giao tiếp được xác định là nhóm đối tượng ưu tiên trong công tác phổ biến kiến thức về an ninh mạng. Điều này đánh dấu sự chuyển dịch từ việc bảo vệ dữ liệu cá nhân nói chung sang bảo vệ có chọn lọc dựa trên mức độ dễ bị tổn thương và khả năng tự bảo vệ của từng nhóm đối tượng cụ thể.
Doanh nghiệp cung cấp dịch vụ mạng xã hội, nền tảng số và các dịch vụ có khả năng tiếp cận rộng rãi đối với nhóm đối tượng này cần rà soát ngay các biện pháp tổ chức và kỹ thuật để tuân thủ nghĩa vụ mới. Cụ thể, doanh nghiệp không chỉ dừng lại ở việc thu thập dữ liệu mà còn phải chủ động thiết kế các chương trình giáo dục, cảnh báo rủi ro phù hợp với nhận thức của trẻ em và người cao tuổi. Việc này bao gồm việc ngăn chặn các hình thức lừa đảo, bóc lột hoặc xâm hại trẻ em trên không gian mạng, cũng như bảo vệ người cao tuổi khỏi các cuộc tấn công xã hội học (social engineering) tinh vi.
Để thực hiện hiệu quả các nghĩa vụ trên, doanh nghiệp cần chú trọng vào các khía cạnh sau:
- Thiết kế giao diện thân thiện: Xây dựng giao diện người dùng (UI/UX) dễ hiểu, có chế độ cảnh báo rõ ràng khi phát hiện hành vi đáng ngờ nhắm vào nhóm đối tượng yếu thế.
- Cơ chế báo cáo nhanh: Thiết lập kênh hỗ trợ khẩn cấp và quy trình xử lý nhanh chóng các báo cáo về hành vi xâm hại hoặc lừa đảo nhắm vào trẻ em và người cao tuổi.
- Nội dung giáo dục: Tích hợp các module kiến thức an ninh mạng đơn giản, trực quan vào quy trình đăng ký hoặc sử dụng dịch vụ, nhằm nâng cao nhận thức tự bảo vệ cho người dùng.
Mặc dù Luật An ninh mạng 2025 kế thừa và tích hợp các quy định từ Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018, nhưng việc nhấn mạnh vào nhóm đối tượng dễ bị tổn thương trong Điều 35 là một điểm mới mang tính nhân văn và thực tiễn cao. Doanh nghiệp cần hiểu rằng, việc bảo vệ nhóm đối tượng này không chỉ là nghĩa vụ pháp lý mà còn là yếu tố then chốt để xây dựng niềm tin và đảm bảo an ninh dữ liệu bền vững trong kỷ nguyên chuyển đổi số.
Điểm cần rà soát: Chuẩn bị biện pháp kỹ thuật và tổ chức
### Điểm cần rà soát: Chuẩn bị biện pháp kỹ thuật và tổ chức
Việc Luật An ninh mạng 2025 (Số 116/2025/QH15) được Quốc hội thông qua vào ngày 10 tháng 12 năm 2025 và sẽ chính thức có hiệu lực thi hành từ ngày 1 tháng 7 năm 2026, đặt ra một khung thời gian hạn chế để các doanh nghiệp rà soát và nâng cấp hệ thống. Luật pháp này không chỉ kế thừa và tích hợp các quy định từ Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 mà còn mở rộng đáng kể phạm vi bảo vệ sang khía cạnh dữ liệu. Theo Điều 2, Khoản 3, dữ liệu được công nhận là nguồn lực chiến lược cho phát triển kinh tế - xã hội và chuyển đổi số quốc gia, đòi hỏi doanh nghiệp phải xem xét lại các biện pháp bảo vệ dữ liệu hiện tại dưới lăng kính an ninh dữ liệu, đảm bảo tính toàn vẹn, bí mật và khả dụng của thông tin theo đúng định nghĩa tại Khoản 2 Điều 2.
Để đáp ứng các yêu cầu mới về an ninh mạng và an ninh dữ liệu, doanh nghiệp cần tập trung vào ba nhóm hành động cụ thể ngay từ bây giờ:
- Nâng cấp biện pháp kỹ thuật và tổ chức: Rà soát toàn bộ hạ tầng công nghệ thông tin để đảm bảo khả năng phòng thủ trước các mối đe dọa mới, đặc biệt là các hành vi sử dụng trí tuệ nhân tạo (AI) để tạo ra hình ảnh giả mạo hoặc thực hiện lừa đảo, vốn bị nghiêm cấm chặt chẽ bởi luật pháp. Đồng thời, thiết lập quy trình xử lý sự cố an ninh mạng minh bạch, kịp thời, tuân thủ các tiêu chuẩn quốc tế và trong nước.
- Thiết lập cơ chế hợp tác quốc tế: Luật pháp cụ thể hóa và tăng cường hệ thống hợp tác quốc tế trong phòng ngừa và ứng phó với tội phạm mạng. Các tổ chức, doanh nghiệp có hoạt động xuyên biên giới cần xây dựng cơ chế phối hợp với các cơ quan chức năng và đối tác quốc tế để chia sẻ thông tin tình báo an ninh mạng, đảm bảo tuân thủ các cam kết quốc tế mà Việt Nam đã tham gia.
- Bảo vệ nhóm đối tượng dễ bị tổn thương: Theo Điều 35, trẻ em, người cao tuổi và những người gặp khó khăn về nhận thức là các nhóm đối tượng ưu tiên trong việc phổ biến kiến thức an ninh mạng. Doanh nghiệp cần rà soát các sản phẩm, dịch vụ và nội dung số của mình để đảm bảo không gây hại, đồng thời chủ động tham gia các chương trình giáo dục, cảnh báo nhằm bảo vệ các nhóm đối tượng này khỏi các rủi ro trên không gian mạng.
Việc chuẩn bị sớm không chỉ giúp doanh nghiệp tránh các rủi ro pháp lý khi luật có hiệu lực mà còn nâng cao năng lực cạnh tranh trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ. Sự tích hợp giữa an ninh mạng truyền thống và an ninh dữ liệu mới đòi hỏi một cách tiếp cận toàn diện, kết hợp giữa công nghệ, quy trình và con người.
Câu hỏi thường gặp
Luật An ninh mạng 2025 có hiệu lực từ khi nào và kế thừa văn bản pháp lý nào?
Luật số 116/2025/QH15 có hiệu lực thi hành từ ngày 1 tháng 7 năm 2026. Văn bản này được xây dựng dựa trên việc kế thừa và tích hợp các quy định liên quan từ Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018.
Luật mới quy định như thế nào về bảo vệ dữ liệu và an ninh mạng?
Luật lần đầu tiên pháp chế hóa khái niệm an ninh dữ liệu, coi dữ liệu là nguồn lực chiến lược cho phát triển kinh tế - xã hội và chuyển đổi số. Đồng thời, luật phân định rõ ràng giữa an ninh mạng (ổn định không gian mạng) và an ninh thông tin (bảo vệ tính toàn vẹn, bí mật của thông tin).
Luật xử lý ra sao đối với tội phạm sử dụng AI và bảo vệ nhóm yếu thế?
Luật nghiêm cấm các hành vi sử dụng trí tuệ nhân tạo để tạo hình ảnh giả mạo hoặc thực hiện lừa đảo. Bên cạnh đó, luật quy định ưu tiên phổ biến kiến thức an ninh mạng cho các nhóm yếu thế như trẻ em, người cao tuổi và người có khó khăn trong nhận thức.
Nguồn tham khảo
Ứng dụng AI vào công việc pháp lý một cách thận trọng
MeshLaw là công cụ quản lý vụ việc bằng AI cho luật sư. Không ảo giác, có thể kiểm chứng.
Xem MeshLaw →