Trong quá trình phát triển của xã hội số, không gian mạng đã trở thành một cấu phần trọng yếu của hạ tầng quốc gia, đồng thời là môi trường tiềm ẩn nhiều nguy cơ đối với an ninh quốc gia, trật tự, an toàn xã hội và quyền con người. Sự phát triển nhanh chóng của công nghệ số, đặc biệt là trí tuệ nhân tạo (AI), Internet vạn vật (IoT) và các mô hình cung cấp dịch vụ xuyên biên giới, đã đặt ra nhiều thách thức mới, vượt ra ngoài phạm vi điều chỉnh của Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018.
Chính vì vậy, ngày 10/12/2025, Quốc hội khóa XV đã ban hành Luật An ninh mạng số 116/2025/QH15 (“Luật ANM 2025”) trên cơ sở hợp nhất Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018. Luật ANM 2025 sẽ chính thức có hiệu lực từ ngày 01/7/2026 và được kỳ vọng sẽ góp phần bảo đảm tính thống nhất, đồng bộ của hệ thống pháp luật về an ninh mạng, qua đó góp phần củng cố sự an toàn trên không gian mạng.
Các Nội Dung Chính
- Đầu Mối Quản Lý Nhà Nước về An Ninh Mạng: Luật ANM 2025 đã quy định cơ quan có vai trò chủ trì, đầu mối quản lý nhà nước về an ninh mạng trên toàn quốc.
- Nghĩa Vụ Lưu Trữ Dữ Liệu tại Việt Nam và Định Danh Địa Chỉ IP Người Dùng trên Không Gian Mạng: Bên cạnh các nghĩa vụ tiếp tục được kế thừa từ Luật An ninh mạng năm 2018, doanh nghiệp trong nước và nước ngoài cung cấp dịch vụ trên không gian mạng tại Việt Nam còn có trách nhiệm thực hiện định danh địa chỉ IP người dùng.
- Danh Mục Các Hành Vi Bị Nghiêm Cấm về An Ninh Mạng: Luật ANM 2025 cập nhật và mở rộng các hành vi bị nghiêm cấm để bắt kịp sự phát triển của các công nghệ mới.
- Quy Định về Bảo Vệ Nhóm Yếu Thế trên Không Gian Mạng: Luật ANM 2025 bổ sung các cơ chế bảo vệ đặc thù đối với trẻ em, cũng như thúc đẩy giáo dục và nâng cao nhận thức về an ninh mạng cho nhóm yếu thế.
- Quy Định về Bảo Đảm An Ninh Dữ Liệu: Lần đầu tiên, Luật ANM 2025 dành quy định riêng về bảo đảm an ninh dữ liệu.
Bài viết này điểm qua những nội dung đáng chú ý nhất của Luật ANM 2025, phân tích những điểm đổi mới quan trọng, đồng thời chỉ ra các vấn đề thực tiễn mà cơ quan, tổ chức và cá nhân cần đặc biệt lưu ý khi tiến hành các hoạt động trên không gian mạng.
Đầu Mối Quản Lý Nhà Nước về An Ninh Mạng
Một trong những thay đổi quan trọng của Luật ANM 2025 là việc xác lập rõ ràng cơ quan chủ trì thống nhất trong quản lý nhà nước về an ninh mạng. Đây được xem là một bước tiến đáng kể so với trước đây, khi chức năng quản lý trong lĩnh vực này còn phân tán giữa nhiều cơ quan khác nhau như Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Quốc phòng, Bộ Khoa học và Công nghệ, dẫn đến khó khăn trong công tác phối hợp và chậm trễ trong xử lý các tình huống phát sinh.
Theo đó, Luật ANM 2025 quy định Bộ Công an là cơ quan chủ trì, đầu mối thống nhất thực hiện quản lý nhà nước về an ninh mạng trên phạm vi toàn quốc. Việc giao Bộ Công an đảm nhiệm vai trò này được đánh giá là có cơ sở thực tiễn và phù hợp, xuất phát từ chức năng, nhiệm vụ của Bộ Công an trong bảo vệ an ninh quốc gia, bảo đảm trật tự, và an toàn xã hội.
Tuy nhiên, Luật ANM 2025 cũng không loại trừ vai trò, trách nhiệm của các bộ, ngành và địa phương khác, các cơ quan này vẫn thực hiện nhiệm vụ theo thẩm quyền và phối hợp thực hiện theo quy định của pháp luật.
Nghĩa Vụ Lưu Trữ Dữ Liệu tại Việt Nam và Định Danh Địa Chỉ IP Người Dùng trên Không Gian Mạng
Luật ANM 2025 tiếp tục duy trì quy định về nghĩa vụ lưu trữ dữ liệu tại Việt Nam đối với các doanh nghiệp trong nước và nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam, trong trường hợp có hoạt động thu thập, khai thác, phân tích hoặc xử lý dữ liệu, bao gồm dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ và dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra. Đồng thời, các doanh nghiệp này phải áp dụng các biện pháp bảo vệ dữ liệu theo quy định của pháp luật có liên quan, như Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân.
Đáng lưu ý, thay vì giới hạn các lĩnh vực áp dụng, Luật ANM 2025 chỉ quy định chung rằng doanh nghiệp nước ngoài nêu trên phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Sự thay đổi này một lần nữa làm dấy lên mối lo ngại cho các doanh nghiệp trong việc bảo đảm tuân thủ, bởi lẽ, việc thiết lập hiện diện thương mại tại một quốc gia không phải là một vấn đề đơn giản. Ngoài ra, Luật ANM 2025 vẫn sử dụng thuật ngữ “dữ liệu về thông tin cá nhân” thay vì “dữ liệu cá nhân”, thuật ngữ này hiện chưa hoàn toàn thống nhất với các quy định pháp luật hiện hành. Các quy định chi tiết hơn về nghĩa vụ lưu trữ dữ liệu tại Việt Nam sẽ tiếp tục được Chính phủ hướng dẫn và làm rõ trong thời gian tới.
Bên cạnh việc kế thừa các quy định về trách nhiệm của doanh nghiệp trong nước và doanh nghiệp nước ngoài khi cung cấp dịch vụ trên không gian mạng tại Việt Nam, Luật ANM 2025 đã bổ sung một quy định mới quan trọng. Theo đó, doanh nghiệp cung cấp dịch vụ trên không gian mạng có trách nhiệm thực hiện việc định danh địa chỉ IP của người sử dụng và cung cấp thông tin này cho lực lượng chuyên trách bảo vệ an ninh mạng khi có yêu cầu hợp pháp theo quy định của pháp luật.
Quy định này xuất phát từ yêu cầu thực tiễn trong công tác bảo đảm an ninh mạng. Về bản chất, địa chỉ IP là một định danh đơn nhất trên không gian mạng, tương tự như “địa chỉ địa lý”, cho phép các thiết bị điện tử nhận diện và kết nối với nhau để trao đổi thông tin, dữ liệu. Thông qua địa chỉ IP, cơ quan có thẩm quyền có thể xác định các yếu tố cơ bản như thời điểm truy cập, vị trí kết nối và thông tin liên quan đến thuê bao sử dụng dịch vụ Internet. Qua đó phục vụ công tác điều tra, xác minh và truy vết các hành vi vi phạm pháp luật trên không gian mạng.
Danh Mục Các Hành Vi Bị Nghiêm Cấm về An Ninh Mạng
Sự phát triển nhanh chóng của các công nghệ mới như trí tuệ nhân tạo, Internet vạn vật, cùng với sự gia tăng của tội phạm mạng xuyên biên giới, đang đặt ra những thách thức chưa từng có đối với công tác bảo đảm an ninh mạng.
Trước yêu cầu đó, Luật ANM 2025 đã sắp xếp, hệ thống hóa lại danh mục các hành vi bị nghiêm cấm, đồng thời có những điều chỉnh và bổ sung quan trọng nhằm đáp ứng sự phát triển của công nghệ mới, qua đó hướng tới bảo vệ an ninh quốc gia, quyền riêng tư của cá nhân và bảo đảm tính an toàn, minh bạch của môi trường mạng. Cụ thể, Luật ANM 2025 đã bổ sung, làm rõ một số nhóm hành vi bị nghiêm cấm, nổi bật như:
- Làm giả, lưu hành, trộm cắp, mua bán, thu thập, trao đổi trái phép thông tin thẻ tín dụng, tài khoản ngân hàng, tài sản mã hóa, tài sản số của người khác. Việc bổ sung các loại hình tài sản mới như “tài sản mã hóa” và “tài sản số” nhằm bảo đảm sự thống nhất và tương thích với các quy định của Luật Công nghiệp công nghệ số;
- Sử dụng trí tuệ nhân tạo hoặc công nghệ mới, chẳng hạn như công nghệ deepfake, giọng nói AI, hình ảnh AI để giả mạo video, hình ảnh, giọng nói của người khác trái quy định của pháp luật; và
- Thu thập, sử dụng, phát tán, trao đổi, chuyển nhượng, kinh doanh trái pháp luật thông tin, dữ liệu cá nhân của người khác. Trong đó, thuật ngữ “dữ liệu cá nhân” được ghi nhận chính thức và bảo đảm sự thống nhất, tương thích với các quy định của Luật Bảo vệ dữ liệu cá nhân.
Việc điều chỉnh và mở rộng danh mục các hành vi bị nghiêm cấm trong Luật ANM 2025 thể hiện rõ định hướng chính sách của Nhà nước trong việc ưu tiên cao đối với bảo vệ quyền riêng tư, tài sản dữ liệu, an ninh quốc gia và đặc biệt là sự an toàn của người dân trên không gian mạng.
Quy Định về Bảo Vệ Nhóm Yếu Thế trên Không Gian Mạng
Trẻ em, người cao tuổi và người hạn chế khả năng nhận thức là những nhóm đối tượng dễ bị tổn thương trên không gian mạng và có nguy cơ cao trở thành nạn nhân của các hành vi lừa đảo trực tuyến, bóc lột, xâm hại tình dục đối với trẻ em, tiếp cận nội dung độc hại, bị lộ lọt dữ liệu cá nhân do thiếu kỹ năng bảo mật, hoặc bị dụ dỗ tham gia các hành vi vi phạm pháp luật. Do đó, việc đưa các nhóm yếu thế vào diện được bảo vệ đặc thù trong pháp luật về an ninh mạng là yêu cầu cấp thiết.
Theo quy định của Luật ANM 2025, cha, mẹ hoặc người giám hộ theo pháp luật dân sự có trách nhiệm đăng ký tài khoản sử dụng dịch vụ cho trẻ em bằng thông tin của mình, đồng thời thực hiện việc giám sát và quản lý nội dung mà trẻ em truy cập, đăng tải và chia sẻ trong quá trình sử dụng các dịch vụ giá trị gia tăng trên không gian mạng.
Đối với doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ giá trị gia tăng trên không gian mạng, Luật ANM 2025 còn đặt ra yêu cầu bổ sung về trách nhiệm xây dựng và triển khai các hệ thống, biện pháp kỹ thuật nhằm hỗ trợ phát hiện, ngăn chặn và xử lý nội dung xâm hại trẻ em trên không gian mạng.
Ngoài ra, Luật ANM 2025 khuyến khích cơ quan nhà nước phối hợp với các tổ chức, doanh nghiệp và cá nhân triển khai các chương trình giáo dục, tuyên truyền và nâng cao nhận thức về an ninh mạng. Trong đó, ưu tiên phổ biến kiến thức, kỹ năng an toàn số cho trẻ em, người cao tuổi và người gặp khó khăn trong nhận thức, qua đó nâng cao khả năng tự bảo vệ quyền và lợi ích hợp pháp của các nhóm đối tượng này trên không gian mạng.
Quy Định về Bảo Đảm An Ninh Dữ Liệu
Hiện nay, việc triển khai Chính phủ điện tử, cung cấp dịch vụ công trực tuyến, cũng như xây dựng nền kinh tế số và xã hội số không thể thực hiện một cách hiệu quả nếu không có “dữ liệu” làm nền tảng. Luật Bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực từ ngày 01/01/2026; tuy nhiên, phạm vi dữ liệu cần được bảo vệ trong không gian mạng không chỉ giới hạn ở dữ liệu cá nhân mà còn bao gồm dữ liệu của tổ chức, dữ liệu hệ thống, dữ liệu trong quá trình truyền tải, và dữ liệu khác theo Luật Dữ liệu.
Với tính chất đa dạng và mức độ nhạy cảm cao, việc dữ liệu bị chiếm đoạt, sử dụng, khai thác trái phép hoặc bị tiêu hủy có thể gây ra những hậu quả nghiêm trọng, tác động trực tiếp đến an ninh quốc gia, trật tự, an toàn xã hội, thậm chí dẫn đến những rủi ro mang tính thảm họa.
Trên cơ sở đó, Luật ANM 2025 đã dành một quy định riêng về bảo đảm an ninh dữ liệu, trong đó quy định một số nội dung đáng chú ý như: yêu cầu áp dụng các biện pháp, tiêu chuẩn và quy chuẩn kỹ thuật theo pháp luật về an ninh mạng; triển khai cơ chế kiểm soát chặt chẽ đối với nhân sự trực tiếp tham gia xử lý dữ liệu; thực hiện việc kiểm tra, đánh giá rủi ro định kỳ; cũng như kiểm tra, đánh giá hoạt động chuyển dữ liệu xuyên biên giới.
Đồng thời, Luật ANM 2025 giao Chính phủ quy định chi tiết và xác định trách nhiệm cụ thể của các chủ thể liên quan trong việc bảo đảm an ninh dữ liệu trong thời gian tới.
Kết Luận
Luật ANM 2025 đánh dấu một bước hoàn thiện quan trọng của hệ thống pháp luật của Việt Nam về bảo đảm an ninh quốc gia trên không gian mạng, đáp ứng yêu cầu điều chỉnh của thực tiễn đang vận động mạnh mẽ dưới tác động của công nghệ số.
Việc hợp nhất và cập nhật các quy định về an toàn thông tin và an ninh mạng đã góp phần hình thành một khuôn khổ pháp lý thống nhất, khắc phục tình trạng phân tán trước đây và nâng cao hiệu lực, hiệu quả quản lý nhà nước. Không chỉ dừng lại ở vai trò là công cụ quản lý, Luật ANM 2025 còn thể hiện định hướng chiến lược trong xây dựng môi trường mạng an toàn, lành mạnh và bền vững tại Việt Nam.
