Bài phân tích về Luật an ninh mạng 2025 | Trường Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh

I, GIỚI THIỆU CHUNG VỀ LUẬT AN NINH MẠNG NĂM 2025
(Luật số: 116/2025/QH15)
1. Bối cảnh và Cơ sở pháp lý
- Cơ quan ban hành: Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam (Khóa XV).
- Thời điểm thông qua: Kỳ họp ngày 10, tháng 12 năm 2025.
- Hiệu lực thi hành: Từ ngày 01 tháng 07 năm 2026.
- Luật này thay thế hoàn toàn Luật An ninh mạng năm 2018 và Luật An toàn thông tin
mạng năm 2015, hợp nhất các quy định về an ninh mạng và an toàn thông tin mạng,
khắc phục tình trạng chồng chéo trước đây.
Sự ra đời của Luật An ninh mạng 2025 đánh dấu bước chuyển mình mạnh mẽ trong tư duy lập
pháp của Việt Nam, nhằm thích ứng với sự phát triển bùng nổ của trí tuệ nhân tạo (AI), dữ liệu
lớn (Big Data) và các hình thức tội phạm mạng ngày càng tinh vi mà Luật năm 2018 chưa thể bao quát hết.
2. Phạm vi điều chỉnh và Đối tượng áp dụng
- Phạm vi điều chỉnh: Luật này quy định về an ninh mạng, bảo vệ an ninh mạng; quyền,
nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
- Đối tượng áp dụng:
- Cơ quan, tổ chức, cá nhân Việt Nam và người gốc Việt Nam chưa xác định được
quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
- Tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động
trên không gian mạng tại Việt Nam.
3. Mục tiêu và Quan điểm chỉ đạo
Luật An ninh mạng 2025 được xây dựng dựa trên nguyên tắc "An ninh mạng là trọng tâm của
an ninh quốc gia", với các mục tiêu chính:
1. Bảo vệ chủ quyền số: Khẳng định quyền quản lý và kiểm soát dữ liệu của người dùng
Việt Nam trên không gian mạng.
2. Bảo vệ quyền con người: Ưu tiên bảo vệ dữ liệu cá nhân, quyền riêng tư và đặc biệt là
bảo vệ nhóm yếu thế (trẻ em, người cao tuổi) trước các rủi ro mạng.
3. Chuẩn hóa quản lý: Khắc phục tình trạng chồng chéo trong quản lý nhà nước, thống
nhất đầu mối quản lý nhà nước về Bộ Công an để tăng cường hiệu lực thực thi.
4. Các trụ cột nội dung chính
Luật bao gồm 8 Chương và 45 Điều, tập trung vào các nhóm nội dung cốt lõi sau:
- Bảo vệ hệ thống thông tin quan trọng: Phân loại cấp độ hệ thống thông tin và quy
định các biện pháp bảo vệ nghiêm ngặt đối với hệ thống thông tin quan trọng về an ninh quốc gia (Chương II).
- Phòng chống vi phạm pháp luật trên mạng: Quy định chi tiết các hành vi bị cấm và
biện pháp xử lý đối với tin giả, thông tin xấu độc, tấn công mạng, gián điệp mạng và
khủng bố mạng (Chương III).
- Trách nhiệm của doanh nghiệp: Đặt ra các yêu cầu khắt khe đối với doanh nghiệp
cung cấp dịch vụ (ISP, mạng xã hội, OTT) về:
- Lưu trữ dữ liệu tại Việt Nam.
- Định danh địa chỉ IP của tổ chức, cá nhân sử dụng dịch vụ (nhằm khắc phục
tình trạng ẩn danh để vi phạm pháp luật)
- Thời hạn "vàng" (24h/6h/3h) để gỡ bỏ thông tin vi phạm hoặc cung cấp dữ liệu phục vụ điều tra.
- Bảo vệ trẻ em: Bắt buộc doanh nghiệp phải có giải pháp kỹ thuật ngăn chặn nội dung
xâm hại trẻ em và nhà nước có chính sách ưu tiên bảo vệ trẻ em trên môi trường mạng.
5. Ý nghĩa và Tác động
Luật An ninh mạng 2025 là khung pháp lý cao nhất, toàn diện nhất về an ninh mạng tại Việt Nam kể từ năm 2026.
- Đối với người dân: Được bảo vệ tốt hơn về dữ liệu cá nhân, giảm thiểu rủi ro bị lừa
đảo, tấn công mạng, nhưng cũng đòi hỏi ý thức tuân thủ pháp luật cao hơn khi phát
ngôn, chia sẻ thông tin trên mạng.
- Đối với doanh nghiệp: Phải đầu tư nâng cấp hạ tầng kỹ thuật, quy trình quản trị dữ liệu
để tuân thủ các quy định về định danh, lưu trữ và phản ứng nhanh.
- Đối với an ninh quốc gia: Tăng cường khả năng tự chủ về công nghệ, kiểm soát tốt
hơn các nguy cơ chiến tranh mạng và bảo đảm sự ổn định chính trị - xã hội.
II, Timeline lịch sử phát triển
- 19/11/2015: Quốc hội khóa XIII thông qua Luật An toàn thông tin mạng 2015 (Luật
86/2015/QH13), lần đầu tiên đưa ra nguyên tắc bảo vệ thông tin cá nhân trên mạng
và các tiêu chuẩn kỹ thuật an toàn thông tin. Luật này phân định trách nhiệm quản lý
nhà nước về an toàn thông tin cho Bộ TT&TT, tạo nền móng pháp lý ban đầu cho an ninh mạng.
- 12/06/2018: Quốc hội khóa XIV thông qua Luật An ninh mạng 2018 (Luật
24/2018/QH14), có hiệu lực từ 01/01/2019. Luật do Bộ Công an chủ trì, mở rộng
phạm vi bảo vệ an ninh quốc gia trên không gian mạng, bổ sung các quy định về xử
lý thông tin xấu độc, tội phạm mạng và yêu cầu doanh nghiệp lưu trữ dữ liệu
người dùng trong nước, đặt văn phòng đại diện tại Việt Nam. Việc thông qua luật
này gây tranh luận sôi nổi về quyền riêng tư và tự do ngôn luận.
- 06–2018: Tranh luận công khai: Ngay sau khi luật 2018 được thông qua (6/2018),
dư luận dấy lên lo ngại về việc “cung cấp toàn bộ thông tin người dùng cho cơ quan
chức năng”. Đại biểu Quốc hội và Bộ Công an lên tiếng khẳng định luật chỉ nhằm xử
lý hành vi vi phạm pháp luật trên mạng, không xâm phạm quyền hợp pháp của
công dân nếu không vi phạm luật. Các điều khoản về bảo vệ bí mật cá nhân, bí
mật gia đình cũng được dẫn chiếu để trấn an công chúng.
- 15/08/2022: Chính phủ ban hành Nghị định 53/2022/NĐ-CP hướng dẫn Luật 2018,
hiệu lực từ 01/10/2022. Nghị định 53 quy định cụ thể 3 loại dữ liệu buộc phải lưu trữ
tại Việt Nam (dữ liệu cá nhân người dùng, dữ liệu người dùng tạo ra, dữ liệu về mối
quan hệ người dùng); đối tượng áp dụng gồm doanh nghiệp trong và ngoài nước
thu thập dữ liệu người dùng Việt Nam hoặc có lượng người dùng lớn. Nghị
định cũng nêu quy trình Bộ Công an yêu cầu doanh nghiệp đặt máy chủ hoặc văn
phòng đại diện tại VN trong trường hợp cần thiết.
- 17/04/2023: Chính phủ ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá
nhân, lần đầu luật hóa các khái niệm dữ liệu cá nhân nhạy cảm, nguyên tắc xử lý dữ
liệu (yêu cầu đồng thuận cá nhân, trừ trường hợp đặc biệt) và biện pháp bảo vệ.
Nghị định 13 (hiệu lực 01/07/2023) lấp khoảng trống pháp lý về quyền riêng tư khi
chưa có Luật bảo vệ dữ liệu riêng, tạo cơ sở pháp lý để xử phạt vi phạm về dữ liệu cá nhân.
- 30/11/2024: Quốc hội khóa XV thông qua Luật Dữ liệu 2024 (Luật 60/2024/QH15),
hiệu lực 01/07/2025. Đây là văn bản pháp luật mới quy định toàn diện về dữ liệu số,
từ xây dựng, khai thác đến bảo vệ dữ liệu. Luật Dữ liệu đưa ra khái niệm sàn dữ
liệu, cơ chế giao dịch, chia sẻ dữ liệu; cấm giao dịch dữ liệu nếu vi phạm quốc
phòng, an ninh hoặc chưa được chủ thể dữ liệu đồng ý. Luật cũng quy định về
chuyển dữ liệu xuyên biên giới, cho phép tự do chuyển dữ liệu vào Việt Nam và
đặt điều kiện khi chuyển dữ liệu “cốt lõi, quan trọng” ra nước ngoài, bổ sung nền
tảng pháp lý để quản lý dữ liệu cá nhân song song Nghị định 13.
- 10/12/2025: Quốc hội thông qua Luật An ninh mạng 2025 (Luật 116/2025/QH15),
sẽ có hiệu lực từ 01/07/2026. Luật 2025 ra đời sau quá trình đánh giá 7 năm thực thi
Luật 2018 và tham chiếu kinh nghiệm quốc tế. Đáng chú ý, sự ra đời của luật này
gắn liền với việc Việt Nam tham gia Công ước Liên Hợp Quốc về chống tội phạm
mạng 2025 (Hanoi Convention) – luật 2025 được xem như bước nội luật hóa các
cam kết quốc tế về tội phạm mạng. Luật thay thế hoàn toàn Luật 2018 và Luật 2015
bằng một văn bản hợp nhất, khắc phục chồng chéo quản lý giữa Bộ Công an và Bộ TT&TT.
- 12/2025–06/2026: Ban hành văn bản hướng dẫn mới: Chính phủ và Bộ Công an
dự kiến soạn thảo các nghị định, thông tư hướng dẫn Luật 2025 trong nửa đầu 2026.
Do Luật 2025 bổ sung nhiều quy định kỹ thuật (định danh IP, tiêu chuẩn an ninh
mạng…), các văn bản hướng dẫn sẽ tập trung làm rõ nghĩa vụ tuân thủ chi tiết cho
doanh nghiệp trước khi luật có hiệu lực.
III, Bối cảnh ra đời của Luật An ninh mạng Việt Nam
- Trước năm 2018, Việt Nam đã có Luật An toàn thông tin mạng 2015, nhưng luật
này chủ yếu điều chỉnh an toàn kỹ thuật (bảo mật hệ thống, tiêu chuẩn, sản phẩm
an toàn thông tin), chưa xử lý trực diện các vấn đề an ninh quốc gia, tội phạm
mạng và quản lý nội dung trên không gian mạng. Khoảng trống này được chính cơ
quan soạn thảo thừa nhận trong quá trình xây dựng Luật An ninh mạng 2018.
- Thực tiễn cho thấy không gian mạng trở thành môi trường phát sinh nhiều hành
vi vi phạm pháp luật. Theo báo cáo của Bộ Công an và Bộ Thông tin và Truyền
thông giai đoạn 2016–2018, các hành vi phổ biến gồm: lừa đảo chiếm đoạt tài sản
qua mạng, đánh bạc trực tuyến, giả mạo website ngân hàng, mua bán trái phép dữ
liệu cá nhân và tài khoản thanh toán. Những hành vi này khó xử lý bằng pháp luật
hiện hành do yếu tố ẩn danh, xuyên biên giới và phụ thuộc vào nền tảng nước ngoài.
- Về quản lý nội dung, trước năm 2018, Nhà nước chủ yếu dựa vào Nghị định
72/2013/NĐ-CP và các văn bản dưới luật để yêu cầu gỡ bỏ thông tin vi phạm. Tuy
nhiên, các cơ chế này thiếu hiệu lực cưỡng chế đối với doanh nghiệp cung cấp
dịch vụ xuyên biên giới, đặc biệt là các nền tảng mạng xã hội lớn không đặt hiện
diện pháp lý tại Việt Nam.
- Một thực trạng quan trọng khác là khó khăn trong tiếp cận dữ liệu phục vụ điều
tra. Trước Luật 2018, pháp luật chưa có cơ chế rõ ràng buộc doanh nghiệp nước
ngoài phải lưu trữ dữ liệu người dùng Việt Nam tại Việt Nam hoặc cung cấp dữ
liệu trong thời hạn xác định khi cơ quan có thẩm quyền yêu cầu. Điều này làm kéo
dài thời gian điều tra và giảm hiệu quả xử lý tội phạm mạng.
- Trong bối cảnh đó, Luật An ninh mạng 2018 được ban hành nhằm bổ sung công cụ pháp lý để:
● Bảo vệ an ninh quốc gia trên không gian mạng.
● Tăng hiệu lực quản lý nội dung thông tin vi phạm.
● Thiết lập cơ chế trách nhiệm pháp lý đối với doanh nghiệp cung cấp dịch vụ
trên mạng, bao gồm cả doanh nghiệp nước ngoài.
- Sau hơn 7 năm thực thi, cùng với sự gia tăng của tội phạm mạng tinh vi hơn, rủi
ro dữ liệu cá nhân, và công nghệ mới như AI, Deepfake… Quốc hội tiếp tục ban
hành Luật An ninh mạng 2025 để cập nhật và hợp nhất khung pháp lý. Tuy nhiên,
tại thời điểm hiện tại, Luật 2025 mới đã ban hành nhưng chưa có hiệu lực, còn
Luật 2018 vẫn là văn bản đang áp dụng.
IV, SO SÁNH CÁC ĐIỂM THAY ĐỔI QUAN TRỌNG GIỮA LUẬT AN NINH
MẠNG 2018 VÀ LUẬT AN NINH MẠNG 2025
1. Tăng cường quy định về bảo vệ dữ liệu cá nhân
Trước đây, theo Điều 17, Khoản 1, Điểm a Luật An ninh mạng 2018 số 24/2018/QH14 về
các hành vi bị nghiêm cấm quy định:
- Cấm chiếm đoạt, mua bán, hoặc hành vi khác xâm phạm bí mật cá nhân, bí mật gia đình.
Theo đó, Luật An ninh mạng 2018 chỉ đề cập chung chung về việc cấm các hành vi xâm
phạm dữ liệu cá nhân, nghiêm cấm việc thu thập, mua bán trái phép dữ liệu thuộc bí mật cá
nhân, đời sống riêng tư của người khác. Nguyên tắc bảo vệ thông tin cá nhân áp dụng theo
Luật BLDS 2015, yêu cầu phải có sự đồng ý của người dữ liệu, đúng mục đích, phạm vi cho
phép. Tuy nhiên Luật 2018 không quy định chi tiết nội dung này, chủ yếu dẫn chiếu các luật khác.
Hiện nay, theo quy định mới căn cứ tại Điều 7, Khoản 2, Điểm h Luật An ninh mạng 2025, số
116/2025/QH15 về các hành vi bị nghiêm cấm:
- Cấm thu thập, sử dụng, phát tán, trao đổi, chuyển nhượng, kinh doanh trái pháp luật
thông tin, dữ liệu cá nhân của người khác.
Như vậy, Luật An ninh mạng 2025 đã kế thừa và mở rộng đáng kể quy định về bảo vệ dữ
liệu cá nhân. Quy định mới rõ ràng và bao quát hơn nhiều so với Luật 2018, cụ thể hóa các
hành vi bị cấm bao gồm: thu thập, sử dụng, phát tán, chuyển nhượng, kinh doanh trái pháp
luật thông tin, dữ liệu cá nhân.
Đặc biệt, Luật An ninh mạng 2025 không chỉ cấm hành vi xâm phạm dữ liệu cá nhân mà lần
đầu tiên quy định riêng Chương IV về 'Bảo đảm an ninh dữ liệu' (Điều 26), bao gồm các
biện pháp kỹ thuật, tổ chức và pháp lý nhằm bảo vệ dữ liệu, phòng chống xâm phạm an
ninh dữ liệu. Luật mới không thay thế Nghị định 13/2023 về bảo vệ dữ liệu cá nhân mà hoạt
động song song, bổ trợ nhau, tạo thành hệ thống pháp luật hoàn chỉnh về quyền riêng tư.
2. Cụ thể hóa chính sách nội địa hóa dữ liệu
Trước đây, theo Điều 26 khoản 3 Luật An ninh mạng 2018 số 24/2018/QH14 quy định:
- Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông,
mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động
thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan
hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra
phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
Theo đó, Luật 2018 đã đề ra yêu cầu lưu trữ dữ liệu trong nước, tuy nhiên luật chưa nêu rõ
loại dữ liệu nào phải lưu trữ và thời gian lưu trữ bao lâu. Sau đó, Nghị định 53/2022 đã quy
định chi tiết 3 nhóm dữ liệu phải lưu trữ (dữ liệu cá nhân cơ bản, dữ liệu người dùng tạo ra,
dữ liệu về mối quan hệ người dùng) và thời gian lưu trữ tối thiểu 24 tháng kể từ khi có yêu cầu.
Hiện nay, theo quy định mới căn cứ tại Điều 25, Khoản 2 (Điểm d) và Khoản 3 Luật An ninh
mạng 2025, số 116/2025/QH15 quy định:
- Doanh nghiệp cung cấp dịch vụ trên không gian mạng phải lưu trữ tại Việt Nam các
dữ liệu bao gồm: tên tài khoản, thời gian sử dụng, thông tin thanh toán, địa chỉ IP và
các dữ liệu khác của người dùng tại Việt Nam theo thời hạn luật định.
- Trường hợp Bộ Công an yêu cầu đặt văn phòng đại diện, doanh nghiệp phải chấp hành.
Như vậy, Luật An ninh mạng 2025 tiếp tục duy trì chính sách nội địa hóa dữ liệu của Luật
2018, đồng thời giao Chính phủ hướng dẫn chi tiết. Điểm mới quan trọng là Luật 2025 đã
làm rõ hơn loại dữ liệu phải lưu trữ bằng cách ghi trực tiếp trong luật các dữ liệu như tên tài
khoản, thời gian sử dụng, thông tin thanh toán, địa chỉ IP của người dùng tại Việt Nam.
Việc nâng quy định từ nghị định lên cấp luật giúp tăng tính minh bạch đối tượng dữ liệu và
tạo cơ sở pháp lý vững chắc hơn cho việc thực thi. Luật 2025 quy định bắt buộc doanh
nghiệp ngoài nước có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu tại Việt Nam
phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam
3. Quy định cụ thể thời hạn cung cấp thông tin người dùng cho cơ quan thẩm quyền
Trước đây, theo Điều 26, Khoản 2, Điểm a Luật An ninh mạng 2018 số 24/2018/QH14 quy định:
- Xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản
của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ
an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra,
xử lý hành vi vi phạm pháp luật về an ninh mạng
Theo đó, Luật 2018 yêu cầu doanh nghiệp cung cấp thông tin người dùng cho cơ quan
chuyên trách (Bộ Công an) khi điều tra, xử lý tội phạm mạng, nhưng chưa quy định thời hạn
cụ thể. Điều này dẫn đến cách hiểu khác nhau và khó khăn trong thực thi nhanh chóng. Trên
thực tế, Bộ Công an thường thỏa thuận với doanh nghiệp về thời gian phản hồi từng vụ
việc. Quy định thiếu cụ thể của luật cũ làm giảm hiệu lực cưỡng chế, nhất là trong trường hợp khẩn cấp.
Hiện nay, theo quy định mới căn cứ tại Điều 25, Khoản 2, Điểm a Luật An ninh mạng 2025,
số 116/2025/QH15 quy định:
- Doanh nghiệp phải cung cấp thông tin người sử dụng cho lực lượng chuyên trách Bộ
Công an trong vòng 24 giờ kể từ khi nhận yêu cầu.
- Trong trường hợp khẩn cấp đe dọa an ninh quốc gia hoặc tính mạng con người,
doanh nghiệp phải cung cấp thông tin trong vòng 3 giờ kể từ khi nhận yêu cầu.
Như vậy, một điểm mới quan trọng của Luật An ninh mạng 2025 là bổ sung quy định thời
hạn chặt chẽ về việc cung cấp thông tin người dùng. Luật mới quy định rõ doanh nghiệp
phải cung cấp thông tin trong vòng 24 giờ kể từ khi nhận yêu cầu bằng hình thức xác nhận
(văn bản, email, điện thoại). Đặc biệt, trong trường hợp khẩn cấp liên quan an ninh quốc gia
hoặc tính mạng con người, thời hạn được rút ngắn chỉ còn 3 giờ.
Quy định mới này đặt ra chế tài thời gian cụ thể, giúp cơ quan chức năng kịp thời tiếp cận
dữ liệu ngăn chặn tội phạm, đồng thời tạo áp lực tuân thủ lớn hơn cho doanh nghiệp (phải
bố trí cơ chế trực 24/7 để đáp ứng).
4. Mở rộng phạm vi và rút ngắn thời hạn gỡ bỏ nội dung, dịch vụ vi phạm
Trước đây, theo Điều 26, Khoản 2, Điểm b Luật An ninh mạng 2018 số 24/2018/QH14 quy định:
- Ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung quy định tại các
khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này trên dịch vụ hoặc hệ thống thông tin do
cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu
của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan
có thẩm quyền của Bộ Thông tin và Truyền thông và lưu nhật ký hệ thống để phục vụ
điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ
Theo đó, Luật 2018 quy định doanh nghiệp cung cấp dịch vụ phải gỡ bỏ thông tin vi phạm
pháp luật khi có yêu cầu của Bộ Công an hoặc Bộ Thông tin và Truyền thông. Thời hạn gỡ
bỏ theo luật 2018 là 24 giờ đối với nội dung vi phạm thông thường. Phạm vi yêu cầu chủ
yếu là nội dung thông tin (bài viết, video vi phạm), Luật 2018 chưa đề cập đến việc gỡ bỏ
dịch vụ, ứng dụng vi phạm.
Hiện nay, theo quy định mới căn cứ tại Điều 25, Khoản 2, Điểm b và c Luật An ninh mạng
2025, số 116/2025/QH15 quy định:
- Trong vòng 24 giờ kể từ khi nhận yêu cầu, doanh nghiệp phải ngăn chặn chia sẻ,
xóa bỏ thông tin vi phạm pháp luật; đồng thời gỡ bỏ dịch vụ, ứng dụng vi phạm pháp
luật trên không gian mạng.
- Trong trường hợp khẩn cấp đe dọa an ninh quốc gia, doanh nghiệp phải xóa bỏ
thông tin trong vòng 6 giờ. -
Không cung cấp hoặc ngừng cung cấp dịch vụ trên mạng viễn thông, mạng Internet,
các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng đối với
thông tin có nội dung vi phạm -
Doanh nghiệp phải lưu nhật ký hệ thống để phục vụ xác minh, điều tra, xử lý hành vi
vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của pháp luật
Như vậy, Luật An ninh mạng 2025 đã tăng cường quy định về gỡ bỏ nội dung và dịch vụ vi
phạm với thời hạn chặt chẽ hơn và mở rộng đối tượng. Luật mới giữ nguyên thời hạn 24 giờ
để ngăn chặn, xóa bỏ nội dung vi phạm thông thường, đồng thời bổ sung trường hợp khẩn
cấp thì 6 giờ phải xóa bỏ.
Đặc biệt, Luật 2025 mở rộng phạm vi: ngoài nội dung, luật còn yêu cầu ngừng cung cấp
dịch vụ vi phạm pháp luật. Điều này xử lý tình huống các ứng dụng/phần mềm có nội dung
vi phạm (ví dụ ứng dụng chứa nội dung độc hại) – cơ quan chức năng có thể yêu cầu gỡ
toàn bộ ứng dụng khỏi nền tảng. Cách tiếp cận mới này tăng cường hiệu lực xử lý, đảm bảo
triệt để loại bỏ nguồn vi phạm, đặc biệt hữu ích khi đối phó các dịch vụ cờ bạc, lừa đảo trực tuyến.
5. Bổ sung quy định về định danh địa chỉ IP người dùng
Trước đây, Luật An ninh mạng 2018 số 24/2018/QH14 không có quy định về định danh địa
chỉ IP. Trong quản lý thực tế, việc xác định IP người dùng do các nhà mạng, ISP thực hiện
theo Luật Viễn thông và các quy định kỹ thuật khác. Tuy nhiên chưa có nghĩa vụ pháp lý rõ
ràng buộc các nền tảng dịch vụ Internet phải cung cấp danh sách IP người dùng cho cơ quan an ninh mạng.
Hiện nay, theo quy định mới căn cứ tại Điều 41, Khoản 5 Luật An ninh mạng 2025, số 116/2025/QH15 quy định:
- Doanh nghiệp cung cấp dịch vụ trên không gian mạng phải định danh địa chỉ IP của
tổ chức, cá nhân sử dụng dịch vụ và cung cấp thông tin này cho lực lượng chuyên
trách bảo vệ an ninh mạng khi có yêu cầu.
Như vậy, Luật An ninh mạng 2025 lần đầu tiên bổ sung quy định bắt buộc về định danh địa
chỉ IP người dùng. Đây là nội dung hoàn toàn mới xuất hiện năm 2025, yêu cầu doanh
nghiệp cung cấp dịch vụ trên không gian mạng phải định danh địa chỉ IP của tổ chức, cá
nhân sử dụng dịch vụ và cung cấp thông tin này cho lực lượng an ninh mạng khi được yêu
cầu, phục vụ công tác quản lý và điều tra.
Quy định này phản ánh thực tế nhiều tội phạm mạng lợi dụng ẩn danh IP để thực hiện hành
vi phạm pháp. Việc định danh IP giúp truy vết nguồn gốc hành vi vi phạm như lừa đảo, tấn
công mạng. Tuy nhiên, yêu cầu này đặt gánh nặng kỹ thuật và chi phí lên doanh nghiệp,
nhất là các nền tảng quốc tế phải điều chỉnh hệ thống để tuân thủ.
6. Mở rộng danh mục nội dung thông tin bị cấm
Trước đây, theo Điều 16 Luật An ninh mạng 2018 số 24/2018/QH14 liệt kê các nhóm thông
tin bị cấm đăng tải, phát tán trên không gian mạng, tập trung vào:
- Thông tin chống Nhà nước, kích động bạo loạn.
- Xuyên tạc, gây hận thù dân tộc, tôn giáo.
- Thông tin bịa đặt gây hoang mang, xúc phạm danh dự.
Theo đó, danh mục thông tin bị cấm năm 2018 gồm 6 nhóm chính liên quan đến an ninh
quốc gia, kích động, bịa đặt gây hoang mang và các nội dung vi phạm khác. Tuy nhiên,
danh mục này chưa bao quát một số dạng thông tin vi phạm mới, ví dụ tin giả về biên giới,
chủ quyền hay kêu gọi tẩy chay gây thiệt hại cho doanh nghiệp chưa được nêu rõ.
Hiện nay, theo quy định mới căn cứ tại Điều 13 (Khoản 1-3) Luật An ninh mạng 2025, số
116/2025/QH15 bổ sung các loại thông tin bị cấm bao gồm:
- Thông tin sai lệch về biên giới, chủ quyền lãnh thổ Việt Nam.
- Gây mâu thuẫn, chia rẽ tầng lớp nhân dân.
- Kích động ly khai dân tộc.
- Cản trở chính sách đoàn kết quốc tế.
- Kêu gọi tẩy chay hàng hóa, dịch vụ gây thiệt hại cho doanh nghiệp.
- Giả mạo thông tin, làm nhái sản phẩm của doanh nghiệp.
- (Kết hợp Điều 7) Sử dụng trí tuệ nhân tạo (AI), công nghệ mới để giả mạo (Deepfake).
Như vậy, Luật An ninh mạng 2025 đã kế thừa danh mục cũ và mở rộng đáng kể các loại nội
dung thông tin bị cấm. Việc bổ sung này phản ánh yêu cầu thực tiễn khi xuất hiện nhiều hình
thức vi phạm mới như tin giả về bản đồ chủ quyền, các chiến dịch tẩy chay trên mạng gây
thiệt hại kinh tế cho doanh nghiệp.
Luật mới giúp lấp đầy khoảng trống pháp lý, tạo cơ sở để xử lý các hành vi trước đây khó
xử lý vì chưa có căn cứ cấm rõ ràng. Đồng thời, quy định này cũng bảo vệ quyền và lợi ích
hợp pháp của doanh nghiệp trước các hành vi phát tán thông tin giả mạo, kêu gọi tẩy chay trên không gian mạng.
7. Quy định ưu tiên bảo vệ nhóm yếu thế trên không gian mạng
Trước đây: Điều 29 Luật An ninh mạng 2018 quy định:
"Chủ quản hệ thống thông tin... kiểm soát nội dung thông tin... ngăn chặn việc
chia sẻ và xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em...".
Luật cũ thiên về xử lý "hậu kiểm" (có thông tin xấu thì ngăn chặn/xóa bỏ).
Hiện nay, theo Điều 16, Khoản 3, Điểm c Luật An ninh mạng 2025, số 116/2025/QH15 quy định:
- Doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, Internet và các dịch vụ giá trị
gia tăng có nghĩa vụ triển khai hệ thống kỹ thuật ngăn chặn nội dung xâm hại trẻ em trên không gian mạng. Và Điều 35 khoản 1 -
Nhà nước có chính sách phổ biến kiến thức về an ninh mạng... ưu tiên phổ biến,
hướng dẫn trẻ em, người cao tuổi, người khó khăn trong nhận thức để nâng cao khả
năng tự bảo vệ quyền và lợi ích hợp pháp của mình trên không gian mạng
Như vậy, Luật An ninh mạng 2025 lần đầu tiên ghi rõ trách nhiệm ưu tiên bảo vệ nhóm yếu
thế trên không gian mạng. Nhà nước có trách nhiệm phổ biến kiến thức, kỹ năng an ninh
mạng ưu tiên cho trẻ em, người cao tuổi, người khó khăn trong nhận thức, đồng thời
khuyến khích phối hợp với tổ chức, doanh nghiệp để giáo dục, nâng cao nhận thức cho các đối tượng này.
Đặc biệt, Luật mới yêu cầu doanh nghiệp cung cấp dịch vụ phải chủ động xây dựng và triển
khai hệ thống kỹ thuật để ngăn chặn nội dung xâm hại trẻ em trên không gian mạng. Đây là
bước chuyển từ tự nguyện sang bắt buộc, đòi hỏi các nền tảng số phải tích cực lọc và gỡ
bỏ nội dung xấu đối với trẻ em (như video độc hại, nội dung dụ dỗ).
8. Thống nhất cơ quan đầu mối quản lý nhà nước về an ninh mạng
Trước đây, theo Điều 36 (Bộ Công an) và Điều 38 (Bộ TT&TT) Luật An ninh mạng 2018 số 24/2018/QH14 quy định:
- Bộ Công an chịu trách nhiệm quản lý nhà nước về an ninh mạng.
- Bộ Thông tin và Truyền thông quản lý nhà nước về an toàn thông tin mạng.
Theo đó, sau năm 2018 đã xuất hiện tình trạng chồng chéo thẩm quyền: Bộ Công an chịu
trách nhiệm quản lý nhà nước về an ninh mạng (theo Luật 2018), trong khi Bộ Thông tin và
Truyền thông quản lý nhà nước về an toàn thông tin mạng (theo Luật 2015). Điều này gây
chồng chéo trong nhiều lĩnh vực: ví dụ, an ninh hệ thống thông tin quan trọng quốc gia do
Bộ Công an phụ trách, nhưng tiêu chuẩn kỹ thuật lại do Bộ Thông tin và Truyền thông ban
hành. Một số lĩnh vực giáp ranh như bảo vệ dữ liệu cá nhân chưa rõ cơ quan chủ trì.
Điểm thay đổi mang tính cách mạng của Luật 2025 là việc hợp nhất quản lý và thay thế
hoàn toàn cả Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015 (Điều 44 khoản 2). Theo đó:
● Chính phủ thống nhất quản lý nhà nước về an ninh mạng (Điều 39 khoản 1);
● Bộ Công an là cơ quan đầu mối giúp Chính phủ quản lý nhà nước về an ninh
mạng, bao gồm cả nội dung an toàn thông tin mạng (Điều 39 khoản 2);
● Bộ Quốc phòng tiếp tục quản lý an ninh mạng trong lĩnh vực quân sự (Điều 39 khoản 3);
● Ban Cơ yếu Chính phủ quản lý an ninh mạng trong lĩnh vực mật mã (Điều 39 khoản 4).
Như vậy, Luật An ninh mạng 2025 đã thống nhất đầu mối quản lý nhà nước về an ninh
mạng. Luật mới hợp nhất quản lý nhà nước về an ninh mạng giao cho Chính phủ thống nhất
quản lý, và chỉ định Bộ Công an là cơ quan đầu mối giúp Chính phủ thực hiện quản lý nhà
nước trong lĩnh vực này.
Theo quy định mới, Bộ Công an vừa chủ trì về an ninh mạng, vừa xây dựng tiêu chuẩn, quy
chuẩn kỹ thuật quốc gia về an ninh mạng (nhiệm vụ trước đây của Bộ Thông tin và Truyền
thông). Sự phân định mới này kỳ vọng khắc phục tình trạng chồng chéo, tạo một đầu mối
hướng dẫn thống nhất cho doanh nghiệp trong thực hiện nghĩa vụ pháp lý liên quan an ninh
mạng. Tuy nhiên, việc chuyển giao một số mảng (như an toàn thông tin) sang Bộ Công an
có thể cần thời gian quá độ phối hợp để tránh gián đoạn trong quản lý.
9. Hợp tác quốc tế và đấu tranh tội phạm mạng xuyên biên giới
Theo Luật An ninh mạng 2018 (Điều 6), chính sách hợp tác quốc tế được quy định nhưng
còn ở mức độ nguyên tắc chung, chưa đi sâu vào các cơ chế chia sẻ dữ liệu cụ thể. Theo
Điều 6, Khoản 2 Luật An ninh mạng 2025, nội dung hợp tác quốc tế được mở rộng với các cơ chế cụ thể hơn:
● (i) Chia sẻ thông tin, dữ liệu và cảnh báo sớm về nguy cơ, sự cố, tấn công mạng;
● (i ) Phối hợp điều tra, xử lý vi phạm pháp luật đối với tội phạm mạng, tội phạm sử dụng công nghệ cao;
● (i i) Nghiên cứu, chuyển giao công nghệ, giải pháp kỹ thuật bảo vệ an ninh mạng.
Những quy định này tạo cơ sở pháp lý mạnh mẽ để Việt Nam thực hiện các cam kết quốc tế
(như tham gia Công ước chống tội phạm mạng của LHQ). Luật mới đóng vai trò “cầu nối”
giúp thực thi các cam kết, “mở đường” cho việc trao đổi thông tin tội phạm mạng, chứng cứ
số với các nước một cách bài bản hơn, thay vì thủ tục phức tạp như trước.
10. Thống nhất quản lý sản phẩm, dịch vụ an ninh mạng và an toàn thông tin
Sản phẩm, dịch vụ an ninh mạng chịu sự quản lý phân tán. "Sản phẩm an toàn thông tin
mạng" chịu sự quản lý của Bộ Thông tin và Truyền thông (theo Luật ATTT mạng 2015),
trong khi "Sản phẩm an ninh mạng" lại liên quan đến Bộ Công an (theo Luật ANM 2018).
Doanh nghiệp thường chịu sự quản lý song trùng. Theo Luật 2025, khái niệm “sản phẩm,
dịch vụ an toàn thông tin mạng” được quy hoạch thống nhất vào nhóm “sản phẩm, dịch vụ
an ninh mạng”. Bộ Công an được giao là cơ quan đầu mối quản lý nhà nước, cấp phép kinh
doanh và xây dựng quy chuẩn kỹ thuật (Điều 39, Điều 44).
Đây là điểm mới quan trọng giúp tinh giản thủ tục hành chính. Việc quy về một mối giúp loại
bỏ các yêu cầu chồng chéo, tạo thuận lợi cho doanh nghiệp hoạt động trong lĩnh vực bảo
mật (ví dụ các công ty làm dịch vụ kiểm thử, giám sát an ninh) và thống nhất tiêu chuẩn kỹ thuật quốc gia.
Tóm lại, Luật An ninh mạng 2025 mang đến nhiều điểm mới quan trọng, phản ánh sự “tiến
hóa” của chính sách an ninh mạng Việt Nam theo hướng toàn diện hơn và chi tiết hơn.
Luật cố gắng giải quyết những bất cập của luật cũ: ví dụ, thiếu thời hạn -> thêm thời hạn;
thiếu định nghĩa -> bổ sung định nghĩa; chưa rõ trách nhiệm -> thống nhất đầu mối; nguy cơ
mới (AI) -> cập nhật cấm hành vi mới. Có thể nói Luật 2025 vừa tăng cường yếu tố “an
ninh” (siết chặt quản lý, thêm công cụ cho công an), vừa chú ý hơn đến yếu tố “mạng”
(bảo vệ dữ liệu cá nhân, tạo thuận lợi kinh doanh, thích ứng công nghệ mới). Tuy nhiên, bất
kỳ sự thay đổi chính sách nào cũng kéo theo thách thức, cần được nhìn nhận từ nhiều phía.
Phần sau sẽ thảo luận các tranh luận tiêu biểu xoay quanh quyền riêng tư cá nhân và quản
lý nội dung thông tin – hai lĩnh vực nhạy cảm trong an ninh mạng.
VI. Vì sao luật thay đổi nhanh và cần nhiều nghị định hướng dẫn
Lĩnh vực an ninh mạng thay đổi nhanh vì đối tượng điều chỉnh luôn biến động theo công
nghệ và cách vận hành của dịch vụ số. Khi các hình thức tấn công, lừa đảo (như Deepfake),
xâm nhập và phát tán nội dung vi phạm dịch chuyển sang các nền tảng mới, cơ quan quản
lý buộc phải cập nhật yêu cầu đối với doanh nghiệp để bảo đảm khả năng can thiệp kịp thời.
Mặt khác, an ninh mạng hiện đại không chỉ là vấn đề kỹ thuật hạ tầng mà còn giao thoa mật
thiết với dữ liệu cá nhân và quyền riêng tư. Khi khung pháp lý về dữ liệu quốc gia được mở
rộng (thông qua Luật An ninh mạng 2025 và dự kiến là Luật Dữ liệu), các quy định về an
ninh mạng cũng cần điều chỉnh liên tục để đảm bảo sự đồng bộ.
Về kỹ thuật lập pháp, Luật thường không thể “đóng cứng” các chi tiết vận hành vì nhiều nội
dung phụ thuộc vào tiêu chuẩn kỹ thuật và ngưỡng áp dụng thực tế. Đây là lý do luật chỉ quy
định khung nguyên tắc và giao quyền cho Chính phủ ban hành nghị định hướng dẫn.
Ví dụ, ngay trong Luật An ninh mạng 2018, nghĩa vụ lưu trữ dữ liệu tại Việt Nam được quy
định, nhưng thời gian lưu trữ cụ thể lại giao Chính phủ quyết định (sau này được cụ thể hóa
trong Nghị định 53/2022). Đến Luật An ninh mạng 2025, cách tiếp cận này tiếp tục được
duy trì và nâng cao. Chẳng hạn, Luật quy định thời hạn gỡ bỏ thông tin khẩn cấp là 6 giờ,
nhưng quy trình xác định thế nào là "khẩn cấp" và cơ chế phối hợp kỹ thuật giữa Bộ Công
an và các nền tảng xuyên biên giới sẽ cần được quy định chi tiết trong các văn bản dưới
luật sắp tới. Tương tự, các tiêu chuẩn kỹ thuật về "hệ thống ngăn chặn nội dung xâm hại trẻ
em" cũng cần Bộ chuyên ngành hướng dẫn để doanh nghiệp có căn cứ thực hiện.
Tóm lại, luật thay đổi để thích ứng với rủi ro công nghệ, còn hệ thống nghị định hướng dẫn
đóng vai trò là công cụ "mềm dẻo" để cụ thể hóa các tham số kỹ thuật, quy trình vận hành
mà Luật chủ động để mở, đảm bảo tính khả thi trong thực tiễn.
VII, Tranh luận xoay quanh quyền riêng tư và quản lý nội dung
Quyền riêng tư của cá nhân và quyền tự do ngôn luận (thể hiện qua quản lý nội dung) là
hai chủ đề được bàn luận nhiều nhất mỗi khi Việt Nam ban hành quy định mới về an ninh
mạng. Việc so sánh Luật 2018 và Luật 2025 cũng cần đặt trong bối cảnh các tranh luận này,
bởi chúng thể hiện quan điểm và mối quan tâm từ các bên liên quan (cơ quan nhà nước,
doanh nghiệp, người dùng, giới nghiên cứu).
- Về quyền riêng tư và bảo vệ dữ liệu cá nhân:
● Tranh luận chủ yếu xoay quanh việc luật an ninh mạng trao cho cơ quan chức năng
quyền tiếp cận dữ liệu người dùng ở mức độ nào, có đảm bảo không lạm dụng hay
không. Khi Luật 2018 vừa thông qua, một số ý kiến lo ngại rằng quy định buộc doanh
nghiệp cung cấp dữ liệu người dùng sẽ dấy lên “lo ngại về việc giám sát diện
rộng” mọi hoạt động người dân trên Internet. Các tổ chức như Human Rights Watch
thời điểm đó chỉ trích luật mới cho phép công an tùy ý xem thông tin riêng tư của
người dân. Tuy nhiên, phản bác lại, đại diện Bộ Công an khẳng định Luật An ninh
mạng không kiểm soát hay làm lộ thông tin cá nhân của công dân một cách bừa bãi.
Theo Bộ Công an, luật quy định rõ “chỉ khi phục vụ điều tra, xử lý hành vi vi phạm
pháp luật về an ninh mạng” thì mới yêu cầu doanh nghiệp cung cấp thông tin cá
nhân liên quan, và lực lượng chuyên trách chỉ được phép tiếp cận thông tin cá nhân
của người dùng vi phạm, theo trình tự thủ tục nghiêm ngặt đã được phê duyệt. Điều
này nghĩa là phải có quyết định hoặc yêu cầu bằng văn bản của cấp có thẩm quyền,
chứ công an không được tự tiện xem dữ liệu người dùng. Thực tế, các trường hợp
yêu cầu dữ liệu (như nhật ký truy cập, địa chỉ email, số điện thoại đăng ký…) đều
gắn với một cuộc điều tra cụ thể, ví dụ điều tra vụ lừa đảo qua mạng, và thường
được tiến hành song song với quy định pháp luật khác (như lệnh khám xét dữ liệu
điện tử theo Bộ luật Tố tụng Hình sự).
● Luật 2025, như phân tích, còn đi xa hơn khi đưa ra thời hạn 3 giờ trong tình huống
khẩn cấp. Điều này đặt ra câu hỏi: ai và như thế nào xác định một yêu cầu là khẩn
cấp để bắt đầu tính 3 giờ? Rõ ràng, nếu lạm dụng gắn mác “khẩn cấp” thì có thể ép
doanh nghiệp cung cấp dữ liệu mà chưa kịp kiểm tra tính hợp pháp. Theo dự kiến,
tiêu chí trường hợp khẩn cấp (như nguy cơ khủng bố, đang có hành vi nguy hiểm
đến tính mạng) sẽ được quy định trong văn bản dưới luật. Từ góc độ quyền riêng tư,
nguyên tắc minh bạch và giám sát độc lập rất quan trọng: cần có cơ chế lưu vết các
yêu cầu dữ liệu và một cơ quan/tổ chức giám sát việc yêu cầu có đúng pháp luật
không.Luật 2025 quy định cơ chế kiểm tra, thanh tra và giải quyết khiếu nại, tố cáo
nội bộ ngành và theo quy định pháp luật chung, tuy nhiên chưa thiết lập một cơ quan
giám sát độc lập chuyên biệt về quyền riêng tư như một số mô hình quốc tế. Có thể
trong tương lai, Quốc hội hoặc Ủy ban Thường vụ sẽ ban hành quy chế giám sát các
hoạt động của lực lượng ANM liên quan quyền con người, tương tự như giám sát
việc nghe lén, thu thập thư tín (vốn cũng cần có phê chuẩn của Viện kiểm sát hoặc
tòa án theo luật chuyên ngành).
● Một khía cạnh khác của quyền riêng tư là nguy cơ lộ, lọt dữ liệu cá nhân khi nhiều
bên cùng thu thập và lưu trữ. Luật 2018 và 2025 đều yêu cầu các bên liên quan
phải bảo vệ bí mật cá nhân, đời sống riêng tư khi tham gia không gian mạng. Các
cơ quan chức năng, doanh nghiệp nếu làm lộ thông tin cá nhân người dùng thì chính
họ cũng bị xử lý theo pháp luật (ví dụ có thể bị truy cứu trách nhiệm nếu lạm dụng).
Tuy nhiên, trên thực tế đã xảy ra nhiều vụ lộ lọt dữ liệu từ phía doanh nghiệp (thông
tin khách hàng của ngân hàng, công ty điện lực bị rao bán…). Điều này làm người
dân nghi ngờ về hiệu quả bảo vệ dữ liệu. Luật 2025 đã thiết lập khung pháp lý để xử
lý vi phạm (kể cả hình sự và hành chính), đồng thời giao Chính phủ quy định chi tiết
việc thu hồi giấy phép kinh doanh của doanh nghiệp vi phạm an ninh mạng. Do vậy,
một tranh luận đặt ra: cần tăng nặng chế tài với các vi phạm bảo vệ dữ liệu cá
nhân, thậm chí hình sự hóa nếu gây hậu quả nghiêm trọng. Khả năng là khi sửa Bộ
luật Hình sự sắp tới, Việt Nam có thể bổ sung tội danh về xâm phạm dữ liệu cá nhân
để đồng bộ với luật mới.
● Nhìn rộng hơn, trong bối cảnh thế giới, quyền riêng tư ngày càng được coi trọng (ví
dụ GDPR của EU phạt công ty vi phạm hàng chục triệu euro). Việt Nam hiện mới ở
giai đoạn đầu (ban hành nghị định), nhưng việc Luật 2025 đưa nguyên tắc bảo vệ dữ
liệu cá nhân như đã nêu cho thấy tư duy lập pháp đã tiếp thu phần nào xu hướng đó.
Tranh luận tương lai có thể tập trung vào việc liệu Việt Nam có cần một Luật Bảo
vệ dữ liệu cá nhân độc lập (thay vì chỉ nghị định) để tương xứng tầm quan trọng
của vấn đề. Bởi lẽ, nếu có luật riêng, các quy định sẽ đầy đủ, rõ ràng hơn và tăng
niềm tin cho người dân lẫn đối tác quốc tế (vì Nghị định 13 hiện nay vẫn bị coi là
dưới chuẩn so với GDPR do thiếu cơ chế chế tài mạnh). Hiện nay đã có Luật số
60/2024/QH15 của Quốc hội: Luật Dữ liệu về vấn đề này.
- Chuyển sang quản lý nội dung thông tin trên không gian mạng – đây là lĩnh vực nhạy
cảm bậc nhất vì liên quan trực tiếp tới quyền tự do ngôn luận, tự do thông tin của công
dân. Việt Nam có quy định từ lâu về những nội dung bị cấm (ví dụ Nghị định 72/2013 về
quản lý dịch vụ Internet liệt kê các loại thông tin cấm tương tự Luật ANM). Tuy nhiên, khi các
quy định này được đưa vào Luật An ninh mạng 2018, cộng đồng quốc tế quan tâm hơn và
lo ngại khả năng Việt Nam siết chặt kiểm duyệt Internet. Chỉ số Tự do Internet của
Freedom House vẫn đánh giá Việt Nam “Không có tự do Internet”, chủ yếu do các luật như
Luật ANM 2018 bị cho là trao quyền quá lớn cho Chính phủ kiểm soát nội dung.
● Luật 2025 tiếp tục duy trì cách tiếp cận của luật cũ, thậm chí mở rộng hơn danh mục
cấm như đã phân tích. Điều này chắc chắn sẽ bị các tổ chức tự do ngôn luận phê
phán. Họ có thể lập luận rằng các khái niệm mới đưa vào như “gây mâu thuẫn, chia
rẽ giữa các tầng lớp nhân dân” hay “kêu gọi tẩy chay hàng hóa” vẫn còn mơ hồ, dễ
bị diễn giải chủ quan để ngăn chặn tiếng nói bất lợi cho chính quyền. Chẳng hạn,
nếu người dân kêu gọi tẩy chay một doanh nghiệp quốc doanh làm ăn thua lỗ, liệu
có bị xem là vi phạm? Hay phê phán chính sách đối ngoại của nhà nước có bị coi là
“cản trở chính sách đoàn kết quốc tế”? Những ranh giới này khá mong manh. Từ
góc độ nhà nước, lập luận đưa ra thường là: pháp luật cấm cái xấu, nhưng không
cấm ý kiến phản biện chính đáng. Thực tế, đại diện Quốc hội từng khẳng định
người dân có thể “bày tỏ ý kiến, tâm tư về các vấn đề bức xúc… trừ phi sử dụng
thông tin đó để tấn công an ninh quốc gia”. Nghĩa là động cơ và bối cảnh sử dụng
thông tin mới quyết định bị xử lý hay không. Tuy nhiên, giới bảo vệ nhân quyền cho
rằng cách diễn giải này vẫn tùy nghi và dễ dẫn tới việc bóp nghẹt phản biện, vì cơ
quan chức năng có xu hướng đánh đồng phản biện mạnh mẽ với “chống phá”.
● Một điểm tranh luận khác là tính hiệu quả của kiểm soát nội dung. Việt Nam đã
yêu cầu Facebook, YouTube gỡ bỏ hàng nghìn nội dung “xấu độc” . Chính phủ coi đó
là thành công trong làm sạch không gian mạng. Nhưng người dùng trẻ thường
tìm cách lách qua các nền tảng khác ít bị quản lý hơn, hoặc dùng VPN để truy cập
nội dung bị chặn. Với sự xuất hiện của công cụ AI tạo sinh, khối lượng thông tin giả
mạo có thể bùng nổ, đặt ra câu hỏi liệu giải pháp kiểm duyệt truyền thống (dựa
vào người và bộ lọc từ khóa) có theo kịp. Luật 2025 kêu gọi áp dụng công nghệ mới
để lọc (ví dụ doanh nghiệp phải có bộ lọc cho nội dung trẻ em), nhưng chính việc
này cũng như cuộc chạy đua vũ trang: bên vi phạm cũng có thể dùng AI vượt qua
bộ lọc. Một số chuyên gia cho rằng thay vì tập trung chặn lọc, cần nâng cao kỹ
năng người dùng để họ tự phân biệt, cũng như cải thiện minh bạch thông tin để
giảm đất sống cho tin giả. Luật 2025 có điểm tiến bộ là đề cập đến việc phổ biến
kiến thức an ninh mạng cho người dân, đặc biệt nhóm yếu thế. Nếu thực hiện tốt
giáo dục và nâng cao nhận thức (ví dụ đưa kỹ năng số vào trường học, tập huấn
người già), người dùng sẽ biết bảo vệ mình và cảnh giác với thông tin xấu, từ đó
giảm gánh nặng cho kiểm duyệt nhà nước.
- Liên quan tới doanh nghiệp công nghệ, Luật ANM 2025 mang lại cơ hội và thách thức
như phân tích của các chuyên gia pháp lý. Cơ hội vì luật xác định an ninh mạng là lĩnh vực
đặc biệt ưu đãi đầu tư, khuyến khích phát triển sản phẩm, dịch vụ nội địa. Nhà nước sẽ rót
ngân sách xây dựng các khu công nghiệp an ninh mạng, phòng thí nghiệm… thúc đẩy
ngành an ninh mạng trong nước. Điều này được cộng đồng doanh nghiệp ủng hộ, vì mở ra
thị trường mới cho công ty an ninh mạng Việt Nam, đồng thời nâng cao tự chủ công nghệ
(giảm phụ thuộc thiết bị nước ngoài). Tuy nhiên, thách thức nằm ở chỗ luật tăng tiêu chuẩn
và điều kiện gia nhập thị trường, vô hình trung ưu tiên doanh nghiệp lớn có tiềm lực, còn
các startup nhỏ có thể bị loại khỏi cuộc chơi. Thêm nữa, các công ty nước ngoài có thể
chuyển hướng đầu tư gián tiếp (mua cổ phần công ty Việt) để tận dụng ưu đãi, gây cạnh
tranh mạnh với công ty trong nước. Về nội dung, việc phải định danh IP, lưu log, sẵn sàng
kết nối hệ thống với công an… chắc chắn làm tăng chi phí tuân thủ. Doanh nghiệp nhỏ có
thể bỡ ngỡ, thậm chí e ngại rủi ro pháp lý, dẫn đến chậm triển khai hoạt động kinh doanh số
mới. Những lo ngại này đòi hỏi cơ quan nhà nước khi ban hành hướng dẫn chi tiết phải cân
bằng, tránh cực đoan chỉ chú trọng an ninh mà bóp nghẹt sáng tạo và cạnh tranh lành mạnh.
=> Tựu trung, các tranh luận về quyền riêng tư và quản lý nội dung phản ánh bài toán cân
bằng giữa an ninh và tự do – một thách thức không riêng Việt Nam mà toàn cầu đang đối
mặt trong kỷ nguyên số. Việt Nam đang cố gắng tìm điểm cân bằng mới thông qua Luật
ANM 2025: trao công cụ mạnh hơn cho nhà quản lý (vì an ninh), nhưng cũng đưa nguyên
tắc bảo vệ dữ liệu cá nhân vào luật (để bảo đảm quyền cơ bản). Kết quả cân bằng tới đâu
sẽ phụ thuộc vào cách thức triển khai luật trên thực tế, cũng như sự tham gia góp ý, giám
sát của xã hội. Việc Quốc hội Việt Nam thường xuyên nhắc đến “tôn trọng quyền con người
theo Hiến pháp” trong các văn bản (luật 2025, luật dữ liệu…) cho thấy nhận thức về mặt
chính trị đã có – vấn đề là biến nhận thức đó thành hành động thực thi cụ thể. Kết luận
Qua việc nghiên cứu so sánh Luật An ninh mạng 2018 và Luật An ninh mạng 2025, có thể
thấy sự phát triển của pháp luật an ninh mạng Việt Nam trong vài năm qua là một quá trình
chủ động thích ứng với môi trường an ninh phi truyền thống. Luật 2018 ra đời trong bối
cảnh an ninh mạng lần đầu được chú trọng, đặt nền móng cho việc bảo vệ chủ quyền và trật
tự an toàn xã hội trên không gian mạng. Đến Luật 2025, khung pháp lý đã được mở rộng và
hoàn thiện hơn, phản ánh sự hội tụ giữa an ninh mạng và an toàn thông tin mạng, giữa bảo
vệ an ninh quốc gia và bảo vệ dữ liệu cá nhân.
So với Luật 2018, Luật 2025 có những đổi mới quan trọng: xác lập rõ Bộ Công an là đầu
mối quản lý duy nhất, lấp kín các khoảng trống pháp lý về nội dung cấm và trách nhiệm
doanh nghiệp, cũng như đưa ra giải pháp trước các thách thức mới (AI, định danh IP, bảo
vệ nhóm yếu thế). Những thay đổi này hứa hẹn mang lại tác động tích cực: tạo môi trường
mạng lành mạnh hơn (ít nội dung độc hại hơn), răn đe hiệu quả hơn tội phạm mạng (do hợp
tác quốc tế tốt hơn, doanh nghiệp hỗ trợ nhanh hơn), và bảo vệ tốt hơn quyền lợi của người
dùng lương thiện (trẻ em, người dân bình thường được bảo vệ khỏi lừa đảo, thông tin giả
mạo). Luật 2025 cũng là cầu nối để Việt Nam hội nhập quốc tế về chống tội phạm mạng, khi
nhiều quy định đã tiệm cận thông lệ toàn cầu.
Tóm lại, từ 2018 đến 2025, pháp luật an ninh mạng Việt Nam đã có bước tiến dài, phản ánh
nỗ lực của Nhà nước trong việc bắt kịp những biến đổi nhanh chóng của không gian mạng.
Luật An ninh mạng 2025 được kỳ vọng sẽ tạo hành lang pháp lý đồng bộ và hiệu quả
hơn cho công tác bảo vệ an ninh quốc gia, đảm bảo trật tự an toàn xã hội, đồng thời bảo vệ
quyền và lợi ích hợp pháp của tổ chức, cá nhân trên không gian mạng. Tuy vậy, kết quả
cuối cùng phụ thuộc vào việc triển khai thực tế. Sự thành công của luật mới sẽ được đo
bằng một không gian mạng Việt Nam an toàn hơn, tin cậy hơn – nơi mà người dân cảm
thấy được bảo vệ trước tội phạm mạng và thông tin xấu, nhưng vẫn có tự do sáng tạo,
trao đổi thông tin trong khuôn khổ pháp luật, và doanh nghiệp thì an tâm đầu tư phát triển
các dịch vụ số mới. Đó là mục tiêu không dễ dàng, nhưng với định hướng đúng và sự đồng
thuận xã hội, Việt Nam có cơ sở để tin tưởng vào việc đạt được cân bằng giữa bảo đảm an
ninh mạng và thúc đẩy thịnh vượng trong kỷ nguyên kỹ thuật số.
Tài liệu tham khảo
1. Quốc hội nước CHXHCN Việt Nam, Luật An ninh mạng số 24/2018/QH14, thông qua
ngày 12/06/2018, hiệu lực từ 01/01/2019. Truy cập ngày 10/01/2026. URL:
https://congbao.chinhphu.vn/noi-dung-van-ban-so-24-2018-qh14.
2. Quốc hội nước CHXHCN Việt Nam, Luật An toàn thông tin mạng số 86/2015/QH13,
thông qua ngày 19/11/2015, hiệu lực từ 01/07/2016. Truy cập ngày 10/01/2026. URL:
https://luatvietnam.vn/an-ninh-quoc-gia/luat-an-toan-thong-tin-mang-2015-105102-d1 .html.
3. Quốc hội nước CHXHCN Việt Nam, Luật An ninh mạng 2025 số 116/2025/QH15,
thông qua ngày 10/12/2025, có hiệu lực từ 01/07/2026. Truy cập ngày 10/01/2026. URL:
https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-An-ninh-mang-2025-so -116-2025-QH15-666020.aspx.
4. Quốc hội nước CHXHCN Việt Nam, Luật Dữ liệu số 60/2024/QH15, thông qua ngày
30/11/2024, hiệu lực từ 01/07/2025. Truy cập ngày 10/01/2026. URL:
https://luatvietnam.vn/thong-tin/luat-du-lieu-2024-so-60-2024-qh15-380165-d1.html.
5. Chính phủ nước CHXHCN Việt Nam, Nghị định 53/2022/NĐ-CP quy định chi tiết một
số điều của Luật An ninh mạng, ban hành ngày 15/08/2022, hiệu lực từ 01/10/2022. Truy cập ngày 10/01/2026. URL:
https://antoanthongtin.vn/tin/nghi-dinh-53-2022-huong-dan-chi-tiet-ve-noi-dia-hoa-du- lieu-tai-viet-nam-107585.
6. Chính phủ nước CHXHCN Việt Nam, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá
nhân, ban hành ngày 17/04/2023, hiệu lực từ 01/07/2023. Truy cập ngày 10/01/2026. URL:
https://xaydungchinhsach.chinhphu.vn/toan-van-nghi-dinh-13-2023-nd-cp-bao-ve-du-
lieu-ca-nhan-119230425084118234.htm.
7. Frasers Law Company, “Luật An Ninh Mạng 2025 của Việt Nam: Những điểm mới và
các vấn đề doanh nghiệp cần lưu ý”, ấn phẩm pháp lý ngày 25/12/2025. Truy cập ngày 10/01/2026. URL:
https://www.frasersvn.com/vi/legal-updates-and-publications/vietnam-s-law-on-cybers
ecurity-2025-what-s-new-and-what-businesses-need-to-know.
8. Thanh Tâm, Luật sư Nguyễn Đức Hùng (tham vấn), “5 điểm mới của Luật An ninh
mạng 2025”, LuatVietnam, đăng ngày 26/12/2025. Truy cập ngày 10/01/2026. URL:
https://luatvietnam.vn/linh-vuc-khac/diem-moi-luat-an-ninh-mang-2025-105887-article .html.
9. Tạp chí Pháp lý, “Luật An ninh mạng 2025: Những tác động tới doanh nghiệp công
nghệ và thị trường kinh tế số”, đăng ngày 24/12/2025. Truy cập ngày 10/01/2026. URL:
https://phaply.net.vn/luat-an-ninh-mang-2025-nhung-tac-dong-toi-doanh-nghiep-cong
-nghe-va-thi-truong-kinh-te-so-a261078.html.
10. Báo Tin tức (TTXVN), “Đại biểu Quốc hội: Luật An ninh mạng không xâm phạm
quyền riêng tư cá nhân”, bài phỏng vấn ngày 14/06/2018. Truy cập ngày 10/01/2026. URL:
https://baotintuc.vn/thoi-su/dai-bieu-quoc-hoi-luat-an-ninh-mang-khong-xam-pham-qu
yen-rieng-tu-ca-nhan-20180614131225778.htm.
11. LSVN (Bộ Công an), “Luật An ninh mạng có kiểm soát và làm lộ thông tin cá nhân
của người sử dụng không?”, chuyên mục hỏi-đáp, đăng ngày 05/01/2021. Truy cập ngày 10/01/2026. URL:
https://lsvn.vn/luat-an-ninh-mang-co-kiem-soat-va-lam-lo-thong-tin-ca-nhan-cua-nguo i-su-dung-khong-a65794.html.
12. Tạp chí Quản lý nhà nước (Học viện Hành chính QG), Nguyễn Thị Thanh Thủy, “Giới
hạn quyền tự do thông tin theo quy định của Luật An ninh mạng năm 2018”, số tháng 5/2023. Truy cập ngày 10/01/2026. URL:
https://www.quanlynhanuoc.vn/2023/05/05/gioi-han-quyen-tu-do-thong-tin-theo-quy-d
inh-cua-luat-an-ninh-mang-nam-2018/.
Document Outline

• I, GIỚI THIỆU CHUNG VỀ LUẬT AN NINH MẠNG NĂM 2025
• (Luật số: 116/2025/QH15)
  • 1. Bối cảnh và Cơ sở pháp lý
• -​Cơ quan ban hành: Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam (Khóa XV).
• -​Thời điểm thông qua: Kỳ họp ngày 10, tháng 12 năm 2025.
• -​Hiệu lực thi hành: Từ ngày 01 tháng 07 năm 2026.
• -​Luật này thay thế hoàn toàn Luật An ninh mạng năm 2018 và Luật An toàn thông tin mạng năm 2015, hợp nhất các quy định về an ninh mạng và an toàn thông tin mạng, khắc phục tình trạng chồng chéo trước đây.
• Sự ra đời của Luật An ninh mạng 2025 đánh dấu bước chuyển mình mạnh mẽ trong tư duy lập pháp của Việt Nam, nhằm thích ứng với sự phát triển bùng nổ của trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data) và các hình thức tội phạm mạng ngày càng tinh vi mà Luật năm 2018 chưa thể bao quát hết.
  • 2. Phạm vi điều chỉnh và Đối tượng áp dụng
• -​Phạm vi điều chỉnh: Luật này quy định về an ninh mạng, bảo vệ an ninh mạng; quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
• -​Đối tượng áp dụng:
• -​Cơ quan, tổ chức, cá nhân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
• -​Tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động trên không gian mạng tại Việt Nam.
  • 3. Mục tiêu và Quan điểm chỉ đạo
• Luật An ninh mạng 2025 được xây dựng dựa trên nguyên tắc "An ninh mạng là trọng tâm của an ninh quốc gia", với các mục tiêu chính:
• 1.​Bảo vệ chủ quyền số: Khẳng định quyền quản lý và kiểm soát dữ liệu của người dùng Việt Nam trên không gian mạng.
• 2.​Bảo vệ quyền con người: Ưu tiên bảo vệ dữ liệu cá nhân, quyền riêng tư và đặc biệt là bảo vệ nhóm yếu thế (trẻ em, người cao tuổi) trước các rủi ro mạng.
• 3.​Chuẩn hóa quản lý: Khắc phục tình trạng chồng chéo trong quản lý nhà nước, thống nhất đầu mối quản lý nhà nước về Bộ Công an để tăng cường hiệu lực thực thi.
  • 4. Các trụ cột nội dung chính
• Luật bao gồm 8 Chương và 45 Điều, tập trung vào các nhóm nội dung cốt lõi sau:
• -​Bảo vệ hệ thống thông tin quan trọng: Phân loại cấp độ hệ thống thông tin và quy định các biện pháp bảo vệ nghiêm ngặt đối với hệ thống thông tin quan trọng về an ninh quốc gia (Chương II).
• -​Phòng chống vi phạm pháp luật trên mạng: Quy định chi tiết các hành vi bị cấm và biện pháp xử lý đối với tin giả, thông tin xấu độc, tấn công mạng, gián điệp mạng và khủng bố mạng (Chương III).
• -​Trách nhiệm của doanh nghiệp: Đặt ra các yêu cầu khắt khe đối với doanh nghiệp cung cấp dịch vụ (ISP, mạng xã hội, OTT) về:
• -​Lưu trữ dữ liệu tại Việt Nam.
• -​Định danh địa chỉ IP của tổ chức, cá nhân sử dụng dịch vụ (nhằm khắc phục tình trạng ẩn danh để vi phạm pháp luật)
• -​Thời hạn "vàng" (24h/6h/3h) để gỡ bỏ thông tin vi phạm hoặc cung cấp dữ liệu phục vụ điều tra.
• -​Bảo vệ trẻ em: Bắt buộc doanh nghiệp phải có giải pháp kỹ thuật ngăn chặn nội dung xâm hại trẻ em và nhà nước có chính sách ưu tiên bảo vệ trẻ em trên môi trường mạng.
  • 5. Ý nghĩa và Tác động
• Luật An ninh mạng 2025 là khung pháp lý cao nhất, toàn diện nhất về an ninh mạng tại Việt Nam kể từ năm 2026.
• -​Đối với người dân: Được bảo vệ tốt hơn về dữ liệu cá nhân, giảm thiểu rủi ro bị lừa đảo, tấn công mạng, nhưng cũng đòi hỏi ý thức tuân thủ pháp luật cao hơn khi phát ngôn, chia sẻ thông tin trên mạng.
• -​Đối với doanh nghiệp: Phải đầu tư nâng cấp hạ tầng kỹ thuật, quy trình quản trị dữ liệu để tuân thủ các quy định về định danh, lưu trữ và phản ứng nhanh.
• -​Đối với an ninh quốc gia: Tăng cường khả năng tự chủ về công nghệ, kiểm soát tốt hơn các nguy cơ chiến tranh mạng và bảo đảm sự ổn định chính trị - xã hội.
• II, Timeline lịch sử phát triển
• VI. Vì sao luật thay đổi nhanh và cần nhiều nghị định hướng dẫn
• Lĩnh vực an ninh mạng thay đổi nhanh vì đối tượng điều chỉnh luôn biến động theo công nghệ và cách vận hành của dịch vụ số. Khi các hình thức tấn công, lừa đảo (như Deepfake), xâm nhập và phát tán nội dung vi phạm dịch chuyển sang các nền tảng mới, cơ quan quản lý buộc phải cập nhật yêu cầu đối với doanh nghiệp để bảo đảm khả năng can thiệp kịp thời. Mặt khác, an ninh mạng hiện đại không chỉ là vấn đề kỹ thuật hạ tầng mà còn giao thoa mật thiết với dữ liệu cá nhân và quyền riêng tư. Khi khung pháp lý về dữ liệu quốc gia được mở rộng (thông qua Luật An ninh mạng 2025 và dự kiến là Luật Dữ liệu), các quy định về an ninh mạng cũng cần điều chỉnh liên tục để đảm bảo sự đồng bộ.
• Về kỹ thuật lập pháp, Luật thường không thể “đóng cứng” các chi tiết vận hành vì nhiều nội dung phụ thuộc vào tiêu chuẩn kỹ thuật và ngưỡng áp dụng thực tế. Đây là lý do luật chỉ quy định khung nguyên tắc và giao quyền cho Chính phủ ban hành nghị định hướng dẫn.
• Ví dụ, ngay trong Luật An ninh mạng 2018, nghĩa vụ lưu trữ dữ liệu tại Việt Nam được quy định, nhưng thời gian lưu trữ cụ thể lại giao Chính phủ quyết định (sau này được cụ thể hóa trong Nghị định 53/2022). Đến Luật An ninh mạng 2025, cách tiếp cận này tiếp tục được duy trì và nâng cao. Chẳng hạn, Luật quy định thời hạn gỡ bỏ thông tin khẩn cấp là 6 giờ, nhưng quy trình xác định thế nào là "khẩn cấp" và cơ chế phối hợp kỹ thuật giữa Bộ Công an và các nền tảng xuyên biên giới sẽ cần được quy định chi tiết trong các văn bản dưới luật sắp tới. Tương tự, các tiêu chuẩn kỹ thuật về "hệ thống ngăn chặn nội dung xâm hại trẻ em" cũng cần Bộ chuyên ngành hướng dẫn để doanh nghiệp có căn cứ thực hiện.
• Tóm lại, luật thay đổi để thích ứng với rủi ro công nghệ, còn hệ thống nghị định hướng dẫn đóng vai trò là công cụ "mềm dẻo" để cụ thể hóa các tham số kỹ thuật, quy trình vận hành mà Luật chủ động để mở, đảm bảo tính khả thi trong thực tiễn.
• VII, Tranh luận xoay quanh quyền riêng tư và quản lý nội dung
• Kết luận
• Tài liệu tham khảo