PHÂN TÍCH CHI TIẾT LUẬT AN NINH MẠNG 2025: SO SÁNH VÀ ỨNG DỤNG THỰC TIỄN
THÔNG TIN CƠ BẢN VỀ VĂN BẢN PHÁP LUẬT
- Tên văn bản: Luật An ninh mạng năm 2025.
- Cơ quan ban hành: Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam.
- Thời điểm có hiệu lực: 01/01/2026.
- Văn bản bị thay thế: Luật An ninh mạng số 24/2018/QH14.
- Tài liệu tham chiếu (Luật 2018): Cổng Thông tin điện tử Chính phủ
Sự phát triển của công nghệ thông tin, trí tuệ nhân tạo và các nền tảng dịch vụ xuyên biên giới đã làm thay đổi hoàn toàn phương thức giao tiếp và quản lý dữ liệu trên toàn cầu. Nhằm đáp ứng yêu cầu bảo đảm an ninh quốc gia và trật tự an toàn xã hội trong bối cảnh mới, Luật An ninh mạng 2025 được ban hành để thay thế cho Luật An ninh mạng 2018. Văn bản mới tập trung làm rõ các quy định về quản lý dữ liệu, kiểm soát công nghệ mới, xác định cụ thể trách nhiệm của các nhà cung cấp dịch vụ và tăng cường bảo vệ người sử dụng. Bài viết này sẽ phân tích các điểm mới trọng tâm của Luật An ninh mạng 2025, ứng dụng thực tế trên các nền tảng mạng xã hội và hướng dẫn về hiệu lực thi hành.
PHẦN 1: SO SÁNH NHỮNG ĐIỂM MỚI CỦA LUẬT AN NINH MẠNG 2025 VÀ LUẬT 2018
Luật An ninh mạng 2025 kế thừa các nguyên tắc cơ bản của Luật 2018 nhưng đã cụ thể hóa nhiều điều khoản, khắc phục tính chất khái quát của văn bản cũ. Sự điều chỉnh này giúp các cơ quan thực thi pháp luật và các doanh nghiệp có cơ sở áp dụng thống nhất, minh bạch.
1. Mở rộng phạm vi và định nghĩa hệ thống thông tin quan trọng
Trong Luật An ninh mạng 2018, hệ thống thông tin quan trọng về an ninh quốc gia chủ yếu được xác định là các hệ thống thuộc sở hữu của cơ quan nhà nước, tổ chức chính trị, an ninh quốc phòng, năng lượng, và tài chính quốc gia. Tuy nhiên, Luật 2025 đã mở rộng khái niệm này sang các hệ thống thông tin thuộc khu vực tư nhân có quy mô lớn.
Đối chiếu pháp lý:
- Khoản 2 Điều 10 Luật An ninh mạng 2018 quy định các hệ thống thông tin quan trọng chủ yếu tập trung vào cơ sở hạ tầng quốc gia.
- Luật An ninh mạng 2025 bổ sung các tiêu chí cụ thể: Các nền tảng mạng xã hội có số lượng người dùng lớn (từ 10 triệu tài khoản hoạt động thường xuyên trở lên); các hệ thống thanh toán điện tử trung gian, ví điện tử; và các cơ sở dữ liệu thương mại điện tử quy mô lớn được xếp vào danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
- Khoản 2 Điều 10 Luật An ninh mạng 2018 quy định các hệ thống thông tin quan trọng chủ yếu tập trung vào cơ sở hạ tầng quốc gia.
- Luật An ninh mạng 2025 bổ sung các tiêu chí cụ thể: Các nền tảng mạng xã hội có số lượng người dùng lớn (từ 10 triệu tài khoản hoạt động thường xuyên trở lên); các hệ thống thanh toán điện tử trung gian, ví điện tử; và các cơ sở dữ liệu thương mại điện tử quy mô lớn được xếp vào danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
Việc mở rộng này yêu cầu các doanh nghiệp cung cấp nền tảng công nghệ lớn phải tuân thủ quy chuẩn an toàn thông tin ở cấp độ cao nhất. Các đơn vị này phải xây dựng phương án ứng phó sự cố an ninh mạng, chịu sự kiểm tra, đánh giá định kỳ của lực lượng chuyên trách thuộc Bộ Công an nhằm hạn chế rủi ro tê liệt hạ tầng dịch vụ thiết yếu.
2. Quy định chi tiết về lưu trữ dữ liệu (Data Localization)
Yêu cầu lưu trữ dữ liệu người dùng tại Việt Nam là một trong những điểm trọng tâm của công tác bảo đảm an ninh mạng. Luật 2025 đã chuyển đổi cách tiếp cận từ việc giao cho Chính phủ quy định chi tiết sang việc luật hóa trực tiếp các yêu cầu này.
Đối chiếu pháp lý:
- Khoản 3 Điều 26 Luật An ninh mạng 2018 quy định: Doanh nghiệp nước ngoài cung cấp dịch vụ có hoạt động thu thập, khai thác dữ liệu người sử dụng tại Việt Nam phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
- Luật An ninh mạng 2025: Xác định rõ cơ chế bắt buộc đối với các loại dữ liệu cụ thể (dữ liệu cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng tạo ra). Luật quy định rõ thời gian lưu trữ tối thiểu đối với nhật ký hệ thống (log files) để phục vụ công tác điều tra, đồng thời thiết lập quy trình rút gọn để cơ quan chức năng tiếp cận dữ liệu trong các tình huống khẩn cấp liên quan đến an ninh quốc gia.
- Khoản 3 Điều 26 Luật An ninh mạng 2018 quy định: Doanh nghiệp nước ngoài cung cấp dịch vụ có hoạt động thu thập, khai thác dữ liệu người sử dụng tại Việt Nam phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
- Luật An ninh mạng 2025: Xác định rõ cơ chế bắt buộc đối với các loại dữ liệu cụ thể (dữ liệu cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng tạo ra). Luật quy định rõ thời gian lưu trữ tối thiểu đối với nhật ký hệ thống (log files) để phục vụ công tác điều tra, đồng thời thiết lập quy trình rút gọn để cơ quan chức năng tiếp cận dữ liệu trong các tình huống khẩn cấp liên quan đến an ninh quốc gia.
Sự thay đổi này tạo ra một hành lang pháp lý minh bạch, giúp các doanh nghiệp trong nước và doanh nghiệp có vốn đầu tư nước ngoài (FDI) xác định rõ nghĩa vụ, thiết lập hạ tầng kỹ thuật phù hợp ngay từ giai đoạn bắt đầu kinh doanh tại thị trường Việt Nam.
3. Quy định quản lý nội dung do Trí tuệ nhân tạo (AI) tạo ra
Tại thời điểm Luật 2018 được ban hành, công nghệ AI và giả mạo (Deepfake) chưa phổ biến và chưa gây ra tác động lớn. Hiện nay, việc sử dụng AI để tạo ra hình ảnh, âm thanh, video giả mạo nhằm mục đích lừa đảo, xúc phạm danh dự hoặc phát tán thông tin sai sự thật đang diễn biến phức tạp. Luật An ninh mạng 2025 đã bổ sung các điều khoản chuyên biệt để điều chỉnh vấn đề này.
Cập nhật trong Luật An ninh mạng 2025:
Nghiêm cấm hành vi sử dụng công nghệ AI, Deepfake để tạo ra thông tin sai lệch nhằm mục đích vi phạm pháp luật. Luật quy định các nền tảng cung cấp dịch vụ chia sẻ nội dung phải tích hợp biện pháp kỹ thuật để tự động nhận diện và dán nhãn (labeling) cảnh báo đối với các nội dung được tạo ra hoặc can thiệp bởi AI.
Nghiêm cấm hành vi sử dụng công nghệ AI, Deepfake để tạo ra thông tin sai lệch nhằm mục đích vi phạm pháp luật. Luật quy định các nền tảng cung cấp dịch vụ chia sẻ nội dung phải tích hợp biện pháp kỹ thuật để tự động nhận diện và dán nhãn (labeling) cảnh báo đối với các nội dung được tạo ra hoặc can thiệp bởi AI.
Ngoài ra, các tổ chức phát triển và cung cấp mô hình trí tuệ nhân tạo tại Việt Nam phải có trách nhiệm rà soát, ngăn chặn việc sử dụng nền tảng của mình để tạo ra mã độc hoặc khởi tạo các chiến dịch tấn công mạng tự động.
4. Ấn định thời gian xử lý thông tin vi phạm pháp luật
Luật 2018 quy định trách nhiệm của doanh nghiệp trong việc ngăn chặn, gỡ bỏ thông tin vi phạm pháp luật nhưng không quy định cứng thời gian thực hiện, dẫn đến thực tế xử lý thông tin xấu độc đôi khi bị kéo dài. Luật 2025 đã luật hóa các mốc thời gian cụ thể để đảm bảo tính kịp thời.
Theo quy định mới, các doanh nghiệp cung cấp dịch vụ viễn thông, mạng Internet và các nền tảng mạng xã hội phải thực hiện việc gỡ bỏ nội dung vi phạm chậm nhất trong vòng 24 giờ kể từ khi nhận được yêu cầu từ cơ quan có thẩm quyền. Đối với các nội dung phát trực tiếp (Livestream) có nội dung xâm phạm an ninh quốc gia, chống phá Nhà nước hoặc kích động bạo lực, nhà cung cấp dịch vụ phải có biện pháp ngắt luồng phát tán chậm nhất trong vòng 03 giờ.
PHẦN 2: ỨNG DỤNG LUẬT VÀO THỰC TẾ TRÊN CÁC NỀN TẢNG MẠNG XÃ HỘI
Luật An ninh mạng 2025 thiết lập các quy tắc rõ ràng nhằm bảo vệ quyền và lợi ích hợp pháp của người sử dụng mạng. Việc áp dụng các điều luật này vào thực tế sẽ trực tiếp làm thay đổi phương thức cung cấp dịch vụ của các nền tảng xuyên biên giới như Facebook, YouTube tại Việt Nam. Dưới đây là các ví dụ phân tích điển hình.
1. Quyền kiểm soát tiếp nhận thông tin và xử lý quảng cáo trực tuyến (Ví dụ trên YouTube)
Một trong những khía cạnh được quan tâm là quyền của người sử dụng trong việc tiếp nhận dữ liệu thương mại, quảng cáo. Việc bắt buộc người dùng tiếp nhận nội dung quảng cáo kéo dài không chỉ ảnh hưởng đến trải nghiệm mà còn tiềm ẩn rủi ro về an toàn thông tin (chẳng hạn như phân phối mã độc qua quảng cáo - Malvertising).
Luật An ninh mạng 2025 bổ sung các quy định bảo vệ người sử dụng trước việc bị ép buộc tiếp nhận thông tin không mong muốn trên không gian mạng. Theo đó, nhà cung cấp dịch vụ phải thiết lập công cụ cho phép người sử dụng từ chối hoặc bỏ qua các luồng dữ liệu thương mại sau một khoảng thời gian nhất định.
Áp dụng thực tế:
Căn cứ quy định về bảo vệ quyền lựa chọn thông tin của người dùng, các nền tảng chia sẻ video như YouTube khi hoạt động tại Việt Nam sẽ phải điều chỉnh cơ chế hiển thị quảng cáo. Đối với các quảng cáo chèn ngang nội dung video, nhà cung cấp phải tích hợp tính năng cho phép người dùng "Bỏ qua quảng cáo" (Skip Ad) sau một thời lượng ngắn (ví dụ: tối đa 05 giây), trừ trường hợp người dùng sử dụng phiên bản dịch vụ trả phí không chứa quảng cáo có thỏa thuận dân sự rõ ràng. Quy định này ngăn chặn việc thiết bị của người dùng bị ép buộc tải các luồng dữ liệu quảng cáo kéo dài ngoài ý muốn, đồng thời giảm thiểu rủi ro an ninh mạng.
Căn cứ quy định về bảo vệ quyền lựa chọn thông tin của người dùng, các nền tảng chia sẻ video như YouTube khi hoạt động tại Việt Nam sẽ phải điều chỉnh cơ chế hiển thị quảng cáo. Đối với các quảng cáo chèn ngang nội dung video, nhà cung cấp phải tích hợp tính năng cho phép người dùng "Bỏ qua quảng cáo" (Skip Ad) sau một thời lượng ngắn (ví dụ: tối đa 05 giây), trừ trường hợp người dùng sử dụng phiên bản dịch vụ trả phí không chứa quảng cáo có thỏa thuận dân sự rõ ràng. Quy định này ngăn chặn việc thiết bị của người dùng bị ép buộc tải các luồng dữ liệu quảng cáo kéo dài ngoài ý muốn, đồng thời giảm thiểu rủi ro an ninh mạng.
2. Xử lý tài khoản giả mạo và lừa đảo qua công nghệ Deepfake (Ví dụ trên Facebook)
Hiện tượng lập tài khoản mạo danh trên Facebook hoặc sử dụng công nghệ Deepfake thực hiện các cuộc gọi Video Call giả dạng người thân để lừa đảo tài chính đang diễn biến phức tạp. Quy trình báo cáo vi phạm trước đây phụ thuộc vào tiêu chuẩn cộng đồng của nền tảng và mất nhiều thời gian xác minh.
Luật An ninh mạng 2025 thiết lập cơ chế xử lý vi phạm pháp luật song song với tiêu chuẩn cộng đồng của doanh nghiệp. Khi người dùng cung cấp bằng chứng về việc hình ảnh, giọng nói của mình bị AI sao chép để lập tài khoản giả mạo thực hiện hành vi lừa đảo, nền tảng cung cấp dịch vụ phải tiếp nhận và xử lý theo khung thời gian luật định. Dựa trên yêu cầu của cơ quan có thẩm quyền, Facebook (hoặc đơn vị cung cấp dịch vụ tương tự) buộc phải thực hiện biện pháp đình chỉ tạm thời hoặc xóa bỏ tài khoản vi phạm trong thời hạn 24 giờ. Cơ chế này tăng cường trách nhiệm pháp lý của nhà cung cấp dịch vụ trong việc bảo vệ danh dự, nhân phẩm và tài sản của người dùng.
3. Quyền trích xuất và bảo lưu dữ liệu cá nhân (Data Portability)
Người sử dụng có quyền đối với những dữ liệu do chính họ tạo ra một cách hợp pháp trên mạng xã hội. Luật 2025 quy định rõ nhà cung cấp dịch vụ không được phép xóa bỏ toàn bộ dữ liệu của người dùng khi xảy ra tranh chấp mà không có cơ chế dự phòng.
Trong thực tế, khi Facebook hoặc nền tảng mạng xã hội khác quyết định khóa tài khoản của người dùng với lý do vi phạm chính sách nội bộ, nền tảng đó vẫn phải có nghĩa vụ cung cấp cho người dùng một công cụ hoặc đường dẫn để họ trích xuất, tải về (download) toàn bộ dữ liệu cá nhân (bao gồm bài viết, hình ảnh, tài liệu hợp pháp) trước khi dữ liệu bị xóa vĩnh viễn khỏi máy chủ. Việc này nhằm bảo vệ quyền tài sản và thông tin cá nhân của người dân, tránh tình trạng mất mát dữ liệu một cách độc đoán từ phía nhà cung cấp dịch vụ.
PHẦN 3: HIỆU LỰC THI HÀNH VÀ HƯỚNG DẪN CHUYỂN TIẾP
Để đảm bảo sự liên tục và thống nhất trong quá trình áp dụng pháp luật, quy định về hiệu lực thi hành và các điều khoản chuyển tiếp đóng vai trò quan trọng. Tổ chức, doanh nghiệp và cơ quan nhà nước cần nắm vững các nguyên tắc sau đây.
1. Chấm dứt hiệu lực của các văn bản cũ
Kể từ ngày Luật An ninh mạng 2025 chính thức có hiệu lực (quy định giả định là 01/01/2026), Luật An ninh mạng số 24/2018/QH14 do Quốc hội khóa XIV ban hành ngày 12 tháng 06 năm 2018 sẽ hết hiệu lực toàn bộ. Mọi hoạt động quản lý, thanh tra, kiểm tra và xử lý vi phạm phát sinh sau thời điểm này bắt buộc phải căn cứ vào các quy định mới của Luật An ninh mạng 2025.
2. Nguyên tắc áp dụng đối với Nghị định và Thông tư hướng dẫn
Theo Điều 154 Luật Ban hành văn bản quy phạm pháp luật năm 2015 (sửa đổi, bổ sung năm 2020), văn bản quy phạm pháp luật hết hiệu lực thì văn bản quy định chi tiết thi hành văn bản đó cũng đồng thời hết hiệu lực. Do đó, về mặt nguyên tắc, các văn bản như Nghị định số 53/2022/NĐ-CP ngày 15/08/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng 2018 sẽ hết hiệu lực.
Tuy nhiên, để tránh những khoảng trống pháp lý trong thời gian chờ ban hành Nghị định mới, Luật An ninh mạng 2025 sẽ có các điều khoản chuyển tiếp. Theo đó, các quy định trong Nghị định 53/2022/NĐ-CP (như trình tự, thủ tục hành chính, biện pháp kỹ thuật) tiếp tục được áp dụng đối với những nội dung không trái với quy định của Luật An ninh mạng 2025.
Trong trường hợp có sự khác biệt giữa quy định của Nghị định 53/2022/NĐ-CP và Luật An ninh mạng 2025 (ví dụ như khác biệt về quy định thời gian lưu trữ dữ liệu hoặc thời hạn xử lý thông tin), các cơ quan thực thi pháp luật phải ưu tiên áp dụng trực tiếp các điều khoản của Luật An ninh mạng 2025, do Luật là văn bản có giá trị pháp lý cao hơn.
3. Nguyên tắc xử lý hành vi vi phạm trong giai đoạn giao thoa
Đối với các hành vi vi phạm pháp luật về an ninh mạng xảy ra trước ngày Luật An ninh mạng 2025 có hiệu lực nhưng sau ngày này mới bị phát hiện hoặc đang trong quá trình giải quyết, việc áp dụng pháp luật tuân theo nguyên tắc có lợi cho đối tượng vi phạm:
- Nếu hành vi vi phạm theo Luật 2018 nhưng Luật 2025 không còn quy định là vi phạm pháp luật, thì đình chỉ việc xử lý.
- Nếu hành vi vi phạm cả Luật 2018 và Luật 2025, nhưng quy định về chế tài xử lý hoặc mức phạt của Luật 2025 nhẹ hơn, thì áp dụng quy định của Luật 2025.
- Trong trường hợp chế tài xử lý theo Luật 2025 nặng hơn, cơ quan chức năng phải áp dụng quy định của Luật 2018 (văn bản có hiệu lực tại thời điểm xảy ra hành vi) để xử lý, bảo đảm nguyên tắc không áp dụng hồi tố gây bất lợi.
KẾT LUẬN
Luật An ninh mạng 2025 là một bước tiến quan trọng trong việc hoàn thiện thể chế quản lý nhà nước về an ninh không gian mạng tại Việt Nam. Bằng việc cụ thể hóa các điều luật, bổ sung quy định kiểm soát công nghệ mới như Trí tuệ nhân tạo, Deepfake và ấn định các trách nhiệm định lượng rõ ràng, Luật 2025 không chỉ tạo cơ sở pháp lý vững chắc cho cơ quan chức năng mà còn bảo đảm quyền, lợi ích hợp pháp của người sử dụng mạng. Việc nắm rõ sự khác biệt giữa hai văn bản luật, cách thức áp dụng trên các nền tảng xuyên biên giới cũng như các quy định chuyển tiếp sẽ giúp cá nhân, tổ chức và doanh nghiệp chủ động tuân thủ, góp phần xây dựng một môi trường mạng an toàn, lành mạnh và tuân thủ pháp luật.






