BẢN TIN PHÁP LÝ THÁNG 06/2026: THAY ĐỔI CỐT LÕI VÀ NGHĨA VỤ TUÂN THỦ CHO DOANH NGHIỆP THEO LUẬT AN NINH MẠNG 2025

BẢN TIN PHÁP LÝ THÁNG 06/2026: THAY ĐỔI CỐT LÕI VÀ NGHĨA VỤ TUÂN THỦ CHO DOANH NGHIỆP THEO LUẬT AN NINH MẠNG 2025

Kính gửi quý khách hàng,

Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi từ tấn công chuỗi cung ứng, lừa đảo tài chính đến các chiến dịch thao túng thông tin quy mô lớn Việt Nam nhận ra rằng hai đạo luật song song đang tồn tại không còn đủ sức đáp ứng. Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 vận hành đồng thời trong nhiều năm với thẩm quyền chồng chéo giữa hai bộ, tạo ra vùng xám pháp lý mà doanh nghiệp thường xuyên phải điều hướng mà không có đầu mối rõ ràng.

Có hiệu lực từ ngày 01/7/2026, Luật An ninh mạng 2025 (LANM 2025) thiết lập một trật tự pháp lý mới với nhiều đặc trưng cốt lõi: tập trung quyền quản lý về một đầu mối duy nhất là Bộ Công an, thay thế các quy định định tính mơ hồ bằng nghĩa vụ có thể đo lường và thực thi, và lần đầu tiên đưa trí tuệ nhân tạo vào phạm vi điều chỉnh của luật. Đối với cộng đồng doanh nghiệp đặc biệt là các nhà cung cấp dịch vụ số, nền tảng thương mại điện tử và các tổ chức nước ngoài đang hoạt động tại thị trường Việt Nam, đây không phải là văn bản có thể xử lý bằng một vài điều chỉnh chính sách nội bộ. Văn bản đặt ra các yêu cầu đòi hỏi quyết định đầu tư kỹ thuật và tổ chức thực chất, với thời điểm hiệu lực đang đến gần.

1. Cụ thể hoá thời gian phản hồi

Trong cả hai văn bản luật trước đó, nghĩa vụ phản hồi yêu cầu từ cơ quan chức năng còn được quy định khá mơ hồ khi doanh nghiệp phải xử lý “trong thời gian hợp lý” hay “kịp thời”. Sự mơ hồ này vừa tạo không gian thương lượng vừa gây ra sự khó khăn pháp lý. Do đó, Luật An ninh mạng 2025 (Luật số 116/2025/QH15, sau đây gọi là LANM 2025) đã thay đổi và xóa bỏ hoàn toàn cách tiếp cận trên.

Kể từ ngày 01/7/2026, theo Khoản 2 Điều 25 LANM 2025 khi nhận yêu cầu từ cơ quan chức năng có thẩm quyền, doanh nghiệp được yêu cầu phải cung cấp thông tin người dùng trong vòng 24 giờ và rút xuống còn 03 giờ trong tình huống khẩn cấp. Đồng thời, yêu cầu gỡ bỏ nội dung vi phạm phải được thực hiện trong 24 giờ thông thường hoặc 06 giờ khi liên quan đến an ninh quốc gia. Đây được đánh giá là một nghĩa vụ cụ thể và xác đáng trong giai đoạn hiện nay.

Các mốc thời gian này là một thách thức kỹ thuật đối với các doanh nghiệp chứ không đơn thuần là về vấn đề quy trình. Một nền tảng số với cơ sở dữ liệu phân tán, quy trình phê duyệt nhiều cấp và đội ngũ pháp lý hoạt động trong giờ hành chính sẽ không thể đáp ứng thời hạn này bằng phương thức thủ công. Điều khoản này đòi hỏi các doanh nghiệp cần chuẩn bị hệ thống truy xuất và xuất dữ liệu tự động, đầu mối pháp lý được trao thẩm quyền ra quyết định tức thời, và có cơ chế cảnh báo hoạt động liên tục ngoài giờ làm việc.

Điều khoản này đề cập trực tiếp tới yêu cầu đầu tư hạ tầng và doanh nghiệp cần nhìn nhận nó như vậy, không phải là điều khoản tuân thủ có thể xử lý bằng một bản hướng dẫn nội bộ. Thay vào đó, điều khoản này đòi hỏi doanh nghiệp đầu tư thực chất vào năng lực công nghệ, mức độ sẵn sàng vận hành và quản trị tổ chức để bảo đảm tuân thủ kịp thời và hiệu quả các yêu cầu hợp pháp.

2. Xác định loại dữ liệu bắt buộc lưu trữ tại Việt Nam

Yêu cầu lưu trữ dữ liệu trong nước từng tồn tại ở dạng nguyên tắc chung, để lại phần lớn chi tiết cho nghị định và thông tư hướng dẫn. Hệ quả đó đồng thời dẫn tới việc ranh giới về phạm vi áp dụng thường xuyên bị tranh luận, nhiều doanh nghiệp đặc biệt là các doanh nghiệp có nền tảng nước ngoài đã vận hành trong vùng xám pháp lý nhiều năm. Vì lý do đó, Điểm d Khoản 2 Điều 25 LANM 2025 đã chấm dứt tình trạng trên bằng cách luật hóa một danh mục cụ thể. Năm loại dữ liệu sau trong Luật mới đã được yêu cầu bắt buộc phải được lưu trữ trên hạ tầng đặt tại Việt Nam:

(i) Tên tài khoản và thông tin nhận diện người dùng;

(ii) Thời gian và tần suất sử dụng dịch vụ;

(iii) Thông tin thanh toán và giao dịch tài chính;

(iv) Địa chỉ IP và nhật ký kết nối;

(v) Toàn bộ dữ liệu cá nhân do người dùng trong nước tạo ra trên nền tảng.

Đồng thời, theo Khoản 3 Điều 25, với các doanh nghiệp nước ngoài, quy định này đi kèm điều kiện không thể thỏa hiệp: bắt buộc thành lập chi nhánh hoặc văn phòng đại diện có pháp nhân tại Việt Nam. Không có ngoại lệ hay phương án thay thế thông qua hợp đồng đại lý hay quan hệ đối tác thương mại. Đây là ngưỡng gia nhập pháp lý rõ ràng: hoặc có hiện diện pháp lý trong nước, hoặc không được phép tiếp tục cung cấp dịch vụ.

Với doanh nghiệp trong nước, việc cần làm đầu tiên kiểm tra lại kiến trúc lưu trữ hiện tại, đặc biệt với những đơn vị đang sử dụng hạ tầng đám mây quốc tế mà chưa bật tính năng lưu trữ theo vùng địa lý. Việc chậm đánh giá và điều chỉnh hệ thống có thể khiến doanh nghiệp gặp khó khăn trong việc đáp ứng các yêu cầu về lưu trữ dữ liệu và cung cấp thông tin theo quy định của pháp luật mới. Đồng thời, quá trình chuyển đổi hạ tầng thường đòi hỏi thời gian đáng kể để thực hiện kiểm thử, bảo đảm tính liên tục của hoạt động kinh doanh và tránh nguy cơ gián đoạn dịch vụ. Do đó, việc chuẩn bị sớm không chỉ giúp doanh nghiệp giảm thiểu rủi ro pháp lý mà còn tối ưu chi phí và nguồn lực trong quá trình tuân thủ LANM 2025.

3. Thiết lập cơ chế kiểm soát đối với ứng dụng trí tuệ nhân tạo

Trong tất cả những điểm mới của LANM 2025, đây là quy định có ý nghĩa tiên phong. Tính tới thời điểm hiện tại vẫn chưa có văn bản luật nào của Việt Nam trực tiếp điều chỉnh rủi ro từ trí tuệ nhân tạo tổng hợp. Ngoài ra các hành vi liên quan đến giả mạo cá nhân, tập thể chỉ có thể bị xử lý gián tiếp qua các điều khoản về xâm phạm danh dự hay phát tán thông tin sai sự thật, vốn không được soạn thảo để điều chỉnh loại công nghệ này. Do đó Điểm g Khoản 2 Điều 7 LANM 2025 đã trực tiếp nghiêm cấm sử dụng trí tuệ nhân tạo để giả mạo hình ảnh, giọng nói của người khác và cấm tạo nội dung nhằm thao túng nhận thức xã hội và thiết lập cơ sở pháp lý để truy cứu trách nhiệm một cách trực tiếp.

Điều này đã tạo ra một lớp trách nhiệm mới không chỉ với người tạo nội dung mà còn với các nền tảng phân phối. Các mạng xã hội, nền tảng video và công cụ AI cho phép người dùng tạo hoặc chia sẻ nội dung tổng hợp đều có nghĩa vụ triển khai cơ chế phát hiện và gỡ bỏ và nếu không làm, cá nhân hoặc doanh nghiệp có thể chịu trách nhiệm liên đới khi nội dung vi phạm được phát tán qua hệ thống của mình.

Cần lưu ý rằng LANM 2025 vẫn đang chỉ thiết lập khung nền tảng; Luật Trí tuệ nhân tạo hiện đang trong quá trình soạn thảo sẽ bổ sung chi tiết điều chỉnh rộng hơn. Doanh nghiệp trong lĩnh vực có ứng dụng tới trí tuệ nhân tạo do đó cần xây dựng chiến lược tuân thủ theo hai giai đoạn: đáp ứng ngay các yêu cầu của LANM 2025, đồng thời duy trì đủ linh hoạt để tích hợp các quy định mới khi luật chuyên biệt được ban hành.

Trên phương diện chiến lược, doanh nghiệp không nên coi việc tuân thủ về trí tuệ nhân tạo là vấn đề của tương lai, chỉ cần xử lý sau khi luật chuyên biệt được ban hành. Định hướng quản lý đã được xác lập. Những tổ chức bắt đầu triển khai ngay từ hôm nay các cơ chế quản trị đối với nội dung tổng hợp, giám sát mô hình, đánh giá rủi ro và kiểm duyệt nội dung sẽ ở vị thế thuận lợi hơn đáng kể để thích ứng với giai đoạn tiếp theo của khung pháp lý về trí tuệ nhân tạo tại Việt Nam.

4. Cập nhật cấp độ hệ thống thông tin

LANM 2025 đã kế thừa cấu trúc phân loại hệ thống thông tin theo năm cấp độ từ luật cũ, nhưng vai trò của khung phân loại này trong khung pháp lý mới quan trọng hơn nhiều so với trước đây bởi cấp độ được xác định không chỉ là một nhãn phân loại, mà là cơ sở trực tiếp quyết định toàn bộ nghĩa vụ kỹ thuật và tổ chức mà doanh nghiệp phải tuân thủ.

Cụ thể, Điều 8 đã quy định thang phân cấp trải dài từ cấp độ 1 áp dụng cho các hệ thống mà sự cố chỉ ảnh hưởng đến quyền lợi của một tổ chức hoặc cá nhân đơn lẻ đến cấp độ 5, dành cho hạ tầng mà nếu bị tổn hại sẽ gây hậu quả đặc biệt nghiêm trọng đến an ninh quốc gia. Khoảng cách giữa cấp 2 và cấp 3 là ngưỡng quan trọng nhất đối với doanh nghiệp tư nhân: vượt qua ngưỡng này, yêu cầu bảo vệ leo thang đáng kể, bao gồm kiểm tra bảo mật định kỳ bắt buộc, giám sát liên tục và nghĩa vụ kết nối với hệ thống giám sát quốc gia của Bộ Công an.

Vấn đề thực tiễn mà nhiều doanh nghiệp chưa nhìn nhận đúng mức là việc tự xác định cấp độ của hệ thống thông tin. Bản thân LANM 2025 cũng như Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ không quy định một cơ quan chuyên trách thực hiện việc phân loại này cho doanh nghiệp; nói cách khác, doanh nghiệp phải tự đánh giá và tự chịu trách nhiệm đối với kết quả phân loại của mình. Một ứng dụng quản lý nội bộ quy mô nhỏ có thể thuộc cấp độ 1 hoặc 2. Tuy nhiên, các nền tảng thương mại điện tử, ứng dụng fintech hoặc hệ thống y tế số thường dễ rơi vào cấp độ 3, bởi đây là nhóm hệ thống cung cấp dịch vụ trực tuyến cho số lượng lớn người dùng (từ 10.000 người trở lên), xử lý dữ liệu cá nhân hoặc dữ liệu giao dịch quan trọng, đồng thời có thể ảnh hưởng đáng kể đến quyền và lợi ích của người dân khi xảy ra sự cố. Trong khi đó, cấp độ 4 thường áp dụng đối với các hệ thống thông tin có phạm vi hoạt động toàn quốc, yêu cầu vận hành liên tục 24/7 và không được phép ngừng hoạt động ngoài kế hoạch, chẳng hạn như các nền tảng phục vụ Chính phủ điện tử, hạ tầng thông tin dùng chung quy mô quốc gia hoặc các hệ thống điều khiển công nghiệp của công trình cấp I.

Thậm chí, các hệ thống lưu trữ dữ liệu đặc biệt quan trọng của quốc gia, hạ tầng kết nối quốc tế hoặc các công trình trọng yếu liên quan đến an ninh quốc gia có thể thuộc cấp độ 5 theo Điều 11 của Nghị định. Do đó, việc đánh giá thấp hơn thực tế không phải là một giải pháp an toàn mà ngược lại còn tiềm ẩn rủi ro pháp lý đáng kể, bởi cấp độ được xác định sẽ quyết định trực tiếp các nghĩa vụ kỹ thuật, giám sát và bảo vệ mà doanh nghiệp phải thực hiện. Trong bối cảnh Bộ Công an trở thành đầu mối quản lý và thực thi thống nhất theo LANM 2025, khả năng phát hiện và xử lý các trường hợp phân loại sai hoặc không tuân thủ sẽ cao hơn đáng kể so với giai đoạn các quy định trước đây còn hiệu lực.

Về lộ trình chuyển tiếp, các hệ thống đã được phân cấp theo Luật An toàn Thông tin mạng 2015 và Luật An ninh mạng 2018 vẫn được công nhận giá trị pháp lý, nhưng các hệ thống sẽ có 12 tháng, đến ngày 01/7/2027 để cập nhật đầy đủ các điều kiện và tiêu chuẩn bảo vệ theo quy định mới. Khoảng thời gian trên đủ để triển khai bài bản nếu bắt đầu từ đánh giá các tiêu chí nghiêm túc ngay trong nửa cuối năm 2026 nhưng sẽ không đủ nếu doanh nghiệp xem đây là vấn đề có thể xử lý sau.