Luật An ninh mạng 2025 (Luật số 116/2025/QH15) chính thức có hiệu lực từ 1/7. Bộ Luật mới gồm 8 chương, 45 điều với nhiều quy định mới, siết chặt bảo vệ dữ liệu cá nhân và các lĩnh vực/công nghệ mới (như AI, Deepfake), đồng thời tăng cường các biện pháp bảo vệ an toàn cho nhóm yếu thế trên không gian mạng.

Đối tượng áp dụng của Luật An ninh mạng 2025 bao gồm cơ quan, tổ chức, cá nhân Việt Nam; tổ chức, cá nhân nước ngoài tại Việt Nam; các tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động bảo vệ an ninh mạng và kinh doanh sản phẩm, dịch vụ an ninh mạng tại Việt Nam.

Thống nhất quản lý nhà nước về an ninh mạng

Một trong những nội dung đáng chú ý của Luật An ninh mạng 2025 là việc hoàn thiện cơ chế quản lý nhà nước về an ninh mạng theo hướng thống nhất đầu mối, phân định rõ trách nhiệm giữa các cơ quan có liên quan.

Luật quy định cụ thể trách nhiệm của các cơ quan quản lý nhà nước, lực lượng chuyên trách bảo vệ an ninh mạng và các đơn vị quản lý hệ thống thông tin trong công tác bảo vệ an ninh mạng, xử lý sự cố và phối hợp ứng phó các nguy cơ trên không gian mạng.

Làm rõ trách nhiệm của cơ quan, tổ chức và doanh nghiệp

Luật An ninh mạng 2025 quy định rõ trách nhiệm của cơ quan, tổ chức và doanh nghiệp trong việc bảo vệ hệ thống thông tin thuộc phạm vi quản lý. Theo đó, các đơn vị có trách nhiệm:

  • Tổ chức thực hiện các biện pháp bảo vệ an ninh mạng.
  • Quản lý, vận hành hệ thống thông tin an toàn.
  • Phát hiện, ngăn chặn và xử lý các nguy cơ, sự cố an ninh mạng.
  • Phối hợp với cơ quan có thẩm quyền trong hoạt động bảo vệ an ninh mạng theo quy định.

Các quy định này áp dụng đối với nhiều nhóm đơn vị như cơ quan nhà nước, tổ chức tài chính, doanh nghiệp công nghệ, đơn vị cung cấp dịch vụ trên Internet và các tổ chức đang quản lý hệ thống thông tin phục vụ hoạt động sản xuất kinh doanh.

Đáng chú ý, để đảm bảo nguồn lực thực thi, Luật quy định tỷ lệ tối thiểu 15% nguồn vốn đầu tư đối với các dự án công nghệ thông tin phải được dành riêng cho các hạng mục bảo đảm an toàn, an ninh mạng.

Khi dữ liệu được định hình là tài nguyên chiến lược

Một trong những trọng tâm của Luật An ninh mạng 2025 là củng cố hành lang pháp lý về an ninh dữ liệu. Sự điều chỉnh này hướng đến hai nhóm cốt lõi: dữ liệu cá nhân và dữ liệu trọng yếu cấp quốc gia.

Quyền lợi người dùng

Luật yêu cầu mọi hoạt động thu thập, xử lý thông tin cá nhân phải đảm bảo tính minh bạch, đúng mục đích và có sự thông báo rõ ràng đến chủ sở hữu. Công dân được trao quyền yêu cầu các doanh nghiệp giải trình chi tiết về lý do lấy thông tin, giới hạn chia sẻ cũng như thời hạn lưu trữ. Đồng thời, khung pháp lý mới sẽ áp dụng các hình thức xử phạt nặng tay hơn đối với mọi hành vi giao dịch, chào bán hay chia sẻ dữ liệu người dùng trái phép.

Nâng cao trách nhiệm của tổ chức, doanh nghiệp

Luật An ninh mạng 2025 đặt ra các yêu cầu chặt chẽ hơn đối với đơn vị quản lý thông tin. Cụ thể, các tổ chức và doanh nghiệp phải chủ động triển khai các biện pháp kỹ thuật để phòng chống rò rỉ dữ liệu, đồng thời xây dựng sẵn kịch bản xử lý sự cố. Nếu xảy ra tình trạng lộ lọt thông tin trên diện rộng, đơn vị chủ quản có nghĩa vụ phát đi thông báo khẩn cho cơ quan chức năng cùng những người dùng bị ảnh hưởng.

Bảo vệ nghiêm ngặt dữ liệu quốc gia

Luật cũng làm rõ các quy định đối với nhóm dữ liệu đặc biệt quan trọng. Khối dữ liệu này bao trùm các hạ tầng cốt lõi (điện lực, ngân hàng, viễn thông, giao thông, an ninh - quốc phòng); các hệ thống mạng phục vụ công tác điều hành kinh tế - xã hội; cùng hệ thống cơ sở dữ liệu quốc gia (dân cư, đất đai, tài chính, y tế...). Công tác bảo đảm an toàn cho nhóm tài sản số này được hệ thống pháp luật đặt ở cấp độ ưu tiên tối đa.

Trước thềm quy định mới được áp dụng, các cơ quan, tổ chức và doanh nghiệp cần khẩn trương rà soát lại toàn bộ hạ tầng công nghệ và quy trình vận hành, từ đó có phương án nâng cấp, bổ sung các giải pháp bảo mật phù hợp nhằm đáp ứng đầy đủ các tiêu chuẩn tuân thủ theo luật định.