Luật An ninh mạng 2025: Lá chắn pháp lý toàn diện trong kỷ nguyên AI

Bao quát trong bối cảnh mới về công nghệ

Sau gần một thập kỷ vận hành song song hai bộ luật - Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 - các cơ quan chức năng Việt Nam đã nhận ra sự chồng chéo, thiếu đồng bộ trong hệ thống pháp lý đã không còn đáp ứng tốt nền tảng bảo vệ trước sức tấn công ngày càng tinh vi từ không gian mạng. Luật An ninh mạng (ANM) số 116/2025/QH15 ra đời như một phản ứng có tính toán chiến lược: hợp nhất, chuẩn hóa và nâng cấp toàn diện.

Điểm khởi đầu tưởng như đơn giản nhưng lại có tầm quan trọng sâu xa: Luật thay thế thuật ngữ "an toàn thông tin mạng" bằng "an ninh mạng" hoặc "an ninh dữ liệu mạng" trong 17 văn bản pháp luật liên quan, từ Luật Lưu trữ, Luật Bảo vệ quyền lợi người tiêu dùng đến Luật Thuế thu nhập doanh nghiệp. Sự chuẩn hóa này không chỉ mang tính hình thức: nó tạo ra một "nền ngữ nghĩa" thống nhất, giúp các cơ quan thực thi pháp luật có cơ sở xử lý vi phạm rõ ràng, không còn "kẽ hở" do lệch ngôn ngữ giữa các văn bản.

Bên cạnh đó, Luật phân định rõ ba khái niệm cốt lõi vốn thường bị nhầm lẫn: An ninh mạng (bảo vệ không gian số khỏi các mối đe dọa chủ quyền), An ninh thông tin mạng (bảo mật dữ liệu lưu thông trên mạng) và An ninh dữ liệu (bảo đảm chất lượng, tính toàn vẹn và hợp pháp của dữ liệu trong các hoạt động xử lý phục vụ phát triển kinh tế - xã hội và chuyển đổi số).

Luật An ninh mạng 2025 được xây dựng trên cơ sở hợp nhất Luật An ninh mạng năm 2018 và Luật An toàn thông tin mạng năm 2015

Một trong những cải tiến kỹ thuật đáng chú ý nhất là việc phân loại hệ thống thông tin thành 5 cấp độ dựa trên mức độ tổn hại tiềm tàng đối với quốc phòng, an ninh quốc gia, trật tự xã hội và lợi ích công cộng. Đặc biệt, các hệ thống thuộc Cấp độ 4 và Cấp độ 5, được coi là "xương sống" của hạ tầng quốc gia, sẽ đặt dưới sự quản lý trực tiếp của Bộ Công an và Bộ Quốc phòng, phải trải qua thẩm định và kiểm tra định kỳ hàng năm. Cơ chế phân tầng rủi ro này giúp cơ quan quản lý tập trung nguồn lực bảo vệ có trọng điểm thay vì dàn trải.

Trong bối cảnh tội phạm sử dụng AI ngày càng gia tăng, Luật ANM là công cụ khắc chế với quy định cấm tuyệt đối Deepfake và giả mạo bằng AI. Điều 7 của Luật nghiêm cấm hành vi sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo hình ảnh, video, giọng nói của người khác trái quy định pháp luật. Đây là lần đầu tiên Việt Nam chính thức luật hóa việc cấm Deepfake, một bước đi táo bạo và tiên phong ngay cả trong bối cảnh quốc tế.

Khu vực Đông Nam Á cũng đang theo xu hướng siết chặt quản trị không gian mạng trước làn sóng tội phạm trực tuyến gia tăng, tuy nhiên mô hình giữa các nước vẫn có sự khác biệt. Việt Nam chọn mô hình tập trung hóa cao độ khi Bộ Công an đảm nhận vai trò cơ quan chủ trì duy nhất về an ninh mạng trong thực thi pháp luật và hợp tác quốc tế. Trong khi đó, Singapore và Malaysia lại chọn mô hình chuyên biệt hóa thông qua các cơ quan độc lập như Cơ quan An ninh mạng Singapore (CSA) và Cơ quan An ninh mạng quốc gia Malaysia (NACSA). Philippines thì giao cho Bộ Thông tin và Truyền thông (DICT) quản lý, tập trung vào hệ thống cấp phép dịch vụ viễn thông.

Đối với kiểm soát nội dung trực tuyến và bắt buộc gỡ bỏ thông tin, Việt Nam cùng với Thái Lan và Indonesia thuộc nhóm các nước có quy định nghiêm khắc nhất. Theo luật Việt Nam, thời hạn gỡ bỏ nội dung vi phạm thông thường là 24 giờ, và trong trường hợp khẩn cấp liên quan đến an ninh quốc gia là 6 giờ.

Indonesia yêu cầu gỡ bỏ nội dung "khẩn cấp" trong vòng 4 giờ, còn Thái Lan yêu cầu các nền tảng mạng xã hội gỡ bỏ thông tin sai lệch trong vòng 24 giờ để tránh trách nhiệm pháp lý. Ngược lại, Philippines thường yêu cầu phải có lệnh từ Tòa án trước khi gỡ bỏ nội dung.

Trong lĩnh vực chủ quyền dữ liệu, Việt Nam đặt mức độ quản lý cao, áp dụng yêu cầu lưu trữ dữ liệu tại chỗ và có văn phòng hiện diện bắt buộc cho hầu hết doanh nghiệp cung cấp dịch vụ xuyên biên giới.

Luật ANM còn là "tấm khiên số" bảo vệ trẻ em trên không gian mạng khi đặt tiêu chuẩn bảo vệ trẻ em cao nhất khu vực. Trong khi hầu hết các nước ASEAN mới chỉ đề cập bảo vệ trẻ em trong các luật dữ liệu cá nhân chung chung, Việt Nam đã dành hẳn một điều khoản độc lập (Điều 16) với cơ chế ba tầng trách nhiệm. Không chỉ cấm nội dung độc hại, Luật còn buộc các nền tảng kỹ thuật số phải triển khai biện pháp kỹ thuật chủ động ngăn chặn, bảo vệ bí mật đời tư của trẻ và minh bạch hóa về cách thu thập dữ liệu người dùng dưới 18 tuổi.

Luật An ninh mạng 2025 là "tấm khiên số" bảo vệ người dân, đặc biệt là trẻ em trên không gian mạng (ảnh minh họa)

Chú trọng bảo vệ chủ quyền dữ liệu và trẻ em

Luật An ninh mạng 2025 ra đời đúng vào thời điểm bản lề khi AI đã trở thành công cụ phổ cập, tái định hình dòng chảy dữ liệu và Deepfake không còn là công nghệ của phòng thí nghiệm mà đã len lỏi vào đời sống hàng ngày.

Trong năm 2024 - 2025, hàng loạt vụ lừa đảo tài chính sử dụng Deepfake mạo danh người thân, lãnh đạo doanh nghiệp đã gây thiệt hại hàng trăm tỷ đồng tại Việt Nam. Quy định tại Điều 7 - nghiêm cấm sử dụng AI để giả mạo hình ảnh, video, giọng nói - chính là phản ứng pháp lý trực tiếp với thực trạng này. Khi có yêu cầu từ lực lượng chuyên trách an ninh mạng, các nền tảng phải gỡ bỏ nội dung vi phạm trong 24 giờ, hoặc chỉ 6 giờ trong trường hợp liên quan đến an ninh quốc gia hay đe dọa tính mạng con người.

Việt Nam là quốc gia đầu tiên trong ASEAN luật hóa việc cấm Deepfake trong một đạo luật về an ninh mạng. Singapore tuy đã công bố Khung quản trị AI tác vụ đầu tiên thế giới vào tháng 01/2026, song vẫn theo hướng thiết lập tiêu chuẩn kỹ thuật để doanh nghiệp tự tuân thủ thay vì ban hành lệnh cấm trực tiếp.

Một trong những thách thức pháp lý mới nhất của kỷ nguyên AI là tác nhân AI (AI Agent), các hệ thống tự vận hành có khả năng ra quyết định và thực hiện hành động mà không cần sự can thiệp của con người ở từng bước. Luật An ninh mạng 2025 đã tính đến điều này khi luật hóa khái niệm "Tài khoản số" và "Nhật ký hệ thống" (system log) thành yêu cầu bắt buộc. Khi một AI Agent thực hiện hành vi xâm nhập hệ thống hay giao dịch trái phép, system log chính là bằng chứng pháp lý để truy cứu trách nhiệm của chủ quản hệ thống, một cơ chế kiểm soát thiết yếu mà nhiều quốc gia vẫn đang loay hoay xây dựng.

Tạo hành lang phát triển kinh tế số

Luật ANM 2025 vận hành trong sự phối hợp chặt chẽ với Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân, tạo thành "kiềng ba chân pháp lý” cho nền kinh tế số. Trong khi Luật Dữ liệu thiết lập Quỹ phát triển dữ liệu quốc gia để thúc đẩy AI và IoT, Luật Bảo vệ dữ liệu cá nhân bảo vệ quyền riêng tư của từng công dân, thì Luật An ninh mạng đóng vai trò bảo đảm nền tảng, bảo đảm các đột phá công nghệ này không bị lợi dụng để gây hại.

Có thể nói, Luật ANM 2025 không chỉ để quản lý mà còn là bệ phóng cho doanh nghiệp công nghệ Việt Nam. Yêu cầu trích 15% ngân sách chuyển đổi số cho an ninh mạng tạo ra một thị trường nội địa quy mô lớn, có giá trị hàng ngàn tỷ đồng mỗi năm. Chiến lược "Make in Vietnam" trong lĩnh vực an ninh mạng (Điều 37) cùng với việc tuân thủ các quy chuẩn kỹ thuật sẽ giúp doanh nghiệp AI Việt xóa bỏ các ứng dụng AI chưa được kiểm soát và tạo dựng uy tín để thâm nhập các thị trường khó tính như EU, Mỹ.

Sự ra đời của Luật ANM 2025 phản ánh một tư duy quản lý chuyển từ "phản ứng với sự cố" sang "kiến tạo môi trường vận hành an toàn". So với các nước trong khu vực, Việt Nam thể hiện lập trường toàn diện và nghiêm khắc hơn trên hầu hết các lĩnh vực: quản lý dữ liệu, kiểm soát nội dung, bảo vệ hạ tầng trọng yếu, quản trị AI và đặc biệt là bảo vệ trẻ em, nhóm đối tượng dễ bị tổn thương nhất trong không gian số. Những quy định này có thể tạo ra thách thức ngắn hạn cho doanh nghiệp trong việc tuân thủ, song về dài hạn, chúng đặt nền tảng cho một hệ sinh thái số đáng tin cậy, thu hút đầu tư quốc tế trong kỷ nguyên trí tuệ nhân tạo.

LONG CHÂU