Luật An ninh mạng 2025 chính thức có hiệu lực thi hành từ ngày 1/7/2026, thay thế đồng thời Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018.
Bên cạnh các quy định về an ninh quốc gia trên không gian mạng, Luật An ninh an ninh mạng 2025 bổ sung nhiều quy định liên quan trực tiếp đến công tác bảo vệ dữ liệu của doanh nghiệp - điều mà mọi tổ chức, doanh nghiệp đang thu thập, xử lý hoặc lưu trữ dữ liệu tại Việt Nam đều cần lưu ý.
Lần đầu tiên “an ninh dữ liệu” được định nghĩa trong luật
Điểm mới đáng chú ý của Luật An ninh mạng 2025 là lần đầu tiên khái niệm “an ninh dữ liệu” được định nghĩa chính thức trong văn bản luật. Theo Khoản 3 Điều 2, “an ninh dữ liệu” được hiểu là “sự bảo đảm chất lượng dữ liệu và các hoạt động xử lý, sử dụng dữ liệu trên không gian mạng phục vụ phát triển kinh tế - xã hội, chuyển đổi số quốc gia, tránh bị truy cập, sử dụng, tiết lộ, sửa đổi trái phép, phá hoại hoặc hành vi khác đe dọa hoặc gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội”.
An ninh dữ liệu giờ đây không chỉ dừng ở việc bảo vệ dữ liệu khỏi truy cập hoặc sử dụng trái phép, mà còn nhấn mạnh việc quản trị, duy trì chất lượng dữ liệu và bảo đảm dữ liệu được xử lý, khai thác an toàn trong suốt vòng đời của nó. Điều này phản ánh vai trò ngày càng quan trọng của dữ liệu trong hoạt động vận hành và chuyển đổi số của các tổ chức, doanh nghiệp.
Trách nhiệm của doanh nghiệp trong bảo đảm an ninh dữ liệu
Điều 26 của Luật An ninh mạng 2025 đã cụ thể hóa trách nhiệm bảo đảm an ninh dữ liệu bằng các yêu cầu quản trị rõ ràng. Theo đó, bảo đảm an ninh dữ liệu không chỉ dừng ở việc triển khai các giải pháp kỹ thuật mà là tổng thể các biện pháp kỹ thuật, tổ chức và pháp lý nhằm bảo vệ dữ liệu, phòng chống các hành vi xâm phạm an ninh dữ liệu.
Luật yêu cầu các tổ chức, doanh nghiệp xây dựng chính sách và quy trình bảo đảm an ninh dữ liệu; áp dụng các biện pháp, tiêu chuẩn kỹ thuật phù hợp; triển khai cơ chế kiểm soát nhân sự trực tiếp xử lý dữ liệu; thực hiện kiểm tra, đánh giá rủi ro định kỳ; đồng thời đánh giá việc chuyển dữ liệu xuyên biên giới và các điều kiện bảo đảm an ninh dữ liệu đối với các hệ thống thông tin, cơ sở dữ liệu và trung tâm dữ liệu theo quy định.
Những yêu cầu này cho thấy cách tiếp cận về bảo vệ dữ liệu đang có sự thay đổi rõ rệt. Thay vì chỉ tập trung ứng phó khi xảy ra sự cố, doanh nghiệp cần chủ động xây dựng cơ chế quản trị dữ liệu xuyên suốt, liên tục nhận diện rủi ro và triển khai các biện pháp phòng ngừa ngay từ đầu.
Bên cạnh các quy định về quản trị dữ liệu, Luật An ninh mạng 2025 cũng đặt ra yêu cầu đối với các doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, Internet và các dịch vụ gia tăng trên không gian mạng có hoạt động thu thập, khai thác, phân tích hoặc xử lý dữ liệu của người dùng tại Việt Nam. Theo quy định, các doanh nghiệp này phải áp dụng các biện pháp bảo vệ dữ liệu theo quy định của pháp luật, đồng thời lưu trữ dữ liệu tại Việt Nam trong thời gian do chính phủ quy định. Đối với doanh nghiệp nước ngoài thuộc phạm vi điều chỉnh của Luật, yêu cầu phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Doanh nghiệp cần chủ động nâng cao năng lực bảo đảm an ninh dữ liệu
Việc Luật An ninh mạng 2025 chính thức có hiệu lực không chỉ bổ sung thêm các yêu cầu pháp lý mà còn đặt ra yêu cầu mới về năng lực quản trị dữ liệu của doanh nghiệp.
Trong bối cảnh đó, doanh nghiệp cần chủ động rà soát hiện trạng dữ liệu, xác định và phân loại dữ liệu nhạy cảm, đánh giá rủi ro, kiểm soát quyền truy cập, giám sát hoạt động xử lý dữ liệu, đồng thời xây dựng các chính sách và quy trình quản trị dữ liệu phù hợp với yêu cầu của pháp luật.
Đây không chỉ là bước chuẩn bị để đáp ứng yêu cầu tuân thủ mà còn góp phần giảm thiểu nguy cơ rò rỉ dữ liệu, nâng cao khả năng ứng phó với các mối đe dọa trên không gian mạng và xây dựng nền tảng dữ liệu an toàn, bền vững cho hoạt động chuyển đổi số.
Có thể thấy, điểm mới đáng chú ý của Luật An ninh mạng 2025 không chỉ nằm ở việc bổ sung thêm các yêu cầu pháp lý về bảo vệ dữ liệu mà còn xác lập dữ liệu là tài sản chiến lược cần được quản trị một cách bài bản. Đây cũng là xu hướng tất yếu khi dữ liệu ngày càng trở thành tài sản chiến lược, đòi hỏi doanh nghiệp chuyển từ tư duy bảo vệ hệ thống sang quản trị dữ liệu chủ động, toàn diện và xuyên suốt vòng đời dữ liệu.