Luật An ninh mạng và nghĩa vụ của doanh nghiệp: Hướng dẫn toàn diện 2026
Luật sư Trần Thanh Tùng
25/03/2026 • 10 phút đọc
Luật An ninh mạng và nghĩa vụ của doanh nghiệp: Những điều cần biết trong năm 2026
Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, an ninh mạng không còn là vấn đề chỉ dành cho bộ phận IT mà đã trở thành nghĩa vụ pháp lý bắt buộc đối với mọi doanh nghiệp hoạt động tại Việt Nam. Luật An ninh mạng số 24/2018/QH14 có hiệu lực từ ngày 01/01/2019, cùng với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, đã tạo ra một khung pháp lý toàn diện mà doanh nghiệp không thể bỏ qua.
Với kinh nghiệm tư vấn cho hàng trăm doanh nghiệp về tuân thủ pháp luật an ninh mạng, Luật Taga nhận thấy nhiều doanh nghiệp vẫn còn mơ hồ về phạm vi nghĩa vụ và cách thức thực hiện. Bài viết này sẽ phân tích chi tiết, có hệ thống các nghĩa vụ mà doanh nghiệp cần tuân thủ.
Tổng quan về Luật An ninh mạng 2018
Phạm vi điều chỉnh và đối tượng áp dụng
Theo Điều 1 Luật An ninh mạng 2018, luật này quy định về hoạt động bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội trên không gian mạng. Đối tượng áp dụng bao gồm:
- Cơ quan, tổ chức, cá nhân Việt Nam
- Tổ chức, cá nhân nước ngoài hoạt động trên không gian mạng Việt Nam
- Cơ quan, tổ chức, cá nhân có liên quan đến hoạt động bảo vệ an ninh mạng
Lưu ý quan trọng: Khác với Luật An toàn thông tin mạng 2015 tập trung vào khía cạnh kỹ thuật, Luật An ninh mạng 2018 tiếp cận từ góc độ an ninh quốc gia, do đó có phạm vi và chế tài nghiêm khắc hơn.
Hệ thống thông tin quan trọng về an ninh quốc gia
Điều 10 Luật An ninh mạng phân loại các hệ thống thông tin quan trọng thuộc lĩnh vực:
| STT | Lĩnh vực | Ví dụ |
|---|---|---|
| 1 | Quân sự, an ninh, ngoại giao | Hệ thống thông tin quốc phòng |
| 2 | Năng lượng, tài chính, ngân hàng | Hệ thống giao dịch ngân hàng |
| 3 | Viễn thông, giao thông vận tải | Hạ tầng viễn thông quốc gia |
| 4 | Tài nguyên môi trường, hóa chất | Hệ thống giám sát môi trường |
| 5 | Y tế, báo chí, truyền thông | Cơ sở dữ liệu y tế quốc gia |
| 6 | Công nghệ thông tin, thương mại điện tử | Sàn TMĐT lớn, nền tảng số |
Doanh nghiệp vận hành hệ thống thuộc các lĩnh vực trên sẽ chịu nghĩa vụ cao hơn so với doanh nghiệp thông thường.
Các nghĩa vụ cốt lõi của doanh nghiệp
1. Nghĩa vụ lưu trữ dữ liệu tại Việt Nam
Đây là quy định gây tranh luận nhiều nhất và cũng là nghĩa vụ quan trọng nhất. Theo Điều 26, khoản 3 Luật An ninh mạng:
Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải:
- Lưu trữ dữ liệu tại Việt Nam, bao gồm: dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng tại Việt Nam tạo ra
- Đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam (đối với doanh nghiệp nước ngoài)
Theo Nghị định 13/2023/NĐ-CP (có hiệu lực từ 01/07/2023), việc chuyển dữ liệu cá nhân ra nước ngoài phải đáp ứng các điều kiện:
- Có sự đồng ý của chủ thể dữ liệu
- Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
- Lập hồ sơ đánh giá tác động gửi Bộ Công an
Ví dụ thực tế: Một công ty thương mại điện tử sử dụng máy chủ đặt tại Singapore để lưu trữ dữ liệu khách hàng Việt Nam. Theo quy định, công ty này phải thực hiện đánh giá tác động và có bản sao dữ liệu lưu tại Việt Nam, hoặc chuyển toàn bộ dữ liệu về máy chủ trong nước.
2. Nghĩa vụ bảo vệ dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP quy định chi tiết về bảo vệ dữ liệu cá nhân, chia thành hai loại:
Dữ liệu cá nhân cơ bản (Điều 2, khoản 3):
- Họ tên, ngày sinh, giới tính
- Địa chỉ liên hệ, số điện thoại, email
- Thông tin tài khoản số
- Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng
Dữ liệu cá nhân nhạy cảm (Điều 2, khoản 4):
- Quan điểm chính trị, tôn giáo
- Tình trạng sức khỏe, thông tin di truyền
- Đặc điểm sinh học (vân tay, nhận dạng khuôn mặt)
- Thông tin tài chính, tín dụng
- Đời sống tình dục, xu hướng tình dục
Doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm phải chỉ định Bộ phận bảo vệ dữ liệu cá nhân và thông báo cho Bộ Công an theo Điều 28 Nghị định 13.
3. Nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân
Theo Điều 24 Nghị định 13/2023/NĐ-CP, doanh nghiệp xử lý dữ liệu cá nhân phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, bao gồm:
- Loại dữ liệu cá nhân được xử lý
- Mục đích và phạm vi xử lý
- Biện pháp bảo vệ dữ liệu cá nhân
- Đánh giá mức độ ảnh hưởng đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu
- Thời gian bắt đầu và kết thúc xử lý
Hồ sơ này phải được gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu.
4. Nghĩa vụ phòng ngừa và xử lý sự cố an ninh mạng
Theo Điều 12 và Điều 13 Luật An ninh mạng, doanh nghiệp phải:
- Xây dựng và triển khai phương án bảo vệ an ninh mạng cho hệ thống thông tin
- Thực hiện các biện pháp giám sát, phát hiện hành vi xâm phạm an ninh mạng
- Phối hợp với cơ quan chức năng trong phòng, chống tấn công mạng
- Báo cáo sự cố an ninh mạng cho cơ quan có thẩm quyền kịp thời
Lưu ý thực tiễn: Theo kinh nghiệm tư vấn của Luật Taga, nhiều doanh nghiệp nhỏ và vừa thường bỏ qua nghĩa vụ lập phương án bảo vệ an ninh mạng vì cho rằng mình không phải đối tượng. Tuy nhiên, bất kỳ doanh nghiệp nào có hệ thống thông tin trên không gian mạng đều có nghĩa vụ cơ bản theo luật.
5. Nghĩa vụ cung cấp thông tin và phối hợp với cơ quan nhà nước
Theo Điều 26, khoản 2 Luật An ninh mạng, doanh nghiệp có nghĩa vụ:
- Cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản
- Xóa bỏ, ngăn chặn việc chia sẻ thông tin có nội dung vi phạm pháp luật trong vòng 24 giờ kể từ khi nhận được yêu cầu
- Không cung cấp hoặc ngừng cung cấp dịch vụ cho tổ chức, cá nhân đăng tải thông tin vi phạm
Chế tài xử phạt vi phạm
Xử phạt hành chính
Theo Nghị định 15/2020/NĐ-CP (sửa đổi bổ sung bởi Nghị định 14/2022/NĐ-CP), các mức phạt chính bao gồm:
| Vi phạm | Mức phạt (triệu đồng) |
|---|---|
| Không lưu trữ dữ liệu theo quy định | 50 - 70 |
| Không thông báo xử lý dữ liệu cá nhân | 30 - 50 |
| Thu thập dữ liệu cá nhân không có sự đồng ý | 40 - 60 |
| Không xóa dữ liệu cá nhân khi được yêu cầu | 20 - 40 |
| Không lập hồ sơ đánh giá tác động | 50 - 80 |
| Chuyển dữ liệu ra nước ngoài trái phép | 100 - 200 |
Mức phạt trên áp dụng cho tổ chức. Cá nhân vi phạm chịu mức phạt bằng 1/2 mức phạt tổ chức.
Trách nhiệm hình sự
Theo Điều 288, 289 Bộ luật Hình sự 2015 (sửa đổi 2017), hành vi vi phạm an ninh mạng nghiêm trọng có thể bị truy cứu trách nhiệm hình sự với mức phạt:
- Phạt tiền từ 30 triệu đến 1 tỷ đồng
- Phạt tù từ 1 năm đến 12 năm
- Cấm đảm nhiệm chức vụ, cấm hành nghề từ 1 đến 5 năm
Hướng dẫn thực hiện tuân thủ cho doanh nghiệp
Bước 1: Đánh giá hiện trạng (Compliance Audit)
Doanh nghiệp cần tiến hành rà soát toàn diện:
- Kiểm kê dữ liệu: Xác định loại dữ liệu cá nhân đang thu thập, lưu trữ, xử lý
- Đánh giá hạ tầng: Xác định vị trí lưu trữ dữ liệu (trong nước hay nước ngoài)
- Rà soát quy trình: Kiểm tra cơ chế thu thập sự đồng ý, quy trình xóa dữ liệu
- Phân loại hệ thống: Xác định hệ thống thông tin có thuộc danh mục quan trọng không
Bước 2: Xây dựng chính sách bảo vệ dữ liệu
Các chính sách cần thiết bao gồm:
- Chính sách bảo mật thông tin (Privacy Policy): Công khai trên website, ứng dụng
- Quy chế quản lý dữ liệu nội bộ: Phân quyền truy cập, quy trình xử lý dữ liệu
- Quy trình ứng phó sự cố: Kế hoạch hành động khi xảy ra rò rỉ dữ liệu
- Chính sách lưu trữ và hủy dữ liệu: Thời hạn lưu trữ, phương thức hủy an toàn
Bước 3: Chỉ định nhân sự phụ trách
Theo Nghị định 13/2023/NĐ-CP, doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm bắt buộc phải có:
- Bộ phận bảo vệ dữ liệu cá nhân hoặc người phụ trách bảo vệ dữ liệu (tương tự DPO - Data Protection Officer trong GDPR)
- Thông báo thông tin bộ phận/người phụ trách cho Bộ Công an
Bước 4: Lập và nộp hồ sơ đánh giá tác động
Doanh nghiệp cần:
- Lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu số 04 tại Phụ lục Nghị định 13
- Lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài theo Mẫu số 05 (nếu có chuyển dữ liệu ra nước ngoài)
- Gửi hồ sơ về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an
Bước 5: Triển khai biện pháp kỹ thuật
- Mã hóa dữ liệu nhạy cảm (encryption at rest và in transit)
- Áp dụng xác thực đa yếu tố (MFA) cho hệ thống quản trị
- Cài đặt hệ thống giám sát và phát hiện xâm nhập (IDS/IPS)
- Thực hiện sao lưu dữ liệu định kỳ
- Kiểm tra bảo mật (penetration testing) ít nhất mỗi năm
Những sai lầm thường gặp của doanh nghiệp
Sai lầm 1: "Doanh nghiệp nhỏ không cần tuân thủ"
Đây là quan niệm sai. Luật An ninh mạng áp dụng cho mọi doanh nghiệp, bất kể quy mô. Một quán cà phê thu thập email khách hàng để gửi khuyến mãi cũng đang xử lý dữ liệu cá nhân và phải tuân thủ nghĩa vụ tối thiểu.
Sai lầm 2: Sử dụng mẫu Privacy Policy sao chép từ nước ngoài
Nhiều doanh nghiệp copy trực tiếp chính sách bảo mật từ website nước ngoài mà không điều chỉnh theo pháp luật Việt Nam. Chính sách tuân thủ GDPR không tự động đáp ứng yêu cầu của Luật An ninh mạng và Nghị định 13.
Sai lầm 3: Không có quy trình xử lý yêu cầu của chủ thể dữ liệu
Theo Điều 9 Nghị định 13, chủ thể dữ liệu có quyền yêu cầu chỉnh sửa, xóa, hạn chế xử lý dữ liệu cá nhân. Doanh nghiệp phải phản hồi trong 72 giờ. Không có quy trình xử lý sẽ dẫn đến vi phạm.
Sai lầm 4: Lưu trữ dữ liệu vô thời hạn
Dữ liệu cá nhân chỉ được lưu trữ trong thời gian phù hợp với mục đích xử lý. Khi hết mục đích, doanh nghiệp phải xóa hoặc hủy dữ liệu theo Điều 16 Nghị định 13.
So sánh Luật An ninh mạng Việt Nam với các quy định quốc tế
| Tiêu chí | Việt Nam (Luật ANM 2018 + NĐ 13) | EU (GDPR) | Trung Quốc (PIPL) |
|---|---|---|---|
| Yêu cầu lưu trữ dữ liệu trong nước | Có, bắt buộc | Không bắt buộc | Có, bắt buộc |
| Đồng ý xử lý dữ liệu | Bắt buộc | Bắt buộc (hoặc cơ sở hợp pháp khác) | Bắt buộc |
| Thông báo rò rỉ dữ liệu | Trong 72 giờ | Trong 72 giờ | Ngay lập tức |
| Mức phạt tối đa | 200 triệu VNĐ (hành chính) | 20 triệu EUR hoặc 4% doanh thu | 50 triệu CNY hoặc 5% doanh thu |
| Chỉ định DPO | Bắt buộc (DL nhạy cảm) | Bắt buộc (một số trường hợp) | Bắt buộc (quy mô lớn) |
Xu hướng pháp lý 2026 và chuẩn bị cho doanh nghiệp
Trong năm 2026, doanh nghiệp cần lưu ý các xu hướng:
- Tăng cường kiểm tra, thanh tra việc tuân thủ Nghị định 13 từ phía Bộ Công an
- Yêu cầu khắt khe hơn đối với doanh nghiệp cung cấp dịch vụ xuyên biên giới
- Hướng dẫn chi tiết hơn về đánh giá tác động và chuyển dữ liệu ra nước ngoài
- Tích hợp AI và dữ liệu cá nhân: Các quy định bổ sung về việc sử dụng trí tuệ nhân tạo trong xử lý dữ liệu cá nhân đang được cơ quan chức năng nghiên cứu ban hành
Kết luận
Tuân thủ Luật An ninh mạng và các quy định về bảo vệ dữ liệu cá nhân không chỉ là nghĩa vụ pháp lý mà còn là yếu tố xây dựng uy tín và niềm tin khách hàng. Doanh nghiệp cần chủ động rà soát, xây dựng hệ thống tuân thủ ngay từ bây giờ thay vì chờ đến khi bị thanh tra hay xử phạt.
Việc tuân thủ đòi hỏi sự kết hợp giữa kiến thức pháp lý chuyên sâu và hiểu biết kỹ thuật về bảo mật thông tin. Doanh nghiệp nên tìm đến các đơn vị tư vấn pháp lý có kinh nghiệm để được hỗ trợ toàn diện.
Luật Taga với đội ngũ luật sư giàu kinh nghiệm trong lĩnh vực công nghệ và bảo vệ dữ liệu, sẵn sàng hỗ trợ doanh nghiệp:
- Đánh giá hiện trạng tuân thủ an ninh mạng
- Xây dựng chính sách bảo mật và quy trình xử lý dữ liệu
- Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
- Tư vấn về lưu trữ dữ liệu và chuyển dữ liệu ra nước ngoài
Liên hệ ngay Hotline: 0968.856.464 hoặc truy cập luattaga.vn để được tư vấn miễn phí!
Cần tư vấn thêm về vấn đề này?
Liên hệ Luật Taga để được luật sư tư vấn miễn phí