1. Yêu cầu điều kiện cung cấp dịch vụ xuyên biên giới của doanh nghiệp nước ngoài tại Việt Nam
Khoản 3 Điều 25 Luật An ninh mạng (Luật ANM) 2025 yêu cầu doanh nghiệp nước ngoài cung cấp dịch vụ trên mạng Internet hoặc các dịch vụ gia tăng trên không gian mạng tại Việt Nam (hay được hiểu là các doanh nghiệp cung cấp dịch vụ xuyên biên giới tại Việt Nam) phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Tuy nhiên, không phải tất cả trường hợp đều bắt buộc lập chi nhánh và văn phòng đại diện tại Việt Nam.
Theo đó, doanh nghiệp nước ngoài chỉ phải thành lập chi nhánh và văn phòng đại diện khi có yêu cầu theo yêu cầu của cơ quan chuyên trách và có đầy đủ yếu tố sau: (i) hoạt động kinh doanh trong một số lĩnh vực nhất định [1]; (ii) dịch vụ cung cấp bị sử dụng để thực hiện hành vi vi phạm; (iii) đã có yêu cầu phối hợp, ngăn chặn, điều tra, xử lý bằng văn bản sau 03 lần trong thời gian tối đa 6 tháng nhưng doanh nghiệp không có giải pháp khắc phục hoặc các hoạt động khác làm mất tác dụng của biện pháp bảo vệ an ninh mạng. Trong một số trường hợp bất khả kháng dẫn đến việc không chấp hành thì doanh nghiệp nước ngoài phải có thông báo trong vòng 03 làm việc và tìm phương án khắc phục trong thời gian 30 ngày làm việc. Do đó, trong trường hợp có quyết định yêu cầu thành lập của Bộ trưởng Bộ Công an thì doanh nghiệp phải tuân thủ việc thành lập chi nhánh hoặc văn phòng đại diện trong thời hạn 12 tháng kể từ ngày có quyết định để trách những rủi ro về xử phạt.
Ngoài ra, để đảm bảo việc cung cấp dịch vụ tuân thủ với quy định mới, doanh nghiệp cần rà soát các dịch vụ an ninh mạng do mình cung cấp có được quyền cung cấp theo quy định tại khoản 2 Điều 28 Luật ANM 2025 hay không. Bên cạnh đó, việc kinh doanh dịch vụ an ninh mạng còn phải đảm bảo về quy chuẩn kỹ thuật trên cơ sở các văn bản do Bộ Công an xây dựng và pháp luật về tiêu chuẩn và quy chuẩn kỹ thuật.
2. An ninh thông tin mạng và an ninh dữ liệu là ưu tiên của Việt Nam
Một trong những hoạt động bảo vệ an ninh mạng hàng đầu được đặt ra đối với Việt Nam hiện nay là việc đảm bảo đối với hai yếu tố quan trọng [2]: An ninh thông tin mạng và an ninh dữ liệu. Các yêu cầu này không chỉ áp dụng đối với doanh nghiệp trong nước mà còn đối với các doanh nghiệp cung cấp dịch vụ xuyên biên giới tại Việt Nam. Điều này nhằm mục đích ngăn ngừa các hành vi phá hoại hoặc đe dọa đến an ninh quốc gia, trật tự xã hội như việc truy cập, sử dụng, tiết lộ, sửa đổi trái phép đối với thông tin hoặc dữ liệu trên không gian mạng.
Đối với hoạt động an ninh thông tin mạng, doanh nghiệp được yêu cầu phải triển khai các hoạt động như[3]: (i) Xác thực, bảo vệ thông tin và tài khoản người sử dụng dịch vụ; (ii) cung cấp thông tin phục vụ bảo vệ an ninh thông tin mạng; (iii) ngăn chặn, xử lý thông tin, dịch vụ ứng dụng vi phạm; (iv) tạm ngừng, ngừng cung cấp dịch vụ; (v) lưu trữ và quản lý nhật ký hệ thống.
Trường hợp có yêu cầu phối hợp từ các cơ quan chuyên trách, doanh nghiệp cần cung cấp kịp thời các thông tin được chia sẻ đăng tải trên không gian mạng, đặc biệt các thông tin mang tính chống phá Nhà nước. Ví dụ, khi có dấu hiệu về hành vi vi phạm trên không gian mạng, tổ chức này phải xác thực thông tin người dùng, bảo mật và cung cấp cho cơ quan chuyên trách trong vòng 24 giờ kể từ thời điểm được yêu cầu [4]. Trừ một số trường hợp khẩn[5], thời hạn chậm nhất là 03 giờ. Đồng thời, các biện pháp ngăn chặn, hạn chế, xóa thông tin hoặc tạm ngừng cung cấp dịch vụ sẽ được thực hiện kèm theo.
Ở khía cạnh an ninh dữ liệu, vấn đề này không chỉ điều chỉnh tại Luật ANM mà còn thuộc phạm vi điều chỉnh của pháp luật liên quan về dữ liệu, dữ liệu cá nhân. Trong phạm vi Luật ANM, quy định mới tập trung xoay quanh các biện pháp kỹ thuật, tổ chức và cơ chế để đảm bảo an toàn các dữ liệu xuất hiện trên không gian mạng. Ví dụ, đối với loại dữ liệu quan trọng, hệ thống thông tin xử lý phải đáp ứng yêu cầu an toàn tối thiểu ở hệ thống thông tin cấp độ 3 và áp dụng cơ chế giám sát 24/7 [6]. Đáng chú ý, các doanh nghiệp cung cấp dịch vụ xuyên biên giới tại Việt Nam bắt buộc phải thực hiện đánh giá chuyển dữ liệu khi chủ thể này thường xuyên phải xử lý các dữ liệu trên các nền tảng của mình [7].
Ảnh minh họa. Nguồn: Internet.
3. Tăng cường kiểm soát chặt chẽ nội dung liên quan đến trí tuệ nhân tạo
Trên không gian mạng, các rủi ro tiềm ẩn phát sinh từ trí tuệ nhân tạo (AI) là một thách thức không nhỏ đối với các nhà cung cấp sản phẩm, dịch vụ an ninh mạng. Luật ANM đã bước đầu có những bổ sung những quy định trước sự phát triển liên tục của công nghệ này. Theo đó, Luật nghiêm cấm các hành vi sử dụng trí tuệ nhân tạo để giả mạo các video, hình ảnh, giọng nói của người khác với mục đích trái pháp luật [8]. Việc lần đầu tiên đưa quy định này vào luật cho thấy nỗ lực điều chỉnh kịp thời của pháp luật trước thực trạng không gian mạng ngày càng bị lợi dụng để lừa đảo và xâm phạm quyền riêng tư.
Tuy nhiên, trước sự phát triển nhanh chóng và tác động ngày càng sâu rộng của AI, các vấn đề pháp lý liên quan đến công nghệ này đòi hỏi một khuôn khổ điều chỉnh toàn diện và chuyên biệt hơn. Do đó, các quy định chi tiết về phát triển, triển khai và quản lý AI sẽ được điều chỉnh chi tiết trong một văn bản pháp luật độc lập, cụ thể là Luật Trí tuệ nhân tạo 2025 đã có hiệu lực từ ngày 01/03/2026.
4. Phối hợp cơ quan nhà nước trong việc định danh địa chỉ IP
Khi phát hiện những vi phạm trên không gian mạng, việc định danh địa chỉ IP được xem là một trong những cách thức quan trọng để phục vụ công tác điều tra, xác minh của lực lượng bảo vệ an ninh mạng. Theo quy định của Luật ANM, doanh nghiệp cung cấp dịch vụ dịch vụ viễn thông, internet phải có trách nhiệm định danh địa IP để lực lượng bảo vệ an ninh mạng có biện pháp bảo vệ an ninh mạng phù hợp. Một số nguyên tắc định danh địa chỉ IP cũng được đặt ra với doanh nghiệp như[9]: (i) Quản lý định danh địa chỉ IP phải đảm bảo tính chính xác và khả năng truy nguyên duy nhất với chủ thể sử dụng dịch vụ, (ii) duy trì hệ thống kỹ thuật để ghi nhận, lưu trữ phục vụ việc định danh; (ii) phải thực hiện việc định danh xuyên suốt để phục vụ yêu cầu quản lý nhà nước. Những bước đi này được kỳ vọng sẽ hỗ trợ công tác quản lý nhà nước về an ninh mạng, đảm bảo sự an toàn của người dùng trên không gian mạng.
Tuy nhiên, điều này phát sinh ra một khoản chi phí tuân thủ nhất định cho doanh nghiệp khi các doanh nghiệp phải tự đảm bảo kinh phí bảo vệ an ninh mạnh. Chẳng hạn, doanh nghiệp có thể phải đầu tư thêm vào hạ tầng kỹ thuật, nhân sự chuyên môn để triển khai các hoạt động ghi nhận, lưu trữ và quản lý dữ liệu địa chỉ IP. Đối với các nền tảng có số lượng người dùng lớn hoặc hoạt động xuyên biên giới, việc đáp ứng các yêu cầu này có thể làm tăng đáng kể chi phí vận hành.
Để giảm bớt gánh nặng chi phí tuân thủ và rủi ro ban đầu, doanh nghiệp có thể cân nhắc việc tăng cường hợp tác với các đơn vị cung cấp dịch vụ công nghệ chuyên biệt nhằm chia sẻ chi phí và nguồn lực trong việc triển khai các biện pháp bảo đảm an ninh mạng. Ở các giai đoạn tiếp theo, doanh nghiệp có thể cân nhắc tối ưu hóa hạ tầng công nghệ có sẵn, ứng dụng các giải pháp lưu trữ và quản lý dữ liệu trên kinh nghiệm từ đơn vị dịch vụ công nghệ trước đó. Đồng thời, doanh nghiệp phải có đội ngũ pháp lý giàu kinh nghiệm thường xuyên cập nhật và phối hợp các bên chuyên môn để kịp thời tuân thủ các yêu cầu mới phát sinh.
Nhìn chung, Luật ANM 2025 được cho là sẽ tạo ra những thay đổi đáng kể trong nghĩa vụ tuân thủ của các doanh nghiệp hoạt động trên không gian mạng tại Việt Nam. Đặc biệt là các doanh nghiệp nước ngoài cung cấp dịch vụ xuyên biên giới. Quy định mới buộc các doanh nghiệp này phải chủ động đánh giá tác động của các quy định này đối với hoạt động kinh doanh của mình, đồng thời chuẩn bị nguồn ngân sách phù hợp và các biện pháp kỹ thuật và pháp lý cần thiết để tránh việc gián đoạn cũng như duy trì sự ổn định trong quá trình cung cấp dịch vụ tại Việt Nam.
[1] Điểm a khoản 3 Điều 28 Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng.
[2] Điều 25, 26 Luật ANM 2025; Chương IV, V Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng.
[3] Điều 25 Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng.
[4] Điểm a, b khoản 2 Điều 25 Luật ANM 2025.
[5] Điểm a khoản 2 Điều 25 Luật ANM 2025.
[6] Điểm a, b Điều 31 Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng.
[7] Điểm e khoản 2 Điều 26 Luật ANM 2025.
[8] Điểm g khoản 2 Điều 7 Luật ANM 2025.
[9] Điều 38, Dự thảo Nghị định Quy định chi tiết một số điều của Luật An ninh mạng.
Luật sư NGUYỄN VĂN PHÚC
LÊ VIỆT HÙNG
Công ty Luật TNHH HM&P.
