Luật An ninh mạng năm 2025 (dự thảo) cũng sẽ giải quyết tình trạng chồng chéo pháp lý trước đây và tình trạng khó khăn, phức tạp trong thực thi; củng cố niềm tin của nhà đầu tư nước ngoài trong dài hạn, tối ưu hóa môi trường đầu tư nước ngoài, đồng thời bảo vệ an ninh quốc gia, tạo ra lợi thế cạnh tranh mới cho sự phát triển kinh tế số của Việt Nam.

Bối cảnh pháp lý và mục tiêu của Luật An ninh mạng năm 2025 (dự thảo)

Tiến trình xây dựng pháp luật về an ninh mạng của Việt Nam là một thành phần cốt lõi trong chiến lược chuyển đổi số quốc gia. Theo kế hoạch của Chính phủ Việt Nam, nền kinh tế số chiếm 20% GDP vào năm 2025, dự kiến sẽ đạt 30% vào năm 2030. Để đạt được mục tiêu này, Việt Nam đang tích cực hoàn thiện cơ sở hạ tầng pháp lý số, trong đó Luật An ninh mạng năm 2025 (dự thảo) (sau đây gọi tắt là “Luật ANM 2025”) là một trong những sáng kiến lập pháp quan trọng nhất. Luật ANM 2025 nhằm mục đích hợp nhất Luật An ninh mạng năm 2018 và Luật An toàn thông tin mạng năm 2015 (sửa đổi, bổ sung năm 2018) và để hình thành một khuôn khổ pháp lý thống nhất và hiện đại.

Mục tiêu cốt lõi của Luật ANM 2025 bao gồm ba khía cạnh: bảo vệ chủ quyền số quốc gia và cơ sở hạ tầng thông tin quan trọng, đảm bảo lợi ích quốc gia của Việt Nam trên không gian mạng; thiết lập các quy tắc quản trị dữ liệu rõ ràng và cung cấp môi trường pháp lý ổn định cho các công ty trong và ngoài nước; và thúc đẩy sự phát triển của nền kinh tế số và thu hút đầu tư nước ngoài chất lượng cao thông qua hệ sinh thái số an toàn.

Về quy trình lập pháp, Bộ Công an Việt Nam đã bắt đầu lấy ý kiến nhân dân về Luật ANM 2025 từ ngày 26/06/2025 đến ngày 16/07/2025. Phương pháp tham vấn nhân dân này tự thân tạo cơ hội, cho phép cho công ty/ doanh nghiệp có vốn đầu tư nước ngoài (Foreign Invested Enterprise - FIE) tham gia vào quá trình lập pháp, bày tỏ quan tâm và đề xuất của FIE, đồng thời phản ánh tính minh bạch và tính bao trùm của quy trình lập pháp tại Việt Nam.

Tác động tích cực của Luật ANM 2025 đối với FIE

 Tác động kép của yêu cầu bản địa hóa dữ liệu

Quy định đáng chú ý nhất trong Luật ANM 2025 là yêu cầu lưu trữ dữ liệu tại Việt Nam. Theo Luật ANM 2025, một số loại dữ liệu số (đặc biệt là dữ liệu cá nhân, thông tin kinh doanh quan trọng và dữ liệu liên quan đến an ninh quốc gia) phải được lưu trữ tại Việt Nam. Nhìn bề ngoài, yêu cầu này làm tăng chi phí hoạt động của FIE, nhưng phân tích sâu cho thấy nó cũng tạo ra giá trị chiến lược.

Bản địa hóa dữ liệu thực sự tăng cường tính rõ ràng của chủ quyền dữ liệu cho FIE tại Việt Nam. Theo mô hình luồng dữ liệu xuyên biên giới truyền thống, FIE thường phải đối mặt với rủi ro không chắc chắn về thẩm quyền. Bằng cách làm rõ các yêu cầu lưu trữ dữ liệu, Luật ANM 2025 thực sự phân chia ranh giới trách nhiệm pháp lý cho FIE. Cùng với đó, Luật Dữ liệu cho phép tự do chuyển dữ liệu từ nước ngoài vào Việt Nam và xử lý dữ liệu nước ngoài, mang lại sự linh hoạt trong hoạt động cho FIE. Yêu cầu lưu trữ cục bộ khuyến khích FIE đầu tư vào cơ sở hạ tầng trung tâm dữ liệu cục bộ tại Việt Nam, từ đó tăng cường khả năng quản lý bảo mật dữ liệu của FIE và giảm nguy cơ rò rỉ dữ liệu xuyên biên giới.

Chuẩn hóa cơ chế truyền dữ liệu xuyên biên giới

Một điểm phát triển quan trọng khác của Luật ANM 2025 là việc thiết lập một cơ chế chuyển giao dữ liệu xuyên biên giới có hệ thống. Luật ANM 2025 áp dụng phương pháp quản lý chuyển giao dữ liệu tương tự như GDPR của EU, yêu cầu các đơn vị kiểm soát dữ liệu phải tiến hành đánh giá tác động bảo vệ dữ liệu (DPIA) trước khi thực hiện chuyển giao dữ liệu xuyên biên giới và nộp báo cáo cho Bộ Công an (MPS) trong vòng 60 ngày kể từ lần chuyển giao đầu tiên. Mặc dù cơ chế này làm tăng các yêu cầu về thủ tục, nhưng nó mang lại sự chắc chắn về mặt pháp lý cho FIE.

Điều đáng chú ý là Luật ANM 2025 không cấm việc chuyển dữ liệu xuyên biên giới, mà thay vào đó thiết lập một khuôn khổ quản lý dựa trên rủi ro. Luật Dữ liệu số 60/2025/QH15, phân biệt xác định “dữ liệu quan trọng” và “dữ liệu cốt lõi”, đồng thời áp dụng các quy tắc truyền dữ liệu khác nhau cho các loại dữ liệu khác nhau. Việc quản lý khác nhau này cho phép FIE thiết kế chiến lược tuân thủ dựa trên loại dữ liệu, tránh sự bất tiện của quy định “một khuôn cho tất cả”. Đối với dữ liệu thương mại chung không liên quan đến an ninh quốc gia và lợi ích công cộng, FIE vẫn được hưởng quyền tự do truyền dữ liệu lớn hơn.

Cải thiện tính minh bạch trong tuân thủ

So với Luật An ninh mạng năm 2018, Luật ANM 2025 đã có những cải thiện đáng kể về tính minh bạch trong việc tuân thủ. Đáng chú ý là Bộ Công an, với tư cách là cơ quan quản lý nhà nước chủ chốt, sẽ ban hành các hướng dẫn thực hiện và tiêu chuẩn tuân thủ chi tiết hơn để giảm thiểu việc thực thi tùy tiện. Tính minh bạch được tăng cường này đặc biệt có lợi cho FIE, vì các công ty đa quốc gia thường có nguồn lực tuân thủ mạnh hơn và có thể thích ứng với môi trường pháp lý được xác định rõ ràng hiệu quả hơn so với các công ty trong nước.

Nghĩa vụ báo cáo sự cố, vi phạm dữ liệu được quy định trong Luật ANM 2025, có thể gia tăng trách nhiệm tuân thủ, nhưng sẽ mang lại lợi ích lâu dài cho FIE. Một tiêu chuẩn thông báo vi phạm thống nhất sẽ tránh được tình trạng phản ứng khẩn cấp hỗn loạn và cho phép FIE lập kế hoạch quy trình ứng phó sự cố được chuẩn hóa. Hơn nữa, kinh nghiệm và thành tích tốt xử lý vi phạm dữ liệu có thể trở thành một lợi thế về uy tín cho FIE tại thị trường Việt Nam, từ đó nâng cao niềm tin của người tiêu dùng.

Tác động tích cực của việc tuân thủ như một rào cản cạnh tranh

Luật ANM 2025 thực chất đóng vai trò là một cơ chế sàng lọc thị trường bằng cách thiết lập các yêu cầu tuân thủ rõ ràng. Luật ANM 2025 yêu cầu FIE phải đáp ứng các yêu cầu về lưu trữ dữ liệu tại Việt Nam và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam, điều này có vẻ như là rào cản gia nhập thị trường, nhưng trên thực tế, nó ngăn chặn sự cạnh tranh không lành mạnh của các công ty tồn tại nhờ vào hưởng lợi “chênh lệch giá trong ngắn hạn” và tạo ra một môi trường cạnh tranh ổn định hơn cho FIE chất lượng cao đầu tư nghiêm túc vào thị trường Việt Nam.

Tuân thủ an ninh mạng đang trở thành một yếu tố quan trọng trong cạnh tranh giữa các công ty. FIE có thể đáp ứng các yêu cầu an ninh mạng tiêu chuẩn cao có thể đạt được lợi thế cạnh tranh đáng kể, đặc biệt là trong các lĩnh vực nhạy cảm về dữ liệu như công nghệ tài chính, thương mại điện tử và công nghệ y tế. Sau khi được triển khai, hệ thống chứng nhận hợp quy, hợp chuẩn về an ninh mạng được đề cập trong Luật ANM 2025 sẽ trở thành chứng nhận an ninh cho các sản phẩm và dịch vụ của FIE, nâng cao nhận diện thương hiệu trên thị trường.

Cơ hội do hiện đại hóa môi trường pháp lý mang lại

Việc hiện đại hóa môi trường pháp lý an ninh mạng của Việt Nam đang tạo ra các cơ hội thị trường mang tính cấu trúc. Thị trường an ninh mạng của Việt Nam đang phát triển nhanh chóng và dự kiến sẽ đạt quy mô đáng kể vào năm 2025. Sự tăng trưởng này chủ yếu được thúc đẩy bởi nhu cầu tuân thủ pháp luật, tạo ra các cơ hội kinh doanh đáng kể cho FIE cung cấp giải pháp an ninh mạng.

Đồng thời, việc thực hiện Luật ANM 2025 sẽ thúc đẩy hiện đại hóa môi trường kinh doanh tổng thể của Việt Nam. Một khuôn khổ an ninh mạng và bảo vệ dữ liệu tuân thủ nghiêm ngặt có thể cải thiện năng suất hoạt động của các công ty tại Việt Nam. Đối với FIE, môi trường được cải thiện này đồng nghĩa với việc giảm chi phí vận hành và nâng cao hiệu quả ra quyết định. Đặc biệt trong lĩnh vực dịch vụ số, một môi trường pháp lý rõ ràng cho phép FIE tự tin hơn trong việc triển khai các mô hình kinh doanh tiên tiến mà không phải lo lắng quá nhiều về sự bất ổn của quy định.

Hiệu quả tăng lên từ một khuôn khổ pháp lý thống nhất

Luật ANM 2025 là một bước tiến đáng kể trong việc hợp nhất các quy định rời rạc thành một khuôn khổ pháp lý thống nhất. Luật ANM 2025 nhằm mục đích thay thế Luật An ninh mạng năm 2018 và thống nhất cũng như tập trung hóa việc quản lý các lĩnh vực an ninh mạng, bảo vệ dữ liệu và an ninh thông tin. Sự hợp nhất này đặc biệt có lợi cho các công ty đa quốc gia, vì họ thường cần phối hợp các nỗ lực tuân thủ trên nhiều thị trường, và một khuôn khổ pháp lý thống nhất giúp giảm đáng kể độ phức tạp và chi phí tuân thủ.

Luật ANM 2025 dự kiến sẽ đơn giản hóa thủ tục hành chính và cải thiện môi trường kinh doanh. Đối với FIE, việc đơn giản hóa này đồng nghĩa với việc giảm bớt các liên kết phê duyệt, các yêu cầu cấp phép rõ ràng hơn và các tương tác pháp lý dễ dự đoán hơn. Đặc biệt, về mặt chuyển dữ liệu xuyên biên giới, quy trình chuẩn hóa được thiết lập bởi Luật ANM 2025 sẽ giảm đáng kể sự không chắc chắn và chi phí thời gian của việc phê duyệt từng trường hợp.

Lợi ích gián tiếp của quản trị số

Chuyển đổi quản trị số được thúc đẩy bởi Luật ANM 2025 sẽ mang lại những cải thiện đáng kể về hiệu quả hoạt động cho FIE[21]. Việt Nam đang triển khai “Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030”, trong đó có mục tiêu nâng cao kỹ năng số của cán bộ công chức và trình độ số của các cơ quan quản lý. Điều này có nghĩa là trong tương lai, việc giao tiếp và tương tác giữa FIE và các cơ quan quản lý sẽ được số hóa và hiệu quả hơn, giảm chi phí cho các quy trình giấy tờ và giao tiếp trực tiếp.

Nguyên tắc trung lập về công nghệ được khuyến khích trong Luật ANM 2025 cho phép FIE tự do lựa chọn các giải pháp công nghệ an ninh mạng hiệu quả nhất mà không bị hạn chế bởi các tiêu chuẩn kỹ thuật cụ thể. Sự linh hoạt này cho phép FIE áp dụng các thông lệ tốt nhất toàn cầu của họ vào thị trường Việt Nam, đạt được hiệu quả kinh tế theo quy mô và giảm chi phí tuân thủ đơn vị.

Hiệu ứng hiệp đồng của các chính sách kinh tế số

Luật ANM 2025 không tồn tại riêng lẻ mà tạo nên hiệu ứng hiệp đồng với chính sách kinh tế số tổng thể của Việt Nam. Nền kinh tế số của Việt Nam dự kiến sẽ đạt 43 tỷ đô la Mỹ vào năm 2025 và Chính phủ đang khuyến khích chuyển đổi số thông qua một số chính sách. Luật ANM 2025 đóng vai trò là bảo đảm pháp lý cho các chính sách này và cung cấp một kênh chiến lược cho các công ty nước ngoài tham gia vào sự phát triển của nền kinh tế số của Việt Nam.

Điều đáng chú ý là Luật ANM 2025 hoàn toàn phù hợp với Chương trình hành động quốc gia về phát triển và chuyển đổi sang sử dụng nền tảng điện toán đám mây giai đoạn 2025-2030 của Việt Nam. Cần lưu ý rằng Việt Nam đã dỡ bỏ các hạn chế đối với quyền sở hữu dữ liệu và dịch vụ đám mây của nước ngoài, cho phép các công ty nước ngoài sở hữu 100% trung tâm dữ liệu và cơ sở hạ tầng đám mây. Chính sách này, kết hợp với các yêu cầu nội địa hóa dữ liệu của Luật ANM 2025, thực sự tạo ra những cơ hội to lớn cho các nhà cung cấp dịch vụ đám mây nước ngoài, vì họ có thể đáp ứng các yêu cầu tuân thủ thông qua đầu tư cơ sở hạ tầng trong nước, đồng thời tận dụng tối đa tiềm năng tăng trưởng của thị trường điện toán đám mây Việt Nam.

Cơ hội chiến lược trong đổi mới

Luật ANM 2025 đặc biệt cung cấp các cơ hội phù hợp cho các công ty nước ngoài trong lĩnh vực đổi mới công nghệ. Luật ANM 2025 khuyến khích các công ty tiến hành nghiên cứu và phát triển công nghệ trong nước và đổi mới sáng tạo độc lập, đồng thời hỗ trợ các công ty công nghệ và các công ty khởi nghiệp, bao gồm tài trợ nghiên cứu, ưu đãi thuế và đào tạo nguồn nhân lực. Mặc dù những ưu đãi này không chỉ có trong lĩnh vực an ninh mạng, nhưng môi trường số an toàn do Luật ANM 2025 tạo ra cho phép FIE tự tin hơn trong việc đầu tư vào các hoạt động R&D.

Trong các lĩnh vực được quản lý chặt chẽ như công nghệ tài chính và công nghệ y tế, các quy tắc rõ ràng do Luật ANM 2025 đưa ra đặc biệt có giá trị. Phân tích cho thấy các quy tắc xử lý dữ liệu rõ ràng cho phép FIE trong các lĩnh vực này thiết kế các mô hình kinh doanh tuân thủ và tránh các trở ngại đối với sự đổi mới do sự mơ hồ về quy định gây ra. Đồng thời, xu hướng phù hợp với các tiêu chuẩn quốc tế của Luật ANM 2025 mang lại cho FIE đã tuân thủ các quy định ở các thị trường khác một lợi thế đi đầu, cho phép FIE nhanh chóng thích ứng với thị trường Việt Nam.

Sự tiện lợi của các tiêu chuẩn quốc tế

Một đặc điểm chính của Luật ANM 2025 là sự liên kết tích cực với các tiêu chuẩn quốc tế. Luật ANM 2025 nêu rõ rằng luật pháp của Việt Nam được dự định sẽ liên kết với các tiêu chuẩn quốc tế (như GDPR, APEC CBPR và Khung quản trị dữ liệu ASEAN). Sự liên kết này giúp giảm đáng kể chi phí tuân thủ cho các công ty đa quốc gia, vì họ có thể điều chỉnh các khuôn khổ tuân thủ được phát triển ở các thị trường khác và áp dụng chúng cho Việt Nam, thay vì phải xây dựng một hệ thống tuân thủ hoàn toàn mới từ đầu.

Đồng thời, sự hội nhập quốc tế này đã giúp các tiêu chuẩn an ninh mạng của Việt Nam được công nhận quốc tế. Thứ hạng của Việt Nam trong các chỉ số an ninh mạng quốc tế đang được cải thiện. Sự công nhận ngày càng tăng này mang lại lợi ích trực tiếp cho FIE tại Việt Nam vì họ có thể chứng minh mức độ tuân thủ của hoạt động tại Việt Nam với trụ sở chính toàn cầu và nhận được nhiều nguồn lực và hỗ trợ hơn. Ngoài ra, việc quốc tế hóa các tiêu chuẩn cũng giúp FIE dễ dàng xuất khẩu sản phẩm và dịch vụ được phát triển tại Việt Nam sang các thị trường khác, nâng cao giá trị chiến lược của hoạt động tại Việt Nam.

Tăng cường cơ chế hợp tác xuyên biên giới

Luật ANM 2025 đưa ra khuôn khổ thể chế cho hợp tác xuyên biên giới. Cần lưu ý rằng Việt Nam tích cực tham gia hợp tác an ninh mạng quốc tế, bao gồm cả kế hoạch đăng cai tổ chức Lễ mở ký kết Công ước của Liên hợp quốc về chống tội phạm mạng vào ngày 25-26/10/ 2025 tại Hà Nội. Sự tham gia đa phương này tạo ra môi trường pháp lý quốc tế ổn định hơn cho FIE và giảm thiểu rủi ro về những thay đổi chính sách do các yếu tố địa chính trị gây ra.

Ở cấp độ song phương, Việt Nam đã thiết lập các cơ chế hợp tác an ninh mạng với một số quốc gia. Việt Nam có sự hợp tác sâu rộng với Israel, Hoa Kỳ, Úc và các quốc gia khác trong việc xây dựng năng lực an ninh mạng và phát triển kỹ năng số. Những sự hợp tác này thường đi kèm với chuyển giao công nghệ và chia sẻ các phương pháp hay nhất, tạo cơ hội mở rộng kinh doanh cho FIE tại các quốc gia có liên quan. Ví dụ, các công ty lưu trữ quốc tế như Amazon AWS và Microsoft Azure đã thích ứng thành công với các quy định về an ninh mạng của Việt Nam, cung cấp các trường hợp tuân thủ mà FIE khác có thể học hỏi.

Khuyến nghị cụ thể cho FIE

Những khuyến nghị chiến lược sau đây cho FIE tại thị trường Việt Nam:

Cần hành động ngay lập tức

Tiến hành phân tích khoảng cách tuân thủ chi tiết để xác định sự khác biệt giữa các thông lệ hiện hành và các yêu cầu tại Luật ANM 2025, đặc biệt liên quan đến việc bản địa hóa dữ liệu và chuyển giao xuyên biên giới.

Thiết lập các kênh liên lạc với các cơ quan quản lý như Bộ Công an Việt Nam, tham gia vào quá trình tham vấn công khai về Luật ANM 2025 và bày tỏ quan tâm của doanh nghiệp.

-Đánh giá các tùy chọn trung tâm dữ liệu cục bộ và dịch vụ đám mây và lập kế hoạch triển khai cho việc bản địa hóa dữ liệu.

Điều chỉnh chiến lược trung hạn

Kết hợp việc tuân thủ an ninh mạng vào chiến lược xây dựng lợi thế cạnh tranh cốt lõi của FIE và sử dụng việc tuân thủ tiêu chuẩn cao như một phương tiện tạo sự khác biệt trên thị trường.

Khám phá các cơ hội hợp tác với các công ty Việt Nam địa phương, đặc biệt là trong các lĩnh vực giải pháp an ninh mạng và dịch vụ dữ liệu.

Điều chỉnh thiết kế sản phẩm và dịch vụ để kết hợp các nguyên tắc “quyền riêng tư theo thiết kế” và “bảo mật theo thiết kế” để thích ứng với các yêu cầu tại Luật ANM 2025.

 Kế hoạch chiến lược dài hạn

Đưa Việt Nam vào khuôn khổ quản trị dữ liệu toàn cầu, tận dụng tối đa các đặc điểm của Luật ANM 2025 là phù hợp với các tiêu chuẩn quốc tế và đạt được quy mô kinh tế tuân thủ.

Tăng cường đầu tư vào R&D tại Việt Nam, đặc biệt là công nghệ an ninh mạng và quản lý dữ liệu, đồng thời tận dụng các chính sách ưu đãi của Việt Nam.

Phát triển các chương trình phát triển tài năng để đào tạo một đội ngũ địa phương quen thuộc với các quy định về an ninh mạng của Việt Nam và giảm sự phụ thuộc vào tư vấn bên ngoài.

Luật ANM 2025 là một bước tiến đáng kể trong quá trình hiện đại hóa quản trị số tại Việt Nam. Mặc dù đặt ra một số thách thức ngắn hạn về khả năng thích ứng, nhưng Luật ANM 2025 sẽ tạo ra một môi trường kinh doanh minh bạch, ổn định và bền vững hơn cho FIE nghiêm túc đầu tư vào thị trường Việt Nam. FIE chủ động thích ứng và chủ động chuẩn bị cho sự phát triển nhanh chóng của nền kinh tế số Việt Nam sẽ có được lợi thế cạnh tranh đáng kể.

Đỗ Quốc Bình