Tìm hiểu các quy định mới của Luật An ninh mạng 2025 liên quan đến thông tin xâm phạm quyền lợi doanh nghiệp, trách nhiệm gỡ bỏ thông tin vi phạm, bảo vệ dữ liệu, xử lý sự cố và điều kiện kinh doanh sản phẩm, dịch vụ an ninh mạng.

Lưu ý pháp lý: Luật An ninh mạng 2025 số 116/2025/QH15 có hiệu lực thi hành từ ngày 01/7/2026. Do đó, khi áp dụng vào từng vụ việc cụ thể, doanh nghiệp cần đối chiếu thời điểm phát sinh sự việc để xác định văn bản pháp luật đang có hiệu lực tại thời điểm đó.

Trong bối cảnh hoạt động kinh doanh ngày càng phụ thuộc vào nền tảng số, thương mại điện tử, mạng xã hội, dữ liệu khách hàng và hệ thống công nghệ thông tin, an ninh mạng không còn là vấn đề riêng của các doanh nghiệp công nghệ. Bất kỳ doanh nghiệp nào có website, ứng dụng, tài khoản mạng xã hội, cơ sở dữ liệu khách hàng hoặc hoạt động kinh doanh trên môi trường mạng đều có thể chịu tác động bởi các quy định pháp luật về an ninh mạng.

Luật An ninh mạng 2025 đặt ra nhiều yêu cầu đáng chú ý đối với doanh nghiệp, đặc biệt là nhóm doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, dịch vụ gia tăng trên không gian mạng và doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng.

1. Thông tin xâm phạm quyền, lợi ích hợp pháp của doanh nghiệp trên không gian mạng

Theo Luật An ninh mạng 2025, thông tin trên không gian mạng có nội dung xâm phạm quyền, lợi ích hợp pháp của tổ chức, doanh nghiệp có thể bao gồm nhiều dạng khác nhau.

Các hành vi thường gặp có thể kể đến như:

• Lan truyền thông tin xuyên tạc, bịa đặt, sai sự thật làm ảnh hưởng đến uy tín, hoạt động bình thường của doanh nghiệp;
• Kêu gọi, vận động, xúi giục tẩy chay sản phẩm, hàng hóa, dịch vụ, nhãn hàng, thương hiệu của doanh nghiệp, gây thiệt hại về vật chất hoặc uy tín;
• Mạo danh, giả mạo thông tin, hình ảnh của doanh nghiệp;
• Làm nhái sản phẩm, nhãn hiệu, thương hiệu bằng công cụ công nghệ;
• Sử dụng trái phép thông tin của tổ chức, cá nhân để thành lập doanh nghiệp, đăng ký tài khoản ngân hàng, tài khoản chứng khoán, tài khoản thuế hoặc các tài khoản số khác;
• Đăng tải thông tin gây hiểu lầm làm ảnh hưởng đến quan hệ khách hàng, đối tác, nhà đầu tư của doanh nghiệp.

Trong thực tế, các hành vi này có thể xuất hiện dưới nhiều hình thức như bài viết trên Facebook, video TikTok, bình luận trên sàn thương mại điện tử, đánh giá giả mạo, website giả danh doanh nghiệp, tài khoản mạng xã hội mạo danh thương hiệu hoặc chiến dịch kêu gọi tẩy chay thiếu căn cứ.

2. Doanh nghiệp bị bôi nhọ trên mạng có thể làm gì?

Khi phát hiện thông tin sai sự thật hoặc nội dung xâm phạm quyền, lợi ích hợp pháp của mình trên không gian mạng, doanh nghiệp không nên phản ứng cảm tính hoặc chỉ xử lý bằng truyền thông. Cách xử lý phù hợp cần kết hợp cả biện pháp pháp lý, kỹ thuật và truyền thông.

2.1. Thu thập và bảo toàn chứng cứ

Doanh nghiệp cần nhanh chóng lưu giữ chứng cứ trước khi nội dung bị xóa hoặc chỉnh sửa. Các chứng cứ nên thu thập gồm:

• Ảnh chụp màn hình bài viết, bình luận, video, tài khoản đăng tải;
• Đường link nội dung vi phạm;
• Thời gian đăng tải, lượt tương tác, lượt chia sẻ;
• Thông tin tài khoản, fanpage, website hoặc nền tảng phát tán;
• Tài liệu chứng minh thiệt hại thực tế nếu có;
• Các thông tin cho thấy nội dung là sai sự thật, xuyên tạc hoặc mạo danh.

2.2. Yêu cầu gỡ bỏ, cải chính thông tin

Doanh nghiệp có thể gửi yêu cầu đến cá nhân, tổ chức đăng tải nội dung vi phạm hoặc gửi báo cáo đến nền tảng mạng xã hội, sàn thương mại điện tử, nhà cung cấp dịch vụ lưu trữ, quản trị website để yêu cầu gỡ bỏ nội dung vi phạm.

Trong trường hợp nội dung có dấu hiệu xâm phạm nghiêm trọng quyền, lợi ích hợp pháp của doanh nghiệp, doanh nghiệp có thể đề nghị cơ quan có thẩm quyền xem xét, xử lý theo quy định pháp luật.

2.3. Khởi kiện hoặc yêu cầu xử lý vi phạm

Tùy tính chất vụ việc, doanh nghiệp có thể lựa chọn một hoặc nhiều hướng xử lý sau:

• Yêu cầu cá nhân, tổ chức vi phạm gỡ bỏ thông tin, xin lỗi, cải chính công khai;
• Yêu cầu bồi thường thiệt hại nếu chứng minh được thiệt hại thực tế;
• Gửi đơn đến cơ quan có thẩm quyền để xem xét xử phạt hành chính;
• Khởi kiện tại Tòa án để bảo vệ quyền và lợi ích hợp pháp;
• Trình báo cơ quan điều tra nếu có dấu hiệu tội phạm như vu khống, làm giả tài liệu, lừa đảo, xâm phạm quyền sở hữu công nghiệp hoặc sử dụng trái phép thông tin.

3. Trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng

Luật An ninh mạng 2025 đặt ra trách nhiệm đáng chú ý đối với doanh nghiệp trong nước và nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng.

Các doanh nghiệp này có trách nhiệm triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện, ngăn chặn và gỡ bỏ thông tin vi phạm trên hệ thống thuộc phạm vi quản lý hoặc khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.

Nhóm thông tin cần phòng ngừa, ngăn chặn và xử lý gồm:

• Thông tin tuyên truyền chống Nhà nước, kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng;
• Thông tin phá hoại chính sách đoàn kết, chính sách kinh tế – xã hội;
• Thông tin xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân.

Ngoài ra, doanh nghiệp còn phải phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng trong quá trình xử lý thông tin vi phạm và phòng, chống hành vi sử dụng công nghệ thông tin, phương tiện điện tử xâm phạm an ninh quốc gia, trật tự, an toàn xã hội.

4. Trách nhiệm phòng ngừa, phát hiện và ngăn chặn phần mềm độc hại

Đối với doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin, Luật An ninh mạng 2025 yêu cầu phải có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận và lưu trữ thông tin trên hệ thống của mình.

Đối với doanh nghiệp cung cấp dịch vụ Internet, doanh nghiệp phải có biện pháp quản lý, phòng ngừa, phát hiện, ngăn chặn việc phát tán phần mềm độc hại và xử lý theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Điều này cho thấy trách nhiệm của doanh nghiệp không chỉ dừng lại ở việc cung cấp dịch vụ, mà còn bao gồm nghĩa vụ chủ động kiểm soát rủi ro an ninh mạng trong phạm vi hệ thống do mình quản lý.

5. Trách nhiệm của doanh nghiệp khi xảy ra sự cố an ninh mạng

Khi xảy ra sự cố an ninh mạng, doanh nghiệp cung cấp dịch vụ trên không gian mạng có trách nhiệm triển khai ngay phương án ứng cứu khẩn cấp nhằm bảo đảm an ninh mạng và báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng.

Doanh nghiệp cũng cần áp dụng các biện pháp kỹ thuật để bảo đảm an ninh mạng cho hoạt động xử lý dữ liệu, xử lý dữ liệu cá nhân theo quy định của pháp luật về an ninh mạng, dữ liệu và bảo vệ dữ liệu cá nhân.

Đối với doanh nghiệp có xử lý dữ liệu khách hàng, dữ liệu người dùng, dữ liệu giao dịch hoặc dữ liệu cá nhân nhạy cảm, việc thiết lập quy trình ứng cứu sự cố, phân quyền truy cập, lưu nhật ký hệ thống, mã hóa dữ liệu và kiểm soát rò rỉ thông tin là yêu cầu rất quan trọng.

6. Nghĩa vụ cung cấp thông tin, gỡ bỏ thông tin vi phạm khi có yêu cầu

Theo quy định mới, doanh nghiệp trong nước và nước ngoài khi cung cấp dịch vụ trên mạng viễn thông, mạng Internet, dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm xác thực thông tin khi người dùng đăng ký tài khoản số, bảo mật thông tin tài khoản của người dùng và phối hợp cung cấp thông tin khi có yêu cầu hợp pháp của lực lượng chuyên trách bảo vệ an ninh mạng.

Doanh nghiệp cũng có trách nhiệm ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin, gỡ bỏ dịch vụ hoặc ứng dụng có nội dung vi phạm trong thời hạn theo yêu cầu của cơ quan có thẩm quyền.

Đây là một trong những điểm doanh nghiệp cần đặc biệt lưu ý khi xây dựng chính sách quản lý nội dung, điều khoản sử dụng dịch vụ, quy trình tiếp nhận khiếu nại, xử lý tài khoản vi phạm và cơ chế phối hợp với cơ quan chức năng.

7. Điều kiện kinh doanh sản phẩm, dịch vụ an ninh mạng

Doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng phải có giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng theo quy định của Luật An ninh mạng 2025.

Doanh nghiệp kinh doanh trong lĩnh vực này có các trách nhiệm cơ bản như:

• Thực hiện đúng nội dung giấy phép được cấp;
• Tuân thủ quy định pháp luật về an ninh mạng và pháp luật có liên quan;
• Bảo đảm chất lượng sản phẩm, dịch vụ an ninh mạng theo tiêu chuẩn, quy chuẩn áp dụng;
• Lưu giữ, quản lý và bảo mật thông tin khách hàng;
• Quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ của sản phẩm, dịch vụ;
• Từ chối cung cấp sản phẩm, dịch vụ khi phát hiện tổ chức, cá nhân sử dụng để vi phạm pháp luật;
• Phối hợp, tạo điều kiện và thực hiện yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.

8. Doanh nghiệp cần chuẩn bị gì để tuân thủ Luật An ninh mạng 2025?

Để hạn chế rủi ro pháp lý khi Luật An ninh mạng 2025 có hiệu lực, doanh nghiệp nên chủ động rà soát hệ thống quản trị nội bộ và hoạt động công nghệ thông tin.

Một số việc cần thực hiện gồm:

• Rà soát website, ứng dụng, hệ thống tài khoản người dùng và chính sách quản lý nội dung;
• Xây dựng quy trình tiếp nhận, xử lý yêu cầu gỡ bỏ thông tin vi phạm;
• Thiết lập quy trình phản ứng nhanh khi doanh nghiệp bị mạo danh, bôi nhọ hoặc tấn công mạng;
• Kiểm tra chính sách bảo mật dữ liệu cá nhân và dữ liệu khách hàng;
• Thiết lập cơ chế phân quyền, sao lưu, lưu nhật ký hệ thống;
• Đào tạo nhân sự về nhận diện rủi ro an ninh mạng;
• Chuẩn bị đầu mối liên hệ với cơ quan chức năng khi có sự cố;
• Rà soát hợp đồng với nhà cung cấp dịch vụ công nghệ, lưu trữ dữ liệu, marketing, quản trị website và nền tảng số.

9. Rủi ro pháp lý nếu doanh nghiệp không tuân thủ

Việc không tuân thủ quy định về an ninh mạng có thể khiến doanh nghiệp đối mặt với nhiều rủi ro như:

• Bị xử lý vi phạm hành chính;
• Bị yêu cầu gỡ bỏ, ngừng cung cấp hoặc hạn chế dịch vụ vi phạm;
• Bị ảnh hưởng uy tín thương hiệu;
• Phát sinh tranh chấp với khách hàng, người dùng hoặc đối tác;
• Bị yêu cầu bồi thường thiệt hại nếu để xảy ra rò rỉ dữ liệu hoặc gây thiệt hại cho bên thứ ba;
• Bị điều tra, xử lý nếu có dấu hiệu vi phạm nghiêm trọng.

10. Câu hỏi thường gặp

10.1. Doanh nghiệp bình thường không kinh doanh công nghệ có chịu tác động không?

Có thể có. Nếu doanh nghiệp có website, fanpage, ứng dụng, cơ sở dữ liệu khách hàng hoặc hoạt động trên môi trường mạng thì vẫn cần quan tâm đến an ninh mạng, bảo mật dữ liệu và xử lý thông tin vi phạm liên quan đến doanh nghiệp.

10.2. Doanh nghiệp bị bôi nhọ trên Facebook có thể yêu cầu gỡ bài không?

Có. Doanh nghiệp có thể yêu cầu cá nhân, tổ chức đăng tải gỡ bỏ nội dung, báo cáo nền tảng mạng xã hội hoặc đề nghị cơ quan có thẩm quyền xử lý nếu nội dung xâm phạm quyền, lợi ích hợp pháp của doanh nghiệp.

10.3. Kêu gọi tẩy chay sản phẩm của doanh nghiệp có vi phạm pháp luật không?

Nếu việc kêu gọi tẩy chay dựa trên thông tin sai sự thật, xuyên tạc, bịa đặt hoặc nhằm gây thiệt hại trái pháp luật đến uy tín, hoạt động của doanh nghiệp thì có thể bị xem xét xử lý theo quy định pháp luật.

10.4. Kinh doanh dịch vụ an ninh mạng có cần giấy phép không?

Có. Theo Luật An ninh mạng 2025, doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng phải có giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng.

11. Kết luận

Luật An ninh mạng 2025 đặt ra nhiều yêu cầu mới đối với doanh nghiệp trong việc bảo vệ hệ thống thông tin, xử lý thông tin vi phạm, bảo vệ dữ liệu, phối hợp với cơ quan có thẩm quyền và bảo đảm an toàn trên không gian mạng.

Đối với doanh nghiệp, an ninh mạng không chỉ là vấn đề kỹ thuật mà còn là vấn đề pháp lý, quản trị rủi ro và bảo vệ uy tín thương hiệu. Việc chuẩn bị sớm quy trình tuân thủ, hệ thống kiểm soát nội bộ và phương án xử lý sự cố sẽ giúp doanh nghiệp hạn chế rủi ro khi pháp luật mới chính thức có hiệu lực.

12. Căn cứ pháp lý

• Luật An ninh mạng 2025 số 116/2025/QH15, có hiệu lực từ ngày 01/7/2026;
• Luật An ninh mạng 2018;
• Luật Công nghệ thông tin 2006;
• Luật Giao dịch điện tử 2023;
• Các văn bản pháp luật về bảo vệ dữ liệu cá nhân, xử lý vi phạm hành chính và pháp luật chuyên ngành có liên quan.