Toàn cảnh Khung pháp lý về lĩnh vực công nghệ thông tin tại Việt Nam giai đoạn 2024 - 2026 và Lưu ý dành cho Doanh nghiệp có vốn đầu tư nước ngoài (Phần 1/3)

Tóm tắt

Trong khoảng 30 tháng vừa qua, Việt Nam đã ban hành 8 (tám) luật và một số nghị định cốt yếu, định hình lại khung pháp lý cho hoạt động công nghệ thông tin và kinh tế số: Luật Giao dịch điện tử số 20/2023/QH15; Luật Viễn thông số 24/2023/QH15; Luật Dữ liệu số 60/2024/QH15; Luật Công nghiệp công nghệ số số 71/2025/QH15; Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15; Luật Trí tuệ nhân tạo số 134/2025/QH15; Luật An ninh mạng số 116/2025/QH15; và Luật Thương mại điện tử số 122/2025/QH15. Các văn bản hướng dẫn quan trọng bao gồm Nghị định 147/2024/NĐ-CP về quản lý Internet và thông tin trên mạng, Nghị định 163/2024/NĐ-CP hướng dẫn Luật Viễn thông, Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân, Nghị định 142/2026/NĐ-CP hướng dẫn Luật Trí tuệ nhân tạo, và dự thảo Nghị định hướng dẫn Luật An ninh mạng 2025 được Bộ Công an công bố lấy ý kiến từ ngày 13/02/2026.

Các doanh nghiệp có vốn đầu tư nước ngoài (sau đây gọi tắt là “FIE”) cần lưu ý đến 04 (bốn) điểm chính như sau.

Thứ nhất, nhiều dịch vụ công nghệ số trước đây đóng hoặc hạn chế tỷ lệ sở hữu nay đã mở cho 100% vốn nước ngoài, kèm theo nghĩa vụ tuân thủ chặt hơn.

Thứ hai, các yêu cầu lưu trữ dữ liệu trong nước, thành lập hiện diện thương mại tại Việt Nam, đăng ký hoặc thông báo với cơ quan quản lý đã trở thành mặc định, không còn là ngoại lệ.

Thứ ba, mức chế tài tài chính đã tăng đáng kể, lần đầu tiên có chế tài tính theo tỷ lệ doanh thu của năm trước liền kề.

Thứ tư, khung pháp lý đã hoàn thiện gần như đồng bộ trong nửa cuối năm 2025 với việc Quốc hội thông qua bốn đạo luật chuyên ngành (BVDLCN, CNCNS, TTNT, ANM, TMĐT) tại Kỳ họp thứ 9 và Kỳ họp thứ 10, đặt nghĩa vụ tuân thủ chủ động lên hầu hết các hoạt động kinh doanh số tại Việt Nam. Bốn thông điệp này yêu cầu FIE rà soát lại mô hình vận hành, hợp đồng dịch vụ, và cấu trúc quản trị tuân thủ trước khi kết thúc năm 2026.

Chuỗi các bài viết phân tích 06 (sáu) nhóm vấn đề nền tảng tạo hình thành nên khung pháp lý trong lĩnh vực công nghệ ở Việt Nam: (i) Viễn thông; (ii) An ninh mạng và quản lý Internet; (iii) Giao dịch điện tử và Thương mại điện tử; (iv) Công nghiệp công nghệ số; (v) Trí tuệ nhân tạo; (vi) Bảo vệ dữ liệu cá nhân. Mỗi nhóm sẽ trình bày các điểm pháp lý chủ đạo, nghĩa vụ tuân thủ cho FIE, và khuyến nghị hành động cụ thể.

1. Viễn thông: Mở cửa nhưng có điều kiện

1.1. Tổng quan

Luật Viễn thông số 24/2023/QH15 (“Luật Viễn thông 2023”) được Quốc hội khoá XV, Kỳ họp thứ 6 thông qua ngày 24/11/2023, có hiệu lực từ ngày 01/7/2024, thay thế Luật Viễn thông năm 2009. Một số nội dung quan trọng đối với FIE, bao gồm dịch vụ trung tâm dữ liệu (data center), dịch vụ điện toán đám mây, và dịch vụ viễn thông cơ bản trên Internet (OTT viễn thông), có hiệu lực muộn hơn từ ngày 01/01/2025. Nghị định 163/2024/NĐ-CP ngày 24/12/2024 quy định chi tiết một số điều và biện pháp thi hành Luật. So với khung cũ, đây là lần điều chỉnh sâu rộng nhất kể từ năm 2009 đối với mô hình quản lý hạ tầng và dịch vụ viễn thông tại Việt Nam.

1.2. Điểm thay đổi chính dành cho FIE

Thứ nhất, mở trần sở hữu nước ngoài đối với ba nhóm dịch vụ cung cấp trong nước (onshore): trung tâm dữ liệu, điện toán đám mây, và OTT viễn thông. Trước đây các dịch vụ này chịu giới hạn tỷ lệ vốn nước ngoài theo cam kết WTO. Tuy nhiên, Nghị định 163/2024/NĐ-CP loại bỏ mức trần này, cho phép doanh nghiệp 100% vốn nước ngoài đầu tư và cung cấp dịch vụ tại Việt Nam. Đây là sự nới lỏng đáng kể nhất trong khung đầu tư nước ngoài vào hạ tầng số kể từ khi Việt Nam gia nhập WTO.

Thứ hai, cơ chế cung cấp dịch vụ xuyên biên giới. Nhà cung cấp nước ngoài cung cấp 03 (ba) nhóm dịch vụ nêu trên trực tiếp từ ngoài lãnh thổ Việt Nam (cross-border) không bắt buộc phải ký thỏa thuận thương mại với doanh nghiệp viễn thông được cấp phép tại Việt Nam. Thay vào đó, nhà cung cấp xuyên biên giới phải thực hiện thủ tục thông báo với Cục Viễn thông theo mẫu trước khi cung cấp dịch vụ. Riêng nhà cung cấp dịch vụ trung tâm dữ liệu phải đăng ký thay vì chỉ thông báo. Phân biệt nghĩa vụ thông báo và đăng ký không chỉ mang tính hình thức. Theo đó, nghĩa vụ đăng ký kéo theo quy trình thẩm định và cấp xác nhận từ cơ quan quản lý, trong khi nghĩa vụ thông báo chỉ là việc ghi nhận đơn phương.

Thứ ba, trách nhiệm bảo vệ người dùng và an ninh thông tin. Luật Viễn thông 2023 và Nghị định 163/2024/NĐ-CP yêu cầu nhà cung cấp dịch vụ xác thực người dùng, lưu trữ một số dữ liệu giao dịch trong thời hạn quy định, hợp tác với cơ quan có thẩm quyền khi có yêu cầu hợp pháp, và bảo đảm chất lượng dịch vụ tối thiểu. Yêu cầu xác thực người dùng ở Việt Nam được triển khai sớm và rộng hơn nhiều thị trường khác.

Thứ tư, miễn nghĩa vụ qua trung gian. Trước đây, mọi dịch vụ viễn thông cung cấp xuyên biên giới đều phải đi qua một doanh nghiệp viễn thông Việt Nam được cấp phép. Nghị định 163/2024/NĐ-CP miễn nghĩa vụ này đối với data center, cloud và OTT. Dù chi phí trung gian được loại bỏ, nhưng trách nhiệm pháp lý chuyển trực tiếp về phía nhà cung cấp.

1.3. Khuyến nghị hành động

FIE đang hoặc dự định cung cấp dịch vụ data center, cloud, OTT cho thị trường Việt Nam cần trả lời được ba câu hỏi: (i) mô hình cung cấp là onshore hay cross-border; (ii) phải thông báo hay phải đăng ký; (iii) có nghĩa vụ lập pháp nhân, chi nhánh, hoặc văn phòng đại diện tại Việt Nam hay không. Nếu lựa chọn cung cấp xuyên biên giới, doanh nghiệp cần chuẩn bị hồ sơ thông báo hoặc đăng ký theo Nghị định 163/2024/NĐ-CP trước thời điểm bắt đầu cung cấp dịch vụ, không phải sau khi đã có khách hàng tại Việt Nam.

FIE hiện đang vận hành theo mô hình hợp đồng thương mại với đối tác viễn thông Việt Nam nên rà soát lại hợp đồng đó để xác định: có cần tiếp tục duy trì sau khi Luật mới có hiệu lực hay không, các điều khoản nào cần được điều chỉnh, và liệu mô hình hợp tác hiện hành có còn là phương án tối ưu hay đã trở thành ràng buộc không cần thiết.

2. An ninh mạng và quản lý Internet: Luật An ninh mạng 2025 hợp nhất khung pháp lý

2.1. Tổng quan và bước chuyển từ 2018 đến nay

Luật An ninh mạng số 116/2025/QH15 (“Luật ANM 2025”) được Quốc hội khoá XV, Kỳ họp thứ 10 thông qua ngày 10/12/2025 với tỷ lệ tán thành 91,75% (434/443 đại biểu) , có hiệu lực từ ngày 01/7/2026. Luật ANM 2025 hợp nhất Luật An toàn thông tin mạng số 86/2015/QH13 (hiệu lực 01/7/2016) và Luật An ninh mạng số 24/2018/QH14 (hiệu lực 01/01/2019) thành một khuôn khổ pháp lý thống nhất, đồng thời bãi bỏ khái niệm “an toàn thông tin mạng” và thay bằng khái niệm chung “an ninh mạng”.

Bộ Công an đã công bố dự thảo Nghị định quy định chi tiết một số điều của Luật An ninh mạng 2025 vào ngày 13/02/2026 để lấy ý kiến đóng góp. Dự thảo quy định chi tiết các điểm a, b, c, d, đ, g, k, l, m khoản 1 Điều 5, khoản 5 Điều 12, khoản 4 Điều 25, khoản 3 Điều 26, khoản 2 Điều 30, khoản 5 Điều 34 Luật ANM 2025, đồng thời quy định cơ chế quản lý định danh địa chỉ IP đối với doanh nghiệp viễn thông và Internet. Dự thảo Nghị định dự kiến có hiệu lực cùng ngày 01/7/2026 với Luật ANM 2025.

Trong giai đoạn quá độ tính đến ngày 30/6/2026, Nghị định 53/2022/NĐ-CP ngày 15/8/2022 quy định chi tiết một số điều của Luật An ninh mạng 2018 vẫn còn hiệu lực. Sau ngày 01/7/2026, các nội dung của Nghị định 53/2022/NĐ-CP không phù hợp với Luật ANM 2025 sẽ hết hiệu lực và được thay bằng Nghị định mới (khi được ban hành chính thức). Nghị định 147/2024/NĐ-CP ngày 09/11/2024 về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng (hiệu lực từ 25/12/2024, thay thế Nghị định 72/2013/NĐ-CP và Nghị định 27/2018/NĐ-CP) vẫn tiếp tục có hiệu lực và áp dụng song hành với Luật ANM 2025.

2.2. Bốn điểm mới đáng chú ý của Luật ANM 2025 với FIE

Thứ nhất, hợp nhất khung pháp lý và mở rộng phạm vi điều chỉnh. Luật ANM 2025 không chỉ điều chỉnh hoạt động bảo vệ an ninh quốc gia trên không gian mạng (như Luật 2018) mà còn bao trùm các nội dung trước đây thuộc Luật An toàn thông tin mạng 2015 (phân loại hệ thống thông tin theo cấp độ, tiêu chuẩn kỹ thuật, ứng cứu sự cố). Đối với FIE, đây là điểm thuận lợi: chỉ cần xây dựng một chương trình tuân thủ thống nhất thay vì hai chương trình song song.

Thứ hai, khung pháp lý về AI và công nghệ số mới. Luật ANM 2025 bổ sung quy định cấm lợi dụng AI, deepfake để giả mạo hình ảnh, lời nói hoặc tạo dựng thông tin sai sự thật. Quy định này bổ sung cho Luật TTNT số 134/2025/QH15 (xem Phần 5), tạo lớp bảo vệ hình sự và hành chính đối với hành vi sai trái liên quan đến AI.

Thứ ba, nghĩa vụ lưu trữ dữ liệu và lập hiện diện thương mại. Điều 26 Luật ANM 2025 tiếp tục yêu cầu doanh nghiệp trong nước và doanh nghiệp nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng Internet và dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý thông tin cá nhân và dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ tại Việt Nam trong thời gian do Chính phủ quy định, đồng thời doanh nghiệp nước ngoài phải lập chi nhánh hoặc văn phòng đại diện tại Việt Nam. Thời gian lưu trữ và quy trình cụ thể sẽ được quy định chi tiết trong Nghị định hướng dẫn (dự thảo công bố 13/02/2026). Tham chiếu với Nghị định 53/2022/NĐ-CP hiện hành, thời gian lưu trữ tối thiểu là 24 tháng kể từ thời điểm có yêu cầu lưu trữ; doanh nghiệp nước ngoài có 12 tháng để lập chi nhánh hoặc văn phòng đại diện kể từ ngày có quyết định của Bộ trưởng Bộ Công an.

Thứ tư, thời hạn xử lý nội dung vi phạm. Doanh nghiệp cung cấp dịch vụ viễn thông, Internet và mạng xã hội có trách nhiệm xử lý thông tin vi phạm pháp luật trong thời hạn tối đa 24 giờ kể từ khi nhận được yêu cầu hợp pháp của cơ quan có thẩm quyền. Đối với trường hợp khẩn cấp, dự thảo Nghị định hướng dẫn đề xuất rút ngắn thời hạn xuống còn 3 đến 6 giờ.

2.3. Nghị định 147/2024/NĐ-CP: Bốn điểm cần lưu ý

Thứ nhất, xác thực tài khoản người dùng. Người sử dụng mạng xã hội tại Việt Nam phải xác thực tài khoản bằng số điện thoại di động hoặc số định danh cá nhân. Chỉ tài khoản đã xác thực mới được phép đăng tải, bình luận, chia sẻ nội dung hoặc thực hiện livestream. Quy định này có hiệu lực với mọi mạng xã hội, không phân biệt nội địa hay nước ngoài, miễn là có người dùng tại Việt Nam.

Thứ hai, thời hạn xử lý nội dung vi phạm. Nhà cung cấp dịch vụ mạng xã hội phải tạm khóa hoặc gỡ bỏ thông tin vi phạm trong 48 giờ kể từ thời điểm có yêu cầu của người sử dụng, hoặc 24 giờ kể từ thời điểm có yêu cầu của cơ quan quản lý nhà nước có thẩm quyền. Hai mốc thời gian này đặt áp lực lớn lên đội ngũ quản lý nội dung và yêu cầu một quy trình tự động hóa cao.

Thứ ba, trách nhiệm của nền tảng tổng hợp tin tức. Trang tin tổng hợp không được sử dụng tên miền, tên gây nhầm lẫn với cơ quan báo chí; phải sử dụng nguồn tin từ ít nhất ba cơ quan báo chí và đăng tải chậm so với nguồn gốc ít nhất một giờ. Quy định độ trễ một giờ là điểm khác biệt so với thông lệ quốc tế và cần được lưu ý trong thiết kế hệ thống.

Thứ tư, phạm vi điều chỉnh. Nghị định 147/2024/NĐ-CP áp dụng cho cả tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng tại Việt Nam, không chỉ doanh nghiệp đã có hiện diện tại Việt Nam. Phạm vi điều chỉnh rộng này có nghĩa là một số dịch vụ trước đây tự coi mình ngoài tầm với của pháp luật Việt Nam (vì không có pháp nhân hay máy chủ tại Việt Nam) nay đã thuộc diện điều chỉnh chính thức.

2.4. Khuyến nghị hành động

FIE cung cấp dịch vụ trực tuyến hướng tới người dùng Việt Nam cần thực hiện bốn việc song song trước ngày 01/7/2026: (i) Đánh giá xem doanh nghiệp có thuộc diện phải lưu trữ dữ liệu tại Việt Nam theo Điều 26 Luật ANM 2025 hay không, và nếu có, xây dựng kế hoạch hạ tầng lưu trữ trong nước (tự lập hoặc thuê data center của bên thứ ba); (ii) Xây dựng quy trình tiếp nhận và xử lý yêu cầu của cơ quan nhà nước trong thời hạn 24 giờ (và 3 - 6 giờ cho trường hợp khẩn cấp); (iii) Rà soát chính sách xác thực người dùng để bảo đảm tuân thủ Nghị định 147/2024/NĐ-CP và dự thảo Nghị định hướng dẫn Luật ANM 2025; (iv) Cập nhật chương trình tuân thủ nội bộ để hợp nhất các nội dung trước đây thuộc Luật An toàn thông tin mạng 2015 và Luật ANM 2018.

Đối với nghĩa vụ lập chi nhánh hoặc văn phòng đại diện, khuyến nghị thực dụng là chuẩn bị phương án trước hơn là chờ quyết định cụ thể của Bộ Công an. Việc thành lập mất tối thiểu vài tháng; nếu chờ đến khi nhận quyết định mới triển khai, doanh nghiệp có thể sẽ chậm so với thời hạn quy định. FIE cũng nên đóng góp ý kiến cho dự thảo Nghị định hướng dẫn Luật ANM 2025 trong giai đoạn lấy ý kiến (kéo dài từ ngày 13/02/2026) để bảo đảm các điều khoản chi tiết phản ánh được điều kiện vận hành thực tế.

Tuyên bố miễn trừ: Bài viết được chuẩn bị trên cơ sở các văn bản pháp luật có hiệu lực hoặc đã ban hành tính đến ngày 30/5/2026 và không phải là ý kiến tư vấn pháp lý cho bất kỳ tình huống cụ thể nào. Doanh nghiệp cần tham vấn luật sư khi áp dụng vào trường hợp cụ thể của mình.