Dùng proxy hợp pháp tại Việt Nam 2026 - Luật BVDLCN 91/2025 và Luật An ninh mạng

Việt Nam vừa có một bước nhảy lớn về khung pháp lý bảo vệ dữ liệu cá nhân với Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15 thông qua ngày 26/6/2025, hiệu lực từ 1/1/2026. Cùng với Nghị định 356/2025/NĐ-CP hướng dẫn, đây là khung pháp lý cấp Luật đầu tiên về dữ liệu cá nhân (thay thế Nghị định 13/2023 cấp Chính phủ). Bài này phân tích chi tiết khung pháp lý liên quan đến việc sử dụng proxy/VPN/dịch vụ ẩn IP tại VN, 7 use case hợp pháp, 5 use case vi phạm, trách nhiệm pháp lý của nhà cung cấp proxy lẫn người dùng, KYC TND, logging policy, và quy trình hợp tác với cơ quan chức năng. Tài liệu tính đến tháng 5/2026, sẽ update khi có thay đổi.

1. Bối cảnh: Luật BVDLCN 91/2025 hiệu lực 1/1/2026

Trước 2026, Việt Nam quản lý dữ liệu cá nhân chủ yếu qua Nghị định 13/2023/NĐ-CP (Chính phủ ban hành, cấp dưới luật). Đến 2025, Quốc hội thông qua Luật BVDLCN số 91/2025/QH15 - đây là luật cấp Quốc hội đầu tiên tại VN về chủ đề này, nâng cấp khung pháp lý lên đỉnh hierarchy.

2. Khung pháp lý liên quan đến proxy

5 văn bản pháp luật cấp cao nhất tại VN có liên quan đến việc sử dụng proxy:

3. 7 use case hợp pháp khi dùng proxy

Use case 1: Bảo vệ quyền riêng tư cá nhân

Người dùng có quyền sử dụng công cụ kỹ thuật để bảo vệ IP, identity, browsing pattern của mình khỏi tracking thương mại không cần thiết. Đây là quyền hiến định theo Hiến pháp 2013 (Điều 21 - quyền bí mật đời tư) và được Luật 91/2025 cụ thể hóa.

Use case 2: Isolation per IP cho doanh nghiệp đa account

Doanh nghiệp/agency chính chủ quản nhiều BM Facebook Ads, store Etsy/Amazon/eBay, fanpage. Mỗi entity 1 IP riêng để tránh flag liên đới khi 1 entity gặp issue. Đây là hành vi quản lý bình thường, không vi phạm.

Use case 3: Kiểm thử geo-restricted content tự sở hữu

Dev/QA test app/web của chính công ty/khách hàng hợp đồng từ "góc nhìn" của user tại country khác. VD: test pricing page Spotify clone ở 5 country để verify localization. Hợp pháp 100%.

Use case 4: Automation/testing chính đáng (Playwright CI)

CI/CD pipeline chạy automated test trên website production. Dùng proxy để route traffic test, không lộ IP server CI. Hợp pháp.

Use case 5: Research bảo mật (bug bounty hợp lệ)

Bug bounty hunter participate program chính thức (HackerOne, Bugcrowd) với scope rõ ràng. Dùng proxy để bypass IP block tạm thời khi test. Hợp pháp trong scope.

Use case 6: Truy cập tài nguyên đa quốc gia hợp lệ

Truy cập paper academic open access, dataset public, API regional (vd: OpenAI realtime US-only) cho mục đích nghiên cứu, học tập, công việc legitimate. Hợp pháp.

Use case 7: DevOps multi-region monitoring

SRE team monitor uptime, latency, response của service từ multi-region. Dùng proxy ở multiple country thay vì spin up VM mỗi region. Hợp pháp 100%.

4. 5 use case vi phạm (TRÁNH)

1. Thu thập/mua bán dữ liệu cá nhân trái phép

Scrape thông tin cá nhân (số điện thoại, email, địa chỉ, CMND) từ website/app mà không có consent, sau đó dùng/bán cho marketing/spam/lừa đảo. Vi phạm Luật BVDLCN 91/2025. Mức phạt: từ phạt hành chính đến truy cứu hình sự theo BLHS Điều 288.

2. Truy cập trái phép hệ thống

Bypass security, scan vulnerability không có hợp đồng/permission, đột nhập server người khác. BLHS Điều 289: phạt tù đến 12 năm. Dù dùng proxy ẩn IP, IP nguồn vẫn lưu trên server target và TND có log session metadata khi cơ quan chức năng yêu cầu.

3. Spam, lừa đảo qua mạng

Mass spam email/SMS, scam phishing, romance scam, đầu tư đa cấp lừa đảo. BLHS Điều 174 (Tội lừa đảo chiếm đoạt tài sản): tù đến 20 năm hoặc tù chung thân (khoản 4, tài sản lớn) + Điều 290 (Tội sử dụng mạng máy tính chiếm đoạt tài sản): tù từ 6 tháng đến 20 năm.

4. Vi phạm ToS nền tảng nghiêm trọng (clone account fraud)

Tạo hàng loạt account giả mạo danh tính người khác (CMND fake, ảnh stolen), fraud quảng cáo, mua bán BM stolen. Đây không chỉ vi phạm ToS Facebook/Etsy/Amazon mà còn cấu thành tội phạm theo BLHS Điều 174, 290.

5. Tấn công DDoS, phá hoại hệ thống

Dùng proxy để mask source IP khi tấn công DDoS, brute force password, làm gián đoạn dịch vụ. BLHS Điều 287 (Tội cản trở hoạt động bình thường của mạng máy tính): tù đến 12 năm.

Mức phạt hành chính theo Luật 91/2025 + Nghị định 356/2025

Khung mức phạt cao hơn nhiều so với Nghị định 13/2023 cũ (mức trần thường chỉ 100-200 triệu). Đây là tín hiệu Việt Nam coi trọng bảo vệ dữ liệu cá nhân ngang European GDPR.

5. Trách nhiệm pháp lý của nhà cung cấp proxy

Nhà cung cấp proxy tại VN (như TND) có các nghĩa vụ pháp lý:

1. KYC (Know Your Customer): Xác minh danh tính người mua trước khi cấp dịch vụ (tránh cấp cho người tham gia phạm tội)
2. Cooperation với cơ quan chức năng: Khi có yêu cầu hợp pháp, cung cấp thông tin user, session metadata (nhưng KHÔNG nội dung traffic - chính sách TND)
3. Lưu trữ log: Theo Luật ANM 2018 và Nghị định 53/2022/NĐ-CP, lưu log session metadata 24 tháng
4. Báo cáo định kỳ: Với cơ quan quản lý nếu thuộc danh mục "dịch vụ quan trọng"
5. Đăng ký kinh doanh: Theo ngành nghề Truyền thông và Viễn thông
6. Bảo vệ data user theo Luật 91/2025: Mã hóa, hạn chế truy cập, không bán/share data user cho bên thứ ba

6. Trách nhiệm pháp lý của người dùng cuối

1. Tự chịu trách nhiệm hoàn toàn về hành vi qua proxy: IP ẩn không đồng nghĩa được phép vi phạm
2. Tuân thủ Luật VN và luật quốc gia đích: Khi route qua US, hành vi của bạn vẫn chịu cả VN lẫn US law
3. Tuân thủ ToS của nền tảng: Facebook, Etsy, Amazon... có ToS riêng, vi phạm có thể bị ban + kiện
4. Không sử dụng proxy cho hoạt động phạm pháp: Như liệt kê ở mục 4
5. Hợp tác khi cơ quan chức năng yêu cầu: Cung cấp thông tin về việc sử dụng proxy khi có yêu cầu hợp pháp

7. KYC khi mua proxy tại TND

TND yêu cầu KYC nhẹ khi đăng ký dịch vụ:

• Email hoạt động (verify qua link)
• Số điện thoại VN hoặc quốc tế (verify OTP)
• Tên + địa chỉ (không yêu cầu CMND/passport scan cho gói cá nhân < 1M/tháng)
• Phương thức thanh toán hợp pháp (Momo, banking VN, credit card)

Với gói doanh nghiệp/enterprise >1M/tháng, TND yêu cầu thêm:

• Giấy ĐKKD (cho doanh nghiệp)
• Hợp đồng nguyên tắc
• Mô tả use case dự kiến

TND có quyền refuse service nếu:

• User cung cấp thông tin giả
• Use case rõ ràng bất hợp pháp
• User có lịch sử lạm dụng dịch vụ

8. Chính sách logging của TND

TND tuân thủ Luật BVDLCN 91/2025: data user được mã hóa AES-256 at rest, TLS 1.3 in transit, hạn chế access (chỉ team support tier 2+).

9. Quy trình khi có yêu cầu cơ quan chức năng

1. TND nhận yêu cầu chính thức bằng văn bản từ cơ quan có thẩm quyền (công an, viện kiểm sát, tòa án, Bộ TTTT)
2. Verify tính hợp pháp của yêu cầu (đúng thẩm quyền, đúng quy trình, đúng phạm vi)
3. Nếu hợp lệ: cung cấp data trong phạm vi yêu cầu (session metadata, account info)
4. Notify user trong thời hạn cho phép (trừ trường hợp được lệnh giữ bí mật)
5. Log toàn bộ yêu cầu + response cho audit nội bộ

TND KHÔNG cung cấp:

• Content traffic (TND không log)
• Password user (hash, không reverse được)
• Data ngoài phạm vi yêu cầu cụ thể
• Data theo yêu cầu phi pháp/sai thẩm quyền

10. FAQ legal phổ biến

Dùng proxy có phải vi phạm pháp luật VN không?

KHÔNG. Sử dụng proxy là legitimate, được phép. Vi phạm là ở hành vi qua proxy, không phải bản thân việc dùng proxy.

Tôi mua proxy để xem Netflix US có vi phạm không?

Vi phạm ToS Netflix (Netflix cấm dùng proxy/VPN), không vi phạm pháp luật VN. Hậu quả tối đa: account bị tạm khóa hoặc reset. Không bị truy cứu hình sự.

Quản 10 BM Facebook qua 10 IP có hợp pháp không?

HỢP PHÁP nếu 10 BM là chính chủ doanh nghiệp/agency có hợp đồng. KHÔNG hợp pháp nếu là clone account fake danh tính người khác (vi phạm BLHS Điều 174, 290).

Tôi là dev VN làm cho công ty US, route Claude Code qua proxy US có sao không?

HỢP PHÁP 100%. Đây là use case doanh nghiệp bình thường (DevOps multi-region).

Tôi là sinh viên dùng proxy đọc paper IEEE - có vi phạm?

HỢP PHÁP nếu paper là open access hoặc bạn có quyền truy cập qua thư viện trường. KHÔNG hợp pháp nếu bypass paywall để truy cập paper không có quyền.

Tôi muốn scrape giá Shopee để compare với store mình - có sao không?

Vi phạm ToS Shopee có khả năng cao. Theo pháp luật VN: scrape data public với rate limit hợp lý có thể OK, nhưng nếu Shopee gửi thư khuyến cáo và bạn vẫn tiếp tục - có thể bị kiện dân sự.

Cơ quan công an có thể yêu cầu TND cung cấp lịch sử browsing của tôi không?

Public: session metadata (when, who, how much traffic). KHÔNG: content traffic (TND không log). Yêu cầu phải có văn bản hợp pháp.

Tôi đang ở nước ngoài, mua proxy TND VN để truy cập web VN, có sao không?

HỢP PHÁP 100%. Đây là use case "truy cập tài nguyên quê hương" - phổ biến với Việt kiều, du học sinh.

Tổng kết

Sử dụng proxy tại VN năm 2026 là legitimate khi tuân thủ Luật BVDLCN 91/2025, Luật ANM 2018, BLHS, ToS nền tảng. TND cam kết: không hỗ trợ use case vi phạm pháp luật, không log content traffic, cooperate hợp tác với cơ quan chức năng khi có yêu cầu hợp pháp. Người dùng tự chịu trách nhiệm về hành vi của mình qua proxy. Khi không chắc về tính hợp pháp của use case cụ thể, hãy tham vấn luật sư chuyên CNTT/An ninh mạng trước khi triển khai.

Tham khảo deep-dive theo use case:

• Nuôi acc e-commerce Etsy Amazon PayPal isolation per IP
• Proxy cho Facebook Ads agency nuôi BM
• Proxy cho AI agent dev
• Proxy cho automation testing
• Proxy cho SEO SERP tracking
• IPv4 Dedicated vs Shared Residential
• SOCKS5 vs HTTP protocol
• So sánh 4 antidetect 2026
• Top 5 Chrome Extension Proxy 2026
• Paste URL TND vào 4 antidetect
• ShadowRocket cho iOS
• Proxifier desktop