Từ ngày 01/7/2026, Luật An ninh mạng số 116/2025/QH15 chính thức có hiệu lực. Đây là đạo luật hợp nhất Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 thành một khung pháp lý thống nhất, với nhiều nghĩa vụ cụ thể hơn dành cho doanh nghiệp cung cấp dịch vụ trên Internet. Trong đó, quy định đáng chú ý nhất với mọi đơn vị đang vận hành website, ứng dụng: dữ liệu người dùng phải được lưu trữ tại Việt Nam.
Nếu hệ thống của bạn đang đặt trên máy chủ ở nước ngoài, đây là thời điểm cần rà soát lại trước khi luật có hiệu lực.
Những dữ liệu nào phải lưu trữ tại Việt Nam?
Luật An ninh mạng 2025 làm rõ các loại dữ liệu mà doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng trên không gian mạng phải lưu trữ tại Việt Nam, bao gồm:
- Tên tài khoản của người sử dụng dịch vụ;
- Thời gian sử dụng dịch vụ;
- Thông tin thanh toán phí sử dụng dịch vụ;
- Địa chỉ IP truy cập và các dữ liệu liên quan khác.
Phạm vi áp dụng rộng hơn nhiều người nghĩ. Không chỉ mạng xã hội hay sàn thương mại điện tử lớn: nếu website của bạn có tài khoản người dùng, có thanh toán trực tuyến, có lưu trữ và chia sẻ dữ liệu - từ shop online, ứng dụng đặt dịch vụ cho đến hệ thống quản lý khách hàng - thì rất có thể bạn thuộc nhóm dịch vụ được luật điều chỉnh.
Lưu nhật ký hệ thống tối thiểu 12 tháng
Bên cạnh dữ liệu người dùng, doanh nghiệp còn có nghĩa vụ lưu nhật ký hệ thống (system log) để phục vụ xác minh, điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng. Theo quy định hướng dẫn hiện hành (Nghị định 53/2022/NĐ-CP), nhật ký hệ thống phải được lưu trữ tối thiểu 12 tháng, còn dữ liệu người dùng theo yêu cầu lưu trữ là tối thiểu 24 tháng.
Luật mới định nghĩa rõ: nhật ký hệ thống là tập hợp các bản ghi phản ánh thời gian, người dùng, hoạt động và trạng thái của hệ thống. Nói cách khác, access log, log đăng nhập, log giao dịch của website đều nằm trong phạm vi này.
Đồng hồ đếm ngược: 24 giờ - 6 giờ - 3 giờ
Điểm khiến nhiều doanh nghiệp phải thay đổi cách vận hành hạ tầng là các mốc thời gian phản hồi rất ngắn:
- Cung cấp dữ liệu phục vụ điều tra cho cơ quan chức năng trong vòng 24 giờ, trường hợp khẩn cấp chỉ 3 giờ;
- Ngăn chặn, gỡ bỏ thông tin vi phạm chậm nhất 6 giờ trong trường hợp khẩn cấp đe dọa an ninh quốc gia.
Để đáp ứng các mốc này, dữ liệu và log phải nằm ở nơi bạn toàn quyền truy xuất, tìm kiếm được ngay lập tức. Một đống file log nén nằm rải rác trên máy chủ nước ngoài, hoặc dữ liệu kẹt trong dịch vụ SaaS quốc tế không có đầu mối hỗ trợ tại Việt Nam, gần như không thể đáp ứng yêu cầu trong 3-24 giờ.
Rủi ro khi đặt dữ liệu trên máy chủ nước ngoài
- Không chứng minh được vị trí lưu trữ: nhiều dịch vụ cloud, SaaS quốc tế không cam kết dữ liệu nằm ở quốc gia nào, hoặc tự động sao chép qua nhiều region. Khi cơ quan chức năng yêu cầu, bạn không có cách nào chứng minh dữ liệu đang ở Việt Nam.
- Không kịp thời hạn truy xuất: mở ticket hỗ trợ với nhà cung cấp nước ngoài, chờ phản hồi theo giờ làm việc của họ - trong khi thời hạn của bạn tính bằng giờ.
- Tốc độ truy cập chậm cho người dùng Việt Nam: độ trễ từ Việt Nam đi máy chủ Mỹ, châu Âu thường 150-250ms, chưa kể các sự cố đứt cáp quang biển quốc tế diễn ra gần như hằng năm. Máy chủ trong nước cho độ trễ chỉ vài mili giây.
- Chi phí khó hạch toán: thanh toán thẻ cho nhà cung cấp nước ngoài thường không có hóa đơn VAT hợp lệ, doanh nghiệp vừa khó đưa vào chi phí vừa phát sinh nghĩa vụ thuế nhà thầu.
Chuyển về máy chủ trong nước: lợi cả tuân thủ lẫn kinh doanh
Đưa hệ thống về máy chủ đặt tại Việt Nam giải quyết đồng thời nhiều bài toán:
- Tuân thủ ngay từ hạ tầng: dữ liệu vật lý nằm trong lãnh thổ Việt Nam, đúng yêu cầu của luật;
- Chủ động truy xuất: bạn toàn quyền quản trị, bật log, đặt chính sách lưu trữ 12 tháng và tìm kiếm ngay khi cần;
- Website nhanh hơn với khách hàng Việt: độ trễ thấp giúp trải nghiệm tốt hơn và có lợi cho SEO, vì tốc độ tải trang là một yếu tố xếp hạng của Google;
- Hỗ trợ tiếng Việt, hóa đơn VAT đầy đủ: làm việc trực tiếp với đội ngũ kỹ thuật trong nước, chứng từ hợp lệ cho kế toán.
Checklist chuẩn bị trước ngày 01/7/2026
- Rà soát toàn bộ hệ thống: website, ứng dụng, cơ sở dữ liệu, backup đang đặt ở đâu, dữ liệu người dùng nằm trên máy chủ nào;
- Xác định dịch vụ của bạn có thuộc nhóm điều chỉnh không (có tài khoản người dùng, thanh toán, lưu trữ dữ liệu trên không gian mạng);
- Lên kế hoạch chuyển các hệ thống chứa dữ liệu người dùng về máy chủ tại Việt Nam;
- Bật và tập trung log: access log, log xác thực, log giao dịch, với thời gian lưu tối thiểu 12 tháng;
- Xây dựng quy trình tiếp nhận và phản hồi yêu cầu của cơ quan chức năng trong 24 giờ.
Sẵn sàng cho Luật An ninh mạng mới với VPS đặt tại Việt Nam
TND cung cấp VPS Việt Nam trên hạ tầng datacenter trong nước: ổ cứng SSD/NVMe thế hệ mới, độ trễ thấp cho người dùng Việt, toàn quyền quản trị để bạn chủ động lưu trữ dữ liệu và log theo đúng quy định. Hoạt động từ năm 2012 với hơn 12.000 khách hàng, xuất hóa đơn VAT đầy đủ, đội ngũ kỹ thuật người Việt hỗ trợ nhanh chóng.
Cần tư vấn chuyển hệ thống từ máy chủ nước ngoài về Việt Nam trước ngày 01/7/2026? Liên hệ TND để được hỗ trợ.
Bài viết mang tính chất thông tin tham khảo về Luật An ninh mạng số 116/2025/QH15 và các văn bản hướng dẫn hiện hành, không thay thế tư vấn pháp lý. Nghị định hướng dẫn chi tiết Luật An ninh mạng 2025 đang trong quá trình ban hành, doanh nghiệp nên theo dõi cập nhật.
