Ngày 10/12, tại Kỳ họp thứ 10, Quốc hội Khóa XV đã thông qua Luật An ninh mạng, gồm 8 Chương 45 Điều quy định về an ninh mạng, bảo vệ an ninh mạng, quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Luật có hiệu lực thi hành từ ngày 01/7/2026.

Luật An ninh mạng 2025 được xây dựng trên cơ sở hợp nhất Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015, trên nguyên tắc không làm thay đổi chức năng, nhiệm vụ của các Bộ ngành, không tạo ra chính sách mới, bảo đảm thực hiện đúng tinh thần Nghị quyết 18 của Trung ương về một số vấn đề tiếp tục đổi mới, sắp xếp tổ chức bộ máy của hệ thống chính trị tinh gọn, hoạt động hiệu lực, hiệu quả. Một việc chỉ giao cho một cơ quan chủ trì chịu trách nhiệm chính, bảo đảm phân công, phân cấp rõ ràng, tránh chồng chéo chức năng, nhiệm vụ, phạm vi quản lý, bỏ sót địa bàn.

Về nội dung quản lý mật mã dân sự, Luật An ninh mạng 2025 đã kế thừa và củng cố các quy định về mật mã dân sự từ Luật An toàn thông tin mạng 2015, tập trung vào việc xác định vai trò của mật mã trong bảo vệ an ninh thông tin trên không gian mạng và trách nhiệm quản lý nhà nước về mật mã dân sự.

Về khái niệm “mật mã dân sự”, khoản 20 Điều 2 Luật An ninh mạng 2025 quy định “Mật mã dân sự là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi bí mật nhà nước nhằm bảo đảm an ninh thông tin cho cơ quan, tổ chức, cá nhân.”. Luật cũng quy định sử dụng mật mã, mật mã dân sự là một trong các biện pháp để bảo vệ an ninh mạng (Điều 5) và để bảo đảm an ninh dữ liệu (Điều 26). Để ngăn chặn việc lạm dụng hoặc làm tổn hại đến lợi ích của người dùng và doanh nghiệp hợp pháp, đảm bảo kiểm soát chặt chẽ của Nhà nước đối với lĩnh vực mật mã dân sự, Luật quy định nghiêm cấm các hành vi “tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc” (Điều 7). Đây là những quy định cơ bản được kế thừa từ Luật An toàn thông tin mạng năm 2015.

Về quản lý sản phẩm, dịch vụ mật mã dân sự, nếu như Luật An toàn thông tin mạng 2015 dành một chương riêng (Chương III, từ Điều 30 đến Điều 36) quy định chi tiết các điều kiện kinh doanh, xuất nhập khẩu, trình tự thủ tục cấp giấy phép, trách nhiệm của doanh nghiệp, tổ chức, cá nhân liên quan, thì tại Luật An ninh mạng 2025 các quy định này giao cho Chính phủ hướng dẫn thi hành để tạo tính linh hoạt và phù hợp với nguyên tắc hợp nhất luật.

Theo đó, tại Điều 28 Luật quy định sản phẩm, dịch vụ mật mã dân sự là sản phẩm, dịch vụ an ninh mạng; Chính phủ quy định chi tiết về sản phẩm, dịch vụ an ninh mạng. Điều 29 Luật quy định “Doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng phải có giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng” và giao Chính phủ quy định việc cấp, tạm đình chỉ, thu hồi giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng; quy định việc nhập khẩu, xuất khẩu sản phẩm an ninh mạng; quy định việc kinh doanh sản phẩm, dịch vụ an ninh mạng. Như vậy, theo quy định tại Điều 29, doanh nghiệp kinh doanh sản phẩm, dịch vụ mật mã dân sự phải có giấy phép, đồng thời đáp ứng các quy định chung về kinh doanh sản phẩm, dịch vụ an ninh mạng như: thực hiện đúng giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng; tuân thủ quy định của pháp luật về an ninh mạng và quy định khác của pháp luật có liên quan; bảo đảm về chất lượng sản phẩm, dịch vụ an ninh mạng đúng với tiêu chuẩn công bố áp dụng, quy chuẩn kỹ thuật tương ứng theo quy định của pháp luật về chất lượng sản phẩm, hàng hoá, pháp luật về tiêu chuẩn và quy chuẩn kỹ thuật trước khi lưu thông trên thị trường; lập, lưu giữ và bảo mật thông tin của khách hàng, quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ của sản phẩm, hoạt động cung cấp dịch vụ theo quy định của pháp luật; từ chối cung cấp sản phẩm, dịch vụ an ninh mạng khi phát hiện tổ chức, cá nhân vi phạm pháp luật về sử dụng sản phẩm, dịch vụ an ninh mạng, vi phạm cam kết đã thỏa thuận về sử dụng sản phẩm, dịch vụ do doanh nghiệp cung cấp và phối hợp, tạo điều kiện, thực hiện yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng để thực hiện các biện pháp bảo vệ an ninh mạng…

Về quản lý chất lượng sản phẩm mật mã dân sự, Luật quy định Bộ Công an có trách nhiệm quản lý chất lượng sản phẩm, dịch vụ an ninh mạng, trừ sản phẩm, dịch vụ mật mã dân sự; Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự; đăng ký, chỉ định và quản lý hoạt động của tổ chức chứng nhận sự phù hợp về an ninh mạng đối với sản phẩm, dịch vụ mật mã dân sự (Điều 27). Như vậy, chức năng quản lý, cấp phép đối với sản phẩm, dịch vụ mật mã dân sự vẫn được thực hiện bởi Ban Cơ yếu Chính phủ là Cơ quan mật mã quốc gia, nhằm bảo đảm nguyên tắc "một việc chỉ giao cho một cơ quan chủ trì", đồng thời đảm bảo tính ổn định trong quản lý đối với các hoạt động kinh doanh, sử dụng mật mã dân sự. Liên quan đến nội dung này, về trách nhiệm quản lý nhà nước về an ninh mạng, Luật quy định “Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về mật mã dân sự và an ninh mạng thuộc phạm vi quản lý theo quy định của pháp luật.” (khoản 4 Điều 39).

Ngoài ra, để bảo đảm tính liên tục của hoạt động kinh doanh mật mã dân sự, Điều 47 (điều khoản chuyển tiếp) quy định các loại giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự đã được cấp trước ngày Luật An ninh mạng 2025 có hiệu lực vẫn có giá trị sử dụng đến hết thời hạn ghi trên giấy phép. Việc cấp đổi sau này sẽ thực hiện theo quy định của Luật mới.

Luật An ninh mạng 2025 được Quốc hội Khóa XV thông qua tại kỳ họp thứ X là bước hoàn thiện quan trọng nhằm tăng cường bảo vệ an ninh mạng, ứng phó hiệu quả với tội phạm mạng và củng cố năng lực quản lý nhà nước trong bối cảnh số hóa mạnh mẽ.cho thấy mật mã dân sự là một bộ phận cấu thành quan trọng không thể thiếu để bảo vệ an ninh mạng quốc gia cũng như bảo vệ quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trong các hoạt động để bảo vệ không thuộc phạm vi bí mật nhà nước. Các quy định cơ bản về điều kiện kinh doanh, cấp phép, quản lý chất lượng sản phẩm, dịch vụ mật mã dân sự, các hành vi bị nghiêm cấm vẫn được giữ nguyên và kế thừa từ Luật An toàn thông tin mạng 2015, khẳng định vai trò, trách nhiệm của Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về mật mã dân sự và an ninh mạng, nhằm góp phần giữ vững an ninh quốc gia, trật tự an toàn xã hội. Đồng thời, các hoạt động mật mã dân sự tiếp tục được quản lý một cách chặt chẽ, có giấy phép và tuân thủ các quy chuẩn kỹ thuật nghiêm ngặt, góp phần bảo đảm an toàn cho các hoạt động kinh tế, thương mại điện tử và dữ liệu cá nhân trên không gian mạng./.

Nguyễn Hương Ly, Cục QLMMDS&KĐSPMM