Vi phạm Luật An ninh mạng 2025 bị xử phạt thế nào?
Vi phạm Luật An ninh mạng 2025 bị xử phạt thế nào? Bảng mức phạt doanh nghiệp cần biết
Chuyên mục: Pháp lý & Tuân thủ
Đăng tại: antoanthongtin.edu.vn | security365.vn
Thời gian đọc: ~7 phút
Cập nhật: Tháng 4/2026
Bài liên quan: Luật ANM 2025 có gì mới? | 5 cấp độ HTTT | Điều 38 kinh phí bắt buộc
Luật An ninh mạng 2025 có hiệu lực từ 1/7/2026. Nhưng cơ chế răn đe thực sự nằm ở Nghị định xử phạt vi phạm hành chính đang được Bộ Công an soạn thảo — dự kiến ban hành đồng thời hoặc ngay sau khi luật có hiệu lực.
Điều đáng chú ý: mức phạt trong dự thảo tăng gấp 5 lần so với quy định cũ. Một số hành vi vi phạm có thể bị phạt đến 100–200 triệu đồng, kèm theo tước giấy phép kinh doanh từ 1–3 tháng.
Bài viết này tổng hợp các mức phạt cụ thể từ dự thảo nghị định mới nhất — để doanh nghiệp biết mình đang đối mặt với rủi ro gì nếu không tuân thủ.
⚠️ Lưu ý: Các mức phạt dưới đây dựa trên Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân (tháng 4/2026). Nghị định chính thức có thể có điều chỉnh khi ban hành.
Tổng quan: 4 nhóm vi phạm chính
Dự thảo Nghị định chia các hành vi vi phạm thành 4 nhóm lớn:
- Vi phạm về bảo vệ hệ thống thông tin — không triển khai biện pháp bảo mật, không giám sát
- Vi phạm về bảo vệ dữ liệu cá nhân — thu thập, xử lý, lưu trữ sai quy định
- Vi phạm về cung cấp thông tin và phối hợp — không báo cáo sự cố đúng hạn, không cung cấp thông tin theo yêu cầu
- Vi phạm về nội dung trên không gian mạng — phát tán thông tin sai, deepfake, giả mạo
Bảng mức phạt chi tiết
Nhóm 1: Vi phạm bảo vệ hệ thống thông tin
| Hành vi vi phạm | Mức phạt |
|---|---|
| Không triển khai hệ thống kỹ thuật đảm bảo an toàn hạ tầng viễn thông | 10–20 triệu đồng |
| Không ban hành quy định nội bộ về bảo vệ hệ thống thông tin | 25–50 triệu đồng |
| Không kiểm tra, giám sát tuân thủ an ninh mạng | 50–100 triệu đồng |
| Không phối hợp với chủ quản hệ thống thông tin | 50–100 triệu đồng |
| Không áp dụng biện pháp quản lý, kỹ thuật cần thiết | 50–100 triệu đồng |
So sánh với quy định cũ: Khung phạt cũ là 10–70 triệu đồng. Dự thảo mới tăng lên đến 100 triệu — gấp 5 lần ở mức tối đa.
Nhóm 2: Vi phạm bảo đảm an ninh thông tin mạng
| Hành vi vi phạm | Mức phạt | Hình thức bổ sung |
|---|---|---|
| Không xác thực thông tin người dùng khi đăng ký tài khoản | 75–100 triệu đồng | Tước GPKD 1–3 tháng |
| Không bảo mật thông tin, tài khoản người dùng | 75–100 triệu đồng | Tước GPKD 1–3 tháng |
| Không triển khai xác thực đa yếu tố (MFA) khi bắt buộc | 50–75 triệu đồng | — |
| Không mã hóa thông tin đăng nhập và dữ liệu nhạy cảm | 50–75 triệu đồng | — |
Nhóm 3: Vi phạm bảo vệ dữ liệu cá nhân
| Hành vi vi phạm | Mức phạt |
|---|---|
| Không áp dụng biện pháp bảo vệ dữ liệu cá nhân theo quy định | 50–70 triệu đồng |
| Không xây dựng, ban hành quy định về bảo vệ dữ liệu cá nhân | 50–70 triệu đồng |
| Không kiểm tra an ninh mạng đối với hệ thống xử lý dữ liệu | 50–70 triệu đồng |
| Mua bán, chia sẻ dữ liệu cá nhân trái phép | Đến 100 triệu đồng |
| Không cung cấp thông tin người dùng trong 24 giờ theo yêu cầu | Phạt nặng + truy cứu hình sự nếu cố tình |
Nhóm 4: Vi phạm về nội dung và phối hợp
| Hành vi vi phạm | Mức phạt |
|---|---|
| Không gỡ bỏ nội dung vi phạm trong 24 giờ | 50–100 triệu đồng |
| Không gỡ bỏ trong 6 giờ (trường hợp khẩn cấp) | Tăng nặng + tước GPKD |
| Sử dụng AI tạo deepfake giả mạo người khác | Phạt hành chính + truy cứu hình sự |
| Phát tán thông tin sai sự thật, gây hoang mang | 20–60 triệu đồng |
| Giả mạo thương hiệu, sản phẩm của doanh nghiệp | 50–100 triệu đồng |
Hình thức xử phạt bổ sung — Đáng sợ hơn tiền phạt
Ngoài phạt tiền, dự thảo quy định các hình thức xử phạt bổ sung có thể gây thiệt hại lớn hơn nhiều so với số tiền phạt:
1. Tước giấy phép kinh doanh 1–3 tháng
Áp dụng khi không bảo mật thông tin người dùng, không xác thực tài khoản. Với doanh nghiệp công nghệ, 1 tháng đình trệ hoạt động có thể thiệt hại gấp nhiều lần so với mức phạt tiền.
2. Buộc xóa bỏ thông tin vi phạm
Doanh nghiệp phải tự xóa toàn bộ nội dung vi phạm và chứng minh đã thực hiện.
3. Buộc khôi phục tình trạng ban đầu
Với các trường hợp làm hỏng hạ tầng hoặc gây tổn hại hệ thống.
4. Truy cứu trách nhiệm hình sự
Với các hành vi cố tình, gây hậu quả nghiêm trọng — đặc biệt là các vi phạm liên quan đến an ninh quốc gia, deepfake, đánh cắp dữ liệu lớn.
Tình huống thực tế — Doanh nghiệp VN dễ vi phạm nhất
Tình huống 1: Công ty thương mại điện tử bị data breach
Một sàn TMĐT lưu trữ thông tin 50.000 khách hàng bị hacker tấn công, rò rỉ dữ liệu. Nếu công ty không có quy định nội bộ về bảo vệ hệ thống và không báo cáo sự cố trong 24 giờ:
- Phạt không ban hành quy định: 25–50 triệu
- Phạt không báo cáo sự cố: 50–100 triệu
- Phạt không bảo vệ dữ liệu cá nhân: 50–70 triệu
- Tổng thiệt hại tối thiểu: 125–220 triệu đồng + uy tín thương hiệu
Tình huống 2: Startup fintech không xác thực người dùng đúng chuẩn
Ứng dụng cho vay online không triển khai xác thực đa yếu tố (MFA) và bị kiểm tra:
- Phạt không xác thực người dùng đúng quy định: 75–100 triệu
- Tước giấy phép kinh doanh: 1–3 tháng
- Hậu quả thực tế: Ứng dụng bị gỡ, mất khách hàng, nhà đầu tư rút vốn
Tình huống 3: Nhân viên nhấp vào phishing, bị ransomware
Một doanh nghiệp sản xuất bị ransomware do nhân viên kế toán nhấp vào email lừa đảo. Hệ thống tê liệt 3 ngày. Nếu doanh nghiệp không có chương trình đào tạo nhận thức bảo mật và không có quy trình ứng phó sự cố:
- Không thể chứng minh đã thực hiện nghĩa vụ bảo vệ hệ thống
- Bị phạt 50–100 triệu đồng vi phạm điều khoản bảo mật
- Chưa kể thiệt hại sản xuất: mỗi ngày tê liệt có thể mất hàng tỷ đồng
Nguyên tắc áp dụng pháp luật — Điều doanh nghiệp cần biết
Không áp dụng hồi tố
Các hành vi vi phạm xảy ra trước 1/7/2026 sẽ xử lý theo quy định cũ (nhẹ hơn). Tuy nhiên, từ 1/7/2026 trở đi, mọi vi phạm đều áp dụng mức phạt mới.
Mức phạt tổ chức gấp đôi cá nhân
Theo nguyên tắc xử phạt hành chính Việt Nam, mức phạt đối với tổ chức/doanh nghiệp gấp 2 lần mức phạt đối với cá nhân cùng hành vi vi phạm.
Tình tiết tăng nặng
- Vi phạm nhiều lần
- Cố tình không khắc phục sau khi bị nhắc nhở
- Gây hậu quả nghiêm trọng
- Vi phạm trong lĩnh vực tài chính, y tế, hạ tầng quan trọng
Chi phí tuân thủ vs. Chi phí vi phạm
Nhiều doanh nghiệp do dự đầu tư vào bảo mật vì lo ngại chi phí. Hãy nhìn vào con số thực tế:
| Hạng mục | Chi phí ước tính |
|---|---|
| CyberAwareness Pro (đào tạo 50 nhân viên/năm) | Vài triệu đồng |
| EC-Council Aware (doanh nghiệp 100–500 người) | Vài chục triệu đồng/năm |
| Mức phạt tối thiểu nếu vi phạm | 25–50 triệu đồng |
| Mức phạt tối đa nếu vi phạm nghiêm trọng | 100–200 triệu đồng |
| Thiệt hại thực tế từ một vụ data breach | Hàng tỷ đồng |
| Tước GPKD 1 tháng (doanh nghiệp trung bình) | Hàng trăm triệu đến hàng tỷ đồng |
Kết luận: Chi phí tuân thủ nhỏ hơn 10–100 lần so với chi phí vi phạm.
5 việc cần làm ngay để tránh bị phạt
1. Ban hành quy định nội bộ về bảo mật Tài liệu bắt buộc: chính sách sử dụng email, thiết bị, mạng nội bộ; quy trình ứng phó sự cố.
2. Triển khai xác thực 2 lớp (MFA) Bắt buộc với mọi hệ thống có dữ liệu người dùng — email, CRM, phần mềm quản trị.
3. Xây dựng quy trình báo cáo sự cố Ai báo cáo, báo cáo cho ai, trong bao lâu — phải được văn bản hóa rõ ràng.
4. Đào tạo nhận thức bảo mật cho toàn bộ nhân viên Không chỉ IT — kế toán, nhân sự, kinh doanh đều phải được đào tạo. Lưu giữ hồ sơ đào tạo để chứng minh tuân thủ.
5. Kiểm tra bảo mật định kỳ Ít nhất 1 lần/năm với hệ thống Cấp 2 trở lên — pentest, vulnerability assessment.
Bắt đầu tuân thủ từ hôm nay
🆓 Đánh giá rủi ro miễn phí
Dành cho: Cá nhân, doanh nghiệp nhỏ
Kiểm tra ngay mức độ dễ bị tấn công của nhân viên — 10 module thực hành miễn phí, nhận Phish-prone Score và biết điểm yếu cần khắc phục trước khi bị phạt.
👉 Bắt đầu tại CyberAwareness Free →
⚡ Xây dựng hồ sơ tuân thủ
Dành cho: SME 10–100 người
Theo dõi tiến trình từng nhân viên, xuất báo cáo PDF, lưu hồ sơ đào tạo — đủ bằng chứng chứng minh tuân thủ khi bị kiểm tra.
🏢 Tuân thủ đầy đủ — Tránh mọi rủi ro pháp lý
Dành cho: Doanh nghiệp 100+ người, ngân hàng, y tế, viễn thông
EC-Council Aware cung cấp đầy đủ bằng chứng tuân thủ: dashboard compliance tự động, báo cáo định kỳ cho ban lãnh đạo, chứng chỉ hoàn thành cho từng nhân viên, phishing simulation có số liệu cải thiện theo thời gian.
👉 Yêu cầu Demo EC-Council Aware →
Bài viết trong loạt series Luật An ninh mạng 2025: → Luật An ninh mạng 2025 có gì mới? → 5 cấp độ hệ thống thông tin — Doanh nghiệp bạn thuộc cấp nào? → Điều 38 — Tối thiểu 10% ngân sách CNTT cho bảo mật → Bạn đang đọc: Vi phạm bị xử phạt thế nào? → Checklist 10 việc doanh nghiệp cần làm ngay trước 1/7/2026
Security365 — Đối tác chính thức EC-Council tại Việt Nam Liên hệ tư vấn: aware@security365.vn | Zalo: 0914 433 338
