Theo đó, Luật An ninh mạng đã thể hiện sự thay đổi căn bản trong tư duy quản lý nhà nước về an ninh mạng, từ chỗ chủ yếu nhìn an ninh mạng như vấn đề bảo vệ hạ tầng kỹ thuật (mạng, hệ thống, thiết bị) sang tiếp cận bảo vệ dữ liệu và tài nguyên số tạo ra giá trị trong nền kinh tế số, xã hội số.
Tư duy này phù hợp với thực tiễn hiện nay khi rủi ro lớn không chỉ đến từ việc hệ thống bị tấn công gây gián đoạn, mà còn đến từ việc dữ liệu bị thao túng, rò rỉ, bị khai thác trái phép, bị dịch chuyển xuyên biên giới thiếu kiểm soát, làm suy giảm niềm tin số và gây thiệt hại lan rộng cho người dân, doanh nghiệp và Nhà nước. Lần đầu tiên, khái niệm “an ninh dữ liệu” được quy định một cách đầy đủ, xác lập vị trí độc lập trong hệ thống pháp luật, kéo theo một chuỗi nghĩa vụ quản trị dữ liệu theo hướng phòng ngừa rủi ro, chuẩn hóa kỹ thuật và tăng cường kiểm soát dòng chảy dữ liệu.
Luật An ninh mạng đã xác lập “an ninh dữ liệu” như một khái niệm pháp lý độc lập và toàn diện. Nếu trước đây dữ liệu thường chỉ được đề cập rải rác dưới góc độ “an toàn thông tin” (thiên về kỹ thuật bảo mật), thì Luật An ninh mạng đã đưa ra định nghĩa riêng về an ninh dữ liệu tại khoản 3 Điều 2, nhấn mạnh hai lớp nội hàm: Bảo đảm chất lượng dữ liệu và các hoạt động xử lý, sử dụng dữ liệu để phục vụ phát triển kinh tế - xã hội và chuyển đổi số và phòng, chống các hành vi truy cập, sử dụng, tiết lộ, sửa đổi trái phép, phá hoại hoặc các hành vi khác đe dọa/gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội.
Như vậy, lần đầu tiên pháp luật đặt dữ liệu không chỉ là “đối tượng cần bảo vệ” mà còn là nguồn lực phải được bảo đảm chất lượng để khai thác hiệu quả. Nói cách khác, quản lý an ninh dữ liệu không dừng ở “chống mất cắp” mà còn hướng tới “chống làm sai lệch, làm giảm giá trị, làm gián đoạn khả năng khai thác”.
Luật An ninh mạng đã thiết lập hành lang pháp lý tương đối toàn diện cho quản trị và bảo đảm an ninh dữ liệu. Điều 26 quy định “bảo đảm an ninh dữ liệu” là tổng thể biện pháp kỹ thuật, tổ chức, pháp lý và liệt kê rõ các nội dung triển khai từ khâu “thiết kế quản trị” đến “kiểm soát vận hành”: Xây dựng chính sách/quy trình; áp dụng tiêu chuẩn, quy chuẩn; sử dụng mật mã; kiểm soát nhân sự trực tiếp xử lý dữ liệu; kiểm tra, đánh giá rủi ro định kỳ. Đặc biệt, luật đặt ra yêu cầu kiểm tra, đánh giá việc chuyển dữ liệu xuyên biên giới và điều kiện bảo đảm an ninh dữ liệu đối với các cấu phần hạ tầng dữ liệu quan trọng như hệ thống thông tin quan trọng về an ninh quốc gia, cơ sở dữ liệu, trung tâm dữ liệu, hệ thống lưu trữ dữ liệu.
Quy định này cho thấy tư duy quản lý đã dịch chuyển từ “bảo vệ điểm” sang “bảo vệ chu trình và dòng chảy dữ liệu”. Dữ liệu có thể an toàn khi lưu trữ nội bộ nhưng trở nên rủi ro cao khi chia sẻ, liên thông, chuyển ra nước ngoài, đặt trên nền tảng/hạ tầng bên thứ ba. Vì vậy, yêu cầu kiểm tra/đánh giá giúp Nhà nước tăng năng lực quản lý với các luồng dữ liệu nhạy cảm, còn tổ chức/doanh nghiệp có căn cứ pháp lý để thiết kế cơ chế kiểm soát tương ứng (hợp đồng, phân quyền, mã hóa, đánh giá rủi ro, kiểm toán…).
Luật cũng đã tăng cường nền tảng chế tài đối với vi phạm dữ liệu, nhất là dữ liệu cá nhân. Để xử lý tình trạng thu thập, mua bán, phát tán dữ liệu trái phép vốn diễn ra phổ biến trên không gian mạng, luật quy định rõ hành vi thu thập, sử dụng, phát tán, trao đổi, chuyển nhượng, kinh doanh trái pháp luật thông tin, dữ liệu cá nhân của người khác là hành vi bị nghiêm cấm (điểm h, khoản 2, Điều 7). Quy định cấm này có ý nghĩa “khóa chặt đầu vào” của nhiều loại tội phạm công nghệ cao (lừa đảo, chiếm đoạt tài sản, mạo danh, rửa tiền…), đồng thời tạo cơ sở pháp lý trực tiếp cho hoạt động thanh tra, kiểm tra, xử lý vi phạm, nâng mức răn đe và củng cố bảo vệ quyền, lợi ích hợp pháp của người dùng Việt Nam.
Thông qua các quy định nêu trên, Luật An ninh mạng đã hình thành khung pháp lý tương đối đầy đủ về an ninh dữ liệu, tạo nền tảng cho việc phòng ngừa, phát hiện và xử lý các hành vi xâm phạm dữ liệu, qua đó góp phần bảo vệ an ninh quốc gia, trật tự, an toàn xã hội và củng cố niềm tin của người dân, doanh nghiệp trong môi trường số.
