越南新《网络安全法》将于2026年7月1日生效

知识亮点 23 January 2026

2025年12月10日，越南国会通过了《网络安全法》（第116/2025/QH15号），该法将于2026年7月1日生效（“新法”）。新法构建了一个全面的网络安全法律框架，对网络安全、网络安全保护以及在网络空间活动的机构、组织和个人的权利、义务及责任作出了规定。

新法将取代《网络信息安全法》（第86/2015/QH13号）和《网络安全法》（第24/2018/QH14号）（“《2018年网络安全法》”），这两部法律自新法生效之日起废止。新法还对一系列行业法规进行了配套修订，以确保越南法律体系内术语和监管要求的一致性。

适用范围与关键定义

新法广泛适用于：（一）越南个人、机构和组织；（二）居住在越南的外国个人，以及在越南运营的外国机构和组织；以及（三）直接参与或涉及越南网络安全保护活动或网络安全产品与服务业务的外国个人、机构及组织。

新法还对关键概念给出了详细的法律定义，包括网络安全、数据安全、网络空间、信息系统、数字账户、网络犯罪、网络攻击、网络恐怖主义及网络间谍活动等，从而正式将数据安全和数字账户治理纳入网络安全框架。

国家政策、原则与网络安全措施

新法阐明了关于网络安全的国家总体政策，包括建设一个不危害国家安全、社会秩序及组织和个人合法权益的健康网络空间，以及在国防、安全、社会经济发展、科学技术和外交事务中优先保护网络安全。

网络安全保护应根据既定原则实施，包括遵守宪法和法律、保护网络空间国家主权、实行统一的国家管理，以及将网络安全保护与社会经济发展相结合，同时保障人权、公民权利和个人数据保护。

新法列举了非穷尽的网络安全保护措施，包括网络安全评估与检查、网络安全监控、事件响应、密码措施、防止非法信息传播的技术解决方案、在特定情形下暂停或停止网络服务、删除非法或虚假信息、为调查收集数据、阻断或限制信息系统以及法律规定的其他措施。

国际合作

新法为网络安全领域的国际合作确立了法律基础，包括信息共享和预警机制、网络犯罪预防与调查合作、培训与能力建设、技术转让以及参与国际条约和协定等，前提是尊重国家主权并符合越南的国际义务。

禁止行为与内容相关限制

新法详细列举了与网络安全相关的禁止行为，包括发布或传播反对国家、歪曲历史、破坏民族团结的信息，散布引起社会恐慌或社会经济损害的虚假信息，或侵犯组织和个人合法权益的信息。

新法还禁止在网络空间实施多种行为。具体而言，新法沿用了与《2018年网络安全法》类似的规定，禁止包括但不限于煽动反对国家、网络欺诈、网络赌博、侵犯知识产权、冒充身份、滥用数字账户以及非法交易活动等一系列行为。网络攻击、网络恐怖主义、网络间谍活动、网络犯罪及高科技犯罪，以及未经授权访问信息系统和阻碍网络安全保护活动亦被明确禁止。

此外，新法特别禁止未经授权截取或记录通信内容、泄露国家、商业或个人秘密，以及使用人工智能或新技术伪造图像、视频或声音等违法行为。

信息系统与关键国家安全系统

根据对国家安全、公共秩序、社会安全以及组织和个人合法权益的潜在危害程度，信息系统被划分为五个安全等级。

新法明确了涉及国家安全的关键信息系统，包括与国防、安全、外交、密码、金融、银行、能源、电信、交通、卫生及其他关键领域相关的系统。此类系统在投入运营前须进行网络安全评估、认证、监控和事件响应措施，并在运行期间必须接受定期的网络安全检查和监控。

保护关键国家安全信息系统的主要责任划归公安部，国防部和政府密码委员会分别在军事系统和密码系统方面承担各自职责。

服务提供商的义务与数据安全

在电信网络、互联网和网络增值服务领域提供服务的本地和外国企业，需验证数字账户信息、识别IP地址、留存指定用户数据、删除非法内容，并与专业网络安全力量合作，包括在威胁国家安全或人身安全的紧急情况下遵守更快的响应时限。

此外，在电信网络、互联网和网络增值服务领域提供服务的本地和外国企业，若在越南收集、分析或处理个人数据或用户生成数据，需采取数据保护措施并将此类数据存储在越南境内；属于此范围的外国企业必须在越南设立分支机构或代表处，具体实施细则将由政府颁布。

新法还建立了专门的数据安全保障框架，包括保护数据的组织、技术和法律措施，定期风险评估，密码保护以及对跨境数据转移的监督，具体细则将由政府颁布。

网络安全标准、产品、服务与许可

新法还规范了网络安全标准、技术法规以及网络安全产品和服务的提供。具体而言，新法列举了网络安全产品和服务清单，包括但不限于测试、监控、事件响应、咨询和密码服务。提供网络安全产品需遵守相关主管部门发布的适用标准和技术规范，提供此类产品或服务的企业必须持有相关许可证，遵守监管义务和质量要求，并在将该等服务推向市场时与专业网络安全力量合作。具体要求和指引将由政府另行规定。

治理与执法

政府对网络安全实行统一的国家管理，指定公安部为主要负责机关，负责发布指导、协调网络安全保护措施、管理IP地址识别和数字账户验证机制、响应网络安全事件以及处理违反网络安全法律的行为。

国防部、政府密码委员会、其他各部委以及省级人民委员会在其各自职权范围内承担额外责任。

新法还为国家机关和国家资助实体的网络安全保护引入了专项资金义务，包括要求将数字化转型和信息技术投资预算的至少15%分配给网络安全保护。

生效日期与过渡条款

新法将于2026年7月1日生效。在先前网络安全和网络信息安全制度下建立的现有信息系统、产品和服务可在规定的过渡期内继续运营，但须在规定时限内满足新法的要求。在新法生效日前颁发的网络安全和民用密码相关产品和服务的经营许可证，在各自执照载明的有效期届满前继续有效。