(KTSG) - Nhiều doanh nghiệp đã và đang lựa chọn mô hình thu thập, khai thác dữ liệu cá nhân dựa trên nguyên tắc đổi lợi ích để lấy quyền sử dụng dữ liệu - người trao dữ liệu và người nhận dữ liệu đều vui. Tuy nhiên, đằng sau cơ chế trao đổi tưởng chừng hợp lý ấy lại là rủi ro pháp lý đáng kể cho doanh nghiệp.
- Năm 2026 – dự đoán ba dạng tranh chấp dữ liệu cá nhân phổ biến tại Việt Nam
- Việt Nam đẩy mạnh ứng dụng AI trong nông nghiệp nhưng còn thiếu nền tảng dữ liệu
Tặng mã giảm giá cho khách hàng, mời khách đăng ký chương trình khách hàng thân thiết hay yêu cầu người dùng đánh dấu chọn “Tôi đồng ý” hay “Tôi đồng ý toàn bộ” rồi tải về hay tiếp tục sử dụng ứng dụng… là những cách doanh nghiệp dùng để đổi lấy thông tin của khách hàng, quyền truy cập lịch sử mua sắm, thu thập dữ liệu hành vi duyệt web của người dùng. Trong những tình huống này, người dùng thường vô thức chia sẻ dữ liệu để nhận về tiện ích hoặc ưu đãi và doanh nghiệp cũng có chủ đích riêng cho việc thu thập dữ liệu đó.
Khung pháp lý về bảo vệ dữ liệu cá nhân của Việt Nam hiện không cấm doanh nghiệp vận hành mô hình kinh doanh theo hướng cung cấp lợi ích để đổi lấy quyền thu thập, xử lý dữ liệu cá nhân của người dùng như nói trên. Tuy nhiên, các nguyên tắc và quy định về bảo vệ dữ liệu cá nhân nêu tại các văn bản pháp luật hiện hành có những quy định khắt khe hơn về việc bảo vệ dữ liệu cá nhân. Theo đó, doanh nghiệp với tư cách bên kiểm soát, hoặc bên kiểm soát và xử lý dữ liệu, phải đảm bảo các nghĩa vụ pháp lý cốt lõi, như đảm bảo các quyền của người dùng (chủ thể dữ liệu), trong đó “sự đồng ý” là điều kiện then chốt để bắt đầu thu thập và xử lý dữ liệu(1).
Yêu cầu của Việt Nam và kinh nghiệm quốc tế
Nhiều hệ thống pháp lý đều đặt “sự đồng ý” làm nền tảng trong hoạt động xử lý dữ liệu cá nhân. Theo Quy định về bảo vệ dữ liệu chung của Liên minh châu Âu (General Data Protection Regulation - GDPR), việc xử lý dữ liệu cá nhân chỉ hợp pháp khi đáp ứng ít nhất một trong sáu điều kiện: (1) có sự đồng ý của chủ thể dữ liệu, (2) thực hiện hợp đồng, (3) tuân thủ nghĩa vụ pháp lý, (4) để bảo vệ lợi ích sống còn của chủ thể dữ liệu hoặc cá nhân khác, (5) để thực hiện nhiệm vụ vì lợi ích công cộng/thực thi thẩm quyền của cơ quan nhà nước, (6) vì lợi ích hợp pháp của bên xử lý dữ liệu(2). Trong đó, sự đồng ý chỉ hợp lệ khi được đưa ra một cách tự do, cụ thể, được thông báo rõ ràng và thể hiện thông qua hành động xác nhận của người dùng(3). Luật Bảo vệ dữ liệu cá nhân của Singapore cũng duy trì quan điểm tương tự khi yêu cầu doanh nghiệp phải thu thập sự đồng ý hợp lệ và bảo đảm người dùng có quyền rút lại sự đồng ý bất kỳ lúc nào(4). Có thể thấy, quy định của pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam khá tương đồng với các nguyên tắc của pháp luật quốc tế.
“Sự đồng ý” là điều kiện then chốt để bắt đầu thu thập và xử lý dữ liệu.
Một số vụ việc thực tiễn gần đây, cho thấy các cơ quan có thẩm quyền về bảo vệ dữ liệu cá nhân trên thế giới có xu hướng xử lý nghiêm các hành vi vi phạm nghĩa vụ đồng ý và minh bạch.
Điển hình như vụ việc liên quan đến ứng dụng hẹn hò Grindr tại Na Uy(5). Ngày 13-12-2021, trên cơ sở khiếu nại của Hiệp hội Người tiêu dùng Na Uy (Norwegian Consumer Council), Cơ quan bảo vệ dữ liệu Na Uy (Norwegian Data Protection Authority - Datatilsynet) đã xem xét và kết luận rằng Grindr đã chia sẻ dữ liệu người dùng - bao gồm vị trí GPS, địa chỉ IP, tuổi, giới tính và thông tin về việc người dùng đang sử dụng ứng dụng cho các đối tác quảng cáo mà không có cơ sở pháp lý hợp lệ theo GDPR.
Theo kết luận, mặc dù Grindr có thu thập sự đồng ý của người dùng, các sự đồng ý này bị xem là không hợp lệ vì người dùng không được cung cấp đầy đủ thông tin về việc chia sẻ dữ liệu với bên thứ ba (đối tác quảng cáo của Grindr). Điều này vi phạm yêu cầu của GDPR về tính minh bạch và tiêu chuẩn cho “sự đồng ý hợp lệ”. Do đó, Grindr bị xử phạt khoảng 6,5 triệu euro. Những trường hợp như vậy cho thấy các mô hình xử lý dữ liệu dựa trên lợi ích kinh tế không thể thay thế yêu cầu về sự đồng ý rõ ràng, minh bạch và phải tuân thủ nghiêm ngặt các quy định của pháp luật liên quan.
Đồng ý nhưng cần minh bạch
Tại Việt Nam, một số rủi ro liên quan đến việc thu thập sự đồng ý mà doanh nghiệp thường gặp phải khi thực hiện hoạt động đổi lợi ích để lấy quyền sử dụng dữ liệu cá nhân của người dùng có thể kể đến như sau:
Xử lý dữ liệu cá nhân mà không thông báo rõ ràng, đầy đủ về loại dữ liệu, mục đích xử lý
Nhiều doanh nghiệp khi thông báo và thu thập sự đồng ý của người dùng chỉ đề cập chung chung về loại dữ liệu và mục đích xử lý, chẳng hạn như “thu thập để nâng cao chất lượng dịch vụ”, “cải thiện trải nghiệm người dùng”. Tuy nhiên, trên thực tế dữ liệu thu thập được dùng cho các mục đích khác nhau, như phân loại khách hàng hay chia sẻ dữ liệu cho đối tác phân tích để nghiên cứu thị trường... Việc này có nguy cơ vi phạm nguyên tắc về sự đồng ý của chủ thể dữ liệu theo quy định của pháp luật về bảo vệ dữ liệu cá nhân(6). Để hạn chế rủi ro pháp lý, khi thu thập sự đồng ý, doanh nghiệp cần liệt kê rõ loại dữ liệu, mục đích thu thập. Ví dụ, một siêu thị khi thu thập họ và tên, giới tính, năm sinh, số điện thoại và e-mail của khách hàng đăng ký chương trình khách hàng thân thiết, để nhận voucher giảm giá mua hàng tại siêu thị, thì trong biểu mẫu thu thập sự đồng ý, doanh nghiệp cần trình bày mục đích xử lý cụ thể, như “sử dụng thông tin để quản lý tài khoản thành viên và xác thực quyền lợi khách hàng thân thiết”, “liên hệ với khách hàng để gửi thông tin chương trình khuyến mãi, ưu đãi dành cho thành viên”, “phân tích hành vi mua sắm nhằm nâng cao chất lượng dịch vụ cho khách hàng thân thiết”...
Theo Luật Bảo vệ dữ liệu nhân Việt Nam, doanh nghiệp với tư cách bên kiểm soát, hoặc bên kiểm soát và xử lý dữ liệu, phải đảm bảo các nghĩa vụ pháp lý cốt lõi như đảm bảo các quyền của người dùng (chủ thể dữ liệu), trong đó “sự đồng ý” là điều kiện then chốt để bắt đầu thu thập và xử lý dữ liệu.
Buộc người dùng “đồng ý toàn bộ” bằng cách gắn kèm điều kiện bắt buộc phải đồng ý với các mục đích không liên quan hoặc khác với nội dung thỏa thuận.
Buộc người dùng phải “đồng ý toàn bộ” được hiểu là việc doanh nghiệp thiết lập điều khoản sử dụng hoặc chính sách quyền riêng tư theo hướng gộp nhiều mục đích xử lý dữ liệu khác nhau vào một lựa chọn đồng ý duy nhất thay vì cho phép người dùng lựa chọn từng mục đích riêng lẻ. Trong đó, doanh nghiệp đặt điều kiện rằng người dùng chỉ có thể được nhận quyền lợi hay tiếp tục sử dụng dịch vụ nếu chấp nhận đồng ý đối với tất cả mục đích, bao gồm những mục đích phụ hoặc không liên quan trực tiếp đến việc cung cấp dịch vụ cốt lõi.
Việc gắn kèm các mục đích bổ sung mà không cần thiết như chia sẻ dữ liệu cho bên thứ ba khiến sự đồng ý không còn tính tự nguyện có thể bị xem xét là làm mất đi yếu tố tự do của sự đồng ý theo yêu cầu của pháp luật về bảo vệ dữ liệu cá nhân(7), đồng thời dẫn đến nguy cơ doanh nghiệp không chứng minh được tính hợp lệ của sự đồng ý trong trường hợp xảy ra tranh chấp hoặc khi bị cơ quan quản lý kiểm tra.
Sử dụng dữ liệu cho mục đích mới mà không yêu cầu lại sự đồng ý
Ngay cả khi có sự đồng ý ban đầu, doanh nghiệp vẫn phải xin lại sự đồng ý nếu muốn mở rộng mục đích xử lý để tránh rủi ro vi phạm nguyên tắc thu thập sự đồng ý đối với từng mục đích(8). Như trường hợp ngân hàng thu thập dữ liệu cá nhân của khách hàng cho mục đích thẩm định khoản vay nhưng sau đó dùng dữ liệu này để gửi e-mail quảng bá các sản phẩm bảo hiểm liên kết mà không xin lại sự đồng ý. Đây là hành vi sử dụng vượt phạm vi mục đích thu thập ban đầu.
Tóm lại, để bảo đảm tính hợp pháp khi áp dụng mô hình “đổi lợi ích lấy dữ liệu”, doanh nghiệp cần lưu ý việc thu thập sự đồng ý hợp lệ của chủ thể dữ liệu trước khi tiến hành bất kỳ hoạt động xử lý nào. Việc tuân thủ nghiêm túc nguyên tắc này không chỉ giúp doanh nghiệp giảm thiểu rủi ro pháp lý mà còn góp phần xây dựng niềm tin và uy tín đối với khách hàng trong bối cảnh ngày càng đề cao quyền riêng tư của cá nhân.
(*) Công ty Luật TNHH HM&P
(1) Điều 9 Luật Bảo vệ dữ liệu cá nhân
(2) Điều 6 GDPR
(3) Điều 7 GDPR
(4) Điều 13, điều 14 PDPA
(5) https://www.forbrukerradet.no/side/the-district-courts-judgment-in-the-grindr-case/, truy cập lần cuối ngày 07/12/2025.
(6) Điểm a, khoản 2 điều 9 Luật BVDLCN
(7) Điểm b, khoản 4 Điều 9 Luật BVDLCN
(8) Điểm a, khoản 4 Điều 9 Luật BVDLCN
