Bảo vệ dữ liệu cá nhân trong quảng cáo và tiếp thị trực tiếp đòi hỏi sự tuân thủ nghiêm ngặt về sự đồng ý của khách hàng. Tại DPVN, chúng tôi cung cấp giải pháp toàn diện giúp các doanh nghiệp và agency triển khai các chiến dịch quảng cáo nhắm mục tiêu một cách hiệu quả, an toàn và đúng pháp luật.
Những quy định pháp luật nào điều chỉnh việc bảo vệ dữ liệu cá nhân trong quảng cáo tại Việt Nam?
Hoạt động này được điều chỉnh trực tiếp bởi Điều 21 của Nghị định 13/2023/NĐ-CP và Điều 28 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Ngoài ra, các doanh nghiệp còn phải tuân thủ các quy định liên quan trong Luật Quảng cáo và các nghị định về chống tin nhắn rác, thư điện tử rác, cuộc gọi rác.
Ngành quảng cáo và tiếp thị là một trong những lĩnh vực chịu tác động mạnh mẽ nhất từ các quy định về bảo vệ dữ liệu cá nhân, bởi lẽ hoạt động cốt lõi của ngành này chính là thu thập và phân tích dữ liệu khách hàng. Pháp luật Việt Nam đã thiết lập một hành lang pháp lý đa tầng để quản lý hoạt động này:
- Nghị định 13/2023/NĐ-CP (Điều 21): Đặt ra nguyên tắc nền tảng: việc sử dụng dữ liệu cá nhân để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải có sự đồng ý của chủ thể dữ liệu, dựa trên việc họ biết rõ nội dung, phương thức và tần suất.
- Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 28): Kế thừa và phát triển các quy định của Nghị định 13, đồng thời bổ sung các yêu cầu cụ thể hơn đối với quảng cáo theo hành vi hoặc có mục tiêu, nhấn mạnh vào quyền từ chối của người dùng.
- Luật Quảng cáo 2012: Quy định các nguyên tắc chung về hoạt động quảng cáo, bao gồm việc không được gây phiền toái cho người tiêu dùng.
- Nghị định 91/2020/NĐ-CP: Quy định cụ thể về chống tin nhắn rác, email rác, cuộc gọi rác, yêu cầu các nhà quảng cáo phải có cơ chế cho phép người dùng từ chối nhận quảng cáo.
Về chuyên môn, điều này có nghĩa là các Marketer và Agency không thể chỉ tập trung vào hiệu quả chiến dịch, mà phải tích hợp yếu tố tuân thủ pháp lý (Compliance) ngay từ khâu thiết kế.
Doanh nghiệp cần đáp ứng những điều kiện gì để sử dụng dữ liệu khách hàng cho mục đích quảng cáo một cách hợp pháp?
Điều kiện tiên quyết và quan trọng nhất là phải có được sự đồng ý hợp lệ từ khách hàng. Sự đồng ý này phải rõ ràng, riêng biệt cho mục đích quảng cáo, và được thu thập sau khi đã cung cấp đầy đủ thông tin về nội dung, phương thức và tần suất giới thiệu sản phẩm. Doanh nghiệp cũng phải cung cấp cơ chế để khách hàng dễ dàng từ chối.
Để một chiến dịch tiếp thị trực tiếp tuân thủ pháp luật, doanh nghiệp cần xây dựng một quy trình thu thập sự đồng ý của chủ thể dữ liệu cá nhân một cách minh bạch và bài bản.
Yêu cầu về Sự đồng ý hợp lệ trong Quảng cáo
Sự đồng ý cho mục đích quảng cáo phải đáp ứng các tiêu chí sau:
- Minh bạch (Informed): Khách hàng phải được thông báo rõ ràng rằng dữ liệu của họ (ví dụ: email, số điện thoại, lịch sử mua hàng) sẽ được dùng để gửi thông tin quảng cáo.
- Riêng biệt (Specific & Granular): Sự đồng ý cho marketing phải được tách riêng khỏi các sự đồng ý khác. Không được gộp chung vào điều khoản dịch vụ. Tốt nhất là có các lựa chọn riêng cho từng kênh: email marketing, SMS marketing, Zalo…
- Chủ động (Opt-in): Phải được thể hiện bằng một hành động khẳng định của khách hàng, ví dụ như họ tự tay đánh dấu vào ô checkbox. Các ô checkbox không được đánh dấu sẵn.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một sai lầm rất phổ biến mà chúng tôi thấy là việc các doanh nghiệp tự động thêm email của khách hàng vào danh sách marketing sau khi họ mua hàng. Đây là hành vi vi phạm. Việc khách hàng cung cấp email để nhận hóa đơn không đồng nghĩa với việc họ đồng ý nhận quảng cáo. Doanh nghiệp phải có một lựa chọn rõ ràng, ví dụ một ô checkbox tại trang thanh toán với nội dung: [ ] Tôi muốn nhận thông tin về các chương trình khuyến mãi và sản phẩm mới qua email.”
Quyền từ chối quảng cáo của khách hàng
Pháp luật yêu cầu mọi thông điệp quảng cáo đều phải có cơ chế để người nhận có thể từ chối một cách dễ dàng.
- Đối với Email Marketing: Mọi email đều phải có đường link “Hủy đăng ký” (Unsubscribe) rõ ràng và hoạt động hiệu quả.
- Đối với SMS Marketing: Phải có cú pháp từ chối rõ ràng theo quy định của Nghị định 91/2020/NĐ-CP (ví dụ: soạn TC gửi [đầu số]).
Khi nhận được yêu cầu từ chối, doanh nghiệp phải ngay lập tức chấm dứt việc gửi quảng cáo đến người đó.
Doanh nghiệp cần áp dụng những giải pháp và biện pháp bảo vệ dữ liệu nào trong hoạt động quảng cáo?
Doanh nghiệp cần áp dụng một loạt các biện pháp tổng hợp, bao gồm: xây dựng chính sách quyền riêng tư minh bạch, áp dụng nguyên tắc tối thiểu hóa dữ liệu, quản lý chặt chẽ các nhà cung cấp dịch vụ quảng cáo (agency), và triển khai các biện pháp kỹ thuật để bảo vệ an toàn cho cơ sở dữ liệu khách hàng.
Để xây dựng một chiến dịch quảng cáo tuân thủ, doanh nghiệp cần một chiến lược bảo vệ dữ liệu toàn diện.
| Biện pháp | Hành động cụ thể |
|---|---|
| Minh bạch & Chính sách | Xây dựng và công khai Chính sách bảo vệ dữ liệu cá nhân cho khách hàng, trong đó có một phần riêng giải thích rõ về việc sử dụng dữ liệu cho mục đích quảng cáo. |
| Quản lý Đối tác | Khi thuê agency, phải ký kết Thỏa thuận Xử lý Dữ liệu (DPA), ràng buộc rõ trách nhiệm bảo mật và phạm vi sử dụng dữ liệu của họ. |
| Tối thiểu hóa Dữ liệu | Chỉ thu thập những dữ liệu thực sự cần thiết cho chiến dịch. Không thu thập các thông tin nhạy cảm nếu không có mục đích rõ ràng và sự đồng ý đặc biệt. |
| Bảo mật Kỹ thuật | Cơ sở dữ liệu khách hàng phải được bảo vệ bằng các biện pháp mạnh như mã hóa dữ liệu, kiểm soát truy cập nghiêm ngặt để ngăn chặn rò rỉ. |
| Quảng cáo nhắm mục tiêu | Đối với quảng cáo dựa trên hành vi (sử dụng cookies, pixel), phải có banner thông báo và lấy sự đồng ý cho việc sử dụng cookies, đồng thời cung cấp chính sách cookies rõ ràng. |
Những hình thức xử phạt nào doanh nghiệp có thể đối mặt khi vi phạm quy định?
Doanh nghiệp vi phạm có thể đối mặt với một loạt các chế tài, từ xử phạt vi phạm hành chính (với mức phạt có thể lên tới 5% tổng doanh thu theo Luật 91/2025/QH15), trách nhiệm bồi thường thiệt hại cho khách hàng, cho đến truy cứu trách nhiệm hình sự đối với hành vi mua bán dữ liệu trái phép.
Việc không tuân thủ các quy định về bảo vệ dữ liệu trong quảng cáo có thể dẫn đến những hậu quả pháp lý và tài chính nặng nề. Thay vì lo sợ, doanh nghiệp nên xem đây là động lực để xây dựng một chương trình tuân thủ vững chắc, vốn sẽ mang lại lợi ích bền vững.
Một chiến dịch marketing có trách nhiệm và tôn trọng quyền riêng tư không chỉ giúp doanh nghiệp tránh được các khoản phạt, mà quan trọng hơn, nó còn là cách hiệu quả nhất để xây dựng lòng tin và sự trung thành của khách hàng. Theo một nghiên cứu của McKinsey, 87% người tiêu dùng cho biết họ sẽ không kinh doanh với một công ty nếu họ có lo ngại về các hoạt động bảo mật của công ty đó.
DPVN: Tư Vấn Tuân Thủ Toàn Diện Cho Ngành Marketing & Quảng Cáo
Chúng tôi hiểu rằng việc cân bằng giữa mục tiêu tăng trưởng và nghĩa vụ tuân thủ là một thách thức lớn đối với ngành marketing.
Đội ngũ của DPVN, với sự kết hợp giữa chuyên môn pháp lý của Luật sư Nguyễn Lâm Sơn và sự am hiểu về công nghệ quảng cáo số, sẵn sàng cung cấp các giải pháp thực tiễn. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về bảo vệ dữ liệu cá nhân trong quảng cáo
1. Chúng tôi mua một danh sách dữ liệu khách hàng tiềm năng, điều này có hợp pháp không?
Hành vi này có rủi ro pháp lý cực kỳ cao và gần như chắc chắn là bất hợp pháp. Mua bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu là một hành vi bị nghiêm cấm. Bạn phải đảm bảo rằng nguồn dữ liệu bạn sử dụng đã có được sự đồng ý hợp lệ cho mục đích tiếp thị.
2. Nếu chúng tôi thuê một Agency chạy quảng cáo, ai là người chịu trách nhiệm?
Công ty của bạn, với tư cách là Bên Kiểm soát Dữ liệu, sẽ chịu trách nhiệm chính và cuối cùng trước khách hàng và pháp luật. Agency đóng vai trò là Bên Xử lý Dữ liệu. Do đó, bạn phải có một hợp đồng xử lý dữ liệu (DPA) chặt chẽ để ràng buộc trách nhiệm của họ.
3. Sử dụng Facebook Pixel hoặc Google Analytics để theo dõi người dùng có vi phạm không?
Việc sử dụng các công cụ này được xem là một hình thức xử lý dữ liệu cá nhân (thu thập lịch sử hoạt động trên không gian mạng). Để tuân thủ, website của bạn phải có một banner thông báo về việc sử dụng cookies, một chính sách cookies rõ ràng, và có được sự đồng ý của người dùng trước khi kích hoạt các cookie theo dõi này.
4. Khách hàng có quyền yêu cầu chúng tôi ngừng sử dụng dữ liệu của họ để quảng cáo không?
Có. Đây là quyền phản đối xử lý dữ liệu và quyền rút lại sự đồng ý. Khi nhận được yêu cầu, bạn phải ngay lập tức ngừng sử dụng dữ liệu của họ cho các mục đích marketing và đưa họ vào danh sách “không liên lạc” (suppression list).
5. Sự khác biệt giữa tiếp thị qua email (email marketing) và spam email là gì?
Sự khác biệt cốt lõi nằm ở sự đồng ý. Email marketing hợp pháp là khi bạn gửi email đến những người đã chủ động đăng ký (opt-in) để nhận thông tin từ bạn và có cung cấp tùy chọn hủy đăng ký. Spam email là khi bạn gửi email hàng loạt đến những người chưa bao giờ đồng ý nhận tin từ bạn.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Nghị định 91/2020/NĐ-CP về chống tin nhắn rác, thư điện tử rác, cuộc gọi rác: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-91-2020-ND-CP-chong-tin-nhan-rac-thu-dien-tu-rac-cuoc-goi-rac-452362.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- McKinsey & Company – The consumer-data opportunity and the privacy imperative: https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-consumer-data-opportunity-and-the-privacy-imperative