Doanh nghiệp có trách nhiệm gì khi sử dụng dữ liệu vị trí của khách hàng là một yêu cầu pháp lý nghiêm ngặt, đòi hỏi sự đồng ý cho việc theo dõi định vị và bảo mật dữ liệu. Tại DPVN, chúng tôi sẽ phân tích các nghĩa vụ pháp lý chung và giải pháp giúp doanh nghiệp bạn sử dụng dữ liệu vị trí cá nhân một cách có trách nhiệm.
Nghĩa vụ pháp lý chung của doanh nghiệp khi sử dụng dữ liệu vị trí được quy định như thế nào?
Theo Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, dữ liệu vị trí của cá nhân được xác định qua dịch vụ định vị là một loại dữ liệu cá nhân nhạy cảm. Do đó, doanh nghiệp có nghĩa vụ pháp lý ở mức độ cao nhất, bao gồm việc phải có được sự đồng ý tường minh của khách hàng, áp dụng các biện pháp bảo vệ nâng cao, và phải tuyệt đối minh bạch về mục đích sử dụng.
Dữ liệu vị trí không chỉ đơn thuần là một tọa độ trên bản đồ. Nó có khả năng tiết lộ những thông tin cực kỳ riêng tư về một người: nơi họ sống, nơi họ làm việc, thói quen đi lại, các địa điểm họ thường xuyên lui tới (bệnh viện, trường học, cơ sở tôn giáo…). Chính vì mức độ nhạy cảm này, pháp luật đã đặt ra một chế độ bảo vệ đặc biệt.
Về chuyên môn sâu, Điều 31 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra các quy định cụ thể cho việc bảo vệ dữ liệu vị trí, cho thấy sự quan tâm đặc biệt của nhà làm luật. Các doanh nghiệp, đặc biệt là các công ty phát triển ứng dụng di động (giao đồ ăn, gọi xe, mạng xã hội), phải xem việc xử lý dữ liệu vị trí là một hoạt động có rủi ro cao và phải tích hợp các biện pháp bảo vệ ngay từ khâu thiết kế sản phẩm.
Doanh nghiệp phải tuân thủ những trách nhiệm cốt lõi nào khi thu thập và xử lý dữ liệu vị trí?
Trách nhiệm của doanh nghiệp bao gồm 4 trụ cột chính: (1) Phải có được sự đồng ý tường minh, chủ động và kịp thời (just-in-time consent); (2) Phải minh bạch tuyệt đối về mục đích sử dụng; (3) Phải áp dụng nguyên tắc tối thiểu hóa dữ liệu, chỉ thu thập khi thực sự cần thiết; và (4) Phải cung cấp cho khách hàng các công cụ để kiểm soát và lựa chọn.
Đây là những yêu cầu bắt buộc để đảm bảo việc theo dõi định vị được thực hiện một cách hợp pháp và có đạo đức.
1. Có được Sự đồng ý Tường minh và Kịp thời
Đối với dữ liệu vị trí, một sự đồng ý hợp lệ không thể được thu thập một cách chung chung. Các ứng dụng di động phải xin phép truy cập vị trí ngay tại thời điểm người dùng bắt đầu sử dụng một tính năng cần đến nó, kèm theo một lời giải thích ngắn gọn.
Ví dụ thực tế:
- Cách làm đúng: Một ứng dụng gọi xe, khi người dùng nhấn vào ô tìm kiếm điểm đến, sẽ hiển thị một thông báo của hệ điều hành: “[Tên ứng dụng] muốn sử dụng vị trí của bạn để tìm tài xế ở gần”. Người dùng có các lựa chọn: “Cho phép một lần”, “Cho phép khi dùng ứng dụng”, “Không cho phép”.
- Cách làm sai: Một ứng dụng thời tiết, ngay khi vừa cài đặt, đã yêu cầu quyền truy cập vị trí “luôn luôn” mà không giải thích rõ ràng.
2. Minh bạch về Mục đích Sử dụng
Doanh nghiệp phải nêu rõ trong chính sách bảo vệ dữ liệu cá nhân rằng mình có thu thập dữ liệu vị trí và sử dụng nó vào những mục đích cụ thể nào (ví dụ: để cung cấp dịch vụ, để hiển thị các cửa hàng gần bạn, để phục vụ quảng cáo theo vị trí…).
3. Tối thiểu hóa Dữ liệu
Chỉ thu thập mức độ chi tiết và tần suất cập nhật vị trí cần thiết cho mục đích đã nêu. Không được thu thập vị trí 24/7 nếu dịch vụ chỉ cần biết vị trí của khách hàng tại một thời điểm cụ thể.
4. Cung cấp Lựa chọn và Quyền kiểm soát cho Khách hàng
Điều 31 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 yêu cầu các nhà cung cấp nền tảng ứng dụng di động phải “cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân”. Điều này có nghĩa là ứng dụng phải cho phép người dùng dễ dàng bật/tắt dịch vụ vị trí trong phần cài đặt của ứng dụng.
Khách hàng có những quyền gì liên quan đến dữ liệu vị trí của mình?
Ngoài các quyền cơ bản, khách hàng có các quyền đặc thù đối với dữ liệu vị trí. Quan trọng nhất là quyền rút lại sự đồng ý bất cứ lúc nào bằng cách tắt dịch vụ vị trí trong cài đặt điện thoại hoặc ứng dụng, và quyền yêu cầu xóa lịch sử vị trí mà doanh nghiệp đã lưu trữ.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Quyền rút lại sự đồng ý đối với dữ liệu vị trí phải dễ dàng như khi cho phép. Nếu người dùng có thể cho phép chỉ bằng một cú chạm, thì họ cũng phải có khả năng tắt nó đi một cách đơn giản tương tự. Việc một ứng dụng cố tình giấu hoặc làm phức tạp hóa chức năng tắt định vị là một hành vi vi phạm pháp luật.”
Doanh nghiệp được phép sử dụng dữ liệu vị trí cho mục đích quảng cáo như thế nào?
Việc sử dụng dữ liệu vị trí cho mục đích quảng cáo (ví dụ: quảng cáo theo vùng địa lý – Geofencing) là một hoạt động có rủi ro cao và bắt buộc phải có sự đồng ý riêng biệt, rõ ràng và chủ động (opt-in) từ khách hàng. Doanh nghiệp không được mặc nhiên sử dụng dữ liệu vị trí thu thập cho mục đích cung cấp dịch vụ để chạy quảng cáo.
Đây là một ứng dụng của nguyên tắc Giới hạn Mục đích. Để tuân thủ, doanh nghiệp cần:
- Thu thập sự đồng ý riêng: Có một lựa chọn riêng (ví dụ: ô checkbox) cho phép khách hàng đồng ý nhận các ưu đãi, quảng cáo dựa trên vị trí của họ.
- Minh bạch: Giải thích rõ cách thức hoạt động, ví dụ: “Bằng việc cho phép, chúng tôi sẽ gửi cho bạn các thông báo về khuyến mãi khi bạn ở gần các cửa hàng của chúng tôi.”
DPVN: Dịch Vụ Tư Vấn Tuân Thủ Cho Các Dịch Vụ Dựa Trên Vị Trí
Việc triển khai các dịch vụ dựa trên vị trí đòi hỏi sự cân bằng tinh tế giữa đổi mới sáng tạo và tuân thủ pháp luật về quyền riêng tư.
Đội ngũ của DPVN, với sự kết hợp giữa chuyên môn pháp lý của Luật sư Nguyễn Lâm Sơn và sự am hiểu về công nghệ, có thể giúp bạn xây dựng các luồng thu thập sự đồng ý và chính sách bảo mật tuân thủ. Hãy liên hệ với chúng tôi:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về bảo vệ dữ liệu vị trí
1. Xử phạt vi phạm liên quan đến dữ liệu vị trí là bao nhiêu?
Do dữ liệu vị trí là dữ liệu nhạy cảm, các vi phạm sẽ bị xử lý ở mức cao nhất. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, các mức phạt có thể lên tới 5% tổng doanh thu hoặc 3 tỷ đồng, cùng với trách nhiệm bồi thường thiệt hại.
2. Nếu khách hàng đăng ảnh check-in công khai, chúng tôi có được sử dụng dữ liệu vị trí đó không?
Không. Việc khách hàng tự công khai không có nghĩa là họ đồng ý cho bạn thu thập và xử lý dữ liệu đó cho mục đích thương mại của bạn. Bạn vẫn cần có một cơ sở pháp lý riêng.
3. Bảo mật và an toàn dữ liệu vị trí cần những biện pháp kỹ thuật nào?
Các biện pháp cần thiết bao gồm mã hóa cơ sở dữ liệu vị trí, sử dụng các giao thức truyền tin an toàn (HTTPS), kiểm soát truy cập nghiêm ngặt, và có chính sách lưu trữ dữ liệu hợp lý (chỉ lưu trong thời gian cần thiết).
4. Dữ liệu địa chỉ IP có được coi là dữ liệu vị trí không?
Địa chỉ IP có thể cung cấp thông tin vị trí ở mức độ tương đối (thành phố, quốc gia). Mặc dù nó được xếp vào nhóm dữ liệu cá nhân cơ bản, nhưng khi được sử dụng để theo dõi, nó cũng cần được xử lý một cách cẩn trọng.
5. Chúng tôi có cần lập hồ sơ ĐGTĐ cho việc xử lý dữ liệu vị trí không?
Chắc chắn CÓ. Do dữ liệu vị trí là dữ liệu nhạy cảm và việc theo dõi định vị được xem là hoạt động có rủi ro cao, doanh nghiệp bắt buộc phải lập Hồ sơ Đánh giá Tác động xử lý dữ liệu cá nhân.
Nguồn tham khảo:
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- European Data Protection Board (EDPB) – Guidelines on processing personal data through video devices: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en
- Future of Privacy Forum – Best Practices for Common Mobile App Permissions: https://fpf.org/blog/best-practices-for-common-mobile-app-permissions/
