Việc sử dụng Cookies và công nghệ theo dõi trên website cần tuân thủ nghiêm ngặt các quy định về thu thập sự đồng ý để theo dõi hành vi người dùng. Tại DPVN, chúng tôi cung cấp giải pháp toàn diện, từ việc xây dựng banner đồng ý cookies đến chính sách cookies, giúp website của bạn hoạt động tuân thủ.
Quy định pháp luật Việt Nam nào về việc sử dụng cookie và công nghệ theo dõi website?
Mặc dù không có điều luật nào ghi rõ từ “Cookie”, nhưng việc sử dụng chúng được điều chỉnh trực tiếp bởi Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Lý do là vì các dữ liệu do cookies thu thập, như địa chỉ IP hay lịch sử duyệt web, được xem là “dữ liệu cá nhân phản ánh hoạt động trên không gian mạng” và thuộc nhóm dữ liệu cá nhân cơ bản.
Đây là một điểm pháp lý cực kỳ quan trọng mà mọi chủ website tại Việt Nam cần phải nắm vững. Việc bạn cài đặt các công cụ như Google Analytics, Facebook Pixel, hay bất kỳ mã theo dõi nào khác lên website của mình đều được xem là hành vi **thu thập và xử lý dữ liệu cá nhân**. Do đó, hoạt động này phải tuân thủ đầy đủ các nguyên tắc và nghĩa vụ được pháp luật quy định.
Về chuyên môn sâu, khi một cookie được đặt trên trình duyệt của người dùng, nó có thể ghi lại các thông tin như:
- Địa chỉ IP của người dùng.
- Loại thiết bị và trình duyệt họ đang sử dụng.
- Các trang họ đã xem trên website của bạn.
- Thời gian họ ở lại trên mỗi trang.
- Các hành động họ đã thực hiện (ví dụ: thêm vào giỏ hàng, điền vào biểu mẫu).
Khi các mẩu thông tin này được tổng hợp lại, chúng hoàn toàn có thể “giúp xác định một con người cụ thể”, do đó chúng chính là dữ liệu cá nhân theo định nghĩa của pháp luật.
Làm thế nào để tuân thủ pháp luật về cookie và công nghệ theo dõi cho website tại Việt Nam?
Để tuân thủ, doanh nghiệp phải thực hiện một quy trình 3 bước cốt lõi: (1) Thông báo cho người dùng về việc sử dụng cookies ngay khi họ truy cập website (thông qua Banner đồng ý cookies); (2) Cung cấp một Chính sách Cookies chi tiết, minh bạch; và (3) Có được sự đồng ý chủ động (opt-in) của người dùng trước khi kích hoạt các cookie không thiết yếu (như cookie quảng cáo, phân tích).
Đây là một quy trình đã trở thành tiêu chuẩn vàng trên toàn thế giới theo GDPR và nay cũng là yêu cầu bắt buộc tại Việt Nam theo tinh thần của Nghị định 13.
Bước 1: Triển khai Banner Đồng ý Cookies (Cookie Consent Banner)
Đây là thông báo xuất hiện khi người dùng lần đầu tiên truy cập website của bạn. Một banner tuân thủ cần có:
- Thông báo ngắn gọn: Cho biết website sử dụng cookies.
- Đường link đến Chính sách Cookies: Để người dùng có thể tìm hiểu chi tiết.
- Các nút lựa chọn rõ ràng: Tối thiểu phải có nút “Chấp nhận tất cả” và “Từ chối”. Một banner tốt hơn sẽ có thêm nút “Tùy chỉnh” để người dùng có thể lựa chọn từng loại cookie.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một sai lầm phổ biến là nhiều website Việt Nam chỉ có một banner với nút ‘Đồng ý’ duy nhất, hoặc tệ hơn là chỉ có một dòng thông báo nhỏ. Điều này không đáp ứng được yêu cầu về sự lựa chọn tự do. Theo luật, người dùng phải có khả năng từ chối dễ dàng như khi họ chấp nhận.”
Bước 2: Xây dựng Chính sách Cookies (Cookie Policy)
Đây là một văn bản pháp lý riêng biệt hoặc một phần chi tiết trong chính sách bảo vệ dữ liệu cá nhân chung của bạn. Nó phải giải thích rõ:
- Cookies là gì?
- Các loại cookies mà website của bạn sử dụng (ví dụ: thiết yếu, hiệu năng, quảng cáo).
- Mục đích sử dụng của từng loại cookie.
- Thời gian tồn tại của mỗi cookie.
- Thông tin về các bên thứ ba (ví dụ: Google, Facebook) có thể đặt cookie trên website của bạn.
- Hướng dẫn cách người dùng có thể quản lý hoặc xóa cookies.
Bước 3: Lấy sự đồng ý Chủ động (Opt-in)
Đây là yêu cầu kỹ thuật quan trọng nhất. Theo mặc định, khi một người dùng mới truy cập, các cookie không thiết yếu (đặc biệt là cookie theo dõi và quảng cáo) **không được phép kích hoạt**. Chúng chỉ được kích hoạt sau khi người dùng đã có một hành động đồng ý rõ ràng (ví dụ: nhấn nút “Chấp nhận tất cả”).
Doanh nghiệp có thể tham khảo mẫu chính sách cookie và thông báo về theo dõi người dùng ở đâu?
Hiện tại, pháp luật Việt Nam chưa ban hành một mẫu chính sách cookie chính thức. Doanh nghiệp cần tự xây dựng dựa trên các yêu cầu của Nghị định 13 và có thể tham khảo cấu trúc từ các mẫu chuẩn quốc tế theo GDPR. Một chính sách tốt cần được “may đo” cho phù hợp với các công nghệ theo dõi cụ thể mà website đang sử dụng.
Dưới đây là một cấu trúc mẫu mà DPVN khuyến nghị:
- Giới thiệu: Giải thích ngắn gọn Cookies là gì và tại sao website sử dụng chúng.
- Cách chúng tôi sử dụng Cookies: Phân loại và liệt kê chi tiết các cookie đang dùng.
Loại Cookie Mục đích Thiết yếu Cần thiết cho các chức năng cơ bản của website (ví dụ: đăng nhập, giỏ hàng). Hiệu năng & Phân tích Giúp chúng tôi hiểu cách bạn tương tác với website (ví dụ: Google Analytics). Quảng cáo & Tiếp thị Dùng để cá nhân hóa quảng cáo và theo dõi hiệu quả chiến dịch (ví dụ: Facebook Pixel). - Lựa chọn của bạn: Hướng dẫn người dùng cách quản lý sự đồng ý của họ thông qua công cụ trên website và cài đặt của trình duyệt.
- Thông tin liên hệ: Cung cấp thông tin để người dùng có thể liên hệ khi có thắc mắc.
DPVN: Cung Cấp Giải Pháp và Công Cụ Tuân Thủ Cookies Toàn Diện
Việc triển khai một hệ thống quản lý sự đồng ý cookies tuân thủ đòi hỏi sự kết hợp giữa giải pháp pháp lý và công nghệ.
DPVN hợp tác với các nhà cung cấp Nền tảng Quản lý Sự đồng ý (CMP) hàng đầu thế giới để cung cấp một giải pháp trọn gói: từ việc soạn thảo chính sách, thiết kế banner, cho đến việc tích hợp kỹ thuật. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được tư vấn:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về việc sử dụng Cookies và công nghệ theo dõi
1. Hậu quả pháp lý khi vi phạm quy định về cookie tại Việt Nam là gì?
Việc thu thập dữ liệu qua cookies mà không có sự đồng ý hợp lệ là một hành vi xử lý dữ liệu trái phép. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, hành vi này có thể bị xử phạt hành chính lên tới 3 tỷ đồng, cùng với các trách nhiệm pháp lý khác.
2. Chúng tôi có cần sự đồng ý cho các cookie thiết yếu không?
Không. Đối với các cookie thực sự cần thiết để website hoạt động (ví dụ: cookie duy trì trạng thái đăng nhập, cookie giỏ hàng), bạn không cần phải có sự đồng ý trước. Tuy nhiên, bạn vẫn phải minh bạch về việc sử dụng chúng trong Chính sách Cookies.
3. Nền tảng Quản lý Sự đồng ý (CMP) là gì?
CMP là các công cụ hoặc phần mềm chuyên dụng giúp các website tự động hóa việc hiển thị banner, thu thập và quản lý sự đồng ý của người dùng đối với cookies. Việc sử dụng một CMP uy tín là giải pháp hiệu quả nhất để tuân thủ.
4. Nếu người dùng không tương tác với banner cookies, chúng tôi có được xem là họ đã đồng ý không?
Không. Theo nguyên tắc “sự im lặng không phải là đồng ý”, việc người dùng tiếp tục lướt web mà không nhấn nút “Chấp nhận” không được coi là một hành động đồng ý hợp lệ. Các cookie không thiết yếu vẫn không được kích hoạt.
5. Luật mới về quyền từ chối chia sẻ dữ liệu ảnh hưởng đến việc sử dụng cookies như thế nào?
Điều 28 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 yêu cầu phải “thiết lập phương thức cho phép chủ thể dữ liệu cá nhân từ chối chia sẻ dữ liệu”. Điều này củng cố thêm yêu cầu về việc banner cookies phải có nút “Từ chối” hoặc các tùy chọn chi tiết, đảm bảo quyền lựa chọn của người dùng được thực thi một cách dễ dàng.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- ePrivacy Directive (EU Cookie Law): https://gdpr.eu/cookies/
- Google – About cookies: https://policies.google.com/technologies/cookies