Thu thập dữ liệu khách hàng trên website: Làm sao để đúng Luật Bảo vệ dữ liệu cá nhân (PDPL) mà không làm gián đoạn marketing?
Mỗi ngày, website của bạn đang âm thầm thu thập hàng trăm, hàng nghìn điểm dữ liệu từ khách truy cập — tên, email, số điện thoại qua form đăng ký; hành vi lướt web qua cookie; vị trí địa lý qua tính năng “tìm cửa hàng gần bạn”; thậm chí lịch sử thanh toán nếu bạn vận hành sàn thương mại điện tử.
Không có gì sai với việc thu thập dữ liệu đó — miễn là bạn làm đúng cách.
Từ ngày 01/01/2026, Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15 cùng Nghị định 356/2025/NĐ-CP chính thức có hiệu lực. Câu hỏi không còn là “có cần tuân thủ không” mà là “website của mình đang thiếu gì so với yêu cầu của luật?”
Bài viết này trả lời câu hỏi đó theo cách thực dụng nhất: không phải một bản dịch điều luật, mà là hướng dẫn cụ thể để đội Marketing, IT và Pháp chế của bạn cùng nhìn về một hướng.
Website của bạn đang thu thập dữ liệu ở những điểm nào?
Trước khi nói đến “đúng luật”, cần biết mình đang thu thập gì.
Một website doanh nghiệp trung bình tiếp xúc với dữ liệu khách hàng qua ít nhất 6–8 điểm chạm, nhiều trong số đó diễn ra tự động mà không cần khách chủ động điền form:
Điểm chạm chủ động (khách tự điền):
- Form liên hệ, đăng ký dùng thử, đặt hàng
- Form đăng ký nhận newsletter, tài liệu miễn phí
- Chatbot, livechat — hỏi tên và email ngay khi bắt đầu hội thoại
- Form đăng ký tài khoản
Điểm chạm bị động (thu thập qua kỹ thuật):
- Cookie theo dõi hành vi lướt web (Google Analytics, Facebook Pixel, Hotjar…)
- Tính năng “tìm cửa hàng gần bạn” → truy cập dữ liệu vị trí
- Lưu trữ thiết bị (localStorage, session ID)
- Pixel quảng cáo bên thứ ba nhúng trong trang
Vì sao điều này quan trọng? Luật không phân biệt bạn thu thập dữ liệu bằng form hay bằng cookie. Chỉ cần có hành động “xử lý dữ liệu cá nhân” — tức là thu thập, lưu trữ, phân tích, hoặc chuyển cho bên thứ ba — thì yêu cầu về sự đồng ý đều áp dụng.
Dữ liệu thông thường và dữ liệu nhạy cảm: Website bạn đang thu loại nào?
Theo Điều 2 – Luật 91/2025/QH15, dữ liệu cá nhân chia thành hai nhóm với mức độ bảo vệ khác nhau:
Dữ liệu cá nhân thông thường bao gồm các thông tin cơ bản như họ tên, giới tính, ngày sinh, địa chỉ email, số điện thoại. Hầu hết form liên hệ, đăng ký tài khoản đều thuộc nhóm này.
Dữ liệu cá nhân nhạy cảm bao gồm: dữ liệu sức khỏe, dữ liệu tài chính (tài khoản ngân hàng, lịch sử giao dịch), dữ liệu vị trí thực tế, dữ liệu sinh trắc học (vân tay, nhận diện khuôn mặt), và quan điểm chính trị, tôn giáo.
Điều cần chú ý cho doanh nghiệp có website: Nhiều tính năng tưởng như vô hại lại đang thu thập dữ liệu nhạy cảm. Form đăng ký vay vốn online thu dữ liệu tài chính. Tính năng giao hàng tận nơi thu dữ liệu vị trí. Đăng ký khám sức khỏe trực tuyến thu dữ liệu y tế. Với dữ liệu nhạy cảm, luật yêu cầu sự đồng ý riêng biệt — không thể gộp chung vào một checkbox “tôi đồng ý với điều khoản sử dụng”.
4 nguyên tắc của một consent hợp lệ theo luật PDPL
Đây là phần quan trọng nhất và cũng là nơi nhiều website đang làm sai.
Luật không chỉ yêu cầu bạn “có xin phép” — mà yêu cầu sự đồng ý phải đáp ứng đồng thời 4 tiêu chí:
1. Tự nguyện
Khách hàng phải có quyền lựa chọn thực sự — đồng ý hoặc không đồng ý — mà không bị ép buộc, không bị gắn với điều kiện “đồng ý mới được dùng dịch vụ” (trừ những dữ liệu tối thiểu bắt buộc để cung cấp dịch vụ đó). Thiết kế banner chỉ có nút “Đồng ý” mà không có nút “Từ chối” rõ ràng là vi phạm nguyên tắc này.
2. Cụ thể theo từng mục đích
Một lần đồng ý không bao quát tất cả. Nếu bạn muốn dùng email khách hàng cho cả 3 mục đích: gửi đơn hàng, gửi newsletter khuyến mãi, và chia sẻ với đối tác phân phối — thì cần xin phép riêng cho từng mục đích. Khách có thể đồng ý mục này nhưng từ chối mục kia.
3. Có thể kiểm chứng được
Bạn phải lưu lại được: ai đã đồng ý, đồng ý khi nào, đồng ý với nội dung gì (bản sao form/chính sách tại thời điểm đó), thông qua kênh nào. Nếu bị cơ quan quản lý thanh tra, bạn cần xuất được bằng chứng này, không phải hứa miệng “chúng tôi có lưu”.
4. Có thể rút lại bất kỳ lúc nào
Việc rút lại sự đồng ý phải dễ dàng như khi đồng ý. Nếu đăng ký nhận tin mất 5 giây nhưng hủy nhận tin mất 3 bước và một email xác nhận, đó là thiết kế vi phạm luật.
Tại sao “có form” và “có banner cookie” vẫn chưa đủ?
Đây là câu hỏi nhiều doanh nghiệp đặt ra — và câu trả lời nằm ở điểm mấu chốt sau:
Form và banner là điểm thu thập. Bạn cần cả một hệ thống quản lý.
Cụ thể, những khoảng trống mà hầu hết website Việt Nam hiện đang có:
- Thiếu audit log: Khi khách đồng ý qua form, thông tin đó đi đâu? Ai lưu? Ở đâu? Lưu bao lâu? Nếu bị kiểm tra, bạn có thể xuất ra bằng chứng không?
- Thiếu cơ chế rút lại thực tế: Khách hủy nhận email qua đường link unsubscribe — nhưng CRM vẫn gắn tag “tiếp thị được” và tiếp tục nhắm quảng cáo. Đây là vi phạm dù khách đã rút lại sự đồng ý.
- Dữ liệu nằm rải rác: Consent thu trên website nhưng không đồng bộ với công cụ email marketing, CDP, hay hệ thống CRM — khiến không ai biết ai đang đồng ý cái gì ở thời điểm nào.
- Thiếu đồng bộ liên phòng ban: Marketing muốn dùng data, IT giữ hệ thống, Pháp chế chịu rủi ro — ba phòng ban không nói chuyện được với nhau vì không có một nguồn sự thật duy nhất về trạng thái consent.
Khung giải pháp 3 lớp cho một website tuân thủ
Thay vì cố gắng vá từng lỗ hổng riêng lẻ, cách tiếp cận bền vững hơn là xây theo 3 lớp:
Lớp 1 — Thu thập đúng cách (Collect Right)
Thiết kế lại toàn bộ điểm chạm thu thập dữ liệu để đảm bảo:
- Không có checkbox mặc định được tick sẵn
- Phân loại rõ mục đích: “Tôi đồng ý nhận thông tin khuyến mãi” là một consent, “Tôi đồng ý để website lưu cookie phân tích” là consent khác
- Mỗi loại dữ liệu nhạy cảm có form/hộp đồng ý riêng biệt
- Nút “Từ chối” dễ tìm và dễ dùng như nút “Đồng ý”
Lớp 2 — Lưu trữ có bằng chứng (Prove It)
Mỗi lần đồng ý cần tạo ra một bản ghi gồm: timestamp, ID người dùng, nội dung chính sách họ đã được hiển thị, kênh thu thập, và phiên bản form/banner. Đây là audit log — và đây là thứ cơ quan quản lý sẽ yêu cầu khi có thanh tra.
Lớp 3 — Đồng bộ toàn hệ thống (Sync Everything)
Khi khách rút lại sự đồng ý ở bất kỳ điểm nào, tín hiệu đó phải lan tới tất cả hệ thống đang dùng dữ liệu của họ — CRM, email marketing tool, CDP, data warehouse, nền tảng quảng cáo. Theo Nghị định 356, doanh nghiệp có 2 ngày làm việc để phản hồi yêu cầu rút lại và 15–20 ngày để thực hiện. Không có đồng bộ tự động, con số này gần như không thể đáp ứng bằng quy trình thủ công.
Doanh nghiệp bắt đầu từ đâu?
Một cách thực dụng để bắt đầu trong tuần này mà không cần dự án lớn:
Bước 1 — Kiểm kê điểm chạm dữ liệu: Liệt kê tất cả nơi trên website đang thu thập dữ liệu người dùng. Phân loại dữ liệu thu được: thông thường hay nhạy cảm?
Bước 2 — Kiểm tra banner và form hiện tại: Có checkbox mặc định tick sẵn không? Có nút từ chối rõ ràng không? Có phân loại mục đích sử dụng không?
Bước 3 — Kiểm tra hệ thống lưu trữ: Nếu cơ quan quản lý hỏi “khách hàng X đã đồng ý những gì vào ngày Y”, bạn trả lời được không trong 2 ngày làm việc?
Bước 4 — Kiểm tra luồng rút lại: Thử tự mình hủy đăng ký nhận email → xem có còn nhận không sau 24 giờ. Thử tự mình gửi yêu cầu xóa dữ liệu → quy trình nội bộ xử lý thế nào?
Nếu có bất kỳ câu nào bạn không trả lời được dứt khoát, đó là khoảng trống cần xử lý.
Giải pháp cho khoảng trống đó chính xác là điều một Consent Management Platform (CMP) được thiết kế để làm — không chỉ là một công cụ phần mềm, mà là hạ tầng quản lý toàn vòng đời sự đồng ý của khách hàng trên mọi kênh.
Câu hỏi thường gặp (FAQ)
Website nhỏ, ít traffic có cần tuân thủ không? Có. Luật 91/2025/QH15 không có ngưỡng miễn trừ theo quy mô. Bất kỳ tổ chức, doanh nghiệp nào “xử lý dữ liệu cá nhân” — bao gồm việc lưu email liên hệ từ form trên website — đều thuộc phạm vi điều chỉnh.
Banner cookie có phải là đủ không? Không. Banner cookie chỉ giải quyết một điểm thu thập (cookie). Bạn còn cần xử lý consent cho form, lưu audit log, đồng bộ với CRM và các hệ thống downstream, và thiết lập quy trình xử lý khi khách rút lại sự đồng ý.
Sự đồng ý thu trước ngày 1/1/2026 có còn giá trị không? Đây là câu hỏi pháp lý cần xác nhận với tư vấn pháp lý, vì tùy thuộc vào cách consent đó được thu thập và liệu nó có đáp ứng tiêu chuẩn của luật mới hay không. Thông lệ an toàn nhất là rà soát và thu lại consent theo đúng chuẩn mới với các tệp khách hàng hiện hữu quan trọng.
Nếu tôi dùng Google Analytics, Facebook Pixel có cần xin phép không? Có. Pixel và các công cụ analytics bên thứ ba được nhúng vào website của bạn sẽ thu thập và xử lý dữ liệu người dùng. Bạn — với tư cách là chủ website — chịu trách nhiệm xin sự đồng ý trước khi các công cụ này được kích hoạt.
Mức phạt cụ thể nếu vi phạm là bao nhiêu? Theo Điều 8 – Luật 91/2025/QH15: phạt tới 3 tỷ đồng với các vi phạm phổ biến về consent và xử lý dữ liệu; phạt tới 5% tổng doanh thu với vi phạm quy định xử lý hoặc chuyển dữ liệu xuyên biên giới; phạt tới 10 lần khoản thu được từ hành vi mua bán dữ liệu trái phép. Ngoài phạt tiền, doanh nghiệp có thể bị yêu cầu dừng xử lý dữ liệu — đồng nghĩa với gián đoạn toàn bộ hoạt động marketing và CRM.
Tôi có cần một phần mềm riêng để quản lý consent không? Không bắt buộc về mặt luật — luật yêu cầu kết quả (consent hợp lệ, có bằng chứng), không yêu cầu công cụ cụ thể. Tuy nhiên, việc quản lý consent bằng tay trên nhiều kênh và nhiều hệ thống là không khả thi ở quy mô vừa trở lên. Đây là lý do các Consent Management Platform (CMP) đang trở thành hạ tầng tiêu chuẩn cho doanh nghiệp có website thu thập dữ liệu khách hàng.
| Bài viết độc quyền từ chuyên gia FPT
Dương Hồng Nhung, Product Marketing, Giải pháp Bảo vệ Dữ liệu & Tuân thủ Công ty TNHH FPT IS, Tập đoàn FPT |
Thông tin thêm về giải pháp CMP do FPT phát triển:
Giải pháp CMP (nền tảng quản lý sự đồng ý của người dùng) của FPT giúp doanh nghiệp quản lý toàn bộ quá trình xin phép và sử dụng dữ liệu khách hàng một cách minh bạch, có hệ thống. Mọi sự đồng ý đều được ghi nhận và lưu trữ đầy đủ, giúp doanh nghiệp tuân thủ quy định, giảm rủi ro pháp lý và vận hành hiệu quả hơn.
Để bắt đầu khám phá giải pháp phù hợp với nhu cầu doanh nghiệp, hãy để lại thông tin ở cuối trang để kết nối với các chuyên gia FPT.





