Thu thập sự đồng ý của chủ thể dữ liệu sao cho “thấu tình đạt lý”

Bản tin pháp luật

Thu thập sự đồng ý của chủ thể dữ liệu sao cho “thấu tình đạt lý”

LexNovum Lawyers

LexNovum Lawyers

07/01/2026

Khung pháp lý về bảo vệ dữ liệu cá nhân (“DLCN”) tại Việt Nam chính thức được triển khai từ tháng 7/2023 với văn bản hướng dẫn trực tiếp là Nghị định 13/2023/NĐ-CP, và tiếp đến là Luật Bảo vệ DLCN 2025 (có hiệu lực vào ngày 01/01/2026). Trong bối cảnh đó, việc tuân thủ đầy đủ các nghĩa vụ pháp lý liên quan đến bảo vệ DLCN đã trở thành yêu cầu cấp thiết đối với các doanh nghiệp.

Theo đó, trong thời gian qua, nhiều doanh nghiệp đã chủ động xây dựng cơ chế và triển khai việc thu thập sự đồng ý của chủ thể dữ liệu (“CTDL”) ngay từ giai đoạn chuyển tiếp, trước khi Luật Bảo vệ DLCN 2025 chính thức có hiệu lực.

Trong bài viết này, LexNovum Lawyers (“LNV”) sẽ trình bày tổng quan trách nhiệm pháp lý của doanh nghiệp trong việc thu thập sự đồng ý của CTDL, đồng thời đưa ra một số khuyến nghị thực tiễn nhằm hỗ trợ doanh nghiệp triển khai cơ chế này một cách phù hợp và hiệu quả.

1. Trách nhiệm của doanh nghiệp trong việc thu thập sự đồng ý của CTDL

Theo Điều 9.1 Luật Bảo vệ DLCN 2025, sự đồng ý của CTDL là việc CTDL cho phép xử lý DLCN của mình, trừ trường hợp pháp luật có quy định khác. Theo đó, trước khi tiến hành xử lý DLCN của CTDL, doanh nghiệp có nghĩa vụ thu thập sự đồng ý của CTDL, ngoại trừ các trường hợp được phép xử lý DLCN mà không cần sự đồng ý theo quy định tại Điều 19 Luật Bảo vệ DLCN 2025.

Điều 9.2 Luật Bảo vệ DLCN 2025 quy định: “Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:

a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;

b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;

c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.”

Như vậy, trong trường hợp có bất kỳ sự thay đổi nào liên quan đến các nội dung nêu trên, doanh nghiệp cũng phải thông báo và thu thập lại sự đồng ý của CTDL đối với phần thay đổi.

Bên cạnh đó, sự đồng ý của CTDL phải bảo đảm các nguyên tắc được quy định tại Điều 9.3 Luật Bảo vệ DLCN, bao gồm:

– Thể hiện sự đồng ý đối với từng mục đích;

– Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;

– Sự đồng ý có hiệu lực cho đến khi CTDL thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;

– Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

Trong các nguyên tắc trên, doanh nghiệp cần đặc biệt lưu ý rằng, sự im lặng hoặc không phản hồi không được xem là sự đồng ý. Theo đó, chỉ khi có sự đồng ý rõ ràng của CTDL, doanh nghiệp mới được phép bắt đầu tiến hành xử lý DLCN.

Việc không tuân thủ nghĩa vụ và nguyên tắc thu thập sự đồng ý trước khi xử lý DLCN nêu trên có thể khiến doanh nghiệp đối mặt với mức xử phạt hành chính lên đến 03 tỷ đồng theo quy định tại Điều 8.5 Luật Bảo vệ DLCN 2025.

2. Những nội dung mà doanh nghiệp cần lưu ý khi thu thập sự đồng ý của CTDL

Trên thực tế, không ít trường hợp CTDL từ chối cho phép xử lý một số loại DLCN nhất định. Trong những tình huống như vậy, doanh nghiệp có thể gặp khó khăn trong việc cung cấp đầy đủ hoặc trọn vẹn dịch vụ do thiếu các dữ liệu cần thiết.

Vì vậy, nhiều doanh nghiệp đã lựa chọn cách truyền đạt theo hướng khá cứng nhắc, chẳng hạn như: “Trường hợp bạn không đồng ý cho phép chúng tôi xử lý dữ liệu cá nhân, chúng tôi sẽ không thể cung cấp dịch vụ và tài khoản của bạn sẽ bị xóa trong vòng 30 ngày.” Mặc dù cách tiếp cận này xuất phát từ mục tiêu bảo đảm tính rõ ràng và thuận tiện cho quá trình cung cấp dịch vụ đến CTDL, song trên thực tế lại dễ tạo cho CTDL cảm giác bị “ép buộc” hoặc đặt vào thế buộc phải đồng ý để tiếp tục sử dụng dịch vụ, từ đó phát sinh tâm lý khó chịu hoặc phản ứng tiêu cực.

Vấn đề đặt ra đối với doanh nghiệp là làm thế nào để triển khai cơ chế thu thập sự đồng ý một cách “thấu tình đạt lý” – tức vừa tuân thủ chặt chẽ các yêu cầu pháp lý về bảo vệ DLCN, vừa bảo đảm trải nghiệm tích cực, tôn trọng quyền tự quyết và cảm nhận của CTDL trong quá trình đưa ra sự đồng ý đối với việc xử lý DLCN.

Từ kinh nghiệm tư vấn và triển khai thực tiễn, LNV khuyến nghị doanh nghiệp không chỉ tập trung vào yêu cầu tuân thủ pháp luật, mà còn cần phải chú trọng đến cách thức truyền đạt thông tin và mức độ minh bạch đối với CTDL. Cụ thể:

(i) Doanh nghiệp nên xây dựng các chính sách, quy định một cách rõ ràng, dễ hiểu đối với CTDL là người dùng phổ thông.

Các chính sách và quy định về bảo vệ DLCN do doanh nghiệp xây dựng thường mang tính pháp lý cao, sử dụng nhiều thuật ngữ chuyên môn nhằm bảo đảm hiệu lực và giá trị pháp lý. Tuy nhiên, cách diễn đạt này trên thực tế có thể gây khó hiểu cho CTDL, thậm chí dẫn đến những cách hiểu tiêu cực hoặc lo ngại không cần thiết.

Ví dụ, nếu doanh nghiệp chỉ quy định một cách khái quát rằng: “Công ty có thể chia sẻ và chuyển giao dữ liệu cá nhân của người dùng cho các công ty con”, người dùng có thể lo ngại rằng DLCN của mình (như số điện thoại) sẽ bị chia sẻ cho các công ty con không liên quan đến dịch vụ họ đang sử dụng, chẳng hạn để phục vụ mục đích quảng cáo hoặc tiếp thị không mong muốn.

Trong trường hợp này, doanh nghiệp nên làm rõ phạm vi và mục đích xử lý, ví dụ: “Việc chia sẻ và chuyển giao dữ liệu cá nhân của người dùng cho các công ty con chỉ nhằm phục vụ các mục đích xử lý dữ liệu cá nhân đã được nêu tại Chính sách này.” Cách diễn đạt cụ thể và minh bạch như vậy giúp CTDL hiểu đúng bản chất của hoạt động xử lý dữ liệu, kiểm soát được các mục đích xử lý DLCN, từ đó, giảm thiểu tâm lý nghi ngại hoặc hiểu sai.

Theo đó, bên cạnh pháp lý, doanh nghiệp nên cân nhắc tham vấn ý kiến của các phòng ban chuyên môn khác trong quá trình xây dựng và rà soát chính sách bảo vệ DLCN nhằm xây dựng nội dung cho phù hợp với đặc thù dịch vụ, mô hình hoạt động và nhóm người dùng mục tiêu. Điều này không chỉ giúp bảo đảm tuân thủ pháp luật mà còn góp phần nâng cao mức độ tin cậy từ CTDL đối với doanh nghiệp.

(ii) Cung cấp nội dung tóm tắt hoặc chú thích rõ ràng về cơ chế bảo vệ DLCN.

Một hạn chế thường gặp trong thực tiễn là doanh nghiệp chưa chú trọng xây dựng các nội dung tóm tắt hoặc chú thích giúp CTDL nhanh chóng nắm bắt được bản chất và mục đích của cơ chế bảo vệ DLCN, ví dụ có thể kể đến các thông điệp mang tính định hướng như: “Những nội dung chính bạn cần biết” hoặc “Vì sao chúng tôi cần sự đồng ý của bạn để cung cấp dịch vụ”.
Khi thiếu các nội dung này, CTDL dễ rơi vào tâm lý “chưa kịp hiểu đã phải đồng ý”, đặc biệt trong bối cảnh các chính sách bảo vệ DLCN thường khá dài và sử dụng nhiều thuật ngữ pháp lý. Mặc dù pháp luật hiện hành không bắt buộc doanh nghiệp phải thực hiện những nội dung này, nhưng trên phương diện quản trị rủi ro và trải nghiệm người dùng, LNV thường sẽ khuyến nghị doanh nghiệp cân nhắc triển khai sau khi đánh giá tổng thể cách thức và phạm vi thu thập sự đồng ý.

Những thiết kế và thông điệp mang tính “kỹ thuật” này giúp doanh nghiệp chủ động giải thích và bảo vệ thiện chí của mình, trước khi bị người dùng gán cho những động cơ không mong muốn. Ngược lại, nếu trải nghiệm người dùng được thiết kế theo hướng cứng nhắc, đặt CTDL vào tình thế “phải đồng ý để tiếp tục sử dụng dịch vụ”, doanh nghiệp rất dễ đối mặt với phản ứng tiêu cực từ người dùng, ngay cả khi mục tiêu tuân thủ pháp luật là hoàn toàn chính đáng.

(iii) Minh bạch và thiện chí trong việc thừa nhận các rủi ro tiềm ẩn.

Một phản ánh phổ biến từ phía CTDL là việc một số doanh nghiệp có xu hướng đề cập đến các rủi ro như tấn công mạng hoặc rò rỉ dữ liệu theo cách mang nặng tính “miễn trừ trách nhiệm”, ví dụ thông qua các tuyên bố chung chung như: “Chúng tôi không đưa ra bất kỳ bảo đảm nào về tính an toàn, bảo mật của thông tin.” Cách diễn đạt này tuy có thể nhằm mục đích hạn chế trách nhiệm pháp lý, nhưng trên thực tế lại dễ gây ra cảm giác rằng doanh nghiệp xem các rủi ro là điều hiển nhiên và không đặt người dùng – CTDL vào trọng tâm của việc bảo vệ DLCN.

Trên thực tế, không doanh nghiệp nào mong muốn xảy ra sự cố và phần lớn đều đã triển khai các biện pháp kỹ thuật, tổ chức cần thiết để bảo vệ DLCN. Tuy nhiên, trong môi trường công nghệ hiện nay, rủi ro an ninh thông tin là yếu tố không thể loại trừ hoàn toàn. Thực tiễn năm 2025 đã ghi nhận nhiều vụ rò rỉ dữ liệu ngay tại các hệ thống vốn được đánh giá là có mức độ bảo mật cao. Trong bối cảnh đó, doanh nghiệp nên lựa chọn cách tiếp cận minh bạch và thiện chí hơn trong việc truyền đạt thông tin tới CTDL, theo hướng thừa nhận rằng rủi ro vẫn có thể phát sinh, đồng thời làm rõ cam kết của doanh nghiệp trong việc áp dụng các biện pháp phòng ngừa kỹ thuật và pháp lý phù hợp, kịp thời để hạn chế thiệt hại và cam kết phối hợp chặt chẽ với CTDL cũng như cơ quan nhà nước có thẩm quyền để xử lý sự cố một cách có trách nhiệm và đúng quy định pháp luật.

(iv) Đánh giá tác động đầy đủ và chuẩn bị kỹ lưỡng cho quá trình triển khai.

Doanh nghiệp cần thực hiện đánh giá tác động xử lý DLCN một cách toàn diện, không chỉ để đáp ứng yêu cầu tuân thủ pháp luật mà còn nhằm nhận diện sớm các rủi ro có thể phát sinh trong quá trình triển khai trên thực tế. Trên cơ sở đó, doanh nghiệp cần chuẩn bị kỹ lưỡng về thông điệp truyền tải, lộ trình triển khai, cách thức thu thập sự đồng ý cũng như các kênh hỗ trợ người dùng, bảo đảm tính nhất quán và dễ tiếp cận đối với CTDL.

Việc thiết kế cơ chế thu thập sự đồng ý theo nhiều tầng, cho phép CTDL lựa chọn đồng ý hoặc không đồng ý đối với từng mục đích xử lý dữ liệu cụ thể, sẽ góp phần nâng cao mức độ chủ động và quyền kiểm soát của CTDL. Trong trường hợp chưa có đủ điều kiện kỹ thuật để triển khai cơ chế đồng ý riêng biệt cho từng mục đích xử lý dữ liệu, doanh nghiệp có thể cân nhắc các phương án thiết kế linh hoạt hơn, chẳng hạn theo hướng: “CTDL đồng ý với các mục đích xử lý dữ liệu cá nhân được nêu tại Chính sách này, ngoại trừ các nội dung tại mục a, b, c, …”. Cách tiếp cận này, nếu được trình bày rõ ràng và minh bạch, vẫn giúp CTDL nhận diện và thực hiện quyền lựa chọn của mình, đồng thời giảm cảm giác bị áp đặt hoặc “ép buộc” khi đưa ra sự đồng ý.

3. Kết luận

Thu thập sự đồng ý của CTDL là một trong những trách nhiệm quan trọng trong việc bảo vệ DLCN. Trong trường hợp doanh nghiệp không thu thập sự đồng ý hợp lệ trước khi tiến hành xử lý DLCN, các hoạt động xử lý phát sinh sau đó đều có nguy cơ bị xem là trái với quy định pháp luật. Song, sự đồng ý của CTDL không nên và cũng không thể chỉ được tiếp cận như một thủ tục pháp lý mang tính hình thức. Khi được thiết kế và triển khai một cách hợp lý, minh bạch và thiện chí, cơ chế thu thập sự đồng ý không chỉ giúp doanh nghiệp đáp ứng yêu cầu tuân thủ, mà còn trở thành công cụ quan trọng để nâng cao trải nghiệm người dùng, củng cố niềm tin và tạo dựng lợi thế cạnh tranh bền vững trong dài hạn.

Nói cách khác, tuân thủ pháp luật là điều kiện cần, nhưng việc triển khai cơ chế thu thập sự đồng ý sao cho “thấu tình đạt lý”, tôn trọng quyền tự quyết và cảm nhận của CTDL mới là điều kiện đủ để doanh nghiệp thích ứng hiệu quả với những yêu cầu về bảo vệ DLCN. Đây cũng chính là bài toán mà doanh nghiệp cần chủ động giải quyết.

Trường hợp doanh nghiệp có nhu cầu được tư vấn chuyên sâu hoặc hỗ trợ xây dựng hệ thống tài liệu, quy trình nội bộ đáp ứng quy định của pháp luật về bảo vệ DLCN, vui lòng liên hệ trực tiếp với LNV để được hướng dẫn cụ thể.

Người thực hiện: Luật sư Phan Nhi, Cộng sự Hoàng Vy

Lưu ý: Bài viết này được thực hiện dựa trên quy định của pháp luật và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage