Bảo vệ dữ liệu cá nhân trong lĩnh vực thương mại điện tử

Bảo vệ dữ liệu cá nhân trong lĩnh vực thương mại điện tử đòi hỏi doanh nghiệp phải tuân thủ nghiêm ngặt các quy định về thu thập, xử lý và chia sẻ thông tin khách hàng nhằm đảm bảo an toàn pháp lý. Để giải quyết triệt để vấn đề này, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp vận hành an toàn, xây dựng niềm tin và tuân thủ pháp luật. An toàn thông tin, quyền riêng tư, chính sách bảo mật.

Quy trình thu thập và sử dụng dữ liệu khách hàng trong giao dịch thương mại điện tử là gì?

Doanh nghiệp phải có sự đồng ý rõ ràng của khách hàng ở từng giai đoạn, từ tạo tài khoản, đặt hàng, thanh toán đến giao hàng, đồng thời phải thông báo minh bạch về mục đích thu thập và xử lý dữ liệu cá nhân.

Trong lĩnh vực thương mại điện tử, vòng đời của một giao dịch bao gồm nhiều giai đoạn, mỗi giai đoạn đều liên quan đến việc xử lý dữ liệu cá nhân. Việc tuân thủ pháp luật không chỉ là nghĩa vụ mà còn là yếu tố then chốt để xây dựng lòng tin của khách hàng.

Giai đoạn tạo tài khoản và duyệt sản phẩm cần tuân thủ những gì?

Doanh nghiệp chỉ được thu thập dữ liệu cá nhân cơ bản cần thiết cho việc tạo tài khoản, phải có chính sách bảo mật rõ ràng và phải được sự đồng ý của người dùng trước khi thu thập.

Đây là bước đầu tiên trong hành trình của khách hàng và cũng là điểm khởi đầu cho nghĩa vụ bảo vệ dữ liệu của doanh nghiệp.

• Thu thập tối thiểu: Theo nguyên tắc tối thiểu hóa dữ liệu (khoản 4 Điều 3 Nghị định 13/2023/NĐ-CP), doanh nghiệp chỉ nên yêu cầu các thông tin thực sự cần thiết để tạo tài khoản như: họ tên, số điện thoại hoặc email. Việc yêu cầu các thông tin nhạy cảm như số Căn cước công dân hay ngày sinh cần được cân nhắc kỹ lưỡng và phải có mục đích rõ ràng.
• Sự đồng ý rõ ràng: Sự đồng ý của khách hàng phải được thể hiện rõ ràng, cụ thể, không được mặc định đánh dấu sẵn vào ô đồng ý. Theo khoản 6 Điều 11 Nghị định 13/2023/NĐ-CP, sự im lặng không được coi là đồng ý.
• Chính sách bảo mật: Doanh nghiệp phải công khai Chính sách bảo mật (Privacy Policy) dễ tiếp cận, trong đó nêu rõ loại dữ liệu nào được thu thập, mục đích sử dụng, thời gian lưu trữ và quyền của khách hàng.

Giai đoạn đặt hàng và thanh toán cần lưu ý điều gì?

Doanh nghiệp cần thu thập thông tin giao hàng và thanh toán một cách minh bạch, áp dụng các biện pháp bảo mật mạnh mẽ cho dữ liệu tài chính và làm rõ trách nhiệm với các cổng thanh toán trung gian.

Đây là giai đoạn xử lý các dữ liệu có giá trị cao và nhạy cảm, đòi hỏi mức độ bảo mật nghiêm ngặt.

• Thông tin giao hàng: Thu thập địa chỉ, số điện thoại chỉ nhằm mục đích giao hàng và phải được khách hàng đồng ý. Doanh nghiệp không được tự ý sử dụng thông tin này cho mục đích khác như marketing.
• Thông tin thanh toán: Dữ liệu về thẻ tín dụng, tài khoản ngân hàng được xếp vào loại dữ liệu cá nhân nhạy cảm (điểm h khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP). Doanh nghiệp phải áp dụng các biện pháp bảo mật renforcé, như mã hóa dữ liệu theo tiêu chuẩn quốc tế (ví dụ: PCI DSS) và chỉ định bộ phận chuyên trách bảo vệ dữ liệu theo Điều 28 Nghị định 13.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Khi tích hợp cổng thanh toán của bên thứ ba, doanh nghiệp thương mại điện tử phải có hợp đồng xử lý dữ liệu rõ ràng, phân định trách nhiệm bảo mật giữa hai bên. Trong hợp đồng, cần quy định rõ bên nào là Bên Kiểm soát và bên nào là Bên Xử lý dữ liệu đối với từng loại thông tin cụ thể để tuân thủ Điều 38, 39 Nghị định 13.

Giai đoạn giao hàng và hậu mãi có những yêu cầu gì?

Doanh nghiệp chỉ được chia sẻ dữ liệu cần thiết cho đơn vị vận chuyển, thu thập phản hồi khách hàng với sự đồng ý và phải có chính sách lưu trữ, xóa dữ liệu rõ ràng khi giao dịch hoàn tất.

Sau khi đơn hàng được xác nhận, việc xử lý dữ liệu vẫn tiếp diễn và cần được quản lý chặt chẽ.

• Chia sẻ với đơn vị vận chuyển: Doanh nghiệp chỉ được cung cấp các thông tin tối thiểu cần thiết cho việc giao hàng (tên, địa chỉ, số điện thoại, mã vận đơn). Hợp đồng với đối tác vận chuyển phải có điều khoản về bảo mật dữ liệu.
• Chăm sóc khách hàng và thu thập phản hồi: Việc sử dụng dữ liệu để liên hệ chăm sóc khách hàng hoặc xin đánh giá sản phẩm phải nằm trong mục đích đã được thông báo và đồng ý.
• Lưu trữ và xóa dữ liệu: Theo nguyên tắc giới hạn lưu trữ (khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP), dữ liệu giao dịch chỉ nên được lưu trữ trong một khoảng thời gian hợp lý (ví dụ: để phục vụ cho mục đích bảo hành, giải quyết khiếu nại, hoặc tuân thủ quy định về kế toán). Sau thời gian đó, dữ liệu cần được xóa hoặc khử nhận dạng an toàn.

Doanh nghiệp TMĐT sử dụng dữ liệu cho marketing và quảng cáo cá nhân hóa như thế nào cho đúng luật?

Mọi hoạt động marketing và quảng cáo cá nhân hóa phải có sự đồng ý riêng biệt từ khách hàng, cung cấp tùy chọn từ chối dễ dàng và minh bạch về việc sử dụng công nghệ theo dõi như cookies.

Marketing là động lực tăng trưởng của thương mại điện tử, nhưng cũng là lĩnh vực tiềm ẩn nhiều rủi ro vi phạm quyền riêng tư nhất. Điều 21 Nghị định 13/2023/NĐ-CP và Điều 28 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rất chặt chẽ về hoạt động này.

Quy định về việc gửi email/tin nhắn marketing ra sao?

Doanh nghiệp phải có sự đồng ý của khách hàng trước khi gửi thông tin quảng cáo và phải cung cấp cơ chế cho phép họ hủy đăng ký (unsubscribe) bất kỳ lúc nào.

Theo khoản 2 Điều 21 Nghị định 13, việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.

• Sự đồng ý riêng biệt: Không được gộp chung sự đồng ý nhận marketing vào điều khoản sử dụng chung. Cần có một ô tick riêng cho phép khách hàng lựa chọn có muốn nhận tin quảng cáo hay không.
• Cơ chế từ chối: Mọi email hoặc tin nhắn marketing phải có đường dẫn hoặc hướng dẫn rõ ràng, dễ thực hiện để khách hàng có thể từ chối nhận các thông tin tương tự trong tương lai.

Quy định về sử dụng cookies và công nghệ theo dõi như thế nào?

Website và ứng dụng phải hiển thị banner thông báo về việc sử dụng cookies, giải thích mục đích và cho phép người dùng lựa chọn chấp nhận hoặc từ chối các loại cookies không thiết yếu.

Dữ liệu cá nhân phản ánh hoạt động trên không gian mạng, bao gồm lịch sử duyệt web, được coi là dữ liệu cá nhân (điểm k khoản 3 Điều 2 Nghị định 13). Do đó, việc sử dụng cookies để theo dõi và cá nhân hóa quảng cáo phải tuân thủ nghiêm ngặt.

• Thông báo và Đồng ý (Cookie Banner): Ngay khi người dùng truy cập, website phải hiển thị một banner thông báo rõ ràng về việc sử dụng cookies. Banner này phải cung cấp lựa chọn để người dùng chấp nhận (accept all), từ chối (reject all), hoặc tùy chỉnh (customize) các loại cookies (ví dụ: cookies phân tích, cookies quảng cáo).
• Chính sách Cookies: Cần có một trang riêng giải thích chi tiết về các loại cookies đang được sử dụng, nhà cung cấp (ví dụ: Google Analytics, Facebook Pixel), mục đích và thời gian tồn tại của từng loại.
• Quyền rút lại sự đồng ý: Người dùng phải có khả năng thay đổi cài đặt cookies của mình một cách dễ dàng bất kỳ lúc nào sau khi đã đồng ý.

Trách nhiệm pháp lý khi chia sẻ dữ liệu khách hàng với bên thứ ba được quy định ra sao?

Doanh nghiệp thương mại điện tử phải có hợp đồng xử lý dữ liệu với các đối tác, chỉ chia sẻ dữ liệu ở mức tối thiểu cần thiết và chịu trách nhiệm trước khách hàng về việc dữ liệu của họ được bảo vệ.

Một giao dịch thương mại điện tử thành công đòi hỏi sự phối hợp của nhiều bên: đơn vị vận chuyển, cổng thanh toán, nhà cung cấp dịch vụ lưu trữ đám mây, v.v. Việc chia sẻ dữ liệu với các bên thứ ba này phải được kiểm soát chặt chẽ.

Doanh nghiệp thương mại điện tử thường đóng vai trò là Bên Kiểm soát dữ liệu cá nhân, trong khi các đối tác là Bên Xử lý dữ liệu. Theo Điều 39 Nghị định 13, Bên Xử lý dữ liệu chỉ được tiếp nhận và xử lý dữ liệu sau khi có hợp đồng hoặc thỏa thuận với Bên Kiểm soát.

💡 Chuyên môn từ DPO.VN: Hợp đồng xử lý dữ liệu (Data Processing Agreement – DPA) là một tài liệu pháp lý bắt buộc. Hợp đồng này phải quy định rõ:

• Phạm vi và loại dữ liệu được chia sẻ.
• Mục đích xử lý dữ liệu.
• Các biện pháp bảo mật mà Bên Xử lý phải áp dụng.
• Nghĩa vụ thông báo cho Bên Kiểm soát khi có vi phạm dữ liệu.
• Quy định về việc xóa hoặc trả lại dữ liệu sau khi kết thúc hợp đồng.

Việc không có hợp đồng này là một vi phạm nghiêm trọng và đặt doanh nghiệp vào rủi ro pháp lý lớn, vì theo khoản 6 Điều 38 Nghị định 13, Bên Kiểm soát dữ liệu phải chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu gây ra, ngay cả khi lỗi thuộc về Bên Xử lý.

Làm thế nào để xây dựng Chính sách bảo mật (Privacy Policy) chuẩn pháp lý cho website thương mại điện tử?

Một Chính sách bảo mật hợp lệ phải bao gồm các thông tin về bên thu thập, mục đích, loại dữ liệu, thời gian lưu trữ, các bên thứ ba liên quan, biện pháp bảo vệ và hướng dẫn chi tiết về các quyền của người dùng.

Chính sách bảo mật không chỉ là một tài liệu pháp lý mà còn là tuyên ngôn của doanh nghiệp về sự tôn trọng quyền riêng tư của khách hàng. Dựa trên các yêu cầu của Nghị định 13 và thông lệ quốc tế, một chính sách bảo mật toàn diện cho trang thương mại điện tử cần có các nội dung sau:

Doanh nghiệp thương mại điện tử cần đáp ứng các quyền của người mua hàng như thế nào?

Doanh nghiệp phải xây dựng các quy trình và công cụ rõ ràng, dễ sử dụng để khách hàng có thể thực hiện các quyền của mình như truy cập, chỉnh sửa, xóa dữ liệu và rút lại sự đồng ý một cách thuận tiện.

Việc tôn trọng và đáp ứng kịp thời các quyền của chủ thể dữ liệu cá nhân là nền tảng của tuân thủ pháp luật. Doanh nghiệp cần chủ động xây dựng cơ chế để xử lý các yêu cầu này.

Làm thế nào để khách hàng truy cập và chỉnh sửa thông tin cá nhân?

Doanh nghiệp nên cung cấp một trang quản lý tài khoản (dashboard) nơi khách hàng có thể tự xem và cập nhật thông tin cá nhân của họ một cách trực tiếp.

Theo khoản 3 Điều 9 và Điều 15 Nghị định 13, chủ thể dữ liệu có quyền truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình. Cách tốt nhất để thực hiện điều này là tạo một khu vực quản lý tài khoản trên website/ứng dụng, cho phép người dùng:

• Xem lại các thông tin đã cung cấp (tên, địa chỉ, SĐT).
• Tự chỉnh sửa các thông tin khi có thay đổi.
• Xem lại lịch sử đơn hàng.

Đối với những thông tin không thể tự sửa, cần có hướng dẫn rõ ràng để khách hàng liên hệ và yêu cầu chỉnh sửa.

Quy trình xóa tài khoản và dữ liệu liên quan khi khách hàng yêu cầu là gì?

Doanh nghiệp phải thiết lập quy trình xác minh danh tính và thực hiện yêu cầu xóa dữ liệu của khách hàng trong vòng 72 giờ, trừ các trường hợp pháp luật quy định phải lưu trữ.

Quyền xóa dữ liệu (khoản 5 Điều 9 Nghị định 13) là một trong những quyền quan trọng nhất. Khi nhận được yêu cầu, doanh nghiệp cần:

1. Xác minh yêu cầu: Đảm bảo người yêu cầu chính là chủ thể dữ liệu để tránh xóa nhầm dữ liệu.
2. Kiểm tra nghĩa vụ pháp lý: Xác định xem có quy định pháp luật nào (ví dụ: luật kế toán, thuế) yêu cầu phải lưu trữ dữ liệu đó trong một khoảng thời gian nhất định hay không.
3. Thực hiện xóa: Nếu không có rào cản pháp lý, doanh nghiệp phải tiến hành xóa dữ liệu trong vòng 72 giờ kể từ khi có yêu cầu (khoản 5 Điều 16 Nghị định 13). Việc xóa phải đảm bảo dữ liệu không thể khôi phục được.
4. Thông báo cho khách hàng: Xác nhận lại với khách hàng rằng dữ liệu của họ đã được xóa thành công.

Làm sao để khách hàng từ chối nhận thông tin quảng cáo?

Doanh nghiệp phải cung cấp các cơ chế rõ ràng như nút ‘Hủy đăng ký’ trong email, tùy chọn trong cài đặt tài khoản, hoặc cú pháp tin nhắn từ chối để khách hàng có thể dễ dàng rút lại sự đồng ý nhận quảng cáo.

Quyền rút lại sự đồng ý (khoản 4 Điều 9 Nghị định 13) và quyền phản đối xử lý dữ liệu cho mục đích quảng cáo (khoản 8 Điều 9 Nghị định 13) phải được doanh nghiệp tôn trọng và tạo điều kiện thực hiện.

• Trong Email: Luôn có liên kết “Unsubscribe” hoặc “Hủy đăng ký” ở chân email.
• Trong Ứng dụng/Website: Cung cấp một mục trong phần cài đặt tài khoản để người dùng có thể bật/tắt các thông báo quảng cáo.
• Trong Tin nhắn SMS: Cung cấp cú pháp từ chối (ví dụ: “Soạn TC gửi 1234”).

Khi nhận được yêu cầu, doanh nghiệp phải thực hiện trong vòng 72 giờ và ngừng gửi thông tin quảng cáo cho khách hàng đó.

Doanh nghiệp đối mặt với những rủi ro pháp lý nào khi vi phạm quy định bảo vệ dữ liệu trong thương mại điện tử?

Vi phạm có thể dẫn đến mức phạt hành chính lên tới 5% doanh thu hàng năm, bị truy cứu trách nhiệm hình sự, phải bồi thường thiệt hại cho khách hàng và tổn thất nghiêm trọng về uy tín thương hiệu.

Việc không tuân thủ các quy định về bảo vệ dữ liệu cá nhân có thể gây ra những hậu quả tài chính và pháp lý nặng nề. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra các chế tài xử phạt rất nghiêm khắc tại Điều 8.

• Phạt hành chính: Mức phạt tiền tối đa có thể lên tới 03 tỷ đồng cho các hành vi vi phạm thông thường. Đặc biệt, đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài, mức phạt có thể lên đến 5% tổng doanh thu của năm trước liền kề.
• Truy cứu trách nhiệm hình sự: Trong trường hợp vi phạm nghiêm trọng, các cá nhân có trách nhiệm có thể bị truy cứu trách nhiệm hình sự theo quy định của Bộ luật Hình sự.
• Bồi thường thiệt hại: Khách hàng có quyền khởi kiện và yêu cầu bồi thường thiệt hại khi dữ liệu của họ bị xâm phạm, gây ra tổn thất về vật chất hoặc tinh thần.
• Tổn thất uy tín: Đây là thiệt hại vô hình nhưng vô cùng lớn. Một vụ bê bối dữ liệu có thể phá hủy niềm tin mà khách hàng đã xây dựng trong nhiều năm, dẫn đến việc họ rời bỏ nền tảng và sụt giảm doanh thu nghiêm trọng.

Để tránh những rủi ro này, các doanh nghiệp thương mại điện tử cần xem việc tuân thủ pháp luật bảo vệ dữ liệu cá nhân là một khoản đầu tư chiến lược, không chỉ để phòng tránh rủi ro mà còn để nâng cao năng lực cạnh tranh và phát triển bền vững.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Cá Nhân Trong Thương Mại Điện Tử

Tài liệu tham khảo

• Cổng thông tin điện tử Bộ Công an – Lấy ý kiến về Luật Bảo vệ dữ liệu cá nhân.
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC).