Không phản hồi, im lặng có được xem là đồng ý không?

Im lặng có được xem là đồng ý không là câu hỏi pháp lý quan trọng, và câu trả lời dứt khoát theo pháp luật Việt Nam là KHÔNG. Để đảm bảo hoạt động xử lý dữ liệu cá nhân luôn hợp pháp và an toàn, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp áp dụng đúng các hình thức đồng ý hợp lệ. Sự đồng ý rõ ràng, sự cho phép của người dùng, minh bạch thông tin.

Tại sao sự im lặng không được coi là sự đồng ý hợp lệ theo pháp luật Việt Nam?

Pháp luật Việt Nam, cụ thể tại Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, quy định rõ sự đồng ý phải là một hành động khẳng định rõ ràng, tự nguyện và có ý thức. Sự im lặng hoặc không phản hồi không đáp ứng được các tiêu chí này và do đó không có giá trị pháp lý.

Quy định này là một trong những trụ cột quan trọng nhất của khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam, nhằm bảo vệ quyền tự quyết của chủ thể dữ liệu. Cả hai văn bản pháp luật quan trọng nhất đều thống nhất về điểm này:

• Điều 11.6 Nghị định 13/2023/NĐ-CP: Nêu rõ: Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
• Điều 9.4.d Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026): Tái khẳng định nguyên tắc này: Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

Lý do cốt lõi đằng sau quy định này là để đảm bảo sự đồng ý không phải là một sự suy diễn hay mặc định. Doanh nghiệp không thể cho rằng khách hàng đồng ý chỉ vì họ không từ chối. Điều này đặt ra một tiêu chuẩn cao hơn cho việc thu thập sự cho phép, buộc các tổ chức phải chủ động và minh bạch trong việc giao tiếp với người dùng.

Nguyên tắc cốt lõi nào của sự đồng ý mà doanh nghiệp cần nắm vững?

Sự đồng ý chỉ có hiệu lực khi dựa trên hai yếu tố nền tảng: Tự nguyện (không bị ép buộc hay lừa gạt) và Biết rõ (chủ thể dữ liệu được cung cấp đầy đủ thông tin trước khi quyết định).

Để một sự đồng ý được xem là hợp lệ, nó phải đáp ứng đầy đủ các yêu cầu được quy định tại Điều 11 Nghị định 13/2023/NĐ-CP và Điều 9 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Cụ thể:

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến mà chúng tôi thường thấy là doanh nghiệp gộp chung nhiều mục đích xử lý dữ liệu vào một yêu cầu đồng ý duy nhất. Ví dụ, một hộp kiểm duy nhất cho cả việc xử lý đơn hàng và nhận email tiếp thị là không hợp lệ. Theo quy định, doanh nghiệp phải cung cấp các lựa chọn riêng biệt để chủ thể dữ liệu có thể đồng ý với từng mục đích cụ thể.

Doanh nghiệp cần áp dụng những hình thức nào để thu thập sự đồng ý hợp lệ?

Các hình thức hợp lệ bao gồm văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp tin nhắn, hoặc chọn các thiết lập kỹ thuật. Miễn là các hình thức này có thể được in, sao chép hoặc kiểm chứng được.

Điều 11.3 Nghị định 13/2023/NĐ-CP đã đưa ra một danh sách không giới hạn các phương thức thể hiện sự đồng ý. Doanh nghiệp có thể linh hoạt lựa chọn hình thức phù hợp nhất với mô hình kinh doanh của mình, miễn là đảm bảo tính rõ ràng và có thể chứng minh được.

Dưới đây là một số ví dụ thực tiễn mà DPO.VN khuyến nghị:

• Đánh dấu vào ô đồng ý (Checkbox): Đây là phương pháp phổ biến nhất trên các website và ứng dụng. Ô này không được đánh dấu sẵn (pre-ticked). Người dùng phải chủ động thực hiện hành vi tích vào ô để thể hiện sự đồng ý.
• Nhấp vào nút đồng ý: Sử dụng các nút có nhãn rõ ràng như Tôi đồng ý, Chấp nhận, hoặc Cho phép sau khi đã trình bày đầy đủ các điều khoản.
• Cú pháp tin nhắn (Syntax): Yêu cầu người dùng gửi tin nhắn theo một cú pháp cụ thể đến một đầu số để xác nhận sự đồng ý. Ví dụ: Soạn DK DULIEU gửi 8xxx.
• Thiết lập kỹ thuật: Cho phép người dùng tùy chỉnh cài đặt quyền riêng tư trong tài khoản của họ, ví dụ như bật/tắt tính năng chia sẻ vị trí hoặc nhận thông báo quảng cáo.
• Hợp đồng bằng văn bản: Trong các giao dịch truyền thống, việc ký kết hợp đồng có điều khoản rõ ràng về xử lý dữ liệu cá nhân là một hình thức đồng ý hợp lệ.

Các phương thức thu thập sự đồng ý nào không còn được chấp nhận?

Các phương thức mơ hồ, mặc định hoặc mang tính suy diễn đều không hợp lệ. Điều này bao gồm các ô đồng ý được đánh dấu sẵn (pre-ticked boxes) và các điều khoản chung chung trong chính sách quyền riêng tư.

Với quy định mới, nhiều phương thức từng được sử dụng phổ biến nay đã trở nên rủi ro về mặt pháp lý. Doanh nghiệp cần rà soát và loại bỏ ngay các cách thức sau:

• Ô đồng ý được đánh dấu sẵn (Pre-ticked boxes): Vì người dùng không chủ động thực hiện hành vi đồng ý, phương pháp này vi phạm nguyên tắc tự nguyện.
• Sự đồng ý mặc định trong điều khoản sử dụng: Một câu trong điều khoản dịch vụ như Bằng việc tiếp tục sử dụng trang web này, bạn đồng ý với chính sách xử lý dữ liệu của chúng tôi là không đủ mạnh mẽ và không đảm bảo chủ thể dữ liệu đã biết rõ.
• Sự đồng ý gộp (Bundled consent): Bắt buộc người dùng phải đồng ý với việc xử lý dữ liệu cho các mục đích không cần thiết (ví dụ: marketing) để có thể sử dụng dịch vụ chính. Đây là hành vi vi phạm nguyên tắc tự nguyện.

Làm thế nào để doanh nghiệp lưu trữ và chứng minh sự đồng ý của chủ thể dữ liệu một cách hiệu quả?

Doanh nghiệp phải thiết lập một hệ thống lưu trữ bằng chứng về sự đồng ý một cách an toàn và có thể truy xuất. Trách nhiệm chứng minh sự đồng ý thuộc về Bên Kiểm soát và xử lý dữ liệu khi có tranh chấp.

Điều 11.10 Nghị định 13/2023/NĐ-CP nêu rõ: Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. Điều này có nghĩa là, việc có được sự đồng ý chỉ là bước đầu; việc lưu trữ bằng chứng về sự đồng ý đó là yếu tố quyết định để bảo vệ doanh nghiệp trước các khiếu nại hoặc thanh tra.

DPO.VN đề xuất một quy trình lưu trữ bằng chứng sự đồng ý hiệu quả cần bao gồm các yếu tố sau:

1. Ghi lại nhật ký (Logging): Hệ thống cần tự động ghi lại các thông tin quan trọng khi người dùng đồng ý, bao gồm:
   • Danh tính của chủ thể dữ liệu (ID người dùng, email).
   • Thời gian và ngày tháng chính xác của sự đồng ý.
   • Nội dung cụ thể mà họ đã đồng ý (ví dụ: Đồng ý nhận bản tin hàng tuần).
   • Phiên bản của chính sách quyền riêng tư hoặc thông báo tại thời điểm họ đồng ý.
   • Cách thức đồng ý (ví dụ: qua checkbox trên trang đăng ký).
2. Quản lý phiên bản: Lưu trữ tất cả các phiên bản của chính sách quyền riêng tư và các biểu mẫu đồng ý để có thể đối chiếu chính xác những gì người dùng đã thấy và chấp nhận tại một thời điểm cụ thể trong quá khứ.
3. Quản lý việc rút lại sự đồng ý: Tương tự như việc ghi nhận sự đồng ý, hệ thống cũng phải ghi lại một cách an toàn thời điểm và cách thức người dùng rút lại sự đồng ý.
4. Đảm bảo tính toàn vẹn: Các bản ghi về sự đồng ý phải được lưu trữ an toàn, chống lại việc sửa đổi hoặc xóa bỏ trái phép để đảm bảo tính xác thực khi cần trình diện trước cơ quan chức năng.

Các Câu Hỏi Thường Gặp Về Sự Đồng Ý Của Chủ Thể Dữ Liệu

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Thủ tục liên quan đến bảo vệ dữ liệu cá nhân.
• European Data Protection Board (EDPB): Guidelines on Consent under Regulation 2016/679.
• Information Commissioner’s Office (ICO) UK: Guidance on consent.