Quy định sử dụng cookies và các công nghệ theo dõi trên website

Quy định sử dụng cookies và các công nghệ theo dõi trên website yêu cầu doanh nghiệp phải có sự đồng ý rõ ràng từ người dùng trước khi thu thập dữ liệu cá nhân. Để đảm bảo tuân thủ và vận hành an toàn, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp triển khai cơ chế lấy sự đồng ý hiệu quả. Pháp luật về cookie, chính sách quyền riêng tư, banner đồng ý.

Vì sao doanh nghiệp cần triển khai ngay cơ chế lấy sự đồng ý sử dụng cookies trên website?

Do cookies và các công nghệ theo dõi thu thập dữ liệu cá nhân của người dùng, việc này phải tuân thủ nghiêm ngặt các nguyên tắc bảo vệ dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, đặc biệt là nguyên tắc về sự đồng ý của chủ thể dữ liệu.

Tại Việt Nam, khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân đang ngày càng được hoàn thiện. Mặc dù chưa có văn bản nào định nghĩa trực tiếp cookie là gì, nhưng bản chất hoạt động của nó đã được điều chỉnh bởi các quy định hiện hành. Cụ thể, cookies, pixel theo dõi, và các công nghệ tương tự khi thu thập thông tin như địa chỉ IP, lịch sử duyệt web, thông tin thiết bị, dữ liệu vị trí… đều được xem là hành vi xử lý dữ liệu cá nhân.

Điều 4 và Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định rằng việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp đặc biệt. Do đó, việc cài đặt cookies (ngoại trừ loại thiết yếu) mà không có sự đồng ý rõ ràng của người dùng là hành vi vi phạm pháp luật. Luật sư Nguyễn Tiến Hảo chia sẻ: “Nhiều doanh nghiệp vẫn lầm tưởng việc người dùng tiếp tục truy cập website đồng nghĩa với việc họ đồng ý sử dụng cookies. Tuy nhiên, theo điểm d khoản 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025, sự im lặng hoặc không phản hồi không được coi là sự đồng ý. Doanh nghiệp cần một cơ chế chủ động và minh bạch để xin phép người dùng.”

Làm thế nào để phân loại cookies và xác định loại nào bắt buộc phải có sự đồng ý của người dùng?

Doanh nghiệp cần phân loại cookies thành bốn nhóm chính: Thiết yếu (không cần đồng ý), Phân tích, Chức năng, và Tiếp thị/Quảng cáo (bắt buộc phải có sự đồng ý rõ ràng từ người dùng trước khi kích hoạt).

Để thiết kế một cookie banner đúng luật, bước đầu tiên và quan trọng nhất là phải phân loại chính xác các loại cookies mà website đang sử dụng. Việc này giúp xác định loại nào được phép chạy mặc định và loại nào phải bị chặn cho đến khi người dùng cho phép. DPO.VN khuyến nghị doanh nghiệp nên rà soát và phân loại cookies theo bảng dưới đây:

Hướng dẫn chi tiết cách triển khai Cookie Banner và lấy sự đồng ý hợp lệ?

Doanh nghiệp cần hiển thị một banner/pop-up ngay lần đầu người dùng truy cập, cung cấp các lựa chọn rõ ràng (Đồng ý tất cả, Từ chối, Tùy chỉnh), và quan trọng nhất là phải chặn các script không thiết yếu chạy trước khi nhận được sự đồng ý.

Việc triển khai cookie banner không chỉ là vấn đề kỹ thuật mà còn là một thủ tục pháp lý. Một banner hợp lệ phải đáp ứng các yêu cầu về nội dung và chức năng theo tinh thần của Luật Bảo vệ dữ liệu cá nhân.

Nội dung của một Cookie Banner tuân thủ pháp luật cần có những gì?

Banner phải thông báo ngắn gọn về việc sử dụng cookies, mục đích, cung cấp đường dẫn đến Chính sách Cookie/Quyền riêng tư chi tiết, và có các nút hành động rõ ràng cho người dùng lựa chọn.

Để đảm bảo tính minh bạch và sự tự nguyện theo Điều 4 và Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025, nội dung của cookie banner cần:

• Thông báo rõ ràng: Sử dụng ngôn ngữ đơn giản, dễ hiểu để thông báo cho người dùng rằng website sử dụng cookies và các công nghệ theo dõi khác. Ví dụ: “Trang web này sử dụng cookies để cải thiện trải nghiệm của bạn và cho các mục đích phân tích, quảng cáo.”
• Giải thích mục đích: Nêu tóm tắt các mục đích chính của việc sử dụng cookies (ví dụ: giúp website hoạt động, phân tích lưu lượng truy cập, cá nhân hóa quảng cáo).
• Đường dẫn đến Chính sách chi tiết: Cung cấp một đường dẫn nổi bật đến “Chính sách Cookie” hoặc “Chính sách Quyền riêng tư” để người dùng có thể tìm hiểu sâu hơn về từng loại cookie, nhà cung cấp, và thời gian lưu trữ.
• Các nút lựa chọn (Call-to-Action): Các nút phải được thiết kế công bằng, không gây hiểu lầm. Các lựa chọn bắt buộc bao gồm:
  • Đồng ý tất cả: Chấp nhận tất cả các loại cookies.
  • Từ chối: Từ chối tất cả các cookies không thiết yếu. Nút này phải dễ nhìn và dễ thao tác như nút đồng ý.
  • Tùy chỉnh/Cài đặt: Cho phép người dùng chọn lựa cụ thể loại cookie nào họ đồng ý (phân tích, chức năng, tiếp thị).

Làm thế nào để đảm bảo cơ chế chặn script chạy trước khi có sự đồng ý?

Doanh nghiệp cần sử dụng các Nền tảng Quản lý Sự đồng ý (CMP) hoặc triển khai mã tùy chỉnh để tạm thời vô hiệu hóa các thẻ (tags) của Google Analytics, Facebook Pixel… cho đến khi người dùng nhấn nút “Đồng ý”.

Đây là yêu cầu kỹ thuật cốt lõi. Nếu các script theo dõi (như Google Analytics, Facebook Pixel) được tải và thực thi ngay khi trang web được mở, điều đó có nghĩa là dữ liệu cá nhân đã bị xử lý trước khi có sự đồng ý, vi phạm trực tiếp quy định. Để giải quyết vấn đề này, doanh nghiệp có thể:

1. Sử dụng Nền tảng Quản lý Sự đồng ý (Consent Management Platform – CMP): Các công cụ như CookieYes, OneTrust, Cookiebot có khả năng tự động quét website, phân loại cookies và tự động chặn các script không thiết yếu cho đến khi nhận được tín hiệu đồng ý từ người dùng.
2. Sử dụng Google Tag Manager (GTM) với Chế độ Đồng ý (Consent Mode): Google cung cấp một cơ chế tích hợp trong GTM cho phép quản lý trạng thái đồng ý của người dùng. Các thẻ sẽ chỉ kích hoạt dựa trên sự cho phép của người dùng, giúp đảm bảo tuân thủ.
3. Triển khai mã tùy chỉnh: Đối với các nhà phát triển web, họ có thể viết mã JavaScript để kiểm tra trạng thái đồng ý được lưu trong cookie hoặc `localStorage` trước khi quyết định tải và thực thi các script theo dõi.

Doanh nghiệp cần soạn thảo Chính sách Cookie và Chính sách Quyền riêng tư như thế nào cho đầy đủ?

Chính sách phải liệt kê chi tiết, minh bạch tất cả các loại cookies đang sử dụng, mục đích, thời hạn lưu trữ, các bên thứ ba nhận dữ liệu, và hướng dẫn người dùng cách quản lý hoặc rút lại sự đồng ý của họ.

Việc công khai thông tin là một phần của nguyên tắc minh bạch (Điều 4 Luật Bảo vệ dữ liệu cá nhân năm 2025). Một chính sách bảo vệ dữ liệu cá nhân cho doanh nghiệp phải rõ ràng và bao gồm các nội dung sau:

• Định nghĩa Cookies: Giải thích đơn giản cookies là gì và tại sao website lại sử dụng chúng.
• Danh sách chi tiết các Cookies: Lập một bảng liệt kê từng cookie cụ thể (hoặc nhóm cookie) đang được sử dụng, bao gồm:
  • Tên Cookie: Tên kỹ thuật của cookie (ví dụ: `_ga`, `_fbp`).
  • Nhà cung cấp: Ai đã tạo ra cookie này (ví dụ: website của bạn, Google, Facebook).
  • Mục đích: Cookie này dùng để làm gì (ví dụ: phân biệt người dùng, theo dõi cho mục đích quảng cáo).
  • Thời hạn lưu trữ: Cookie sẽ tồn tại trên trình duyệt của người dùng trong bao lâu (ví dụ: 2 năm, phiên truy cập).
• Chia sẻ dữ liệu với bên thứ ba: Nêu rõ dữ liệu thu thập từ cookies có được chia sẻ với các đối tác nào không (ví dụ: các nhà cung cấp dịch vụ phân tích, mạng quảng cáo).
• Hướng dẫn quản lý và từ chối: Cung cấp hướng dẫn rõ ràng về cách người dùng có thể thay đổi cài đặt cookie của họ trên website (thông qua một liên kết hoặc nút cài đặt) và cách quản lý cookies trên các trình duyệt phổ biến (Chrome, Firefox, Safari). Điều này đáp ứng quyền phản đối và rút lại sự đồng ý của chủ thể dữ liệu.
• Thông tin liên hệ: Cung cấp thông tin liên hệ của bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu cá nhân để người dùng có thể gửi câu hỏi hoặc khiếu nại.

Các Câu Hỏi Thường Gặp Về Quy Định Sử Dụng Cookies

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Nghị định 356/2025/NĐ-CP của Chính phủ về quy định chi tiết một số Điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân
• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng 24/2018/QH14.
• Cổng Thông tin điện tử Bộ Công an.
• Information Commissioner’s Office (ICO) UK – Guidance on cookies.
• Google Consent Mode v2.