Một doanh nghiệp sử dụng dữ liệu người dùng để quảng cáo mà không có cơ chế xin phép và quản lý sự đồng ý rõ ràng, không kiểm soát dòng dữ liệu xuyên biên giới, hoặc không phân định trách nhiệm giữa các bên, thì về bản chất, đang hoạt động trên nền các rủi ro về pháp lý.

Các chiến dịch quảng cáo nhắm mục tiêu (targeted advertising) đã trở thành công cụ chủ đạo của doanh nghiệp trong việc tiếp cận người tiêu dùng hiện nay. Từ việc bạn tìm kiếm một chiếc ô tô, mua một cuốn sách, hay chỉ đơn giản là dừng lại vài giây trước một đoạn video trên mạng xã hội, hệ thống dữ liệu ẩn sau đó đều âm thầm ghi nhận, phân tích và “cá nhân hóa” những quảng cáo tiếp theo xuất hiện trên màn hình của bạn. Đó là sức mạnh của dữ liệu, nhưng cũng là khởi nguồn của rủi ro pháp lý mới, rủi ro về bảo mật và quyền riêng tư cá nhân.

Quảng cáo nhắm mục tiêu là gì và vấn đề pháp lý nằm ở đâu?

Về bản chất, quảng cáo nhắm mục tiêu không chỉ là hoạt động marketing. Nó là một chuỗi xử lý dữ liệu cá nhân có chủ đích, nơi dữ liệu của người dùng từ việc truy cập, vị trí, giới tính, độ tuổi, sở thích, thói quen tiêu dùng, thậm chí cả mối quan hệ cá nhân đều được thu thập, phân tích và sử dụng để dự đoán hoặc định hình hành vi tương lai của họ. Càng chính xác trong việc nhận diện người dùng, quảng cáo càng hiệu quả. Nhưng cũng chính vì vậy, quá trình này đặt ra câu hỏi pháp lý liệu dữ liệu đó được thu thập bằng cách nào, xử lý ra sao, và người dùng có thực sự đồng ý cho việc đó hay không?

Nếu ở giai đoạn trước đây, phần lớn doanh nghiệp Việt Nam coi hoạt động thu thập dữ liệu là một phần tự nhiên của kinh doanh, thì kể từ khi Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (Nghị định 13) có hiệu lực, mọi hành vi xử lý dữ liệu, bao gồm thu thập, lưu trữ, phân tích, chia sẻ đều phải có cơ sở pháp lý hợp lệ. Đối với quảng cáo cá nhân hóa, cơ sở duy nhất thường có thể viện dẫn là sự đồng ý của chủ thể dữ liệu. Và đây chính là điểm mấu chốt của vấn đề.

Theo điều 11, 12 Nghị định 13, sự đồng ý của chủ thể dữ liệu chỉ hợp lệ khi được thể hiện rõ ràng, tự nguyện, cụ thể và có thể rút lại. Trong khi đó, thực tế hiện nay cho thấy hầu hết các nền tảng trực tuyến, kể cả Facebook, TikTok hay các sàn thương mại điện tử tại Việt Nam, đều gộp điều khoản đồng ý vào phần “Chính sách bảo mật” hoặc “Điều khoản sử dụng dịch vụ” mà người dùng buộc phải chấp nhận để được sử dụng sản phẩm. Việc đồng ý trong hoàn cảnh đó không còn là tự nguyện, bởi nếu từ chối, người dùng không thể tiếp cận dịch vụ.

Điều này dẫn đến câu hỏi pháp lý cốt lõi rằng doanh nghiệp có quyền sử dụng dữ liệu thu thập từ hành vi người dùng cho mục đích quảng cáo cá nhân hóa mà không có sự đồng ý riêng biệt không? Câu trả lời, theo đúng tinh thần của Nghị định 13, là không. Việc gộp “đồng ý cho mục đích quảng cáo” vào “đồng ý sử dụng dịch vụ” là không đủ, bởi mục đích xử lý phải được phân biệt và thông báo rõ ràng. Doanh nghiệp chỉ có thể hợp pháp hóa việc xử lý dữ liệu phục vụ quảng cáo nếu có cơ chế xin và lưu trữ bằng chứng về sự đồng ý riêng biệt, đồng thời cung cấp quyền rút lại đồng ý bất kỳ lúc nào.

Rủi ro vi phạm hiện hữu

Không chỉ dừng lại ở việc thu thập dữ liệu, một vấn đề tinh vi hơn nằm ở loại dữ liệu được dùng cho quảng cáo. Phần lớn dữ liệu quảng cáo là dữ liệu hành vi, những gì người dùng tìm kiếm, trang họ ghé thăm, video họ xem, hoặc sản phẩm họ mua. Tuy nhiên, nhiều khi việc thu thập đó có cả dữ liệu hành vi thuộc nhóm “dữ liệu cá nhân nhạy cảm” theo quy định tại khoản 4 điều 2 Nghị định 13, như tình trạng sức khỏe, quan điểm chính trị, tôn giáo, xu hướng tình dục, hoặc tình trạng tài chính. Khi đó, việc sử dụng dữ liệu này cho mục đích thương mại không chỉ vi phạm nguyên tắc đồng ý, mà còn có thể bị xem là xâm phạm nghiêm trọng quyền riêng tư của cá nhân.

Trong vài năm trở lại đây, những nền tảng lớn, như Facebook, Tiktok cũng đã vướng vào các vụ kiện liên quan đến bảo vệ dữ liệu cá nhân và phải chịu những mức phạt kỷ lục. Cụ thể, năm 2023, Công ty Meta(1) đã bị Cơ quan Bảo vệ dữ liệu Ireland (IE DPA) phạt 1,2 tỉ euro vì chuyển dữ liệu người dùng châu Âu sang Mỹ trái quy định của GDPR(2).

Cùng năm đó, Ủy ban Bảo vệ dữ liệu Ireland (DPC) đã phạt TikTok 345 triệu euro do không bảo đảm quyền riêng tư của trẻ vị thành niên trong quảng cáo hành vi(3). Hay gần đây, vào năm 2024, Ủy ban Bảo vệ thông tin cá nhân của Hàn Quốc (PIPC) đã phạt Meta 15,6 triệu đô la Mỹ vì bán dữ liệu nhạy cảm của gần 1 triệu người. Cụ thể, Meta bị cáo buộc đã thu thập dữ liệu như quan điểm tôn giáo và chính trị, tình trạng hôn nhân và khuynh hướng tình dục của khoảng 980.000 người dùng Facebook địa phương, sau đó chuyển thông tin cho khoảng 4.000 nhà quảng cáo, những người đã sử dụng dữ liệu để tạo quảng cáo tùy chỉnh dựa trên sở thích cá nhân của người dùng, mà không nêu rõ dữ liệu cá nhân được sử dụng ở đâu trong chính sách dữ liệu của mình và không tìm kiếm sự đồng ý của người dùng hoặc thực hiện các biện pháp bảo vệ bổ sung(4).

Những ví dụ nêu trên là minh chứng rõ ràng rằng hành vi thương mại dựa trên dữ liệu, dù là hợp lý về kinh tế, vẫn có thể vi phạm pháp luật nếu thiếu nền tảng pháp lý bảo vệ quyền cá nhân.

Ở Việt Nam, dù chưa có vụ việc quy mô tương tự, rủi ro pháp lý với quảng cáo nhắm mục tiêu là rõ ràng và đang tăng dần. Theo Nghị định 13, mọi doanh nghiệp xử lý dữ liệu cá nhân phải thông báo cho chủ thể dữ liệu biết mục đích, phạm vi và bên thứ ba tiếp nhận dữ liệu; đồng thời, nếu dữ liệu được chuyển ra nước ngoài, doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài để nộp cho Bộ Công an. Thực tế, không ít doanh nghiệp đang thực hiện hoạt động này mà không biết họ đã rơi vào vùng điều chỉnh của quy định về chuyển dữ liệu xuyên biên giới.

Đáng chú ý, từ ngày 1-1-2026, Luật Bảo vệ dữ liệu cá nhân 2025 sẽ chính thức có hiệu lực, tạo lập khung pháp lý thống nhất ở cấp luật. Luật này bổ sung cơ chế báo cáo, trách nhiệm của bên kiểm soát dữ liệu và bên xử lý dữ liệu, cùng chế tài mạnh hơn cho hành vi xử lý dữ liệu cá nhân, chuyển dữ liệu ra nước ngoài mà không có đánh giá tác động. Những mức phạt được áp dụng trong thời gian tới có thể kể đến như phạt tiền tối đa 10 lần khoản thu có được từ hành vi vi phạm đối với hành vi mua, bán dữ liệu cá nhân, phạt tiền tối đa 5% doanh thu của năm trước liền kề của tổ chức đó đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, phạt tiền tối đa 3 tỉ đồng đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân. Thậm chí, cá nhân, tổ chức vi phạm còn có nguy cơ bị xem xét xử lý hình sự.

Cân bằng giữa lợi ích thương mại và quyền riêng tư

Từ góc độ chính sách, không thể phủ nhận rằng quảng cáo cá nhân hóa mang lại lợi ích thực tế cho cả doanh nghiệp và người tiêu dùng, nó giúp giảm chi phí quảng cáo, tăng tỷ lệ chuyển đổi, đồng thời cung cấp thông tin phù hợp hơn cho người dùng. Nhưng điều đó không thể là lý do để đánh đổi quyền riêng tư. Cốt lõi của vấn đề nằm ở cách doanh nghiệp thực hiện và chứng minh sự tuân thủ.

Một mô hình tuân thủ khả thi là thiết lập cơ chế “opt-in” rõ ràng cho quảng cáo cá nhân hóa, tách biệt hoàn toàn khỏi việc đồng ý sử dụng dịch vụ. Người dùng có thể chọn “đồng ý” hoặc “không đồng ý” việc sử dụng dữ liệu hành vi cho quảng cáo, và lựa chọn này phải được ghi nhận, lưu trữ, cũng như có thể thay đổi bất kỳ lúc nào. Đồng thời, doanh nghiệp cần thực hiện đánh giá tác động xử lý dữ liệu cho mọi chiến dịch quảng cáo nhắm mục tiêu.

Bên cạnh đó, cần đặc biệt chú trọng đến quan hệ hợp đồng giữa các bên xử lý dữ liệu, giữa nền tảng, bên quảng cáo, và đối tác phân tích dữ liệu. Hợp đồng phải quy định cụ thể phạm vi, mục đích, thời hạn xử lý, biện pháp bảo mật, và nghĩa vụ thông báo khi có vi phạm dữ liệu. Trên thực tế, nhiều doanh nghiệp Việt Nam vẫn tham gia vào chuỗi quảng cáo mà không có hợp đồng xử lý dữ liệu, dẫn đến việc không thể xác định rõ ai chịu trách nhiệm nếu xảy ra rò rỉ thông tin.

Tóm lại, quảng cáo nhắm mục tiêu là biểu hiện cụ thể nhất của kỷ nguyên kinh tế dữ liệu, nơi thông tin cá nhân trở thành tài sản thương mại. Tuy nhiên, giá trị thương mại không thể vượt trên giá trị pháp lý của quyền riêng tư. Một doanh nghiệp sử dụng dữ liệu người dùng để quảng cáo mà không có cơ chế xin phép và quản lý sự đồng ý rõ ràng, không kiểm soát dòng dữ liệu xuyên biên giới, hoặc không phân định trách nhiệm giữa các bên, thì về bản chất, đang hoạt động trên nền các rủi ro về pháp lý.

(*) Công ty Luật TNHH HM&P

(1) Meta là công ty chủ sở hữu và quản lý mạng xã hội facebook.

(2) https://www.edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en?utm_source=chatgpt.com, truy cập lần cuối ngày 05/10/2025.

(3) https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-345-million-euro-fine-of-TikTok?utm_source=chatgpt.com, truy cập lần cuối ngày 5-10-2025.

(4) https://vnexpress.net/han-quoc-phat-meta-15-6-trieu-usd-vi-ban-du-lieu-nhay-cam-cua-gan-1-trieu-nguoi-4812470.html?utm_source=chatgpt.com, truy cập lần cuối ngày 5-10-2025.

Kinh tế Sài Gòn