Quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo quy định mới nhất

Trong dòng chảy của nền kinh tế số, ngành dịch vụ quảng cáo đã chuyển mình mạnh mẽ từ hình thức tiếp thị đại chúng sang mô hình quảng cáo hướng đối tượng dựa trên khai thác dữ liệu hành vi. Dữ liệu cá nhân—từ sở thích, vị trí địa lý đến thói quen tiêu dùng—đã trở thành tài sản chiến lược giúp các doanh nghiệp tối ưu hóa hiệu quả kinh doanh và cá nhân hóa trải nghiệm khách hàng. Tuy nhiên, sự bùng nổ của các thuật toán phân tích dữ liệu lớn và trí tuệ nhân tạo (AI) trong quảng cáo cũng đồng thời đặt ra những rủi ro hiện hữu về việc xâm phạm quyền riêng tư, thao túng tâm lý và lạm dụng thông tin cá nhân ngoài mục đích ban đầu.

Trước bối cảnh đó, sự ra đời của Luật Bảo vệ dữ liệu cá nhân năm 2025 về bảo vệ dữ liệu cá nhân đã tạo ra một "cuộc cách mạng" trong tư duy quản trị của các đơn vị kinh doanh dịch vụ quảng cáo. Quy định mới không chỉ thiết lập một hành lang pháp lý chặt chẽ về điều kiện thu thập, xử lý dữ liệu mà còn buộc các doanh nghiệp phải tái cấu trúc toàn bộ quy trình vận hành để đảm bảo tính minh bạch và sự ưng thuận rõ ràng của chủ thể dữ liệu. 

1. Chế định pháp lý về điều kiện sử dụng dữ liệu cá nhân cho mục đích kinh doanh quảng cáo

Theo quy định tại Luật Bảo vệ dữ liệu cá nhân 2025 (Luật 2025), hoạt động sử dụng dữ liệu cá nhân cho mục đích quảng cáo không còn là một quyền lợi tự nhiên của các doanh nghiệp sở hữu dữ liệu. Thay vào đó, đây là một hoạt động có điều kiện, đòi hỏi sự tuân thủ nghiêm ngặt về nguồn gốc và sự minh bạch trong quá trình chuyển giao. Điều 28 của Luật 2025  đã xác lập những ranh giới rõ ràng về việc thu thập và sử dụng dữ liệu, buộc các tổ chức phải chứng minh được tính hợp pháp của mỗi bản ghi dữ liệu khách hàng mà họ khai thác.

Cấu trúc nguồn dữ liệu được phép sử dụng trong quảng cáo theo Luật 2025 tập trung vào hai hình thức chính. Hình thức thứ nhất là dữ liệu cá nhân được Bên kiểm soát dữ liệu cá nhân hoặc Bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao theo thỏa thuận. Trong bối cảnh này, thỏa thuận không chỉ đơn thuần là một bản hợp đồng thương mại mà phải là một văn bản pháp lý xác định rõ phạm vi, mục đích và giới hạn xử lý dữ liệu. Việc chuyển giao này chỉ được coi là hợp lệ khi Bên kiểm soát ban đầu đã có được sự đồng ý của chủ thể dữ liệu cho việc chia sẻ thông tin với bên thứ ba cho mục đích quảng cáo.

Hình thức thứ hai là dữ liệu do chính tổ chức, cá nhân kinh doanh dịch vụ quảng cáo thu thập thông qua hoạt động kinh doanh trực tiếp của mình. Điều này thường xảy ra khi các nền tảng thương mại điện tử hoặc mạng xã hội thu thập dữ liệu từ người dùng của chính họ để hiển thị quảng cáo nội bộ. Tuy nhiên, một điểm mới đáng chú ý trong Luật 2025 là sự xuất hiện của cơ sở pháp lý "Lợi ích hợp pháp" (Điều 19.1.a). Mặc dù cơ sở này cho phép xử lý dữ liệu mà không cần sự đồng ý trong một số trường hợp cụ thể để bảo vệ quyền lợi hợp pháp trước các hành vi xâm phạm, các chuyên gia pháp lý cảnh báo rằng nó có phạm vi hẹp hơn nhiều so với GDPR và không nên được lạm dụng như một "tấm séc khống" cho hoạt động quảng cáo mục tiêu.

2. Tiêu chuẩn vàng về sự đồng ý của khách hàng 

Sự đồng ý của chủ thể dữ liệu không còn là một khái niệm trừu tượng mà đã được định hình bằng các tiêu chuẩn kỹ thuật và nội dung vô cùng chi tiết. Theo Luật 2025, sự đồng ý chỉ có giá trị pháp lý khi nó là sự lựa chọn tự nguyện, hiểu rõ và dựa trên thông tin đầy đủ.

2.1. Nghĩa vụ minh bạch tuyệt đối về nội dung và tần suất quảng cáo

Một trong những điểm tiến bộ nhất của Luật Bảo vệ dữ liệu cá nhân 2025 so với Nghị định 13/2023/NĐ-CP trước đây là yêu cầu về nội dung thông báo trước khi lấy sự đồng ý cho mục đích quảng cáo. Bên kiểm soát dữ liệu phải đảm bảo chủ thể được thông báo đầy đủ về:

• Phương thức giới thiệu sản phẩm: Quảng cáo sẽ được chuyển tải qua kênh nào (SMS, Email, cuộc gọi, hay thông báo đẩy trên ứng dụng).
• Hình thức giới thiệu: Nội dung quảng cáo là văn bản đơn thuần, hình ảnh cá nhân hóa, hay video hướng mục tiêu.
• Tần suất giới thiệu: Đây là yếu tố then chốt để ngăn chặn tình trạng "spam" hợp pháp hóa. Doanh nghiệp phải nêu rõ số lần tối đa mà khách hàng có thể nhận quảng cáo trong một đơn vị thời gian.

Sự im lặng hoặc không phản hồi từ phía khách hàng tuyệt đối không được coi là sự đồng ý. Điều này đặt dấu chấm hết cho các thực hành thu thập dữ liệu "ngầm" vốn rất phổ biến trong ngành AdTech trước đây.

2.2. Thiết lập cơ chế "đồng ý" (Opt-in) và chống lại các mẫu thiết kế đen 

Cơ chế Opt-in yêu cầu một hành động khẳng định chủ động từ phía người dùng. Luật 2025 nghiêm cấm các hành vi lừa dối người dùng thông qua các giao diện UI/UX được thiết kế tinh vi nhằm dẫn dụ họ đồng ý một cách không mong muốn.

• Checkbox không tích sẵn: Các ô đánh dấu đồng ý nhận quảng cáo phải để trống, buộc người dùng tự tay tích vào nếu muốn tham gia.
• Sự đồng ý tách biệt: Không được gộp chung việc đồng ý với Điều khoản dịch vụ và đồng ý nhận quảng cáo vào một nút bấm duy nhất. Khách hàng phải có quyền đồng ý với việc cung cấp dịch vụ nhưng từ chối việc bị sử dụng dữ liệu cho mục đích marketing.
• Khả năng rút lại dễ dàng: Quy trình rút lại sự đồng ý phải đơn giản tương đương với quy trình đưa ra sự đồng ý ban đầu.

Hệ thống quản lý sự đồng ý trở thành một công cụ bắt buộc đối với các doanh nghiệp quảng cáo chuyên nghiệp để ghi nhận chính xác thời điểm, nội dung và phương thức mà khách hàng đã xác nhận, phục vụ cho trách nhiệm chứng minh trước các đợt thanh tra của Cục An ninh mạng (A05).

3. Quyền từ chối và cơ chế ngừng quảng cáo

Luật Bảo vệ dữ liệu cá nhân 2025 khẳng định chủ quyền của cá nhân đối với dữ liệu của mình thông qua quyền phản đối xử lý dữ liệu cho mục đích quảng cáo. Đây không chỉ là một quyền dân sự mà là một nghĩa vụ bắt buộc mà doanh nghiệp phải tích hợp vào hệ thống kỹ thuật.

3.1. Quyền yêu cầu ngừng nhận thông tin và thời hạn xử lý

Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát và bên xử lý ngừng quảng cáo bất kỳ lúc nào mà không cần đưa ra lý do. Một khi nhận được yêu cầu, doanh nghiệp phải thực hiện việc ngừng quảng cáo và cập nhật vào danh sách loại trừ trong hệ thống của mình. Thời hạn xử lý các yêu cầu liên quan đến quyền của chủ thể dữ liệu đã được Luật 2025 quy trình hóa một cách khả thi nhưng nghiêm ngặt.

Lưu ý rằng doanh nghiệp được phép gia hạn một lần nếu yêu cầu cực kỳ phức tạp, nhưng phải thông báo rõ lý do cho chủ thể dữ liệu.

3.2. Trách nhiệm cung cấp công cụ từ chối quảng cáo dễ dàng và thuận tiện

Pháp luật yêu cầu các đơn vị kinh doanh quảng cáo phải cung cấp phương thức để khách hàng từ chối nhận thông tin một cách thuận tiện. Trong thực tế AdTech, điều này có nghĩa là:

• Trong Email Marketing: Phải có liên kết "Hủy đăng ký"  rõ ràng ở cuối mỗi email.
• Trong SMS Marketing: Phải có cú pháp từ chối tin nhắn quảng cáo được hướng dẫn cụ thể.
• Trong ứng dụng/web: Phải có khu vực quản lý quyền riêng tư nơi người dùng có thể gạt nút tắt các loại hình quảng cáo cá nhân hóa bất kỳ lúc nào.

Việc gây khó khăn cho người dùng khi họ muốn từ chối quảng cáo (như yêu cầu gọi điện đến tổng đài, viết đơn tay, hoặc đăng nhập nhiều lớp) được coi là hành vi vi phạm pháp luật và sẽ bị xử phạt hành chính nặng nề.

4. Quy định khắt khe đối với quảng cáo theo hành vi và cá nhân hóa 

Quảng cáo hướng mục tiêu dựa trên việc theo dõi hành vi là lĩnh vực mà Luật 2025 và Nghị định 356/2025/NĐ-CP tập trung kiểm soát chặt chẽ nhất do tính chất xâm nhập sâu vào đời tư.

Nghị định 356/2025/NĐ-CP đã đưa ra những hướng dẫn chi tiết về việc sử dụng cookie và các đoạn mã theo dõi (SDK) trên môi trường số. Doanh nghiệp phải phân loại cookie thành các nhóm chức năng khác nhau:

• Cookie thiết yếu: Không cần sự đồng ý trước nhưng phải thông báo rõ chức năng bảo mật và duy trì trạng thái đăng nhập.
• Cookie quảng cáo và theo dõi hành vi: Bắt buộc phải có sự đồng ý rõ ràng qua bảng thông báo ngay khi người dùng truy cập trang web lần đầu. Người dùng phải có quyền chọn "Từ chối tất cả" các loại cookie không thiết yếu này.

Đối với các ứng dụng di động, việc thu thập dữ liệu vị trí và dữ liệu theo dõi hành vi sử dụng ứng dụng hiện được coi là xử lý "Dữ liệu cá nhân nhạy cảm". Điều này kéo theo nghĩa vụ phải bổ nhiệm nhân sự bảo vệ dữ liệu và thực hiện đánh giá tác động xử lý dữ liệu một cách bắt buộc, không có ngoại lệ ngay cả với doanh nghiệp nhỏ nếu họ xử lý dữ liệu này ở quy mô lớn (thường từ 100.000 chủ thể trở lên).

Luật 2025 thiết lập một rào cản tuyệt đối nhằm bảo vệ nhóm đối tượng dễ bị tổn thương nhất. Nghị định 356/2025/NĐ-CP nghiêm cấm hoàn toàn việc sử dụng cookie theo dõi hành vi và thực hiện quảng cáo hướng đối tượng đối với người dùng được xác định là trẻ em dưới 16 tuổi. Doanh nghiệp phải triển khai các biện pháp xác minh độ tuổi phù hợp trước khi kích hoạt bất kỳ trình theo dõi quảng cáo nào.

Nguyên tắc giới hạn lưu trữ yêu cầu dữ liệu cá nhân chỉ được giữ lại trong thời gian cần thiết để đạt được mục đích quảng cáo đã cam kết.

• Dữ liệu cookie quảng cáo: Thường có thời hạn hết hạn cụ thể dựa trên mục đích (thường từ 12-13 tháng).
• Nghĩa vụ xóa dữ liệu: Khi mục đích quảng cáo đã hoàn thành, hoặc khi doanh nghiệp ngừng kinh doanh dịch vụ, hoặc khi khách hàng yêu cầu, dữ liệu phải được xóa hoặc hủy bỏ hoàn toàn.
• Trường hợp lưu trữ lâu hơn: Chỉ được phép nếu pháp luật chuyên ngành có quy định (ví dụ: dữ liệu giao dịch thương mại điện tử phải lưu trữ tối thiểu 03 năm) hoặc theo thỏa thuận rõ ràng với khách hàng cho mục đích lưu trữ lịch sử.

5. Các hành vi bị nghiêm cấm và vấn nạn tin nhắn rác

Để làm sạch thị trường quảng cáo và ngăn chặn tình trạng "rửa dữ liệu", Luật 2025 đã đưa ra những lệnh cấm mang tính quyết định đối với các mô hình kinh doanh thiếu minh bạch. Khoản 6 Điều 28 của Luật 2025 quy định: "Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để tổ chức, cá nhân khác thay mặt mình thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân".

Lệnh cấm này có ý nghĩa pháp lý và thực tiễn vô cùng sâu sắc:

• Đảm bảo trách nhiệm giải trình: Nếu một đơn vị quảng cáo nhận dữ liệu từ khách hàng nhưng lại thuê một bên thứ ba thực hiện "từ A đến Z", họ sẽ mất khả năng kiểm soát thực tế đối với luồng dữ liệu đó. Khi có sự cố rò rỉ, việc truy cứu trách nhiệm sẽ trở nên cực kỳ khó khăn do sự đứt gãy trong chuỗi kiểm soát.
• Ngăn chặn môi giới dữ liệu trá hình: Quy định này đánh trực tiếp vào các đơn vị trung gian chỉ đóng vai trò "mua đi bán lại" dữ liệu dưới danh nghĩa cung cấp dịch vụ quảng cáo. Luật yêu cầu tổ chức quảng cáo phải trực tiếp tham gia vào quá trình xử lý và chịu trách nhiệm chứng minh nguồn gốc dữ liệu (Khoản 7 Điều 28).
• Bảo vệ sự tin tưởng của chủ thể dữ liệu: Người dùng đồng ý cho đơn vị A xử lý dữ liệu của mình dựa trên uy tín của đơn vị đó. Việc đơn vị A âm thầm chuyển giao toàn bộ quy trình cho một đơn vị B (mà người dùng không hề hay biết) là sự vi phạm nghiêm trọng tinh thần của sự đồng ý.

Hoạt động quảng cáo sử dụng dữ liệu cá nhân phải chịu sự điều chỉnh song song của Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 91/2020/NĐ-CP (về chống tin nhắn rác, thư điện tử rác và cuộc gọi rác).

Xung đột và bổ trợ: Trong khi Nghị định 91 tập trung vào phương thức chuyển tải (ngăn chặn hành vi gửi tin rác hàng loạt), Luật 2025 tập trung vào bản chất dữ liệu (ngăn chặn việc sử dụng số điện thoại/email bất hợp pháp để tạo ra tin rác đó).

Mức phạt lũy tiến: Các hành vi vi phạm về tin nhắn rác có thể bị phạt tới 170 triệu đồng theo Nghị định 91. Tuy nhiên, nếu hành vi đó đồng thời vi phạm nghiêm trọng quyền bảo vệ dữ liệu cá nhân (ví dụ: sử dụng dữ liệu mua bán trái phép), doanh nghiệp có thể phải chịu mức phạt lên tới 5% doanh thu theo Luật 2025.

Kết luận

Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo không còn là một lựa chọn mang tính khuyến khích, mà đã trở thành nghĩa vụ pháp lý bắt buộc và là tiêu chuẩn đạo đức cốt lõi của doanh nghiệp. Việc tuân thủ nghiêm ngặt các quy định về sự ưng thuận tự nguyện, hạn chế mục đích và đảm bảo an toàn dữ liệu không chỉ giúp các đơn vị quảng cáo tránh khỏi những chế tài nghiêm khắc từ cơ quan quản lý nhà nước, mà quan trọng hơn, đó là con đường duy nhất để xây dựng niềm tin bền vững với người tiêu dùng.

Trong một thị trường mà khách hàng ngày càng có ý thức cao về quyền riêng tư, những doanh nghiệp xem trọng bảo mật dữ liệu sẽ tạo ra lợi thế cạnh tranh khác biệt, biến sự tuân thủ pháp lý thành giá trị thương hiệu. Tuy nhiên, để pháp luật thực sự đi vào đời sống, cần có sự phối hợp đồng bộ giữa việc thực thi của cơ quan chức năng và sự tự giác điều chỉnh từ phía các đại lý quảng cáo, các nền tảng công nghệ. Khép lại hồ sơ về bảo vệ dữ liệu trong quảng cáo, chúng ta kỳ vọng vào một tương lai nơi sự sáng tạo trong tiếp thị không còn mâu thuẫn với quyền riêng tư, nơi dữ liệu cá nhân được tôn trọng như một phần nhân thân của mỗi con người, tạo tiền đề cho một hệ sinh thái kinh doanh số minh bạch, nhân văn và thượng tôn pháp luật.

Mọi vướng mắc pháp lý vui lòng liên hệ Luật sư tư vấn pháp luật trực tuyến qua điện thoại gọi: 1900.6162 để được đội ngũ luật sư giàu kinh nghiệm của Công ty luật Minh Khuê tư vấn, giải đáp chi tiết. Chúng tôi rất hân hạnh khi nhận được sự hợp tác của quý khách hàng. Xin chân thành cảm ơn!