Quy định mới nhất về sự đồng ý của chủ thể dữ liệu cá nhân

Trong cấu trúc của quyền riêng tư hiện đại, sự tự do định đoạt thông tin cá nhân được xem là quyền tự chủ tối thượng của mỗi cá nhân trong không gian số. Nếu dữ liệu cá nhân là tài sản, thì "Sự đồng ý" chính là chiếc chìa khóa duy nhất cho phép các chủ thể khác tiếp cận và khai thác tài sản đó một cách hợp pháp. Tuy nhiên, trong một nền kinh tế dữ liệu vận hành bằng các thuật toán phức tạp và những bản điều khoản sử dụng dài vô tận, ranh giới giữa sự đồng ý tự nguyện và sự áp đặt mặc định thường trở nên mong manh.

Nhận diện được thách thức đó, pháp luật Việt Nam đã thiết lập một hệ thống quy định nghiêm ngặt nhằm chuẩn hóa khái niệm "Sự đồng ý" của chủ thể dữ liệu. Không còn dừng lại ở những cái nhấp chuột vô thức, sự đồng ý theo quy định mới nhất phải hội đủ các đặc tính cốt lõi: Tự nguyện, rõ ràng, cụ thể, có thể rút lại và được đưa ra trên cơ sở hiểu biết đầy đủ. Việc chuyển dịch từ cơ chế "đồng ý mặc định" sang "đồng ý chủ động" không chỉ là một bước tiến về kỹ thuật lập pháp, mà còn là tuyên ngôn về việc bảo vệ quyền con người trước sự bành trướng của công nghệ. 

1. Sự đồng ý của chủ thể dữ liệu cá nhân là gì?

Sự đồng ý của chủ thể dữ liệu không đơn thuần là một thủ tục kỹ thuật tích chọn vào một ô trống trên màn hình, mà là sự thể hiện ý chí tự nguyện và khẳng định quyền kiểm soát tối thượng của cá nhân đối với các thông tin gắn liền với hình ảnh kỹ thuật số của chính mình. Theo quy định xuyên suốt từ Nghị định 13 đến Luật Bảo vệ dữ liệu cá nhân năm 2025 (sau đây sẽ gọi là Luật 2025), đây là hành động cho phép xử lý dữ liệu cá nhân dựa trên sự hiểu biết đầy đủ về các hệ quả pháp lý đi kèm. Xác lập bản chất pháp lý của sự đồng ý là một quyền năng cơ bản của chủ thể dữ liệu. Việc "cho phép" này mang ba đặc tính pháp lý cốt lõi: tính khẳng định, tính có điều kiện và tính có thể thu hồi.

Thứ nhất, việc cho phép phải mang tính khẳng định. Điều này có nghĩa là sự đồng ý phải được thể hiện thông qua một hành động cụ thể, chủ động của chủ thể dữ liệu. Pháp luật không chấp nhận các hình thức suy diễn ý chí từ sự im lặng hoặc thụ động. Bản chất của việc "cho phép" ở đây là một giao dịch pháp lý dân sự đặc thù, trong đó chủ thể dữ liệu tạm thời chuyển giao quyền khai thác thông tin cá nhân cho bên kiểm soát dữ liệu vì một mục đích cụ thể.

Thứ hai, việc cho phép luôn đi kèm với sự minh bạch thông tin. Theo Khoản 1 Điều 9, sự đồng ý chỉ có giá trị pháp lý khi chủ thể dữ liệu được thông báo rõ ràng về loại dữ liệu bị thu thập và mục đích sử dụng. Điều này ngăn chặn việc các doanh nghiệp sử dụng dữ liệu cho những mục đích "ẩn" mà người dùng không thể lường trước được.

Thứ ba, sự cho phép mang tính tạm thời và có thể rút lại. Quyền rút lại sự đồng ý là một bộ phận không thể tách rời của quyền cho phép. Việc rút lại này không làm ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu đã diễn ra trước đó dựa trên sự đồng ý cũ, nhưng nó đặt ra một giới hạn đỏ cho các hoạt động xử lý trong tương lai.

Bản chất pháp lý của sự đồng ý cũng thay đổi tùy thuộc vào tính chất của dữ liệu. Nghị định 13 phân loại dữ liệu cá nhân thành hai nhóm chính với mức độ bảo vệ khác nhau, từ đó yêu cầu các quy trình lấy sự đồng ý cũng phải có độ nhạy tương ứng.

Phân tích này cho thấy rằng đối với dữ liệu nhạy cảm, pháp luật yêu cầu một tầng nấc bảo vệ cao hơn. Bên kiểm soát dữ liệu không được phép gộp chung việc lấy sự đồng ý cho dữ liệu cơ bản và dữ liệu nhạy cảm trong cùng một thông báo mơ hồ.

2. Ngoại lệ khi nào xử lý dữ liệu không cần sự đồng ý

Mặc dù sự đồng ý là "tiêu chuẩn vàng", pháp luật Việt Nam cũng dự liệu các tình huống mà lợi ích cộng đồng, an ninh quốc gia hoặc tính mạng con người cần được ưu tiên hơn quyền tự quyết cá nhân. Điều 19 Luật 2025 liệt kê 05 trường hợp ngoại lệ mà bên xử lý dữ liệu không cần sự đồng ý của chủ thể.

Các ngoại lệ này không được hiểu là sự "miễn trừ" hoàn toàn trách nhiệm bảo vệ dữ liệu. Các tổ chức thực hiện xử lý dữ liệu trong những trường hợp này vẫn phải áp dụng các biện pháp bảo mật kỹ thuật và quản lý, đồng thời phải thiết lập cơ chế giám sát theo quy định của Bộ Công an.

3. Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi nào?

Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi được thiết lập trên cơ sở tự nguyện và có đầy đủ thông tin là một nguyên tắc cốt lõi trong pháp luật về bảo vệ dữ liệu cá nhân. Điều này nhằm bảo đảm rằng cá nhân không chỉ “đồng ý hình thức” mà thực sự hiểu rõ họ đang cho phép điều gì xảy ra đối với dữ liệu của mình. Dưới đây là phân tích chi tiết từng nội dung bắt buộc phải được làm rõ khi xin sự đồng ý:

3.1. Loại dữ liệu cá nhân được xử lý và mục đích xử lý dữ liệu cá nhân

Đây là yếu tố nền tảng quyết định tính hợp pháp của sự đồng ý. Chủ thể dữ liệu cần được thông tin một cách cụ thể về dữ liệu nào sẽ bị thu thập và xử lý, chẳng hạn như họ tên, số điện thoại, địa chỉ, dữ liệu sinh trắc học hay thông tin tài chính. Việc mô tả phải rõ ràng, tránh tình trạng diễn đạt chung chung như “thu thập thông tin cần thiết” vì cách diễn đạt này không giúp người dùng nhận thức đầy đủ phạm vi xử lý.

Bên cạnh đó, mục đích xử lý dữ liệu phải được xác định minh bạch, cụ thể và hợp pháp. Ví dụ, dữ liệu được thu thập để phục vụ đăng ký tài khoản, chăm sóc khách hàng hay phục vụ hoạt động marketing. Nếu mục đích xử lý không rõ ràng hoặc bị “mở rộng ngầm” sau khi đã thu thập dữ liệu, thì sự đồng ý ban đầu có thể bị coi là không còn giá trị. Nguyên tắc ở đây là: cá nhân phải biết chính xác dữ liệu của mình được sử dụng để làm gì, và chỉ trong phạm vi đó, sự đồng ý mới có hiệu lực.

3.2. Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân

Sự đồng ý chỉ thực sự có ý nghĩa khi chủ thể dữ liệu biết rõ ai là người hoặc tổ chức chịu trách nhiệm đối với dữ liệu của mình. Do đó, bên xin sự đồng ý phải xác định rõ tư cách pháp lý của mình, là bên kiểm soát dữ liệu hay đồng thời vừa kiểm soát vừa xử lý dữ liệu, đồng thời cung cấp thông tin nhận diện như tên tổ chức, địa chỉ, thông tin liên hệ.

Việc minh bạch chủ thể này giúp người cung cấp dữ liệu có cơ sở để xác định trách nhiệm pháp lý trong trường hợp xảy ra vi phạm, cũng như biết nơi để thực hiện các quyền của mình như yêu cầu truy cập, chỉnh sửa hoặc xóa dữ liệu. Nếu thông tin về bên kiểm soát bị che giấu, mập mờ hoặc cố tình gây hiểu nhầm, thì sự đồng ý có nguy cơ bị vô hiệu do không đảm bảo yếu tố “biết rõ”. Trong bối cảnh nhiều hoạt động xử lý dữ liệu có sự tham gia của bên thứ ba, việc làm rõ chủ thể chịu trách nhiệm lại càng trở nên quan trọng để tránh tình trạng đùn đẩy trách nhiệm khi có sự cố.

3.3. Các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Một trong những điều kiện quan trọng để bảo đảm sự đồng ý là hợp lệ chính là việc chủ thể dữ liệu phải được thông tin đầy đủ về các quyền mà họ được pháp luật bảo vệ. Các quyền này thường bao gồm quyền được biết, quyền truy cập, quyền chỉnh sửa, quyền xóa dữ liệu, quyền rút lại sự đồng ý hoặc quyền hạn chế xử lý dữ liệu. Khi hiểu rõ các quyền này, cá nhân mới có thể chủ động kiểm soát thông tin của mình và đưa ra quyết định đồng ý một cách thực chất, không bị động hay phụ thuộc hoàn toàn vào bên thu thập dữ liệu.

Song song với quyền, chủ thể dữ liệu cũng cần nhận thức được nghĩa vụ của mình, ví dụ như cung cấp thông tin chính xác, tuân thủ các điều khoản sử dụng dịch vụ hoặc chịu trách nhiệm đối với dữ liệu do mình cung cấp. Việc làm rõ cả quyền và nghĩa vụ giúp thiết lập một mối quan hệ cân bằng giữa các bên, tránh tình trạng hiểu sai hoặc lạm dụng quyền. Nếu cá nhân không được thông báo đầy đủ về các quyền cơ bản của mình, thì sự đồng ý rất dễ bị coi là thiếu minh bạch và không đáp ứng điều kiện có hiệu lực theo quy định pháp luật.

4. Phương thức thể hiện sự đồng ý

Tính "có thể kiểm chứng" là yêu cầu kỹ thuật quan trọng nhất đối với phương thức thể hiện sự đồng ý. Điều này đảm bảo rằng trong trường hợp xảy ra tranh chấp hoặc thanh tra, doanh nghiệp có bằng chứng vững chắc để bảo vệ tính hợp pháp của mình.

Pháp luật quy định sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng hữu hình hoặc có thể truy xuất được. Khoản 3 Điều 9 của Luật 2025 (kế thừa Nghị định 13) yêu cầu sự đồng ý phải được thể hiện qua các hình thức có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Tính "có thể kiểm chứng" đòi hỏi phương thức đồng ý phải xác định được 03 yếu tố then chốt:

• Xác định đúng chủ thể: Người thực hiện hành động đồng ý chính là chủ thể dữ liệu hoặc người được ủy quyền hợp pháp.
• Thời điểm đồng ý: Ghi nhận chính xác ngày, giờ, phút mà hành động đồng ý được thực hiện.
• Nội dung đồng ý: Ghi lại chính xác phiên bản của Điều khoản dịch vụ hoặc Chính sách bảo mật mà chủ thể đã đồng ý tại thời điểm đó.

Việc chuyển đổi các quy định pháp lý trừu tượng thành các thiết kế giao diện tuân thủ là thách thức lớn đối với các bộ phận công nghệ của doanh nghiệp.

Ngoài ra, các phương thức như cú pháp tin nhắn SMS, bản ghi âm cuộc gọi (Voice recording) sau khi đã thông báo cũng được coi là các phương thức điện tử hợp lệ nếu đảm bảo được tính lưu trữ và không thể sửa đổi.

5. Nguyên tắc vàng khi thu thập sự đồng ý

Để xây dựng một chiến lược quản trị dữ liệu bền vững, doanh nghiệp cần tuân thủ 04 nguyên tắc cốt lõi giúp hài hòa giữa nhu cầu kinh doanh và quyền của chủ thể dữ liệu.

5.1. Tách biệt mục đích 

Nguyên tắc tách biệt mục đích yêu cầu sự đồng ý không được thu thập theo cách gộp chung. Khi một tổ chức có nhiều mục đích xử lý dữ liệu khác nhau (ví dụ: mục đích thực hiện dịch vụ, mục đích gửi quảng cáo, mục đích chia sẻ cho đối tác), họ phải liệt kê danh sách các mục đích này và cho phép người dùng lựa chọn đồng ý với từng mục đích một cách riêng rẽ.

Việc gộp chung các mục đích vào một nút "Đồng ý tất cả" mà không có tùy chọn chi tiết là hành vi vi phạm pháp luật. Điều này nhằm đảm bảo rằng chủ thể dữ liệu có quyền từ chối các mục đích xử lý không thiết yếu (như marketing) mà không làm ảnh hưởng đến việc sử dụng dịch vụ chính.

5.2. Không kèm điều kiện

Tương tự như tính tự nguyện, nguyên tắc này cấm các doanh nghiệp sử dụng sự đồng ý xử lý dữ liệu như một "con bài mặc cả" cho các dịch vụ không liên quan. Nếu việc xử lý dữ liệu X không cần thiết để thực hiện dịch vụ Y, doanh nghiệp không được phép từ chối cung cấp dịch vụ Y nếu khách hàng không đồng ý cho xử lý dữ liệu X.

Trong kỷ nguyên kinh tế nền tảng, các tập đoàn đa dịch vụ thường có xu hướng ép buộc người dùng đồng ý chia sẻ dữ liệu xuyên suốt các hệ sinh thái (từ thanh toán đến mạng xã hội). Luật 2025 siết chặt quy định này để ngăn chặn sự hình thành các "đảo dữ liệu" độc quyền dựa trên sự cưỡng ép người dùng.

5.3. Thời hạn hiệu lực và quyền thay đổi 

Sự đồng ý có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi mục đích xử lý đã hoàn thành. Khoản 4c Điều 9 nhấn mạnh vào cơ chế rút lại hoặc thay đổi sự đồng ý. Doanh nghiệp có nghĩa vụ thiết lập một quy trình rút lại sự đồng ý đơn giản, minh bạch và không được gây khó khăn cho người dùng.

Khi chủ thể rút lại sự đồng ý, bên kiểm soát dữ liệu phải dừng ngay các hoạt động xử lý và trong nhiều trường hợp phải thực hiện việc xóa hoặc hủy dữ liệu (right to be forgotten) trừ khi có nghĩa vụ lưu trữ khác theo luật định (ví dụ: luật kế toán hoặc luật phòng chống rửa tiền).

5.4. Sự im lặng không phải là đồng ý

Đây là nguyên tắc nền móng để chống lại việc thu thập dữ liệu thụ động. Mọi thiết lập sẵn hoặc thông báo kiểu "Nếu bạn không trả lời trong 30 ngày, chúng tôi coi như bạn đã đồng ý" đều không có giá trị pháp lý. Sự đồng ý yêu cầu một "hành động khẳng định tích cực". Điều này buộc các doanh nghiệp phải chủ động tiếp cận và thuyết phục khách hàng tin tưởng giao dữ liệu thay vì khai thác sự lơ là của họ.

Kết luận

Những quy định mới nhất về sự đồng ý của chủ thể dữ liệu không đơn thuần là những rào cản hành chính gây khó khăn cho hoạt động kinh doanh, mà chính là nền tảng để xây dựng một "Hệ sinh thái niềm tin số" bền vững. Việc pháp điển hóa chi tiết các yêu cầu về sự đồng ý đã chấm dứt thời kỳ khai thác dữ liệu theo kiểu "xâm lấn", buộc các tổ chức phải thay đổi tư duy từ chiếm hữu sang hợp tác và tôn trọng chủ quyền thông tin của người dùng.

Trong tương lai, khi trí tuệ nhân tạo và dữ liệu lớn tiếp tục tái định hình xã hội, giá trị của sự đồng ý sẽ càng trở nên quan trọng hơn bao giờ hết. Nó đóng vai trò là chốt chặn cuối cùng ngăn chặn các hành vi thao túng tâm lý và xâm phạm đời tư quy mô lớn. Đối với các doanh nghiệp, việc thực thi nghiêm túc cơ chế xin phép và duy trì sự minh bạch trong xử lý dữ liệu chính là khoản đầu tư đắt giá nhất để bảo vệ uy tín và lợi thế cạnh tranh. Đối với cá nhân, việc hiểu rõ quyền được đồng ý và quyền rút lại sự đồng ý chính là cách thức hữu hiệu nhất để mỗi công dân số tự bảo vệ mình trong một thế giới không có biên giới về thông tin. Sự đồng hành giữa một khung pháp lý chặt chẽ và ý thức thực thi chuẩn mực sẽ là chìa khóa để dữ liệu thực sự phục vụ cho sự phát triển của nhân loại thay vì trở thành công cụ của sự kiểm soát.

Mọi vướng mắc pháp lý vui lòng liên hệ Luật sư tư vấn pháp luật trực tuyến qua điện thoại gọi: 1900.6162 để được đội ngũ luật sư giàu kinh nghiệm của Công ty luật Minh Khuê tư vấn, giải đáp chi tiết. Chúng tôi rất hân hạnh khi nhận được sự hợp tác của quý khách hàng. Xin chân thành cảm ơn!