Tuân thủ13 thg 4, 2026 | FlexyConsent

Đạo luật DPDP của Ấn Độ: Cookie Consent cho thị trường số lớn nhất thế giới

Ấn Độ đã thông qua Đạo luật Bảo vệ Dữ liệu Cá nhân Số (DPDP Act) vào năm 2023, và các quy định chi tiết để vận hành luật hiện đã có hiệu lực. Với hơn 850 million người dùng internet, Ấn Độ là một thị trường mà bất kỳ nhà xuất bản, nhà quảng cáo hay nhà cung cấp SaaS toàn cầu nào cũng không thể bỏ qua — và DPDP Act đưa ra các nghĩa vụ xin consent khác biệt một cách đáng kể so với GDPR, CCPA và các khung pháp lý khác mà bạn có thể đã tuân thủ.

Bài hướng dẫn này giải thích DPDP Act xử lý cookie và định danh theo dõi như thế nào, đối tượng áp dụng là ai, và m��t trải nghiệm xin consent tuân thủ dành cho người dùng Ấn Độ trông ra sao.

Đối tượng áp dụng của DPDP Act

DPDP Act điều chỉnh việc xử lý dữ liệu cá nhân số trong lãnh thổ Ấn Độ, cũng như hoạt động xử lý bên ngoài Ấn Độ có liên quan đến việc cung cấp hàng hóa hoặc dịch vụ cho cá nhân tại Ấn Độ. Trên thực tế, nếu website của bạn có thể truy cập được từ Ấn Độ và bạn thu thập dữ liệu cá nhân thông qua đó — bao gồm qua cookie, SDK, pixel hoặc fingerprinting — thì gần như chắc chắn Đạo luật sẽ áp dụng đối với bạn.

Đạo luật sử dụng hai vai trò chính: Data Fiduciary (tương đương với “controller” trong GDPR) và Data Processor. Một số ít các đơn vị vận hành lớn nhất có thể được chỉ định là Significant Data Fiduciary, kéo theo các nghĩa vụ bổ sung như Thực hiện Đánh giá Tác động Bảo vệ Dữ liệu và bổ nhiệm một Nhân sự Bảo vệ Dữ liệu cư trú tại Ấn Độ.

DPDP Act xử lý cookie và tracker như thế nào

Không giống ePrivacy Directive, DPDP Act không tách cookie th��nh một hạng mục riêng. Thay vào đó, luật điều chỉnh bất kỳ hoạt động xử lý dữ liệu cá nhân số nào. Điều này có nghĩa là cookie, định danh thiết bị, địa chỉ IP, ID quảng cáo và email đã băm đều nằm trong phạm vi điều chỉnh khi chúng được liên kết — trực tiếp hoặc gián tiếp — với một cá nhân có thể nhận diện được.

Hệ quả đối với nhà xuất bản là khá rõ ràng: nếu một cookie hoặc thẻ (tag) trên site của bạn khiến dữ liệu cá nhân được thu thập hoặc chia sẻ, bạn cần một căn cứ pháp lý hợp lệ. Theo DPDP Act, căn cứ đó gần như luôn là consent, với một nhóm ngoại lệ hẹp cho các "legitimate uses" được định nghĩa trong luật.

Consent hợp lệ phải như thế nào

DPDP Act đặt ra tiêu chuẩn cao cho consent. Consent phải là tự do, cụ thể, được thông tin đầy đủ, vô điều kiện và rõ ràng, và được thể hiện thông qua một hành động khẳng định dứt khoát. Các ô được tick sẵn, việc suy đoán consent từ hành vi tiếp tục duyệt web, và các thiết kế "cookie wall" buộc phải chấp nhận thì mới được truy cập đều không phù hợp với các yêu cầu này.

Có hai quy tắc riêng của DPDP đặc biệt quan trọng đối với UX xin consent:

Thông báo chi tiết: Trước hoặc tại thời điểm xin consent, bạn phải cung cấp cho người dùng một thông báo rõ ràng nêu rõ loại dữ liệu được thu thập, mục đích xử lý, và cách người dùng có thể rút lại consent hoặc gửi khiếu nại lên Data Protection Board of India.
Ngôn ngữ đơn giản và hỗ trợ đa ngôn ngữ: Thông báo phải khả dụng bằng tiếng Anh và bất kỳ trong số 22 ngôn ngữ chính thức của Ấn Độ mà người dùng lựa chọn. Một CMP không thể hiển thị nội dung xin consent bằng tiếng Hindi, Tamil, Bengali, Marathi và các ngôn ngữ lớn khác sẽ rất khó đáp ứng yêu cầu tuân thủ.

Dữ liệu trẻ em và consent của phụ huynh

DPDP Act coi bất kỳ ai dưới 18 tuổi là trẻ em và yêu cầu phải có consent có thể xác minh được của phụ huynh trước khi xử lý dữ liệu cá nhân của họ. Đạo luật cũng cấm việc giám sát hành vi và quảng cáo được nhắm mục tiêu hướng đến trẻ em. Bất kỳ website nào có thể truy cập bởi trẻ vị thành niên tại Ấn Độ — trên thực tế gần như là mọi site — đều cần một chiến lược kiểm soát độ tuổi hoặc dựa trên đánh giá rủi ro, và phải có khả năng chặn script theo dõi khi không có consent của phụ huynh.

Các quyền của người dùng mà CMP của bạn phải hỗ trợ

Data Principal (người dùng) tại Ấn Độ có một tập hợp các quyền phải có thể thực hiện được thông qua lớp consent và tùy chọn của bạn:

Quyền truy cập bản tóm tắt dữ liệu cá nhân của họ đang được xử lý.
Quyền chỉnh sửa và xóa dữ liệu của họ.
Quyền rút lại consent bất kỳ lúc nào, với mức độ dễ dàng tương đương với khi cung cấp consent.
Quyền chỉ định một cá nhân khác thực hiện quyền thay mình trong trường hợp qua đời hoặc mất năng lực.
Quyền được giải quyết khiếu nại, trước hết với Data Fiduciary và sau đó với Data Protection Board of India.

Một CMP tuân thủ nên hiển thị một liên kết tùy chọn (preferences) cố định, hỗ trợ rút lại consent chỉ bằng một nhấp chuột, và ghi log các sự kiện consent theo cách có thể xuất trình theo yêu cầu trong quá trình điều tra.

Chuyển dữ liệu xuyên biên giới

DPDP Act áp dụng cách tiếp cận "danh sách cấm" đối với chuyển dữ liệu quốc tế: dữ liệu cá nhân có thể được chuyển ra ngoài Ấn Độ trừ khi quốc gia nhận dữ liệu bị Chính phủ Trung ương đưa vào danh sách hạn chế. Cách tiếp cận này rộng rãi hơn cơ chế tương đương (adequacy) của GDPR, nhưng bạn vẫn nên ghi nhận rõ các quốc gia thứ ba nhận dữ liệu từ người dùng Ấn Độ và theo dõi danh sách hạn chế được công bố.

Chế tài và thực thi

Các mức phạt tài chính theo DPDP Act là rất đáng kể. Data Protection Board có thể áp dụng khoản phạt lên đến ₹250 crore (xấp xỉ $30 million USD) cho việc không áp dụng các biện pháp bảo mật hợp lý, và lên đến ₹200 crore cho việc không thực hiện đầy đủ nghĩa vụ đối với trẻ em. Các vi phạm liên quan đến consent — bao gồm thu thập consent thông qua banner không tuân thủ — có thể bị phạt tới ₹50 crore cho mỗi hành vi vi phạm.

Triển khai consent tuân thủ DPDP trong CMP của bạn

Nhận diện người dùng tại Ấn Độ theo địa lý và áp dụng một mẫu consent riêng cho DPDP thay vì tái sử dụng banner GDPR. Nội dung thông báo và các tùy chọn ngôn ngữ là khác nhau.
Hiển thị thông báo bằng nhiều ngôn ngữ Ấn Độ. Tối thiểu phải hỗ trợ tiếng Hindi và tiếng Anh, sau đó bổ sung các ngôn ngữ khu vực dựa trên phân bố lưu lượng truy cập.
Chặn mặc định tất cả tracker không thiết yếu. Chỉ tải quảng cáo, công cụ phân tích và SDK bên thứ ba sau khi đã có consent khẳng định.
Phân tách rõ ràng các mục đích. Không gộp quảng cáo, phân tích và cá nhân hóa vào một hành động "chấp nhận" duy nhất nếu người dùng có thể hợp lý mong muốn consent cho một số mục đích nhưng không cho mục đích khác.
Ghi log sự kiện consent và rút consent kèm mốc thời gian, phiên bản thông báo chính xác đã hiển thị và ngôn ngữ mà người dùng chọn, để bạn có thể chứng minh tuân thủ khi cơ quan quản lý yêu cầu.
Cung cấp một liên kết tùy chọn hiển thị rõ ràng trên mọi trang, cho phép người dùng xem lại, cập nhật hoặc rút lại consent bất cứ lúc nào.

DPDP so với GDPR: những khác biệt thực tiễn

Không có căn cứ "lợi ích hợp pháp". DPDP Act không công nhận lợi ích hợp pháp (legitimate interests) như một căn cứ pháp lý chung theo cách GDPR đang làm. Consent vì thế mang trọng lượng lớn hơn, và thiết kế UX trở nên quan trọng hơn.
Quy định nghiêm ngặt hơn về trẻ em. Độ tuổi consent số là 18, không phải 13 hay 16, và việc quảng cáo nhắm mục tiêu đến trẻ vị thành niên bị cấm một cách rõ ràng.
Yêu cầu thông báo đa ngôn ngữ là điểm riêng của DPDP Act và không thể đáp ứng chỉ bằng một banner tiếng Anh.
Nghĩa vụ đối với Significant Data Fiduciary tạo ra một tầng tuân thủ thứ hai cho các đơn vị có rủi ro cao, điều mà GDPR không có đối trọng trực tiếp.

Kết luận

DPDP Act đưa Ấn Độ bước vào bức tranh bảo vệ dữ liệu toàn cầu hiện đại với một sắc thái riêng — ưu tiên consent, thiết kế đa ngôn ngữ ngay từ đầu, và bảo vệ trẻ vị thành niên ở mức độ hiếm thấy. Các nhà xuất bản và nền tảng đã vận hành CMP đạt chuẩn GDPR có lợi thế xuất phát, nhưng vẫn cần điều chỉnh nội dung banner, hỗ trợ ngôn ngữ, cách xử lý độ tuổi và ghi log để đáp ứng yêu cầu của DPDP. Xem Ấn Độ như "một khu vực GDPR nữa" là con đường nhanh nhất dẫn bạn đến trước Data Protection Board.