Cấu trúc Pháp luật Bảo vệ Dữ liệu của Việt Nam năm 2026

Chế độ pháp lý của Việt Nam hiện nay là một hệ thống hai tầng: PDPD từ năm 2023 và PDPL từ năm 2026. Cả hai đều có hiệu lực và các nhà xuất bản cần hiểu tầng nào điều chỉnh nghĩa vụ nào.

PDPD — Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân

Nghị định này đã đưa ra định nghĩa toàn diện đầu tiên của Việt Nam về dữ liệu cá nhân, danh mục quyền của chủ thể dữ liệu, các yêu cầu về đồng ý, quy tắc chuyển dữ liệu xuyên biên giới, và nghĩa vụ cơ bản về Đánh giá Tác động Xử lý Dữ liệu Cá nhân (DPIA). Nghị định vẫn còn hiệu lực và tiếp tục điều chỉnh các chi tiết vận hành.

PDPL — Có hiệu lực từ năm 2026

PDPL nâng khung pháp lý lên thành luật chính thức với mức phạt cao hơn và phạm vi áp dụng rộng hơn. Luật củng cố mô hình lấy đồng ý làm trung tâm, tăng cường quyền của chủ thể dữ liệu, và mở rộng thẩm quyền thực thi của Bộ Công an (MPS), vẫn là cơ quan quản lý chính. PDPL cũng đưa ra các quy tắc rõ ràng hơn về dữ liệu cá nhân nhạy cảm, ra quyết định tự động, và xử lý dữ liệu của người chưa thành niên.

Đối tượng Áp dụng

Pháp luật áp dụng với bất kỳ hoạt động xử lý dữ liệu cá nhân của người Việt Nam nào, bất kể đơn vị xử lý đặt trụ sở ở đâu. Nhà xuất bản có trụ sở tại Mỹ phục vụ người dùng Việt Nam qua trang web được bản địa hóa, hay người mua theo phương thức lập trình đấu thầu trên kho quảng cáo Việt Nam đều nằm trong phạm vi áp dụng. Phạm vi ngoài lãnh thổ này phản chiếu mô hình GDPR và là một trong những yếu tố quyết liệt nhất của khung pháp lý Việt Nam.

Dữ liệu Cá nhân Được Hiểu là Gì

Định nghĩa về dữ liệu cá nhân của Việt Nam khá rộng và bám sát tiêu chuẩn quốc tế. Dữ liệu cá nhân là bất kỳ thông tin nào xác định hoặc có thể xác định một cá nhân cụ thể, và được chia thành hai loại có tầm quan trọng lớn đối với việc đồng ý cookie.

Dữ liệu Cá nhân Cơ bản

Dữ liệu cá nhân cơ bản bao gồm tên, ngày sinh, số giấy tờ tùy thân, thông tin liên hệ, mã nhận dạng thiết bị, địa chỉ IP, và dữ liệu hoạt động trực tuyến. Hầu hết dữ liệu được thu thập qua cookie đều thuộc loại này, bao gồm mã nhận dạng quảng cáo, ID phiên và hồ sơ hành vi được xây dựng từ lịch sử duyệt web.

Dữ liệu Cá nhân Nhạy cảm

Dữ liệu cá nhân nhạy cảm bao gồm quan điểm chính trị và tôn giáo, thông tin sức khỏe, dữ liệu di truyền, dữ liệu sinh trắc học, xu hướng tính dục, tiền án tiền sự, dữ liệu tài chính, và — đặc biệt quan trọng — dữ liệu vị trí có thể dùng để xác định một cá nhân cụ thể. Dữ liệu nhạy cảm kích hoạt các yêu cầu đồng ý nghiêm ngặt nhất, bao gồm đồng ý cụ thể, riêng biệt, và trong một số trường hợp phải bằng văn bản hoặc có thể xác minh điện tử.

Tại sao Điều này Quan trọng với Cookie

Một cookie chỉ thu thập mã nhận dạng phiên cơ bản là dữ liệu cá nhân cơ bản. Một cookie cung cấp dữ liệu cho đối tượng quảng cáo dựa trên vị trí — phổ biến trong các chiến dịch retargeting và nhắm mục tiêu theo địa lý — có khả năng chạm đến dữ liệu cá nhân nhạy cảm ngay khi vị trí trở nên có khả năng nhận dạng. Cấu hình CMP phải tách biệt các mục đích này.

Đồng ý Cookie theo Pháp luật Việt Nam

Việt Nam theo mô hình đồng ý opt-in. Không có phương án dự phòng chỉ thông báo và lựa chọn đối với các cookie thu thập dữ liệu cá nhân, và tiêu chuẩn để đồng ý hợp lệ tương đương tiêu chuẩn GDPR.

Bốn Yêu cầu về Đồng ý

Đồng ý theo pháp luật Việt Nam phải:

• Cụ thể — gắn với một mục đích xử lý được xác định rõ ràng, không phải đồng ý chung chung
• Có thông tin đầy đủ — chủ thể dữ liệu hiểu dữ liệu nào được xử lý, tại sao, ai nhận, và trong bao lâu
• Tự nguyện — không có ô được tích sẵn, không có tường rào buộc đồng ý hoặc rời đi đối với xử lý không thiết yếu
• Có thể biểu đạt và rút lại — người dùng có thể đồng ý và rút lại đồng ý qua một cơ chế rõ ràng

CMP Tuân thủ Trông như thế nào

Một CMP được cấu hình cho lưu lượng truy cập Việt Nam năm 2026 nên trình bày:

• Banner hiển thị trước khi bất kỳ cookie hoặc trình theo dõi không thiết yếu nào kích hoạt, mặc định bằng tiếng Việt (Tiếng Việt) cho người dùng Việt Nam
• Các nút Đồng ý, Từ chối, và Tùy chỉnh riêng biệt, có độ nổi bật hình ảnh ngang nhau — không có mẫu tối
• Kiểm soát chi tiết cho ít nhất các mục đích sau: phân tích, quảng cáo, cá nhân hóa, chuyển dữ liệu xuyên biên giới, và bất kỳ xử lý nào thuộc danh mục nhạy cảm như vị trí chính xác
• Cơ chế thường trực, dễ tìm để thay đổi hoặc rút lại đồng ý sau khi đã lựa chọn ban đầu
• Chính sách quyền riêng tư bằng tiếng Việt với nội dung công khai rõ ràng về các đơn vị xử lý, danh mục dữ liệu, thời hạn lưu giữ, và quyền của người dùng

Hồ sơ Đồng ý

Đơn vị xử lý phải lưu giữ hồ sơ về đồng ý — ai đã đồng ý, khi nào, với nội dung gì, qua giao diện nào. Các hành động thực thi pháp luật tại Việt Nam đã nêu đến việc thiếu hoặc không thể xác minh nhật ký đồng ý, và PDPL chính thức hóa nghĩa vụ này. Một CMP không tạo ra nhật ký đồng ý có thể xuất và có dấu thời gian là không tuân thủ.

Chuyển Dữ liệu Xuyên Biên giới — Phần Khó nhất

Chế độ chuyển dữ liệu xuyên biên giới của Việt Nam là một trong những chế độ đòi hỏi nhiều nhất trong khu vực và là yếu tố mà hầu hết các nhà xuất bản nước ngoài gặp khó khăn nhất.

Đánh giá Tác động Chuyển dữ liệu

Trước khi chuyển dữ liệu cá nhân của người Việt Nam ra nước ngoài — bao gồm việc gửi mã nhận dạng thu được từ cookie đến sàn giao dịch quảng cáo hoặc nhà cung cấp phân tích ở nước ngoài — đơn vị kiểm soát phải chuẩn bị một Đánh giá Tác động Chuyển dữ liệu. Đánh giá phải ghi lại mục đích, danh mục dữ liệu, quốc gia và người nhận đích, các biện pháp bảo vệ kỹ thuật và tổ chức, cũng như căn cứ pháp lý cho việc chuyển dữ liệu.

Nộp cho Bộ Công an

Đánh giá phải được nộp cho Bộ Công an trong vòng 60 ngày kể từ khi bắt đầu xử lý. Bộ Công an có quyền đình chỉ việc chuyển dữ liệu xuyên biên giới nếu đánh giá không đạt yêu cầu hoặc nếu thẩm quyền của quốc gia đích bị coi là không đủ.

Hệ quả Thực tiễn cho Nhà xuất bản

Một chuỗi quảng cáo lập trình điển hình định tuyến dữ liệu người dùng qua hàng chục nhà cung cấp ở nước ngoài chỉ trong vài mili giây. Mỗi luồng dữ liệu trong số đó, về mặt pháp lý, là một lần chuyển dữ liệu cá nhân của người Việt Nam xuyên biên giới. Thực tế năm 2026 là hầu hết các nhà xuất bản nước ngoài đang hoặc nộp đánh giá tổng hợp cho toàn bộ danh sách nhà cung cấp, hoặc cắt giảm danh sách nhà cung cấp để giảm gánh nặng đánh giá. Không phương án nào là đơn giản, và Bộ Công an đã phát tín hiệu rằng sẽ bắt đầu thực thi tích cực hơn đối với các luồng dữ liệu xuyên biên giới trong năm 2026.

Quyền của Chủ thể Dữ liệu

PDPL hợp nhất và tăng cường các quyền được cấp theo Nghị định. Chủ thể dữ liệu tại Việt Nam có quyền:

• Được thông báo về việc xử lý dữ liệu của mình
• Truy cập dữ liệu đang được xử lý
• Sửa đổi dữ liệu không chính xác
• Xóa dữ liệu khi việc xử lý không còn được biện minh
• Hạn chế xử lý trong các hoàn cảnh nhất định
• Rút lại đồng ý dễ dàng như khi đã cho
• Phản đối việc ra quyết định tự động tạo ra hệ quả đáng kể
• Khiếu nại lên Bộ Công an

Thời hạn Phản hồi

Đơn vị kiểm soát phải phản hồi các yêu cầu của chủ thể dữ liệu trong vòng 72 giờ trong hầu hết các trường hợp — một khung thời gian chặt chẽ hơn đáng kể so với tiêu chuẩn 30 ngày của GDPR. Sẵn sàng vận hành để đáp ứng khung thời gian này là một trong những khoảng trống tuân thủ phổ biến nhất đối với các nhà xuất bản nước ngoài và đòi hỏi hệ thống công cụ và quy trình nhanh hơn so với thông lệ ở các khu vực khác.

Quy định Đặc biệt về Người chưa Thành niên

PDPL đưa ra các biện pháp bảo vệ riêng đối với việc xử lý dữ liệu cá nhân của người chưa thành niên. Đồng ý xử lý dữ liệu của người dưới 15 tuổi phải được cha mẹ hoặc người giám hộ hợp pháp cấp. Xử lý dữ liệu của những người từ 15 đến 18 tuổi yêu cầu sự đồng ý của bản thân người chưa thành niên, nhưng với nghĩa vụ minh bạch và thận trọng cao hơn. Giao diện đồng ý cookie trên các trang thu hút đáng kể đối tượng dưới 18 tuổi cần có luồng xử lý có ý thức về độ tuổi, điều mà ít nhà xuất bản nước ngoài đã xây dựng theo mặc định.

Chế tài và Thực thi

PDPL nâng đáng kể mức trần phạt hành chính. Các chế tài bao gồm:

• Phạt tiền lên đến 5 phần trăm doanh thu hàng năm toàn cầu đối với các vi phạm nghiêm trọng liên quan đến dữ liệu cá nhân nhạy cảm hoặc vi phạm mang tính hệ thống
• Đình chỉ hoạt động xử lý dữ liệu
• Bắt buộc dừng các chuyển dữ liệu xuyên biên giới
• Công khai vi phạm
• Trách nhiệm hình sự đối với các trường hợp nghiêm trọng, bao gồm mua bán dữ liệu cá nhân trái pháp luật

Xu hướng Thực thi

Bộ Công an tương đối im lặng trong năm 2023 và đầu năm 2024 khi Nghị định dần được áp dụng, nhưng hoạt động thực thi đã tăng tốc trong năm 2025 và tiếp diễn sang năm 2026. Các nhà xuất bản nước ngoài đã bị nhắc tên trong một số vụ việc được công khai, hầu hết đều xoay quanh một trong ba vấn đề: đồng ý thiếu hoặc không đủ, chưa nộp đánh giá chuyển dữ liệu xuyên biên giới, hoặc không phản hồi yêu cầu của chủ thể dữ liệu trong khung thời gian 72 giờ.

Danh sách Kiểm tra Kiểm toán cho Lưu lượng Truy cập Việt Nam năm 2026

• Banner CMP được hiển thị bằng tiếng Việt cho người dùng Việt Nam, với Đồng ý, Từ chối và Tùy chỉnh có độ nổi bật ngang nhau
• Mục đích đồng ý chi tiết và tách biệt các xử lý nhạy cảm như vị trí chính xác
• Nhật ký đồng ý có dấu thời gian, có thể xuất, và được lưu giữ trong suốt thời gian xử lý cộng thêm khoảng cách để kiểm toán
• Chính sách quyền riêng tư có sẵn bằng tiếng Việt với đầy đủ thông tin về các đơn vị xử lý, thời hạn lưu giữ và quyền
• Đánh giá Tác động Chuyển dữ liệu đã được nộp cho Bộ Công an đối với mọi luồng dữ liệu xuyên biên giới đang diễn ra
• Quy trình xử lý yêu cầu của chủ thể dữ liệu có thể phản hồi trong vòng 72 giờ từ đầu đến cuối
• Luồng đồng ý có ý thức về độ tuổi đã được áp dụng cho đối tượng có người chưa thành niên
• Danh sách nhà cung cấp đã được xem xét về mức độ cần thiết, loại bỏ các nhà cung cấp không sử dụng hoặc dư thừa để thu hẹp phạm vi dữ liệu xuyên biên giới

Triển vọng năm 2026

Xu hướng quản lý của Việt Nam rõ ràng. PDPD đã tạo lập khung pháp lý. PDPL củng cố khung đó. Hoạt động thực thi đang mở rộng. Đối với các nhà xuất bản và nhà quảng cáo đã xem Việt Nam là thị trường có yêu cầu nhẹ nhàng hơn, năm 2026 là năm mà cách tiếp cận đó trở nên tốn kém. Tin tốt là một chuỗi đồng ý hiện đại đạt chuẩn GDPR đáp ứng phần lớn những gì cần thiết — các khoảng trống thường là khung thời gian 72 giờ phản hồi, nộp Đánh giá Tác động Chuyển dữ liệu, và bản địa hóa tiếng Việt cho CMP và chính sách quyền riêng tư. Những khoảng trống đó mang tính vận hành, không phải kiến trúc, và có thể được lấp đầy trong vài tuần thay vì vài quý. Các nhà xuất bản lấp đầy những khoảng trống này trước khi Bộ Công an gõ cửa sẽ không nhận ra sự chuyển đổi. Những ai chờ đợi thì sẽ nhận ra.