Nguy cơ phạm pháp khi xử lý dữ liệu người tiêu dùng

Trường hợp khách sạn Marins Playa S.A. tại Tây Ban Nha là một ví dụ. Năm 2022, khách sạn này đã bị phạt 30.000 euro vì quét hộ chiếu và sử dụng ảnh chân dung của khách mà không có sự đồng ý rõ ràng. Mặc dù được phép thu thập thông tin cho mục đích an ninh, nhưng việc sử dụng hình ảnh cho xác minh thanh toán lại vi phạm quy định GDPR (một bộ luật của Liên minh Châu Âu (EU) về bảo vệ dữ liệu cá nhân và quyền riêng tư cho tất cả các cá nhân trong EU). Mới đây, Công ty Shein (Trung Quốc) vào tháng 7/2025 bị đề xuất phạt 150 triệu euro tại Pháp vì sử dụng cookie theo dõi người dùng mà không có sự chấp thuận. Hay hãng British Airways (Vương quốc Anh) bị tin tặc tấn công, làm rò rỉ dữ liệu của 430.000 khách hàng và bị phạt 20 triệu bảng, phải dàn xếp bồi thường tập thể cho trên 22.000 khách hàng bị ảnh hưởng.

Các vụ việc này cho thấy việc thu thập – xử lý – lưu trữ và sử dụng thông tin người tiêu dùng đang bị lạm dụng hoặc thiếu kiểm soát tại nhiều nơi, dù đó là các công ty lớn hay doanh nghiệp vừa và nhỏ.

Tại Việt Nam, mặc dù không được coi là tài sản, song Luật Bảo vệ dữ liệu cá nhân năm 2025 đã nhấn mạnh quyền kiểm soát dữ liệu. Điều này phù hợp với xu hướng quốc tế – dữ liệu cá nhân là quyền riêng tư được bảo vệ, không phải hàng hóa để trao đổi tự do.

TS. Lê Nết (Công ty luật LNT & Partners) chỉ ra những trách nhiệm và rủi ro mới cho doanh nghiệp khi triển khai Luật Bảo vệ dữ liệu cá nhân năm 2025. Trong đó, Điều 7 quy định rõ: Mọi hành vi mua bán dữ liệu cá nhân – dù là cố ý hay vô tình, vì mục đích thương mại hay phi thương mại – đều bị cấm tuyệt đối, trừ trường hợp luật có quy định đặc biệt.

Dữ liệu cá nhân là quyền riêng tư được bảo vệ, không phải hàng hóa để trao đổi tự do

Từ 1/1/2026, các nền tảng mạng xã hội không được yêu cầu ảnh/video giấy tờ tùy thân để xác thực tài khoản; Không được nghe lén, đọc tin nhắn, ghi âm mà không có sự đồng ý; Phải cung cấp tùy chọn từ chối theo dõi, không thu thập cookies. Đây là sự thay đổi căn bản, đặt người dùng vào trung tâm – người dùng có quyền được biết, được đồng ý và được phản đối.

Từ những quy định này, TS. Lê Nết chỉ ra doanh nghiệp có thể vô tình vi phạm luật. Ví dụ như: Thu thập thông tin khách hàng không có sự đồng ý rõ ràng; Lưu trữ hoặc phân tích dữ liệu không được công bố trong chính sách bảo mật; Chuyển dữ liệu ra nước ngoài qua nền tảng trung gian mà không đảm bảo quy trình pháp lý.

Những hành vi tưởng chừng “vô hại” có thể dẫn đến hàng tỷ đồng tiền phạt, mất uy tín thương hiệu, thậm chí đối mặt với kiện tụng.

Giám đốc Công ty TNHH Nghiên cứu tư vấn AP Phạm Quế Anh chỉ ra, Luật Bảo vệ quyền lợi người tiêu dùng của Việt Nam (2023, 2025) quy định, thông tin người tiêu dùng không chỉ bao gồm dữ liệu cá nhân như tên tuổi, địa chỉ, tài khoản… mà còn bao gồm: Thông tin hành vi thói quen tìm kiếm, tiêu dùng, phương thức thanh toán; Dữ liệu sinh trắc học: dấu vân tay, khuôn mặt, giọng nói. Thông tin cảm xúc, tương tác xã hội, thậm chí cả xu hướng chính trị hoặc niềm tin tôn giáo.

Chúng ta đang bước vào kỷ nguyên mà mọi “dấu vết số” của người tiêu dùng đều có thể được thu thập, phân tích và sử dụng – với cả mặt tích cực và tiêu cực. Trong bối cảnh đó, bà Quế Anh khuyến cáo một thực trạng khác đang nổi lên là các hành vi thao túng người tiêu dùng, sử dụng thông tin thu thập được để dẫn dắt hành vi tiêu dùng một cách thiếu công bằng như tạo áp lực giả tạo, quảng cáo sai sự thật, gây nhầm lẫn trong hoàn tiền – đổi trả; thiết kế website theo các “dark patterns”, tấn công vào nhóm người dễ bị tổn thương như trẻ em, người già… Những hành vi này không chỉ phi đạo đức mà còn bị cấm theo các luật như Đạo luật Dịch vụ số của EU (DSA) với mức phạt rất cao.

Hiện nay, nhiều quốc gia – bao gồm cả Việt Nam – đã có quy định rất cụ thể và chặt chẽ về việc bảo vệ thông tin người tiêu dùng, chẳng hạn: Luật Bảo vệ quyền lợi người tiêu dùng (2023, 2025) của Việt Nam (các Điều 15–20); Quy định GDPR và ePrivacy Directive tại EU hay các quy định về xử lý cookies, quảng cáo, và chuyển giao dữ liệu xuyên biên giới. Đáng chú ý, nhiều quy định có hiệu lực ngoài lãnh thổ (extra-territorial), nghĩa là doanh nghiệp Việt Nam có thể bị xử lý nếu vi phạm quyền riêng tư người tiêu dùng tại các nước khác.

Vậy làm thế nào để phòng tránh rủi ro? Bà Quế Anh khuyến nghị, doanh nghiệp cần minh bạch với người tiêu dùng, nêu rõ mục đích, thời hạn, cách thức thu thập và sử dụng thông tin. Không được ép buộc người tiêu dùng đồng ý “ẩn” trong điều kiện giao dịch. Cùng với đó, phải làm rõ giới hạn sử dụng, không lưu trữ quá thời gian cần thiết. Không chuyển giao dữ liệu nếu không có sự đồng ý hoặc căn cứ pháp luật. Mọi dữ liệu phải được bảo vệ khỏi nguy cơ rò rỉ, tấn công mạng, truy cập trái phép. Truyền thông phải rõ ràng, tránh dùng các chính sách dài dòng, ngôn ngữ pháp lý rắc rối gây khó hiểu và phải thông báo kịp thời cho người tiêu dùng khi có sự cố xảy ra.

TS.Lê Nết chỉ ra, để thích nghi và tuân thủ, doanh nghiệp cần rà soát chính sách thu thập dữ liệu, trong đó cần thể hiện rõ ràng, dễ hiểu, minh bạch với người dùng. Xây dựng quy trình xin ý kiến đồng ý trước khi thu thập, xử lý hoặc chia sẻ dữ liệu. Đào tạo nhân viên về pháp luật bảo vệ dữ liệu và cách phản ứng khi có rủi ro. Ký kết hợp đồng rõ ràng với bên thứ 3 xử lý dữ liệu, đảm bảo có điều khoản bảo vệ thông tin. Cập nhật hệ thống bảo mật công nghệ như mã hóa dữ liệu, thiết lập quyền truy cập giới hạn, kiểm tra thường xuyên.