Ngày 26/6/2025, Việt Nam chính thức ban hành Luật Bảo Vệ Dữ Liệu Cá Nhân (Luật số 91/2025/QH15), có hiệu lực từ 01/7/2026. Đây là một cột mốc quan trọng trong tiến trình chuyển đổi số quốc gia — thay thế Nghị định 13/2023 và thiết lập khung pháp lý toàn diện quy định cách thức thu thập, lưu trữ và sử dụng dữ liệu cá nhân.
Đối với các doanh nghiệp, đặc biệt trong lĩnh vực marketing, cá nhân hoá, bán hàng và chăm sóc khách hàng, đây không chỉ là một thay đổi pháp lý — mà là bước ngoặt buộc doanh nghiệp phải tái cấu trúc cách quản trị và khai thác dữ liệu khách hàng một cách có trách nhiệm và minh bạch hơn.
Vì Sao Luật Này Quan Trọng Với Mọi Doanh Nghiệp Dựa Trên Dữ Liệu
Luật PDP áp dụng cho mọi tổ chức xử lý dữ liệu cá nhân của công dân Việt Nam, dù dữ liệu đó được xử lý trong nước hay ở nước ngoài.
Luật phân loại hai nhóm dữ liệu chính:
- Dữ liệu cá nhân cơ bản: họ tên, thông tin liên hệ, số định danh, v.v.
- Dữ liệu cá nhân nhạy cảm: sinh trắc học, sức khỏe, tài chính, vị trí, tín ngưỡng hoặc dữ liệu của trẻ em.
Trong hầu hết doanh nghiệp, các loại dữ liệu này tồn tại rải rác trong nhiều hệ thống như:
- Data Warehouse (Kho dữ liệu): lưu trữ dữ liệu lịch sử và vận hành phục vụ phân tích.
- CRM (Quản lý quan hệ khách hàng): quản lý hồ sơ khách hàng, tương tác và lịch sử giao dịch.
- CDP (Nền tảng dữ liệu khách hàng): hợp nhất dữ liệu hành vi và giao dịch để phục vụ cá nhân hóa.
- CXP / CEP (Nền tảng trải nghiệm hoặc tương tác khách hàng): triển khai chiến dịch tự động hóa và hành trình cá nhân hóa.
Tất cả các hệ thống này đều lưu trữ, xử lý và kích hoạt dữ liệu cá nhân — do đó đều phải tuân thủ các quy định của Luật PDP.
Quy Tắc Vàng: Minh Bạch & Đồng Ý
Sự đồng ý của người dùng (consent) là trung tâm của Luật PDP. Doanh nghiệp không thể dựa vào các tuyên bố đồng ý chung chung hoặc ngầm hiểu. Luật yêu cầu đồng ý rõ ràng, cụ thể cho từng mục đích xử lý dữ liệu.
Để tuân thủ:
- Trình bày rõ loại dữ liệu được thu thập và mục đích sử dụng (ví dụ: đăng ký nhận bản tin, remarketing, chương trình khách hàng thân thiết).
- Thu thập đồng ý chủ động (opt-in) — không được dùng hộp tích sẵn hay sự im lặng mặc định.
- Cho phép rút lại sự đồng ý bất kỳ lúc nào, dễ dàng và rõ ràng.
- Áp dụng xác thực điện tử với dữ liệu nhạy cảm.
💡 Gợi ý: Rà soát mọi điểm chạm khách hàng — từ form website, đăng ký trong ứng dụng, đến việc nhập dữ liệu vào CRM — để đảm bảo việc ghi nhận và lưu trữ consent chính xác.
Mỗi nền tảng (CRM, CDP, CEP) cần lưu vết lịch sử đồng ý, và hỗ trợ các yêu cầu “xóa dữ liệu” hoặc “rút lại sự đồng ý” theo đúng quy định.
Cá Nhân Hóa Có Trách Nhiệm: Khi Quyền Riêng Tư Là Trung Tâm
Marketing hiện đại dựa vào cá nhân hóa, nhưng dưới khuôn khổ PDP, việc này cần được thực hiện một cách tôn trọng và minh bạch
| Nên làm: | Không nên: |
| 1. Sử dụng dữ liệu first-party thu thập trực tiếp từ khách hàng có đồng ý rõ ràng. 2. Minh bạch về logic theo dõi và phân khúc (ví dụ: “Chúng tôi dùng dữ liệu hành vi để đề xuất ưu đãi phù hợp.”) 3. Cho phép khách hàng quản lý tùy chọn nhận thông tin trong CRM hoặc ứng dụng. | 1. Kết hợp dữ liệu từ nhiều hệ thống (CRM + CDP + nền tảng quảng cáo) nếu không có chuỗi đồng ý hợp lệ. 2. Thực hiện profiling hoặc lookalike modeling trên dữ liệu nhạy cảm (sức khỏe, tài chính) nếu chưa có DPIA phê duyệt. 3. Lưu trữ dữ liệu cá nhân “không hoạt động” quá lâu — phải có chính sách lưu trữ và xóa dữ liệu rõ ràng. |
Khi tuân thủ đúng, cá nhân hóa không bị hạn chế — mà trở nên đáng tin cậy hơn, giúp khách hàng sẵn lòng chia sẻ dữ liệu chính xác hơn.
Kết Nối Hệ Thống Dữ Liệu Một Cách Có Trách Nhiệm
Trong doanh nghiệp, dữ liệu cá nhân thường luân chuyển qua nhiều tầng:
| Hệ thống | Chức năng chính | Dữ liệu phổ biến | Trọng tâm tuân thủ |
|---|---|---|---|
| CRM | Quản lý khách hàng, leads, giao dịch | Họ tên, email, điện thoại, lịch sử tương tác | Theo dõi consent, giới hạn mục đích xử lý |
| CDP | Hợp nhất dữ liệu từ nhiều điểm chạm | Hành vi, giao dịch, sự kiện | Giảm thiểu dữ liệu, ẩn danh khi có thể |
| CEP / CXP | Triển khai chiến dịch & trải nghiệm cá nhân hóa | Phân khúc, sở thích, phản hồi chiến dịch | Đảm bảo tính chính xác & đồng ý trước khi kích hoạt |
| Data Warehouse | Kho tổng hợp phục vụ phân tích & ra quyết định | Dữ liệu tổng hợp nhiều bộ phận | Bảo mật, phân quyền truy cập, chính sách lưu trữ |
Tuân thủ không chỉ là trách nhiệm của từng nền tảng riêng lẻ, mà của toàn bộ hệ sinh thái dữ liệu kết nối với nhau.
Doanh nghiệp cần đảm bảo:
- Mỗi nền tảng đều có bản đồ dữ liệu và mục đích xử lý rõ ràng.
- Các luồng tích hợp (ví dụ CRM → CDP → CEP) truyền kèm cờ consent và logic bảo vệ dữ liệu.
- Khi xuất dữ liệu cho phân tích hoặc AI, thông tin định danh cá nhân (PII) phải được mã hóa hoặc ẩn danh hóa.
Cách các hệ thống này kết nối và vận hành quyết định không chỉ hiệu quả cá nhân hóa, mà còn mức độ an toàn trong quản trị niềm tin khách hàng
Quản Trị Dữ Liệu: Từ Nghĩa Vụ Thành Tài Sản Tiếp Thị
Luật mới yêu cầu doanh nghiệp thiết lập cơ chế quản trị dữ liệu nội bộ rõ ràng:
- Bổ nhiệm Cán bộ bảo vệ dữ liệu (DPO) hoặc người phụ trách quản trị dữ liệu.
- Duy trì hồ sơ nội bộ về xử lý dữ liệu và nhật ký đồng ý.
- Thực hiện Đánh giá tác động bảo vệ dữ liệu (DPIA) đối với dữ liệu nhạy cảm, profiling, hoặc truyền dữ liệu xuyên biên giới.
- Báo cáo sự cố rò rỉ dữ liệu trong vòng 72 giờ cho Bộ Công An.
Với các lãnh đạo marketing, điều này có nghĩa: tuân thủ và bảo mật không còn là việc của IT — mà là một phần trong chiến lược trải nghiệm khách hàng (CX).
Khi dữ liệu được quản trị chuẩn, sạch và có thể kiểm chứng, mọi chiến dịch marketing sẽ trở nên minh bạch và hiệu quả hơn.
Biến Tuân Thủ Thành Lợi Thế Cạnh Tranh
Tuân thủ không chỉ là danh sách kiểm tra, mà là chiến lược xây dựng niềm tin.
Doanh nghiệp tôn trọng quyền riêng tư của khách hàng sẽ giành được lòng trung thành lâu dài.
Cách biến điều đó thành lợi thế:
- Minh bạch: Thông báo rõ ràng dữ liệu được thu thập và mục đích.
- Kiểm toán luồng dữ liệu: Theo dõi cách dữ liệu cá nhân di chuyển giữa CRM, CDP và CEP.
- Đào tạo đội ngũ: Đảm bảo marketing, sales, CS hiểu rõ quy tắc consent và retention.
- Ghi chép đầy đủ: Lưu trữ DPIA, sơ đồ luồng dữ liệu, quy trình phản ứng sự cố.
Người tiêu dùng ngày càng nhận thức rõ về quyền riêng tư — và thương hiệu đặt đạo đức lên đầu sẽ là bên được tin tưởng và gắn bó lâu dài.
Luật PDP mới đặt ra cho doanh nghiệp Việt Nam một câu hỏi cốt lõi: “Liệu doanh nghiệp của bạn có thể đổi mới và phát triển — trong khi vẫn tôn trọng quyền riêng tư của khách hàng?” Những doanh nghiệp làm được điều đó sẽ không chỉ tuân thủ, mà còn xây dựng được niềm tin bền vững. Bởi trong nền kinh tế dữ liệu mới, niềm tin chính là hình thức cá nhân hóa mạnh mẽ nhất.
Nguồn tham khảo: https://www.vietnam-briefing.com/news/vietnam-law-on-personal-data-protection-latest-developments-and-insights
Về Tvia Collab
Tvia Collab giúp doanh nghiệp xây dựng chiến lược marketing, CRM và quản trị dữ liệu cân bằng giữa tuân thủ, cá nhân hóa và niềm tin khách hàng. Chúng tôi kết nối các nền tảng tự động hoá marketing, CDP, CEP, Loyalty và các hệ thống martech khác để tạo nên hành trình khách hàng ý nghĩa, tôn trọng quyền riêng tư và thúc đẩy tăng trưởng bền vững.
Đặt lịch để được tư vấn ngay
Tvia Collab – Martech Solutions Consulting
📍Văn phòng: Lầu 02, Số 06 Võ Văn Kiệt, Phường Bến Thành, thành phố Hồ Chí Minh, Việt Nam
🌐 Website: https://tviacollab.com
📞 Hotline: 0933 403 565
📧 Email: contact@tviacollab.com