Trong thời đại quảng cáo số bùng nổ, việc thu thập – phân tích – sử dụng thông tin cá nhân của người dùng được xem là “dữ liệu vàng” cho các doanh nghiệp. Từ email, số điện thoại, hành vi truy cập đến sở thích tiêu dùng…, tất cả đều có thể được dùng để tối ưu chiến dịch quảng cáo online.   

Tuy nhiên, việc sử dụng dữ liệu cá nhân cũng kéo theo hàng loạt rủi ro pháp lý, đặc biệt khi Việt Nam đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và đang tiếp tục hoàn thiện các quy định về quyền riêng tư trong môi trường số (2024–2025). Cơ quan quản lý ngày càng siết chặt các hành vi thu thập trái phép, quảng cáo quấy rối, sử dụng thông tin không có sự đồng ý của chủ thể.

Bài viết dưới đây giúp bạn nắm rõ các quy định pháp luật mới nhất, ranh giới được làm – không được làm, đồng thời hướng dẫn doanh nghiệp, nhà quảng cáo và cá nhân chạy ads cách sử dụng dữ liệu cá nhân đúng luật, tránh bị xử phạt lên đến 100 – 180 triệu đồng hoặc đình chỉ hoạt động.

1.Thông tin cá nhân và nguyên tắc sử dụng trong quảng cáo online

1.1. Thông tin cá nhân là gì?

Theo Điều 2 Nghị định 13/2023/NĐ-CP, thông tin cá nhân là bất kỳ dữ liệu nào dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh hoặc dạng tương tự có khả năng xác định một người cụ thể.

Trong hoạt động quảng cáo online, thông tin cá nhân thường được chia thành hai nhóm:

(1) Thông tin cá nhân cơ bản

Bao gồm:

• Họ tên, ngày sinh, giới tính

• Số điện thoại, email, địa chỉ

• Tài khoản mạng xã hội

• Lịch sử giao dịch, thông tin mua hàng

(2) Thông tin cá nhân nhạy cảm – được bảo vệ ở mức NGHIÊM NGẶT hơn

• Dữ liệu tài chính

• Dữ liệu vị trí

• Nhận dạng sinh trắc học (khuôn mặt, vân tay…)

• Dữ liệu trẻ em

• Thông tin về sức khỏe, đời sống riêng tư

Mọi dữ liệu dùng để xây dựng tệp khách hàng, phân nhóm quảng cáo, remarketing hoặc chạy chiến dịch cá nhân hóa đều được xem là xử lý dữ liệu cá nhân và phải tuân thủ quy định pháp luật.

---

1.2. Nguyên tắc xử lý thông tin cá nhân trong quảng cáo online

Hoạt động thu thập, lưu trữ hoặc sử dụng dữ liệu khách hàng để chạy quảng cáo chỉ hợp pháp khi đáp ứng 05 nguyên tắc bắt buộc theo Điều 3 và Chương II Nghị định 13/2023/NĐ-CP.

---

NT1. Có sự đồng ý rõ ràng của chủ thể dữ liệu

(Cơ sở pháp lý: Điều 11 – 17 Nghị định 13/2023)

• Sự đồng ý phải cụ thể, rõ ràng, minh bạch về mục đích quảng cáo.

• Không được mặc định “ticked sẵn” ô đồng ý.

• Không được ép buộc đổi dữ liệu lấy quyền truy cập dịch vụ.

• Đồng ý có thể rút lại bất cứ lúc nào.

→ Doanh nghiệp bắt buộc phải cung cấp cơ chế opt-in (đồng ý) và opt-out (từ chối/quản lý quảng cáo).

---

NT2. Chỉ thu thập đúng và đủ thông tin cần thiết cho mục đích quảng cáo

(Điều 16 Nghị định 13)
Không được thu thập dư thừa hoặc không liên quan.
Ví dụ: thu CCCD hoặc dữ liệu vị trí GPS để chạy quảng cáo là vi phạm nghiêm trọng.

---

NT3. Công khai và minh bạch về mục đích xử lý dữ liệu

(Điều 13 Nghị định 13; Điều 32 Luật BVQLNTD 2023)
Doanh nghiệp phải thông báo cho người dùng biết:

• Dữ liệu được thu để làm gì (quảng cáo, phân nhóm khách hàng, remarketing…)

• Ai là đơn vị xử lý

• Dữ liệu được lưu trong bao lâu

• Có chia sẻ cho bên thứ ba (Facebook, Google, Agency) hay không

Nếu không minh bạch → được xem là xử lý dữ liệu trái phép.

---

NT4. Bảo mật dữ liệu cá nhân theo tiêu chuẩn an ninh mạng

(Điều 26 – 30 Nghị định 13; Luật An ninh mạng 2018)
Doanh nghiệp phải:

• Mã hóa và ẩn danh dữ liệu quảng cáo

• Hạn chế truy cập nội bộ

• Theo dõi nhật ký thu thập dữ liệu

• Có biện pháp ngăn rò rỉ, bán dữ liệu, truy cập trái phép

Rò rỉ danh sách khách hàng, tệp quảng cáo… có thể bị phạt 80 – 100 triệu đồng và bị đình chỉ hoạt động xử lý dữ liệu.

---

NT5. Đảm bảo quyền của người dùng đối với dữ liệu cá nhân

(Điều 9, 14, 18 Nghị định 13; Điều 34 Luật BVQLNTD 2023)
Doanh nghiệp phải cho phép người dùng:

• Yêu cầu xem dữ liệu mình đang bị thu thập

• Sửa thông tin sai

• Rút lại sự đồng ý

• Xóa dữ liệu

• Khiếu nại khi bị quảng cáo không mong muốn

Thời gian đáp ứng yêu cầu xóa hoặc dừng xử lý dữ liệu: tối đa 72 giờ.

---

1.3. Vì sao các nguyên tắc này đặc biệt quan trọng trong quảng cáo online?

• Quảng cáo số sử dụng dữ liệu hành vi (hành vi web, cookie, lịch sử tìm kiếm).

• Tệp khách hàng có thể bị chia sẻ giữa nhiều bên: sàn TMĐT – website – nền tảng quảng cáo – agency.

• Tiêu chuẩn quốc tế (GDPR, CPRA) đang tác động lớn đến Việt Nam.

• Người dùng có ý thức cao về quyền riêng tư, dễ khiếu nại, tố cáo.

Việc tuân thủ đầy đủ các nguyên tắc trên giúp doanh nghiệp:

• Tránh rủi ro pháp lý – tài chính

• Tăng độ tin cậy thương hiệu

• Nâng cao hiệu quả chiến dịch quảng cáo

• Duy trì hoạt động bền vững trong bối cảnh pháp luật siết chặt từ 2024–2025.

2. Những hành vi vi phạm phổ biến khi sử dụng thông tin cá nhân trong quảng cáo online

Trong thực tế, rất nhiều doanh nghiệp, cá nhân kinh doanh online hoặc các đơn vị chạy quảng cáo đã vô tình (hoặc cố ý) vi phạm quy định về dữ liệu cá nhân. Dưới đây là những hành vi xảy ra phổ biến – và mức độ rủi ro pháp lý tương ứng.

---

2.1. Gửi quảng cáo khi chưa có sự đồng ý của khách hàng (vi phạm Điều 34 Luật BVQLNTD 2023)

Theo Điều 34 Luật Bảo vệ quyền lợi người tiêu dùng 2023, tổ chức/cá nhân không được phép sử dụng thông tin cá nhân để gửi quảng cáo nếu chưa có sự đồng ý trước (opt-in) của người tiêu dùng.

Các hành vi vi phạm thường gặp:

• Gửi tin nhắn SMS quảng cáo sản phẩm/dịch vụ không có đăng ký nhận tin.

• Gọi điện telesales cho người dùng dựa trên danh sách “thu thập từ đâu đó”.

• Gửi email marketing không có cơ chế đồng ý hoặc không có nút “Hủy đăng ký”.

• Gửi tin nhắn qua Zalo, Messenger, Viber… khi khách hàng chưa cho phép.

Chế tài:
Theo Nghị định 15/2020/NĐ-CP (sửa đổi 2022), hành vi gửi quảng cáo trái phép có thể bị phạt 60 – 80 triệu đồng đối với tổ chức.

---

2.2. Thu thập dữ liệu qua website/app nhưng không thông báo rõ ràng (vi phạm Điều 13 Nghị định 13/2023)

Nhiều website gắn:

• Pixel Facebook

• Google Analytics

• Cookie remarketing

• Form thu thập email/số điện thoại

… mà không hề thông báo cho người dùng biết rằng:

• Dữ liệu gì đang được thu?

• Thu để làm gì?

• Có chia sẻ cho bên thứ ba không?

=> Đây được xem là xử lý dữ liệu trái phép.

---

2.3. Mua/bán danh sách khách hàng để chạy quảng cáo (vi phạm nghiêm trọng Điều 28 Nghị định 13/2023)

Hiện nay, tình trạng mua bán “data khách hàng” diễn ra phổ biến, gồm:

• Danh sách số điện thoại

• Email

• Hồ sơ khách hàng từng mua hàng

• Tệp khách hàng từ sàn TMĐT hoặc CRM

=> HÀNH VI NÀY BỊ CẤM HOÀN TOÀN.

Mức phạt:
Theo Nghị định 15/2020/NĐ-CP: 80 – 100 triệu đồng, và có thể bị đình chỉ hoạt động xử lý dữ liệu.

---

2.4. Dùng dữ liệu sai mục đích so với mục đích đã thông báo (vi phạm Điều 10 và Điều 16 Nghị định 13/2023)

Ví dụ phổ biến:

• Thu email để nhận hóa đơn điện tử, nhưng sử dụng để gửi email marketing.

• Thu số điện thoại để giao hàng, nhưng dùng để gọi telesales.

• Thu cookie để phân tích website, nhưng dùng để remarketing quảng cáo.

Đây là hành vi xử lý dữ liệu vượt phạm vi đồng ý → vi phạm pháp luật.

---

2.5. Tự ý chia sẻ dữ liệu cho bên thứ ba khi chưa được phép (vi phạm Điều 17 Nghị định 13/2023)

Các trường hợp phổ biến:

• Chuyển danh sách khách hàng cho agency chạy quảng cáo.

• Upload tệp khách hàng lên Facebook Ads/Google Ads mà không có đồng ý.

• Dùng tool quét dữ liệu trên mạng xã hội để xây tệp quảng cáo.

→ Đây là hành vi chia sẻ dữ liệu trái phép.

Yêu cầu pháp luật:

• Chủ thể dữ liệu phải đồng ý rõ ràng về việc chia sẻ cho bên thứ ba.

• Doanh nghiệp phải ký thỏa thuận xử lý dữ liệu (DPA) nếu thuê agency.

---

2.6. Lạm dụng dữ liệu trẻ em để quảng cáo (vi phạm Điều 20 Nghị định 13/2023 và Luật Trẻ em)

Dữ liệu trẻ em (<16 tuổi) được bảo vệ đặc biệt.

Vi phạm thường gặp:

• Thu thập email, ảnh, video của trẻ em để quảng cáo mà không có sự đồng ý của cha/mẹ.

• Sử dụng dữ liệu trẻ em trong chiến dịch nhắm mục tiêu (target ads).

Mức phạt:
Có thể lên đến 100 triệu đồng, và bị áp dụng biện pháp bổ sung như đình chỉ xử lý dữ liệu.

---

2.7. Không cung cấp cơ chế cho người dùng rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu (vi phạm Điều 14 Nghị định 13/2023)

Các biểu hiện:

• Không có nút “Hủy đăng ký” trong email marketing.

• Không có lựa chọn tắt quảng cáo cá nhân hóa.

• Không phản hồi yêu cầu xóa dữ liệu trong 72 giờ.

Luật Doanh nghiệp và Thành lập Công ty: Cẩm nang Toàn diện cho Nhà Khởi nghiệp

3. Chế tài xử phạt khi sử dụng thông tin cá nhân trái phép trong quảng cáo online 

Pháp luật Việt Nam đang siết chặt quản lý dữ liệu cá nhân, đặc biệt trong lĩnh vực quảng cáo online – nơi dữ liệu được sử dụng với tần suất lớn và có khả năng gây xâm phạm quyền riêng tư nghiêm trọng. Dưới đây là hệ thống xử phạt mà doanh nghiệp, cá nhân cần nắm rõ để tránh rủi ro pháp lý.

---

3.1. Xử phạt hành vi gửi quảng cáo không được phép (spam SMS, email, cuộc gọi)

Hành vi bị xử phạt:

• Gửi email/sms quảng cáo khi chưa có sự đồng ý (opt-in)

• Không cho phép người dùng từ chối quảng cáo (opt-out)

• Gọi điện quảng cáo khi người dùng không yêu cầu

Mức phạt:
👉 60 – 80 triệu đồng (đối với tổ chức).
Ngoài ra, nhà mạng có thể chặn chiều gửi đối với doanh nghiệp vi phạm nhiều lần.

---

3.2. Thu thập thông tin cá nhân trái phép để phục vụ quảng cáo

Hành vi vi phạm:

• Thu cookie, pixel, ID thiết bị mà không thông báo

• Thu email/SDT qua form nhưng không nêu rõ mục đích

• Gắn mã theo dõi (tracking code) bí mật

Mức phạt:
👉 50 – 70 triệu đồng
Doanh nghiệp có thể bị yêu cầu xóa toàn bộ dữ liệu đã thu thập trái phép.

---

3.3. Mua bán – trao đổi dữ liệu khách hàng cho mục đích quảng cáo

Đây là một trong những hành vi vi phạm nghiêm trọng nhất.

Ví dụ vi phạm:

• Mua dữ liệu khách hàng bất động sản, tài chính, bảo hiểm

• Mua tệp điện thoại/email từ bên thứ ba để chạy quảng cáo

• Chia sẻ tệp CRM cho đối tác, agency, môi giới

Mức phạt:
👉 80 – 100 triệu đồng, kèm biện pháp:

• Thu hồi dữ liệu

• Đình chỉ hoạt động xử lý dữ liệu từ 1 – 3 tháng

---

3.4. Sử dụng dữ liệu sai mục đích, vượt phạm vi consent

Hành vi vi phạm:

• Thu dữ liệu để giao dịch nhưng dùng để chạy quảng cáo

• Thu cookie phân tích nhưng dùng để remarketing

• Lợi dụng chương trình khuyến mãi để thu data quảng cáo

Mức phạt:
👉 40 – 60 triệu đồng
Tùy mức độ, doanh nghiệp có thể bị buộc xóa toàn bộ dữ liệu đã xử lý sai mục đích.

---

3.5. Chia sẻ dữ liệu cho bên thứ ba khi chưa được người dùng đồng ý

Hành vi vi phạm:

• Upload tệp khách hàng lên Facebook/Google Ads mà không có sự đồng ý

• Chuyển danh sách khách mua hàng cho agency

• Chia sẻ thông tin khách hàng với bên vận chuyển không có hợp đồng

Mức phạt:
👉 60 – 90 triệu đồng
Ngoài ra, bên thứ ba nhận dữ liệu trái phép cũng có thể bị xử phạt tương đương.

---

3.6. Vi phạm đối với dữ liệu trẻ em (<16 tuổi) trong quảng cáo

Dữ liệu trẻ em được pháp luật bảo vệ mức cao nhất.

Hành vi vi phạm:

• Thu thập email, avatar, video của trẻ em không có sự đồng ý của cha/mẹ

• Nhắm mục tiêu quảng cáo (target ads) vào nhóm trẻ em

• Dùng hình ảnh trẻ em để chạy quảng cáo mà không xin phép người giám hộ

Mức phạt:
👉 70 – 100 triệu đồng, kèm yêu cầu gỡ bỏ quảng cáo ngay lập tức.

---

3.7. Không đáp ứng yêu cầu xóa, sửa, hạn chế xử lý dữ liệu của người dùng

Ví dụ thực tế:

• Người dùng yêu cầu xóa email khỏi danh sách quảng cáo nhưng doanh nghiệp không làm

• Không trả lời yêu cầu dừng quảng cáo

• Không có cơ chế hủy đăng ký email/SMS

Mức phạt:
👉 20 – 40 triệu đồng
Thời hạn để doanh nghiệp đáp ứng yêu cầu hợp lệ: tối đa 72 giờ.

KẾT LUẬN

Doanh nghiệp cần hiểu rằng thông tin cá nhân không phải tài nguyên có thể tùy ý thu thập, phân tích và sử dụng. Mọi hoạt động từ thu thập — sử dụng — chia sẻ — lưu trữ — xử lý dữ liệu đều phải dựa trên sự đồng ý rõ ràng của chủ thể dữ liệu, mục đích cụ thể, phạm vi phù hợp và biện pháp bảo mật đầy đủ.

Bảo vệ dữ liệu cá nhân ngày nay không chỉ là yêu cầu pháp lý mà đã trở thành chuẩn mực đạo đức kinh doanh của mọi doanh nghiệp hướng đến phát triển lâu dài.

Thông tin liên hệ:

Văn phòng Luật sư Châu Đốc – Chi nhánh Thành phố Hồ Chí Minh
📍 Địa chỉ: 92/49/7/20 Nguyễn Thị Chạy, khu phố Chiêu Liêu, Phường Dĩ An, Thành phố Hồ Chí Minh.
📞 Điện thoại: 0987 79 16 32
✉️ Email: luattamduc.law@gmail.com
🌐 Website: luattamduc.vn
📘 Facebook: Luật sư Dân sự
🎵 TikTok: @luatsutuvantphcm
📍 Google Maps: Xem bản đồ
🕐 Thời gian làm việc: Thứ 2 – Thứ 7 (8:00 – 17:00)