1. Khái niệm và phân loại dữ liệu khách hàng
Tham khảo quy định tại khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025, có thể hiểu dữ liệu khách hàng là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể.
Theo đó, có thể phân tách dữ liệu khách hàng thành 02 loại cơ bản sau:
- Dữ liệu khách hàng cơ bản là dữ liệu phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội (Ví dụ: Họ và tên, ngày tháng năm sinh, giới tính,...).
- Dữ liệu khách hàng nhạy cảm là dữ liệu gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân (Ví dụ: Tình trạng sức khỏe; dữ liệu sinh trắc học,...).
Dù dữ liệu khách hàng thuộc loại nào thì khi thu thập, doanh nghiệp cũng cần phải tuân thủ những điều kiện pháp lý nghiêm ngặt để đảm bảo quyền hợp pháp cho chủ thể dữ liệu.
Gọi ngay
2. Thu thập dữ liệu khách hàng cần điều kiện gì
Tuy pháp luật không có quy định riêng về những yêu cầu cần đáp ứng khi thu thập dữ liệu nói chung nhưng dựa trên tinh thần nguyên tắc “chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật” (Khoản 2 Điều 3 Luật Bảo vệ dữ liệu cá nhân năm 2025), có thể đưa ra các điều kiện cần thực hiện để thu thập dữ liệu khách hàng như sau:
(a); Phải có sự đồng ý của khách hàng
Trước khi thu thập dữ liệu, bên thu thập cần được chủ thể dữ liệu cho phép xử lý (Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025). Việc chủ thể dữ liệu đồng ý chỉ có hiệu lực khi khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:
- Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân.
- Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân.
- Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
Đồng thời, khách hàng phải thể hiện sự đồng ý bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
>>>> Xem thêm: Luật bảo vệ dữ liệu cá nhân 2026 thay đổi gì so với Luật cũ
(b); Chỉ được thu thập dữ liệu đúng mục đích
Một trong những điều kiện để sự đồng ý thu thập dữ liệu có hiệu lực là biết rõ mục đích xử lý dữ liệu cá nhân. Do vậy, khi thực hiện thu thập dữ liệu khách hàng trên thực tế, chủ thể còn cần phải đảm bảo mục đích thu thập nằm trong phạm vi được cho phép.
Ví dụ: khách hàng cung cấp email để nhận tư vấn thì doanh nghiệp không được tự ý dùng email đó để spam quảng cáo nếu chưa có sự chấp thuận.
(c); Phải bảo đảm an toàn và bảo mật dữ liệu
Một điều kiện khác cũng cần được lưu ý là khi thu thập dữ liệu khách hàng, cá nhân, tổ chức cần thực hiện các trách nhiệm được quy định tại điểm c khoản 2 Điều 37 Luật Bảo vệ dữ liệu cá nhân năm 2025 như sau “thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này và các quy định khác của pháp luật có liên quan”.
Có nghĩa là, khi đã có sự đồng ý của chủ thể dữ liệu, bên thu thập dữ liệu phải thực hiện các biện pháp nhằm bảo vệ dữ liệu này, trách trường hợp bị rò rỉ thông tin.
(d); Phải bảo đảm quyền của chủ thể dữ liệu
Được sự đồng ý của chủ thể dữ liệu, chủ thể thu thập dữ liệu còn phải đảm bảo các quyền khác cho khách hàng như quyền được biết về hoạt động xử lý dữ liệu cá nhân; quyền yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; quyền Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân,...
Tựu chung lại, để việc thu thập dữ liệu khách hàng hợp diễn ra hợp pháp cần được sự đồng ý của khách hàng, đúng mục đích thu thập, thực hiện các biện pháp bảo vệ dữ liệu và đảm bảo các quyền chính đáng của khách hàng.
3. Hậu quả pháp lý khi thu thập dữ liệu khách hàng trái phép
Khi thu thập dữ liệu khách hàng trái phép, chủ thể thực hiện hành vi phải đối mặt với trách nhiệm hành chính hoặc trách nhiệm hình sự.
- Trách nhiệm hành chính: Điểm e Khoản 3 Điều 102 Nghị định 15/2020/NĐ-CP quy định rõ mức phạt tiền đối với hành vi thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật là 10.000.000 - 20.000.000 đồng.
- Trách nhiệm hình sự: Đối với cá nhân thực hiện hành vi cố ý lấy thông tin thư tín,... của người khác đã bị xử lý kỷ luật hoặc xử phạt vi phạm hành chính về hành vi này mà còn vi phạm, thì bị phạt cảnh cáo, phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm (điểm b khoản 1 Điều 159 Bộ Luật Hình sự năm 2015).
Như vậy, việc thu thập dữ liệu khách hàng trái phép không tạo ra cơ hội kinh doanh cho chủ thể mà còn đưa chủ thể vướng vào các rắc rối pháp lý. Chính vì điều này, khi thực hiện thu thập dữ liệu, chủ thể cần tuân thủ điều kiện pháp lý nghiêm ngặt.
>>>> Xem thêm: Lộ thông tin cá nhân bị phạt bao nhiêu theo luật mới
4. Một số thắc mắc liên quan
Sau đây là một số câu hỏi và giải đáp của Luật Ánh Ngọc về vấn đề thu thập dữ liệu khách hàng.
4.1. Khi phát hiện bị lộ dữ liệu cá nhân đã cung cấp có được yêu cầu bồi thường không?
Có. Khi phát hiện thông tin mình cung cấp cho một bên khác bị lộ ra ngoài và gây thiệt hại nghiêm trọng đến quyền lợi của mình thì chủ thể dữ liệu hoàn toàn có thể yêu cầu bên thu thập dữ liệu bồi thường (khoản 1 Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025).
4.2. Doanh nghiệp có được mua dữ liệu khách hàng từ bên thứ ba không?
Không. Theo khoản 6 Điều 7 Luật Bảo vệ dữ liệu cá nhân năm 2025 thì một trong những hành vi bị nghiêm cấm trong lĩnh vực này là “mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác”.
Kết hợp với điểm a khoản 1 Điều 17 Luật này quy định về một trong những trường hợp được chuyển giao dữ liệu cá nhân là khi có sự đồng ý của chủ thể dữ liệu cá nhân.
Như vậy, việc doanh nghiệp mua dữ liệu khách hàng từ bên thứ ba mà không được sự đồng ý của khách hàng là hành vi bị cấm thực hiện theo quy định pháp luật hiện hành.
Thu thập dữ liệu khách hàng là hoạt động cần thiết trong kinh doanh hiện đại nhưng phải tuân thủ đúng quy định pháp luật về bảo vệ dữ liệu cá nhân. Doanh nghiệp phải có sự đồng ý, sử dụng đúng mục đích, áp dụng biện pháp bảo mật phù hợp và đảm bảo các quyền hợp pháp của khách hàng khi thu thập dữ liệu. Trường hợp có thắc mắc liên quan tới vấn đề này, quý khách hàng có thể liên hệ với Luật Ánh Ngọc để được giải đáp.