Đồng ý theo hình thức “click-wrap” và “browse-wrap” theo pháp luật bảo vệ dữ liệu cá nhân của Việt Nam

1. Cách hiểu chung về phương thức Click-wrap và Browse-wrap  

Sự đồng ý của chủ thể dữ liệu là yêu cầu bắt buộc và tối quan trọng trong hầu hết các hệ thống pháp luật về bảo vệ dữ liệu cá nhân trên thế giới. Tại Việt Nam, các quy định bảo vệ dữ liệu có cách tiếp cận tương đối giống với các tiêu chuẩn của Quy định Bảo vệ dữ liệu chung của Liên Minh Châu Âu (GDPR). Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân (PDPD) yêu cầu “sự đồng ý” phải là sự thể hiện rõ ràng, tự nguyện và cụ thể của chủ thể dữ liệu cho phép xử lý dữ liệu. Trên thực tế, do các rào cản về vận hành thực tiễn cũng như nhu cầu ứng dụng các giải pháp công nghệ vào quy trình xử lý dữ liệu cá nhân, nhiều doanh nghiệp ưu tiên áp dụng các phương thức điện tử để thu thập sự đồng ý của chủ thể dữ liệu khi tiến hành xử lý dữ liệu cá nhân. Trong đó, thu thập sự đồng ý theo hình thức “click-wrap” (đồng ý thông qua nhấp chuột và ô đồng ý) hoặc “browse-wrap” (đồng ý thông qua việc tiếp tục duyệt web) là hai trong số những hình thức được doanh nghiệp ưu tiên thực hiện vì tính tiện lợi và tự động. 

Đồng ý theo hình thức nhấp chọn ô đồng ý (“click-wrap”) đề cập đến việc có được sự đồng thuận thông qua một hành động rõ ràng từ người dùng – điển hình là nhấp vào nút “Tôi đồng ý” hoặc đánh dấu vào một ô vuông – thể hiện sự chấp nhận các điều khoản hoặc chính sách xử lý dữ liệu cá nhân. Trong khi đó, phương thức duyệt web để đồng ý (“browse-wrap”) thu thập sự đồng thuận chỉ dựa trên sự ngầm hiểu bằng cách chủ thể dữ liệu tiếp tục sử dụng một trang web. Về cơ bản, phương pháp “click-wrap” (đồng ý thông qua nhấp chuột) khác biệt cơ bản với phương thức “browse-wrap” ở yếu tố thể hiện sự đồng ý chủ động và rõ ràng của chủ thể dữ liệu.  

Về vấn đề này, chúng ta cần tham khảo cách tiếp cận của GDPR với tư cách là đạo luật quan trọng và có ảnh hưởng hàng đầu về bảo vệ dữ liệu cá nhân trên thế giới. Theo GDPR, bất kỳ sự đồng ý nào để xử lý dữ liệu cá nhân phải đáp ứng các tiêu chí nghiêm ngặt. GDPR định nghĩa sự đồng ý là một sự thể hiện ý chí của người dùng được đưa ra một cách tự do, cụ thể, có thông tin và rõ ràng, thông qua một hành động khẳng định rõ ràng. Như vậy, việc đơn thuần tiếp tục duyệt một trang web hoặc ẩn sự đồng ý trong một đường liên kết ở cuối trang là không đủ để được xem là sự đồng ý hợp lệ từ người dùng (chủ thể dữ liệu). Về mặt thực tế, GDPR yêu cầu rằng người dùng phải thực hiện một hành động chủ động chọn (opt-in) rõ ràng – ví dụ: nhấp vào nút “Tôi chấp nhận” hoặc đánh dấu vào một ô chưa được chọn – để thể hiện sự đồng ý. GDPR cũng ghi chú rõ ràng rằng sự đồng ý hợp lệ có thể được đưa ra bằng cách “đánh dấu vào một ô khi truy cập một trang web internet,” trong khi sự im lặng hay các ô đã được đánh dấu sẵn không cấu thành sự đồng ý.  

Như vậy, có thể hiểu rằng, về mặt nguyên tắc chung, sự đồng ý thông qua phương thức “click-wrap” sẽ được công nhận giá trị hợp lệ, trong khi giá trị của phương thức “browse-wrap” thì ngược lại. Dĩ nhiên, vấn đề sẽ còn phụ thuộc vào chi tiết nội dung và cách triển khai thực tiễn của “click-wrap” để có thể đưa ra khẳng định sau cùng về một sự đồng ý trong một tình huống cụ thể là có giá trị hay không.  

2. Quy định của pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam 

Năm 2023, chính phủ Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân (Nghị Định 13), đây là văn bản pháp luật (cấp độ Nghị định) về bảo vệ dữ liệu cá nhân toàn diện đầu tiên tại Việt Nam. Hiện tại, Luật bảo vệ dữ liệu cá nhân đã được thông qua ngày 26/6/2025 và có hiệu lực ngày 1/1/2026 (PDPL), sẽ là văn bản toàn diện đầu tiên ở cấp độ luật quy định về bảo vệ dữ liệu cá nhân.  

Nghị Định 13 định nghĩa “sự đồng ý” là một sự thể hiện rõ ràng, tự nguyện và cụ thể. Đáng chú ý, Nghị Định 13 quy định các phương pháp đồng ý hợp lệ bao gồm văn bản, xác nhận bằng giọng nói, đánh dấu vào ô đồng ý, gửi tin nhắn xác nhận sự đồng ý, chọn các cài đặt kỹ thuật để đồng ý, hoặc các hành động khác thể hiện rõ ràng sự đồng ý. Nói cách khác, việc nhấp chọn vào nút “Tôi đồng ý” theo hình thức click-wrap là một phương pháp hợp lệ để có được sự đồng ý theo Nghị Định 13, miễn là tất cả thông tin cần thiết được cung cấp cho người dùng và hành động đó là hoàn toàn tự nguyện. Ngược lại, việc im lặng như thể hiện trong phương thức “browse-wrap” sẽ khó được công nhận giá trị hiệu lực.  

Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung (i) Loại dữ liệu cá nhân được xử lý; (ii) Mục đích xử lý dữ liệu cá nhân; (iii) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; (iv) Các quyền, nghĩa vụ của chủ thể dữ liệu. Chỉ khi người dùng có đầy đủ thông tin trên và vẫn tự nguyện đồng ý thì sự đồng ý đó mới được coi là hợp lệ. Hơn nữa, tương tự như các nguyên tắc của GDPR, pháp luật Việt Nam quy định rằng sự đồng ý phải được gắn với một mục đích cụ thể duy nhất – không được gộp chung cho nhiều mục đích cùng một lúc. 

Tuy nhiên, quy định về sự đồng ý theo PDPL đã không còn nội dung cụ thể về đánh dấu vào ô đồng ý như phương thức click-wrap. Quy định chi tiết về các phương thức đồng ý cụ thể tại PDPL sẽ cần có Nghị định mới hướng dẫn chi tiết từ Chính phủ. Trong thời gian chưa có nghị định mới, chúng tôi cho rằng cách tiếp cận như tại Nghị Định 13 vẫn có giá trị tham khảo và áp dụng.  

3. Hành động khuyến nghị với phương thức click-wrap 

Trong vấn đề này, nhận thức rõ ràng của người dùng là rất quan trọng. Khi đó, theo chúng tôi, mấu chốt sẽ nằm ở cách mà trang web hoặc thông báo xử lý dữ liệu được thiết kế. Dưới đây là một số phương pháp tốt nhất để triển khai nút bấm “Tôi đồng ý” (click-wrap) phù hợp: 

1. Yêu cầu người dùng chủ động nhấp chọn ô đồng ý – Không đáng dấu sẵn vào ô: Đảm bảo rằng trạng thái mặc định là người dùng phải thực hiện một hành động (nhấp hoặc đánh dấu) để đồng ý. Không hiển thị các ô được đánh dấu sẵn hoặc giả định sự đồng ý từ việc không hành động.  

1. Tránh thiết kế mang tính ép buộc hoặc gây hiểu lầm: Giao diện đồng ý nên trung lập và rõ ràng, không được thiết kế để “thúc đẩy” người dùng đồng ý. Không ẩn thông tin quan trọng trong các đường liên kết khó tìm hoặc chữ in nhỏ, và tránh sử dụng các thủ thuật thiết kế (như nút “Đồng ý” sáng, hấp dẫn so với liên kết “Từ chối” mờ nhạt) gây áp lực cho người dùng phải chọn một lựa chọn. 

1. Tách biệt sự đồng ý với các điều khoản khác: Nên giữ sự đồng ý về quyền riêng tư tách biệt với các điều khoản và điều kiện chung. Người dùng không nên bị buộc phải đồng ý xử lý dữ liệu chỉ để chấp nhận các điều khoản không liên quan đến quyền dữ liệu cá nhân. Chẳng hạn, thay vì một ô “Tôi chấp nhận Điều khoản và Chính sách quyền riêng tư” duy nhất, hãy cân nhắc có một ô đồng ý riêng biệt cho việc sử dụng dữ liệu cá nhân.  

1. Làm cho sự đồng ý chi tiết và theo mục đích cụ thể: Bất cứ khi nào có thể, hãy chia sự đồng ý thành các danh mục hoặc mục đích để người dùng có thể đồng ý với một số loại xử lý dữ liệu và không đồng ý với các loại khác. 

4. Tóm tắt

Tại EU, các hành động của cơ quan quản lý và các quyết định của tòa án đã làm rõ các yếu tố cấu thành sự đồng ý hợp lệ trên thực tế. Tình huống tại Việt Nam tương đối khác, pháp luật về bảo vệ dữ liệu cá nhân còn rất mới (có hiệu lực từ tháng 7 năm 2023 dưới khuôn khổ Nghị Định 13), vì vậy các vụ việc thực thi cụ thể vẫn chưa được công bố rộng rãi.  

Tuy nhiên, chúng ta có thể kỳ vọng rằng cả khuôn khổ pháp lý của EU và Việt Nam đều công nhận phương pháp nhấp chọn ô đồng ý theo hình thức click-wrap là một cách khả thi để có được sự đồng ý – nhưng chỉ khi được triển khai với sự tôn trọng quyền tự chủ và tính minh bạch của người dùng. 

Ngày viết bài: 20/08/2025

Bài viết liên quan:

1/ Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

2/ Sự đồng ý của chủ thể dữ liệu cá nhân trên không gian mạng

3/ Khung pháp lý mới về dữ liệu tại Việt Nam

Chia sẻ: