Cách doanh nghiệp xử lý khi bị khiếu nại vì SPAM quảng cáo
Doanh nghiệp sử dụng dữ liệu cá nhân khách hàng để phục vụ mục tiêu quảng bá sản phẩm, dịch vụ có thể sẽ gặp nhiều trở ngại trong thời gian tới. Họ có thể bị khiếu nại vì spam quảng cáo và khó tránh khỏi các vụ tranh kiện pháp lý.
Từ năm 2026, luật mới siết chặt quảng cáo dùng dữ liệu cá nhân, yêu cầu chứng minh rõ sự đồng ý của khách hàng.
Spam quảng cáo thường được nhiều doanh nghiệp Việt Nam hiểu là việc gửi thông điệp quảng cáo với tần suất cao, sai đối tượng hoặc không đúng thời điểm. Tuy nhiên, điều này không đúng.
Theo Nghị định 91/2020/NĐ-CP về chống tin nhắn rác, cuộc gọi rác và e-mail rác, bản chất của hành vi spam không nằm ở số lượng hay tần suất, mà ở việc người nhận không hề đồng ý hoặc đã từ chối nhưng vẫn tiếp tục bị gửi thông điệp quảng cáo(1).
Đi xa hơn, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã đặt ra một khung pháp lý nghiêm ngặt, trong đó việc gửi thông điệp quảng cáo mà không có sự đồng ý hợp lệ của chủ thể dữ liệu được xem là hành vi xử lý dữ liệu cá nhân trái pháp luật(2). Điều này có nghĩa là nếu doanh nghiệp không có cơ sở pháp lý rõ ràng để chứng minh “đã xin phép, đã nhận được sự đồng ý” thì toàn bộ chuỗi hành vi xử lý dữ liệu, từ thu thập, lưu trữ, sử dụng đến chia sẻ đó có thể bị xem là vi phạm pháp luật, đều có thể bị xử lý theo quy định về bảo vệ dữ liệu cá nhân. Đáng chú ý, pháp luật không phân biệt quy mô doanh nghiệp lớn hay một công ty SME hoặc lĩnh vực hoạt động.
Trách nhiệm thuộc về doanh nghiệp
Một trong những nguyên tắc cốt lõi của pháp luật bảo vệ dữ liệu cá nhân là nghĩa vụ chứng minh của doanh nghiệp - bên kiểm soát, xử lý dữ liệu. Khi nhận một khiếu nại vì bị spam quảng cáo, cơ quan quản lý sẽ yêu cầu doanh nghiệp cung cấp bằng chứng cho thấy người nhận đã đồng ý rõ ràng, cụ thể và có thể kiểm chứng đối với việc nhận thông điệp quảng cáo.
Theo Nghị định 13/2023/NĐ-CP, sự đồng ý hợp lệ phải đáp ứng các tiêu chí sau: (i) Được thể hiện một cách rõ ràng, riêng biệt cho từng mục đích xử lý dữ liệu; (ii) Có cơ chế từ chối dễ dàng, miễn phí; và (iii) Dữ liệu được xử lý đúng phạm vi đã thông báo. Nên trong trường hợp, người dùng từng để lại thông tin liên hệ, đăng ký tài khoản hoặc mua hàng thì doanh nghiệp không được suy diễn thành khách hàng cũng đồng ý sẽ nhận quảng cáo sau đó. Đồng ý sử dụng dịch vụ không đồng nghĩa với đồng ý nhận thông điệp tiếp thị.
Hệ quả pháp lý của nguyên tắc này là rất lớn. Bằng chứng về sự đồng ý, hay còn gọi là “consent record”, giờ đây không chỉ là dữ liệu kỹ thuật, mà là chứng cứ pháp lý có giá trị tương đương với hợp đồng điện tử. Nếu doanh nghiệp không lưu trữ được bằng chứng này, thì trong một vụ thanh tra hoặc tranh chấp, sẽ mặc nhiên bị xem là đã xử lý dữ liệu trái phép. Thực tiễn cho thấy, nhiều doanh nghiệp khi bị yêu cầu cung cấp bằng chứng “sự đồng ý” đã không thể xuất trình được gì ngoài danh sách số điện thoại và lịch sử giao dịch - những dữ liệu không đáp ứng yêu cầu pháp lý.
Tình hình có thể sẽ trở nên nghiêm trọng hơn kể từ ngày 1-1-2026, khi Luật Bảo vệ Dữ liệu Cá nhân 2025 chính thức có hiệu lực. Luật này đặt ra khung chế tài mới, với mức phạt tối đa lên tới 3 tỉ đồng đối với tổ chức, và nếu là hành vi vi phạm hành chính về mua, bán dữ liệu cá nhân, mức phạt có thể gấp tới 10 lần khoản thu bất hợp pháp. Ngoài ra, cơ quan quản lý còn có quyền yêu cầu doanh nghiệp xóa dữ liệu, đình chỉ hoặc cấm xử lý dữ liệu trong thời hạn nhất định, khiến hoạt động quảng cáo có thể bị “đóng băng” ngay lập tức.
Phản ứng pháp lý cần thiết - từ xử lý kỹ thuật đến tái cấu trúc quy trình
Khi nhận được khiếu nại về spam quảng cáo, phản ứng phổ biến của doanh nghiệp là gỡ số điện thoại, địa chỉ e-mail (của người khiếu kiện) khỏi danh sách gửi, xin lỗi khách hàng hoặc dừng chiến dịch. Tuy nhiên, đó chỉ là phản ứng mang tính truyền thông, không đủ để đáp ứng yêu cầu pháp lý.
Phản ứng pháp lý đúng đắn phải bắt đầu từ việc rà soát toàn bộ nguồn dữ liệu, xác định cơ sở pháp lý cho việc xử lý, và tái cấu trúc quy trình xử lý dữ liệu cá nhân liên quan đến hoạt động quảng cáo. Doanh nghiệp cần xác định rõ dữ liệu được sử dụng cho quảng cáo được thu thập từ đâu, từ khách hàng cũ, từ đối tác, hay mua lại từ bên thứ ba. Nếu là dữ liệu mua lại, cần kiểm tra xem bên bán có quyền chia sẻ dữ liệu hay không. Một hợp đồng cung cấp dữ liệu không thể là lá chắn pháp lý nếu bên bán không có quyền sở hữu hợp pháp đối với dữ liệu đó. Pháp luật Việt Nam quy định rõ: Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra(3). Do đó, việc doanh nghiệp dù không trực tiếp thu thập dữ liệu cá nhân của người dùng nhưng đang sử dụng dữ liệu này cho mục đích quảng cáo sẽ vẫn không được miễn trừ trách nhiệm.
Tiếp theo, doanh nghiệp cần tạm dừng hoạt động quảng cáo sử dụng nguồn dữ liệu bị khiếu nại, và kiểm toán nội bộ để xác định hệ thống nào đã gửi thông điệp, ai là người phê duyệt chiến dịch, và tệp dữ liệu đó nằm trong hệ thống nào. Đây không chỉ là biện pháp kỹ thuật, mà còn là bằng chứng thể hiện thiện chí hợp tác, có thể được xem xét giảm nhẹ trong quá trình xử lý vi phạm hành chính.
Cuối cùng, doanh nghiệp cần có cơ chế phản hồi và khắc phục rõ ràng như gửi văn bản thông báo cho người khiếu nại về biện pháp xử lý, ghi nhận yêu cầu từ chối, xóa dữ liệu nếu được đề nghị. Một phản hồi mang tính pháp lý, minh bạch và kịp thời không chỉ giúp làm dịu căng thẳng, mà còn thể hiện rằng doanh nghiệp hiểu và tôn trọng nghĩa vụ pháp lý của mình.
Điều đáng tiếc là nhiều doanh nghiệp vẫn chọn cách im lặng hoặc né tránh khi bị khiếu nại, dẫn đến việc cơ quan quản lý có thể nâng mức phạt. Trong khi đó, nếu doanh nghiệp chủ động hợp tác, khắc phục hậu quả, việc giảm nhẹ mức phạt có thể sẽ được xem xét bởi cơ quan có thẩm quyền.
Bộ phận pháp chế là người đồng hành cùng phòng marketing
Một trong những nguyên nhân quan trọng có thể dẫn đến tình trạng vi phạm pháp luật trong hoạt động quảng cáo của doanh nghiệp là do có sự tách biệt giữa bộ phận marketing và bộ phận pháp chế. Trong khi cả hai đều đang xử lý cùng một loại tài sản là dữ liệu cá nhân khách hàng, nhưng lại thiếu sự phối hợp cần thiết để đảm bảo tuân thủ pháp luật. Pháp luật không cấm quảng cáo, nhưng yêu cầu quảng cáo phải dựa trên sự đồng ý tự nguyện, rõ ràng và giới hạn mục đích. Doanh nghiệp có thể tiếp thị mạnh mẽ, nhưng phải minh bạch, cụ thể là người dùng cần biết họ đang cung cấp dữ liệu gì, cho ai, và có quyền rút lại sự đồng ý bất cứ lúc nào. Sự thay đổi tuy khó khăn, nhưng là xu hướng tất yếu.
Tại châu Âu, sau các án phạt nghiêm khắc theo GDPR, nhiều doanh nghiệp đã chuyển sang mô hình “privacy-first marketing”, thu thập ít dữ liệu hơn, lưu giữ ngắn hơn và chỉ quảng cáo dựa trên sự đồng ý thực sự. Họ nhận ra rằng niềm tin dữ liệu chính là lợi thế cạnh tranh lâu dài, thứ mà tiền phạt không thể mua lại.
Tóm lại, khiếu nại vì bị spam quảng cáo, nếu nhìn từ góc độ tuân thủ, không phải là rủi ro cần né tránh, mà là tín hiệu cảnh báo sớm cho thấy hệ thống quản trị dữ liệu của doanh nghiệp đang có lỗ hổng. Nếu không xử lý kịp thời, hậu quả sẽ không dừng lại ở mức phạt hành chính, mà có thể dẫn đến đình chỉ hoạt động xử lý dữ liệu, ảnh hưởng trực tiếp đến hoạt động kinh doanh bền vững của doanh nghiệp.
(*) Công ty Luật TNHH HM&P
(1) Điều 3 Nghị định 91/2020/NĐ-CP.
(2) Điều 21 Nghị định 13/2023/NĐ-CP.
(3) Khoản 6 Điều 38 Nghị định 13/2023/NĐ-CP.
