Hết thời thoải mái thu thập và xử lý dữ liệu hình ảnh của khách hàng

7 giờ trướcBài gốc

Dữ liệu hình ảnh của khách hàng cá nhân đang trở thành một tài nguyên quý giá đối với các doanh nghiệp. Từ việc sử dụng camera giám sát tại cửa hàng bán lẻ, nhận diện khuôn mặt trong hệ thống thanh toán, đến phân tích hình ảnh cho mục đích marketing, các doanh nghiệp đang tận dụng loại dữ liệu này để nâng cao trải nghiệm khách hàng và tối ưu hóa hoạt động kinh doanh. Tuy nhiên, trong bối cảnh Việt Nam đang yêu cầu bảo vệ nghiêm ngặt dữ liệu cá nhân (DLCN), cách thức thu thập và xử lý dữ liệu hình ảnh khách hàng của doanh nghiệp sẽ có nhiều thay đổi.

Quy định về bảo vệ dữ liệu hình ảnh cá nhân nghiêm ngặt hơn

Dữ liệu hình ảnh của khách hàng cá nhân đang trở thành một tài nguyên quý giá đối với các doanh nghiệp. Ảnh: TL

Theo Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân bao gồm thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu hình ảnh, đặc biệt là hình ảnh khuôn mặt dùng cho nhận diện sinh trắc học, được phân loại là dữ liệu cá nhân nhạy cảm, đòi hỏi mức độ bảo vệ cao hơn.

Luật Bảo vệ dữ liệu cá nhân 2025, được Quốc hội thông qua ngày 26-6-2025 và sẽ có hiệu lực từ 1-1-2026 (Luật BVDLCN), củng cố thêm các quy định ở Nghị định 13, nhấn mạnh nguyên tắc minh bạch, đồng ý và trách nhiệm giải trình. Luật mới này không chỉ áp dụng cho doanh nghiệp trong nước mà còn cho các tổ chức nước ngoài xử lý dữ liệu cá nhân tại Việt Nam, với các chế tài nghiêm khắc hơn, bao gồm phạt hành chính lên đến 3% doanh thu hoặc xử lý hình sự trong trường hợp vi phạm nghiêm trọng.

Nguyên tắc cốt lõi trong việc thu thập dữ liệu hình ảnh là phải dựa trên sự đồng ý tự nguyện, cụ thể và được thông báo rõ ràng của chủ thể dữ liệu. Theo Nghị định 13/2023/NĐ-CP, sự đồng ý phải là hành động khẳng định, không thể suy diễn từ sự im lặng hoặc không phản đối. Đối với dữ liệu hình ảnh, vốn có thể liên quan đến sinh trắc học như vân tay hoặc khuôn mặt, Luật BVDLCN 2025 quy định đây là dữ liệu nhạy cảm, đòi hỏi sự đồng ý riêng biệt và không được gói chung với các điều khoản khác .

Theo các quy định này, doanh nghiệp buộc phải: Thứ nhất, phải đảm bảo sự đồng ý là tự nguyện và rõ ràng từ khách hàng. Chẳng hạn khi khách hàng đăng ký dịch vụ tại cửa hàng, doanh nghiệp có thể sử dụng hình thức đánh dấu ô đồng ý trên ứng dụng di động hoặc ghi âm giọng nói xác nhận. Tuy nhiên, không được ép buộc khách hàng đồng ý để tiếp cận dịch vụ cơ bản, vì điều này vi phạm nguyên tắc tự nguyện. Luật BVDLCN 2025 nhấn mạnh rằng sự đồng ý phải cụ thể cho từng mục đích, chẳng hạn như “sử dụng hình ảnh khuôn mặt để xác thực thanh toán” chứ không phải mục đích mơ hồ như “cải thiện dịch vụ” như cách nhiều doanh nghiệp đang làm. Ngoài ra, doanh nghiệp không được thu thập, mua bán hoặc chia sẻ dữ liệu hình ảnh mà chưa có đồng ý, và phải ngừng xử lý ngay khi đồng ý bị rút lại.

Thứ hai, nghĩa vụ thông báo là bắt buộc và phải thực hiện trước khi xử lý dữ liệu. Thông báo cần bao gồm: (i) mục đích xử lý, loại dữ liệu (như hình ảnh khuôn mặt, video giám sát), (ii) cách thức và thời gian xử lý, (iii) các bên liên quan như nhà cung cấp dịch vụ đám mây, và (iv) hậu quả tiềm ẩn như rủi ro lộ, lọt dữ liệu. Đối với doanh nghiệp sử dụng AI để phân tích hình ảnh, cần thông báo rõ về thuật toán sử dụng và khả năng sai lệch. Thông lệ quốc tế khuyến nghị sử dụng ngôn ngữ đơn giản, dễ hiểu, tránh thuật ngữ chuyên môn, và cung cấp thông báo qua nhiều kênh như e-mail, ứng dụng hoặc biển báo tại chỗ khi thực hiện thông báo.

Quản lý rủi ro khi thực hiện thu thập và xử lý dữ liệu cá nhân

Doanh nghiệp phải chủ động đánh giá rủi ro khi xử lý dữ liệu hình ảnh, đặc biệt với quy mô lớn hoặc liên quan đến dữ liệu nhạy cảm. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Data Protection Impact Assessment - DPIA) là công cụ bắt buộc theo Nghị định 13/2023/NĐ-CP, và Luật BVDLCN 2025 mở rộng yêu cầu này cho tất cả các hoạt động xử lý dữ liệu nhạy cảm. DPIA giúp xác định rủi ro như lộ dữ liệu, phân biệt đối xử dựa trên hình ảnh, và đề xuất biện pháp giảm thiểu rủi ro lộ, lọt dữ liệu cũng như nhanh chóng xử lý các sự cố có thể xảy ra.

Quy trình lập DPIA bao gồm các hoạt động như mô tả hoạt động xử lý, đánh giá tính cần thiết và tỷ lệ, xác định rủi ro đối với quyền lợi chủ thể, và biện pháp khắc phục. Đối với hệ thống camera sử dụng AI nhận diện khuôn mặt, doanh nghiệp phải nộp DPIA cho Cục An ninh mạng và phòng, chống tội phạm công nghệ cao, Bộ Công an. Luật BVDLCN 2025 yêu cầu cập nhật DPIA định kỳ hoặc khi có thay đổi lớn, và lưu trữ các báo cáo ít nhất năm năm.

Bên cạnh đó, doanh nghiệp nên nội bộ hóa các quy định vào hợp đồng lao động, dịch vụ khách hàng, với điều khoản rõ ràng về phạm vi dữ liệu và nghĩa vụ bảo mật. Chẳng hạn trong hợp đồng ký kết với nhân viên tiếp cận dữ liệu hình ảnh, cần quy định trách nhiệm cá nhân để tránh lạm dụng. Theo kinh nghiệm từ các quốc gia như Singapore, châu Âu, hay ngay cả Trung Quốc việc thực hiện DPIA không chỉ giúp tuân thủ mà còn cải thiện uy tín, vì khách hàng ngày càng ưu tiên doanh nghiệp minh bạch và tuân thủ bảo vệ dữ liệu cá nhân.

Để tuân thủ quy định bảo vệ dữ liệu hình ảnh của khách hàng

Khi sử dụng camera để thu thập hình ảnh khách hàng, doanh nghiệp phải tuân thủ nghiêm ngặt để tránh xâm phạm quyền riêng tư. Pháp luật bảo vệ dữ liệu cá nhân hiện hành yêu cầu minh bạch bằng cách lắp đặt biển thông báo rõ ràng tại vị trí camera, nêu mục đích, phạm vi và cách liên hệ để thực hiện quyền. Vị trí lắp đặt phải hợp pháp, không hướng vào khu vực riêng tư như phòng thay đồ hoặc nhà vệ sinh, và không xâm phạm đời sống cá nhân, quyền riêng tư của người khác.

Thời gian lưu trữ dữ liệu hình ảnh cần giới hạn, thường không vượt quá ba tháng trừ khi pháp luật có quy định khác. Luật BVDLCN 2025 bổ sung rằng dữ liệu từ camera phải được xử lý chỉ cho mục đích đã thông báo, và không được sử dụng cho hoạt động quảng cáo mà chưa có đồng ý rõ ràng từ khách hàng. Do đó, việc chụp ảnh khách hàng sử dụng sản phẩm của doanh nghiệp để thực hiện các chiến dịch quảng cáo hay bất kỳ hoạt động nào thúc đẩy phát triển thương hiệu của công ty khi chưa được sự đồng ý rõ ràng của khách hàng là hành vi vi phạm. Thực tế cho thấy, các chuỗi bán lẻ tại Việt Nam như WinMart, Bách hóa Xanh, đã thực hiện việc dán biển báo và chính sách khá rõ ràng để giúp giảm khiếu nại từ khách hàng. Tuy nhiên, số lượng doanh nghiệp hiểu rõ phạm vi thu thập dữ liệu hình ảnh và tuân thủ các quy định này còn khá hạn chế.

Bảo mật là yếu tố then chốt để ngăn chặn truy cập trái phép vào dữ liệu hình ảnh. Doanh nghiệp cần áp dụng biện pháp kỹ thuật như mã hóa dữ liệu khi lưu trữ và truyền tải, kiểm soát truy cập dựa trên vai trò của từng nhân sự tham gia thông qua hoạt động DPIA. Đồng thời, doanh nghiệp phải kiểm tra định kỳ việc sao lưu và khả năng xảy ra sự cố đối với loại dữ liệu này. Đào tạo nhân viên các kỹ năng và yêu cầu tuân thủ pháp luật là bắt buộc, vì không doanh nghiệp phải chịu trách nhiệm cho hành vi của nhân viên và đối mặt với các hình phạt nghiêm khắc của pháp luật khi sự cố xảy ra.

Có thể thấy, đã qua rồi thời doanh nghiệp có thể thoải mái thu thập dữ liệu hình ảnh của khách hàng để phát triển thương hiệu hay thậm chí để cho nhân sự tiết lộ hình ảnh của khách hàng ra bên ngoài khi thu thập được . Giờ đây, hành vi này bị xem là vi phạm pháp luật nghiêm trọng và có thể gây tổn hại nặng nề cho thương thiệu của doanh nghiệp. Trong thời kỳ mà dữ liệu và quyền riêng tư đang được ưu tiên bảo vệ, buộc doanh nghiệp phải chú ý và đầu tư vào tuân thủ các yêu cầu của pháp luật - một chìa khóa cho sự phát triển bền vững.

(*) Công ty Luật TNHH HM&P

LS. Nguyễn Văn Phúc (*)

Nguồn Saigon Times : https://thesaigontimes.vn/het-thoi-thoai-mai-thu-thap-va-xu-ly-du-lieu-hinh-anh-cua-khach-hang/