Bỏ qua menu, vào nội dung chính

← Tin tức · Bảo mật

11/05/2026 · 11 phút đọc

Nghị định 13/2023 — checklist 20 mục compliance cho website doanh nghiệp

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân áp dụng từ 1/7/2023 với mọi doanh nghiệp xử lý data người dùng Việt. Bài này là checklist 20 mục thực tế — từ form đăng ký, cookie, lưu trữ, phân quyền truy cập, đến report sự cố. Mức phạt lên 5% doanh thu — đáng đầu tư 1 ngày compliance.

Bảo mậtND13Compliance

1. ND13 là gì + ai phải tuân thủ

Nghị định 13/2023/NĐ-CP của Chính phủ Việt Nam ban hành 17/4/2023, hiệu lực 1/7/2023. Quy định toàn diện về bảo vệ dữ liệu cá nhân — tương đương GDPR ở EU nhưng có một số khác biệt phù hợp ngữ cảnh VN.

Áp dụng cho: mọi tổ chức/cá nhân xử lý dữ liệu cá nhân của người Việt — bất kể trụ sở ở đâu. Doanh nghiệp Việt có website thu form liên hệ, app mobile, CRM khách hàng, e-commerce shop → bắt buộc tuân thủ.

Mức phạt: cảnh báo bằng văn bản → phạt tiền 50tr-200tr → cao nhất 5% doanh thu năm trước (tổng giới hạn). Bộ Công an là cơ quan thực thi chính.

2. Checklist 20 mục

Mục 1-5: Thu thập dữ liệu

  1. Form thu thập có ghi rõ mục đích sử dụng từng field. Vd: dưới ô số điện thoại ghi "Dùng để liên hệ tư vấn dịch vụ — không dùng cho mục đích khác".
  2. Checkbox consent rõ ràng, KHÔNG tick sẵn — user phải chủ động tick "Tôi đồng ý với chính sách bảo mật".
  3. Phân biệt rõ data bắt buộc vs tuỳ chọn. Bắt buộc đánh dấu * và giải thích lý do.
  4. Không thu thập data "nhạy cảm" (CMND/CCCD, sinh trắc học, sức khoẻ, tài chính) trừ khi thật sự cần + có consent riêng.
  5. Không thu thập data trẻ em < 16 tuổi nếu không có consent người giám hộ. Nếu sản phẩm có user trẻ em → cần verification quy trình.

Mục 6-10: Lưu trữ + xử lý

  1. Database lưu data cá nhân phải có mã hoá at-rest (PostgreSQL TDE, MySQL InnoDB encryption, MongoDB encrypted storage engine).
  2. Connection database dùng TLS — không chấp nhận unencrypted connection.
  3. Password user lưu dạng hash (bcrypt/Argon2/PBKDF2), không bao giờ plain text. Salt riêng từng user.
  4. Backup data cũng phải mã hoá. Backup tape/disk không mã hoá → vi phạm.
  5. Lưu data ở server đặt tại VN hoặc các nước có DPA tương đương. AWS/GCP region Singapore OK nhưng cần ghi rõ trong chính sách bảo mật.

Mục 11-15: Truy cập + quản lý

  1. Phân quyền role-based — nhân viên chỉ thấy data trong scope công việc. Marketing không xem được tài chính, sale không xem được data toàn công ty.
  2. Audit log mọi truy cập data nhạy cảm — ai xem, lúc nào, từ IP nào. Lưu log 12+ tháng.
  3. 2FA bắt buộc cho admin + người truy cập data nhạy cảm. Đặc biệt với CRM, payroll, kế toán.
  4. Khi nhân viên nghỉ việc, revoke truy cập trong 24h. Quy trình offboarding rõ ràng.
  5. Định kỳ 6 tháng review quyền truy cập — ai không cần thì xoá. Tránh "access creep" tích luỹ theo thời gian.

Mục 16-20: Compliance + sự cố

  1. Trang /chinh-sach-bao-mat đầy đủ: mục đích thu thập, loại data, thời gian lưu, quyền user (xem/sửa/xoá), liên hệ DPO.
  2. Trang /dieu-khoan minh bạch về dịch vụ + nghĩa vụ user.
  3. Cơ chế user xoá data của mình — không bắt user gọi điện. Form online hoặc email request, xử lý trong 30 ngày.
  4. Nếu xử lý data nhạy cảm ở quy mô lớn → bổ nhiệm DPO (Data Protection Officer) + đăng ký với Bộ Công an.
  5. Quy trình báo sự cố lộ data — phát hiện trong 72h phải báo Bộ Công an + thông báo user bị ảnh hưởng. Có template + ngân sách dự phòng.

3. Phụ lục: Cookies + GA4 + Facebook Pixel

Cookie: theo ND13, cookie chỉ analytics ẩn danh thuộc "lợi ích chính đáng", không cần banner consent. Nhưng Facebook Pixel, Google Ads remarketing → cần consent rõ ràng vì track cá nhân (cross-site identification).

Khuyến nghị: nếu chỉ chạy GA4 + Hotjar (ẩn danh), không cần banner. Nếu có Facebook Pixel hoặc Google Ads conversion → cần cookie consent banner với 3 option (necessary/analytics/marketing) và default deny.

4. Phụ lục: Tích hợp bên thứ ba

Khi gửi data sang dịch vụ bên thứ ba (Mailchimp, HubSpot, OpenAI, Resend, Zalo OA, GHN), phải:

  • Liệt kê rõ trong chính sách bảo mật — bên nào nhận data gì.
  • Đảm bảo bên thứ ba có Data Processing Agreement (DPA) hoặc tương đương.
  • Hạn chế gửi tối thiểu — chỉ field cần, không gửi cả profile.
  • Pseudonymize khi có thể — gửi user_id thay vì email/SDT thật.

5. Phụ lục: Marketing email/SMS/Zalo

Gửi email/SMS/Zalo marketing cần consent rõ ràng — "tôi đồng ý nhận thông tin khuyến mãi". Mỗi email/SMS phải có cơ chế unsubscribe 1-click. Khi user opt-out, dừng gửi trong 24h, không gửi "email cuối cùng để xác nhận unsubscribe" (vi phạm).

Zalo OA: nếu user kết bạn OA, mặc định coi như opt-in. Nếu user block OA, không gửi nữa.

6. Tự đánh giá compliance — bạn đang ở đâu?

  • Đạt 18-20/20: Compliance tốt — duy trì.
  • Đạt 15-17/20: Có nền tảng — cần fix 3-5 gap quan trọng.
  • Đạt 10-14/20: Risk cao — ưu tiên fix trong 30 ngày.
  • < 10/20: Critical risk — có thể bị phạt khi audit. Đầu tư compliance ngay.

7. Khi nào cần DPO chuyên trách

Bắt buộc nếu: xử lý data sinh trắc học (vân tay, khuôn mặt), data y tế, data tài chính chi tiết, hoặc xử lý > 10,000 user/tháng với data nhạy cảm.

Doanh nghiệp SME thông thường (< 10k user, không xử lý data nhạy cảm) chỉ cần "người phụ trách" — có thể là CTO, IT manager, hoặc legal. Không cần fulltime DPO.

8. Quy trình xử lý sự cố lộ data

  1. Giờ 0: Phát hiện sự cố (do audit log alert, hoặc do user/đối tác báo).
  2. Giờ 0-4: Ngắt access, đánh giá phạm vi — bao nhiêu user bị ảnh hưởng, data nào lộ.
  3. Giờ 4-12: Patch lỗ hổng + tăng cường monitor.
  4. Giờ 12-48: Thông báo nội bộ, triệu tập đội xử lý (legal, IT, PR, CS).
  5. Giờ 48-72: Báo cáo Bộ Công an theo mẫu + thông báo user bị ảnh hưởng + offer remediation (đổi password, monitor credit nếu data tài chính).
  6. Sau 72h: Post-mortem nội bộ, cập nhật policy + train team.

9. Chi phí compliance ước tính cho SME

  • Audit ban đầu + tài liệu policy: 15-40tr 1 lần.
  • Update website (banner, chính sách, form): 5-15tr 1 lần.
  • Mã hoá database + setup audit log: 10-30tr 1 lần.
  • Đào tạo team: 5-15tr/năm.
  • DPO part-time (nếu cần): 15-40tr/tháng hoặc thuê ngoài 10-25tr/tháng.
  • Tổng setup ban đầu: 30-100tr. Vận hành: 5-15tr/tháng.

Cần audit ND13 cho website + hệ thống nội bộ? Liên hệ Alodev — buổi đánh giá nhanh miễn phí 45 phút để identify top 5 gap critical nhất. /lien-he

Cần tư vấn?

Founder phản hồi
trong 24 giờ.