1. ND13 là gì + ai phải tuân thủ
Nghị định 13/2023/NĐ-CP của Chính phủ Việt Nam ban hành 17/4/2023, hiệu lực 1/7/2023. Quy định toàn diện về bảo vệ dữ liệu cá nhân — tương đương GDPR ở EU nhưng có một số khác biệt phù hợp ngữ cảnh VN.
Áp dụng cho: mọi tổ chức/cá nhân xử lý dữ liệu cá nhân của người Việt — bất kể trụ sở ở đâu. Doanh nghiệp Việt có website thu form liên hệ, app mobile, CRM khách hàng, e-commerce shop → bắt buộc tuân thủ.
Mức phạt: cảnh báo bằng văn bản → phạt tiền 50tr-200tr → cao nhất 5% doanh thu năm trước (tổng giới hạn). Bộ Công an là cơ quan thực thi chính.
2. Checklist 20 mục
Mục 1-5: Thu thập dữ liệu
- Form thu thập có ghi rõ mục đích sử dụng từng field. Vd: dưới ô số điện thoại ghi "Dùng để liên hệ tư vấn dịch vụ — không dùng cho mục đích khác".
- Checkbox consent rõ ràng, KHÔNG tick sẵn — user phải chủ động tick "Tôi đồng ý với chính sách bảo mật".
- Phân biệt rõ data bắt buộc vs tuỳ chọn. Bắt buộc đánh dấu * và giải thích lý do.
- Không thu thập data "nhạy cảm" (CMND/CCCD, sinh trắc học, sức khoẻ, tài chính) trừ khi thật sự cần + có consent riêng.
- Không thu thập data trẻ em < 16 tuổi nếu không có consent người giám hộ. Nếu sản phẩm có user trẻ em → cần verification quy trình.
Mục 6-10: Lưu trữ + xử lý
- Database lưu data cá nhân phải có mã hoá at-rest (PostgreSQL TDE, MySQL InnoDB encryption, MongoDB encrypted storage engine).
- Connection database dùng TLS — không chấp nhận unencrypted connection.
- Password user lưu dạng hash (bcrypt/Argon2/PBKDF2), không bao giờ plain text. Salt riêng từng user.
- Backup data cũng phải mã hoá. Backup tape/disk không mã hoá → vi phạm.
- Lưu data ở server đặt tại VN hoặc các nước có DPA tương đương. AWS/GCP region Singapore OK nhưng cần ghi rõ trong chính sách bảo mật.
Mục 11-15: Truy cập + quản lý
- Phân quyền role-based — nhân viên chỉ thấy data trong scope công việc. Marketing không xem được tài chính, sale không xem được data toàn công ty.
- Audit log mọi truy cập data nhạy cảm — ai xem, lúc nào, từ IP nào. Lưu log 12+ tháng.
- 2FA bắt buộc cho admin + người truy cập data nhạy cảm. Đặc biệt với CRM, payroll, kế toán.
- Khi nhân viên nghỉ việc, revoke truy cập trong 24h. Quy trình offboarding rõ ràng.
- Định kỳ 6 tháng review quyền truy cập — ai không cần thì xoá. Tránh "access creep" tích luỹ theo thời gian.
Mục 16-20: Compliance + sự cố
- Trang /chinh-sach-bao-mat đầy đủ: mục đích thu thập, loại data, thời gian lưu, quyền user (xem/sửa/xoá), liên hệ DPO.
- Trang /dieu-khoan minh bạch về dịch vụ + nghĩa vụ user.
- Cơ chế user xoá data của mình — không bắt user gọi điện. Form online hoặc email request, xử lý trong 30 ngày.
- Nếu xử lý data nhạy cảm ở quy mô lớn → bổ nhiệm DPO (Data Protection Officer) + đăng ký với Bộ Công an.
- Quy trình báo sự cố lộ data — phát hiện trong 72h phải báo Bộ Công an + thông báo user bị ảnh hưởng. Có template + ngân sách dự phòng.
3. Phụ lục: Cookies + GA4 + Facebook Pixel
Cookie: theo ND13, cookie chỉ analytics ẩn danh thuộc "lợi ích chính đáng", không cần banner consent. Nhưng Facebook Pixel, Google Ads remarketing → cần consent rõ ràng vì track cá nhân (cross-site identification).
Khuyến nghị: nếu chỉ chạy GA4 + Hotjar (ẩn danh), không cần banner. Nếu có Facebook Pixel hoặc Google Ads conversion → cần cookie consent banner với 3 option (necessary/analytics/marketing) và default deny.
4. Phụ lục: Tích hợp bên thứ ba
Khi gửi data sang dịch vụ bên thứ ba (Mailchimp, HubSpot, OpenAI, Resend, Zalo OA, GHN), phải:
- Liệt kê rõ trong chính sách bảo mật — bên nào nhận data gì.
- Đảm bảo bên thứ ba có Data Processing Agreement (DPA) hoặc tương đương.
- Hạn chế gửi tối thiểu — chỉ field cần, không gửi cả profile.
- Pseudonymize khi có thể — gửi user_id thay vì email/SDT thật.
5. Phụ lục: Marketing email/SMS/Zalo
Gửi email/SMS/Zalo marketing cần consent rõ ràng — "tôi đồng ý nhận thông tin khuyến mãi". Mỗi email/SMS phải có cơ chế unsubscribe 1-click. Khi user opt-out, dừng gửi trong 24h, không gửi "email cuối cùng để xác nhận unsubscribe" (vi phạm).
Zalo OA: nếu user kết bạn OA, mặc định coi như opt-in. Nếu user block OA, không gửi nữa.
6. Tự đánh giá compliance — bạn đang ở đâu?
- Đạt 18-20/20: Compliance tốt — duy trì.
- Đạt 15-17/20: Có nền tảng — cần fix 3-5 gap quan trọng.
- Đạt 10-14/20: Risk cao — ưu tiên fix trong 30 ngày.
- < 10/20: Critical risk — có thể bị phạt khi audit. Đầu tư compliance ngay.
7. Khi nào cần DPO chuyên trách
Bắt buộc nếu: xử lý data sinh trắc học (vân tay, khuôn mặt), data y tế, data tài chính chi tiết, hoặc xử lý > 10,000 user/tháng với data nhạy cảm.
Doanh nghiệp SME thông thường (< 10k user, không xử lý data nhạy cảm) chỉ cần "người phụ trách" — có thể là CTO, IT manager, hoặc legal. Không cần fulltime DPO.
8. Quy trình xử lý sự cố lộ data
- Giờ 0: Phát hiện sự cố (do audit log alert, hoặc do user/đối tác báo).
- Giờ 0-4: Ngắt access, đánh giá phạm vi — bao nhiêu user bị ảnh hưởng, data nào lộ.
- Giờ 4-12: Patch lỗ hổng + tăng cường monitor.
- Giờ 12-48: Thông báo nội bộ, triệu tập đội xử lý (legal, IT, PR, CS).
- Giờ 48-72: Báo cáo Bộ Công an theo mẫu + thông báo user bị ảnh hưởng + offer remediation (đổi password, monitor credit nếu data tài chính).
- Sau 72h: Post-mortem nội bộ, cập nhật policy + train team.
9. Chi phí compliance ước tính cho SME
- Audit ban đầu + tài liệu policy: 15-40tr 1 lần.
- Update website (banner, chính sách, form): 5-15tr 1 lần.
- Mã hoá database + setup audit log: 10-30tr 1 lần.
- Đào tạo team: 5-15tr/năm.
- DPO part-time (nếu cần): 15-40tr/tháng hoặc thuê ngoài 10-25tr/tháng.
- Tổng setup ban đầu: 30-100tr. Vận hành: 5-15tr/tháng.
Cần audit ND13 cho website + hệ thống nội bộ? Liên hệ Alodev — buổi đánh giá nhanh miễn phí 45 phút để identify top 5 gap critical nhất. /lien-he