Mục lục 1. Hành vi người tiêu dùng trực tuyến là gì?2. Các yếu tố ảnh hưởng đến hành vi người tiêu…
Mục lục 1. Làm sao để đo lead từ website một cách đơn giản nhất?2. Những hành động nào trên website được…
Mục lục 1. SUMO AI là gì?2. Cách hoạt động SUMO AI3. Tính năng chính SUMO AI4. Lợi ích triển khai SUMO…
Mục lục 1. Audit content là gì?2. Khi nào website cần audit content?3. Những nguyên nhân khiến content không có traffic hoặc…
Mục lục
Để thiết kế website theo hướng phù hợp với Luật Bảo vệ Dữ liệu Cá nhân, doanh nghiệp cần chuẩn bị 5 nhóm việc chính: Chính sách bảo mật, thông báo/đồng ý trên form, kiểm soát cookie và tracking, rà soát công cụ bên thứ ba, cùng các lớp bảo mật cơ bản cho dữ liệu người dùng.
Website cần có các điểm kiểm soát tại nơi thu thập dữ liệu người dùng, gồm: Chính sách bảo mật dễ tìm, thông báo/đồng ý trên form, cookie consent, kiểm soát tracking, kênh tiếp nhận yêu cầu dữ liệu và bảo mật kỹ thuật cơ bản.
Trang Chính sách bảo mật là nơi doanh nghiệp nói rõ website đang thu thập dữ liệu gì, dùng để làm gì, lưu trong bao lâu, có chia sẻ cho bên nào không và người dùng liên hệ ở đâu nếu muốn xử lý dữ liệu cá nhân theo các nguyên tắc minh bạch của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
Về vị trí, link Chính sách bảo mật nên xuất hiện ở:
Với website WordPress, doanh nghiệp có thể tạo một trang riêng, ví dụ:
/chinh-sach-bao-mat/
Một trang Chính sách bảo mật tối thiểu nên nêu rõ:
Nội dung Chính sách bảo mật nên phản ánh đúng dữ liệu website đang thu. Ví dụ, website phòng khám hoặc thẩm mỹ cần cẩn trọng nếu form có thông tin lịch hẹn, nhu cầu điều trị hoặc triệu chứng; website thương mại điện tử cần nêu dữ liệu đơn hàng và địa chỉ giao hàng.
Cách kiểm tra nhanh:
Không nên copy một mẫu Chính sách bảo mật chung rồi để nguyên. Doanh nghiệp cần chỉnh lại theo đúng dữ liệu website của mình đang thu thập.
Có. Với các form thu thập thông tin như họ tên, số điện thoại, email, nhu cầu tư vấn, doanh nghiệp nên có thông báo rõ ràng hoặc checkbox đồng ý.
Với form tư vấn dịch vụ, các trường thường gặp là:
Mẫu checkbox có thể dùng:
Nếu doanh nghiệp muốn dùng dữ liệu cho mục đích marketing, nên tách thành checkbox riêng:
Khi đặt checkbox trên form, cần lưu ý:
Khi rà soát website, đừng chỉ kiểm tra form ở trang Liên hệ. Hãy kiểm tra tất cả form đang thu dữ liệu, gồm:
Cách kiểm tra từng form:
Một form có thể xem là ổn ở mức tối thiểu khi người dùng nhìn thấy rõ họ đang cung cấp dữ liệu gì, dữ liệu được dùng cho mục đích nào, có link đến Chính sách bảo mật và checkbox không được tick sẵn nếu cần sự đồng ý chủ động.
Nếu website xử lý nhiều form, nên lưu tối thiểu thời gian gửi form, nguồn form hoặc landing page và nội dung đồng ý tại thời điểm gửi.
Với website có dùng cookie hoặc công cụ tracking như Google Analytics, Google Ads, Facebook Pixel, TikTok Pixel, heatmap, session recording, Cookie Consent Banner là phần nên được tính đến.
Cookie thiết yếu giúp website hoạt động, ví dụ cookie đăng nhập hoặc giỏ hàng. Nhưng Google Analytics, Google Ads, Facebook Pixel, TikTok Pixel thường thuộc nhóm phân tích hoặc marketing, nên cần được kiểm soát bằng Cookie Consent Banner.
Một banner cơ bản nên có 3 lựa chọn:
Có thể hiểu đơn giản:
Cách kiểm tra nhanh:
Cookie banner không nên chỉ hiển thị cho có. Phần cần kiểm tra là tracking marketing có thật sự chạy theo lựa chọn của người dùng hay không.
Nguyên tắc dễ hiểu là: chỉ hỏi thông tin thật sự cần để xử lý nhu cầu của khách hàng.
Trước khi thêm một trường thông tin vào form, hãy tự hỏi:
Với form liên hệ thông thường, thường chỉ cần:
Không nên hỏi thêm ngày sinh, giới tính, địa chỉ nhà, số CCCD nếu không cần cho mục đích tư vấn.
Có thể rà nhanh theo từng loại website:
Mỗi trường thông tin trên form cần có lý do rõ ràng. Nếu không phục vụ việc tư vấn, xác nhận đơn, đặt lịch hoặc xử lý yêu cầu của khách, trường đó nên được bỏ ra khỏi form.
Dữ liệu cá nhân nhạy cảm như sức khỏe, tài chính, sinh trắc học, vị trí hoặc hồ sơ cá nhân sâu chỉ nên thu khi thật sự cần cho dịch vụ.
Website nên có một kênh rõ ràng để người dùng liên hệ khi muốn xử lý dữ liệu cá nhân của họ.
Kênh tiếp nhận có thể là:
Trong trang Chính sách bảo mật, doanh nghiệp có thể ghi:
Nếu tạo form yêu cầu, form có thể gồm:
Ở giai đoạn đầu, doanh nghiệp không nhất thiết phải xây một cổng dữ liệu phức tạp. Nhưng tối thiểu cần có nơi tiếp nhận yêu cầu và quy trình nội bộ đơn giản:
Thao tác tối thiểu là tạo một email tiếp nhận như [email protected], ghi email này trong Chính sách bảo mật, sau đó phân quyền người phụ trách kiểm tra hộp thư định kỳ.
Như vậy, website không chỉ có chính sách trên giấy mà còn có nơi tiếp nhận và xử lý yêu cầu thật.
Về kỹ thuật, website cần có các lớp bảo mật tối thiểu liên quan trực tiếp đến dữ liệu cá nhân.
Các việc nên có gồm:
Nếu website có tài khoản người dùng, mật khẩu không được lưu ở dạng đọc được. Hệ thống cần hash mật khẩu bằng thuật toán phù hợp, thay vì lưu plaintext.
Nếu nguồn lực có hạn, có thể ưu tiên theo thứ tự:
Không nhất thiết phải triển khai tất cả công cụ cùng lúc. Với website phổ thông, ưu tiên trước là HTTPS, tài khoản admin an toàn, chống spam form, backup và kiểm tra nơi dữ liệu form được lưu. Các lớp kỹ thuật sâu hơn nên giao cho đội kỹ thuật khi website có nhiều dữ liệu hoặc dữ liệu nhạy cảm.
Không cần làm website thành một hệ thống bảo mật quá nặng ngay từ đầu. Nhưng nếu website đã thu lead, có nhiều form hoặc xử lý thông tin nhạy cảm, các lớp bảo mật tối thiểu này nên được kiểm tra sớm.
Thiết kế website chuẩn Luật Bảo vệ Dữ liệu Cá nhân là cách xây dựng website doanh nghiệp theo hướng minh bạch khi thu thập, lưu trữ và xử lý dữ liệu cá nhân của người dùng ngay từ đầu.
Nói đơn giản, website không chỉ cần đẹp, nhanh, chuẩn SEO và dễ sử dụng. Website còn phải giúp người dùng hiểu rõ họ đang cung cấp thông tin gì, thông tin đó được dùng để làm gì và doanh nghiệp xử lý dữ liệu đó như thế nào.
Cách hiểu này giúp doanh nghiệp tránh thiết kế website theo kiểu chỉ tập trung vào giao diện, chuyển đổi và quảng cáo, nhưng bỏ sót các điểm liên quan đến dữ liệu cá nhân của khách hàng.
Khi website dùng công cụ bên thứ ba, doanh nghiệp cần biết dữ liệu cá nhân đang được gửi sang công cụ nào, công cụ đó nhận dữ liệu gì, dùng để làm gì và người dùng đã được thông báo rõ chưa.
Đây là điểm dễ bị bỏ sót vì dữ liệu không chỉ nằm trong website. Dữ liệu có thể đi qua chatbot, CRM, email marketing, nền tảng quảng cáo, plugin, hosting hoặc các hệ thống vận hành khác.
Ví dụ, nếu chatbot hỏi số điện thoại rồi đẩy lead vào CRM, cả chatbot và CRM đều là điểm cần rà soát. Nếu website thương mại điện tử gửi thông tin đơn hàng sang đơn vị vận chuyển hoặc nền tảng email/SMS, doanh nghiệp cũng cần biết dữ liệu nào đang được chuyển đi và chuyển để làm gì.
Khi kiểm tra công cụ bên thứ ba, chỉ cần bắt đầu từ 4 câu hỏi:
Với các công cụ quảng cáo hoặc đo lường như Google Analytics, Google Ads, Facebook Pixel, TikTok Pixel,… cần kiểm tra thêm việc tracking có chạy trước khi người dùng có lựa chọn phù hợp hay không.
Các công cụ bên thứ ba thường gặp gồm:
Những lỗi thường gặp khi website thu thập dữ liệu cá nhân là: thu thông tin nhưng không nói rõ mục đích, gửi dữ liệu về nơi khó kiểm soát, lưu dữ liệu quá lâu, dùng lại dữ liệu cho marketing khi người dùng chưa đồng ý rõ.
Các lỗi này thường xuất hiện ở landing page, form, chatbot, CRM, email marketing và các file lưu lead nội bộ.
Landing page chạy quảng cáo thường xin thông tin rất nhanh qua các CTA như tải ebook, nhận báo giá, nhận ưu đãi, đăng ký tư vấn hoặc đặt lịch demo. Lỗi dễ gặp là người dùng để lại SĐT/email nhưng không biết thông tin đó sẽ được dùng để làm gì sau khi bấm gửi.
Một số tình huống thường gặp:
Dù ở ngành nào, landing page cần nói rõ dữ liệu được dùng để tư vấn, gửi báo giá, xác nhận lịch hẹn, gửi ưu đãi hay dùng cho marketing sau đó.
Cách sửa đơn giản:
Mẫu thông báo có thể dùng:
Nếu có mục đích marketing, có thể thêm checkbox riêng:
“Tôi đồng ý nhận nội dung, ưu đãi hoặc thông tin dịch vụ từ [Tên doanh nghiệp].”
Khi rà soát landing page, nên kiểm tra từng trang đang chạy ads:
Chatbot, CRM và email marketing thường được xem là công cụ bán hàng, nhưng thực tế cũng là nơi thu thập và xử lý dữ liệu cá nhân. Lỗi thường gặp là doanh nghiệp xin thông tin để tư vấn, nhưng sau đó lại lưu vào CRM, gửi email chăm sóc hoặc dùng cho bán hàng mà chưa nói rõ mục đích.
Một số lỗi dễ gặp:
Khi xử lý phần này, không nên để chatbot hỏi thông tin liên hệ ngay ở câu đầu. Tốt hơn, chatbot nên trả lời sơ bộ nhu cầu trước, sau đó mới xin SĐT/email kèm một câu nói rõ mục đích.
Mẫu chatbot có thể dùng:
Ví dụ theo luồng vận hành:
Với CRM và email marketing, lỗi cần tránh là dùng chung một dữ liệu cho mọi mục đích. Người chỉ để lại thông tin để được tư vấn không nên tự động bị đưa vào danh sách nhận bản tin hoặc ưu đãi nếu chưa có đồng ý phù hợp.
Nên tính bảo vệ dữ liệu cá nhân ngay từ khi thiết kế hoặc nâng cấp website vì nếu để website chạy rồi mới bổ sung, doanh nghiệp thường phải sửa lại nhiều điểm đã triển khai xong. Làm từ đầu giúp các điểm khách để lại thông tin rõ ràng hơn, thay vì sửa chắp vá sau khi website đã vận hành.
Ví dụ, một website đã chạy ads với nhiều landing page sẽ mất công rà lại:
Website thương mại điện tử hoặc phòng khám cũng dễ phải sửa lại luồng đơn hàng, đặt lịch, phân quyền người xem hoặc nội dung thông báo khi dữ liệu đã phát sinh nhiều.
Vì vậy, khi brief thiết kế website, doanh nghiệp nên nói rõ ngay từ đầu rằng website cần tính đến dữ liệu cá nhân. Cách này giảm công sửa lại sau bàn giao và giúp khách hàng yên tâm hơn khi để lại thông tin.
Trước khi thiết kế mới hoặc nâng cấp website, doanh nghiệp nên rà soát nhanh các điểm dễ phát sinh dữ liệu cá nhân: chính sách, form, cookie/tracking, công cụ bên thứ ba, bảo mật, quyền truy cập và dữ liệu cũ. Checklist này giúp xác định các điểm cần kiểm tra trước khi chạy quảng cáo, mở rộng landing page hoặc tích hợp thêm chatbot/CRM.
Chính sách và thông báo
Form, cookie và tracking
Công cụ bên thứ ba
Bảo mật và quyền truy cập
Quyền người dùng và dữ liệu cũ
Nếu có nhiều câu trả lời là “chưa” hoặc “không rõ”, doanh nghiệp nên ưu tiên xử lý trước các điểm liên quan đến form, tracking, nơi lưu dữ liệu và quyền truy cập.
Những website cần rà soát dữ liệu cá nhân kỹ hơn thường là website thu nhiều thông tin khách hàng, có dữ liệu nhạy cảm, có nhiều form/landing page hoặc dùng nhiều công cụ như CRM, chatbot, email marketing, quảng cáo và remarketing.
Các nhóm website nên chú ý gồm:
Nhóm có dữ liệu nhạy cảm hoặc hồ sơ cá nhân sâu
Nhóm có nhiều dữ liệu giao dịch hoặc nhu cầu mua hàng
Nhóm có nhiều điểm chạm marketing và bán hàng
Website chỉ giới thiệu doanh nghiệp và có một form liên hệ đơn giản thường không cần rà soát quá phức tạp. Ngược lại, website có nhiều form, landing page, chatbot, CRM, tracking quảng cáo hoặc dữ liệu nhạy cảm nên được kiểm tra kỹ hơn trước khi mở rộng thu lead.
Wecan Group hỗ trợ doanh nghiệp thiết kế mới hoặc nâng cấp website theo hướng minh bạch hơn trong việc thu thập, quản lý và bảo vệ dữ liệu khách hàng trên website.
Phạm vi hỗ trợ tập trung ở lớp website, kỹ thuật và vận hành dữ liệu, gồm:
Mục tiêu là giúp doanh nghiệp có website rõ ràng hơn, dễ vận hành hơn và kiểm soát tốt hơn các điểm khách hàng để lại thông tin. Các vấn đề pháp lý chuyên sâu nên được doanh nghiệp đối chiếu thêm với bộ phận pháp chế hoặc đơn vị tư vấn phù hợp.
Bạn có thể → liên hệ Mr. Nam để được tư vấn chiến lược SEO, tư vấn cấu trúc, giao diện và hướng triển khai website Chuẩn Luật Bảo vệ Dữ liệu Cá nhân phù hợp.
Thông tin liên hệ:
