Dữ liệu cá nhân đang được quản trị đến đâu trên website của các doanh nghiệp Việt?

Đây là một trong những lỗ hổng phổ biến nhất trên các website doanh nghiệp, đặt ra câu hỏi về mức độ tôn trọng quyền kiểm soát dữ liệu của người dùng.

Một báo cáo công nghệ vừa công bố cho thấy nhiều website đang để trình duyệt người dùng kết nối tới hạ tầng của các nền tảng nước ngoài, có thể làm phát sinh việc tiết lộ hoặc chuyển dữ liệu cá nhân, định danh thiết bị và siêu dữ liệu truy cập trước khi người dùng có lựa chọn rõ ràng. Luật Bảo vệ dữ liệu cá nhân và Nghị định 356/2025/NĐ-CP đã chính thức có hiệu lực từ đầu năm 2026, khoảng cách giữa những gì các chính sách bảo mật cam kết và những gì trình duyệt thực sự thực hiện đang trở thành một rủi ro pháp lý cụ thể, có thể đo lường được.

NHIỀU WEBSITE NẰM TRONG VÙNG RỦI RO CAO

Báo cáo "Vietnam Website Privacy Scan 2026" được thực hiện bởi AesirX, công ty công nghệ chuyên về quyền riêng tư dữ liệu, dựa trên việc quét tự động 500 website của các doanh nghiệp lớn tại Việt Nam. AesirX cho biết có 340 website cho ra dữ liệu phân tích được, còn lại không thể truy cập hoặc không trả về kết quả hợp lệ. Báo cáo lưu ý rằng kết quả quét kỹ thuật không phải là kết luận pháp lý cuối cùng về tình trạng tuân thủ của từng doanh nghiệp; mỗi trường hợp cần được đánh giá dựa trên luồng dữ liệu, mục đích xử lý, cơ sở pháp lý, cấu hình kỹ thuật và hồ sơ chứng minh cụ thể.

Kết quả từ 340 website này cho thấy một mức độ đồng nhất đáng chú ý. Có 244 website, tương đương 71,8%, bị nhóm nghiên cứu xếp vào nhóm rủi ro cao. Về hành vi kỹ thuật, 273 website, tức 80,3%, được ghi nhận tải các beacon - những lệnh gọi tự động mà trình duyệt gửi đến máy chủ bên ngoài ngay khi trang web được mở. Có 203 website, tương đương 59,7%, tải cookie của bên thứ ba. Chỉ 63 website, khoảng 18,5% tổng số site phân tích được, không ghi nhận cả hai loại hành vi nói trên.

Mức độ phổ biến này không tập trung ở một vài trường hợp cá biệt. Theo báo cáo, một website ở mức trung vị của mẫu khảo sát tải 2 cookie và 4 beacon từ bên thứ ba, nghĩa là đây là một hiện tượng mang tính hệ thống, lan rộng trên đa số website doanh nghiệp được khảo sát, thay vì là vấn đề của một nhóm nhỏ website cài đặt quá nhiều công cụ theo dõi.

Khi đi sâu vào danh sách các nền tảng được kết nối, nhóm nghiên cứu nhận thấy hệ sinh thái beacon tập trung mạnh vào một số ít công ty công nghệ toàn cầu. Chẳng hạn, Google Tag Manager, công cụ quản lý thẻ (tag) phổ biến, xuất hiện trên 65% website được phân tích.

Theo báo cáo, đây không phải là một công cụ "trung lập" về mặt tuân thủ dữ liệu như nhiều người vẫn nghĩ: việc tải Google Tag Manager đồng nghĩa với việc trình duyệt của người dùng kết nối đến hạ tầng do Google kiểm soát để lấy mã script, và lệnh gọi đầu tiên này có thể đã tiết lộ địa chỉ IP, thông tin thiết bị, dữ liệu trình duyệt, thời gian truy cập và trang giới thiệu. Toàn bộ diễn ra trước khi bất kỳ thẻ nào khác được kích hoạt, và trước khi banner xin ý kiến đồng ý xuất hiện.

Các công cụ khác trong top 10 cũng theo cùng một mô típ. Google Analytics có mặt trên 37% website. Các điểm kết nối tới DoubleClick và Google Ad Services - phục vụ quảng cáo và đo lường chuyển đổi - cũng được ghi nhận phổ biến. Meta và Facebook xuất hiện trên hơn 26% website. YouTube có mặt trên gần 12% website, còn Google Maps trên 9,4%. Báo cáo nhấn mạnh rằng đây đều là những công cụ tiêu chuẩn, gần như mặc định trong "bộ công cụ" của một website doanh nghiệp thông thường. Phần lớn được vận hành mà không có cơ chế giám sát tương ứng với yêu cầu mới của khung pháp lý dữ liệu Việt Nam.

LỖ HỔNG "ĐIỂM MÙ YOUTUBE" TRÊN CÁC WEBSITE

Một trong những phát hiện được nhóm nghiên cứu đánh giá là gây bất ngờ nhất với giới lãnh đạo doanh nghiệp liên quan đến cookie của YouTube.

Theo báo cáo, cookie liên quan đến YouTube xuất hiện trên tới 15% các website được khảo sát, trong khi cookie _ga của Google Analytics có mặt ở 28,2% site và cookie _fbp của Meta Pixel ở 19,1% site. Hai loại cookie sau thuộc nhóm mà hầu hết doanh nghiệp đã biết đến sự tồn tại, dù chưa quản lý đầy đủ. Cookie YouTube thì khác: nó không xuất phát từ việc doanh nghiệp chạy chiến dịch quảng cáo trên YouTube, mà đơn giản là vì website có nhúng một video.

Báo cáo dẫn ra các ví dụ minh họa: một công ty dịch vụ tài chính nhúng video thương hiệu dài 90 giây ở trang giới thiệu; một nhà sản xuất đặt video giới thiệu sản phẩm trên trang chủ; một chủ đầu tư bất động sản thêm video giới thiệu dự án trên trang đích của chiến dịch. Trong mỗi trường hợp, doanh nghiệp nghĩ rằng họ đơn thuần đang hiển thị nội dung. Nhưng trình duyệt, theo báo cáo, có thể đồng thời tải cookie YouTube và thực hiện các lệnh gọi tới hạ tầng của Google ngay từ khi trang được mở, bất kể người xem có nhấn nút phát video hay không.

Nhóm nghiên cứu gọi đây là "điểm mù nội dung nhúng" (the embedded content blind spot), và mô tả nó là một trong những nguồn theo dõi bên thứ ba phổ biến nhất nhưng ít được đưa vào danh mục kiểm soát tuân thủ nhất trên các website doanh nghiệp Việt Nam. Theo AesirX, đây là loại rủi ro thường bị bỏ sót trong quá trình kiểm kê tuân thủ, dù dấu hiệu kỹ thuật có thể quan sát được ngay từ trình duyệt.

BA LỖ HỔNG PHỔ BIẾN NHẤT CỦA CÁC WEBSITE

Thứ nhất, các công cụ theo dõi thường được tải trước khi người dùng có lựa chọn. Đây được xem là lỗi kỹ thuật cốt lõi và phổ biến nhất trong toàn bộ khảo sát: nhiều website hiển thị banner cookie trong khi các script phân tích, quảng cáo và quản lý thẻ đã được kích hoạt từ trước.

Báo cáo lấy ví dụ một website tài chính có Meta Pixel hoạt động ngay trên trang công cụ tính khoản vay, khi người dùng vừa truy cập, pixel đã kích hoạt và gửi đi thông tin về hành vi duyệt web, sản phẩm tài chính họ quan tâm, thời gian họ ở trên trang, việc họ có bắt đầu và bỏ ngang một form đăng ký hay không. Banner chỉ xuất hiện khoảng 800 mili giây sau đó, và không thể đảo ngược những gì đã xảy ra.

Thứ hai, nhiều website không có nhật ký kiểm tra. Theo báo cáo, một banner mà không kèm theo bản ghi lưu lại là chưa đủ để chứng minh việc tuân thủ. Nếu bị đặt câu hỏi, doanh nghiệp cần chứng minh được phiên bản banner nào đã hiển thị, những nhà cung cấp và mục đích nào đã được công bố tại thời điểm đó, người dùng đã lựa chọn gì, vào lúc nào, và những thẻ nào đã được cho phép hoặc chặn dựa trên lựa chọn đó. Thiếu những bản ghi này, doanh nghiệp có thể có banner nhưng không có bằng chứng banner đó từng thực sự kiểm soát công nghệ trên trang.

Thứ ba, việc rút lại sự đồng ý thường khó hơn việc chấp nhận. Nếu người dùng có thể đồng ý toàn bộ chỉ với một lần nhấp, nhưng phải tìm qua chính sách bảo mật, đường liên kết ở chân trang hoặc một trung tâm tùy chọn ẩn để rút lại sự đồng ý đó, mô hình xin ý kiến này được đánh giá là mất cân bằng về cấu trúc.

Việc rút lại đồng ý cần dễ dàng tương đương việc chấp nhận, và quan trọng hơn, phải thực sự ngăn việc xử lý dữ liệu tiếp diễn ở lần truy cập sau, không chỉ đơn thuần cập nhật một màn hình tùy chọn.

Nhóm nghiên cứu kết luận rằng phát hiện quan trọng nhất của báo cáo không phải là việc các nền tảng như Google, Meta hay YouTube xuất hiện phổ biến trên website doanh nghiệp Việt Nam, điều này đã được dự đoán từ trước. Đáng chú ý hơn là mức độ phổ biến đó vẫn tồn tại trên các website doanh nghiệp lớn mà không đi kèm mức độ quản trị tương ứng với yêu cầu của môi trường pháp lý dữ liệu mới.

Theo báo cáo, đây không phải là một khoảng cách về công nghệ, mà là một khoảng cách về quản trị - và trình duyệt, với vai trò là một bề mặt có thể kiểm tra công khai bởi bất kỳ ai trong vài giây, đang khiến khoảng cách đó trở nên hiển hiện hơn bao giờ hết.