Nghịch lý dữ liệu vị trí cá nhân - Phần 1: Giá trị thương mại cao nhất

Với các nền tảng công nghệ như Grab, Be, Xanh SM, ShopeeFood hay Giao Hàng Nhanh…, dữ liệu vị trí không đơn thuần là một loại thông tin kỹ thuật. Đây chính là “hệ thần kinh” của mô hình kinh doanh số, bởi toàn bộ hoạt động ghép chuyến, định tuyến, giao hàng, tính thời gian dự kiến đến, chống gian lận và quản trị vận hành đều phụ thuộc trực tiếp vào khả năng định vị theo thời gian thực.

Dữ liệu vị trí: từ công cụ vận hành thành dữ liệu nhạy cảm

Nghị định 356/2025/NĐ-CP quy định chi tiết Luật BVDLCN 2025 về dữ liệu vị trí của cá nhân thu thập qua dịch vụ định vị là dữ liệu cá nhân nhạy cảm. Mọi hoạt động thu thập, lưu trữ, phân tích, chia sẻ hoặc chuyển dữ liệu vị trí đều phải tuân theo các yêu cầu cao hơn từ cơ sở xử lý dữ liệu; thông báo và đồng ý; lưu giữ, kiểm soát, bảo mật; cho đến đánh giá tác động xử lý dữ liệu và ứng phó sự cố. Dữ liệu vị trí của cá nhân nằm trong nhóm dữ liệu cần kiểm soát đặc biệt.

Thách thức các doanh nghiệp công nghệ nằm ở chỗ họ gần như không thể hoạt động nếu thiếu dữ liệu vị trí. Một ứng dụng gọi xe phải biết chính xác khách hàng và tài xế đang ở đâu để ghép chuyến. Một nền tảng giao đồ ăn cần theo dõi vị trí shipper theo thời gian thực để tối ưu tuyến giao hàng. Một công ty logistics phải liên tục định vị phương tiện, kho hàng và trạng thái giao nhận.

Nói cách khác, dữ liệu vị trí không chỉ là công cụ hỗ trợ vận hành mà chính là lõi tạo ra doanh thu. Điều này khiến doanh nghiệp rơi vào một tình huống rất đặc biệt: trong khi pháp luật yêu cầu giảm thiểu thu thập và giới hạn mục đích xử lý, nhưng mô hình kinh doanh lại cần dữ liệu chính xác, liên tục và theo thời gian thực.

“Đồng ý” là “dùng hoặc không dùng”

Trong giai đoạn trước đây, nhiều doanh nghiệp có khuynh hướng xem việc người dùng bấm chọn “Đồng ý” là cơ sở pháp lý gần như tuyệt đối để xử lý dữ liệu. Tuy nhiên, dưới khung pháp lý mới về bảo vệ dữ liệu cá nhân của Việt Nam cách tiếp cận này ngày càng bộc lộ nhiều rủi ro.

Đối với dữ liệu vị trí, câu hỏi quan trọng không chỉ là “người dùng có đồng ý hay không”, mà còn là: người dùng có được thông báo đầy đủ hay không; sự đồng ý có thật sự tự nguyện hay không; và doanh nghiệp có đang buộc người dùng phải chấp nhận theo kiểu “đồng ý hoặc không thể sử dụng dịch vụ” hay không.

Trong nhiều trường hợp, cơ chế “đồng ý” trên thực tế có thể trở thành một dạng “take it or leave it” (sử dụng hoặc không sử dụng), nơi người dùng buộc phải chấp nhận chia sẻ dữ liệu vị trí nếu muốn tiếp tục sử dụng dịch vụ. Điều này khiến ranh giới giữa “đồng ý tự nguyện” và “đồng ý mang tính điều kiện” trở nên ngày càng nhạy cảm dưới góc độ pháp lý.

Rủi ro khi tái sử dụng dữ liệu

Một trong những vấn đề pháp lý phức tạp nhất đối với dữ liệu vị trí nằm ở việc dữ liệu này thường không chỉ được sử dụng cho một mục đích duy nhất.

Trong thực tế, dữ liệu vị trí ban đầu có thể được thu thập để ghép chuyến hoặc định tuyến giao hàng, nhưng sau đó tiếp tục được sử dụng cho: (i) phân tích hành vi người dùng; (ii) đánh giá hiệu suất tài xế; (iii) quảng cáo theo hành vi; cho đến (iv) dự đoán nhu cầu thị trường; thậm chí (v) huấn luyện hệ thống AI.

Dưới góc độ kỹ thuật và vận hành, việc tái sử dụng như vậy giúp doanh nghiệp tối ưu hóa đáng kể chi phí dữ liệu và cải thiện thuật toán. Tuy nhiên, dưới góc độ pháp lý, đây lại là khu vực có rủi ro tuân thủ rất lớn nếu mục đích xử lý mở rộng vượt ra ngoài phạm vi mà chủ thể dữ liệu được thông báo hoặc có thể kỳ vọng hoặc được biết ban đầu.

(*) Công ty Luật TNHH HM&P

LS. Nguyễn Văn Phúc (*)