Cẩm nang Email Marketing

Nghị định 13/2023 về dữ liệu cá nhân và email marketing

Danh mục: Pháp lý & ngành

Mỗi địa chỉ email trong danh sách của bạn đều là dữ liệu cá nhân của một con người thật. Từ ngày 1/7/2023, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân chính thức có hiệu lực — đây là khung pháp lý chuyên biệt đầu tiên của Việt Nam quy định cách doanh nghiệp được thu thập, lưu trữ và xử lý dữ liệu cá nhân. Với người làm email marketing, nó chạm thẳng vào ba việc bạn làm hằng ngày: xin email, gửi email và để người ta rời đi. Bài này dịch ngôn ngữ pháp lý thành những việc cụ thể bạn nên làm với danh sách và quy trình gửi của mình.

Tuyên bố miễn trừ: nội dung dưới đây là tài liệu tham khảo dành cho người làm marketing, được viết lại dễ hiểu, không phải tư vấn pháp lý. Quy định có thể được hướng dẫn/sửa đổi theo thời gian và cách áp dụng tùy từng tình huống. Với hợp đồng, hồ sơ đánh giá tác động hay tranh chấp cụ thể, hãy hỏi luật sư hoặc bộ phận pháp chế.

Nghị định 13/2023 là gì và vì sao người làm email phải quan tâm

Nghị định 13/2023/NĐ-CP (gọi tắt là NĐ 13 hoặc PDPD — Personal Data Protection Decree) đặt ra nguyên tắc và nghĩa vụ khi xử lý dữ liệu cá nhân của công dân, áp dụng cho cả tổ chức trong nước lẫn tổ chức nước ngoài có hoạt động xử lý dữ liệu của người tại Việt Nam. Nó thường được so sánh với GDPR của châu Âu vì cùng tinh thần: dữ liệu cá nhân thuộc về cá nhân, doanh nghiệp chỉ được dùng khi có cơ sở hợp lệ.

Vài khái niệm cốt lõi bạn cần nắm để đọc tiếp:

  • Dữ liệu cá nhân — thông tin gắn với một người và nhận diện được họ. Email, tên, số điện thoại, hành vi mua hàng, thậm chí địa chỉ IP và lịch sử mở/click email đều có thể là dữ liệu cá nhân.
  • Chủ thể dữ liệu — chính người dùng/khách hàng mà dữ liệu nói về họ. Trong email marketing, đó là người đăng ký nhận tin của bạn.
  • Bên Kiểm soát dữ liệu — tổ chức quyết định mục đíchcách thức xử lý. Doanh nghiệp của bạn (chủ danh sách) thường là bên này.
  • Bên Xử lý dữ liệu — bên xử lý thay cho bên kiểm soát theo hợp đồng. Nền tảng gửi email (như Mailemdi), CRM, nhà cung cấp SMTP thường đóng vai này.
  • Sự đồng ý — cơ sở phổ biến nhất để gửi email marketing: người dùng chủ động cho phép bạn liên hệ.

Sự đồng ý: trái tim của email marketing hợp lệ

NĐ 13 nhấn mạnh sự đồng ý phải tự nguyện, rõ ràng và cụ thể về mục đích. Người dùng phải biết họ đang đồng ý cho ai, để làm gì. Dịch sang ngôn ngữ form đăng ký: bạn không thể gom “tạo tài khoản” với “nhận email quảng cáo” vào cùng một ô bắt buộc, rồi coi như khách đã đồng ý nhận tin.

Những đặc điểm của một sự đồng ý “sạch” mà bạn nên hướng tới:

  • Chủ động, không mặc định. Ô tick đồng ý nhận email nên để trống và do người dùng tự tick, không tick sẵn (pre-checked).
  • Nói rõ mục đích. Ghi cụ thể “Tôi đồng ý nhận email về khuyến mãi và tin sản phẩm của [Công ty]” thay vì câu chung chung “Tôi đồng ý với các điều khoản”.
  • Tách bạch. Đồng ý nhận marketing nên tách khỏi đồng ý điều khoản dịch vụ/chính sách bảo mật.
  • Có đường dẫn chính sách. Đặt link tới Chính sách bảo mật ngay cạnh form để người dùng biết dữ liệu của họ được dùng thế nào.

Mẹo thực chiến — Double opt-in: cách tốt nhất để chứng minh đồng ý là dùng double opt-in: sau khi điền form, người dùng nhận một email xác nhận và phải bấm vào link mới được thêm vào danh sách. Bạn vừa lọc được địa chỉ giả/gõ sai, vừa có bằng chứng (thời điểm xác nhận) cho mỗi liên hệ. Trong Mailemdi, bạn chỉ cần bật công tắc Double opt-in (xác nhận email) ngay trong trình tạo form là xong. Xem chi tiết tại bài Double opt-in.

Để dễ hình dung, dưới đây là vài cách diễn đạt câu đồng ý — bạn có thể bắt đầu từ mẫu rồi chỉnh cho đúng giọng thương hiệu:

Nên dùng

“Tôi đồng ý nhận email về khuyến mãi, sản phẩm mới và mẹo dùng hàng từ [Tên công ty], khoảng 2–4 email mỗi tháng. Tôi có thể hủy đăng ký bất cứ lúc nào.”

ai gửi, gửi gì, bao lâu một lần cách rời đi. Ô tick để trống.

Nên tránh

“Tôi đồng ý với Điều khoản & Chính sách” (kèm sẵn ô tick đã đánh dấu, gộp luôn cả việc nhận quảng cáo).

Đồng ý bị “ép”, không tách bạch, không nêu mục đích marketing — khó coi là tự nguyện và cụ thể.

Khi nào được gửi mà không cần xin đồng ý lại?

Đồng ý là cơ sở phổ biến nhất, nhưng không phải duy nhất. NĐ 13 nêu một số trường hợp dữ liệu cá nhân được xử lý mà không cần sự đồng ý — chẳng hạn để thực hiện hợp đồng với chính chủ thể, theo nghĩa vụ pháp luật, hoặc trong tình huống khẩn cấp. Với email, ranh giới hữu ích cần phân biệt là:

  • Email giao dịch (transactional) — xác nhận đơn hàng, hóa đơn, đặt lại mật khẩu, thông báo giao hàng. Đây là thứ khách cần để hoàn tất việc họ đã yêu cầu, thường gắn với việc thực hiện hợp đồng, nên không phải là marketing.
  • Email marketing — khuyến mãi, giới thiệu sản phẩm, bản tin bán hàng. Đây là thứ bạn muốn gửi để bán thêm, và thường cần sự đồng ý nhận tin.

Mẹo an toàn: đừng “nhét” nội dung quảng cáo vào email giao dịch để lách. Một email xác nhận đơn hàng kèm nửa trang banner sale sẽ bị coi như marketing — và nếu người nhận chưa đồng ý nhận quảng cáo, bạn đã vượt ranh giới. Hãy giữ email giao dịch gọn, đúng việc; còn chào bán thì để cho luồng marketing có đồng ý đàng hoàng.

Lưu lại bằng chứng đồng ý — “nói có sách”

Có được đồng ý mới là một nửa; nửa còn lại là chứng minh được bạn có nó. Khi có khiếu nại hoặc thanh tra, “khách tự đăng ký mà” nói suông là chưa đủ. Hãy lưu lại cho mỗi liên hệ:

  • Thời điểm đồng ý (ngày giờ khách tick/đăng ký).
  • Nguồn đồng ý (form nào, trang nào, sự kiện nào).
  • Nội dung mà họ đã đồng ý (câu chữ trên form tại thời điểm đó).
  • Bằng chứng xác nhận (với double opt-in: thời điểm bấm link xác nhận).

Khi bạn dùng form và danh bạ của Mailemdi, mỗi liên hệ vào hệ thống qua form đều mang theo nguồn và thời điểm đăng ký, nên việc “truy nguồn một địa chỉ” trở nên dễ hơn nhiều so với gom email rời rạc qua Excel. Tham khảo cách dựng form thu thập hợp lệ tại bài Thiết kế form đăng ký và cách nuôi danh sách đúng cách tại Xây dựng danh sách email.

Quyền rút lại đồng ý và các quyền khác của người nhận

NĐ 13 trao cho chủ thể dữ liệu một loạt quyền mà bạn cần tôn trọng trong vận hành. Quan trọng nhất với email marketing là quyền rút lại đồng ý: việc rút lại phải dễ như khi cho phép, và sau khi rút, bạn phải dừng dùng dữ liệu cho mục đích đó. Trong email, “rút lại” thường chính là bấm Hủy đăng ký.

Quyền của người nhậnBạn cần làm gì trong email marketing
Được biết / được thông tinNói rõ ngay tại form: bạn là ai, gửi gì, bao lâu một lần; có link Chính sách bảo mật.
Rút lại đồng ýMỗi email có link Hủy đăng ký dễ thấy, một bước là xong, không bắt đăng nhập.
Truy cập / chỉnh sửaCho phép người dùng xem và cập nhật thông tin/ sở thích nhận tin (preference center).
Xóa dữ liệuKhi được yêu cầu xóa, gỡ liên hệ khỏi danh sách gửi và lưu trữ phù hợp.
Phản đối xử lýTôn trọng yêu cầu ngừng gửi marketing kể cả khi gửi qua kênh/đường khác.

Điểm mấu chốt: đừng coi các quyền này là “rủi ro pháp lý phải né” mà là kỷ luật vệ sinh danh sách. Người đã muốn rời đi mà bạn cố giữ thì họ sẽ bấm “Báo cáo spam”, và điều đó hại uy tín gửi của bạn còn nặng hơn việc mất một liên hệ.

Hủy đăng ký: làm đúng vừa hợp lệ, vừa tốt cho deliverability

Đây là nơi pháp lý và kỹ thuật gặp nhau. Cùng một việc — cho người ta rời đi dễ dàng — vừa giúp bạn tôn trọng quyền rút lại theo NĐ 13, vừa khớp với yêu cầu của Gmail/Yahoo về hủy đăng ký một chạm (one-click unsubscribe). Một quy trình hủy đăng ký tốt cần:

  • Link Hủy đăng ký rõ ràng ở chân mọi email marketing — không giấu, không cỡ chữ tí hon cùng màu nền.
  • Ít bước nhất có thể. Lý tưởng là một cú bấm; tránh bắt đăng nhập hay điền lại email mới cho hủy.
  • Có hiệu lực nhanh. Sau khi hủy, dừng gửi sớm nhất có thể, đừng để “còn vài email trong hàng đợi” tiếp tục bay tới họ.
  • Header List-Unsubscribe. Bật tiêu đề kỹ thuật để hộp thư hiển thị nút Hủy đăng ký gốc — vừa chuyên nghiệp, vừa giảm nguy cơ bị bấm “Báo spam”.

Quan trọng: người đã hủy phải vào danh sách chặn (suppression list) để vĩnh viễn không nhận lại email marketing — kể cả khi vô tình họ lọt vào một lần nhập danh sách mới. Mailemdi duy trì suppression list tự động: địa chỉ đã hủy đăng ký, bị bounce cứng hoặc báo spam sẽ bị loại khỏi mọi lần gửi sau, nên bạn không phải nhớ thủ công.

Cảnh báo: không “chôn” link hủy, không thêm bước rườm rà để giữ người. Việc làm khó người muốn rời vừa ngược tinh thần “rút lại dễ như khi đồng ý”, vừa đẩy tỷ lệ báo spam lên cao — mà tỷ lệ báo spam vượt ngưỡng có thể khiến Gmail/Yahoo siết hoặc chặn toàn bộ luồng gửi của bạn.

Theo dõi mở/click cũng là xử lý dữ liệu cá nhân

Nhiều người quên rằng việc bạn ghi nhận ai mở email, bấm link nào, lúc nào cũng là thu thập dữ liệu hành vi gắn với cá nhân. NĐ 13 đề cao nguyên tắc minh bạchđúng mục đích, nên cách an toàn là:

  • Nêu trong Chính sách bảo mật rằng bạn thống kê mở/click để cải thiện nội dung và cá nhân hóa.
  • Chỉ dùng dữ liệu hành vi cho đúng mục đích đã nói (ví dụ phân khúc, gửi nội dung phù hợp), không bán/chia sẻ ngoài phạm vi.
  • Giữ dữ liệu vừa đủ thời gian cần thiết; dọn dẹp liên hệ “chết” (không tương tác lâu) thay vì giữ mãi.

Trong Mailemdi, các chỉ số mở/click, phân khúc và automation đều phục vụ mục đích vận hành chiến dịch của chính bạn. Hãy dùng chúng để gửi ít hơn nhưng đúng người hơn — vừa lịch sự với người nhận, vừa tốt cho danh tiếng người gửi. Xem thêm cách dùng tại hướng dẫn Chiến dịch hướng dẫn Automation.

Nhà cung cấp công cụ là “bên xử lý” — chọn cho cẩn thận

Khi bạn đẩy danh sách lên một nền tảng gửi email, về mặt pháp lý nền tảng đó trở thành bên xử lý dữ liệu thay cho bạn. Bạn vẫn chịu trách nhiệm chính với chủ thể dữ liệu, nên việc chọn đối tác xử lý cũng là một phần tuân thủ. Vài câu hỏi nên đặt ra:

  • Nhà cung cấp có cam kết bảo mật dữ liệu, có điều khoản về xử lý dữ liệu không?
  • Dữ liệu được lưu ở đâu? Nếu xử lý/chuyển ra ngoài Việt Nam, bạn cần lưu ý các yêu cầu liên quan đến chuyển dữ liệu xuyên biên giới theo NĐ 13.
  • Có cơ chế để bạn thực thi quyền của người dùng (xóa, xuất, hủy nhận) một cách kịp thời không?
  • Họ có kiểm soát bounce/complaint và bảo vệ uy tín gửi giúp bạn không?

Đây là lý do nên dùng nền tảng gửi chuyên dụng thay vì gửi hàng loạt bằng tay qua hộp thư cá nhân: bạn có công cụ để xác thực domain, quản lý đồng ý, hủy đăng ký, suppression và truy nguồn liên hệ — những thứ giúp tuân thủ trở thành mặc định chứ không phải việc nhớ thủ công.

Lưu ý chuyển dữ liệu ra nước ngoài: nhiều công cụ marketing quốc tế lưu dữ liệu ở máy chủ ngoài Việt Nam. NĐ 13 có quy định riêng cho việc chuyển dữ liệu cá nhân của công dân ra nước ngoài, trong đó có thể yêu cầu lập hồ sơ đánh giá tác động và lưu giữ để xuất trình khi cơ quan chức năng yêu cầu. Nếu doanh nghiệp bạn xử lý lượng lớn dữ liệu hoặc dữ liệu nhạy cảm, hãy hỏi pháp chế về nghĩa vụ này thay vì bỏ qua — đây là phần khác biệt rõ so với việc chỉ gửi email trong nước.

Checklist tuân thủ cho người làm email marketing VN

In ra hoặc lưu lại danh sách này; rà soát chiến dịch của bạn theo từng dòng:

  • Form đăng ký có ô đồng ý chủ động (không tick sẵn), nói rõ mục đích, có link Chính sách bảo mật.
  • Double opt-in được bật để có bằng chứng đồng ý và làm sạch địa chỉ.
  • Lưu hồ sơ đồng ý: thời điểm, nguồn, nội dung khách đã đồng ý.
  • Mọi email có địa chỉ người gửi rõ ràng, danh tính doanh nghiệp và link Hủy đăng ký một bước.
  • Hủy đăng ký có hiệu lực nhanh và đẩy vào suppression list, không gửi lại.
  • Header List-Unsubscribe được bật cho hủy một chạm.
  • Chính sách bảo mật nêu việc thống kê mở/click và mục đích sử dụng dữ liệu.
  • Không mua/đổi danh sách email — những liên hệ này không hề đồng ý nhận tin của bạn.
  • Vệ sinh danh sách định kỳ: loại liên hệ không tương tác, xử lý ngay yêu cầu xóa/ngừng nhận.
  • Đối tác xử lý dữ liệu (nền tảng, CRM) có cam kết bảo mật rõ ràng.

Vì sao “mua danh sách email” là vùng cấm

Cám dỗ lớn nhất khi mới làm là mua một danh sách hàng chục nghìn email cho nhanh. Nhưng những người trong danh sách đó chưa bao giờ đồng ý nhận tin của bạn — bạn không có cơ sở hợp lệ để gửi, đồng thời tự rước về cả về rủi ro pháp lý lẫn rủi ro kỹ thuật:

  • Tỷ lệ bounce báo spam cao, kéo tụt uy tín domain của bạn ngay lập tức.
  • Danh sách mua thường chứa spam trap — địa chỉ bẫy khiến bạn bị đưa vào blacklist.
  • Vi phạm nguyên tắc đồng ý — không khớp tinh thần NĐ 13.

Hãy xây danh sách của riêng bạn bằng nội dung giá trị và lead magnet hợp lệ — chậm hơn nhưng bền và “sạch”. Trước khi gửi, soát nội dung bằng công cụ Soát từ khóa spam và kiểm tra dung lượng email bằng công cụ Đo dung lượng email để tránh bị cắt ở Gmail. Phần kỹ thuật giúp vào hộp thư có ở trang Vào hộp thư đến.

Tinh thần cốt lõi: tôn trọng người nhận

Nếu phải gói NĐ 13 vào một câu cho người làm email marketing, đó là: chỉ gửi cho người đã đồng ý, gửi đúng điều họ mong đợi, và để họ rời đi bất cứ lúc nào một cách dễ dàng. Điều thú vị là toàn bộ những việc “tuân thủ” ấy cũng chính là những việc giúp bạn vào inbox, giữ tỷ lệ mở cao và xây danh tiếng người gửi bền vững. Pháp lý tốt và marketing tốt, trong email, đi cùng một hướng.

Nếu bạn còn băn khoăn về một tình huống cụ thể của doanh nghiệp mình (ví dụ cách diễn đạt câu đồng ý, hồ sơ cần lưu, hay xử lý dữ liệu xuyên biên giới), hãy hỏi luật sư/bộ phận pháp chế. Còn về phần triển khai trong sản phẩm — form đồng ý, double opt-in, hủy đăng ký, suppression — đội ngũ Mailemdi sẵn sàng hỗ trợ qua trang Liên hệ.

Gửi email vừa hợp lệ, vừa vào inbox

Mailemdi tích hợp sẵn double opt-in, hủy đăng ký một chạm, suppression list tự động và xác thực domain SPF/DKIM/DMARC — giúp việc tuân thủ NĐ 13 trở thành mặc định, không phải việc nhớ thủ công.

Bắt đầu miễn phí với Mailemdi

Bài viết mang tính tham khảo, được biên soạn cho người làm email marketing và không cấu thành tư vấn pháp lý. Vui lòng tham vấn chuyên gia pháp lý cho tình huống cụ thể của bạn.