PRIVACY · LEGAL

Privacy Policy mẫu cho website chạy Google Ads tại Việt Nam (Nghị định 13/2023)

Privacy Policy không chỉ là "checkbox legal" — nó là điều kiện bắt buộc theo Nghị định 13/2023/NĐ-CP của VN, và là baseline trust signal cho Google E-E-A-T. Bài này cung cấp mẫu thực tế + 9 mục bắt buộc theo luật VN.

Nhận audit miễn phí Xem tất cả Insights
Ảnh Phan Doãn Tý
Written byPhan Doãn Tý

CEO & Founder · TyphanAds

Ảnh Đội ngũ TyphanAds
Reviewed byĐội ngũ TyphanAds

Google Ads Specialists · Premier Partner

23/05/2026 8 phút đọc

Tóm tắt nhanh (Key takeaways)

  • Nghị định 13/2023/NĐ-CP có hiệu lực từ 1/7/2023 — bắt buộc với mọi doanh nghiệp thu thập dữ liệu cá nhân.
  • 9 mục bắt buộc trong Privacy Policy theo NĐ 13: mục đích, phạm vi, thời gian lưu, etc.
  • Cần thêm điều khoản về Google Ads, GA4, Meta Pixel, retargeting nếu dùng.
  • Privacy Policy phải có ở footer + tại điểm thu thập (form lead).
  • Vi phạm Nghị định 13 phạt 50-200 triệu VND + đình chỉ xử lý dữ liệu.

9 mục bắt buộc theo Nghị định 13/2023/NĐ-CP

  1. Mục đích xử lý dữ liệu cá nhân — Chi tiết: marketing, vận hành, hỗ trợ khách hàng, etc.
  2. Phạm vi xử lý — Loại data (tên, email, phone, IP, cookie, behavioral data)
  3. Thời gian lưu giữ — Bao lâu giữ data, sau đó xóa hay archive
  4. Quyền của chủ thể dữ liệu — Quyền truy cập, sửa, xóa, từ chối, khiếu nại
  5. Bên thứ 3 nhận dữ liệu — Google, Meta, đối tác CRM, etc. + mục đích share
  6. Cơ chế bảo mật — Encrypt, access control, backup, training nhân viên
  7. Thông tin chủ thể xử lý — Tên công ty, địa chỉ, điện thoại, email liên hệ DPO
  8. Cập nhật chính sách — Cách thông báo user khi policy thay đổi
  9. Cơ chế xử lý khiếu nại — Quy trình + thời gian phản hồi (15-30 ngày)

Điều khoản đặc biệt cho website chạy Google Ads

4 điều khoản phải có nếu chạy Google Ads

(1) Thông báo dùng Google Analytics 4 thu thập cookie + behavioral data;
(2) Thông báo dùng Google Ads conversion tracking + remarketing cookie;
(3) Thông báo Customer Match (nếu upload email/phone hash lên Google Ads);
(4) Link đến Google Privacy Policy và cách user opt-out qua adssettings.google.com.

Đọc tiếp chuyên đề liên quan
Consent Mode v2 Customer Match VN Server-side Tracking
ĐỌC THÊM

Bài viết liên quan từ TyphanAds Insights

Xem tất cả Insights
TRACKING · GTM SS

Server-side Conversion Tracking 2026 – Hướng dẫn chi tiết

10 phút đọc
CONSENT · LEGAL

Consent Mode v2 Việt Nam – Hướng dẫn theo Nghị định 13/2023

8 phút đọc
GA4 · TRACKING

GA4 Google Ads Link 2026 — Setup chuẩn (checklist 14 điểm)

8 phút đọc

CÂU HỎI THƯỜNG GẶP

Câu hỏi thường gặp

Cần Privacy Policy ngay cả khi chỉ có Google Analytics?
CÓ. Bất kỳ tool thu thập dữ liệu (kể cả GA4 với IP, device, cookie) đều cần thông báo qua Privacy Policy. Nghị định 13 không phân biệt "ít" hay "nhiều" data — chỉ có "có thu thập" hay "không".
Có thể copy Privacy Policy từ website khác không?
Không nên. Tuy không vi phạm copyright trực tiếp (chính sách thường tương tự), nhưng copy = không phản ánh đúng practice thực tế của bạn. Khi cơ quan kiểm tra so sánh policy với practice không khớp → bị phạt nặng. TyphanAds khuyến nghị: dùng mẫu có sẵn nhưng tùy chỉnh từng mục theo data flow thật.
Vi phạm Nghị định 13 phạt bao nhiêu?
Tùy mức độ: cảnh cáo, phạt 50-200 triệu VND, đình chỉ xử lý dữ liệu 1-12 tháng, công khai vi phạm. Nếu gây thiệt hại lớn cho cá nhân: chuyển cơ quan điều tra hình sự (BLHS). Doanh nghiệp Việt 2024-2025 đã có 14 case bị phạt.
Privacy Policy có cần update không?
CÓ, khi có thay đổi: (1) tool tracking mới được thêm; (2) loại data mới được thu thập; (3) mục đích xử lý thay đổi; (4) bên thứ 3 nhận data thay đổi. Mỗi update phải thông báo user (email blast hoặc banner trên website).

Sẵn sàng tối ưu Google Ads cùng TyphanAds?

Bạn muốn biết tài khoản Google Ads của mình đang lãng phí ngân sách ở đâu? Liên hệ TyphanAds để nhận audit miễn phí và tư vấn chiến lược tối ưu CPA/ROAS phù hợp với ngành hàng của bạn.

0762.588.340 Nhận audit miễn phí