Tin Tổng Hợp

Checklist tuân thủ CCPA cho các Doanh nghiệp

Việc các Doanh nghiệp tuân thủ theo CCPA là bước đi đúng đắn khi làm việc tại thị trường Mỹ. Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA), đã được cập nhật bởi CPRA, không chỉ áp dụng cho các công ty tại Mỹ mà còn có thể ảnh hưởng đến các doanh nghiệp Việt Nam nếu họ có khách hàng hoặc người dùng tại California. Trong bài viết này, SQC Certification xin chia sẻ bạn checklist tuân thủ CCPA cho các Doanh nghiệp mới nhất năm 2026.

checklist tuân thủ PCCA

Tổng quan về Đạo luật CCPA

CCPA (California Consumer Privacy Act) là luật bảo vệ quyền riêng tư của người tiêu dùng tại bang California (Mỹ). Đạo luật này buộc doanh nghiệp phải minh bạch và có trách nhiệm trong việc thu thập, lưu trữ và chia sẻ dữ liệu cá nhân.

Các quyền cơ bản của người dùng:

  • Quyền được biết: Biết dữ liệu nào đang bị thu thập và sử dụng.

  • Quyền xóa: Yêu cầu doanh nghiệp xóa bỏ thông tin cá nhân.

  • Quyền từ chối: Ngăn chặn việc bán hoặc chia sẻ dữ liệu cho bên thứ ba.

  • Quyền không bị phân biệt đối xử: Không bị hạn chế dịch vụ khi thực hiện các quyền trên.

Việc tuân thủ CCPA (CCPA Compliance) là việc doanh nghiệp thực hiện đầy đủ các yêu cầu của Đạo luật quyền riêng tư người tiêu dùng California nhằm bảo vệ quyền riêng tư và dữ liệu cá nhân của khách hàng.

Đối tượng tuân thủ CCPA

CCPA áp dụng cho tất cả các tổ chức (kể cả ngoài bang California) có hoạt động thu thập, xử lý dữ liệu của cư dân bang này. Doanh nghiệp cần tuân thủ nếu thỏa mãn ít nhất một trong các điều kiện:

  • Doanh thu: Tổng doanh thu hàng năm từ 25 triệu USD trở lên.

  • Quy mô dữ liệu: Mua, bán hoặc chia sẻ dữ liệu của tối thiểu 100.000 cá nhân, hộ gia đình hoặc thiết bị tại California.

  • Nguồn thu: Có từ 50% doanh thu hàng năm trở lên đến từ việc bán thông tin cá nhân.

đói tượng tuân thủ CCPA
đói tượng tuân thủ CCPA

Lưu ý quan trọng:

  • Ngoại lệ: Các tổ chức phi lợi nhuận và cơ quan nhà nước có thể được miễn trừ một số nghĩa vụ cụ thể.

  • Tầm nhìn: Dù chưa thuộc đối tượng áp dụng, doanh nghiệp vẫn nên chủ động tìm hiểu CCPA để sẵn sàng cho các đạo luật tương tự đang dần phổ biến tại các bang khác của Mỹ và quốc tế.

Checklist tuân thủ CCPA mới nhất 2026

Dưới đây là checklist về tuân thủ CCPA mới nhất 2026 mà chuyên gia SQC Certification gửi đến cho bạn đọc. Chúng bao gồm các phần khác nhau

1. Xác định phạm vi áp dụng (Applicability)

Trước hết, doanh nghiệp của bạn cần hãy kiểm tra xem mình có thuộc đối tượng phải tuân thủ CCPA/CPRA hay không. Bạn cần tuân thủ nếu là đơn vị kinh doanh vì lợi nhuận, có thu thập dữ liệu cư dân California và thỏa mãn ít nhất một trong các điều kiện sau:

  • Doanh thu: Tổng doanh thu hàng năm vượt quá 25 triệu USD (mức điều chỉnh cho năm 2025 là khoảng 26.6 triệu USD).
  • Khối lượng dữ liệu: Mua, bán hoặc chia sẻ dữ liệu cá nhân của ít nhất 100.000 người tiêu dùng hoặc hộ gia đình tại California mỗi năm.
  • Nguồn thu: Có ít nhất 50% doanh thu hàng năm đến từ việc bán hoặc chia sẻ dữ liệu cá nhân.

2. Kiểm kê và Phân loại dữ liệu (Data Inventory)

Để bảo vệ dữ liệu, doanh nghiệp của bạn cần biết mình đang nắm giữ những gì trong hệ thống dữ liệu của mình để từ đó có thể phân loại rõ ràng. Những vấn đề đó có thể được thể hiện như sau:

  • Lập danh mục các loại dữ liệu cá nhân thu thập (tên, email, địa chỉ IP, số hộ chiếu, v.v.).
  • Xác định nguồn gốc dữ liệu (website, CRM, bên thứ ba).
  • Phân loại dữ liệu nhạy cảm (Sensitive Personal Information – SPI) theo quy định mới của CPRA.
  • Xác định mục đích sử dụng cho từng loại dữ liệu và thời hạn lưu trữ cụ thể.
Kiểm kê và Phân loại dữ liệu (Data Inventory)
Kiểm kê và Phân loại dữ liệu (Data Inventory)

3. Cập nhật Chính sách Bảo mật (Privacy Policy)

Chính sách cần được cập nhật ít nhất 12 tháng một lần và phải bao gồm:

  • Danh sách các loại dữ liệu đã thu thập trong 12 tháng qua.
  • Quyền của người tiêu dùng (quyền truy cập, xóa, sửa, hạn chế sử dụng dữ liệu nhạy cảm).
  • Cách thức để người dùng thực hiện các quyền này.
  • Công bố rõ ràng liệu doanh nghiệp có “bán” (Sell) hoặc “chia sẻ” (Share) dữ liệu cho mục đích quảng cáo hành vi hay không.

4. Thiết lập Cơ chế Thực thi Quyền người tiêu dùng

Doanh nghiệp phải phản hồi các yêu cầu trong vòng 45 ngày:

  • Cung cấp ít nhất 2 phương thức để người dùng gửi yêu cầu (ví dụ: số điện thoại miễn phí, biểu mẫu trực tuyến).
  • Xây dựng quy trình xác minh danh tính người yêu cầu để tránh rò rỉ dữ liệu cho bên thứ ba.
  • Thiết lập nút hoặc liên kết rõ ràng: Do Not Sell or Share My Personal InformationLimit the Use of My Sensitive Personal Information trên trang chủ.

5. Quản lý Nhà cung cấp và Bên thứ ba

CCPA yêu cầu sự ràng buộc chặt chẽ với các đối tác xử lý dữ liệu:

  • Rà soát hợp đồng với các nhà cung cấp dịch vụ (Service Providers).
  • Đảm bảo hợp đồng có các điều khoản cấm bên thứ ba bán dữ liệu hoặc sử dụng dữ liệu ngoài mục đích đã thỏa thuận.

6. Bảo mật và Đào tạo

  • Triển khai các biện pháp bảo mật hợp lý (mã hóa, kiểm soát truy cập) để ngăn chặn vi phạm dữ liệu.
  • Đào tạo nhân sự (đặc biệt là bộ phận CSKH và IT) về các quy định của CCPA để xử lý yêu cầu của người dùng đúng luật.
  • Lưu trữ hồ sơ về các yêu cầu của người tiêu dùng và cách phản hồi trong ít nhất 24 tháng.

 

Những chú ý khi doanh nghiệp xây dựng checklist tuân thủ CCPA

Khi triển khai checklist tuân thủ CCPA, bên cạnh các bước kỹ thuật, doanh nghiệp của bạn cần đặc biệt chú trọng đến các yếu tố thực thi để tránh các rủi ro pháp lý và chi phí phát sinh. Sau đây SQC Certification sẽ đưa ra những lưu ý cho doanh nghiệp của bạn:

Dưới đây là các lưu ý quan trọng:

  1. Phân biệt giữa CCPA và CPRA

Vào năm 2023, Đạo luật Quyền riêng tư của California (CPRA) đã chính thức có hiệu lực và sửa đổi CCPA. Doanh nghiệp của bạn cần lưu ý những vấn đề sau:

  • Dữ liệu nhân viên: Hiện nay, dữ liệu của nhân viên và ứng viên (B2B) cũng được bảo vệ như dữ liệu người tiêu dùng thông thường.
  • Dữ liệu nhạy cảm (SPI): CPRA tạo ra một danh mục mới cho “thông tin cá nhân nhạy cảm” (như số căn cước, vị trí chính xác, xu hướng tính dục). Doanh nghiệp phải cung cấp quyền “Hạn chế sử dụng” đối với nhóm này.

Phân biệt giữa CCPA và CPRA

  1. Quy tắc “Bán” so với “Chia sẻ”

Hiện nay có nhiều doanh nghiệp vẫn thường có những lầm tưởng rằng nếu không thu tiền từ dữ liệu thì không “bán“. Tuy nhiên:

  • “Bán” (Sell): Theo CCPA, việc trao đổi dữ liệu lấy bất kỳ lợi ích có giá trị nào (không nhất thiết là tiền) cũng bị coi là bán.
  • “Chia sẻ” (Share): Việc cung cấp dữ liệu cho bên thứ ba để quảng cáo hành vi (cross-context behavioral advertising) cũng phải được công bố và cho phép người dùng từ chối.

  1. Cơ chế xác minh danh tính (Verification)

Đây có thể chính là một trong những rủi ro lớn về mặt bảo mật khi doanh nghiệp không thực hiện cẩn thận:

  • Thiết lập quy trình xác minh chặt chẽ để đảm bảo người yêu cầu xóa/sửa dữ liệu đúng là chủ sở hữu.

Lưu ý: Không yêu cầu thêm thông tin nhạy cảm mới chỉ để xác minh, trừ khi thực sự cần thiết.

  1. Thời hạn phản hồi nghiêm ngặt

  • 45 ngày: Hiện nay thời hạn tối đa để phản hồi yêu cầu của người dùng (có thể gia hạn thêm 45 ngày nếu thông báo trước cho họ).
  • Quản lý dữ liệu tồn đọng: Doanh nghiệp phải có khả năng truy xuất dữ liệu từ 12 tháng trước đó kể từ thời điểm nhận được yêu cầu.

  1. Quản lý nhà cung cấp (Service Providers)

Việc chỉ có checklist nội bộ là chưa đủ. Bạn phải rà soát lại các đối tác (ví dụ: đơn vị chạy quảng cáo, lưu trữ đám mây):

  • Kiểm tra xem các nhà cung cấp có cam kết tuân thủ CCPA hay không.
  • Đảm bảo hợp đồng có điều khoản ngăn chặn việc họ sử dụng dữ liệu của bạn cho mục đích riêng của họ.

  1. Không phân biệt đối xử (Non-Discrimination)

Doanh nghiệp không được phép:

  • Thay đổi giá cả, chất lượng dịch vụ hoặc từ chối cung cấp hàng hóa khi khách hàng chọn thực hiện quyền riêng tư (như từ chối bán dữ liệu).
  • Chỉ được phép chênh lệch giá nếu điều đó liên quan trực tiếp đến giá trị mà dữ liệu đó mang lại cho doanh nghiệp (ví dụ: chương trình khách hàng thân thiết).
Tự động hóa và Lưu trữ hồ sơ
Tự động hóa và Lưu trữ hồ sơ

  1. Tự động hóa và Lưu trữ hồ sơ

  • Log Record: Phải lưu lại bằng chứng về việc đã xử lý các yêu cầu của người dùng trong ít nhất 24 tháng để trình diện khi bị thanh tra.
  • GPC (Global Privacy Control): Doanh nghiệp cần cấu hình website để tự động nhận diện và thực hiện các tín hiệu từ chối theo dõi từ trình duyệt của người dùng.

Hãy để  SQC Certification Việt Nam  giúp doanh nghiệp bạn đạt được những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.

Bạn muốn Chuyên gia hỗ trợ

Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !

    Request Expert Support

    Register to connect directly with our experts!