August 9, 2025
3 min read
Cookie, địa chỉ IP và các định danh trực tuyến tương tự được đề cập rõ ràng trong Đoạn 30 của Quy định chung về bảo vệ dữ liệu (GDPR), trong đó nêu rõ: “Các thể nhân có thể được liên kết với các định danh trực tuyến [...] chẳng hạn như địa chỉ giao thức internet, định danh cookie hoặc các định danh khác như thẻ nhận dạng tần số vô tuyến.” Phân loại này nhấn mạnh rằng cookie, khi được sử dụng để xác định cá nhân—dù trực tiếp hay gián tiếp—cũng cấu thành dữ liệu cá nhân (GDPR Đoạn 30).
Các phát hiện chính từ phân tích pháp lý và quy định bao gồm:
Các nghiên cứu thực nghiệm chỉ ra những lỗ hổng tuân thủ đáng kể giữa các trang web, với nhiều trang không triển khai các cơ chế cho sự đồng ý chi tiết, hoặc mặc định sử dụng các mô hình từ chối không tuân thủ (Degeling và cộng sự, 2019). Các hành động pháp lý đã củng cố sự cần thiết của các cơ chế đồng ý tham gia rõ ràng, đặc biệt đối với các cookie theo dõi và quảng cáo.
Tóm lại, theo GDPR, cookie có thể xác định một cá nhân là dữ liệu cá nhân; do đó, việc sử dụng chúng được quy định chặt chẽ thông qua các yêu cầu về sự đồng ý rõ ràng, có đầy đủ thông tin và tính minh bạch. Việc không tuân thủ có thể dẫn đến các hình phạt đáng kể, như đã được chứng minh qua các hành động thực thi gần đây tại EU.
