DPA (thỏa thuận xử lý dữ liệu)

Khi doanh nghiệp của bạn giao dữ liệu khách hàng cho một công ty khác, ví dụ dịch vụ đám mây, nền tảng gửi email, hay chatbot AI, thì Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (và Luật Bảo vệ dữ liệu cá nhân có hiệu lực năm 2026) yêu cầu phải có một hợp đồng bằng văn bản nói rõ công ty đó được làm gì với dữ liệu. Hợp đồng đó chính là thỏa thuận xử lý dữ liệu, hay DPA. Nó chốt những điều cốt lõi: bên xử lý chỉ làm theo chỉ dẫn của bạn, giữ dữ liệu an toàn, báo cho bạn khi có rò rỉ, và xóa dữ liệu khi hợp đồng kết thúc.

Phiên bản đời thường: một tiệm sửa ống nước nhỏ muốn trợ lý AI soạn tin nhắn trả lời có kèm tên và địa chỉ khách. Trên tài khoản cá nhân thường không có DPA, nên nếu khách hàng hay cơ quan như Bộ Công an (A05) hỏi dữ liệu đó được bảo vệ ra sao, tiệm sẽ khó trả lời. Trên gói doanh nghiệp, các hãng như OpenAI, Anthropic và Google có sẵn DPA để bạn chấp nhận, nhiều khi chỉ cần một cú nhấp khi thiết lập.

Vậy quy tắc đơn giản và nhẹ nhàng là: dữ liệu khách hàng thật cộng với AI thường dẫn tới một gói doanh nghiệp có DPA. Công cụ chọn gói giúp bạn thấy gói nào phù hợp, và hãy xem trang trust hoặc pháp lý của nhà cung cấp để biết điều khoản DPA hiện hành.

Bạn gặp thuật ngữ này ở đâu

• Trang trust hoặc pháp lý của các hãng AI: OpenAI, Anthropic và Google đều công bố DPA của họ
• Phần cài đặt quản trị hoặc thanh toán của gói doanh nghiệp, nơi bạn chấp nhận DPA
• Danh sách kiểm tra nhà cung cấp của chính bạn, nếu doanh nghiệp đã làm theo chuẩn bảo vệ dữ liệu

Thuật ngữ liên quan

• Bên kiểm soát dữ liệu →
• GDPR →
• Gói doanh nghiệp (Enterprise) →
• Dữ liệu cá nhân →