Menu
ESC

Nhập từ khóa để tìm kiếm

↑↓ Di chuyển
Enter Mở
ESC Đóng

Đang tải...

Q-Bài 36 — Compliance PDPD GDPR cho BA

Từ QA/Tester sang BA: Lộ Trình Chuyển Đổi Bài 36/60

Mở đầu — vì sao bài này quan trọng

Khi bạn còn là QA/Tester, có một câu hỏi mà bạn ít khi phải tự trả lời: "Dữ liệu này được phép thu thập không? Lưu bao lâu? Ai có quyền xem?" Bạn test xem hệ thống có hoạt động đúng spec không. Còn việc spec đó có hợp pháp hay không — đó là chuyện của người khác.

Khi chuyển sang làm BA, câu hỏi đó trở thành việc của bạn. Vì BA là người viết ra spec. Nếu bạn viết một user story kiểu "Là người dùng, tôi muốn nhận email khuyến mãi sau khi đăng ký để biết thông tin ưu đãi" mà không hề đả động đến việc người dùng có đồng ý nhận email hay không, thì bạn vừa thiết kế ra một tính năng có thể khiến công ty bị phạt. Ở Việt Nam, từ 1/7/2023, đó không còn là chuyện lý thuyết.

Đây là một trong những khác biệt lớn nhất giữa tư duy QA và tư duy BA mà ít ai nói thẳng: BA phải chịu trách nhiệm với cả những yêu cầu "ẩn" — những ràng buộc pháp lý không nằm trong yêu cầu nghiệp vụ của khách hàng, nhưng bắt buộc phải có trong giải pháp. Compliance (tuân thủ pháp lý) là một loại Non-Functional Requirement đặc biệt: nó không làm sản phẩm chạy nhanh hơn, nhưng nếu thiếu, cả sản phẩm có thể bị đình chỉ.

Tin vui là: nền tảng QA cho bạn một lợi thế ngầm. Người làm QA quen với tư duy "edge case", quen với việc kiểm tra từng đường đi của dữ liệu, quen đặt câu hỏi "điều gì xảy ra nếu...". Đó chính xác là tư duy cần để rà soát compliance. Bài này sẽ giúp bạn biến lợi thế đó thành một kỹ năng BA có thể bán được trên CV.

Khái niệm cốt lõi

Compliance trong vai trò BA là gì

Compliance ở đây nghĩa là: giải pháp bạn thiết kế phải tuân thủ các quy định pháp luật về dữ liệu cá nhân và bảo mật. BA không phải luật sư, nhưng BA là người dịch yêu cầu pháp lý thành yêu cầu hệ thống cụ thể (functional requirement, business rule, acceptance criteria) để team dev và QA thực thi được. Nói cách khác, luật sư bảo "phải có sự đồng ý của người dùng", còn BA là người viết: màn hình nào hiển thị, checkbox nào không được tick sẵn, dữ liệu consent lưu ở bảng nào, trường nào.

Nghị định 13/2023/NĐ-CP (PDPD)

Đây là văn bản pháp lý quan trọng nhất về dữ liệu cá nhân tại Việt Nam, gọi tắt là PDPD (Personal Data Protection Decree), có hiệu lực từ 1/7/2023. Một BA làm việc tại Việt Nam bắt buộc phải thuộc những điểm sau.

Phân loại dữ liệu cá nhân. Nghị định chia làm hai nhóm:

  • Dữ liệu cá nhân cơ bản: họ tên, ngày sinh, số điện thoại, email, địa chỉ, số CCCD, tài khoản, dữ liệu phản ánh hoạt động trên không gian mạng...
  • Dữ liệu cá nhân nhạy cảm: quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu sinh trắc học (vân tay, khuôn mặt), đời sống tình dục, dữ liệu về tội phạm, vị trí cá nhân qua dịch vụ định vị... Nhóm này được bảo vệ nghiêm ngặt hơn nhiều.
Là BA, khi nhận yêu cầu, việc đầu tiên là phân loại: tính năng này động vào dữ liệu nhóm nào? Một app gọi xe lưu vị trí — đó là dữ liệu nhạy cảm, không phải dữ liệu thường.

Các nguyên tắc xử lý dữ liệu (Điều 3) — bạn nên thuộc như thuộc checklist test:

  • Hợp pháp, minh bạch: chỉ thu thập khi có cơ sở pháp lý, và phải cho người dùng biết.
  • Có mục đích rõ ràng: thu thập để làm gì phải nói trước, không được dùng sai mục đích.
  • Tối thiểu hóa dữ liệu: chỉ thu đúng và đủ những gì cần cho mục đích đó. Không "thu cho chắc".
  • Chính xác: dữ liệu phải được cập nhật, cho phép sửa.
  • Giới hạn lưu trữ: chỉ lưu trong thời gian cần thiết, hết mục đích thì phải xóa.
  • Bảo mật & an toàn: có biện pháp kỹ thuật bảo vệ.
Sự đồng ý (consent) là trái tim của PDPD. Đồng ý phải được thể hiện rõ ràng, tự nguyện, cụ thể cho từng mục đích, và sự im lặng hoặc không phản hồi không được coi là đồng ý. Đây là điểm chí mạng với BA: checkbox đồng ý không được tick sẵn (pre-checked), và mỗi mục đích khác nhau (vd: dùng để xử lý đơn hàng vs. dùng để gửi marketing) phải có lựa chọn đồng ý riêng.

Quyền của chủ thể dữ liệu (Điều 9): quyền được biết, quyền truy cập, quyền rút lại đồng ý, quyền xóa, quyền hạn chế xử lý, quyền phản đối, quyền khiếu nại. Mỗi quyền này thường tương ứng với một tính năng hệ thống mà BA phải thiết kế — ví dụ "quyền rút lại đồng ý" nghĩa là phải có nút/luồng để người dùng tắt nhận marketing bất cứ lúc nào.

Hồ sơ đánh giá tác động (DPIA): tổ chức xử lý dữ liệu phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi cho Bộ Công an. BA thường được kéo vào để mô tả luồng dữ liệu phục vụ hồ sơ này.

GDPR — và vì sao BA Việt Nam vẫn cần biết

GDPR (General Data Protection Regulation) là quy định bảo vệ dữ liệu của Liên minh châu Âu, hiệu lực từ 2018. Bạn sẽ hỏi: "Tôi làm ở Việt Nam, liên quan gì?" Liên quan rất nhiều, vì hai lý do:

  • Hiệu lực ngoài lãnh thổ (extra-territorial): GDPR áp dụng cho bất kỳ tổ chức nào xử lý dữ liệu của người dân EU, kể cả công ty đặt ở Việt Nam. Nếu bạn làm cho một công ty outsource phục vụ khách hàng EU, hoặc một sản phẩm có người dùng châu Âu, GDPR áp lên bạn.
  • PDPD được xây dựng tham khảo GDPR, nên nhiều khái niệm trùng nhau. Hiểu GDPR giúp bạn hiểu PDPD sâu hơn.
Vài khác biệt đáng nhớ giữa GDPR và PDPD:
  • GDPR có khái niệm rõ ràng về 6 cơ sở pháp lý để xử lý dữ liệu (consent chỉ là một trong số đó — còn có "thực hiện hợp đồng", "lợi ích chính đáng"...). PDPD nghiêng nặng về consent.
  • GDPR phân vai Data Controller (bên quyết định mục đích) và Data Processor (bên xử lý thuê) — cực kỳ quan trọng với BA làm outsource: công ty bạn thường là Processor.
  • Mức phạt GDPR có thể tới 20 triệu EUR hoặc 4% doanh thu toàn cầu. PDPD hiện chưa có nghị định xử phạt riêng cụ thể bằng con số lớn như vậy tại thời điểm ban hành, nhưng xu hướng siết chặt đang rất rõ.
  • GDPR yêu cầu báo cáo sự cố rò rỉ dữ liệu trong 72 giờ.

Tình huống thực tế

Tình huống 1: Checkbox tick sẵn ở một sàn thương mại điện tử

Một sàn TMĐT giả định, gọi là "ShopViet", thuê công ty outsource nơi bạn làm BA xây dựng lại luồng đăng ký. PO (Product Owner) phía khách yêu cầu: "Khi user đăng ký xong, mặc định cho họ nhận email khuyến mãi luôn, tick sẵn checkbox cho tiện, ai không thích thì tự bỏ tick."

Nếu bạn là QA cũ, bạn sẽ test xem checkbox có tick sẵn đúng không và email có gửi đi không — và pass. Nhưng giờ bạn là BA. Bạn nhận ra yêu cầu này vi phạm trực tiếp nguyên tắc consent của PDPD: sự đồng ý phải tự nguyện và rõ ràng, checkbox tick sẵn không được tính là đồng ý hợp lệ.

Bạn không nói "không làm được". Bạn quay lại PO và diễn giải: "Theo Nghị định 13/2023, consent marketing không được pre-check, và phải tách riêng khỏi consent xử lý đơn hàng. Nếu để tick sẵn, khi bị khiếu nại hoặc thanh tra, ShopViet chịu rủi ro pháp lý. Em đề xuất: checkbox để trống, đặt riêng, và lưu lại bằng chứng đồng ý (thời điểm, IP) vào bảng consent_log." Bạn viết lại acceptance criteria tương ứng.

Bài học: BA giỏi không chỉ làm theo yêu cầu — BA bảo vệ khách hàng khỏi chính yêu cầu rủi ro của họ. Và bạn làm được điều đó nhờ biết luật, không phải nhờ giỏi code.

Tình huống 2: App fintech và dữ liệu sinh trắc học

Một startup fintech tại TP.HCM (giả định tên "PayNhanh") làm ví điện tử, muốn thêm tính năng đăng nhập bằng khuôn mặt (Face ID) và xác thực eKYC bằng ảnh CCCD + ảnh selfie. BA được giao viết PRD.

Tư duy edge-case từ QA giúp bạn ngay lập tức đặt câu hỏi: ảnh khuôn mặt và dữ liệu sinh trắc học thuộc nhóm dữ liệu cá nhân nhạy cảm. Theo PDPD, xử lý dữ liệu nhạy cảm có yêu cầu cao hơn: phải thông báo rõ cho người dùng rằng dữ liệu này thuộc loại nhạy cảm, phải có consent riêng và rõ ràng, và phải có biện pháp bảo vệ tăng cường.

Bạn viết vào PRD các business rule: ảnh sinh trắc học phải được mã hóa khi lưu, không lưu ảnh CCCD gốc lâu hơn thời gian eKYC yêu cầu, có màn hình thông báo riêng về việc thu thập dữ liệu sinh trắc học trước khi quét. Bạn cũng đề xuất một câu hỏi cho team pháp lý: nhà cung cấp eKYC bên thứ ba lưu dữ liệu ở đâu, có chuyển ra nước ngoài không — vì chuyển dữ liệu xuyên biên giới có quy định riêng.

Bài học: việc phân loại dữ liệu (cơ bản vs. nhạy cảm) phải là bước đầu tiên khi BA nhận một tính năng động vào dữ liệu người dùng. Phân loại sai dẫn đến thiết kế thiếu lớp bảo vệ bắt buộc.

Tình huống 3: Outsource cho khách EU — ai là Controller, ai là Processor

Công ty outsource bạn làm nhận một dự án CRM cho khách hàng ở Đức. Khách hàng đó có người dùng cuối là công dân EU. Trong buổi họp, team định lưu toàn bộ dữ liệu khách hàng trên server đặt tại Việt Nam cho rẻ và nhanh.

Là BA hiểu GDPR, bạn nêu vấn đề: công ty Đức là Data Controller, công ty bạn là Data Processor. GDPR quy định việc chuyển dữ liệu cá nhân của người EU ra ngoài EU (như sang Việt Nam) phải có cơ chế bảo vệ hợp lệ (ví dụ Standard Contractual Clauses). Bạn không tự quyết được điều này, nhưng việc bạn nêu ra giúp team tránh một quyết định kiến trúc sai có thể khiến khách hàng vi phạm GDPR và mất hợp đồng.

Bạn ghi nhận thành một assumption/dependency trong tài liệu: "Cần xác nhận với Controller về cơ chế hợp pháp cho việc lưu trữ/xử lý dữ liệu tại VN trước khi chốt kiến trúc."

Bài học: với BA làm outsource, biết ai là Controller/Processor không phải kiến thức trang trí — nó quyết định trách nhiệm pháp lý và cả thiết kế hệ thống.

Hướng dẫn từng bước

Đây là quy trình rà soát compliance bạn có thể áp dụng cho mọi yêu cầu động đến dữ liệu cá nhân:

Bước 1 — Phát hiện dữ liệu cá nhân. Đọc yêu cầu và đánh dấu mọi trường dữ liệu liên quan đến con người. Hỏi: tính năng này thu thập, lưu, hiển thị, hay chia sẻ dữ liệu cá nhân nào không?

Bước 2 — Phân loại. Mỗi loại dữ liệu là cơ bản hay nhạy cảm? Lập một bảng nhỏ: trường dữ liệu | loại | mục đích sử dụng. Bảng này cực hữu ích khi làm DPIA về sau.

Bước 3 — Kiểm tra cơ sở pháp lý & mục đích. Với mỗi loại dữ liệu: có cơ sở để thu thập không (consent, thực hiện hợp đồng...)? Mục đích có rõ ràng, có bị dùng quá phạm vi không (nguyên tắc tối thiểu hóa)?

Bước 4 — Thiết kế consent. Nếu cần consent: thiết kế màn hình/checkbox không pre-check, tách consent theo từng mục đích, lưu bằng chứng đồng ý (ai, khi nào, phiên bản chính sách nào).

Bước 5 — Thiết kế quyền của người dùng. Có luồng để người dùng xem, sửa, xóa, rút consent dữ liệu của họ chưa? Mỗi quyền trong Điều 9 PDPD nên ánh xạ thành tính năng hoặc quy trình.

Bước 6 — Vòng đời & xóa dữ liệu. Dữ liệu lưu bao lâu? Khi nào xóa? Cơ chế xóa là gì? Đây là phần hay bị bỏ quên nhất.

Bước 7 — Viết thành requirement. Chuyển tất cả phát hiện trên thành business rule, functional requirement và acceptance criteria cụ thể. Đây là giá trị BA: biến luật trừu tượng thành điều dev và QA làm được.

Bước 8 — Đánh dấu điều vượt thẩm quyền. Việc gì cần luật sư/DPO/khách hàng quyết (chuyển dữ liệu xuyên biên giới, cơ sở pháp lý...) thì ghi rõ thành open question/dependency, đừng tự quyết.

Lỗi thường gặp & mẹo

Lỗi 1 — Coi compliance là việc của người khác. "Pháp lý lo chứ liên quan gì BA." Sai. BA là người dịch luật thành thiết kế. Không ai khác làm được cây cầu này.

Lỗi 2 — Pre-check consent cho tiện. Đây là lỗi phổ biến nhất ở sản phẩm Việt Nam và là lỗi vi phạm rõ ràng nhất theo PDPD. Đừng bao giờ thiết kế checkbox đồng ý tick sẵn.

Lỗi 3 — Gộp chung mọi consent vào một dòng. "Tôi đồng ý điều khoản và nhận marketing và chia sẻ cho bên thứ ba" — gộp như vậy là sai nguyên tắc consent theo từng mục đích cụ thể.

Lỗi 4 — Thu thập "cho chắc". Yêu cầu user nhập số CCCD trong khi tính năng chỉ cần email — vi phạm nguyên tắc tối thiểu hóa dữ liệu. Luôn hỏi: trường này có thực sự cần cho mục đích không?

Lỗi 5 — Quên vòng đời xóa dữ liệu. Thiết kế tính năng tạo dữ liệu nhưng không bao giờ thiết kế tính năng xóa/ẩn danh hóa khi hết mục đích.

Mẹo 1 — Tận dụng tư duy QA. Hãy coi 6 nguyên tắc PDPD như một bộ test case áp lên mọi tính năng. Bạn vốn quen rà từng đường đi của dữ liệu — giờ rà thêm chiều pháp lý.

Mẹo 2 — Tạo checklist compliance dùng lại. Biến 8 bước trên thành một checklist cá nhân, đính kèm mỗi PRD. Đây là thứ làm bạn nổi bật so với BA chỉ biết viết feature.

Mẹo 3 — Học ngôn ngữ của DPO/legal. Biết các từ Controller, Processor, consent, DPIA, data subject giúp bạn giao tiếp ngang hàng với bộ phận pháp lý — một điểm cộng lớn khi phỏng vấn BA cho ngân hàng, fintech.

Mẹo 4 — Đừng tự đóng vai luật sư. Biết đủ để phát hiện rủi ro và đặt câu hỏi đúng, còn quyết định pháp lý cuối cùng thì để chuyên gia. BA giỏi biết ranh giới của mình.

Bài tập thực hành

Bài 1 — Phân loại dữ liệu. Cho tính năng "đăng ký tài khoản phòng khám online" thu thập: họ tên, số điện thoại, email, tiền sử bệnh, nhóm máu, địa chỉ. Hãy lập bảng phân loại từng trường là dữ liệu cơ bản hay nhạy cảm, và chỉ ra trường nào cần biện pháp bảo vệ tăng cường.

Bài 2 — Sửa yêu cầu vi phạm. Một PO yêu cầu: "Sau khi user mua hàng, tự động đăng ký họ vào chương trình thành viên và bật nhận SMS quảng cáo, lưu luôn lịch sử mua hàng để bán dữ liệu cho đối tác." Hãy chỉ ra ít nhất 3 điểm vi phạm PDPD và viết lại yêu cầu cho hợp lệ.

Bài 3 — Viết acceptance criteria. Viết bộ acceptance criteria (định dạng Given-When-Then) cho màn hình consent của một app gọi xe thu thập vị trí, đảm bảo: consent vị trí tách riêng, không pre-check, lưu bằng chứng đồng ý, và có luồng rút consent.

Bài 4 — Xác định vai trò. Công ty bạn xây hệ thống quản lý nhân sự cho một tập đoàn EU. Hãy xác định ai là Controller, ai là Processor, và nêu một câu hỏi compliance bạn cần đặt cho khách hàng trước khi thiết kế nơi lưu trữ dữ liệu.

Tóm tắt

Compliance là một loại yêu cầu ẩn mà BA — chứ không phải QA — phải gánh. Tại Việt Nam, văn bản trung tâm là Nghị định 13/2023/NĐ-CP (PDPD), hiệu lực 1/7/2023, với sáu nguyên tắc cốt lõi (hợp pháp minh bạch, mục đích rõ ràng, tối thiểu hóa, chính xác, giới hạn lưu trữ, bảo mật), khái niệm consent nghiêm ngặt (không pre-check, tách theo mục đích), phân loại dữ liệu cơ bản và nhạy cảm, cùng các quyền của chủ thể dữ liệu. GDPR của EU vẫn liên quan với BA Việt Nam qua hiệu lực ngoài lãnh thổ và các dự án outsource, mang theo các khái niệm Controller/Processor và mức phạt nặng.

Giá trị thật sự của bạn nằm ở chỗ: biến quy định pháp lý trừu tượng thành business rule, functional requirement và acceptance criteria cụ thể mà team thực thi được. Nền tảng QA cho bạn tư duy edge-case và thói quen rà từng đường đi của dữ liệu — đúng thứ cần để làm compliance tốt. Hãy biến 6 nguyên tắc PDPD thành một bộ "test case pháp lý" áp lên mọi tính năng, và bạn sẽ trở thành kiểu BA mà ngân hàng, fintech, và công ty outsource phục vụ khách EU luôn săn đón.