Pháp luật về các biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử qua thực tiễn tại các sàn thương mại điện tử ở việt nam hiện nay

PHÁP LUẬT VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ QUA THỰC TIỄN TẠI CÁC SÀN THƯƠNG MẠI ĐIỆN TỬ Ở VIỆT NAM HIỆN NAY ............................................................................................................................................................................................................................

TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN

BÁO CÁO TỔNG KẾT

ĐỀ TÀI THAM GIA GIẢI THƯỞNG “SINH VIÊN NGHIÊN CỨU KHOA HỌC TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN”

NĂM 2022

PHÁP LUẬT VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ QUA THỰC TIỄN TẠI CÁC SÀN THƯƠNG MẠI ĐIỆN TỬ

Ở VIỆT NAM HIỆN NAY

Lĩnh vực khoa học và công nghệ: Khoa học và xã hội

Chuyên ngành thuộc lĩnh vực khoa học và công nghệ: Pháp luật

MỤC LỤC

DANH MỤC TỪ VIẾT TẮT 4

PHẦN MỞ ĐẦU 1

1. TÍNH CẤP THIẾT CỦA ĐỀ TÀI 1

2. MỤC ĐÍCH NGHIÊN CỨU 1

3. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 2

4. PHƯƠNG PHÁP NGHIÊN CỨU 2

5. TÌNH HÌNH NGHIÊN CỨU CỦA ĐỀ TÀI 2

6. KẾT CẤU ĐỀ TÀI 3

PHẦN NỘI DUNG 4

CHƯƠNG 1: TỔNG QUAN VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG VÀ PHÁP LUẬT VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 4

1.1. KHÁI QUÁT CHUNG VỀ THƯƠNG MẠI ĐIỆN TỬ VÀ CÁC KHÁI NIỆM LIÊN QUAN: 4

1.1.1 Giao dịch thương mại điện tử 4

1.1.2 Sàn giao dịch thương mại điện tử 5

1.1.3 Thông tin khách hàng 5

1.1.4 Bảo mật thông tin khách hàng 7

1.1.5 Biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử 8

1.2. PHÁP LUẬT VỀ BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 10

1.2.1 Khái niệm 10

1.2.2 Đặc điểm 10

1.2.3 Nguồn luật 11

1.2.3.1 Hiến pháp 11

1.2.3.2 Các văn bản quy phạm pháp luật 12

1.2.3.3 Điều ước quốc tế 12

1.2.4 Nội dung pháp luật về biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử 13

1.3. PHÁP LUẬT QUỐC TẾ VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG

GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 14

1.3.1 GDPR (General Data Protection Regulation) 14

1.3.2 Quy tắc bảo vệ NTD trong thương mại điện tử năm 2020 của Ấn Độ 17

1.3.3 Đạo luật bảo vệ TTCN của Nhật Bản (APPI) 18

1.3.4 Pháp luật của Hoa Kỳ 20

1.3.5 Luật Bảo vệ dữ liệu cá nhân của Singapore 21

CHƯƠNG 2: THỰC TRẠNG PHÁP LUẬT VIỆT NAM VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ VÀ THỰC TIỄN TẠI CÁC SÀN GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ TẠI VIỆT NAM HIỆN NAY 23

2.1. THỰC TRẠNG PHÁP LUẬT VIỆT NAM VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 23

2.1.1 Trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng: 24

2.1.2 Chính sách bảo vệ thông tin cá nhân của người tiêu dùng 27

2.1.3 Xin phép người tiêu dùng khi thu thập thông tin cá nhân 28

2.1.4 Sử dụng thông tin cá nhân: 29

2.1.5 Bảo đảm an toàn, an ninh thông tin cá nhân: 31

2.1.6 Kiểm tra, cập nhật và điều chỉnh thông tin cá nhân: 31

2.1.7 Vi phạm pháp luật về bảo vệ thông tin cá nhân khách hàng và hình thức xử phạt 32

2.2. THỰC TIỄN TẠI CÁC SÀN GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ HIỆN NAY 34

2.2.1 Thực tiễn các biện pháp bảo mật thông tin khách hàng trên các sàn giao dịch thương mại điện tử hiện nay 34

2.2.2 Các vấn đề thực tiễn về bảo mật thông tin khách hàng khi thực hiện giao dịch trên các sàn giao dịch thương mại điện tử hiện nay 34

2.3. ĐÁNH GIÁ QUY ĐỊNH CỦA PHÁP LUẬT VIỆT NAM VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 37

2.3.1 Ưu điểm 37

2.3.2 Hạn chế 38

2.3.2.1 Hạn chế trong quy định pháp luật Việt Nam về các biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử 38 2.3.2.2 Hạn chế trong việc áp dụng các quy định pháp luật về các biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử 41

CHƯƠNG 3: ĐỀ XUẤT KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VÀ GIẢI PHÁP NÂNG CAO HIỆU QUẢ THỰC HIỆN VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ TẠI CÁC SÀN THƯƠNG MẠI ĐIỆN TỬ Ở VIỆT NAM 43

3.1. ĐỊNH HƯỚNG HOÀN THIỆN PHÁP LUẬT VIỆT NAM VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 43 3.2. KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VIỆT NAM VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 43

3.2.1 Kiến nghị hoàn thiện pháp luật liên quan đến quyền được lãng quên 43 3.2.2 Kiến nghị hoàn thiện pháp luật liên quan đến hoàn thiện và thống nhất pháp luật về các biện pháp bảo mật thông tin khách hàng 46 3.2.3 Kiến nghị hoàn thiện pháp luật liên quan đến các chế tài xử phạt 47

3.3 48

3.3.1 Nâng cao hiệu quả thực tiễn áp dụng tại các sàn giao dịch tại Việt Nam 48 3.3.2 Nâng cao hiệu quả thực hiện pháp luật về các biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử 49

PHẦN KẾT LUẬN 52 DANH MỤC TÀI LIỆU THAM KHẢO……… 53

DANH MỤC TỪ VIẾT TẮT

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài

TMĐT Việt Nam đang ngày càng bùng nổ hơn trong thời đại ngày nay, ngoài ra ảnh hưởng của đại dịch Covid 19 cũng là một trong những lý do quan trọng để ngành TMĐT Việt Nam cũng như thế giới ngày càng phát triển Để tồn tại trong nền kinh tế toàn cầu cạnh tranh cao, doanh nghiệp phải tận dụng các công nghệ như kho dữ liệu và khai thác dữ liệu để thu thập TTKH, phân tích đặc điểm và hành vi của họ, xây dựng mối quan hệ với khách hàng hiện tại và nhận diện những tiềm năng có thể phát triển từ

họ Việc thu thập thông tin về khách hàng là cần thiết đối với các nhà quản trị để nắm bắt được nhu cầu, thị hiếu và sở thích của khách hàng Tuy nhiên, vấn đề bảo mật thông tin riêng tư đang ngày càng được khách hàng quan tâm bởi lo ngại các "lỗ hổng" của internet và các trang web thường được thiết kế để dễ dàng truy cập và chia sẻ thông tin Nhiều nghiên cứu cho thấy, khách hàng không sẵn sàng tham gia TMĐT vì không yên tâm về các vấn đề liên quan đến an ninh và sự riêng tư của dữ liệu giao dịch

Để việc bảo vệ TTCN trong TMĐT được thực hiện một cách nghiêm túc, hiệu quả thì một trong những tiêu chính đánh giá đầu tiên phải có hệ thống pháp lý rõ ràng, đồng bộ Những năm gần đây, dù TMĐT mới phát triển nhưng khuôn khổ pháp lý về bảo vệ TTCN trong TMĐT của Việt Nam đã được quan tâm và hoàn thiện, tiệm cận với tiêu chuẩn quốc tế

Tuy nhiên NTD vẫn chưa có ý thức về tầm quan trọng về TTCN của mình cũng như chủ động trong việc bảo vệ dữ liệu của mình

Với những lý do trên nhóm nghiên cứu quyết định chọn đề tài “Pháp luật về các biện

pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử qua thực tiễn tại các sàn thương mại điện tử ở Việt Nam hiện nay.”

nghị giải pháp góp phần nâng cao hiệu quả hoạt động bảo mật TTKH trong giao dịch TMĐT tại Website TMĐT ở Việt Nam

2.2 Mục tiêu cụ thể

Từ những phân tích, nghiên cứu đánh giá thông qua đề tài góp phần giúp các chủ thể tham gia trong hoạt động giao dịch TMĐT tại Việt Nam hiểu rõ hơn về quy định pháp luật trong lĩnh vực này Đặc biệt đối với phía chủ thể là NTD để nâng cao ý thức bảo vệ TTCN, luôn chủ động trong việc bảo vệ dữ liệu của mình

3 Đối tượng và phạm vi nghiên cứu

3.1 Đối tượng nghiên cứu

Đối tượng nghiên cứu là hệ thống các văn bản quy phạm pháp luật hiện hành điều chỉnh hoạt động bảo mật TTKH trong giao dịch TMĐT tại các website TMĐT ở Việt Nam hiện nay

3.2 Phạm vi nghiên cứu

Bài nghiên cứu chủ yếu tập trung đi sâu đánh giá tính hợp lý của pháp luật Việt Nam trong bảo mật thông cá nhân của NTD trong giao dịch TMĐT tại các Website trên lãnh thổ Việt Nam Và là hoạt động TMĐT được thực hiện bằng phương tiện điện tử có kết nối bằng Internet, mạng viễn thông di động và các mạng mở khác

4 Phương pháp nghiên cứu

Bài nghiên cứu sử dụng nhiều phương pháp nghiên cứu như: Phương pháp phân tích, tổng hợp; phương pháp thống kê; phương pháp hệ thống… Tuy nhiên được sử dụng nhiều nhất là phương pháp phân tích tổng hợp

5 Tình hình nghiên cứu của đề tài

Cho đến nay, các vấn đề liên quan đến các biện pháp bảo mật TTKH trong giao dịch TMĐT, đặc biệt là trên các sàn giao dịch TMĐT vẫn là đề tài còn khá mới mẻ trong nghiên cứu khoa học trong nước

Đã có một số công trình nghiên cứu có đề cập về các biện pháp bảo mật TTKH trong giao dịch TMĐT nói chung, ví dụ như luận án tiến sĩ chuyên ngành lý luận và lịch

sử nhà nước và pháp luật: “Hoàn thiện pháp luật về bảo vệ thông tin cá nhân ở Việt

Nam hiện nay” của Trần Thị Hồng Hạnh, bảo vệ năm 2018

Bên cạnh đó còn có một số bài viết đăng trên các ấn phẩm tạp chí nghiên cứu lập

pháp, tạp chí tòa án nhân dân, tạp chí khoa học pháp lý Việt Nam, như “Bàn về vấn

đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử” của Nguyễn

Thị Thu Hằng (2019), “Quyền được lãng quên và vấn đề bảo vệ dữ liệu cá nhân” của

Huỳnh Thị Nam Hải, Huỳnh Thị Minh Hải (2021)

Cùng với đó, cũng một số buổi buổi hội thảo chuyên sâu có đề cập tới việc bảo mật TTKH trong giao dịch thương mại điện điện tử có thể đề cập tới như Hội thảo

“Hoàn thiện khung pháp luật về kinh tế và nâng cao hiệu quả tổ chức thi hành pháp luật trong bối cảnh cách mạng công nghiệp lần thứ tư” tại Hà Nội, ngày 29 tháng 9 năm

2021…

Tuy nhiên, đến nay vẫn chưa có một công trình nghiên cứu một cách hệ thống và hoàn chỉnh về pháp luật về các biện pháp bảo mật TTKH trong giao dịch TMĐT nói chung và trên các sàn giao dịch TMĐT nói riêng bất chấp sự bùng nổ mạnh mẽ của phương thức giao dịch này đi kèm cùng những nguy cơ về việc bảo mật TTKH hiện nay

6 Kết cấu đề tài

Đề tài được chia thành ba phần, bên cạnh phần mở đầu và kết luận, phần nội dung

đề tài có bố cục như sau:

Chương 1: Tổng quan về các biện pháp bảo mật TTKH và pháp luật về các biện pháp bảo mật TTKH trong giao dịch TMĐT

Chương 2: Thực trạng pháp luật Việt Nam về các biện pháp bảo mật TTKH trong giao dịch TMĐT và thực tiễn tại các sàn giao dịch TMĐT tại Việt Nam hiện nay

Chương 3: Đề xuất kiến nghị hoàn thiện pháp luật và giải pháp nâng cao hiệu quả thực hiện về các biện pháp bảo mật TTKH trong giao dịch TMĐT

PHẦN NỘI DUNG CHƯƠNG 1: TỔNG QUAN VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG VÀ PHÁP LUẬT VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ

1.1 Khái quát chung về thương mại điện tử và các khái niệm liên quan:

1.1.1 Giao dịch thương mại điện tử

Dựa vào lịch sử phát triển của TMĐT, có thể thấy, những đặc điểm của một giao dịch TMĐT đã bắt đầu bộc lộ từ giữa thế kỉ XIX khi hợp đồng đầu tiên được ký kết sử dụng điện báo hay điện thoại Sau đó, vào cuối những năm 70 thế kỉ XX, Michael Aldrich - nhà phát minh người Anh đã sáng chế ra một hệ thống thông qua đường dây điện thoại cho phép việc kết nối máy tính của doanh nghiệp và tivi của khách hàng Từ đó, các bên

có thể trao đổi và thực hiện các giao dịch với nhau Tuy nhiên, phương thức này không được đón nhận do tính khả thi chưa cao và tốn nhiều chi phí lắp đặt Giai đoạn 1900 -

2000 đánh dấu bước chuyển mình vượt bậc khi Internet ra đời và đưa vào thương mại hóa thì các giao dịch thông qua Internet dần được đưa vào và trở nên phổ biến, bằng chứng là sự ra đời của hai trang web tiên phong trong hoạt động TMĐT đó là Amazon.com (trang web mua bán trực tuyến) và Ebay (trang web đấu giá trực tuyến) vào năm 1995 Cho đến ngày nay, các giao dịch TMĐT đã đa dạng và được tiến hành dưới nhiều hình thức Khái niệm về giao dịch TMĐT được hiểu là cách thức tiến hành một phần hay toàn bộ hoạt động kinh doanh bằng các phương tiện điện tử Các hoạt động giao dịch này bao gồm: quảng cáo, mua bán, đặt hàng, thanh toán,…đều được thực hiện trên nền tảng điện tử Như vậy, giao dịch TMĐT chính là việc mua bán hàng hóa, dịch vụ qua internet và các phương tiện điện tử khác Khác với những giao dịch thương mại truyền thống - các bên trong giao dịch phải trực tiếp gặp mặt, trao đổi thì với giao dịch TMĐT, quá trình này được các bên tiến hành gián tiếp thông qua Internet hoặc bất

kỳ phương tiện điện tử nào khác Đồng thời, nhờ sự trợ giúp của công nghệ, việc xử lý giao dịch được rút ngắn lại và tự động hóa trong từng khâu Hơn nữa do được tiến hành qua các phương tiện điện tử mà khoảng cách địa lý giữa các bên không còn là một trở ngại quá lớn trong các giao dịch có yếu tố nước ngoài, giao dịch xuyên biên giới Qua

đó giúp các bên tiết kiệm được các chi phí liên quan và vấn đề thanh toán cũng dễ dàng

hơn khi có các công cụ như ví điện tử, e-banking, hỗ trợ

1.1.2 Sàn giao dịch thương mại điện tử

Là một trong các hình thức của website cung cấp dịch vụ TMĐT, sàn giao dịch TMĐT (sàn TMĐT) được hiểu là một kênh bán hàng trực tuyến, qua đó cho phép cá nhân, thương nhân, tổ chức mà không là chủ sở hữu website thực hiện việc mua bán hàng hóa, dịch vụ thông qua các sàn thương mại Khi đó, các sàn TMĐT này đóng vai trò như người môi giới, kêu gọi các bên tham gia hoạt động kinh doanh và trao đổi trên các sàn này Người tham gia có thể là bên mua, bên bán hoặc cả hai và tất cả quá trình giao dịch từ thương lượng, đàm phán, thanh toán đều được thực hiện thông qua Internet Người tham gia giao dịch tại sàn TMĐT có thể giao dịch mọi lúc, mọi nơi; từ đó có thể thấy số lượng người tham gia tại các sàn thương mại này là rất lớn Các sản phẩm được rao bán trên các sàn cũng rất đa dạng về mẫu mã, phong phú về chủng loại, hình thức, xuất xứ Giá cả của những hàng hóa, dịch vụ này cũng được công khai cụ thể để khách hàng có thể dễ dàng đối chiếu, so sánh giữa các sản phẩm Cuối cùng, tham gia vào sàn TMĐT, các bên có quyền tiếp cận với các chính sách, thông tin thị trường, sản phẩm đang được bày bán trực tuyến Có thể thấy, sự ra đời của các sàn giao dịch TMĐT chính

là một công cụ hữu ích cho NTD, tạo môi trường thuận lợi cho cả bên bán và bên mua tham gia vào các giao dịch thương mại trực tuyến trên nền tảng Internet

1.1.3 Thông tin khách hàng

Khái niệm TTKH

TTKH (hay còn gọi là data TTKH) chính là tập hợp tất cả thông tin về khách hàng tiềm năng, khách hàng đang quan tâm đến sản phẩm/dịch vụ hay khách hàng đã mua sản phẩm/dịch vụ của bạn

Phân loại TTKH

Các loại TTKH có thể kể đến như sau:

Thứ nhất, về TTCN: có hai loại là thông tin không nhận dạng cá nhân (Non-PII1)

và thông tin nhận dạng cá nhân (PII) Trong đó:

Đầu tiên, thông tin nhận dạng cá nhân (PII) là mọi dữ liệu có thể dùng để xác định danh tính một người, bao gồm:

1 Personal Identifiable Information

Thông tin được liên kết: là dữ liệu có thể dùng để nhận dạng một người mà không cần điểm dữ liệu/thông tin khác Ví dụ: Họ tên, ngày sinh, địa chỉ, số điện thoại, email, số chứng minh nhân dân,

Thông tin có thể liên kết: là mọi dữ liệu mà một mình nó tuy không thể dùng để tự xác định một người, nhưng khi kết hợp với dữ liệu khác thì có thể Ví dụ: Họ hoặc tên, giới tính, dân tộc và tôn giáo,

Trong khi đó, thông tin không nhận dạng cá nhân (Non-PII) ngược lại với PII, là loại thông tin ẩn danh và không thể dùng để xác định bất cứ cá nhân nào Ví dụ: Địa chỉ IP,

ID thiết bị sử dụng…

Ngoài ra, theo pháp luật quy định, cụ thể là ở 15 Điều 3 LATTTM, khái niệm

TTKH như sau: “TTCN là thông tin gắn với việc xác định danh tính của một người cụ

thể.”

Hoặc theo khoản 13 Điều 3 Nghị định 52/2013/NĐ-CP về TMĐT: “TTCN là các thông

tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật

TTCN trong Nghị định này không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông.”

Thứ hai, về thông tin tương tác: TTKH này bao gồm các thông tin như hoạt động,

tương tác của khách hàng trên web, thông qua dịch vụ khách hàng, cụ thể:

- Tương tác thiết bị và web/ứng dụng: Lượt truy cập, thời gian, trang được xem nhiều nhất,

- Tương tác trên các trang mạng xã hội: Lượt thích, lượt chia sẻ bài đăng, số lượng bình luận,

- Tương tác thông qua email: Tỷ lệ mở, tỷ lệ thoát, tỷ lệ nhấp, chuyển tiếp email,…

- Thông tin dịch vụ đến người tiêu dùng: phản hồi, đánh giá, khiếu nại,…

- Tương tác với quảng cáo có trả phí: tỷ lệ nhấp, số lần hiển thị,

Thứ ba, về thông tin hành vi: Thông tin này cho biết các sở thích, nhu cầu cơ bản

của NTD được cho thấy thông qua quá trình mua sắm của họ, bao gồm các thông tin tương tác, thông tin như hành vi của khách hàng trên website,… cụ thể:

Dữ liệu giao dịch: số lần mua, giá trị đơn, thông tin giỏ hàng,

Sử dụng sản phẩm: thời gian dùng, số lần dùng,

Dữ liệu định tính: Sự chú ý của khách hàng, hành vị cụ thể trên các website hoặc ứng dụng,…

Cuối cùng là thông tin theo chiều dọc: Dữ liệu về cảm xúc của khách hàng, cách

họ nhìn nhận dịch vụ, chủ yếu là chủ quan và định tính Dữ liệu này thường có được thông qua các bài khảo sát, phỏng vấn, phản hồi, đánh giá, khiếu nại của khách hàng,

Ví dụ: Sự hài lòng của khách hàng, nhu cầu, sở thích, tiêu chí mua sắm,

Vai trò của TTKH trong giao dịch TMĐT

TTKH có vai trò vô cùng quan trọng đối với doanh nghiệp trong các giao dịch TMĐT Việc thu thập thông tin và xây dựng hệ thống TTKH sẽ tạo điều kiện để doanh nghiệp cá nhân hóa tương tác với mỗi khách hàng, tăng mức hài lòng với cách đáp ứng nhu cầu và sở thích của NTD Nhờ những dữ liệu này mà các doanh nghiệp biết được khách hàng tiềm năng của mình quan tâm đến lĩnh vực sản phẩm nào

Hơn nữa, những dữ liệu về hành vi, xu hướng tìm và mua hàng của NTD trên các website TMĐT sẽ giúp doanh nghiệp lên kế hoạch tiếp thị sản phẩm tương thích với sở thích và nhu cầu của họ, đồng thời tạo ra các chương trình chăm sóc khách hàng đặc biệt Nhờ việc hiểu và sử dụng đúng cách thông tin thu thập được, cùng với cách tiếp cận phù hợp, doanh nghiệp không chỉ có cơ hội tăng doanh thu mà còn làm tăng giá trị thương hiệu của doanh nghiệp

TTKH giúp doanh nghiệp hấp dẫn các khách hàng tiềm năng, là một trong những cách tốt nhất để tăng doanh thu nhờ vào những sự hoàn thiện, sửa đổi, cải thiện chất lượng dịch vụ sản phẩm và làm hài lòng NTD hơn Một doanh nghiệp nên xây dựng hệ thống TTKH chuẩn, bao gồm cả của khách hàng đã sử dụng dịch vụ, sản phẩm bên bạn

và khách hàng quan tâm Cơ sở TTKH giúp doanh nghiệp nắm được trọn vẹn NTD của mình và có thể sử dụng một cách tốt nhất những thông tin ấy, giúp doanh nghiệp phát triển nhanh hơn và bền vững hơn

1.1.4 Bảo mật thông tin khách hàng

Khái niệm

Bảo mật thông tin có thể hiểu đơn giản là việc bảo đảm an toàn cho thông tin của một cá nhân, một đơn vị, tổ chức nào đó, để những thông tin ấy không thể bị xâm nhập

và lấy cắp bởi tin tặc Bảo mật TTKH là một lĩnh vực trong bảo mật thông tin, theo đó, bảo mật TTKH là việc đảm bảo TTKH luôn được lưu trữ và sử dụng an toàn trong nội

bộ doanh nghiệp theo như đúng cam kết đã thực hiện với khách hàng Việc để thất thoát hay rò rỉ những thông tin này ra ngoài doanh nghiệp sẽ mang đến những hậu quả khó lường

Phân loại

Xét theo hình thức bảo mật, có thể chia thành bảo mật TTKH về mặt vật lý và bảo mật TTKH về mặt kỹ thuật Cụ thể:

Bảo mật về mặt vật lý (Physical Security): là việc bảo vệ TTKH khỏi các yếu tố

do thiên nhiên, con người, các hành vi vật lý thực hiện như đột nhập trái phép, trộm cắp, đánh đập cũng như các tác động đến từ tố khách quan như mưa, bụi, hỏa hoạn, hay bị ngắt kết nối do mất điện…

Bảo mật về mặt kỹ thuật: là việc sử dụng các biện pháp công nghệ, ứng dụng kỹ thuật phù hợp để bảo mật hệ thống như dựng “tường lửa”, cài đặt phần mềm chống virus, thiết lập hệ thống bảo mật dữ liệu, hệ thống phân quyền,…

1.1.5 Biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử

Biện pháp bảo mật TTKH trong giao dịch TMĐT có thể hiểu là cách thức bảo vệ

và bảo đảm an toàn cho thông tin của khách hàng khi họ tham gia giao dịch TMĐT Một

số công cụ để bảo mật thông tin trong TMĐT hiện nay có thể kể đến như: Chứng chỉ

số (digital certificate), chữ ký số (digital sign), bảo mật web (web security), vùng an ninh (DMZ), xác thực (authentication) và tường lửa (Firewall) Trong quá trình giao

dịch TMĐT, các công cụ bảo mật này được sử dụng kết hợp, bổ sung với nhau nhằm

bảo đảm an toàn, an ninh thông tin cá nhân

Trong đó, một số công cụ được ghi nhận tại các văn bản pháp luật Việt Nam như sau:

“Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân, một máy chủ, một công ty trên Internet như bằng lái xe, hộ chiếu, những giấy tờ xác minh cá nhân.” Một tổ chức sẽ phải đứng ra chứng nhận những thông tin trên Chứng chỉ số phải

là chính xác, được gọi là Nhà cung cấp chứng thực số (CA) CA phải đảm bảo về độ tin

cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cấp Ba yếu tố chính của chứng chứng chỉ số bao gồm: TTCN của người được cấp; Khóa công khai của người được cấp; Chữ ký số của CA cấp chứng chỉ

Về chữ ký số, theo Khoản 6 Điều 3 Nghị định 130/2018/NĐ-CP thì “Chữ ký số

là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng

hệ thống mật mã không đối xứng, theo đó, người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định được chính xác:

a) Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa;

b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên”

Ngoài ra còn có một số biện pháp khác như:

Bảo mật web (web security) là hành động mà chủ sở hữu Website sử dụng các

công nghệ và quy trình cho phép bảo mật thông tin trên máy chủ của Website Thuật ngữ này gồm tất cả các quy trình để chắc chắn rằng một máy chủ Internet đang hoạt động đúng theo chính sách bảo mật

Vùng an ninh (DMZ) được xem là vùng mạng trung lập giữa mạng riêng và mạng

công cộng DMZ tạo ra một lớp bảo mật bổ sung cho mạng riêng để giảm khả năng hacker tấn công trực tiếp vào máy chủ và dữ liệu người dùng khi truy cập vào các Website, Mail, FTP qua Internet

Xác thực (authentication) là phương pháp các Website sử dụng với mục đích

kiểm tra, chứng thực thông tin của người dùng là đúng sự thật và đáng tin Các phương pháp xác thực phổ biến: Tên người dùng, Mật khẩu, số PIN, các yếu tố sinh trắc học …

Tường lửa (Firewall) cũng giống như vùng an toàn (DMZ), ngăn cách giữa mạng

nội bộ (local network) với một mạng khác (chẳng hạn như Internet) được cài đặt vào máy tính giúp người dùng hạn chế các hiểm nguy đến từ hacker hoặc một số loại virus độc hại Bên cạnh đó, tường lửa còn có khả năng giúp theo dõi, phân tích các luồng thông tin có khả năng gây hại

Như vậy, các biện pháp bảo mật TTKH giúp cho quyền riêng tư và quyền lợi của NTD được đảm bảo, là bức tường bảo vệ ngăn chặn các hành vi xâm hại TTCN của NTD và hơn nữa là góp phần thúc đẩy TMĐT phát triển hoàn thiện hơn về mọi mặt

1.2 Pháp luật về biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử

1.2.1 Khái niệm

Biện pháp bảo mật TTKH trong giao dịch TMĐT là một phần của pháp luật về bảo vệ, bảo mật thông tin Để xử lý tốt các vấn đề bảo mật thông tin, cần có quy định cho hai nhóm đối tượng khác nhau, bao gồm cá nhân, tổ chức có hành vi phát tán TTCN bất hợp pháp và doanh nghiệp kinh doanh dịch vụ có lưu giữ TTCN của NTD bên cạnh việc tự cá nhân đó bảo vệ thông tin của chính mình Các biện pháp bảo mật thông tin là

vô cùng cần thiết cho các doanh nghiệp kinh doanh dịch vụ có lưu giữ TTCN của NTD Chính vì vậy, việc phân chia cụ thể các nhóm đối tượng góp phần giúp cho hành lang pháp lý về biện pháp bảo mật TTKH trong giao dịch TMĐT được hoàn thiện

Pháp luật về biện pháp bảo mật TTKH trong giao dịch TMĐT hình thành là nhu cầu tất yếu do nhu cầu điều chỉnh các quan hệ xã hội mới của pháp luật, theo đó, Pháp luật về biện pháp bảo mật TTKH trong giao dịch TMĐT là tổng hợp các quy phạm pháp luật được nhà nước quy định và đảm bảo thực hiện để bảo vệ quyền lợi, TTCN của NTD khi tham gia các giao dịch TMĐT; ngăn chặn các tổ chức, cá nhân kinh doanh trên mạng

có hành vi vi phạm để thu lợi bất hợp pháp

1.2.2 Đặc điểm

Thứ nhất, quá trình hình thành các quy phạm pháp luật biện pháp bảo mật TTKH

trong giao dịch TMĐT được ra đời do sự xuất hiện của Internet và TMĐT Các giao dịch thương mại diễn ra hàng ngày tuy nhiên cách thức giao dịch truyền thống không thể đáp ứng đủ nhu cầu của xã hội do các yếu tố khách quan hoặc chủ quan Các nền tảng trực tuyến ra đời dần khẳng định lợi ích và vị thế của mình, phát triển nên TMĐT

Từ đó, cần có pháp luật để điều chỉnh những quan hệ xã hội về giao dịch điện tử

Thứ hai, pháp luật về biện pháp bảo mật TTKH trong giao dịch TMĐT liên quan

đến nhiều chế định pháp luật thuộc nhiều lĩnh vực khác nhau Biện pháp bảo mật TTKH trong giao dịch TMĐT chịu sự điều chỉnh của nhiều ngành luật như dân sự, hành chính đến hình sự và các chế định giao kết hợp đồng, bảo mật thông tin bảo vệ quyền lợi NTD

đến các chế định về an toàn thông tin mạng, Những chế định này tạo nên hệ thống chế định liên ngành làm cơ sở cho việc xây dựng các quy phạm pháp luật và thực thi pháp luật hiệu quả

Thứ ba, pháp luật về biện pháp bảo mật TTKH trong giao dịch TMĐT điều chỉnh

các quan hệ xã hội về TTCN, điều chỉnh các quan hệ phát sinh giữa các chủ thể với nhau

là Nhà nước với cá nhân, cá nhân với tổ chức, doanh nghiệp, xoay quanh vấn đề là TTKH Theo đó, các chủ thể lưu giữ và kiểm soát TTKH phải có nghĩa vụ trách nhiệm với TTCN của khách hàng và khách hàng thì có quyền được bảo vệ TTCN của chính mình Pháp luật về biện pháp bảo mật TTKH trong giao dịch TMĐT đòi hỏi ghi nhận trách nhiệm bảo mật quyền riêng tư cá nhân trong bảo vệ TTKH từ phía Nhà nước thông qua những quy định cụ thể về quyền và nghĩa vụ của các chủ thể, các chế tài và vai trò kiểm soát của Nhà nước trong việc bảo vệ TTKH trong các giao dịch TMĐT

“1 Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình

Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm

1.2.3.2 Các văn bản quy phạm pháp luật

Các văn bản quy phạm pháp luật là các văn bản chứa đựng quy phạm pháp luật

do Quốc hội, Uỷ ban thường vụ Quốc hội, Chính phủ và các cơ quan có thẩm quyền khác ban hành Biện pháp bảo mật TTKH trong giao dịch TMĐT được điều chỉnh trực tiếp và gián tiếp bởi rất nhiều các văn bản luật, dưới luật khác nhau

Cụ thể, nguồn điều chỉnh trực tiếp pháp luật về biện pháp bảo mật TTKH trong giao dịch TMĐT là: LGDĐT 2005, LBVQLNTD 2010, LATTTM 2015, Luật Công nghệ thông tin 2006 Bên cạnh đó là các nghị định, văn bản dưới luật điều chỉnh vấn đề này

Về nguồn điều chỉnh gián tiếp, phải kể đến là Luật thương mại 2005, Bộ luật dân

sự 2015, Bộ luật hình sự 2015,

1.2.3.3 Điều ước quốc tế

Điều ước quốc tế (ĐƯQT) luôn là một trong số những loại nguồn quan trọng của pháp luật Việt Nam nói chung cũng như pháp luật về các biện pháp bảo mật TTKH trong giao dịch TMĐT nói riêng

Trước tiên phải kể đến đó chính là Hiệp định khung e-ASEAN được Việt Nam

ký kết ngày 24/11/2000 tại Singapore Tuy không xác định rõ các quy định về bảo mật TTKH nhưng tại Điều 5 của Hiệp định cũng đã ghi nhận tầm quan trọng của chữ ký điện

tử, vấn đề bảo vệ dữ liệu cá nhân và bí mật riêng tư của NTD Qua đó giúp định hướng cho các nhà làm luật Việt Nam trong việc xây dựng các chế định pháp luật về bảo mật TTKH tại các văn bản pháp luật sau này Tiếp đó, là Hiệp định đối tác toàn diện và tiến

bộ xuyên Thái Bình Dương (CPTPP) bao gồm 30 chương bao quát nhiều lĩnh vực trong

đó có các vấn đề liên quan đến thương mại điện tử được quy định tại chương 14 Cụ thể,

từ điều 14.6 đến 14.8 quy định chi tiết về việc bảo vệ TTKH trong giao dịch TMĐT và các biện pháp bảo mật như chứng thực điện tử và chữ ký điện tử Ngoài ra, Việt Nam cũng đã xem xét việc gia nhập Công ước của Liên hợp quốc về sử dụng chứng từ điện

tử trong hợp đồng quốc tế (New York, 2005) Đồng thời, pháp luật Việt Nam cũng tham khảo kinh nghiệm xây dựng pháp luật về các biện pháp bảo mật thông tin cá nhân của các quốc gia đi trước như Mỹ, Anh, Nhật, Ấn Độ,

1.2.4 Nội dung pháp luật về biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử

Quyền và nghĩa vụ của chủ thể trong hoạt động giao dịch TMĐT

Các chủ thể trong giao dịch TMDT tương đối đa dạng Vì vậy, pháp luật cũng phải có sự linh hoạt trong điều chỉnh tương ứng về quyền và nghĩa vụ với từng chủ thể khi tham gia vào hoạt động này Trong đó, chủ thể của quan hệ pháp luật về các biện pháp bảo mật TTKH trong giao dịch TMĐT tại các sàn giao dịch TMĐT bao gồm: chủ thể có quyền và chủ thể có nghĩa vụ Trong đó, chủ thể có quyền là chủ thể thông tin và

chủ thể có nghĩa vụ là bên kiểm soát (Data controller) Trong đó, bên kiểm soát “là một

pháp nhân hoặc thể nhân, một cơ quan công quyền, một mình hoặc cùng với các bên khác quyết định mục đích và phương thức xử lý dữ liệu cá nhân”.2 Chủ thể thông tin “là

một thể nhân có thể được xác định một cách trực tiếp hay gián tiếp thông qua một số đặc điểm nhận dạng như tên, mã số định danh, dữ liệu vị trí, một định danh trực tiếp hoặc một hay nhiều yếu tố liên quan đến đặc điểm thể chất, sinh lý, gen di truyền, tâm thần, kinh tế, văn hóa, hoặc xã hội của thể nhân đó.”3 Vì vậy, tùy theo từng loại quan

hệ phát sinh trong hoạt động này mà pháp luật có những ghi nhận về điều kiện, địa vị pháp lý của từng chủ thể khác nhau

Quyền của chủ thể thông tin bao gồm

Thứ nhất là quyền được thông tin và truy cập TTCN của mình, cụ thể: quyền

được cung cấp thông tin về việc xử lý dữ liệu, quyền được truy cập TTCN của mình

Thứ hai là quyền sửa đổi TTCN

Thứ ba là quyền được minh bạch và phương thức: thông tin cung cấp cho chủ thể

phải đầy đủ, ở dạng dễ đọc, dễ hiểu

Cuối cùng là quyền phản đối và các quyết định tự động: Quyền trình bày với

người có thẩm quyền trong trường hợp quyết định được đưa ra tự động, Quyền phản đối việc xử lý TTCN

Nghĩa vụ của bên kiểm soát (Data Controller)

2 Trường Đại học Kinh tế Quốc dân - Bộ Tư pháp, Chương trình Tọa đàm đối thoại chính sách “Hoàn thiện

khung pháp luật về kinh tế và nâng cao hiệu quả tổ chức thi hành pháp luật trong bối cảnh Cách mạng công nghiệp lần thứ tư”, Hà Nội, ngày 29 tháng 9 năm 2021

3 Như [1]

Thứ nhất là căn cứ hợp pháp và minh bạch: Hồ sơ hoạt động và cơ sở pháp lý xử

lý thông tin

Thứ hai là nghĩa vụ cung cấp thông tin và Bảo vệ quyền riêng tư

Thứ ba là an toàn dữ liệu: Bảo vệ dữ liệu bằng thiết kế mặc định, Thông báo cho

chủ thể thông tin và cơ quan quản lý trong trường hợp có vi phạm

Cuối cùng là trách nhiệm kiểm soát

Đối tượng trong biện pháp bảo mật TTKH

Bao gồm các quy phạm pháp luật quy định các biện pháp bảo mật TTKH trong giao dịch TMĐT Xác định các hành vi bị cấm liên quan đến TTKH trong giao dịch TMĐT, quy định về những hành vi xâm phạm đến quyền lợi của NTD, những hành vi xâm phạm an toàn thông tin

Trách nhiệm quản lý nhà nước đối với những hành vi xâm phạm các biện pháp bảo mật TTKH trong giao dịch TMĐT

Cơ quan chuyên môn có trách nhiệm quản lý hoạt động trong TMĐT là các cơ quan quản lý chuyên ngành về công nghệ, kinh tế, thương mại Những hoạt động về các biện pháp bảo mật TTKH trong giao dịch TMĐT có mục tiêu ảnh hưởng đến an ninh chính trị, trật tự an toàn xã hội được điều chỉnh trong Luật Hình sự Đây chính là tiêu chí tiên quyết giao hoạt động quản lý các giao dịch thương mại về cho cơ quan quan quản lý chuyên ngành nào

1.3 Pháp luật quốc tế về các biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử

1.3.1 GDPR (General Data Protection Regulation)

Năm 2016, Những quy tắc chung về Bảo vệ Dữ liệu (General Data Protection Regulation/GDPR) đã được Liên minh châu Âu ban hành, hiệu lực kể từ 25/5/2018, giới hạn các thông tin mà các tổ chức có thể thu thập và thông tin mà cần có sự chấp thuận

từ chủ thể thông tin GDPR là cách Liên minh Châu Âu mang lại cho tất cả các chủ thể nhiều quyền hơn đối với thông tin của họ nhưng ít quyền lực hơn đối với các chủ thể thu thập và xử lý thông tin đó để thu lời GDPR tập trung tạo ra một khuôn khổ pháp lý

về quyền riêng tư theo mặc định cho toàn bộ EU GDPR yêu cầu các website và doanh

nghiệp phải có chính sách để xử lý dữ liệu cá nhân ở EU, theo đó cơ sở trước tiên là sự chấp thuận của chủ thể thông tin

Điều 5 GDPR đã đặt ra sáu nguyên tắc cơ bản liên quan tới việc xử lý TTCN như sau:

Thứ nhất, việc xử lý phải hợp pháp, công bằng, và minh bạch Theo Điều 6, việc

xử lý dữ liệu chỉ được coi là hợp pháp nếu thuộc ít nhất một trong các trường hợp như sau:

Chủ thể dữ liệu đã đồng thuận với việc xử lý thông tin cá nhân của mình; Việc xử lý là cần thiết cho việc thực hiện hợp đồng trong đó chủ thể dữ liệu là một bên giao kết, hoặc việc xử lý là để tiến hành các bước tiền hợp đồng dựa trên yêu cầu của chủ thể dữ liệu; Việc xử lý là cần thiết để bảo vệ lợi ích thiết yếu của chủ thể dữ liệu hoặc thể nhân khác; Việc xử lý là cần thiết để thực hiện công việc vì lợi ích công cộng hoặc để thực hiện thẩm quyền của cơ quan công quyền; Việc xử lý là cần thiết đối với những mưu cầu lợi ích chính đáng của bên kiểm soát hoặc bên thứ ba, trừ trường hợp ảnh hưởng lớn đến quyền cơ bản của chủ thể dữ liệu hoặc chủ thể dữ liệu là trẻ em

Thứ hai, việc xử lý phải có mục đích rõ ràng, cụ thể, chính đáng, và chỉ được

diễn ra trong phạm vi thực hiện mục đích ban đầu Việc tiếp tục tiến hành xử lý thông tin nhằm mục đích lưu trữ, dựa trên cơ sở lợi ích công cộng, mục tiêu nghiên cứu khoa học, lịch sử, hay dữ liệu sẽ không được coi là trái với mục đích xử lý thông tin ban đầu

Thứ ba, dữ liệu cá nhân được xử lý chỉ được vừa đủ, liên quan, và giới hạn ở

chừng mực đủ để thực hiện mục đích xử lý ban đầu

Thứ tư, dữ liệu cá nhân được xử lý phải chính xác và cập nhật (nếu cần thiết)

Mọi nỗ lực hợp lý cần phải được tiến hành nằm đảm bảo dữ liệu sai sót được xóa bỏ hoặc sửa đổi kịp thời

Thứ năm, hình thức lưu trữ cho phép việc định danh chủ thể dữ liệu không lâu

hơn thời gian cần thiết cho mục đích xử lý, trừ trường hợp vì lợi ích công cộng hoặc để thực hiện mục đích nghiên cứu khoa học hay lịch sử

Thứ sáu, phương thức lưu trữ cần đảm bảo bảo mật thông tin cá nhân, bao gồm

việc bảo vệ khỏi sự truy cập bất hợp pháp hoặc mất mát, hủy hoại, thiệt hại do vô ý, sử dụng các biện pháp mang tính kỹ thuật và có tổ chức

Chương III GDPR quy định bốn nhóm quyền năng của chủ thể dữ liệu Theo đó, chủ thể dữ liệu sẽ có:

“Quyền được minh bạch và phương thức: Thông tin cung cấp cho chủ thể dữ liệu phải đầy đủ, minh bạch, dễ đọc, và dễ hiểu;

Quyền được thông tin và truy cập thông tin cá nhân của mình: Bên kiểm soát phải cung cấp cho chủ thể dữ liệu các thông tin về bên kiểm soát và thông tin liên lạc, mục đích

xử lý dữ liệu và cơ sở pháp lý, bên nhận dữ liệu (nếu có), ý định của bên kiểm soát muốn chuyển dữ liệu sang một nước hay tổ chức thứ ba…

Quyền sửa đổi và quyền được lãng quên: Chủ thể dữ liệu có quyền được bên kiểm soát đính chính dữ liệu các nhân liên quan đến mình và không được trì hoãn vô lý Bên cạnh

đó, chủ thể dữ liệu cũng có quyền yêu cầu bên kiểm soát xóa dữ liệu cá nhân của mình

và không được trì hoãn vô lý trong các trường hợp như khi thông tin cá nhân không còn cần thiết (xét trên mục đích xử lý ban đầu), hay khi chủ thể dữ liệu rút lại sự đồng thuận ban đầu (nếu căn cứ xử lý ban đầu dựa trên sự đồng thuận) mà bên kiểm soát không còn căn cứ nào khác…;

Quyền phản đối và các quyết định tự động: Tại mọi thời điểm, chủ thể dữ liệu, căn cứ vào trường hợp cá nhân của mình, có quyền phản đối việc xử lý thông tin cá nhân của mình nếu căn cứ xử lý là lợi ích công cộng hoặc dựa trên mưu cầu lợi ích chính đáng của bên xử lý Ngoài ra, chủ thể dữ liệu cũng không bị ràng buộc bởi quyết định có hiệu lực pháp lý đối với họ mà được dựa trên quá trình xử lý hoàn toàn tự động.”

GPDR công nhận cá nhân có quyền kiểm soát dữ liệu cá nhân của mình GDPR đã cho thấy rõ một trong những cơ sở để biết việc xử lý thông tin cá nhân có hợp pháp hay không là khi đã được chủ thể thông tin đó đồng thuận cho phép xử lý thông tin cá nhân của họ cho một/nhiều mục đích Khái niệm “dữ liệu cá nhân” và phân biệt giữa

“chủ thể dữ liệu” (data subject) và “người kiểm soát dữ liệu” (controller) đã được đưa

ra trong GDPR Theo khoản 7 Điều 4 GDPR thì “người kiểm soát dữ liệu” là cá nhân,

pháp nhân, cơ quan nhà nước hoặc chủ thể nào đó, tự thân hoặc cùng với chủ thể khác, xác định mục đích cũng như cách thức xử lý thông tin cá nhân Trường hợp xử lý dữ

liệu dựa trên sự cho phép của chủ thể dữ liệu thì người kiểm soát dữ liệu phải chứng

minh được rằng chủ thể dữ liệu đã cho phép xử lý dữ liệu cá nhân của họ, và yêu cầu cho phép phải được thể hiện một cách rõ ràng, phân biệt được với các vấn đề khác, ở

dạng thức dễ hiểu và dễ tiếp cận, sử dụng ngôn ngữ đơn giản và rõ ràng Bên cạnh đó,

“chủ thể dữ liệu có quyền rút lại sự cho phép của mình vào bất cứ lúc nào, và người kiểm soát dữ liệu phải đảm bảo rằng việc thực hiện rút lại sự cho phép cũng phải đơn giản, dễ dàng như việc thực hiện cho phép”

Ngoài ra, GDPR còn quy định về quyền chuyển dữ liệu qua biên giới Dựa vào tầm quan trọng của khách thể chịu tác động bởi việc chuyển dữ liệu qua biên giới, GDPR quy định một bài kiểm tra ba lớp cần được vượt qua trước khi bên kiểm soát dữ liệu được phép tiến hành việc chuyển dữ liệu này Theo đó, lớp kiểm tra thứ nhất yêu cầu một quyết định của Ủy ban Châu Âu (“EC”) trong việc xác nhận xem quốc gia nhận dữ liệu có đáp ứng đầy đủ các tiêu chuẩn về bảo vệ dữ liệu hay không Đáp ứng được điều kiện này, việc chuyển dữ liệu qua biên giới có thể được tiến hành Tiếp đó, trong trường hợp không có xác nhận của EC, lớp kiểm tra thứ hai sẽ được áp dụng Theo đó, nếu bên kiểm soát dữ liệu có áp dụng các biện pháp bảo vệ bổ sung như sử dụng các điều khoản hợp đồng tiêu chuẩn (“SCCs”), các quy tắc nội bộ ràng buộc (“BCRs”), hay các biện pháp khác, thì sẽ được chuyển dữ liệu qua biên giới Nếu điều kiện này vẫn không được thỏa mãn, thì việc chuyển dữ liệu này có được tiến hành hay không sẽ phải phụ thuộc vào việc đây có thuộc vào một trong các trường hợp ngoại lệ cho phép việc chuyển dữ liệu qua biên giới hay không - lớp kiểm tra cuối cùng Một số ví dụ về trường hợp ngoại

lệ có thể kể đến như khi chủ thể thông tin đã chấp thuận rõ ràng; giữa bên thu thập và chủ thể thông tin tồn tại hợp đồng hoặc hợp đồng vì lợi ích của chủ thể thông tin; chuyển

dữ liệu vì lợi ích công cộng, lợi ích quan trọng của chủ thể dữ liệu, hay lợi ích hợp pháp của cá nhân…4

1.3.2 Quy tắc bảo vệ NTD trong thương mại điện tử năm 2020 của Ấn Độ

Năm 2020, Ấn Độ xây dựng Quy tắc bảo vệ NTD trong TMĐT nhằm ngăn chặn các các hành vi thương mại bất công và bảo vệ quyền lợi hợp pháp của NTD trong môi trường TMĐT

Với mục tiêu: ngăn chặn việc lợi dụng của các sàn TMĐT vi phạm quyền lợi NTD, bảo vệ lợi ích NTD, hạn chế cạnh tranh tự do và bình đẳng trên thị trường, Chính

4 Trường Đại học Kinh tế Quốc dân - Bộ Tư pháp, Chương trình Tọa đàm đối thoại chính sách “Hoàn thiện khung pháp luật về kinh tế và nâng cao hiệu quả tổ chức thi hành pháp luật trong bối cảnh Cách mạng công nghiệp lần thứ tư”, Hà Nội, ngày 29 tháng 9 năm 2021

phủ Ấn Độ đang đề xuất sửa đổi Quy tắc Bảo vệ NTD trong TMĐT năm 2020 Cụ thể, quy định mới sẽ nâng cao tính thực thi của Đạo luật Bảo vệ NTD năm 2019 và Quy tắc Bảo vệ NTD trong TMĐT năm 2020, phân công đầu mối liên lạc để phối hợp 24/7 với các cơ quan thực thi pháp luật, doanh nghiệp TMĐT tổ chức đào tạo đồng thời xây dựng

hệ thống các nhân viên chuyên trách tư vấn cũng như giải quyết khiếu nại của NTD trên nền tảng TMĐT

Bên cạnh đó, Cục Xúc tiến công nghiệp và Nội thương (DPIIT) yêu cầu tất cả các doanh nghiệp TMĐT phải đăng ký để được cấp số đăng ký Dấu thông báo sẽ được hiển thị nổi bật trên trang web cũng như hóa đơn của các đơn đặt hàng TMĐT của các doanh nghiệp TMĐT đã được cấp phép Đây là điểm giống với quy định pháp luật Việt Nam, đó là các website TMĐT phải được đăng ký, cụ thể hơn là sàn giao dịch TMĐT phải đăng ký theo khoản 1 Điều 36 và khoản 1 Điều 55 Nghị định 52/2013/NĐ-CP về TMĐT:

“Điều 36 Trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ sàn giao dịch TMĐT:

1 Đăng ký thiết lập website cung cấp dịch vụ sàn giao dịch TMĐT theo quy định tại Mục 2 Chương IV Nghị định này và công bố các thông tin đã đăng ký trên trang chủ website.”

“Điều 55 Thủ tục đăng ký thiết lập website cung cấp dịch vụ TMĐT

1 Thương nhân, tổ chức tiến hành đăng ký trực tuyến với Bộ Công Thương về việc thiết lập website cung cấp dịch vụ TMĐT sau khi website đã được hoàn thiện với đầy đủ cấu trúc, tính năng và thông tin theo đề án cung cấp dịch vụ, đã hoạt động tại địa chỉ tên miền được đăng ký và trước khi chính thức cung cấp dịch vụ đến người dùng.”

1.3.3 Đạo luật bảo vệ TTCN của Nhật Bản (APPI)

Một trong những luật về bảo vệ quyền riêng tư được ban hành sớm nhất tại châu

Á là đạo luật bảo vệ TTCN của Nhật Bản Mục đích của Đạo luật là vừa đảm bảo việc

sử dụng TTCN một cách đúng đắn theo các nguyên tắc cơ bản vừa bảo vệ quyền và lợi ích của cá nhân Sau 14 năm, Đạo luật đã có sửa đổi gây chú ý vào 5/2017, một năm trước ngày GDPR có hiệu lực Việc điều chỉnh đã cho thấy rõ xu hướng của toàn thế giới về pháp luật bảo vệ dữ liệu

TTCN và dữ liệu TTCN

TTCN được định nghĩa là thông tin về một cá nhân sống thuộc bất kỳ mục nào sau đây:

“(a) thông tin có chứa tên, ngày sinh hoặc các mô tả khác, theo đó một cá nhân cụ thể

có thể được xác định (bao gồm thông tin cho phép dễ dàng tham khảo cho phép nhận dạng cá nhân); hoặc

(b) thông tin chứa mã nhận dạng cá nhân, là mã, bao gồm các ký tự, ký tự số và dấu, có thể được sử dụng để xác định cá nhân cụ thể và được quy định trong Nghị định của Chính phủ quy định về việc thực hiện Luật sửa đổi, bổ sung ban hành tháng 12 năm 2016” (ví dụ: định danh sinh trắc học như dấu vân tay, hoặc dữ liệu xác định danh tính)

Các định nghĩa về TTCN tùy thuộc vào ngữ cảnh và không giới hạn đến các loại dữ liệu

cụ thể

Còn theo pháp luật Việt Nam, “TTCN” được định nghĩa như sau:

Theo khoản 13 Điều 3 nghị định 52/2013/NĐ-CP về TMĐT quy định: “13 TTCN

là các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán

cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật

TTCN trong Nghị định này không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông.”

Khoản 15 Điều 3 LATTTM quy định: “15 TTCN là thông tin gắn với việc xác định

danh tính của một người cụ thể.”

Như vậy, quy định pháp luật Việt Nam có thêm phần “giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật” Ngược lại, pháp luật Nhật Bản lại quy định rộng hơn về TTCN, cụ thể là thông tin để xác định cá nhân đó như định danh sinh trắc học, như: dữ liệu vân tay, hoặc dữ liệu xác định danh tính, số giấy phép lái xe… và còn mở rộng hơn: “mô tả khác, theo đó một cá nhân cụ thể có thể được xác định (bao gồm thông tin cho phép dễ dàng tham khảo cho phép nhận dạng cá nhân)”

Quyền yêu cầu xóa đối với dữ liệu cá nhân

Nếu được một cá nhân yêu cầu xóa dữ liệu cá nhân của họ do sự sai lệch, hay muốn thay đổi, cập nhật thì các nhà quản lý phải lập tức tiến hành điều tra Trên cơ sở

kết quả thu được, nhà quản lý sẽ phải thực hiện những hành vi xử lý cụ thể với thông tin

cá nhân đó và trả lời yêu cầu của từng cá nhân Ngoài ra, nếu bị một cá nhân yêu cầu ngừng dùng hay tiết lộ các thông tin cá nhân được lưu trữ vì vi phạm APPI, nhà quản lý phải ngưng việc dùng hay công bố thông tin đó

Pháp luật Việt Nam chưa có quy định về quyền này

Thi hành và hình phạt vi phạm

Khác với Việt Nam, Nhật Bản thành lập PPC (Personal Information Protection Commission - Ủy ban bảo vệ dữ liệu thông tin) để xử phạt vi phạm trong lĩnh vực bảo mật TTCN PPC được thành lập theo bản sửa đổi gần đây của APPI và là cơ quan bảo

vệ thông tin cấp trung ương, chịu trách nhiệm ban hành hướng dẫn tuân thủ APPI và các công tác thi hành, điều tra Trước khi PPC được thành lập, có nhiều cơ quan của Chính phủ có thẩm quyền thi hành quy định pháp luật đối với doanh nghiệp theo các hướng dẫn riêng tại từng cơ quan (27 ngành công nghiệp với hơn 40 hướng dẫn) PPC ra đời đã giúp tránh tình trạng hướng dẫn nằm rải rác, tản mát trong quy định tại các cơ quan này và tạo ra sự thống nhất

PPC có thể ban hành các lệnh sửa đổi hoặc yêu cầu báo cáo về việc xử lý TTCN trong khi nhà quản lý doanh nghiệp vi phạm những quy định của APPI và vi phạm quyền riêng tư của cá nhân Các doanh nghiệp sẽ nhận được hướng dẫn về các khuyến nghị sắp được ban hành Vi phạm lệnh sửa đổi là tội phạm hình sự và có thể phải gánh chịu chế tài là phạt tù tối đa 6 tháng, phạt tiền đến 300.000 Yên Nhật, mức phạt tối đa với các doanh nghiệp

1.3.4 Pháp luật của Hoa Kỳ

Không có luật liên bang quy định trọn vẹn về vấn đề bảo vệ và sử dụng TTCN tại Hoa Kỳ Thay vào đó, Hoa Kỳ có một hệ thống “chắp vá” các quy định của tiểu bang

và liên bang Ngoài ra, các cơ quan của Chính phủ và các nhóm ngành đã phát triển nhiều hướng dẫn dù không có hiệu lực pháp lý nhưng là một phần của các nguyên tắc

và trong khuôn khổ tự quản lý

Thực tế, ở Hoa Kỳ, việc bảo vệ quyền riêng tư và dữ liệu của NTD trong TMĐT được thực hiện chủ yếu thông qua các cách thức rất khác so với Việt Nam Tại Việt Nam

có luật và nghị định điều chỉnh thì tại Hoa Kỳ, mô hình tự điều chỉnh (Self - Regulation Model) được sử dụng Các biện pháp tự điều chỉnh được chia thành bốn nhóm:

“(i) nhóm 1: hướng dẫn tự xây dựng Ví dụ, tháng 6/1986, hướng dẫn bảo mật trực tuyến của Liên minh bảo mật trực tuyến đã được công bố Các thành viên đồng ý tuân thủ chính sách bảo mật với điều kiện không theo dõi hiệu suất của thành viên khác;

(ii) nhóm 2: chương trình xác thực quyền riêng tư TMĐT, trong đó các doanh nghiệp cam kết tuân thủ việc bảo vệ dữ liệu cá nhân trong TMĐT;

(iii) nhóm 3: phương pháp bảo vệ công nghệ, tập trung bảo vệ quyền riêng tư của NTD Theo đó, bằng cách sử dụng công nghệ phần mềm, trước khi nhập dữ liệu vào trang web, NTD có thể nhận cảnh báo tự động về việc thông tin nào sẽ được thu thập NTD

có thể quyết định thông tin nào có thể thu thập, các dữ liệu khác không được chọn sẽ không được phép thu thập;

(iv) nhóm 4: là phương pháp “bến an toàn” (safe harbor), kết hợp tự điều chỉnh với các quy định pháp luật Theo đó, các hướng dẫn bảo vệ dữ liệu cá nhân trong TMĐT sẽ được ban hành bởi nhà cung cấp dịch vụ trực tuyến cụ thể.”

1.3.5 Luật Bảo vệ dữ liệu cá nhân của Singapore

Về Luật Bảo vệ dữ liệu cá nhân của Singapore như sau: đưa ra các quy định về thu thập, sử dụng, công bố và bảo vệ dữ liệu cá nhân, thừa nhận quyền của các cá nhân trong việc bảo vệ dữ liệu cá nhân của mình, bao gồm quyền tiếp cận và hiệu chỉnh dữ liệu, cũng như thừa nhận nhu cầu của các tổ chức, cá nhân trong việc thu thập, sử dụng,

và công bố dữ liệu cá nhân cho các mục đích hợp pháp và hợp lý Luật này cũng đã thiết lập cơ chế đăng ký không nhận cuộc gọi (Do Not Call (DNC) Registry), theo đó, cơ chế cho phép các cá nhân đăng ký số điện thoại tại Singapore để tránh việc phải nhận các cuộc điện thoại hay tin nhắn SMS hay MMS hay fax từ các tổ chức, cá nhân khác với mục đích quảng cáo Về nguyên tắc, các tổ chức, cá nhân chỉ được thu thập, sử dụng hoặc công bố dữ liệu cá nhân của một người nếu được người đó cho phép Bên cạnh đó, Luật này quy định các tổ chức, cá nhân có nghĩa vụ bảo vệ các dữ liệu cá nhân mà mình đang chiếm hữu hoặc kiểm soát bằng cách đặt ra các biện pháp an ninh hợp lý để ngăn

chặn việc truy cập, thu thập, sử dụng, công bố, sao chép, sửa chữa, xóa bỏ dữ liệu trái phép hoặc các rủi ro tương tự.5

5 Trường Đại học Kinh tế Quốc dân - Bộ Tư pháp, Chương trình Tọa đàm đối thoại chính sách “Hoàn thiện khung pháp luật về kinh tế và nâng cao hiệu quả tổ chức thi hành pháp luật trong bối cảnh Cách mạng công nghiệp lần thứ tư”, Hà Nội, ngày 29 tháng 9 năm 2021

CHƯƠNG 2: THỰC TRẠNG PHÁP LUẬT VIỆT NAM VỀ CÁC BIỆN PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ VÀ THỰC TIỄN TẠI CÁC SÀN GIAO DỊCH THƯƠNG MẠI ĐIỆN

TỬ TẠI VIỆT NAM HIỆN NAY

2.1 Thực trạng pháp luật Việt Nam về các biện pháp bảo mật thông tin khách hàng trong giao dịch thương mại điện tử

Đối với việc bảo mật TTKH trong giao dịch TMĐT, hiện nay, vấn đề về các biện pháp bảo mật này đang được quy định tản mát ở nhiều văn bản quy phạm pháp luật khác nhau Theo thống kê, hiện có khoảng 16 văn bản pháp luật quy định liên quan tới TTCN như Hiến pháp, Bộ luật Hình sự, Bộ luật Dân sự, LBVQLNTD, LGDĐT, Luật Trẻ em, Luật Công nghệ thông tin,…, trong đó có khoảng 6 văn bản quy định trực tiếp tới các biện pháp bảo mật TTKH trong giao dịch TMĐT bao gồm: LGDĐT 2005 (Chương VI); LBVQLNTD 2010 (điều 6); LATTTM (Điều 7, Mục 2 chương II: Điều 16 đến điều 20); Luật Công nghệ thông tin 2006 (Điều 21 và điều 22); Nghị định 52/2013/NĐ-CP; Nghị định 98/2020/NĐ-CP quy định về xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi NTD (được sửa đổi, bổ sung bởi Nghị định 17/2022/NĐ-CP về xử phạt hành chính trong lĩnh vực hóa chất, điện lực, hoạt động thương mại, dầu khí)

Về các nguyên tắc chung liên quan đến bảo mật TTKH cũng như mỗi cá nhân, pháp luật không cấm việc thu thập, lưu trữ, xử lý các thông tin cá nhân, tuy nhiên việc thu thập TTCN phải được sự chấp thuận của chủ thể thông tin đó Cụ thể:

Hiến pháp năm 2013 quy định “Mọi người có quyền bất khả xâm phạm về đời sống

riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm

2 Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư,

bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai

thông tin liên quan đến bí mật gia đình phải được các thanh viên gia đình đồng ý, trừ trường hợp luật có quy định khác

3 Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật.”

Từ các nguyên tắc chung đó, các biện pháp bảo mật TTKH trong giao dịch TMĐT Việt Nam được thành lập dựa trên các vấn đề: Trách nhiệm bảo vệ TTCN của NTD; Chính sách bảo vệ TTCN của NTD; Xin phép NTD khi thu thập TTCN; Sử dụng TTCN; Bảo đảm an toàn, an ninh TTCN; Kiểm tra, cập nhật và điều chỉnh TTCN; Vi phạm

pháp luật về bảo vệ TTKH và hình thức xử phạt

2.1.1 Trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng:

Ngày nay, khi TMĐT phát triển mạnh, các doanh nghiệp tận dụng TTCN của NTD để làm công cụ nghiên cứu hành vi của NTD nhằm tối đa hóa lợi nhuận cũng như tiếp cận khách hàng một cách có hiệu quả hơn Song song với đó thì hành vi xâm phạm TTCN của NTD cũng diễn ra phức tạp và phổ biến hơn Chính vì lẽ đó, quản lý TTCN

an toàn là điều vô cùng cần thiết Vì thế nhà nước đã quy định tại Điều 68 Nghị định 52/2013/NĐ-CP rằng mọi hành vi thu thập TTCN của khách hàng đều phải tuân theo quy định của pháp luật mà không có trường hợp ngoại lệ bao gồm phạm vi lưu trữ TTCN, thời gian lưu trữ hay là chỉnh sửa thông tin Ngoài ra theo quy định tại khoản 2

của điều này có quy định “trong trường hợp thương nhân, tổ chức, cá nhân hoạt động

kinh doanh TMĐT ủy quyền cho bên thứ ba thực hiện việc thu thập, lưu trữ TTCN của NTD được lập thành hợp đồng” trong đó có quy định rõ trách nhiệm của mỗi bên hoặc

có thể không theo một số trường hợp luật định Theo đó, “thương nhân, tổ chức, cá

nhân hoạt động kinh doanh TMĐT ủy quyền cho bên thứ ba thực hiện việc thu thập, lưu trữ TTCN của NTD khi và chỉ khi hợp đồng giữa hai bên phải quy định rõ trách nhiệm của mỗi bên” trong việc tuân thủ các quy định tại Nghị định 52/2013/NĐ-CP và văn

bản pháp luật liên quan đến bảo vệ TTCN Ngoài ra, “nếu hợp đồng giữa hai bên không

quy định rõ trách nhiệm của mỗi bên thì thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử chịu trách nhiệm trong trường hợp việc thu thập, lưu trữ và

sử dụng thông tin cá nhân của người tiêu dùng vi phạm các quy định tại Nghị định này

và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân.”

Điều này bám sát nguyên tắc là cần có sự chấp thuận trước của cá nhân có thông tin được thu thập, ghi nhận trong Hiến pháp và Bộ luật dân sự Theo đó, khi sử dụng TTKH vào mục đích không giống với mục đích lúc đầu đã đồng ý thì phải có sự chấp thuận của NTD, không được tiết lộ, làm rò rỉ TTKH cho bên thứ ba, trừ khi có sự chấp thuận của NTD hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền Điều 4 Nghị định số 52/2013/NĐ-CP quy định về các hành vi bị cấm trong TMĐT, trong đó có

“Đánh cắp, sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức, cá nhân khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan, trừ trường hợp pháp luật có quy định khác;”

Về trách nhiệm của từng chủ thể trong việc bảo vệ thông tin của NTD thì:

Thứ nhất, về phía trách nhiệm của các cơ quan nhà nước có thẩm quyền Các

quản lý nhà nước về TMĐT được quy định bao gồm Bộ Công Thương thực hiện quản

lý nhà nước về TMĐT và sẽ chịu trách nhiệm trước Chính phủ và “Các Bộ, cơ quan

ngang Bộ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương trong phạm vi nhiệm

vụ, quyền hạn của mình có trách nhiệm phối hợp với Bộ Công Thương thực hiện quản

lý nhà nước về TMĐT” 6 Những trách nhiệm của các cơ quan quản lý này trong bảo vệ

TTCN trên mạng thì bao gồm “Thiết lập kênh thông tin trực tuyến để tiếp nhận kiến

nghị, phản ánh của tổ chức, cá nhân liên quan đến bảo đảm an toàn TTCN trên mạng”

và “Định kỳ hằng năm tổ chức thanh tra, kiểm tra đối với tổ chức, cá nhân xử lý TTCN;

tổ chức thanh tra, kiểm tra đột xuất trong trường hợp cần thiết.”

Như vậy, với chức năng mang tính quyền lực của mình, các cơ quan này có trách nhiệm trong việc ban hành các chính sách pháp luật, về chế tài xử lý đối với các hành vi xâm hại đến quyền được bảo đảm bí mật TTCN của NTD Ngoài ra, nhà nước cũng đưa

ra những quy định về trách nhiệm của các tổ chức trong việc thực hiện các biện pháp nhằm bảo vệ quyền lợi cho NTD, hỗ trợ việc kiểm tra giám sát của các cơ quan quản lý nhà nước

Thứ hai, về phía trách nhiệm của thương nhân, tổ chức cung cấp hạ tầng kỹ thuật,

dịch vụ hỗ trợ khác, chủ sở hữu website TMĐT, là một bên trong giao dịch TMĐT theo quy định tại Điều 24 Nghị định số 52/2013/NĐ-CP được sửa đổi bổ sung bởi khoản 6

6 Xem Điều 6 NĐ 52/2013 NĐ-CP

điều 1 NĐ 85/2021 NĐ-CP nên đương nhiên chủ thể này cần có trách nhiệm trong hoạt động này

Trước hết về phía chủ thể cung cấp hạ tầng kỹ thuật, dịch vụ hỗ trợ khác Dù không trực tiếp tham gia vào các giao dịch nhưng đây là chủ thể tạo tiền đề cho việc giao kết hợp đồng điện tử nói chung hay thu thập TTCN của NTD nói riêng Với đặc trưng riêng của mình các chủ thể này có phải nghĩa vụ thực hiện theo các quy định pháp luật về bảo vệ TTKH, chủ động xây dựng, thiết lập hệ thống hạ tầng kỹ thuật đảm bảo vận hành ổn định và an toàn, phù hợp với đặc thù của các giao dịch điện tử, qua đó đáp ứng được yêu cầu bảo mật thông tin trong TMĐT

Về phía chủ sở hữu website TMĐT, các chủ thể này có vai trò thiết lập website cung cấp không gian cho các chủ thể khác hoạt động Với vai trò này nên chủ thể này cần chủ động xây dựng và thông báo minh bạch về chính sách TTKH trên website TMĐT và điều khoản bảo vệ TTCN của NTD Cùng với đó, phải kiểm soát và đảm bảo việc thực hiện các quy chế đó trên website TMĐT Quy định rõ phương thức giải quyết tranh chấp nếu có tranh chấp phát sinh trong khi giao dịch, giúp NTD bảo vệ quyền lợi chính đáng của mình Chỉ được chuyển giao thông tin của NTD cho bên thứ ba khi có

sự đồng ý của NTD, trừ trường hợp pháp luật có quy định khác

Thứ ba, về phía trách nhiệm của người bán Người bán hàng trên Website TMĐT

phải có nghĩa vụ bảo vệ TTKH như một thương nhân, tổ chức cung cấp dịch vụ TMĐT, đồng thời cũng có những nghĩa vụ của người bán trên website TMĐT Điều 27 Nghị

định 52/2013/NĐ-CP cũng quy định “thương nhân, tổ chức, cá nhân sở hữu website

TMĐT bán hàng có trách nhiệm tuân thủ các quy định về bảo vệ TTCN của khách hàng quy định tại mục 1 Chương V của Nghị định này”

Ngoài ra tại Điều 6 LBVQLNTD 2010 có thể gián tiếp xác định nghĩa vụ của người bán trong việc bảo vệ TTCN của NTD khi “thu thập, sử dụng, chuyển giao” thông

tin của NTD Cụ thể thì “chủ thể này cần có trách nhiệm sử dụng thông tin phù hợp với

mục đích đã thông báo với NTD và phải được NTD đồng ý; bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của NTD; chỉ được chuyển giao thông tin của NTD cho bên thứ ba khi có sự đồng ý của NTD, trừ trường hợp pháp luật

có quy định khác.”