1 ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA LUẬT HỌC PHẦN HỢP ĐỒNG MUA BÁN HÀNG HÓA CHỦ ĐỀ VẤN ĐỀ BẢO MẬT THÔNG TIN CÁ NHÂN CỦA NGƯỜI TIÊU DÙNG TRONG THƯƠNG MẠI ĐIỆN TỬ THỰC HIỆN NHÓM 3 MÃ HỌC PHẦN BSL 3025 GIẢNG[.]
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA LUẬT
HỌC PHẦN: HỢP ĐỒNG MUA BÁN HÀNG HÓA
CHỦ ĐỀ : VẤN ĐỀ BẢO MẬT THÔNG TIN CÁ NHÂN CỦA NGƯỜI
TIÊU DÙNG TRONG THƯƠNG MẠI ĐIỆN TỬ
THỰC HIỆN: NHÓM 3
MÃ HỌC PHẦN: BSL 3025 GIẢNG VIÊN: TS Nguyễn Tài
HÀ NỘI, THÁNG 05/2022
DANH SÁCH THÀNH VIÊN NHÓM 3
Trang 2STT Mã sinh viên Họ và tên Lớp
PHẦN I: KHÁI QUÁT CHUNG VỀ BẢO MẬT THÔNG TIN CÁ NHÂN CỦA NGƯỜI TIÊU DÙNG TRONG thương mại điện tử
Trang 31.1 Khái niệm
1.1.1 Khái niệm người tiêu dùng
Khái niệm người tiêu dùng theo Luật Bảo vệ quyền lợi người tiêu dùng của Việt Nam là những người (cá nhân) mua hoặc sử dụng hàng hoá, dịch vụ cho các mục đích tiêu dùng cá nhân, sinh hoạt gia đình, hoặc tổ chức, cộng đồng Cũng theo quan niệm này, người tiêu dùng được hiểu là người tiêu dùng cuối cùng hàng hoá, dịch vụ được cung ứng trên thị trường Những người mua hàng hoá, dịch vụ để sử dụng làm đầu vào cho các hoạt động sản xuất, kinh doanh hàng hoá, dịch vụ sẽ không được coi là người tiêu dùng
1.1.2 Khái niệm thông tin cá nhân của người tiêu dùng
Khái niệm “thông tin cá nhân” đã được pháp luật Việt Nam quy định rải rác trong các văn bản quy phạm pháp luật Theo đó, có thể hiểu rằng, “thông tin cá nhân” của người tiêu dùng là những thông tin góp phần xác định một cách chính xác danh tính của người tiêu dùng, những thông tin này bao gồm cả những thông tin người tiêu dùng đã công khai và cả những thông tin riêng mà người tiêu dùng muốn giữ bí mật Trong phạm
vi luận văn, tác giả tập trung nghiên cứu việc bảo vệ những thông tin cá nhân mà người tiêu dùng không công khai trong quá trình thực hiện các giao dịch thương mại, đó là những thông tin như địa chỉ nhà riêng, số điện thoại, số tài khoản ngân hàng, số chứng minh thư, nhóm máu,…
1.1.3 Khái niệm Thương mại điện tử
thương mại điện tử theo pháp luật Việt Nam được hiểu là các hoạt động nhằm mục đích sinh lợi của ít nhất một bên trong giao dịch, bao gồm nhiều hoạt động khác nhau như mua bán hàng hóa, cung ứng dịch vụ, đầu tư xúc tiến thương mại và các hoạt động sinh lợi khác được thực hiện bởi các phương tiện điện tử có kết nối với mạng Internet, mạng viễn thông di động hoặc các mạng mở khác Có thể thấy định nghĩa thương mại điện tử ở Việt Nam là một định nghĩa về thương mại điện tử theo nghĩa hẹp, việc thương mại điện tử được quan niệm theo nghĩa hẹp cũng là điều không hiếm gặp bởi trên thực tế, chính các hoạt động thương mại thông qua Internet đã làm phát sinh thuật ngữ thương mại điện tử
1.1.4 Khái niệm Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử
Trang 4Theo thông lệ quốc tế có thể hiểu “bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử” là những biện pháp nhằm bảo đảm tính bảo mật của thông tin cá nhân của người tiêu dùng, tránh cho những thông tin cá nhân của người tiêu dùng
bị lạm dụng, sử dụng bất hợp pháp và tình trạng nặc danh trong quá trình tham gia các hoạt động thương mại điện tử
1.2 Các yếu tố chi phối hoạt động bảo vệ bảo mật thông tin cá nhân của người tiêu dùng trong hoạt động thương mại điện tử
Xuất phát từ đặc thù của hoạt động thương mại điện tử , mức độ và hiệu quả bảo
vệ thông tin cá nhân của người tiêu dùng bị chi phối bởi nhiều yếu tố khác nhau
1.2.1 Yếu tố không gian mạng và nền tảng công nghệ
Quan hệ tiêu dùng thông qua thương mại điện tử sẽ chịu sự chi phối của yếu tố không gian mạng - nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian Hệ quả tất yếu là thông tin cá nhân của người tiêu dùng cũng được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi qua môi trường mạng Chính vì vậy, các rủi ro và sự cố về bảo mật, an toàn thông tin cá nhân của người tiêu dùng do hành vi truy nhập, sử dụng, tiết lộ trái phép thông tin là điều khó tránh khỏi
Hiện nay, nhân loại đã bước sang cuộc cách mạng công nghiệp lần thứ 4 nhờ sự kết hợp giữa các công nghệ lại với nhau, xóa đi ranh giới giữa vật lý, kỹ thuật và sinh học Nếu không bắt kịp nhịp độ phát triển của thế giới và khu vực, Việt Nam sẽ phải đối mặt những thách thức và tác động tiêu cực, trong đó có hệ quả đe dọa về an toàn,
an ninh thông tin.us) Một trong những nhân tố quan trọng của cuộc cách mạng công nghiệp 4.0 là nền tảng công nghệ, đây sẽ là nhân tố chủ đạo chi phối mạnh mẽ các hình thức và mức độ phát triển của thương mại điện tử Hiện tại, thương mại điện tử tại Việt Nam đang bước vào giai đoạn ba - giai đoạn thương mại điện tử phát triển nhanh Trong giai đoạn này, các giao dịch điện tử đã thâm nhập tới mọi lĩnh vực kinh tế xã hội Nhiều loại hình kinh doanh mới xuất hiện trên nền tảng điện toán đám mây (cloud computing), công nghệ di động (mobile technology), dữ liệu lớn (big data), mạng xã hội (social media) Có thể nói ,các công nghệ mới ra đời hỗ trợ các hình thức kinh doanh mới của doanh nghiệp, thường vượt ra khỏi phạm vi điều chỉnh của pháp luật hiện hành, đặc biệt cũng đặt ra những thách thức mới trong việc bảo đảm an toàn thông tin người tiêu dùng Trên thực tế, pháp luật cũng khó bắt kịp sự phát triển nhanh chóng của các thành tựu
Trang 5trong khoa học công nghệ ngày nay Cho nên, việc kiểm soát hành vi xâm phạm hoặc
lạm dụng thông tin cá nhân của người tiêu dùng sẽ trở nên khó khăn hơn
1.2.2 Yếu tố chủ thể tham gia hoạt động thương mại điện tử
Chủ thể tham gia hoạt động thương mại điện tử không dừng lại ở các chủ thể của phương thức giao dịch truyền thống (như bên bán và bên mua trong hợp đồng mua bán, bên cung ứng dịch vụ và bên sử dụng dịch vụ trong hợp đồng cung ứng dịch vụ ),
mà còn liên quan đến nhiều chủ thể khác Mỗi chủ thể đều có vai trò riêng trong quan
hệ thương mại điện tử Cho nên, trách nhiệm của từng chủ thể trong vấn đề bảo vệ thông tin cá nhân của người tiêu dùng cũng khác nhau
Xét từ phương diện quyền riêng tư trong thương mại điện tử , một nghiên cứu cho thấy, có bốn nhóm chủ thể liên quan đến vấn đề bảo vệ quyền riêng tư: (i) những người muốn kiểm soát việc phát tán thông tin cá nhân của người thu thập; (ii) những người muốn thu thập thông tin cá nhân cho mục đích kinh doanh; (iii) những người có hành vi mua, bán, lưu trữ, hoặc sử dụng thông tin cá nhân trái phép; (iv) người bảo vệ quyền riêng tư, có nghĩa vụ bảo vệ quyền của chủ thể bằng cách ngăn chặn người vi phạm và hướng dẫn thiết lập cho người thu thập thông tin Trên thực tế, tham gia vào hoạt động thương mại điện tử có thể liên quan đến các chủ thể như người bán, người mua; tổ chức cung cấp dịch vụ mạng; chủ sở hữu website thương mại điện tử Đặc biệt, với sự chi phối của môi trường mạng, vấn đề xác định chủ thể tiết lộ, chia sẻ hoặc
sử dụng trái phép thông tin cá nhân của người tiêu dùng càng trở nên khó khăn và phức tạp
1.2.3 Yếu tố trình độ công nghệ thông tin và nhận thức của người tiêu dùng
Đối với người tiêu dùng, tham gia mua sắm hàng hóa và dịch vụ qua thương mại điện tử đòi hỏi họ phải có một trình độ công nghệ thông tin nhất định Khi có nền tảng công nghệ tốt, khả năng bảo mật thông tin sẽ cao hơn thông qua việc áp dụng các biện pháp tự bảo vệ thông tin, chẳng hạn, bật tính năng “không theo dõi” trên trình duyệt web, không lưu thông tin tài khoản và mật khẩu khi đăng nhập mua hàng tại các máy
tính công cộng hay từ chối mua hàng khi chính sách bảo mật của người bán không rõ
ràng…
Trong thương mại điện tử , khả năng lưu trữ và truy xuất thông tin của các công nghệ truyền thông mới có thể tạo thuận lợi cho việc thu thập và trao đổi thông tin khách
Trang 6hàng, những người thường không có kiến thức về các công nghệ này Mặt khác, các điều khoản về quyền riêng tư thường được đặt ở vị trí bất tiện (cuối trang), thường “tẻ nhạt” và phức tạp đối với người dùng website do ngôn ngữ mang tính pháp lý Trên thực tế, nhiều người tiêu dùng cũng không quan tâm nhiều đến vấn đề bảo vệ thông tin
cá nhân , bởi họ cho rằng, thông tin của mình không có giá trị gì; hoặc khi bị phát tán thông tin, nếu xác định được chủ thể để lộ thông tin thì họ cũng “e ngại việc khiếu nại,
có thể dẫn đến mất thời gian mà không đạt được mục đích mong muốn
1.2.4 Yếu tố pháp luật
Để bảo đảm cho hoạt động thương mại điện tử , các quốc gia đều ra sức xây dựng
và thực thi các chính sách và pháp luật phù hợp Trong đó, vấn đề bảo đảm an toàn thông tin nói chung và an toàn thông tin cá nhân nói riêng đang trở thành thách thức đối với các nhà lập pháp, bởi cách mạng công nghiệp 4.0 đã làm thay đổi cơ bản các mặt của đời sống nhân loại, kể cả thương mại điện tử Mặt khác, quyền riêng tư và yêu cầu được bảo vệ về thông tin cá nhân của con người đang được đề cao và tôn trọng với
tư cách là quyền của con người Dĩ nhiên, pháp luật của bất kỳ nhà nước nào cũng phải thay đổi và hoàn thiện để bắt kịp đòi hỏi này Pháp luật là công cụ quan trọng chi phối hiệu quả hoạt động bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện
tử Do đó, việc xây dựng và hoàn thiện các quy định của pháp luật về bảo vệ thông tin
cá nhân của người tiêu dùng đang là vấn đề trọng tâm của các quốc gia khi có mong
muốn phát huy tối đa lợi thế của thương mại điện tử
1.3 Sự cần thiết của việc bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử
Thứ nhất, Nhằm mục đích đảm bảo hoạt động kinh doanh của tổ chức, cá nhân
kinh doanh
Thứ hai, Không chỉ nhằm mục đích đảm bảo hoạt động kinh doanh của tổ chức,
cá nhân kinh doanh, hoạt động bảo vệ thông tin cá nhân của người tiêu dùng còn tạo dựng niềm tin từ phía họ, từ đó tạo đà cho phát triển kinh doanh, thúc đẩy nền kinh tế Trong thực tế, bảo mật trực tuyến là rào cản lớn đối với việc sử dụng internet như một công cụ tiếp thị hiệu quả Nhiều nghiên cứu cho thấy khách hàng không sẵn sàng tham gia thương mại điện tử vì không yên tâm về các vấn đề liên quan đến an ninh và sự riêng tư của dữ liệu giao dịch Các nhà nghiên cứu cũng lưu ý những lỗi bảo mật hệ
Trang 7thống là nỗi sợ hãi lớn nhất của người mua sắm trực tuyến vì thông tin cá nhân của họ
có thể bị các bên thứ ba xem trộm
Tạo niềm tin cho người tiêu dùng rằng thông tin riêng tư của họ sẽ được bảo vệ cẩn thận
và an toàn được coi là yếu tố quan trọng cho sự thành công của thương mại điện tử và
là thách thức cho bất cứ nhà quản trị nào
Thứ ba, đây còn là sự đảm bảo, tôn trọng quyền cơ bản của con người, đáp ứng tối đa
những nhu cầu mà người tiêu dùng đề ra Chính vì vậy chúng ta cần có những quy định, thiết chế chặt chẽ về bảo vệ thông tin cá nhân của khách hàng để đảm bảo lợi ích chính đáng của họ
Bên cạnh đó, xuất phát từ một số đặc trưng của thương mại điện tử , nhu cầu bảo vệ thông tin cá nhân của người tiêu dùng trong lĩnh vực này lại càng trở nên cấp thiết hơn
PHẦN II: PHÁP LUẬT VỀ BẢO VỆ THÔNG TIN CÁ NHÂN NGƯỜI TIÊU DÙNG TRONG THƯƠNG MẠI ĐIỆN TỬ
2.1 Khái niệm pháp luật vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử
Pháp luật về bảo vệ người tiêu dùng là lĩnh vực pháp luật điều chỉnh các quan hệ giữa người tiêu dùng với các thương nhân khi người tiêu dùng mua, sử dụng hàng hóa, dịch vụ của thương nhân đó; quy định những quyền của người tiêu dùng và trách nhiệm của thương nhân trong các giao dịch.1
Trong đó, pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử là một bộ phận của pháp luật về bảo vệ người tiêu dùng, vì vậy có thể định
nghĩa như sau: “Pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương
mại điện tử là một lĩnh vực pháp luật bao gồm hệ thống các nguyên tắc và quy phạm pháp luật do nhà nước ban hành hoặc thừa nhận, quy định các biện pháp nhằm đảm
1 Trường Đại học Luật Hà Nội (2014), “Giáo trình Luật Bảo vệ quyền lợi người tiêu dùng”, NXB Công an
Nhân dân, Hà Nội, tr.21
Trang 8bảo tính bảo mật thông tin cá nhân của người tiêu dùng trong các hoạt động thương mại điện tử”
Đối tượng điều chỉnh của pháp luật bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử là quan hệ giữa các bên tham gia các giao dịch thương mại điện tử Quan hệ trong thương mại điện tử khác với các quan hệ thương mại thông thường khác bởi nó bao gồm ít nhất ba chủ thể: người tiêu dùng, nhà cung cấp sản phẩm
và bên thứ ba là nhà cung cấp dịch vụ mạng, các cơ quan chứng thực giao dịch thương mại điện tử Bên thứ ba này đóng vai trò quan trọng trong việc tạo ra môi trường cho các giao dịch thương mại điện tử; giữ nhiệm vụ chuyển và lưu giữ thông tin giữa các bên tham gia giao dịch thương mại điện tử đồng thời họ cũng xác nhận độ tin cậy của các thông tin trong giao dịch thương mại điện tử Do đó, họ cũng là những chủ thể phải chịu trách nhiệm trong bảo vệ thông tin cá nhân của người tiêu dùng cùng với nhà cung cấp sản phẩm Ngoài ra, chủ thể áp dụng của pháp luật bảo vệ thông tin cá nhân của người tiêu dùng còn có các cơ quan quản lý nhà nước nhằm xử phạt những hành vi vi phạm pháp luật
Phạm vi áp dụng của pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử bao gồm các nguyên tắc bảo vệ thông tin cá nhân của người tiêu dùng, các quyền, nghĩa vụ, trách nhiệm cá nhân, tổ chức trong thương mại điện tử trong việc bảo vệ thông tin cá nhân; các thẩm quyền, hình phạt của các cơ quan quản lý nhà nước nhằm xử lý các hành vi xâm phạm đến an toàn thông tin cá nhân
2.2 Pháp luật trên thế giới về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử
Khi điều chỉnh vấn đề bảo vệ thông tin cá nhân nói dung và thông tin cá nhân của người tiêu dùng trong thương mại điện tử nói riêng Có nước ban hành luật riêng về bảo vệ thông tin và được cụ thể trong các luật chuyên ngành khác điển hình như Hoa
Kỳ, Việt Nam Cũng có nước ghi nhân quy định chung trong Hiến Pháp, Luật Dân sự
và cụ thể hóa rải rác trong các luật, điển hình như Liên minh Châu Âu (EU), Nhật Bản, Đây là khuynh hướng phổ biến của các quốc gia trên thế giới Tính đến năm 2017, trên
Trang 9thế giới có khoảng 120 nước ban hành luật về bảo mật dữ liệu.2
Để làm rõ các khuynh hướng này, chúng ta có thể tham khảo kinh nghiệm của EU, Nhật Bản, Hòa Kỳ:
2.2.1 Pháp luật của EU
EU được xem là một khu vực có pháp luật chặt chẽ, phát triển bậc nhất thế giới
về bảo vệ dữ liệu cá nhân Quyền được bảo vệ dữ liệu cá nhân và tôn trọng đời tư là quyền cơ bản trong EU Các quy tắc đầu tiên của EU về bảo vệ dữ liệu cá nhân được thông qua vào năm 1995 (Chỉ thị bảo vệ dữ liệu – Data Protection Directive), khi Internet vẫn còn trong giai đoạn sơ khai Chỉ thị này đưa ra các quy tắc chung để bảo
vệ quyền riêng tư liên quan đến việc xử lý dữ liệu cá nhân và tự do dịch chuyển giữa các quốc gia thành viên (Điều 1), đồng thời yêu cầu bất kỳ việc xử lý thông tin cá nhân nào đều phải có sự đồng ý rõ ràng của người có liên quan và thông tin trước đó về việc
xử lý dữ liệu đó phải được cung cấp cho chủ thể dữ liệu.3
Tuy nhiên, càng về sau, toàn cầu hóa và sự tiến bộ của công nghệ dẫn tới những thách thức mới cho việc bảo vệ dữ liệu cá nhân và đặt ra yêu cầu cải cách khung bảo vệ dữ liệu của EU Đến thời điểm hiện tại, Chỉ thị về Bảo mật và truyền thông điện tử năm 2002 và Quy định bảo vệ dữ liệu chung năm 2016 đang là hai trụ cột chính của khung pháp lý bảo vệ dữ liệu của
EU.4
Tuy nhiên, trên thực tế Chỉ thị về Bảo mật và truyền thông điện tử được thực thi kém hiệu quả do việc thực hiện phân tán của các quốc gia thành viên và không theo kịp với sự phát triển của công nghệ Do đó, ngày 10/01/2017 Ủy ban Châu Âu đã công bố một đề xuất lập pháp khác nhằm điều chỉnh các quy tắc hiện hành phù hợp với sự phát triển của công nghệ, đồng thời đề xuất dự định sẽ bãi bỏ Chỉ thị về Bảo mật và truyền thông điện tử năm 2002, thay vào đó sẽ cụ thể hóa và bổ sung cho GDPR GDPR là đạo luật về quyền riêng tư chặt chẽ bậc nhất thế giới, cung cấp cho các cá nhân nhiều quyền kiểm soát đối với việc thụ nhập, sử dụng và bảo vệ dữ liệu Đạo luật này đưa ra các quy
2 Graham Greenleaf, “Global Data Privacy Laws 2017: 120 National Data Privacy Laws”, Including Indonesia and Turkey (January 30, 2017), 145 Privacy Laws & Business International Report, tr.10 -13
3 Điều 7 Chỉ thị Bảo vệ dữ liệu năm 1995
4 Nguyễn Thị Thu Hằng, “Bàn về vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử”, Tạp chí Khoa học pháp lý, 2(123), ngày 10/01/2019, tr.22; Link bài viết:
https://tapchikhplvn.hcmulaw.edu.vn/module/xemchitietbaibao?oid=aa0a7258-77d3-4e6f-b375-007d1d9c1874, truy cập ngày 16/5/2022
Trang 10tắc nghiêm ngặt về bảo mật dữ liệu mà các tổ chức thu thập, bao gồm việc sử dụng các biện pháp bảo vệ kỹ thuật như mã hóa và trách nhiệm giải trình chặt chẽ hơn khi thu thập dữ liệu Các tổ chức không tuân thủ sẽ phải đối mặt với hình phạt nặng lên tới bốn phần trăm doanh thu toàn cầu hàng năm hoặc hai mươi triệu Euro (tùy theo mức nào cao hơn)
dữ liệu trực tuyến APPI áp dụng cho bất kỳ nhà kinh doanh nào ở Nhật Bản có được
dữ liệu cá nhân được quy định trong Điều 2, yêu cầu một nhà điều hành doanh nghiệp
xử lý thông tin cá nhân phải thực hiện các biện pháp cần thiết và thích hợp để ngăn chặn
sự rò rỉ, mất mát hoặc hỏng dữ liệu (Điều 20)
APPI định nghĩa thông tin cá nhân là những thông tin về con người, xác định dựa vào tên, ngày sinh hoặc mô tả khác Cũng theo Điều 20, thông tin cá nhân cũng bao gồm các dấu hiệu nhận dạng cá nhân, chẳng hạn như dữ liệu vân tay và số nhận dạng của nhiều tài khoản khác nhau Trong cuộc thảo luận về sửa đổi APPI năm 2015, nhóm soạn thảo được Chính phủ thành lập xem xét liệu thông tin cá nhân có bao gồm dữ liệu
về hành vi của khách hàng, chẳng hạn như lịch sử tải xuống ứng dụng trên điện thoại thông minh và lịch sử truy cập vào các trang web khác nhau Tuy nhiên, Chính phủ đã quyết định không mở rộng định nghĩa thông tin cá nhân với bản sửa đổi năm 2015 Để bảo đảm quyền được bảo vệ thông tin cá nhân cho người dân, Chính phủ Nhật Bản đã thiết lập chính sách cơ bản về bảo vệ thông tin cá nhân Chính sách này đặt ra các hướng
cơ bản và hành động được thực hiện bởi Nhà nước, cơ quan công cộng địa phương, cơ quan hành chính độc lập và các thực thể xử lý thông tin cá nhân (Điều 7) Theo APPI,
Trang 11Ủy ban bảo vệ thông tin cá nhân (PIPC) được đặt dưới thẩm quyền của Văn phòng Nội các để giám sát việc xử lý thông tin cá nhân của các doanh nghiệp (Điều 59, 60) PIPC
có thể yêu cầu các nhà kinh doanh xử lý thông tin cá nhân gửi báo cáo và tài liệu, và nhân viên PIPC có thể ghé thăm các doanh nghiệp để phỏng vấn nhân viên của họ và kiểm tra hồ sơ kinh doanh (Điều 40)
PIPC có thể cung cấp lời khuyên cho các doanh nghiệp có hành vi xử lý thông tin cá nhân Khi một doanh nghiệp bỏ qua nghĩa vụ pháp lý của mình, PIPC có thể đề nghị người quản lý doanh nghiệp chấm dứt vi phạm và thực hiện các biện pháp khắc phục cần thiết khác Nếu doanh nghiệp không áp dụng các biện pháp được đề xuất mà không có lý do chính đáng, và khi PIPC phát hiện rằng việc vi phạm nghiêm trọng quyền
và lợi ích của cá nhân sắp xảy ra, PIPC có thể yêu cầu người quản lý doanh nghiệp thực hiện các biện pháp được đề xuất (Điều 41, 42) Các nhà kinh doanh không tuân thủ yêu cầu như vậy có thể bị phạt tù không quá 06 tháng hoặc phạt tiền không quá 300.000 yên
(khoảng 2.700 đô la Mỹ)
2.2.3 Pháp luật của Hoa Kỳ
Hoa Kỳ không có luật liên ban quy định toàn diện về vấn đề bảo vệ và sử dụng thông tin cá nhân Thay vào đó, Hoa Kỳ có một hệ thống “chắp vá” các quy định của liên bang và tiểu bang Ngoài ra, có nhiều hướng dẫn được phát triển bởi các cơ quan của Chính phủ và các nhóm ngành tuy không có hiệu pháp luật nhưng là một phần của các nguyên tắc và khuôn khổ tự quản lý Các đạo luật có liên quan đến bảo vệ thông tin khách hàng có thể kể đến các đạo luật như:
Thứ nhất, Đạo luật về Ủy ban Thương mại Liên bang là Luật bảo vệ người lao
động liên bang, nghiêm cấm các hành vi không công bằng hoặc lừa đảo và đã được áp dụng cho các chính sách riêng tư và an toàn dữ liệu trực tuyến
Thứ hai, Đạo luật Hiện đại hóa các dịch vụ tài chính (hay còn gọi là Đạo luật
Gramm - Leach - Bliley - Financial Servicrs Modernization Act) quy định việc thu thập,
sử dụng và tiết lộ thông tin tài chính
Trang 12Thứ ba, Đạo luật về tính linh hoạt và tính trách nhiệm về bảo hiểm y tế cũng đã
sửa lại Quy tắc Thông báo vi phạm về an ninh
Thứ tư, Đạo luật Báo cáo tín dụng công bằng (Fair Credit Reporting Act) Thứ năm, Đạo luật Bảo mật truyền thông điện tử
Thứ sáu, Đạo luật Lạm dụng và gian lận máy tính đã quy định việc ngăn chặn
liên lạc điện tử và giả mạo máy tính
Trên thực tế, việc bảo vệ quyền riêng tư và dữ liệu của người tiêu dùng trong thương mại điện tử ở Hoa Kỳ được thực hiện chủ yếu thông qua các phương thức tự điều chỉnh bởi ngành công nghiệp thương mại điện tử, hay còn gọi là mô hình tự điều chỉnh (Self - Regulation Model) Các biện pháp tự điều chỉnh được chia thành bốn nhóm như sau:
Một là, hướng dẫn tự xây dựng Cụ thể như, tháng 6/1986, Liên minh bảo vệ trực
tuyến đã công bố hướng dẫn bảo mật trực tuyến của mình, tuyên bố các thành viên đồng
ý chấp nhận và thực hiện chính sách bảo mật, nhưng không giám sát hiệu suất của các thành viên
Hai là, chương trình xác thực quyền riêng tư thương mại điện tử, có nghĩa là các
doanh nghiệp cam kết thực hiện bảo vệ quyền riêng tư thương mại điện tử
Ba là, phương pháp bảo vệ công nghệ, tập trung bảo vệ quyền riêng tư của người
tiêu dùng Bằng cách sử dụng công nghệ phần mềm để bảo vệ quyền riêng tư, người tiêu dùng có thể được cảnh báo tự động trước khi nhập vào trang web thông tin nào sẽ được thu thập Hơn nữa, người tiêu dùng có thể quyết định trước dữ liệu nào sẽ được thu thập và họ có thể chọn trước dữ liệu cho phép, các dữ liệu khác nằm ngoài lựa chọn
sẽ không được thu thập
Bốn là, phương pháp “bến an toàn” (safe harbor), như một phương pháp mới kết
hợp tự điều chỉnh với các quy tắc lập pháp Phương pháp này đề cập các hướng dẫn bảo
vệ quyền riêng tư trong thương mại điện tử, được ban hành bởi các nhà cung cấp dịch
vụ trực tuyến cụ thể
Trang 13Như vậy, mỗi quốc gia, khu vực có một khuynh hướng điều chỉnh pháp luật riêng đối với vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử; phụ thuộc vào điều kiện, tình hình và nhu cầu của kinh tế, chính trị, văn hóa và xã hội của chính quốc gia, khu vực đó Theo đó, không có khuynh hướng nào gọi là hoàn hảo
và tối ưu, mà mỗi khuynh hướng điều chỉnh đều có những ưu và nhược điểm riêng
2.3 Pháp luật Việt Nam về bảo mật thông tin cá nhân của người tiêu dùng trong thương mại điện tử
2.3.1 Quy định về quyền được bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử
Xuất phát từ quyền riêng tư của con người nói chung, quyền được bảo vệ thông tin cá nhân của người tiêu dùng cũng là một nội dung quan trọng được điều chỉnh bởi quy định về “đời sống riêng tư” tại khoản 1 Điều 21 Hiến pháp năm 2013: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình Thông tin về đời sống riêng tư, bí mật cá nhân,
bí mật gia đình được pháp luật bảo đảm an toàn.” Pháp luật Việt Nam ghi nhận về bảo đảm an toàn quyền riêng tư là một nguyên tắc hiến định, được thể chế hóa trong Bộ luật Dân sự năm 2015 tại khoản 2 Điều 38 như sau: “Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng
ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác.”
=> Như vậy, 2 quy định về bảo đảm quyền riêng tư trong Hiến pháp và Bộ luật Dân sự năm 2015 trên đã đặt cơ sở, nền móng cho vấn đề bảo vệ thông tin cá nhân
Pháp luật về bảo vệ thông tin cá nhân là lĩnh vực pháp luật có tính chất liên ngành nên các quy định rải rác ở nhiều các văn bản quy phạm pháp luật chuyên ngành khác nhau như: Luật Bảo vệ người tiêu dùng 2010, Luật Giao dịch điện tử năm 2005, Luật An toàn thông tin mạng năm 2015,
Đối với Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, quy định về quyền bảo vệ thông tin cá nhân của người tiêu dùng có nội dung như sau: tại khoản 1 Điều 6: “Người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu.” Từ
Trang 14quy định này, ta có thể thấy, thông tin cá nhân của người tiêu dùng sẽ được (1) đảm bảo an toàn, (2) đảm bảo bí mật; phạm vi bảo đảm đó là mọi giao dịch mà người tiêu dùng tham gia hoặc khi người tiêu dùng sử dụng hàng hóa dịch vụ, trường hợp ngoại lệ
là khi cơ quan Nhà nước có thẩm quyền yêu cầu
Ngoài ra, những quy định trong các Luật chuyên ngành khác sẽ bổ sung so với Luật Bảo vệ người tiêu dùng ở hai yếu tố là phạm vi không gian bảo vệ và cụ thể hóa các hành vi liên quan đến quyền Về phạm vi bảo vệ, thông tin cá nhân của người tiêu dùng được bảo vệ khi họ tham gia các hoạt động hoặc cung cấp thông tin đó thông qua các phương tiện điện tử trên các môi trường riêng như không gian mạng, viễn thông Về các quyền liên quan, quyền bảo vệ thông tin cá nhân bao gồm cả quyền yêu cầu đính chính những thông tin sai lệch hay hủy bỏ những thông tin đó theo mong muốn của người tiêu dùng
Bên cạnh đó, bảo vệ thông tin cá nhân cũng được ghi nhận trong Luật An ninh mạng năm 2018 nhưng chỉ được quy định dưới dạng trách nhiệm của các doanh nghiệp để lưu trữ thông tin.5
Thứ ba, người tiêu dùng;
Thứ tư, cơ quan quản lý Nhà nước
Nhìn chung, tất cả các chủ thể nêu trên, trong quá trình hoạt động kinh doanh thương mại điện tử nếu có thực hiện việc thu thập, sử dụng, chuyển thông tin cá nhân của người tiêu dùng thì phải có trách nhiệm tuân thủ các quy định tại khoản 2 Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 như sau:
- Thông báo rõ ràng, công khai trước khi thực hiện với người tiêu dùng về mục đích hoạt động thu thập, sử dụng thông tin của người tiêu dùng;
5 Khoản 3 Điều 26 Luật An ninh mạng năm 2018
Trang 15- Sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý;
- Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng;
- Tự mình hoặc có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác;
- Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác Bên cạnh đó, trường hợp thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử ủy quyền cho bên thứ ba thực hiện việc thu thập, lưu trữ thông tin cá nhân của người tiêu dùng thì theo khoản 2 Điều 68 Nghị định số 52/2013/NĐ-CP về thương mại điện tử:
- Hợp đồng giữa hai bên phải quy định rõ trách nhiệm của mỗi bên trong việc tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo
vệ thông tin cá nhân;
- Nếu hợp đồng giữa hai bên không quy định rõ trách nhiệm của mỗi bên thì thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử chịu trách nhiệm trong trường hợp việc thu thập, lưu trữ và sử dụng thông tin cá nhân của người tiêu dùng vi phạm các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân
Cũng trong Nghị định này, từ Điều 70 đến Điều 73 quy định chi tiết về trách nhiệm của các chủ thể trong việc bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, đó là:
Thứ nhất6, xin phép người tiêu dùng khi tiến hành thu thập thông tin: theo đó, trừ một
số trường hợp như thu thập thông tin cá nhân đã công bố công khai trên các website thương mại điện tử , thu thập thông tin cá nhân để ký kết hoặc thực hiện hợp đồng mua bán hàng hóa và dịch vụ, thu thập thông tin cá nhân để tính giá, cước sử dụng thông tin
- sản phẩm - dịch vụ trên môi trường mạng, thì khi thương nhân, tổ chức thu thập và
6 Điều 70 Nghị định số 52/2013/NĐ-CP