Ảnh minh họa.
Đặt vấn đề
Thông tin cá nhân có ý nghĩa quan trọng trong việc định danh một cá nhân cụ thể và giúp nhận diện với những cá nhân khác. Do vậy, việc bảo vệ thông tin cá nhân của một người có ý nghĩa đặc biệt quan trọng trong bảo đảm quyền riêng tư, bí mật cá nhân. Điều 21 Hiến pháp năm 2013 và Điều 38 Bộ luật Dân sự năm 2015 của Việt Nam đã ghi nhận mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và được pháp luật bảo vệ. Tuy nhiên, trong bối cảnh hiện nay, thông tin cá nhân đang bị xem như một loại hàng hóa có giá trị khi phải đối mặt với những hành vi thu thập, xử lý, mua bán trái phép, đặc biệt là thông tin của khách hàng trong hoạt động thương mại điện tử được thực hiện ngày càng phổ biến và tinh vi hơn. Điều này đã và đang xâm phạm nghiêm trọng đến các quyền và lợi ích chính đáng của các chủ thể khi tham gia vào hoạt động thương mại điện tử. Vì vậy, vấn đề đặt ra là cần phải tiếp tục nghiên cứu hoàn thiện các quy định pháp luật trên cơ sở học hỏi kinh nghiệm của các quốc gia để góp phần bảo vệ kịp thời thông tin cá nhân của các chủ thể trước các nguy cơ bị xâm hại khi tham gia vào hoạt động thương mại điện tử trong bối cảnh hiện nay.
Quy định pháp luật nước ngoài
Pháp luật của Liên minh châu Âu
Quy định chung về bảo dữ liệu(GeneralDataProtection Regulation - GDPR) được xem là một quy tắc chung cho các luật bảo vệ dữ liệu cá nhân của EU và có ý nghĩa toàn diện nhất trên thế giới(1). GDPR được thông qua ngày 14/4/2016 bởi Nghị viện châu Âu (EU Parliament) thay thế cho Chỉ thị bảo vệ dữ liệu 95/46/EC (Data Protection Directive 95/46/ EC) và Luật Bảo vệ dữ liệu (Data Protection Act 1998) của Chính phủ Anh và chính thức có hiệu lực ngày 25/5/2018(2). Quy định này ra đời nhằm mục đích thiết lập một quy tắc chung để tăng cường bảo vệ và trao quyền quản lý đối với dữ liệu cá nhân thông qua các quyền của cá nhân như quyền thông báo, quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền phản đối… Quy định này đã góp phần hạn chế các rủi ro liên quan đến dữ liệu cá nhân.
GDPR quy định về khái niệm dữ liệu cá nhân là bất kỳ thông tin có liên quan đến một cá nhân và cá nhân này đã xác định hoặc có khả năng xác định bằng thông tin nói trên(3) như tên, số nhận dạng, địa chỉ, một hoặc nhiều đặc tính cụ thể khác thuộc về thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội liên quan đến cá nhân đó. GDPR sử dụng thuật ngữ dữ liệu cá nhân thay vì thông tin cá nhân.
GDPR đã xây dựng một khung pháp lý khá hoàn chỉnh trong việc bảo mật dữ liệu cá nhân. Theo đó, nhằm hạn chế tối đa thực trạng đánh cắp dữ liệu cá nhân, GDPR đã quy định rằng, trước khi thu thập, xử lý dữ liệu thì doanh nghiệp phải thực hiện nghĩa vụ thông báo và cá nhân sẽ tiến hành phản hồi, nếu họ đồng ý thì doanh nghiệp sẽ có quyền thu thập và xử lý dữ liệu cá nhân, ngược lại thì không. Quy định này đặt ra trách nhiệm đối với các doanh nghiệp trong vấn đề bảo mật về quyền riêng tư liên quan đến dữ liệu cá nhân. Đó là trách nhiệm trong việc thực hiện nghĩa vụ thông báo hay được hiểu là quyền được thông báo của cá nhân. Cụ thể:
Thứ nhất là thời điểm thông báo. Doanh nghiệp phải thực hiện nghĩa vụ thông báo ở giai đoạn bắt đầu của quá trình xử lý dữ liệu, tức là tại thời điểm thu thập dữ liệu cá nhân(4). Ý nghĩa của việc quy định tại thời điểm thu thập thì doanh nghiệp phải thực hiện nghĩa vụ này mà không phải sau khi đã có được dữ liệu là tôn trọng sự đồng ý và quyền riêng tư của cá nhân. Điều này được thể hiện trong mối quan hệ giữa quyền thông báo và sự đồng ý của cá nhân.
Thứ hai là nội dung thông báo. Sau khi đã xác định được thời điểm thu thập dữ liệu, doanh nghiệp phải tiến hành thông báo cho cá nhân về các nội dung bắt buộc sau: (i) danh tính các thông tin liên lạc của doanh nghiệp(5); (ii) mục đích và cơ sở hợp pháp cho việc xử lý dữ liệu cá nhân(6); (iii) thời hạn lưu trữ dữ liệu cá nhân hoặc các tiêu chí xác định thời hạn này(7); (iv) các quyền của cá nhân được hưởng bao gồm quyền truy cập, quyền yêu cầu cải chính, quyền xóa, quyền phản đối dữ liệu(8)… Ý nghĩa của việc quy định nội dung cần có khi doanh nghiệp thực hiện nghĩa vụ thông báo chính là giúp cá nhân hình dung các vấn đề mà doanh nghiệp sẽ thực hiện đối với dữ liệu cá nhân của mình, tạo điều kiện cho cá nhân hiểu rõ được liệu rằng doanh nghiệp thu thập và xử lý dữ liệu cá nhân của mình có phù hợp với mong muốn của mình hay không.
Thứ ba là hình thức thông báo. Khi doanh nghiệp đã chuẩn bị được các nội dung cần thiết để gửi đến cho cá nhân thì họ phải có quyết định trong việc lựa chọn hình thức thông báo phù hợp. Theo đó, GDPR cho phép các doanh nghiệp lựa chọn hình thức thông báo nhưng vẫn bảo đảm đúng quy định bao gồm một trong ba hình thức là bằng văn bản hoặc bằng các phương tiện khác, bằng lời nói và bằng biểu tượng(9). Doanh nghiệp cần căn cứ vào tình hình thực tế cũng như các điều kiện có liên quan để lựa chọn hình thức thông báo phù hợp và có lợi cho các doanh nghiệp và cá nhân.
Sau khi doanh nghiệp thực hiện nghĩa vụ thông báo, cá nhân sẽ quyết định rằng đồng ý hay không đồng ý việc doanh nghiệp thu thập và xử lý dữ liệu cá nhân của minh. Và đặc biệt, cá nhân có một đặc quyền là có quyền rút lại sự đồng ý của mình bất cứ lúc nào. Đây là quy định có lợi cho cá nhân bởi lẽ, trong quá trình thu thập và xử lý dữ liệu, nếu cá nhân cảm thấy rằng việc xử lý có thể sẽ ảnh hưởng đến sự riêng tư của cá nhân hoặc bất cứ một lý do nào khác mà cá nhân cho rằng việc xử lý dữ liệu có thể gây ra bất lợi cho mình thì cá nhân được quyền rút lại sự đồng ý, tức là doanh nghiệp sẽ không được thu thập và xử lý những dữ liệu đó. Tuy nhiên, lưu ý rằng trước khi rút lại sự đồng ý thì cá nhân phải thông báo cho doanh nghiệp biết về việc rút của mình.
Pháp luật Nhật Bản
Đạo luật bảo vệ thông tin cá nhân Nhật Bản (The Act on the Protection of Personal Information - APPI) quy định các vấn đề bảo vệ quyền riêng tư ở Nhật Bản và Ủy ban bảo vệ thông tin cá nhân (The Personal Information Protection Commission - PPC) - một cơ quan trung ương hoạt động như một tổ chức chính phủ giám sát về các vấn đề bảo vệ quyền riêng tư. APPI ban đầu được ban hành vào năm 2003 nhưng đã được sửa đổi và có hiệu lực vào ngày 30/5/2017. Ngày 05/6/2020, APPI đã được sửa đổi và bắt đầu có hiệu lực vào đầu năm 2022(10). APPI là một trong số những văn bản pháp luật bảo vệ dữ liệu cá nhân được ban hành sớm nhất ở khu vực châu Á.
Khác với GDPR, APPI sử dụng thuật ngữ thông tin cá nhân thay vì dữ liệu cá nhân. Thông tin cá nhân được hiểu là thông tin về cuộc sống cá nhân và thuộc một trong các thông tin sau: (i) thông tin có thể được sử dụng để xác định cá nhân cụ thể, bao gồm tên, ngày sinh, hoặc một mô tả khác không bao gồm mã nhận dạng cá nhân; (ii) thông tin chứa mã nhận dạng cá nhân, có nghĩa là bất kỳ ký tự, chữ cái, số, ký hiệu hoặc nhãn hiệu được quy định trong Luật(11). Khái niệm về dữ liệu cá nhân hay thông tin cá nhân của GDPR, APPI tuy khác nhau về mặt câu chữ nhưng nội hàm vẫn giống nhau vì cùng mang những đặc điểm mà dữ liệu cá nhân hay thông tin cá nhân cần có. Đó là tính nhân thân của cá nhân và tính khả truy của nội dung dữ liệu(12). Cũng như GDPR, APPI cũng đặt ra nghĩa vụ thông báo cho doanh nghiệp khi họ tiến hành thu thập và xử lý dữ liệu của cá nhân.
Thứ nhất là thời điểm thông báo. APPI quy định hai thời điểm thông báo là ngay sau khi hoặc trước khi chủ thể kiểm soát thu thập và xử lý dữ liệu. Ngay sau khi(13) tức là doanh nghiệp phải thực hiện nghĩa vụ thông báo một cách nhanh chóng. Trước khi thu thập và xử lý dữ liệu(14) được hiểu là doanh nghiệp sẽ phải thông báo và nêu rõ mục đích thu thập trước khi có được dữ liệu của cá nhân.
Thứ hai là nội dung thông báo. Khác với GDPR, APPI không liệt kê những nội dung cần có khi doanh nghiệp thực hiện nghĩa vụ thông báo mà chỉ quy định nội dung bắt buộc phải có là mục đích của việc thu thập dữ liệu của cá nhân(15). Mục đích ở đây được hiểu là việc doanh nghiệp thu thập và sử dụng dữ liệu cá nhân vào những công việc gì. Ngoài ra, một quy định mà doanh nghiệp cần phải lưu ý khi thay đổi mục đích sử dụng trong quá trình thu thập và xử lý dữ liệu. Có nghĩa là, khi doanh nghiệp muốn thay đổi mục đích của việc thu thập và xử lý dữ liệu nhưng mục đích thay đổi lại khác so với mục đích ban đầu đã thông báo thì doanh nghiệp chỉ được thay đổi mục đích trong phạm vi không vượt quá mức cần thiết so với mục đích ban đầu. Nếu doanh nghiệp thực hiện thay đổi nhưng vượt quá mức cần thiết thì doanh nghiệp có nghĩa vụ thông báo cho cá nhân(16).
Thứ ba là hình thức thông báo. APPI không quy định về hình thức gửi thông báo của doanh nghiệp. Tuy nhiên, căn cứ vào Hướng dẫn APPI thì doanh nghiệp sẽ thông báo bằng một trong các hình thức sau(17): (i) thông báo bằng cách gửi trực tiếp văn bản chứa nội dung đến cá nhân; (ii) thông báo trực tiếp bằng lời nói hoặc qua thiết bị di động; (iii) thông báo bằng cách gửi trực tiếp qua email, fax của cá nhân. Điểm chung của ba hình thức này chính là doanh nghiệp sẽ thông báo trực tiếp đến cá nhân mà không thông qua một chủ thể khác. Những hình thức trong hướng dẫn APPI nhằm mục đích định hướng cho doanh nghiệp, tức là không bắt buộc phải lựa chọn một trong các hình thức này.
Thực trạng bảo mật thông tin khách hàng trong hoạt động thương mại điện tử hiện nay tại Việt Nam
Hoạt động thương mại điện tử ở Việt Nam trong thời gian gần đây phát triển một cách nhanh chóng. Tốc độ tăng trưởng khoảng 15%, đạt quy mô khoảng 13,2 tỉ USD và sẽ tiếp tục tăng trong các giai đoạn tiếp theo. Bên cạnh những điều tích cực do hoạt động thương mại điện tử mang lại cho nền kinh tế thì một vấn đề luôn được người sử dụng thương mại điện tử quan tâm là thông tin cá nhân của họ đang phải đối mặt với nguy cơ bị đánh cắp, lộ, lọt chưa từng có. Sách trắng thương mại điện tử Việt Nam năm 2021 do Cục Thương mại điện tử và Kinh tế số thực hiện khảo sát các vấn đề liên quan đến hoạt động thương mại điện tử, đã khảo sát về hai vấn đề liên quan đến bảo mật thông tin khách hàng, cụ thể là “các trở ngại khi mua hàng trực tuyến” và “lý do chưa mua sắm trực tuyến của người tiêu dùng”(18). Kết quả khảo sát cho thấy:
Một là về tỉ lệ các lý do dẫn đến việc mua hàng trực tuyến gặp trở ngại. Theo khảo sát, lý do được lựa chọn và chiếm tỉ lệ cao nhất là giá cả hàng hóa khi mua sắm trực tuyến chiếm 44%, lý do tiếp theo là chất lượng kém so với quảng cáo với tỉ lệ chiếm 42%, và lý do về sự lo ngại thông tin cá nhân bị tiết lộ chiếm 33%(19). Có thể thấy rằng, một trong những lý do được nhiều khách hàng quan tâm khi mua sắm trực tuyến chính là việc thông tin cá nhân của mình có thể bị tiết lộ.
Hai là về tỉ lệ các lý do khách hàng chưa mua sắm trực tuyến. Theo khảo sát, lý do được lựa chọn và chiếm tỉ lệ cao nhất là việc mua hàng tại cửa hàng sẽ thuận tiện hơn mua hàng trực tuyến chiếm 56%. Tiếp theo là những lo ngại liên quan đến việc khách hàng sợ lộ thông tin cá nhân chiếm 43%.
Có thể thấy rằng, vấn đề bảo mật thông tin cá nhân khi tham gia vào hoạt động mua sắm thông qua thương mại điện tử luôn là điều mà khách hàng quan tâm. Vì thực tế, việc đánh cắp, lộ lọt thông tin của khách hàng diễn ra thường xuyên và ngày càng phổ biến. Cụ thể, trong giai đoạn thực hiện giãn cách xã hội do dịch Covid-19 nên chị Thái Minh H. ở Hà Nội thay vì trực tiếp đi mua sắm thì chị thường dùng thương mại điện tử để giao dịch. Tuy nhiên, chị liên tục bị làm phiền bởi những cuộc điện thoại mời chào mua hàng khi các thông tin cá nhân của chị bị bên thứ ba biết và mặc dù bên dịch vụ đã cam kết về vấn đề bảo mật thông tin. Bên cạnh đó, trường hợp của anh Minh T. khi hàng ngày luôn xuất hiện những tin nhắn chào hàng buôn bán bất động sản, cho vay tiền hoặc quảng cáo sản phẩm(20). Đây là hai trong số rất nhiều vụ việc để lọt thông tin của khách hàng và ảnh hưởng tiêu cực đến tâm lý cũng như quyền riêng tư, bí mật thông tin cá nhân của khách hàng.
Tuy nhiên, đây chỉ mới là những vụ việc lộ, lọt thông tin cá nhân ở phạm vi hẹp và mang tính cá nhân. Bởi vì thực tế tại Việt Nam đã từng xảy ra những vụ lộ lọt thông tin cá nhân với quy mô lớn và ảnh hưởng nghiêm trọng đến quyền riêng tư của cá nhân. Cụ thể, việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng(21). Ngày 24/4/2018, trên diễn đàn chuyên chia sẻ, mua bán dữ liệu rò rỉ có tên Raidforums.com, một thành viên đã giới thiệu gói dữ liệu có chứa thông tin của 163.666.400 tài khoản Zing ID của VNG. Thông tin bao gồm: mật khẩu, tên đăng nhập, mã game (gamecode), email, số điện thoại, tên đầy đủ, ngày sinh, địa chỉ, IP, thành phố, quốc gia sinh sống... Dung lượng của gói dữ liệu này lên đến 7,55GB. Hay vụ việc Công ty Thế giới di động và điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như visa, thẻ tín dụng của khách hàng(22). Có thể thấy rằng, bảo mật thông tin cá nhân của khách hàng đang là vấn đề cần được quan tâm khi thực trạng đánh cắp và lộ lọt thông tin diễn ra ngày càng phổ biến, quy mô mở rộng và tính chất nghiêm trọng.
Dưới góc độ pháp lý hiện nay, bảo vệ thông tin cá nhân của khách hàng khi tham gia vào hoạt động thương mại điện tử được quy định cụ thể tại Điều 69 của Nghị định số 52/2013/NĐ-CP về thương mại điện tử được sửa đổi, bổ sung bởi Nghị định số 85/2021/NĐ-CP. Điều 69 của Nghị định này được khái quát thành ba nội dung sau liên quan đến nghĩa vụ thông báo của thương nhân, tổ chức, cá nhân (bên thu thập) và sự đồng ý của khách hàng có thông tin cá nhân:
Một là, thời điểm thực hiện nghĩa vụ. Theo khoản 2 Điều 69 của Nghị định số 52/2013/NĐ-CP thì nghĩa vụ thông báo phải được hiển thị rõ ràng cho người tiêu dùng trước hoặc tại thời điểm thu thập thông tin. Tức là có hai thời điểm bên thu thập thực hiện nghĩa vụ là trước khi thu thập thông tin hoặc ngay tại thời điểm thu thập thông tin cá nhân của khách hàng.
Hai là, nội dung cần có. Khi thu thập và sử dụng thông tin cá nhân của khách hàng, bên thu thập phải thực hiện nghĩa vụ là xây dựng và công bố chính sách bảo vệ thông tin cá nhân. Chính sách này bao gồm (i) mục đích thu thập thông tin cá nhân; (ii) phạm vi sử dụng thông tin; (iii) thời gian lưu giữ thông tin; (iv) những người hoặc tổ chức có thể được tiếp cận với thông tin đó; (v) địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm cách thức liên lạc để người tiêu dùng có thể hỏi về hoạt động thu thập, xử lý thông tin liên quan đến cá nhân mình; (vi) phương thức và công cụ để người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương mại điện tử của đơn vị thu thập thông tin. Nghị định này quy định nội dung cần thông báo ở dạng liệt kê, tức là những nội dung trên là những nội dung bắt buộc phải có khi thông báo đến khách hàng.
Ba là, sự đồng ý của khách hàng. Trừ những trường hợp không cần có sự đồng ý của khách hàng tại khoản 4 Điều 70 của Nghị định này, bên thu thập chỉ được thu thập và sử dụng thông tin cá nhân khi khách hàng đồng ý. Điều này cũng đồng nghĩa rằng nếu như khách hàng không đồng ý thì bên thu thập sẽ không được phép thực hiện hoạt động này và nghĩa vụ thông báo được coi như đã hoàn thành.
Ngoài ra, liên quan đến nội dung thông báo là mục đích và phạm vi của việc sử dụng thông tin cá nhân, Nghị định này cũng đã đặt ra trách nhiệm cho bên thu thập khi quy định rằng họ phải có nghĩa vụ sử dụng thông tin cá nhân của khách hàng đúng với mục đích và phạm vi đã được thông báo (khoản 1 Điều 71 Nghị định này) trừ một số trường hợp pháp luật cho phép như có một thỏa thuận riêng với chủ thể thông tin về mục đích và phạm vi sử dụng ngoài những mục đích, phạm vi đã thông báo; để cung cấp dịch vụ hoặc sản phẩm theo yêu cầu của chủ thể thông tin; thực hiện các nghĩa vụ theo quy định của pháp luật.
Bên cạnh những quy định trên, Nghị định trên còn quy định rằng, sau khi thu thập và lưu trữ, bên thu thập phải có trách nhiệm ngăn ngừa các hành vi xâm phạm đến thông tin cá nhân của khách hàng gồm đánh cắp hoặc tiếp cận thông tin trái phép; sử dụng thông tin trái phép; thay đổi, phá hủy thông tin trái phép. Có thể thấy rằng, Nghị định số 52/2013/NĐ-CP có ý nghĩa quan trọng trong việc bảo vệ thông tin cá nhân của khách hàng khi họ tham gia vào hoạt động thương mại điện tử. Tuy nhiên, nhìn nhận một cách khách quan, Nghị định này vẫn còn tồn tại một số bất cập như chưa quy định về hình thức thông báo, chưa điều chỉnh các vấn đề liên quan khi bên thu thập thay đổi nội dung đã thông báo trước đó cho khách hàng.
Như vậy, từ số liệu thực tế nêu trên có thể thấy rằng hiện nay vấn đề bảo mật thông tin cá nhân của khách hàng trong hoạt động thương mại điện tử còn nhiều vấn đề bất cập và chưa bảo đảm. Vì vậy, việc nghiên cứu và đưa ra các giải pháp hoàn thiện dưới khía cạnh pháp lý để góp phần nâng cao hiệu quả hoạt động bảo vệ thông tin cá nhân của khách hàng trong hoạt động thương mại là điều rất quan trọng và cấp thiết.
Một số kiến nghị hoàn thiện
Từ kinh nghiệm về bảo vệ dữ liệu cá nhân theo pháp luật của Liên minh châu Âu và Nhật Bản, nhóm tác giả rút ra một số kiến nghị hoàn thiện pháp luật của Việt Nam về vấn đề này như sau:
Một là, quy định về khái niệm thông tin cá nhân. Hiện nay, theo Nghị định số 52/2013/NĐ-CP thì thông tin cá nhân được liệt kê một cách cụ thể theo phương pháp liệt kê, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin mà cá nhân mong muốn giữ bí mật. Đây là những thông tin cụ thể có ý nghĩa góp phần định danh một cá nhân cụ thể. Thông qua những thông tin này, cá nhân này có thể dễ dàng nhận diện được cá nhân khác. Tuy nhiên, một vấn đề đặt ra là “những thông tin khác mà cá nhân mong muốn giữ bí mật” có nên được xem xét là thông tin cá nhân hay không. Vì những thông tin này không nhằm định dạng một cá nhân cụ thể mà nó chỉ liên quan đến quyền riêng tư về bí mật cá nhân của người đó. Do vậy, nên có sự tách bạch giữa hai thông tin trên thành thông tin cá nhân và thông tin bí mật cá nhân.
Hai là, bổ sung hình thức thông báo. Pháp luật của Liên minh châu Âu và Nhật Bản thì GDPR và APPI đều quy định hình thức thông báo có ý nghĩa định hướng cho bên thu thập lựa chọn như thông báo trực tiếp bằng văn bản, bằng lời nói hoặc bằng email, fax... Học hỏi kinh nghiệm này, Nghị định số 52/2013/ NĐ-CP nên quy định về vấn đề này bởi một số lý do sau: (i) giúp bên thu thập có thể dễ dàng hơn trong việc xác định những hình thức thông báo mà pháp luật cho phép; (ii) giúp khách hàng có được cái nhìn đầy đủ về các hình thức thông báo, từ đó có thể thỏa thuận với bên thu thập rằng hình thức nào sẽ phù hợp và thuận tiện cho cả hai bên.
Ba là, bổ sung các vấn đề liên quan khi bên thu thập thay đổi nội dung đã thông báo trước đó cho khách hàng. Pháp luật của Nhật Bản quy định rằng một khi bên thu thập thay đổi nội dung thông báo tức là mục đích của việc thu thập và sử dụng dữ liệu vượt quá mức cần thiết thì bên thu thập phải có nghĩa vụ thông báo lại cho cá nhân. Do đó, Nghị định số 52/2013/NĐ- CP nên bổ sung quy định này vì nó mang lại ý nghĩa cho khách hàng trong vấn đề tôn trọng quyền riêng tư cũng như bảo mật thông tin cá nhân. Có nghĩa là, nếu những thay đổi của bên chủ thể vượt quá những mong muốn trước đó của khách hàng thì điều đó đã đi ngược lại mục đích ban đầu của nghĩa vụ thông báo là tôn trọng quyền riêng tư của khách hàng. Do vậy, việc bổ sung quy định này là cần thiết.
Kết luận
Bảo vệ thông tin cá nhân của khách hàng khi họ tham gia vào hoạt động thương mại điện tử được xem là điều quan trọng, đặc biệt là trong giai đoạn hiện nay. Do vậy, việc hoàn thiện khung pháp lý về vấn đề này cần được nhanh chóng thực hiện. Nghị định số 52/2013/ NĐ-CP về thương mại điện tử được sửa đổi, bổ sung bằng Nghị định số 85/2021/NĐ-CP được xem là nỗ lực rất lớn của Nhà nước trong vấn đề bảo mật sự an toàn thông tin cá nhân. Tuy nhiên, Nghị định này vẫn còn tồn tại một số hạn chế cần được tiếp tục xem xét và có sự sửa đổi, bổ sung kịp thời với mục đích nâng cao sự tin cậy cho khách hàng khi tham gia vào hoạt động thương mại điện tử.
(1) DataGuidance, Future of Privacy Forum, “Comparing privacy laws: GDPR v. CCPA”, tr. 5, https://fpf.org/wp-content/ uploads/2018/11/GDPR_CCPA_Comparison-Guide.pdf, ngày 11/11/2023. (2) “General Data Protection Regulation (GDPR) giới thiệu chung và các vấn đề trong quá trình triển khai thực tế”, https://www.qtsc. com.vn/uploads/files/2018/07/14/GDPR-gioi-thieu-chung-va-cac-van-de-trong-trien-khai-thuc-te.pdf, ngày 11/11/2023. (3) Khoản 1 Điều 4 GDPR. (4) Điều 13, Điều 14 GDPR. (5) Điểm a khoản 1 Điều 13, điểm a khoản 1 Điều 14 GDPR. (6) Điểm c khoản 1 Điều 13, điểm c khoản 1 Điều 14, Điều 6 GDPR. (7) Điểm a khoản 2 Điều 13, điểm a khoản 2 Điều 14, điểm e khoản 1 Điều 5 GDPR. (8) Điểm b khoản 2 Điều 13, điểm c khoản 2 Điều 14 GDPR. (9) Khoản 1 Điều 12 GDPR. (10) “Data Protection laws of the world”, https://www.dlapiperdataprotection.com/index.html?t=law&c=JP, ngày 11/11/2023. (11) Khoản 1 Điều 2 APPI. (12) Vũ Quỳnh, Dữ liệu cá nhân hay thông tin cá nhân, https://www.daibieunhandan.vn/bai-2-du-lieu-ca-nhan-hay-thong-tin- ca-nhan-exa2wzm6x9-50245, ngày 11/11/2023. (13) Khoản 1 Điều 18 APPI. (14) Khoản 2 Điều 18 APPI. (15) Khoản 1 Điều 18 APPI. (16) Khoản 1 Điều 16 APPI. (17) Mục 5.5 Nguyên tắc 5 Chương 5 Hướng dẫn APPI. (18) Thương mại điện tử Việt Nam 2021, https://moit.gov.vn/upload/2005517/fck/files/Bao_cao_TMDT_2021_V6_5a297.pdf, ngày 11/11/2023. (19) Sách trắng thương mại điện tử Việt Nam năm 2021, tr. 40. (20) Minh Bằng, Xóa nỗi lo lộ, lọt thông tin cá nhân khi tham gia thương mại điện tử, https://laodong.vn/kinh-te/xoa-noi-lo-lo-lot- thong-tin-ca-nhan-khi-tham-gia-thuong-mai-dien-tu-832141.ldo, ngày 11/11/2023. (21) Đức Thiện, Lộ thông tin hàng trăm triệu tài khoản khách hàng, VNG xin lỗi, https://congnghe.tuoitre.vn/lo-thong-tin-hang-tram- trieu-tai-khoan-khach-hang-vng-xin-loi-20180427225719109.htm, ngày 11/11/2023. (22) Mai Phương, Khách hàng Thế giới di động hoang mang vì lộ thông tin cá nhân, https://thanhnien.vn/khach-hang-the-gioi-di-dong- hoang-mang-vi-lo-thong-tin-ca-nhan-post802476.html, ngày 11/11/2023. |
Th.S TRẦN LINH HUÂN
NGUYỄN PHẠM THANH HOA
Trường Đại học Luật TP. Hồ Chí Minh
Một số vướng mắc, bất cập về tội ‘Dâm ô đối với người dưới 16 tuổi’ và kiến nghị hoàn thiện
