Đề tài sinh viên nghiên cứu khoa học: Pháp luật Việt Nam về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳ cách mạng công nghiệp 4.0

BAO CAO TONG KET

DE TAI THAM GIA XET GIAI THUONG “SINH VIEN NGHIEN CUU KHOA HOC” CUA TRUONG DAI HOC LUAT HA NOI NAM 2020

PHAP LUAT VIET NAM VE BAO VE THONG TIN CA NHAN CUA NGUOI TIEU DUNG TRONG THUONG MAI DIEN TU THOI KY

CACH MANG CONG NGHIEP 4.0

Thuộc nhóm ngành khoa hoc: XH

NAM 2020

BAO CÁO TONG KẾT

ĐÈ TÀI THAM GIA XÉT GIẢI THƯỞNG «SINH VIÊN NGHIÊN CỨU KHOA HỌC” CUA TRƯỜNG ĐẠI HỌC LUAT HÀ NỘI NĂM 2020

PHAP LUẬT VIET NAM VE BẢO VE THONG TIN CÁ NHÂN CUA NGƯỜI TIEU DUNG TRONG THUONG MAI ĐIỆN TỬ THỜI KỲ

CACH MANG CONG NGHIEP 4.0

Thuộc nhóm ngành khoa hoc: XH

Sinh viên thực hiện: Đỗ Thị Như Ngọc Nam, Nữ: Nữ

Lớp: 4330 Khoa: Pháp luật thương mại quốc tế Năm thứ: 02/Số năm đào tạo: 04

Sinh viên thực hiện: Nguyễn Thị Hoài Nam, Nữ: Nữ

Dân tộc: Kinh

Lớp: 4224 Khoa: Pháp luật Kinh tế Năm thứ: 03/Số năm đào tạo: 04

Người hướng dẫn: ThS Nguyễn Ngọc Quyên

DANH MỤC BANG BIÊU - - 2 SE SE 1E EEE121E11E1111111111111111 1111111 c0 DANH MỤC NHỮNG TU VIET TẮTT ¿2 2 £SE£E£+E£EE+E£EEEEEEEEEEEEEEEEEErkerkrreee AY CO) 5 S21 E3 E12112121221112112112112111111 1111111111111 111111 0111111111111 erre | 1 Lý do lựa chọn đỀ tài ¿5 SE SE EEEEE121E11211211111111111111111111 1111 1x | 2 Tổng quan tình hình nghiên cứu dé tài - ¿2 + 2 SE£EE+E+E#£E£Eerzkerees 2 3 Mục tiêu để tài 5 5c c2 222 12212212211211211211211211111211211211 211k 3 4 Đối tượng và phạm vi nghiên cứu dé tài - 2 2 +s+St+EeEE+E££EeEEzEerxererxee 4 5 Cách tiẾp cận ¿- 55s SEE E219 12E21511217121121111211111111111111111 21111 T1 tre 4 6 Phương pháp nghiên cứu dé tài - - 2 2 s+S+E£EE£EEEEEEEEEEEEEEEEEEEEEEerkrrerkee 5 7 Kết cấu của để tài - c-c nh v11 11151111111 1111 111111111101 111111 111.111 1EEErree 5

NỘI DUNG KET QUA NGHIÊN CỨU -¿- 2 2 t+ESE£EEEEEEEEEEEEEEEEErkrkerkerkd 6 CHƯƠNG 1: MOT SO VAN DE LÝ LUẬN VE PHÁP LUẬT BẢO VỆ THONG TIN CÁ NHÂN CỦA NGƯỜI TIỂU DÙNG TRONG THƯƠNG MẠI ĐIỆN TỬ THỜI KỲ CÁCH MẠNG CÔNG NGHIỆP 4.) 2- S5 E2 2EEEerkrrkerve 6

1.1 Khái quát về bảo vệ thông tin cá nhân của người tiêu dùng trong thương

mại điện tử thời kỳ Cách mang công nghiệp 4.() - - - S ĂSSS+Ssseeereses 61.1.1 Khái niệm người tIÊU đÙHG cv kh kg vờ 6Ÿ,1,Ä KUT miệMm ÄHMầNg LÌM thi HH bo sàanaanuadLuanliadakttotdodiiibgiiSiG8008AG001242860011161010440A36.38835 81.13 Khái niệm thông tin cá nhân của người ti€U đỦÙng -c c5 s+<sx++sss++ 111.14 Khái niệm thương mại điỆN tr eccccccccccccsccccesscccesseeeessseeesseeensseeesesseeensseeeensaeeees 13

1.1.5 Sự cân thiết bảo vệ thông tin cả nhân của người tiêu dùng trong thương mại

điện tứ 15

1.1.5.1 Quyên riêng tư đối với thông tin cá nhân của người tiêu dùng 15

1.1.5.2 Kha năng xảy ra hành vi xám phạm thông tin cá nhán người tiêu dùng trong7/7//150/1782/12/80:7780n1n0808058588 17

1.1.5.3 Bảo vệ thông tin cá nhân của người tiêu dùng tạo động lực cho sự phát triển

của hoạt động thương mại đÌỆH fÚỨ, cv kh kg vn rưy 171.1.6 Những phương thức cơ ban bảo vệ thông tin cá nhân của người tiêu

1.1.7 Tac động của Cách mạng công nghiệp 4.0 đến vấn dé bảo vệ thông tin cá

/)/12//N617128/13401918112/N⁄/)1/152P TT Na ¬ 21

1.2 Khái quát về pháp luật về bảo vệ thông tin của cá nhân người tiêu dùng

D50)010111)10//1201121N:) 0/01) 00100 - 26

1.3 — Tiểu kết chương I - -2+EE2E2ESEEEEEEEEEEEEErkrrkerrrred 35

CHƯƠNG 2: THUC TRẠNG PHÁP LUẬT VIỆT NAM VE BẢO VE THONG TIN CÁ NHÂN CUA NGƯỜI TIỂU DUNG TRONG THUONG MẠI ĐIỆN TỬ THỜI KỲ CÁCH MẠNG CÔNG NGHIỆP 4.() - 2-5222 36

VỆ Quy định pháp luật hiện hành về bảo vệ thông tin cá nhân của người tiêu

dùng trung fIrimơng mai NHIÊU LŨ ssn srs ne ER SG Ta SS NE A 36

2.1.1 Quyên được bảo vệ thông tin cá nhân của người tiêu ding trong thương mại

điện tr 36

2.1.2 Trách nhiệm của các chủ thé về việc bảo vệ thông tin cá nhân của người tiêu

FEF APES CITI RE CHIẾN CIP cscs snot ot St TSAR A 3001H400.5088.308 382.1.3 Xứ ly vi phạm pháp luật trong việc bao vệ thông tin ca nhân của người tiéu(2111/15811497/1581/1110/158,/12182112/Ñ172PERPRE NA 48

Dee Thực trạng thực thi pháp luật Việt Nam về bảo vệ thông tin cá nhân của

người tiêu dùng trong thương mại điện tỬ - eee 2c 3323 EEsererserererrrses 32

2.2.1 Thực trạng vi phạm pháp luật về bảo vệ thông tin cá nhân của người tiêu

dùng trong thương mại AiEN ẨIỨ - c3 8831 118113 111118111118 1111 111v rệt 52

2.2.2 Thực trạng quản lý nhà nước về bảo vệ thông tin cá nhân người tiêu dùng của các cơ quan nhà nước có thẩm qIIVỂÌN - 5+ St ‡k‡EEEEEEEEEEEEEEEEEEEEEEEEEEkrrkerrred 37 2.2.3 Thực trạng việc bảo vệ thông tin cá nhân người tiêu dùng của các chủ thé

tham gia hoạt động thương MAI ACN tue c- - c E33 E11 9V Evkkvvkerrvree 59

2.3 Tiểu kết chương 2 5c C2 EE121211111 1111211111111 re 61 CHƯƠNG 3: KIÊN NGHỊ HOÀN THIỆN PHAP LUAT VIỆT NAM VE BẢO

VỆ THÔNG TIN CÁ NHÂN CỦA NGƯỜI TIỂU DÙNG TRONG THƯƠNG MẠI ĐIỆN TỬ THỜI KỲ CÁCH MẠNG CÔNG NGHIỆP 4.0 63

3.1 Một số kiến nghị về xây dựng va hoàn thiện hệ thống pháp luật về bảo vệ

thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳ cáchTrữ<ang công HƯHIỆN AD cái ccc cnonn se Họ Là n5 0112012065ná 0-88 03nàih 483B 3h bad Acai đãi sa aaa 63

3.1.1 Sửa đổi định nghĩa thông tin cá nhÂH -.- - 2-52 ©t+SE+E‡E+EEEEEEEEeEEErrkees 63 3.1.2 Xây dựng những nguyên tắc cơ bản về bảo vệ thông tin cả nhân - 65 3.1.3 Quy định về chính sách bảo mật thông tin cá nhâh 2-5 se +s+c++cee: 70

người tiêu dùng trong thương mại Gi€N te - c + St vEteerteeeeseeerereerree 73

3.1.5 Quy định về thu thập và xử ly dữ liệu là thông tin cá nhân của người đưới 15 tuổi 74

3.2 Một số kiến nghị nhằm nâng cao hiệu quả thực thi pháp luật về bảo vệ

thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳ cáchmạng công nghiệp 4.() - - G1 11122111112 11111 111110111111 11 1n 1n vn vn re 75

3.2.1 Về nhận thức, trách nhiệm của các chủ thể tham gia vào hoạt động thương

//12182012/81/PEEERPPE 75

3.2.2 Về hoạt động kiểm tra, giảm sát của các cơ quan quản lý nhà nước 76 3.2.3 Về phát triển hệ thong ha tang công nghệ thông tỉn - 2-s+cs5csc: 77 3.3 Tiểu kết chương 3 -°œ- s©5°©sSsEseEsEseEsEEsEseEsesersersesersrse 77 DANH MỤC TÀI LIEU THAM KHẢO 2- 2 ° 5£ s2 s2 se se sessesezses

3:80 2

Trang | Bảng biểu

32 Bang 1 Bảng liệt kê các văn bản pháp luật về bảo vệ TTCN của NTD

trong TMDT giai đoạn 1999-2010

33 Bảng 2 Bảng liệt kê các văn bản pháp luật về bảo vệ TTCN của NTD

trong TMDT giai đoạn 2010-nay

72 Bảng 3 Đề xuất công cụ đánh giá rủi ro-lợi ích cho các dự xử lý dữ liệu

Big Data

48 Bảng 4 Mức phạt đối với hành vi vi phạm về bảo vệ TTCN của NTD

trong TMDT

Phụ lục | Bảng 5 Bảng đánh giá chính sách bảo vệ TTCN của 10 website TMĐT

hàng đầu tại Việt Nam

22 Hình 1 Quá trình xử lý thông tin của Big Data

57 Hình 2 Quy trình xử ly phan ánh cua người dân

Phụ lục | Hình 3 Mô hình đánh giá rủi ro — lợi ích cua CPO

(Xếp theo thứ tự bảng chữ cái)

APEC AsiaPacific Economic Dién dan hop tac kinh té Chau A

-Cooperation Thai Binh Duong

Bo nguyén APEC Privacy Framework Những nguyên tắc cơ bản về Bao tắc của vệ dữ liệu cá nhân của APEC

EU European Union Liên minh Châu Âu

FIPS Fair Information Practices Những hoạt động thông tin đúng

FIPPS Fair Information Practice Những nguyên tắc về hoạt động

Principles thông tin đúng mực

FTC The Federal Trade Commission | Hiệp hội Thương mại Liên BangHoa Kỳ

GDPR General Data Protection Quy định chung về Bảo vệ đữ liệu

Hướng dẫn Guidelines on the Protection ofHướng dân Bao vệ Quyên riêng tư

của OECD Privacy and Transborder Flows | và Luồng dữ liệu cá nhân xuyên

of Personal Data biên giới

LBVQLNTD | Law on Protection of Luật Bao vệ quyền lợi người tiêu

Consumers’ Rights dùng

OECD Organization for Economic Tổ chức Hop tác và Phát triển

NIST Viện Tiêu chuẩn và Công nghệ | Viện Tiêu chuẩn và Công nghệ Quốc gia Quốc gia

NTD Consumer Người tiêu dùng

TMDT Electronic commerce Thuong mại điện tử

TTCN Personal Information Thông tin cá nhân

WTO World Trade Organization Tổ chức thương mai thé giới

1 Lý do lựa chọn đề tài

Cách mạng Công nghiệp 4.0 ra đời với sự bùng né của các công nghệ cao như điện toán đám mây (Cloud Computing), vạn vật kết nối (Internet of Things), phân tích dữ liệu lớn (Big Data Analytics), v.v được kết hợp với nhau đang xóa mờ ranh giới của ba lĩnh vực: vật lý, kỹ thuật số và sinh học Vì vậy, nó tạo ra một nền tảng kinh tế số, đặc biệt là TMĐT bao gồm toàn bộ khâu nghiên cứu, thiết kế, sản xuất và phân phối sản phẩm rất thân thiện với NTD do sự am hiểu sâu sắc từng nhu cầu, hành vi,

thái độ của khách hàng Chưa bao giờ trong lịch sử, NTD được hưởng những gói sản

phẩm, dịch vụ trọn gói, hiện đại và nhanh chóng khi có thé chỉ ngồi nhà và tận hưởng mọi tiện ích như các sản phẩm học tập, trị liệu trực tuyến; đặt hàng, dịch vụ ăn uống, nghỉ dưỡng, y tế online; giao hàng nhanh; thanh toán trực tuyến, ví điện tử v.v hay thậm chí là mô hình siêu thi tự động không cần thu ngân của Amazon! như trong thé kỷ XXI hiện nay Tuy nhiên dang sau những tiện ích nhanh chong, chi phí thấp, những vụ việc bê bối đữ liệu như Facebook - Cambridge Analytica? thu thập và mua bán trái phép TTCN của NTD đã làm chấn động thế giới Các cuộc điều trần căng thăng đã diễn ra với giám đốc điều hành của Facebook là Mark Zuckerberg Nhưng quan trọng

hơn, nó là cú tác động mạnh cho hàng loạt cuộc tranh luận của giới lập pháp tại Hoa

Kỳ và Châu Âu, sự thay đổi nhận thức sâu sắc của NTD về van đề quyền riêng tư và bảo vệ TTCN của NTD Là nên kinh tế đang phát triển, Việt Nam cũng nhập cuộc chơi TMDT rất nhanh chóng Tuy nhiên, bên cạnh những lợi ích mà TMĐT mang lai cho NTD là những hiện tượng mua bán dữ liệu diễn ra một cách tràn lan va phổ biến, thậm

chí còn được rao bán công khai trên công cụ tìm kiêm Google.

Luật Bảo vệ quyền lợi người tiêu dùng được ban hành vào năm 2010 đã phản ánh mức độ quan trọng ngày càng tăng của van dé bảo vệ quyên lợi NTD trong hệ thong pháp luật kinh tế - dan sự Việt Nam Cùng với đó, năm 2010 cũng là năm khung pháp lý về TMĐT tại Việt Nam đã cơ bản hình thành Nghị định số 52/2013/NĐ-CP được ban hành đánh dấu bước chuyền quan trọng trong hạ tầng pháp lý cho lĩnh vực TMDT Từ năm 2016 trở di, TMĐT Việt Nam đã chuyển từ giai đoạn hình thành, tạo lập sang giai đoạn phát triển nhanh cùng với nhịp độ phát triển của công nghệ thông

! Matthew Boyle (2019), Supermarket Survival Means Matching Amazon, Bloomberg, truy cập lần cuối ngày

? Kevin Granville (2018), Facebook and Cambridge Analytica: What you need to know as fallout widens, The

New York Times, truy cập lần cuối ngày 06/08/2020.

tin Nhận thức của xã hội về quyên lợi NTD ngày càng gia tăng cùng với sự phát triển

nhanh của các ứng dụng TMDT Trong đó, bảo vệ TTCN của NTD trong TMĐT đượccoi là một khía cạnh đặc thù khi NTD tham gia vào các giao dịch trên môi trường điện

tử Tuy nhiên, Việt Nam vẫn chưa có một văn bản điều chỉnh riêng van đề bảo vệ TTCN của NTD trong TMĐT, các nội dung liên quan về van đề này được quy định rải rác và không đầy đủ trong hệ thống các văn bản quy phạm pháp luật về TMĐT từ cấp độ luật đến các văn bản hướng dẫn luật như Luật An toàn thông tin mạng 86/2015/QH13, Nghị định số 52/2013/NĐ-CP về thương mại điện tử

Trước bối cảnh xã hội và pháp lý đó, van đề nghiên cứu, đánh giá, rà soát lại hệ thống pháp luật hiện hành về bảo vệ TTCN của NTD trong thời kỳ Cách mạng công nghiệp 4.0 để đưa ra các phương hướng và kiến nghị hoàn thiện pháp luật là điều vô cùng cần thiết Vì lẽ đó, nhóm tác giả đã lựa chọn dé tài: “Pháp luật Việt Nam về

Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳCách mạng công nghiệp 4.0”.

2 Tổng quan tình hình nghiên cứu đề tài

Trong phạm vi quốc tế, vấn đề bảo vệ TTCN của NTD trong TMĐT từ lâu đã được quan tâm, nghiên cứu bởi rất nhiều cơ quan, tổ chức Tiêu biểu là các chuỗi hành động, khuyến nghị của Tổ chức hợp tác và phát triển kinh tế OECD như: Consumer in

the digital economy, Recommendation on Consumer protection in E-commerce,

Toolkit for protecting digital consumer, Ở Việt Nam, trong giai đoạn gần day, van dé nay cũng nhận được nhiều sự quan tâm nghiên cứu Tuy nhiên, những nghiên cứu hau như dừng lại ở hình thức các bài báo, bài viết hoặc được đề cập trong các nghiên cứu về bảo vệ quyền lợi NTD nói chung và không có nhiều công trình nghiên cứu chỉ tiết.

Một sô bài nghiên cứu tiêu biêu có thê kê đên như:

- Dé tài nghiên cứu khoa học: “Nghiên cứu pháp luật về quyền được cung cấp

thông tin và bảo vệ thông tin của người tiêu dùng ở Việt Nam” của Trường Đại

học Luật Hà Nội, năm 2012, do TS Nguyễn Thị Vân Anh chủ nhiệm đề tài - Dé tài nghiên cứu khoa học: “Pháp luật Việt Nam về bảo vệ thông tin người

tiêu dùng trong giao dịch thương mại điện tử” của nhóm sinh viên Lê Thùy

Dương, Phạm Quốc Anh và Tran Thị Luyén.

- _ Khóa luận tốt nghiệp: “Pháp luật về bảo vệ thông tin người tiêu dùng ở Việt

Nam” của tác giả Lê Phương Hoa; PGS.TS Nguyễn Thị Vân Anh hướng dẫn,

năm 2015.

Một số bài viết mang tính chất báo chí, bình luận của các luật gia như:

- Bai việt: “Pháp luật vê vân đê bảo vệ thông tin cá nhân trên môi trường

internet” của tác giả Trần Văn Biên, tạp chí Nhà nước và Pháp luật số 9/2019 - Bai viết: “Bàn về van dé bảo vệ thông tin cá nhân của người tiêu dùng trong

thương mại điện tử” của tác giả Nguyễn Thị Thu Hang, Tạp chí Khoa học pháp lý số 2/2019.

- Bai viết: “Bảo vệ thông tin cá nhân người tiêu dùng khi giao dịch trên website thương mại điện tử” của tác giả Nguyễn Thị Thu Hang, Tap chi Dân chủ và Pháp luật số 3/2019.

- Bai viết: “Bảo vệ thông tin cá nhân của người tiêu dùng theo pháp luật Việt Nam” của tác giả Nguyễn Ngọc Quyên, Tạp chí Dân chủ và Pháp luật số

chuyên đề 9/2019.

- Bai viết: “Bảo vệ thông tin người tiêu dùng” của tác giả Ngô Vĩnh Bạch Dương, tạp chí Nghiên cứu lập pháp số 12/2019, số 12.

Nhìn chung, các công trình nghiên cứu, bài viết đã đề cập, phân tích, đánh giá một cách tương đối chi tiết những vấn đề liên quan đến bảo vệ TTCN của NTD nói chung và trong môi trường TMĐT nói riêng, bao gồm các vấn đề từ lý luận đến thực tiễn về khái niệm, vai trò của TTCN, pháp luật về quyền được bảo vệ TTCN của NTD, trách nhiệm của các cơ quan quản lý, cá nhân, tô chức kinh doanh về bảo vệ TTCN và đưa ra thực trạng những vấn đề phát sinh đối với việc bảo vệ TTCN trong môi trường TMĐT, những hạn chế về mặt pháp luật cũng như đưa ra những giải pháp hoàn thiện.

Tuy nhiên, sự tác động của cuộc cách mạng công nghiệp 4.0 tới lĩnh vực này vẫn là

một van đề mới và hiện nay, chưa có công trình nghiên cứu chi tiết về vấn đề bảo vệ

TTCN của NTD trong TMĐT thời kỳ cach mang công nghiệp 4.0.

3 Mục tiêu đề tài

Mục tiêu của đề tài nhằm:

(1) Chỉ rõ cơ sở lý luận của pháp luật về bảo vệ TTCN của NTD trong

(ii) Rasoat hệ thống pháp luật Việt Nam hiện hành về vấn đề này;

(iii) Đánh giá thực tiễn thực thi pháp luật Việt Nam về bảo vệ TTCN của NTD trong TMĐT trước bối cảnh mới là cuộc Cách mạng công nghiệp

4.0; và

(iv) Đưa ra những kiến nghị để hoàn thiện hệ thống pháp luật Việt Nam hiện hành về bảo vệ TTCN của NTD trong TMĐT.

4 Đối tượng và phạm vi nghiên cứu đề tài

Đối tượng nghiên cứu của đề tài là các văn bản pháp luật có liên quan về bảo vệ TTCN của NTD trong TMDT tại Việt Nam hiện nay; các số liệu, thông tin thực tiễn liên quan đến van dé bảo vệ TTCN; các tài liệu chuyên ngành công nghệ về Cách mạng công nghiệp 4.0; tham khảo quan điểm và quy định trong các văn bản có sự đồng thuận quốc tế về vấn đề bảo vệ đữ liệu cá nhân như: Hướng dẫn Bảo vệ quyền riêng tư và luồng dir liệu cá nhân xuyên biên giới của OECD năm 1980 (Sau đây gọi tắt là “Hướng dẫn của OECD”), đã được cập nhật năm 2013; Quy định Chung về Bảo vệ dữ liệu (Sau đây gọi tắt là “GDPR”) của Liên minh Châu Au năm 2016 và Những nguyên tắc cơ bản về bảo vệ dir liệu cá nhân trong thương mại điện tử của APEC (Sau đây gọi tắt là “Bộ nguyên tắc của APEC”) năm 2004, đã được cập nhật năm 2015.

Phạm vi nghiên cứu của đề tài là toàn bộ các van đề lý luận và thực tiễn của Pháp luật Việt Nam về bảo vệ TTCN của NTD trong TMĐT đặt trong bối cảnh cách mạng công nghiệp 4.0 từ đó đưa ra các kiến nghị về việc xây dựng và thực thi pháp luật về bảo vệ TTCN của NTD trong TMDT tại Việt Nam.

5 Cách tiếp cận

Với cách thức tiép cận lây thực tiên là trọng tâm, nghiên cứu các vân đê trongbôi cảnh thực tê Cụ thê, dé tài tiép cận các vân đê nghiên cứu từ các góc độ sau:

- _ Tiếp cận từ cơ sở lý luận về van dé bảo vệ TTCN của NTD trong TMĐT thời kỳ Cách mạng công nghiệp 4.0 và pháp luật về bảo vệ TTCN của

NTD trong TMDT.

- _ Tiếp cận từ co sở các quy định của pháp luật Việt Nam hiện hành về bao

vệ TNCN của NTD trong TMĐT.

- _ Tiếp cận từ thực tiễn thi hành các quy định của pháp luật Việt Nam về

bảo vệ TTCN của NTD trong TMDT thời kỳ Cách mạng công nghiệp

4.0.

Để đạt được các mục tiêu nghiên cứu mà đề tài đặt ra, trong quá trình nghiên cứu, đề tài đã bám sát phương pháp nghiên cứu khoa học duy vật biện chứng và duy

vật lịch sử của chủ nghĩa Marx - Lenin;

Bên cạnh đó, đề tài còn sử dụng một số phương pháp nghiên cứu cụ thể như: phương pháp lịch sử, phương pháp nghiên cứu lý luận kết hợp với thực tiễn để phân tích, so sánh, đối chiếu, tổng hop

7 Ket cầu của đề tài

Ngoài phần mở đầu, kết luận, nội dung đề tài gồm 3 chương:

Chương 1: Cơ sở lý luận của pháp luật bảo vệ thông tin cá nhân của người tiêu dùngtrong thương mại điện tử thời kỳ cách mạng công nghiệp 4.0.

Chương 2: Thực trạng pháp luật Việt Nam về bảo vệ thông tin cá nhân của người tiêu

dùng trong thương mại điện tử thời kỳ cách mạng công nghiệp 4.0.

Chương 3: Kiến nghị hoàn thiện pháp luật Việt Nam về bảo vệ thông tin cá nhân của

người tiêu dùng trong thương mại điện tử.

NOI DUNG KET QUA NGHIÊN CỨU

CHUONG 1: MOT SO VAN DE LY LUAN VE PHAP LUAT BAO VE THONG TIN CA NHAN CUA NGUOI TIEU DUNG TRONG THUONG MAI DIEN TU

THOI KY CACH MANG CONG NGHIEP 4.0

1.1 Khai quát về bảo vệ thông tin cá nhân của người tiêu dùng trong thương

mại điện tử thời kỳ Cách mạng công nghiệp 4.0

1.1.1, Khai niệm người tiêu dùng

Việc xác định rõ nội hàm của khái niệm NTD là kim chỉ nam cho việc nghiêncứu các nội dung khác trong pháp luật bảo vệ NTD Khái niệm này đã được nghiên

cứu thấu đáo ở nhiều góc độ khác nhau, cả ở góc độ kinh tế và góc độ pháp lý Khái niệm NTD xuất hiện trong kinh tế học là phạm trù chỉ những chủ thé tiêu thụ của cải được tạo ra bởi nền kinh tế, họ tham gia các quan hệ dân sự nhằm mục đích tiêu thụ nên được coi là chủ thể của luật dân sự Song, khái niệm NTD dưới góc độ pháp lý (xuất hiện cùng với sự ra đời của pháp luật bảo vệ NTD) có sự phân biệt so với khái niệm NTD dưới góc độ kinh tế Bởi lẽ, NTD - đối tượng được bảo vệ theo pháp luật về bảo vệ NTD được hưởng sự ưu tiên hơn so với những chủ thể luật dân sự khác trong các giao dịch và giải quyết tranh chấp, sự ưu tiên này đặt ra vấn đề xác định đối tượng cần được pháp luật bảo vệ NTD điều chỉnh dé đảm bảo tính công bang trong áp dụng các ưu đãi Do đó, khái niệm NTD dưới góc độ pháp lý không thể được sử dụng nguyên vẹn khái niệm NTD dưới góc độ kinh tế.

Pháp luật các quốc gia trên thế giới có các định nghĩa khác nhau về NTD, song, đều được thể hiện ở ba van dé: (i) tư cách chủ thé; (ii) cách thức tiếp cận va (iii) mục đích sử dụng hàng hóa dịch vụ Điều 2 Chi thị 2011/83/EU năm 2011 về quyền của NTD của Liên minh Châu Au (EU) quy định: “Người tiêu ding được xác định là con người tự nhiên, tham gia các hợp dong theo Chỉ thị này, cho các mục đích không phải thương mại, kinh doanh, thủ công hay nghề nghiệp ”, theo định nghĩa này NTD không bao gồm pháp nhân và không bao gồm người sử dụng, thụ hưởng hàng hóa dịch vụ mà không trực tiếp giao kết hợp đồng với nhà sản xuất kinh doanh Điều 2 Luật bảo vệ

NTD Đài Loan năm 1994 quy định: “Người tiêu dùng được xác định là những người

x Nguyễn Thanh Lý (2019), “Bàn về khái niệm người tiêu dùng và cơ sở phát sinh quyền được bảo vệ của người

tiêu dùng”, Tap chí Nghề Luật, 6, tr 16 - 22.

mua, sử dụng hàng hóa, dich vụ nhằm mục đích tiêu đừng ”“ Quy định này xác định

khái niệm NTD theo mục đích sử dụng hàng hóa dịch vụ Luật bảo vệ NTD Thái Lan

năm 1979 lại xác định khái niệm NTD theo hình thức tiếp nhận (mua, được cho, mời) hàng hóa, dịch vụ” Tại Hàn Quốc, Luật khung về bảo vệ NTD năm 2006 có cách tiếp cận độc đáo ở chỗ xác định NTD có mục đích sản xuất (production) ngoài mục đích sử dụng hàng ngày (daily use), nhưng phải được nêu rõ trong các nghị định của Tổng thống Hàn Quốc (Presidential Decree)5 Tại Việt Nam, theo quy định tại Khoản 1 Điều

3 LBVQLNTD năm 2010: “Người tiêu dùng là người mua, sử dụng hang hóa, dich vụ

cho mục dich tiêu dùng, sinh hoạt của cá nhân, gia đình, tổ chức ” Cũng tương tự như các nước, định nghĩa về NTD trên đưa ra điều kiện về mục đích là “mục đích sinh hoạt, tiêu dùng” Tuy nhiên, so với pháp luật của nhiều nước trên thế giới thì đối tượng

được bảo vệ theo pháp luật bảo vệ NTD của Việt Nam có sự mở rộng hơn Theo tinh

thần của Luật Bảo vệ quyền lợi người tiêu dùng (LBVQLNTD) năm 2010 thì ngoài đối tượng là các cá nhân, pháp luật Việt Nam còn coi các tổ chức cũng là NTD khi tổ

chức đó mua, sử dụng hàng hóa, dịch vụ cho mục đích sinh hoạt, tiêu dùng.

Hiện nay, việc xác định tô chức có được coi là NTD hay không còn có nhiều ý kiến khác nhau” Nhóm tác giả đồng tình với quan điểm xác định khái niệm NTD chỉ gồm cá nhân mà không coi tô chức là NTD Bởi lẽ: (i) thứ nhất, theo pháp luật bảo vệ NTD, NTD được hưởng sự ưu tiên hơn so với chủ thé luật dân sự khác trong các giao dịch với thương nhân bán hàng hóa, dịch vụ Điều này xuất phát từ sự yếu thế của NTD như: thiếu thông tin về hàng hóa, dịch vụ, yếu thế về khả năng đàm phán khi giao kết hợp đồng, yêu thé về kha năng chịu rủi ro phát sinh trong quá trình tiêu dùng, hạn chế này thé hiện rõ ràng ở các cá nhân đơn lẻ hon so với tô chức; (ii) thứ hai, pháp luật bảo vệ NTD được đặt ra dé hỗ trợ luật dân sự và thương mại dé khắc phục những

hạn chê của quyên tự do khê ước khi không có sự cân xứng về điêu kiện kinh tê, trình

4 › , x4 ‘

Ban dịch tiêng anh: The term “consumers” means those who enter into transactions, use goods or acceptservices for purpose of consumption”.

> Ban dịch tiếng anh: “Consumer” means those who use (including utilization; hereinafter the same shall apply)

goods and services provided by enterprisers for the purpose of daily use or production, prescribed by thePresidential Decree.

© Ban dich tiếng anh: “Consumer” means those who use (including utilization; hereinafter the same shall apply)

goods and services provided by enterprisers for the purpose of daily use or production, prescribed by thePresidential Decree.

Nguyễn Thanh Lý, tldd.

độ hiểu biết giữa các bên trong giao dịch chứ pháp luật bảo vệ NTD không thay thé

luật dân sự và thương mạiŠ.

Ngoài ra, có thể nhìn thấy hai hướng quy định về mục đích sử dụng hàng hóa

dịch vụ trong định nghĩa NTD Một là, quy định mục đích theo hướng loại trừ như

định nghĩa của EU: “cho các muc đích không phải thương mại, nghề nghiệp” Hai là, chỉ rõ mục đích sử dụng hàng hóa, dịch vụ “nhằm mục đích tiéu dung, sinh hoạt” theo hướng quy định của Hàn Quốc, Đài Loan, Việt Nam, Mặc dù với cách tiếp cận mục đích thứ hai có ưu điểm là nêu bật được mục đích sử dụng hàng hóa, dịch vụ của NTD

từ đó phân biệt rõ ràng với mục đích sử dụng hàng hóa dịch vụ cho các mục đích

thương mại, nghề nghiệp khác Tuy nhiên, nhóm tác giả cho rằng, cách thức tiếp cận mục dich theo hướng loại trừ (không nhằm mục đích thương mại, nghề nghiệp) sẽ tạo

thuận lợi hơn trong việc áp dụng vào thực tiễn thực thi pháp luật và mở rộng phạm vi

bảo vệ NTD hơn Bởi lẽ, trong nhiều giao dịch có mục đích “trộn” (mixed transactions) giữa mục đích tiêu dùng, sinh hoạt với mục đích kinh doanh, nghề

nghiệp, thì việc chứng minh mục đích tiêu dùng, sinh hoạt của nó thường khó khăn

hơn so với loại trừ mục đích thương mại, nghề nghiệp Vi dụ: Một giáo viên mua máy tính xách tay về có thé vừa phục vụ cho công tác dạy học, vừa phục vụ cho các mục đích cá nhân như: giải trí, nghiên cứu, Với cách tiếp cận theo hướng loại trừ như

định nghĩa của EU, việc xác định có phải là giao dịch tiêu dùng hay không phụ thuộc

vào mức độ “chủ yêu” (mainly) của mục đích trong các giao dịch có mục đích “tron”.

Tóm lại, nhóm tác giả thống nhất sử dụng định nghĩa NTD là cá nhân mua, sử dụng hàng hóa, dịch vụ cho các mục đích không phải thương mại, nghề nghiệp.

1.1.2 Khái niệm thông tin cá nhân

Dưới góc độ ngôn ngữ, danh từ “thông tin” được hiểu là “điều được truyền đi cho biết, tin truyền đi”, “cá nhân” được hiểu là con người riêng lẻ, phân biệt với tập thé hoặc xã hội!? Hiểu theo nghĩa thông thường, TTCN là tất cả những sự kiện, tin

tức, chi tiêt liên quan đên một con người riêng biét.

PR 9D

Dưới góc độ pháp ly, thuật ngữ “thông tin cá nhân” được định nghĩa khác nhau

trong hệ thống pháp luật của các quốc gia trên thế giới Có hai định nghĩa được sử

B Trường Đại học Luật Hà Nội (2014), Giáo Trình Luật Bảo vệ quyển lợi người tiêu dùng, Nxb Công an nhân

dân, tr 14.

? Xem thêm: Rafal Manko (2013), Library of European Parliament, tr.2.

'0 Hoàng Phê (2003), Từ điển Tiếng Việt, NXB Đà Nang, tr 100 và tr.953.

dung phổ biến đó là dit liệu cá nhân (personal data), được sử dung trong GDPR của

EU và thông tin nhận dang cá nhân (personally indentifiable information — PII) được

sử dụng phổ biến tại Hoa Kỳ Sự khác biệt giữa hai thuật ngữ này khá mơ hồ, có thể

làm rõ hai khái niệm này qua khung pháp lý áp dụng chúng.

Đối với thuật ngữ dữ liệu cá nhân, Hướng dẫn của OECD năm 1980 là văn bản

đầu tiên đưa ra định nghĩa “dữ liệu cá nhân”, theo đó dữ liệu cá nhân là bat ky thong

tin nao liên quan tới một cá nhân được nhận dạng hoặc có khả năng nhận dang được,

cá nhân này gọi là chủ thé dữ liệu (data subject)!! Điều 4.1 GDPR của EU định nghĩa: “Dữ liệu cá nhân bắt kỳ thông tin nào liên quan tới một con người tự nhiên được nhận

dang hoặc có kha nang nhận dang được Định nghĩa nay có phạm vi bao quát

rộng, bao gồm tat cả các nguồn thông tin có khả năng nhận dạng được chủ thé dit liệu Đối với thuật ngữ thông tin nhận dạng cá nhân (PII), thuật ngữ này xuất hiện trong nhiều văn bản khác nhau trong khung pháp lý tại Hoa Kỳ So với EU, Hoa Kỳ có một hệ thống pháp luật đa dang hơn với hệ thống các quy định của liên bang, tiêu bang và các hướng dẫn được phát triển bởi các cơ quan của Chính Phủ tuy không có hiệu lực pháp luật nhưng là một phần của nguyên tắc và khuôn khô tự quản lý Một số van bản nôi bật định nghĩa về PII có thé kế đến như: Đạo Luật quyên riêng tư (US Privacy Act of 1974), Đạo Luật về Trách nhiệm giải trình và Cung cấp thông tin bảo hiểmy tế (Health Insurance Portability Accountability Act — HIPAA), Đạo luật bảo vệ quyền

riéng tu cua tré em trén mang (The Children's Online Privacy Protection Act

-COPPA), Ngoai ra, PII con được định nghĩa trong các văn bản hướng dẫn của co

quan Chính Phủ như: Hiệp hội Thương mại Liên Bang (The Federal Trade

Commission — FTC), Ủy ban Truyền thông Liên Bang (The Federal Communications Commission - FCC), Viện Tiêu chuẩn va Công nghệ Quốc gia (The National Institute

of Standards and Technology - NIST) Thông tin nhận dang cá nhân được định nghĩa

là bat kỳ thông tin nào góp phần nhận dang một cá nhân PII chia làm hai nhóm: (i) Thông tin được liên kết: là các thông tin cá nhân được sử dụng dé nhận dạng một cá nhân như tên đây đủ, địa chỉ nhà, địa chỉ email, số bảo hiểm y tế, số hộ chiếu, số bằng lái xe, số thẻ tin dụng, ngày sinh, số điện thoại, (ii) Thông tin có khả năng liên kết được: là thông tin mà tự thân thông tin này không nhận dạng được một cá nhân cụ thể nhưng khi kết hợp với các thông tin khác thì có thể nhận dang, theo dõi và xác định vi

trí của một cá nhân cụ thê như chỉ họ hoặc tên, quôc gia, bang, thành phô, mã vận đơn,!! Nguyên văn tiếng anh: "personal data" means any information relating to an identified or identifiable

individual (data subject)

'2 Nguyên van tiêng anh: “personal data” means any information relating to an identified or identifiable natural

giới tính, chủng tộc, tuổi tác, nghề nghiệp, Một số loại thông tin nằm ngoài định

nghĩa PII là: device IDs!3, địa chỉ IP!*, cookies!° Các thông tin này lại được coi là dữ

liệu cá nhân theo quy định của EU.

Có thể thấy phạm vi định nghĩa dữ liệu cá nhân của EU rộng hơn phạm vi của

định nghĩa PII của Hoa Kỳ Tuy nhiên, tại một vài bang của Hoa Kỳ, như California,

các thông tin như Device IDs, địa chỉ IP, cookies vẫn được coi là PII Các thông tin

này cũng được coi là PII trong văn bản hướng dẫn của FTC va NIST Rất có thé trong

tương lai các bang khác tại Hoa Kỳ sẽ quy định theo hướng mở rộng như vậy.

Tại Việt Nam, khái niệm “thông tin cá nhân” được định nghĩa trong các văn bản

quy phạm pháp luật khác nhau từ cấp độ luật đến các văn bản hướng dẫn Theo khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015 quy định: “7hông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể” Nghị định 52/2013/NĐ-CP về Thương mại điện tử cũng có quy định về định nghĩa TTCN tại khoản 13 Điều 3: “Thông tin cá nhân là các thông tin góp phân định danh một cá nhán cụ thể, bao gom tén tudi, dia chi nha riéng, số điện thoại, thông tin y té, so tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bi mật” Có thê thay, hai định nghĩa này có phạm vi không giống nhau Nghị Định 52/2013/NĐ-CP xác định TTCN gồm hai đặc điểm: (i) là các thông tin góp phần định danh một cá nhân cụ thé và (ii) thông tin ma cá nhân mong muốn

giữ bí mật Việc quy định như vậy có sự thu hẹp phạm vi khi xác định TTCN so với

quy định của Luật An toàn thông tin mạng năm 2015 Như vậy, trong hệ thống pháp luật của Việt Nam, định nghĩa về TTCN chưa có sự thống nhất.

Việc xác định rõ phạm vi của TTCN là vô cùng quan trọng Không thể bảo vệ TTCN hiệu quả nếu không xác định được thông tin nào được coi là TTCN Trong thời đại thông tin, định nghĩa rộng về TTCN theo hướng quy định của EU là phù hợp hơn

cả Bởi dưới sự hỗ trợ của các công nghệ phân tích trong thời kỳ cách mạng công nghiệp 4.0, một cá nhân cụ thé có thé được liên kết với các số nhận dạng trực tuyến

được cung cấp bởi các thiết bị, ứng dụng, công cụ Dia chi IP, ID hay cookies khi két

'3 ID là viết tắt của từ identification, là một dãy mã số hoặc chữ số để nhận dạng và xác định danh tính của mộtngười cụ thể trên một hệ thống thông tin nhất định Tùy thuộc vào từng hệ thống thông tin mà mỗi cá nhân được

yêu cầu cung cấp các thông tin khác nhau cho ID Một số thuật ngữ phổ biến liên quan đến ID thường gặp như:Thẻ ID (Visa, thẻ ATM, thẻ căn cước công dân, ), User ID (Tài khoản email, tài khoản mạng xã hội, tài khoảntrò chơi điện tử, ).

! Địa chỉ IP (IP viết tắt của từ Internet Protocol) là số định dạng cho một phần cứng mạng, các thiết bị sử dụngđịa chỉ IP để liên lạc với nhau qua mạng.

'5 Cookie là một tệp được tự động tạo ra trong máy tính Mỗi khi người dùng truy cập vào một trang web nào đó,

cookie sẽ lưu lại thông tin duyệt web, duy trì trạng thái đăng nhập, ghi nhớ các tùy chon mà người dùng đã thực

hiện trên trang web và cung cấp nội dung phù hợp với vị trí của người dùng.

hợp với các thông tin gốc đã được định danh khác trong máy chủ có thể tạo được hồ sơ xác định danh tính của một người cụ thé.

1.1.3 Khái niệm thông tin cá nhân của người tiêu dùng

TTCN là bat kỳ thông tin nào để xác định được hay có thé xác định được danh

tính của cá nhân đó NTD là cá nhân mua, sử dụng hàng hóa, dịch vụ cho các mục đích

không phải thương mại, nghề nghiệp TTCN của NTD theo đó được hiểu là bất kỳ thông tin nào để xác định được hay có thé xác định được danh tính của NTD đó Do đó, loại TTCN này mang các đặc trưng do quan hệ thương mại mang lại Cụ thé:

Thứ nhất, các loại TTCN của NTD được các doanh nghiệp thu thập rất đa dạng Để thực hiện giao dịch, NTD và doanh nghiệp phải cung cấp các thông tin cần thiết cho nhau Đối với NTD, các thông tin mà NTD thường xuyên cung cấp khi tham gia các giao dịch như: thông tin về địa chỉ nhà riêng, số điện thoại, hồ sơ y té, tai khoan email, số tài khoản ngân hang, số chứng minh thư/căn cước công dan, Ngoài các thông tin tối thiêu đó, NTD thường được khuyến khích cung cấp nhiều thông tin khác về mình hơn, kể cả những thông tin “nhạy cảm” (sensitive information) như nghề nghiệp, tình trạng bệnh tật, thông số hình thể, địa vị xã hội, hoặc các thông tin không gan với việc xác định danh tinh của NTD nhưng cũng rất được các doanh nghiệp quan tâm như: thói quen cá nhân, thói quen mua sắm nhằm giúp các doanh nghiệp cung cấp được hàng hóa dịch vụ phù hợp nhất với nhu cầu của khách hàng Trong thời đại

cách mạng công nghiệp 4.0, với sự hỗ trợ công nghệ, các loại TTCN của NTD được

doanh nghiệp thu thập ngày càng da dang hơn nữa Bao gồm các dữ liệu thu thập được

từ hoạt động tương tác của NTD với các trang web, ứng dụng, mạng xã hội, của

doanh nghiệp; các dữ liệu chỉ tiết về lịch sử các giao dịch mua hàng, thông tin sử dụng sản phẩm (mức độ lặp lại của việc mua một mặt hàng nhất định, phản hồi của khách hang, ), thậm chi cả các dữ liệu định tính như thông tin di chuyên của con chuột máy

Thứ hai, TTCN của NTD được thu thập với nhiều cách thức khác nhau Trong đó, có thé khái quát ba cách cơ bản: (i) hỏi trực tiếp khách hàng, (ii) gián tiếp theo dõi khách hàng và (iii) kết hợp các nguồn dữ liệu khác của khách hàng với nguồn dữ liệu gốc sẵn có Ngay từ khi chưa có sự xuất hiện của TMĐT, với các thức giao dịch truyền thống tại các cửa hàng, các nhân viên cửa hang đã có những cách thức thu thập dữ liệu về các mẫu mua của khách hàng và gửi cho họ các danh mục mẫu mã sản phẩm dựa trên các lần mua trước Các nhà bán lẻ như siêu thị, cửa hàng bách hóa, ké từ những năm 1980 đã “ghi nhớ” thói quen mua sắm của khách hàng bằng cách liên kết với mã

vạch trên thẻ “khách hàng thân thiết” của khách hàng khi thanh toán Dù vậy, hầu hết các nhà bán lẻ thời đó không tìm hiểu chi tiết về khách hàng của họ hay cố gang “theo

dõi” mọi thông tin liên quan của khách hang'® Trong thời đại công nghệ, TTCN của

NTD có thé được thu thập từ mọi ngóc ngách, từ trang web NTD truy cập, mang xã hội, điện thoại di động, camera trong cửa hàng, đồng hồ điện tử đeo tay,

Thứ ba, TTCN của NTD được xử lý cho nhiều mục đích khác nhau.

Một là, để cải thiện trải nghiệm của khách hàng Bằng cách phân tích các hành vi, đánh giá, phản hồi của khách hang, các doanh nghiệp có thé nhanh chóng cải thiện sản phẩm, dich vụ cung cấp cho NTD.

Hai là, dé tinh chỉnh chiến lược tiếp thị của doanh nghiệp, các TTCN của NTD có thê được thu thập về dé phân tích cách NTD tương tác và phản hồi với các chiến dịch truyền thông của doanh nghiệp Từ đó, giúp doanh nghiệp có những điều chỉnh phù hợp về tiếp thị Các doanh nghiệp hiện nay thường hướng đến mục tiêu cá nhân hóa trong tiếp thị Ví dụ, NTD tìm kiếm một hàng hóa cụ thể trên Google thì ngay sau đó sẽ nhận được các quảng cáo tiếp thị về sản phẩm đó ở các trang web khác họ truy cập hoặc trên mạng xã hội Việc tiếp thị này sẽ liên tục hiển thị đến khi các công cụ phân tích dit liệu của doanh nghiệp nhận được các kết luận mới về hành vi và tương

tác cua NTD.

Ba là, doanh nghiệp thu thập và xử ly TTCN của NTD dé tim kiếm lợi nhuận Đối với các doanh nghiệp có lưu trữ lượng lớn TTCN của NTD, điển hình là các doanh nghiệp hoạt động TMDT, lượng dữ liệu này có thé trở thành dòng doanh thu lớn nếu doanh nghiệp bán TTCN của NTD cho các nhà quảng cáo Đây là mục đích mà doanh nghiệp thường không công khai hoặc cố gắng phủ nhận Tuy nhiên, khi nhu cầu về dit liệu ngày càng gia tăng, thị trường mua bán TTCN của NTD luôn tồn tại và là van dé lo ngại đối với NTD.

Bốn là, TTCN của NTD được doanh nghiệp sử dụng như một công cụ bảo mật Các thông tin như dau vân tay, giọng nói, nhận dạng khuôn mặt, có thể được sử dụng dé gia tăng tính bao mật khi sử dụng sản phẩm dịch vụ của NTD.

'6 Joseph Turow (2018), Americans and Marketplace Privacy: Seven Annenberg National Surveys in

Perspective, in trong cuôn: The Cambridge Handbook of Consumer Privacy, edited by Evan Selinger,Cambridge University Press, tr 151.

Tóm lại, TTCN của NTD là tập hợp tất cả các đữ liệu về NTD do nhà cung cấp

hàng hóa, dịch vụ thu thập và quản lý trong quá trình thực hiện giao dịch với khách

hàng, qua khảo sát hoặc qua phân tích với sự hỗ trợ của công nghệ.

1.1.4 Khái niệm thương mai điện tir

Sự phát triển và bùng nỗ của hệ thống mạng Internet và công nghệ thông tin đã tạo nền tang cơ sở cho sự ra đời của TMĐT, đánh dau những thay đổi đáng kinh ngạc trong hoạt động thương mại trên toàn cầu Thuật ngữ “Thương mại điện tử” trong tiếng Anh là “electronic commerce” (viết tat là e-commerce), thé hiện bản chất của TMĐT được công nhận rộng rãi đó là sự kết hợp của hai yếu tổ “thương mại” (“commerce”) và điện tử (“electronic”) Nói cụ thé hơn, TMĐT được hiểu là một lĩnh

vực mà các hoạt động thương mại được hỗ trợ bởi các phương tiện, công cụ điện tử.

Tuy nhiên, ngay chính định nghĩa của hai yêu tố này không hoàn toàn thống nhất do những quan niệm khác nhau về phạm vi và quy mô của chúng,! vì vậy cũng chưa có một khái niệm chung trên toàn thế giới về TMĐT Trong lĩnh vực pháp luật, có hai định nghĩa chính về TMĐT được ghi nhận đó là TMĐT theo nghĩa rộng và theo nghĩa

Theo nghĩa rộng, TMĐT là toàn bộ các hoạt động thương mại được thực hiện

thông qua các phương tiện điện tử nói chung như fax, điện thoại, các hệ thống máy tính kết nối với nhau thông qua mạng lưới như Internet Đây là định nghĩa được ghi nhận tiêu biểu trong Luật mẫu của Ủy ban Luật Thương mại Quốc tế của Liên hợp quốc (UNCITRAL) về TMĐT năm 1996 và Sáng kiến của Châu Âu về TMĐT Trong Luật mẫu của UNCITRAL về TMĐT, TMĐT là việc sử dụng “thdng tin dưới dang một thông điệp dữ liệu trong khuôn khổ các hoạt động thương mại ”.'Š Thông điệp dit liệu chính là phần nội dung, cốt lõi được trao đổi thông qua các phương tiện điện tử nói chung cho thay phạm vi và quy mô rộng lớn của yếu tố “điện nr” trong TMĐT chứ không phải chỉ thông qua một số phương tiện điện tử nhất định nào Tương tự như quy định của Luật mẫu, Ủy ban Châu Au cũng nêu ra thuật ngữ “di liéu điện tir” cho thấy phạm vi bao trùm của “điện tử” trong TMBT!’ Các hoạt động thương mai sẽ được thực hiện dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng chữ, âm thanh

và hình ảnh Có thể kết luận rằng, TMDT hiểu theo nghĩa rộng là việc toàn bộ các hoạt M7 Hoàng Thị Phương Thao (Chủ biên), Nguyễn thi Bich Trâm, Ngô Thi Phương Anh, Nguyễn Thi Hanh (2016),

Thương mại điện tử, Nxb Lao động, 2016, tr.2.

'8 1 uật Mẫu của UNCITRAL về Thương mại điện tử năm 1996, Điều 1.

Lễ Sáng kiến của Châu Âu về Thương mại điện tử, Phần I - Cuộc cách mạng TMĐT.

động tài chính và thương mại được thực hiện nhờ cơ sở dữ liệu được truyền tải thông

qua tất cả các phương tiện điện tử chứ không chỉ qua hệ thông mạng Internet Không thé phủ nhận tinh bao trùm, tổng quát van đề của định nghĩa này vì thực tiễn đây là một hoạt động có phạm vi rộng lớn va có tốc độ phát triển nhanh chóng Theo định nghĩa này, TMĐT không phải là van dé mới mẻ và đã tồn tại từ rat lâu với sự ra đời sơ

khai của những phương tiện như telex, fax ”

Theo nghĩa hẹp, hoạt động thương mại trong TMĐT được thực hiện trong một

phạm vi cụ thể hơn đó là mạng Internet Một số tô chức quốc té trong đó nôi bật là Tổ chức Thương mại Thế giới (WTO) và Tổ chức Hợp tác và Phát triển Kinh tế (OECD) đã ghi nhận định nghĩa TMĐT theo xu hướng này Định nghĩa về TMĐT đơn giản nhất được WTO đưa ra đó là: “TMDT bao gôm việc sản xuất, quảng cáo, ban hang và phân phối sản phẩm được mua bán và thanh todn trên mang Internet nhưng duoc giao một cách hữu hình và cả các sản phẩm được giao nhận như những thông tin số hóa

thông qua mạng Internet ”.?' Thương mại ở trong định nghĩa này đã có phạm vi hep

xoay quanh việc sản xuất, mua bán và thanh toán sản pham và dựa trên phương tiện điện tử là mang Internet Theo OECD, “Thwong mại điện tử liên quan đến các giao dich thương mại trao đổi hàng hóa và dich vụ giữa các nhóm (cá nhân) mang tinh điện tử chủ yếu thông qua các hệ thống có nên tảng dựa trên Internet” Các phương tiện thông tin liên lạc bao gồm email, EDI, Internet và Extranet được dùng để hỗ trợ

TMDT Như vậy, định nghĩa theo nghĩa hep đã thu nhỏ phạm vi và quy mô của

“thương mại” và “điện tử” trong đó nhẫn mạnh Internet như nền tang chủ chốt cho các hoạt động TMĐT được diễn ra chứ không đề cập đến các phương tiện điện tử khác như điện thoại, fax Đây là định nghĩa xuất hiện sau và bắt đầu phô biến những năm gan đây ghi nhận vai trò to lớn cua Internet đối với TMĐT, tạo ra một cuộc cách mạng

thay đôi cách thức mua săm của con người.

Trong hệ thống pháp luật nước ta, cũng chưa có một định nghĩa chính xác, cụ thé cho thuật ngữ TMĐT Tuy nhiên, Nghị định số 52/2013/NĐ-CP của Chính phủ ngày 16/05/2013 về TMĐT đã đưa ra định nghĩa về hoạt động TMDT tại khoản 1 Điều 3 như sau: “Hoạt động thương mại điện tử là việc tiễn hành một phần hoặc toàn bộ quy trình của hoạt động thương mại bằng nhiều phương tiện điện tử có kết noi với mang Internet, mang viễn thông di động hoặc các mạng mở khác ” Có thể nhận thấy, quan điểm này của pháp luật Việt Nam có những điểm tương đồng với định nghĩa rộng

? Ao Thu Hoài (Chủ biên), Nguyễn Viết Khôi (2015), Thương mại điện tử, Nxb Thông tin và Truyền thông, tr.

*1 Mare Bacchetta (1998), Thương mại điện tử và vai trò của WTO, WTO Publication, tr 1.

của TMĐT khi không giới hạn phạm vi của các hoạt động thương mại hay chi tập

trung vào nén tang Internet.

Trong bối cảnh thực tiễn hiện nay, các phương tiện điện tử đã tiếp tục của những bước phát triển vượt bậc Ngoài sự thống lĩnh của Internet trên thị trường, những hình thức mua bán thanh toán qua mạng di động cũng bắt đầu xuất hiện và có những bước tiến lớn (điển hình như dịch vụ thanh toán qua mạng Viettel trong cơ sở hạ tầng, kinh tế của Việt Nam) hay trong tương lai gần cũng sẽ nhanh chóng xuất hiện các phương tiện mới hơn nữa Chính vì vậy, định nghĩa theo nghĩa rộng vẫn cho thấy ưu thé vi tính bao trùm và có thé dự liệu thực tế Do đó, thông qua các phân tích trên, chúng tôi xin đưa ra định nghĩa về TMĐT như sau: “Thuong mại điện tử là việc tiễn hành một phan hoặc toàn bộ quy trình của hoạt động thương mại thông qua các phương tiện điện tử có kết nối với mang Internet, mạng viễn thông di động, các mang

mở khác `.

1.1.5 Sự can thiết bảo vệ thông tin cá nhân của người tiêu dùng trong thương mai

điện tử

1.1.5.1 Quyên riêng tw đối với thông tin cá nhân của người tiêu dùng

Quyền được bảo vệ TTCN của NTD được tiếp cận dưới góc độ bảo vệ quyền riêng tư của con người Quyền riêng tư là quyền cơ bản của con người Sự riêng tư có hai chức năng chính đó là giải phóng con người khỏi sự xâm phạm về mặt vật lý (Freedom from Physical access) và thúc đây độc lập trong hành động (Promoting

Liberty of action) Thông qua việc ngăn chặn các hành vi xâm phạm tới một cá nhân,

sự riêng tư tách cá nhân khỏi sự phân tâm va các yếu tổ cản trở nảy sinh từ việc tiếp xúc với người khác Chỉ khi có được sự tập trung trong không gian cá nhân cả về mặt vật chat lẫn tinh thần, các hoạt động như học tập, sáng tác, hay các hoạt động sáng tạo

khác của cá nhân mới đạt được hiệu quả Những hoạt động này không chỉ g1úp cá nhân

trang bị thông tin, kiến thức và kỹ năng cơ bản, hơn thế nữa còn giúp phát triển năng lực tinh thần và dao đức, giúp cá nhân có được sự tự chủ và sức mạnh tinh thần cho riêng mình Giới hạn sự tiếp cận từ bên ngoài cũng cho phép mỗi cá nhân có được phút

thánh thoi (relax) va bảo vệ những mối quan hệ, những khía cạnh nhạy cảm của đời

sông cá nhân Sự riêng tư còn bảo vệ chúng ta khởi sự chỉ trích và thói tò mò để có thé

trở nên mạnh dạn hơn, thúc đây tự chủ cá nhân và cả các môi quan hệ giữa người với

người Đôi với xã hội, bảo vệ sự riêng tư của cá nhân là cân thiệt cho một xã hội dân

chủ bởi nó thúc đây sự tự chủ của mỗi công dan.”

Xuất phát từ lịch sử ra đời và phát triển của tư tưởng về quyền riêng tu, dé thay được rang, dù ở thời kì nào, con người cũng có nhu cầu được bảo vệ quyên riêng tư và nhu cầu này luôn tăng lên cùng với sự phát triển của xã hội Ngay từ hình thái xã hội chiếm hữu nô lệ, quyên riêng tư đã được thai nghén trong các quy định pháp luật, tôn

giáo, hay những học thuyết khoa học xã hội Chang hạn như, triết hoc của Aristotle

(384-322 TCN) có đề cập đến sự phân chia giữa không gian của những hoạt động

chính trị (gọi là Polis) và không gian cá nhân (gọi là Oikos) Tuy nhiên, trong thời kỳ

này, quyền riêng tư chỉ dừng lại ở nhận thức về sự bảo vệ đối với tài sản hữu hình, tính mạng, sức khỏe của cá nhân chứ chưa đề cập đến việc bảo vệ những giá trị vô hình như sở hữu trí tuệ, danh dự, nhân phẩm và thương tôn vật chất Đến thời Trung cô, với sự phát triển của giao thương và chủ nghĩa tư bản, những nên tảng vật chất, xã hội thời này đã tạo cơ sở cho sự mở rộng tư tưởng của con người về quyên riêng tư, phạm vi quyền riêng tư lúc bấy giờ không chi là riêng tư về mặt vật chất mà cả về mặt tinh thần Cho tới những năm 40 của thế kỷ 20, tư tưởng quyên riêng tư của con người mới bước vào giai đoạn phát triển cực thịnh Điều 12 Tuyên ngôn thế giới về nhân quyền (UDHR) năm 1948 và Điều 17 Công ước quốc tế về các quyền dân sự và chính trị đã khang định: “ Không ai bị can thiệp một cách tùy tiện hoặc bat hợp pháp vào đời sống riêng tư, gia đình, nhà ở, thư tín, hoặc bị xâm phạm bất hợp pháp đến danh dự và uy tín Mọi người déu có quyền được pháp luật bảo vệ chong lại những can thiệp hoặc xâm phạm như vậy”?3 Theo đó, đời sống riêng tư, gia đình, nhà ở, thư tín của con người là bất khả xâm phạm và những hành vi xâm phạm tùy tiện, bất hợp pháp đều bị ngăn chặn Có thé thay, quyền riêng tư là một quyền cơ bản và vô cùng quan trọng với con người Chỉ khi tồn tại quyền riêng tư, con người mới được bảo toàn giá trị cá nhân một cách toàn diện, được tự do phát triển, sang tạo trong không gian riêng của mình.

Đối với TTCN, từ khi khái niệm đời sống riêng tư ra đời, quyền riêng tư đối với TTCN mới thật sự được thể hiện rõ nét Bởi lẽ, định nghĩa “đời sống riêng tư” là một phạm vi rất rộng, bao hàm tất cả những gì thuộc về cá nhân, do cá nhân kiểm soát, trong đó có TTCN Bởi vậy, cũng như đời sống riêng tư, không ai có quyền can thiệp một cách tùy tiện và bat hợp pháp đối với TTCN của người khác mà không có sự đồng

ý của người đó, trừ khi pháp luật có quy định trong những trường hợp đặc biệt vì mục

2 Ruth Gavision (2012), Privacy and the Limit of the law, tr 444 — 445.

23 Khoa Luật Đại hoc quốc gia Hà Nội (2012), Giới thiệu Công ước quốc tế về các quyén dân sự và chính tri

(ICCPR, 1966), NXB Hồng Đức, Hà Nội, tr.255.

đích công TTCN của NTD là một khía cạnh của TTCN nên việc bảo vệ TTCN cua

NTD chính là thực thi quyền riêng tư của con người.

1.1.5.2 Kha năng xay ra hành vi xâm phạm thông tin cá nhân người tiêu dùngtrong thương mai điện tử

TMDT là một phương thức giao dịch tiện ich cho cả NTD và doanh nghiệp, tuy

nhiên đi cùng với nó là những rủi ro về an toàn TTCN Bởi lẽ, TMĐT là phương thức giao dịch gan VỚI VIỆC truyền dẫn dữ liệu điện tử - dạng thức lưu trữ TTCN của NTD. Như đã khăng định về vai trò của TTCN của NTD trong thương mại, TTCN của NTD

là “mặt hàng” có giá trị được săn lùng không chỉ bởi các doanh nghiệp mà còn bởi các

tội phạm công nghệ Do đó, cần có các biện pháp đảm bảo an toàn TTCN trước các rủi

ro tân công an ninh mạng.

Bên cạnh đó, một thực trạng đặt ra là những thương nhân có quyền thu thập

thông tin NTD khi tham gia hoạt động TMĐT lại thường hướng tới mục đích lợi

nhuận của riêng bản thân mình nên việc đầu tư cho công tác bảo mật thông tin khách

hàng dường như ít được quan tam Thậm chí, đôi khi TTCN của NTD trở thành một

món hàng hóa có thé sinh lợi thì các chủ thé dang nam giữ nó sẵn sàng trao đổi, mua bán, chia sẻ thông tin đó mà không hề quan tâm tới quyền lợi của NTD Ngược lại, NTD thường ở vi trí yếu thé trong mối quan hệ với các t6 chức, cá nhân kinh doanh, đặc biệt khi chịu sự chi phối của yếu tố công nghệ thì sự bất cân xứng về thông tin,

hiểu biết, trình độ khoa học kĩ thuật giữa các bên càng rõ nét hơn dẫn đến NTD không

thé tự mình kiểm soát một cách trọn vẹn những thông tin mình đã cung cấp Bởi vậy, việc đặt ra van đề bảo vệ TTCN của NTD trong TMDT là vô cùng cần thiết.

1.1.5.3 Bao vệ thông tin cá nhân của người tiêu dùng tao động lực cho sự phat

triển của hoạt động thương mại điện tử

NTD là một nhân tố rất quan trọng đối với sự phát triển của hoạt động thương mại, là đối tượng hướng tới của mọi doanh nghiệp Nhu cau, sở thích của NTD chính là động cơ thúc day sự cạnh tranh giữa các doanh nghiệp Sự thành bai của doanh nghiệp phụ thuộc vào mức độ tin dùng của NTD đối với doanh nghiệp đó Hoạt động

TMĐT cũng không phải là một ngoại lệ, lượng cá nhân tham gia TMDT càng lớn thì

mức độ xã hội hóa càng cao Điều này tạo ra một thị trường rộng lớn cho các doanh nghiệp, thúc day doanh nghiệp lựa chọn TMĐT làm kênh phân phối sản phẩm của mình Bởi vậy, NTD chính là động lực phát triển cho hoạt động TMDT.

Để thu hút NTD tham gia hoạt động TMĐT, ngày nay, các doanh nghiệp thường sử dụng đến một phương pháp được coi là rất hữu ích và cũng ít tốn kém nhất, đó là khai thác chính TTCN của NTD để tiếp cận và duy trì quan hệ với NTD Phương pháp này xuất phát từ vai trò của TTCN NTD trong hoạt động thương mại nói chung

và trong hoạt động TMDT nói riêng.

Trong hoạt động TMDT, điểm đặc thù trong việc thu thập va sử dụng TTCN NTD là sự can thiệp của yếu tố công nghệ trong suốt quá trình này TMĐT là phương

thức giao dịch gan VỚI VIỆC truyền dẫn di liệu điện tử và TTCN của NTD thì được lưu

trữ dưới dạng dữ liệu điện tử Do đó, TTCN của NTD thường xuyên được thu thập, sử

dụng không chỉ với mục đích phục vụ cho giao dịch hiện tại mà còn được lưu trữ dé phục vụ cho các giao dich trong tương lai Cụ thé, các doanh nghiệp ngày nay thường chú trọng đến việc xây dựng và khai thác dit liệu khách hàng, với tên gọi “quản ly

quan hệ khách hàng” (hay Customer relationship management — CRM) Thông qua

CRM, các doanh nghiệp tiếp cận và giao tiếp với khách hàng một cách có hệ thống và hiệu quả nhằm phục vụ khách hàng tốt hơn để duy trì mối quan hệ với khách hàng, lôi kéo khách hàng cũ trở lại, giảm chi phí tiếp thị và mở rộng dịch vụ khách hàng Bằng việc dò tìm, phân tích dữ liệu, doanh nghiệp có thé xác định danh sách khách hàng tiềm năng và lâu năm dé dé ra chiến lược chăm sóc khách hàng hợp lý Với sự hỗ trợ

của các xu hướng công nghệ mới mà cuộc Cách mạng công nghiệp 4.0 mang lại,

những bộ chip phân tích, xử lý dữ liệu hiện đại đã được thiết kế dé trích xuất ra những suy luận và tương quan ấn hoặc không thé đoán trước được từ các thông tin mà NTD thậm chí không cung cấp nhưng lại được tiết lộ thông qua các kênh khác (information externalities22) Chang hạn như thông qua thông tin về nơi ở của khách hang có thé dự đoán điều kiện kinh tế của khách hàng, từ tên của khách hàng có thé suy ra chủng tộc, Bằng hệ thống phân tích dữ liệu lớn và trí tuệ nhân tạo, những công việc này có thé được thực hiện trong thời gian tính theo đơn vị giây và trả lại những kết quả đáng kinh ngạc Một khi doanh nghiệp có được thông tin của NTD, kết hợp với những bộ xử lý hiện đại này thì việc tìm kiếm khách hàng tiềm năng là vô cùng đơn giản, việc mở rộng thị phan từ đó cũng trở nên dé dàng Việc quản ly tốt quan hệ khách hang cũng giúp cải thiện mối quan hệ giữa khách hàng với nhân viên khi khách hàng cảm thay mình luôn được quan tâm Từ đó, doanh nghiệp có thé nhanh chóng củng cố, mở

24 “Information externalities” là thuật ngữ tiếng Anh chỉ những thông tin được công khai do một số người tiết 16thông tin về người khác Ví dụ: Cảnh sát biết rằng tên tội phạm gây án thuận tay trái, hai trong ba tên tội phạm

tình nghi là người thuận tay phải, vậy tên còn lại khả năng cao chính là tên tội phạm cảnh sát đang tìm kiếm,cảnh sát năm được điều này ngay cả khi tên còn lại đó không công khai bất cứ thông tin gì Xem thêm: MarkMacCarthy (2011), New Directions in Privacy: Disclosure, Unfairness and Externalities, //S: A journal of lawand policy for the Information Society, vol.6, no.3.

rộng việc kinh doanh của minh mà không cân tôn kém quá nhiêu chi phí, vừa dat được

sự hài lòng của khách hàng, vừa đạt được lợi nhuận tối đa trong kinh doanh.

Với tầm quan trọng đó, TTCN của NTD đang dần trở thành một “mặt hàng kinh tế” vô cùng có giá trị với doanh nghiệp Tuy nhiên, song song với điều này lại là những mối lo lang rất lớn với NTD bởi sự lạm dụng TTCN từ chính doanh nghiệp và sự xâm phạm của những chủ thể khác trong môi trường mạng mà NTD khó có thể kiểm soát Theo đánh giá của các doanh nghiệp trong ân phẩm Sách trang TMĐT của Cục TMĐT và Kinh tế số qua các năm, việc khách hàng lo ngại TTCN bị tiết lộ, mua

ban là một trong những khó khăn, trở ngại khi vận hành website TMDT Nguyên nhân

xuất phát từ việc trong môi trường mua sắm trực tuyến, việc tạo dựng lòng tin với NTD thường khó khăn hơn do đây là môi trường mua sắm với các yếu tô đặc thù như: tinh bất định, tính ân danh, sự phức tạp và rủi ro tiềm tàng từ các yếu tố công nghệ Doanh nghiệp bán hàng trực tuyến không thê kiểm soát trực tiếp niềm tin của khách hàng mà chỉ có thể xây dựng niềm tin thông qua việc tạo ra một môi trường giao dịch khiến khách hàng cảm thấy tin tưởng Vì trong TMĐT, việc thu thập TTCN là yêu cầu bắt buộc thiết yếu nên chỉ băng cách xây dựng các hệ thống trao đổi đữ liệu an toàn, hiệu quả và đáng tin cậy, doanh nghiệp mới có thê xóa bỏ những lo ngại của NTD khi tham gia TMĐT, khuyến khích NTD sử dụng phương thức giao dịch tiện ích này Như vậy, có thể khăng định rằng, bảo vệ TTCN của NTD chính là tạo động lực cho sự phát triển của hoạt động TMĐT.

1.1.6 Những phương thức cơ bản bao vệ thông tin ca nhân của người tiêu dùng

Các phương thức bảo vệ TTCN của NTD đều hướng tới việc điều chỉnh trách nhiệm của các chủ thể trong việc thu thập, khai thác cơ sở dữ liệu TTCN một cách đàng hoàng, chính đáng, tôn trọng quyền con người và tôn trọng pháp luật mà không tạo ra các rào cản bat hợp lý đối với việc trao đôi thông tin, qua đó thúc đây kinh tế phát triển Khái niệm “Những hoạt động thông tin đúng mực” (Fair Information Practices - FIPS) xuất hiện lần đầu tiên trong Báo cáo của Ủy ban cé van ngoại trưởng về hệ thống dữ liệu cá nhân tự động vào năm 197375 Một số nguyên tắc về hoạt động

thông tin đúng mực (Fair Information Practice Principles - FIPPS) được đưa ra bao

gồm những yêu câu về nội dung như: mục đích, giới hạn, chất lượng thu thập thông tin; va thủ tục thông tin như trình tự truy cập va chấp thuận xử lý thông tin Các nguyên tắc này sau đó đã được sử dụng rộng rãi trong pháp luật bảo vệ quyền con

?Š Ngô Vĩnh Bạch Dương (2019), “Bảo vệ thông tin người tiêu dùng”, Tạp chí Lập pháp, 3, tr.22.

người và tiếp tục phát triển Trong đó, có bản Hướng dẫn của OECD năm 1980, đã được cập nhật năm 2013 với tắm nguyên tắc cơ bản về bảo vệ đữ liệu vẫn giữ được sự hợp lý đối với bối cảnh hiện nay Việc xây dựng một bộ nguyên tắc về bảo vệ đữ liệu chính là co sở để các cơ quan quản lý nhà nước, các t6 chức và các doanh nghiệp nghiên cứu, xây dựng cơ chế, chính sách và các biện pháp bảo vệ dữ liệu cá nhân một cách có định hướng và thống nhất.

Các biện pháp bảo vệ TTCN của NTD gồm: (i) Biện pháp tự bảo vệ của NTD; (ii) Biện pháp pháp lý và (iii) Biện pháp tô chức.

Thứ nhất là biện pháp tự bảo vệ của NTD Đây được xem là biện pháp đơn giản, tốn ít chi phí và đem lại hiệu quả cao nếu NTD có ý thức về việc tự bảo vệ dit

liệu cá nhân của mình Pháp luật đã tăng cường sức mạnh tự bảo vệ cho NTD thông

qua việc ghi nhận các quyền cơ bản của chủ thể dữ liệu với TTCN của chính mình GDPR của EU là văn bản có hệ thống các quy định về quyền của chủ thể dit liệu rất cụ thé, bao gồm: Quyền được biết ai xử lý thông tin, xử ly các thông tin nào và mục dich xử lý là gi, lưu trữ thông tin trong bao lâu, (right to be informed); Quyền truy cập dit liệu; Quyền từ chối; Quyền chỉnh sửa thông tin; Quyền xóa thông tin (hay còn gọi là “quyền được lãng quên”); Quyền chuyền giao dir liệu (right to data portability); NTD cần năm được các quyền của mình dé có thể kiểm soát hiệu quả đữ liệu của mình khi tham gia vào các giao dịch Khi có ý thức về quyền và về giá trị của TTCN của chính mình, NTD sẽ có ý thức thận trọng hơn khi cung cấp TTCN của mình, lựa chọn doanh

nghiệp có chính sách bảo mật rõ ràng, nâng cao trình độ công nghệ của bản thân và tựtin hơn trong việc khiêu nại, khởi kiện khi các quyên của mình bị xâm phạm.

Thứ hai là biện pháp pháp lý, đây là các biện pháp xây dựng hệ thống chính sách, thé chế bao gồm các văn bản quy phạm pháp luật ghi nhận các quyền và nghĩa vụ của NTD, của các nhà cung cấp hàng hóa, dịch vụ, các nhà cung cấp dịch vụ mạng và các chủ thể khác; quy định về các cơ chế đảm bảo thực thi như quyền và thủ tục khởi kiện, khiếu nại, thanh tra, giám sát Các biện pháp pháp lý nhằm đưa ra các quy tắc hành vi của các chủ thể trong quá trình thu thập, lưu trữ, xử lý, chuyền giao hay tiết lộ TTCN của NTD Các quy tắc hành vi này vừa có vai trò hướng dẫn, vừa có vai trò đánh giá, kiểm tra hiệu quả thực thi pháp luật.

Thứ ba là biện pháp tô chức, bao gồm các biện pháp nâng cao năng lực của

NTD, nâng cao trách nhiệm của thương nhân và năng lực của các cơ quan nhà nước.

Cụ thể là các biện pháp nhằm nâng cao năng lực ứng dụng công nghệ, đây mạnh nghiên cứu, phát triển nguồn nhân lực, tuyên truyền, đào tạo, tập huấn trong việc bảo

vệ TTCN của NTD.

1.1.7 Tác động của Cách mạng công nghiệp 4.0 đến van dé bảo vệ thông tin cá

nhân của người tiêu dùng

Cách mạng công nghiệp 4.0 được giới thiệu lần đầu tiên tại Hội nghị Hannover tại Đức năm 2011 với ý tưởng tập trung phát triển máy móc và hệ thống sản xuất có thé hoạt động mà không phụ thuộc vào sức lực của con người?5 Ngay sau đó, các nhà nghiên cứu và các công ty Châu Âu đã nhanh chóng đầu tư công sức để từng bước hiện thực hóa nền công nghiệp 4.0 Sự ra đời của Công nghiệp 4.0 tại Đức đã thúc đây các nước tiên tiễn khác như Hoa Kỳ, Nhật, Trung Quốc, Ấn Độ phát triển các chương trình tương tự nhằm duy trì lợi thế cạnh tranh của mình Mặc dù mục đích của Công nghiệp 4.0 đã trở nên rõ ràng khi các quốc gia, công ty đều muốn tạo ra một nền tảng trao đôi thông tin nhanh chóng, kiểm soát tích hợp sản xuất sản phâm và cho phép máy móc hoạt động đồng bộ và tương tác thông minh, những nhà nghiên cứu khác nhau lại đưa ra những quan điểm khác nhau về định nghĩa thực chất của Cách mang 4.027 Tuy nhiên, hầu hết các quan điểm này đều có những điểm tương đồng với khái niệm chung rằng “Cách mạng công nghiệp 4.0 là sự kết hợp của của các yếu tô cốt lỗi như hệ thong không gian mạng thực - ảo (Cyber-Physical system), Internet kết nối vạn vật

(Internet of Things) và Internet của các dich vụ (Internet of Services) "2Š.

Trong kỷ nguyên của Cách mạng Công nghiệp 4.0, sự ra đời của Big Data đã dé

lại sự tác động to lớn trong lĩnh vực bảo mật thông tin “Big Data” là thuật ngữ dành

cho những ứng dụng sử dụng một số lượng thông tin rất lớn trong đó bao gồm cả TTCN được phân tích dé thu thập những kiến thức, sau đó được sử dung dé cung cấp những ứng dụng cho các cá nhân, tổ chức hay đưa ra các quyết định tổng quan dựa trên những kiến thức đó Vì vậy, Big Data được xem như một quá trình bao gồm 3 giai

đoạn như sau: Thu thập, phân tích và ứng dụng (Hình 1)”?.

26 Ayse Goksu Oziidogru, Esra Ergiin, Djihane Ammari (2018), “How Industry 4.0 Changes Business: A

commercial Perspective”, International Journal of Commerce and Finance, Vol 4, Issue 1, tr 84-95.

27 Shu Ing Tay (2018), Lee te Chuan, A H Nor Aziati, Ahmad Nur Aizat Ahmad, “An Overview of Industry

4.0: Definition, Components, and Government Initiatives”, Jour of Adv Research in Dynamical & ControlSystems, Vol 10, 14-Special Issue, Table 1, tr 1381.

28 Klaus Schwab (2016), The Fourth Industrial Revolution, World Economic Forum 46".

ao Oostveen, M.A.A (2016), “Identifiability and the applicability of data protection to big data”, International

Data Privacy Law Journal, Volume 6, Issue 4, tr 299.

Hình 1 Quy trình xử lý thông tin của Big Data

Ở giai đoạn đầu tiên, các doanh nghiệp, tổ chức thu thập thông tin (cá nhân) TTCN có thê được lay truc tiép từ các cá nhân, vi du như các mang xã hội yêu cầu người dùng cung cấp thông tin cho họ hoặc cũng có thể thu thập từ các nhà môi giới

dữ liệu với mục đích kinh doanh chính là bán thông tin cho bên thứ ba Ngoài ra, thông

tin cũng có thé được lấy từ việc kết nối các bộ dit liệu sẵn có dé tạo ra những dữ liệu,

thông tin mới Đây chính là sự ưu việt của các công nghệ hiện đại trong thời kỳ Cách

mạng Công nghiệp 4.0 Cụ thể, với hệ thống IoT — Internet kết nối vạn vật và IoS — Internet kết nối các dịch vụ, tất cả các thiết bi, cam bién, dau doc va ung dung sé thu thập da dang các loại dữ liệu của các cá nhân tao ra một kho dữ liệu không lồ được kết nối với nhau Điều này không chỉ cho phép sự nhận dạng tự động các đối tượng mà còn có thể tự động định danh các cá nhân có liên quan đến các đối tượng đó”” Các thông tin được thu thập dựa trên các đối tượng định danh, dữ liệu cảm biến và khả năng kết nối của hệ thống ToT sẽ tiết lộ được các thông tin định danh cá nhân, các thông tin về đời tư như thói quen, sở thích, địa điểm của cá nhân đó Một nghiên cứu của Latanya Sweeney tại Đại học Caregie Mellon năm 2000 đã chỉ ra rằng 87% dân số Hoa Kỳ có thé được xác định danh tính khi phân tích kết hợp các thông tin bao gồm

giới tính, ngày sinh và zip code”!.

Trong giai đoạn thứ hai, thông tin được phân tích dé rút ra các đặc điểm, tinh chất; từ đó tạo ra các mô hình, dự đoán ví dụ như xác suất vỡ nợ khi thanh toán của các cá nhân, tô chức Các kĩ thuật sử dụng trong quá trình này có những sự thay đổi

3° Xem thêm các ví du tai: Gambs, S., Killijian, M-O., Cortez, M N del P (2011), “Show me how you move

and I will tell you who you are”, Transactions on data privacy, Volume 4, tr 103-126.

3! Latanya Sweeney (2000), Simple Demographics Often Identify People Uniquely, Data Privacy Working

Paper 3, tr 17.

lớn trong Cách mang công nghiệp 4.0”, đặc biệt là AI - Artificial Intelligence va

Machine learning AI, được dich ra thuật ngữ tiếng việt là ‘tri tué nhân tao” hay “tri thông minh nhân tạo”, mô tả một chuỗi các kỹ thuật máy tính cho phép máy móc thé hiện được năng lực nhận thức riêng như học tập, giải quyết van đề?3 Một trong những công cụ quan trọng để đạt được điều này đó là Machine learning, một kỹ thuật lập trình dạy máy tính học từ các ví dụ cụ thé sẵn có Tương tự như nhận thức con người, máy tính có thé phát hiện và khám phá ra những xu hướng, đặc tính từ các thông tin đầu vào khi chúng đã được học từ một lượng dữ liệu khong 16 ngoai thuc té ma không cần cài đặt các câu hỏi hay thuật toán trước đó Càng tiếp xúc với nhiều thông tin, vi dụ, các mẫu có sẵn trên thực tế; máy móc sẽ dần trở nên thông minh hơn trong việc tự rút điểm đặc trưng, những kiến thức ân sâu, những triết lý nằm trong các nhóm thông tin và có thé phân loại các đối tượng một cach dé dàng và chính xác Điều này đặt ra một yêu cầu quan trọng cho giai đoạn 1 của quá trình phân tích Big Data đó là phải thu thập các nhiều thông tin càng tốt.

Cuối cùng, các kiến thức, kinh nghiệm đó sẽ được ứng dụng và các quyết định

dựa trên thuật toán sẽ được tạo ra Dựa trên những mô hình, dự đoán hay các kinh

nghiệm, các cá nhân có thé được phân loại và chia nhóm thành nhóm khách hàng mục tiêu với từng loại quảng cáo khác nhau hay quyết định xem sản phẩm họ sẽ có hứng

thú và săn sàng trả tiên.

Điều quan trọng cần lưu ý đó là các quyết định dựa trên thuật toán được tạo ra không chỉ đơn thuần dựa trên thông tin (cá nhân) của khách hàng mục tiêu mà đăng sau quyết định đó là một lượng dữ liệu khổng 16 từ rất nhiều cá nhân và nhiều nguồn khác nhau, thậm chí là không liên quan đến nhóm khách hàng mục tiêu đó3“ Ngoài ra, đối với những nhóm người không phải là mục tiêu của doanh nghiệp nhưng những quyết định tổng quát cũng có thé ảnh hưởng tới cuộc sống của họ Một cá nhân có thé quyết định đồng ý hay không đồng ý tiết lộ một số thông tin của mình nhưng miễn là

= Custers, B (2013), Data Dilemmas in the Information Society: Introduction and Overview, in trong cuốn:

Discrimination and Privacy in the Information Society: Data Mining and Profiling in Large Databases, Nxb.Springer, tr 7.

33 Nguyên bản tiếng anh: “Artificial intelligence is a generic name for a variety of computational techniques that

allow machines to exhibit cognitive capacities”, Mark MacCarthy, “In Defense of Big Data Analytics”, in trong

cuốn The Cambridge Hanbook of consumer Privacy, 2018, tr 48 Tri thông minh nhân tao cũng không nhất thiếtphải bắt chước hay mô phỏng lại trí thông minh con người, nó được tạo ra như một nhánh của khoa học máy tinh

và tâm lý hoc, John McCarthy (1993), “Book review of B P Bloomfield, The Question of ArtificialIntelligence: Philosophical and Sociological Perspectives”, Annals of the History of Computing, Volume 10, No3.

aA Bakhoum, M., Gallego, B.C., Mackenrodt, M.-O., Personal Data In Competition, Consumer Protection and

Intellectual Property Law Towards a Holistic Approach?, Nxb Springer, tr 16.

những người khác sẵn sàng cung cấp các thông tin của họ cho các hệ thống dữ liệu không lồ, các nhà khoa học đữ liệu hoàn toàn có thé tạo ra các dự đoán chính xác các thông tin không được tiết lộ về cuộc sống của các cá nhân đó Ví dụ, công nghệ phân tích có thé tìm ra sự liên hệ chặt chẽ giữa thu nhập bình quân với giá mua nhà Vì giá mua nhà là thông tin công bố công khai, nên các công ty có thể sử dụng thông tin này đẻ dự đoán được mức thu thập bình quân của NTD Do đó, có thể kết luận rằng, trong thời đại công nghiệp 4.0, sự riêng tư hay sự bảo vệ TTCN là một van đề, một lợi ích

chung của toàn xã hội?°.

Với yếu tố cốt lõi là sự thu thập một SỐ lượng thông tin không 16 trên điện rộng

và sự tác động mạnh trong quá trình xử ly di liệu đến cuộc sống cá nhân của con

người như vậy, Big Data nói riêng và các công nghệ thời đại Cách mạng công nghiệp

4.0 đang tạo ra những thách thức lớn trong van dé bảo vệ sự riêng tư và thông tin của

các cá nhân khỏi sự xâm phạm, lạm dụng từ các doanh nghiệp công ty, đặc biệt tronglĩnh vực TMĐT như sau:

Thứ nhất, sự vượt trội của các công nghệ như: Big Data, Machine learning, AI, Cloud computing, the IoT v.v tạo động lực cho các doanh nghiệp, tô chức thu thập càng nhiều thông tin của NTD để kiếm lợi nhuận không lồ Cụ thé, lượng đữ liệu lớn cùng các thuật toán phân tích chính xác những xu hướng, đặc điểm của khách hàng chính là chìa khóa quan trọng dé đưa ra những chiến lược sản pham hop ly, chiếm lĩnh

thị trường, tăng khả năng cạnh tranh của doanh nghiệp Do đó, các doanh nghiệp sẽ

băng nhiều phương thức khác nhau sẽ thu thập nhiều thông tin nhất có thé Điều nay đã dẫn đến thực trạng thu thập TTCN của khách hàng khi chưa nhận được sự đồng thuận, thu thập từ các nguồn thứ cấp cụ thể là hiện tượng bán dữ liệu cá nhân của người dùng đang diễn ra phô biến Ngoài ra, như đã trình bay ở trên, với các đặc tính của các công nghệ hiện đại như sự kết nối các nguồn dữ liệu không lồ, các doanh nghiệp hoàn toàn có thê liên kết các thông tin ân danh với các thông tin công khai sẵn có dé xác định lại danh tinh của người chủ thông tin 4n danh ban đầu°5.

Thứ hai, các doanh nghiệp gặp nhiều khó khăn trong việc tuân thủ nghiêm ngặt mô hình truyền thống thông báo-và-lựa chọn (notice-and-consent) Theo nguyên tắc truyền thống, các doanh nghiệp phải thông báo và tìm kiếm sự đồng thuận từ NTD về

35 Joshua A T Fairfield and Christoph Engel (2015), “Privacy as a Public Good”, Duke Law Journal, Volume

65, tr 385.

36 Paul Ohm (2009), “Broken Promises of Privacy: Responding to the surprising failure of anonymization”, tr.

21, 22 Simpson Garfinkel (2015), De-Identification of Personal Information, National Insititute of Standardsand Technology.

mục đích sử dụng va lưu trữ các TTCN của họ” Dé tránh việc phải thong báo va nhận được sự đồng ý từ khách hàng cho những mục đích khác với mục đích ban đầu, doanh nghiệp buộc phải dự liệu và liệt kê hết các kế hoạch lưu trữ và mục đích sử dụng

TTCN trong tương lai khi đưa ra chính sách bảo mật thông tin với khách hàng ngay từ

ban đầu Nhưng điều này là không thê trong kỷ nguyên của Big Data Thông thường các thông tin được thu thập, sau một quá trình phân tích sẽ có thé hữu dụng cho nhiều mục đích tương tự mà các nhà sử dụng thông tin không thê đưa ra từ trước Ví dụ, các TTCN liên quan dén tinh trạng sức khỏe phục vụ cho mục dich tri liệu cũng có giá tri lớn cho nghiên cứu y học để tạo ra các sản phẩm y tế mới hay các thông tin đánh giá khả năng học tập của học sinh cũng hữu ích dé kiểm tra sự hiệu quả của các công cụ, dịch vụ giáo dục mới Việc cắm tất cả hoạt động lưu trữ hay sử dụng dữ liệu với mục đích khác mà không có sự đồng thuận từ NTD đặt các công ty vào tình huống vô cùng khó khăn khi phải liên hệ và tìm sự đồng thuận từ hàng nghìn khách hàng trước đó, thậm chí là không thể tìm kiếm lại được nếu chưa thu thập đủ TTCN liên lạc Điều này tạo ra rào cản về những thủ tục không cần thiết đối với những lợi ích sử dụng mà các công nghệ phân tích Big Data đem lại Ngược lại, các nhà lập pháp cũng phải đối mặt với van đề khi không thé bãi bỏ quy định buộc phải có sự đồng thuận của NTD bởi nếu bãi bỏ, sẽ dẫn đến tình trạng khai thác tràn lan, xâm phạm quyên riêng tư của NTD, xâm phạm đến TTCN và đời tư mà NTD làm chủ.

Thứ ba, sự thong trị gần như độc quyền của các doanh nghiệp, tổ chức công nghệ lớn tước di sự tự do lựa chọn va đồng thuận của NTD trong việc chia sẻ TTCN

với doanh nghiép** Một là, các ứng dụng công nghệ cao tạo ra một sự tác động sâu

rộng đến NTD lại thường nằm trong tay một số ít doanh nghiệp Chính vì vậy, NTD thường gặp phải đối mặt với sự từ chối cung cấp các dịch vụ nếu họ không đồng ý chia sẻ TTCN, do vậy NTD thường có xu hướng dễ dàng đồng ý với những yêu cầu đó trong khi họ chưa thực sự hiểu về quyền bảo vệ TTCN và những hoạt động xử lý thông tin của chính họ như thế nào, họ sẽ có thể đối mặt với những rủi ro gì Ngoài ra, những sự tiện ich, dé dàng mà các công ty mang lại cũng thúc day NTD chấp thuận những hình thức thu thập tra hình, gián tiếp như cung cấp TTCN dé được tư vấn sản pham, dịch vụ miễn phí; nhận qua tặng, tham gia bốc thăm trúng thưởng Hai là, với

các công nghệ hiện tại như điện toán đám mây hay mạng xã hội, thông tin của NTD bị

kiêm soát bởi một nhà cung cấp dịch vụ IoT cụ thé, NTD khó có thé di chuyên các

37 Điểm b và c Khoản 1 Điều 5 GDPR.

a8 Bygrave, L./Schartum, D.W (2009), Consent, proportionality and collective power, in trong cuốn: Reinventing

Data Protection, Nxb Springer, tr 160.

thông tin của mình từ một nhà cung cấp này sang một nhà cung cấp khác Sự phụ thuộc này ảnh hưởng tiêu cực đến quyền kiểm soát thông tin và lựa chọn nhà cung cấp

dịch vụ của NTD3”.

Thứ tu, sự tràn lan va phức tạp của các hoạt động, phương tiện thu thập, xử lý

thông tin đặt ra những thách thức về trách nhiệm minh bạch trong xử lý thông tin của các công ty Với nền tảng công nghệ cao được vận hành như Big Data, việc xác định xem công ty đã cung cấp đầy đủ cho các chủ thé dit liệu về quá trình xử lý thông tin hay có khả năng đánh giá những hậu quả có thé theo sau hay không không phải việc

đơn gian*’ Bởi vì, công nghệ thường chỉ được làm chủ bởi những chuyên gia, những

công ty chuyên về công nghệ nên các cơ quan chức năng hay NTD khó có thể nắm bắt.

Hơn nữa, với tính mới mẻ của những công nghệ này trong xã hội, bản thân các công ty

doanh nghiệp cũng chưa thê phán đoán được tất cả các rủi ro từ công nghệ bảo mật của

chính mình

1.2 Khái quát về pháp luật về bảo vệ thông tin của cá nhân người tiêu dùng

trong thương mại điện tử

1.2.1 Khái niệm pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong

thương mai điện tử

Pháp luật về bảo vệ NTD là lĩnh vực pháp luật điều chỉnh các quan hệ giữa

NTD với các thương nhân khi NTD mua, sử dụng hàng hóa, dịch vụ của thương nhân

đó; quy định những quyền của NTD và trách nhiệm của thương nhân trong các giao dich*! Trong đó, pháp luật về bảo vệ TTCN của NTD trong TMĐT là một bộ phận của pháp luật về bảo vệ NTD, vì vậy có thé định nghĩa như sau: “Pháp luật về bảo vệ

thông tin cá nhân của người tiêu dùng trong thương mại điện tu là một lĩnh vực pháp

luật bao gom hệ thong các nguyên tắc và quy phạm pháp luật do nhà nước ban hành hoặc thừa nhận, quy định các biện pháp nhằm đảm bảo tính bảo mật thông tin cá nhân

của người tiêu dùng trong các hoạt động thương mại điện tử `

Đối tượng điều chỉnh của pháp luật bảo vệ TTCN của NTD trong TMĐT là

quan hệ giữa các bên tham gia các giao dịch TMĐT Quan hệ trong TMĐT khác với

3 Engin Lelogu (2017), loT Privacy, Data Protection, Information Security, trong A Review of Security

Concerns in Internet of Things, Journal of Computer and Communications, Volume 5, No 1, tr 3.

40 Barocas, S./Nissenbaum, H (2014), Big Data’s End Run Around Procedural Privacy Protections:

Recognizing the inherent limitations of consent and anonymity, Communications of the ACM, Volume 57, No.11, tr 32.

41 Trường Đại học Luật Hà Nội (2014), Giáo trình Luật Bao vệ quyền lợi người tiêu ding, Nxb Công an Nhân

dân, Hà Nội, tr 21.

các quan hệ thương mại thông thường khác bởi nó bao gồm ít nhất ba chủ thé: NTD, nhà cung cấp sản phẩm và bên thứ ba là nhà cung cấp dịch vụ mạng, các cơ quan

chứng thực giao dịch TMĐT Bên thứ ba này đóng vai trò quan trọng trong việc tạo ra

môi trường cho các giao dịch TMĐT; giữ nhiệm vụ chuyền và lưu giữ thông tin giữa các bên tham gia giao dịch TMĐT đồng thời họ cũng xác nhận độ tin cậy của các thông tin trong giao dịch TMĐT Do đó, họ cũng là những chủ thé phải chịu trách nhiệm trong việc bảo vệ TTCN của NTD cùng với nhà cung cấp sản pham Ngoài ra, chủ thé áp dụng của pháp luật bảo vệ TTCN của NTD còn có các cơ quan quản lý nhà nước nhằm xử phạt những hành vi vi phạm pháp luật.

Phạm vi áp dụng của pháp luật về bảo vệ TTCN của NTD trong TMĐT bao gồm các nguyên tắc bảo vệ TTCN cá nhân của NTD, các quyên, nghĩa vụ, trách nhiệm

cá nhân, tô chức trong TMĐT trong việc bảo vệ TTCN; các thâm quyên, hình phạt của

các cơ quan quản ly nhà nước nhăm xử lý các hành vi xâm phạm đên an toàn TNCN.

1.2.2 Pháp luật trên thé giới về bảo vệ thông tin cá nhân của người tiêu dùng trong

thương mai điện tử

Quốc gia đầu tiên ban hành đạo luật hoàn chỉnh về bảo vệ đữ liệu cá nhân là Thụy Điển năm 1973 (Datalog 1973)” Tính đến năm 2017, đã có khoảng 120 quốc gia trên thế giới ban hành luật có liên quan đến bảo vệ TTCN dưới những hình thức khác nhau” Có nước ban hành luật riêng về bảo vệ dữ liệu và được cu thê hóa trong các luật chuyên ngành khác; cũng có nước ghi nhận quy định chung trong hiến pháp, luật dân sự và cụ thé hóa rải rác trong các luật Có thé chia pháp luật về bảo vệ TTCN trên thế giới thành 3 mô hình chính:

Mô hình Châu Au với chủ thuyết đặt cá nhân ở vị trí trung tâm và ưu tiên bảo vệ quyền riêng tư đối với TTCN EU được xem là một khu vực có pháp luật chặt chẽ bậc nhất thé giới về bảo vệ dit liệu cá nhân“ Quyền được bảo vệ dữ liệu cá nhân và tôn trọng đời tư là các quyền cơ bản trong pháp luật của EU Khi Internet vẫn còn

trong giai đoạn sơ khai, Chỉ thị Bảo vệ Dữ liệu (Directive 95/46/EC) được thông quavào năm 1995 với những quy tac đâu tiên vê bảo vệ dữ liệu cá nhân Dén thời điêm

42 Graham Greenleaf, “Global data privacy laws: 89 countries, and accelerating”, Queen Mary University of

London, School of Law Legal Studies Research Paper, No 98/2012, tr 1.

đã Graham Greenleaf (2017), Global Data Privacy Laws 2017: 120 National Data Privacy Laws, Including

Indonesia and Turkey (January 30, 2017), 145 Privacy Laws & Business International Report, tr 10-13,https://ssrn.com/abstract=2993035.

at Nguyễn Thi Thu Hang (2019), “Bàn về van đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mai

điện tử”, Tạp chí Khoa học pháp lý, 2(123), tr 22.

hiện tại, Chỉ thị về Bảo mật và truyền thông điện tử 2002 (Privacy and Electronic

Communications Directive 2002) được sửa đôi năm 2009 va Quy định bao vệ dữ liệu

chung 2016 (General Data Protection Regulation — GDPR) đang là hai trụ cột chính

của khung pháp lý bảo vệ dữ liệu của EU Tuy nhiên, trên thực tế Chỉ thị về Bảo mật và truyền thông điện tử được thực thi kém hiệu quả do việc thực hiện phân tán của các quốc gia thành viên và không theo kịp với sự phát triển của công nghệ Do đó, Ủy bản Châu Âu đã công bố một đề xuất lập pháp khác nhằm điều chỉnh các quy tắc hiện hành phù hợp với sự phát triển của công nghệ, đồng thời đề xuất dự định sẽ bãi bỏ Chỉ thị về Bảo mật và truyền thông điện tử 2002, thay vào đó sẽ cụ thé hóa và b6 sung cho GDPR GDPR là đạo luật về quyền riêng tư chặt chẽ bậc nhất thé giới, cung cấp cho các cá nhân nhiều quyền kiểm soát đối với việc thu thập sử dụng và bảo vệ dữ liệu Đạo luật này đưa ra các quy tắc nghiêm ngặt về bảo mật dir liệu mà các tô chức thu thập bao gồm việc sử dụng các biện pháp bảo vệ kỹ thuật như mã hóa và trách nhiệm giải trình chặt chẽ hơn khi thu thập dữ liệu Các tổ chức không tuân thủ sẽ phải đối mặt với hình phạt nặng lên tới bốn phần trăm doanh thu toàn cầu hàng năm hoặc hai mươi

triệu Euro (tùy theo mức nao cao hơn).

Mô hình Hoa Kỳ tiếp cận bảo vệ TTCN ở mức độ hài hòa hơn giữa quyên, lợi ích của chủ thê TTCN với các chủ thể khác Ở cấp liên bang, Ủy ban Thương mại Liên bang Hoa kỳ (FTC) có thâm quyền rộng trong thực thi các quy định bảo vệ dữ liệu Hoa Kỳ không có luật liên bang quy định toàn diện van đề bảo vệ và sử dụng TTCN Vấn đề bảo vệ TTCN được quy định trong các luật của tiểu bang và các hướng dẫn được phát triển bới các cơ quan của Chính Phủ Có thé kê đến:

- Dao Luật quyền riêng tư năm 1974 (US Privacy Act of 1974);

- Pao Luật về Trách nhiệm giải trình và Cung cấp thông tin bảo hiểm y tế

năm 1996 (Health Insurance Portability Accountability Act — HIPAA);- Dao luật Gramm-Leach-Bliley nam 1999(Gramm-Leach-Bliley Act —

- Dao luật bảo vệ quyền riêng tư của trẻ em trên mang năm 2000 (The

Children's Online Privacy Protection Act -COPPA);

- Hudng dan bảo vệ tinh bảo mật của Thông tin nhận dạng cá nhân năm 2010

(Guide to Protecting the Confidentiality of Personally Identifiable

Information) của Viện Tiêu chuẩn va Công nghệ Quốc gia (The National

Institute of Standards and Technology - NIST).

Mô hình Hoa Ky tiếp cận bảo vệ TTCN theo hướng tối giản, trong đó luật sư đóng vai trò quan trọng trong việc thực thi Tuy nhiên, đứng trước mối quan tâm ngày

càng tăng của công chúng về lượng di liệu riêng tư mà các doanh nghiệp thu thập, tiểu bang Canifornia đã ban hành Đạo luật Quyền riêng tư của người tiêu dùng Canifornia

(The Canifornia Consumer Privacy Act — CCPA) và năm 2018 Đạo luật này được

đánh giá có sự tương đồng với các nguyên tắc cốt lõi trong GDPR của EU và tương đồng với quan điểm của GDPR về định nghĩa TTCN Đạo luật này đã tạo ra làn sóng quy định luật tiểu bang về bảo vệ TTCN cho một số tiêu bang khác tại Hoa Kỳ như:

Massachusetts, New York, Hawaii, Maryland, Noth Dakota, Minnesota,

Trên thực tế, việc bảo vệ quyền riêng tư và dữ liệu của NTD trong TMĐT ở Hoa Kỳ được thực hiện chủ yêu thông qua các phương thức tự điều chỉnh bởi ngành công nghiệp TMĐT, hay còn gọi là mô hình tự điều chỉnh (Self-Regulation Model) Các biện pháp tự điều chỉnh được chia thành bốn nhóm: (i) nhóm thứ nhất: hướng dan tự xây dựng; (ii) nhóm thứ hai: chương trình xác thực quyên riêng tư TMĐT, có nghĩa là các doanh nghiệp cam kết thực hiện bảo vệ quyên riêng tư TMĐT; (iii) nhóm thứ ba: phương pháp bảo vệ công nghệ, tập trung bảo vệ quyên riêng tư của NTD Bang cách sử dụng công nghệ phần mềm để cảnh báo tự động trước khi những trang web thông tin nào sẽ được thu thập, NTD có thé quyết định trước dữ liệu nào sẽ được thu thập và họ có thể chọn trước đữ liệu cho phép, các dữ liệu khác năm ngoài lựa chọn sẽ không được thu thập; (iv) nhóm thứ tư: là phương pháp “bến an toàn” (safe harbor), như một phương pháp mới kết hợp tự điều chỉnh với các quy tắc lập pháp Phương pháp nay để cập các hướng dẫn bảo vệ quyền riêng tư trong TMĐT, được ban hành

bởi các nhà cung câp dịch vụ trực tuyên cụ thê.

Mô hình hỗn hợp là sự kết hợp hai mô hình trên được áp dụng ở một số nước Châu Á như Nhật Bản, Hàn Quốc, Các quốc gia theo mô hình này thường ban hành một đạo luật riêng về quyền riêng tư hoặc về bảo vệ TTCN dé quy định tập trung, toàn diện các vấn đề có liên quan; đồng thời, phạm vi TTCN được pháp luật điều chỉnh về cơ chế, mức độ quản lý cũng hợp lý, hài hòa hơn trên cơ sở kết hợp 2 mô hình Châu Âu, Hoa Kỳ Có thể xem xét kỹ hơn Đạo luật Bảo vệ thông tin cá nhân Nhật Bản năm 2003, sửa đổi b6 sung năm 2017 (Japan’s Act on Protection of Personal Information — APPI) Các nguyên tắc cốt lõi trong APPI được dựa trên sự kết hợp giữa Hướng dan

cua OECD va Chi thị của EU® Nhật Bản cũng là một thành viên của APEC, do đó

APPI cũng tuân thủ theo Bộ Nguyên tắc của APEC APPI 2003 không thiết lập một cơ quan trung tâm quan ly và thực thi bảo vệ quyền riêng tư Thay vào đó, việc thực thi

45 Robert Healey, How the Japan APPI compares to GDPR Are you Compliant?,

https://relentlessdataprivacy.com/how-the-japan-appi-compares-to-gdpr-are-you-compliant/?fbclid=IwAR008P7P6bRjdy3zvmxg1ZY3MHSOGJtCDGq71-EK-glk3udiHfV fbd7h28U, truy cap

lần cuối ngày 09/08/2020.

các quy định về quyên riêng tu được quản lý theo ngành, mỗi co quan quan lý ngành đảm nhận điều tiết quyền riêng tư trong lĩnh vực đó APPI 2017 đã thiết lập một Ủy

ban Bảo vệ thông tin cá nhân (Personal Information Protection Commission - PIPC).

PIPC có quyền han đáng ké bao gồm quyền kiểm toán, quyền kiểm tra và yêu cầu các công ty nộp báo cáo về việc tuân thủ quy định về quyền riêng tư Tuy nhiên, mức độ quản lý hài hòa được thể hiện ở việc APPI 2017 cho phép các công ty mua bán đữ liệu cá nhân đã được ân danh hoặc được tổng hợp nhằm cho phép và khuyên khích việc sử dụng Phân tích của Bigdata tại Nhật Bản APPI có một loạt các nguyên tắc theo phong cách của EU được áp dụng cho các luồng dtr liệu được dich chuyên cho bên thứ ba là nhà cung cấp dịch vu trong nước và quốc tế, bao gồm các yêu cầu về giám sát khi dit liệu được chuyên cho bên thứ ba Tuy nhiên, vẫn có phần lớn sự khác biệt giữa APPI và GDPR Chang hạn, mục đích của APPI là dé bảo vệ quyền và lợi ích hợp pháp của các cá nhân trong khi vẫn bảo đảm sự cân nhắc đúng đắn về tính hữu ích của TTCN theo các nguyên tắc cơ bản để xử lý hợp lý TTCN Trong khi, GDPR ưu tiên bảo vệ quyền riêng tư của cá nhân khi di chuyên dé liệu trong EU APPI chỉ áp dung cho việc sử dụng TTCN của các doanh nghiệp và TTCN sẽ không coi là bị xâm phạm nếu mục đích sử dụng được thông báo kịp thời cho các chủ thể dit liệu hoặc thông báo công khai sau khi doanh nghiệp có được TTCN, trừ khi mục đích sử dụng đã được công bố công khai Trong khi, GDPR yêu cầu dữ liệu cá nhân được thu thập cho các mục đích cụ thé, rõ ràng và không được xử lý thêm theo các không tương thích với các mục đích

Có thể thấy, pháp luật mỗi quốc gia có một khuynh hướng điều chỉnh pháp luật riêng đối với van đề bảo vệ TTCN phụ thuộc vào điều kiện, tình hình và nhu cầu của kinh tế, chính trị, văn hóa và xã hội của chính quốc gia, khu vực đó Tuy nhiên, trong bối cảnh công nghệ thông tin phát triển mạnh mẽ và các mối lo ngại về quyền riêng tư đối với TTCN ngày càng gia tăng, các quốc gia trên thế giới đều đang có xu hướng cập nhật các quy định theo hướng thắt chặt sự bảo vệ đối với TTCN hơn.

1.2.3 Pháp luật Việt Nam về bảo vệ thông tin cá nhân của người tiêu dùng trong

thương mai điện tw

1.2.3.1 Giai doan trước năm 1999

Thời điểm này, vấn đề bảo vệ NTD chưa được quy định trong một văn bản pháp luật chuyên biệt mà chủ yêu được quy định trong Bộ Luật dân sự 1995 TMĐT cũng chưa trở thành một lĩnh vực được Nhà nước chú trọng nhiều Vì vậy, việc bảo vệ TTCN của NTD được quy định gián tiếp thông qua quy định về bảo vệ bí mật đời tư

của công dan trong Bộ luật dân sự 1995 (Điều 34) Tuy nhiên, với khái niệm “bí mật đời tư”, quy định này chưa bao quát hết phạm vi TTCN mà chỉ chủ yếu bảo vệ những thông tin được coi là bí mật của cá nhân Theo đó, việc thu thập, công bố thông tin, tư liệu về đời tư của cá nhân người đó đồng ý hoặc nhân thân của người đó đồng ý, nêu người đó đã chết, mat năng lực hành vi dân sự, trừ trường hợp thu thập, công bố thông tin, tư liệu theo quyết định của cơ quan nhà nước có thâm quyền và phải được thực

hiện theo quy định pháp luat**.

Sau đó, Pháp lệnh bảo vệ quyền lợi NTD năm 1999 ra đời và trở thành nền tảng pháp lý cơ bản cho việc bảo vệ quyên lợi NTD Tuy nhiên, quyền được bảo vệ TTCN của NTD lại không được quy định trong văn bản này Thay vào đó, quyền được bảo vệ TTCN của NTD nói chung được đề cập gián tiếp tại Bộ luật hình sự năm 1999 về chế tài xử phạt đối với các Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín

của người khác và Tội sử dụng thông tin trên mạng và trong máy tính.

1.2.3.2 Giai đoạn từ năm 1999 đến 2010

Với tốc độ phát triển mạnh mẽ của công nghệ thông tin và TMĐT, những tác động của việc sử dụng TTCN bất hợp pháp đã ngày càng trở nên rõ ràng và thu hút sự chú ý của cộng đồng cũng như doanh nghiệp, nhà nước đã nhận ra sự cần thiết phải chú trọng hơn nữa đối với vấn đề bảo vệ TTCN của NTD trong hoạt động TMĐT Mặc dù chưa có văn bản pháp luật riêng biệt điều chỉnh vấn đề này song khi xem xét một cách có hệ thống các văn bản quy phạm pháp luật về TMĐT ban hành trong giai đoạn này, có thê thấy những nội dung liên quan đến bảo vệ TTCN đã được quy định ngày càng rõ ràng từ cấp độ luật đến các văn bản hướng dẫn luật Đặc biệt, các quy định về hình thức, chế tài xử phạt vi phạm cụ thé đã được ra đời Cụ thé, ở cấp độ luật

đã có su ra đời của Luật Giao dịch điện tử 2005, Luật Công nghệ thông tin năm 2006

quy định về phạm vi không gian bảo vệ bảo vệ TTCN, đưa ra các nguyên tắc khi thu thập và xử ly TTCN trong môi trường mạng, các hành vi bị nghiêm cắm Những quy

định này đã tạo ra khung pháp lý cơ bản trong việc bảo vệ TTCN trong môi trườngmạng nói chung va của NTD trong TMĐT nói riêng Cùng với sự ra đời của luật, các

nghị định, thông tư hướng dẫn chỉ tiết cũng đã được ban hành dé cụ thé hóa quy định

của luật bao gôm:

46 Khoản 2, Điều 34 Bộ luật Dân sự năm 1995.

Ngày ban hành Văn bản pháp luật

18/12/2008 Thông tư 07/2008/TT-BTTTT ngày 18/12 hướng dẫn một số nội dung về hoạt động cung cấp thông tin trên trang thông tin điện tử

1.2.3.3 Giai đoạn từ 2010 đến nay

Điểm nổi bật nhất trong giai đoạn từ 2010 đến nay trong lĩnh vực bảo vệ TTCN NTD nói chung là sự ra đời của LBVQLNTD 2010, luật thiết lập những quy định cơ bản nhất về van dé bảo vệ NTD, trong đó có quyền được đảm bảo an toàn thông tin khi tham gia giao dịch mua bán, trừ trường hợp được cơ quan nhà nước có thẩm quyền yêu cầu Bên cạnh đó là các văn bản hướng dẫn như nghị định 99/2011/NĐ-CP quy định chi tiết và hướng dan thi hành LBVQLNTD, nghị định 19/2012/NĐ-CP quy định về việc xử phạt hành chính trong việc bảo vệ quyền lợi NTD.

Song song với đó, các quy định của Luật Công nghệ thông tin 2006, Luật Giao

dịch điện tử 2005, Luật Viễn Thông 2009 tiếp tục có hiệu lực Luật An toàn thông tin mạng 2015 cũng đã ra đời và điều chỉnh một cách tương đối chi tiết van dé bảo vệ an

toàn thông tin trên mạng nói chung đã trở thành cơ sở quan trọng trong thực thi việc