Nhìn chung, các công trình nghiên cứu, bài viết đã đề cập, phân tích, đánh giámột cách tương đối chi tiết những vấn đề liên quan đến bảo vệ TTCN của NTD nóichung và trong môi trường TMĐT
Trang 1BAO CAO TONG KET
DE TAI THAM GIA XET GIAI THUONG
“SINH VIEN NGHIEN CUU KHOA HOC”
CUA TRUONG DAI HOC LUAT HA NOI NAM 2020
PHAP LUAT VIET NAM VE BAO VE THONG TIN CA NHAN CUA NGUOI TIEU DUNG TRONG THUONG MAI DIEN TU THOI KY
CACH MANG CONG NGHIEP 4.0
Thuộc nhóm ngành khoa hoc: XH
NAM 2020
Trang 2BAO CÁO TONG KẾT
ĐÈ TÀI THAM GIA XÉT GIẢI THƯỞNG
«SINH VIÊN NGHIÊN CỨU KHOA HỌC”
CUA TRƯỜNG ĐẠI HỌC LUAT HÀ NỘI NĂM 2020
PHAP LUẬT VIET NAM VE BẢO VE THONG TIN CÁ NHÂN CUA NGƯỜI TIEU DUNG TRONG THUONG MAI ĐIỆN TỬ THỜI KỲ
CACH MANG CONG NGHIEP 4.0
Thuộc nhóm ngành khoa hoc: XH
Sinh viên thực hiện: Đỗ Thị Như Ngọc Nam, Nữ: Nữ
Lớp: 4330 Khoa: Pháp luật thương mại quốc tế Năm thứ: 02/Số năm đào tạo: 04
Sinh viên thực hiện: Nguyễn Thị Hoài Nam, Nữ: Nữ
Dân tộc: Kinh
Lớp: 4224 Khoa: Pháp luật Kinh tế Năm thứ: 03/Số năm đào tạo: 04
Người hướng dẫn: ThS Nguyễn Ngọc Quyên
Trang 3DANH MỤC BANG BIÊU - - 2 SE SE 1E EEE121E11E1111111111111111 1111111 c0DANH MỤC NHỮNG TU VIET TẮTT ¿2 2 £SE£E£+E£EE+E£EEEEEEEEEEEEEEEEEErkerkrreee
AY CO) 5 S21 E3 E12112121221112112112112111111 1111111111111 111111 0111111111111 erre |
1 Lý do lựa chọn đỀ tài ¿5 SE SE EEEEE121E11211211111111111111111111 1111 1x |
2 Tổng quan tình hình nghiên cứu dé tài - ¿2 + 2 SE£EE+E+E#£E£Eerzkerees 2
3 Mục tiêu để tài 5 5c c2 222 12212212211211211211211211111211211211 211k 3
4 Đối tượng và phạm vi nghiên cứu dé tài - 2 2 +s+St+EeEE+E££EeEEzEerxererxee 4
5 Cách tiẾp cận ¿- 55s SEE E219 12E21511217121121111211111111111111111 21111 T1 tre 4
6 Phương pháp nghiên cứu dé tài - - 2 2 s+S+E£EE£EEEEEEEEEEEEEEEEEEEEEEerkrrerkee 5
7 Kết cấu của để tài - c-c nh v11 11151111111 1111 111111111101 111111 111.111 1EEErree 5
NỘI DUNG KET QUA NGHIÊN CỨU -¿- 2 2 t+ESE£EEEEEEEEEEEEEEEEErkrkerkerkd 6CHƯƠNG 1: MOT SO VAN DE LÝ LUẬN VE PHÁP LUẬT BẢO VỆ THONGTIN CÁ NHÂN CỦA NGƯỜI TIỂU DÙNG TRONG THƯƠNG MẠI ĐIỆN TỬTHỜI KỲ CÁCH MẠNG CÔNG NGHIỆP 4.) 2- S5 E2 2EEEerkrrkerve 6
1.1 Khái quát về bảo vệ thông tin cá nhân của người tiêu dùng trong thương
mại điện tử thời kỳ Cách mang công nghiệp 4.() - - - S ĂSSS+Ssseeereses 6 1.1.1 Khái niệm người tIÊU đÙHG cv kh kg vờ 6 Ÿ,1,Ä KUT miệMm ÄHMầNg LÌM thi HH bo sàanaanuadLuanliadakttotdodiiibgiiSiG8008AG001242860011161010440A36.38835 8 1.13 Khái niệm thông tin cá nhân của người ti€U đỦÙng -c c5 s+<sx++sss++ 11 1.14 Khái niệm thương mại điỆN tr eccccccccccccsccccesscccesseeeessseeesseeensseeesesseeensseeeensaeeees 13
1.1.5 Sự cân thiết bảo vệ thông tin cả nhân của người tiêu dùng trong thương mại
điện tứ 15
1.1.5.1 Quyên riêng tư đối với thông tin cá nhân của người tiêu dùng 15
1.1.5.2 Kha năng xảy ra hành vi xám phạm thông tin cá nhán người tiêu dùng trong 7/7//150/1782/12/80:7780n1n0808058588 17
1.1.5.3 Bảo vệ thông tin cá nhân của người tiêu dùng tạo động lực cho sự phát triển
của hoạt động thương mại đÌỆH fÚỨ, cv kh kg vn rưy 17 1.1.6 Những phương thức cơ ban bảo vệ thông tin cá nhân của người tiêu
1.1.7 Tac động của Cách mạng công nghiệp 4.0 đến vấn dé bảo vệ thông tin cá
/)/12//N617128/13401918112/N⁄/)1/152P TT Na ¬ 21
1.2 Khái quát về pháp luật về bảo vệ thông tin của cá nhân người tiêu dùng
D50)010111)10//1201121N:) 0/01) 00100 - 26
Trang 41.3 — Tiểu kết chương I - -2+EE2E2ESEEEEEEEEEEEEErkrrkerrrred 35
CHƯƠNG 2: THUC TRẠNG PHÁP LUẬT VIỆT NAM VE BẢO VE THONGTIN CÁ NHÂN CUA NGƯỜI TIỂU DUNG TRONG THUONG MẠI ĐIỆN TỬTHỜI KỲ CÁCH MẠNG CÔNG NGHIỆP 4.() - 2-5222 36
VỆ Quy định pháp luật hiện hành về bảo vệ thông tin cá nhân của người tiêu
dùng trung fIrimơng mai NHIÊU LŨ ssn srs ne ER SG Ta SS NE A 36
2.1.1 Quyên được bảo vệ thông tin cá nhân của người tiêu ding trong thương mại
điện tr 36
2.1.2 Trách nhiệm của các chủ thé về việc bảo vệ thông tin cá nhân của người tiêu
FEF APES CITI RE CHIẾN CIP cscs snot ot St TSAR A 3001H400.5088.308 38 2.1.3 Xứ ly vi phạm pháp luật trong việc bao vệ thông tin ca nhân của người tiéu (2111/15811497/1581/1110/158,/12182112/Ñ172PERPRE NA 48
Dee Thực trạng thực thi pháp luật Việt Nam về bảo vệ thông tin cá nhân của
người tiêu dùng trong thương mại điện tỬ - eee 2c 3323 EEsererserererrrses 32
2.2.1 Thực trạng vi phạm pháp luật về bảo vệ thông tin cá nhân của người tiêu
dùng trong thương mại AiEN ẨIỨ - c3 8831 118113 111118111118 1111 111v rệt 52
2.2.2 Thực trạng quản lý nhà nước về bảo vệ thông tin cá nhân người tiêu dùng củacác cơ quan nhà nước có thẩm qIIVỂÌN - 5+ St ‡k‡EEEEEEEEEEEEEEEEEEEEEEEEEEkrrkerrred 372.2.3 Thực trạng việc bảo vệ thông tin cá nhân người tiêu dùng của các chủ thé
tham gia hoạt động thương MAI ACN tue c- - c E33 E11 9V Evkkvvkerrvree 59
2.3 Tiểu kết chương 2 5c C2 EE121211111 1111211111111 re 61CHƯƠNG 3: KIÊN NGHỊ HOÀN THIỆN PHAP LUAT VIỆT NAM VE BẢO
VỆ THÔNG TIN CÁ NHÂN CỦA NGƯỜI TIỂU DÙNG TRONG THƯƠNGMẠI ĐIỆN TỬ THỜI KỲ CÁCH MẠNG CÔNG NGHIỆP 4.0 63
3.1 Một số kiến nghị về xây dựng va hoàn thiện hệ thống pháp luật về bảo vệ
thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳ cách Trữ<ang công HƯHIỆN AD cái ccc cnonn se Họ Là n5 0112012065ná 0-88 03nàih 483B 3h bad Acai đãi sa aaa 63
3.1.1 Sửa đổi định nghĩa thông tin cá nhÂH -.- - 2-52 ©t+SE+E‡E+EEEEEEEEeEEErrkees 633.1.2 Xây dựng những nguyên tắc cơ bản về bảo vệ thông tin cả nhân - 653.1.3 Quy định về chính sách bảo mật thông tin cá nhâh 2-5 se +s+c++cee: 70
Trang 5người tiêu dùng trong thương mại Gi€N te - c + St vEteerteeeeseeerereerree 73
3.1.5 Quy định về thu thập và xử ly dữ liệu là thông tin cá nhân của người đưới 15tuổi 74
3.2 Một số kiến nghị nhằm nâng cao hiệu quả thực thi pháp luật về bảo vệ
thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳ cách mạng công nghiệp 4.() - - G1 11122111112 11111 111110111111 11 1n 1n vn vn re 75
3.2.1 Về nhận thức, trách nhiệm của các chủ thể tham gia vào hoạt động thương
//12182012/81/PEEERPPE 75
3.2.2 Về hoạt động kiểm tra, giảm sát của các cơ quan quản lý nhà nước 763.2.3 Về phát triển hệ thong ha tang công nghệ thông tỉn - 2-s+cs5csc: 773.3 Tiểu kết chương 3 -°œ- s©5°©sSsEseEsEseEsEEsEseEsesersersesersrse 77DANH MỤC TÀI LIEU THAM KHẢO 2- 2 ° 5£ s2 s2 se se sessesezses
3:80 2
Trang 6Trang | Bảng biểu
32 Bang 1 Bảng liệt kê các văn bản pháp luật về bảo vệ TTCN của NTD
trong TMDT giai đoạn 1999-2010
33 Bảng 2 Bảng liệt kê các văn bản pháp luật về bảo vệ TTCN của NTD
trong TMDT giai đoạn 2010-nay
72 Bảng 3 Đề xuất công cụ đánh giá rủi ro-lợi ích cho các dự xử lý dữ liệu
Big Data
48 Bảng 4 Mức phạt đối với hành vi vi phạm về bảo vệ TTCN của NTD
trong TMDT
Phụ lục | Bảng 5 Bảng đánh giá chính sách bảo vệ TTCN của 10 website TMĐT
hàng đầu tại Việt Nam
22 Hình 1 Quá trình xử lý thông tin của Big Data
57 Hình 2 Quy trình xử ly phan ánh cua người dân
Phụ lục | Hình 3 Mô hình đánh giá rủi ro — lợi ích cua CPO
Trang 7(Xếp theo thứ tự bảng chữ cái)
APEC AsiaPacific Economic Dién dan hop tac kinh té Chau A
-Cooperation Thai Binh Duong
Bo nguyén APEC Privacy Framework Những nguyên tắc cơ bản về Baotắc của vệ dữ liệu cá nhân của APEC
APEC
EU European Union Liên minh Châu Âu
FIPS Fair Information Practices Những hoạt động thông tin đúng
mực
FIPPS Fair Information Practice Những nguyên tắc về hoạt động
Principles thông tin đúng mực
FTC The Federal Trade Commission | Hiệp hội Thương mại Liên Bang
Hoa Kỳ
GDPR General Data Protection Quy định chung về Bảo vệ đữ liệu
Regulation
Hướng dẫn Guidelines on the Protection of Hướng dân Bao vệ Quyên riêng tư
của OECD Privacy and Transborder Flows | và Luồng dữ liệu cá nhân xuyên
of Personal Data biên giới
LBVQLNTD | Law on Protection of Luật Bao vệ quyền lợi người tiêu
Consumers’ Rights dùng
OECD Organization for Economic Tổ chức Hop tác và Phát triển
Trang 8NIST Viện Tiêu chuẩn và Công nghệ | Viện Tiêu chuẩn và Công nghệ
Quốc gia Quốc gia
NTD Consumer Người tiêu dùng
TMDT Electronic commerce Thuong mại điện tử
TTCN Personal Information Thông tin cá nhân
WTO World Trade Organization Tổ chức thương mai thé giới
Trang 9thái độ của khách hàng Chưa bao giờ trong lịch sử, NTD được hưởng những gói sản
phẩm, dịch vụ trọn gói, hiện đại và nhanh chóng khi có thé chỉ ngồi nhà và tận hưởngmọi tiện ích như các sản phẩm học tập, trị liệu trực tuyến; đặt hàng, dịch vụ ăn uống,nghỉ dưỡng, y tế online; giao hàng nhanh; thanh toán trực tuyến, ví điện tử v.v haythậm chí là mô hình siêu thi tự động không cần thu ngân của Amazon! như trong thé
kỷ XXI hiện nay Tuy nhiên dang sau những tiện ích nhanh chong, chi phí thấp, những
vụ việc bê bối đữ liệu như Facebook - Cambridge Analytica? thu thập và mua bán tráiphép TTCN của NTD đã làm chấn động thế giới Các cuộc điều trần căng thăng đãdiễn ra với giám đốc điều hành của Facebook là Mark Zuckerberg Nhưng quan trọng
hơn, nó là cú tác động mạnh cho hàng loạt cuộc tranh luận của giới lập pháp tại Hoa
Kỳ và Châu Âu, sự thay đổi nhận thức sâu sắc của NTD về van đề quyền riêng tư vàbảo vệ TTCN của NTD Là nên kinh tế đang phát triển, Việt Nam cũng nhập cuộc chơiTMDT rất nhanh chóng Tuy nhiên, bên cạnh những lợi ích mà TMĐT mang lai choNTD là những hiện tượng mua bán dữ liệu diễn ra một cách tràn lan va phổ biến, thậm
chí còn được rao bán công khai trên công cụ tìm kiêm Google.
Luật Bảo vệ quyền lợi người tiêu dùng được ban hành vào năm 2010 đã phảnánh mức độ quan trọng ngày càng tăng của van dé bảo vệ quyên lợi NTD trong hệthong pháp luật kinh tế - dan sự Việt Nam Cùng với đó, năm 2010 cũng là năm khungpháp lý về TMĐT tại Việt Nam đã cơ bản hình thành Nghị định số 52/2013/NĐ-CPđược ban hành đánh dấu bước chuyền quan trọng trong hạ tầng pháp lý cho lĩnh vựcTMDT Từ năm 2016 trở di, TMĐT Việt Nam đã chuyển từ giai đoạn hình thành, tạolập sang giai đoạn phát triển nhanh cùng với nhịp độ phát triển của công nghệ thông
! Matthew Boyle (2019), Supermarket Survival Means Matching Amazon, Bloomberg, truy cập lần cuối ngày
06/08/2020.
? Kevin Granville (2018), Facebook and Cambridge Analytica: What you need to know as fallout widens, The
New York Times, truy cập lần cuối ngày 06/08/2020.
Trang 10tin Nhận thức của xã hội về quyên lợi NTD ngày càng gia tăng cùng với sự phát triển
nhanh của các ứng dụng TMDT Trong đó, bảo vệ TTCN của NTD trong TMĐT được coi là một khía cạnh đặc thù khi NTD tham gia vào các giao dịch trên môi trường điện
tử Tuy nhiên, Việt Nam vẫn chưa có một văn bản điều chỉnh riêng van đề bảo vệTTCN của NTD trong TMĐT, các nội dung liên quan về van đề này được quy định rảirác và không đầy đủ trong hệ thống các văn bản quy phạm pháp luật về TMĐT từ cấp
độ luật đến các văn bản hướng dẫn luật như Luật An toàn thông tin mạng86/2015/QH13, Nghị định số 52/2013/NĐ-CP về thương mại điện tử
Trước bối cảnh xã hội và pháp lý đó, van đề nghiên cứu, đánh giá, rà soát lại hệthống pháp luật hiện hành về bảo vệ TTCN của NTD trong thời kỳ Cách mạng côngnghiệp 4.0 để đưa ra các phương hướng và kiến nghị hoàn thiện pháp luật là điều vôcùng cần thiết Vì lẽ đó, nhóm tác giả đã lựa chọn dé tài: “Pháp luật Việt Nam về
Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳ Cách mạng công nghiệp 4.0”.
2 Tổng quan tình hình nghiên cứu đề tài
Trong phạm vi quốc tế, vấn đề bảo vệ TTCN của NTD trong TMĐT từ lâu đãđược quan tâm, nghiên cứu bởi rất nhiều cơ quan, tổ chức Tiêu biểu là các chuỗi hànhđộng, khuyến nghị của Tổ chức hợp tác và phát triển kinh tế OECD như: Consumer in
the digital economy, Recommendation on Consumer protection in E-commerce,
Toolkit for protecting digital consumer, Ở Việt Nam, trong giai đoạn gần day, van dénay cũng nhận được nhiều sự quan tâm nghiên cứu Tuy nhiên, những nghiên cứu haunhư dừng lại ở hình thức các bài báo, bài viết hoặc được đề cập trong các nghiên cứu
về bảo vệ quyền lợi NTD nói chung và không có nhiều công trình nghiên cứu chỉ tiết
Một sô bài nghiên cứu tiêu biêu có thê kê đên như:
- Dé tài nghiên cứu khoa học: “Nghiên cứu pháp luật về quyền được cung cấp
thông tin và bảo vệ thông tin của người tiêu dùng ở Việt Nam” của Trường Đại
học Luật Hà Nội, năm 2012, do TS Nguyễn Thị Vân Anh chủ nhiệm đề tài
- Dé tài nghiên cứu khoa học: “Pháp luật Việt Nam về bảo vệ thông tin người
tiêu dùng trong giao dịch thương mại điện tử” của nhóm sinh viên Lê Thùy
Dương, Phạm Quốc Anh và Tran Thị Luyén
- _ Khóa luận tốt nghiệp: “Pháp luật về bảo vệ thông tin người tiêu dùng ở Việt
Nam” của tác giả Lê Phương Hoa; PGS.TS Nguyễn Thị Vân Anh hướng dẫn,
năm 2015.
Trang 11Một số bài viết mang tính chất báo chí, bình luận của các luật gia như:
- Bai việt: “Pháp luật vê vân đê bảo vệ thông tin cá nhân trên môi trường
internet” của tác giả Trần Văn Biên, tạp chí Nhà nước và Pháp luật số 9/2019
- Bai viết: “Bàn về van dé bảo vệ thông tin cá nhân của người tiêu dùng trongthương mại điện tử” của tác giả Nguyễn Thị Thu Hang, Tạp chí Khoa học pháp
lý số 2/2019
- Bai viết: “Bảo vệ thông tin cá nhân người tiêu dùng khi giao dịch trên websitethương mại điện tử” của tác giả Nguyễn Thị Thu Hang, Tap chi Dân chủ vàPháp luật số 3/2019
- Bai viết: “Bảo vệ thông tin cá nhân của người tiêu dùng theo pháp luật ViệtNam” của tác giả Nguyễn Ngọc Quyên, Tạp chí Dân chủ và Pháp luật sốchuyên đề 9/2019
- Bai viết: “Bảo vệ thông tin người tiêu dùng” của tác giả Ngô Vĩnh BạchDương, tạp chí Nghiên cứu lập pháp số 12/2019, số 12
Nhìn chung, các công trình nghiên cứu, bài viết đã đề cập, phân tích, đánh giámột cách tương đối chi tiết những vấn đề liên quan đến bảo vệ TTCN của NTD nóichung và trong môi trường TMĐT nói riêng, bao gồm các vấn đề từ lý luận đến thựctiễn về khái niệm, vai trò của TTCN, pháp luật về quyền được bảo vệ TTCN của NTD,trách nhiệm của các cơ quan quản lý, cá nhân, tô chức kinh doanh về bảo vệ TTCN vàđưa ra thực trạng những vấn đề phát sinh đối với việc bảo vệ TTCN trong môi trườngTMĐT, những hạn chế về mặt pháp luật cũng như đưa ra những giải pháp hoàn thiện
Tuy nhiên, sự tác động của cuộc cách mạng công nghiệp 4.0 tới lĩnh vực này vẫn là
một van đề mới và hiện nay, chưa có công trình nghiên cứu chi tiết về vấn đề bảo vệ
TTCN của NTD trong TMĐT thời kỳ cach mang công nghiệp 4.0.
3 Mục tiêu đề tài
Mục tiêu của đề tài nhằm:
(1) Chỉ rõ cơ sở lý luận của pháp luật về bảo vệ TTCN của NTD trong
TMDT;
(ii) Rasoat hệ thống pháp luật Việt Nam hiện hành về vấn đề này;
Trang 12(iii) Đánh giá thực tiễn thực thi pháp luật Việt Nam về bảo vệ TTCN của
NTD trong TMĐT trước bối cảnh mới là cuộc Cách mạng công nghiệp
4.0; và
(iv) Đưa ra những kiến nghị để hoàn thiện hệ thống pháp luật Việt Nam hiện
hành về bảo vệ TTCN của NTD trong TMĐT
4 Đối tượng và phạm vi nghiên cứu đề tài
Đối tượng nghiên cứu của đề tài là các văn bản pháp luật có liên quan về bảo vệTTCN của NTD trong TMDT tại Việt Nam hiện nay; các số liệu, thông tin thực tiễnliên quan đến van dé bảo vệ TTCN; các tài liệu chuyên ngành công nghệ về Cáchmạng công nghiệp 4.0; tham khảo quan điểm và quy định trong các văn bản có sựđồng thuận quốc tế về vấn đề bảo vệ đữ liệu cá nhân như: Hướng dẫn Bảo vệ quyềnriêng tư và luồng dir liệu cá nhân xuyên biên giới của OECD năm 1980 (Sau đây gọitắt là “Hướng dẫn của OECD”), đã được cập nhật năm 2013; Quy định Chung về Bảo
vệ dữ liệu (Sau đây gọi tắt là “GDPR”) của Liên minh Châu Au năm 2016 và Nhữngnguyên tắc cơ bản về bảo vệ dir liệu cá nhân trong thương mại điện tử của APEC (Sauđây gọi tắt là “Bộ nguyên tắc của APEC”) năm 2004, đã được cập nhật năm 2015
Phạm vi nghiên cứu của đề tài là toàn bộ các van đề lý luận và thực tiễn củaPháp luật Việt Nam về bảo vệ TTCN của NTD trong TMĐT đặt trong bối cảnh cáchmạng công nghiệp 4.0 từ đó đưa ra các kiến nghị về việc xây dựng và thực thi phápluật về bảo vệ TTCN của NTD trong TMDT tại Việt Nam
- _ Tiếp cận từ thực tiễn thi hành các quy định của pháp luật Việt Nam về
bảo vệ TTCN của NTD trong TMDT thời kỳ Cách mạng công nghiệp
4.0.
Trang 13Để đạt được các mục tiêu nghiên cứu mà đề tài đặt ra, trong quá trình nghiêncứu, đề tài đã bám sát phương pháp nghiên cứu khoa học duy vật biện chứng và duy
vật lịch sử của chủ nghĩa Marx - Lenin;
Bên cạnh đó, đề tài còn sử dụng một số phương pháp nghiên cứu cụ thể như:phương pháp lịch sử, phương pháp nghiên cứu lý luận kết hợp với thực tiễn để phântích, so sánh, đối chiếu, tổng hop
7 Ket cầu của đề tài
Ngoài phần mở đầu, kết luận, nội dung đề tài gồm 3 chương:
Chương 1: Cơ sở lý luận của pháp luật bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử thời kỳ cách mạng công nghiệp 4.0.
Chương 2: Thực trạng pháp luật Việt Nam về bảo vệ thông tin cá nhân của người tiêu
dùng trong thương mại điện tử thời kỳ cách mạng công nghiệp 4.0.
Chương 3: Kiến nghị hoàn thiện pháp luật Việt Nam về bảo vệ thông tin cá nhân của
người tiêu dùng trong thương mại điện tử.
Trang 14NOI DUNG KET QUA NGHIÊN CỨU
CHUONG 1: MOT SO VAN DE LY LUAN VE PHAP LUAT BAO VE THONGTIN CA NHAN CUA NGUOI TIEU DUNG TRONG THUONG MAI DIEN TU
THOI KY CACH MANG CONG NGHIEP 4.0
1.1 Khai quát về bảo vệ thông tin cá nhân của người tiêu dùng trong thương
mại điện tử thời kỳ Cách mạng công nghiệp 4.0
1.1.1, Khai niệm người tiêu dùng
Việc xác định rõ nội hàm của khái niệm NTD là kim chỉ nam cho việc nghiên cứu các nội dung khác trong pháp luật bảo vệ NTD Khái niệm này đã được nghiên
cứu thấu đáo ở nhiều góc độ khác nhau, cả ở góc độ kinh tế và góc độ pháp lý Kháiniệm NTD xuất hiện trong kinh tế học là phạm trù chỉ những chủ thé tiêu thụ của cảiđược tạo ra bởi nền kinh tế, họ tham gia các quan hệ dân sự nhằm mục đích tiêu thụnên được coi là chủ thể của luật dân sự Song, khái niệm NTD dưới góc độ pháp lý(xuất hiện cùng với sự ra đời của pháp luật bảo vệ NTD) có sự phân biệt so với kháiniệm NTD dưới góc độ kinh tế Bởi lẽ, NTD - đối tượng được bảo vệ theo pháp luật vềbảo vệ NTD được hưởng sự ưu tiên hơn so với những chủ thể luật dân sự khác trongcác giao dịch và giải quyết tranh chấp, sự ưu tiên này đặt ra vấn đề xác định đối tượngcần được pháp luật bảo vệ NTD điều chỉnh dé đảm bảo tính công bang trong áp dụngcác ưu đãi Do đó, khái niệm NTD dưới góc độ pháp lý không thể được sử dụngnguyên vẹn khái niệm NTD dưới góc độ kinh tế
Pháp luật các quốc gia trên thế giới có các định nghĩa khác nhau về NTD, song,đều được thể hiện ở ba van dé: (i) tư cách chủ thé; (ii) cách thức tiếp cận va (iii) mụcđích sử dụng hàng hóa dịch vụ Điều 2 Chi thị 2011/83/EU năm 2011 về quyền củaNTD của Liên minh Châu Au (EU) quy định: “Người tiêu ding được xác định là conngười tự nhiên, tham gia các hợp dong theo Chỉ thị này, cho các mục đích không phảithương mại, kinh doanh, thủ công hay nghề nghiệp ”, theo định nghĩa này NTD khôngbao gồm pháp nhân và không bao gồm người sử dụng, thụ hưởng hàng hóa dịch vụ màkhông trực tiếp giao kết hợp đồng với nhà sản xuất kinh doanh Điều 2 Luật bảo vệ
NTD Đài Loan năm 1994 quy định: “Người tiêu dùng được xác định là những người
x Nguyễn Thanh Lý (2019), “Bàn về khái niệm người tiêu dùng và cơ sở phát sinh quyền được bảo vệ của người
tiêu dùng”, Tap chí Nghề Luật, 6, tr 16 - 22.
Trang 15mua, sử dụng hàng hóa, dich vụ nhằm mục đích tiêu đừng ”“ Quy định này xác định
khái niệm NTD theo mục đích sử dụng hàng hóa dịch vụ Luật bảo vệ NTD Thái Lan
năm 1979 lại xác định khái niệm NTD theo hình thức tiếp nhận (mua, được cho, mời)hàng hóa, dịch vụ” Tại Hàn Quốc, Luật khung về bảo vệ NTD năm 2006 có cách tiếpcận độc đáo ở chỗ xác định NTD có mục đích sản xuất (production) ngoài mục đích sửdụng hàng ngày (daily use), nhưng phải được nêu rõ trong các nghị định của Tổngthống Hàn Quốc (Presidential Decree)5 Tại Việt Nam, theo quy định tại Khoản 1 Điều
3 LBVQLNTD năm 2010: “Người tiêu dùng là người mua, sử dụng hang hóa, dich vụ
cho mục dich tiêu dùng, sinh hoạt của cá nhân, gia đình, tổ chức ” Cũng tương tự nhưcác nước, định nghĩa về NTD trên đưa ra điều kiện về mục đích là “mục đích sinhhoạt, tiêu dùng” Tuy nhiên, so với pháp luật của nhiều nước trên thế giới thì đối tượng
được bảo vệ theo pháp luật bảo vệ NTD của Việt Nam có sự mở rộng hơn Theo tinh
thần của Luật Bảo vệ quyền lợi người tiêu dùng (LBVQLNTD) năm 2010 thì ngoàiđối tượng là các cá nhân, pháp luật Việt Nam còn coi các tổ chức cũng là NTD khi tổ
chức đó mua, sử dụng hàng hóa, dịch vụ cho mục đích sinh hoạt, tiêu dùng.
Hiện nay, việc xác định tô chức có được coi là NTD hay không còn có nhiều ýkiến khác nhau” Nhóm tác giả đồng tình với quan điểm xác định khái niệm NTD chỉgồm cá nhân mà không coi tô chức là NTD Bởi lẽ: (i) thứ nhất, theo pháp luật bảo vệNTD, NTD được hưởng sự ưu tiên hơn so với chủ thé luật dân sự khác trong các giaodịch với thương nhân bán hàng hóa, dịch vụ Điều này xuất phát từ sự yếu thế củaNTD như: thiếu thông tin về hàng hóa, dịch vụ, yếu thế về khả năng đàm phán khigiao kết hợp đồng, yêu thé về kha năng chịu rủi ro phát sinh trong quá trình tiêu dùng,hạn chế này thé hiện rõ ràng ở các cá nhân đơn lẻ hon so với tô chức; (ii) thứ hai, phápluật bảo vệ NTD được đặt ra dé hỗ trợ luật dân sự và thương mại dé khắc phục những
hạn chê của quyên tự do khê ước khi không có sự cân xứng về điêu kiện kinh tê, trình
4 › , x4 ‘
Ban dịch tiêng anh: The term “consumers” means those who enter into transactions, use goods or accept services for purpose of consumption”.
> Ban dịch tiếng anh: “Consumer” means those who use (including utilization; hereinafter the same shall apply)
goods and services provided by enterprisers for the purpose of daily use or production, prescribed by the Presidential Decree.
© Ban dich tiếng anh: “Consumer” means those who use (including utilization; hereinafter the same shall apply)
goods and services provided by enterprisers for the purpose of daily use or production, prescribed by the Presidential Decree.
Nguyễn Thanh Lý, tldd
Trang 16độ hiểu biết giữa các bên trong giao dịch chứ pháp luật bảo vệ NTD không thay thé
luật dân sự và thương mạiŠ.
Ngoài ra, có thể nhìn thấy hai hướng quy định về mục đích sử dụng hàng hóa
dịch vụ trong định nghĩa NTD Một là, quy định mục đích theo hướng loại trừ như
định nghĩa của EU: “cho các muc đích không phải thương mại, nghề nghiệp” Hai là,chỉ rõ mục đích sử dụng hàng hóa, dịch vụ “nhằm mục đích tiéu dung, sinh hoạt” theohướng quy định của Hàn Quốc, Đài Loan, Việt Nam, Mặc dù với cách tiếp cận mụcđích thứ hai có ưu điểm là nêu bật được mục đích sử dụng hàng hóa, dịch vụ của NTD
từ đó phân biệt rõ ràng với mục đích sử dụng hàng hóa dịch vụ cho các mục đích
thương mại, nghề nghiệp khác Tuy nhiên, nhóm tác giả cho rằng, cách thức tiếp cậnmục dich theo hướng loại trừ (không nhằm mục đích thương mại, nghề nghiệp) sẽ tạo
thuận lợi hơn trong việc áp dụng vào thực tiễn thực thi pháp luật và mở rộng phạm vi
bảo vệ NTD hơn Bởi lẽ, trong nhiều giao dịch có mục đích “trộn” (mixedtransactions) giữa mục đích tiêu dùng, sinh hoạt với mục đích kinh doanh, nghề
nghiệp, thì việc chứng minh mục đích tiêu dùng, sinh hoạt của nó thường khó khăn
hơn so với loại trừ mục đích thương mại, nghề nghiệp Vi dụ: Một giáo viên mua máytính xách tay về có thé vừa phục vụ cho công tác dạy học, vừa phục vụ cho các mụcđích cá nhân như: giải trí, nghiên cứu, Với cách tiếp cận theo hướng loại trừ như
định nghĩa của EU, việc xác định có phải là giao dịch tiêu dùng hay không phụ thuộc
vào mức độ “chủ yêu” (mainly) của mục đích trong các giao dịch có mục đích “tron”.
Tóm lại, nhóm tác giả thống nhất sử dụng định nghĩa NTD là cá nhân mua, sửdụng hàng hóa, dịch vụ cho các mục đích không phải thương mại, nghề nghiệp
1.1.2 Khái niệm thông tin cá nhân
Dưới góc độ ngôn ngữ, danh từ “thông tin” được hiểu là “điều được truyền đicho biết, tin truyền đi”, “cá nhân” được hiểu là con người riêng lẻ, phân biệt với tậpthé hoặc xã hội!? Hiểu theo nghĩa thông thường, TTCN là tất cả những sự kiện, tin
tức, chi tiêt liên quan đên một con người riêng biét.
PR 9D
Dưới góc độ pháp ly, thuật ngữ “thông tin cá nhân” được định nghĩa khác nhau
trong hệ thống pháp luật của các quốc gia trên thế giới Có hai định nghĩa được sử
B Trường Đại học Luật Hà Nội (2014), Giáo Trình Luật Bảo vệ quyển lợi người tiêu dùng, Nxb Công an nhân
dân, tr 14.
? Xem thêm: Rafal Manko (2013), Library of European Parliament, tr.2
'0 Hoàng Phê (2003), Từ điển Tiếng Việt, NXB Đà Nang, tr 100 và tr.953.
Trang 17dung phổ biến đó là dit liệu cá nhân (personal data), được sử dung trong GDPR của
EU và thông tin nhận dang cá nhân (personally indentifiable information — PII) được
sử dụng phổ biến tại Hoa Kỳ Sự khác biệt giữa hai thuật ngữ này khá mơ hồ, có thể
làm rõ hai khái niệm này qua khung pháp lý áp dụng chúng.
Đối với thuật ngữ dữ liệu cá nhân, Hướng dẫn của OECD năm 1980 là văn bản
đầu tiên đưa ra định nghĩa “dữ liệu cá nhân”, theo đó dữ liệu cá nhân là bat ky thong
tin nao liên quan tới một cá nhân được nhận dạng hoặc có khả năng nhận dang được,
cá nhân này gọi là chủ thé dữ liệu (data subject)!! Điều 4.1 GDPR của EU định nghĩa:
“Dữ liệu cá nhân bắt kỳ thông tin nào liên quan tới một con người tự nhiên được nhận
9912
dang hoặc có kha nang nhận dang được Định nghĩa nay có phạm vi bao quát
rộng, bao gồm tat cả các nguồn thông tin có khả năng nhận dạng được chủ thé dit liệu
Đối với thuật ngữ thông tin nhận dạng cá nhân (PII), thuật ngữ này xuất hiệntrong nhiều văn bản khác nhau trong khung pháp lý tại Hoa Kỳ So với EU, Hoa Kỳ cómột hệ thống pháp luật đa dang hơn với hệ thống các quy định của liên bang, tiêu bang
và các hướng dẫn được phát triển bởi các cơ quan của Chính Phủ tuy không có hiệulực pháp luật nhưng là một phần của nguyên tắc và khuôn khô tự quản lý Một số vanbản nôi bật định nghĩa về PII có thé kế đến như: Đạo Luật quyên riêng tư (US PrivacyAct of 1974), Đạo Luật về Trách nhiệm giải trình và Cung cấp thông tin bảo hiểmy tế(Health Insurance Portability Accountability Act — HIPAA), Đạo luật bảo vệ quyền
riéng tu cua tré em trén mang (The Children's Online Privacy Protection Act
-COPPA), Ngoai ra, PII con được định nghĩa trong các văn bản hướng dẫn của co
quan Chính Phủ như: Hiệp hội Thương mại Liên Bang (The Federal Trade
Commission — FTC), Ủy ban Truyền thông Liên Bang (The Federal CommunicationsCommission - FCC), Viện Tiêu chuẩn va Công nghệ Quốc gia (The National Institute
of Standards and Technology - NIST) Thông tin nhận dang cá nhân được định nghĩa
là bat kỳ thông tin nào góp phần nhận dang một cá nhân PII chia làm hai nhóm: (i)Thông tin được liên kết: là các thông tin cá nhân được sử dụng dé nhận dạng một cánhân như tên đây đủ, địa chỉ nhà, địa chỉ email, số bảo hiểm y tế, số hộ chiếu, số bằnglái xe, số thẻ tin dụng, ngày sinh, số điện thoại, (ii) Thông tin có khả năng liên kếtđược: là thông tin mà tự thân thông tin này không nhận dạng được một cá nhân cụ thểnhưng khi kết hợp với các thông tin khác thì có thể nhận dang, theo dõi và xác định vi
trí của một cá nhân cụ thê như chỉ họ hoặc tên, quôc gia, bang, thành phô, mã vận đơn,
!! Nguyên văn tiếng anh: "personal data" means any information relating to an identified or identifiable
individual (data subject)
'2 Nguyên van tiêng anh: “personal data” means any information relating to an identified or identifiable natural
Trang 18giới tính, chủng tộc, tuổi tác, nghề nghiệp, Một số loại thông tin nằm ngoài định
nghĩa PII là: device IDs!3, địa chỉ IP!*, cookies!° Các thông tin này lại được coi là dữ
liệu cá nhân theo quy định của EU.
Có thể thấy phạm vi định nghĩa dữ liệu cá nhân của EU rộng hơn phạm vi của
định nghĩa PII của Hoa Kỳ Tuy nhiên, tại một vài bang của Hoa Kỳ, như California,
các thông tin như Device IDs, địa chỉ IP, cookies vẫn được coi là PII Các thông tin
này cũng được coi là PII trong văn bản hướng dẫn của FTC va NIST Rất có thé trong
tương lai các bang khác tại Hoa Kỳ sẽ quy định theo hướng mở rộng như vậy.
Tại Việt Nam, khái niệm “thông tin cá nhân” được định nghĩa trong các văn bản
quy phạm pháp luật khác nhau từ cấp độ luật đến các văn bản hướng dẫn Theo khoản
15 Điều 3 Luật An toàn thông tin mạng năm 2015 quy định: “7hông tin cá nhân làthông tin gắn với việc xác định danh tính của một người cụ thể” Nghị định52/2013/NĐ-CP về Thương mại điện tử cũng có quy định về định nghĩa TTCN tạikhoản 13 Điều 3: “Thông tin cá nhân là các thông tin góp phân định danh một cánhán cụ thể, bao gom tén tudi, dia chi nha riéng, số điện thoại, thông tin y té, so tàikhoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cánhân mong muốn giữ bi mật” Có thê thay, hai định nghĩa này có phạm vi không giốngnhau Nghị Định 52/2013/NĐ-CP xác định TTCN gồm hai đặc điểm: (i) là các thôngtin góp phần định danh một cá nhân cụ thé và (ii) thông tin ma cá nhân mong muốn
giữ bí mật Việc quy định như vậy có sự thu hẹp phạm vi khi xác định TTCN so với
quy định của Luật An toàn thông tin mạng năm 2015 Như vậy, trong hệ thống phápluật của Việt Nam, định nghĩa về TTCN chưa có sự thống nhất
Việc xác định rõ phạm vi của TTCN là vô cùng quan trọng Không thể bảo vệTTCN hiệu quả nếu không xác định được thông tin nào được coi là TTCN Trong thờiđại thông tin, định nghĩa rộng về TTCN theo hướng quy định của EU là phù hợp hơn
cả Bởi dưới sự hỗ trợ của các công nghệ phân tích trong thời kỳ cách mạng côngnghiệp 4.0, một cá nhân cụ thé có thé được liên kết với các số nhận dạng trực tuyến
được cung cấp bởi các thiết bị, ứng dụng, công cụ Dia chi IP, ID hay cookies khi két
'3 ID là viết tắt của từ identification, là một dãy mã số hoặc chữ số để nhận dạng và xác định danh tính của một người cụ thể trên một hệ thống thông tin nhất định Tùy thuộc vào từng hệ thống thông tin mà mỗi cá nhân được
yêu cầu cung cấp các thông tin khác nhau cho ID Một số thuật ngữ phổ biến liên quan đến ID thường gặp như: Thẻ ID (Visa, thẻ ATM, thẻ căn cước công dân, ), User ID (Tài khoản email, tài khoản mạng xã hội, tài khoản trò chơi điện tử, ).
! Địa chỉ IP (IP viết tắt của từ Internet Protocol) là số định dạng cho một phần cứng mạng, các thiết bị sử dụng địa chỉ IP để liên lạc với nhau qua mạng.
'5 Cookie là một tệp được tự động tạo ra trong máy tính Mỗi khi người dùng truy cập vào một trang web nào đó,
cookie sẽ lưu lại thông tin duyệt web, duy trì trạng thái đăng nhập, ghi nhớ các tùy chon mà người dùng đã thực
hiện trên trang web và cung cấp nội dung phù hợp với vị trí của người dùng.
Trang 19hợp với các thông tin gốc đã được định danh khác trong máy chủ có thể tạo được hồ sơxác định danh tính của một người cụ thé.
1.1.3 Khái niệm thông tin cá nhân của người tiêu dùng
TTCN là bat kỳ thông tin nào để xác định được hay có thé xác định được danh
tính của cá nhân đó NTD là cá nhân mua, sử dụng hàng hóa, dịch vụ cho các mục đích
không phải thương mại, nghề nghiệp TTCN của NTD theo đó được hiểu là bất kỳthông tin nào để xác định được hay có thé xác định được danh tính của NTD đó Do
đó, loại TTCN này mang các đặc trưng do quan hệ thương mại mang lại Cụ thé:
Thứ nhất, các loại TTCN của NTD được các doanh nghiệp thu thập rất đa dạng
Để thực hiện giao dịch, NTD và doanh nghiệp phải cung cấp các thông tin cần thiếtcho nhau Đối với NTD, các thông tin mà NTD thường xuyên cung cấp khi tham giacác giao dịch như: thông tin về địa chỉ nhà riêng, số điện thoại, hồ sơ y té, tai khoanemail, số tài khoản ngân hang, số chứng minh thư/căn cước công dan, Ngoài cácthông tin tối thiêu đó, NTD thường được khuyến khích cung cấp nhiều thông tin khác
về mình hơn, kể cả những thông tin “nhạy cảm” (sensitive information) như nghềnghiệp, tình trạng bệnh tật, thông số hình thể, địa vị xã hội, hoặc các thông tin khônggan với việc xác định danh tinh của NTD nhưng cũng rất được các doanh nghiệp quantâm như: thói quen cá nhân, thói quen mua sắm nhằm giúp các doanh nghiệp cungcấp được hàng hóa dịch vụ phù hợp nhất với nhu cầu của khách hàng Trong thời đại
cách mạng công nghiệp 4.0, với sự hỗ trợ công nghệ, các loại TTCN của NTD được
doanh nghiệp thu thập ngày càng da dang hơn nữa Bao gồm các dữ liệu thu thập được
từ hoạt động tương tác của NTD với các trang web, ứng dụng, mạng xã hội, của
doanh nghiệp; các dữ liệu chỉ tiết về lịch sử các giao dịch mua hàng, thông tin sử dụngsản phẩm (mức độ lặp lại của việc mua một mặt hàng nhất định, phản hồi của kháchhang, ), thậm chi cả các dữ liệu định tính như thông tin di chuyên của con chuột máy
tính.
Thứ hai, TTCN của NTD được thu thập với nhiều cách thức khác nhau Trong
đó, có thé khái quát ba cách cơ bản: (i) hỏi trực tiếp khách hàng, (ii) gián tiếp theo dõikhách hàng và (iii) kết hợp các nguồn dữ liệu khác của khách hàng với nguồn dữ liệugốc sẵn có Ngay từ khi chưa có sự xuất hiện của TMĐT, với các thức giao dịch truyềnthống tại các cửa hàng, các nhân viên cửa hang đã có những cách thức thu thập dữ liệu
về các mẫu mua của khách hàng và gửi cho họ các danh mục mẫu mã sản phẩm dựatrên các lần mua trước Các nhà bán lẻ như siêu thị, cửa hàng bách hóa, ké từ nhữngnăm 1980 đã “ghi nhớ” thói quen mua sắm của khách hàng bằng cách liên kết với mã
Trang 20vạch trên thẻ “khách hàng thân thiết” của khách hàng khi thanh toán Dù vậy, hầu hếtcác nhà bán lẻ thời đó không tìm hiểu chi tiết về khách hàng của họ hay cố gang “theo
dõi” mọi thông tin liên quan của khách hang'® Trong thời đại công nghệ, TTCN của
NTD có thé được thu thập từ mọi ngóc ngách, từ trang web NTD truy cập, mang xãhội, điện thoại di động, camera trong cửa hàng, đồng hồ điện tử đeo tay,
Thứ ba, TTCN của NTD được xử lý cho nhiều mục đích khác nhau
Một là, để cải thiện trải nghiệm của khách hàng Bằng cách phân tích các hành
vi, đánh giá, phản hồi của khách hang, các doanh nghiệp có thé nhanh chóng cải thiệnsản phẩm, dich vụ cung cấp cho NTD
Hai là, dé tinh chỉnh chiến lược tiếp thị của doanh nghiệp, các TTCN của NTD
có thê được thu thập về dé phân tích cách NTD tương tác và phản hồi với các chiếndịch truyền thông của doanh nghiệp Từ đó, giúp doanh nghiệp có những điều chỉnhphù hợp về tiếp thị Các doanh nghiệp hiện nay thường hướng đến mục tiêu cá nhânhóa trong tiếp thị Ví dụ, NTD tìm kiếm một hàng hóa cụ thể trên Google thì ngay sau
đó sẽ nhận được các quảng cáo tiếp thị về sản phẩm đó ở các trang web khác họ truycập hoặc trên mạng xã hội Việc tiếp thị này sẽ liên tục hiển thị đến khi các công cụphân tích dit liệu của doanh nghiệp nhận được các kết luận mới về hành vi và tương
tác cua NTD.
Ba là, doanh nghiệp thu thập và xử ly TTCN của NTD dé tim kiếm lợi nhuận.Đối với các doanh nghiệp có lưu trữ lượng lớn TTCN của NTD, điển hình là cácdoanh nghiệp hoạt động TMDT, lượng dữ liệu này có thé trở thành dòng doanh thu lớnnếu doanh nghiệp bán TTCN của NTD cho các nhà quảng cáo Đây là mục đích màdoanh nghiệp thường không công khai hoặc cố gắng phủ nhận Tuy nhiên, khi nhu cầu
về dit liệu ngày càng gia tăng, thị trường mua bán TTCN của NTD luôn tồn tại và làvan dé lo ngại đối với NTD
Bốn là, TTCN của NTD được doanh nghiệp sử dụng như một công cụ bảo mật.Các thông tin như dau vân tay, giọng nói, nhận dạng khuôn mặt, có thể được sửdụng dé gia tăng tính bao mật khi sử dụng sản phẩm dịch vụ của NTD
'6 Joseph Turow (2018), Americans and Marketplace Privacy: Seven Annenberg National Surveys in
Perspective, in trong cuôn: The Cambridge Handbook of Consumer Privacy, edited by Evan Selinger, Cambridge University Press, tr 151.
Trang 21Tóm lại, TTCN của NTD là tập hợp tất cả các đữ liệu về NTD do nhà cung cấp
hàng hóa, dịch vụ thu thập và quản lý trong quá trình thực hiện giao dịch với khách
hàng, qua khảo sát hoặc qua phân tích với sự hỗ trợ của công nghệ
1.1.4 Khái niệm thương mai điện tir
Sự phát triển và bùng nỗ của hệ thống mạng Internet và công nghệ thông tin đãtạo nền tang cơ sở cho sự ra đời của TMĐT, đánh dau những thay đổi đáng kinh ngạctrong hoạt động thương mại trên toàn cầu Thuật ngữ “Thương mại điện tử” trongtiếng Anh là “electronic commerce” (viết tat là e-commerce), thé hiện bản chất củaTMĐT được công nhận rộng rãi đó là sự kết hợp của hai yếu tổ “thương mại”(“commerce”) và điện tử (“electronic”) Nói cụ thé hơn, TMĐT được hiểu là một lĩnh
vực mà các hoạt động thương mại được hỗ trợ bởi các phương tiện, công cụ điện tử
Tuy nhiên, ngay chính định nghĩa của hai yêu tố này không hoàn toàn thống nhất donhững quan niệm khác nhau về phạm vi và quy mô của chúng,! vì vậy cũng chưa cómột khái niệm chung trên toàn thế giới về TMĐT Trong lĩnh vực pháp luật, có haiđịnh nghĩa chính về TMĐT được ghi nhận đó là TMĐT theo nghĩa rộng và theo nghĩa
hẹp.
Theo nghĩa rộng, TMĐT là toàn bộ các hoạt động thương mại được thực hiện
thông qua các phương tiện điện tử nói chung như fax, điện thoại, các hệ thống máytính kết nối với nhau thông qua mạng lưới như Internet Đây là định nghĩa được ghinhận tiêu biểu trong Luật mẫu của Ủy ban Luật Thương mại Quốc tế của Liên hợpquốc (UNCITRAL) về TMĐT năm 1996 và Sáng kiến của Châu Âu về TMĐT TrongLuật mẫu của UNCITRAL về TMĐT, TMĐT là việc sử dụng “thdng tin dưới dangmột thông điệp dữ liệu trong khuôn khổ các hoạt động thương mại ”.'Š Thông điệp ditliệu chính là phần nội dung, cốt lõi được trao đổi thông qua các phương tiện điện tửnói chung cho thay phạm vi và quy mô rộng lớn của yếu tố “điện nr” trong TMĐTchứ không phải chỉ thông qua một số phương tiện điện tử nhất định nào Tương tự nhưquy định của Luật mẫu, Ủy ban Châu Au cũng nêu ra thuật ngữ “di liéu điện tir” chothấy phạm vi bao trùm của “điện tử” trong TMBT!’ Các hoạt động thương mai sẽđược thực hiện dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng chữ, âm thanh
và hình ảnh Có thể kết luận rằng, TMDT hiểu theo nghĩa rộng là việc toàn bộ các hoạt
M7 Hoàng Thị Phương Thao (Chủ biên), Nguyễn thi Bich Trâm, Ngô Thi Phương Anh, Nguyễn Thi Hanh (2016),
Thương mại điện tử, Nxb Lao động, 2016, tr.2.
'8 1 uật Mẫu của UNCITRAL về Thương mại điện tử năm 1996, Điều 1
Lễ Sáng kiến của Châu Âu về Thương mại điện tử, Phần I - Cuộc cách mạng TMĐT
Trang 22động tài chính và thương mại được thực hiện nhờ cơ sở dữ liệu được truyền tải thông
qua tất cả các phương tiện điện tử chứ không chỉ qua hệ thông mạng Internet Khôngthé phủ nhận tinh bao trùm, tổng quát van đề của định nghĩa này vì thực tiễn đây làmột hoạt động có phạm vi rộng lớn va có tốc độ phát triển nhanh chóng Theo địnhnghĩa này, TMĐT không phải là van dé mới mẻ và đã tồn tại từ rat lâu với sự ra đời sơ
khai của những phương tiện như telex, fax ”
Theo nghĩa hẹp, hoạt động thương mại trong TMĐT được thực hiện trong một
phạm vi cụ thể hơn đó là mạng Internet Một số tô chức quốc té trong đó nôi bật là Tổchức Thương mại Thế giới (WTO) và Tổ chức Hợp tác và Phát triển Kinh tế (OECD)
đã ghi nhận định nghĩa TMĐT theo xu hướng này Định nghĩa về TMĐT đơn giảnnhất được WTO đưa ra đó là: “TMDT bao gôm việc sản xuất, quảng cáo, ban hang vàphân phối sản phẩm được mua bán và thanh todn trên mang Internet nhưng duoc giaomột cách hữu hình và cả các sản phẩm được giao nhận như những thông tin số hóa
thông qua mạng Internet ”.?' Thương mại ở trong định nghĩa này đã có phạm vi hep
xoay quanh việc sản xuất, mua bán và thanh toán sản pham và dựa trên phương tiệnđiện tử là mang Internet Theo OECD, “Thwong mại điện tử liên quan đến các giaodich thương mại trao đổi hàng hóa và dich vụ giữa các nhóm (cá nhân) mang tinhđiện tử chủ yếu thông qua các hệ thống có nên tảng dựa trên Internet” Các phươngtiện thông tin liên lạc bao gồm email, EDI, Internet và Extranet được dùng để hỗ trợ
TMDT Như vậy, định nghĩa theo nghĩa hep đã thu nhỏ phạm vi và quy mô của
“thương mại” và “điện tử” trong đó nhẫn mạnh Internet như nền tang chủ chốt cho cáchoạt động TMĐT được diễn ra chứ không đề cập đến các phương tiện điện tử khácnhư điện thoại, fax Đây là định nghĩa xuất hiện sau và bắt đầu phô biến những nămgan đây ghi nhận vai trò to lớn cua Internet đối với TMĐT, tạo ra một cuộc cách mạng
thay đôi cách thức mua săm của con người.
Trong hệ thống pháp luật nước ta, cũng chưa có một định nghĩa chính xác, cụthé cho thuật ngữ TMĐT Tuy nhiên, Nghị định số 52/2013/NĐ-CP của Chính phủngày 16/05/2013 về TMĐT đã đưa ra định nghĩa về hoạt động TMDT tại khoản 1 Điều
3 như sau: “Hoạt động thương mại điện tử là việc tiễn hành một phần hoặc toàn bộquy trình của hoạt động thương mại bằng nhiều phương tiện điện tử có kết noi vớimang Internet, mang viễn thông di động hoặc các mạng mở khác ” Có thể nhận thấy,quan điểm này của pháp luật Việt Nam có những điểm tương đồng với định nghĩa rộng
? Ao Thu Hoài (Chủ biên), Nguyễn Viết Khôi (2015), Thương mại điện tử, Nxb Thông tin và Truyền thông, tr
24-26.
*1 Mare Bacchetta (1998), Thương mại điện tử và vai trò của WTO, WTO Publication, tr 1
Trang 23của TMĐT khi không giới hạn phạm vi của các hoạt động thương mại hay chi tập
trung vào nén tang Internet
Trong bối cảnh thực tiễn hiện nay, các phương tiện điện tử đã tiếp tục củanhững bước phát triển vượt bậc Ngoài sự thống lĩnh của Internet trên thị trường,những hình thức mua bán thanh toán qua mạng di động cũng bắt đầu xuất hiện và cónhững bước tiến lớn (điển hình như dịch vụ thanh toán qua mạng Viettel trong cơ sở
hạ tầng, kinh tế của Việt Nam) hay trong tương lai gần cũng sẽ nhanh chóng xuất hiệncác phương tiện mới hơn nữa Chính vì vậy, định nghĩa theo nghĩa rộng vẫn cho thấy
ưu thé vi tính bao trùm và có thé dự liệu thực tế Do đó, thông qua các phân tích trên,chúng tôi xin đưa ra định nghĩa về TMĐT như sau: “Thuong mại điện tử là việc tiễnhành một phan hoặc toàn bộ quy trình của hoạt động thương mại thông qua cácphương tiện điện tử có kết nối với mang Internet, mạng viễn thông di động, các mang
mở khác `.
1.1.5 Sự can thiết bảo vệ thông tin cá nhân của người tiêu dùng trong thương mai
điện tử
1.1.5.1 Quyên riêng tw đối với thông tin cá nhân của người tiêu dùng
Quyền được bảo vệ TTCN của NTD được tiếp cận dưới góc độ bảo vệ quyềnriêng tư của con người Quyền riêng tư là quyền cơ bản của con người Sự riêng tư cóhai chức năng chính đó là giải phóng con người khỏi sự xâm phạm về mặt vật lý(Freedom from Physical access) và thúc đây độc lập trong hành động (Promoting
Liberty of action) Thông qua việc ngăn chặn các hành vi xâm phạm tới một cá nhân,
sự riêng tư tách cá nhân khỏi sự phân tâm va các yếu tổ cản trở nảy sinh từ việc tiếpxúc với người khác Chỉ khi có được sự tập trung trong không gian cá nhân cả về mặtvật chat lẫn tinh thần, các hoạt động như học tập, sáng tác, hay các hoạt động sáng tạo
khác của cá nhân mới đạt được hiệu quả Những hoạt động này không chỉ g1úp cá nhân
trang bị thông tin, kiến thức và kỹ năng cơ bản, hơn thế nữa còn giúp phát triển nănglực tinh thần và dao đức, giúp cá nhân có được sự tự chủ và sức mạnh tinh thần choriêng mình Giới hạn sự tiếp cận từ bên ngoài cũng cho phép mỗi cá nhân có được phút
thánh thoi (relax) va bảo vệ những mối quan hệ, những khía cạnh nhạy cảm của đời
sông cá nhân Sự riêng tư còn bảo vệ chúng ta khởi sự chỉ trích và thói tò mò để có thé
trở nên mạnh dạn hơn, thúc đây tự chủ cá nhân và cả các môi quan hệ giữa người với
Trang 24người Đôi với xã hội, bảo vệ sự riêng tư của cá nhân là cân thiệt cho một xã hội dân
chủ bởi nó thúc đây sự tự chủ của mỗi công dan.”
Xuất phát từ lịch sử ra đời và phát triển của tư tưởng về quyền riêng tu, dé thayđược rang, dù ở thời kì nào, con người cũng có nhu cầu được bảo vệ quyên riêng tư vànhu cầu này luôn tăng lên cùng với sự phát triển của xã hội Ngay từ hình thái xã hộichiếm hữu nô lệ, quyên riêng tư đã được thai nghén trong các quy định pháp luật, tôn
giáo, hay những học thuyết khoa học xã hội Chang hạn như, triết hoc của Aristotle
(384-322 TCN) có đề cập đến sự phân chia giữa không gian của những hoạt động
chính trị (gọi là Polis) và không gian cá nhân (gọi là Oikos) Tuy nhiên, trong thời kỳ
này, quyền riêng tư chỉ dừng lại ở nhận thức về sự bảo vệ đối với tài sản hữu hình, tínhmạng, sức khỏe của cá nhân chứ chưa đề cập đến việc bảo vệ những giá trị vô hìnhnhư sở hữu trí tuệ, danh dự, nhân phẩm và thương tôn vật chất Đến thời Trung cô, với
sự phát triển của giao thương và chủ nghĩa tư bản, những nên tảng vật chất, xã hội thờinày đã tạo cơ sở cho sự mở rộng tư tưởng của con người về quyên riêng tư, phạm viquyền riêng tư lúc bấy giờ không chi là riêng tư về mặt vật chất mà cả về mặt tinhthần Cho tới những năm 40 của thế kỷ 20, tư tưởng quyên riêng tư của con người mớibước vào giai đoạn phát triển cực thịnh Điều 12 Tuyên ngôn thế giới về nhân quyền(UDHR) năm 1948 và Điều 17 Công ước quốc tế về các quyền dân sự và chính trị đãkhang định: “ Không ai bị can thiệp một cách tùy tiện hoặc bat hợp pháp vào đời sốngriêng tư, gia đình, nhà ở, thư tín, hoặc bị xâm phạm bất hợp pháp đến danh dự và uytín Mọi người déu có quyền được pháp luật bảo vệ chong lại những can thiệp hoặcxâm phạm như vậy”?3 Theo đó, đời sống riêng tư, gia đình, nhà ở, thư tín của conngười là bất khả xâm phạm và những hành vi xâm phạm tùy tiện, bất hợp pháp đều bịngăn chặn Có thé thay, quyền riêng tư là một quyền cơ bản và vô cùng quan trọng vớicon người Chỉ khi tồn tại quyền riêng tư, con người mới được bảo toàn giá trị cá nhânmột cách toàn diện, được tự do phát triển, sang tạo trong không gian riêng của mình
Đối với TTCN, từ khi khái niệm đời sống riêng tư ra đời, quyền riêng tư đối vớiTTCN mới thật sự được thể hiện rõ nét Bởi lẽ, định nghĩa “đời sống riêng tư” là mộtphạm vi rất rộng, bao hàm tất cả những gì thuộc về cá nhân, do cá nhân kiểm soát,trong đó có TTCN Bởi vậy, cũng như đời sống riêng tư, không ai có quyền can thiệpmột cách tùy tiện và bat hợp pháp đối với TTCN của người khác mà không có sự đồng
ý của người đó, trừ khi pháp luật có quy định trong những trường hợp đặc biệt vì mục
2 Ruth Gavision (2012), Privacy and the Limit of the law, tr 444 — 445.
23 Khoa Luật Đại hoc quốc gia Hà Nội (2012), Giới thiệu Công ước quốc tế về các quyén dân sự và chính tri
(ICCPR, 1966), NXB Hồng Đức, Hà Nội, tr.255.
Trang 25đích công TTCN của NTD là một khía cạnh của TTCN nên việc bảo vệ TTCN cua
NTD chính là thực thi quyền riêng tư của con người
1.1.5.2 Kha năng xay ra hành vi xâm phạm thông tin cá nhân người tiêu dùng
trong thương mai điện tử
TMDT là một phương thức giao dịch tiện ich cho cả NTD và doanh nghiệp, tuy
nhiên đi cùng với nó là những rủi ro về an toàn TTCN Bởi lẽ, TMĐT là phương thứcgiao dịch gan VỚI VIỆC truyền dẫn dữ liệu điện tử - dạng thức lưu trữ TTCN của NTD.Như đã khăng định về vai trò của TTCN của NTD trong thương mại, TTCN của NTD
là “mặt hàng” có giá trị được săn lùng không chỉ bởi các doanh nghiệp mà còn bởi các
tội phạm công nghệ Do đó, cần có các biện pháp đảm bảo an toàn TTCN trước các rủi
ro tân công an ninh mạng.
Bên cạnh đó, một thực trạng đặt ra là những thương nhân có quyền thu thập
thông tin NTD khi tham gia hoạt động TMĐT lại thường hướng tới mục đích lợi
nhuận của riêng bản thân mình nên việc đầu tư cho công tác bảo mật thông tin khách
hàng dường như ít được quan tam Thậm chí, đôi khi TTCN của NTD trở thành một
món hàng hóa có thé sinh lợi thì các chủ thé dang nam giữ nó sẵn sàng trao đổi, muabán, chia sẻ thông tin đó mà không hề quan tâm tới quyền lợi của NTD Ngược lại,NTD thường ở vi trí yếu thé trong mối quan hệ với các t6 chức, cá nhân kinh doanh,đặc biệt khi chịu sự chi phối của yếu tố công nghệ thì sự bất cân xứng về thông tin,
hiểu biết, trình độ khoa học kĩ thuật giữa các bên càng rõ nét hơn dẫn đến NTD không
thé tự mình kiểm soát một cách trọn vẹn những thông tin mình đã cung cấp Bởi vậy,việc đặt ra van đề bảo vệ TTCN của NTD trong TMDT là vô cùng cần thiết
1.1.5.3 Bao vệ thông tin cá nhân của người tiêu dùng tao động lực cho sự phat
triển của hoạt động thương mại điện tử
NTD là một nhân tố rất quan trọng đối với sự phát triển của hoạt động thươngmại, là đối tượng hướng tới của mọi doanh nghiệp Nhu cau, sở thích của NTD chính
là động cơ thúc day sự cạnh tranh giữa các doanh nghiệp Sự thành bai của doanhnghiệp phụ thuộc vào mức độ tin dùng của NTD đối với doanh nghiệp đó Hoạt động
TMĐT cũng không phải là một ngoại lệ, lượng cá nhân tham gia TMDT càng lớn thì
mức độ xã hội hóa càng cao Điều này tạo ra một thị trường rộng lớn cho các doanhnghiệp, thúc day doanh nghiệp lựa chọn TMĐT làm kênh phân phối sản phẩm củamình Bởi vậy, NTD chính là động lực phát triển cho hoạt động TMDT
Trang 26Để thu hút NTD tham gia hoạt động TMĐT, ngày nay, các doanh nghiệpthường sử dụng đến một phương pháp được coi là rất hữu ích và cũng ít tốn kém nhất,
đó là khai thác chính TTCN của NTD để tiếp cận và duy trì quan hệ với NTD Phươngpháp này xuất phát từ vai trò của TTCN NTD trong hoạt động thương mại nói chung
và trong hoạt động TMDT nói riêng.
Trong hoạt động TMDT, điểm đặc thù trong việc thu thập va sử dụng TTCNNTD là sự can thiệp của yếu tố công nghệ trong suốt quá trình này TMĐT là phương
thức giao dịch gan VỚI VIỆC truyền dẫn di liệu điện tử và TTCN của NTD thì được lưu
trữ dưới dạng dữ liệu điện tử Do đó, TTCN của NTD thường xuyên được thu thập, sử
dụng không chỉ với mục đích phục vụ cho giao dịch hiện tại mà còn được lưu trữ déphục vụ cho các giao dich trong tương lai Cụ thé, các doanh nghiệp ngày nay thườngchú trọng đến việc xây dựng và khai thác dit liệu khách hàng, với tên gọi “quản ly
quan hệ khách hàng” (hay Customer relationship management — CRM) Thông qua
CRM, các doanh nghiệp tiếp cận và giao tiếp với khách hàng một cách có hệ thống vàhiệu quả nhằm phục vụ khách hàng tốt hơn để duy trì mối quan hệ với khách hàng, lôikéo khách hàng cũ trở lại, giảm chi phí tiếp thị và mở rộng dịch vụ khách hàng Bằngviệc dò tìm, phân tích dữ liệu, doanh nghiệp có thé xác định danh sách khách hàngtiềm năng và lâu năm dé dé ra chiến lược chăm sóc khách hàng hợp lý Với sự hỗ trợ
của các xu hướng công nghệ mới mà cuộc Cách mạng công nghiệp 4.0 mang lại,
những bộ chip phân tích, xử lý dữ liệu hiện đại đã được thiết kế dé trích xuất ra nhữngsuy luận và tương quan ấn hoặc không thé đoán trước được từ các thông tin mà NTDthậm chí không cung cấp nhưng lại được tiết lộ thông qua các kênh khác (informationexternalities22) Chang hạn như thông qua thông tin về nơi ở của khách hang có thé dựđoán điều kiện kinh tế của khách hàng, từ tên của khách hàng có thé suy ra chủngtộc, Bằng hệ thống phân tích dữ liệu lớn và trí tuệ nhân tạo, những công việc này cóthé được thực hiện trong thời gian tính theo đơn vị giây và trả lại những kết quả đángkinh ngạc Một khi doanh nghiệp có được thông tin của NTD, kết hợp với những bộ
xử lý hiện đại này thì việc tìm kiếm khách hàng tiềm năng là vô cùng đơn giản, việc
mở rộng thị phan từ đó cũng trở nên dé dàng Việc quản ly tốt quan hệ khách hangcũng giúp cải thiện mối quan hệ giữa khách hàng với nhân viên khi khách hàng cảmthay mình luôn được quan tâm Từ đó, doanh nghiệp có thé nhanh chóng củng cố, mở
24 “Information externalities” là thuật ngữ tiếng Anh chỉ những thông tin được công khai do một số người tiết 16 thông tin về người khác Ví dụ: Cảnh sát biết rằng tên tội phạm gây án thuận tay trái, hai trong ba tên tội phạm
tình nghi là người thuận tay phải, vậy tên còn lại khả năng cao chính là tên tội phạm cảnh sát đang tìm kiếm, cảnh sát năm được điều này ngay cả khi tên còn lại đó không công khai bất cứ thông tin gì Xem thêm: Mark MacCarthy (2011), New Directions in Privacy: Disclosure, Unfairness and Externalities, //S: A journal of law and policy for the Information Society, vol.6, no.3.
Trang 27rộng việc kinh doanh của minh mà không cân tôn kém quá nhiêu chi phí, vừa dat được
sự hài lòng của khách hàng, vừa đạt được lợi nhuận tối đa trong kinh doanh
Với tầm quan trọng đó, TTCN của NTD đang dần trở thành một “mặt hàng kinhtế” vô cùng có giá trị với doanh nghiệp Tuy nhiên, song song với điều này lại lànhững mối lo lang rất lớn với NTD bởi sự lạm dụng TTCN từ chính doanh nghiệp và
sự xâm phạm của những chủ thể khác trong môi trường mạng mà NTD khó có thểkiểm soát Theo đánh giá của các doanh nghiệp trong ân phẩm Sách trang TMĐT củaCục TMĐT và Kinh tế số qua các năm, việc khách hàng lo ngại TTCN bị tiết lộ, mua
ban là một trong những khó khăn, trở ngại khi vận hành website TMDT Nguyên nhân
xuất phát từ việc trong môi trường mua sắm trực tuyến, việc tạo dựng lòng tin vớiNTD thường khó khăn hơn do đây là môi trường mua sắm với các yếu tô đặc thù như:tinh bất định, tính ân danh, sự phức tạp và rủi ro tiềm tàng từ các yếu tố công nghệ.Doanh nghiệp bán hàng trực tuyến không thê kiểm soát trực tiếp niềm tin của kháchhàng mà chỉ có thể xây dựng niềm tin thông qua việc tạo ra một môi trường giao dịchkhiến khách hàng cảm thấy tin tưởng Vì trong TMĐT, việc thu thập TTCN là yêu cầubắt buộc thiết yếu nên chỉ băng cách xây dựng các hệ thống trao đổi đữ liệu an toàn,hiệu quả và đáng tin cậy, doanh nghiệp mới có thê xóa bỏ những lo ngại của NTD khitham gia TMĐT, khuyến khích NTD sử dụng phương thức giao dịch tiện ích này Nhưvậy, có thể khăng định rằng, bảo vệ TTCN của NTD chính là tạo động lực cho sự pháttriển của hoạt động TMĐT
1.1.6 Những phương thức cơ bản bao vệ thông tin ca nhân của người tiêu dùng
Các phương thức bảo vệ TTCN của NTD đều hướng tới việc điều chỉnh tráchnhiệm của các chủ thể trong việc thu thập, khai thác cơ sở dữ liệu TTCN một cáchđàng hoàng, chính đáng, tôn trọng quyền con người và tôn trọng pháp luật mà khôngtạo ra các rào cản bat hợp lý đối với việc trao đôi thông tin, qua đó thúc đây kinh tếphát triển Khái niệm “Những hoạt động thông tin đúng mực” (Fair InformationPractices - FIPS) xuất hiện lần đầu tiên trong Báo cáo của Ủy ban cé van ngoại trưởng
về hệ thống dữ liệu cá nhân tự động vào năm 197375 Một số nguyên tắc về hoạt động
thông tin đúng mực (Fair Information Practice Principles - FIPPS) được đưa ra bao
gồm những yêu câu về nội dung như: mục đích, giới hạn, chất lượng thu thập thôngtin; va thủ tục thông tin như trình tự truy cập va chấp thuận xử lý thông tin Cácnguyên tắc này sau đó đã được sử dụng rộng rãi trong pháp luật bảo vệ quyền con
?Š Ngô Vĩnh Bạch Dương (2019), “Bảo vệ thông tin người tiêu dùng”, Tạp chí Lập pháp, 3, tr.22
Trang 28người và tiếp tục phát triển Trong đó, có bản Hướng dẫn của OECD năm 1980, đãđược cập nhật năm 2013 với tắm nguyên tắc cơ bản về bảo vệ đữ liệu vẫn giữ được sựhợp lý đối với bối cảnh hiện nay Việc xây dựng một bộ nguyên tắc về bảo vệ đữ liệuchính là co sở để các cơ quan quản lý nhà nước, các t6 chức và các doanh nghiệpnghiên cứu, xây dựng cơ chế, chính sách và các biện pháp bảo vệ dữ liệu cá nhân mộtcách có định hướng và thống nhất.
Các biện pháp bảo vệ TTCN của NTD gồm: (i) Biện pháp tự bảo vệ của NTD;(ii) Biện pháp pháp lý và (iii) Biện pháp tô chức
Thứ nhất là biện pháp tự bảo vệ của NTD Đây được xem là biện pháp đơngiản, tốn ít chi phí và đem lại hiệu quả cao nếu NTD có ý thức về việc tự bảo vệ dit
liệu cá nhân của mình Pháp luật đã tăng cường sức mạnh tự bảo vệ cho NTD thông
qua việc ghi nhận các quyền cơ bản của chủ thể dữ liệu với TTCN của chính mình.GDPR của EU là văn bản có hệ thống các quy định về quyền của chủ thể dit liệu rất cụthé, bao gồm: Quyền được biết ai xử lý thông tin, xử ly các thông tin nào và mục dich
xử lý là gi, lưu trữ thông tin trong bao lâu, (right to be informed); Quyền truy cập ditliệu; Quyền từ chối; Quyền chỉnh sửa thông tin; Quyền xóa thông tin (hay còn gọi là
“quyền được lãng quên”); Quyền chuyền giao dir liệu (right to data portability); NTDcần năm được các quyền của mình dé có thể kiểm soát hiệu quả đữ liệu của mình khitham gia vào các giao dịch Khi có ý thức về quyền và về giá trị của TTCN của chínhmình, NTD sẽ có ý thức thận trọng hơn khi cung cấp TTCN của mình, lựa chọn doanh
nghiệp có chính sách bảo mật rõ ràng, nâng cao trình độ công nghệ của bản thân và tự tin hơn trong việc khiêu nại, khởi kiện khi các quyên của mình bị xâm phạm.
Thứ hai là biện pháp pháp lý, đây là các biện pháp xây dựng hệ thống chínhsách, thé chế bao gồm các văn bản quy phạm pháp luật ghi nhận các quyền và nghĩa
vụ của NTD, của các nhà cung cấp hàng hóa, dịch vụ, các nhà cung cấp dịch vụ mạng
và các chủ thể khác; quy định về các cơ chế đảm bảo thực thi như quyền và thủ tụckhởi kiện, khiếu nại, thanh tra, giám sát Các biện pháp pháp lý nhằm đưa ra các quytắc hành vi của các chủ thể trong quá trình thu thập, lưu trữ, xử lý, chuyền giao hay tiết
lộ TTCN của NTD Các quy tắc hành vi này vừa có vai trò hướng dẫn, vừa có vai tròđánh giá, kiểm tra hiệu quả thực thi pháp luật
Thứ ba là biện pháp tô chức, bao gồm các biện pháp nâng cao năng lực của
NTD, nâng cao trách nhiệm của thương nhân và năng lực của các cơ quan nhà nước.
Cụ thể là các biện pháp nhằm nâng cao năng lực ứng dụng công nghệ, đây mạnhnghiên cứu, phát triển nguồn nhân lực, tuyên truyền, đào tạo, tập huấn trong việc bảo
vệ TTCN của NTD.
Trang 291.1.7 Tác động của Cách mạng công nghiệp 4.0 đến van dé bảo vệ thông tin cá
nhân của người tiêu dùng
Cách mạng công nghiệp 4.0 được giới thiệu lần đầu tiên tại Hội nghị Hannovertại Đức năm 2011 với ý tưởng tập trung phát triển máy móc và hệ thống sản xuất cóthé hoạt động mà không phụ thuộc vào sức lực của con người?5 Ngay sau đó, các nhànghiên cứu và các công ty Châu Âu đã nhanh chóng đầu tư công sức để từng bướchiện thực hóa nền công nghiệp 4.0 Sự ra đời của Công nghiệp 4.0 tại Đức đã thúc đâycác nước tiên tiễn khác như Hoa Kỳ, Nhật, Trung Quốc, Ấn Độ phát triển các chươngtrình tương tự nhằm duy trì lợi thế cạnh tranh của mình Mặc dù mục đích của Côngnghiệp 4.0 đã trở nên rõ ràng khi các quốc gia, công ty đều muốn tạo ra một nền tảngtrao đôi thông tin nhanh chóng, kiểm soát tích hợp sản xuất sản phâm và cho phép máymóc hoạt động đồng bộ và tương tác thông minh, những nhà nghiên cứu khác nhau lạiđưa ra những quan điểm khác nhau về định nghĩa thực chất của Cách mang 4.027 Tuynhiên, hầu hết các quan điểm này đều có những điểm tương đồng với khái niệm chungrằng “Cách mạng công nghiệp 4.0 là sự kết hợp của của các yếu tô cốt lỗi như hệthong không gian mạng thực - ảo (Cyber-Physical system), Internet kết nối vạn vật
(Internet of Things) và Internet của các dich vụ (Internet of Services) "2Š.
Trong kỷ nguyên của Cách mạng Công nghiệp 4.0, sự ra đời của Big Data đã dé
lại sự tác động to lớn trong lĩnh vực bảo mật thông tin “Big Data” là thuật ngữ dành
cho những ứng dụng sử dụng một số lượng thông tin rất lớn trong đó bao gồm cảTTCN được phân tích dé thu thập những kiến thức, sau đó được sử dung dé cung cấpnhững ứng dụng cho các cá nhân, tổ chức hay đưa ra các quyết định tổng quan dựatrên những kiến thức đó Vì vậy, Big Data được xem như một quá trình bao gồm 3 giai
đoạn như sau: Thu thập, phân tích và ứng dụng (Hình 1)”?.
26 Ayse Goksu Oziidogru, Esra Ergiin, Djihane Ammari (2018), “How Industry 4.0 Changes Business: A
commercial Perspective”, International Journal of Commerce and Finance, Vol 4, Issue 1, tr 84-95.
27 Shu Ing Tay (2018), Lee te Chuan, A H Nor Aziati, Ahmad Nur Aizat Ahmad, “An Overview of Industry
4.0: Definition, Components, and Government Initiatives”, Jour of Adv Research in Dynamical & Control Systems, Vol 10, 14-Special Issue, Table 1, tr 1381.
28 Klaus Schwab (2016), The Fourth Industrial Revolution, World Economic Forum 46"
ao Oostveen, M.A.A (2016), “Identifiability and the applicability of data protection to big data”, International
Data Privacy Law Journal, Volume 6, Issue 4, tr 299.
Trang 30dung thong tin
Phan tich thông tin
Hình 1 Quy trình xử lý thông tin của Big Data
Ở giai đoạn đầu tiên, các doanh nghiệp, tổ chức thu thập thông tin (cá nhân).TTCN có thê được lay truc tiép từ các cá nhân, vi du như các mang xã hội yêu cầungười dùng cung cấp thông tin cho họ hoặc cũng có thể thu thập từ các nhà môi giới
dữ liệu với mục đích kinh doanh chính là bán thông tin cho bên thứ ba Ngoài ra, thông
tin cũng có thé được lấy từ việc kết nối các bộ dit liệu sẵn có dé tạo ra những dữ liệu,
thông tin mới Đây chính là sự ưu việt của các công nghệ hiện đại trong thời kỳ Cách
mạng Công nghiệp 4.0 Cụ thể, với hệ thống IoT — Internet kết nối vạn vật và IoS —Internet kết nối các dịch vụ, tất cả các thiết bi, cam bién, dau doc va ung dung sé thuthập da dang các loại dữ liệu của các cá nhân tao ra một kho dữ liệu không lồ được kếtnối với nhau Điều này không chỉ cho phép sự nhận dạng tự động các đối tượng màcòn có thể tự động định danh các cá nhân có liên quan đến các đối tượng đó”” Cácthông tin được thu thập dựa trên các đối tượng định danh, dữ liệu cảm biến và khảnăng kết nối của hệ thống ToT sẽ tiết lộ được các thông tin định danh cá nhân, cácthông tin về đời tư như thói quen, sở thích, địa điểm của cá nhân đó Một nghiên cứucủa Latanya Sweeney tại Đại học Caregie Mellon năm 2000 đã chỉ ra rằng 87% dân sốHoa Kỳ có thé được xác định danh tính khi phân tích kết hợp các thông tin bao gồm
giới tính, ngày sinh và zip code”!.
Trong giai đoạn thứ hai, thông tin được phân tích dé rút ra các đặc điểm, tinhchất; từ đó tạo ra các mô hình, dự đoán ví dụ như xác suất vỡ nợ khi thanh toán củacác cá nhân, tô chức Các kĩ thuật sử dụng trong quá trình này có những sự thay đổi
3° Xem thêm các ví du tai: Gambs, S., Killijian, M-O., Cortez, M N del P (2011), “Show me how you move
and I will tell you who you are”, Transactions on data privacy, Volume 4, tr 103-126.
3! Latanya Sweeney (2000), Simple Demographics Often Identify People Uniquely, Data Privacy Working
Paper 3, tr 17.
Trang 31lớn trong Cách mang công nghiệp 4.0”, đặc biệt là AI - Artificial Intelligence va
Machine learning AI, được dich ra thuật ngữ tiếng việt là ‘tri tué nhân tao” hay “trithông minh nhân tạo”, mô tả một chuỗi các kỹ thuật máy tính cho phép máy móc théhiện được năng lực nhận thức riêng như học tập, giải quyết van đề?3 Một trong nhữngcông cụ quan trọng để đạt được điều này đó là Machine learning, một kỹ thuật lậptrình dạy máy tính học từ các ví dụ cụ thé sẵn có Tương tự như nhận thức con người,máy tính có thé phát hiện và khám phá ra những xu hướng, đặc tính từ các thông tinđầu vào khi chúng đã được học từ một lượng dữ liệu khong 16 ngoai thuc té ma khôngcần cài đặt các câu hỏi hay thuật toán trước đó Càng tiếp xúc với nhiều thông tin, vi
dụ, các mẫu có sẵn trên thực tế; máy móc sẽ dần trở nên thông minh hơn trong việc tựrút điểm đặc trưng, những kiến thức ân sâu, những triết lý nằm trong các nhóm thôngtin và có thé phân loại các đối tượng một cach dé dàng và chính xác Điều này đặt ramột yêu cầu quan trọng cho giai đoạn 1 của quá trình phân tích Big Data đó là phải thuthập các nhiều thông tin càng tốt
Cuối cùng, các kiến thức, kinh nghiệm đó sẽ được ứng dụng và các quyết định
dựa trên thuật toán sẽ được tạo ra Dựa trên những mô hình, dự đoán hay các kinh
nghiệm, các cá nhân có thé được phân loại và chia nhóm thành nhóm khách hàng mụctiêu với từng loại quảng cáo khác nhau hay quyết định xem sản phẩm họ sẽ có hứng
thú và săn sàng trả tiên.
Điều quan trọng cần lưu ý đó là các quyết định dựa trên thuật toán được tạo rakhông chỉ đơn thuần dựa trên thông tin (cá nhân) của khách hàng mục tiêu mà đăngsau quyết định đó là một lượng dữ liệu khổng 16 từ rất nhiều cá nhân và nhiều nguồnkhác nhau, thậm chí là không liên quan đến nhóm khách hàng mục tiêu đó3“ Ngoài ra,đối với những nhóm người không phải là mục tiêu của doanh nghiệp nhưng nhữngquyết định tổng quát cũng có thé ảnh hưởng tới cuộc sống của họ Một cá nhân có théquyết định đồng ý hay không đồng ý tiết lộ một số thông tin của mình nhưng miễn là
= Custers, B (2013), Data Dilemmas in the Information Society: Introduction and Overview, in trong cuốn:
Discrimination and Privacy in the Information Society: Data Mining and Profiling in Large Databases, Nxb Springer, tr 7.
33 Nguyên bản tiếng anh: “Artificial intelligence is a generic name for a variety of computational techniques that
allow machines to exhibit cognitive capacities”, Mark MacCarthy, “In Defense of Big Data Analytics”, in trong
cuốn The Cambridge Hanbook of consumer Privacy, 2018, tr 48 Tri thông minh nhân tao cũng không nhất thiết phải bắt chước hay mô phỏng lại trí thông minh con người, nó được tạo ra như một nhánh của khoa học máy tinh
và tâm lý hoc, John McCarthy (1993), “Book review of B P Bloomfield, The Question of Artificial Intelligence: Philosophical and Sociological Perspectives”, Annals of the History of Computing, Volume 10, No 3.
aA Bakhoum, M., Gallego, B.C., Mackenrodt, M.-O., Personal Data In Competition, Consumer Protection and
Intellectual Property Law Towards a Holistic Approach?, Nxb Springer, tr 16.
Trang 32những người khác sẵn sàng cung cấp các thông tin của họ cho các hệ thống dữ liệukhông lồ, các nhà khoa học đữ liệu hoàn toàn có thé tạo ra các dự đoán chính xác cácthông tin không được tiết lộ về cuộc sống của các cá nhân đó Ví dụ, công nghệ phântích có thé tìm ra sự liên hệ chặt chẽ giữa thu nhập bình quân với giá mua nhà Vì giámua nhà là thông tin công bố công khai, nên các công ty có thể sử dụng thông tin này
đẻ dự đoán được mức thu thập bình quân của NTD Do đó, có thể kết luận rằng, trongthời đại công nghiệp 4.0, sự riêng tư hay sự bảo vệ TTCN là một van đề, một lợi ích
chung của toàn xã hội?°.
Với yếu tố cốt lõi là sự thu thập một SỐ lượng thông tin không 16 trên điện rộng
và sự tác động mạnh trong quá trình xử ly di liệu đến cuộc sống cá nhân của con
người như vậy, Big Data nói riêng và các công nghệ thời đại Cách mạng công nghiệp
4.0 đang tạo ra những thách thức lớn trong van dé bảo vệ sự riêng tư và thông tin của
các cá nhân khỏi sự xâm phạm, lạm dụng từ các doanh nghiệp công ty, đặc biệt trong lĩnh vực TMĐT như sau:
Thứ nhất, sự vượt trội của các công nghệ như: Big Data, Machine learning, AI,Cloud computing, the IoT v.v tạo động lực cho các doanh nghiệp, tô chức thu thậpcàng nhiều thông tin của NTD để kiếm lợi nhuận không lồ Cụ thé, lượng đữ liệu lớncùng các thuật toán phân tích chính xác những xu hướng, đặc điểm của khách hàngchính là chìa khóa quan trọng dé đưa ra những chiến lược sản pham hop ly, chiếm lĩnh
thị trường, tăng khả năng cạnh tranh của doanh nghiệp Do đó, các doanh nghiệp sẽ
băng nhiều phương thức khác nhau sẽ thu thập nhiều thông tin nhất có thé Điều nay
đã dẫn đến thực trạng thu thập TTCN của khách hàng khi chưa nhận được sự đồngthuận, thu thập từ các nguồn thứ cấp cụ thể là hiện tượng bán dữ liệu cá nhân củangười dùng đang diễn ra phô biến Ngoài ra, như đã trình bay ở trên, với các đặc tínhcủa các công nghệ hiện đại như sự kết nối các nguồn dữ liệu không lồ, các doanhnghiệp hoàn toàn có thê liên kết các thông tin ân danh với các thông tin công khai sẵn
có dé xác định lại danh tinh của người chủ thông tin 4n danh ban đầu°5
Thứ hai, các doanh nghiệp gặp nhiều khó khăn trong việc tuân thủ nghiêm ngặt
mô hình truyền thống thông báo-và-lựa chọn (notice-and-consent) Theo nguyên tắctruyền thống, các doanh nghiệp phải thông báo và tìm kiếm sự đồng thuận từ NTD về
35 Joshua A T Fairfield and Christoph Engel (2015), “Privacy as a Public Good”, Duke Law Journal, Volume
65, tr 385.
36 Paul Ohm (2009), “Broken Promises of Privacy: Responding to the surprising failure of anonymization”, tr.
21, 22 Simpson Garfinkel (2015), De-Identification of Personal Information, National Insititute of Standards and Technology.
Trang 33mục đích sử dụng va lưu trữ các TTCN của họ” Dé tránh việc phải thong báo va nhậnđược sự đồng ý từ khách hàng cho những mục đích khác với mục đích ban đầu, doanhnghiệp buộc phải dự liệu và liệt kê hết các kế hoạch lưu trữ và mục đích sử dụng
TTCN trong tương lai khi đưa ra chính sách bảo mật thông tin với khách hàng ngay từ
ban đầu Nhưng điều này là không thê trong kỷ nguyên của Big Data Thông thườngcác thông tin được thu thập, sau một quá trình phân tích sẽ có thé hữu dụng cho nhiềumục đích tương tự mà các nhà sử dụng thông tin không thê đưa ra từ trước Ví dụ, cácTTCN liên quan dén tinh trạng sức khỏe phục vụ cho mục dich tri liệu cũng có giá trilớn cho nghiên cứu y học để tạo ra các sản phẩm y tế mới hay các thông tin đánh giákhả năng học tập của học sinh cũng hữu ích dé kiểm tra sự hiệu quả của các công cụ,dịch vụ giáo dục mới Việc cắm tất cả hoạt động lưu trữ hay sử dụng dữ liệu với mụcđích khác mà không có sự đồng thuận từ NTD đặt các công ty vào tình huống vô cùngkhó khăn khi phải liên hệ và tìm sự đồng thuận từ hàng nghìn khách hàng trước đó,thậm chí là không thể tìm kiếm lại được nếu chưa thu thập đủ TTCN liên lạc Điều nàytạo ra rào cản về những thủ tục không cần thiết đối với những lợi ích sử dụng mà cáccông nghệ phân tích Big Data đem lại Ngược lại, các nhà lập pháp cũng phải đối mặtvới van đề khi không thé bãi bỏ quy định buộc phải có sự đồng thuận của NTD bởinếu bãi bỏ, sẽ dẫn đến tình trạng khai thác tràn lan, xâm phạm quyên riêng tư củaNTD, xâm phạm đến TTCN và đời tư mà NTD làm chủ
Thứ ba, sự thong trị gần như độc quyền của các doanh nghiệp, tổ chức côngnghệ lớn tước di sự tự do lựa chọn va đồng thuận của NTD trong việc chia sẻ TTCN
với doanh nghiép** Một là, các ứng dụng công nghệ cao tạo ra một sự tác động sâu
rộng đến NTD lại thường nằm trong tay một số ít doanh nghiệp Chính vì vậy, NTDthường gặp phải đối mặt với sự từ chối cung cấp các dịch vụ nếu họ không đồng ý chia
sẻ TTCN, do vậy NTD thường có xu hướng dễ dàng đồng ý với những yêu cầu đótrong khi họ chưa thực sự hiểu về quyền bảo vệ TTCN và những hoạt động xử lýthông tin của chính họ như thế nào, họ sẽ có thể đối mặt với những rủi ro gì Ngoài ra,những sự tiện ich, dé dàng mà các công ty mang lại cũng thúc day NTD chấp thuậnnhững hình thức thu thập tra hình, gián tiếp như cung cấp TTCN dé được tư vấn sảnpham, dịch vụ miễn phí; nhận qua tặng, tham gia bốc thăm trúng thưởng Hai là, với
các công nghệ hiện tại như điện toán đám mây hay mạng xã hội, thông tin của NTD bị
kiêm soát bởi một nhà cung cấp dịch vụ IoT cụ thé, NTD khó có thé di chuyên các
37 Điểm b và c Khoản 1 Điều 5 GDPR.
a8 Bygrave, L./Schartum, D.W (2009), Consent, proportionality and collective power, in trong cuốn: Reinventing
Data Protection, Nxb Springer, tr 160.
Trang 34thông tin của mình từ một nhà cung cấp này sang một nhà cung cấp khác Sự phụthuộc này ảnh hưởng tiêu cực đến quyền kiểm soát thông tin và lựa chọn nhà cung cấp
dịch vụ của NTD3”.
Thứ tu, sự tràn lan va phức tạp của các hoạt động, phương tiện thu thập, xử lý
thông tin đặt ra những thách thức về trách nhiệm minh bạch trong xử lý thông tin củacác công ty Với nền tảng công nghệ cao được vận hành như Big Data, việc xác địnhxem công ty đã cung cấp đầy đủ cho các chủ thé dit liệu về quá trình xử lý thông tinhay có khả năng đánh giá những hậu quả có thé theo sau hay không không phải việc
đơn gian*’ Bởi vì, công nghệ thường chỉ được làm chủ bởi những chuyên gia, những
công ty chuyên về công nghệ nên các cơ quan chức năng hay NTD khó có thể nắm bắt
Hơn nữa, với tính mới mẻ của những công nghệ này trong xã hội, bản thân các công ty
doanh nghiệp cũng chưa thê phán đoán được tất cả các rủi ro từ công nghệ bảo mật của
chính mình
1.2 Khái quát về pháp luật về bảo vệ thông tin của cá nhân người tiêu dùng
trong thương mại điện tử
1.2.1 Khái niệm pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong
thương mai điện tử
Pháp luật về bảo vệ NTD là lĩnh vực pháp luật điều chỉnh các quan hệ giữa
NTD với các thương nhân khi NTD mua, sử dụng hàng hóa, dịch vụ của thương nhân
đó; quy định những quyền của NTD và trách nhiệm của thương nhân trong các giaodich*! Trong đó, pháp luật về bảo vệ TTCN của NTD trong TMĐT là một bộ phậncủa pháp luật về bảo vệ NTD, vì vậy có thé định nghĩa như sau: “Pháp luật về bảo vệ
thông tin cá nhân của người tiêu dùng trong thương mại điện tu là một lĩnh vực pháp
luật bao gom hệ thong các nguyên tắc và quy phạm pháp luật do nhà nước ban hànhhoặc thừa nhận, quy định các biện pháp nhằm đảm bảo tính bảo mật thông tin cá nhân
,
của người tiêu dùng trong các hoạt động thương mại điện tử `
Đối tượng điều chỉnh của pháp luật bảo vệ TTCN của NTD trong TMĐT là
quan hệ giữa các bên tham gia các giao dịch TMĐT Quan hệ trong TMĐT khác với
3 Engin Lelogu (2017), loT Privacy, Data Protection, Information Security, trong A Review of Security
Concerns in Internet of Things, Journal of Computer and Communications, Volume 5, No 1, tr 3.
40 Barocas, S./Nissenbaum, H (2014), Big Data’s End Run Around Procedural Privacy Protections:
Recognizing the inherent limitations of consent and anonymity, Communications of the ACM, Volume 57, No.
11, tr 32.
41 Trường Đại học Luật Hà Nội (2014), Giáo trình Luật Bao vệ quyền lợi người tiêu ding, Nxb Công an Nhân
dân, Hà Nội, tr 21.
Trang 35các quan hệ thương mại thông thường khác bởi nó bao gồm ít nhất ba chủ thé: NTD,nhà cung cấp sản phẩm và bên thứ ba là nhà cung cấp dịch vụ mạng, các cơ quan
chứng thực giao dịch TMĐT Bên thứ ba này đóng vai trò quan trọng trong việc tạo ra
môi trường cho các giao dịch TMĐT; giữ nhiệm vụ chuyền và lưu giữ thông tin giữacác bên tham gia giao dịch TMĐT đồng thời họ cũng xác nhận độ tin cậy của cácthông tin trong giao dịch TMĐT Do đó, họ cũng là những chủ thé phải chịu tráchnhiệm trong việc bảo vệ TTCN của NTD cùng với nhà cung cấp sản pham Ngoài ra,chủ thé áp dụng của pháp luật bảo vệ TTCN của NTD còn có các cơ quan quản lý nhànước nhằm xử phạt những hành vi vi phạm pháp luật
Phạm vi áp dụng của pháp luật về bảo vệ TTCN của NTD trong TMĐT baogồm các nguyên tắc bảo vệ TTCN cá nhân của NTD, các quyên, nghĩa vụ, trách nhiệm
cá nhân, tô chức trong TMĐT trong việc bảo vệ TTCN; các thâm quyên, hình phạt của
các cơ quan quản ly nhà nước nhăm xử lý các hành vi xâm phạm đên an toàn TNCN.
1.2.2 Pháp luật trên thé giới về bảo vệ thông tin cá nhân của người tiêu dùng trong
thương mai điện tử
Quốc gia đầu tiên ban hành đạo luật hoàn chỉnh về bảo vệ đữ liệu cá nhân làThụy Điển năm 1973 (Datalog 1973)” Tính đến năm 2017, đã có khoảng 120 quốcgia trên thế giới ban hành luật có liên quan đến bảo vệ TTCN dưới những hình thứckhác nhau” Có nước ban hành luật riêng về bảo vệ dữ liệu và được cu thê hóa trongcác luật chuyên ngành khác; cũng có nước ghi nhận quy định chung trong hiến pháp,luật dân sự và cụ thé hóa rải rác trong các luật Có thé chia pháp luật về bảo vệ TTCNtrên thế giới thành 3 mô hình chính:
Mô hình Châu Au với chủ thuyết đặt cá nhân ở vị trí trung tâm và ưu tiên bảo
vệ quyền riêng tư đối với TTCN EU được xem là một khu vực có pháp luật chặt chẽbậc nhất thé giới về bảo vệ dit liệu cá nhân“ Quyền được bảo vệ dữ liệu cá nhân vàtôn trọng đời tư là các quyền cơ bản trong pháp luật của EU Khi Internet vẫn còn
trong giai đoạn sơ khai, Chỉ thị Bảo vệ Dữ liệu (Directive 95/46/EC) được thông qua vào năm 1995 với những quy tac đâu tiên vê bảo vệ dữ liệu cá nhân Dén thời điêm
42 Graham Greenleaf, “Global data privacy laws: 89 countries, and accelerating”, Queen Mary University of
London, School of Law Legal Studies Research Paper, No 98/2012, tr 1.
đã Graham Greenleaf (2017), Global Data Privacy Laws 2017: 120 National Data Privacy Laws, Including
Indonesia and Turkey (January 30, 2017), 145 Privacy Laws & Business International Report, tr 10-13, https://ssrn.com/abstract=2993035.
at Nguyễn Thi Thu Hang (2019), “Bàn về van đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mai
điện tử”, Tạp chí Khoa học pháp lý, 2(123), tr 22.
Trang 36hiện tại, Chỉ thị về Bảo mật và truyền thông điện tử 2002 (Privacy and Electronic
Communications Directive 2002) được sửa đôi năm 2009 va Quy định bao vệ dữ liệu
chung 2016 (General Data Protection Regulation — GDPR) đang là hai trụ cột chính
của khung pháp lý bảo vệ dữ liệu của EU Tuy nhiên, trên thực tế Chỉ thị về Bảo mật
và truyền thông điện tử được thực thi kém hiệu quả do việc thực hiện phân tán của cácquốc gia thành viên và không theo kịp với sự phát triển của công nghệ Do đó, Ủy bảnChâu Âu đã công bố một đề xuất lập pháp khác nhằm điều chỉnh các quy tắc hiện hànhphù hợp với sự phát triển của công nghệ, đồng thời đề xuất dự định sẽ bãi bỏ Chỉ thị
về Bảo mật và truyền thông điện tử 2002, thay vào đó sẽ cụ thé hóa và b6 sung choGDPR GDPR là đạo luật về quyền riêng tư chặt chẽ bậc nhất thé giới, cung cấp chocác cá nhân nhiều quyền kiểm soát đối với việc thu thập sử dụng và bảo vệ dữ liệu.Đạo luật này đưa ra các quy tắc nghiêm ngặt về bảo mật dir liệu mà các tô chức thuthập bao gồm việc sử dụng các biện pháp bảo vệ kỹ thuật như mã hóa và trách nhiệmgiải trình chặt chẽ hơn khi thu thập dữ liệu Các tổ chức không tuân thủ sẽ phải đối mặtvới hình phạt nặng lên tới bốn phần trăm doanh thu toàn cầu hàng năm hoặc hai mươi
triệu Euro (tùy theo mức nao cao hơn).
Mô hình Hoa Kỳ tiếp cận bảo vệ TTCN ở mức độ hài hòa hơn giữa quyên, lợiích của chủ thê TTCN với các chủ thể khác Ở cấp liên bang, Ủy ban Thương mại Liênbang Hoa kỳ (FTC) có thâm quyền rộng trong thực thi các quy định bảo vệ dữ liệu.Hoa Kỳ không có luật liên bang quy định toàn diện van đề bảo vệ và sử dụng TTCN.Vấn đề bảo vệ TTCN được quy định trong các luật của tiểu bang và các hướng dẫnđược phát triển bới các cơ quan của Chính Phủ Có thé kê đến:
- Dao Luật quyền riêng tư năm 1974 (US Privacy Act of 1974);
- Pao Luật về Trách nhiệm giải trình và Cung cấp thông tin bảo hiểm y tế
năm 1996 (Health Insurance Portability Accountability Act — HIPAA);
- Dao luật Gramm-Leach-Bliley nam 1999(Gramm-Leach-Bliley Act — GLBA);
- Dao luật bảo vệ quyền riêng tư của trẻ em trên mang năm 2000 (The
Children's Online Privacy Protection Act -COPPA);
- Hudng dan bảo vệ tinh bảo mật của Thông tin nhận dạng cá nhân năm 2010
(Guide to Protecting the Confidentiality of Personally Identifiable
Information) của Viện Tiêu chuẩn va Công nghệ Quốc gia (The National
Institute of Standards and Technology - NIST).
Mô hình Hoa Ky tiếp cận bảo vệ TTCN theo hướng tối giản, trong đó luật sưđóng vai trò quan trọng trong việc thực thi Tuy nhiên, đứng trước mối quan tâm ngày
Trang 37càng tăng của công chúng về lượng di liệu riêng tư mà các doanh nghiệp thu thập, tiểubang Canifornia đã ban hành Đạo luật Quyền riêng tư của người tiêu dùng Canifornia
(The Canifornia Consumer Privacy Act — CCPA) và năm 2018 Đạo luật này được
đánh giá có sự tương đồng với các nguyên tắc cốt lõi trong GDPR của EU và tươngđồng với quan điểm của GDPR về định nghĩa TTCN Đạo luật này đã tạo ra làn sóngquy định luật tiểu bang về bảo vệ TTCN cho một số tiêu bang khác tại Hoa Kỳ như:
Massachusetts, New York, Hawaii, Maryland, Noth Dakota, Minnesota,
Trên thực tế, việc bảo vệ quyền riêng tư và dữ liệu của NTD trong TMĐT ởHoa Kỳ được thực hiện chủ yêu thông qua các phương thức tự điều chỉnh bởi ngànhcông nghiệp TMĐT, hay còn gọi là mô hình tự điều chỉnh (Self-Regulation Model).Các biện pháp tự điều chỉnh được chia thành bốn nhóm: (i) nhóm thứ nhất: hướng dan
tự xây dựng; (ii) nhóm thứ hai: chương trình xác thực quyên riêng tư TMĐT, có nghĩa
là các doanh nghiệp cam kết thực hiện bảo vệ quyên riêng tư TMĐT; (iii) nhóm thứba: phương pháp bảo vệ công nghệ, tập trung bảo vệ quyên riêng tư của NTD Bangcách sử dụng công nghệ phần mềm để cảnh báo tự động trước khi những trang webthông tin nào sẽ được thu thập, NTD có thé quyết định trước dữ liệu nào sẽ được thuthập và họ có thể chọn trước đữ liệu cho phép, các dữ liệu khác năm ngoài lựa chọn sẽkhông được thu thập; (iv) nhóm thứ tư: là phương pháp “bến an toàn” (safe harbor),như một phương pháp mới kết hợp tự điều chỉnh với các quy tắc lập pháp Phươngpháp nay để cập các hướng dẫn bảo vệ quyền riêng tư trong TMĐT, được ban hành
bởi các nhà cung câp dịch vụ trực tuyên cụ thê.
Mô hình hỗn hợp là sự kết hợp hai mô hình trên được áp dụng ở một số nướcChâu Á như Nhật Bản, Hàn Quốc, Các quốc gia theo mô hình này thường ban hànhmột đạo luật riêng về quyền riêng tư hoặc về bảo vệ TTCN dé quy định tập trung, toàndiện các vấn đề có liên quan; đồng thời, phạm vi TTCN được pháp luật điều chỉnh về
cơ chế, mức độ quản lý cũng hợp lý, hài hòa hơn trên cơ sở kết hợp 2 mô hình Châu
Âu, Hoa Kỳ Có thể xem xét kỹ hơn Đạo luật Bảo vệ thông tin cá nhân Nhật Bản năm
2003, sửa đổi b6 sung năm 2017 (Japan’s Act on Protection of Personal Information —APPI) Các nguyên tắc cốt lõi trong APPI được dựa trên sự kết hợp giữa Hướng dan
cua OECD va Chi thị của EU® Nhật Bản cũng là một thành viên của APEC, do đó
APPI cũng tuân thủ theo Bộ Nguyên tắc của APEC APPI 2003 không thiết lập một cơquan trung tâm quan ly và thực thi bảo vệ quyền riêng tư Thay vào đó, việc thực thi
45 Robert Healey, How the Japan APPI compares to GDPR Are you Compliant?,
https://relentlessdataprivacy.com/how-the-japan-appi-compares-to-gdpr-are-you-compliant/?fbclid=IwAR008P7P6bRjdy3zvmxg1ZY3MHSOGJtCDGq71-EK-glk3udiHfV fbd7h28U, truy cap
lần cuối ngày 09/08/2020.
Trang 38các quy định về quyên riêng tu được quản lý theo ngành, mỗi co quan quan lý ngànhđảm nhận điều tiết quyền riêng tư trong lĩnh vực đó APPI 2017 đã thiết lập một Ủy
ban Bảo vệ thông tin cá nhân (Personal Information Protection Commission - PIPC).
PIPC có quyền han đáng ké bao gồm quyền kiểm toán, quyền kiểm tra và yêu cầu cáccông ty nộp báo cáo về việc tuân thủ quy định về quyền riêng tư Tuy nhiên, mức độquản lý hài hòa được thể hiện ở việc APPI 2017 cho phép các công ty mua bán đữ liệu
cá nhân đã được ân danh hoặc được tổng hợp nhằm cho phép và khuyên khích việc sửdụng Phân tích của Bigdata tại Nhật Bản APPI có một loạt các nguyên tắc theo phongcách của EU được áp dụng cho các luồng dtr liệu được dich chuyên cho bên thứ ba lànhà cung cấp dịch vu trong nước và quốc tế, bao gồm các yêu cầu về giám sát khi ditliệu được chuyên cho bên thứ ba Tuy nhiên, vẫn có phần lớn sự khác biệt giữa APPI
và GDPR Chang hạn, mục đích của APPI là dé bảo vệ quyền và lợi ích hợp pháp củacác cá nhân trong khi vẫn bảo đảm sự cân nhắc đúng đắn về tính hữu ích của TTCNtheo các nguyên tắc cơ bản để xử lý hợp lý TTCN Trong khi, GDPR ưu tiên bảo vệquyền riêng tư của cá nhân khi di chuyên dé liệu trong EU APPI chỉ áp dung cho việc
sử dụng TTCN của các doanh nghiệp và TTCN sẽ không coi là bị xâm phạm nếu mụcđích sử dụng được thông báo kịp thời cho các chủ thể dit liệu hoặc thông báo côngkhai sau khi doanh nghiệp có được TTCN, trừ khi mục đích sử dụng đã được công bốcông khai Trong khi, GDPR yêu cầu dữ liệu cá nhân được thu thập cho các mục đích
cụ thé, rõ ràng và không được xử lý thêm theo các không tương thích với các mục đích
đó.
Có thể thấy, pháp luật mỗi quốc gia có một khuynh hướng điều chỉnh pháp luậtriêng đối với van đề bảo vệ TTCN phụ thuộc vào điều kiện, tình hình và nhu cầu củakinh tế, chính trị, văn hóa và xã hội của chính quốc gia, khu vực đó Tuy nhiên, trongbối cảnh công nghệ thông tin phát triển mạnh mẽ và các mối lo ngại về quyền riêng tưđối với TTCN ngày càng gia tăng, các quốc gia trên thế giới đều đang có xu hướng cậpnhật các quy định theo hướng thắt chặt sự bảo vệ đối với TTCN hơn
1.2.3 Pháp luật Việt Nam về bảo vệ thông tin cá nhân của người tiêu dùng trong
thương mai điện tw
1.2.3.1 Giai doan trước năm 1999
Thời điểm này, vấn đề bảo vệ NTD chưa được quy định trong một văn bảnpháp luật chuyên biệt mà chủ yêu được quy định trong Bộ Luật dân sự 1995 TMĐTcũng chưa trở thành một lĩnh vực được Nhà nước chú trọng nhiều Vì vậy, việc bảo vệTTCN của NTD được quy định gián tiếp thông qua quy định về bảo vệ bí mật đời tư
Trang 39của công dan trong Bộ luật dân sự 1995 (Điều 34) Tuy nhiên, với khái niệm “bí mậtđời tư”, quy định này chưa bao quát hết phạm vi TTCN mà chỉ chủ yếu bảo vệ nhữngthông tin được coi là bí mật của cá nhân Theo đó, việc thu thập, công bố thông tin, tưliệu về đời tư của cá nhân người đó đồng ý hoặc nhân thân của người đó đồng ý, nêungười đó đã chết, mat năng lực hành vi dân sự, trừ trường hợp thu thập, công bố thôngtin, tư liệu theo quyết định của cơ quan nhà nước có thâm quyền và phải được thực
hiện theo quy định pháp luat**.
Sau đó, Pháp lệnh bảo vệ quyền lợi NTD năm 1999 ra đời và trở thành nền tảngpháp lý cơ bản cho việc bảo vệ quyên lợi NTD Tuy nhiên, quyền được bảo vệ TTCNcủa NTD lại không được quy định trong văn bản này Thay vào đó, quyền được bảo vệTTCN của NTD nói chung được đề cập gián tiếp tại Bộ luật hình sự năm 1999 về chếtài xử phạt đối với các Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín
của người khác và Tội sử dụng thông tin trên mạng và trong máy tính.
1.2.3.2 Giai đoạn từ năm 1999 đến 2010
Với tốc độ phát triển mạnh mẽ của công nghệ thông tin và TMĐT, những tácđộng của việc sử dụng TTCN bất hợp pháp đã ngày càng trở nên rõ ràng và thu hút sựchú ý của cộng đồng cũng như doanh nghiệp, nhà nước đã nhận ra sự cần thiết phảichú trọng hơn nữa đối với vấn đề bảo vệ TTCN của NTD trong hoạt động TMĐT.Mặc dù chưa có văn bản pháp luật riêng biệt điều chỉnh vấn đề này song khi xem xétmột cách có hệ thống các văn bản quy phạm pháp luật về TMĐT ban hành trong giaiđoạn này, có thê thấy những nội dung liên quan đến bảo vệ TTCN đã được quy địnhngày càng rõ ràng từ cấp độ luật đến các văn bản hướng dẫn luật Đặc biệt, các quyđịnh về hình thức, chế tài xử phạt vi phạm cụ thé đã được ra đời Cụ thé, ở cấp độ luật
đã có su ra đời của Luật Giao dịch điện tử 2005, Luật Công nghệ thông tin năm 2006
quy định về phạm vi không gian bảo vệ bảo vệ TTCN, đưa ra các nguyên tắc khi thuthập và xử ly TTCN trong môi trường mạng, các hành vi bị nghiêm cắm Những quy
định này đã tạo ra khung pháp lý cơ bản trong việc bảo vệ TTCN trong môi trường mạng nói chung va của NTD trong TMĐT nói riêng Cùng với sự ra đời của luật, các
nghị định, thông tư hướng dẫn chỉ tiết cũng đã được ban hành dé cụ thé hóa quy định
của luật bao gôm:
46 Khoản 2, Điều 34 Bộ luật Dân sự năm 1995
Trang 40Ngày ban hành Văn bản pháp luật
18/12/2008 Thông tư 07/2008/TT-BTTTT ngày 18/12 hướng dẫn một số nội
dung về hoạt động cung cấp thông tin trên trang thông tin điện tửcác nhân trong nghị định số 97/2008/NĐ-CP
1.2.3.3 Giai đoạn từ 2010 đến nay
Điểm nổi bật nhất trong giai đoạn từ 2010 đến nay trong lĩnh vực bảo vệ TTCNNTD nói chung là sự ra đời của LBVQLNTD 2010, luật thiết lập những quy định cơbản nhất về van dé bảo vệ NTD, trong đó có quyền được đảm bảo an toàn thông tinkhi tham gia giao dịch mua bán, trừ trường hợp được cơ quan nhà nước có thẩm quyềnyêu cầu Bên cạnh đó là các văn bản hướng dẫn như nghị định 99/2011/NĐ-CP quyđịnh chi tiết và hướng dan thi hành LBVQLNTD, nghị định 19/2012/NĐ-CP quy định
về việc xử phạt hành chính trong việc bảo vệ quyền lợi NTD
Song song với đó, các quy định của Luật Công nghệ thông tin 2006, Luật Giao
dịch điện tử 2005, Luật Viễn Thông 2009 tiếp tục có hiệu lực Luật An toàn thông tinmạng 2015 cũng đã ra đời và điều chỉnh một cách tương đối chi tiết van dé bảo vệ an
toàn thông tin trên mạng nói chung đã trở thành cơ sở quan trọng trong thực thi việc