Nhóm đối tượng này đã dùng những thông tin của hàng ngàn khách hàng có hồ sơ vay vốn tín dụng ngân hàng để thực hiện hành vi lừa đảo chiếm đoạt tài sản bằng thủ đoạn chiếm quyền truy cập
Tính cấp thiết của đề tài
Ngày nay trên thế giới nói chung và Việt Nam nói riêng, việc sử dụng các phương tiện truyền thông hiện đại, kết nối Internet đang ngày càng phổ biến rộng rãi
Từ đó chất lượng cuộc sống con người cũng được nâng cao Nếu trước đây chỉ có sự trao đổi mua bán trực tiếp giữa người tiêu dùng và bên cung cấp dịch vụ, hàng hóa thì giờ đây đã xuất hiện việc trao đổi, mua bán trên không gian mạng, điển hình như qua các sàn thương mại điện tử Theo số liê ̣u từ Bô ̣ Công Thương, hiê ̣n nay ở Viê ̣t Nam có hơn 70% dân số dùng internet, có 55% người tiêu dùng tham gia mua sắm trực tuyến,
72 triệu người dùng mạng xã hội, tất cả sẽ tạo ra một khối dữ liệu khổng lồ trên môi trường trực tuyến 1 Dẫn theo báo cáo mới nhất “Nền kinh tế Internet Đông Nam Á năm 2022” của Google và Temasek, đại diện Cục Thương mại Điện tử (Bộ Công Thương) cho biết tại khu vực Đông Nam Á, Việt Nam tiếp tục là quốc gia có quy mô nền kinh tế Internet đứng thứ 3 sau Indonesia và Thái Lan, đạt 23 tỷ USD vào năm
2022 Báo cáo này cũng đưa ra dự báo trong giai đoạn 2022-2025, kinh tế Internet Việt Nam sẽ có tốc độ tăng trưởng dẫn đầu khu vực đạt khoảng 31%/năm, với quy mô ước tính đạt 49 tỷ USD vào năm 2025 2
Việc hình thành và phát triển với tốc độ tăng nhanh của các giao dịch trên không gian mạng đã giúp người tiêu dùng thỏa mãn nhu cầu mua sắm, sử dụng sản phẩm, hàng hóa hay dịch vụ một cách nhanh chóng, dễ dàng, thuận lợi hơn, đem lại những chuyển biến tích cực cho xã hội và quốc gia Nhưng bên cạnh đó là những rủi ro không thể tránh khỏi, điển hình là những hành vi vi phạm gây ảnh hưởng trực tiếp đến người tiêu dùng ngày càng gia tăng Một rủi ro mà theo quan điểm nhóm tác giả cho rằng khá nghiêm trọng và cần được bảo vệ cấp thiết, đó là vấn đề bảo mật dữ liệu cá nhân của người tiêu dùng Hiện nay vấn nạn xâm phạm dữ liệu cá nhân của người tiêu dùng đang là một chủ đề gây nhiều bức xúc, có thể kể đến như: người tiêu dùng bị lợi dụng dữ liệu cá nhân để chiếm đoạt tài sản, kẻ xấu có thể sử dụng dữ liệu cá nhân của người tiêu dùng để thực hiện một số hành vi phạm pháp như đi vay với lãi suất cao; lừa đảo; quấy rối; còn có trường hợp lấy cắp thông tin của cha mẹ, lừa đảo bắt cóc con tống tiền, thậm chí thông tin người tiêu dùng cũng có thể trở thành một vật phẩm được rao bán khắp trên các trang mạng điện tử… Từ đó, gây nên tâm lý e ngại cho người
1 Thu Hà (2022), Bảo vê ̣ quyề n lợi ngươ ̀ i tiêu dùng trong thương mại điện tử , https://vov2.vov.vn/phap-luat/bao- ve-quyen-loi-nguoi-tieu-dung-trong-thuong-mai-dien-tu-38641.vov2, truy cập ngày 16/3/2023
2 Đức Huy (2023), Quy mô kinh tế Internet Việt Nam có thể đạt 49 tỷ USD vào năm 2025, https://www1.mpi.gov.vn/Pages/tinbai.aspx?idTinW808&idcmI, truy cập ngày 11/8/2023 tiêu dùng khi tham gia các giao dịch trên không gian mạng Điển hình có thể kể đến vụ án, Cơ quan Cảnh sát điều tra Công an tỉnh Quảng Bình đã ra Quyết định khởi tố nhóm đối tượng thu thập hơn 17 triệu dữ liệu cá nhân nhằm lừa đảo chiếm đoạt tài sản, các đối tượng đã móc nối thu thập hơn 17 triệu thông tin dữ liệu cá nhân trên phạm vi cả nước, được phân theo nhiều nhóm vùng, miền, chức danh, nghề nghiệp… để rao bán nhằm thu lợi bất chính Nhóm đối tượng này đã dùng những thông tin của hàng ngàn khách hàng có hồ sơ vay vốn tín dụng ngân hàng để thực hiện hành vi lừa đảo chiếm đoạt tài sản bằng thủ đoạn chiếm quyền truy cập SIM điện thoại, đăng nhập tài khoản internet Banking có liên kết với SIM để chiếm đoạt tài khoản ngân hàng 3
Trên pháp luật thực tế, không phải là không có những quy định bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng, nhà nước ta đã có đưa những nội dung liên quan đến việc bảo vệ người tiêu dùng vào các văn bản quy phạm pháp luật
Cụ thể, Hiến pháp năm 2013 quy định: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được phá p luật bảo đảm an toàn” Hay như Điều 38 Bộ luật dân sự năm 2015 quy định: “Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật” Bên cạnh đó, Luật Giao dịch điện tử năm 2005 cũng xác định nghĩa vụ của cơ quan, tổ chức trong bảo đảm bí mật thông tin và không được chia sẻ thông tin của người khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác Ngoài ra, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 còn quy định người tiêu dùng có quyền được bảo vệ thông tin của mình khi tham gia giao dịch, sử dụng sản phẩm, hàng hóa, dịch vụ do tổ chức, cá nhân kinh doanh cung cấp Tuy nhiên có thể thấy, các quy định này nằm rải rác ở nhiều luật khác nhau, không có sự liên kết chặt chẽ gây ra sự khó tiếp cận của người dân, cũng như luật còn quy định một cách khái quát Một số quy định trong Luật chưa rõ ràng dẫn đến việc người tiêu dùng có thể không biết được cách bảo vệ mình và xử lý các tình huống bản thân gặp phải khi giao dịch trên không gian mạng Từ đó dẫn đến vấn đề liên quan đến việc bảo vệ dữ liệu cá nhân người tiêu dùng trên không gian mạng vẫn đang là vấn đề bỏ ngỏ, là vấn đề cấp bách cần được quan tâm, nghiên cứu về mặt pháp lý
Cụ thể, hiện nay, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 cũng như một số Nghị định liên quan như Nghị định 52/2013/NĐ-CP về thương mại điện tử (sửa
3 Trần Tuấn - Nguyễn Lan (2022), Khởi tố nhóm đối tượng thu thập hơn 17 triệu dữ liệu cá nhân nhằm lừa đảo chiếm đoạt tài sản, Cổng thông tin điện tử Bộ Công An, https://bocongan.gov.vn/tintuc/Pages/lists.aspx?Cat&ItemID3737, truy cập ngày 16/3/2023 đổi, bổ sung bởi Nghị định 85/2021/NĐ-CP ngày 25 tháng 9 năm 2021), Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đều đã quy định về bảo mật dữ liệu cá nhân người tiêu dùng nhưng theo nhóm vẫn còn một số vấn đề nhất định cần được bổ sung thêm hay cần được xác định, quy định rõ ràng về các nguyên tắc bảo vệ dữ liệu cá nhân, về trách nhiệm của chủ thể thu thập, xử lý dữ liệu cá nhân và cả những quy định về bồi thường thiệt hại do dữ liệu cá nhân của người tiêu dùng trên không gian mạng bị xâm phạm
Nhận thấy được tính cấp thiết của vấn đề này nên nhóm tác giả đã lựa chọn đề tài “Bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng theo pháp luật dân sự Việt Nam” làm đề tài nghiên cứu khoa học.
Tổng quan tình hình nghiên cứu
Về Giáo trình, sách chuyên khảo
Trường Đại học Luật Hà Nội (2014), Giáo trình Luật Bảo vệ quyền lợi người tiêu dùng, Nxb Công an nhân dân Đây là giáo trình chính thống của trường Đại học
Luật Hà Nội, nội dung giáo trình đã tổng hợp một cách khái quát nhất những vấn đề lý luận về bảo vệ người tiêu dùng và pháp luật bảo vệ quyền lợi người tiêu dùng Trong đó, có nội dung về thiết chế bảo vệ quyền lợi người tiêu dùng; trách nhiệm của tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ đối với người tiêu dùng; chế tài xử lý đối với các hành vi vi phạm pháp luật bảo vệ quyền lợi người tiêu dùng và pháp luật bảo vệ người tiêu dùng ở một số quốc gia trên thế giới Tuy nhiên, giáo trình vẫn chưa đề cập nhiều về vấn đề bảo vệ dữ liệu cá nhân của người tiêu dùng nói chung và người tiêu dùng trên không gian mạng nói riêng Đỗ Văn Đại (2016), Luật bồi thường thiệt hại ngoài hợp đồng – Bản án và bình luận bản án, tập 2, Nxb Hồng Đức – Hội Luật gia Việt Nam Cuốn sách đã tuyển chọn một số bản án của Tòa án Việt Nam về bồi thường thiệt hại ngoài hợp đồng Những bản án được sử dụng ở đây liên quan đến một số vấn đề cơ bản của chế định bồi thường thiệt hại ngoài hợp đồng và chưa được người khác bình luận Qua đó, tác giả chỉ ra được những vấn đề pháp lý có liên quan và sự bỏ ngỏ của pháp luật nước ta trong chế định bồi thường thiệt hại ngoài hợp đồng do xâm phạm đến quyền lợi người tiêu dùng, đặc biệt là quyền của người tiêu dùng trên không gian mạng đối với dữ liệu cá nhân Đặng Minh Tuấn (2021), Pháp luật trong bối cảnh Cách mạng công nghiệp lần thứ tư, Nxb Chính trị quốc gia sự thật Đây là công trình chuyên khảo nghiên cứu một cách có hệ thống những vấn đề lý luận cơ bản, kinh nghiệm quốc tế, thực tiễn chính sách, pháp luật của Việt Nam, trong đó có vấn đề dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong bối cảnh Cách mạng công nghiệp lần thứ tư trên cơ sở đó đề xuất, khuyến nghị các giải pháp hoàn thiện chính sách, pháp luật đáp ứng các yêu cầu mới được đặt ra đối với vấn đề bảo vệ dữ liệu cá nhân
Nguyễn Minh Tuấn, Bình luận khoa học Bộ luật dân sự nước Cộng hòa xã hội chủ nghĩa Việt Nam 2015, Nxb Tư Pháp Phương pháp tiếp cận được thực hiện trong sách này là phân tích, bình luận nội dung từng điểm, từng khoản của các điều luật và có đưa ra một số ví dụ thực tiễn để phân tích và dẫn giải theo đúng tinh thần của điều luật Chính vì thế mà đã khái quát được nội dung mà Bộ luật dân sự năm 2015 đề cập hướng đến, từ đó cho thấy những bất cập khi thi hành bộ luật này
Về luận văn, luận án, công trình nghiên cứu khoa học các cấp:
Nguyễn Thị Vân Anh (2013), Nghiên cứu pháp luật về quyền được cung cấp thông tin và bảo vệ thông tin của người tiêu dùng ở Việt Nam, Đề tài nghiên cứu khoa học cấp trường – Trường Đại học Luật Hà Nội Công trình nghiên cứu này đề cập những phương thức cơ bản bảo vệ thông tin người tiêu dùng trong đó nổi bậc là bộ FIPPa của OECD, chỉ thị 95/46/EC về bảo vệ dữ liệu; quá trình phát triển của các quy định bảo vệ thông tin người tiêu dùng ở Việt Nam, thực trạng thi hành và một số kiến nghị hoàn thiện pháp luật và nâng cao hiệu quả thực thi pháp luật bảo vệ thông tin người tiêu dùng đối với nguyên tắc thu thập, sử dụng thông tin người tiêu dùng, mức phạt tiền đối với hành vi vi phạm, trách nhiệm của các cơ quan chức năng; thiết chế xử lý hành vi vi phạm trong lĩnh vực tín dụng ngân hàng, bảo hiểm, y tế và thẩm quyền xử phạt của các cơ quan nhà nước
Nguyễn Thị Thu Hằng (2018), Pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Luận văn thạc sĩ – Trường Đại học Luật thành phố
Hồ Chí Minh Luận văn làm rõ các vấn đề lý luận về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, trình bày thực trạng pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử như quyền được bảo vệ thông tin cá nhân, trách nhiệm bảo vệ, chính sách bảo vệ, giải quyết tranh chấp…
Từ đó tác giả đưa ra một số kiến nghị hoàn thiện pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử
Nguyễn Hoàng Thủ y (2013), Bồi thườ ng thiệt hại do vi phạm quyền lợi người tiêu dù ng - Những vấn đề lý luân và thực tiễn, Luận văn thạc sĩ học - Đại học Quốc gia
Hà Nội Bài viết muốn hướng tới giải quyết vấn đề bồi thường thiệt hại cho người tiêu dùng một cách thiết thực nhất Tuy nhiên, bài viết vẫn chưa thực sự đi sâu và giải quyết được triệt để vấn đề
Nguyễn Ngọc Quyên (2022), Pháp luật về bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử ở Việt Nam, Luận án tiến sĩ luật học – Trường Đại học luật
Hà Nội Luận án phân tích những vấn đề pháp lý liên quan đến bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử như phân tích nội dung của pháp luật Việt Nam và pháp luật quốc tế, pháp luật một số nước trên thế giới (Quy định của Liên Hợp Quốc, Hướng dẫn của tổ chức Hợp tác và Phát triển Kinh tế OECD, Pháp luật của Liên minh Châu Âu) Bên cạnh đó luận án phân tích và đánh giá tình hình thực hiện pháp luật về bảo vệ người tiêu dùng trong thương mại điện tử ở Việt Nam về quyền của người tiêu dùng trong đó có quyền được bảo vệ thông tin; về trách nhiệm của tổ chức, cá nhân kinh doanh; hệ thống cơ quan, tổ chức bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử ở Việt Nam…Từ đó đưa ra định hướng, giải pháp hoàn thiện pháp luật bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử
Nguyễn Việt Hà (2016), Pháp luật Việt Nam về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Tóm tắt luận văn thạc sĩ luật học - Đại học quốc gia Hà Nội Bài viết phân tích thực trạng về quyền được bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử; thực trạng pháp luật về trách nhiệm của tổ chức, cá nhân kinh doanh đối với việc bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử bao gồm trách nhiệm của tổ chức, cá nhân kinh doanh và trách nhiệm của thương nhân… Từ đó, đưa ra giải pháp hoàn thiện pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử như tham khảo và lấy ý kiến từ phía người tiêu dùng, phân định rõ thẩm quyền xử lý vi phạm, nghiên cứu và sửa đổi quy định cho phù hợp với diễn biến ngày càng tinh vi của các vụ việc vi phạm, cần quy định thêm các nguyên tắc bảo vệ… Bên cạnh đó tác giả cũng đưa ra những giải pháp hoàn thiện nâng cao hiệu quả thực thi pháp luật có thể kể đến như nâng cao ý thức của người tiêu dùng trong việc tự bảo vệ thông tin cá nhân của mình; xây dựng chính sách phát triển nhân lực trong lĩnh vực an toàn thông tin; xây dựng chính sách hỗ trợ tổ chức, cá nhân kinh doanh tự bảo mật thông tin cá nhân của người tiêu dùng; tăng cường sự phối hợp giữa người tiêu dùng - tổ chức, cá nhân kinh doanh - cơ quan chức năng…
Về tạp chí, bài tham luận hội thảo:
Ngô Vĩnh Bạch Dương (2019), Bảo vệ thông tin người tiêu dùng, Tạp chí
Nghiên cứu Lập pháp, số 12 Bài viết đã liên hệ một cách xác đáng việc bảo vệ thông tin người tiêu dùng với việc bảo vệ quyền riêng tư, cũng như trình bày các cơ sở pháp lý quan trọng về việc bảo vệ quyền riêng tư và bảo vệ thông tin người tiêu dùng như: Tuyên ngôn quốc tế nhân quyền (UDHR), (1948); Công ước Quốc tế về các Quyền Dân sự và Chính trị (ICCPR), (1966); Bộ FIPPs của OECD gồm 08 nguyên tắc, tuy không phải một đạo luật nhưng nó có giá trị to lớn trong việc bảo vệ thông tin của người tiêu dùng; đồng thời, bài viết cũng đưa ra các nguy cơ, rủi ro trong việc khai thác thông tin người tiêu dùng của doanh nghiệp Tuy nhiên, dù đề cập đến mối quan hệ giữa việc bảo vệ thông tin người tiêu dùng với việc bảo vệ quyền riêng tư cũng như bảo vệ thông tin cá nhân nhưng bài viết không đề ra các kiến nghị cho việc bảo vệ cũng như phát triển thêm các quy định về vấn đề này mà chỉ đề xuất các kiến nghị liên quan đến lĩnh vực thương mại và tố tụng
Nguyễn Thị Thu Hằng (2019), Bàn về vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Tạp chí khoa học pháp lý Việt Nam, số 02
Bài viết này trình bày một số cơ sở lý luận của vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, trong đó có vai trò của bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử trong bảo đảm quyền riêng tư và quyền lợi của người tiêu dùng, làm rõ các yếu tố chi phối hoạt động bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, khái quát các khuynh hướng điều chỉnh của pháp luật đối với vấn đề bảo vệ thông tin cá nhân của người tiêu dùng
Phương pháp nghiên cứu
Nhóm tác giả đã sử dụng phương pháp truyền thống để làm sáng tỏ các vấn đề từ góc độ lý luận đi đến thực tiễn, phân tích những bất cập và so sánh đối chiếu các mối tương đồng của pháp luật các quốc gia trên thế giới để góp phần hoàn thiện pháp luật Việt Nam Trong đó, đề tài đã vận dụng các phương pháp nghiên cứu khác nhau để phân tích, so sánh, đối chiếu và đưa ra những kết luận nhằm giúp người đọc hiểu rõ những vấn đề mà nhóm tác giả muốn hướng tới, cụ thể như sau:
Thứ nhất, phương pháp phân tích là phương pháp mà nhóm tác giả ưu tiên trong quá trình nghiên cứu để làm rõ những quy định của pháp luật, phân tích thực tiễn áp dụng pháp luật cũng như những quy định của pháp luật nước ngoài với mục đích đưa ra lý luận mang tính xác thực nhất
Thứ hai, phương pháp tổng hợp, đây là một trong những phương pháp quan trọng mà nhóm sử dụng xuyên suốt trong bài nghiên cứu Nhóm tác giả tổng hợp các quy định của pháp luật và thực tiễn về vấn đề dữ liệu cá nhân của người tiêu dùng trên không gian mạng trong nước và nước ngoài, từ đó rút ra những kết luận chung nhất về vấn đề bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng
Thứ ba, phương pháp so sánh được nhóm tác giả sử dụng để tìm ra những điểm khác nhau của quy định pháp luật nước ngoài có thể tham khảo cho pháp luật Việt Nam, so sánh giữa quy định và thực tế áp dụng, nghiên cứu các công trình của những tác giả khác Từ đó có được cái nhìn đa chiều và tìm được những quy định, kiến nghị đem lại hiệu quả bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng
Tất cả các phương pháp này được nhóm tác giả sử dụng hỗ trợ xen lẫn, qua lại với nhau, mục đích là để làm sáng tỏ những vấn đề cụ thể trong mỗi chương và liên kết những chương lại với nhau thành một đề tài trọn vẹn nhất.
Kết cấu của đề tài
Đề tài được chia thành hai chương, bên cạnh Phần mở đầu thì bao gồm:
Chương 1 Những vấn đề cơ bản về dữ liệu cá nhân của người tiêu dùng trên không gian mạng
Chương 2 Thực tiễn áp dụng và kiến nghị hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng.
NHỮNG VẤN ĐỀ CƠ BẢN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NGƯỜI TIÊU DÙNG TRÊN KHÔNG GIAN MẠNG
Khái niệm và đặc điểm bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng
1.1.1 Khái niệm bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng Để làm rõ khái niệm này, nhóm tác giả sẽ phân tích khái niệm của từng cụm từ cụ thể như sau:
Thứ nhất, về khái niệm dữ liệu cá nhân
Trước hết, nhóm tác giả sẽ phân tích khái niệm này dưới góc độ tiếng Việt Theo từ điển tiếng Việt thì thuật ngữ dữ liệu có hai cách hiểu nhưng liên quan đến đề tài này thì có cách định nghĩa như sau: “Dữ liệu là sự biểu diễn của một thông tin trong máy tính dưới dạng quy ước, nhằm làm dễ dàng việc xử lý” 5 Như vậy, theo cách hiểu này thì dữ liệu là những thông tin có thực và chúng được đưa vào hệ thống máy tính dưới một dạng dữ liệu được định trước để tiến hành các thao tác, xử lý dữ liệu Còn thuật ngữ cá nhân được định nghĩa là một con người với tư cách là một cá thể trong xã hội 6 ; ở đây, cá nhân là một con người, là một chủ thể riêng biệt, phân biệt với một nhóm người hay một tổ chức nào đó Tổng quan, ta có thể hiểu dữ liệu cá nhân chính là những thông tin của một cá nhân, một con người được đưa vào máy tính dưới dạng dữ liệu điện tử nhằm mục đích thực hiện công tác xử lý dữ liệu đó một cách đơn giản, thuận tiện hơn
5 Hoàng Phê (chủ biên) (2003) Từ điển tiếng Việt, Viện ngôn ngữ học, Nhà xuất bản Đà Nẵng, tr269
6 Từ điển bách khoa Việt Nam Tập 1, Trung tâm biên soạn từ điển bách khoa Việt Nam - 1995, tr318
Về phương diện pháp lý, Hiến pháp năm 2013 bên cạnh việc kế thừa các quy định của những bản Hiến pháp trước đây thì cũng đồng thời khẳng định quyền riêng tư là một trong những nội dung quan trọng của con người Cụ thể, tại Điều 21 Hiến pháp năm 2013 quy định: “(1) Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được phá p luật bảo đảm an toàn (2) Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác” Trên cơ sở quy định của Hiến pháp năm 2013, các văn bản quy phạm pháp luật cũng đã cụ thể hóa quyền riêng tư của công dân Việt Nam nói chung và người tiêu dùng nói riêng thông qua việc đề cập, quy định quyền đối với DLCN trong các văn bản luật và nghị định khác nhau, tiêu biểu có thể kể đến như: Luật An toàn thông tin mạng năm 2015 (sửa đổi bổ sung 2018), Nghị định số 52/2013/NĐ-CP của Chính phủ về thương mại điện tử… Tuy nhiên trong hệ thống những văn bản pháp luật này chưa sử dụng cụm từ
“dữ liệu cá nhân”, cũng như chưa có khái niệm giải thích cho cụm từ này Thay vì sử dụng “dữ liệu cá nhân” thì các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được diễn đạt bằng cụm từ “thông tin cá nhân” Nhưng Nghị định 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân đã quy định riêng một dạng thông tin cá nhân mới, Nghị định quy định về vấn đề DLCN đồng thời cũng có khái niệm chi tiết, rõ ràng về cụm từ này Theo đó, tại khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP có quy định “DLCN là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể” Theo quy định này, DLCN bắt nguồn từ những thông tin gắn liền với một cá nhân nào đó hoặc là những thông tin mà khi đưa ra ta có thể xác định được chủ thể dữ liệu được nhắc đến là ai và chúng có thể được thể hiện bằng các dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hay bất kì dạng dữ liệu nào tương tự trên môi trường điện tử Ở đây, quy định thể hiện rằng “giúp xác định một con người cụ thể” và tại khoản 2 Điều 2 Nghị định 13/2023/NĐ-CP có giải thích “thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể” nhưng không nói rõ là theo phương thức nào, là gián tiếp hay trực tiếp nên ta có thể hiểu rằng dù những thông tin này trực tiếp hay gián tiếp xác định một cá nhân thì chúng cũng có thể được xếp vào DLCN Ta có thể thấy rằng, DLCN có bản chất vẫn là những thông tin cá nhân nhưng những thông tin này được đưa vào hệ thống máy tính và biểu thị dưới dạng các dữ liệu khác nhau nên khi nghiên cứu các quy định pháp luật về DLCN thì những quy định về thông tin cá nhân cũng sẽ được áp dụng Như vậy, việc Chính phủ ban hành Nghị định 13/2023/NĐ-CP đã phần nào giải quyết được vấn đề khái niệm dữ liệu cá nhân đang được quy định rải rác tại các văn bản pháp luật đồng thời đây cũng là một việc làm hết sức cần thiết Khái niệm dữ liệu cá nhân đã có phạm vi bao trùm khá chặt chẽ, hạn chế được những khoảng trống, những kẽ hở pháp lý cho những hành vi tận dụng những kẽ hở đấy để “lách luật”
Bên cạnh đó, Nghị định 13/2023/NĐ-CP còn xuất hiện những điểm mới nổi bật, tiêu biểu trong số đó phải kể đến việc DLCN bao gồm hai loại dữ liệu, đó là dữ liệu cơ bản và dữ liệu nhạy cảm Cụ thể, DLCN cơ bản được quy định khoản 3 Điều 2 của Nghị định này và DLCN nhạy cảm được quy định tại khoản 4 Điều 2 của Nghị định này Có thể thấy DLCN nhạy cảm là một khái niệm hoàn toàn mới, chưa từng xuất hiện trong các văn bản luật trước đây Như vậy, dữ liệu cá nhân nhạy cảm dường như là một bước ngoặt quan trọng trong nhận nâng cao nhận thức cho người tiêu dùng cũng như những chủ thể sử dụng những dữ liệu cá nhân nhạy cảm của người tiêu dùng rằng những dữ liệu nào là cơ bản, dữ liệu nào là nhạy cảm và cách thức bảo việc của hai loại dữ liệu này cũng khác nhau, theo đó, dữ liệu cá nhân nhạy cảm sẽ được bảo vệ nghiêm ngặt hơn vì những dữ liệu này liên quan trực tiếp đến quyền riêng tư của người tiêu dùng Đối với kinh nghiệm quốc tế, điển hình như Liên minh Châu Âu, Nghị viện châu Âu thông qua quy định GDPR 7 thay thế cho các luật bảo mật dữ liệu đã lỗi thời từ năm 1995 GDPR được sử dụng đồng bộ trên khắp 28 thành viên EU Theo đó, trong phần các định nghĩa, GDPR đã giải thích “dữ liệu cá nhân là bất kỳ thông tin nào có liên quan đến một cá nhân (chủ thể dữ liệu); có thể nhận dạng, trực tiếp hoặc gián tiếp, bằng cách căn cứ vào tên, số chứng minh thư (căn cước công dân), dữ liệu vị trí, dữ liệu số trực tuyến hoặc một trong những định dạng vật lý, sinh học, di truyền… của cá nhân đó Cụ thể như tên tuổi, số điện thoại, địa chỉ, số chứng minh thư do Nhà nước cấp, dấu vân tay… kể cả một số dữ liệu khác: định vị, tài khoản trực tuyến, thông tin tài chính, …của một người đều được xem là dữ liệu cá nhân” 8 Như vậy, theo định nghĩa của GDPR thì DLCN là bất kỳ thông tin nào có liên quan đến một cá nhân cụ thể hoặc giúp nhận dạng một cá nhân cụ thể 9 - có thể giúp nhận dạng một cách trực tiếp hoặc gián tiếp Theo đó, có thể thấy khái niệm DLCN của Nghị định
7 The General Data Protection Regulation (GDPR) is legislation that updated and unified data privacy laws across the European Union (EU) GDPR was approved by the European Parliament on April 14, 2016 and went into effect on May 25, 2018
9 Bạch Thị Nhã Nam (2022), Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân, Tạp chí Nghiên cứu lập pháp, http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid!1048, truy cập ngày 13/3/2023
13/2023/NĐ-CP và GDPR của Liên minh Châu Âu cũng có nét tương đồng nhau, việc Nghị định 13/2023 định nghĩa “Dữ liệu cá nhân” góp một phần không nhỏ vào quá trình hoàn thiện pháp luật Việt Nam nói chung và pháp luật dân sự Việt Nam nói riêng trong công cuộc bảo vệ dữ liệu cá nhân của người tiêu dùng trên KGM tại Việt Nam Hầu hết các tác giả của những bài nghiên cứu về DLCN ở trong nước đều đồng tình với khái niệm DLCN được định nghĩa theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
Từ những phân tích trên, nhóm tác giả cho rằng khái niệm DLCN cũng như cách xác định DLCN cơ bản và DLCN nhạy cảm được quy định trong NĐ 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là phù hợp
Thứ hai, về khái niệm người tiêu dùng
Tìm hiểu khái niệm người tiêu dùng không chỉ có ý nghĩa về mặt lý luận mà còn có giá trị về mặt pháp lý để pháp luật xác định chính xác chủ thể này, từ đó có những quy định phù hợp và hiệu quả trong việc bảo vệ quyền lợi người tiêu dùng, cũng như để người tiêu dùng thực thi quyền và nghĩa vụ của mình.
Dưới góc độ tiếng Việt, theo từ điển Kinh tế học hiện đại định nghĩa thì người tiêu dùng là tác nhân kinh tế chịu trách nhiệm thực hiện hành vi tiêu dùng hàng hóa và dịch vụ cuối cùng Nhìn chung, người ta thường coi người tiêu dùng là cá nhân, nhưng trên thực tế người tiêu dùng còn có thể là một cá nhân, nhóm cá nhân hay tổ chức 10 Như vậy, người tiêu dùng ở đây không chỉ có cá nhân, họ có thể là nhóm gồm nhiều cá nhân, các cơ quan, tổ chức, các đơn vị khác nhau và điểm chung để xếp vào nhóm người tiêu dùng chính là nhờ vào đặc điểm mua hàng hóa, dịch vụ và sử dụng chúng
Ta có thể thấy họ là những người “tiêu dùng hàng hóa và dịch vụ cuối cùng” tức họ sẽ là chủ thể cuối cùng kết thúc chuỗi cung ứng sản phẩm, làm cho mục đích đem sản phẩm, dịch vụ đến tay người tiêu dùng được thỏa mãn Điều này nhằm phân biệt với những người mua hàng hóa, dịch vụ nhưng sử dụng chúng vào mục đích bán lại nhằm tìm kiếm lợi nhuận thì không được xem là người tiêu dùng
Dưới góc độ pháp luật các quốc gia, khái niệm người tiêu dùng được hiểu dưới nhiều nghĩa khác nhau, cụ thể:
Tại Canada, Luật bảo vệ người tiêu dùng của Bang Quebec: “Người tiêu dùng là một tự nhiên nhân (cá nhân), ngoại trừ thương nhân có được hàng hóa hoặc dịch vụ cho mục đích kinh doanh của mình” 11
10 Nguyễn Văn Ngọc (2006), Từ điển Kinh tế học, Nhà xuất bản Đại học kinh tế quốc dân, Hà Nội, tr384
11 Article 1 (e) consumer protection act of Quebec – Canada: “consumer means a natural person, expect a merchant who obtains goods or services for the purposes of his business”
Chỉ thị 2011/83/EU của Nghị viện châu Âu và Hội đồng châu Âu ngày 25/10/2011 về quyền của người tiêu dùng: “Người tiêu dùng là bất kỳ tự nhiên nhân (cá nhân) nào trong các hợp đồng được điều chỉnh bởi chỉ thị này, đang hành động ngoài mục đích thương mại, kinh doanh, thủ công hoặc nghề nghiệp của mình” 12
Luật bảo vệ người tiêu dùng năm 2019 của Ấn Độ: “Người tiêu dùng là bất kỳ người nào mua hàng hóa, thuê dịch vụ, người sử dụng hàng hóa, thụ hưởng dịch vụ mà không bao gồm người có được hàng hóa, dịch vụ vì mục đích thương mại” 13
Quy định của pháp luật dân sự Việt Nam về bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng
Hiện nay, BLDS năm 2015 không quy định trực tiếp vấn đề bảo vệ DLCN của người tiêu dùng trên KGM Ngoài các quy định rải rác trong các văn bản quy phạm pháp luật như Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, Luật an toàn thông tin mạng năm 2015… thì Nghị định số 13/2023/NĐ-CP về bảo vệ DLCN đã bước đầu quy định một cách cụ thể về bảo vệ DLCN, góp phần không cho cho việc hình thành một Luật cụ thể về vấn đề bảo vệ DLCN Sau đây, nhóm tác giả tiến hành nghiên cứu ba vấn đề đặc trưng về bảo vệ dữ liệu cá nhân của người tiêu dùng trên KGM bao gồm:
(1) nguyên tắc, (2) trách nhiệm của các chủ thể; (3) trách nhiệm BTTH
1.2.1 Quy định về nguyên tắc bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng
Theo pháp luật dân sự Việt Nam hiện nay, nguyên tắc bảo vệ DLCN của người tiêu dùng trên KGM không được quy định cụ thể trong BLDS nhưng cũng có liên quan mật thiết, là nguyên tắc nền tảng Tại Điều 3 BLDS năm 2015 quy định các nguyên tắc cơ bản của pháp luật dân sự, theo đó mọi cá nhân, pháp nhân đều được
30 Bảo vệ dữ liệu cá nhân trong môi trường số, Tiêu điểm của Nhân Dân hằng tháng số tháng 7/2023, https://special.nhandan.vn/bao-ve-du-lieu-ca-nhan-trong-moi-truong-so/index.html, truy cập ngày 11/8/2023 pháp luật bảo hộ như nhau về quyền nhân thân trong đó có quyền được bảo vệ DLCN của mình Thêm vào đó, các nguyên tắc này được quy định bởi nhiều văn bản pháp luật khác nhau dựa trên nguyên tắc bảo vệ quyền lợi người tiêu dùng và nguyên tắc tiến hành giao dịch điện tử, nguyên tắc bảo vệ DLCN Ta có thể phân chia thành hai nhóm pháp luật điều chỉnh gồm các văn bản quy phạm pháp luật bảo vệ quyền lợi người tiêu dùng và các văn bản điều chỉnh về thương mại điện tử Đối với nhóm văn bản pháp luật bảo vệ quyền lợi người tiêu dùng:
Trước hết phải kể đến Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 Một trong những quyền của người tiêu dùng được quy định tại khoản 1 Điều 4 của luật này là “quyền được bảo vệ thông tin khi tham gia giao dịch, sử dụng sản phẩm, hàng hóa, dịch vụ do tổ chức, cá nhân kinh doanh cung cấp” và tại Điều 6 của luật này quy định năm nguyên tắc bảo vệ quyền lợi người tiêu dùng Theo đó, trách nhiệm bảo vệ DLCN của người tiêu dùng trên KGM không chỉ đặt ra đối với tổ chức, cá nhân kinh doanh mà là sự kết hợp của cả Nhà nước, tổ chức, cá nhân và toàn xã hội Quyền được bảo vệ DLCN của người tiêu dùng trên KGM phải được mọi người công nhận, tôn trọng và được Nhà nước, tổ chức theo quy định của pháp luật bảo đảm và bảo vệ Việc bảo vệ này phải được chủ động thực hiện kịp thời, vì đặc tính của KGM nên DLCN tìm ẩn rất nhiều rủi ro xảy ra vấn đề khi được thu thập, lưu trữ, xử lý ‘Công bằng và minh bạch’ là điều cần thiết để đảm bảo rằng dữ liệu của mọi người không bị sử dụng theo cách mà họ không mong đợi ‘Đúng pháp luật’ có nghĩa là dữ liệu phải được xử lý theo cách tôn trọng quy định của pháp luật và đáp ứng cơ sở pháp lý để xử lý 31
Ngoài ra, còn có Nghị định số 99/2011/NĐ-CP của Chính phủ quy định chi tiết và hướng dẫn thi hành một số điều của Luật Bảo vệ quyền lợi người tiêu dùng năm
2010, tuy nhiên nghị định này không hướng dẫn về nội dung nguyên tắc bảo vệ quyền lợi người tiêu dùng nói chung hay bảo vệ DLCN của người tiêu dùng nói riêng Đối với nhóm văn bản quy phạm pháp luật điều chỉnh về sàn thương mại điện tử
Luật an toàn thông tin mạng năm 2015, tại Điều 4 có quy định bốn nguyên tắc bảo đảm an toàn thông tin mạng Theo khoản 1 Điều 3 Luật an toàn thông tin mạng năm 2015 “An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.” An toàn thông tin mạng bao gồm sự bảo vệ thông tin, và sự bảo vệ này được thực hiện đúng
31 A Guide for Policy Engagement on Data Protection, https://privacyinternational.org/sites/default/files/2018-09/Part%203%20-%20Data%20Protection%20Principles.pdf, tr.37 theo quy định của pháp luật, không xâm phạm thông tin mạng của tổ chức, cá nhân khác Bên cạnh đó hoạt động này phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả
Nghị định số 13/2023/NĐ-CP của Chính phủ quy định bảo vệ dữ liệu cá nhân, tại Điều 3 quy định 8 nguyên tắc bảo vệ dữ liệu cá nhân:
“Dữ liệu cá nhân được xử lý theo quy định của pháp luật
Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác
Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân
Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác
Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý
Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật
Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác
Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.”
Nghị định 13/2023/NĐ-CP đã bổ sung một số nguyên tắc nổi bật khác với các văn bản quy phạm pháp luật đã nêu Có thể kể đến việc xử lý DLCN đúng mục đích đã được đăng ký, tuyên bố; thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý; chỉ được lưu trữ trong khoảng thời gian phù hợp; bên chịu trách nhiệm tuân thủ các nguyên tắc và chứng minh sự tuân thủ của mình Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân sẽ góp phần giải bài toán khó, tạo điều kiện phát triển kinh tế xã hội, tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu cá nhân Ban hành Nghị định bảo vệ dữ liệu cá nhân cũng là bước cụ thể hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng; thể hiện rõ nỗ lực bảo vệ quyền con người trong chuyển đổi số ở Việt Nam 32
Nguyên tắc bảo vệ DLCN của người tiêu dùng là cơ sở là nền tảng để từ đó triển khai thành các quyền, nghĩa vụ của người tiêu dùng và tổ chức, cá nhân kinh doanh Phần lớn các văn bản pháp luật quy định nguyên tắc bảo vệ DLCN của người tiêu dùng mang nội dung gần giống nhau và mang tính hình thức, quy định còn chung chung Tuy nhiên Nghị định 13/2023/NĐ-CP vừa được ban hành đã bổ sung những nguyên tắc mới góp phần bảo vệ DLCN hiệu quả hơn
1.2.2 Quy định về trách nhiệm bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng
Chủ thể bảo vệ dữ liệu cá nhân của người tiêu dùng:
Ý nghĩa của bảo vệ dữ liệu cá nhân người tiêu dùng trên không gian mạng
Thông tin cá nhân là một phạm trù gắn với quyền riêng tư Trong bối cảnh này, quyền riêng tư có nghĩa là các quy tắc điều chỉnh việc thu thập, sử dụng và tiết lộ thông tin Bề ngoài, các quy tắc về quyền riêng tư được sử dụng để củng cố các mối quan hệ về thông tin (bên chia sẻ thông tin và bên tiếp nhận thông tin) Trong đó, sự tin tưởng là nhân tố quan trọng tác động đến sự phát triển của các mối quan hệ về thông tin Bởi vì, khi tin tưởng lẫn nhau, con người mới chia sẻ các thông tin thuộc về cá nhân mình cho một chủ thể bất kì có nguyện vọng thu thập và sử dụng thông tin Các mối quan hệ về thông tin rất cần thiết để phát triển hoạt động thương mại điện tử hiện nay hiện nay – phương thức giao dịch gắn với việc truyền dẫn dữ liệu điện tử Nhiều nghiên cứu về ứng dụng và phát triển các mô hình thương mại điện tử đều cho thấy rằng sự tin tưởng của người tiêu dùng sẽ góp phần thúc đẩy thương mại điện tử phát triển, hướng người tiêu dùng tới quyết định lựa chọn giao dịch thương mại điện tử thay vì phương thức giao dịch truyền thống Sự tin tưởng này được hình thành từ nhiều nhân tố, trong đó có nhân tố về đảm bảo quyền riêng tư, an toàn thông tin cá nhân cho người tiêu dùng
Trong nền kinh tế thị trường, dữ liệu cá nhân khách hàng được nhiều tổ chức, cá nhân thu thập, lưu trữ và sử dụng để phục vụ cho nhiều mục đích khác nhau như tiếp thị sản phẩm, nghiên cứu thị trường, thậm chí được xem là một “mặt hàng” có thể mua bán… Hiện nay, các hành vi xâm phạm trái phép các thông tin cá nhân trong thương mại điện tử ngày càng trở nên phổ biến và tinh vi chính sách bảo vệ người tiêu dùng hiện nay của Việt Nam khá toàn diện, chúng ta có Luật Bảo vệ người tiêu dùng, ngoài ra còn có Bộ luật dân sự năm 2015, Luật Giao dịch điện tử năm 2023, Luật An toàn thông tin mạng năm 2015…Trong nghị định phải kể đến nghị định điều chỉnh về thương mại điện tử, có Nghị định 52/2013/NĐ - CP về Thương mại điện tử, Nghị định số 85/2021/NĐ-CP Sửa đổi, bổ sung một số điều của Nghị định số 52/2013/NĐ-CP về thương mại điện tử… Có thể nói, ở Việt Nam đã có cả hệ thống bảo vệ quyền lợi người tiêu dùng mà nhà nước đã ban hành Sau một khoảng thời gian thực hiện, kể từ khi luật có hiệu lực, luật bảo vệ người tiêu dùng ở Việt Nam đã đạt được những kết quả bước đầu Tuy nhiên, quyền lợi cơ bản của người tiêu dùng vẫn bị xâm hại nghiêm trọng Từ thực tế, chúng ta thấy rằng, các hành vi xâm phạm đến người tiêu dùng ngày càng phức tạp và tinh vi hơn mặc dù đã có rất nhiều văn bản pháp luật được ban hành với mục đích bảo vệ người tiêu dùng
Ngoài ra, việc xây dựng và hoàn thiện pháp luật nhằm bảo vệ thông tin người tiêu dùng trên KGM nói riêng và bảo vệ người tiêu dùng nói chung có ý nghĩa vô cùng to lớn đối với pháp luật Việt Nam, việc không ngừng hoàn thiện pháp luật không chỉ có ý nghĩa đối với quyền lợi người tiêu dùng mà còn thể hiện sự cố gắng, quyết tâm xây dựng một hệ thống pháp luật vững mạnh, theo kịp xu hướng liên tục ngày này của các nhà làm luật Việt Nam nói riêng và pháp luật Việt Nam nói chung
Chính vì những phân tích ở trên, mà việc bảo vệ người tiêu dùng là một vấn đề rất cấp thiết và thực tế hiện nay Nền kinh tế thị trường vẫn còn nhiều mặt trái, nền văn hóa tiêu dùng của người Việt Nam cần được quan tâm hơn nữa Việc đưa ra việc yêu cầu bảo vệ thông tin người tiêu dùng trên KGM có ý nghĩa rất quan trọng trong việc bảo vệ quyền lợi người tiêu dùng Điều đó sẽ giúp giảm thiểu các rủi ro, đảm bảo quá trình giao dịch diễn ra thuận lợi, ưu tiên cho người tiêu dùng những quyền lợi chính đáng, cho thấy sự quan tâm của nhà nước cũng như khuyến khích, động viên người tiêu dùng ngày càng tham gia nhiều hơn vào các hoạt động giao dịch điện tử Bởi Việt Nam đang ngày càng hội nhập với quốc tế, là thành viên của các tổ chức quốc tế, vì vậy bảo vệ quyền lợi người tiêu dùng cũng là một trong những yêu cầu cần thiết và hàng đầu hiện nay
Bảo vệ thông tin người tiêu dùng trên không gian mạng là một vấn đề pháp lý không mới tuy nhiên đây là một vấn mang tính cấp thiết, và cũng là một lĩnh vực quan trọng được nhiều nhà nghiên cứu quan tâm hiện nay Do giao dịch trên không gian mạng xuất hiện ở nước ta trong thời gian gần đây, nên các văn bản pháp luật vẫn còn khá hạn chế Mặc dù có rất nhiều các công trình nghiên cứu khoa học hướng đến mục tiêu khắc phục sự bất cân xứng về khả năng bảo vệ thông tin người tiêu dùng trong mối quan hệ với chủ thể sản xuất, kinh doanh và không gian mạng, nhưng nhìn chung vẫn chưa thật sự đi sâu và phân tích kỹ các vai trò và trách nhiệm của không gian mạng để bảo vệ thông tin người tiêu dùng nói chung và người người tiêu dùng Việt Nam nói riêng Đặc biệt, lĩnh vực giao dịch thông qua không gian mạng còn có vai trò quan trọng, ảnh hưởng trực tiếp đến sự phát triển của kinh tế, xã hội Trong chương này, nhóm tác giả đã tập trung làm rõ các vấn đề pháp lý liên quan đến khái niệm dữ liệu cá nhân của người tiêu dùng trên không gian mạng nhằm đưa ra cái nhìn sơ lược, tổng quan về vấn đề này Từ đó, rút ra được các ý nghĩa khi cần thiết phải có các quy định pháp luật, quy định đến thông tin người tiêu dùng trên không gian mạng Và qua đó, cũng sẽ làm tiền đề cho việc đi vào phân tích chương sau được sâu sắc, rõ ràng và dễ hiểu hơn Qua các nghiên cứu cho thấy, người tiêu dùng là một bộ phận trọng yếu cấu thành nên nền kinh tế hàng hóa dịch vụ, là trung tâm của những mối quan hệ kinh tế Nhưng thực tế, chính người tiêu dùng cũng là bên yếu thế và cần thiết được bảo vệ
Do đó, cần nâng cao hơn nữa ý nghĩa của các quy định liên quan đến trách nhiệm bảo vệ thông tin người tiêu dùng trên không gian mạng Quản lý chặt chẽ, xử phạt nghiêm các hành vi của tổ chức, cá nhân kinh doanh thông qua không gian mạng Pháp luật bên cạnh việc là công cụ pháp lý bảo vệ quyền lợi người tiêu dùng, thì cũng đồng thời là công cụ để răn đe cho các hành vi xấu với mục tiêu xâm phạm đến quyền lợi người tiêu dùng Trên cơ sở kế thừa và tiếp thu có chọn lọc các công trình khoa học, nhóm tác giả sẽ tiếp tục đi tìm hiểu và làm sáng tỏ những vấn đề nghiên cứu ở chương tiếp theo.
THỰC TIỄN ÁP DỤNG VÀ KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NGƯỜI TIÊU DÙNG TRÊN KHÔNG GIAN MẠNG
Các nguyên tắc bảo vệ dữ liệu cá nhân của người tiêu dùng trên không
Bất kỳ ai trong chúng ta đều có thể dễ dàng nhận thấy rằng với sự phát triển của khoa học công nghệ và những tiện lợi mà Internet mang lại như hiện nay thì việc mua bán hàng hóa online hay sử dụng các dịch vụ trên KGM sẽ ngày càng phổ biến và lấn át cả thị trường truyền thống Khi thực hiện các giao dịch này thì việc trao đổi, xử lý thông tin là điều tất yếu nên nó có thể tiềm ẩn nhiều nguy cơ đối sự an toàn dữ liệu của người tiêu dùng Do đó, việc đặt ra những nguyên tắc cơ bản để bảo vệ DLCN cho người tiêu dùng phải được đặt lên hàng đầu Tuy nhiên, vẫn còn tồn tại một số bất cập trong nguyên tắc bảo vệ quyền lợi người tiêu dùng cần phải khắc phục mới có thể đảm bảo an toàn dữ liệu cho người tiêu dùng; nhóm tác giả xin được phân tích chúng ngay sau đây
2.1.1 Thực tiễn áp dụng và những bất cập trong quy định về nguyên tắc bảo vệ dữ liệu cá nhân người tiêu dùng trên không gian mạng theo pháp luật dân sự Việt Nam
Trong giao dịch thương mại điện tử, các thông tin được chuyển thành thông điệp dữ liệu hoặc thông tin chuyển tải bằng kỹ thuật tương tự (Analog) nên tất cả đều tiềm ẩn các rủi ro như: sập hệ thống, trục trặc kỹ thuật, bị mất dữ liệu hoặc bị đánh cắp dữ liệu cho các mục đích khác v.v Ngoài ra, do bản chất của giao dịch thương mại điện tử là gián tiếp và được thực hiện trong môi trường hay thị trường phi biên giới, các chủ thể không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước Điều này dẫn đến những lo ngại riêng của các chủ thể tham gia như: người tiêu dùng lo sợ các thông tin cá nhân, mà thể thanh toán, thẻ tín dụng của mình khi tham gia giao dịch trên mạng có thể bị kẻ xấu hoặc phía đối tác lợi dụng và sử dụng bất hợp pháp: tổ chức, cá nhân kinh doanh lo ngại về khả năng đảm bảo thanh toán của người tiêu dùng 45
Thứ nhất, với sự phát triển không ngừng của các nền tảng mạng xã hội, nhu cầu mua sắm, sử dụng dịch vụ qua KGM ngày càng tăng Từ đó, lượng DLCN của
45 Tống Phước Long (2018), Pháp luật bảo vệ quyền lợi người tiêu dùng trong giao dịch thương mại điện tử, tr.8, https://luanvan.co/luan-van/luan-van-phap-luat-bao-ve-quyen-loi-nguoi-tieu-dung-trong-giao-dich-thuong-mai- dien-tu-68497/, truy cập ngày 30/7/2023 người tiêu dùng được các cá nhân, tổ chức kinh doanh thu thập tăng lên đi kèm với nhu cầu cấp thiết của bên kiểm soát dữ liệu áp dụng biện pháp để bảo vệ DLCN thực sự hiệu quả bằng việc tuân thủ các quy định của pháp luật Tuy nhiên làm thế nào để kiểm chứng việc tuân thủ của các cá nhân, tổ chức này một cách minh bạch và rõ ràng là một vấn đề đáng chú ý Ta thấy rằng nguyên tắc chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu được ra đời trong Nghị định 13/2023/NĐ-CP đã phần nào giải quyết một phần vấn đề Mặc khác một câu hỏi được đặt ra là việc chứng minh này được thực hiện như thế nào: cần chứng minh những vấn đề gì, trong quá trình thu thập, xử lý DLCN cá nhân, tổ chức phải thực hiện những nội dung gì để đảm bảo tuân thủ nguyên tắc Việc cụ thể hóa nguyên tắc này giúp cho cá nhân, tổ chức kinh doanh áp dụng các biện pháp cụ thể và nội luật hóa vào chính sách của mình giúp nắm bắt và thực hiện tốt trên thực tế, đồng thời khi có sự cố xảy ra có thể truy tìm lỗ hổng trong việc bảo vệ DLCN một cách nhanh chóng để đưa ra những giải pháp hiệu quả
Thứ hai, mặc dù khoản 2 Điều 3 Nghị định 13/2023/NĐ-CP đã có quy định về nguyên tắc “Chủ thể dữ liệu được biết về hoạt động liên quan đến việc xử lý dữ liệu cá nhân của mình” và cụ thể hóa thành quyền được thông báo tại Điều 13 Nghị định
13/2023/NĐ-CP về bảo vệ DLCN với nội dung thông báo bao gồm mục đích xử lý, loại dữ liệu cá nhân được xử lý, cách thức xử lý, những chủ thể có liên quan, hậu quả, thiệt hại có khả năng xảy ra và thời gian xử lý dữ liệu - nội dung tương đối đầy đủ Tuy nhiên, Nghị định này chỉ quy định nghĩa vụ của chủ thể xử lý dữ liệu khi tiến hành xử lý, còn khi có chủ thể tiến hành thu thập dữ liệu thì hiện chưa quy định nghĩa vụ thông báo Ngược lại, tại Điều 17 Luật bảo vệ quyền lợi người tiêu dùng năm 2023 có quy định cả nghĩa vụ thông báo khi thu thập và sử dụng dữ liệu nhưng nội dung chỉ bao gồm mục đích, phạm vi, thời hạn sử dụng thông tin và biện pháp bảo vệ thông tin - như vậy có thể gây nên tình trạng những thông tin mà tổ chức nắm giữ khi cung cấp cho cá nhân sẽ không được đầy đủ, cụ thể: người tiêu dùng không biết chủ thể nào thu thập thông tin của mình, với mục đích gì và lưu giữ những thông tin này đến bao giờ, cũng như Luật quy định cho người tiêu dùng quyền được tiếp cận, chỉnh sửa hay xóa dữ liệu nhưng về bên lưu giữ, xử lý thông tin không cung cấp cho người tiêu dùng cách thức họ có thể thực hiện các quyền của mình - điều này có thể gây ảnh hưởng rất lớn đến quyền lợi hợp pháp của người tiêu dùng Theo đó, khi tiến hành thu thập DLCN của người tiêu dùng, việc tự động thông báo các nội dung trên mà không cần sự yêu cầu của người tiêu dùng là cần thiết Việc thông báo trước giúp cho chủ thể dữ liệu nắm rõ DLCN của mình sẽ được thu thập, xử lý như thế nào, để kịp thời đưa ra những quyết định hợp tác cũng như khi DLCN của mình bị tiết lộ sẽ dễ dàng phát hiện chủ thể có thể tiết lộ
2.1.2 Kiến nghị hoàn thiện pháp luật về nguyên tắc bảo vệ dữ liệu cá nhân người tiêu dùng trên không gian mạng theo pháp luật dân sự Việt Nam
Từ những phân tích trên, nhóm kiến nghị nên bổ sung những nội dung sau:
Nguyên tắc thứ nhất - Trách nhiệm giải trình
Mặc dù Nghị định 13/2023/NĐ-CP đã quy định nguyên tắc này nhưng để cụ thể hóa nguyên tắc trách nhiệm giải trình, ta nên bổ sung một số biện pháp mà các tổ chức cần thiết lập để nguyên tắc được đưa vào thực tiễn chứ không dừng lại ở việc mang tính hình thức
Theo Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử của Canada 46 trách nhiệm giải trình đối với việc tuân thủ các nguyên tắc thuộc về cá nhân được tổ chức chỉ định và danh tính của các cá nhân được tổ chức chỉ định để giám sát việc tuân thủ các nguyên tắc được tổ chức cung cấp khi có yêu cầu Để tạo hiệu lực cho nguyên tắc này, Điều luật này cũng quy định những chính sách để tạo hiệu lực cho nguyên tắc như
(a) thực hiện các thủ tục để bảo vệ thông tin cá nhân; (b) thiết lập các thủ tục tiếp nhận và trả lời các khiếu nại và thắc mắc; (c) đào tạo nhân viên và truyền đạt cho nhân viên thông tin về các chính sách và thực tiễn của tổ chức; (d) phát triển thông tin để giải thích các chính sách và thủ tục của tổ chức
Bên cạnh đó, quy định chung về bảo vệ dữ liệu cá nhân của Liên minh Châu Âu 47 cũng quy định về nguyên tắc này Tuy nhiên, có điểm khác biệt so với quy định của Canada và Việt Nam, nguyên tắc trách nhiệm giải trình là nguyên tắc duy nhất áp dụng cho “người kiểm soát dữ liệu” (người quyết định cách thức và lý do xử lý dữ liệu cá nhân) chứ không phải “người xử lý dữ liệu” (người xử lý dữ liệu cá nhân thay mặt cho người kiểm soát) 48 hay là bất kỳ cá nhân nào được tổ chức chỉ định chịu trách nhiệm giải trình
Trách nhiệm giải trình theo GDPR có thể có nhiều hình thức Một số ví dụ về các biện pháp chịu trách nhiệm từ một nhóm tư vấn chính thức của EU 49 : (1) Phát triển các chính sách, thủ tục nội bộ và bất kỳ tài liệu cần thiết nào khác; (2) tiến hành và lập bản đồ dữ liệu sử dụng để xác định cách bạn thu thập, sử dụng và chia sẻ dữ liệu cá nhân; (3) chỉ định một nhân viên bảo vệ dữ liệu (DPO) hoặc chỉ định một nhân viên giám sát quyền riêng tư và bảo vệ dữ liệu; (4) duy trì hồ sơ về các hoạt động xử lý
46 Section 5 Principle 1 — Accountability, Personal Information Protection and Electronic Documents Act 2000 of Canada
47 Art 5 Chapter 2 General Data Protection Regulation
48 Robert Bateman (2023), Understanding the Key Data Protection Principles under GDPR, Privado blog, https://www.privado.ai/post/gdpr-principles, truy cập ngày 30/7/2023
(RoPA) - một yêu cầu theo Điều 30 của GDPR; (5) thực hiện đánh giá tác động bảo vệ dữ liệu (DPIA) hoặc đánh giá tác động quyền riêng tư (PIAs) khi thích hợp
Trách nhiệm giải trình nhấn mạnh vào việc chỉ ra trách nhiệm được thực hiện như thế nào và làm cho điều này có thể kiểm chứng được 50
Theo đó, ngoài việc quy định mang tính chung chung là một tổ chức phải chịu trách nhiệm về thông tin cá nhân mà mình thu thập, xử lý… thì nguyên tắc này đã phân định rõ trách nhiệm giải trình của cá nhân được tổ chức chỉ định để bảo vệ thông tin cá nhân mặc dù các cá nhân khác trong tổ chức có thể chịu trách nhiệm thu thập và xử lý thông tin cá nhân hàng ngày Danh tính của những cá nhân này cũng được tổ chức cung cấp khi có yêu cầu Với quy định như vậy, sẽ siết chặt và đặt trách nhiệm giải trình để cá nhân được chỉ định thực hiện tốt hơn công việc mà mình được giao và khi xảy ra sự cố có thể truy cứu trách nhiệm và việc giải trình dẫn đến điều tra để khắc phục hậu quả nhanh chóng và chính xác, góp phần hiện thực hóa việc bảo vệ thông tin cá nhân của người tiêu dùng
Tầm quan trọng của nguyên tắc trách nhiệm giải trình là rõ ràng nhất khi xem xét các bối cảnh không có cơ chế trách nhiệm giải trình – nghĩa là không có cơ cấu báo cáo các hành vi vi phạm pháp luật 51
Trách nhiệm của chủ thể thu thập, xử lý dữ liệu cá nhân của người tiêu dùng trên không gian mạng theo pháp luật dân sự Việt Nam
Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân là một bước tiến đáng kể trong hệ thống văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân Đây chính là nỗ lực của Chính phủ nhằm góp phần xây dựng hành lang pháp lý phục vụ chương trình
56 Bộ Công thương (2008), APEC Những nguyên tắc cơ bản trong bảo vệ thông tin cá nhân trong thương mại điện tử, https://trungtamwto.vn/file/20761/apec-nhung-nguyen-tac-co-ban-ve-bao-ve-du-lieu-ca-nhan-trong- thuong-mai-dien-tu.pdf, truy cập ngày 30/7/2023 chuyển đổi số quốc gia, hướng đến nhóm mục tiêu an toàn thông tin và phát triển xã hội số toàn diện Đặt ra các yêu cầu kỹ thuật và pháp lý cho các doanh nghiệp xử lý, kiểm soát dữ liệu của công dân Việt Nam Ngoài ra, Nghị định cũng quy định về chức năng và thẩm quyền của cơ quan chuyên trách bảo vệ DLCN ở Việt Nam Nghị định này nhấn mạnh trách nhiệm của chủ thể xử lý dữ liệu trong vấn đề bảo vệ DLCN nói chung và bảo vệ DLCN của người tiêu dùng trên KGM, vì những chủ thể này là người tiếp xúc trực tiếp hoặc gián tiếp với DLCN của người tiêu dùng, vì vậy trách nhiệm của họ vô cùng lớn, đóng vai trò chủ chốt trong việc giữ gìn an toàn KGM, trật tự xã hội xã hội và các vấn đề liên quan đến an ninh quốc gia khác Nội dung phân tích dưới đây là ý kiến của nhóm tác giả về những vấn đề còn vướng mắc và đưa ra những giải pháp, kiến nghị nhằm hoàn thiện pháp luật dân sự Việt Nam về quy định trách nhiệm bảo vệ DLCN của người tiêu dùng trên KGM
2.2.1 Thực tiễn áp dụng và những bất cập trong quy định về trách nhiệm bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng theo pháp luật dân sự Việt Nam
Theo quy định của pháp luật hiện hành, tổ chức cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm bảo vệ thông tin của người tiêu dùng khi thực hiện hành vi thu thập, xử lý thông tin của người tiêu dùng; tuy nhiên, trên thực tế những quy định này còn thể hiện một vài bất cập cần phải khắc phục ngay mới có thể bảo đảm được quyền lợi cho người tiêu dùng một cách triệt để hơn
Thứ nhất, theo quy định, những tổ chức, cá nhân kinh doanh khi tiến hành thu thập DLCN phải có trách nhiệm bảo vệ DLCN của người tiêu dùng Cụ thể tại Điều 16 Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 quy định tổ chức, cá nhân kinh doanh khi thu thập thông tin của người tiêu dùng có nghĩa vụ xây dựng quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng với nội dung bao gồm mục đích thu thập, phạm vi sử dụng, thời hạn lưu trữ và các biện pháp bảo vệ, bảo đảm cho sự an toàn thông tin của người tiêu dùng và những thông tin này phải được công khai, thông tin rõ ràng, tạo điều kiện để người tiêu dùng tiếp cận trước hoặc tại thời điểm thu thập thông tin Trên thực tế, ta có thể thấy đa số các tổ chức, cá nhân thực hiện kinh doanh trên KGM đều đã công bố chính sách bảo mật trên các phương tiện điện tử, trang web của nhà bán hàng và cung cấp dịch vụ khác nhau; dễ thấy nhất với hàng loạt những cái tên như Shopee, Lazada, Sendo, Google, hay chính sách quyền riêng tư của Facebook… Thậm chí, chỉ cần tìm kiếm với từ khóa “chính sách bảo mật” trên công cụ tìm kiếm Google là ta có thể tra được hàng loạt kết quả là chính sách bảo mật của vô số trang điện tử bán hàng hay cung cấp dịch vụ khác nhau Tuy nhiên, dù với sự có mặt của những chính sách bảo vệ thông tin người tiêu dùng này, tỷ lệ người tiêu dùng khiếu nại đối với hành vi bảo vệ thông tin vẫn chiếm phần lớn nhất, nó chiếm đến 36% trong tổng số khiếu nại đến Cục cạnh tranh và Bảo vệ người tiêu dùng 57 – đây là một con số không hề nhỏ và cần phải cân nhắc lại về vấn đề của nó Vậy vấn đề của ở đây là gì? Trước khi nghiên cứu về chủ đề này, chúng tôi, với tư cách của những người tiêu dùng cũng không thực sự để ý đến những điều khoản bảo mật thông tin này, khi tiến hành đăng ký một tài khoản để mua hàng trên các trang bán hàng trực tuyến, việc đọc hết chính sách bảo mật dường như là điều không thể xảy ra Vì có tâm lý e ngại khi phải đọc những văn bản rất dài cùng những từ ngữ khó hiểu, kèm theo đó là tâm lý nóng lòng muốn nhanh chóng tạo một tài khoản để thực hiện việc tìm kiếm, chọn mua cho bản thân những món hàng yêu thích nên người tiêu dùng thường không đọc hết một cách kỹ lưỡng mà chọn đồng ý với với những điều khoản này ngay và luôn Chính vì sự hời hợt này đã làm cho người tiêu dùng đồng ý với những điều khoản bất lợi với mình – đây cũng là nguyên nhân chủ quan và cũng là một phần lỗi ở người tiêu dùng Tuy nhiên, về phía các doanh nghiệp, việc thực hiện trách nhiệm bảo vệ thông tin của người tiêu dùng cũng không phù hợp với quy định của pháp luật Trên trang web của mình, doanh nghiệp lập ra chính sách bảo vệ thông tin của người tiêu dùng, tuy nhiên những chính sách này lại mang đến cho người tiêu dùng những rủi ro vô cùng lớn Khi tìm hiểu chính sách bảo mật của một vài trang thương mại điện tử khác nhau, nhóm tác giả nhận thấy có những điều khoản quy định vô cùng bất lợi cho người tiêu dùng, thậm chí vi phạm quy định của pháp luật, tuy nhiên chúng vẫn được sử dụng trong các hợp đồng giữa người tiêu dùng và doanh nghiệp, điều này dẫn đến một mối nguy hiểm rất lớn đối với sự an toàn thông tin của người tiêu dùng
Thứ hai, trong cả trong Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 và cả
Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 cũng đều quy định cho tổ chức, cá nhân kinh doanh phải có trách nhiệm thông báo một cách rõ ràng, công khai, bằng hình thức phù hợp trước khi thu thập, sử dụng thông tin của người tiêu dùng và phải được sự đồng ý của người tiêu dùng Riêng trong Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 tại Điều 17 còn có thêm quy định về trách nhiệm thiết lập phương thức để người tiêu dùng lựa chọn phạm vi thông tin cung cấp cũng như bày tỏ sự đồng ý hoặc không đồng ý Vậy nếu trong trường hợp người tiêu dùng được thông báo nhưng họ chỉ có thể có một sự lựa chọn là phải đồng ý mới có thể mua hàng hóa và sử dụng dịch vụ nhưng nội dung thì lại đòi hỏi quá mức cần thiết đối với người tiêu dùng thì xử lý như thế nào? Hay người tiêu dùng vì được thông báo những thông tin không chính
57 Nguyên Hà (2019), 6646 cuộc gọi phản ánh đến Bộ Công Thương trong 8 tháng, người tiêu dùng khiếu nại những gì?, Tạp chí Công thương điện tử - Cơ quan thông tin lý luận của Bộ công thương, https://tapchicongthuong.vn/bai-viet/6646-cuoc-goi-phan-anh-den-bo-cong-thuong-trong-8-thang-nguoi-tieu- dung-khieu-nai-nhung-gi-65092.htm, truy cập ngày 28/7/2023 xác và đầy đủ khiến họ đồng ý thì phải giải quyết ra sao? Những tình huống này thì hiện tại pháp luật Việt Nam vẫn chưa có dự liệu
Bên cạnh những điều kiện cho sự đồng ý quy định tại Điều 11 Nghị định 13/2023/NĐ-CP về bảo vệ DLCN thì tại Điều 12 cũng có quy định về việc rút lại sự đồng ý Tại Điều 17 có quy định tổ chức, cá nhân thu thập thông tin của người tiêu dùng thì phải thiết lập phương thức rõ ràng để người tiêu dùng bày tỏ sự đồng ý hoặc không đồng ý nhưng lại không hề nhắc đến phương thức đề người tiêu dùng rút lại sự đồng ý Thực tế, việc người tiêu dùng rút lại sự đồng ý cũng quan trọng không kém so với sự đồng ý vì đây là cách chủ động nhất để người tiêu dùng tự bảo vệ cho dữ liệu của bản thân Khi tổ chức, cá nhân kinh doanh đã tiến hành thu thập, xử lý DLCN thì người tiêu dùng hoàn toàn có thể rút lại sự đồng ý ban đầu, không cho phép bên bán hàng tiếp tục xử lý DLCN của mình nữa khi nhận thấy có sự nguy hiểm hay không an tâm về dữ liệu của mình Hay hơn hết, quyền rút lại sự đồng ý cũng là một quyền cơ bản có thể thực hiện của mỗi chủ thể dữ liệu, quyền này đã được ghi nhận một cách minh thị tại khoản 4 Điều 9 Nghị định 13/2023/NĐ-CP về bảo vệ DLCN, không ai có thể ngăn cản họ thực hiện quyền của mình trừ những trường hợp Luật định Việc không quy định về phương thức để người tiêu dùng có thể thực hiện quyền của mình một cách dễ dàng nhất đã làm ảnh hưởng đến lợi ích của họ Trên thực tế, khi người tiêu dùng phát hiện chủ thể xử lý DLCN có hành vi sai phạm đối với DLCN của mình nhưng cách thức thực hiện quyền rút lại sự đồng ý thì vô cùng rườm rà và khó khăn khiến hành vi vi phạm kéo dài hơn, có thể gây thiệt hại không nhỏ đến quyền lợi người tiêu dùng Trên thực tế, đã có rất nhiều những trường hợp người tiêu dùng gặp khó khăn để bảo vệ dữ liệu của bản thân gây nên thiệt hại cho họ, điển hình nhất nhóm tác giả xin đưa ra trường hợp của một doanh nghiệp mà có lẽ ai cũng biết đến đó chính là Google – doanh nghiệp này đã khiến hàng chục người Châu Âu bị theo dõi khi đăng ký Google Trong bài phát biểu của mình trên Trang thông tin điện tử của Tổ chức Người tiêu dùng Châu Âu (beuc.eu), ông Ursula Pachl, Phó Tổng Giám đốc Tổ chức Người tiêu dùng Châu Âu (BEUC) có cho biết rằng nguyên nhân gây nên thiệt hại cho hàng loạt người tiêu dùng của Google chính là việc Google không tạo ra phương thức đơn giản, thân thiện nhất để người tiêu dùng bảo vệ quyền riêng tư của mình Khi người tiêu dùng đăng ký sử dụng Google thì họ chỉ cần một bước đơn giản để đồng ý cho Google khai thác và giám sát hoạt động của người tiêu dùng; nhưng để hưởng lợi từ các cài đặt thân thiện với quyền riêng tư, bạn phải điều hướng qua một quy trình dài hơn và kết hợp các tùy chọn không rõ ràng và gây hiểu lầm 58 Hay thậm chí, ngay cả
58 European consumer groups take action against Google for pushing users towards its surveillance system (30/6/2022), The European Consumer Organization (beuc.eu), https://www.beuc.eu/press-releases/european- consumer-groups-take-action-against-google-pushing-users-towards-its, truy cập gày 26/7/2023
CNIL (Ủy ban quốc gia về thông tin và quyền tự do (CNIL) của Pháp) cũng nhận định rằng các trang facebook.com, google.fr và youtube.com “không cho phép khách hàng thực hiện thao tác từ chối cookie một cách đơn giản như là thao tác chấp nhận chúng” 59 Qua đó, ta có thể thấy, việc tổ chức, cá nhân kinh doanh cần tạo ra phương thức để người tiêu dùng rút lại sự đồng ý cũng vô cùng quan trọng
Thứ ba , như những quy định đã phân tích ở Chương 1, dữ liệu cá nhân của người tiêu dùng được chia thành hai loại là DLCN cơ bản và DLCN nhạy cảm; cũng bởi đặc tính về mức độ nhạy cảm của dữ liệu nên trách nhiệm của chủ thể xử lý dữ liệu đối với từng loại thông tin này cũng phải khác nhau Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 hiện chưa có quy định phân biệt trách nhiệm đối với hai loại dữ liệu này một cách rõ ràng; Nghị định 13/2023/NĐ-CP về bảo vệ DLCN có quy định riêng đối với DLCN nhạy cảm tại Điều 28 – ngoài các biện pháp bảo vệ DLCN cơ bản tại Điều 26, 27 thì còn có những quy định khác tại khoản 2 và khoản 3 Điều 28 Tuy nhiên trách nhiệm của chủ thể xử lý dữ liệu chỉ dừng lại ở việc thông báo về việc DLCN nhạy cảm được xử lý, chỉ định bộ phận, nhân sự đảm nhận chức năng bảo vệ DLCN… Theo quan điểm của nhóm tác giả thì những quy định này là chưa đủ, vì dữ liệu nhạy cảm có giá trị rất quan trọng đối với mỗi cá nhân, có thể là điểm yếu “chí mạng” của một người, thậm chí đã từng có nhiều vụ án liên quan đến việc bị lộ hình ảnh, video nhạy cảm mà dẫn đến tự tử Nếu người tiêu dùng mua hàng hóa, sử dụng dịch vụ mà lại bị đánh cắp dữ liệu và bị tung lên mạng xã hội thì có thể gây ra hậu quả khôn lường; do đó, cần có quy định chặt chẽ hơn để đảm bảo an toàn hơn đối với DLCN nhạy cảm
2.2.2 Kiến nghị hoàn thiện pháp luật về trách nhiệm của chủ thể thu thập, xử lý dữ liệu cá nhân của người tiêu dùng trên không gian mạng theo pháp luật dân sự Việt Nam
Dựa trên những bất cập vừa phân tích ở trên, nhóm tác giả muốn đưa ra một vài kiến nghị tương ứng với hy vọng có thể được ứng dụng để giải quyết phần nào những vấn đề này trong thời gian tới
Thứ nhất, để những quy tắc bảo vệ thông tin của người tiêu dùng mà tổ chức, cá nhân kinh doanh lập ra phát huy được những hiệu quả giúp người tiêu dùng bảo vệ DLCN của mình thì phải đảm bảo người tiêu dùng nào cũng có thể hiểu được những
Nguyên bản: If you want to benefit from privacy-friendly settings, you must navigate through a longer process and a mix of unclear and misleading options
59 Văn Tuấn (06/01/2022), Pháp phạt nặng Google và Facebook vì vi phạm quyền riêng tư khách hàng, TTXVN/Vie-tnam+, https://www.vietnamplus.vn/phap-phat-nang-google-va-facebook-vi-vi-pham-quyen-rieng- tu-khach-hang/767010.vnp#source=link.gov.vn, truy cập ngày 31/7/2023 quy tắc này hay trên thực tế Nhóm tác giả xin có kiến nghị bổ sung vào khoản 2 Điều
Quy định về bồi thường thiệt hại do dữ liệu cá nhân của người tiêu dùng trên không gian mạng bị xâm phạm theo pháp luật dân sự Việt Nam
Quả thật, trong mối quan hệ giữa người tiêu dùng với chủ thể sử dụng, nắm giữ DLCN của người tiêu dùng thì người tiêu dùng luôn là bên yếu thế, bị động, thậm chí họ khó có thể kiểm soát được dữ liệu của chính bản thân mình Những hành vi xâm phạm DLCN của người tiêu dùng không chỉ đơn thuần dừng lại ở việc thông tin xác định danh tính hay những thông tin nhạy cảm của họ bị lộ lọt mà đằng sau đấy là những hậu quả vô cùng nguy hiểm, ảnh hưởng trực tiếp đến đời sống cá nhân của họ Chẳng hạn như khi DLCN bị xâm phạm, người tiêu dùng sẽ bị làm phiền bởi những quảng cáo mà họ không có nhu cầu, hay sẽ bị giả mạo danh tính để vay tín dụng đen trong khi bản thân người tiêu dùng không hề biết điều này, hoặc thậm chí là các cuộc lừa đảo tống tiền đầy tinh vi mà hiện nay đang là chủ đề nóng hổi, gây xôn xao trên phạm vi cả nước… Từ đó có thể thấy có vô vàn những hiểm họa xảy ra nếu DLCN bị xâm phạm, những hiểm họa ấy không chỉ gây thiệt hại về vật chất cho người tiêu dùng mà đồng thời còn gây ra những thiệt hại về tinh thần Vậy liệu những thiệt hại đó có được bồi thường hay không? Và sau đây, nhóm tác giả sẽ tiến hành phân tích những thực tiễn, bất cập trong pháp luật dân sự Việt Nam, đồng thời sẽ đưa ra những giải pháp, kiến nghị thông qua việc tham khảo những quy định của một số pháp luật nước ngoài trong việc quy định về trách nhiệm bồi thường thiệt hại về DLCN của người tiêu dùng trên KGM
2.3.1 Thực tiễn áp dụng và những bất cập trong quy định về bồi thường thiệt hại do dữ liệu cá nhân của người tiêu dùng trên không gian mạng bị xâm phạm theo pháp luật dân sự Việt Nam
Thứ nhất, về khách thể của bồi thường thiệt hại
Như có đề cập ở trên, trách nhiệm BTTH khi xâm phạm đến quyền lợi người tiêu dùng được BLDS năm 2015 xếp vào loại trách nhiệm BTTH ngoài hợp đồng Cụ thể, tại Điều 608 BLDS năm 2015 thì: “Cá nhân, pháp nhân sản xuất, kinh doanh hàng hóa, dịch vụ không bảo đảm chất lượng hàng hóa, dịch vụ mà gây thiệt hại cho người tiêu dùng thì phải bồi thường” Do đó, khi đáp ứng các tiêu chuẩn về năng lực chủ thể theo pháp luật dân sự thì mọi cá nhân, tổ chức sản xuất, kinh doanh đều có thể trở thành chủ thể chịu trách nhiệm BTTH đối với thiệt hại mà mình gây ra cho người tiêu dùng Tuy nhiên, trách nhiệm BTTH được quy định tại Điều 608 BLDS năm 2015 chỉ gắn với quyền được bảo đảm chất lượng hàng hóa, dịch vụ nhưng chưa đề cập đến quyền bảo vệ DLCN của người tiêu dùng, trong khi đó DLCN là vấn đề liên quan chặt chẽ tới quyền con người, quyền công dân 60 của người tiêu dùng, điều đó đồng nghĩa quyền được bảo vệ DLCN là một quyền dân sự, quyền gắn liền với nhân thân của người tiêu dùng, là quyền lợi hợp pháp của người tiêu dùng Như vậy, BDLS 2015 hiện nay còn đang thiếu sót về quy định này Việc thiếu sót quy định này có thể gây khó khăn trong việc áp dụng quy định này cho quá trình xác định mức độ trách nhiệm BTTH của chủ thể xâm phạm đến DLCN của người tiêu dùng, cụ thể là trách nhiệm của cá nhân, pháp nhân kinh doanh hàng hóa đã trực tiếp thu thập, sử dụng DLCN của người tiêu dùng mà gây thiệt hại
Thêm nữa, theo quy định tại khoản 1 Điều 584 BLDS năm 2015, quyền riêng tư, quyền của cá nhân đối với DLCN và nhiều quyền nhân thân khác bị xâm phạm cũng có thể được bồi thường bởi đây là các “quyền, lợi ích hợp pháp” của cá nhân Song BLDS năm 2015 không quy định cụ thể về thiệt hại được bồi thường khi quyền riêng tư, quyền của cá nhân đối với DLCN Các quy định về xác định thiệt hại hiện nay chỉ hướng đến việc xác định thiệt hại khi tài sản, sức khỏe, tính mạng, danh dự, nhân phẩm, uy tín bị xâm phạm Vậy khi quyền riêng tư, quyền của cá nhân đối với DLCN
60 Cổng thông tin điện tử Chính phủ, “Nghị định số 13/2023/NĐ-CP: Bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân”, https://xaydungchinhsach.chinhphu.vn/nghi-dinh-so-13-2023-nd-cp- bao-ve-quyen-du-lieu-ca-nhan-ngan-chan-cac-hanh-vi-xam-pham-du-lieu-ca-nhan-119230513100359528.htm , truy cập ngày 30/7/2023 bị xâm phạm mà có đầy đủ các căn cứ làm phát sinh trách nhiệm bồi thường thì thiệt hại được xác định theo căn cứ nào Hiện nay, quy định về vấn đề này chưa được BDLS quy định chưa rõ ràng Tuy nhiên, Nghị định 13/2023/NĐ - CP về bảo vệ DLCN đã củng cố, mở rộng nội dung về quyền của cá nhân của BLDS, theo đó, Nghị định này đã cho chủ thể dữ liệu quyền yêu cầu BTTH khi xảy ra vi phạm quy định về bảo vệ DLCN, tuy nhiên Nghị định này vẫn chưa thể khẳng định rõ ràng thiệt hại do DLCN bị xâm phạm là được bồi thường theo pháp luật dân sự Thực tiễn xét xử cũng đã có tranh chấp về bảo vệ các DLCN (được khai thác mà không có sự đồng ý của chủ thể dữ liệu) Cụ thể, là vụ Lloyd kiện Google LLC vào ngày 10 tháng 11 năm 2021, trong vụ kiện này mặc dù phía Lloyd không thể đạt được yêu cầu bồi thường do chưa đưa ra đầy đủ căn cứ phát sinh BTTH nhưng Tòa án tối cao của Anh đã cho rằng hành vi xâm phạm đến quyền của cá nhân đối với DLCN là hành vi gây thiệt hại, và làm phát sinh yêu cầu BTTH
Thứ hai, về chủ thể chịu trách nhiệm bồi thường thiệt hại
Như đã trình bày ở các phần trên, các chủ thể chịu trách nhiệm bảo đảm an toàn DLCN đối với người tiêu dùng khi thực hiện các hoạt động xử lý dữ liệu bao gồm: Cá nhân, pháp nhân sản xuất kinh doanh hàng hóa, dịch vụ trực tiếp thu thập, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng; bên thứ ba được cá nhân, pháp nhân kinh doanh hàng hóa dịch vụ ủy quyền, thuê để thu thập, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng; bên thứ ba thực hiện giao dịch với người tiêu dùng
Nghị định 13/2023/NĐ – CP về bảo vệ DLCN cũng có quy định về quyền được yêu cầu BTTH khi có hành vi vi phạm quy định về bảo vệ DLCN của chủ thể dữ liệu, nhưng có phát sinh quyền yêu cầu BTTH thì phải chứng minh hành vi vi phạm quy định về bảo vệ DLCN, và chủ thể nào sẽ là chủ thể chịu trách nhiệm BTTH cho những hành vi xâm phạm đến DLCN của người tiêu dùng, Nghị định 13/2023/NĐ – CP đã quy định cụ thể những chủ thể có liên quan trực tiếp đến DLCN của người tiêu dùng bao gồm: Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, theo đó những chủ thể này là người phải chịu trách nhiệm cao nhất đối với việc bảo đảm an toàn cho DLCN, theo đó khi có thiệt hại xảy ra xuất phát từ hành vi vi phạm của những quy định về bảo vệ DLCN của người tiêu dùng thì chủ thể dữ liệu có quyền được yêu cầu BTTH
Như vậy, hành vi xâm phạm đến quyền của cá nhân đối với DLCN của người tiêu dùng không phải là hành vi do một chủ thể gây ra mà đây là sự liên kết chặt chẽ và vô cùng phức tạp của nhiều chủ thể, vậy khi có thiệt hại xảy ra thì chủ thể nào là chủ thể phải chịu trách nhiệm BTTH và vấn đề liên đới chịu trách nhiệm BTTH giữa các chủ thể có thể được áp dụng trong trường hợp này hay không?
Theo phân tích của nhóm tác giả, hành vi xâm phạm quyền của cá nhân đối với DLCN cũng dẫn trách nhiệm BTTH của từng chủ thể nhất định và có cả phát sinh trách nhiệm liên đới của nhiều chủ thể liên quan Do đó, việc xác định chủ thể chịu trách nhiệm BTTH có thể được chia thành các trường hợp như sau:
Trường hợp thứ nhất, chính cá nhân, pháp nhân kinh doanh hàng hóa, dịch vụ vi phạm những quy định về bảo vệ quyền lợi người tiêu dùng thì chắc chắn họ phải là người chịu trách nhiệm BTTH cho người tiêu dùng nếu người tiêu dùng yêu cầu BTTH Bởi vì, theo quy định tại khoản 1 Điều 15 Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 thì “cá nhân, pháp nhân kinh doanh tự mình… thu thập, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng… phải có trách nhiệm bảo đảm an toàn, an ninh thông tin của người tiêu dùng” Việc để xảy ra thiệt hại đối với
DLCN của người tiêu dùng chứng tỏ cá nhân, pháp nhân chưa thực hiện tốt trách nhiệm của mình, vậy nên người này phải là chủ thể chịu trách nhiệm BTTH cho người tiêu dùng
Trường hợp thứ hai, cá nhân, pháp nhân kinh doanh ủy quyền, thuê (bên ủy quyền, thuê) bên thứ ba để thu thập, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng (bên nhận ủy quyền, được thuê), và trong quá trình bên nhận ủy quyền, được thuê xử lý dữ liệu gây thiệt hại xảy ra thì theo nhóm tác giả, bên ủy quyền, thuê phải liên đới chịu trách nhiệm với bên nhận ủy quyền, được thuê Bởi vì, cũng theo quy định tại khoản 1 Điều 15 Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, trách nhiệm cá nhân, pháp nhân kinh doanh là phải đảm bảo đảm an toàn, an ninh thông tin của người tiêu dùng trong trường hợp tự mình hoặc ủy quyền, thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chính sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng Như vậy, khi có trách nhiệm bảo đảm an toàn cho DLCN của người tiêu dùng nhưng có thiệt hại xảy ra đối với DLCN thì chứng tỏ rằng phía cá nhân, pháp nhân kinh doanh cũng chưa hoàn toàn thực hiện tốt trách nhiệm của mình đối với người tiêu dùng Ngoài phần chịu trách nhiệm riêng rẽ do hành vi vi phạm của mình, các chủ thể trên cũng có thể phải chịu trách nhiệm liên đới theo quy định của BLDS năm 2015
Trường hợp thứ ba, người tiêu dùng thực hiện giao dịch thông qua bên thứ ba, lúc này bên thứ ba đóng vai trò vừa là người thu thập, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng, vừa là người thực hiện việc trao đổi hàng hóa, dịch vụ với khách hàng, còn cá nhân, pháp nhân sản xuất kinh doanh hàng hóa, dịch vụ chỉ đóng vai trò bên là cung cấp hàng hóa, dịch vụ cho bên thứ thực hiện giao dịch với người tiêu dùng Theo quy định tại khoản 2 Điều 15 Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 thì bên thứ ba phải có trách nhiệm bảo đảm an toàn, an ninh thông tin cho người tiêu dùng, như vậy, khi có thiệt hại xảy ra đối với DLCN của người tiêu dùng thì bên thứ ba phải là chủ thể chịu trách nhiệm BTTH Tuy nhiên, trường hợp bên thứ ba tiết lộ DLCN của người tiêu dùng cho chủ thể khác mà gây thiệt hại thì lúc này trách nhiệm liên đới vẫn có thể phát sinh với điều kiện chủ thể được tiết lộ có lỗi trong việc bảo đảm an toàn, an ninh thông tin người tiêu dùng
Hiện nay, xu hướng kinh doanh hàng hóa qua KGM nói chung và các sàn thương mại điện tử nói riêng đang ngày càng được ưa chuộng và sẽ phát triển mạnh mẽ hơn trong tương lai Hầu hết những cá nhân, pháp nhân sản xuất kinh doanh hàng hóa, dịch vụ chỉ đóng vai trò là nhà cung cấp hàng hóa, dịch vụ, còn sàn thương mại điện tử chính là chủ thể có vai trò phân phối hàng hóa và đặt ra các quy tắc nhằm đảm bảo an toàn DLCN cho người tiêu dùng, các sàn thương mại điện tử phổ biến hiện nay ở Việt Nam bao gồm Shopee, Tiki, Lazada… đây là những chủ thể không trực tiếp đóng vai trò sản xuất, kinh doanh hàng hóa mà là chủ thể trung gian để cá nhân, pháp nhân sản xuất, kinh doanh hàng hóa, dịch vụ thu thập, sử dụng thông tin khách hàng Trong chính sách bảo vệ DLCN của người tiêu dùng của một số sàn thương mại điện tử ngày này có nội dung đề cập đến việc sàn thương mại điện tử sẽ tiết lộ thông tin cá nhân của người tiêu dùng cho một số chủ thể khác 61 , Vậy trách nhiệm bảo đảm an toàn DLCN có được áp dụng đối với những “chủ thể khác” không? Như phân tích ở trên, nhóm tác giả cho rằng vẫn phải áp dụng trách nhiệm của “chủ thể khác” đối với vấn đề bảo vệ quyền lợi người tiêu dùng nói chung và trách nhiệm BTTH đối xâm phạm đến DLCN của người tiêu dùng Thực trạng hiện nay cho thấy, việc rò rỉ thông tin không bắt nguồn từ lỗi của những chủ thể đã được nhóm tác giả đề cập trong trước đó mà bắt nguồn từ những chủ thể do chính sách của các sàn thương mại điện tử quy định cho phép được tiết lộ thông tin, những chủ thể này hoặc người trong nội của những chủ thể này lưu trữ thông tin người tiêu dùng được sàn thương mại điện tử tiết lộ nhằm phục vụ mục đích kinh doanh, sau đó, tổng hợp những DLCN đó lại và rao bán trên khắp các trạng mạng thông tin đại chúng
2.3.2 Kiến nghị hoàn thiện pháp luật về bồi thường thiệt hại do dữ liệu cá nhân của người tiêu dùng trên không gian mạng bị xâm phạm theo pháp luật dân sự Việt Nam