bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo pháp luật việt nam

Để đạt được mục tiêu trên, Luận văn tập trung thực hiện các nhiệm vụ nghiên cứu sau: Một là, khái quát đặc điểm và khái niệm về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động

BỘ GIÁO DỤC VÀ ĐÀO TẠO NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

TRƯỜNG ĐẠI HỌC NGÂN HÀNG THÀNH PHỐ HỒ CHÍ MINH

NGUYỄN ĐĂNG KHOA

BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAM

LUẬN VĂN THẠC SĨ

Ngành: Luật Kinh tế Mã số: 8 38 01 07

TP Hồ Chí Minh – Năm 2024

BỘ GIÁO DỤC VÀ ĐÀO TẠO NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

TRƯỜNG ĐẠI HỌC NGÂN HÀNG THÀNH PHỐ HỒ CHÍ MINH

*********

NGUYỄN ĐĂNG KHOA

BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAM

LUẬN VĂN THẠC SĨ

Ngành: Luật Kinh tế Mã số: 8 38 01 07

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN THỊ KIM THOA

TP Hồ Chí Minh – Năm 2024

LỜI CAM ĐOAN

Luận văn này là công trình nghiên cứu độc lập của tôi, được thực hiện dưới sự hướng dẫn của TS Nguyễn Thị Kim Thoa Toàn bộ nội dung trình bày trong luận văn là hoàn toàn trung thực, chính xác và chưa từng được công bố dưới bất kỳ hình thức nào trước đây Những nội dung phân tích và trích dẫn trong luận văn là trung thực và tuân thủ đúng quy định về học thuật Tôi cam đoan chịu hoàn toàn trách nhiệm về những nội dung được trình bày trong luận văn này

Thành phố Hồ Chí Minh, ngày 14 tháng 6 năm 2024

NGUYỄN ĐĂNG KHOA

LỜI CẢM ƠN

Đầu tiên, tôi xin tri ân sâu sắc đến các thầy, cô tại khoa Luật Kinh tế - Trường Đại học Ngân hàng Thành phố Hồ Chí Minh, đặc biệt là TS Nguyễn Thị Kim Thoa, người đã dành thời gian, kiến thức và sự quan tâm để hướng dẫn tôi trong suốt quá trình nghiên cứu Những lời khuyên và sự hỗ trợ quý báu của cô là nguồn động lực lớn giúp tôi vượt qua các thử thách và hoàn thành luận văn này một cách tốt nhất

Tôi cũng muốn bày tỏ lòng biết ơn đến gia đình, bạn bè và những người thân yêu đã luôn bên cạnh, động viên và hỗ trợ tôi trong suốt thời gian học tập và nghiên cứu Những lời động viên và những góp ý chân thành từ các bạn đã giúp tôi vượt qua những khó khăn và hoàn thành luận văn một cách thành công

Luận văn này không thể hoàn thành được nếu thiếu đi sự giúp đỡ và hỗ trợ của các bạn Tôi hi vọng rằng kết quả nghiên cứu trong luận văn này, cùng sự góp ý hoàn thiện của quý thầy cô sẽ góp phần hoàn thiện kiến thức cho chính bản thân tôi, làm giàu thêm kiến thức về nội dung được nghiên cứu Tôi xin chân thành cảm ơn

Trân trọng!

Thành phố Hồ Chí Minh, ngày 14 tháng 6 năm 2024

NGUYỄN ĐĂNG KHOA

Mặc dù pháp luật Việt Nam đã đề cập đến những vấn đề liên quan đến quyền, nghĩa vụ và trách nhiệm pháp lý của các chủ thể trên, các nội dung vẫn còn chưa đi sâu vào chi tiết, chưa đáp ứng yêu cầu thực tiễn Trong luận văn này, tác giả sử dụng phương pháp phân tích nhằm mục tiêu làm rõ tính chất, đặc điểm và vai trò của của dữ liệu trong hoạt động thương mại điện tử, phân tích những quy định về quyền, nghĩa vụ, trách nhiệm của từng chủ thể tham gia vào hoạt động thương mại điện tử Bằng việc sử dụng phương pháp tổng hợp, tác giả tham khảo các quy định liên quan, quy định tương tự trong pháp luật một số quốc gia, bình luận và đánh giá các lý luận về bảo vệ DLCN trong hoạt động TMĐT Bên cạnh đó, tác giả còn sử dụng các phương pháp nghiên cứu luật học với mục tiêu làm sáng tỏ những cơ sở lý luận về DLCN và bảo vệ DLCN trong hoạt động thương mại điện tử ở Việt Nam Đồng thời so sánh với pháp luật một số nước và khu vực trên thế giới để chỉ ra những điểm hạn chế, bất cập trong các quy định pháp luật và đề xuất các kiến nghị, giải pháp hoàn thiện pháp luật Việt Nam liên quan đến việc bảo vệ DLCN

Để đạt được mục tiêu trên, Luận văn tập trung thực hiện các nhiệm vụ nghiên cứu sau: Một là, khái quát đặc điểm và khái niệm về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử; Hai là, phân tích, so sánh, đánh giá những quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử; Ba là, phân tích, đánh giá thực trạng pháp luật và thực tiễn thực thi pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam, qua đó phát hiện các hạn chế, bất cập trong quy định của pháp luật, từ đó xác định hướng hoàn thiện và

đề xuất các giải pháp hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam

Từ khóa: Dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, thương mại điện tử

Although Vietnamese law has addressed issues related to the rights, obligations, and legal responsibilities of these entities, the content has not delved deeply into details and has not met practical requirements In this thesis, the author uses an analytical method to clarify the nature, characteristics, and role of data in e-commerce activities and to analyze the regulations regarding the rights, obligations, and responsibilities of each entity participating in e-commerce By using the synthesis method, the author references related regulations, similar provisions in the laws of some countries, and comments and evaluates theories on data protection in e-commerce Additionally, the author employs legal research methods with the aim of clarifying theoretical foundations on personal data and personal data protection in e-commerce activities in Vietnam The thesis also compares these regulations with those of other countries and regions around the world to identify shortcomings and inadequacies in the legal provisions and proposes recommendations and solutions to improve Vietnamese law related to personal data protection

To achieve these objectives, the dissertation focuses on the following research tasks: Firstly, Outlining the characteristics and concepts of personal data and its protection in e-commerce activities; Secondly, analyzing, comparing, and evaluating the legal provisions related to personal data protection in e-commerce activities; Thirdly, analyzing and evaluating the current state of the law and the practical implementation of legal provisions regarding personal data protection in e-commerce activities in Vietnam, thereby identifying limitations and inadequacies in the legal provisions and

proposing directions and solutions for improving the legal framework for personal data protection in e-commerce activities in Vietnam

Keywords: Personal data, personal data protection, e-commerce

DANH MỤC CÁC TỪ VIẾT TẮT

STT Từ viết tắt Nội dung diễn giải

Quy định Chung về Bảo vệ Dữ liệu của Liên minh Châu Âu (General Data Protection Regulation)

1 Tính cấp thiết của đề tài 1

2 Mục tiêu của đề tài 2

2.1 Mục tiêu tổng quát 2

2.2 Mục tiêu cụ thể 2

3 Câu hỏi nghiên cứu 3

3.1 Câu hỏi nghiên cứu chung 3

3.2 Câu hỏi nghiên cứu cụ thể 3

4 Đối tượng và phạm vi nghiên cứu 3

4.1 Đối tượng nghiên cứu của luận văn 3

8 Tổng quan về lĩnh vực nghiên cứu 6

9 Bố cục tổng quát của Luận văn 11

CHƯƠNG 1 NHỮNG VẤN ĐỀ LÝ LUẬN VỀ DỮ LIỆU CÁ NHÂN VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ 12

1.1 Khái quát về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 12

1.1.1 Khái niệm và đặc điểm của dữ liệu cá nhân 12 1.1.2 Khái niệm và đặc điểm về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 16 1.1.3 Ý nghĩa của việc bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

KẾT LUẬN CHƯƠNG 1 32 CHƯƠNG 2 THỰC TRẠNG PHÁP LUẬT, THỰC TIỄN THỰC HIỆN PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ Ở VIỆT NAM VÀ GIẢI PHÁP HOÀN THIỆN 33 2.1 Thực trạng pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam 33

2.1.1 Quy định pháp luật về quyền của chủ thể dữ liệu trong hoạt động thương mại điện tử 33 2.1.2 Quy định pháp luật về quyền và nghĩa vụ của chủ thể liên quan trong việc bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 40 2.1.3 Quy định pháp luật về cơ chế bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 44 2.1.4 Quy định pháp luật về chế tài xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 47

2.2 Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 52

2.2.1 Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử của cơ quan quản lý Nhà nước 52 2.2.2 Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử của chủ thể dữ liệu 56 2.2.3 Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử của chủ thể xử lý, kiểm soát dữ liệu 60

2.3 Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại

điện tử ở Việt Nam 65

2.3.1 Sự cần thiết phải hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 65

2.3.2 Định hướng hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 68

2.3.3 Giải pháp hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử 70

KẾT LUẬN CHƯƠNG 2 79

KẾT LUẬN 80

DANH MỤC TÀI LIỆU THAM KHẢO i

PHẦN MỞ ĐẦU 1 Tính cấp thiết của đề tài

Trong những năm gần đây, tình hình vi phạm pháp luật về bảo vệ dữ liệu cá nhân dần trở nên khá phổ biến Thực trạng dễ gặp phải là trường hợp lộ thông tin đơn hàng khi đặt hàng thông qua các sàn thương mại điện tử, thông tin này bao gồm một số thông tin về sản phẩm, kèm theo đó là những thông tin cơ bản của khách hàng như tên, địa chỉ, số điện thoại1, gây thiệt hại về mặt vật chất và sức khoẻ của người tiêu dùng, đe doạ đến sự an toàn của người tiêu dùng trước những đối tượng có mục đích xấu trong tương lai Hoặc tình trạng mạo danh người khác để đặt hàng diễn ra thường xuyên, gây ảnh hưởng đến các nhà cung cấp và cả người bị mạo danh2 Ngoài những thông tin nhân thân, một trong những rủi ro mang lại ảnh hưởng lớn đối với người dùng là thông tin về tài chính, làm cho người dùng đối mặt với những rủi ro không thể kiểm soát3 Tuy chỉ nêu ra một số tình huống đã xảy ra nhưng cho thấy mức độ rủi ro cao đối với người tiêu dùng khi tiến hành các hoạt động, giao dịch trong hoạt động thương mại điện tử ở Việt Nam

Từ 01/7/2023, Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, tuy nhiên Nghị định này chỉ quy định những nội dung cơ bản về việc bảo vệ an toàn dữ liệu, trách nhiệm các bên đối với việc bảo vệ bên cạnh việc quy định về tác động, thủ tục, trình tự của việc chuyển dữ liệu sang nước ngoài Dù vậy, các quy định này này vẫn còn mang tính chung chung, từ đó dẫn đến việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân nói chung và bảo vệ dữ liệu cá nhân trong thương mại điện tử tại Việt Nam còn gặp nhiều hạn chế bởi:

Thứ nhất, quy định về quyền của chủ thể dữ liệu mặc dù đã được đề cập nhưng chưa quy định chi tiết được các nội dung cụ thể về các quyền này;

Thứ hai, việc thực thi các nghĩa vụ của chủ thể cung cấp các thông tin đối với vấn đề thu thập và xử lý DLCN trong hoạt động TMĐT còn chưa hiệu quả

1 Sở Nguyên, Cảnh giác đơn hàng giả đánh cắp thông tin, truy cập <https://vovgiaothong.vn/newsaudio/canh-

giac-don-hang-gia-danh-cap-thong-tin-d30839.html>, ngày 23/10/2023 2 Gia Hưng, Choáng: Bị người khác dùng thông tin cá nhân để đặt mua hàng trên Facebook, truy cập

facebook-20190606144403243.htm>, ngày 23/10/2023

<https://dantri.com.vn/suc-manh-so/choang-bi-nguoi-khac-dung-thong-tin-ca-nhan-de-dat-mua-hang-tren-3 L Mỹ, Bảo mật dữ liệu trong bối cảnh thanh toán không tiếp xúc gia tăng, truy cập

<https://tapchitaichinh.vn/bao-mat-du-lieu-trong-boi-canh-thanh-toan-khong-tiep-xuc-gia-tang.html>, ngày 08/11/2023

Thứ ba, sự thiếu hướng dẫn về quy trình cụ thể và thời gian xử lý để thực hiện quyền này dẫn đến sự mơ hồ trong việc thực thi và bảo vệ quyền lợi của CTDL

Thứ tư, pháp luật chưa có cơ chế xử lý cụ thể đối với hành vi xâm phạm an toàn dữ liệu cá nhân mà chỉ mới quy định chung về việc xử lý theo mức độ vi phạm4

Thứ năm, mức phạt đối với các vấn đề vi phạm đến bảo vệ dữ liệu tại Việt Nam còn thấp, chưa đủ tính răn đe

Từ những nội dung trên, tác giả lựa chọn đề tài “Bảo vệ dữ liệu cá nhân trong

hoạt động thương mại điện tử theo pháp luật Việt Nam” để đóng góp những kết quả

nghiên cứu có được, nâng cao hiệu quả và tính khả thi đối với việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong thương mại điện tử tại Việt Nam

2 Mục tiêu của đề tài 2.1 Mục tiêu tổng quát

Luận văn được nghiên cứu với mục tiêu làm sáng tỏ những cơ sở lý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam Đồng thời phân tích một số quy định pháp luật hiện hành có liên quan, tình hình thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử, từ đó chỉ ra những điểm hạn chế, bất cập trong các quy định pháp luật và đề xuất các kiến nghị, giải pháp hoàn thiện pháp luật Việt Nam liên quan đến việc bảo vệ dữ liệu cá nhân

2.2 Mục tiêu cụ thể

Để đạt được các mục tiêu trên, luận văn tập trung thực hiện các nhiệm vụ nghiên cứu sau:

Thứ nhất, làm rõ một số vấn đề lý luận về dữ liệu cá nhân, bảo vệ dữ liệu cá

nhân trong hoạt động thương mại điện tử

Thứ hai, phân tích, so sánh, đánh giá những quy định pháp luật liên quan đến

bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo quy định của pháp luật Việt Nam trong sự so sánh với pháp luật một số nước trên thế giới

Thứ ba, phân tích, đánh giá thực trạng pháp luật và thực tiễn thực hiện pháp luật

về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam Qua đó, phát hiện những hạn chế, bất cập; những khó khăn, vướng mắc; từ đó xác định phương

4 Điều 4, Nghị định số 13/2023/NĐ-CP

hướng, đề xuất những giải pháp góp phần hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam

3 Câu hỏi nghiên cứu 3.1 Câu hỏi nghiên cứu chung

Luận văn “Bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo pháp luật Việt Nam” được tiến hành để trả lời cho câu hỏi: Pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử cần phải sửa đổi, bổ sung, hoàn thiện như thế nào để chủ thể dữ liệu và các chủ thể liên quan (chủ thể kiểm soát dữ liệu, chủ thể xử lý dữ liệu và các chủ thể liên quan trong quan hệ pháp luật này) bảo đảm thực hiện pháp luật về bảo vệ dữ liệu cá nhân khi tham gia hoạt động TMĐT

3.2 Câu hỏi nghiên cứu cụ thể

i) Pháp luật hiện hành có tạo điều kiện để đảm bảo thực hiện pháp luật về bảo về dữ liệu cá nhân trong hoạt động mua hàng và thanh toán thông qua các nền tảng thương mại điện tử và các ứng dụng liên kết với nền tảng thương mại điện tử không?

ii) Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam làm phát sinh những vướng mắc gì?

iii) Pháp luật hiện hành cần phải bổ sung những quy định gì để góp phần bảo đảm việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử?

4 Đối tượng và phạm vi nghiên cứu 4.1 Đối tượng nghiên cứu của luận văn

- Các quy định của pháp luật Việt Nam và một số quốc gia trên thế giới về bảo vệ dữ liệu cá nhân Định hướng chiến lược phát triển khoa học, công nghệ và truyền thông trong bối cảnh số hóa nền kinh tế

- Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

4.2 Phạm vi nghiên cứu

Luận văn tập trung khai thác các quy định pháp luật về bảo vệ dữ liệu cá nhân được đề cập trong Bộ luật Dân sự năm 2015, Luật An ninh mạng năm 2018, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, Luật Giao dịch điện tử năm 2023, Luật Công nghệ thông tin năm 2006, Luật An toàn thông tin mạng năm 2015, Nghị định số

13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân Các tài liệu liên quan hoặc văn bản quy phạm pháp luật không còn hiệu lực, sẽ mang giá trị đối chiếu và làm rõ sự thay đổi, phát triển của quan hệ xã hội này

Bên cạnh đó, luận văn chỉ tập trung phân tích quan hệ pháp luật bảo vệ dữ liệu của cá nhân dưới góc độ bảo vệ quyền riêng tư của mỗi cá nhân khi tham gia vào hoạt động thương mại điện tử và dưới góc nhìn về an toàn thông tin trong hoạt động thương mại điện tử Việc tham khảo kinh nghiệm pháp luật của một số nước trên thế giới về vấn đề này chỉ nhằm củng cố quan điểm của tác giả trong việc góp phần đề xuất hoàn thiện cơ chế bảo vệ dữ liệu cá nhân ở Việt Nam

Ngoài ra, luận văn chỉ nghiên cứu một số vấn đề lý luận về dữ liệu cá nhân xuyên biên giới như là một trong những biện pháp nhằm bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử xuyên biên giới; Không phân tích điều kiện pháp lý về thu thập, xử lý dữ liệu, thủ tục phê duyệt, thực hiện chuyển dữ liệu cá nhân xuyên biên giới với mục đích đảm bảo an toàn dữ liệu cho người dùng, bảo vệ quyền riêng tư của mỗi người mà không làm tổn hại đến dòng chảy dữ liệu

5 Phương pháp nghiên cứu

Luận văn sử dụng các phương pháp nghiên cứu sau:

5.1 Phương pháp phân tích

Phương pháp này được sử dụng chủ yếu trong cả luận văn Phương pháp phân tích được sử dụng để phân tích, bình luận, đánh giá và làm sáng tỏ những vấn đề lý luận về bảo vệ DLCN trong hoạt động TMĐT Phân tích các quy định pháp luật liên quan đến bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam và một số quốc gia khác để phát hiện những khó khăn mà nhà lập pháp mong muốn giải quyết

5.2 Phương pháp tổng hợp

Trên cơ sở đó, phương pháp tổng hợp được sử dụng nhằm đưa ra những nhận định, rút ra các kết luận, đề xuất các ý kiến hoàn thiện pháp luật và các giải pháp nhằm hoàn thiện các quy định về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam

5.3 Phương pháp so sánh luật học

Phương pháp này được áp dụng như một công cụ để so sánh, đối chiếu và đánh giá các quan điểm khoa học trong phần tổng quan về vấn đề nghiên cứu Tác giả so sánh, đối chiếu các quy định pháp luật về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam

qua các giai đoạn phát triển khác nhau Thông qua đó sẽ nhận thấy được sự thay đổi, sự phát triển tích cực của pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam qua thời gian Hơn nữa, phương pháp này cũng được sử dụng để so sánh các quy định pháp luật về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam với các quốc gia khác trên thế giới, từ đó xác định sự tương đồng và khác biệt giữa các hệ thống pháp luật được so sánh và hiểu rõ hơn về hệ thống pháp luật của Việt Nam Phương pháp này nhận diện các hạn chế hiện tại và sử dụng kinh nghiệm quốc tế để đề xuất các giải pháp pháp lý về vấn đề bảo vệ DLCN

5.4 Phương pháp lịch sử

Phương pháp lịch sử được sử dụng chủ yếu trong chương 1 nhằm tổng quát hóa và thu thập dữ liệu về quá trình hình thành và phát triển cơ sở lý luận về bảo vệ dữ liệu cá nhân Phương pháp này bao gồm nghiên cứu các quy định pháp luật về bảo vệ DLCN qua lịch sử, theo dõi các thay đổi của các quy định này cho đến nay và xem lại các nghiên cứu trước Do đó, nó cung cấp một góc nhìn toàn diện và trực quan về vấn đề nghiên cứu, giúp tác giả xác định các khía cạnh cần được hoàn thiện của vấn đề để thúc đẩy nghiên cứu và đưa ra các kiến nghị để hoàn thiện các quy định pháp luật điều chỉnh bảo vệ dữ liệu cá nhân

Tuy nhiên, việc cụ thể hóa các phương pháp nghiên cứu như trên chỉ mang tính chất tương đối bởi trong luận văn của mình, tùy vấn đề, nội dung nghiên cứu mà tác giả thường đan xen, kết hợp các phương pháp nghiên cứu nhằm đạt được mục đích, nhiệm vụ nghiên cứu của mình

6 Nội dung nghiên cứu

Luận văn tập trung nghiên cứu các vấn đề lý luận về bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan, cụ thể như sau:

- Lý luận dữ liêu cá nhân và bảo vệ dữ liệu cá nhân trong TMĐT tại Việt Nam - Các quy định của pháp luật Việt Nam và một số quốc gia trên thế giới liên quan đến bảo vệ dữ liệu cá nhân

- Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam

- Giải pháp hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam

7 Đóng góp của đề tài 7.1 Đóng góp lý luận

Luận văn làm sâu sắc hơn những lý luận về bảo vệ dữ liệu cá nhân và pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam như: Khái niệm, đặc điểm dữ liệu cá nhân, bảo vệ bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử và ý nghĩa của việc bảo vệ dữ liệu cá nhân trong TMĐT tại Việt Nam; làm rõ những yếu tố tác động đến hoạt động thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong TMĐT ở Việt Nam Luận văn là công trình nghiên cứu tương đối hệ thống và toàn diện lý luận về đề bảo vệ dữ liệu cá nhân, làm cơ sở cho việc luận giải những điểm hạn chế và vướng mắc của pháp luật với vấn đề bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam, đưa ra kiến nghị xây dựng và hoàn thiện một cách thuyết phục và đáng tin cậy

7.2 Đóng góp thực tiễn

Luận văn phân tích được thực trạng thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam Đối chiếu với những kinh nghiệm nước ngoài, luận văn chỉ ra được những ưu điểm và hạn chế của pháp luật Việt Nam và tiếp thu những kinh nghiệm có giá trị thi hành đối với thực tiễn thực hiện pháp luật tại Việt Nam trong vấn đề bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Luận văn đưa ra được một số kiến nghị hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam, đồng thời mang lại giá trị tham khảo cho các cơ quan lập pháp trong quá trình nghiên cứu và hoàn thiện những quy định pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử, làm nguồn tài liệu phục vụ cho quá trình dạy, học, các hoạt động nghiên cứu pháp luật về bảo vệ DLCN trong hoạt động thương mại điện tử nói riêng và bảo vệ DLCN tại Việt Nam nói chung

8 Tổng quan về lĩnh vực nghiên cứu

Vấn đề về bảo vệ dữ liệu cá nhân nhận được nhiều sự quan tâm và đã được nghiên cứu bởi nhiều tác giả Trong quá trình nghiên cứu nội dung trên, tác giả nhận thấy một số công trình nổi bật, có sự liên quan mật thiết đến đề tài và có nhiều giá trị tham khảo, cụ thể như sau:

Maria Tzanou (2013), Data protection as a fundamental right next to privacy?

“Reconstructing” a not so new right, International Data Privacy Law, Vol 3, No 2

(Tạm dịch: Bảo vệ dữ liệu như một quyền cơ bản bên cạnh quyền riêng tư? “Thiết lập lại” một quyền không quá mới) Bài viết đề cập đến việc khó để làm bật lên khái niệm về bảo vệ dữ liệu khi nội dung này luôn được xem xét song song với quyền riêng tư Tuy nhiên, kể từ 01/12/2009, quyền này đã trở thành một quyền cơ bản trong trật tự pháp lý của EU5, cùng với quyền riêng tư Bên cạnh thảo luận về những thiếu sót của các lý thuyết hiện tại và án lệ hiện hành của Tòa án Công lý Châu Âu (European Court of Justice) về bảo vệ dữ liệu, tác giả cũng cho rằng hoạt động bảo vệ dữ liệu nên được “tái cấu trúc” để được thực hiện như một quyền cơ bản chính thức bên cạnh quyền riêng

tư Hai điều kiện là cần thiết cho điều này: Thứ nhất, cần công nhận bản chất của quyền bảo vệ dữ liệu Thứ hai, các hành vi vi phạm về bảo vệ dữ liệu chỉ nên được xác định

trên cơ sở các nguyên tắc bảo vệ dữ liệu có liên quan mà không cần phải dựa vào quyền riêng tư Qua đó có thể thấy được hướng tiếp cận của tác giả đối với vấn đề về dữ liệu cá nhân nên được xem là một đối tượng của quyền sở hữu để có thể tái cấu trúc những quy định liên quan mà không chịu sự chi phối mà những quy định về quyền riêng tư tạo ra Tác giả luận văn cho rằng hướng tiếp cận này mang lại nhiều giá trị thực tiễn do tính chất của dữ liệu có nét tương đồng với tài sản, mang lại những giá trị, đồng thời gây nên thiệt hại khi không được sử dụng đúng mục đích Từ đó tác giả có sự kế thừa giá trị nghiên cứu mà bài viết mang lại nhằm hoàn thiện cơ sở ý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân

Nguyễn Việt Hà (2016), Pháp luật Việt Nam về Bảo vệ thông tin cá nhân của

người tiêu dùng trong thương mại điện tử, Luận văn Thạc sĩ-Khoa Luật, Đại học Quốc

gia Hà Nội Luận văn đặt ra vấn đề tìm hiểu trách nhiệm của các bên trong việc thu thập, xử lý, bảo vệ và chuyển giao dữ liệu của các chủ thể tham gia vào thương mại điện tử Tác giả đã đưa ra được nguyên nhân dẫn đến những khó khăn tồn đọng, đa phần đến từ nhận thức của các chủ thể về vấn đề bảo vệ các thông tin này, nguồn nhân lực và cơ sở vật chất dành riêng cho công tác này chưa thực sự được đầu tư kỹ càng Đối với các quy định pháp luật, tác giả cũng cho rằng “việc một hành vi vi phạm lại có thể thuộc thẩm quyền xử lý của nhiều cơ quan nhà nước khác nhau trên thực tế, chưa chắc là một giải

5 Treaty of Lisbon, 2007

pháp hợp lý, bởi nếu các cơ quan này không phối hợp chặt chẽ với nhau hoặc không có sự phân định nhiệm vụ, quyền hạn rõ ràng, có thể sẽ dẫn đến tình trạng hoặc buông lỏng quản lý, hoặc chồng chéo khi xử lý vi phạm, từ đó cũng sẽ dễ dẫn đến việc không bảo đảm được quyền lợi của người tiêu dùng do các cơ quan này đùn đẩy trách nhiệm hoặc không thống nhất về cách thức xử lý vi phạm6” Luận văn trên chỉ ra một vấn đề pháp luật Việt Nam còn chưa quy định rõ ràng: Chủ thể và trách nhiệm của chủ thể xử lý các tranh chấp liên quan đến vấn đề bảo mật dữ liệu cá nhân Nội dung này được tác giả luận văn kế thừa và phân tích trong chương 2 của luận văn nhằm làm nổi bật sự cần thiết quy định một chủ thể chuyên trách cho vấn đề quản lý và xử lý các tranh chấp liên quan

Lê Văn Thiệp (2016), Pháp luật về bảo vệ người tiêu dùng trong thương mại

điện tử, Tạp chí Pháp luật và Kinh tế, số 2 (287), trang 30-34 Bài viết đặt vấn đề về bảo

vệ người tiêu dùng trong lĩnh vực thương mại điện tử và tính liên đới trong việc chịu trách nhiệm của bên thứ ba trong việc bảo vệ an toàn dữ liệu của người tiêu dùng trong quá trình giao kết các hợp đồng từ xa Bên cạnh đó bài viết đưa ra quan điểm về việc ban hành những quy định mới phù hợp với thực tiễn mà tác giả có thể sử dụng để hoàn thiện chương 2 của luận văn này

Nguyễn Thị Thu Vân (2017), Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng

công nghiệp 4.0, Tạp chí Dân chủ & Pháp luật, số 10 (307), trang 3-7 Bài viết mô tả

một số thách thức trong bối cảnh chuyển đổi số tại Việt Nam, từ đó khái quát được những rủi ro, nguy cơ cho các nhà làm luật Thông qua bài viết, tác giả luận văn nhận thấy được thêm nhiều nguy cơ có liên quan đến vấn đề an toàn của dữ liệu cá nhân, từ đó hoàn thiện nên lý luận về bảo vệ dữ liệu cá nhân tại chương 1 của luận văn

Nguyễn Hồng Quân (2018), Trách nhiệm xã hội của các doanh nghiệp số đối

với vấn đề bảo vệ dữ liệu cá nhân khách hàng trong kỷ nguyên 4.0: Nhìn từ khía cạnh pháp lý và thực thi, Tạp chí Kinh tế Đối ngoại, số 102 (1/2018), trang 104-117 Bài viết

làm bật lên được các khía cạnh cần được đảm bảo trong việc bảo vệ thông tin khách hàng mà các doanh nghiệp có khả năng thực hiện Đồng thời hệ thống lại những quy định về giám sát, chế tài có liên quan đến hành vi thu thập, lưu trữ, huỷ bỏ và trách nhiệm các bên trong việc bảo đảm an toàn thông tin, DLCN và các thông tin của chủ thể

6 Nguyễn Việt Hà (2016), Pháp luật Việt Nam về Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Luận văn Thạc sĩ, Đại học Quốc gia Hà Nội-Khoa Luật

tham gia Song song, tác giả cũng nêu lên quan điểm về tính xuyên biên giới của các hoạt động thương mại điện tử cũng cần phải có những quy định điều chỉnh riêng biệt và đưa ra các kiến nghị hoàn thiện Bài viết cung cấp thêm nguồn tư liệu có giá trị tham khảo, phục vụ cho quá trình làm rõ những lý luận về việc bảo vệ dữ liệu cá nhân và giúp tác giả có cái nhìn tổng quan về các quy định pháp luật điều chỉnh vấn đề trên, những giá trị này được tác giả luận văn sử dụng trong chương 1 và chương 2 của bài

Nguyễn Hương Ly (2020), Pháp luật hiện hành của Việt Nam về bảo vệ dữ liệu,

thông tin cá nhân và quyền riêng tư,

https://nacis.gov.vn/nghien-cuu-trao-doi/-/view-nhan-va-quyen-rieng-tu Bài viết khái quát được hệ thống pháp luật Việt Nam điều chỉnh vấn đề an toàn thông tin, dữ liệu Qua đó phân tích những điểm phù hợp và những vướng mắc trong quá trình thực thi pháp luật, đề xuất những kiến nghị thông qua việc tiếp thu những quy định về bảo vệ dữ liệu cá nhân tại một số quốc gia Tác giả luận văn sử dụng các phân tích trong bài viết trên làm cơ sở cho việc nghiên cứu và kế thừa những kết quả phân tích liên quan đến hoàn thiện những quy định pháp luật trong bài để phục vụ cho việc hoàn thiện chương 2 cho luận văn này

content/214123/phap-luat-hien-hanh-cua-viet-nam-ve-bao-ve-du-lieu-thong-tin-ca-Dương Kim Thế Nguyên, Huỳnh Thiên Tứ, Lê Thùy Khanh và Mai Nguyễn

Dũng (2021), Cải cách pháp luật đáp ứng nhu cầu bảo vệ DLCN trong chuyển đổi số,

Trường Đại học Kinh tế Tp Hồ Chí Minh Bài viết đặt vấn đề về sự bùng nổ của khoa học công nghệ gây ảnh hưởng đến quyền riêng tư của cá nhân, nguyên nhân đến từ lượng dữ liệu mà mỗi tổ chức, các nền tảng sử dụng, phân tích đến chiếm phần lớn từ người dùng và các hành vi của họ Thông qua việc phân tích, các tác giả đặt ra vấn đề về việc cần có một khuôn khổ pháp luật thống nhất về vấn đề bảo vệ dữ liệu cá nhân thay vì được quy định trong nhiều văn bản thuộc nhiều lĩnh vực khác nhau; cần thừa nhận quyền nhân thân của cá nhân đối với các thông tin bằng những quy định rõ ràng, cụ thể trong Bộ luật Dân sự; xây dựng hệ thông quyền, nghĩa vụ cụ thể, đề cao sự bình đẳng trong thoả thuận giữa các quan hệ xử lý dữ liệu Từ những nội dung trên, tác giả luận văn kế thừa những kết quả nghiên cứu để áp dụng vào việc nghiên cứu thực tiễn pháp luật và đưa ra đề xuất hoàn thiện

Nguyễn Quang Đồng, Nguyễn Lan Phương (2021), Dòng chảy dữ liệu cá nhân

xuyên biên giới: Thực trạng và khuyến nghị chính sách, Tạp chí Khoa học và Công nghệ

Việt Nam, số 10 năm 2021, trang 16-18 Bài viết nêu lên thực trạng của Việt Nam khi nằm trong nhóm có khối lượng chuyển dữ liệu xuyên biên giới đứng đầu thế giới, qua đó đề xuất xây dựng các quy định cụ thể đối với vấn đề này, chú trọng khuyến khích các doanh nghiệp tuân thủ và nâng cao các tiêu chuẩn về bảo đảm an toàn dữ liệu, khuyến khích tham gia vào các khuôn khổ pháp lý xuyên quốc gia để nâng cao hiệu quả thi hành pháp luật, đặc biệt đối với các chủ thể cung cấp các dịch vụ trực tuyến xuyên biên giới bên cạnh việc giới hạn và đặt ra các yêu cầu pháp lý cụ thể đối với nhóm dữ liệu nhạy cảm, quy định thêm về trách nhiệm giải trình đối với hành vi chuyển dữ liệu ra khỏi biên giới, đồng thời vẫn thúc đẩy được dòng chảy dữ liệu xuyên biên giới thông suốt để phục vụ cho phát triển nền kinh tế số Tuy nhiên, nội dung những đề xuất của tác giả vẫn còn chưa cụ thể, đặc biệt đối với vấn đề an toàn dữ liệu bên ngoài biên giới, do đó vấn đề này cần được quy định cụ thể trong hệ thống pháp luật Việt Nam, đây là nội dung tác giả luận văn sẽ đề cập tại chương 2 - Hoàn thiện những quy định pháp luật liên quan

Nguyễn Thị Long (2022), Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá

nhân trong thời kỳ hội nhập, Tạp chí Khoa học kiểm soát, số 03/2022, trang 30-38 Có

nét tương đồng với Nguyễn Hương Ly (2020), Pháp luật hiện hành của Việt Nam về

bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư, bài viết nêu bật được những tồn tại

có thể nhận thấy trong quy định của pháp luật hiện hành, đặc biệt nhấn mạnh đến việc những quy định này nằm rải rác ở nhiều nơi và chưa được tập trung tại một văn bản cụ thể, duy nhất Bên cạnh đó, bài viết còn đặt vấn đề về việc có một quy định cụ thể về bảo vệ dữ liệu và xem xét dữ liệu cá nhân dưới hình thức quyền tài sản Như tác giả luận văn đã đề cập phía trên, hướng tiếp cận này mang lại nhiều giá trị thực tiễn, đồng thời là nguồn dữ liệu quan trọng để tác giả hoàn thành việc nghiên cứu cơ sở lý luận về bảo vệ dữ liệu cá nhân trong luận văn này

Nhìn chung, các công trình nghiên cứu trên tiếp cận vấn đề về bảo vệ dữ liệu cá nhân thông qua nhiều góc độ, xem xét việc bảo vệ dữ liệu này như trách nhiệm của chủ thể quản lý dữ liệu; Một vài bài viết tiếp cận với góc độ bảo vệ dữ liệu cá nhân nên được xem là một đối tượng của quyền tài sản do giá trị kinh tế và những đặc điểm tương đồng với tài sản mà dữ liệu cá nhân đang thể hiện Một số công trình khác chỉ khái quát được một số vấn đề thực tế trong quá trình thực hiện bảo vệ dữ liệu cá nhân như những rủi ro

từ việc ứng dụng công nghệ trong bối cảnh chuyển đổi số, khó khăn trong việc bảo vệ dữ liệu trong quá trình xử lý, chuyển dữ liệu ra khỏi biên giới

Trong quá trình thực hiện luận văn, tác giả tiếp tục kế thừa, tiếp thu có chọn lọc từ các kết quả nghiên cứu từ những công trình trên và đồng thời tiếp tục triển khai, nghiên cứu các vấn đề sau:

Thứ nhất, hệ thống lại những vấn đề lý luận về dữ liệu cá nhân và bảo vệ dữ liệu

cá nhân trong hoạt động thương mại điện tử tại Việt Nam, đồng thời tham khảo kinh nghiệm thực hiện pháp luật tại một số quốc gia đối với vấn đề liên quan

Thứ hai, phân tích, đánh giá thực tiễn quy định pháp luật đối với vấn đề bảo vệ

dữ liệu cá nhân tại Việt Nam, đồng thời nêu lên một số điểm vướng mắc trong quy định về bảo vệ DLCN trong hoạt động TMĐT, so sánh quy định pháp luật tại một số quốc gia, từ đó chỉ ra những điểm cần hoàn thiện trong khuôn khổ pháp luật tại Việt Nam

Thứ ba, trên cơ sở đã phân tích, đánh giá thực trạng thực hiện pháp luật DLCN

trong hoạt động TMĐT, tiến hành so sánh pháp luật và tham khảo kinh nghiệm các quốc gia, luận văn đưa ra một số định hướng và giải pháp hoàn thiện pháp luật về DLCN trong hoạt động TMĐT tại Việt Nam

9 Bố cục tổng quát của Luận văn:

Ngoài phần mở đầu, kết luận, danh mục tài liệu tham khảo, luận văn được trình bày bằng 02 chương với các nội dung cụ thể như sau:

Chương 1: Những vấn đề lý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Chương 2: Thực trạng pháp luật, thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam và giải pháp hoàn thiện

CHƯƠNG 1 NHỮNG VẤN ĐỀ LÝ LUẬN VỀ DỮ LIỆU CÁ NHÂN VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ

Trong thời đại kỹ thuật số hiện nay, thương mại điện tử đã trở thành một phần không thể thiếu của nền kinh tế toàn cầu, mang lại nhiều lợi ích vượt trội về sự tiện lợi và khả năng tiếp cận thị trường rộng lớn Tuy nhiên, thương mại điện tử với đặc thù là một không gian mở, có tính phi biên giới bên cạnh nhiều lợi ích còn tồn tại nhiều rủi ro về an toàn dữ liệu như rò rỉ dữ liệu; đánh cắp, thu thập hoặc bị đối tượng xấu truy cập vào các dữ liệu nhạy cảm; lừa đảo thông qua tin nhắn, email, các trang mạng nhằm đánh lừa người dùng cung cấp các thông tin cá nhân

Trong bối cảnh đó, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, với mục tiêu đề ra khung pháp lý bảo vệ DLCN khỏi các rủi ro, khái quát khái niệm DLCN, quyền, nghĩa vụ của các chủ thể liên quan và các cơ chế để bảo vệ DLCN Điều này mang lại ý nghĩa đối với các chủ thể liên quan và cơ quan quản lý, thúc đẩy trách nhiệm bảo vệ DLCN của mọi chủ thể, xây dựng một môi trường an toàn, thúc đẩy kinh tế

Mục đích nghiên cứu của chương 1 là: (i) làm rõ khái niệm và đặc điểm của dữ liệu cá nhân; khái niệm và đặc điểm bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử; (ii) phân tích tính cần thiết và ý nghĩa của bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử; (iii) nội dung pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

1.1 Khái quát về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

1.1.1 Khái niệm và đặc điểm của dữ liệu cá nhân

Từ điển Tiếng Việt định nghĩa “dữ liệu là số liệu, tư liệu đã có, được dựa vào để giải quyết một vấn đề”.7 Theo đó, dữ liệu là thuật ngữ mô tả những thông tin, dấu hiệu cụ thể được thu thập, xử lý, lưu trữ Với từng nhu cầu cụ thể, dữ liệu được thu thập có thể là những số liệu, văn bản, hình ảnh, âm thanh, video, hoặc bất kỳ loại thông tin nào khác có thể được biểu diễn dưới dạng kỹ thuật số hoặc tương tự nhằm mục đích phân tích, đưa ra quyết định, hoặc truyền đạt thông tin

Có thể nhận thấy khái niệm dữ liệu có nhiều nét tương đồng, có sự quan hệ chặt

7 Trung tâm Từ điển học (2003), Từ điển Tiếng Việt, Hà Nội, tr.269

chẽ với khái niệm thông tin và thường được xem là hai khái niệm phụ thuộc lẫn nhau Dữ liệu là các số liệu, tư liệu ở dạng thô, không mang nhiều ý nghĩa cụ thể, có thể là các con số, ký tự, hình ảnh, âm thanh, video và nhiều dạng khác Thông qua việc xử lý, phân tích và hiểu biết, dữ liệu trở thành thông tin có giá trị Thông tin mang lại kiến thức, hiểu biết hoặc sự nhận thức về một vấn đề cụ thể và có thể được sử dụng để đưa ra quyết định hoặc thực hiện các hoạt động khác Như vậy, thông tin và dữ liệu là hai khái niệm không thể tách rời trong nhiều trường hợp, và mối quan hệ giữa chúng là một quá trình chuyển đổi từ dữ liệu chưa qua xử lý sang thông tin có ý nghĩa và giá trị

Liên quan đến các khái niệm trên, một số văn bản quy phạm pháp luật cũng đã đề cập, chẳng hạn: Luật Giao dịch điện tử năm 2023 định nghĩa “Dữ liệu là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự khác”8, hay Luật Tiếp cận thông tin năm 2016 định nghĩa “Thông tin là tin, dữ liệu được chứa đựng trong văn bản, hồ sơ, tài liệu có sẵn, tồn tại dưới dạng bản viết, bản in, bản điện tử, tranh, ảnh, bản vẽ, băng, đĩa, bản ghi hình, ghi âm hoặc các dạng khác do cơ quan nhà nước tạo ra”9

Như vậy, khái niệm về dữ liệu và khái niệm thông tin có một số điểm tương đồng:

Thứ nhất, đều chứa đựng những số liệu, tư liệu mà thông qua đó người ta có thể

nhận biết và xác định được các sự vật và hiện tượng liên quan đến một chủ thể nhất định Những thông tin này cung cấp cái nhìn chi tiết, cụ thể về bản chất, đặc điểm và mối quan hệ của các yếu tố với chủ thể đó

Thứ hai, những dữ liệu này được tiến hành thu thập và xử lý nhằm phục vụ mục

Tại các quốc gia và khu vực, khái niệm DLCN có thể được hiểu là “bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (data subject - chủ thể dữ

8 Khoản 6 điều 3, Luật Giao dịch điện tử năm 2023 9 Khoản 2 Điều 1, Luật Tiếp cận thông tin năm 2016

liệu)”.10 Dưới góc độ pháp lý, luật pháp một số nước đã ghi nhận khái niệm này như sau: Theo Điều 4.1 Quy định chung về bảo vệ dữ liệu năm 2016 của châu Âu (General Data Protection Regulation - GDPR), dữ liệu cá nhân là “bất kỳ thông tin nào liên quan đến một chủ thể dữ liệu (data subject) đã được nhận định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, sinh thực, tâm lý, kinh tế, văn hoá, hoặc xã hội”11

Hay theo Điều 2.1 Luật Bảo vệ Dữ liệu cá nhân Singapore (PDPA) năm 2012, “dữ liệu cá nhân là các dữ liệu, dù đúng hay sai, về một cá nhân mà có thể xác định được danh tính của họ từ các dữ liệu đó; hoặc từ các dữ liệu đó và các thông tin khác mà các tổ chức có hoặc có thể có quyền truy cập”

Khái niệm DLCN đã xuất hiện và được đề cập trong các văn bản quy phạm pháp luật với tên gọi thông tin riêng hay TTCN như: Luật Công nghệ thông tin 2006 hay Luật Viễn thông năm 2009 Theo đó, thông tin riêng là “thông tin riêng liên quan đến người sử dụng dịch vụ viễn thông, bao gồm tên, địa chỉ, số máy gọi, số máy được gọi, vị trí máy gọi, vị trí máy được gọi, thời gian gọi và thông tin riêng khác mà người sử dụng đã cung cấp khi giao kết hợp đồng với doanh nghiệp” Đến Nghị định số 64/2007/NĐ-CP về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước mới quy định TTCN là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”.12 Tiếp đó, Nghị định số 52/2013/NĐ-CP về Thương mại điện tử cũng định nghĩa TTCN là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại,

10 OECD (2001), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, truy

<https://www.oecd-ilibrary.org/docserver/9789264196391-en.pdf?expires=1692348606&id=id&accname=guest&checksum=8439624FB41CDF8C478BEBFD7350C537>, ngày 08/11/2023

11 “personal data” means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person 12 Khoản 5 Điều 3, Nghị định số 64/2007/NĐ-CP

thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”13 Nghị định số 72/2013/NĐ-CP về Quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng cũng đề cập đến thuật ngữ TTCN “là thông tin gắn liền với việc xác định danh tính, nhân thân của cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa chỉ thư điện tử và thông tin khác theo quy định của pháp Luật” Thuật ngữ TTCN lần đầu tiên được được giải thích bởi một đạo luật là “thông tin gắn với việc xác định danh tính của một người cụ thể” trong khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015

Hiện nay, theo khoản 1 Điều 2 Nghị định số 13/2023/NĐ-CP, khái niệm DLCN được hiểu là: thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể DLCN bao gồm: DLCN cơ bản và DLCN nhạy cảm Trong đó, DLCN cơ bản bao gồm những thông tin như: nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;… hình ảnh của cá nhân; số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; thông tin về tài khoản số của cá nhân; DLCN phản ánh hoạt động, lịch sử hoạt động trên không gian mạng DLCN là những dữ liệu cá nhân có liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; quan điểm chính trị, quan điểm tôn giáo; Ngoài ra, dữ liệu cá nhân trong nhóm này còn bao gồm các thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; các thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án; thông tin về đời sống tình dục hoặc khuynh hướng tình dục; thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác14 Có thể nhận thấy, cách tiếp cận của Việt Nam đối với khái niệm dữ liệu cá nhân đã có sự thay đổi cho phù hợp với các quy định chung của quốc tế cũng như thực tiễn của thời đại kinh tế số Về cơ bản, khái niệm này đã phản ánh sự tham khảo quy định chung được thừa nhận phổ quát trên thế giới

Thông qua các khái niệm trên, có thể nhận thấy dữ liệu cá nhân có những đặc điểm sau:

13 Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP 14 Xem thêm khoản 1, khoản 3 và khoản 4 Điều 2 Nghị định số 13/2023/NĐ-CP

Thứ nhất, bất kỳ dữ liệu nào liên quan đến một cá nhân, được thu thập một cách chủ động hay thụ động;

Thứ hai, dữ liệu được xem là “có liên quan đến” một cá nhân phải được tiếp cận trên mọi phương diện như nội dung của dữ liệu, mục đích của dữ liệu hay kết quả

của việc sử dụng dữ liệu;

Thứ ba, dữ liệu “nhận dạng và có thể nhận dạng” sẽ bao gồm cấp độ rõ ràng

Điều này nghĩa là đủ yếu tố để phân biệt người này với người khác, và cấp độ không rõ ràng nhưng vẫn có khả năng xác định được tùy thuộc vào các điều kiện khác hay ngữ cảnh, những phần thông tin rời rạc khác nhau nếu được thu thập có thể dẫn đến việc xác định một con người cụ thể cũng được coi là dữ liệu cá nhân

Thứ tư, cá nhân là chủ thể dữ liệu Chủ thể dữ liệu là một cá nhân đang sống,

tuy nhiên, nếu dữ liệu về một người đã chết mà được sử dụng để nhận dạng một người khác còn sống thì cũng thuộc định nghĩa này.15

1.1.2 Khái niệm và đặc điểm về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Trong những năm qua, cùng với sự phát triển của hệ thống điện thoại thông minh và các phương tiện điện tử khác thì hoạt động thương mại điện tử càng trở lên phổ biến và phát triển ở mọi nơi Vậy TMĐT cụ thể là gì khác với thương mại truyền thống như thế nào?

Trong một số văn bản quốc tế, khái niệm TMĐT được định nghĩa theo nghĩa rộng và theo nghĩa hẹp Trong đó, theo nghĩa rộng, TMĐT được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử Nó dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng chữ, ký hiệu, âm thanh và hình ảnh.16

Trong Luật mẫu của UNCITRAL, TMĐT là việc sử dụng thông tin dưới dạng thông điệp dữ liệu trong khuôn khổ các hoạt động thương mại Còn thông điệp dữ liệu là thông tin được tạo ra, gửi đi, tiếp nhận hoặc lưu trữ bằng phương tiện điện tử, quang học và các phương tiện tương tự, bao gồm nhưng không hạn chế ở, trao đổi dữ liệu điện tử, thư điện tử, điện tín, điện báo hoặc fax.17

15 Nguyễn Thị Kim Thoa (2023), Bảo đảm bí mật thông tin khách hàng trong hoạt động ngân hàng - pháp luật và thực tiễn thực thi, NXB Đại học Quốc gia Tp.HCM, tr.8-11

16 European initiative on electronic commerce, truy cập content/EN/TXT/PDF/?uri=CELEX:51997DC0157>, ngày 10/11/2023

<https://eur-lex.europa.eu/legal-17 Điều 1, Model Law on Electronic Commerce

Có thể nhận thấy rằng các khái niệm TMĐT trên được hiểu khá rộng, theo đó “TMĐT là việc toàn bộ các hoạt động tài chính và thương mại được thực hiện nhờ cơ sở dữ liệu được truyền tải thông qua tất cả các phương tiện điện tử chứ không chỉ qua hệ thống mạng Internet”18 Như vậy, khái niệm TMĐT như trên đã thể hiện được tính bao trùm, tổng quát của TMĐT vì thực tiễn đây là một hoạt động có phạm vi rộng lớn và có tốc độ phát triển nhanh chóng

Theo nghĩa hẹp, TMĐT bao gồm các hoạt động thương mại được thực hiện qua mạng internet Tổ chức Thương mại Thế giới (WTO) và Tổ chức Hợp tác và Phát triển kinh tế (OECD) ghi nhận định nghĩa TMĐT theo xu hướng này

Theo WTO, khái niệm thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng internet, nhưng được giao nhận một cách hữu hình, bao gồm cả các sản phẩm vật lý và thông tin số hóa thông qua mạng Internet.19 Thương mại ở trong định nghĩa này đã có phạm vi hẹp xoay quanh việc sản xuất, mua bán và thanh toán sản phẩm dựa trên phương tiện điện tử là mạng Internet

Đối với Tổ chức Hợp tác và Phát triển Kinh tế (OECD) khái niệm thương mại điện tử được giải thích như sau: Thương mại điện là việc bán hoặc mua hàng hóa, dịch vụ giữa thương nhân, hộ gia đình, cá nhân, chính phủ, các tổ chức công cộng hoặc tổ chức tư nhân, được thực hiện thông qua mạng máy tính Hàng hóa, dịch vụ được đặt hàng trên mạng, nhưng việc thanh toán và giao hàng có thể được thực hiện trên mạng hoặc trực tiếp Như vậy, theo OECD, giao dịch TMĐT trước hết là giao dịch mua bán và có thể diễn ra giữa thương nhân với thương nhân, thương nhân với người tiêu dùng hay thương nhân với chính phủ, nhưng quan trọng là nó phải được thực hiện thông qua mạng internet chứ không phải là dạng giao dịch truyền thống thông qua hợp đồng trên giấy Khái niệm này đã giới hạn phạm vi của phương tiện được sử dụng trong thương mại điện tử chỉ bao gồm có mạng internet, không bao gồm các phương tiện khác như điện thoại, truyền hình, fax…

Trên thực tế, các phương tiện thực hiện thương mại điện tử (hay còn gọi là phương tiện điện tử) bao gồm: điện thoại, fax, truyền hình, điện thoại không dây, các

18 Ao Thu Hoài (2015), Thương mại điện tử, NXB Thông tin và Truyền thông, tr 24-26

19 Marc Bacchetta (1998), Thương mại Điện tử và vai trò của WTO, WTO PUBLICATION, tr 1

mạng máy tính có kết nối với nhau và mạng internet Tuy nhiên, TMĐT được thực hiện chủ yếu qua internet và chỉ thực sự phát triển khi mạng internet được phổ cập Mặc dù vậy, trong thời gian gần đây, các giao dịch được thực hiện thông qua nhiều phương tiện điện tử đa dạng hơn, đặc biệt là giao dịch thông qua các thiết bị điện tử di động

Nghị định số 52/2013/NĐ-CP về Thương mại điện tử đề cập đến khái niệm thương mại điện tử như sau: “Hoạt động thương mại điện tử là việc tiến hành một phần hoặc toàn bộ quy trình của hoạt động thương mại bằng phương tiện điện tử có kết nối với mạng Internet, mạng viễn thông di động hoặc các mạng mở khác”.20 Định nghĩa này có nét tương đồng với định nghĩa về TMĐT theo nghĩa rộng khi không giới hạn phạm vi của các hoạt động thương mại hay chỉ tập trung vào nền tảng Internet

Trong hoạt động TMĐT, DLCN đóng vai trò quan trọng, quyết định hoặc chi phối cách các hoạt động TMĐT vận hành DLCN của các chủ thể tham gia TMĐT phải cung cấp gồm một số dữ liệu được cung cấp như: thông tin cơ bản về nhân thân, địa chỉ liên hệ, địa chỉ thư tín, phương thức thanh toán, và các dữ liệu được sinh ra trong quá trình hoạt động TMĐT như: lịch sử tìm kiếm, sự quan tâm, xu hướng lựa chọn sản phẩm dịch vụ, Các dữ liệu trên bị thu thập càng nhiều thì những rủi ro về DLCN cũng gia tăng tương ứng Để đảm bảo sự phát triển của TMĐT, việc thiết lập các “hàng rào” bảo vệ DLCN, bảo vệ chủ thể dữ liệu trước những xâm hại về dữ liệu, giúp chủ thể dữ liệu yên tâm và tự tin hơn khi sử dụng các phương tiện điện tử trong giao dịch hàng ngày là cần thiết

Bảo vệ DLCN trong thương mại điện tử là những biện pháp nhằm phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN, bảo đảm tính bảo mật của DLCN, tránh cho những DLCN của chủ thể dữ liệu bị lạm dụng, sử dụng bất hợp pháp và tình trạng nặc danh trong quá trình tham gia các hoạt động TMĐT Việc bảo vệ DLCN được thực hiện bởi tất cả các bên tham gia vào quan hệ trao đổi, mua bán hàng hóa trên nền tảng TMĐT hoặc thông qua các website bán hàng của các doanh nghiệp liên quan Những bên này bao gồm cả các chủ thể thực hiện một hoặc một số vai trò cụ thể như vận chuyển, thanh toán, xác minh người dùng, và nhiều hoạt động khác trong suốt và sau khi quá trình mua bán hoàn tất Điều này có nghĩa là trách nhiệm bảo vệ DLCN không chỉ thuộc về các doanh nghiệp trực tiếp thực hiện giao dịch, mà còn bao

20 Khoản 1, Điều 3 Nghị định số 52/2013/NĐ-CP về Thương mại điện tử

gồm các đơn vị phụ trợ như công ty vận chuyển, nhà cung cấp dịch vụ thanh toán, và các bên xác minh danh tính người dùng Tất cả các đơn vị này đều phải tuân thủ nghiêm ngặt các quy định về bảo mật và bảo vệ DLCN Thông qua khái niệm trên, có thể nhận thấy, bảo vệ DLCN trong hoạt động TMĐT có một số đặc điểm dưới đây:

Thứ nhất, bảo vệ DLCN trong hoạt động TMĐT là nghĩa vụ phát sinh từ hoạt động TMĐT của chủ thể dữ liệu Các cá nhân hoặc tổ chức là chủ thể kiểm soát dữ liệu

cá nhân, chủ thể xử lý dữ liệu cá nhân và các chủ thể liên quan đăng ký, tuyên bố về xử lý DLCN cũng như các bên liên quan khác, đều có trách nhiệm bảo vệ DLCN khỏi việc truy cập trái phép hoặc bị lạm dụng bởi các bên thứ ba không được phép Điều này đảm bảo rằng chỉ những chủ thể có quyền và nghĩa vụ liên quan mới được phép tham gia, truy cập và sử dụng DLCN của khách hàng cho các mục đích đã được cam kết trước đó Nghĩa vụ này không chỉ giới hạn trong quá trình giao dịch mà còn kéo dài sau khi giao dịch đã kết thúc, nhằm đảm bảo rằng dữ liệu của khách hàng không bị sử dụng sai mục đích hoặc bị rò rỉ

Thứ hai, DLCN bao gồm tất cả các thông tin có thể nhận diện được một cá

nhân cụ thể, từ các dữ liệu cơ bản đến các thông tin nhạy cảm Trong bối cảnh TMĐT,

DLCN rất đa dạng và không chỉ giới hạn ở những thông tin cơ bản như tên, địa chỉ, số điện thoại, địa chỉ hòm thư điện tử, là các thông tin thường được thu thập trong các giao dịch hàng ngày và là phần cơ bản của dữ liệu cá nhân, thường được thu thập để xử lý đơn hàng, giao hàng, và giao tiếp với khách hàng mà còn có thể bao gồm thông tin thanh toán, lịch sử mua sắm, và các thông tin cá nhân chi tiết khác Theo quy định tại khoản 3 và khoản 4 Điều 2 Nghị định số 13/2023/NĐ-CP, DLCN còn có thể bao gồm cả các thông tin sinh trắc học, thông tin liên quan đến nguồn gốc dân tộc, và các dữ liệu nhạy cảm khác Do sự đa dạng và mức độ nhạy cảm của DLCN, các doanh nghiệp hoạt động trong lĩnh vực TMĐT cần thực hiện các biện pháp bảo mật nghiêm ngặt để đảm bảo tất cả các loại dữ liệu đều được bảo vệ an toàn khỏi các nguy cơ xâm nhập trái phép, việc bảo vệ DLCN đòi hỏi phải áp dụng các biện pháp bảo mật đặc biệt trong quá trình xử lý, bao gồm việc ngăn chặn các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, cũng như phòng, chống sự mất mát, phá hủy hoặc thiệt hại dữ liệu do sự cố kỹ thuật Các biện pháp này cần phải được thiết kế để bảo vệ dữ liệu trước mọi nguy cơ, bao gồm cả việc tấn công từ bên ngoài lẫn các rủi ro nội bộ

Thứ ba, bảo vệ DLCN trong hoạt động TMĐT không chỉ là một nghĩa vụ mang tính kỹ thuật mà còn là một nghĩa vụ luật định, dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác Điều này có nghĩa là bất kỳ

hình thức trao đổi, mua bán DLCN nào, dù trực tiếp hay gián tiếp, đều bị nghiêm cấm nếu không có sự đồng ý rõ ràng và minh bạch từ CTDL hoặc không tuân thủ các quy định pháp luật liên quan Việc tuân thủ các quy định này không chỉ giúp bảo vệ quyền lợi của người tiêu dùng mà còn góp phần xây dựng một môi trường TMĐT minh bạch, an toàn và đáng tin cậy

1.1.3 Ý nghĩa của việc bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Việc bảo vệ DLCN trong hoạt động TMĐT mang ý nghĩa to lớn và có sự tác động sâu sắc đến quyền lợi của các chủ thể tham gia vào hoạt động TMĐT

Thứ nhất, bảo đảm an toàn dữ liệu cho các chủ thể tham gia trong giao dịch TMĐT Các chủ thể tham gia vào quan hệ thương mại này phải đối mặt với nhiều rủi ro,

đặc biệt là vấn đề về an toàn dữ liệu Không giống môi trường thương mại truyền thống, TMĐT buộc người dùng cung cấp các thông tin cá nhân, thông tin thanh toán cho bên trung gian nhằm phục vụ cho quá trình thanh toán và giao thương hàng hoá dịch vụ Các chủ thể tham gia vào quan hệ này do nhu cầu, họ buộc phải lựa chọn tin tưởng đối phương dù không có hoặc có rất ít thông tin về bên còn lại, điều này ngược với thương mại truyền thống, nơi mà các bên tham gia được tiếp xúc, có cơ hội kiểm tra và đánh giá mọi yếu tố cần và đủ cho một giao dịch Khi đó, vấn đề an toàn dữ liệu sẽ phụ thuộc vào chủ thể tiếp nhận dữ liệu đó và bị ảnh hưởng bởi các biện pháp kỹ thuật, mức độ tuân thủ pháp luật của chủ thể này Trong trường hợp bên cung cấp dịch vụ TMĐT không đủ năng lực về kỹ thuật, không tuân thủ các quy định về bảo vệ DLCN, việc dữ liệu của các chủ thể tham gia vào quan hệ TMĐT bị xâm phạm bởi các cá nhân, tổ chức có mục đích xấu, tội phạm mạng là không thể tránh khỏi, từ đó gây ra những hệ luỵ đối với người dùng TMĐT là một hoạt động có tính phi biên giới, do đó khả năng truy cập của các trang web, sự tồn tại của quy định bảo vệ DLCN của các nước khác nhau; luật pháp và quy định của quốc gia nào được áp dụng là những vấn đề được lưu tâm bên cạnh việc DLCN của các chủ thể bị xâm phạm Việc bảo vệ DLCN củng cố độ tin cậy của các nền tảng TMĐT Khi khách hàng biết rằng DLCN của họ được bảo vệ an toàn,

họ sẽ cảm thấy yên tâm hơn khi thực hiện giao dịch và cung cấp thông tin cá nhân Điều này tạo ra một môi trường giao dịch đáng tin cậy, khuyến khích người tiêu dùng tham gia nhiều hơn vào các hoạt động TMĐT Sự tin cậy này là yếu tố quyết định trong việc xây dựng mối quan hệ lâu dài và bền vững giữa các doanh nghiệp và khách hàng Bảo vệ DLCN đảm bảo sự tuân thủ các quy định pháp lý về bảo mật dữ liệu Tuân thủ các quy định này không chỉ giúp các tổ chức tránh khỏi các hình phạt tài chính mà còn duy trì uy tín và hình ảnh tích cực trong mắt khách hàng và đối tác

Thứ hai, thúc đẩy hiệu quả của hoạt động kinh doanh trong TMĐT Bảo vệ

DLCN đóng vai trò thiết yếu trong việc thúc đẩy hiệu quả hoạt động kinh doanh trong TMĐT Trước hết, việc bảo vệ DLCN xây dựng lòng tin và sự hài lòng của khách hàng Khi người tiêu dùng biết rằng thông tin cá nhân của họ được bảo mật an toàn, họ cảm thấy yên tâm hơn khi thực hiện giao dịch trực tuyến và chia sẻ dữ liệu với các nền tảng TMĐT Sự tin cậy này khuyến khích người dùng tiếp tục sử dụng dịch vụ, tạo ra lượng khách hàng trung thành và gia tăng doanh thu cho doanh nghiệp Đặc biệt khi vấn đề xâm phạm, trao đổi, mua bán DLCN trên các trang thông tin, website, mạng xã hội, vẫn xuất hiện “nhan nhản”, những thông tin bị xâm phạm này phần lớn là thông tin nhạy cảm, có liên quan đến đời sống, tài chính, các mối quan hệ xã hội của CTDL.21 Cạnh đó, bảo vệ DLCN góp phần nâng cao uy tín và danh tiếng của doanh nghiệp Trong môi trường cạnh tranh của TMĐT, cam kết bảo vệ DLCN giúp doanh nghiệp xây dựng và duy trì hình ảnh tích cực, đồng thời tạo ra sự khác biệt so với các đối thủ không chú trọng bảo mật Doanh nghiệp có uy tín về bảo mật dữ liệu sẽ dễ dàng thu hút và giữ chân khách hàng hơn Việc tuân thủ các quy định bảo vệ dữ liệu giúp doanh nghiệp tránh rủi ro pháp lý Các quy định pháp luật về bảo vệ DLCN yêu cầu các tổ chức thực hiện các biện pháp bảo mật nghiêm ngặt và áp đặt các hình phạt đối với hành vi vi phạm Bằng cách tuân thủ các quy định này, doanh nghiệp không chỉ bảo vệ quyền lợi của khách hàng mà còn giảm thiểu rủi ro về các khoản phạt và chi phí pháp lý, từ đó cải thiện hiệu quả tài chính Cuối cùng, bảo vệ DLCN còn tạo điều kiện thuận lợi cho việc mở rộng và phát triển thị trường Khi doanh nghiệp chứng minh khả năng bảo vệ dữ liệu một cách an toàn và tuân thủ quy định pháp lý, họ có thể dễ dàng mở rộng hoạt động kinh doanh

21 Yên Chi, Mua bán dữ liệu cá nhân online: Ngày một tinh vi, Công an Nhân dân online, truy cập

<https://cand.com.vn/Khoa-hoc-Ky-thuat-hinh-su/mua-ban-du-lieu-ca-nhan-online-ngay-mot-tinh-vi-i701635/>, ngày 11/11/2023

ra các thị trường quốc tế mà không lo lắng về các vấn đề liên quan đến bảo mật dữ liệu Điều này mở ra cơ hội tiếp cận khách hàng toàn cầu và gia tăng khả năng cạnh tranh trên thị trường quốc tế

Thứ ba, bảo vệ DLCN sẽ giúp thúc đẩy nền kinh tế phát triển Như đã phân tích,

việc bảo vệ DLCN tạo ra một môi trường kinh tế an toàn và đáng tin cậy, nơi người tiêu dùng và doanh nghiệp có thể thực hiện các giao dịch mà không lo sợ bị lạm dụng hay xâm phạm thông tin cá nhân Trong một thế giới số hóa ngày càng phát triển, dữ liệu cá nhân trở thành tài sản có giá trị lớn, và việc bảo vệ dữ liệu này là nền tảng để thúc đẩy các hoạt động kinh tế, đặc biệt là trong các ngành như thương mại điện tử, dịch vụ tài chính, và các dịch vụ số Khi người tiêu dùng cảm thấy an toàn với dữ liệu của họ, họ sẽ có xu hướng tham gia vào nhiều giao dịch hơn, từ đó kích thích tăng trưởng kinh tế Trong bối cảnh các quy định về bảo mật dữ liệu ngày càng nghiêm ngặt, các doanh nghiệp buộc phải đầu tư vào công nghệ và quy trình bảo mật tiên tiến để tuân thủ các yêu cầu pháp lý Điều này không chỉ nâng cao năng lực cạnh tranh của doanh nghiệp mà còn thúc đẩy sự phát triển của các ngành công nghiệp phụ trợ như công nghệ thông tin, an ninh mạng, và các dịch vụ liên quan Sự đầu tư vào công nghệ mới để bảo vệ dữ liệu không chỉ giúp doanh nghiệp đảm bảo an toàn thông tin mà còn thúc đẩy sự phát triển của toàn bộ hệ sinh thái công nghệ, của các ngành dịch vụ phụ trợ, tạo ra nhiều việc làm mới và thúc đẩy tăng trưởng kinh tế Cuối cùng, việc bảo vệ DLCN còn có ý nghĩa quan trọng trong việc thu hút đầu tư và thúc đẩy hội nhập kinh tế toàn cầu Một quốc gia có khung pháp lý rõ ràng và chặt chẽ về bảo vệ dữ liệu sẽ trở thành một điểm đến hấp dẫn cho các nhà đầu tư và doanh nghiệp quốc tế Điều này đặc biệt quan trọng trong bối cảnh toàn cầu hóa, khi các doanh nghiệp không chỉ hoạt động trong phạm vi quốc gia mà còn phải tuân thủ các tiêu chuẩn quốc tế về bảo mật dữ liệu Sự tuân thủ này giúp doanh nghiệp dễ dàng mở rộng thị trường ra quốc tế, đồng thời thu hút thêm vốn đầu tư nước ngoài, từ đó thúc đẩy sự phát triển của nền kinh tế quốc gia Bên cạnh đó, việc bảo vệ dữ liệu cá nhân cũng góp phần nâng cao uy tín của quốc gia trên trường quốc tế, tạo điều kiện thuận lợi cho việc hợp tác kinh tế và thương mại với các đối tác toàn cầu

Pháp luật có vai trò không thể thay thế trong việc đảm bảo bảo vệ dữ liệu một cách hiệu quả Pháp luật tạo ra một khung pháp lý rõ ràng và bắt buộc Khi các quy định

pháp lý được ban hành, tất cả các doanh nghiệp và tổ chức phải tuân thủ, không có sự lựa chọn nào khác Điều này đảm bảo rằng mọi chủ thể tham gia vào TMĐT đều phải tuân theo những tiêu chuẩn bảo vệ dữ liệu tối thiểu, từ việc thu thập, xử lý đến lưu trữ và bảo mật DLCN Khung pháp lý này giúp tránh được sự mơ hồ và khác biệt trong cách tiếp cận bảo vệ dữ liệu, tạo ra một môi trường kinh doanh đồng bộ và an toàn hơn

Pháp luật đi kèm với cơ chế thực thi và chế tài mạnh mẽ Khác với các biện pháp kỹ thuật hoặc tổ chức, vốn có thể bị lơ là hoặc thực hiện không đồng bộ, pháp luật đảm bảo rằng các quy định về bảo vệ DLCN sẽ được thực thi một cách nghiêm ngặt Những cơ chế này bao gồm việc thanh tra, kiểm tra, và áp đặt các biện pháp chế tài đối với các hành vi vi phạm Điều này tạo ra một áp lực lớn đối với các doanh nghiệp, buộc họ phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu

Pháp luật bảo đảm quyền lợi của cá nhân và trách nhiệm của tổ chức Các quy định pháp lý không chỉ bảo vệ dữ liệu của cá nhân mà còn định rõ trách nhiệm của các tổ chức trong việc bảo vệ dữ liệu này Điều này tạo ra một sự cân bằng giữa quyền lợi của người tiêu dùng và nghĩa vụ của doanh nghiệp Pháp luật đảm bảo rằng các cá nhân có quyền được biết về cách dữ liệu của họ được sử dụng, có quyền yêu cầu sửa đổi hoặc xóa dữ liệu, và có thể yêu cầu đền bù nếu quyền lợi của họ bị xâm phạm Điều này không chỉ tăng cường bảo vệ quyền lợi của cá nhân mà còn thúc đẩy sự minh bạch và trách nhiệm trong hoạt động TMĐT

Tuy đã tồn tại những nội dung về bảo vệ DLCN trong một số văn bản quy phạm pháp luật22, đến nay Việt Nam vẫn chưa chú trọng đến mục đích bảo vệ DLCN Do đó,

22 Luật CNTT năm 2006 ghi nhận trách nhiệm của các nhân, tổ chức thực hiện hành vi thu thập, xử lý và sử dụng TTCN và các hành vi vi phạm về bảo vệ DLCN

Nghị định số 52/2013 về Thương mại điện tử đề cập rõ những hành vi bị cấm trong hoạt động TMĐT, trong đó có quy định cấm liên quan đến thu thập và chuyển giao DLCN hoạt động TMĐT khi chưa có sự đồng ý của CTDL, giúp bảo vệ quyền riêng tư và an toàn thông tin của nhóm chủ thể này

Tại điều 38, Bộ luật Dân sự năm 2015 quy định về quyền đối với đời sống riêng tư, bí mật cá nhân và bí mật gia đình

Điều 17 của Luật An toàn thông tin mạng năm 2015 quy định về bảo vệ TTCN trên mạng, nhằm đảm bảo an toàn và quyền riêng tư cho người dùng trong môi trường mạng

Điều 26 của Luật An ninh mạng năm 2018 quy định về bảo đảm an ninh thông tin trên không gian mạng, nêu rõ các yêu cầu và biện pháp mà các tổ chức, cá nhân phải tuân thủ để đảm bảo an toàn và an ninh thông tin Nghị định số 15/2020/NĐ-CP Quy định việc xử phạt vi phạm hành chính trong các lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện Nghị định đề cập và quy định các hành vi vi phạm, mức phạt, thẩm quyền và quy trình xử lý vi phạm Về hành vi vi phạm, Nghị định liệt kê chi tiết các hành vi bị cấm trong các lĩnh vực này, bao gồm nhưng không giới hạn ở việc cung cấp dịch vụ không phép, vi phạm quy định về bảo mật thông tin, sử dụng tần số vô tuyến điện trái phép và vi phạm quy định về nội dung thông tin trên mạng Nghị định cũng đặt ra các tiêu chí cụ thể để xác định mức độ vi phạm và áp dụng mức xử phạt tương ứng, đảm bảo tính minh bạch và công bằng trong quá trình xử lý vi phạm Mức xử phạt được quy định rõ ràng, từ cảnh cáo, phạt tiền cho đến

việc bảo vệ DCLN của các chủ thể tham gia vào hoạt động TMĐT là cần thiết bởi: (i) điều này không xâm phạm quyền Hiến định của CTDL - quyền riêng tư, đảm bảo cho các CTDL được hưởng thụ toàn bộ quyền, lợi ích hợp pháp của mình trong quá trình hoạt động TMĐT; (ii) bảo vệ DLCN của nhóm chủ thể này là một phần trong nội dung bảo vệ quyền lợi người tiêu dùng trong hoạt động TMĐT, việc đề ra một hành lang pháp lý cụ thể và rõ ràng về bảo vệ DLCN trong hoạt động TMĐT góp phần đảm bảo cho việc thực thi pháp luật về bảo vệ quyền lợi người tiêu dùng, bảo vệ chủ thể gặp bất lợi trong quan hệ thương mại điện tử

DLCN trong hoạt động TMĐT là một trong những nhân tố quan trọng đóng vai trò nền tảng đối với hoạt động TMĐT Hầu hết mọi hoạt động trong quá trình TMĐT đều phụ thuộc vào việc xử lý và phân tích dữ liệu đã thu thập Để hạn chế các rủi ro về an toàn dữ liệu, cần đặt ra những quy định chung về bảo vệ DLCN trong lĩnh vực này như đã phân tích, làm cơ sở cho các chủ thể tham gia vào hoạt động TMĐT thực hiện các quyền, nghĩa vụ và trách nhiệm đối với DLCN và bảo vệ DLCN

Bảo vệ DLCN là nền tảng để bảo vệ quyền riêng tư của cá nhân, đảm bảo cho hoạt động thực thi pháp luật về các quyền nhân thân của cá nhân được toàn vẹn Cá nhân có quyền kiểm soát thông tin và các dữ liệu liên quan đến bản thân của họ; đảm bảo việc thực thi các quyền nhân thân liên quan đến vấn đề bảo vệ dữ liệu của mỗi cá nhân

Đối với những DLCN nhạy cảm, chứa đựng những thông tin về tình hình tài chính, các thông tin thanh toán, thông tin mang tính chất định danh cá nhân trong quá trình hoạt động TMĐT, việc áp dụng các cơ chế bảo vệ DLCN giúp ngăn chặn hành vi trộm cắp DLCN, sử dụng dữ liệu không đúng mục đích được cho phép, giả mạo nhằm mục đích trục lợi gian lận và các hình thức tội phạm mạng khác, …

các biện pháp khắc phục hậu quả như tịch thu tang vật, phương tiện vi phạm, đình chỉ hoạt động hoặc thu hồi giấy phép Thẩm quyền xử phạt được giao cho các cơ quan chức năng có liên quan, bao gồm Bộ Thông tin và Truyền thông, các Sở Thông tin và Truyền thông địa phương và các cơ quan chuyên ngành khác Nghị định cũng quy định rõ trách nhiệm của các cơ quan này trong việc phát hiện, xử lý vi phạm và báo cáo kết quả xử lý, nhằm đảm bảo tính hiệu quả và kịp thời trong công tác quản lý nhà nước Quy trình xử lý vi phạm được thiết lập một cách chặt chẽ, bao gồm các bước từ phát hiện vi phạm, lập biên bản, ra quyết định xử phạt đến thi hành quyết định xử phạt Các tổ chức, cá nhân vi phạm có quyền khiếu nại, khởi kiện đối với các quyết định xử phạt hành chính, đảm bảo quyền lợi hợp pháp của họ

Nghị định số 13/2023/NĐ-CP được ban hành nhằm thiết lập các quy định cụ thể và toàn diện về bảo vệ DLCN tại Việt Nam, chứa đựng một số nội dung như nguyên tắc bảo vệ DLCN, quyền, nghĩa vụ của các chủ thể liên quan đến hoạt động thu thập, xử lý DLCN, cũng như các biện pháp bảo đảm an toàn dữ liệu

Nghị định số 13/2023/NĐ-CP không chỉ cung cấp một khung pháp lý vững chắc cho việc bảo vệ DLCN mà còn thúc đẩy các tổ chức và cá nhân nâng cao nhận thức và trách nhiệm trong việc bảo vệ quyền riêng tư của cá nhân

DLCN được bảo vệ thúc đẩy các hoạt động TMĐT diễn ra nhanh chóng và phát triển hơn, việc làm này xây dựng được niềm tin giữa các cá nhân, tổ chức tham gia vào hoạt động TMĐT bởi những hành vi vi phạm về bảo vệ DLCN có khả năng gây ra hậu quả nghiêm trọng, gồm tổn thất về tài chính, hoạt động kinh doanh, kéo theo trách nhiệm pháp lý và rủi ro về vấn đề an toàn dữ liệu mà các chủ thể tham gia vào hoạt động TMĐT phải đối mặt

1.2 Tổng quan pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

1.2.1 Khái quát về pháp luật bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Pháp luật là hệ thống các quy tắc xử sự mang tính bắt buộc chung, được Nhà nước ban hành hoặc thừa nhận, nhằm điều chỉnh hành vi của các chủ thể trong quan hệ xã hội, đảm bảo sự công bằng và trật tự Mục đích chính của pháp luật là ngăn chặn những hành vi gây mất trật tự an toàn cho xã hội, quy định và điều chỉnh những mối quan hệ xã hội nhằm mục tiêu đảm bảo công bằng

Trong một quan hệ xã hội, khi không có sự can thiệp và điều chỉnh của pháp luật có thể mang lại nhiều hệ quả khôn lường, pháp luật được ban hành nhằm mục tiêu định hướng và bảo vệ những bên yếu thế trong các quan hệ xã hội, thiết lập cơ chế xử phạt đối với những hành vi vi phạm đến quyền và lợi ích của cá nhân, tổ chức, qua đó duy trì và bảo vệ trật tự, kỷ cương xã hội, đảm bảo sự công bằng và bình đẳng giữa các chủ thể với nhau

Pháp luật có một số đặc trưng như: (i) thể hiện ý chí của Nhà nước; (ii) do Nhà nước ban hành hoặc thừa nhận; (iii) có hiệu lực bắt buộc chung; (iv) được Nhà nước đảm bảo thực hiện; (v) khi pháp luật bị vi phạm, các biện pháp cưỡng chế của Nhà nước sẽ được áp dụng.23 Như vậy, có thể thấy Pháp luật là một trong những biện pháp quản lý của Nhà nước đối với những vấn đề nảy sinh trong xã hội

Trong thời đại kỹ thuật số phát triển, thương mại điện tử đã chiếm ưu thế, chính vì thế, vấn đề về an toàn dữ liệu dần trở thành một trong những chủ đề được thảo luận Sau khi DLCN được thu thập, CTDL khó kiểm soát được quá trình xử lý và chia sẻ

23 Đào Trí Úc (2020), Mối liên hệ Nhà nước và pháp luật trong thời đại ngày nay và sự nhìn nhận mới về hệ thống pháp luật, Kỷ yếu khoa học hội thảo cấp Bộ, Trường Đại học Luật Hà Nội, tr.1-2

DLCN của mình, khi đó, chủ thể kiểm soát dữ liệu cá nhân, chủ thể xử lý dữ liệu cá nhân và các chủ thể liên quan đăng ký, tuyên bố về xử lý DLCN phải bảo vệ DLCN khỏi việc truy cập trái phép hoặc bị lạm dụng bởi các chủ thể không được phép bên thứ ba trong hoạt động TMĐT này Do đó cần đó một khuôn khổ pháp lý chặt chẽ để điều chỉnh các hoạt động trên

Pháp luật về bảo vệ DLCN trong hoạt động TMĐT là lĩnh vực pháp luật điều chỉnh mối quan hệ giữa các chủ thể tham gia vào hoạt động TMĐT với nhau, giữa các chủ thể tham gia với chủ thể kiểm soát dữ liệu cá nhân, chủ thể xử lý dữ liệu cá nhân và các chủ thể liên quan đăng ký, tuyên bố về xử lý DLCN do Nhà nước ban hành hoặc thừa nhận, quy định các nội dung về quyền và nghĩa vụ bảo vệ DLCN

Pháp luật về bảo vệ DLCN khái quát những quyền và nghĩa vụ đối với các chủ thể trong quan hệ TMĐT, đồng thời đặt ra những trách nhiệm và giới hạn cụ thể cho từng chủ thể tham gia vào hoạt động này

Bên cạnh đó, pháp luật về về bảo vệ DLCN trong TMĐT đặt ra các quy định rõ ràng về phạm vi DLCN cần được thu thập và xử lý Những quy định này nhằm bảo vệ quyền lợi và sự riêng tư của CTDL, đồng thời tạo nên một môi trường kinh doanh điện tử an toàn, công bằng, bảo vệ quyền riêng tư và quyền lợi chính đáng của CTDL trong quan hệ này

Đối với trường hợp xảy ra các vi phạm về bảo vệ DLCN trong hoạt động TMĐT, pháp luật quy định các biện pháp chế tài đối với bên vi phạm, đồng thời đưa ra biện pháp khắc phục các hậu quả do việc vi phạm gây ra, điều này hướng đến việc đảm bảo các chủ thể vi phạm thực hiện khắc phục hậu quả, đồng thời chịu trách nhiệm tương ứng đối với hậu quả gây ra liên quan đến việc bảo vệ DLCN trong hoạt động TMĐT

1.2.2 Vai trò pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Với mục tiêu xây dựng một khuôn khổ pháp lý về hoạt động bảo vệ DLCN trong hoạt động TMĐT, pháp luật về lĩnh vực này bao gồm các nội dung cơ bản như sau:

Thứ nhất, pháp luật về bảo vệ DLCN trong TMĐT đã tạo lập được hành lang pháp lý cho các chủ thể tham gia hoạt động TMĐT thực hiện các quyền và nghĩa vụ của mình

Khi tham gia vào hoạt động TMĐT, DLCN của NTD rất đa dạng, được tổ chức, cá nhân kinh doanh thu thập, sử dụng, lưu trữ, chuyển giao nhằm phục vụ nhiều mục đích khác nhau như: hoàn thành giao dịch, thanh toán, cung cấp các dịch vụ đi kèm sau bán hàng, xúc tiến thương mại, khảo sát ý kiến, …, đây là một tài sản rất quý giá và quan trọng đối với tổ chức, cá nhân kinh doanh Như vậy, khi thu thập DLCN của NTD, chủ thể xử lý dữ liệu, chủ thể kiểm soát dữ liệu phải có nghĩa vụ thực hiện các quy trình tiếp nhận, xử lý và các biện pháp kỹ thuật sau quá trình xử lý đúng quy định và đúng phạm vi trách nhiệm của mình24, kết hợp các biện pháp an toàn, bảo mật phù hợp để bảo vệ DLCN của người tiêu dùng TMĐT, đồng thời bảo đảm các quyền của chủ thể dữ liệu.25

Các chủ thể khi tham gia vào hoạt động TMĐT rất đa dạng, trong đó chủ thể cung cấp nền tảng, chủ thể xử lý dữ liệu, các bên trực tiếp tham gia vào việc mua bán hàng hóa dịch vụ, bên thực hiện thanh toán, giao nhận hàng hóa, TMĐT là một quy trình mà ở đó nhiều chủ thể tương tác, phát sinh quyền và nghĩa vụ với nhau Việc phát sinh quyền và nghĩa vụ này đòi hỏi sự can thiệp của pháp luật nhằm đảm bảo tính tuân thủ, thực thi của pháp luật đối với quyền và nghĩa vụ của các bên về bảo vệ DLCN trong hoạt động TMĐT Ví dụ, khi thực hiện một giao dịch mua hàng trên website bán hàng, cá nhân tham gia vào hoạt động này cần cung cấp một số thông tin cơ bản để phục vụ quá trình đặt hàng, vận chuyển và thanh toán, điều này phát sinh trách nhiệm bên bán hàng bảo vệ các dữ liệu được cung cấp Không chỉ thế, khi tiến hành quá trình thanh toán, các DLCN có liên quan như thông tin về chủ thể thực hiện thanh toán, hình thức thanh toán, các thông tin liên quan như mã số thẻ, mã bảo mật, cũng cần được bảo vệ, lúc này sẽ phát sinh trách nhiệm của bên cung cấp dịch vụ thanh toán đối với bên bán hàng, tức trách nhiệm của một bên thứ ba tham gia vào quan hệ mua - bán hàng hóa giữa hai chủ thể ban đầu Đối với mỗi quá trình được diễn ra, sẽ có ít nhất hai chủ thể tham gia và chịu trách nhiệm đối với việc bảo vệ DLCN của chủ thể tham gia vào hoạt động TMĐT Pháp luật về bảo vệ DLCN khái quát những quyền đối với dữ liệu và nghĩa vụ của các bên tham gia Theo quy định tại điều 4, Nghị định số 52/2013/NĐ-CP, các chủ

24 Điều 39, điều 40, Nghị định số 13/2023/NĐ-CP 25 Tổ chức, cá nhân kinh doanh bị nghiêm cấm thực hiện các hành vi sau đây: Thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng trái quy định của pháp luật

thể trên không được phép “đánh cắp, sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức, cá nhân khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan, trừ trường hợp pháp luật có quy định khác” Trên cơ sở bảo vệ lợi ích của Nhà nước, lợi ích công cộng, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân26

và việc xác định cụ thể các yếu tố như: giới hạn thu thập dữ liệu, phương thức xử lý dữ liệu, chủ thể chia sẻ, được chia sẻ DLCN, pháp luật về bảo vệ DLCN trong hoạt động TMĐT đã đặt ra những trách nhiệm và giới hạn cụ thể cho từng chủ thể tham gia vào hoạt động này Việc đặt ra giới hạn về thu thập dữ liệu nhằm mục đích hạn chế những DLCN không cần thiết được thu thập và xử lý cho những mục đích không chính đáng, bên cạnh đó, việc cho phép một số chủ thể xác định có liên quan truy cập vào DLCN sẽ hạn chế được nguy cơ xâm phạm DLCN bởi việc này được thực hiện trên cơ chế đảm bảo an toàn dữ liệu và các cam kết trước đó về việc truy cập, xử lý và sử dụng DLCN của khách hàng

Thứ hai, pháp luật về bảo vệ DLCN trong TMĐT đã quy định phạm vi DLCN cần được được thu thập và xử lý

Các dữ liệu phát sinh trong hoạt động TMĐT rất đa dạng, gồm các dữ liệu cơ bản như thông tin định danh, ngày sinh, giới tính, số điện thoại, và dữ liệu nhạy cảm như thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về giao dịch, 27

Pháp luật về bảo vệ dữ liệu cá nhân trong thương mại điện tử đã đặt ra các quy định cụ thể về phạm vi dữ liệu cá nhân mà các tổ chức có thể thu thập và xử lý Cụ thể tại Điều 3, Nghị định số 13/2023/NĐ-CP quy định các nguyên tắc thu thập và xử lý dữ liệu như sau: (i) Có mục đích cụ thể: Các chủ thể thu thập và xử lý dữ liệu chỉ được phép thu thập và xử lý dữ liệu cá nhân khi có mục đích cụ thể, rõ ràng và phù hợp với hoạt động của họ Mục đích này phải được thông báo rõ ràng đến CTDL trước khi thu thập dữ liệu (ii) Trong phạm vi cần thiết: Dữ liệu cá nhân thu thập phải được giới hạn trong phạm vi cần thiết để đạt được mục đích đã xác định Các chủ thể thu thập và xử lý dữ liệu không được phép thu thập dữ liệu cá nhân một cách quá mức hoặc không liên quan

26 Điều 4, 5, 6 Luật Giao dịch điện tử năm 2023 27 Khoản 3, khoản 4 Điều 2, Nghị định số 13/2023/NĐ-CP