Để đạt được mục tiêu trên, Luận văn tập trung thực hiện các nhiệm vụ nghiên cứu sau: Một là, khái quát đặc điểm và khái niệm về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động
Tính cấp thiết của đề tài
Trong những năm gần đây, tình hình vi phạm pháp luật về bảo vệ dữ liệu cá nhân dần trở nên khá phổ biến Thực trạng dễ gặp phải là trường hợp lộ thông tin đơn hàng khi đặt hàng thông qua các sàn thương mại điện tử, thông tin này bao gồm một số thông tin về sản phẩm, kèm theo đó là những thông tin cơ bản của khách hàng như tên, địa chỉ, số điện thoại 1 , gây thiệt hại về mặt vật chất và sức khoẻ của người tiêu dùng, đe doạ đến sự an toàn của người tiêu dùng trước những đối tượng có mục đích xấu trong tương lai Hoặc tình trạng mạo danh người khác để đặt hàng diễn ra thường xuyên, gây ảnh hưởng đến các nhà cung cấp và cả người bị mạo danh 2 Ngoài những thông tin nhân thân, một trong những rủi ro mang lại ảnh hưởng lớn đối với người dùng là thông tin về tài chính, làm cho người dùng đối mặt với những rủi ro không thể kiểm soát 3 Tuy chỉ nêu ra một số tình huống đã xảy ra nhưng cho thấy mức độ rủi ro cao đối với người tiêu dùng khi tiến hành các hoạt động, giao dịch trong hoạt động thương mại điện tử ở Việt Nam
Từ 01/7/2023, Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, tuy nhiên Nghị định này chỉ quy định những nội dung cơ bản về việc bảo vệ an toàn dữ liệu, trách nhiệm các bên đối với việc bảo vệ bên cạnh việc quy định về tác động, thủ tục, trình tự của việc chuyển dữ liệu sang nước ngoài Dù vậy, các quy định này này vẫn còn mang tính chung chung, từ đó dẫn đến việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân nói chung và bảo vệ dữ liệu cá nhân trong thương mại điện tử tại Việt Nam còn gặp nhiều hạn chế bởi:
Thứ nhất, quy định về quyền của chủ thể dữ liệu mặc dù đã được đề cập nhưng chưa quy định chi tiết được các nội dung cụ thể về các quyền này;
Thứ hai, việc thực thi các nghĩa vụ của chủ thể cung cấp các thông tin đối với vấn đề thu thập và xử lý DLCN trong hoạt động TMĐT còn chưa hiệu quả
1 Sở Nguyên, Cảnh giác đơn hàng giả đánh cắp thông tin, truy cập , ngày 23/10/2023
2 Gia Hưng, Choáng: Bị người khác dùng thông tin cá nhân để đặt mua hàng trên Facebook, truy cập
, ngày 23/10/2023
3 L Mỹ, Bảo mật dữ liệu trong bối cảnh thanh toán không tiếp xúc gia tăng, truy cập
, ngày 08/11/2023
Thứ ba, sự thiếu hướng dẫn về quy trình cụ thể và thời gian xử lý để thực hiện quyền này dẫn đến sự mơ hồ trong việc thực thi và bảo vệ quyền lợi của CTDL
Thứ tư, pháp luật chưa có cơ chế xử lý cụ thể đối với hành vi xâm phạm an toàn dữ liệu cá nhân mà chỉ mới quy định chung về việc xử lý theo mức độ vi phạm 4
Thứ năm, mức phạt đối với các vấn đề vi phạm đến bảo vệ dữ liệu tại Việt Nam còn thấp, chưa đủ tính răn đe
Từ những nội dung trên, tác giả lựa chọn đề tài “Bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo pháp luật Việt Nam” để đóng góp những kết quả nghiên cứu có được, nâng cao hiệu quả và tính khả thi đối với việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong thương mại điện tử tại Việt Nam.
Mục tiêu của đề tài
Mục tiêu tổng quát
Luận văn được nghiên cứu với mục tiêu làm sáng tỏ những cơ sở lý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam Đồng thời phân tích một số quy định pháp luật hiện hành có liên quan, tình hình thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử, từ đó chỉ ra những điểm hạn chế, bất cập trong các quy định pháp luật và đề xuất các kiến nghị, giải pháp hoàn thiện pháp luật Việt Nam liên quan đến việc bảo vệ dữ liệu cá nhân.
Mục tiêu cụ thể
Để đạt được các mục tiêu trên, luận văn tập trung thực hiện các nhiệm vụ nghiên cứu sau:
Thứ nhất, làm rõ một số vấn đề lý luận về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Thứ hai, phân tích, so sánh, đánh giá những quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo quy định của pháp luật Việt Nam trong sự so sánh với pháp luật một số nước trên thế giới
Thứ ba, phân tích, đánh giá thực trạng pháp luật và thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam Qua đó, phát hiện những hạn chế, bất cập; những khó khăn, vướng mắc; từ đó xác định phương
4 Điều 4, Nghị định số 13/2023/NĐ-CP hướng, đề xuất những giải pháp góp phần hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam.
Câu hỏi nghiên cứu
Câu hỏi nghiên cứu chung
Luận văn “Bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo pháp luật Việt Nam” được tiến hành để trả lời cho câu hỏi: Pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử cần phải sửa đổi, bổ sung, hoàn thiện như thế nào để chủ thể dữ liệu và các chủ thể liên quan (chủ thể kiểm soát dữ liệu, chủ thể xử lý dữ liệu và các chủ thể liên quan trong quan hệ pháp luật này) bảo đảm thực hiện pháp luật về bảo vệ dữ liệu cá nhân khi tham gia hoạt động TMĐT.
Câu hỏi nghiên cứu cụ thể
i) Pháp luật hiện hành có tạo điều kiện để đảm bảo thực hiện pháp luật về bảo về dữ liệu cá nhân trong hoạt động mua hàng và thanh toán thông qua các nền tảng thương mại điện tử và các ứng dụng liên kết với nền tảng thương mại điện tử không? ii) Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam làm phát sinh những vướng mắc gì? iii) Pháp luật hiện hành cần phải bổ sung những quy định gì để góp phần bảo đảm việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử?
Phương pháp nghiên cứu
Phương pháp phân tích
Phương pháp này được sử dụng chủ yếu trong cả luận văn Phương pháp phân tích được sử dụng để phân tích, bình luận, đánh giá và làm sáng tỏ những vấn đề lý luận về bảo vệ DLCN trong hoạt động TMĐT Phân tích các quy định pháp luật liên quan đến bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam và một số quốc gia khác để phát hiện những khó khăn mà nhà lập pháp mong muốn giải quyết.
Phương pháp tổng hợp
Trên cơ sở đó, phương pháp tổng hợp được sử dụng nhằm đưa ra những nhận định, rút ra các kết luận, đề xuất các ý kiến hoàn thiện pháp luật và các giải pháp nhằm hoàn thiện các quy định về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam.
Phương pháp so sánh luật học
Phương pháp này được áp dụng như một công cụ để so sánh, đối chiếu và đánh giá các quan điểm khoa học trong phần tổng quan về vấn đề nghiên cứu Tác giả so sánh, đối chiếu các quy định pháp luật về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam qua các giai đoạn phát triển khác nhau Thông qua đó sẽ nhận thấy được sự thay đổi, sự phát triển tích cực của pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam qua thời gian Hơn nữa, phương pháp này cũng được sử dụng để so sánh các quy định pháp luật về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam với các quốc gia khác trên thế giới, từ đó xác định sự tương đồng và khác biệt giữa các hệ thống pháp luật được so sánh và hiểu rõ hơn về hệ thống pháp luật của Việt Nam Phương pháp này nhận diện các hạn chế hiện tại và sử dụng kinh nghiệm quốc tế để đề xuất các giải pháp pháp lý về vấn đề bảo vệ DLCN.
Phương pháp lịch sử
Phương pháp lịch sử được sử dụng chủ yếu trong chương 1 nhằm tổng quát hóa và thu thập dữ liệu về quá trình hình thành và phát triển cơ sở lý luận về bảo vệ dữ liệu cá nhân Phương pháp này bao gồm nghiên cứu các quy định pháp luật về bảo vệ DLCN qua lịch sử, theo dõi các thay đổi của các quy định này cho đến nay và xem lại các nghiên cứu trước Do đó, nó cung cấp một góc nhìn toàn diện và trực quan về vấn đề nghiên cứu, giúp tác giả xác định các khía cạnh cần được hoàn thiện của vấn đề để thúc đẩy nghiên cứu và đưa ra các kiến nghị để hoàn thiện các quy định pháp luật điều chỉnh bảo vệ dữ liệu cá nhân
Tuy nhiên, việc cụ thể hóa các phương pháp nghiên cứu như trên chỉ mang tính chất tương đối bởi trong luận văn của mình, tùy vấn đề, nội dung nghiên cứu mà tác giả thường đan xen, kết hợp các phương pháp nghiên cứu nhằm đạt được mục đích, nhiệm vụ nghiên cứu của mình.
Nội dung nghiên cứu
Luận văn tập trung nghiên cứu các vấn đề lý luận về bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan, cụ thể như sau:
- Lý luận dữ liêu cá nhân và bảo vệ dữ liệu cá nhân trong TMĐT tại Việt Nam
- Các quy định của pháp luật Việt Nam và một số quốc gia trên thế giới liên quan đến bảo vệ dữ liệu cá nhân
- Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam
- Giải pháp hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam.
Đóng góp của đề tài
Đóng góp lý luận
Luận văn làm sâu sắc hơn những lý luận về bảo vệ dữ liệu cá nhân và pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam như: Khái niệm, đặc điểm dữ liệu cá nhân, bảo vệ bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử và ý nghĩa của việc bảo vệ dữ liệu cá nhân trong TMĐT tại Việt Nam; làm rõ những yếu tố tác động đến hoạt động thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong TMĐT ở Việt Nam Luận văn là công trình nghiên cứu tương đối hệ thống và toàn diện lý luận về đề bảo vệ dữ liệu cá nhân, làm cơ sở cho việc luận giải những điểm hạn chế và vướng mắc của pháp luật với vấn đề bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam, đưa ra kiến nghị xây dựng và hoàn thiện một cách thuyết phục và đáng tin cậy.
Đóng góp thực tiễn
Luận văn phân tích được thực trạng thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam Đối chiếu với những kinh nghiệm nước ngoài, luận văn chỉ ra được những ưu điểm và hạn chế của pháp luật Việt Nam và tiếp thu những kinh nghiệm có giá trị thi hành đối với thực tiễn thực hiện pháp luật tại Việt Nam trong vấn đề bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Luận văn đưa ra được một số kiến nghị hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam, đồng thời mang lại giá trị tham khảo cho các cơ quan lập pháp trong quá trình nghiên cứu và hoàn thiện những quy định pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử, làm nguồn tài liệu phục vụ cho quá trình dạy, học, các hoạt động nghiên cứu pháp luật về bảo vệ DLCN trong hoạt động thương mại điện tử nói riêng và bảo vệ DLCN tại Việt Nam nói chung.
Tổng quan về lĩnh vực nghiên cứu
Vấn đề về bảo vệ dữ liệu cá nhân nhận được nhiều sự quan tâm và đã được nghiên cứu bởi nhiều tác giả Trong quá trình nghiên cứu nội dung trên, tác giả nhận thấy một số công trình nổi bật, có sự liên quan mật thiết đến đề tài và có nhiều giá trị tham khảo, cụ thể như sau:
Maria Tzanou (2013), Data protection as a fundamental right next to privacy?
“Reconstructing” a not so new right, International Data Privacy Law, Vol 3, No 2
(Tạm dịch: Bảo vệ dữ liệu như một quyền cơ bản bên cạnh quyền riêng tư? “Thiết lập lại” một quyền không quá mới) Bài viết đề cập đến việc khó để làm bật lên khái niệm về bảo vệ dữ liệu khi nội dung này luôn được xem xét song song với quyền riêng tư Tuy nhiên, kể từ 01/12/2009, quyền này đã trở thành một quyền cơ bản trong trật tự pháp lý của EU 5 , cùng với quyền riêng tư Bên cạnh thảo luận về những thiếu sót của các lý thuyết hiện tại và án lệ hiện hành của Tòa án Công lý Châu Âu (European Court of Justice) về bảo vệ dữ liệu, tác giả cũng cho rằng hoạt động bảo vệ dữ liệu nên được
“tái cấu trúc” để được thực hiện như một quyền cơ bản chính thức bên cạnh quyền riêng tư Hai điều kiện là cần thiết cho điều này: Thứ nhất, cần công nhận bản chất của quyền bảo vệ dữ liệu Thứ hai, các hành vi vi phạm về bảo vệ dữ liệu chỉ nên được xác định trên cơ sở các nguyên tắc bảo vệ dữ liệu có liên quan mà không cần phải dựa vào quyền riêng tư Qua đó có thể thấy được hướng tiếp cận của tác giả đối với vấn đề về dữ liệu cá nhân nên được xem là một đối tượng của quyền sở hữu để có thể tái cấu trúc những quy định liên quan mà không chịu sự chi phối mà những quy định về quyền riêng tư tạo ra Tác giả luận văn cho rằng hướng tiếp cận này mang lại nhiều giá trị thực tiễn do tính chất của dữ liệu có nét tương đồng với tài sản, mang lại những giá trị, đồng thời gây nên thiệt hại khi không được sử dụng đúng mục đích Từ đó tác giả có sự kế thừa giá trị nghiên cứu mà bài viết mang lại nhằm hoàn thiện cơ sở ý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân
Nguyễn Việt Hà (2016), Pháp luật Việt Nam về Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Luận văn Thạc sĩ-Khoa Luật, Đại học Quốc gia Hà Nội Luận văn đặt ra vấn đề tìm hiểu trách nhiệm của các bên trong việc thu thập, xử lý, bảo vệ và chuyển giao dữ liệu của các chủ thể tham gia vào thương mại điện tử Tác giả đã đưa ra được nguyên nhân dẫn đến những khó khăn tồn đọng, đa phần đến từ nhận thức của các chủ thể về vấn đề bảo vệ các thông tin này, nguồn nhân lực và cơ sở vật chất dành riêng cho công tác này chưa thực sự được đầu tư kỹ càng Đối với các quy định pháp luật, tác giả cũng cho rằng “việc một hành vi vi phạm lại có thể thuộc thẩm quyền xử lý của nhiều cơ quan nhà nước khác nhau trên thực tế, chưa chắc là một giải
5 Treaty of Lisbon, 2007 pháp hợp lý, bởi nếu các cơ quan này không phối hợp chặt chẽ với nhau hoặc không có sự phân định nhiệm vụ, quyền hạn rõ ràng, có thể sẽ dẫn đến tình trạng hoặc buông lỏng quản lý, hoặc chồng chéo khi xử lý vi phạm, từ đó cũng sẽ dễ dẫn đến việc không bảo đảm được quyền lợi của người tiêu dùng do các cơ quan này đùn đẩy trách nhiệm hoặc không thống nhất về cách thức xử lý vi phạm 6 ” Luận văn trên chỉ ra một vấn đề pháp luật Việt Nam còn chưa quy định rõ ràng: Chủ thể và trách nhiệm của chủ thể xử lý các tranh chấp liên quan đến vấn đề bảo mật dữ liệu cá nhân Nội dung này được tác giả luận văn kế thừa và phân tích trong chương 2 của luận văn nhằm làm nổi bật sự cần thiết quy định một chủ thể chuyên trách cho vấn đề quản lý và xử lý các tranh chấp liên quan
Lê Văn Thiệp (2016), Pháp luật về bảo vệ người tiêu dùng trong thương mại điện tử, Tạp chí Pháp luật và Kinh tế, số 2 (287), trang 30-34 Bài viết đặt vấn đề về bảo vệ người tiêu dùng trong lĩnh vực thương mại điện tử và tính liên đới trong việc chịu trách nhiệm của bên thứ ba trong việc bảo vệ an toàn dữ liệu của người tiêu dùng trong quá trình giao kết các hợp đồng từ xa Bên cạnh đó bài viết đưa ra quan điểm về việc ban hành những quy định mới phù hợp với thực tiễn mà tác giả có thể sử dụng để hoàn thiện chương 2 của luận văn này
Nguyễn Thị Thu Vân (2017), Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng công nghiệp 4.0, Tạp chí Dân chủ & Pháp luật, số 10 (307), trang 3-7 Bài viết mô tả một số thách thức trong bối cảnh chuyển đổi số tại Việt Nam, từ đó khái quát được những rủi ro, nguy cơ cho các nhà làm luật Thông qua bài viết, tác giả luận văn nhận thấy được thêm nhiều nguy cơ có liên quan đến vấn đề an toàn của dữ liệu cá nhân, từ đó hoàn thiện nên lý luận về bảo vệ dữ liệu cá nhân tại chương 1 của luận văn
Nguyễn Hồng Quân (2018), Trách nhiệm xã hội của các doanh nghiệp số đối với vấn đề bảo vệ dữ liệu cá nhân khách hàng trong kỷ nguyên 4.0: Nhìn từ khía cạnh pháp lý và thực thi, Tạp chí Kinh tế Đối ngoại, số 102 (1/2018), trang 104-117 Bài viết làm bật lên được các khía cạnh cần được đảm bảo trong việc bảo vệ thông tin khách hàng mà các doanh nghiệp có khả năng thực hiện Đồng thời hệ thống lại những quy định về giám sát, chế tài có liên quan đến hành vi thu thập, lưu trữ, huỷ bỏ và trách nhiệm các bên trong việc bảo đảm an toàn thông tin, DLCN và các thông tin của chủ thể
6 Nguyễn Việt Hà (2016), Pháp luật Việt Nam về Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Luận văn Thạc sĩ, Đại học Quốc gia Hà Nội-Khoa Luật tham gia Song song, tác giả cũng nêu lên quan điểm về tính xuyên biên giới của các hoạt động thương mại điện tử cũng cần phải có những quy định điều chỉnh riêng biệt và đưa ra các kiến nghị hoàn thiện Bài viết cung cấp thêm nguồn tư liệu có giá trị tham khảo, phục vụ cho quá trình làm rõ những lý luận về việc bảo vệ dữ liệu cá nhân và giúp tác giả có cái nhìn tổng quan về các quy định pháp luật điều chỉnh vấn đề trên, những giá trị này được tác giả luận văn sử dụng trong chương 1 và chương 2 của bài
Nguyễn Hương Ly (2020), Pháp luật hiện hành của Việt Nam về bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư, https://nacis.gov.vn/nghien-cuu-trao-doi/-/view- content/214123/phap-luat-hien-hanh-cua-viet-nam-ve-bao-ve-du-lieu-thong-tin-ca- nhan-va-quyen-rieng-tu Bài viết khái quát được hệ thống pháp luật Việt Nam điều chỉnh vấn đề an toàn thông tin, dữ liệu Qua đó phân tích những điểm phù hợp và những vướng mắc trong quá trình thực thi pháp luật, đề xuất những kiến nghị thông qua việc tiếp thu những quy định về bảo vệ dữ liệu cá nhân tại một số quốc gia Tác giả luận văn sử dụng các phân tích trong bài viết trên làm cơ sở cho việc nghiên cứu và kế thừa những kết quả phân tích liên quan đến hoàn thiện những quy định pháp luật trong bài để phục vụ cho việc hoàn thiện chương 2 cho luận văn này
Dương Kim Thế Nguyên, Huỳnh Thiên Tứ, Lê Thùy Khanh và Mai Nguyễn Dũng (2021), Cải cách pháp luật đáp ứng nhu cầu bảo vệ DLCN trong chuyển đổi số, Trường Đại học Kinh tế Tp Hồ Chí Minh Bài viết đặt vấn đề về sự bùng nổ của khoa học công nghệ gây ảnh hưởng đến quyền riêng tư của cá nhân, nguyên nhân đến từ lượng dữ liệu mà mỗi tổ chức, các nền tảng sử dụng, phân tích đến chiếm phần lớn từ người dùng và các hành vi của họ Thông qua việc phân tích, các tác giả đặt ra vấn đề về việc cần có một khuôn khổ pháp luật thống nhất về vấn đề bảo vệ dữ liệu cá nhân thay vì được quy định trong nhiều văn bản thuộc nhiều lĩnh vực khác nhau; cần thừa nhận quyền nhân thân của cá nhân đối với các thông tin bằng những quy định rõ ràng, cụ thể trong
Bộ luật Dân sự; xây dựng hệ thông quyền, nghĩa vụ cụ thể, đề cao sự bình đẳng trong thoả thuận giữa các quan hệ xử lý dữ liệu Từ những nội dung trên, tác giả luận văn kế thừa những kết quả nghiên cứu để áp dụng vào việc nghiên cứu thực tiễn pháp luật và đưa ra đề xuất hoàn thiện
Nguyễn Quang Đồng, Nguyễn Lan Phương (2021), Dòng chảy dữ liệu cá nhân xuyên biên giới: Thực trạng và khuyến nghị chính sách, Tạp chí Khoa học và Công nghệ
Việt Nam, số 10 năm 2021, trang 16-18 Bài viết nêu lên thực trạng của Việt Nam khi nằm trong nhóm có khối lượng chuyển dữ liệu xuyên biên giới đứng đầu thế giới, qua đó đề xuất xây dựng các quy định cụ thể đối với vấn đề này, chú trọng khuyến khích các doanh nghiệp tuân thủ và nâng cao các tiêu chuẩn về bảo đảm an toàn dữ liệu, khuyến khích tham gia vào các khuôn khổ pháp lý xuyên quốc gia để nâng cao hiệu quả thi hành pháp luật, đặc biệt đối với các chủ thể cung cấp các dịch vụ trực tuyến xuyên biên giới bên cạnh việc giới hạn và đặt ra các yêu cầu pháp lý cụ thể đối với nhóm dữ liệu nhạy cảm, quy định thêm về trách nhiệm giải trình đối với hành vi chuyển dữ liệu ra khỏi biên giới, đồng thời vẫn thúc đẩy được dòng chảy dữ liệu xuyên biên giới thông suốt để phục vụ cho phát triển nền kinh tế số Tuy nhiên, nội dung những đề xuất của tác giả vẫn còn chưa cụ thể, đặc biệt đối với vấn đề an toàn dữ liệu bên ngoài biên giới, do đó vấn đề này cần được quy định cụ thể trong hệ thống pháp luật Việt Nam, đây là nội dung tác giả luận văn sẽ đề cập tại chương 2 - Hoàn thiện những quy định pháp luật liên quan
Nguyễn Thị Long (2022), Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong thời kỳ hội nhập, Tạp chí Khoa học kiểm soát, số 03/2022, trang 30-38 Có nét tương đồng với Nguyễn Hương Ly (2020), Pháp luật hiện hành của Việt Nam về bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư, bài viết nêu bật được những tồn tại có thể nhận thấy trong quy định của pháp luật hiện hành, đặc biệt nhấn mạnh đến việc những quy định này nằm rải rác ở nhiều nơi và chưa được tập trung tại một văn bản cụ thể, duy nhất Bên cạnh đó, bài viết còn đặt vấn đề về việc có một quy định cụ thể về bảo vệ dữ liệu và xem xét dữ liệu cá nhân dưới hình thức quyền tài sản Như tác giả luận văn đã đề cập phía trên, hướng tiếp cận này mang lại nhiều giá trị thực tiễn, đồng thời là nguồn dữ liệu quan trọng để tác giả hoàn thành việc nghiên cứu cơ sở lý luận về bảo vệ dữ liệu cá nhân trong luận văn này
Nhìn chung, các công trình nghiên cứu trên tiếp cận vấn đề về bảo vệ dữ liệu cá nhân thông qua nhiều góc độ, xem xét việc bảo vệ dữ liệu này như trách nhiệm của chủ thể quản lý dữ liệu; Một vài bài viết tiếp cận với góc độ bảo vệ dữ liệu cá nhân nên được xem là một đối tượng của quyền tài sản do giá trị kinh tế và những đặc điểm tương đồng với tài sản mà dữ liệu cá nhân đang thể hiện Một số công trình khác chỉ khái quát được một số vấn đề thực tế trong quá trình thực hiện bảo vệ dữ liệu cá nhân như những rủi ro từ việc ứng dụng công nghệ trong bối cảnh chuyển đổi số, khó khăn trong việc bảo vệ dữ liệu trong quá trình xử lý, chuyển dữ liệu ra khỏi biên giới
Bố cục tổng quát của Luận văn
Ngoài phần mở đầu, kết luận, danh mục tài liệu tham khảo, luận văn được trình bày bằng 02 chương với các nội dung cụ thể như sau:
Chương 1: Những vấn đề lý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Chương 2: Thực trạng pháp luật, thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam và giải pháp hoàn thiện
NHỮNG VẤN ĐỀ LÝ LUẬN VỀ DỮ LIỆU CÁ NHÂN VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ
Khái quát về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
1.1.1 Khái niệm và đặc điểm của dữ liệu cá nhân
Từ điển Tiếng Việt định nghĩa “dữ liệu là số liệu, tư liệu đã có, được dựa vào để giải quyết một vấn đề” 7 Theo đó, dữ liệu là thuật ngữ mô tả những thông tin, dấu hiệu cụ thể được thu thập, xử lý, lưu trữ Với từng nhu cầu cụ thể, dữ liệu được thu thập có thể là những số liệu, văn bản, hình ảnh, âm thanh, video, hoặc bất kỳ loại thông tin nào khác có thể được biểu diễn dưới dạng kỹ thuật số hoặc tương tự nhằm mục đích phân tích, đưa ra quyết định, hoặc truyền đạt thông tin
Có thể nhận thấy khái niệm dữ liệu có nhiều nét tương đồng, có sự quan hệ chặt
7 Trung tâm Từ điển học (2003), Từ điển Tiếng Việt, Hà Nội, tr.269 chẽ với khái niệm thông tin và thường được xem là hai khái niệm phụ thuộc lẫn nhau
Dữ liệu là các số liệu, tư liệu ở dạng thô, không mang nhiều ý nghĩa cụ thể, có thể là các con số, ký tự, hình ảnh, âm thanh, video và nhiều dạng khác Thông qua việc xử lý, phân tích và hiểu biết, dữ liệu trở thành thông tin có giá trị Thông tin mang lại kiến thức, hiểu biết hoặc sự nhận thức về một vấn đề cụ thể và có thể được sử dụng để đưa ra quyết định hoặc thực hiện các hoạt động khác Như vậy, thông tin và dữ liệu là hai khái niệm không thể tách rời trong nhiều trường hợp, và mối quan hệ giữa chúng là một quá trình chuyển đổi từ dữ liệu chưa qua xử lý sang thông tin có ý nghĩa và giá trị
Liên quan đến các khái niệm trên, một số văn bản quy phạm pháp luật cũng đã đề cập, chẳng hạn: Luật Giao dịch điện tử năm 2023 định nghĩa “Dữ liệu là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự khác” 8 , hay Luật Tiếp cận thông tin năm 2016 định nghĩa “Thông tin là tin, dữ liệu được chứa đựng trong văn bản, hồ sơ, tài liệu có sẵn, tồn tại dưới dạng bản viết, bản in, bản điện tử, tranh, ảnh, bản vẽ, băng, đĩa, bản ghi hình, ghi âm hoặc các dạng khác do cơ quan nhà nước tạo ra” 9
Như vậy, khái niệm về dữ liệu và khái niệm thông tin có một số điểm tương đồng:
Thứ nhất, đều chứa đựng những số liệu, tư liệu mà thông qua đó người ta có thể nhận biết và xác định được các sự vật và hiện tượng liên quan đến một chủ thể nhất định Những thông tin này cung cấp cái nhìn chi tiết, cụ thể về bản chất, đặc điểm và mối quan hệ của các yếu tố với chủ thể đó
Thứ hai, những dữ liệu này được tiến hành thu thập và xử lý nhằm phục vụ mục đích cụ thể;
Thứ ba, chúng tồn tại ở nhiều hình thức khác nhau, bao gồm văn bản, âm thanh, hình ảnh, các bản ghi, …
Trong đời sống xã hội, dữ liệu liên quan đến một cá nhân rất đa dạng Do đó, việc xác định chính xác dữ liệu cá nhân có ý nghĩa rất quan trọng Làm cơ sở xác định phạm vi nghĩa vụ và trách nhiệm của các chủ thể trong các hoạt động liên quan sau này
Tại các quốc gia và khu vực, khái niệm DLCN có thể được hiểu là “bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (data subject - chủ thể dữ
8 Khoản 6 điều 3, Luật Giao dịch điện tử năm 2023
9 Khoản 2 Điều 1, Luật Tiếp cận thông tin năm 2016 liệu)” 10 Dưới góc độ pháp lý, luật pháp một số nước đã ghi nhận khái niệm này như sau: Theo Điều 4.1 Quy định chung về bảo vệ dữ liệu năm 2016 của châu Âu (General Data Protection Regulation - GDPR), dữ liệu cá nhân là “bất kỳ thông tin nào liên quan đến một chủ thể dữ liệu (data subject) đã được nhận định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, sinh thực, tâm lý, kinh tế, văn hoá, hoặc xã hội” 11
Hay theo Điều 2.1 Luật Bảo vệ Dữ liệu cá nhân Singapore (PDPA) năm 2012,
“dữ liệu cá nhân là các dữ liệu, dù đúng hay sai, về một cá nhân mà có thể xác định được danh tính của họ từ các dữ liệu đó; hoặc từ các dữ liệu đó và các thông tin khác mà các tổ chức có hoặc có thể có quyền truy cập”
Khái niệm DLCN đã xuất hiện và được đề cập trong các văn bản quy phạm pháp luật với tên gọi thông tin riêng hay TTCN như: Luật Công nghệ thông tin 2006 hay Luật Viễn thông năm 2009 Theo đó, thông tin riêng là “thông tin riêng liên quan đến người sử dụng dịch vụ viễn thông, bao gồm tên, địa chỉ, số máy gọi, số máy được gọi, vị trí máy gọi, vị trí máy được gọi, thời gian gọi và thông tin riêng khác mà người sử dụng đã cung cấp khi giao kết hợp đồng với doanh nghiệp” Đến Nghị định số 64/2007/NĐ-CP về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước mới quy định TTCN là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác” 12 Tiếp đó, Nghị định số 52/2013/NĐ-CP về Thương mại điện tử cũng định nghĩa TTCN là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại,
10 OECD (2001), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, truy cập , ngày 08/11/2023
11 “personal data” means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person
12 Khoản 5 Điều 3, Nghị định số 64/2007/NĐ-CP thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật” 13 Nghị định số 72/2013/NĐ-CP về Quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng cũng đề cập đến thuật ngữ TTCN “là thông tin gắn liền với việc xác định danh tính, nhân thân của cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa chỉ thư điện tử và thông tin khác theo quy định của pháp Luật” Thuật ngữ TTCN lần đầu tiên được được giải thích bởi một đạo luật là “thông tin gắn với việc xác định danh tính của một người cụ thể” trong khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015
Hiện nay, theo khoản 1 Điều 2 Nghị định số 13/2023/NĐ-CP, khái niệm DLCN được hiểu là: thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể DLCN bao gồm: DLCN cơ bản và DLCN nhạy cảm Trong đó, DLCN cơ bản bao gồm những thông tin như: nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;… hình ảnh của cá nhân; số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; thông tin về tài khoản số của cá nhân; DLCN phản ánh hoạt động, lịch sử hoạt động trên không gian mạng DLCN là những dữ liệu cá nhân có liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; quan điểm chính trị, quan điểm tôn giáo; Ngoài ra, dữ liệu cá nhân trong nhóm này còn bao gồm các thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; các thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án; thông tin về đời sống tình dục hoặc khuynh hướng tình dục; thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác 14
Có thể nhận thấy, cách tiếp cận của Việt Nam đối với khái niệm dữ liệu cá nhân đã có sự thay đổi cho phù hợp với các quy định chung của quốc tế cũng như thực tiễn của thời đại kinh tế số Về cơ bản, khái niệm này đã phản ánh sự tham khảo quy định chung được thừa nhận phổ quát trên thế giới
Thông qua các khái niệm trên, có thể nhận thấy dữ liệu cá nhân có những đặc điểm sau:
13 Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP
14 Xem thêm khoản 1, khoản 3 và khoản 4 Điều 2 Nghị định số 13/2023/NĐ-CP
Thứ nhất, bất kỳ dữ liệu nào liên quan đến một cá nhân, được thu thập một cách chủ động hay thụ động;
Tổng quan pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
1.2.1 Khái quát về pháp luật bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Pháp luật là hệ thống các quy tắc xử sự mang tính bắt buộc chung, được Nhà nước ban hành hoặc thừa nhận, nhằm điều chỉnh hành vi của các chủ thể trong quan hệ xã hội, đảm bảo sự công bằng và trật tự Mục đích chính của pháp luật là ngăn chặn những hành vi gây mất trật tự an toàn cho xã hội, quy định và điều chỉnh những mối quan hệ xã hội nhằm mục tiêu đảm bảo công bằng
Trong một quan hệ xã hội, khi không có sự can thiệp và điều chỉnh của pháp luật có thể mang lại nhiều hệ quả khôn lường, pháp luật được ban hành nhằm mục tiêu định hướng và bảo vệ những bên yếu thế trong các quan hệ xã hội, thiết lập cơ chế xử phạt đối với những hành vi vi phạm đến quyền và lợi ích của cá nhân, tổ chức, qua đó duy trì và bảo vệ trật tự, kỷ cương xã hội, đảm bảo sự công bằng và bình đẳng giữa các chủ thể với nhau
Pháp luật có một số đặc trưng như: (i) thể hiện ý chí của Nhà nước; (ii) do Nhà nước ban hành hoặc thừa nhận; (iii) có hiệu lực bắt buộc chung; (iv) được Nhà nước đảm bảo thực hiện; (v) khi pháp luật bị vi phạm, các biện pháp cưỡng chế của Nhà nước sẽ được áp dụng 23 Như vậy, có thể thấy Pháp luật là một trong những biện pháp quản lý của Nhà nước đối với những vấn đề nảy sinh trong xã hội
Trong thời đại kỹ thuật số phát triển, thương mại điện tử đã chiếm ưu thế, chính vì thế, vấn đề về an toàn dữ liệu dần trở thành một trong những chủ đề được thảo luận Sau khi DLCN được thu thập, CTDL khó kiểm soát được quá trình xử lý và chia sẻ
23 Đào Trí Úc (2020), Mối liên hệ Nhà nước và pháp luật trong thời đại ngày nay và sự nhìn nhận mới về hệ thống pháp luật, Kỷ yếu khoa học hội thảo cấp Bộ, Trường Đại học Luật Hà Nội, tr.1-2
DLCN của mình, khi đó, chủ thể kiểm soát dữ liệu cá nhân, chủ thể xử lý dữ liệu cá nhân và các chủ thể liên quan đăng ký, tuyên bố về xử lý DLCN phải bảo vệ DLCN khỏi việc truy cập trái phép hoặc bị lạm dụng bởi các chủ thể không được phép bên thứ ba trong hoạt động TMĐT này Do đó cần đó một khuôn khổ pháp lý chặt chẽ để điều chỉnh các hoạt động trên
Pháp luật về bảo vệ DLCN trong hoạt động TMĐT là lĩnh vực pháp luật điều chỉnh mối quan hệ giữa các chủ thể tham gia vào hoạt động TMĐT với nhau, giữa các chủ thể tham gia với chủ thể kiểm soát dữ liệu cá nhân, chủ thể xử lý dữ liệu cá nhân và các chủ thể liên quan đăng ký, tuyên bố về xử lý DLCN do Nhà nước ban hành hoặc thừa nhận, quy định các nội dung về quyền và nghĩa vụ bảo vệ DLCN
Pháp luật về bảo vệ DLCN khái quát những quyền và nghĩa vụ đối với các chủ thể trong quan hệ TMĐT, đồng thời đặt ra những trách nhiệm và giới hạn cụ thể cho từng chủ thể tham gia vào hoạt động này
Bên cạnh đó, pháp luật về về bảo vệ DLCN trong TMĐT đặt ra các quy định rõ ràng về phạm vi DLCN cần được thu thập và xử lý Những quy định này nhằm bảo vệ quyền lợi và sự riêng tư của CTDL, đồng thời tạo nên một môi trường kinh doanh điện tử an toàn, công bằng, bảo vệ quyền riêng tư và quyền lợi chính đáng của CTDL trong quan hệ này Đối với trường hợp xảy ra các vi phạm về bảo vệ DLCN trong hoạt động TMĐT, pháp luật quy định các biện pháp chế tài đối với bên vi phạm, đồng thời đưa ra biện pháp khắc phục các hậu quả do việc vi phạm gây ra, điều này hướng đến việc đảm bảo các chủ thể vi phạm thực hiện khắc phục hậu quả, đồng thời chịu trách nhiệm tương ứng đối với hậu quả gây ra liên quan đến việc bảo vệ DLCN trong hoạt động TMĐT
1.2.2 Vai trò pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Với mục tiêu xây dựng một khuôn khổ pháp lý về hoạt động bảo vệ DLCN trong hoạt động TMĐT, pháp luật về lĩnh vực này bao gồm các nội dung cơ bản như sau:
Thứ nhất, pháp luật về bảo vệ DLCN trong TMĐT đã tạo lập được hành lang pháp lý cho các chủ thể tham gia hoạt động TMĐT thực hiện các quyền và nghĩa vụ của mình
Khi tham gia vào hoạt động TMĐT, DLCN của NTD rất đa dạng, được tổ chức, cá nhân kinh doanh thu thập, sử dụng, lưu trữ, chuyển giao nhằm phục vụ nhiều mục đích khác nhau như: hoàn thành giao dịch, thanh toán, cung cấp các dịch vụ đi kèm sau bán hàng, xúc tiến thương mại, khảo sát ý kiến, …, đây là một tài sản rất quý giá và quan trọng đối với tổ chức, cá nhân kinh doanh Như vậy, khi thu thập DLCN của NTD, chủ thể xử lý dữ liệu, chủ thể kiểm soát dữ liệu phải có nghĩa vụ thực hiện các quy trình tiếp nhận, xử lý và các biện pháp kỹ thuật sau quá trình xử lý đúng quy định và đúng phạm vi trách nhiệm của mình 24 , kết hợp các biện pháp an toàn, bảo mật phù hợp để bảo vệ DLCN của người tiêu dùng TMĐT, đồng thời bảo đảm các quyền của chủ thể dữ liệu 25
Các chủ thể khi tham gia vào hoạt động TMĐT rất đa dạng, trong đó chủ thể cung cấp nền tảng, chủ thể xử lý dữ liệu, các bên trực tiếp tham gia vào việc mua bán hàng hóa dịch vụ, bên thực hiện thanh toán, giao nhận hàng hóa, TMĐT là một quy trình mà ở đó nhiều chủ thể tương tác, phát sinh quyền và nghĩa vụ với nhau Việc phát sinh quyền và nghĩa vụ này đòi hỏi sự can thiệp của pháp luật nhằm đảm bảo tính tuân thủ, thực thi của pháp luật đối với quyền và nghĩa vụ của các bên về bảo vệ DLCN trong hoạt động TMĐT Ví dụ, khi thực hiện một giao dịch mua hàng trên website bán hàng, cá nhân tham gia vào hoạt động này cần cung cấp một số thông tin cơ bản để phục vụ quá trình đặt hàng, vận chuyển và thanh toán, điều này phát sinh trách nhiệm bên bán hàng bảo vệ các dữ liệu được cung cấp Không chỉ thế, khi tiến hành quá trình thanh toán, các DLCN có liên quan như thông tin về chủ thể thực hiện thanh toán, hình thức thanh toán, các thông tin liên quan như mã số thẻ, mã bảo mật, cũng cần được bảo vệ, lúc này sẽ phát sinh trách nhiệm của bên cung cấp dịch vụ thanh toán đối với bên bán hàng, tức trách nhiệm của một bên thứ ba tham gia vào quan hệ mua - bán hàng hóa giữa hai chủ thể ban đầu Đối với mỗi quá trình được diễn ra, sẽ có ít nhất hai chủ thể tham gia và chịu trách nhiệm đối với việc bảo vệ DLCN của chủ thể tham gia vào hoạt động TMĐT Pháp luật về bảo vệ DLCN khái quát những quyền đối với dữ liệu và nghĩa vụ của các bên tham gia Theo quy định tại điều 4, Nghị định số 52/2013/NĐ-CP, các chủ
24 Điều 39, điều 40, Nghị định số 13/2023/NĐ-CP
25 Tổ chức, cá nhân kinh doanh bị nghiêm cấm thực hiện các hành vi sau đây:
Thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng trái quy định của pháp luật thể trên không được phép “đánh cắp, sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức, cá nhân khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan, trừ trường hợp pháp luật có quy định khác” Trên cơ sở bảo vệ lợi ích của Nhà nước, lợi ích công cộng, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân 26 và việc xác định cụ thể các yếu tố như: giới hạn thu thập dữ liệu, phương thức xử lý dữ liệu, chủ thể chia sẻ, được chia sẻ DLCN, pháp luật về bảo vệ DLCN trong hoạt động TMĐT đã đặt ra những trách nhiệm và giới hạn cụ thể cho từng chủ thể tham gia vào hoạt động này Việc đặt ra giới hạn về thu thập dữ liệu nhằm mục đích hạn chế những DLCN không cần thiết được thu thập và xử lý cho những mục đích không chính đáng, bên cạnh đó, việc cho phép một số chủ thể xác định có liên quan truy cập vào DLCN sẽ hạn chế được nguy cơ xâm phạm DLCN bởi việc này được thực hiện trên cơ chế đảm bảo an toàn dữ liệu và các cam kết trước đó về việc truy cập, xử lý và sử dụng DLCN của khách hàng
Thứ hai, pháp luật về bảo vệ DLCN trong TMĐT đã quy định phạm vi DLCN cần được được thu thập và xử lý
Các dữ liệu phát sinh trong hoạt động TMĐT rất đa dạng, gồm các dữ liệu cơ bản như thông tin định danh, ngày sinh, giới tính, số điện thoại, và dữ liệu nhạy cảm như thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về giao dịch, 27
THỰC TRẠNG PHÁP LUẬT, THỰC TIỄN THỰC HIỆN PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ Ở VIỆT NAM VÀ GIẢI PHÁP HOÀN THIỆN
Thực trạng pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam
2.1.1 Quy định pháp luật về quyền của chủ thể dữ liệu trong hoạt động thương mại điện tử
Nghị định số 13/2023/NĐ-CP/NĐ-CP quy định chi tiết về bảo vệ DLCN, trong đó bao gồm 11 quyền cơ bản của CTDL Những quyền này nhằm đảm bảo sự minh bạch, an toàn và bảo vệ quyền lợi cá nhân trong quá trình thu thập và xử lý DLCN
Quyền được biết của CTDL là một trong những quyền cơ bản được quy định trong nhiều khung pháp lý quốc tế về bảo vệ DLCN, nhằm đảm bảo rằng người dùng biết về việc thu thập, sử dụng và xử lý dữ liệu của họ Quyền này đóng vai trò quan trọng trong việc bảo vệ quyền riêng tư và nâng cao tính minh bạch trong hoạt động xử lý dữ liệu Trong hoạt động TMĐT, quyền được biết là yếu tố quan trọng nhằm bảo vệ quyền lợi và xây dựng niềm tin vào thị trường trực tuyến Người tiêu dùng có quyền biết về các chính sách bảo vệ người tiêu dùng, như hoàn trả, đổi trả, và bảo hành đặc biệt là bảo vệ thông tin của người tiêu dùng 32 Đây là một quyền quan trọng khác, yêu cầu các doanh nghiệp TMĐT phải bảo mật dữ liệu và chỉ sử dụng thông tin cá nhân cho các mục đích đã được người tiêu dùng đồng ý Cuối cùng, người tiêu dùng cũng có quyền được thông báo về bất kỳ thay đổi nào trong chính sách hoặc điều khoản sử dụng mà có thể ảnh hưởng đến họ Tất cả những quyền này giúp người tiêu dùng an tâm hơn khi mua sắm trực tuyến và yêu cầu các doanh nghiệp phải hoạt động minh bạch, tuân thủ quy định về bảo vệ người tiêu dùng
So sánh các quy định quốc tế như GDPR hay Đạo luật Bảo vệ Quyền riêng tư của người tiêu dùng California (CCPA) 33
Theo GDPR, quyền được biết được quy định rất chi tiết và cụ thể Khi thu thập DLCN, các tổ chức phải cung cấp cho CTDL thông tin về danh tính và chi tiết liên hệ của người xử lý dữ liệu, mục đích của việc xử lý, cơ sở pháp lý cho việc xử lý, và các quyền của CTDL, bao gồm quyền truy cập, chỉnh sửa và xóa dữ liệu Hơn nữa, GDPR yêu cầu các tổ chức phải thông báo cho CTDL về bất kỳ việc chuyển giao dữ liệu nào cho bên thứ ba và các biện pháp bảo mật áp dụng để bảo vệ dữ liệu đó 34
Tương tự, CCPA yêu cầu các doanh nghiệp phải thông báo cho người tiêu dùng tại thời điểm hoặc trước khi thu thập DLCN Thông báo này phải bao gồm các loại dữ liệu được thu thập, mục đích, lý do sử dụng, chia sẻ, bán dữ liệu, và các quyền của người tiêu dùng theo CCPA 35
Quyền đồng ý đảm bảo rằng việc xử lý dữ liệu chỉ được thực hiện khi có sự chấp thuận rõ ràng và tự nguyện từ CTDL Trước khi thu thập và xử lý DLCN, các tổ chức phải hỏi ý kiến và nhận được sự đồng ý của CTDL, trừ những trường hợp đặc biệt do pháp luật quy định Trong hoạt động TMĐT, tại thời điểm truy cập và tham gia vào
32 Điều 15, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023
35 Các quyền của người tiêu dùng theo CCPA, bao gồm các sửa đổi bởi CPRA, là: 1 Quyền được biết về TTCN mà doanh nghiệp thu thập về họ và cách thông tin đó được sử dụng và chia sẻ; 2 Quyền yêu cầu xóa TTCN đã thu thập (với một số ngoại lệ); 3 Quyền từ chối việc bán hoặc chia sẻ TTCN của họ; 4 Quyền không bị phân biệt đối xử khi thực hiện các quyền theo CCPA; 5 Quyền yêu cầu sửa TTCN không chính xác mà doanh nghiệp có về họ;
6 Quyền hạn chế việc sử dụng và tiết lộ TTCN nhạy cảm được thu thập về họ hoạt động TMĐT, quyền này thường được chính chủ thể cung cấp dịch vụ, nền tảng TMĐT đưa ra xem xét dưới dạng một văn bản quy định về chính sách dữ liệu hoặc chính sách về quyền riêng tư (privacy policy) Chỉ khi đồng ý với chính sách này, ngừoi dùng mới thực sự được tham gia vào hoạt động TMĐT Bởi lẽ, các hoạt động TMĐT cần số lượng dữ liệu nhất định để phục vụ cho quá trình hoạt động của dịch vụ, nền tảng TMĐT, bên cạnh đó, việc yêu cầu cung cấp các dữ liệu này liên quan đến tình trạng nặc danh khi tham gia hoạt động TMĐT, do đó việc yêu cầu này là có cơ sở
Tương tự, tại điều 16 và điều 17 Luật bảo vệ quyền lợi người tiêu dùng năm
2023 cũng quy định về vấn đề đồng ý của người tiêu dùng trong việc các tổ chức, cá nhân kinh doanh thu thập, sử dụng thông tin của họ Nội dung này có nhiều đặc điểm tương đồng với những nội dung quy định tại điều 11, Nghị định số 13/2023/NĐ-CP nhưng có sự khác biệt về phạm vi điều chỉnh và chi tiết Điều 16 và Điều 17 của Luật Bảo vệ quyền lợi người tiêu dùng 2023 tập trung vào việc bảo vệ quyền lợi người tiêu dùng khi tham gia giao dịch và sử dụng sản phẩm, hàng hóa, dịch vụ, bao gồm cả nền tảng số, thông qua các quy định về trách nhiệm của tổ chức, cá nhân kinh doanh trong việc cung cấp thông tin, đảm bảo chất lượng và giải quyết khiếu nại Trong khi đó, Điều
11 của Nghị định số 13/2023/NĐ-CP cụ thể hóa các quy định về bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử, đặc biệt là về bảo vệ thông tin cá nhân và quy trình giải quyết khiếu nại trực tuyến Cả ba điều khoản đều hướng đến mục tiêu chung là bảo vệ quyền lợi người tiêu dùng, nhưng phạm vi và chi tiết thực hiện được thiết kế để phù hợp với từng bối cảnh cụ thể trong giao dịch và sử dụng sản phẩm, dịch vụ
Quyền rút lại sự đồng ý là một nguyên tắc quan trọng trong việc bảo vệ DLCN, được quy định chi tiết trong Nghị định số 13/2023/NĐ-CP của Việt Nam, theo đó: “1 Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý; 2 Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được; 3 Khi nhận yêu cầu rút lại sự đồng ý của CTDL, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý; 4 Sau khi thực hiện quy định tại khoản 2 Điều này, bên kiểm soát dữ liệu, bên xử lý dữ liệu, bên kiểm soát và xử lý dữ liệu, bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý” 36
Cùng nội dung này, GDPR quy định chi tiết và nghiêm ngặt hơn về quyền rút lại sự đồng ý GDPR yêu cầu việc rút lại sự đồng ý phải dễ dàng và đơn giản như khi cho đồng ý ban đầu Các tổ chức phải thông báo rõ ràng cho CTDL về quyền rút lại sự đồng ý và cách thức để thực hiện điều này vào thời điểm thu thập sự đồng ý Hơn nữa, GDPR quy định rằng rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu dựa trên sự đồng ý trước khi rút lại Khi nhận được yêu cầu rút lại sự đồng ý, các tổ chức phải nhanh chóng cập nhật hồ sơ và ngừng xử lý dữ liệu dựa trên sự đồng ý đó 37
Quyền truy cập cho phép CTDL “được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác” 38 Điều này không chỉ giúp họ kiểm tra tính chính xác của dữ liệu mà còn yêu cầu sửa đổi nếu cần thiết Quyền truy cập tăng cường tính minh bạch và giúp CTDL duy trì quyền kiểm soát và quản lý DLCN hiệu quả Tương tự, Luật bảo vệ quyền lợi người tiêu dùng năm 2023 cũng quy định “Người tiêu dùng có quyền yêu cầu tổ chức, cá nhân kinh doanh thực hiện việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao hoặc ngừng chuyển giao thông tin của mình cho bên thứ ba” 39 , quy định này tập trung vào quyền của người tiêu dùng đối với thông tin của mình, trong khi nội dung tại khoản 3, điều 9, Nghị định số 13/2023/NĐ-CP nhấn mạnh khía cạnh bảo vệ dữ liệu cá nhân thông qua việc quy định quyền này của CTDL
GDPR quy định chi tiết các nội dung, cách thức truy cập vào chính xác dữ liệu đó và các thông tin chi tiết về việc sử dụng dữ liệu 40 So với quy định tại Nghị định số 13/2023/NĐ-CP, GPDR bổ sung các nội dung mà CTDL được phép truy cập, bao gồm 41 :
36 Điều 12, Nghị định số 13/2023/NĐ-CP
38 Khoản 3, điều 9, Nghị định số 13/2023/NĐ-CP
39 Khoản 1, điều 20, Luật bảo vệ quyền lợi người tiêu dùng năm 2023
41 the purposes of the processing; the categories of personal data concerned; the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; the right to lodge a complaint with a supervisory authority; where the personal data are not collected from the data subject, any available information as to their source; the existence of automated decision-
Các mục đích của việc xử lý; các loại DLCN có liên quan; chủ thể tiếp nhận hoặc danh mục chủ thể tiếp nhận mà DLCN đã hoặc sẽ được tiết lộ, đặc biệt là chủ thể tiếp nhận ở các quốc gia thứ ba hoặc các tổ chức quốc tế; nếu có thể, thời gian dự kiến mà dữ liệu cá nhân sẽ được lưu trữ, hoặc, nếu không thể, các tiêu chí được sử dụng để xác định thời gian đó; sự tồn tại của quyền yêu cầu từ người kiểm soát dữ liệu việc chỉnh sửa hoặc xóa DLCN hoặc hạn chế việc xử lý DLCN liên quan đến CTDL hoặc phản đối việc xử lý đó; quyền khiếu nại với cơ quan giám sát; DLCN không được thu thập từ CTDL và bất kỳ thông tin nào có sẵn về nguồn gốc của chúng; sự tồn tại của việc ra quyết định tự động, bao gồm việc lập hồ sơ, được đề cập trong khoản 1 và khoản 2 điều 22 của GDPR, trong các trường hợp đó, thông tin mang ý nghĩa liên quan, có tính logic, cũng như tầm quan trọng và hậu quả dự kiến của việc xử lý đó đối với CTDL