Để đạt được mục tiêu trên, Luận văn tập trung thực hiện các nhiệm vụ nghiên cứu sau: Một là, khái quát đặc điểm và khái niệm về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt độngBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAMBẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ THEO PHÁP LUẬT VIỆT NAM
Tính cấp thiết của đề tài
Trong bối cảnh thương mại điện tử Việt Nam bùng nổ, tình trạng vi phạm dữ liệu cá nhân ngày càng phổ biến Nguy cơ lộ thông tin đơn hàng, gồm cả thông tin sản phẩm và thông tin khách hàng như tên, địa chỉ, số điện thoại, đe dọa đến quyền lợi vật chất và sức khỏe của người tiêu dùng, thậm chí có thể bị kẻ xấu lợi dụng trong tương lai Tình trạng mạo danh đặt hàng cũng gây ảnh hưởng đến cả nhà cung cấp và người bị mạo danh Bên cạnh thông tin cá nhân, rủi ro đáng lo ngại nhất là thông tin tài chính, khiến người dùng dễ trở thành mục tiêu của các vụ lừa đảo hoặc bị đánh cắp tài khoản Những vụ việc trên cho thấy mức độ rủi ro cao đối với người tiêu dùng khi tham gia hoạt động thương mại điện tử tại Việt Nam.
Từ 01/7/2023, Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, tuy nhiên Nghị định này chỉ quy định những nội dung cơ bản về việc bảo vệ an toàn dữ liệu, trách nhiệm các bên đối với việc bảo vệ bên cạnh việc quy định về tác động, thủ tục, trình tự của việc chuyển dữ liệu sang nước ngoài Dù vậy, các quy định này này vẫn còn mang tính chung chung, từ đó dẫn đến việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân nói chung và bảo vệ dữ liệu cá nhân trong thương mại điện tử tại Việt Nam còn gặp nhiều hạn chế bởi:
Thứ nhất, quy định về quyền của chủ thể dữ liệu mặc dù đã được đề cập nhưng chưa quy định chi tiết được các nội dung cụ thể về các quyền này;
Thứ hai, việc thực thi các nghĩa vụ của chủ thể cung cấp các thông tin đối với vấn đề thu thập và xử lý DLCN trong hoạt động TMĐT còn chưa hiệu quả
1 Sở Nguyên, Cảnh giác đơn hàng giả đánh cắp thông tin, truy cập , ngày 23/10/2023
2 Gia Hưng, Choáng: Bị người khác dùng thông tin cá nhân để đặt mua hàng trên Facebook, truy cập
, ngày 23/10/2023
3 L Mỹ, Bảo mật dữ liệu trong bối cảnh thanh toán không tiếp xúc gia tăng, truy cập
, ngày 08/11/2023
Thứ ba, sự thiếu hướng dẫn về quy trình cụ thể và thời gian xử lý để thực hiện quyền này dẫn đến sự mơ hồ trong việc thực thi và bảo vệ quyền lợi của CTDL
Thứ tư, pháp luật chưa có cơ chế xử lý cụ thể đối với hành vi xâm phạm an toàn dữ liệu cá nhân mà chỉ mới quy định chung về việc xử lý theo mức độ vi phạm 4
Thứ năm, mức phạt đối với các vấn đề vi phạm đến bảo vệ dữ liệu tại Việt Nam còn thấp, chưa đủ tính răn đe
Từ những nội dung trên, tác giả lựa chọn đề tài “Bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo pháp luật Việt Nam” để đóng góp những kết quả nghiên cứu có được, nâng cao hiệu quả và tính khả thi đối với việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong thương mại điện tử tại Việt Nam.
Mục tiêu của đề tài
Mục tiêu tổng quát
Luận văn được nghiên cứu với mục tiêu làm sáng tỏ những cơ sở lý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam Đồng thời phân tích một số quy định pháp luật hiện hành có liên quan, tình hình thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử, từ đó chỉ ra những điểm hạn chế, bất cập trong các quy định pháp luật và đề xuất các kiến nghị, giải pháp hoàn thiện pháp luật Việt Nam liên quan đến việc bảo vệ dữ liệu cá nhân.
Mục tiêu cụ thể
Để đạt được các mục tiêu trên, luận văn tập trung thực hiện các nhiệm vụ nghiên cứu sau:
Thứ nhất, làm rõ một số vấn đề lý luận về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Thứ hai, phân tích, so sánh, đánh giá những quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo quy định của pháp luật Việt Nam trong sự so sánh với pháp luật một số nước trên thế giới
Thứ ba, phân tích, đánh giá thực trạng pháp luật và thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam Qua đó, phát hiện những hạn chế, bất cập; những khó khăn, vướng mắc; từ đó xác định phương
4 Điều 4, Nghị định số 13/2023/NĐ-CP hướng, đề xuất những giải pháp góp phần hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam.
Câu hỏi nghiên cứu
Câu hỏi nghiên cứu chung
Luận văn “Bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử theo pháp luật Việt Nam” được tiến hành để trả lời cho câu hỏi: Pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử cần phải sửa đổi, bổ sung, hoàn thiện như thế nào để chủ thể dữ liệu và các chủ thể liên quan (chủ thể kiểm soát dữ liệu, chủ thể xử lý dữ liệu và các chủ thể liên quan trong quan hệ pháp luật này) bảo đảm thực hiện pháp luật về bảo vệ dữ liệu cá nhân khi tham gia hoạt động TMĐT.
Câu hỏi nghiên cứu cụ thể
i) Pháp luật hiện hành có tạo điều kiện để đảm bảo thực hiện pháp luật về bảo về dữ liệu cá nhân trong hoạt động mua hàng và thanh toán thông qua các nền tảng thương mại điện tử và các ứng dụng liên kết với nền tảng thương mại điện tử không? ii) Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam làm phát sinh những vướng mắc gì? iii) Pháp luật hiện hành cần phải bổ sung những quy định gì để góp phần bảo đảm việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử?
Phương pháp nghiên cứu
Phương pháp phân tích
Phương pháp này được sử dụng chủ yếu trong cả luận văn Phương pháp phân tích được sử dụng để phân tích, bình luận, đánh giá và làm sáng tỏ những vấn đề lý luận về bảo vệ DLCN trong hoạt động TMĐT Phân tích các quy định pháp luật liên quan đến bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam và một số quốc gia khác để phát hiện những khó khăn mà nhà lập pháp mong muốn giải quyết.
Phương pháp tổng hợp
Trên cơ sở đó, phương pháp tổng hợp được sử dụng nhằm đưa ra những nhận định, rút ra các kết luận, đề xuất các ý kiến hoàn thiện pháp luật và các giải pháp nhằm hoàn thiện các quy định về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam.
Phương pháp so sánh luật học
Phương pháp này được áp dụng như một công cụ để so sánh, đối chiếu và đánh giá các quan điểm khoa học trong phần tổng quan về vấn đề nghiên cứu Tác giả so sánh, đối chiếu các quy định pháp luật về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam qua các giai đoạn phát triển khác nhau Thông qua đó sẽ nhận thấy được sự thay đổi, sự phát triển tích cực của pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam qua thời gian
Hơn nữa, phương pháp này cũng được sử dụng để so sánh các quy định pháp luật về bảo vệ DLCN trong hoạt động TMĐT tại Việt Nam với các quốc gia khác trên thế giới, từ đó xác định sự tương đồng và khác biệt giữa các hệ thống pháp luật được so sánh và hiểu rõ hơn về hệ thống pháp luật của Việt Nam Phương pháp này nhận diện các hạn chế hiện tại và sử dụng kinh nghiệm quốc tế để đề xuất các giải pháp pháp lý về vấn đề bảo vệ DLCN.
Phương pháp lịch sử
Phương pháp lịch sử là công cụ chính hỗ trợ chương 1 trong công tác tổng hợp và khai thác dữ liệu về quá trình hình thành và tiến hóa của cơ sở lý luận bảo vệ dữ liệu cá nhân Phương pháp này tiến hành rà soát các quy định pháp luật về bảo vệ dữ liệu cá nhân theo dòng chảy lịch sử, theo dõi những thay đổi của các quy định này cho đến hiện tại và tổng hợp các nghiên cứu trước đó Nhờ đó, phương pháp cung cấp cái nhìn toàn cảnh, trực quan về vấn đề nghiên cứu, giúp tác giả nhận diện những mặt còn khiếm khuyết của vấn đề nghiên cứu nhằm thúc đẩy nghiên cứu và đề xuất những kiến nghị hoàn thiện hệ thống pháp luật điều chỉnh việc bảo vệ dữ liệu cá nhân.
Tuy nhiên, việc cụ thể hóa các phương pháp nghiên cứu như trên chỉ mang tính chất tương đối bởi trong luận văn của mình, tùy vấn đề, nội dung nghiên cứu mà tác giả thường đan xen, kết hợp các phương pháp nghiên cứu nhằm đạt được mục đích, nhiệm vụ nghiên cứu của mình.
Nội dung nghiên cứu
Luận văn tập trung nghiên cứu các vấn đề lý luận về bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan, cụ thể như sau:
- Lý luận dữ liêu cá nhân và bảo vệ dữ liệu cá nhân trong TMĐT tại Việt Nam - Các quy định của pháp luật Việt Nam và một số quốc gia trên thế giới liên quan đến bảo vệ dữ liệu cá nhân
- Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam
- Giải pháp hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam.
Đóng góp của đề tài
Đóng góp lý luận
Luận văn làm sâu sắc hơn những lý luận về bảo vệ dữ liệu cá nhân và pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam như: Khái niệm, đặc điểm dữ liệu cá nhân, bảo vệ bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử và ý nghĩa của việc bảo vệ dữ liệu cá nhân trong TMĐT tại Việt Nam; làm rõ những yếu tố tác động đến hoạt động thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong TMĐT ở Việt Nam Luận văn là công trình nghiên cứu tương đối hệ thống và toàn diện lý luận về đề bảo vệ dữ liệu cá nhân, làm cơ sở cho việc luận giải những điểm hạn chế và vướng mắc của pháp luật với vấn đề bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam, đưa ra kiến nghị xây dựng và hoàn thiện một cách thuyết phục và đáng tin cậy.
Đóng góp thực tiễn
Luận văn phân tích được thực trạng thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam Đối chiếu với những kinh nghiệm nước ngoài, luận văn chỉ ra được những ưu điểm và hạn chế của pháp luật Việt Nam và tiếp thu những kinh nghiệm có giá trị thi hành đối với thực tiễn thực hiện pháp luật tại Việt Nam trong vấn đề bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Luận văn đưa ra được một số kiến nghị hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam, đồng thời mang lại giá trị tham khảo cho các cơ quan lập pháp trong quá trình nghiên cứu và hoàn thiện những quy định pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử, làm nguồn tài liệu phục vụ cho quá trình dạy, học, các hoạt động nghiên cứu pháp luật về bảo vệ DLCN trong hoạt động thương mại điện tử nói riêng và bảo vệ DLCN tại Việt Nam nói chung.
Tổng quan về lĩnh vực nghiên cứu
Vấn đề về bảo vệ dữ liệu cá nhân nhận được nhiều sự quan tâm và đã được nghiên cứu bởi nhiều tác giả Trong quá trình nghiên cứu nội dung trên, tác giả nhận thấy một số công trình nổi bật, có sự liên quan mật thiết đến đề tài và có nhiều giá trị tham khảo, cụ thể như sau:
Maria Tzanou (2013), Data protection as a fundamental right next to privacy?
“Reconstructing” a not so new right, International Data Privacy Law, Vol 3, No 2
(Tạm dịch: Bảo vệ dữ liệu như một quyền cơ bản bên cạnh quyền riêng tư? “Thiết lập lại” một quyền không quá mới) Bài viết đề cập đến việc khó để làm bật lên khái niệm về bảo vệ dữ liệu khi nội dung này luôn được xem xét song song với quyền riêng tư
Tuy nhiên, kể từ 01/12/2009, quyền này đã trở thành một quyền cơ bản trong trật tự pháp lý của EU 5 , cùng với quyền riêng tư Bên cạnh thảo luận về những thiếu sót của các lý thuyết hiện tại và án lệ hiện hành của Tòa án Công lý Châu Âu (European Court of Justice) về bảo vệ dữ liệu, tác giả cũng cho rằng hoạt động bảo vệ dữ liệu nên được
Để chính thức công nhận "tái cấu trúc", cần đáp ứng hai điều kiện: thừa nhận bản chất của quyền bảo vệ dữ liệu và xác định hành vi vi phạm bảo vệ dữ liệu dựa trên các nguyên tắc liên quan, không phụ thuộc vào quyền riêng tư Theo đó, tác giả đề xuất xem xét dữ liệu cá nhân là đối tượng sở hữu để tái cấu trúc các quy định liên quan, tránh sự chi phối của các quy định về quyền riêng tư Hướng tiếp cận này mang tính thực tiễn do dữ liệu có giá trị và gây thiệt hại nếu không được sử dụng đúng mục đích, giống với tài sản.
Nguyễn Việt Hà (2016), Pháp luật Việt Nam về Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Luận văn Thạc sĩ-Khoa Luật, Đại học Quốc gia Hà Nội Luận văn đặt ra vấn đề tìm hiểu trách nhiệm của các bên trong việc thu thập, xử lý, bảo vệ và chuyển giao dữ liệu của các chủ thể tham gia vào thương mại điện tử
Tác giả đã đưa ra được nguyên nhân dẫn đến những khó khăn tồn đọng, đa phần đến từ nhận thức của các chủ thể về vấn đề bảo vệ các thông tin này, nguồn nhân lực và cơ sở vật chất dành riêng cho công tác này chưa thực sự được đầu tư kỹ càng Đối với các quy định pháp luật, tác giả cũng cho rằng “việc một hành vi vi phạm lại có thể thuộc thẩm quyền xử lý của nhiều cơ quan nhà nước khác nhau trên thực tế, chưa chắc là một giải
5 Treaty of Lisbon, 2007 pháp hợp lý, bởi nếu các cơ quan này không phối hợp chặt chẽ với nhau hoặc không có sự phân định nhiệm vụ, quyền hạn rõ ràng, có thể sẽ dẫn đến tình trạng hoặc buông lỏng quản lý, hoặc chồng chéo khi xử lý vi phạm, từ đó cũng sẽ dễ dẫn đến việc không bảo đảm được quyền lợi của người tiêu dùng do các cơ quan này đùn đẩy trách nhiệm hoặc không thống nhất về cách thức xử lý vi phạm 6 ” Luận văn trên chỉ ra một vấn đề pháp luật Việt Nam còn chưa quy định rõ ràng: Chủ thể và trách nhiệm của chủ thể xử lý các tranh chấp liên quan đến vấn đề bảo mật dữ liệu cá nhân Nội dung này được tác giả luận văn kế thừa và phân tích trong chương 2 của luận văn nhằm làm nổi bật sự cần thiết quy định một chủ thể chuyên trách cho vấn đề quản lý và xử lý các tranh chấp liên quan
Bài viết của Lê Văn Thiệp (2016) trong Tạp chí Pháp luật và Kinh tế nêu bật tầm quan trọng của việc bảo vệ người tiêu dùng trong thương mại điện tử Tác giả nhấn mạnh sự liên quan của bên thứ ba trong bảo vệ dữ liệu người tiêu dùng khi ký kết hợp đồng từ xa Bài viết đề xuất cần ban hành các quy định mới phù hợp với thực tiễn để hoàn thiện chương 2 luận văn.
Nguyễn Thị Thu Vân (2017), Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng công nghiệp 4.0, Tạp chí Dân chủ & Pháp luật, số 10 (307), trang 3-7 Bài viết mô tả một số thách thức trong bối cảnh chuyển đổi số tại Việt Nam, từ đó khái quát được những rủi ro, nguy cơ cho các nhà làm luật Thông qua bài viết, tác giả luận văn nhận thấy được thêm nhiều nguy cơ có liên quan đến vấn đề an toàn của dữ liệu cá nhân, từ đó hoàn thiện nên lý luận về bảo vệ dữ liệu cá nhân tại chương 1 của luận văn
Nguyễn Hồng Quân (2018), Trách nhiệm xã hội của các doanh nghiệp số đối với vấn đề bảo vệ dữ liệu cá nhân khách hàng trong kỷ nguyên 4.0: Nhìn từ khía cạnh pháp lý và thực thi, Tạp chí Kinh tế Đối ngoại, số 102 (1/2018), trang 104-117 Bài viết làm bật lên được các khía cạnh cần được đảm bảo trong việc bảo vệ thông tin khách hàng mà các doanh nghiệp có khả năng thực hiện Đồng thời hệ thống lại những quy định về giám sát, chế tài có liên quan đến hành vi thu thập, lưu trữ, huỷ bỏ và trách nhiệm các bên trong việc bảo đảm an toàn thông tin, DLCN và các thông tin của chủ thể
6 Nguyễn Việt Hà (2016), Pháp luật Việt Nam về Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, Luận văn Thạc sĩ, Đại học Quốc gia Hà Nội-Khoa Luật tham gia Song song, tác giả cũng nêu lên quan điểm về tính xuyên biên giới của các hoạt động thương mại điện tử cũng cần phải có những quy định điều chỉnh riêng biệt và đưa ra các kiến nghị hoàn thiện Bài viết cung cấp thêm nguồn tư liệu có giá trị tham khảo, phục vụ cho quá trình làm rõ những lý luận về việc bảo vệ dữ liệu cá nhân và giúp tác giả có cái nhìn tổng quan về các quy định pháp luật điều chỉnh vấn đề trên, những giá trị này được tác giả luận văn sử dụng trong chương 1 và chương 2 của bài
Nguyễn Hương Ly (2020), Pháp luật hiện hành của Việt Nam về bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư, https://nacis.gov.vn/nghien-cuu-trao-doi/-/view- content/214123/phap-luat-hien-hanh-cua-viet-nam-ve-bao-ve-du-lieu-thong-tin-ca- nhan-va-quyen-rieng-tu Bài viết khái quát được hệ thống pháp luật Việt Nam điều chỉnh vấn đề an toàn thông tin, dữ liệu Qua đó phân tích những điểm phù hợp và những vướng mắc trong quá trình thực thi pháp luật, đề xuất những kiến nghị thông qua việc tiếp thu những quy định về bảo vệ dữ liệu cá nhân tại một số quốc gia Tác giả luận văn sử dụng các phân tích trong bài viết trên làm cơ sở cho việc nghiên cứu và kế thừa những kết quả phân tích liên quan đến hoàn thiện những quy định pháp luật trong bài để phục vụ cho việc hoàn thiện chương 2 cho luận văn này
Bài viết đề cập đến nhu cầu cải cách pháp luật về bảo vệ dữ liệu cá nhân (DLCN) trong bối cảnh chuyển đổi số khi khoa học công nghệ phát triển mạnh mẽ Các tác giả chỉ ra tình trạng dữ liệu cá nhân bị thu thập và sử dụng tràn lan mà không có sự đồng thuận từ cá nhân đang làm xâm phạm quyền riêng tư của họ Để giải quyết vấn đề, bài viết nhấn mạnh đến sự cần thiết phải xây dựng một khuôn khổ pháp luật thống nhất về bảo vệ DLCN, bao gồm việc công nhận quyền nhân thân của cá nhân và xây dựng hệ thống quyền, nghĩa vụ cụ thể trong các mối quan hệ xử lý dữ liệu, đảm bảo sự bình đẳng giữa các bên.
Nguyễn Quang Đồng, Nguyễn Lan Phương (2021), Dòng chảy dữ liệu cá nhân xuyên biên giới: Thực trạng và khuyến nghị chính sách, Tạp chí Khoa học và Công nghệ
Việt Nam, số 10 năm 2021, trang 16-18 Bài viết nêu lên thực trạng của Việt Nam khi nằm trong nhóm có khối lượng chuyển dữ liệu xuyên biên giới đứng đầu thế giới, qua đó đề xuất xây dựng các quy định cụ thể đối với vấn đề này, chú trọng khuyến khích các doanh nghiệp tuân thủ và nâng cao các tiêu chuẩn về bảo đảm an toàn dữ liệu, khuyến khích tham gia vào các khuôn khổ pháp lý xuyên quốc gia để nâng cao hiệu quả thi hành pháp luật, đặc biệt đối với các chủ thể cung cấp các dịch vụ trực tuyến xuyên biên giới bên cạnh việc giới hạn và đặt ra các yêu cầu pháp lý cụ thể đối với nhóm dữ liệu nhạy cảm, quy định thêm về trách nhiệm giải trình đối với hành vi chuyển dữ liệu ra khỏi biên giới, đồng thời vẫn thúc đẩy được dòng chảy dữ liệu xuyên biên giới thông suốt để phục vụ cho phát triển nền kinh tế số Tuy nhiên, nội dung những đề xuất của tác giả vẫn còn chưa cụ thể, đặc biệt đối với vấn đề an toàn dữ liệu bên ngoài biên giới, do đó vấn đề này cần được quy định cụ thể trong hệ thống pháp luật Việt Nam, đây là nội dung tác giả luận văn sẽ đề cập tại chương 2 - Hoàn thiện những quy định pháp luật liên quan
Nguyễn Thị Long (2022), Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong thời kỳ hội nhập, Tạp chí Khoa học kiểm soát, số 03/2022, trang 30-38 Có nét tương đồng với Nguyễn Hương Ly (2020), Pháp luật hiện hành của Việt Nam về bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư, bài viết nêu bật được những tồn tại có thể nhận thấy trong quy định của pháp luật hiện hành, đặc biệt nhấn mạnh đến việc những quy định này nằm rải rác ở nhiều nơi và chưa được tập trung tại một văn bản cụ thể, duy nhất Bên cạnh đó, bài viết còn đặt vấn đề về việc có một quy định cụ thể về bảo vệ dữ liệu và xem xét dữ liệu cá nhân dưới hình thức quyền tài sản Như tác giả luận văn đã đề cập phía trên, hướng tiếp cận này mang lại nhiều giá trị thực tiễn, đồng thời là nguồn dữ liệu quan trọng để tác giả hoàn thành việc nghiên cứu cơ sở lý luận về bảo vệ dữ liệu cá nhân trong luận văn này
Bố cục tổng quát của Luận văn
Ngoài phần mở đầu, kết luận, danh mục tài liệu tham khảo, luận văn được trình bày bằng 02 chương với các nội dung cụ thể như sau:
Chương 1: Những vấn đề lý luận về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Luật bảo vệ dữ liệu cá nhân Việt Nam còn nhiều bất cập, chưa phù hợp với thực tiễn thương mại điện tử Trong thực tế, việc thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực này cũng gặp nhiều khó khăn Để khắc phục tình trạng này, Việt Nam cần hoàn thiện pháp luật, tăng cường tuyên truyền, nâng cao nhận thức của người dân về quyền bảo vệ dữ liệu cá nhân và các doanh nghiệp cần thực hiện nghiêm túc nghĩa vụ của mình.
NHỮNG VẤN ĐỀ LÝ LUẬN VỀ DỮ LIỆU CÁ NHÂN VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ
Khái quát về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
1.1.1 Khái niệm và đặc điểm của dữ liệu cá nhân
Từ điển Tiếng Việt định nghĩa “dữ liệu là số liệu, tư liệu đã có, được dựa vào để giải quyết một vấn đề” 7 Theo đó, dữ liệu là thuật ngữ mô tả những thông tin, dấu hiệu cụ thể được thu thập, xử lý, lưu trữ Với từng nhu cầu cụ thể, dữ liệu được thu thập có thể là những số liệu, văn bản, hình ảnh, âm thanh, video, hoặc bất kỳ loại thông tin nào khác có thể được biểu diễn dưới dạng kỹ thuật số hoặc tương tự nhằm mục đích phân tích, đưa ra quyết định, hoặc truyền đạt thông tin
Có thể nhận thấy khái niệm dữ liệu có nhiều nét tương đồng, có sự quan hệ chặt
Theo Trung tâm Từ điển học (2003), thông tin và tri thức có mối quan hệ chặt chẽ, phụ thuộc lẫn nhau.
Dữ liệu là các số liệu, tư liệu ở dạng thô, không mang nhiều ý nghĩa cụ thể, có thể là các con số, ký tự, hình ảnh, âm thanh, video và nhiều dạng khác Thông qua việc xử lý, phân tích và hiểu biết, dữ liệu trở thành thông tin có giá trị Thông tin mang lại kiến thức, hiểu biết hoặc sự nhận thức về một vấn đề cụ thể và có thể được sử dụng để đưa ra quyết định hoặc thực hiện các hoạt động khác Như vậy, thông tin và dữ liệu là hai khái niệm không thể tách rời trong nhiều trường hợp, và mối quan hệ giữa chúng là một quá trình chuyển đổi từ dữ liệu chưa qua xử lý sang thông tin có ý nghĩa và giá trị
Liên quan đến các khái niệm trên, một số văn bản quy phạm pháp luật cũng đã đề cập, chẳng hạn: Luật Giao dịch điện tử năm 2023 định nghĩa “Dữ liệu là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự khác” 8 , hay Luật Tiếp cận thông tin năm 2016 định nghĩa “Thông tin là tin, dữ liệu được chứa đựng trong văn bản, hồ sơ, tài liệu có sẵn, tồn tại dưới dạng bản viết, bản in, bản điện tử, tranh, ảnh, bản vẽ, băng, đĩa, bản ghi hình, ghi âm hoặc các dạng khác do cơ quan nhà nước tạo ra” 9
Như vậy, khái niệm về dữ liệu và khái niệm thông tin có một số điểm tương đồng:
Đầu tiên, đều chứa đựng những số liệu, tư liệu mà thông qua đó người ta có thể nhận biết và xác định được các sự vật và hiện tượng liên quan đến một chủ thể nhất định.
Những thông tin này cung cấp cái nhìn chi tiết, cụ thể về bản chất, đặc điểm và mối quan hệ của các yếu tố với chủ thể đó
Thứ hai, những dữ liệu này được tiến hành thu thập và xử lý nhằm phục vụ mục đích cụ thể;
Thứ ba, chúng tồn tại ở nhiều hình thức khác nhau, bao gồm văn bản, âm thanh, hình ảnh, các bản ghi, …
Trong đời sống xã hội, dữ liệu liên quan đến một cá nhân rất đa dạng Do đó, việc xác định chính xác dữ liệu cá nhân có ý nghĩa rất quan trọng Làm cơ sở xác định phạm vi nghĩa vụ và trách nhiệm của các chủ thể trong các hoạt động liên quan sau này
Tại các quốc gia và khu vực, khái niệm DLCN có thể được hiểu là “bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (data subject - chủ thể dữ
8 Khoản 6 điều 3, Luật Giao dịch điện tử năm 2023
9 Khoản 2 Điều 1, Luật Tiếp cận thông tin năm 2016 liệu)” 10 Dưới góc độ pháp lý, luật pháp một số nước đã ghi nhận khái niệm này như sau: Theo Điều 4.1 Quy định chung về bảo vệ dữ liệu năm 2016 của châu Âu (General Data Protection
Regulation - GDPR), dữ liệu cá nhân là “bất kỳ thông tin nào liên quan đến một chủ thể dữ liệu (data subject) đã được nhận định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, sinh thực, tâm lý, kinh tế, văn hoá, hoặc xã hội” 11
Hay theo Điều 2.1 Luật Bảo vệ Dữ liệu cá nhân Singapore (PDPA) năm 2012,
Dữ liệu cá nhân là bất kỳ dữ liệu nào, dù đúng hay sai, liên quan đến một cá nhân và có thể được sử dụng để nhận dạng cá nhân đó Các dữ liệu này bao gồm thông tin về danh tính, đặc điểm, đặc điểm thể chất, mối quan hệ, tình trạng kinh tế, sức khỏe, giáo dục, lịch sử làm việc, thói quen, sở thích và quan điểm chính trị của cá nhân Dữ liệu cá nhân cũng có thể bao gồm thông tin về hoạt động trực tuyến của cá nhân, chẳng hạn như thông tin duyệt web, tương tác trên mạng xã hội, vị trí và sở thích mua sắm Các tổ chức có thể có quyền truy cập vào dữ liệu cá nhân này thông qua nhiều phương tiện khác nhau, bao gồm thông tin đăng ký khách hàng, hoạt động trên trang web và hồ sơ mua hàng.
Khái niệm DLCN đã xuất hiện và được đề cập trong các văn bản quy phạm pháp luật với tên gọi thông tin riêng hay TTCN như: Luật Công nghệ thông tin 2006 hay Luật Viễn thông năm 2009 Theo đó, thông tin riêng là “thông tin riêng liên quan đến người sử dụng dịch vụ viễn thông, bao gồm tên, địa chỉ, số máy gọi, số máy được gọi, vị trí máy gọi, vị trí máy được gọi, thời gian gọi và thông tin riêng khác mà người sử dụng đã cung cấp khi giao kết hợp đồng với doanh nghiệp” Đến Nghị định số 64/2007/NĐ-CP về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước mới quy định TTCN là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu
Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác” 12 Tiếp đó, Nghị định số 52/2013/NĐ-CP về Thương mại điện tử cũng định nghĩa TTCN là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại,
10 OECD (2001), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, truy cập , ngày 08/11/2023
11 “personal data” means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person
12 Khoản 5 Điều 3, Nghị định số 64/2007/NĐ-CP thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật” 13 Nghị định số 72/2013/NĐ-CP về Quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng cũng đề cập đến thuật ngữ TTCN “là thông tin gắn liền với việc xác định danh tính, nhân thân của cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa chỉ thư điện tử và thông tin khác theo quy định của pháp Luật” Thuật ngữ TTCN lần đầu tiên được được giải thích bởi một đạo luật là “thông tin gắn với việc xác định danh tính của một người cụ thể” trong khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015
Tổng quan pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
1.2.1 Khái quát về pháp luật bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Pháp luật là hệ thống quy tắc ứng xử bắt buộc được Nhà nước ban hành hoặc thừa nhận, điều chỉnh hành vi của các chủ thể trong xã hội nhằm đảm bảo công bằng và trật tự Mục đích chính của pháp luật là ngăn ngừa các hành vi vi phạm an toàn xã hội, quy định và điều chỉnh các mối quan hệ xã hội nhằm mang lại sự công bằng.
Trong một quan hệ xã hội, khi không có sự can thiệp và điều chỉnh của pháp luật có thể mang lại nhiều hệ quả khôn lường, pháp luật được ban hành nhằm mục tiêu định hướng và bảo vệ những bên yếu thế trong các quan hệ xã hội, thiết lập cơ chế xử phạt đối với những hành vi vi phạm đến quyền và lợi ích của cá nhân, tổ chức, qua đó duy trì và bảo vệ trật tự, kỷ cương xã hội, đảm bảo sự công bằng và bình đẳng giữa các chủ thể với nhau
Pháp luật là công cụ quản lý của nhà nước thể hiện ý chí của nhà nước, do nhà nước ban hành hoặc thừa nhận, có hiệu lực bắt buộc chung, được nhà nước đảm bảo thực hiện Trong trường hợp pháp luật bị vi phạm, nhà nước sẽ áp dụng các biện pháp cưỡng chế.
Trong thời đại kỹ thuật số phát triển, thương mại điện tử đã chiếm ưu thế, chính vì thế, vấn đề về an toàn dữ liệu dần trở thành một trong những chủ đề được thảo luận
Sau khi DLCN được thu thập, CTDL khó kiểm soát được quá trình xử lý và chia sẻ
23 Đào Trí Úc (2020), Mối liên hệ Nhà nước và pháp luật trong thời đại ngày nay và sự nhìn nhận mới về hệ thống pháp luật, Kỷ yếu khoa học hội thảo cấp Bộ, Trường Đại học Luật Hà Nội, tr.1-2
DLCN của mình, khi đó, chủ thể kiểm soát dữ liệu cá nhân, chủ thể xử lý dữ liệu cá nhân và các chủ thể liên quan đăng ký, tuyên bố về xử lý DLCN phải bảo vệ DLCN khỏi việc truy cập trái phép hoặc bị lạm dụng bởi các chủ thể không được phép bên thứ ba trong hoạt động TMĐT này Do đó cần đó một khuôn khổ pháp lý chặt chẽ để điều chỉnh các hoạt động trên
Pháp luật về bảo vệ DLCN trong hoạt động TMĐT là lĩnh vực pháp luật điều chỉnh mối quan hệ giữa các chủ thể tham gia vào hoạt động TMĐT với nhau, giữa các chủ thể tham gia với chủ thể kiểm soát dữ liệu cá nhân, chủ thể xử lý dữ liệu cá nhân và các chủ thể liên quan đăng ký, tuyên bố về xử lý DLCN do Nhà nước ban hành hoặc thừa nhận, quy định các nội dung về quyền và nghĩa vụ bảo vệ DLCN
Pháp luật về bảo vệ DLCN khái quát những quyền và nghĩa vụ đối với các chủ thể trong quan hệ TMĐT, đồng thời đặt ra những trách nhiệm và giới hạn cụ thể cho từng chủ thể tham gia vào hoạt động này
Pháp luật về bảo vệ dữ liệu cá nhân (DLCN) trong thương mại điện tử (TMĐT) quy định rõ ràng phạm vi DLCN cần thu thập và xử lý nhằm bảo vệ quyền lợi và quyền riêng tư của chủ thể dữ liệu cá nhân (CTDL) Mặt khác, pháp luật cũng quy định biện pháp chế tài đối với bên vi phạm bảo vệ DLCN trong TMĐT, đồng thời đưa ra biện pháp khắc phục hậu quả để đảm bảo chủ thể vi phạm thực hiện trách nhiệm khắc phục hậu quả và chịu trách nhiệm tương ứng liên quan đến việc bảo vệ DLCN trong TMĐT.
1.2.2 Vai trò pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử
Với mục tiêu xây dựng một khuôn khổ pháp lý về hoạt động bảo vệ DLCN trong hoạt động TMĐT, pháp luật về lĩnh vực này bao gồm các nội dung cơ bản như sau:
Thứ nhất, pháp luật về bảo vệ DLCN trong TMĐT đã tạo lập được hành lang pháp lý cho các chủ thể tham gia hoạt động TMĐT thực hiện các quyền và nghĩa vụ của mình
Khi tham gia vào hoạt động TMĐT, DLCN của NTD rất đa dạng, được tổ chức, cá nhân kinh doanh thu thập, sử dụng, lưu trữ, chuyển giao nhằm phục vụ nhiều mục đích khác nhau như: hoàn thành giao dịch, thanh toán, cung cấp các dịch vụ đi kèm sau bán hàng, xúc tiến thương mại, khảo sát ý kiến, …, đây là một tài sản rất quý giá và quan trọng đối với tổ chức, cá nhân kinh doanh Như vậy, khi thu thập DLCN của NTD, chủ thể xử lý dữ liệu, chủ thể kiểm soát dữ liệu phải có nghĩa vụ thực hiện các quy trình tiếp nhận, xử lý và các biện pháp kỹ thuật sau quá trình xử lý đúng quy định và đúng phạm vi trách nhiệm của mình 24 , kết hợp các biện pháp an toàn, bảo mật phù hợp để bảo vệ DLCN của người tiêu dùng TMĐT, đồng thời bảo đảm các quyền của chủ thể dữ liệu 25
Các chủ thể khi tham gia vào hoạt động TMĐT rất đa dạng, trong đó chủ thể cung cấp nền tảng, chủ thể xử lý dữ liệu, các bên trực tiếp tham gia vào việc mua bán hàng hóa dịch vụ, bên thực hiện thanh toán, giao nhận hàng hóa, TMĐT là một quy trình mà ở đó nhiều chủ thể tương tác, phát sinh quyền và nghĩa vụ với nhau Việc phát sinh quyền và nghĩa vụ này đòi hỏi sự can thiệp của pháp luật nhằm đảm bảo tính tuân thủ, thực thi của pháp luật đối với quyền và nghĩa vụ của các bên về bảo vệ DLCN trong hoạt động TMĐT Ví dụ, khi thực hiện một giao dịch mua hàng trên website bán hàng, cá nhân tham gia vào hoạt động này cần cung cấp một số thông tin cơ bản để phục vụ quá trình đặt hàng, vận chuyển và thanh toán, điều này phát sinh trách nhiệm bên bán hàng bảo vệ các dữ liệu được cung cấp Không chỉ thế, khi tiến hành quá trình thanh toán, các DLCN có liên quan như thông tin về chủ thể thực hiện thanh toán, hình thức thanh toán, các thông tin liên quan như mã số thẻ, mã bảo mật, cũng cần được bảo vệ, lúc này sẽ phát sinh trách nhiệm của bên cung cấp dịch vụ thanh toán đối với bên bán hàng, tức trách nhiệm của một bên thứ ba tham gia vào quan hệ mua - bán hàng hóa giữa hai chủ thể ban đầu Đối với mỗi quá trình được diễn ra, sẽ có ít nhất hai chủ thể tham gia và chịu trách nhiệm đối với việc bảo vệ DLCN của chủ thể tham gia vào hoạt động TMĐT Pháp luật về bảo vệ DLCN khái quát những quyền đối với dữ liệu và nghĩa vụ của các bên tham gia Theo quy định tại điều 4, Nghị định số 52/2013/NĐ-CP, các chủ
24 Điều 39, điều 40, Nghị định số 13/2023/NĐ-CP
25 Tổ chức, cá nhân kinh doanh bị nghiêm cấm thực hiện các hành vi sau đây:
Thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng trái quy định của pháp luật thể trên không được phép “đánh cắp, sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức, cá nhân khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan, trừ trường hợp pháp luật có quy định khác” Trên cơ sở bảo vệ lợi ích của Nhà nước, lợi ích công cộng, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân 26 và việc xác định cụ thể các yếu tố như: giới hạn thu thập dữ liệu, phương thức xử lý dữ liệu, chủ thể chia sẻ, được chia sẻ DLCN, pháp luật về bảo vệ DLCN trong hoạt động TMĐT đã đặt ra những trách nhiệm và giới hạn cụ thể cho từng chủ thể tham gia vào hoạt động này Việc đặt ra giới hạn về thu thập dữ liệu nhằm mục đích hạn chế những DLCN không cần thiết được thu thập và xử lý cho những mục đích không chính đáng, bên cạnh đó, việc cho phép một số chủ thể xác định có liên quan truy cập vào DLCN sẽ hạn chế được nguy cơ xâm phạm DLCN bởi việc này được thực hiện trên cơ chế đảm bảo an toàn dữ liệu và các cam kết trước đó về việc truy cập, xử lý và sử dụng DLCN của khách hàng
Thứ hai, pháp luật về bảo vệ DLCN trong TMĐT đã quy định phạm vi DLCN cần được được thu thập và xử lý
Các dữ liệu phát sinh trong hoạt động TMĐT rất đa dạng, gồm các dữ liệu cơ bản như thông tin định danh, ngày sinh, giới tính, số điện thoại, và dữ liệu nhạy cảm như thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về giao dịch, 27
THỰC TRẠNG PHÁP LUẬT, THỰC TIỄN THỰC HIỆN PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ Ở VIỆT NAM VÀ GIẢI PHÁP HOÀN THIỆN
Thực trạng pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam
2.1.1 Quy định pháp luật về quyền của chủ thể dữ liệu trong hoạt động thương mại điện tử
Nghị định số 13/2023/NĐ-CP/NĐ-CP quy định chi tiết về bảo vệ DLCN, trong đó bao gồm 11 quyền cơ bản của CTDL Những quyền này nhằm đảm bảo sự minh bạch, an toàn và bảo vệ quyền lợi cá nhân trong quá trình thu thập và xử lý DLCN
Quyền được biết của CTDL là một trong những quyền cơ bản được quy định trong nhiều khung pháp lý quốc tế về bảo vệ DLCN, nhằm đảm bảo rằng người dùng biết về việc thu thập, sử dụng và xử lý dữ liệu của họ Quyền này đóng vai trò quan trọng trong việc bảo vệ quyền riêng tư và nâng cao tính minh bạch trong hoạt động xử lý dữ liệu Trong hoạt động TMĐT, quyền được biết là yếu tố quan trọng nhằm bảo vệ quyền lợi và xây dựng niềm tin vào thị trường trực tuyến Người tiêu dùng có quyền biết về các chính sách bảo vệ người tiêu dùng, như hoàn trả, đổi trả, và bảo hành đặc biệt là bảo vệ thông tin của người tiêu dùng 32 Đây là một quyền quan trọng khác, yêu cầu các doanh nghiệp TMĐT phải bảo mật dữ liệu và chỉ sử dụng thông tin cá nhân cho các mục đích đã được người tiêu dùng đồng ý Cuối cùng, người tiêu dùng cũng có quyền được thông báo về bất kỳ thay đổi nào trong chính sách hoặc điều khoản sử dụng mà có thể ảnh hưởng đến họ Tất cả những quyền này giúp người tiêu dùng an tâm hơn khi mua sắm trực tuyến và yêu cầu các doanh nghiệp phải hoạt động minh bạch, tuân thủ quy định về bảo vệ người tiêu dùng
So sánh các quy định quốc tế như GDPR hay Đạo luật Bảo vệ Quyền riêng tư của người tiêu dùng California (CCPA) 33
Theo Quy định chung về bảo vệ dữ liệu (GDPR), quyền được biết được xác định cụ thể và chi tiết Khi thu thập dữ liệu cá nhân, tổ chức phải cung cấp cho chủ thể dữ liệu thông tin về danh tính và chi tiết liên hệ của người xử lý dữ liệu, mục đích xử lý, cơ sở pháp lý cho việc xử lý và các quyền của chủ thể dữ liệu, bao gồm quyền truy cập, chỉnh sửa và xóa dữ liệu Ngoài ra, GDPR yêu cầu tổ chức phải thông báo cho chủ thể dữ liệu về bất kỳ việc chuyển giao dữ liệu nào cho bên thứ ba và các biện pháp bảo mật được áp dụng để bảo vệ dữ liệu đó.
Tương tự, CCPA yêu cầu các doanh nghiệp phải thông báo cho người tiêu dùng tại thời điểm hoặc trước khi thu thập DLCN Thông báo này phải bao gồm các loại dữ liệu được thu thập, mục đích, lý do sử dụng, chia sẻ, bán dữ liệu, và các quyền của người tiêu dùng theo CCPA 35
Quyền đồng ý đảm bảo rằng việc xử lý dữ liệu chỉ được thực hiện khi có sự chấp thuận rõ ràng và tự nguyện từ CTDL Trước khi thu thập và xử lý DLCN, các tổ chức phải hỏi ý kiến và nhận được sự đồng ý của CTDL, trừ những trường hợp đặc biệt do pháp luật quy định Trong hoạt động TMĐT, tại thời điểm truy cập và tham gia vào
32 Điều 15, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023
35 Các quyền của người tiêu dùng theo CCPA, bao gồm các sửa đổi bởi CPRA, là: 1 Quyền được biết về TTCN mà doanh nghiệp thu thập về họ và cách thông tin đó được sử dụng và chia sẻ; 2 Quyền yêu cầu xóa TTCN đã thu thập (với một số ngoại lệ); 3 Quyền từ chối việc bán hoặc chia sẻ TTCN của họ; 4 Quyền không bị phân biệt đối xử khi thực hiện các quyền theo CCPA; 5 Quyền yêu cầu sửa TTCN không chính xác mà doanh nghiệp có về họ;
6 Quyền hạn chế việc sử dụng và tiết lộ TTCN nhạy cảm được thu thập về họ hoạt động TMĐT, quyền này thường được chính chủ thể cung cấp dịch vụ, nền tảng TMĐT đưa ra xem xét dưới dạng một văn bản quy định về chính sách dữ liệu hoặc chính sách về quyền riêng tư (privacy policy) Chỉ khi đồng ý với chính sách này, ngừoi dùng mới thực sự được tham gia vào hoạt động TMĐT Bởi lẽ, các hoạt động TMĐT cần số lượng dữ liệu nhất định để phục vụ cho quá trình hoạt động của dịch vụ, nền tảng TMĐT, bên cạnh đó, việc yêu cầu cung cấp các dữ liệu này liên quan đến tình trạng nặc danh khi tham gia hoạt động TMĐT, do đó việc yêu cầu này là có cơ sở
Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 (điều 16 và 17) và Nghị định số 13/2023/NĐ-CP (điều 11) đều có quy định về việc người tiêu dùng đồng ý để các tổ chức, cá nhân kinh doanh thu thập, sử dụng thông tin Trong khi Luật tập trung bảo vệ quyền lợi người tiêu dùng trong giao dịch và sử dụng sản phẩm, hàng hóa, dịch vụ trên nền tảng số thì Nghị định lại cụ thể hóa bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử, nhất là bảo vệ thông tin cá nhân và xử lý khiếu nại trực tuyến Cả hai đều hướng đến bảo vệ quyền lợi người tiêu dùng nhưng phạm vi điều chỉnh và chi tiết thực hiện khác nhau tùy theo bối cảnh giao dịch cụ thể.
Quyền rút lại sự đồng ý là một nguyên tắc quan trọng trong việc bảo vệ DLCN, được quy định chi tiết trong Nghị định số 13/2023/NĐ-CP của Việt Nam, theo đó: “1
Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý; 2 Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được; 3 Khi nhận yêu cầu rút lại sự đồng ý của CTDL, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý; 4 Sau khi thực hiện quy định tại khoản 2 Điều này, bên kiểm soát dữ liệu, bên xử lý dữ liệu, bên kiểm soát và xử lý dữ liệu, bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý” 36
Cùng nội dung này, GDPR quy định chi tiết và nghiêm ngặt hơn về quyền rút lại sự đồng ý GDPR yêu cầu việc rút lại sự đồng ý phải dễ dàng và đơn giản như khi cho đồng ý ban đầu Các tổ chức phải thông báo rõ ràng cho CTDL về quyền rút lại sự đồng ý và cách thức để thực hiện điều này vào thời điểm thu thập sự đồng ý Hơn nữa, GDPR quy định rằng rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu dựa trên sự đồng ý trước khi rút lại Khi nhận được yêu cầu rút lại sự đồng ý, các tổ chức phải nhanh chóng cập nhật hồ sơ và ngừng xử lý dữ liệu dựa trên sự đồng ý đó 37
Quyền truy cập cho phép CTDL “được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác” 38 Điều này không chỉ giúp họ kiểm tra tính chính xác của dữ liệu mà còn yêu cầu sửa đổi nếu cần thiết Quyền truy cập tăng cường tính minh bạch và giúp CTDL duy trì quyền kiểm soát và quản lý DLCN hiệu quả Tương tự, Luật bảo vệ quyền lợi người tiêu dùng năm 2023 cũng quy định “Người tiêu dùng có quyền yêu cầu tổ chức, cá nhân kinh doanh thực hiện việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao hoặc ngừng chuyển giao thông tin của mình cho bên thứ ba” 39 , quy định này tập trung vào quyền của người tiêu dùng đối với thông tin của mình, trong khi nội dung tại khoản 3, điều 9, Nghị định số 13/2023/NĐ-CP nhấn mạnh khía cạnh bảo vệ dữ liệu cá nhân thông qua việc quy định quyền này của CTDL
GDPR quy định chi tiết các nội dung, cách thức truy cập vào chính xác dữ liệu đó và các thông tin chi tiết về việc sử dụng dữ liệu 40 So với quy định tại Nghị định số 13/2023/NĐ-CP, GPDR bổ sung các nội dung mà CTDL được phép truy cập, bao gồm 41 :
36 Điều 12, Nghị định số 13/2023/NĐ-CP
38 Khoản 3, điều 9, Nghị định số 13/2023/NĐ-CP
39 Khoản 1, điều 20, Luật bảo vệ quyền lợi người tiêu dùng năm 2023
Under the GDPR, controllers must provide individuals with specific information regarding their personal data processing This includes the purposes of processing, data categories, recipients, storage duration, rights to rectification, erasure, and objection, the right to lodge complaints, the source of data if not collected from the individual, and the existence of automated decision-making.
Mục đích xử lý, loại dữ liệu cá nhân liên quan, đối tượng nhận hoặc danh mục đối tượng nhận mà dữ liệu cá nhân đã được hoặc sẽ được tiết lộ, đặc biệt là đối tượng nhận tại các nước thứ ba hoặc các tổ chức quốc tế; nếu có thể, thời gian dự kiến lưu trữ dữ liệu cá nhân hoặc, nếu không thể, các tiêu chí để xác định thời gian đó; quyền yêu cầu người kiểm soát dữ liệu chỉnh sửa hoặc xóa dữ liệu cá nhân hoặc hạn chế xử lý dữ liệu liên quan đến chủ thể dữ liệu hoặc phản đối việc xử lý đó; quyền gửi khiếu nại tới cơ quan giám sát; dữ liệu cá nhân không được thu thập từ chủ thể dữ liệu và bất kỳ thông tin nào có sẵn về nguồn gốc của chúng; việc áp dụng ra quyết định tự động, bao gồm lập hồ sơ, theo quy định tại khoản 1 và khoản 2 Điều 22 của GDPR, thông tin có liên quan, ý nghĩa logic cũng như tầm quan trọng và hậu quả dự kiến của việc xử lý dữ liệu đối với chủ thể dữ liệu.