cơ chế nhằm thúc đẩy bảo vệ dữ liệu cá nhân trong TMĐT tại Việt Nam.
Trang 1LỜI MỞ ĐẦU
Trong thời gian vừa qua, với tốc độ phát triển nhanh chóng của ứng dụng CNTT vàTMĐT vào hoạt động sản xuất kinh doanh, đặc biệt là với sự phát triển của Internet,các giao dịch TMĐT của các doanh nghiệp Việt Nam tăng mạnh, khối lượng thôngtin trao đổi ngày càng nhiều Mọi tổ chức, doanh nghiệp đều công nghệ hoá hệthống làm việc của mình để phát triển Trong đó dĩ nhiên bao gồm cả hệ thốngthông tin khách hàng - kho dữ liệu khổng lồ và vô cùng quan trọng Đi cùng với sựhiện đại hoá, cùng với một thế giới không nhất thiết phải lộ mặt, tất cả khối dữ liệukhổng lồ ấy có thể bị đánh cắp cũng đơn giản và tinh vi hơn Những vi phạm liênquan đến thông tin cá nhân cũng ngày một nhiều hơn, gây tâm lý e ngại cho các cánhân, tổ chức khi tham gia giao dịch TMĐT Vì thế, Bộ công thương đã triển khaichương trình cấp chứng nhận Website uy tín TrustVn để đem lại lợi ích thiết thựccho người tiêu dùng và các doanh nghiệp sở hữu website TMĐT uy tín của ViệtNam Tuy nhiên, TrustVn vẫn chưa nhận được sự quan tâm đúng mức từ người tiêudùng và các doanh nghiệp
Xuất phát từ thực tế đó, nhóm sinh viên chúng tôi quyết định thực hiện để tài
“TrustVn – cơ chế nhằm thúc đẩy bảo vệ dữ liệu cá nhân trong TMĐT tại ViệtNam” nhằm tìm hiểu sâu hơn về vấn đề này cũng như có cơ hội ứng dụng một phần
kiến thức được học trong môn Thương mại điện tử vào thực tế.
Trong quá trình thực hiện đề tài, do giới hạn về thời gian cũng như kiến thức, đề tàikhông tránh khỏi những thiếu sót, nhóm sinh viên chúng tôi rất mong nhận đượcnhững ý kiến đóng góp quý báu từ phía GV hướng dẫn và các bạn.
Kết cấu đề tài gồm có 3 chương:
Chương 1: Tổng quan về bảo mật thông tin cá nhân và vai trò của bảo mật thông tincá nhân trong TMĐT
Chương 2: Thực trạng bảo mật thông tin cá nhân trong TMĐT tại Việt Nam và việctriển khai chương trình cấp chứng nhận website uy tín TrustVn
Chương 3: Một số giải pháp và kiến nghị trong việc triển khai chương trình cấpchứng nhận website uy tín TrustVn
Trang 2CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT THÔNG TIN CÁ NHÂN VÀ VAITRÒ CỦA BẢO MẬT THÔNG TIN CÁ NHÂN TRONG THƯƠNG MẠI
a) Rõ ràng, chính xác, dễ tìm và dễ hiểu
b) Được sắp xếp tại các mục tương ứng trên website và có thể truy cập bằng phươngpháp trực tuyến
c) Có khả năng lưu trữ, in ấn và hiển thị được về sau
d) Được hiển thị rõ đối với khách hàng trước thời điểm khách hàng gửi đề nghị giaokết hợp đồng
1.2 Thông tin về thương nhân và người sở hữu website
Thương nhân và người sở hữu website phải công bố những thông tin tối thiểu sautrên website:
- Tên, địa chỉ trụ sở;
- Số, ngày cấp và nơi cấp giấy chứng nhận đăng ký kinh doanh;
- Số điện thoại, địa chỉ thư điện tử hoặc một phương thức liên hệ trực tuyến khác.Thông tin về người sở hữu website phải được hiển thị tại trang chủ của website.
1.3 Bảo vệ thông tin cá nhân của khách hàng trên website TMĐT
Việc thu thập và sử dụng thông tin cá nhân trên website TMĐT phải tuân thủ nhữngquy định sau:
Trang 3a) Thông báo rõ ràng ở trang chủ, hoặc cung cấp ngay ở trang chủ một cơ chế đểkhách hàng tiếp cận và tìm hiểu chi tiết chính sách bảo vệ thông tin cá nhân tạiwebsite này
b) Việc thu thập và sử dụng thông tin cá nhân của mỗi khách hàng phải được sựđồng ý của khách hàng đó trừ những trường hợp pháp luật có quy định khác
c) Việc xin ý kiến đồng ý của khách hàng phải được tiến hành thông qua một bướcriêng để khách hàng lựa chọn chấp nhận hoặc từ chối Không được thiết lập cơ chếchọn đồng ý mặc định cho khách hàng.
1.4 Thông tin đầy đủ và trung thực về việc được chứng nhận website TMĐTuy tín
Nếu một website TMĐT công bố việc được chứng nhận là website TMĐT uy tín,hoặc tham gia bất kỳ một chương trình đánh giá, xếp hạng hay hoạt động tương tựnào có tác dụng nâng cao uy tín của website, thì website này phải cung cấp chokhách hàng thông tin chính xác về thương nhân, người sở hữu website, các loạihàng hóa và dịch vụ, giá cả, điều khoản giao dịch, vv….
2 Vai trò của bảo mật thông tin cá nhân trong phát triển TMĐT
Trong thời đại toàn cầu hóa hiện nay, việc trao đổi thông tin có ý nghĩa rất quantrọng đối với hoạt động sản xuất kinh doanh của doanh nghiệp Nguồn thông tinchính xác, kịp thời với chi phí thấp sẽ giúp doanh nghiệp triển khai hoạt động hiệuquả hơn, nâng cao năng lực cạnh tranh trong môi trường kinh doanh toàn cầu ngàycàng khắc nghiệt Do đó, việc đảm bảo cho thông tin được trao đổi liên tục trongphạm vi quốc gia cũng như quốc tế có ý nghĩa hết sức quan trọng trong việc thúcđẩy thương mại nói chung và TMĐT phát triển.
Các công đoạn của giao dịch từ quảng cáo, chào hàng, giao kết hợp đồng thanhtoán, giao hàng, chăm sóc khách hàng… đều có thể thực hiện qua môi trường điệntử Việc thu thập thông tin khách hàng trên môi trường mạng đã trở thành tất yếutrong hoạt động sản xuất kinh doanh của doanh nghiệp Do đặc thù của giao dịchTMĐT là được thực hiện hoàn toàn trên mạng, các đối tác thực hiện giao dịch muabán, thanh toán, nhận hàng… mà không cần phải gặp trực tiếp nên nhu cầu về thông
Trang 4tin cá nhân ngày càng lớn.
Ngoài ra, một cơ chế bảo vệ dữ liệu cá nhân tốt phải đảm bảo được khả năng kiểmsoát luồng thông tin: khách hàng cần được thông báo rõ thông tin mà họ cung cấp sẽđược doanh nghiệp tiếp nhận, xử lý và sử dụng như thế nào Người dùng cũng chỉcung cấp những thông tin cần thiết cho doanh nghiệp hay không Thực hiện vấn đềbảo mật thông tin cá nhân tốt trong TMĐT, người tiêu dùng sẽ được bảo vệ khỏinhững vấn nạn như lừa đảo trực tuyến, đánh cắp danh tính hoặc thông tin cá nhâncủa họ bị xuyên tạc, bôi bẩn, lợi dụng vào những mục đích đen tối, phi pháp Đứng từ góc độ doanh nghiệp, việc thực thi Luật Bảo vệ Dữ liệu cá nhân cũng hếtsức cần thiết Thông tin cá nhân của khách hàng chính là một tài sản quan trọng, cầnđược doanh nghiệp bảo vệ Làm tốt công tác này chính là doanh nghiệp đang bảo vệkhách hàng của mình, bảo vệ niềm tin và uy tín cho thương hiệu
Trang 5CHƯƠNG 2: THỰC TRẠNG BẢO MẬT THÔNG TIN CÁ NHÂN TRONGTHƯƠNG MẠI ĐIỆN TỬ TẠI VIỆT NAM VÀ VIỆC TRIỂN KHAICHƯƠNG TRÌNH CẤP CHỨNG NHẬN WEBSITE UY TÍN TRUSTVN1 Vấn đề bảo mật thông tin cá nhân trong TMĐT tại Việt Nam
1.1 Thực trạng của việc bảo mật thông tin cá nhân trong TMĐT tại ViệtNam những năm gần đây
Thời gian gần đây, vấn đề bảo vệ dữ liệu cá nhân (DLCN) trở thành mối quan tâmhàng đầu của doanh nghiệp, cơ quan quản lý nhà nước và người tiêu dùng.
Năm 2008, Bộ Công thương cho biết 98% trong số hơn 50 trang web TMĐT đượckhảo sát ở Việt Nam vi phạm quy định trong Thông tư 09/2008/TT-BCT về việccung cấp thông tin và giao kết hợp đồng trên trang Bộ Công thương cho biết cáctrang web TMĐT được chọn khảo sát đều là những trang web ra đời sớm và đượcđánh giá là đi đầu trong hoạt động TMĐT ở Việt Nam [5]
Trong cuộc khảo sát của Cục TMĐT và Công nghệ thông tin với 132 doanh nghiệp,tổ chức vào cuối năm 2008 cho kết quả, các doanh nghiệp kinh doanh dịch vụ dulịch và hiệp hội có tỷ lệ thu thập thông tin cá nhân qua mạng cao nhất là 100%, tiếpđến là các doanh nghiệp cung cấp dịch vụ phần mềm và đào tạo 97%, các doanhnghiệp sản xuất hàng hóa là 94%, doanh nghiệp kinh doanh bất động sản và xâydựng là 93% [5]
Trong số 132 doanh nghiệp, tổ chức này, 84% đơn vị trả lời rằng có thông báo trướcvề mục đích sử dụng thông tin cá nhân của khách hàng Tuy nhiên, mới chỉ có 18%đơn vị có xây dựng quy chế về thu thập và bảo vệ thông tin cá nhân của khách hàng,và 40% cho biết sẽ xây dựng quy chế trong tương lai Hiện có 67% đơn vị triển khaicả 2 nhóm giải pháp công nghệ và quản lý để bảo vệ thông tin cá nhân của kháchhàng [6]
Nhằm đánh giá sơ bộ về tình hình bảo vệ thông tin cá nhân của khách hàng trongcác doanh nghiệp bán hàng hóa hoặc cung cấp dịch vụ qua website TMĐT, cuốinăm 2006 Vụ TMĐT, Bộ Thương mại (nay là Cục TMĐT và Công nghệ thông tin,Bộ Công Thương) đã tiến hành khảo sát 290 website thương mại điện tử Kết quả
Trang 6khảo sát cho thấy chỉ có 75 website công bố chính sách bảo vệ thông tin cá nhâncủa khách hàng, chiếm 26% tổng số website được khảo sát [2]
Dưới đây là biểu đồ, cho thấy số lượng các website TMĐT Việt Nam có và khôngcó chính sách bảo vệ thông tin cá nhân năm 2006
Biểu đồ 2.1 Chính sách bảo vệ thông tin cá nhân của các website TMĐT Việt Nam năm 2006
Nguồn: [2]
Như vậy, nếu xem xét sâu hơn về tổ chức hoạt động của các website, có thể thấynhững website có trình độ tổ chức càng cao thì càng quan tâm đến vấn đề bảo vệthông tin cá nhân Các sàn giao dịch B2B - những website TMĐT ở mức độ chuyênnghiệp nhất - có tỷ lệ xây dựng và công bố chính sách bảo vệ dữ liệu, thông tin củakhách hàng ở mức cao nhất (57%) Các website TMĐT B2C và C2C, mặc dù chiếmsố lượng áp đảo và có đối tượng phục vụ chủ yếu là cá nhân, lại có tỷ lệ rất khiêmtốn trong việc công bố chính sách bảo vệ thông tin cá nhân cho những người thamgia giao dịch.[2]
Một kết quả khảo sát khác của Cục TMĐT và Công nghệ thông tin trong giai đoạn 3năm (từ 2006- 2008) cho thấy, vấn đề bảo mật, an toàn thông tin, trong đó bao gồmcả thông tin cá nhân, luôn được các doanh nghiệp đánh giá là một trong những ràocản lớn nhất (xếp thứ 3 trong số 7 trở ngại lớn nhất) đối với sự phát triển TMĐT ởViệt Nam [2]
Trang 7Tâm lý của người tiêu dùng tại Việt Nam hiện vẫn còn lo ngại về vấn đề bảo mậtthông tin của mình khi tham gia các giao dịch TMĐT Điều này đã dẫn đến sự hạnchế các giao dịch mua bán TMĐT trong nước
Theo thống kê quý 2/2009 của tổ chức Click Forensic, Việt Nam đứng đầu danhsách các nước có số lượng giả mạo click, chiếm 48,3% số lượng click giả mạo Điềunày đã ảnh hưởng không nhỏ đến hình ảnh quốc gia và gây nên sự e ngại cho ngườidùng
Hiện nay, Việt Nam là một trong 12 thành viên đầu tiên ủng hộ Chương trình"Người tìm đường về bảo vệ dữ liệu cá nhân trong TMĐT của APEC", hay còn gọilà APEC-CBPR và Việt Nam đang kêu gọi APEC tiếp tục hỗ trợ về chuyên gia, kỹthuật và kinh nghiệm trong việc triển khai xây dựng, thực thi các quy định phápluật liên quan đến bảo vệ thông tin cá nhân [7]
1.2 Các văn bản luật điều chỉnh việc bảo vệ dữ liệu cá nhân trong TMĐT tạiViệt Nam
Cho đến nay, Việt Nam chưa có một văn bản quy phạm pháp luật nào điều chỉnhcác hành vi liên quan đến bảo vệ dữ liệu cá nhân một cách hệ thống Tuy nhiên,cùng với tiến trình hội nhập và sự phát triển mạnh mẽ của ứng dụng công nghệthông tin và TMĐT trong tất cả các lĩnh vực hoạt động của xã hội, các cơ quan quảnlý nhà nước đã ngày càng nhận thức rõ và quan tâm hơn đến vấn đề quan trọng này.Điều này được thể hiện trong các chỉ thị của Đảng và Nhà nước, các văn bản phápluật được ban hành trong thời gian gần đây
Xem xét một cách có hệ thống các văn bản quy phạm pháp luật có thể thấy các nộidung điều chỉnh vấn đề bảo vệ dữ liệu cá nhân đã được quy định ngày càng rõ hơntừ cấp độ luật đến các văn bản hướng dẫn luật Đã có quy định các hình thức xửphạt, chế tài cụ thể từ xử phạt vi phạm hành chính, phạt tiền đến xử lý hình sự đốivới các trường hợp vi phạm nặng.
Ở mức độ văn bản pháp luật dân sự, Bộ Luật dân sự được Quốc hội thông qua tháng6 năm 2005 đã đưa ra một số quy định nguyên tắc về bảo vệ thông tin cá nhân tạiĐiều 31 “Quyền của cá nhân đối với hình ảnh” và Điều 38 “Quyền bí mật đời tư”
Trang 8Năm 2005, Việt Nam đưa Luật Giao dịch điện tử vào sử dụng Văn bản pháp luậtcao nhất điều chỉnh các giao dịch điện tử là Luật Giao dịch điện tử được Quốc hộithông qua tháng 11 năm 2005 đã dành một điều (Điều 46) để quy định chung về bảomật thông tin trong giao dịch điện tử Điều 46 Luật Giao dịch điện tử quy định “Cơquan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin về bímật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặckiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừtrường hợp pháp luật có quy định khác”
Ngày 10 tháng 4 năm 2007, Chính phủ đã ban hành Nghị định số 63/2007/NĐ-CPquy định hành vi vi phạm, hình thức, mức xử phạt và thẩm quyền xử phạt vi phạmhành chính trong ứng dụng và phát triển công nghệ thông tin Nghị định này đã đưara hình thức phạt, mức phạt đối với một số hành vi vi phạm các quy định về thuthập, xử lý, sử dụng, lưu trữ, trao đổi, bảo vệ thông tin cá nhân của người khác trênmôi trường mạng.
Ngày 21 tháng 7 năm 2008, Bộ Công Thương đã ban hành Thông tư số09/2008/TT-BCT hướng dẫn Nghị định TMĐT về cung cấp thông tin và giao kếthợp đồng trên website TMĐT Bên cạnh các quy định điều chỉnh việc giao kết hợpđồng trên website TMĐT, Thông tư 09/2008/TT-BCT cũng đưa ra một số quy địnhchung về những thông tin cần được cung cấp nhằm bảo vệ lợi ích tối thiểu chokhách hàng, trong đó có các yêu cầu mà chủ sở hữu website TMĐT phải tuân thủkhi thu thập và sử dụng thông tin cá nhân của khách hàng
2 Một số mô hình bảo mật thông tin cá nhân trên thế giới
Trên phạm vi toàn cầu, các tổ chức, các quốc gia khác nhau có những quan điểm,chính sách và cơ chế rất khác nhau đối với vấn đề bảo vệ dữ liệu cá nhân Ví dụ,Liên minh Châu Âu EU cấm không cho chuyển giao thông tin cá nhân ra ngoài EUđến các quốc gia thiếu các biện pháp bảo vệ dữ liệu cá nhân Australia và NewZealand đã ban hành Luật Bảo vệ quyền riêng tư Nga ban hành Luật Bảo vệ dữliệu Canada ban hành Luật về thông tin cá nhân và chứng từ điện tử vào năm 2000,v.v…
Trang 92.1 Hoa Kỳ
Đi đầu trên thế giới về bảo mật thông tin cá nhân trong TMĐT là Hoa Kỳ Quanđiểm của Hoa Kỳ là khuyến khích các doanh nghiệp tự quản lý việc bảo vệ dữ liệucá nhân và xem đây là công cụ hiệu quả để triển khai việc bảo vệ dữ liệu cá nhântrong nền kinh tế toàn cầu.
Tuy nhiên, Hoa Kỳ cũng đã ban hành nhiều đạo luật liên quan tới bảo vệ dữ liệu cánhân trong các lĩnh vực có tính nhạy cảm cao, ví dụ như Đạo luật Gramm-Leach-Bliley năm 1999 về hiện đại hóa dịch vụ tài chính, Đạo luật Bảo vệ quyền riêng tưcủa trẻ em trên mạng năm 1998, Đạo luật về báo cáo tín dụng trung thực, Đạo luậtSarbanes Oxley năm 2002 về bảo vệ việc cải cách các công ty nhà nước về kiểmtoán và nhà đầu tư, v.v Đạo luật về Hội đồng Thương mại Liên bang năm 1934giao Hội đồng Thương mại Liên bang điều tra và khởi tố các doanh nghiệp cónhững hành vi thương mại không công bằng và lừa đảo do không tuân thủ, thựchiện những cam kết về bảo vệ thông tin cá nhân trong các chính sách bảo vệ quyềnriêng tư mà doanh nghiệp đã công bố công khai.
Hoa Kỳ đánh giá cao và khuyến khích doanh nghiệp xây dựng và phát triển cácchương trình cấp chứng nhận uy tín về bảo vệ quyền riêng tư và dữ liệu cá nhân.Đây là là một trong các cơ chế tự quản lý của khu vực tư nhân đối với việc bảo vệdữ liệu cá nhân Theo đó, tổ chức cấp chứng nhận uy tín xây dựng và đưa ra một bộcác nguyên tắc bảo vệ quyền riêng tư và dữ liệu cá nhân Các tổ chức tham giachương trình, cam kết tuân thủ bộ nguyên tắc đó sẽ được công nhận là tổ chức có uytín và được dán nhãn tín nhiệm lên website của tổ chức mình
Trong trường hợp tổ chức đã được chứng nhận uy tín vi phạm các quy định sẽ bịthu hồi nhãn tín nhiệm, và tuỳ theo trường hợp cụ thể có thể sẽ bị áp dụng các biệnpháp trừng phạt
Ngoài ra, hiện nay Hoa Kỳ cũng khuyến khích các doanh nghiệp áp dụng các côngnghệ hiện đại cho phép người tiêu dùng hoặc khách hàng kiểm tra xem thông tincủa mình được sử dụng như thế nào Các cơ chế tự quản lý và công nghệ hiện đạicho phép người tiêu dùng tăng cường quản lý thông tin cá nhân của mình khi thamgia giao dịch điện tử Các cơ chế này cùng với các biện pháp như kiểm tra tại chỗ,
Trang 10kiểm định hệ thống, các giao thức về an toàn, an ninh hệ thống sẽ tạo ra một cơ chếbảo vệ thông tin định danh cá nhân nhiều tầng cả ở cấp độ quốc gia và quốc tế.
2.2 Singapore
Tại châu Á, Singapore được xem là một nước có cơ chế bảo mật thông tin dữ liệu cánhân trong TMĐT hiệu quả Một trong những tổ chức hoạt động năng động và hiệuquả trong lĩnh vực này là Hiệp hội tiêu dùng Singapore – CASE.
Thành lập từ năm 1971, CASE là tổ chức phi chính phủ, phi lợi nhuận, hoạt độnghướng tới bảo vệ người tiêu dùng (BVNTD) thông qua các chương trình đào tạo vàcung cấp thông tin, thúc đẩy môi trường, thực hành thương mại công bằng và đạođức Một trong những dấu ấn hoạt động của CASE là quá trình vận động hành langgiúp cho hoạt động BVNTD được thông qua vào năm 2004
Nhằm xây dựng môi trường tiêu dùng lành mạnh, hỗ trợ các doanh nghiệp duy trìhình ảnh thương hiệu và giúp đỡ NTD trong việc tiêu dùng thông minh, từ năm1999 CASE đã đưa vào hoạt động hệ thống chứng nhận CASETrust Đây là hệthống chứng nhận uy tín dành cho các doanh nghiệp hoạt động trong những lĩnhvực ngành hàng nhất định, đáp ứng và duy trì được các tiêu chí do Chương trìnhđưa ra (phần lớn là các tiêu chí về chính sách thông tin, chính sách chăm sóc kháchhàng, giải quyết khiếu nại, tổ chức cán bộ…) Hiện nay chứng nhận này được cấpcho các doanh nghiệp trong lĩnh vực giáo dục, du lịch, website, kinh doanh ôtô, spavà chăm sóc sức khỏe
Nếu như biểu tượng CASETrust xuất hiện tại một cửa hàng có ý nghĩa đảm bảo cácchính sách tiêu dùng chuẩn mực cho khách hàng thì biểu tượng Safety Mark củaSpring Singapore chứng nhận mức độ an toàn của sản phẩm
Spring Singapore (Standards, Productivity, and Innovation Board) là đơn vị trựcthuộc Bộ Công thương Singapore Hoạt động của Spring gồm ba lĩnh vực: năngsuất và đổi mới, tiêu chuẩn và chất lượng, các doanh nghiệp vừa và nhỏ Chứngnhận Safety Mark của Spring hiện nay được cấp cho 45 danh mục hàng hóa, chủyếu là các mặt hàng điện tử, thiết bị điện và thiết bị sử dụng khí gas Các thiết bịnày phải đáp ứng các tiêu chuẩn kiểm nghiệm, được kiểm tra nghiêm ngặt tại một