Hoa Kỳ là một thị trường TMĐT lớn hàng đầu thế giới với nhiều loại hình kinh doanh phong phú. Những trang web Amazon.com, Ebay.com, Airbnb.com,… đều là những trang TMĐT có quy mơ lớn, có uy tín trên thị trường quốc tế.
Ở Hoa Kỳ, khơng có một đạo luật liên bang chung quy định về vấn đề bảo vệ quyền bảo mật thông tin cá nhân chung trên môi trường mạng. Pháp luật Hoa Kỳ hiện nay đang quy định vấn đề bảo mật thông tin trong các đạo luật riêng, điều chỉnh các khía cạnh cụ thể như dữ liệu về chăm sóc sức khỏe (Health Information and Portability Accountability Act), dữ liệu tài chính (Gramm-Leach-Bliley Act), báo cáo tín dụng (Fair Credit Reporting Act), bảo vệ quyền riêng tư của trẻ em (Children’s Online Privacy Protection Act), sở hữu trí tuệ (Stop Online Piracy Act, Protect IP Act),… Trong khi Liên minh châu Âu đã ban hành bộ Quy định về bảo vệ dữ liệu chung (EU General Data Protection Regulations) vào năm 2018, Hoa Kỳ đã chậm trễ hơn trong việc bảo vệ thông tin cá nhân trên internet khi chưa xây dựng một luật liên bang thống nhất trong lĩnh vực này.
Vấn đề bảo vệ dữ liệu của người dùng tại Hoa Kỳ đang được để tự thị trường công nghiệp, dịch vụ điều chỉnh. Các doanh nghiệp chỉ cần đảm bảo nội dung của chính sách bảo mật theo các quy định trong đạo luật liên bang về chăm sóc sức khỏe, bảo vệ quyền riêng tư của trẻ em,… và tuân theo quy định riêng tại các bang. Trong bối cảnh TMĐT, các trang web thương mại hoặc nhà cung cấp dịch vụ trực tuyến ở Hoa Kỳ chưa có pháp luật quy định cụ thể về chính sách bảo mật, do đó họ khơng chỉ được tự do quyết định về nội dung của chính sách bảo mật mà cịn khơng bắt buộc phải duy trì chính sách bảo mật về bảo vệ thông tin cá nhân.
Tuy nhiên, trong trường hợp các doanh nghiệp đã xây dựng và duy trì chính sách bảo mật riêng, nếu doanh nghiệp khơng thực hiện đúng những cam kết đã nêu về bảo vệ quyền riêng tư, doanh nghiệp đó có khả năng bị Ủy ban Thương mại Liên bang (Federal Trade Commission - FTC) kiện, bởi hành vi đó được coi là hành vi thương mại khơng công bằng và lừa đảo45. Đạo luật của Ủy ban Thương mại Liên bang (Federal Trade Commission Act), 15 U.S.C. § 45 cho phép FTC có quyền ngăn chặn các phương pháp cạnh tranh không lành mạnh và các hành vi không công bằng hoặc lừa đảo trong hoặc ảnh hưởng đến thương mại. FTC được trao quyền hành động chống lại các cơng ty khơng tn thủ chính sách bảo mật của riêng họ hoặc cơng bố khơng đúng các chính sách quản lý thơng tin của họ46.
Trong số các bang của Hoa Kỳ, mỗi bang đều có những dự thảo luật về bảo vệ thông tin cá nhân được đưa ra trong những năm qua. Tuy nhiên, chỉ có bang California ban hành được một đạo luật bảo vệ thông tin của người tiêu dùng vào năm 2018, có tên là Đạo luật về quyền riêng tư của người tiêu dùng California (The California Consumer Privacy Act - CCPA). CCPA cho phép người dùng được có nhiều quyền kiểm sốt hơn đối với thơng tin cá nhân mà doanh nghiệp thu thập từ các cá nhân đó, cụ thể: Quyền được biết doanh nghiệp thu thập những thơng tin gì của mình và cách thơng tin đó được sử dụng và chia sẻ; Quyền xóa thơng tin cá nhân được thu thập (với một số ngoại lệ); Quyền từ chối bán thông tin cá nhân của mình; Quyền khơng bị phân 45. https://lib.ugent.be/fulltxt/RUG01/001/892/218/ RUG01-001892218_2012_0001_AC.pdf , ngày truy cập 3/10/2020
46. https://www.ftc.gov/public-statements/2002/06/perspectives-privacy-law-and-enforcement-activity- perspectives-privacy-law-and-enforcement-activity- united-states-revised , truy cập ngày 3/10/2020
biệt đối xử khi thực hiện các quyền CCPA của mình. Như vậy, người dùng có quyền yêu cầu được biết, được thông báo trước hoặc tại thời điểm doanh nghiệp thu thập thông tin cá nhân, về các loại thông tin nào được thu thập và doanh nghiệp sử dụng chúng cho mục đích gì. Người dùng cũng có thể yêu cầu doanh nghiệp xóa thông tin cá nhân của mình, trừ một số trường hợp được luật quy định. Doanh nghiệp phải được sự cho phép của người dùng khi bán thông tin cá nhân.
Tuy nhiên, CCPA chỉ được áp dụng với các doanh nghiệp thỏa mãn một trong những điều kiện có tổng doanh thu hàng năm trên 25 triệu đô; mua, nhận hoặc bán thông tin cá nhân của 50.000 cư dân, hộ gia đình hoặc thiết bị ở California trở lên; kiếm được 50% hoặc nhiều hơn so với doanh thu hàng năm của họ từ việc bán thông tin cá nhân của cư dân California. Có nghĩa là, chỉ những doanh nghiệp có quy mơ lớn hoặc doanh nghiệp mua bán thơng tin cá nhân có tính chuyên nghiệp mới chịu sự điều chỉnh của luật này. Quy định này chưa thực sự bảo vệ được trọn vẹn thông tin cá nhân của người dùng.
Bên cạnh đó, bang Vermont vào năm 2018 đã ban hành quy định yêu cầu các nhà môi giới dữ liệu (doanh nghiệp thu thập và bán hoặc cấp phép thông tin cá nhân cho bên thứ ba) tiết lộ cho các cá nhân về những dữ liệu nào đang được thu thập và cho phép họ chọn không tham gia thu thập47.