Chương 1 : NHỮNG VẤN ĐỀ LÝ LUẬN VỀ PHÁP LUẬT
1.3. Kinh nghiệm pháp luật của một số nước trên thế giới về bảo vệ thông tin của
1.3.2. Pháp luật Hoa Kỳ
Hoa Kỳ là một nhà nước cộng hoà liên bang với 50 bang cho nên ngồi hệ thơng pháp luật của Liên bang, mỗi bang đều có hệ thống pháp luật riêng của mình khơng được trái với Hiến pháp của liên bang. Bởi vậy, liên quan đến bảo vệ thơng tin của người tiêu dùng cũng có nhiều luật khác nhau của liên bang, các bang điều chỉnh vấn đề này. Ví dụ, bang California quy định về bảo vệ thông tin của người
32 Điều 4(1), GDPR, https://gdpr-info.eu/art-4-gdpr/, truy cập ngày 27/11/2020.
33 Điều 5(1) GDPR.
34 Điều 6(1) GDPR.
35
tiêu dùng trong Đạo luật về bảo vệ quyền riêng tư của người tiêu dùngCalifornia (California Consumer Privacy Act of 2018 - CCPA).
CCPA áp dụng đa lĩnh vực và đưa ra các định nghĩa sâu rộng và các quyền cá nhân rộng rãi, đồng thời đặt ra các yêu cầu và hạn chế đáng kể đối với việc thu thập, sử dụng và tiết lộ thông tin cá nhân. Trong các định nghĩa được quy định tại CCPA, thông tin cá nhân được định nghĩa rất rộng bao gồm bất kỳ thông tin nào xác định, liên quan, mơ tả, có khả năng liên kết hợp lý hoặc có thể được liên kết hợp lý, trực tiếp hoặc gián tiếp, với một người tiêu dùng hoặc hộ gia đình cụ thể đặc biệt bao gồm tên, bí danh, thơng tin liên hệ, ID chính phủ, sinh trắc học, dữ liệu di truyền, dữ liệu vị trí, số tài khoản, lịch sử giáo dục, lịch sử mua hàng, trực tuyến và thiết bị ID, lịch sử tìm kiếm và duyệt web cũng như các hoạt động trực tuyến khác, nếu thơng tin đó được liên kết hoặc có thể liên kết với một người tiêu dùng hoặc hộ gia đình cụ thể. so với những quy định trong luật thông báo vi phạm của tiểu bang và Luật bảo mật dữ liệu thường định nghĩa thông tin cá nhân hẹp hơn, tập trung chủ yếu vào các loại thông tin nhạy cảm hơn như dữ liệu sức khỏe cá nhân, dữ liệu tài chính, dữ liệu mức độ tín nhiệm, dữ liệu học sinh, dữ liệu sinh trắc học, thông tin cá nhân được thu thập trực tuyến từ trẻ em dưới 13 tuổi và thơng tin có thể được sử dụng để thực hiện hành vi trộm cắp hoặc gian lận danh tính được coi là nhạy cảm. Ví dụ: Luật Thơng báo vi phạm của tiểu bang và Luật Bảo mật dữ liệu thường áp dụng cho các danh mục thông tin nhạy cảm hơn, chẳng hạn như số an sinh xã hội và các số nhận dạng khác của chính phủ, số thẻ tín dụng và tài khoản tài chính, mật khẩu và thơng tin xác thực người dùng, thông tin sức khỏe hoặc y tế, ID bảo hiểm, chữ ký điện tử và/hoặc sinh trắc học.
Về cơ quan bảo vệ dữ liệu quốc gia, Hoa Kỳ không thành lập một cơ quan quốc gia về bảo vệ dữ liệu độc lập, mà trao cho Ủy ban Thương mại Liên bang Hoa Kỳ (FTC - Federal Trade Commission) thẩm quyền tài phán đối với hầu hết các thực thể thương mại, ban hành và thực thi xác quy định về cá nhân trong các lĩnh vực cụ thể như tiếp thị qua điện thoại, thư điện tử thương mại, quyền riêng tư của trẻ em. Bên cạnh đó, FTC cịn thực thi các hoạt động nhằm bảo vệ người tiêu dùng khỏi các hành vi thương mại không công bằng hoặc lừa dối bao gồm thực tiễn về bảo mật thông tin và quyền riêng tư khơng cơng bằng. Trong khi đó, nhiều tồ án của các bang cũng có thẩm quyền thực thi tương tự đối với thực tiễn kinh doanh không công bằng và lừa đảo như không thực hiện các biện pháp an ninh hợp lý và vi phạm quyền riêng tư của người tiêu dùng.
đối với tập hợp và xử lý thông tin của người tiêu dùng, mặc dù các luật về quyền riêng tư của Hoa Kỳ đa dạng tại các bang nhưng điểm chung của các luật này về việc tập hợp và xử lý thông tin của người tiêu dùng đó là phải thơng báo hoặc cung cấp sẵn việc tiết lộ thông tin mà doanh nghiệp tập hợp, sử dụng có liên quan đến thơng tin cá nhân của người tiêu dùng. nhìn chung pháp luật hoa Kỳ quy định sự đồng ý của cá nhân liên quan tới thông tin cá nhân nhaỵ cảm của họ trước khi các thơng tin đó được tập hợp, sử dụng và chia sẻ như thông tin về sức khoẻ, báo cáo tín dụng, thơng tin tài chính… Ví dụ, theo CCPA tại thời điểm thu thập thông tin hoặc trước khi thu thập phải thông báo cho các cá nhân về các loại thông tin cá nhân sẽ được thu thập và mục đích sử dụng thơng tin đó; về chính sách thơng tin cá nhân phải bao gồm những nội dung đó là loại thơng tin cá nhân được tập hợp, loại thơng tin được tiết lộ với mục đích kinh doanh, loại thơng tin được doanh nghiệp “bán” trong thời gian trước 12 tháng, các mục đích mà doanh nghiệp thu thập, sử dụng và bán thông tin cá nhân…
Theo pháp luật Hoa Kỳ, khơng có quy định nào về việc giới hạn về mặt địa lý đối với việc truyền dữ liệu cá nhân được áp dụng ở Hoa Kỳ, ngoại trừ việc lưu trữ một số thơng tin của Chính phủ. Hoa Kỳ hiện được coi là điểm đến “thích hợp” cho việc chuyển giao thơng tin cá nhân từ EU và Thụy Sĩ tới những người nhận ở Hoa Kỳ, những người được chứng nhận tương ứng với các nguyên tắc và chương trình Bảo vệ quyền riêng tư của Liên minh Châu Âu-Hoa Kỳ và Thụy Sĩ-Hoa Kỳ.36