Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại

Chia sẻ chuyên mục Đề tài Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại hay nhất năm 2025 cho các bạn học viên ngành đang làm luận văn tham khảo nhé. Với những bạn chuẩn bị làm bài luận văn tốt nghiệp thì rất khó để có thể tìm hiểu được một đề tài hay, đặc biệt là các bạn học viên đang chuẩn bị bước vào thời gian lựa chọn đề tài làm luận văn thạc sĩ thì với đề tài Luận văn: Thực trạng pháp luật, thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử ở Việt Nam và giải pháp hoàn thiện dưới đây chắc hẳn sẽ cho các bạn cái nhìn tổng quát hơn về đề tài này.

Hoạt động bảo vệ dữ liệu cá nhân trong hoạt động TMĐT thời gian qua dần được chú ý và có nhiều sự điều chỉnh, thay đổi tích cực trong nội dung những quy định có liên quan để phù hợp hơn với tình hình phát triển của TMĐT ở Việt Nam. Điều này đã nâng cao vị thế của chủ thể dữ liệu đối với các hoạt động thu thập và xử lý dữ liệu, đồng thời đề ra trách nhiệm và các nghĩa vụ cần được thực thi để đảm bảo sự bảo mật của dữ liệu cá nhân dựa trên cơ sở tôn trọng quyền riêng tư của CTDL.

Tuy nhiên, còn nhiều nội dung pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động TMĐT còn chưa điều chỉnh hoặc còn thiếu sự rõ ràng, gây khó khăn cho công tác tuân thủ và thực thi pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động TMĐT ở Việt Nam, như: Pháp luật về bảo vệ dữ liệu cá nhân hiện hành còn thiếu cơ chế xử lý các hành vi mua bán dữ liệu cá nhân; Thiếu quy định về trách nhiệm pháp lý trong tình trạng nặc danh khi tham gia hoạt động TMĐT; Thiếu chi tiết trong quy trình rút lại sự đồng ý của CTDL.

Trong chương 2, tác giả sẽ tập trung làm rõ các nội dung: (i) Phân tích, bình luận, đánh giá thực trạng pháp luật, thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động TMĐT; (ii) Đề xuất các giải pháp, kiến nghị nhằm hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động TMĐT.

2.1. Thực trạng pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam

2.1.1. Quy định pháp luật về quyền của chủ thể dữ liệu trong hoạt động thương mại điện tử

Nghị định số 13/2023/NĐ-CP/NĐ-CP quy định chi tiết về bảo vệ dữ liệu cá nhân, trong đó bao gồm 11 quyền cơ bản của CTDL. Những quyền này nhằm đảm bảo sự minh bạch, an toàn và bảo vệ quyền lợi cá nhân trong quá trình thu thập và xử lý dữ liệu cá nhân. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Quyền được biết của CTDL là một trong những quyền cơ bản được quy định trong nhiều khung pháp lý quốc tế về bảo vệ dữ liệu cá nhân, nhằm đảm bảo rằng người dùng biết về việc thu thập, sử dụng và xử lý dữ liệu của họ. Quyền này đóng vai trò quan trọng trong việc bảo vệ quyền riêng tư và nâng cao tính minh bạch trong hoạt động xử lý dữ liệu. Trong hoạt động TMĐT, quyền được biết là yếu tố quan trọng nhằm bảo vệ quyền lợi và xây dựng niềm tin vào thị trường trực tuyến. Người tiêu dùng có quyền biết về các chính sách bảo vệ người tiêu dùng, như hoàn trả, đổi trả, và bảo hành đặc biệt là bảo vệ thông tin của người tiêu dùng. Đây là một quyền quan trọng khác, yêu cầu các doanh nghiệp TMĐT phải bảo mật dữ liệu và chỉ sử dụng thông tin cá nhân cho các mục đích đã được người tiêu dùng đồng ý. Cuối cùng, người tiêu dùng cũng có quyền được thông báo về bất kỳ thay đổi nào trong chính sách hoặc điều khoản sử dụng mà có thể ảnh hưởng đến họ. Tất cả những quyền này giúp người tiêu dùng an tâm hơn khi mua sắm trực tuyến và yêu cầu các doanh nghiệp phải hoạt động minh bạch, tuân thủ quy định về bảo vệ người tiêu dùng.

• So sánh các quy định quốc tế như GDPR hay Đạo luật Bảo vệ Quyền riêng tư của người tiêu dùng California (CCPA).

Theo GDPR, quyền được biết được quy định rất chi tiết và cụ thể. Khi thu thập dữ liệu cá nhân, các tổ chức phải cung cấp cho CTDL thông tin về danh tính và chi tiết liên hệ của người xử lý dữ liệu, mục đích của việc xử lý, cơ sở pháp lý cho việc xử lý, và các quyền của CTDL, bao gồm quyền truy cập, chỉnh sửa và xóa dữ liệu. Hơn nữa, GDPR yêu cầu các tổ chức phải thông báo cho CTDL về bất kỳ việc chuyển giao dữ liệu nào cho bên thứ ba và các biện pháp bảo mật áp dụng để bảo vệ dữ liệu đó.34

Tương tự, CCPA yêu cầu các doanh nghiệp phải thông báo cho người tiêu dùng tại thời điểm hoặc trước khi thu thập dữ liệu cá nhân. Thông báo này phải bao gồm các loại dữ liệu được thu thập, mục đích, lý do sử dụng, chia sẻ, bán dữ liệu, và các quyền của người tiêu dùng theo CCPA.

Quyền đồng ý đảm bảo rằng việc xử lý dữ liệu chỉ được thực hiện khi có sự chấp thuận rõ ràng và tự nguyện từ CTDL. Trước khi thu thập và xử lý dữ liệu cá nhân, các tổ chức phải hỏi ý kiến và nhận được sự đồng ý của CTDL, trừ những trường hợp đặc biệt do pháp luật quy định. Trong hoạt động TMĐT, tại thời điểm truy cập và tham gia vào hoạt động TMĐT, quyền này thường được chính chủ thể cung cấp dịch vụ, nền tảng TMĐT đưa ra xem xét dưới dạng một văn bản quy định về chính sách dữ liệu hoặc chính sách về quyền riêng tư (privacy policy). Chỉ khi đồng ý với chính sách này, người dùng mới thực sự được tham gia vào hoạt động TMĐT. Bởi lẽ, các hoạt động TMĐT cần số lượng dữ liệu nhất định để phục vụ cho quá trình hoạt động của dịch vụ, nền tảng TMĐT, bên cạnh đó, việc yêu cầu cung cấp các dữ liệu này liên quan đến tình trạng nặc danh khi tham gia hoạt động TMĐT, do đó việc yêu cầu này là có cơ sở. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Tương tự, tại điều 16 và điều 17 Luật bảo vệ quyền lợi người tiêu dùng năm 2023 cũng quy định về vấn đề đồng ý của người tiêu dùng trong việc các tổ chức, cá nhân kinh doanh thu thập, sử dụng thông tin của họ. Nội dung này có nhiều đặc điểm tương đồng với những nội dung quy định tại điều 11, Nghị định số 13/2023/NĐ-CP nhưng có sự khác biệt về phạm vi điều chỉnh và chi tiết. Điều 16 và Điều 17 của Luật Bảo vệ quyền lợi người tiêu dùng 2023 tập trung vào việc bảo vệ quyền lợi người tiêu dùng khi tham gia giao dịch và sử dụng sản phẩm, hàng hóa, dịch vụ, bao gồm cả nền tảng số, thông qua các quy định về trách nhiệm của tổ chức, cá nhân kinh doanh trong việc cung cấp thông tin, đảm bảo chất lượng và giải quyết khiếu nại. Trong khi đó, Điều 11 của Nghị định số 13/2023/NĐ-CP cụ thể hóa các quy định về bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử, đặc biệt là về bảo vệ thông tin cá nhân và quy trình giải quyết khiếu nại trực tuyến. Cả ba điều khoản đều hướng đến mục tiêu chung là bảo vệ quyền lợi người tiêu dùng, nhưng phạm vi và chi tiết thực hiện được thiết kế để phù hợp với từng bối cảnh cụ thể trong giao dịch và sử dụng sản phẩm, dịch vụ.

Quyền rút lại sự đồng ý là một nguyên tắc quan trọng trong việc bảo vệ dữ liệu cá nhân, được quy định chi tiết trong Nghị định số 13/2023/NĐ-CP của Việt Nam, theo đó:

Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý; 2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được; 3. Khi nhận yêu cầu rút lại sự đồng ý của CTDL, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý; 4. Sau khi thực hiện quy định tại khoản 2 Điều này, bên kiểm soát dữ liệu, bên xử lý dữ liệu, bên kiểm soát và xử lý dữ liệu, bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý”.

Cùng nội dung này, GDPR quy định chi tiết và nghiêm ngặt hơn về quyền rút lại sự đồng ý. GDPR yêu cầu việc rút lại sự đồng ý phải dễ dàng và đơn giản như khi cho đồng ý ban đầu. Các tổ chức phải thông báo rõ ràng cho CTDL về quyền rút lại sự đồng ý và cách thức để thực hiện điều này vào thời điểm thu thập sự đồng ý. Hơn nữa, GDPR quy định rằng rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu dựa trên sự đồng ý trước khi rút lại. Khi nhận được yêu cầu rút lại sự đồng ý, các tổ chức phải nhanh chóng cập nhật hồ sơ và ngừng xử lý dữ liệu dựa trên sự đồng ý đó.

Quyền truy cập cho phép CTDL “được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác”. Điều này không chỉ giúp họ kiểm tra tính chính xác của dữ liệu mà còn yêu cầu sửa đổi nếu cần thiết. Quyền truy cập tăng cường tính minh bạch và giúp CTDL duy trì quyền kiểm soát và quản lý dữ liệu cá nhân hiệu quả. Tương tự, Luật bảo vệ quyền lợi người tiêu dùng năm 2023 cũng quy định “Người tiêu dùng có quyền yêu cầu tổ chức, cá nhân kinh doanh thực hiện việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao hoặc ngừng chuyển giao thông tin của mình cho bên thứ ba”, quy định này tập trung vào quyền của người tiêu dùng đối với thông tin của mình, trong khi nội dung tại khoản 3, điều 9, Nghị định số 13/2023/NĐ-CP nhấn mạnh khía cạnh bảo vệ dữ liệu cá nhân thông qua việc quy định quyền này của CTDL. GDPR quy định chi tiết các nội dung, cách thức truy cập vào chính xác dữ liệu đó và các thông tin chi tiết về việc sử dụng dữ liệu. So với quy định tại Nghị định số 13/2023/NĐ-CP, GPDR bổ sung các nội dung mà CTDL được phép truy cập, bao gồm:

Các mục đích của việc xử lý; các loại dữ liệu cá nhân có liên quan; chủ thể tiếp nhận hoặc danh mục chủ thể tiếp nhận mà dữ liệu cá nhân đã hoặc sẽ được tiết lộ, đặc biệt là chủ thể tiếp nhận ở các quốc gia thứ ba hoặc các tổ chức quốc tế; nếu có thể, thời gian dự kiến mà dữ liệu cá nhân sẽ được lưu trữ, hoặc, nếu không thể, các tiêu chí được sử dụng để xác định thời gian đó; sự tồn tại của quyền yêu cầu từ người kiểm soát dữ liệu việc chỉnh sửa hoặc xóa dữ liệu cá nhân hoặc hạn chế việc xử lý dữ liệu cá nhân liên quan đến CTDL hoặc phản đối việc xử lý đó; quyền khiếu nại với cơ quan giám sát; dữ liệu cá nhân không được thu thập từ CTDL và bất kỳ thông tin nào có sẵn về nguồn gốc của chúng; sự tồn tại của việc ra quyết định tự động, bao gồm việc lập hồ sơ, được đề cập trong khoản 1 và khoản 2 điều 22 của GDPR, trong các trường hợp đó, thông tin mang ý nghĩa liên quan, có tính logic, cũng như tầm quan trọng và hậu quả dự kiến của việc xử lý đó đối với CTDL. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Quyền xóa dữ liệu hay quyền được lãng quên của CTDL là một phần quan trọng của hệ thống bảo vệ dữ liệu cá nhân, nhằm đảm bảo tính riêng tư và tự chủ của CTDL. Theo Michael Kelly và David Satola, quyền được quên đi đề cập đến khả năng của cá nhân xóa bỏ, hạn chế, tách, ẩn, hoặc sửa TTCN trên Internet mà là không chính xác, gây xấu hổ, không liên quan, hoặc lỗi thời. Nghị định số 13/2023/NĐ-CP của Việt Nam đề cập đến quyền này qua các điều khoản cụ thể. Quy định này là một phần quan trọng của việc bảo vệ TTCN và thể hiện vai trò quan trọng của người sở hữu dữ liệu trong việc kiểm soát TTCN của mình. Theo đó, CTDL có quyền yêu cầu các Chủ thể xử lý dữ liệu của họ xóa dữ liệu khi không còn cần thiết cho mục đích ban đầu, hoặc khi CTDL rút lại sự đồng ý, phản đối việc xử lý, hoặc khi việc xử lý dữ liệu vi phạm những thỏa thuận về mục đích sử dụng ban đầu.43 Quyền yêu cầu xóa dữ liệu cho phép CTDL có khả năng kiểm soát mạnh mẽ đối với thông tin cá nhân của mình. Họ có thể quyết định khi nào dữ liệu của họ nên bị xóa và ngăn chặn việc sử dụng dữ liệu cá nhân không đúng mục đích hoặc trái với ý muốn của họ. Việc các chủ thể xử lý dữ liệu phải tuân thủ các yêu cầu xóa dữ liệu của CTDL buộc họ phải minh bạch hơn trong việc thu thập và sử dụng dữ liệu. Điều này giúp giảm thiểu rủi ro về lạm dụng dữ liệu và tăng cường niềm tin của người tiêu dùng đối với các nền tảng số như TMĐT hoặc các website bán hàng, góp phần vào việc thực thi các quy định pháp luật về bảo vệ dữ liệu cá nhân, giúp bảo vệ người tiêu dùng trước các hành vi xử lý dữ liệu không hợp pháp hoặc vi phạm quyền riêng tư. Hơn nữa, đối với các doanh nghiệp TMĐT, quyền yêu cầu xóa dữ liệu đòi hỏi họ phải có các biện pháp kỹ thuật và quy trình quản lý dữ liệu phù hợp để đáp ứng yêu cầu của CTDL. Điều này có thể tăng thêm chi phí vận hành và phức tạp trong quản lý dữ liệu, nhưng đồng thời cũng nâng cao tính chuyên nghiệp và tuân thủ pháp luật trong hoạt động kinh doanh.

Quyền hạn chế xử lý dữ liệu giúp bảo vệ TTCN khỏi các hành vi xử lý không hợp lý hoặc sai mục đích. CTDL có quyền yêu cầu hạn chế xử lý dữ liệu trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu không chính xác hoặc việc xử lý là bất hợp pháp. Điều này đảm bảo rằng dữ liệu chỉ được xử lý trong những trường hợp cần thiết và hợp pháp. Nghị định số 13/2023/NĐ-CP không quy định cụ thể các trường hợp mà CTDL có thể áp dụng quyền này nhằm bảo vệ dữ liệu cá nhân của mình mà chỉ khái quát chung: “Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác; Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác”.

Quyền phản đối xử lý dữ liệu bảo vệ CTDL khỏi các hành vi xâm phạm quyền riêng tư và sử dụng dữ liệu cá nhân, cung cấp các dịch vụ không mong muốn. Trong hoạt động TMĐT, CTDL có quyền phản đối việc xử lý dữ liệu cá nhân cho các mục đích tiếp thị trực tiếp hoặc vì lý do liên quan đến hoàn cảnh cụ thể của họ. Nghị định số 13/2023/NĐ-CP/NĐ-CP đã quy định một số quyền cơ bản của CTDL, bao gồm quyền phản đối và yêu cầu hạn chế xử lý dữ liệu. Quyền phản đối và yêu cầu hạn chế xử lý dữ liệu của CTDL là những quyền cơ bản nhưng rất quan trọng, giúp cân bằng quyền lợi giữa các cá nhân và tổ chức trong việc xử lý và quản lý dữ liệu cá nhân. Những quy định này không chỉ bảo vệ quyền riêng tư của người tiêu dùng mà còn thúc đẩy sự minh bạch và trách nhiệm trong hoạt động của các tổ chức, doanh nghiệp trong môi trường kinh tế số. Tuy nhiên, tác động của quyền này đối với hoạt động của các nền tảng TMĐT cũng đáng kể bởi hầu hết mọi hoạt động của nền tảng này đến từ việc phân tích dữ liệu của người dùng, làm giảm hiệu quả cá nhân hóa và có thể gây ảnh hưởng đến quá trình tiếp thị sản phẩm, gây khó khăn trong việc tối ưu hóa quy trình kinh doanh. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Quyền khiếu nại, tố cáo, khởi kiện đảm bảo rằng CTDL có các phương tiện cần thiết để yêu cầu bảo vệ quyền lợi của mình và có cơ chế để giải quyết các tranh chấp liên quan đến việc xử lý dữ liệu cá nhân. CTDL có quyền khiếu nại về việc xử lý dữ liệu và yêu cầu cơ quan có thẩm quyền xem xét và giải quyết vấn đề đó. Việc có cơ chế khiếu nại và tố cáo hiệu quả là một phần quan trọng trong việc bảo vệ quyền lợi của người dùng, giúp đảm bảo sự minh bạch và trách nhiệm trong việc xử lý dữ liệu cá nhân.

Quyền yêu cầu bồi thường thiệt hại là một quyền thiết yếu giúp đảm bảo rằng CTDL có thể nhận được sự đền bù công bằng cho những thiệt hại họ phải chịu do vi phạm quyền bảo vệ dữ liệu cá nhân. Quyền này đảm bảo rằng các tổ chức xử lý dữ liệu phải chịu trách nhiệm về các hành vi vi phạm và bảo vệ quyền lợi của CTDL, thúc đẩy sự tuân thủ các quy định về bảo vệ dữ liệu.

Quyền tự bảo vệ khuyến khích CTDL áp dụng các biện pháp bảo mật để bảo vệ TTCN của mình. CTDL có quyền tự bảo vệ TTCN, bao gồm việc áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu khỏi truy cập trái phép, sử dụng sai mục đích hoặc mất mát. Quyền này không chỉ tăng cường an ninh và bảo mật dữ liệu mà còn khuyến khích sự tham gia tích cực của CTDL trong việc bảo vệ TTCN của mình.

Nghị định số 13/2023/NĐ-CP/NĐ-CP của Chính phủ Việt Nam đã đặt nền móng quan trọng cho việc bảo vệ dữ liệu cá nhân, với 11 quyền cơ bản nhằm đảm bảo sự minh bạch, an toàn và bảo vệ quyền lợi các chủ thể trong quá trình thu thập và xử lý dữ liệu. Các quyền này bao gồm quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại và quyền tự bảo vệ.

Về trách nhiệm của CTDL, quá trình tham gia vào hoạt động TMĐT nói riêng và các hoạt động khác nói chung đều yêu cầu người dùng thường xuyên phải cung cấp các thông tin, dữ liệu phù hợp nhằm mục đích hỗ trợ cho các hoạt động có liên quan không bị gián đoạn, phục vụ cho nhu cầu của người dùng trong quá trình hoạt động TMĐT.

Các chủ thể này cần phải tự bảo vệ dữ liệu cá nhân của mình bằng cách sử dụng các biện pháp thông thường (gồm các biện pháp quản lý đăng nhập, quản lý thiết bị truy cập, mã hoá thông tin hay các xác thực liên quan trong trường hợp được yêu cầu cung cấp dữ liệu cá nhân của họ), không chia sẻ thông tin đăng nhập và cẩn trọng với các giao dịch trên các trang web không đáng tin cậy. Đồng thời, người tiêu dùng có quyền yêu cầu các doanh nghiệp TMĐT phải bảo vệ dữ liệu cá nhân của họ thông qua các biện pháp bảo mật như mã hóa dữ liệu, sử dụng các giao thức bảo mật và tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

Nghị định số 13/2023/NĐ-CP quy định chi tiết về bảo vệ dữ liệu cá nhân, đối với CTDL, Nghị định này quy định 11 quyền cơ bản với mục đích trao quyền chủ động cho chủ thể này trong việc bảo vệ dữ liệu cá nhân của mình, đảm bảo sự minh bạch, an toàn và bảo vệ quyền và lợi ích hợp pháp trong quá trình thu thập và xử lý dữ liệu cá nhân. Tuy nhiên, bảo vệ dữ liệu cá nhân không chỉ dừng lại ở việc thực thi và vận dụng các quyền của CTDL, quá trình này còn phụ thuộc vào nghĩa vụ và sự cam kết của chủ thể nắm vai trò thu thập, xử lý, kiểm soát các dữ liệu này trong quá trình thực hiện các hoạt động thu thập và xử lý liên quan.

2.1.2. Quy định pháp luật về quyền và nghĩa vụ của chủ thể liên quan trong việc bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Trong lĩnh vực bảo vệ dữ liệu cá nhân, việc quy định trách nhiệm của bên xử lý, kiểm soát dữ liệu đóng vai trò quan trọng trong việc đảm bảo tính riêng tư và bảo mật của TTCN. Nghị định số 13/2023/NĐ-CP/NĐ-CP của Chính phủ Việt Nam và Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu là hai tài liệu pháp lý tiêu biểu về trách nhiệm này. Theo Nghị định số 13/2023/NĐ-CP/NĐ-CP, bên xử lý dữ liệu phải chịu trách nhiệm với một loạt các nhiệm vụ cụ thể để đảm bảo tính bảo mật và an toàn của TTCN. Các trách nhiệm này không chỉ giúp bảo vệ quyền lợi của người tiêu dùng mà còn đóng vai trò quan trọng trong việc thúc đẩy sự tin cậy và minh bạch trong quá trình xử lý dữ liệu, cụ thể:

Thứ nhất, áp dụng biện pháp bảo mật. Các doanh nghiệp TMĐT phải triển khai các hệ thống bảo mật mạnh mẽ nhằm bảo vệ dữ liệu cá nhân của khách hàng trước các mối đe dọa từ bên ngoài. Các biện pháp như mã hóa dữ liệu (là biện pháp cơ bản nhưng hiệu quả để bảo vệ dữ liệu trong quá trình truyền tải và lưu trữ, giúp biến đổi dữ liệu thành các chuỗi ký tự khó hiểu mà chỉ có người được cấp quyền mới có thể giải mã và truy cập, từ đó làm giảm nguy cơ bị đánh cắp thông tin nếu dữ liệu rơi vào tay kẻ xấu), tường lửa (hoạt động như một lá chắn giữa hệ thống mạng nội bộ của doanh nghiệp và các mạng bên ngoài, giám sát và kiểm soát luồng dữ liệu vào và ra, ngăn chặn các truy cập trái phép và các cuộc tấn công từ bên ngoài) và công nghệ phát hiện xâm nhập đóng (theo dõi các hoạt động mạng để phát hiện sớm các hành vi bất thường hoặc đáng ngờ, giúp ngăn chặn các cuộc tấn công trước khi chúng gây ra hậu quả nghiêm trọng) vai trò quan trọng trong việc ngăn chặn các cuộc tấn công mạng. Ngoài ra, quản lý truy cập cũng là một yếu tố quan trọng. Chỉ những nhân viên có thẩm quyền mới được phép truy cập vào các thông tin nhạy cảm của khách hàng. Điều này đòi hỏi doanh nghiệp TMĐT phải thiết lập các quyền truy cập nghiêm ngặt, phân quyền rõ ràng và theo dõi chặt chẽ các hoạt động truy cập. Việc quản lý truy cập hiệu quả giúp giảm thiểu rủi ro lộ lọt dữ liệu do các hành vi xâm nhập trái phép hoặc sơ suất của nhân viên.

Thứ hai, thông báo trước khi xử lý dữ liệu: Chủ thể xử lý dữ liệu phải cung cấp thông tin rõ ràng và đầy đủ cho người tiêu dùng về mục đích và phạm vi của việc xử lý dữ liệu cá nhân của họ trước khi thực hiện. Trong môi trường TMĐT, nơi mà việc thu thập và sử dụng dữ liệu cá nhân diễn ra liên tục, người tiêu dùng cần được cung cấp thông tin chi tiết về cách dữ liệu của họ sẽ được sử dụng. Khi đó, họ có thể đưa ra quyết định có cơ sở về việc chấp nhận hoặc từ chối việc xử lý dữ liệu cá nhân của mình. Hơn nữa, vì dữ liệu cá nhân của người tiêu dùng có thể được sử dụng cho nhiều mục đích khác nhau, từ cá nhân hóa trải nghiệm mua sắm đến quảng cáo, tiếp thị. Khi người tiêu dùng được thông báo trước, họ có cơ hội để hiểu rõ và đánh giá những rủi ro và lợi ích liên quan đến việc chia sẻ dữ liệu. Quyền được thông báo và quyền tự quyết giúp người tiêu dùng cảm thấy an tâm hơn khi tham gia các hoạt động TMĐT, vì họ biết rằng mình đang kiểm soát dữ liệu cá nhân của mình. Trong một thị trường cạnh tranh, các doanh nghiệp cần không chỉ đáp ứng nhu cầu của khách hàng mà còn phải đảm bảo quyền lợi của họ, đặc biệt là quyền riêng tư. Việc thông báo trước khi xử lý dữ liệu cá nhân không chỉ là một yêu cầu pháp lý mà còn là một yếu tố quan trọng giúp bảo vệ quyền lợi của người tiêu dùng, tăng cường sự minh bạch và xây dựng lòng tin của ngừoi tiêu dùng đối với các doanh nghiệp TMĐT. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Thứ ba, đảm bảo tính chính xác của dữ liệu. Chủ thể xử lý dữ liệu phải đảm bảo rằng TTCN được thu thập và lưu trữ là chính xác và cập nhật. Trong hoạt động TMĐT, các quyết định liên quan đến tiếp thị, quản lý quan hệ khách hàng, và tối ưu hóa vận hành đều dựa vào dữ liệu khách hàng. Nếu dữ liệu bị sai lệch, các quyết định được đưa ra có thể dẫn đến nhiều sai lầm, quản lý không hiệu quả. Những dữ liệu chính xác giúp doanh nghiệp hiểu rõ hơn về hành vi và nhu cầu của khách hàng, từ đó cung cấp các dịch vụ và sản phẩm phù hợp, nâng cao hiệu quả kinh doanh. Bên cạnh đó, việc thu thập dữ liệu cá nhân của khách hàng một cách chính xác sẽ giúp quá trình phục vụ khách hàng thuận lợi hơn.

Thứ tư, lưu trữ và xóa dữ liệu một cách an toàn. Trong môi trường TMĐT, dữ liệu cá nhân thường được lưu trữ trong các hệ thống trực tuyến, đối mặt với nhiều nguy cơ bảo mật như tấn công mạng, phần mềm độc hại, và truy cập trái phép. Các biện pháp an toàn như mã hóa dữ liệu, quản lý quyền truy cập, và sử dụng các công nghệ bảo mật tiên tiến là cần thiết để bảo vệ dữ liệu khỏi các mối đe dọa này. Khi dữ liệu không còn được sử dụng cho mục đích ban đầu hoặc đã hết thời hạn lưu trữ hợp pháp, nó cần được xóa một cách an toàn để đảm bảo rằng không ai có khả năng truy cập hoặc khôi phục lại. Việc xóa không đúng cách có thể dẫn đến rủi ro lộ lọt thông tin, gây thiệt hại cho khách hàng và uy tín của doanh nghiệp.

Thứ năm, báo cáo và xử lý sự cố an ninh. Khi một sự cố an ninh xảy ra, khách hàng có thể lo lắng về việc thông tin cá nhân của họ bị lộ và có nguy cơ bị lợi dụng. Bằng cách xử lý sự cố một cách minh bạch và hiệu quả, doanh nghiệp không chỉ giảm thiểu tác động tiêu cực của sự cố mà còn thể hiện trách nhiệm và cam kết bảo vệ khách hàng. Việc thiết lập một quy trình báo cáo sự cố hiệu quả không chỉ giúp doanh nghiệp tuân thủ pháp luật mà còn giảm thiểu rủi ro pháp lý.

Trong lĩnh vực bảo vệ dữ liệu cá nhân, việc thông báo vi phạm dữ liệu đóng vai trò quan trọng trong việc bảo vệ quyền và lợi ích hợp pháp của CTDL. Theo quy định tại Nghị định số 13/2023/NĐ-CP, các tổ chức tại Việt Nam có trách nhiệm thông báo kịp thời cho cơ quan chức năng và người dùng bị ảnh hưởng khi xảy ra vi phạm dữ liệu. Điều này tạo ra một cơ chế để cảnh báo và khắc phục tình trạng vi phạm dữ liệu một cách nhanh chóng và hiệu quả. Tương tự, GDPR cũng đặt ra yêu cầu thông báo cho cơ quan giám sát trong vòng 72 giờ sau khi xảy ra vi phạm dữ liệu nghiêm trọng. Đồng thời, GDPR cũng yêu cầu thông báo cho CTDL một cách không chậm trễ, đặc biệt là nếu vi phạm dữ liệu có thể gây ra nguy cơ nghiêm trọng cho quyền lợi của chủ thể này. Ngoài ra, các tổ chức và cá nhân phải tuân thủ các mức phạt hành chính và hình sự được quy định trong pháp luật nếu vi phạm liên quan đến bảo vệ dữ liệu cá nhân. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Cuối cùng, các chủ thể có liên quan cần thực hiện đánh giá tác động bảo vệ dữ liệu trước khi tiến hành các hoạt động xử lý dữ liệu cá nhân và thực hiện kiểm tra định kỳ để đảm bảo tuân thủ các tiêu chuẩn an toàn thông tin Điều khoản này đặt ra một loạt các yêu cầu cụ thể:

Thứ nhất, nặc danh hoá và mã hóa dữ liệu cá nhân. Đây là các biện pháp nhằm giảm thiểu rủi ro bằng cách biến đổi dữ liệu cá nhân thành dạng mà người không có quyền truy cập không thể xác định danh tính của các cá nhân mà không có thông tin bổ sung.

Thứ hai, đảm bảo tính bảo mật, toàn vẹn, khả dụng và khả năng phục hồi. Các tổ chức phải thiết lập các biện pháp để bảo vệ dữ liệu cá nhân khỏi truy cập trái phép hoặc bất hợp pháp, cũng như từ mất mát, tiêu hủy hoặc hư hỏng do tai nạn.

Thứ ba, khả năng khôi phục dữ liệu cá nhân kịp thời. Trong trường hợp xảy ra sự cố kỹ thuật hoặc vật lý, tổ chức phải có khả năng khôi phục dữ liệu cá nhân một cách nhanh chóng để giảm thiểu gián đoạn và bảo vệ quyền lợi của các cá nhân liên quan.

Thứ tư, thường xuyên thử nghiệm, đánh giá và đánh giá hiệu quả. Điều này đòi hỏi các tổ chức phải liên tục kiểm tra và đánh giá các biện pháp bảo mật của mình để đảm bảo chúng luôn hiệu quả và phù hợp với các rủi ro mới xuất hiện.

Về trách nhiệm của các chủ thể kiểm soát và xử lý dữ liệu, trong lĩnh vực thương mại điện tử, các chủ thể xử lý và kiểm soát dữ liệu có liên quan đến hoạt động TMĐT có trách nhiệm tôn trọng và bảo vệ dữ liệu cá nhân của khách hàng. Điều này bao gồm việc không chia sẻ, bán hoặc sử dụng dữ liệu cá nhân của khách hàng cho các mục đích khác không nằm trong phạm vi đồng ý của khách hàng. Việc vi phạm quyền riêng tư của khách hàng không chỉ gây mất lòng tin mà còn có thể dẫn đến các hậu quả pháp lý nghiêm trọng. Doanh nghiệp cần thiết lập các chính sách bảo mật rõ ràng và đảm bảo rằng tất cả nhân viên đều tuân thủ. Bên cạnh đó, các chủ thể này cần có trách nhiệm tham gia vào việc tuyên truyền và phổ biến kỹ năng bảo vệ dữ liệu cá nhân cho những cá nhân, tổ chứ tham gia vào hoạt động TMĐT. Điều này có thể thực hiện thông qua việc cung cấp các tài liệu hướng dẫn, tổ chức các hội thảo hoặc cung cấp thông tin qua các kênh truyền thông của doanh nghiệp, sàn TMĐT. Việc nâng cao nhận thức và kỹ năng bảo vệ dữ liệu cá nhân của khách hàng không chỉ giúp bảo vệ quyền lợi của họ mà còn giúp giảm thiểu rủi ro cho doanh nghiệp. Song, điều tiên quyết các chủ thể cần làm là tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân, chẳng hạn như Nghị định số 13/2023/NĐ-CP/NĐ-CP và các văn bản pháp luật liên quan. Điều này bao gồm việc thiết lập các chính sách bảo mật, thực hiện đánh giá tác động bảo vệ dữ liệu và báo cáo các sự cố vi phạm dữ liệu cho cơ quan chức năng. Doanh nghiệp cũng cần phối hợp với cơ quan chức năng để phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, đảm bảo môi trường kinh doanh lành mạnh và an toàn cho tất cả các bên liên quan.

Trong hoạt động thương mại điện tử, việc bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm của các tổ chức và cá nhân mà còn là yếu tố then chốt để xây dựng niềm tin và sự tín nhiệm từ khách hàng. Việc tuân thủ nghiêm ngặt các quy định pháp luật và thực hiện các biện pháp bảo mật cần thiết sẽ giúp các doanh nghiệp thương mại điện tử duy trì uy tín, phát triển bền vững và tạo ra một môi trường kinh doanh an toàn, lành mạnh cho tất cả các bên tham gia.

2.1.3. Quy định pháp luật về cơ chế bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Thông qua việc trao quyền cho các CTDL, pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động TMĐT đã tạo lập được căn cứ cho các CTDL áp dụng cho việc thực hiện các quyền liên quan đến việc bảo vệ dữ liệu cá nhân của mình trong hoạt động TMĐT.

Thứ nhất, pháp luật Việt Nam đã làm rõ khái niệm dữ liệu cá nhân. Việc xác định rõ các khái niệm giúp làm rõ phạm vi điều chỉnh của luật, tránh sự mơ hồ trong việc áp dụng pháp luật. Hơn nữa, pháp luật Việt Nam xác định rõ phạm vi áp dụng, tức là ai phải tuân theo các quy định này. Theo đó các tổ chức, doanh nghiệp trong nước và cả những tổ chức quốc tế nếu họ xử lý dữ liệu cá nhân của công dân hoặc cư dân nước đó. Điều này rất quan trọng trong bối cảnh toàn cầu hóa, nơi dữ liệu cá nhân có thể được lưu trữ và xử lý qua biên giới.

Thứ hai, việc đặt ra một cơ chế giám sát thực hiện là cần thiết. Nội dung này được thể hiện bởi việc chỉ định cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an. Theo đó, cơ quan này có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước bảo vệ dữ liệu cá nhân. Cơ quan này đóng vai trò quan trọng trong việc đảm bảo rằng các tổ chức tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân. Bên cạnh đó, các quy định pháp lý thường bao gồm các biện pháp xử phạt nghiêm khắc đối với các hành vi vi phạm, chẳng hạn như phạt tiền, đình chỉ hoạt động, hoặc thậm chí là các biện pháp hình sự trong trường hợp vi phạm nghiêm trọng. Những biện pháp này tạo ra áp lực mạnh mẽ buộc các tổ chức phải tuân thủ các quy định bảo vệ dữ liệu.

Thứ ba, chính sách bảo mật dữ liệu đóng vai trò là công cụ pháp lý và quản lý, giúp các tổ chức và doanh nghiệp thực hiện trách nhiệm của mình trong việc bảo vệ dữ liệu cá nhân của khách hàng. Các tổ chức và doanh nghiệp nói riêng hay các chủ thể cung cấp dịch vụ, nền tảng TMĐT bắt buộc phải xây dựng và công khai chính sách bảo mật dữ liệu. Chính sách này phải bao gồm thông tin về cách thức thu thập, sử dụng, lưu trữ, và bảo vệ dữ liệu cá nhân của khách hàng, giúp đảm bảo rằng mọi hoạt động liên quan đến dữ liệu cá nhân đều minh bạch và hợp pháp. Các chính sách này là cơ sở để bảo vệ quyền lợi của người dùng, đảm bảo rằng dữ liệu cá nhân của họ được xử lý một cách đúng đắn, không bị lạm dụng hoặc sử dụng cho các mục đích không được chấp thuận. Điều này là một phần quan trọng trong việc tuân thủ các quy định pháp luật về quyền riêng tư và bảo vệ dữ liệu, đồng thời ngăn ngừa các hành vi vi phạm pháp luật có thể gây ra hậu quả nghiêm trọng cho cả doanh nghiệp và khách hàng khi tham gia vào các hoạt động mua bán hàng hóa trên các nền tảng TMĐT hay các website bán hàng.

Thứ tư, nghĩa vụ báo cáo và thông báo về vi phạm dữ liệu đóng vai trò quan trọng trong việc bảo vệ dữ liệu cá nhân theo khung pháp lý hiện hành. Điều này nhằm đảm bảo rằng cả cá nhân và cơ quan quản lý nhà nước đều được thông báo kịp thời về các sự cố liên quan đến dữ liệu cá nhân, qua đó giảm thiểu thiệt hại và tăng cường trách nhiệm, sự minh bạch của các tổ chức. Việc thực hiện nghĩa vụ này không chỉ là tuân thủ pháp luật mà còn là cách để các tổ chức thể hiện trách nhiệm trong việc bảo vệ thông tin cá nhân. Nghị định số 13/2023/NĐ-CP quy định khi xảy ra vi phạm dữ liệu, các tổ chức có trách nhiệm báo cáo ngay lập tức hoặc trong một khoảng thời gian cụ thể, thường là 72 giờ, với cơ quan quản lý nhà nước. Quy định này giúp cơ quan quản lý có thể nhanh chóng nắm bắt tình hình, đưa ra các chỉ đạo cần thiết và thực hiện các biện pháp giám sát để đảm bảo sự cố được xử lý kịp thời và đúng cách. Qua đó, việc giám sát hiệu quả hơn giúp ngăn chặn các hậu quả tiêu cực lan rộng, đồng thời cho phép cơ quan quản lý đánh giá mức độ vi phạm và áp dụng biện pháp xử phạt hoặc yêu cầu khắc phục hậu quả phù hợp.

Khi xảy ra vi phạm dữ liệu, tổ chức còn có nghĩa vụ thông báo cho các cá nhân bị ảnh hưởng trong thời gian quy định. Thông báo này cần cung cấp đầy đủ thông tin về mức độ nghiêm trọng của sự cố, bao gồm loại dữ liệu bị vi phạm, nguyên nhân, hậu quả có thể xảy ra, và các biện pháp khắc phục mà tổ chức đang thực hiện. Điều này giúp bảo vệ quyền lợi cá nhân, khi họ có thể kịp thời thực hiện các biện pháp cần thiết để bảo vệ thông tin cá nhân của mình, chẳng hạn như khóa thẻ tín dụng, thay đổi mật khẩu hoặc thực hiện các biện pháp phòng ngừa khác. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Việc báo cáo và thông báo kịp thời về vi phạm dữ liệu giúp giảm thiểu thiệt hại có thể xảy ra. Khi cá nhân và cơ quan quản lý nhà nước được thông báo sớm, họ có thể phối hợp với tổ chức để thực hiện các biện pháp khắc phục và ngăn chặn sự cố trở nên nghiêm trọng hơn. Đồng thời, việc tổ chức minh bạch trong việc thực hiện nghĩa vụ này cũng củng cố niềm tin của khách hàng và đối tác, thể hiện sự nghiêm túc và trách nhiệm của tổ chức trong việc bảo vệ dữ liệu cá nhân.

Nếu một tổ chức không tuân thủ nghĩa vụ báo cáo và thông báo về vi phạm dữ liệu, họ có thể phải đối mặt với các biện pháp xử phạt nặng nề từ cơ quan quản lý, bao gồm phạt tiền, đình chỉ hoạt động, hoặc thậm chí các hình phạt hình sự trong trường hợp vi phạm nghiêm trọng. Những hậu quả này không chỉ gây tổn thất tài chính mà còn làm suy giảm uy tín và thương hiệu của tổ chức. Thêm vào đó, các cá nhân bị ảnh hưởng bởi vi phạm dữ liệu mà không được thông báo kịp thời có thể khởi kiện tổ chức, đòi bồi thường thiệt hại, làm tăng rủi ro pháp lý và chi phí pháp lý, đồng thời gây tổn hại đến mối quan hệ với khách hàng và đối tác.

Nghĩa vụ báo cáo và thông báo không chỉ đảm bảo tuân thủ pháp luật mà còn góp phần tạo ra các tiền lệ pháp lý, giúp cơ quan quản lý cải thiện và cập nhật các quy định về bảo vệ dữ liệu. Qua các trường hợp vi phạm và xử lý, luật pháp có thể được điều chỉnh để phù hợp hơn với thực tế, nâng cao hiệu quả bảo vệ quyền lợi người tiêu dùng trong môi trường kỹ thuật số. Khi các tổ chức biết rằng việc vi phạm sẽ bị phát hiện và xử lý nghiêm ngặt, họ có xu hướng tuân thủ tốt hơn các quy định pháp luật, chủ động thực hiện các biện pháp bảo mật và nâng cao ý thức trách nhiệm trong quản lý dữ liệu.

Nghĩa vụ báo cáo và thông báo về vi phạm dữ liệu là một phần không thể thiếu trong việc bảo vệ dữ liệu cá nhân, đảm bảo rằng các chủ thể cung cấp dịch vụ mua sắm trực tuyến qua website hoặc nền tảng TMĐT thực hiện trách nhiệm của mình đối với khách hàng và cơ quan quản lý nhà nước. Việc tuân thủ các nghĩa vụ này không chỉ giúp giảm thiểu thiệt hại và rủi ro mà còn tăng cường niềm tin, trách nhiệm, và minh bạch trong hoạt động quản lý dữ liệu của các tổ chức. Điều này góp phần xây dựng một môi trường kinh doanh an toàn, bền vững và phù hợp với các chuẩn mực pháp lý hiện hành.

2.1.4. Quy định pháp luật về chế tài xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử

Khi xảy ra các vụ việc vi phạm, CTDL tiến hành khiếu nại trực tiếp đến chủ thể cung cấp dịch vụ, nền tảng TMĐT, quá trình xử lý trước hết thông qua việc cơ sở phán và thương lượng. Trước tiên, pháp luật về bảo quyền quyền lợi người tiêu dùng cho phép các chủ thể này tiến hành việc tự thỏa thuận. Điều này tương đương với hình thức thương lượng trong giải quyết các vấn đề khi quyền và lợi ích hợp pháp của CTDL bị xâm phạm, cụ thể: “1. Người tiêu dùng có quyền yêu cầu tổ chức, cá nhân kinh doanh thương lượng; 2. Tổ chức, cá nhân kinh doanh phải tiếp nhận yêu cầu thương lượng của người tiêu dùng theo quy định tại Điều 57 của Luật này; 3. Trường hợp tổ chức, cá nhân kinh doanh không trả lời yêu cầu thương lượng của người tiêu dùng theo quy định tại Điều 57 của Luật này hoặc từ chối thương lượng mà không có lý do chính đáng, người tiêu dùng có quyền yêu cầu cơ quan quản lý nhà nước về bảo vệ quyền lợi người tiêu dùng, tổ chức xã hội tham gia bảo vệ quyền lợi người tiêu dùng hỗ trợ thương lượng khi quyền, lợi ích hợp pháp của mình bị xâm phạm”. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Trong trường hợp không thể thoả thuận để giải quyết các hậu quả pháp lý do hành vi xâm phạm dữ liệu cá nhân gây ra, các CTDL có quyền khiếu nại đến các cơ quan chức năng có thẩm quyền trong vấn đề xử lý vi phạm về quyền và lợi ích hợp pháp của chủ thể dữ liệu. Các chủ thể này trực tiếp gửi yêu cầu giải quyết tranh chấp theo quy định pháp luật bảo vệ quyền lợi người tiêu dùng về giải quyết tranh chấp tại tòa án nhằm mục đích giải quyết hậu quả gây ra bởi hành vi xâm phạm dữ liệu cá nhân trong hoạt động TMĐT, đồng thời, CTDL có quyền khiếu kiện đến Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để báo cáo hành vi, tiến hành xử lý vi phạm về bảo vệ dữ liệu cá nhân trong hoạt động TMĐT. Quá trình xử lý vụ án về vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân trong hoạt động TMĐT được xử lý theo quy định tại điều 70, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 và quy định pháp luật về Tố tụng dân sự, cụ thể: “Vụ án dân sự về bảo vệ quyền lợi người tiêu dùng là vụ án mà bên khởi kiện là người tiêu dùng hoặc tổ chức xã hội tham gia bảo vệ quyền lợi người tiêu dùng theo quy định tại Luật này. Tòa án giải quyết vụ án dân sự về bảo vệ quyền lợi người tiêu dùng theo trình tự, thủ tục quy định tại Bộ luật Tố tụng dân sự”. Trong đó, Tòa án là cơ quan đóng vai trò trong việc bảo vệ quyền lợi của CTDL trong trường hợp có xảy ra tranh chấp liên quan đến vấn đề lộ, lọt dữ liệu. Khi đó, Tòa án phải tuân theo một trình tự, thủ tục chặt chẽ, và nhân danh nhà nước để xử lý, áp dụng các chế tài cần thiết lên các chủ thể vi phạm đến nghĩa vụ bảo vệ dữ liệu cá nhân trong hoạt động TMĐT. Quyết định của Tòa án có hiệu lực thi hành cao và bảo vệ được triệt để quyền lợi của CTDL trong trường hợp này.

Cùng với Luật An ninh mạng năm 2018, Nghị định số 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng, sự ra đời của Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân là sự hoàn thiện về mặt pháp lý quy định riêng về vấn đề bảo vệ dữ liệu cá nhân.

Nghị định số 13/2023/NĐ-CP áp dụng cho mọi tổ chức, cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, bất kể việc xử lý dữ liệu cá nhân được thực hiện bên trong hay ngoài lãnh thổ Việt Nam. Do vậy, đối tượng chịu trách nhiệm pháp lý có thể là cá nhân, tổ chức có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân. dữ liệu cá nhân là một khái niệm pháp lý mới, có tính bao quát và tính mở. Đơn giản nhất, dữ liệu cá nhân chính là “TTCN” và các “thông tin để được xem là dữ liệu cá nhân” phải thỏa mãn các điều kiện gồm: (i) tồn tại dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử và (ii) gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Bên cạnh các quy định chi tiết về trách nhiệm, nghĩa vụ của các bên có liên quan trong hoạt động xử lý dữ liệu cá nhân, một vấn đề được quan tâm chính là chế tài đảm bảo thi hành Nghị định số 13/2023/NĐ-CP. Theo đó, điều 4 Nghị định số 13/2023/NĐ-CP quy định về ba chế tài, tùy theo mức độ vi phạm và chủ thể thực hiện hành vi, bao gồm: (i) xử lý kỷ luật; (ii) xử phạt vi phạm hành chính; và (iii) xử lý hình sự. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Thứ nhất, đối với chế tài xử lý kỷ luật, đây là chế tài hành chính và đối tượng chịu trách nhiệm chỉ có thể là cá nhân vi phạm, tổ chức không thể bị xử lý kỷ luật (vì hiện không có hành lang pháp lý). Một cách khái quát, “xử lý kỷ luật” là cách thức xử lý vi phạm phổ biến trong cả khối các cơ quan nhà nước (đối với cán bộ, công chức, viên chức thực hiện theo Nghị định 112/2020/NĐ-CP và các quy định chuyên biệt của các bộ, ngành quản lý trực tiếp) và trong các hoạt động tại nơi làm việc (đối với người lao động, người làm việc theo các quy định của pháp luật lao động và nội quy lao động).

Thứ hai, chế tài xử phạt vi phạm hành chính là chế tài hành chính, tuy nhiên đối tượng chịu trách nhiệm có thể là bất kỳ cơ quan, tổ chức, cá nhân có hành vi vi phạm. Để có thể áp dụng chế tài này, điều kiện tiên quyết là cần phải có văn bản pháp luật quy định cụ thể về hành vi vi phạm, hình thức xử phạt (bao gồm cả mức phạt, biện pháp khắc phục hậu quả), thẩm quyền xử phạt. Các quy định xử phạt vi phạm hành chính hiện hành gần gũi nhất với chủ đề có thể kể đến Nghị định số 15/2020/NĐ-CP được sửa đổi, bổ sung bởi Nghị định số 14/2022/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử. Văn bản này chỉ quy định một số hành vi vi phạm liên quan đến TTCN như cung cấp, sử dụng trái phép thông tin trên mạng, về thu thập, sử dụng TTCN, hay bảo đảm an toàn TTCN trên mạng; tuy nhiên, lại không dự liệu điều chỉnh hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP. Để đảm bảo việc thực thi các quy định về an ninh mạng nói chung và bảo vệ dữ liệu cá nhân phù hợp với Nghị định số 13/2023/NĐ-CP nói riêng, Bộ Công an đã công bố bản dự thảo lần 3 Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng để lấy ý kiến rộng rãi. Dự thảo Nghị định XPVPHC quy định các hành vi không tuân thủ trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân, đồng thời thay thế một số quy định hiện hành tại các Nghị định số 15/2020/NĐ-CP được sửa đổi, bổ sung bởi Nghị định số 14/2022/NĐ-CP.

Thứ ba, đối với chế tài xử lý hình sự, đây là chế tài có tính nghiêm khắc và răn đe cao nhất. Xem xét các quy định hiện nay của Bộ luật Hình sự 2015 (BLHS 2015), thấy rằng chưa có quy định xử lý hình sự trực tiếp đối với hành vi vi phạm về bảo vệ dữ liệu cá nhân tương thích với Nghị định số 13/2023/NĐ-CP. Dựa vào bản chất đơn giản nhất của dữ liệu cá nhân chính là “TTCN”, trong các quy định hiện hành của BLHS 2015 một số tội phạm có khách thể là “TTCN” như sau:

Điều 155: Tội làm nhục người khác. Điều luật không mô tả rõ hành vi khách quan của tội này; tuy nhiên trong nhiều cách thức làm nhục, một cách thức được sử dụng phổ biến ngày nay là đưa những “TTCN” có tính chất nhạy cảm về đời tư, tình cảm, các thông tin tài chính, … nhằm mục đích xúc phạm nghiêm trọng nhân phẩm, danh dự của người khác, gây ảnh hưởng đến an toàn của CTDL, bất kể là đưa thông tin trực tiếp hoặc trên không gian mạng trực tuyến.

Điều 288: Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông. Một số hành vi khách quan của tội này bao gồm đưa thông tin trái pháp luật, mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng (cá nhân) của người khác… trên mạng máy tính, mạng viễn thông (trực tuyến).

Điều 290: Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản. Một số hành vi khách quan của tội này gồm sử dụng thông tin tài khoản ngân hàng, thẻ ngân hàng để chiếm đoạt tài sản, truy cập bất hợp pháp vào tài khoản của cá nhân khác nhằm chiếm đoạt tài sản… Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Điều 331: Tội lợi dụng các quyền tự do dân chủ xâm phạm lợi ích của Nhà nước, quyền, lợi ích hợp pháp của tổ chức, cá nhân.

Trước khi Nghị định số 13/2023/NĐ-CP được ban hành, hầu hết các vụ việc liên quan đến xâm phạm bảo vệ dữ liệu cá nhân đã được xử lý và giải quyết theo quy định của Bộ luật Hình sự năm 2015. Tuy nhiên, nhìn chung, các tội phạm liên quan đến hành vi này thường phải chịu trách nhiệm hình sự cá nhân, không phải pháp nhân hay tổ chức. Lý do cho điều này bắt nguồn từ việc pháp nhân thương mại chỉ phải chịu trách nhiệm hình sự đối với một số tội phạm cụ thể được quy định tại Điều 76 của Bộ luật Hình sự năm 2015. Đáng tiếc, các hành vi xâm phạm TTCN thường không được bao gồm trong danh sách này, dẫn đến việc pháp nhân thương mại hoặc tổ chức không thể bị truy cứu trách nhiệm hình sự trong các vụ việc có liên quan. Sự hạn chế này trong phạm vi trách nhiệm hình sự của pháp nhân thương mại đã tạo ra một kẽ hở pháp lý, tạo điều kiện cho các tội phạm lợi dụng các hành vi liên quan đến việc thu thập và xử lý dữ liệu cá nhân mà không phải chịu hậu quả pháp lý cho tổ chức hoặc công ty mà họ đại diện. Điều này tăng nguy cơ và khó khăn trong việc ngăn chặn và xử lý các vụ việc liên quan đến vấn đề bảo vệ dữ liệu cá nhân. Vì lý do đó, việc cập nhật và hoàn thiện pháp luật để đảm bảo rằng pháp nhân thương mại và tổ chức cũng chịu trách nhiệm hình sự đối với các hành vi xâm phạm TTCN là cần thiết và cấp bách trong bối cảnh ngày nay, khi mà dữ liệu cá nhân ngày càng trở nên quan trọng và nhạy cảm hơn trong xã hội số hóa.

Có thể nhận thấy, việc xác định rõ khái niệm về dữ liệu cá nhân là một bước quan trọng đối với hệ thống pháp luật Việt Nam. Các quy định trước đó thường sử dụng thuật ngữ “thông tin cá nhân” một cách rộng rãi và không định nghĩa cụ thể, dẫn đến sự mơ hồ trong việc áp dụng và thực thi.Sự xuất hiện của Nghị định số 13/2023/NĐ-CP đã đưa ra một định nghĩa cụ thể và toàn diện hơn về dữ liệu cá nhân, giúp làm rõ hơn về phạm vi và nội dung của dữ liệu cá nhân. Sự khẳng định rõ ràng về khái niệm này giúp các cơ quan thực thi pháp luật hiểu rõ hơn về các hành vi vi phạm và cách xử lý chúng. Tuy nhiên, có một quan điểm đề cập đến sự tương đồng về bản chất của hai khái niệm “TTCN” và “DLCN”, dù được định nghĩa một cách khác nhau. Điều này làm nổi bật sự linh hoạt trong việc áp dụng quy định pháp luật, khi các cơ quan có thể tiếp tục sử dụng các quy định của Bộ luật Hình sự năm 2015 để xử lý các hành vi vi phạm liên quan đến dữ liệu cá nhân mà không cần phải thay đổi ngay lập tức các quy định hiện hành. Mặc dù có sự tương đương này, việc thực thi pháp luật vẫn đang đối mặt với một số thách thức. Hiện tại, pháp luật chỉ mới quy định về trách nhiệm tuân thủ bảo vệ dữ liệu cá nhân của các bên có liên quan trong quá trình xử lý dữ liệu, nhưng chưa đầy đủ về các biện pháp xử lý hành vi vi phạm.

Về trách nhiệm hành chính, việc xử phạt áp dụng dành cho cá nhân vi phạm, trường hợp tổ chức vi phạm thì mức phạt vi phạm hành chính sẽ gấp hai lần mức phạt áp dụng đối với cá nhân.55 Đối với hành vi “Thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó” sẽ bị phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với cá nhân và từ 10.000.000 đồng đến 20.000.000 đồng đối với tổ chức.56 Ngoài ra, cá nhân hoặc tổ chức có hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông (trong trường hợp người sử dụng dịch vụ viễn thông là người tiêu dùng trong giao dịch thương mại điện tử) có thể bị xử phạt vi phạm hành chính với mức phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với tổ chức, và mức phạt đối với cá nhân sẽ bằng một nửa mức phạt này. Quy định này được áp dụng theo điểm a khoản 5 Điều 102 Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử. Ngoài hình thức xử phạt tiền, chủ thể vi phạm còn có thể bị áp dụng hình thức xử phạt bổ sung là tước quyền sử dụng Giấy phép thiết lập mạng xã hội từ 22 tháng đến 24 tháng. Bên cạnh đó, họ còn có thể bị buộc nộp lại số lợi bất hợp pháp có được từ hành vi vi phạm. Cá nhân vi phạm có thể bị xử lý hình sự tùy theo mức độ và tính chất nguy hiểm cho xã hội và người tiêu dùng. Điều 288 Bộ luật Hình sự quy định về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông, với mức phạt cao nhất là 07 năm tù. Điều này thể hiện sự nghiêm khắc của pháp luật đối với các hành vi vi phạm trong lĩnh vực thông tin mạng. Ngoài ra, CTDL có quyền khởi kiện yêu cầu bồi thường thiệt hại nếu hành vi xâm phạm gây tổn hại đến sức khỏe, tính mạng, tinh thần của họ. Quyền này được quy định tại Điều 584 Bộ luật Dân sự năm 2015, bảo đảm người tiêu dùng có thể đòi lại công bằng và bồi thường từ chủ thể vi phạm.

2.2. Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

2.2.1. Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử của cơ quan quản lý Nhà nước

Việc bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử tại Việt Nam dưới góc độ pháp lý đòi hỏi sự tham gia tích cực và hiệu quả của các cơ quan quản lý Nhà nước. Phân tích theo các tiêu chí tuân thủ pháp luật, thi hành pháp luật, sử dụng pháp luật, và áp dụng pháp luật làm rõ vai trò và trách nhiệm của các cơ quan này. Bảo vệ dữ liệu cá nhân trong thương mại điện tử là một yếu tố quan trọng đảm bảo quyền lợi của người tiêu dùng và duy trì môi trường kinh doanh an toàn, tin cậy. Trong bối cảnh này, Nghị định số 13/2023/NĐ-CP cùng với các văn bản pháp luật liên quan như Luật An toàn Thông tin mạng năm 2015 và Luật An ninh mạng năm 2018 đóng vai trò quan trọng trong việc định hướng và điều chỉnh các hoạt động liên quan. Việc tuân thủ pháp luật không chỉ là trách nhiệm của các doanh nghiệp thương mại điện tử mà còn là nhiệm vụ quan trọng của các cơ quan quản lý Nhà nước. Các cơ quan này phải đảm bảo rằng các quy định pháp luật được thực thi đầy đủ và hiệu quả. Điều này bao gồm hai hoạt động chính: xây dựng khung pháp lý và kiểm tra, giám sát việc tuân thủ.

Các cơ quan Nhà nước, theo Nghị định số 13/2023/NĐ-CP, có trách nhiệm ban hành các văn bản pháp luật chi tiết và cụ thể hóa các quy định về bảo vệ dữ liệu cá nhân để hướng dẫn các doanh nghiệp thương mại điện tử trong quá trình thực thi. Điều này bao gồm việc thiết lập các quy định rõ ràng về tiêu chuẩn kỹ thuật và quy trình an toàn cho việc thu thập, lưu trữ, xử lý và bảo vệ dữ liệu cá nhân, đảm bảo sự tuân thủ các yêu cầu bảo mật và quyền riêng tư của người dùng.

Khung pháp lý cần đảm bảo tính rõ ràng và minh bạch, giúp các doanh nghiệp dễ dàng hiểu và áp dụng các quy định một cách chính xác, không chỉ về mặt ngôn từ mà còn phải dễ dàng triển khai trong thực tiễn. Các quy định phải được trình bày một cách minh bạch, chi tiết và dễ hiểu, đồng thời cần cung cấp hướng dẫn cụ thể về cách thức thực hiện các yêu cầu pháp lý này. Ngoài ra, khung pháp lý phải được thiết kế sao cho phù hợp với thực tiễn hoạt động của doanh nghiệp thương mại điện tử, đảm bảo rằng các quy định pháp luật không gây cản trở nhưng vẫn bảo vệ hiệu quả quyền lợi của cá nhân. Điều này đòi hỏi các quy định pháp luật phải linh hoạt và khả thi, phù hợp với đặc thù của thương mại điện tử và những thay đổi nhanh chóng trong lĩnh vực công nghệ thông tin. Các quy định cần được xây dựng dựa trên cơ sở nghiên cứu thực tiễn và tham vấn ý kiến của các bên liên quan, bao gồm cả doanh nghiệp và người tiêu dùng, để đảm bảo rằng chúng phản ánh đầy đủ các yêu cầu và thách thức thực tế trong việc bảo vệ DLCN. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Nghị định số 13/2023/NĐ-CP đánh dấu bước ngoặt quan trọng trong việc củng cố vai trò tiên quyết của các cơ quan quản lý nhà nước trong bảo vệ dữ liệu cá nhân của người dùng TMĐT, thể hiện qua các điểm sau:

Thứ nhất, xây dựng hệ thống pháp luật đồng bộ. Các cơ quan quản lý nhà nước có thẩm quyền như Bộ TT&TT, Bộ Công an, Bộ Tư pháp phối hợp xây dựng, hoàn thiện hệ thống văn bản pháp luật về bảo vệ dữ liệu cá nhân, đảm bảo tính thống nhất, đồng bộ với các quy định quốc tế. Nghị định số 13/2023/NĐ-CP quy định chi tiết về trách nhiệm của các bên liên quan, quyền của CTDL, biện pháp bảo vệ dữ liệu cá nhân và cơ chế giám sát, xử lý vi phạm. “Theo Bộ Công an, hiện có tổng cộng 69 văn bản trong hệ thống pháp luật Việt Nam liên quan trực tiếp đến bảo vệ dữ liệu cá nhân. Tuy nhiên, tất cả đều chưa đồng nhất về khái niệm và nội dung của dữ liệu cá nhân cũng như về bảo vệ thông tin cá nhân. Bộ Công an cũng cho biết, Hiến pháp năm 2013 đã xác nhận rằng quyền riêng tư của cá nhân là không thể xâm phạm. Sự không thể xâm phạm này không chỉ bao gồm thân thể, nhà cửa, thư tín, mà còn liên quan đến quyền bảo vệ thông tin cá nhân, bao gồm thông tin về đời sống riêng tư, bí mật cá nhân, và bí mật gia đình. Tính đến thời điểm hiện tại, chỉ có Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã đưa ra định nghĩa và quy định về bảo vệ dữ liệu cá nhân. Còn lại, không có văn bản pháp luật nào khác định nghĩa về vấn đề này.

Tuy nhiên, phạm vi của Nghị định này vẫn chưa bao quát toàn bộ các lĩnh vực và mối quan hệ trong đời sống xã hội, đặc biệt là các quy định liên quan đến thông tin cá nhân, thông tin riêng, thông tin số; thông tin cá nhân trên môi trường mạng; và thông tin bí mật đời tư”.

Thứ hai, tăng cường năng lực thực thi pháp luật. Các cơ quan quản lý nhà nước được đầu tư trang thiết bị hiện đại,bồi dưỡng đội ngũ cán bộ có chuyên môn nghiệp vụ cao về bảo vệ dữ liệu cá nhân, công nghệ thông tin và an ninh mạng. Việc thanh tra, kiểm tra được thực hiện thường xuyên, chặt chẽ, đảm bảo phát hiện, xử lý kịp thời các vi phạm.

Thứ ba, nâng cao nhận thức cộng đồng. Các cơ quan quản lý nhà nước phối hợp với các cơ quan truyền thông, tổ chức xã hội tổ chức các hoạt động tuyên truyền, giáo dục về tầm quan trọng của bảo vệ dữ liệu cá nhân cho người dân và doanh nghiệp. Nâng cao nhận thức của người dùng TMĐT về quyền riêng tư và cách thức bảo vệ dữ liệu cá nhân của bản thân.

Thứ tư, phát triển hợp tác quốc tế. Hợp tác với các cơ quan quản lý bảo vệ dữ liệu cá nhân của các quốc gia khác để chia sẻ kinh nghiệm, trao đổi thông tin, phối hợp xử lý các vi phạm liên quan đến dữ liệu cá nhân xuyên quốc gia. Qua đánh giá, “Bộ TT&TT đã tổ chức và tham gia 11 đoàn kiểm tra giữa liên Bộ TT&TT, Công an, Quốc phòng để đánh giá về công tác bảo đảm an toàn, an ninh mạng trong đó có kiểm tra các nội dung liên quan đến bảo vệ dữ liệu thông tin cá nhân.

Nhiều giải pháp khác để góp phần bảo vệ thông tin người dùng Internet trong nước cũng đã và đang được Bộ TT&TT triển khai như: Phát hành cẩm nang bảo đảm an toàn thông tin, với nội dung có hướng dẫn các biện pháp để bảo vệ thông tin cá nhân, tài khoản; thiết lập kênh trực tuyến tiếp nhận thông tin phản ánh về lộ lọt thông tin cá nhân và cung cấp công cụ online cho phép người dân tự kiểm tra việc lộ lọt thông tin cá nhân tại cổng không gian mang.; hay triển khai hệ sinh thái Tín nhiệm mạng (tinnhiemmang.) để đánh giá, xác nhận website đảm bảo an toàn thông tin mạng, trong đó có bảo vệ dữ liệu cá nhân, cho 3.163 website chính thống… Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Thông tin về các giải pháp mà Bộ TT&TT triển khai thời gian tới, Cục An toàn thông tin cho hay, Bộ sẽ tiếp tục chỉ đạo các cơ quan thuộc lĩnh vực quản lý tăng cường thực hiện bảo vệ dữ liệu cá nhân; đồng thời triển khai các biện pháp quản lý, kỹ thuật để bảo vệ dữ liệu cá nhân”.

Về phạm vi triển khai, các cơ quan này chỉ mới thực hiện các bước đầu tiên trong quy trình tăng cường nhận thức về bảo vệ dữ liệu cá nhân và còn cần nhiều thời gian hơn cho việc tiến hành thanh tra toàn diện các chủ thể là cá nhân, tổ chức cung cấp các dịch vụ, nền tảng TMĐT và các lĩnh vực khác.

Bộ Thông tin và Truyền thông đóng vai trò xây dựng và quản lý Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, cung cấp thông tin, hướng dẫn cho người dân và doanh nghiệp về bảo vệ dữ liệu cá nhân. Phối hợp với các cơ quan chức năng khác để xử lý các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân trên mạng xã hội. Cùng đó, Bộ Công an hỗ trợ Bộ TT&TT trong việc giám sát việc tuân thủ quy định về bảo vệ dữ liệu cá nhân của các doanh nghiệp TMĐT, phát hiện, điều tra, xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân liên quan đến an ninh mạng, an ninh quốc gia. Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ có trách nhiệm tham gia xây dựng các văn bản pháp luật về bảo vệ dữ liệu cá nhân, đảm bảo tính hợp hiến, hợp pháp các thực hiện các trách nhiệm khác quy định tại Điều 36 Nghị định số 13/2023/NĐ-CP. Trách nhiệm bảo vệ dữ liệu cá nhân của người dùng TMĐT là trách nhiệm chung của cả hệ thống chính trị và toàn xã hội. Các cơ quan quản lý nhà nước đóng vai trò tiên quyết trong việc xây dựng hệ thống pháp luật, thực thi pháp luật, nâng cao nhận thức và tăng cường hợp tác quốc tế để đảm bảo an toàn dữ liệu cho người dùng TMĐT, góp phần thúc đẩy phát triển TMĐT bền vững và tạo dựng môi trường kinh doanh minh bạch, an toàn.

Khi phát hiện vi phạm, cơ quan Nhà nước phải áp dụng các biện pháp xử lý nghiêm khắc theo quy định, bao gồm xử phạt hành chính, đình chỉ hoạt động hoặc truy cứu trách nhiệm hình sự đối với các cá nhân và tổ chức vi phạm. Các biện pháp xử lý phải đảm bảo tính răn đe và công bằng, đồng thời bảo vệ quyền lợi của người tiêu dùng. Việc thực thi các biện pháp xử lý phải được thực hiện một cách công khai, minh bạch để răn đe các hành vi vi phạm khác và bảo vệ quyền lợi của người tiêu dùng. Các kết quả kiểm tra và biện pháp xử lý cần được thông báo rộng rãi để tăng cường sự tuân thủ của các doanh nghiệp. Song, các cơ quan quản lý cũng cần hỗ trợ kỹ thuật và tư vấn cho doanh nghiệp trong việc xây dựng và thực thi các biện pháp bảo vệ dữ liệu cá nhân hiệu quả. Điều này bao gồm việc cung cấp các công cụ và giải pháp kỹ thuật, cũng như tư vấn về các vấn đề pháp lý liên quan đến đảm bảo an toàn dữ liệu cũng như đẩy mạnh công tác tuyên truyền, phổ biến pháp luật về bảo vệ dữ liệu cá nhân, đồng thời cung cấp hướng dẫn cụ thể cho doanh nghiệp về cách thức tuân thủ các quy định, tổ chức các chương trình đào tạo, tập huấn cho doanh nghiệp và nhân viên về quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân và cách thức thực hiện trong thực tế.

2.2.2. Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử của chủ thể dữ liệu Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Thực tiễn về bảo vệ dữ liệu cá nhân trong hoạt động TMĐT cho thấy: (i) các cá nhân là CTDL vẫn chưa thực sự nắm rõ các quyền của mình đối với dữ liệu cá nhân; (ii) một số chủ thể cung cấp dịch vụ về TMĐT còn chưa thực hiện đầy đủ các trách nhiệm thông báo về quyền, quá trình thu thập, xử lý, chia sẻ dữ liệu cá nhân cho các bên có liên quan; (iii) thực tiễn về xử lý vi phạm đến bảo vệ dữ liệu cá nhân trong hoạt động TMĐT vẫn còn gặp nhiều khó khăn, cụ thể:

Thứ nhất, các CTDL vẫn chưa được cung cấp đầy đủ nhận thức về tính quan trọng và giá trị của dữ liệu cá nhân, thông tin về quyền của mình đối với dữ liệu cá nhân được thu thập. Lấy ví dụ tại thời điểm truy cập vào một trang TMĐT bất kỳ, các dữ liệu cá nhân liên quan đến chủ thể này đã bắt đầu được thu thập, tuy nhiên thông báo về quyền của chủ thể này đối với dữ liệu cá nhân không được cung cấp tại thời điểm đó và cả thời điểm thực hiện việc thanh toán đơn hàng. Quy định pháp luật về bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP chỉ mới quy định về sự đồng ý của CTDL nhưng thiếu quy định về thời điểm lấy ý kiến về việc đồng ý thu thập, xử lý ĐLCN. Theo thống kê từ Bộ Công an, “Việt Nam đang có 77,93 triệu người sử dụng Internet (chiếm hơn 79% dân số), xếp thứ 12 trên thế giới. Tuy nhiên, dữ liệu cá nhân của hơn 2/3 dân số Việt Nam đang bị thu thập, chia sẻ trên mạng với với nhiều hình thức và mức độ khác nhau. Trong 2 năm qua, lực lượng chức năng đã khởi tố 5 vụ án hình sự, với hàng nghìn GB dữ liệu và chứa hàng tỷ thông tin cá nhân bị mua bán”, qua đó thấy rằng, dù “chưa có thống kê toàn diện nhưng qua những dữ liệu có được thì các vụ lộ và mua bán dữ liệu cá nhân ngày càng lớn, được tiến hành một cách có hệ thống, ngày càng nghiêm trọng”.

Thứ hai, một số chủ thể cung cấp dịch vụ về TMĐT còn chưa thực hiện đầy đủ các trách nhiệm thông báo về quyền, quá trình thu thập, xử lý, chia sẻ dữ liệu cá nhân cho các bên có liên quan. Thực tế tại Việt Nam đã xảy ra nhiều vụ việc liên quan đến trách nhiệm của chủ thể này. Như trường hợp lộ thông tin thẻ tín dụng khi đặt phòng qua trang B. Theo đó, “trang B khẳng định đã xử lý tất cả dữ liệu của khách hàng tuân thủ theo tiêu chuẩn kỹ thuật cao, đảm bảo đối tác nhận được dữ liệu cần thiết để hoạt động kinh doanh an toàn. Trang B chuyển toàn bộ thông tin thẻ tín dụng của khách hàng đến đơn vị nhận đặt phòng một cách an toàn thông qua mô hình được bảo vệ bằng mật khẩu, sử dụng xác thực 2 yếu tố (two-factor authentication). Nhưng sau đó phụ thuộc vào các đơn vị nhận đặt phòng để đảm bảo rằng họ tuân thủ tiêu chuẩn bảo mật cao khi họ có thông tin khách hàng. Tất cả các đối tác của trang B cũng đồng ý với chính sách yêu cầu các đơn vị nhận đặt phòng được liệt kê với chúng tôi tuân theo các quy trình xử lý dữ liệu nhất định nhằm bảo vệ khách hàng. Một số trường hợp chúng tôi phát hiện được hành vi không đúng của đối tác, chúng tôi sẽ điều tra ngay lập tức như trường hợp của anh H. nói trên, đại diện trang B nói. Theo lý giải của đại diện này, giữa họ và các đối tác nhận đặt phòng có thoả thuận bảo mật thông tin cho khách hàng. Khi chuyển thông tin cho đối tác, trang bị áp dụng mô hình bảo vệ bằng mật khẩu sử dụng xác thực 2 yếu tố” Có thể thấy mặc dù trong sự việc trên, trang B đã áp dụng các biện pháp an toàn cần thiết, tuy nhiên về phía đối tác, có thể được hiểu là bên thứ 3 tham gia, được chia sẻ dữ liệu đã không thực hiện trách nhiệm đối với CTDL về bảo vệ dữ liệu cá nhân. Mặt khác, tại thời điểm xảy ra vụ việc, pháp luật về bảo vệ dữ liệu cá nhân vẫn còn chưa hoàn thiện, do đó chưa tồn tại một quy định rõ ràng điều chỉnh quyền và trách nhiệm của chủ thể này trong giao dịch trên. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Thứ ba, trường hợp thông tin cá nhân được sử dụng cho việc tiếp thị, quảng cáo dịch vụ, sản phẩm. Thông thường, những chủ thể cung cấp dịch vụ bán hàng qua mạng kết hợp với cửa hàng truyền thống, dữ liệu cá nhân từ giao dịch sẽ được lưu trữ trong hệ thống cơ sở dữ liệu, và được sử dụng cho việc quảng cáo, tiếp thị. Tuy nhiên với tần suất dày đặc, điều này ảnh hưởng đến chất lượng cuộc sống, công việc của các CTDL đó. Điều này có nhiều khả năng vi phạm đến thỏa thuận về chính sách sử dụng thông tin trước đó bởi thông tin được lưu trữ thông qua giao dịch truyền thống, quá trình này gần như không cung cấp đầy đủ các nội dung về bảo mật thông tin, các xử lý, mục đích sử dụng cho khách hàng mà lại được sử dụng cho các dịch vụ tiếp thị, quảng cáo. Theo báo cáo một số nội dung liên quan đến nhóm vấn đề chất vấn thuộc lĩnh vực thông tin và truyền thông tại Kỳ họp thứ 4, Quốc hội khoá XV của Bộ Thông tin và Truyền thông gửi các đại biểu Quốc hội, việc lộ lọt dữ liệu cá nhân ở Việt Nam thời gian qua chủ yếu xuất phát từ hai nguyên nhân: “Thứ nhất là do yếu tố kỹ thuật. Các hệ thống thông tin thu thập, xử lý, lưu trữ dữ liệu cá nhân của người dùng nhưng không bảo đảm an toàn, an ninh mạng, dẫn đến bị tấn công, khai thác. Thứ hai là yếu tố phi kỹ thuật. Theo đó, các tổ chức, doanh nghiệp thu thập, xử lý dữ liệu cá nhân của người dùng và chia sẻ trái phép với bên thứ ba; hoặc bên thứ ba cấu kết với nhân viên quản lý dữ liệu của tổ chức, doanh nghiệp; hoặc thu thập thông qua việc tạo các trang web, tài khoản mạng xã hội để thu thập; dụ dỗ người dân cung cấp khi chính người dân cũng sơ ý, tùy tiện và chủ động cung cấp thông tin cá nhân của mình”.

Thứ tư, nhận thức về tần quan trọng đối với dữ liệu cá nhân của CTDL và các hành vi lừa đảo qua mạng còn thấp. “Theo các chuyên gia về công nghệ ngân hàng, các loại hình gian lận phổ biến trong thanh toán điện tử như: (i) Đánh cắp thông tin bảo mật để chiếm đoạt quyền sử dụng tài khoản ngân hàng điện tử/thẻ, cụ thể, kẻ gian đánh cắp/thu thập thông tin bảo mật dịch vụ ngân hàng điện tử/Thẻ của khách hàng (số tài khoản, mật khẩu, mã OTP, mã PIN…) tiếp đó chiếm đoạt quyền sử dụng tài khoản để trục lợi; (ii) Kẻ gian lừa khách hàng tự chuyển tiền cho kẻ gian; (iii) Loại hình khác: Đối tượng lừa đảo lợi dụng giấy tờ bị thất lạc của khách hàng để thực hiện đăng ký mới/kích hoạt lại dịch vụ ngân hàng điện tử của khách hàng tại quầy để chiếm đoạt quyền sử dụng”.

Bên cạnh đó, các CTDL còn bị đánh cắp các thông tin như bằng lái xe, căn cước công dân nhằm phục vụ các mục đích chiếm đoạt tài sản: “Ngoài ra, các đối tượng còn sử dụng hình chụp căn cước công dân (CCCD), sao chép thông tin CCCD thật để làm phiên bản giả với dãy số và tên nạn nhân giữ nguyên, nhưng thay ảnh của chính mình vào. Sau đó, chúng dùng CCCD giả này đến ngân hàng chiếm đoạt tiền trong tài khoản của nạn nhân (đã nghiên cứu trước). Hiện, một số app vay tiền trực tuyến áp dụng công nghệ eKYC (Know Your Customer – định danh không gặp trực tiếp) cho phép người dùng xác thực tài khoản vay vốn bằng cách cần tải hình CCCD hoặc hình chân dung đang cầm giấy tờ trên tay. Kẻ gian sẽ lấy hình CCCD người khác, hoặc in thành phiên bản giả thay hình chân dung mình vào để vượt qua bước này.

Bằng cách nghiên cứu thông tin trên CCCD như hình ảnh, tên tuổi, quê quán, nơi ở, giới tính… tội phạm công nghệ cao có thể biết được số điện thoại liên hệ, tài khoản ngân hàng của khách hàng. Sau đó chúng giả công an, kiểm sát viên, thanh tra, tòa án gọi điện đến hù dọa người này đang bị điều tra vì “liên quan đến vụ án”. Theo thống kê của Bộ Công an, thủ đoạn giả danh này chiếm hơn 65% số vụ lừa đảo trên không gian mạng năm 2020.

Tổng kết từ thực tiễn thì thấy các kịch bản lừa đảo, gian lận phổ biến như:

• Lừa đảo qua SMS (giả mạo tin nhắn SMS Brandname của chính ngân hàng);
• Lừa đảo qua tài khoản Facebook Messenger (giả mạo người thân/quen của khách hàng: Hack tài khoản mạng xã hội (Zalo, Facebook…) của bạn bè, người thân của khách hàng và giả mạo bạn bè, người thân của khách hàng. Tiếp đó, đối tượng lừa đảo đề nghị khách hàng cung cấp thông tin, tự chuyển tiền tới tài khoản lừa đảo hoặc nhờ nhận tiền hộ sau đó dụ khách hàng truy cập vào link lừa đảo;
• Lừa đảo qua điện thoại: Giả mạo là cán bộ ngân hàng/công an/tòa án… để gọi điện thông báo khách hàng đã trúng thưởng hoặc tài khoản khách hàng phạm pháp/giao dịch lỗi, đề nghị khách hàng cung cấp thông tin bảo mật để xác thực hoặc đe dọa bắt khách hàng chuyển tiền; Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.
• Lừa đảo qua email (chủ yếu là gửi email chứa link độc hại). Các đối tượng sẽ gửi email cảnh báo giả tới email cá nhân của khách hàng với danh nghĩa là ngân hàng, từ đó yêu cầu khách hàng khai báo thông tin trên các đường dẫn độc được đính kèm email;
• v) Đánh cắp thông tin từ website giả mạo (phishing website): Các trang web giả mạo: hacker tạo trang web với giao diện sao chép giống hệt website chính thống của ngân hàng và lừa người dùng truy cập để đánh cắp thông tin hoặc lây nhiễm mã độc”.

Thứ năm, thực tiễn về xử lý vi phạm đến bảo vệ dữ liệu cá nhân trong hoạt động TMĐT vẫn còn gặp nhiều khó khăn. Mặc dù được quy định về chủ thể xử lý các hành vi vi phạm, đến nay quá trình xử lý còn gặp nhiều khó khăn bởi: theo Nghị định số 13/2023/NĐ-CP, thẩm quyền giải quyết, Cổng thông tin quốc gia chịu trách nhiệm xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; Tuy nhiên, quy định này vẫn chưa thể hiện rõ chức năng của cơ quan này rằng việc xử phạt này là xử phạt hành chính, hay cơ quan này sẽ chuyển hồ sơ sang các cơ quan có thẩm quyền khác để tiến hành việc xử phạt theo quy định của pháp luật về bảo vệ quyền lợi người tiêu dùng. Điều này gây khó khăn cho CTDL do việc tiếp nhận các yêu cầu xử phạt bị dàn trải, có liên quan đến nhiều cơ quan.

2.2.3. Thực tiễn thực hiện pháp luật về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử của chủ thể xử lý, kiểm soát dữ liệu

Với các doanh nghiệp là chủ thể XLDL, chủ thể KSDL, việc thực thi Nghị định số 13/2023/NĐ-CP sẽ mang lại những thách thức và tác động đa chiều đến nhiều khía cạnh của hoạt động kinh doanh. Từ việc sử dụng nhân sự đến quản trị nội bộ, từ hoạt động kinh doanh đến quan hệ với khách hàng và đối tác, mỗi mảng đều có thể chịu ảnh hưởng. Đầu tiên, việc đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong quá trình sử dụng nhân sự là một trong những thách thức lớn đối với doanh nghiệp. Điều này đòi hỏi họ phải thiết lập các chính sách và quy trình rõ ràng, đào tạo nhân viên về việc xử lý dữ liệu cá nhân một cách an toàn và tuân thủ quy định pháp luật. Thứ hai, quản trị nội bộ cũng sẽ phải điều chỉnh để đảm bảo rằng các hoạt động liên quan đến việc thu thập, lưu trữ và xử lý dữ liệu cá nhân được thực hiện theo quy định. Điều này có thể bao gồm việc áp dụng các công nghệ an ninh thông tin, thiết lập các cơ chế kiểm soát truy cập và quản lý rủi ro liên quan đến dữ liệu cá nhân. Ngoài ra, hoạt động kinh doanh của doanh nghiệp cũng sẽ phải thích nghi với các yêu cầu mới từ Nghị định số 13/2023/NĐ-CP. Các chiến lược tiếp thị và quảng cáo, đặc biệt là những hoạt động liên quan đến việc thu thập và sử dụng dữ liệu cá nhân của khách hàng, sẽ cần phải tuân thủ nghiêm ngặt các quy định về quyền riêng tư và bảo vệ dữ liệu. Cuối cùng, việc quản lý quan hệ với khách hàng và đối tác cũng sẽ phải được điều chỉnh. Điều này có thể bao gồm việc cập nhật các điều khoản và điều kiện trong các hợp đồng để phản ánh các yêu cầu mới về bảo vệ dữ liệu cá nhân, cũng như việc thực hiện các biện pháp bảo mật để đảm bảo rằng TTCN của khách hàng và đối tác được bảo vệ an toàn. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Việc thực hiện Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân trong bối cảnh doanh nghiệp thương mại điện tử phát triển bùng nổ đặt ra những yêu cầu pháp lý nghiêm ngặt và đòi hỏi sự chuẩn bị toàn diện. Chủ thể tham gia hoặt động TMĐT thường thu thập và xử lý lượng lớn TTCN của khách hàng, bao gồm tên, địa chỉ, số điện thoại, thông tin thanh toán và các chi tiết mua hàng. Để tuân thủ Nghị định số 13/2023/NĐ-CP, doanh nghiệp phải thiết lập các biện pháp an ninh thông tin và cơ chế bảo vệ dữ liệu một cách chặt chẽ, đảm bảo rằng dữ liệu cá nhân được bảo mật và chỉ được sử dụng cho các mục đích hợp pháp đã được khách hàng đồng ý. Trước sự bùng nổ phát triển của doanh nghiệp TMĐT, việc bảo vệ dữ liệu cá nhân ngày càng trở thành một thách thức nghiêm trọng và đòi hỏi sự chuẩn bị toàn diện từ phía các doanh nghiệp. Để đáp ứng các yêu cầu pháp lý nghiêm ngặt của Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, các doanh nghiệp TMĐT không chỉ phải đảm bảo tuân thủ mà còn phải thiết lập và thực thi các biện pháp an ninh thông tin một cách chặt chẽ.

TTCN mà các doanh nghiệp TMĐT thường xuyên thu thập và xử lý bao gồm nhiều loại như tên, địa chỉ, số điện thoại, thông tin thanh toán, và các chi tiết mua hàng. Để bảo vệ những thông tin này, các doanh nghiệp cần bắt đầu từ việc xác định và phân loại rõ ràng dữ liệu cá nhân mà họ sở hữu và xử lý. Việc này giúp họ đảm bảo rằng dữ liệu được bảo vệ theo đúng quy định, đồng thời giảm thiểu rủi ro về bảo mật thông tin. Đặc biệt, việc thiết lập các biện pháp an ninh thông tin là điều cực kỳ cần thiết. Các biện pháp này có thể bao gồm mã hóa dữ liệu, xác thực người dùng, và hạn chế quyền truy cập dữ liệu. Điều này không chỉ giúp ngăn chặn việc truy cập trái phép vào dữ liệu cá nhân mà còn đảm bảo rằng dữ liệu được lưu trữ an toàn và không bị sử dụng sai mục đích.

Một trong những yêu cầu quan trọng nhất của Nghị định số 13/2023/NĐ-CP là sự đồng thuận hợp pháp từ phía khách hàng trước khi thu thập và sử dụng dữ liệu cá nhân. Doanh nghiệp cần phải xây dựng và thực thi các điều khoản và điều kiện dễ hiểu và rõ ràng để khách hàng có thể đồng ý một cách tự nguyện và có ý thức. Ngoài ra, việc giám sát và đánh giá định kỳ là một phần quan trọng trong quá trình thực thi Nghị định số 13/2023/NĐ-CP. Các doanh nghiệp cần thường xuyên kiểm tra hệ thống an ninh thông tin của mình, đào tạo nhân viên về bảo mật thông tin, và xử lý các vi phạm một cách nghiêm túc. Điều này giúp đảm bảo rằng các biện pháp bảo vệ dữ liệu cá nhân được thực thi hiệu quả và hạn chế được những rủi ro tiềm ẩn.

Với tốc độ phát triển nhanh chóng của công nghệ và thay đổi trong môi trường kinh doanh, các doanh nghiệp TMĐT cần luôn cập nhật và điều chỉnh các biện pháp bảo vệ dữ liệu để đáp ứng các yêu cầu pháp lý mới và giảm thiểu rủi ro bảo mật. Chỉ thông qua việc thực hiện nghiêm túc các yêu cầu này, các doanh nghiệp mới có thể vừa đảm bảo tuân thủ pháp luật một cách đầy đủ, vừa xây dựng được lòng tin và sự uy tín từ phía khách hàng. Quan hệ khách hàng và đối tác cũng phải được quản lý theo các quy định của Nghị định số 13/2023/NĐ-CP. Điều này đòi hỏi doanh nghiệp phải có các điều khoản và điều kiện rõ ràng trong các hợp đồng, đảm bảo rằng các bên liên quan đều hiểu và tuân thủ các yêu cầu về bảo vệ dữ liệu. Việc đào tạo nhân viên về an ninh thông tin và xử lý dữ liệu cá nhân cũng là một yêu cầu quan trọng, giúp đảm bảo rằng toàn bộ tổ chức đều nhận thức được và tuân thủ các quy định pháp luật về bảo vệ dữ liệu. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

Quá trình chuyển đổi số trong lĩnh vực thương mại mặc dù mang lại nhiều lợi ích về hiệu suất và tối ưu hóa quy trình, cũng có thể ảnh hưởng đến an toàn dữ liệu của khách hàng. Việc chuyển đổi số này đòi hỏi một hạ tầng công nghệ thông tin tương xứng, nhằm hỗ trợ cho quá trình hoạt động và các công tác bảo mật dữ liệu sau này của các nền tảng TMĐT, đặc biệt là TMĐT B2B. Hạ tầng công nghệ thông tin cho TMĐT B2B tại Việt Nam đã có những bước phát triển mạnh mẽ, với sự gia tăng đáng kể số lượng thuê bao truy nhập Internet qua các công nghệ tiên tiến như cáp quang và kênh thuê riêng. Điều này thể hiện qua tổng băng thông kết nối Internet quốc tế và trong nước đạt mức cao, tạo điều kiện thuận lợi cho các doanh nghiệp thực hiện các giao dịch trực tuyến lớn và phức tạp. Tuy nhiên, sự phát triển này lại chưa đi kèm với các giải pháp bảo mật tương xứng, khiến các doanh nghiệp B2B, đặc biệt là các doanh nghiệp nhỏ, dễ trở thành mục tiêu của các cuộc tấn công mạng. Báo cáo từ Trung tâm giám sát an toàn không gian mạng Quốc gia đã chỉ ra sự gia tăng đáng kể trong các hoạt động tấn công mạng tại Việt Nam, phản ánh nguy cơ cao đối với an toàn thông tin và dữ liệu cá nhân của khách hàng. Mặc dù hạ tầng công nghệ thông tin đã phát triển đáng kể, nhưng những thách thức về an toàn thông tin và khả năng duy trì các nền tảng B2B vẫn là rào cản lớn cần được khắc phục để thương mại điện tử B2B thực sự bùng nổ tại Việt Nam. Thêm vào đó, việc chia sẻ dữ liệu giữa các bên liên quan trong quá trình hoạt động TMĐT có thể dẫn đến mất kiểm soát dữ liệu và tăng nguy cơ lộ thông tin nhạy cảm. Chuyển đổi số cũng yêu cầu các doanh nghiệp phải tuân thủ các quy định về bảo vệ dữ liệu và cần phải cập nhật các chính sách bảo mật và quy trình quản lý dữ liệu để đảm bảo tuân thủ đầy đủ. Quản lý quyền truy cập mở rộng cho các nhân viên và đối tác cũng cần được thực hiện cẩn thận để bảo vệ dữ liệu nhạy cảm như thông tin thanh toán, đơn hàng, thông tin nhân thân của khách hàng. Để bảo vệ an toàn dữ liệu của khách hàng trong quá trình chuyển đổi số, các doanh nghiệp cần triển khai các giải pháp bảo mật mạng và hệ thống như mã hóa dữ liệu, tường lửa và hệ thống phát hiện xâm nhập. Việc thực hiện kiểm tra bảo mật định kỳ để phát hiện và khắc phục các lỗ hổng là cần thiết, cùng với việc đào tạo nhân viên về bảo mật dữ liệu và thiết lập các chính sách bảo mật rõ ràng. Dù chuyển đổi số mang lại nhiều cơ hội, việc bảo vệ dữ liệu cá nhân của khách hàng cần được chú trọng để giảm thiểu rủi ro và đảm bảo an toàn thông tin trong môi trường số hóa ngày càng phát triển.

Mặc dù Việt Nam đã xây dựng khung pháp lý cho TMĐT, nhưng sự phát triển nhanh chóng của công nghệ đã tạo ra nhiều vấn đề mới mà pháp luật hiện hành chưa thể bao quát hết. Các quy định hiện tại chưa đáp ứng được yêu cầu của thực tiễn, đặc biệt là trong lĩnh vực TMĐT B2B, nơi mà các giao dịch thương mại giữa các doanh nghiệp thường phức tạp hơn và yêu cầu bảo mật cao hơn. Các lỗ hổng pháp lý này khiến việc quản lý và bảo vệ dữ liệu trở nên khó khăn hơn, tạo điều kiện cho các lỗ hổng an ninh xuất hiện. Mặc dù hạ tầng công nghệ thông tin tại Việt Nam đang phát triển mạnh mẽ, nhưng các giải pháp bảo mật được các doanh nghiệp sử dụng vẫn chủ yếu ở mức cơ bản. Nhiều doanh nghiệp chỉ dừng lại ở việc sử dụng phần mềm diệt virus và tường lửa, mà chưa chú trọng đến các biện pháp bảo mật cao cấp hơn như chữ ký số, kiểm soát truy cập, và quản lý sự cố an toàn thông tin. Sự thiếu hụt này làm tăng nguy cơ bị tấn công mạng, đặc biệt là trong bối cảnh tội phạm mạng ngày càng tinh vi.

Một trong những thách thức lớn nhất trong việc bảo vệ an toàn dữ liệu là sự thiếu hụt nhân lực có trình độ cao trong lĩnh vực an toàn thông tin. Các doanh nghiệp gặp khó khăn trong việc tuyển dụng và giữ chân nhân viên chuyên trách về an toàn thông tin do cung không đủ cầu. Điều này đặc biệt nghiêm trọng đối với các doanh nghiệp vừa và nhỏ, nơi mà nguồn lực hạn chế khiến họ khó có thể đảm bảo an toàn dữ liệu một cách hiệu quả. Hơn nữa, các doanh nghiệp Việt Nam chưa thực sự quan tâm đầy đủ đến việc bảo vệ thông tin cá nhân của khách hàng. Điều này tạo ra nguy cơ cao về mất mát dữ liệu nhạy cảm, ảnh hưởng không chỉ đến uy tín của doanh nghiệp mà còn gây thiệt hại cho khách hàng. Việc không có chính sách bảo vệ dữ liệu cá nhân rõ ràng và hiệu quả càng làm gia tăng nguy cơ mất an toàn thông tin.

Việc triển khai các mô hình TMĐT phù hợp với hoạt động kinh doanh của doanh nghiệp cũng là một thách thức lớn. Sự phức tạp trong việc tích hợp các biện pháp an toàn thông tin với các đối tác kinh doanh, cùng với yêu cầu vốn đầu tư lớn, khiến nhiều doanh nghiệp gặp khó khăn trong việc triển khai hiệu quả các giải pháp TMĐT cùng các dịch vụ bổ trợ. Điều này không chỉ làm giảm hiệu quả kinh doanh mà còn tăng nguy cơ rủi ro an ninh mạng. Những yếu tố trên đã tạo nên một môi trường đầy thách thức cho việc bảo vệ an toàn dữ liệu trong TMĐT tại Việt Nam. Để khắc phục những thách thức này, cần có sự phối hợp chặt chẽ hơn giữa các cơ quan quản lý nhà nước, nâng cao năng lực bảo mật của doanh nghiệp, đồng thời đầu tư vào đào tạo nhân lực chuyên môn cao trong lĩnh vực an toàn thông tin. Chỉ khi đó, việc bảo vệ an toàn dữ liệu mới có thể được đảm bảo một cách hiệu quả trong bối cảnh thương mại điện tử B2B ngày càng phát triển. Để đảm bảo tuân thủ Nghị định số 13/2023/NĐ-CP, các doanh nghiệp cung ứng dịch vụ TMĐT cần đầu tư vào công nghệ an ninh thông tin tiên tiến và xây dựng một hệ

thống quản lý dữ liệu hiệu quả. Điều này không chỉ giúp bảo vệ dữ liệu cá nhân của khách hàng mà còn giúp doanh nghiệp giảm thiểu rủi ro pháp lý và bảo vệ uy tín của mình trong mắt khách hàng và đối tác. Việc chuẩn bị kỹ lưỡng và tuân thủ nghiêm ngặt các quy định của Nghị định số 13/2023/NĐ-CP là cần thiết để đảm bảo rằng dữ liệu cá nhân được xử lý an toàn và đúng pháp luật, từ đó góp phần xây dựng một môi trường thương mại điện tử lành mạnh và bền vững. Luận văn: Thực trạng về bảo vệ dữ liệu cá nhân trong thương mại.

CÓ THỂ BẠN QUAN TÂM ĐẾN DỊCH VỤ:  

===>>> Luận văn: Giải pháp về bảo vệ dữ liệu cá nhân trong thương mại