Quy định về bảo vệ thông tin của người tiêu dùng theo pháp luật Việt Nam
Ngay từ năm 2010, khi ban hành Luật Bảo vệ quyền lợi người
tiêu dùng, vấn đề bảo vệ thông tin của người tiêu dùng đã được đặt ra. Điều 6
Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 quy định: “Người tiêu dùng được
bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng
hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu”. Thêm vào
đó, trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì
tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm: (i) Thông báo rõ
ràng, công khai trước khi thực hiện với người tiêu dùng về mục đích hoạt động
thu thập, sử dụng thông tin của người tiêu dùng; (ii) Sử dụng thông tin phù hợp
với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng
ý; (iii) Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao
thông tin của người tiêu dùng; (iv) Tự mình hoặc có biện pháp để người tiêu
dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính
xác; (v) Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi
có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác.
Theo Nghị định số 14/VBHN-BCT ngày 19 tháng 11 năm
2021 của Bộ công thương về thương mại
điện tử trong
lĩnh vực thương mại điện tử, vấn đề bảo vệ thông tin cá nhân của người tiêu
dùng đã rất được coi trọng. Nghị định này quy định về việc phát triển, ứng dụng và
quản lý hoạt động thương mại điện tử. Hoạt động thương mại điện tử thực hiện
theo quy định của Nghị định này và pháp luật có liên quan, trừ quy định tại
khoản 2 Điều này. Hoạt động thương mại điện
tử trong lĩnh vực dịch vụ tài chính, ngân hàng, tín dụng, bảo hiểm, xổ số; mua
bán, trao đổi tiền, vàng, ngoại hối và các phương tiện thanh toán khác; dịch vụ
đặt cược hoặc trò chơi có thưởng; dịch vụ phân phối, phát hành sản phẩm nội dung
thông tin số, dịch vụ phát thanh, truyền hình đã được quy định tại pháp luật
chuyên ngành không thuộc phạm vi điều chỉnh của Nghị định này.
Các quy định từ Điều 68 đến Điều 73 của Nghị định này
cùng một số điều khoản khác trong Nghị định đã quy định khá chi tiết trách nhiệm
bảo vệ thông tin cá nhân của người tiêu dùng. Theo quy định tại Điều 68 Nghị định số 14/VBHN-BCT trong
quá trình hoạt động kinh doanh thương mại điện tử, nếu thương nhân, tổ chức, cá
nhân thực hiện việc thu thập thông tin cá nhân của người tiêu dùng thì phải
tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan
về bảo vệ thông tin cá nhân. Trường hợp thương nhân, tổ chức, cá nhân
hoạt động kinh doanh thương mại điện tử ủy quyền cho bên thứ ba thực hiện việc
thu thập, lưu trữ thông tin cá nhân của người tiêu dùng:Hợp đồng giữa
hai bên phải quy định rõ trách nhiệm của mỗi bên trong việc tuân thủ các quy
định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông
tin cá nhân. Nếu hợp đồng giữa hai bên không quy định rõ trách nhiệm của mỗi
bên thì thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử
chịu trách nhiệm trong trường hợp việc thu thập, lưu trữ và sử dụng thông tin
cá nhân của người tiêu dùng vi phạm các quy định tại Nghị định này và những quy
định pháp luật liên quan về bảo vệ thông tin cá nhân.
Điều 69 chính sách bảo vệ thông
tin cá nhân của người tiêu dùng quy định Thương nhân, tổ chức, cá
nhân thu thập và sử dụng thông tin cá nhân của người tiêu dùng phải xây dựng và
công bố chính sách bảo vệ thông tin cá nhân với các nội dung sau: Mục
đích thu thập thông tin cá nhân; Phạm vi sử dụng thông tin; Thời
gian lưu trữ thông tin; Những người hoặc tổ chức có thể được tiếp cận
với thông tin đó. Địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm
cách thức liên lạc để người tiêu dùng có thể hỏi về hoạt động thu thập, xử lý
thông tin liên quan đến cá nhân mình; Phương thức và công cụ để người
tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương
mại điện tử của đơn vị thu thập thông tin. Những nội dung trên phải được
hiển thị rõ ràng cho người tiêu dùng trước hoặc tại thời điểm thu thập thông
tin. Nếu việc thu thập thông tin được thực hiện thông qua website thương
mại điện tử của đơn vị thu thập thông tin, chính sách bảo vệ thông tin cá nhân
phải được công bố công khai tại một vị trí dễ thấy trên website này.
Quy định tại Điều 70 xin phép người tiêu dùng
khi tiến hành thu thập thông tin. Trừ trường hợp quy định
tại Khoản 4 Điều này thương nhân, tổ chức thu thập và sử dụng thông tin cá nhân
của người tiêu dùng trên website thương mại điện tử (gọi tắt là đơn vị thu thập
thông tin) phải được sự đồng ý trước của người tiêu dùng có thông tin đó (gọi
tắt là chủ thể thông tin). Đơn vị thu thập thông tin phải thiết lập cơ
chế để chủ thể thông tin bày tỏ sự đồng ý một cách rõ ràng, thông qua các chức
năng trực tuyến trên website, thư điện tử, tin nhắn, hoặc những phương thức
khác theo thỏa thuận giữa hai bên.
Đơn vị thu thập thông tin phải có cơ chế riêng
để chủ thể thông tin được lựa chọn việc cho phép hoặc không cho phép sử dụng
thông tin cá nhân của họ trong những trường hợp sau: Chia sẻ, tiết lộ,
chuyển giao thông tin cho một bên thứ ba; Sử dụng thông tin cá nhân để
gửi quảng cáo, giới thiệu sản phẩm và các thông tin có tính thương mại khác.
Đơn vị thu thập thông tin
không cần được sự đồng ý trước của chủ thể thông tin trong các trường hợp sau:
Thu thập thông tin cá nhân đã công bố công khai trên các website thương mại
điện tử; Thu thập thông tin cá nhân để ký kết hoặc thực hiện hợp đồng
mua bán hàng hóa và dịch vụ; Thu thập thông tin cá nhân để tính giá,
cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng.
Sử dụng thông tin cá nhân ( Điều 71). Đơn vị thu thập thông tin phải sử dụng thông tin cá nhân
của người tiêu dùng đúng với mục đích và phạm vi đã thông báo, trừ các trường
hợp sau: Có một thỏa thuận riêng với chủ thể thông tin về mục đích và
phạm vi sử dụng ngoài những mục đích, phạm vi đã thông báo; Để cung cấp
dịch vụ hoặc sản phẩm theo yêu cầu của chủ thể thông tin; Thực hiện các
nghĩa vụ theo quy định của pháp luật. Việc sử dụng thông tin quy định
tại Điều này bao gồm cả việc chia sẻ, tiết lộ và chuyển giao thông tin cá nhân
cho bên thứ ba.
Bảo đảm an toàn, an ninh thông tin cá nhân (Điều 72). Đơn vị thu thập thông
tin phải đảm bảo an toàn, an ninh cho thông tin cá nhân mà họ thu thập và lưu
trữ, ngăn ngừa các hành vi sau: Đánh cắp hoặc tiếp cận thông tin trái
phép; Sử dụng thông tin trái phép; Thay đổi, phá hủy thông tin
trái phép. Đơn vị thu thập thông tin phải có cơ chế tiếp nhận và giải
quyết khiếu nại của người tiêu dùng liên quan đến việc thông tin cá nhân bị sử
dụng sai mục đích hoặc phạm vi đã thông báo. Trong trường hợp hệ thống
thông tin bị tấn công làm phát sinh nguy cơ mất thông tin của người tiêu dùng,
đơn vị lưu trữ thông tin phải thông báo cho cơ quan chức năng trong vòng 24
(hai mươi bốn) giờ sau khi phát hiện sự cố.
Kiểm tra, cập nhật và điều chỉnh thông tin cá nhân (Điều 73). Chủ thể thông tin có quyền yêu cầu đơn vị thu thập thông
tin thực hiện việc kiểm tra, cập nhật, điều chỉnh hoặc hủy bỏ thông tin cá nhân
của mình. Đơn vị thu thập thông tin có nghĩa vụ kiểm tra, cập nhật, điều
chỉnh, hủy bỏ thông tin cá nhân của chủ thể thông tin khi có yêu cầu hoặc cung
cấp cho chủ thể thông tin công cụ để tự kiểm tra, cập nhật, điều chỉnh thông
tin cá nhân của mình.