PHÁP LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NGƯỜI TIÊU DÙNG TRONG HOẠT ĐỘNG THƯƠNG MẠI ĐIỆN TỬ Ở VIỆT NAM

Ths.Nguyễn Minh Tài

Chi nhánh văn phòng Luật sư Hoàng Anh Sơn

TÓM TẮT

Sự phát triển nhanh chóng của kinh tế số và thương mại điện tử đã biến dữ liệu cá nhân của người tiêu dùng trở thành một “nguồn lực chiến lược” định hình lợi thế cạnh tranh của các doanh nghiệp số. Mỗi lần nhấp chuột, mỗi lượt tìm kiếm, mỗi đơn hàng và mỗi đánh giá đều để lại một dấu vết số mang giá trị kinh tế đáng kể. Song song với những cơ hội đó, việc thu thập, phân tích, chia sẻ và mua bán dữ liệu cá nhân trên quy mô lớn, thường thiếu minh bạch, đang đặt ra những rủi ro nghiêm trọng đối với quyền riêng tư và quyền được bảo vệ dữ liệu cá nhân.

Từ khóa: dữ liệu cá nhân; người tiêu dùng; thương mại điện tử; bảo vệ dữ liệu; GDPR; PDPA.

ABSTRACT

The rapid development of the digital economy and e-commerce has turned consumers’ personal data into a “strategic resource” that shapes the competitive advantages of digital businesses. Every click, search, order and review leaves a digital footprint with considerable economic value. Alongside these opportunities, the large-scale and often opaque collection, analysis, sharing and trading of personal data pose serious risks of privacy infringements and violations of the right to personal data protection.

Keywords: personal data; consumers; e-commerce; data protection; GDPR; PDPA; Viet Nam.

1. ĐẶT VẤN ĐỀ

Trong bối cảnh chuyển đổi số, TMĐT trở thành một trong những lĩnh vực năng động nhất của nền kinh tế Việt Nam với tốc độ tăng trưởng doanh thu và số lượng người dùng liên tục ở mức cao. Đằng sau các giao dịch “một cú nhấp chuột” là cả một hệ sinh thái dữ liệu phong phú về người tiêu dùng: từ họ tên, số điện thoại, địa chỉ giao hàng đến lịch sử tìm kiếm, lịch sử mua sắm, thói quen đánh giá, dữ liệu vị trí, dữ liệu thiết bị. Dữ liệu càng chi tiết, các mô hình kinh doanh dựa trên phân tích dữ liệu càng hiệu quả, nhưng đồng thời rủi ro xâm phạm quyền riêng tư và bị lợi dụng cho hành vi gian lận, lừa đảo cũng càng lớn.

2. CƠ SỞ LÝ LUẬN, KHUNG PHÁP LUẬT, THỰC TIỄN VÀ ĐỊNH HƯỚNG HOÀN THIỆN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NGƯỜI TIÊU DÙNG TRONG THƯƠNG MẠI ĐIỆN TỬ

2.1. Khái niệm và đặc điểm của dữ liệu cá nhân trong môi trường thương mại điện tử

Về mặt khái niệm, phần lớn học giả và các văn bản pháp luật hiện đại tiếp cận dữ liệu cá nhân theo nghĩa rộng, coi đó là mọi thông tin liên quan đến một cá nhân đã được định danh hoặc có thể được định danh từ thông tin đó, kết hợp với các thông tin khác mà bên xử lý dữ liệu có hoặc có khả năng tiếp cận. Điểm nhấn là yếu tố “có thể được định danh”: không chỉ những dữ liệu hiển nhiên như họ tên, ảnh chân dung, số căn cước công dân, mà cả các định danh trực tuyến, địa chỉ IP, cookie, mã thiết bị, dữ liệu vị trí, hồ sơ hành vi, nếu trong bối cảnh cụ thể cho phép nhận diện một cá nhân, cũng được xem là dữ liệu cá nhân. GDPR của Liên minh châu Âu minh họa rõ cách tiếp cận này khi liệt kê một phổ rộng các dạng dữ liệu có thể cấu thành dữ liệu cá nhân, từ thông tin nhận dạng trực tiếp đến định danh trực tuyến, dữ liệu định vị, dữ liệu nhân trắc học[4]. Cách tiếp cận rộng giúp khung pháp luật bao phủ cả “dấu chân số” của người dùng trên không gian mạng, chứ không chỉ bảo vệ những dữ liệu “truyền thống” trong hồ sơ giấy tờ. Trong môi trường TMĐT, dữ liệu cá nhân của người tiêu dùng có một số đặc điểm quan trọng. Trước hết, dữ liệu được hình thành và tích lũy liên tục trong toàn bộ vòng đời giao dịch: từ lúc người tiêu dùng chỉ “lướt” xem hàng, tìm kiếm từ khóa, thêm sản phẩm vào giỏ hàng, cho đến khi xác lập đơn, thanh toán, nhận hàng, đánh giá sau mua, khiếu nại. Ngay cả những thao tác không dẫn tới giao dịch cũng tạo ra dữ liệu về mức độ quan tâm, khả năng chi trả, độ nhạy cảm về giá. Tiếp theo, dữ liệu mang tính đa lớp. Bên cạnh lớp dữ liệu do người tiêu dùng chủ động cung cấp (tên, số điện thoại, email, địa chỉ), còn có lớp dữ liệu do hệ thống tự động thu thập (địa chỉ IP, thông tin thiết bị, lịch sử truy cập) và lớp dữ liệu được suy luận từ phân tích (phân khúc khách hàng, điểm tín nhiệm, mức độ rủi ro). Sự kết hợp các lớp này cho phép doanh nghiệp TMĐT xây dựng một “chân dung số” tương đối đầy đủ về từng cá nhân. Dữ liệu được xử lý trên quy mô lớn bằng công nghệ dữ liệu lớn, trí tuệ nhân tạo và thuật toán học máy. Nhờ đó, doanh nghiệp có thể dự đoán xu hướng tiêu dùng, tối ưu hóa hiển thị sản phẩm, phân bổ khuyến mại, nhưng cũng đồng thời làm gia tăng nguy cơ sử dụng dữ liệu cho các mục đích mà người tiêu dùng khó hình dung và khó kiểm soát. Việc giải thích rõ ràng cho người tiêu dùng về cách thức hoạt động của các thuật toán này là thách thức không nhỏ.

Cuối cùng, dữ liệu trong TMĐT thường xuyên được chuyển xuyên biên giới. Các hệ thống lưu trữ, phân tích, quảng cáo có thể đặt tại nhiều quốc gia khác nhau; dữ liệu người tiêu dùng Việt Nam có thể được xử lý ở nước ngoài bởi các nhà thầu, nhà cung cấp dịch vụ đám mây, mạng quảng cáo. Điều này đặt ra vấn đề về luật áp dụng, thẩm quyền xử lý vi phạm và khả năng thực thi quyền của người tiêu dùng khi dữ liệu được “xuất khẩu” ra khỏi lãnh thổ.

2.2. Quyền đối với dữ liệu cá nhân và mối quan hệ với bảo vệ người tiêu dùng

Hiến pháp năm 2013 và Bộ luật Dân sự năm 2015 ghi nhận quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, quyền bất khả xâm phạm về thân thể, danh dự, nhân phẩm và quy định nguyên tắc: việc thu thập, lưu giữ, sử dụng, công bố thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình phải được người đó đồng ý hoặc theo quy định của luật. Quyền đối với dữ liệu cá nhân có thể được xem là sự cụ thể hóa, hiện đại hóa các quyền hiến định này trong bối cảnh số hóa mạnh mẽ.

Các văn bản như GDPR và nhiều nghiên cứu quốc tế cho rằng nội dung của quyền dữ liệu cá nhân thường bao gồm các quyền được thông báo, quyền đồng ý hoặc từ chối, quyền rút lại sự đồng ý, quyền tiếp cận và chỉnh sửa dữ liệu, quyền yêu cầu xóa, quyền hạn chế xử lý, quyền phản đối xử lý vì mục đích tiếp thị trực tiếp, quyền di chuyển dữ liệu, quyền khiếu nại và yêu cầu bồi thường thiệt hại [3]. Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân của Việt Nam về cơ bản tiếp cận theo hướng này, dù vẫn cần thời gian để hoàn thiện và cụ thể hóa. Trong quan hệ tiêu dùng, người tiêu dùng luôn ở vị thế yếu hơn về thông tin, khả năng đàm phán và nguồn lực so với thương nhân. Sự bất cân xứng thông tin càng lớn trong TMĐT, nơi doanh nghiệp có khả năng thu thập và phân tích rất sâu hành vi trực tuyến của người dùng, trong khi người tiêu dùng hầu như không biết chính xác dữ liệu của mình được sử dụng ra sao. Khi dữ liệu bị thu thập và khai thác thiếu minh bạch hoặc vượt quá giới hạn hợp lý, người tiêu dùng không chỉ phải chịu đựng tình trạng bị “dội bom” quảng cáo, bị thao túng hành vi tiêu dùng, bị phân biệt đối xử về giá, mà còn đối mặt với nguy cơ bị lừa đảo tài chính, chiếm đoạt tài sản, bị giả mạo danh tính[8].

Do vậy, bảo vệ dữ liệu cá nhân cần được nhìn nhận như một trụ cột của bảo vệ người tiêu dùng trong kỷ nguyên số. Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 đã thể hiện khá rõ quan điểm này khi dành một chương điều chỉnh giao dịch trên không gian mạng, nhấn mạnh nghĩa vụ của thương nhân trong việc bảo đảm an toàn thông tin người tiêu dùng, yêu cầu minh bạch về mục đích, phạm vi, hình thức xử lý, đồng thời thiết lập một số quyền cụ thể để người tiêu dùng kiểm soát tốt hơn dữ liệu của mình. Sự kết nối giữa luật này với Nghị định 13 và Luật bảo vệ dữ liệu cá nhân hứa hẹn tạo nên khung pháp lý đồng bộ hơn cho bảo vệ dữ liệu người tiêu dùng trong TMĐT.

2.3. Khung pháp luật Việt Nam về bảo vệ dữ liệu cá nhân của người tiêu dùng trong thương mại điện tử

Hiến pháp năm 2013 đóng vai trò quan trọng cho mọi hoạt động lập pháp liên quan đến dữ liệu cá nhân khi khẳng định quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, đồng thời yêu cầu việc thu thập, lưu giữ, sử dụng, công bố thông tin liên quan phải có sự đồng ý của chủ thể hoặc căn cứ vào luật. Bộ luật Dân sự năm 2015 cụ thể hóa qua các quyền nhân thân và cơ chế bồi thường thiệt hại khi quyền nhân thân bị xâm phạm, tạo nền tảng để cá nhân yêu cầu bồi thường thiệt hại trong trường hợp dữ liệu bị sử dụng trái phép, gây thiệt hại về vật chất hoặc tinh thần. Bên cạnh đó, các luật chuyên ngành như Luật Công nghệ thông tin, Luật Viễn thông, Luật An toàn thông tin mạng, Luật An ninh mạng đưa ra những quy định chung về bảo vệ thông tin cá nhân của người sử dụng dịch vụ mạng, cấm hành vi thu thập, xử lý, lưu trữ, cung cấp, phát tán thông tin cá nhân trái phép; yêu cầu tổ chức cung cấp dịch vụ phải áp dụng các biện pháp quản lý và kỹ thuật để bảo đảm an toàn, an ninh thông tin. Tuy nhiên, các văn bản này chủ yếu tiếp cận từ góc độ an toàn, an ninh, phòng chống tội phạm, bảo vệ hệ thống thông tin quan trọng, nên trọng tâm vẫn là lợi ích của Nhà nước và hệ thống hơn là quyền lợi của chủ thể dữ liệu.

Nghị định số 13/2023/NĐ-CP đánh dấu bước chuyển từ việc điều chỉnh phân tán sang xây dựng một chế định tương đối thống nhất về bảo vệ dữ liệu cá nhân (3). Nghị định xác định khái niệm dữ liệu cá nhân, phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, làm rõ vai trò pháp lý của chủ thể dữ liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu, bên thứ ba; đặt ra hệ thống nguyên tắc xử lý dữ liệu và quy định cụ thể về đồng ý, đánh giá tác động xử lý dữ liệu, thông báo vi phạm dữ liệu, chuyển dữ liệu ra nước ngoài. Đối với TMĐT, các quy định này có ý nghĩa trực tiếp. Yêu cầu đồng ý phải rõ ràng, có thể chứng minh, tách bạch theo từng mục đích và cho phép rút lại dễ dàng; yêu cầu thực hiện đánh giá tác động xử lý dữ liệu đối với hoạt động xử lý dữ liệu quy mô lớn hoặc có rủi ro cao, như xử lý dữ liệu nhạy cảm, profiling phục vụ marketing; yêu cầu thông báo cho cơ quan chức năng và chủ thể dữ liệu khi xảy ra vi phạm dữ liệu… là những nội dung buộc các nền tảng TMĐT, ví điện tử phải rà soát lại toàn bộ quy trình và kiến trúc dữ liệu của mình. Luật chuyên biệt về bảo vệ dữ liệu cá nhân được Quốc hội ban hành sau đó góp phần “nâng cấp” một số quy định quan trọng lên tầm luật, tăng cường sức nặng pháp lý và tạo cơ sở để rà soát, điều chỉnh các luật chuyên ngành. Luật cũng là tiền đề cho việc xác lập tương đối rõ vị trí và thẩm quyền của cơ quan chuyên trách về dữ liệu cá nhân, điều kiện cần để việc thực thi đi vào chiều sâu.

Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 là bước tiến đáng chú ý khi thừa nhận và điều chỉnh riêng giao dịch trên không gian mạng, coi đây là một dạng giao dịch có rủi ro đặc thù cần bảo vệ tăng cường. Luật quy định thương nhân chỉ được thu thập, sử dụng, chuyển giao thông tin người tiêu dùng trên cơ sở có sự đồng ý, trừ một số trường hợp luật định; yêu cầu thông báo rõ ràng, dễ hiểu về mục đích, phạm vi xử lý và thiết lập cơ chế để người tiêu dùng tiếp cận, sửa đổi, yêu cầu chấm dứt chia sẻ thông tin cho bên thứ ba. Nghị định số 52/2013/NĐ-CP về TMĐT và Nghị định số 85/2021/NĐ-CP sửa đổi cũng đặt ra nghĩa vụ cụ thể đối với chủ sở hữu website và sàn giao dịch TMĐT trong việc xây dựng, công bố chính sách bảo vệ thông tin cá nhân, thu thập dữ liệu trong phạm vi phù hợp, sử dụng đúng mục đích, bảo đảm an ninh, an toàn thông tin, lưu trữ thông tin giao dịch trong thời hạn tối thiểu.

Nhìn chung, khung pháp luật hiện hành đã tạo nên “xương sống” tương đối rõ cho bảo vệ dữ liệu người tiêu dùng trong TMĐT. Tuy nhiên, hạn chế là chưa có hướng dẫn chi tiết về yêu cầu nội dung, cấu trúc, ngôn ngữ của chính sách bảo mật; chưa có quy định rõ ràng về cấm các hình thức “dark patterns” trong giao diện xin đồng ý, nên trên thực tế người tiêu dùng vẫn gặp khó khăn khi tiếp cận và thực thi quyền của mình[12].

2.4. Thực tiễn bảo vệ dữ liệu cá nhân của người tiêu dùng trong thương mại điện tử ở Việt Nam

Những năm gần đây, báo chí và mạng xã hội nhiều lần xôn xao trước các nghi vấn rò rỉ dữ liệu khách hàng từ doanh nghiệp bán lẻ, ngân hàng, công ty tài chính, nền tảng TMĐT, ví điện tử. Vụ việc được chú ý nhiều là nghi vấn rò rỉ dữ liệu của Thế Giới Di Động năm 2018, khi trên một số diễn đàn xuất hiện tệp dữ liệu được cho là chứa hàng triệu địa chỉ email và thông tin thẻ thanh toán của khách hàng. Mặc dù doanh nghiệp và cơ quan chức năng khẳng định chưa tìm thấy bằng chứng hệ thống bị tấn công, đồng thời nghi ngờ tính xác thực của dữ liệu bị tung ra, vụ việc vẫn khiến niềm tin của người tiêu dùng bị ảnh hưởng mạnh. Song song với đó, trên các kênh không chính thức vẫn tồn tại tình trạng rao bán “data khách hàng” khá phổ biến. Nhiều cá nhân chào mời danh sách “khách hàng vay tiêu dùng”, “khách hàng TMĐT tiềm năng”, “chủ thẻ tín dụng” với giá tương đối rẻ, khó truy vết nguồn gốc. Không ít người tiêu dùng phản ánh việc liên tục nhận được cuộc gọi, tin nhắn mời vay, mở thẻ, mua bảo hiểm, trong khi bên liên hệ nắm rất rõ tên, địa chỉ, thậm chí lịch sử giao dịch của họ. Từ góc độ bảo vệ người tiêu dùng, dữ liệu cá nhân bị rò rỉ không chỉ là vấn đề riêng tư mà còn gắn trực tiếp với nguy cơ bị lừa đảo, chiếm đoạt tài sản, bị giả mạo danh tính. Tuy nhiên, số vụ việc được điều tra đến cùng, xác định rõ nguồn rò rỉ, truy cứu trách nhiệm của các chủ thể có liên quan và công bố công khai vẫn còn ít, chưa tạo được hiệu ứng răn đe đủ mạnh.

Ở chiều ngược lại, một số doanh nghiệp TMĐT, ví điện tử đã bắt đầu coi bảo vệ dữ liệu và bảo mật thông tin là yếu tố cốt lõi của chiến lược phát triển. Nhiều ví điện tử công bố đạt chứng nhận bảo mật PCI DSS, triển khai cơ chế phân tích giao dịch bất thường, áp dụng xác thực đa yếu tố, mã hóa dữ liệu mạnh, đồng thời tăng cường truyền thông về an toàn bảo mật, hướng dẫn người dùng nhận diện và phòng tránh lừa đảo. Các sàn TMĐT lớn đều đã xây dựng chính sách bảo mật thông tin, điều khoản sử dụng khá chi tiết; sau khi Nghị định 13 ban hành, nhiều đơn vị cập nhật chính sách để bổ sung căn cứ pháp lý xử lý dữ liệu, mô tả rõ hơn mục đích sử dụng, đối tượng chia sẻ, thời hạn lưu trữ, cơ chế tiếp nhận yêu cầu xóa dữ liệu, cơ chế thông báo khi xảy ra vi phạm[3]. Một số nền tảng cho phép người dùng tự truy cập, chỉnh sửa dữ liệu, tải lịch sử giao dịch và tùy chỉnh mức độ nhận thông tin tiếp thị. Tuy vậy, kết quả nghiên cứu về thực trạng tuân thủ pháp luật bảo vệ dữ liệu ở nhóm ví điện tử cho thấy khoảng cách đáng kể giữa chính sách trên giấy và trải nghiệm thực tế[14]. Phần lớn người dùng chấp nhận điều khoản sử dụng và chính sách bảo mật chỉ với một cú nhấp chuột, không có động lực hoặc khả năng đọc hết tài liệu dài và phức tạp. Việc thực hiện quyền rút lại sự đồng ý, yêu cầu xóa dữ liệu, hạn chế xử lý thường đòi hỏi nhiều thao tác, đôi khi cần trao đổi qua email hoặc tổng đài, khiến người dùng ngần ngại. Điều này cho thấy việc bảo vệ dữ liệu mới dừng ở mức “tuân thủ hình thức”, chưa thực sự lấy người tiêu dùng làm trung tâm.

Thực tiễn trên phản ánh khoảng cách rõ rệt giữa quy định và thực thi. Khung pháp luật tương đối đầy đủ, nhưng chế tài chưa được áp dụng với tần suất và mức độ đủ mạnh, cơ chế giám sát chưa phát huy hiệu quả. Về phía doanh nghiệp, áp lực cạnh tranh khiến họ ưu tiên thu thập và khai thác dữ liệu tối đa để phục vụ phân tích và marketing, trong khi các nguyên tắc tối thiểu hóa dữ liệu, giới hạn mục đích, giới hạn lưu trữ chưa được nội luật hóa đầy đủ trong quy trình và kiến trúc hệ thống[3]. Nhiều doanh nghiệp chưa thực hiện đánh giá tác động xử lý dữ liệu một cách thực chất, dữ liệu được lưu trữ phân tán, thiếu kiểm soát thống nhất, tạo ra nhiều điểm yếu bảo mật. Về phía cơ quan nhà nước, việc phát hiện, xử lý và công bố vi phạm dữ liệu chủ yếu xuất phát từ phản ánh của báo chí, khiếu nại hoặc tố cáo đã vượt ngưỡng, hơn là từ cơ chế giám sát chủ động. Thị trường “chợ đen dữ liệu” vì thế chưa được kiểm soát hiệu quả. Số vụ việc được công bố với phân tích pháp lý chi tiết còn ít, thiếu các “án lệ mềm” để doanh nghiệp tham khảo và điều chỉnh hành vi. Bên cạnh đó, chức năng quản lý nhà nước về dữ liệu cá nhân đang được phân chia giữa nhiều cơ quan: thông tin và truyền thông, công an, cơ quan phụ trách an toàn thông tin mạng, cơ quan cạnh tranh và bảo vệ người tiêu dùng…. Việc thiếu một đầu mối chuyên trách, có vai trò trung tâm trong điều phối xử lý các vụ việc phức tạp, đa ngành, xuyên biên giới khiến hiệu quả thực thi bị hạn chế.

2.5. Định hướng hoàn thiện pháp luật và nâng cao hiệu quả bảo vệ dữ liệu cá nhân của người tiêu dùng trong thương mại điện tử

Thứ nhất, về lập pháp, cần sớm làm rõ vị trí của Luật Bảo vệ dữ liệu cá nhân trong hệ thống pháp luật, bảo đảm sự thống nhất với Nghị định 13/2023/NĐ-CP và các văn bản liên quan, đồng thời tiến hành rà soát, sửa đổi các quy định chồng chéo, mâu thuẫn trong các luật chuyên ngành như TMĐT, ngân hàng, viễn thông, giáo dục, y tế. Luật bảo vệ dữ liệu cần được coi là luật khung về dữ liệu, đặt ra nguyên tắc chung, còn luật chuyên ngành cụ thể hóa theo bối cảnh.

Thứ hai, cần thiết kế lại cơ chế đồng ý của người tiêu dùng trong TMĐT theo hướng thực chất hơn. Việc xin đồng ý phải tách bạch theo từng mục đích xử lý, sử dụng ngôn ngữ rõ ràng, dễ hiểu, không “gói” quá nhiều mục đích trong một ô tích; giao diện phải bảo đảm việc từ chối không khó hơn đáng kể so với chấp nhận; người dùng phải có khả năng rút lại sự đồng ý một cách thuận tiện, tương đương với khi họ cho phép. Đây là yếu tố then chốt để đồng ý không trở thành một “nghi thức hình thức”.

Thứ ba, cần tăng cường chế tài và cơ chế khắc phục hậu quả. Đối với hành vi vi phạm nghiêm trọng, có hệ thống của các sàn TMĐT, nền tảng lớn, ví điện tử, mức phạt nên được thiết kế theo tỷ lệ doanh thu hoặc lợi nhuận để bảo đảm tính răn đe, kết hợp với biện pháp buộc xóa dữ liệu thu thập trái phép, buộc nộp lại lợi bất hợp pháp, buộc cải thiện hệ thống, quy trình nội bộ. Về lâu dài, có thể nghiên cứu cơ chế khởi kiện đại diện, khởi kiện tập thể cho người tiêu dùng bị xâm phạm dữ liệu quy mô lớn.

Thứ tư, về thể chế, cần cân nhắc củng cố hoặc thiết lập cơ quan chuyên trách về bảo vệ dữ liệu cá nhân với thẩm quyền đủ rộng, tính độc lập tương đối và năng lực chuyên môn cao, đồng thời thiết lập cơ chế phối hợp rõ ràng với cơ quan bảo vệ người tiêu dùng, cơ quan quản lý TMĐT, cơ quan an ninh mạng và cơ quan tố tụng. Cơ quan này vừa thực hiện chức năng thanh tra, xử lý vi phạm, vừa đóng vai trò hướng dẫn, tư vấn, tuyên truyền, góp phần hình thành văn hóa bảo vệ dữ liệu trong xã hội.

Thứ năm, cần tăng cường trách nhiệm tuân thủ của doanh nghiệp TMĐT. Pháp luật có thể yêu cầu doanh nghiệp đạt ngưỡng nhất định về quy mô và số người dùng phải bổ nhiệm cán bộ phụ trách bảo vệ dữ liệu hoặc bộ phận chuyên trách; xây dựng và triển khai đánh giá tác động xử lý dữ liệu định kỳ; công bố báo cáo minh bạch hàng năm về hoạt động xử lý dữ liệu và vi phạm dữ liệu; tham gia các chương trình chứng nhận tuân thủ, quy tắc ứng xử trong ngành.

Cuối cùng, phải chú trọng nâng cao nhận thức và năng lực tự bảo vệ của người tiêu dùng. Cần triển khai các chương trình giáo dục, truyền thông về quyền đối với dữ liệu cá nhân, rủi ro khi chia sẻ thông tin trên mạng, cách nhận diện lừa đảo, cách sử dụng công cụ bảo mật và cách thực hiện các quyền truy cập, yêu cầu xóa, phản đối xử lý dữ liệu. Vai trò của các tổ chức xã hội bảo vệ người tiêu dùng cũng cần được phát huy như một “cầu nối” giữa cá nhân và cơ quan nhà nước, nhất là trong các vụ việc xâm phạm dữ liệu mang tính hệ thống.

7. KẾT LUẬN

Bảo vệ dữ liệu cá nhân của người tiêu dùng trong hoạt động TMĐT là một vấn đề giao thoa giữa nhiều ngành luật và chính sách công, đồng thời là thước đo quan trọng của mức độ văn minh số trong xã hội. Việt Nam đã có những bước tiến rõ rệt trong xây dựng khung pháp luật về dữ liệu cá nhân và bảo vệ người tiêu dùng, với việc ban hành Nghị định 13/2023/NĐ-CP, Luật Bảo vệ quyền lợi người tiêu dùng 2023, Luật Giao dịch điện tử 2023 và Luật Bảo vệ dữ liệu cá nhân. Tuy nhiên, khoảng cách giữa quy định và thực thi vẫn còn đáng kể, thể hiện qua hiện tượng rò rỉ, mua bán dữ liệu người tiêu dùng, việc tuân thủ chưa thực chất của một bộ phận doanh nghiệp, cũng như sự hạn chế về nhận thức và kỹ năng số của người tiêu dùng.

DANH MỤC TÀI LIỆU THAM KHẢO

[1] Vũ Công Giao, Lê Trần Như Tuyên, “Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam”, Tạp chí Nghiên cứu Lập pháp (bản điện tử).

[2] Bạch Thị Nhã Nam, “Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân”, Tạp chí Nghiên cứu Lập pháp (bản điện tử).

[3] Trần Thị Thu Phương, “Quy định chung của Liên minh châu Âu về bảo vệ dữ liệu cá nhân và một số khuyến nghị đến Quốc hội, Chính phủ và doanh nghiệp Việt Nam”, Tạp chí Nghiên cứu Lập pháp (bản điện tử).

[5] Phạm Thị Hiền, “Pháp luật về bảo vệ dữ liệu cá nhân trong nền kinh tế số ở Việt Nam hiện nay”, Tạp chí Công Thương (bản điện tử).

[6] Jamie Luguri, Lior Jacob Strahilevitz, “Shining a Light on Dark Patterns”, Tạp chí Journal of Legal Analysis, năm 2021.

[7] Lê Sỹ Đức – Đinh Ngọc Phương Dung – Nguyễn Thảo Linh, “Thực trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân của khách hàng đối với các ví điện tử tại Việt Nam và đề xuất giải pháp cho các doanh nghiệp tài chính”, Tạp chí Công Thương (bản điện tử).