Tóm tắt: Hiện nay, việc mua sắm trực tuyến thông qua các sàn thương mại điện tử, mạng xã hội ngày càng phổ biến và dần trở thành một nhu cầu thiết yếu trong đời sống của người dân. Không thể phủ nhận rằng, cách thức mua sắm này đã mang lại nhiều lợi ích so với hình thức mua sắm truyền thống. Tuy nhiên, những lo ngại về bảo mật đối với dữ liệu cá nhân của người tiêu dùng vẫn là một thách thức lớn bởi các rủi ro về lộ, lọt và đánh cắp dữ liệu cá nhân. Bài viết phân tích quy định pháp luật và đánh giá thực trạng bảo vệ dữ liệu cá nhân của người tiêu dùng tại Việt Nam khi tham gia mua sắm trực tuyến. Đồng thời, bài viết phân tích một số quy định có liên quan đến bảo vệ dữ liệu cá nhân trong Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (General Data Protection Regulation – GDPR), từ đó, đưa ra một số khuyến nghị trong việc hoàn thiện quy định pháp luật Việt Nam, nâng cao hiệu quả bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến.

Từ khóa: dữ liệu cá nhân, người tiêu dùng, mua sắm, trực tuyến, GDPR.

Abstract: Currently, online shopping through e-commerce platforms and social networks has become increasingly popular and is gradually turning into an essential need in people's daily lives. It is undeniable that this method of shopping offers numerous advantages over traditional shopping methods. However, concerns regarding the security of consumers' personal data remain a major challenge due to risks of data leakage, loss, and theft. This article analyzes the legal provisions and assesses the current state of personal data protection for consumers in Vietnam when participating in online shopping. Furthermore, the article examines certain provisions related to personal data protection under the European Union’s General Data Protection Regulation (GDPR), thereby offering several recommendations for improving Vietnam’s legal framework to enhance the protection of consumers' personal data in the context of online shopping.

Keywords: personal data, consumer, shopping, online, GDPR.

Dẫn nhập:

Tác động của cuộc cách mạng công nghiệp 4.0 cùng bối cảnh của đại dịch Covid - 19 đã làm cho hành vi mua sắm và tiêu dùng của người dân thay đổi đáng kể. Theo đó, người dân đã bắt đầu “chuộng” việc mua sắm thông qua hình thức trực tuyến thay vì cách thức mua sắm truyền thống như trước đây vẫn hay sử dụng. Mua sắm trực tuyến thực chất là quá trình người tiêu dùng mua hàng hóa, dịch vụ từ người bán hàng trong một thời gian xác định thông qua Internet mà không có một dịch vụ trung gian nào[1]. Hiện nay, người tiêu dùng có thể mua sắm trực tuyến thông qua nhiều hình thức khác nhau. Tùy thuộc vào nhu cầu cũng như sự tiện lợi của mỗi hình thức mà người tiêu dùng có thể lựa chọn một/một số hình thức sau, bao gồm nhưng không giới hạn các sàn thương mại điện tử, mạng xã hội như Facebook, Zalo, Tiktok, Instagram hay các trang web bán hàng,… Tuy nhiên, trong quá trình mua sắm trực tuyến thì người tiêu dùng đã và đang phải đối mặt với nhiều rủi ro, đặc biệt là các lo ngại xoay quanh vấn đề bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia vào các giao dịch trực tuyến.

1. Cơ sở lý luận về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến

Dữ liệu cá nhân là những thông tin giúp xác nhận và nhận diện một cá nhân cụ thể, có khả năng phân biệt được giữa cá nhân này với cá nhân khác hoặc giữa những dữ liệu mang tính riêng biệt[2] bao gồm các thông tin cơ bản sau: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh cá nhân,…[3]. Người tiêu dùng là người mua, sử dụng hàng hóa, dịch vụ cho mục đích tiêu dùng, sinh hoạt của cá nhân, gia đình, tổ chức[4]. Liên kết hai thuật ngữ này thì có thể hiểu, dữ liệu cá nhân của người tiêu dùng là những thông tin giúp xác nhận và nhận diện một người trong quá trình họ mua, sử dụng hàng hóa, dịch vụ cho các mục đích nhất định.

Ở đây, quá trình mua hàng hóa, dịch vụ này có thể được thực hiện thông qua hai hình thức phổ biến là mua sắm truyền thống hoặc mua sắm trực tuyến. Mua sắm trực tuyến là quá trình người tiêu dùng trực tiếp mua hàng hóa, dịch vụ từ một người bán trong thời gian xác định thông qua Internet mà không có một dịch vụ trung gian nào, là một tiến trình dùng để liệt kê hàng hóa và dịch vụ cùng với hình ảnh kèm theo được hiển thị từ xa thông qua các phương tiện điện tử[5]. Và phương tiện điện tử là phần cứng, phần mềm, hệ thống thông tin hoặc phương tiện khác hoạt động dựa trên công nghệ thông tin, công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ hoặc công nghệ khác tương tự[6]. Thay vì đến cửa hàng để mua sắm hàng hóa theo cách thông thường thì người tiêu dùng chỉ cần ngồi ở nhà, sử dụng phương tiện điện tử, có kết nối Internet, thông qua các sàn thương mại điện tử hay qua các trang mạng xã hội, trang mua bán của cửa hàng để thực hiện hành vi mua sắm của mình. Chính vì điều này mà dữ liệu cá nhân của người tiêu dùng đã trở thành một “công cụ” được sử dụng phổ biến để trao đổi giữa bên bán và bên mua. Mục đích là để hai bên biết và nhận diện được thông tin của nhau, từ đó, tạo điều kiện để quá trình mua bán hàng hóa, dịch vụ trở nên nhanh chóng và thuận tiện hơn, đồng thời, cũng là cơ sở để tạo niềm tin giữa các bên khi các bên không biết gì về nhau.

Tuy nhiên, mặt trái của sự thuận tiện này chính là tình trạng lộ, lọt, đánh cắp dữ liệu cá nhân của người tiêu dùng để sử dụng cho những mục đích khác (có thể là trái pháp luật) diễn ra ngày càng phổ biến và trở thành một nỗi lo cho người tiêu dùng khi họ tham gia mua sắm trực tuyến. Trong bối cảnh phát triển mạnh mẽ của thương mại điện tử và xã hội số thì việc mất an toàn về dữ liệu cá nhân là điều không thể tránh khỏi, việc tìm kiếm các giải pháp để ngăn ngừa, hạn chế và tiến tới giải quyết triệt để tình trạng này luôn được các nhà hoạch định chính sách đặt ra. Trong đó, sự điều chỉnh từ pháp luật về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến là một trong những giải pháp quan trọng và được đặt lên hàng đầu.

Hiện nay, pháp luật về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến được xây dựng dựa trên khung pháp lý chung về bảo vệ dữ liệu cá nhân. Từ góc độ Hiến pháp năm 2013, bảo vệ dữ liệu cá nhân được nhìn nhận thông qua quy định về quyền riêng tư, cụ thể tại Điều 21 “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn” hay tại Điều 38 Bộ luật Dân sự năm 2015 cũng quy định: “Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ”. Tại khoản 1 Điều 4 Luật Bảo vệ Quyền lợi người tiêu dùng năm 2023 (sau đây gọi tắt là “Luật BVQLNTD”) quy định về quyền của người tiêu dùng, cụ thể là người tiêu dùng được bảo đảm an toàn tính mạng, sức khỏe, danh dự, nhân phẩm, uy tín, tài sản, bảo vệ thông tin, quyền, lợi ích hợp pháp khác khi tham gia giao dịch, sử dungh sản phẩm, hàng hóa, dịch vụ do tổ chức, cá nhân kinh doanh cung cấp. Có thể thấy rằng, cả ba văn bản quy phạm pháp luật này, từ luật khung đến luật chuyên ngành thì đều đã ghi nhận bảo vệ dữ liệu cá nhân, trong đó, bảo vệ dữ liệu cá nhân của người tiêu dùng được quy định thông qua quyền riêng tư đối với dữ liệu cá nhân, là một quyền bất khả xâm phạm của cá nhân. Chỉ đến khi Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2024 của Chính phủ về bảo vệ dữ liệu cá nhân (sau đây gọi tắt là “Nghị định số 13/2023/NĐ-CP”) ra đời thì vấn đề bảo vệ dữ liệu cá nhân mới có một khung pháp lý chuyên biệt để điều chỉnh (sắp tới với việc thông qua của Luật Bảo vệ dữ liệu cá nhân).

Theo quy định, bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật (khoản 5 Điều 2 Nghị định số 13/2023/NĐ-CP). Từ đây, có thể hiểu, pháp luật về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến là tổng thể các quy phạm pháp luật điều chỉnh các hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến trên môi trường điện tử, với mục tiêu hướng đến là bảo vệ quyền riêng tư đối với dữ liệu cá nhân của người tiêu dùng.

2. Thực trạng về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến tại Việt Nam

Thứ nhất, mua sắm trực tuyến diễn ra ngày càng sôi động và tất yếu tạo ra một môi trường lý tưởng cho tình trạng xâm phạm dữ liệu cá nhân của người tiêu dùng.

Thực tế hiện nay, mua sắm truyền thống đang dần nhường chỗ cho mua sắm trực tuyến[7] trong bối cảnh phát triển kinh tế số. Theo Báo cáo Thương mại điện tử Việt Nam năm 2023 của Cục Thương mại điện tử và Kinh tế thì thương mại điện tử được ghi nhận là tăng trưởng vượt bậc. Với 74% người dân sử dụng Internet, Việt Nam có khoảng 59 - 62 triệu người tiêu dùng mua sắm trực tuyến và giá trị mua sắm mỗi người ước tính đạt khoảng 300 - 320 USD năm 2023[8], so với năm 2018, năm 2019, năm 2020, năm 2021, năm 2022 lần lượt là 202 USD, 225 USD, 240 USD, 251 USD, 288 USD. Có thể thấy rằng, giá trị mua sắm trực tuyến của một người đã tăng lên rất nhiều, phản ánh được nhu cầu và xu hướng tiêu dùng trong thời đại kỹ thuật số. Người tiêu dùng có thể mua sắm thông qua các kênh như website doanh nghiệp, các trang mạng xã hội, sàn thương mại điện tử, trên các nền tảng di động[9]. Theo đó, tỷ lệ bán hàng thông qua mạng xã hội và qua các sàn thương mại điện tử được đánh giá là mang lại hiệu quả nhất.

Thứ hai, quyền riêng tư đối với dữ liệu cá nhân của người dùng bị xâm phạm trở thành một trong những nỗi lo khi người tiêu dùng mua sắm trực tuyến.

Thấy rằng, người tiêu dùng có thể tiếp cận với hàng hóa, dịch vụ thông qua nhiều hình thức khác nhau mà không bị phụ thuộc vào hình thức mua sắm truyền thống với sự linh hoạt và thuận tiện. Tuy nhiên, bên cạnh những lợi ích mà mua sắm trực tuyến mang lại thì người tiêu dùng thực tế vẫn phải đối mặt với một số rủi ro, đặc biệt là vấn đề lộ, lọt, xâm phạm dữ liệu cá nhân. Thực tế cho thấy, với lượng người dùng mua sắm trực tuyến tăng cao vài năm trở lại đây và dự báo tăng mạnh trong thời gian tới thì các doanh nghiệp thương mại điện tử trở thành tâm điểm thu hút đối với các đối tượng muốn lấy cắp thông tin, tần suất và mức độ phức tạp của các cuộc tấn công mạng ngày càng nhiều[11]. Theo thống kê, có rất nhiều lý do khiến một bộ phận người tiêu dùng cảm thấy trở ngại khi mua sắm trực tuyến như chất lượng kém so với quảng cáo (68%); chi phí vận chuyển cao (41%); chất lượng dịch vụ vận chuyển và giao nhận kém (30%); dịch vụ chăm sóc khách hàng kém (28%);… trong đó, trở ngại về “Lo ngại thông tin cá nhân bị tiết lộ” chiếm tỷ lệ tới 52%, cao hơn nhiều so với các lý do khác và đây cũng là lý do khiến người tiêu dùng chưa mua sắm trực tuyến đối với nhóm chưa bao giờ mua sắm qua hình thức này (chiếm tỷ lệ 29%, cao thứ tư sau lý do (i) mua hàng tại cửa hàng thuận tiện hơn (45%), (ii) khó kiểm định chất lượng hàng hóa (44%), (iii) không tin tưởng đơn vị bán hàng (44%))[12].

Điển hình là thực trạng nhiều khách hàng phản ánh về việc sau khi đặt hàng trên các ứng dụng thương mại điện tử, họ nhận được cuộc gọi từ những đối tượng tự xưng là nhân viên giao hàng, yêu cầu chuyển khoản trước khi nhận hàng. Điều đáng nói, các đối tượng này cung cấp chính xác thông tin về đơn hàng, khiến nhiều người tin tưởng và thực hiện chuyển tiền mà không xác minh kỹ lưỡng[13]. Thực tế một người dùng hiện nay thường có 2-3 tài khoản và sử dụng mạng xã hội, truy cập hàng chục trang web thương mại điện tử, cung cấp thông tin cho hàng trăm cửa hàng, khách sạn, siêu thị trong các hoạt động thường ngày. Điều này khiến cho dữ liệu cá nhân được thu thập, lưu trữ ở hàng trăm hệ thống khác nhau. Trong khi việc đảm bảo an ninh dữ liệu cho các hệ thống này không đồng nhất, có những nguy cơ bị tấn công, rò rỉ dữ liệu từ quy trình vận hành, con người hay lỗ hổng an ninh mạng[14]. Có rất nhiều nguyên nhân dẫn đến sự mất an toàn đối với dữ liệu cá nhân của người tiêu dùng khi thực hiện hành vi mua sắm trực tuyến, từ chính thái độ chủ quan, chia sẻ dữ liệu cá nhân một cách tự do mà không kiểm soát được những loại dữ liệu mà mình chia sẻ, cho đến hành vi xâm phạm có chủ đích của các chủ thể khác như thu thập dữ liệu của người dùng một cách quá mức, vượt qua giới hạn cho phép, việc thu thập diễn ra thiếu sự minh bạch hay nghiêm trọng hơn là hành vi tấn công hàng loạt từ tin tặc.

Thứ ba, pháp luật về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến trở thành công cụ đảm bảo sự an toàn về dữ liệu cá nhân cho người tiêu dùng.

Có thể thấy rằng, nguy cơ lộ, lọt, xâm phạm dữ liệu cá nhân khi tham gia mua sắm trực tuyến đã trở thành một trong những nguyên nhân khiến người tiêu dùng lo ngại về sự an toàn, bảo mật. Do vậy, bảo vệ dữ liệu cá nhân của người tiêu dùng trở thành một trong những nội dung quan trọng trong pháp luật về bảo vệ quyền lợi người tiêu dùng nói chung và pháp luật về bảo vệ dữ liệu cá nhân của người tiêu dùng nói riêng. Hiện nay, cơ chế bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến đã được đặt ra và hoàn thiện một cách nhanh chóng để giải quyết thực trạng trên. Xuất phát từ hoạt động bảo vệ dữ liệu cá nhân (nói chung) được hiểu là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật[15] thì bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến cũng được đặt trong phạm vi của cơ chế chung này, nhưng có đối tượng cụ thể là người tiêu dùng, trên một môi trường cụ thể là môi trường trực tuyến.

Pháp luật về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến được điều chỉnh cụ thể qua ba văn bản quy phạm pháp luật là Luật BVQLNTD năm 2010 so sánh Luật BVQLNTD năm 2023, có hiệu lực thi hành từ ngày 01/7/2024); Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về thương mại điện tử, sửa đổi, bổ sung bởi Nghị định 85/2021/NĐ-CP có hiệu lực từ ngày 01/01/2022 (sau đây gọi là “Nghị định số 52/2013/NĐ-CP”) và Nghị định số 13/2023/NĐ-CP. Hiện nay, cả ba văn bản này đều quy định về bảo vệ dữ liệu cá nhân của người tiêu dùng nhưng một số quy định chưa thống nhất và có sự chồng chéo, cụ thể như sau:

(i) Luật BVQLNTD năm 2010 quy định về bảo vệ thông tin của người tiêu dùng trong mối quan hệ so sánh với Luật BVQLNTD năm 2023.

Luật BVQLNTD năm 2010 quy định về bảo vệ thông tin của người tiêu dùng tại Điều 6. So sánh với Luật BVQLNTD năm 2023 thì quy định về bảo vệ thông tin của người tiêu dùng có sự sửa đổi, bổ sung theo hướng hoàn thiện, cụ thể:

Một là, bổ sung khái niệm thông tin của người tiêu dùng. Theo đó, thông tin của người tiêu dùng bao gồm thông tin cá nhân của người tiêu dùng, thông tin về quá trình mua, sử dụng sản phẩm, hàng hóa, dịch vụ của người tiêu dùng và thông tin khác liên quan đến giao dịch giữa người tiêu dùng và tổ chức, cá nhân kinh doanh (khoản 3 Điều 3). Việc bổ sung này để tạo sự thống nhất trong cách hiểu và có sự bảo vệ rõ ràng giữa thông tin cá nhân của người tiêu dùng và các thông tin khác trong quá trình tiêu dùng.

Hai là, bổ sung cách thức bảo vệ thông tin của người tiêu dùng. Nếu như Luật BVQLNTD năm 2010 chỉ quy định tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ “tự mình” thực hiện trách nhiệm bảo vệ thông tin của người tiêu dùng, thì Luật BVQLNTD năm 2023 còn cho phép tổ chức, cá nhân kinh doanh “ủy quyền, thuê bên thứ ba” thực hiện các trách nhiệm này. Việc quy định hoạt động uỷ quyền cho bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng thông tin của người tiêu dùng trong Luật BVQLNTD năm 2023 so với Luật BVQLNTD năm 2010 có ý nghĩa quan trọng trong việc tăng cường bảo vệ quyền riêng tư và quyền lợi của người tiêu dùng trong môi trường kỹ thuật số hiện nay. Việc uỷ quyền cho bên thứ ba thực hiện việc thu thập, lưu trữ và sử dụng thông tin người tiêu dùng có thể do bên thứ ba có sự chuyên môn và kinh nghiệm trong việc quản lý dữ liệu và thông tin cá nhân mà tổ chức hoặc cá nhân không có, bên thứ ba có cơ sở hạ tầng và tài chính mạnh mẽ để thực hiện các quá trình liên quan đến bảo vệ dữ liệu một cách hiệu quả, có thể đảm bảo rằng việc xử lý dữ liệu và quản lý thông tin người tiêu dùng tuân thủ hoàn các quy định pháp luật, bao gồm các quy định về bảo vệ dữ liệu và quyền riêng tư. Bằng cách uỷ quyền cho bên thứ ba, tổ chức cá nhân có thể giảm thiểu rủi ro liên quan đến việc quản lý dữ liệu và thông tin cá nhân, bên thứ ba có thể có các biện pháp bảo mật và an toàn cao hơn để bảo vệ dữ liệu.

Bên cạnh đó, Luật BVQLNTD năm 2023 cũng có yêu cầu bên thứ ba cần có chính sách bảo mật rõ ràng và dễ hiểu, mô tả cách thông tin cá nhân của người tiêu dùng sẽ được sử dụng và bảo vệ. Bên thứ ba phải đảm bảo an toàn và bảo mật thông tin cá nhân của người tiêu dùng bằng cách sử dụng các biện pháp bảo mật mạng và bảo mật dữ liệu. Bên cạnh đó, ngoài các hành vi mà tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có thể tác động đến thông tin của người tiêu dùng là “thu thập, sử dụng, chuyển giao” được quy định trong Luật BVQLNTD năm 2010 thì Luật BVQLNTD năm 2023 còn bổ sung thêm các hành vi khác gồm lưu trữ, chỉnh sửa, cập nhật, hủy bỏ. Có thể thấy rằng, Luật BVQLNTD năm 2023 đã mở rộng thẩm quyền của chủ thể bảo vệ thông tin người tiêu dùng, đồng thời có sự tổng hợp một cách bao quát các hành vi của tổ chức, cá nhân kinh doanh có thể tác động đến thông tin của người tiêu dùng. Hoạt động uỷ quyền cho bên thứ ba thực hiện việc thu nhập, lưu trữ, sử dụng thông tin của người tiêu dùng cũng có sự tương đồng với pháp luật quốc tế, cụ thể Điều 28 của GDPR. Theo đó, tất cả các hoạt động xử lý thông tin cá nhân, bao gồm việc ủy quyền cho bên thứ ba, phải tuân thủ các quy định của GDPR để đảm bảo bảo vệ quyền riêng tư và quyền lợi của người tiêu dùng. Nếu không tuân thủ, tổ chức hoặc bên thứ ba có thể phải đối mặt với khoản phạt nặng và hậu quả pháp lý khác.

Ba là, bổ sung quy định về xây dựng quy tắc bảo vệ thông tin của người tiêu dùng (Điều 16); quy định về thông báo khi thu thập, sử dụng thông tin của người tiêu dùng (Điều 17); quy định về sử dụng thông tin của người tiêu dùng (Điều 18); quy định về bảo đảm an toàn, an ninh thông tin của người tiêu dùng (Điều 19); quy định về kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao, ngừng chuyển giao thông tin của người tiêu dùng (Điều 20). Đây là những quy định hoàn toàn mới so với Luật BVQLNTD năm 2010. Có thể thấy rằng, Luật BVQLNTD năm 2023 đã có những quy định mang tính hoàn thiện đối với quy định về bảo vệ dữ liệu cá nhân của người tiêu dùng khi mua sắm, sử dụng dịch vụ nói chung.

(ii) Nghị định số 52/2013/NĐ-CP đã có quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử từ Điều 68 đến Điều 73.

Nhìn nhận một cách tổng thể thì nội dung của những điều này có phần tương thích với nội dung được quy định trong Luật BVQLNTD năm 2023.

- Chủ thể thu thập và sử dụng thông tin cá nhân của người tiêu dùng phải xây dựng và công bố chính sách bảo vệ thông tin cá nhân với các nội dung sau: (i) Mục đích thu thập thông tin cá nhân; (ii) Phạm vi sử dụng thông tin; (iii) Thời gian lưu trữ thông tin; (iv) Thời gian lưu trữ thông tin; (v) Những người hoặc tổ chức có thể được tiếp cận với thông tin đó; (vi) Địa chỉ của đơn vị thu thập và quản lý thông tin; (vii) Phương thức và công cụ để người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương mại điện tử của đơn vị thu thập thông tin (Điều 69).

- Quy định về xin phép người tiêu dùng khi tiến hành thu thập thông tin. Theo đó, chủ thể thu thập và sử dụng thông tin cá nhân của người tiêu dùng trên website thương mại điện tử phải được sự đồng ý trước của người tiêu dùng có thông tin đó (Điều 70)

- Quy định về sử dụng thông tin của người tiêu dùng. Theo đó, chủ thể thu thập phải sử dụng thông tin cá nhân của người tiêu dùng đúng với mục đích và phạm vi đã thông báo, trừ các trường hợp pháp luật đã quy định (Điều 71).

(iii) Nghị định số 13/2023/NĐ-CP quy định một cách đầy đủ các nội dung về bảo vệ dữ liệu cá nhân.

Nghị định này được ra đời trong bối cảnh thực trạng lộ, lọt, mất dữ liệu cá nhân diễn ra phổ biến, nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của các cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân mà trước hết là của bên xử lý dữ liệu đối với việc xử lý dữ liệu cá nhân[16] và nội dung của Nghị định có sự tương quan với GDPR.

3. Bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến theo Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu

Các quy tắc bảo vệ dữ liệu cá nhân của Liên minh Châu Âu đảm bảo việc bảo vệ dữ liệu cá nhân của chủ thể dữ liệu nói chung và người tiêu dùng nói riêng trong bất cứ khi nào dữ liệu được thu thập, ngay cả trong hoàn cảnh người tiêu dùng tham gia mua sắm trực tuyến[17]. Những quy tắc này được quy định trong Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu. Đây được xem là một quy tắc được xây dựng nhằm cung cấp cho công dân trong khối liên minh châu Âu quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của mình[18] và những quy tắc này được quy định cụ thể thông qua quyền của chủ thể dữ liệu.

Thứ nhất, quyền được thông báo của chủ thể dữ liệu. Về nguyên tắc, trước khi thu thập và xử lý dữ liệu cá nhân của một người thì chủ thể xử lý, chủ thể kiểm soát phải có nghĩa vụ thông báo đến người đó về việc sẽ thu thập những dữ liệu liên quan đến họ và phải được sự đồng ý từ chính chủ thể dữ liệu thì chủ thể xử lý, chủ thể kiểm soát mới được thu thập và xử lý dữ liệu cá nhân của họ[19].

GDPR đã nêu rõ, dữ liệu cá nhân phải được xử lý một cách hợp pháp, công bằng và minh bạch liên quan đến chủ thể dữ liệu (điểm a khoản 1 Điều 5). Vì vậy, thông báo của chủ thể kiểm soát, chủ thể xử lý được xem là hành vi bắt buộc mà những chủ thể này phải làm nếu muốn thu thập, xử lý dữ liệu cá nhân của người khác.

Nội dung thông báo mà chủ thể xử lý, chủ thể kiểm soát phải gửi đến cho chủ thể dữ liệu, bao gồm nhưng không giới hạn các thông tin sau: (i) Danh tính và chi tiết liên hệ của chủ thể kiểm soát và nếu có, danh tính và chi tiết liên hệ của đại diện của chủ thể kiểm soát; (ii) Chi tiết liên hệ của nhân viên bảo vệ dữ liệu nếu có; (iii) Mục đích, cơ sở pháp lý của việc xử lý dữ liệu cá nhân; (iv) Lợi ích hợp pháp mà chủ thể kiểm soát hoặc một bên thứ ba có thể nhận được từ việc thu thập và xử lý dữ liệu; (v) Người nhận hoặc danh mục người nhận liên quan đến dữ liệu cá nhân nếu có;…[20].

Một vấn đề đặt ra là, không phải khi nào chủ thể kiểm soát, chủ thể xử lý gửi thông báo thì chủ thể dữ liệu cũng đều có nghĩa vụ đồng ý đối với yêu cầu này. Bởi lẽ, đây là quyền của chủ thể dữ liệu. Trong mối quan hệ này, chủ thể dữ liệu giữ vị thế chủ động và buộc chủ thể kiểm soát, chủ thể xử lý phải thực hiện trách nhiệm thông báo, còn việc chủ thể dữ liệu có đồng ý cho chủ thể kiểm soát, chủ thể xử lý thu thập và xử lý dữ liệu thì lại phụ thuộc vào ý chí của chính chủ thể dữ liệu. Thực tế, Điều 7 GDPR đã trao cho chủ thể dữ liệu quyền rút lại sự đồng ý của mình bất cứ lúc nào của quá trình thu thập và xử lý dữ liệu của chủ thể kiểm soát, chủ thể xử lý.

Liên kết với vấn đề bảo vệ dữ liệu cá nhân của người tiêu dùng trong quá trình mua sắm trực tuyến thì thông thường, trước khi thu thập dữ liệu cá nhân của người tiêu dùng thì chủ thể thu thập (trong phạm vi bài viết này, chủ thể thu thập được sử dụng với nghĩa là bên bán hàng/bên cung cấp dịch vụ) sẽ thu thập một số thông tin cần thiết như tên, tuổi, địa chỉ, số điện thoại,… để xác nhận có hay không việc mua sản phẩm, sử dụng dịch vụ của chủ thể dữ liệu. Trong trường hợp này, chủ thể thu thập đang thực hiện trách nhiệm thông báo của mình, còn người tiêu dùng đã và đang thể hiện sự đồng ý của mình đối với việc mua sản phẩm/sử dụng dịch vụ thông qua hình thức trực tuyến. Nói cách khác, quy định về quyền được thông báo của chủ thể dữ liệu trong GDPR đã được thể hiện trong mối quan hệ giữa chủ thể thu thập và người tiêu dùng khi người tiêu dùng mua sắm trực tuyến.

Thứ hai, quyền được lãng quên. Quyền này được thể hiện ở hai khía cạnh là quyền hủy niêm yết và quyền xóa dữ liệu. Nếu quyền hủy niêm yết cho phép một cá nhân yêu cầu người điều hành công cụ tìm kiếm xóa một số kết quả tìm kiếm được liên kết với mình[21] thì quyền xóa dữ liệu lại cho phép cá nhân yêu cầu nhà xuất bản xóa dữ liệu mà cá nhân đã cung cấp[22]. Trong phạm vi bài viết chỉ tập trung phân tích một số khía cạnh của quyền xóa dữ liệu.

Theo đó, chủ thể dữ liệu có quyền yêu cầu chủ thể kiểm soát xóa dữ liệu cá nhân liên quan đến mình mà không bị chậm trễ quá mức. Khi nhận được yêu cầu này từ chủ thể dữ liệu, chủ thể kiểm soát phải có nghĩa vụ xóa những dữ liệu cá nhân trên khi thuộc một trong các trường hợp sau: (i) Dữ liệu cá nhân không còn cần thiết liên quan đến các mục đích mà chúng được thu thập và xử lý theo cách khác; (ii) Chủ thể dữ liệu rút lại sự đồng ý và cùng không có căn cứ pháp lý nào khác cho việc tiếp tục cho việc xử lý này nữa; (iii) Chủ thể dữ liệu phản đối việc xử lý; (iv) Dữ liệu cá nhân đã được xử lý một cách bất hợp pháp; (v) Dữ liệu cá nhân phải được xóa để tuân thủ nghĩa vụ pháp lý theo luật của Liên minh châu Âu hoặc Quốc gia thành viên của Liên minh, nơi mà chủ thể kiểm soát phải tuân theo; (vi) Dữ liệu cá nhân đã được thu thập liên quan đến việc cung cấp các dịch vụ xã hội thông tin (information society service)[23]. Ngoài các trường hợp trên thì quyền xóa dữ liệu sẽ không được áp dụng trong một số trường hợp mang ý nghĩa công cộng; luật pháp của Liên minh Châu Âu hoặc Quốc gia thành viên của liên minh quy định[24].

Về vấn đề bảo vệ dữ liệu cá nhân của người tiêu dùng trong quá trình mua sắm trực tuyến thì quyền được lãng quên hầu như chưa được quan tâm. Thực tế, sau khi người tiêu dùng mua sản phẩm, sử dụng dịch vụ trực tuyến thì các dữ liệu cá nhân của người tiêu dùng đã được chủ thể thu thập lưu trữ. Từ những dữ liệu này, chủ thể thu thập có thể sử dụng cho những mục đích liên quan đến việc quảng bá, tiếp thị, đề nghị mua hàng/sử dụng dịch vụ cho những lần tiếp theo. Ngay tại thời điểm sau khi mua hàng/sử dụng dịch vụ trực tuyến, người tiêu dùng có thể áp dụng quyền được lãng quên để yêu cầu chủ thể thu thập xóa những dữ liệu cá nhân của mình. Nhưng trên thực tế, người tiêu dùng thường không quá chú tâm hoặc nhiều trường hợp không biết đến quyền này, từ đó dẫn đến trường hợp, dữ liệu cá nhân của người tiêu dùng vẫn đang bị chủ thể thu thập hoặc bên thứ ba sử dụng cho những mục đích khác mà chính người tiêu dùng vẫn không hay biết mặc dù người tiêu dùng không còn mua sản phẩm/sử dụng dịch vụ trực tuyến từ chủ thể thu thập trước đó.

Thứ ba, trách nhiệm của chủ thể kiểm soát, chủ thể xử lý trong quá trình xử lý dữ liệu cá nhân của chủ thể dữ liệu. Theo đó, chủ thể kiểm soát phải thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo rằng, theo mặc định, chỉ những dữ liệu cá nhân cần thiết cho từng mục đích xử lý cụ thể mới được xử lý[25]. Mục đích của trách nhiệm này là đảm bảo việc xử lý đối với dữ liệu cá nhân không vượt quá mục đích xử lý mà chủ thể kiểm soát, chủ thể xử lý đã thực hiện nghĩa vụ thông báo trước đó cho chủ thể dữ liệu. Còn đối với vấn đề bảo mật xử lý thì GDPR cũng quy định trách nhiệm của chủ thể kiểm soát, chủ thể xử lý. Theo đó, chủ thể kiểm soát, chủ thể xử lý sẽ thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ phù hợp với rủi ro (có tính đến tình trạng kỹ thuật, chi phí thực hiện và tính chất, phạm vi, bối cảnh, mục đích xử lý,…) có thể xảy ra trong quá trình xử lý đối với dữ liệu cá nhân[26]. Khi thu thập được dữ liệu cá nhân của chủ thể dữ liệu, chủ thể kiểm soát, chủ thể xử lý còn phải thực hiện nhiều trách nhiệm khác nhau, trong đó có trách nhiệm bảo mật quá trình xử lý dữ liệu cá nhân, điều này gián tiếp bảo vệ dữ liệu cá nhân của chủ thể dữ liệu.

Liên kết với vấn đề bảo vệ dữ liệu cá nhân của người tiêu dùng trong quá trình mua sắm trực tuyến thì người tiêu dùng dường như không nhận diện hoặc không thấy được cách thức thực hiện trách nhiệm của chủ thể thu thập đối với dữ liệu cá nhân của mình trong quá trình xử lý. Theo tác giả thì đây chính là một trong những nguyên nhân khiến cho dữ liệu cá nhân của người tiêu dùng bị xâm phạm mà chính người tiêu dùng cũng không có cách khắc phục. Bởi lẽ, nếu chủ thể thu thập thực hiện trách nhiệm bảo mật một cách hiệu quả thì việc lộ, lọt dữ liệu cá nhân của người tiêu dùng sẽ xảy ra rất hạn chế.

Ngoài ra, trong văn bản về bảo vệ quyền lợi của người tiêu dùng của Liên minh châu Âu, cụ thể là Chỉ thị 2011/83/EU của Nghị viện châu Âu và Hội đồng ngày 25/10/2011 về quyền của người tiêu dùng, sửa đổi Chỉ thị của Hội đồng 93/13/EEC và Chỉ thị 1999/44/EC của Nghị viện châu Âu và Hội đồng và bãi bỏ Chỉ thị của Hội đồng 85/577/EEC và Chỉ thị 97/7/EC của Nghị viện châu Âu và Hội đồng (sau đây gọi là “Chỉ thị 2011/83/EU”) đã quy định như sau: Đối với dữ liệu cá nhân của người tiêu dùng, thương nhân phải tuân thủ các nghĩa vụ áp dụng theo Quy định (EU) 2016/679[27]. Có thể thấy rằng, vấn đề bảo vệ dữ liệu cá nhân của người tiêu dùng khi mua sắm trực tuyến sẽ tuân thủ theo quy định của GDPR, nói cách khác, pháp luật của Liên minh châu Âu không quy định nội dung này trong một văn bản riêng biệt nào khác.

Tóm lại, quy định về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến được áp dụng theo GDPR. GDPR được đánh giá là một trong những khung pháp lý chuẩn mực về bảo vệ dữ liệu cá nhân nên các nội dung về bảo vệ dữ liệu cá nhân của người tiêu dùng (nhóm đối tượng cụ thể) mà áp dụng GDPR là lẽ đương nhiên.

4. Một số kiến nghị hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến

Thông qua việc nhận diện và đánh giá thực trạng bảo vệ dữ liệu cá nhân của người tiêu dùng trên môi trường trực tuyến, liên hệ sự điều chỉnh pháp luật của Liên minh Châu Âu, có thể thấy rằng, một số nội dung về bảo vệ dữ liệu cá nhân nói chung và bảo vệ dữ liệu cá nhân của người tiêu dùng khi mua sắm trực tuyến nói riêng tại Việt Nam chưa có sự thống nhất với nhau, cụ thể là giữa Luật BVQLNTD, Nghị định số 52/2013/NĐ-CP và Nghị định số 13/2023/NĐ-CP, từ đó, nhóm tác giả đề xuất một số kiến nghị tương ứng, cụ thể:

Một là, quy định thống nhất thuật ngữ dữ liệu cá nhân. Hiện nay, thực tế đã cho thấy pháp luật hiện hành chưa có sự thống nhất trong việc sử dụng thuật ngữ dữ liệu cá nhân hay thông tin cá nhân. Hiện tại, văn bản mang tính chuyên ngành quy định về bảo vệ dữ liệu cá nhân là Nghị định số 13/2023/NĐ-CP đã đưa ra định nghĩa về dữ liệu cá nhân như sau: Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (khoản 1 Điều 2). Còn Luật BVQLNTD năm 2010 và kể cả Luật BVQLNTD năm 2023, Nghị định số 52/2013/NĐ-CP đều sử dụng thuật ngữ thông tin cá nhân[28]. So sánh giữa hai cách định nghĩa này thì cách giải thích về dữ liệu cá nhân của Nghị định số 13/2023/NĐ-CP mang tính bao quát hơn so với thuật ngữ thông tin cá nhân. Bởi lẽ, Nghị định số 13/2023/NĐ-CP vẫn liệt kê cụ thể những dữ liệu cá nhân cơ bản tại khoản 3 Điều 2 như cách thức đưa ra khái niệm thông tin cá nhân của Nghị định 52/2013/NĐ-CP, điểm khác biệt ở đây là Nghị định số 13/2023/NĐ-CP tập trung vào việc nhận diện một người khi dựa vào dữ liệu cá nhân.

Việc sử dụng thuật ngữ dữ liệu cá nhân trong Nghị định số 13/2023/NĐ-CP có sự tương đồng với quy định của GDPR. GDPR sử dụng thuật ngữ dữ liệu cá nhân mà không phải thông tin cá nhân, và được hiểu là thông tin liên quan đến một người xác định hoặc có thể xác định được (khoản 1 Điều 4). Từ việc nghiên cứu một đạo luật riêng biệt về bảo vệ dữ liệu cá nhân, ở đây là Nghị định số 13/2023/NĐ-CP trong sự liên hệ học hỏi kinh nghiệm của pháp luật Liên minh Châu Âu thông qua GDPR thì thấy rằng, cần có sự thống nhất giữa các văn bản quy phạm pháp luật ở nước ta về việc sử dụng thuật ngữ dữ liệu cá nhân, từ đó, có sự thống nhất về cách hiểu, cách vận dụng các quy phạm pháp luật để áp dụng vào thực tiễn.

Hai là, chưa có sự thống nhất giữa quy định về thông báo hay xin phép khi tiến hành thu thập thông tin cá nhân của người tiêu dùng. Nếu như Luật BVQLNTD năm 2023 và Nghị định số 13/2023/NĐ-CP đều quy định về nghĩa vụ thông báo[29] thì Nghị định số 52/2013/NĐ-CP lại quy định “Xin phép người tiêu dùng khi tiến hành thu thập thông tin”. Về nội hàm thì thông báo và xin phép có sự khác biệt. Nếu như xin phép là việc ngỏ ý với người nào đó, mong người đó cho mình cái gì hoặc đồng ý cho mình làm điều gì[30] thì thông báo là việc một người chỉ có nghĩa vụ thông tin đến đối phương về một nội dung nào đó, còn việc xử lý, tiếp nhận những thông tin đó như thế nào là phụ thuộc vào người tiếp nhận, người thông báo không có sự tác động nào đến ý chí của người nhận thông báo về hướng giải quyết đối với nội dung của thông báo. Tác giả nhận thấy rằng, việc sử dụng thuật ngữ thông báo là phù hợp vì có sự tương thích với quy định của GDPR cũng như đảm bảo sự cân bằng giữa bên thông báo và bên nhận thông báo, tức không bên nào bị tác động ý chí của bên nào hướng đến việc đưa ra sự đồng ý về xử lý dữ liệu cá nhân là khách quan.

Ba là, hiện nay, các quy định về bảo vệ dữ liệu cá nhân của người tiêu dùng khi mua sắm trực tuyến còn nằm rải rác ở nhiều văn bản quy phạm pháp luật, vậy, văn bản quy phạm pháp luật nào sẽ được áp dụng trong trường hợp này là một vấn đề cần được giải đáp. Có thể thấy rằng, cùng quy định về bảo vệ dữ liệu cá nhân của người tiêu dùng nhưng lại có tới 03 văn bản quy phạm pháp luật điều chỉnh là Luật BVQLNTD năm 2023, Nghị định số 52/2013/NĐ-CP và Nghị định số 13/2023/NĐ-CP. Nghị định số 13/2023/NĐ-CP có thể xem đây là GDPR của pháp luật Việt Nam khi điều chỉnh về bảo vệ dữ liệu cá nhân.

Theo cách tiếp cận pháp luật Liên minh Châu Âu, việc bảo vệ dữ liệu cá nhân - bao gồm cả trong lĩnh vực thương mại điện tử - được điều chỉnh thống nhất thông qua GDPR. Kỹ thuật lập pháp này theo đánh giá của nhóm tác giả là có tính hệ thống, nhất quán và minh bạch trong xử lý dữ liệu cá nhân, bất kể lĩnh vực áp dụng. Tại Việt Nam, việc bảo vệ dữ liệu cá nhân của người tiêu dùng khi tham gia mua sắm trực tuyến đang chịu sự điều chỉnh đồng thời bởi nhiều văn bản pháp luật, trong đó tiêu biểu là Luật BVQLNTD năm 2023, Nghị định số 52/2013/NĐ-CP và Nghị định số 13/2023/NĐ-CP. Từ góc độ lập pháp, nhóm tác giả cho rằng việc tiếp tục quy định riêng lẻ đối với vấn đề bảo vệ dữ liệu cá nhân trong từng đạo luật chuyên ngành là cần thiết nhưng không nên rời rạc. Thay vào đó, nên thiết kế theo hướng “quy định khung” thống nhất trong một văn bản pháp luật chung – hiện tại là Nghị định số 13/2023/NĐ-CP và sắp tới là Luật Bảo vệ dữ liệu cá nhân (đang trong quá trình dự thảo và sắp được Quốc hội bấm nút thông qua) - còn các đạo luật chuyên ngành chỉ nên quy định những điểm đặc thù riêng, có sự dẫn chiếu hoặc viện dẫn cụ thể đến văn bản chung để đảm bảo tính đồng bộ và thống nhất trong hệ thống pháp luật. Ở đây, cũng cần lưu ý rằng Nghị định số 13/2023/NĐ-CP là văn bản dưới luật, trong khi Luật BVQLNTD là văn bản luật có giá trị pháp lý cao hơn. Do đó, việc dẫn chiếu trực tiếp từ luật sang nghị định có thể tạo ra vướng mắc về mặt kỹ thuật pháp lý. Trong thời gian chờ đợi Luật Bảo vệ dữ liệu cá nhân chính thức được ban hành và có hiệu lực, việc dẫn chiếu sang Nghị định số 13/2023/NĐ-CP chỉ nên được xem là giải pháp ngắn hạn. Về lâu dài, cần có sự phân tầng hợp lý trong cấu trúc pháp luật: luật chung điều chỉnh tổng thể, luật chuyên ngành bổ sung chi tiết đặc thù.

5. Kết luận

Cuộc cách mạng công nghiệp 4.0 với những thay đổi mang tính đột phá, ngày càng hiện đại và thông minh, tác động mạnh mẽ đến sự phát triển kinh tế, xã hội của các quốc gia. Trong đó, mạng Internet được xem là một trong những nhân tố cốt lõi phản ánh sự thay đổi và phát triển của một quốc gia qua các thời kỳ, giữa quốc gia này với quốc gia khác, giữa nền kinh tế này với nền kinh tế khác. Tuy nhiên, công nghệ phát triển bao nhiêu thì cũng đi kèm với những hệ lụy, tiêu biểu là hoạt động mua sắm trực tuyến ngày càng bùng nổ thì tình trạng đánh cắp, lộ, lọt dữ liệu cá nhân của người tiêu dùng lại trở nên nghiêm trọng, Việt Nam cũng không ngoại lệ. Do vậy, để bảo vệ dữ liệu cá nhân của chủ thể này trong bối cảnh hiện nay thì việc hoàn thiện hành lang pháp lý là điều cấp thiết, bên cạnh việc hoàn thiện các quy định trong Nghị định số 13/2023/NĐ-CP thì cần có sự thống nhất giữa các văn bản quy phạm pháp luật có liên quan đến vấn đề này để tạo sự thuận lợi trong quá trình bảo vệ dữ liệu cá nhân của người tiêu dùng khi mua sắm trực tuyến.

TÀI LIỆU THAM KHẢO

1. Luật Bảo vệ quyền lợi người tiêu dùng số 59/2010/QH12 ngày 17 tháng 11 năm 2010.

2. Luật Bảo vệ quyền lợi người tiêu dùng số 19/2023/QH15 ngày 20 tháng 6 năm 2023.

3. Luật Giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005.

4. Luật Giao dịch điện tử số 20/2023/QH15 ngày 22 tháng 6 năm 2023.

5. Nghị định số 52/2013/NĐ-CP ngày 16 tháng 5 năm 2013 quy định về thương mại điện tử.

6. Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 quy định về bảo vệ dữ liệu cá nhân.

7. Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR).

8. Chỉ thị 2011/83/EU quy định: In respect of personal data of the consumer, the traller shall comply with the obligations applicable under Regulation (EU) 2016/679.

9. Nhĩ Anh, Thương mại điện tử Việt Nam năm 2023 dự kiến đạt hơn 20 tỷ USD, vneconomy, https://vneconomy.vn/thuong-mai-dien-tu-viet-nam-nam-2023-du-kien-dat-hon-20-ty-usd.htm.

10. Ngọc Trâm, Ngọc Anh, Nguy cơ lộ lọt thông tin cá nhân qua sàn thương mại điện tử, https://cand.com.vn/Ho-so-Interpol/nguy-co-lo-lot-thong-tin-ca-nhan-qua-san-thuong-mai-dien-tu-i760575/.

11. Sơn Bách, Phổ biến, hướng dẫn Nghị định về bảo vệ dữ liệu cá nhân, https://nhandan.vn/pho-bien-huong-dan-nghi-dinh-ve-bao-ve-du-lieu-ca-nhan-post756516.html.

12. Nguyễn Thị Dung, Quyền được lãng quên trên môi trường internet ở một số quốc gia và kinh nghiệm tham khảo cho Việt Nam, https://danchuphapluat.vn/quyen-lang-quen-tren-moi-truong-internet-o-mot-so-quoc-gia-va-kinh-nghiem-tham-khao-cho-viet-nam.

13. Vũ Công Giao, Lê Trần Như Tuyên, Bảo vệ quyền đối với dữ liệu cá nhân trong luật pháp quốc tế, luật pháp ở một số quốc gia và tham khảo giá trị cho Việt Nam, Nghiên cứu Lập pháp số 09 (409), 2020.

14. Huỳnh Thị Nam Hải, Huỳnh Thị Minh Hải, Quyền được lãng quên và vấn đề bảo vệ dữ liệu cá nhân, https://tapchitoaan.vn/quyen-duoc-lang-quen-va-van-de-bao-ve-du-lieu-ca-nhan.

15. Vũ Thế Hoài, Nguyễn Phạm Thanh Hoa, Quyền riêng tư đối với dữ liệu cá nhân trên không gian mạng theo pháp luật của Liên minh Châu Âu - Một số kinh nghiệm cho Việt Nam, NXB Lao Động, Hà Nội, 677 (2023).

16. Hoàng Phê, Từ điển Tiếng Việt, Nxb Đà Đẵng, Hà Nội – Đà Nẵng, 1151, 2003.

17. Lê Phương, ĐBQH Ngàn Phương Loan: Người tiêu dùng nâng cao cảnh giác khi mua hàng qua mạng, Quốc hội Việt Nam, https://quochoi.vn/hoatdongdbqh/Pages/tin-hoat-dong-dai-bieu.aspx?ItemID=44113.

18. Mai Hoàng Thịnh, Xu hướng hành vi mua hàng trực tuyến của người tiêu dùng Việt Nam, Tạp chí công thương, https://tapchicongthuong.vn/bai-viet/xu-huong-hanh-vi-mua-hang-truc-tuyen-cua-nguoi-tieu-dung-viet-nam-104014.htm.

19. Trần Bình, Báo động tình trạng lộ lọt dữ liệu cá nhân, https://www.sggp.org.vn/bao-dong-tinh-trang-lo-lot-du-lieu-ca-nhan-post773279.html.

20. Hiệp Hội thương mại điện tử Việt Nam, Báo cáo chỉ số thương mại điện tử Việt Nam năm 2023 Hướng tới phát triển thương mại bền vững, 31 - 37, 2023.

21. VCCI, Lazada, Báo cáo Thương mại điện tử phát triển bền vững: Động lực thúc đẩy nền kinh tế số, 25, 2023.

22. Cục Thương mại điện tử và Kinh tế số Bộ Công thương, “Sách trắng thương mại điện tử Việt Nam 2022”, 45, 2022.

23. European Union, Data protection and online privacy,https://europa.eu/youreurope/citizens/consumers/internet-telecoms/data-protection-online-privacy/index_en.htm.

* Giảng viên Khoa Luật Dân sự, Trường Đại học Luật Thành phố Hồ Chí Minh. Duyệt đăng 24/5/2025. Email: xkoanh@hcmulaw.edu.vn

** Cử nhân Luật, Trường Đại học Luật Thành phố Hồ Chí Minh.

Email: nguyenphamhoa.28042001@gmail.com

[1] Mai Hoàng Thịnh, Xu hướng hành vi mua hàng trực tuyến của người tiêu dùng Việt Nam, Tạp chí công thương, (10h15 28/12/2024), https://tapchicongthuong.vn/bai-viet/xu-huong-hanh-vi-mua-hang-truc-tuyen-cua-nguoi-tieu-dung-viet-nam-104014.htm.

[2] Vũ Thế Hoài, Nguyễn Phạm Thanh Hoa, Quyền riêng tư đối với dữ liệu cá nhân trên không gian mạng theo pháp luật của Liên minh Châu Âu - một số kinh nghiệm cho Việt Nam, NXB Lao động, Hà Nội, 677 (2023).

[3] Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 quy định về bảo vệ dữ liệu cá nhân, khoản 3 Điều 2.

[4] Luật Bảo vệ quyền lợi người tiêu dùng số 59/2010/QH12 ngày 17 tháng 11 năm 2010, khoản 1 Điều 3. Còn tại Luật Bảo vệ quyền lợi người tiêu dùng số 19/2023/QH15 ngày 20 tháng 6 năm 2023, khoản 1 Điều 3 (có hiệu lực từ ngày 01/7/2024) thì người tiêu dùng được hiểu là người mua, sử dụng sản phẩm dịch vụ, hàng hóa, dịch vụ cho mục đích tiêu dùng, sinh hoạt của cá nhân, gia đình, cơ quan, tổ chức và không vì mục đích thương mại.

[5] Mai Hoàng Thịnh, Xu hướng hành vi mua hàng trực tuyến của người tiêu dùng Việt Nam, Tạp chí công thương, (10h15 28/12/2024), https://tapchicongthuong.vn/bai-viet/xu-huong-hanh-vi-mua-hang-truc-tuyen-cua-nguoi-tieu-dung-viet-nam-104014.htm.

[6] Luật Giao dịch điện tử số 20/2023/QH15 ngày 22 tháng 6 năm 2023, khoản 2 Điều 3.

[7] Lê Phương, ĐBQH Ngàn Phương Loan: Người tiêu dùng nâng cao cảnh giác khi mua hàng qua mạng, Quốc hội Việt Nam (14h15 28/12/2024), https://quochoi.vn/hoatdongdbqh/Pages/tin-hoat-dong-dai-bieu.aspx?ItemID=44113.

[8] Nhĩ Anh, Thương mại điện tử Việt Nam năm 2023 dự kiến đạt hơn 20 tỷ USD, vneconomy (14h30 28/12/2024),https://vneconomy.vn/thuong-mai-dien-tu-viet-nam-nam-2023-du-kien-dat-hon-20-ty-usd.htm.

[9] Hiệp Hội thương mại điện tử Việt Nam, Báo cáo chỉ số thương mại điện tử Việt Nam năm 2023 Hướng tới phát triển thương mại bền vững, 31 - 37, 2023.

[10] VCCI, Lazada, Báo cáo Thương mại điện tử phát triển bền vững: Động lực thúc đẩy nền kinh tế số, 12, 2023.

[11] VCCI, Lazada, Báo cáo Thương mại điện tử phát triển bền vững: Động lực thúc đẩy nền kinh tế số, 25, 2023.

[12] Cục Thương mại điện tử và Kinh tế số Bộ Công thương, “Sách trắng thương mại điện tử Việt Nam 2022”, 45, 2022,

[13] Ngọc Trâm, Ngọc Anh, Nguy cơ lộ lọt thông tin cá nhân qua sàn thương mại điện tử (20h00 14/5/2025), https://cand.com.vn/Ho-so-Interpol/nguy-co-lo-lot-thong-tin-ca-nhan-qua-san-thuong-mai-dien-tu-i760575/.

[14] Trần Bình, Báo động tình trạng lộ lọt dữ liệu cá nhân (20h10 14/5/2025), https://www.sggp.org.vn/bao-dong-tinh-trang-lo-lot-du-lieu-ca-nhan-post773279.html.

[15] Khoản 5 Điều 2 Nghị định 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân.

[16] Sơn Bách, Phổ biến, hướng dẫn Nghị định về bảo vệ dữ liệu cá nhân, (13h15 01/01/2024), https://nhandan.vn/pho-bien-huong-dan-nghi-dinh-ve-bao-ve-du-lieu-ca-nhan-post756516.html.

[17] European Union, Data protection and online privacy, (10h15 01/01/2024), https://europa.eu/youreurope/citizens/consumers/internet-telecoms/data-protection-online-privacy/index_en.htm.

[18] Vũ Công Giao, Lê Trần Như Tuyên, Bảo vệ quyền đối với dữ liệu cá nhân trong luật pháp quốc tế, luật pháp ở một số quốc gia và tham khảo giá trị cho Việt Nam, Nghiên cứu Lập pháp số 09 (409), 2020.

[19] Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR), Điều 13, Điều 14.

[20] Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR), Khoản 1, khoản 2 Điều 13 và khoản 1, khoản 2 Điều 14.

[21] Huỳnh Thị Nam Hải, Huỳnh Thị Minh Hải, Quyền được lãng quên và vấn đề bảo vệ dữ liệu cá nhân (11h07 01/01/2024), https://tapchitoaan.vn/quyen-duoc-lang-quen-va-van-de-bao-ve-du-lieu-ca-nhan.

[22] Nguyễn Thị Dung, Quyền được lãng quên trên môi trường internet ở một số quốc gia và kinh nghiệm tham khảo cho Việt Nam, (15h05 01/01/2024), https://danchuphapluat.vn/quyen-lang-quen-tren-moi-truong-internet-o-mot-so-quoc-gia-va-kinh-nghiem-tham-khao-cho-viet-nam.

[23] Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR), khoản 1 Điều 17.

[24] Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR), khoản 3 Điều 17.

[25] Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR), khoản 2 Điều 25.

[26] Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR), Khoản 1 Điều 32.

[27] Chỉ thị 2011/83/EU quy định: In respect of personal data of the consumer, the traller shall comply with the obligations applicable under Regulation (EU) 2016/679, khoản 4 Điều 13.

[28] Nghị định số 52/2013/NĐ-CP ngày 16 tháng 5 năm 2013 qui định về thương mại điện tử, khoản 13 Điều 3 quy định: “Thông tin cá nhân là các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”.

[29] Điều 17 Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 quy định tên điều luật “Thông báo khi thu thập, sử dụng thông tin của người tiêu dùng”, Điều 13 Nghị định số 13/2023/NĐ-CP quy định tên điều luật “Thông báo xử lý dữ liệu cá nhân”.

[30] Hoàng Phê, Từ điển Tiếng Việt, Nxb Đà Đẵng, Hà Nội – Đà Nẵng, 1151, 2003.