Trong những năm gần đây, dưới sự phát triển mạnh mẽ của công nghệ, dịch vụ thương mại điện tử ngày càng trở nên phổ biến và thu hút nhiều người tiêu dùng tham gia bởi những tiện ích mà nó mang lại. Để tham gia vào giao dịch thương mại điện tử người tiêu dùng phải cung cấp thông tin cá nhân của mình cho các doanh nghiệp cung cấp dịch vụ hoặc đối tác của họ. Những thông tin cá nhân đã thu thập sẽ được các doanh nghiệp lưu trữ và quản lý, một mặt đáp ứng nhu cầu của khách hàng trong giao dịch. Mặt khác, điều này nhằm mục đích chăm sóc và cung cấp dịch vụ hậu mãi cho khách hàng thông qua các chương trình giảm giá, khuyến mại hoặc quảng cáo. Doanh nghiệp có thể dễ dàng tiếp cận với khách hàng cũ của mình thông qua việc khai thác cơ sở dữ liệu khách hàng có sẵn để cải tiến và điều chỉnh dịch vụ phù hợp, từ đó có thể mở rộng thị phần. Các thông tin cá nhân này khi được tiếp cận bởi doanh nghiệp có thể trở thành nguồn dữ liệu có giá trị thương mại. Vì vậy, các doanh nghiệp đều muốn tiếp cập, thu thập, sử dụng và khai thác thông tin cá nhân khách hàng của mình. Tuy nhiên, không phải hầu hết các doanh nghiệp đều nắm rõ được các quy định pháp luật để có thể thu thập và sử dụng thông tin cá nhân khách hàng một cách hợp pháp.
Hiểu được vấn đề này, trong phạm vi bài viết chúng tôi sẽ nêu rõ một số quy định pháp luật mà doanh nghiệp cần lưu ý và tuân thủ khi thu thập, sử dụng thông tin khách hàng, đặc biệt những thông tin cá nhân được thu thập thông qua môi trường mạng.
Như vậy, thông tin cá nhân sẽ bao gồm các thông tin nào?
Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật.
Các yêu cầu khi thu thập thông tin của khách hàng
Thu thập thông tin cá nhân là hoạt động thu thập để đưa vào một cơ sở dữ liệu bao gồm thông tin cá nhân của nhiều người tiêu dùng là khách hàng hoặc khách hàng tiềm năng của doanh nghiệp. Hiện nay, pháp luật Việt Nam nói chung và luật bảo vệ quyền lợi người tiêu dùng nói riêng đều rất chú trọng về việc bảo vệ thông tin của khách hàng. Theo đó, khách hàng khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ được đảm bảo an toàn, bí mật thông tin của mình. Doanh nghiệp không được cung cấp thông tin cá nhân khách hàng cho bên thứ ba, trừ trường hợp có yêu cầu cung cấp thông tin từ cơ quan có thẩm quyền hoặc có sự đồng ý của người đó.
Để có thể thu thập thông tin khách hàng phục vụ cho hoạt động kinh doanh của mình, doanh nghiệp cần phải đảm bảo các trách nhiệm sau:
- Thông báo rõ ràng, công khai trước khi thực hiện với khách hàng về phạm vi, mục đích hoạt động thu thập, sử dụng thông tin của khách hàng;
- Sử dụng thông tin phù hợp với mục đích đã thông báo với khách hàng và chỉ sử dụng thông tin thu thập vào mục đích khác mục đích ban đầu khi có sự đồng ý của khách hàng;
- Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của khách hàng;
- Tự mình hoặc có biện pháp để khách hàng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác;
- Không được cung cấp, chia sẻ, phát tán thông tin cá nhân của khách hàng mà doanh nghiệp đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của khách hàng đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Như vậy, để đảm bảo việc thu thập và sử dụng thông tin khách hàng phù hợp với quy định của pháp luật và tránh các rủi ro có thể xảy ra về sau, doanh nghiệp cần phải xây dựng và công bố Chính Sách Bảo Mật Thông Tin cá nhân của khách hàng. Theo đó chính sách này cần phải quy định rõ các nội dung sau:
- Mục đích thu thập thông tin cá nhân;
- Phạm vi sử dụng thông tin;
- Thời gian lưu trữ thông tin;
- Cá nhân hoặc tổ chức có thể được tiếp cận với thông tin đó;
- Địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm cách thức liên lạc để người tiêu dùng có thể hỏi về hoạt động thu thập, xử lý thông tin liên quan đến cá nhân mình;
- Phương thức và công cụ để người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương mại điện tử của đơn vị thu thập thông tin.
Chính Sách Bảo Mật Thông Tin cần phải được doanh nghiệp thông tin cụ thể đến khách hàng trước hoặc tại thời điểm doanh nghiệp tiến hành thu thập thông tin. Doanh nghiệp có thể đăng tải/công bố công khai Chính Sách Bảo Mật Thông Tin của khách hàng tại một vị trí dễ thấy trên website của mình, thư điện tử, tin nhắn, hoặc những phương thức khác theo thỏa thuận giữa hai bên.
Ngoài ra, doanh nghiệp cần phải đảm bảo có cơ chế để thực hiện xin phép khách hàng khi tiến hành thu thập thông tin của họ thông qua các chức năng trực tuyến trên website của doanh nghiệp. Doanh nghiệp cũng cần có cơ chế riêng để khách hàng có thể lựa chọn việc cho phép hoặc không cho phép sử dụng thông tin của họ trong các trường hợp sau:
- Chia sẻ, tiết lộ, chuyển giao thông tin cho một bên thứ ba;
- Sử dụng thông tin cá nhân để gửi quảng cáo, giới thiệu sản phẩm và các thông tin có tính thương mại khác.
Mặc khác, trong một số trường hợp đặc biệt doanh nghiệp được quyền thu thập thông tin của khách hàng mà không cần được sự đồng ý trước của họ như sau:
- Thu thập thông tin cá nhân đã công bố công khai trên các website thương mại điện tử;
- Thu thập thông tin cá nhân để ký kết hoặc thực hiện hợp đồng mua bán hàng hóa và dịch vụ;
- Thu thập thông tin cá nhân để tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng.
Sau khi thực hiện việc thu thập và lưu trữ thông tin của khách hàng, doanh nghiệp cần đảm bảo sự an toàn và an ninh cho các thông tin này tránh trường hợp dữ liệu về thông tin khách hàng bị đánh cắp, tiếp cập, sử dụng, thay đổi hoặc phá hủy trái phép. Doanh nghiệp phải có cơ chế tiếp nhận và giải quyết khiếu nại của khách hàng liên quan đến việc thông tin cá nhân bị sử dụng sai mục đích hoặc phạm vi đã thông báo. Trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất thông tin của khách hàng, doanh nghiệp phải thông báo cho cơ quan chức năng trong vòng 24 giờ sau khi phát hiện sự cố.
Doanh nghiệp cũng cần có phương án để thay đổi thông tin của khách hàng khi có yêu cầu thay đổi, cập nhật, điều chỉnh hoặc hủy bỏ bằng cách doanh nghiệp tự mình thực hiện hoặc cung cấp công cụ cho khách hàng để tự kiểm tra, cập nhật, điều chỉnh thông tin cá nhân của mình. Ngoài ra, doanh nghiệp phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho khách hàng biết, trừ trường hợp pháp luật có quy định khác.
Trường hợp doanh nghiệp không tuân thủ các vấn đề nêu trên, doanh nghiệp có thể bị xử phạt hành chính và tùy thuộc vào hành vi vi phạm mà mức xử phạt hành chính có thể lên đến 60.000.000 đồng. Nếu thông tin có liên quan là thông tin thuộc về bí mật cá nhân của khách hàng thì mức phạt tiền có thể lên đến 80.000.000 đồng. Ngoài ra, khách hàng có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân.
Trên đây là một số vấn đề pháp lý liên quan đến việc thu thập và sử dụng thông tin cá nhân khách hàng mà doanh nghiệp cần phải nắm rõ và tuân thủ để thực hiện đúng, hạn chế sai sót dẫn đến hậu quả đáng tiếc.