Hiện tại, Nghị định 52/2013/NĐ-CP quy định về hoạt động thương mại điện tử chỉ áp dụng đối với các thương nhân có quốc tịch Việt Nam hoặc đặt trụ sở tại đây. Tuy nhiên, phạm vi trên đang được kỳ vọng mở rộng theo dự thảo sửa đổi, bổ sung mới nhất của văn bản này. Cụ thể, đối tượng chịu sự điều chỉnh sẽ bao gồm luôn cả thương nhân nước ngoài không có hiện diện tại Việt Nam.
Như vậy, bên cạnh các điều kiện về đầu tư, thành lập doanh nghiệp, các quy định liên quan đến bảo mật dữ liệu người dùng cũng là một trong những vấn đề quan trọng cần được quan tâm đúng mức ngay từ đầu.
1. Dữ liệu người dùng theo pháp luật Việt Nam
Thông tin cá nhân theo pháp luật TMĐT bao gồm: tên; tuổi; địa chỉ nhà riêng; số điện thoại; thông tin y tế; số tài khoản; thông tin về các giao dịch thanh toán cá nhân; và những thông tin khác mà cá nhân mong muốn giữ bí mật. Tuy nhiên, định nghĩa trên không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông.
Định nghĩa trên không đề cập tới các thông tin như vân tay, khuôn mặt hoặc mống mắt, dù trong thực tế, đây cũng là các thông tin được cung cấp khá nhiều trong các hoạt động thanh toán không dùng tiền mặt hoặc đăng nhập vào các ứng dụng. Tuy nhiên, theo định nghĩa tại Luật An toàn thông tin thông mạng 2015, thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể. Theo đó, nếu giải thích theo cách định nghĩa này, thông tin về đặc điểm nhận dạng sinh học của một người cũng có thể được xem là thông tin cá nhân cần được bảo mật.
2. Tổng quan một số nội dung cần lưu ý
Điều đầu tiên, doanh nghiệp TMĐT phải xây dựng chính sách bảo vệ thông tin cá nhân (hay dữ liệu cá nhân) với các nội dung sau:
(i) Mục đích thu thập thông tin cá nhân cũng như phạm vi sử dụng và thời gian lưu trữ. Trừ trường hợp các bên có thỏa thuận riêng về mục đích và phạm vi, hoặc để cung cấp sản phẩm hoặc dịch vụ theo yêu cầu cá biệt của người dùng, hoặc theo yêu cầu của pháp luật, doanh nghiệp TMĐT không được sử dụng dữ liệu đã thu thập ngoài mục đích đã thông báo;
(ii) Những người hoặc tổ chức có thể được tiếp cận với thông tin đó;
(iii) Địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm cách thức liên lạc để người tiêu dùng có thể hỏi về hoạt động thu thập, xử lý thông tin liên quan đến cá nhân mình;
(iv) Phương thức và công cụ để người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình.
Chính sách trên phải được hiển thị cho người dùng trước hoặc tại thời điểm thu thập thông tin, hoặc công khai tại một vị trí dễ thấy trên website của doanh nghiệp.
Thứ hai, khi thu thập thông tin, doanh nghiệp TMĐT phải thiết lập cơ chế để người dùng bày tỏ sự đồng ý cho phép việc này thông qua các chức năng trực tuyến trên website, thư điện tử, tin nhắn, hoặc những phương thức khác theo thỏa thuận giữa hai bên. Đồng thời, phải có một cơ chế riêng để người dùng lựa chọn việc cho phép hoặc không cho phép doanh nghiệp TMĐT sử dụng thông tin cá nhân của họ trong những trường hợp sau:
(i) Chia sẻ, tiết lộ, chuyển giao thông tin cho một bên thứ ba; hoặc
(ii) Sử dụng thông tin cá nhân để gửi quảng cáo, giới thiệu sản phẩm và các thông tin có tính thương mại khác.
Thứ ba, doanh nghiệp TMĐT phải có cơ chế tiếp nhận và giải quyết khiếu nại của người dùng liên quan đến việc thông tin cá nhân bị sử dụng sai mục đích hoặc phạm vi đã thông báo. Trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất thông tin của người dùng, doanh nghiệp phải thông báo cho cơ quan chức năng trong vòng 24 giờ sau khi phát hiện sự cố. Tuy nhiên, việc thông báo không phải là điều kiện để doanh nghiệp TMĐT được giải trừ trách nhiệm trong trường hợp sự cố gây thiệt hại cho người dùng khi thông tin bị mất cắp.
Hiện tại trên thực tế, doanh nghiệp TMĐT nước ngoài chưa phải đặt máy chủ tại Việt Nam để lưu trữ thông tin cá nhân người dùng Việt Nam thu thập được. Mặc dù theo quy định, tổ chức có thu thập, khai thác, phân tích, xử lý thông tin của người dùng Việt Nam phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam để lưu trữ các dữ liệu. Tuy nhiên, việc áp dụng quy định này trên thực tế đang bị bỏ ngỏ và chờ hướng dẫn chi tiết từ Chính phủ Việt Nam. Theo dự thảo nghị định hướng dẫn chi tiết Luật An ninh mạng ngày 31/10/2018, doanh nghiệp TMĐT phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam để lưu trữ dữ liệu tại đây nếu:
(i) Để cho người dùng của mình thực hiện các hành vi xâm phạm an ninh quốc gia, trật tự công cộng; vi phạm đạo đức, thuần phong mỹ tục; các tội phạm mạng (khủng bố, tất công, gián điệp, …); phá hoại hệ thống thông tin an ninh quốc gia; và
(ii) Doanh nghiệp TMĐT đó trực tiếp có hành vi chống lại hoạt động của lực lượng bảo vệ an ninh mạng, hoặc vô hiệu hóa trái pháp luật làm mất tác dụng biện pháp bảo vệ an ninh mạng; hoặc
(iii) Vi phạm các quy định về xác thực thông tin người dùng, hoặc ngăn chặn chia sẻ, loại bỏ thông tin vi phạm quy định pháp luật theo yêu cầu của cơ quan Nhà nước có thẩm quyền.
Tóm lại, do các yêu cầu ngày càng khắt khe hơn của chính phủ liên quan đến quyền riêng tư dữ liệu, cùng với việc người dùng Internet Việt Nam ngày càng nhận thức rõ hơn về vấn đề này, các công ty thương mại điện tử phải có một hệ thống bảo vệ dữ liệu của người dùng minh bạch và hiệu quả để có được sự tin tưởng hoàn toàn của người dùng ngoài chất lượng của sản phẩm và dịch vụ. Bên cạnh đó, các công ty thương mại điện tử có thể muốn tham khảo ý kiến của các chuyên gia về luật bảo mật dữ liệu trước khi khởi động bất kỳ dự án nào. Điều này là do các quy định về vấn đề này đang trong quá trình thống nhất vì các quy định mới nhất và trước đây dường như bị chồng chéo và gây ra sự nhầm lẫn trong việc áp dụng.
