Việc bảo vệ thông tin người tiêu dùng đã nổi lên như một vấn đề quan trọng trong những năm gần đây, đặc biệt là trong bối cảnh kỹ thuật số đang phát triển nhanh chóng. Để đáp ứng mối quan tâm ngày càng tăng này, Luật Bảo vệ Quyền Người tiêu dùng số 19/2023/QH15 (”LPCR2023”) đã được sửa đổi với các quy định mới cụ thể nhằm tăng cường quyền lợi của người tiêu dùng liên quan đến quyền riêng tư dữ liệu. Sự ra đời của công cụ pháp lý này, có hiệu lực từ ngày 1 tháng 7 năm 2024, đánh dấu một sự thay đổi quan trọng trong khuôn khổ pháp lý điều chỉnh các hoạt động xử lý dữ liệu của người tiêu dùng. Trong bài viết này, chúng tôi đi sâu vào các điểm đáng chú ý của luật mới này liên quan đến bảo vệ thông tin người tiêu dùng, phác thảo tác động của nó đối với cả doanh nghiệp và người tiêu dùng.
Theo LPCR2023, “thông tin người tiêu dùng” bao gồm dữ liệu cá nhân của người tiêu dùng, thông tin về quy trình mua và sử dụng của họ đối với sản phẩm, hàng hóa và dịch vụ, cũng như dữ liệu liên quan đến giao dịch khác giữa người tiêu dùng và doanh nghiệp[1].
Để tuân thủ các yêu cầu quy định mới, các doanh nghiệp được yêu cầu hạn chế thu thập thông tin người tiêu dùng trong phạm vi cần thiết cho một mục đích cụ thể và thực hiện các chính sách lưu giữ dữ liệu để đảm bảo rằng thông tin không tồn tại lâu hơn yêu cầu. Ngoài ra, nghĩa vụ của họ bao gồm thông báo trước cho người tiêu dùng về mục đích, phạm vi, thời gian sử dụng và lưu trữ dữ liệu của họ, cũng như bất kỳ bên thứ ba nào mà dữ liệu có thể được chia sẻ. Không có thu gom nào được thực hiện trừ khi khách hàng đồng ý rõ ràng như vậy. Khách hàng có thể bày tỏ sự đồng ý hoặc từ chối bộ sưu tập này thông qua cơ chế rõ ràng và minh bạch do doanh nghiệp tạo ra. Đáng chú ý, các doanh nghiệp được miễn các nghĩa vụ này nếu họ đang thu thập thông tin mà người tiêu dùng đã công khai hoặc nếu việc thu thập đó được cho phép theo các quy định pháp luật khác.[2].
Điều đáng nói là thông tin người tiêu dùng phải được xử lý chính xác và chỉ dành cho các mục đích được thông báo và được người tiêu dùng đồng ý trước trừ khi pháp luật cho phép khác. Doanh nghiệp phải tuân thủ mục đích thu thập và sử dụng dữ liệu trong suốt vòng đời xử lý dữ liệu. Trước khi thay đổi mục đích được thông báo hoặc phạm vi sử dụng thông tin người tiêu dùng, doanh nghiệp phải thông báo lại cho người tiêu dùng và đảm bảo sự đồng ý của họ đối với những thay đổi. Các quy định này bao gồm việc chia sẻ, tiết lộ và chuyển giao thông tin người tiêu dùng cho bên thứ ba. LPCR 2023 cũng nêu ra các trường hợp đặc biệt mà doanh nghiệp có thể xử lý thông tin người tiêu dùng vượt quá giới hạn được quy định rõ ràng của pháp luật, bao gồm: (i) có thỏa thuận riêng với người tiêu dùng về mục đích và phạm vi sử dụng ngoài mục đích và phạm vi sử dụng ban đầu; (ii) sử dụng thông tin để bán, cung cấp sản phẩm, hàng hóa hoặc dịch vụ theo yêu cầu của người tiêu dùng và chỉ trong phạm vi thông tin được người tiêu dùng đồng ý; và (iii) thực hiện nghĩa vụ pháp lý theo quy định của pháp luật. Hơn nữa, các doanh nghiệp thu thập thông tin người tiêu dùng phải cung cấp các cơ chế để người tiêu dùng chọn tham gia hoặc không tham gia các hành động như chia sẻ với bên thứ ba và sử dụng dữ liệu của họ cho mục đích quảng cáo và thương mại.
Bảo vệ thông tin người tiêu dùng thông qua các biện pháp nghiêm ngặt là điều cần thiết theo các quy định mới. Điều 19 LPCR 2023 quy định rõ trách nhiệm của doanh nghiệp để đảm bảo an toàn, bảo mật xử lý thông tin người tiêu dùng:
(i) Đảm bảo an toàn thông tin người tiêu dùng trong quá trình thu thập, lưu trữ và sử dụng bằng cách thực hiện các biện pháp phòng ngừa truy cập trái phép, đánh cắp, sử dụng sai, thay đổi trái phép, cập nhật hoặc xóa;
(ii) Giải quyết các khiếu nại, yêu cầu và khiếu nại từ người tiêu dùng liên quan đến việc thu thập dữ liệu trái phép, không đúng hoặc sai lệch so với mục đích và phạm vi cụ thể; và
(iii) Trong trường hợp xảy ra một cuộc tấn công mạng làm tổn hại đến an ninh thông tin người tiêu dùng, doanh nghiệp hoặc người quản lý dữ liệu phải thông báo kịp thời cho cơ quan nhà nước có thẩm quyền trong vòng 24 giờ kể từ khi xác định vi phạm. Họ cũng phải thực hiện các hành động ngay lập tức để duy trì bảo mật dữ liệu, tuân thủ luật an ninh mạng, giao thức bảo mật mạng, quy định giao dịch điện tử và các quy định pháp lý có liên quan.
Tóm lại, khung pháp lý mới chi phối bảo vệ dữ liệu người tiêu dùng trở nên quan trọng để bảo vệ thông tin người tiêu dùng trong bối cảnh kỹ thuật số ngày nay. Các doanh nghiệp phải điều chỉnh thực tiễn của mình để đáp ứng các yêu cầu pháp lý nghiêm ngặt trong khi người tiêu dùng phải nhận thức được các quyền của họ và cách khẳng định chúng một cách hiệu quả để bảo vệ thông tin của họ. Việc tuân thủ các quy định này không chỉ đảm bảo tuân thủ pháp luật mà còn thúc đẩy một môi trường an toàn, duy trì quyền lợi của người tiêu dùng và tăng cường niềm tin vào thực tiễn quản lý dữ liệu.
[1] LPCR 2023, Điều 3, Khoản 3
[2] LPCR 2023, Điều 17
[3] LPCR 2023, Điều 18
Khước từ: Bản Cập Nhật Pháp lý này nhằm cung cấp các bản cập nhật về Luật chỉ cho mục đích thông tin và không nên được sử dụng hoặc hiểu như lời khuyên của chúng tôi cho mục đích kinh doanh. LNT & Partners sẽ không chịu trách nhiệm về bất kỳ việc sử dụng hoặc áp dụng thông tin nào cho bất kỳ mục đích kinh doanh nào. Để được làm rõ thêm hoặc tư vấn từ Bản cập nhật pháp lý, vui lòng tham khảo ý kiến luật sư của chúng tôi: Bà Dương Bá Anh Duyên tại anhduyen.duong@lntpartners.com.
Chính sách chống hối lộ và tham nhũng: LNT & Partners đã ban hành và duy trì chính sách tuân thủ tất cả các luật và quy định hiện hành về hối lộ và tham nhũng tại Việt Nam và trên toàn thế giới.
