Bảo Vệ Thông Tin Của Người Tiêu Dùng Theo Pháp Luật Bảo Vệ Người Tiêu Dùng Của Việt Nam

Theo pháp luật Việt Nam, "Người tiêu dùng là người mua, sử dụng hàng hoá, dịch vụ cho mục đích tiêu dùng, sinh hoạt của cá nhân, gia đình, tổ chức". Thông tin cá nhân của người tiêu dùng được hiểu là bất kỳ thông tin nào gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể. Các thông tin này bao gồm nhưng không giới hạn ở: họ tên, ngày sinh, địa chỉ, số điện thoại, email, số tài khoản ngân hàng, số căn cước công dân. Điểm đặc thù của thông tin người tiêu dùng là chúng được thu thập và lưu trữ bởi các doanh nghiệp trong quá trình giao dịch hoặc qua các hoạt động khảo sát thị trường. Luận văn của tác giả Nguyễn Trung Thành (2021) nhấn mạnh: "Thông tin của người tiêu dùng có một vai trò rất quan trọng đối với doanh nghiệp và trong việc thiết lập hợp đồng giao dịch thương mại điện tử". Do đó, việc bảo vệ dữ liệu cá nhân này không chỉ là bảo vệ quyền riêng tư mà còn là điều kiện tiên quyết cho các giao dịch an toàn và minh bạch.

Việc bảo vệ thông tin người tiêu dùng đóng vai trò đa chiều. Đối với Nhà nước, đây là biện pháp thực thi vai trò quản lý, đảm bảo trật tự xã hội và xây dựng môi trường kinh doanh lành mạnh. Đối với doanh nghiệp, việc tuân thủ các quy định về bảo mật thông tin giúp xây dựng niềm tin với khách hàng, là nền tảng cho sự phát triển bền vững. Một chính sách bảo mật rõ ràng và được thực thi nghiêm túc sẽ là lợi thế cạnh tranh quan trọng. Đối với người tiêu dùng, đây là quyền lợi chính đáng, giúp họ tránh được những phiền toái như tin nhắn rác, cuộc gọi lừa đảo, và nghiêm trọng hơn là các rủi ro về tài chính và danh dự khi xảy ra lộ lọt dữ liệu cá nhân. Tóm lại, an toàn thông tin mạng và bảo vệ dữ liệu là trách nhiệm chung của toàn xã hội, góp phần thúc đẩy kinh tế số phát triển an toàn, hiệu quả.

Hành vi thu thập thông tin cá nhân trái phép diễn ra dưới nhiều hình thức. Phổ biến nhất là việc các website, ứng dụng yêu cầu người dùng cung cấp thông tin vượt quá mức cần thiết cho giao dịch mà không có giải thích rõ ràng. Nhiều doanh nghiệp còn âm thầm thu thập dữ liệu về hành vi người dùng mà không có sự đồng ý của chủ thể dữ liệu. Tình trạng mua bán danh sách thông tin khách hàng (bao gồm số điện thoại, email, địa chỉ) vẫn diễn ra công khai trên không gian mạng. Theo nghiên cứu, "doanh nghiệp rất dễ có thể mua được danh sách khách hàng với các thông tin kèm theo" (Nguyễn Trung Thành, 2021). Các hành vi này vi phạm trực tiếp nguyên tắc cơ bản của Luật Bảo vệ quyền lợi người tiêu dùng và Luật An ninh mạng, tạo ra một thị trường dữ liệu bất hợp pháp và đầy rủi ro.

Khi xảy ra sự cố lộ lọt dữ liệu cá nhân, cả doanh nghiệp và người tiêu dùng đều phải đối mặt với những hậu quả nặng nề. Về phía doanh nghiệp, họ có thể bị xử phạt vi phạm hành chính với mức phạt đáng kể, đồng thời phải chịu trách nhiệm bồi thường thiệt hại nếu có thiệt hại thực tế xảy ra cho người tiêu dùng. Uy tín thương hiệu bị tổn hại nghiêm trọng, dẫn đến mất lòng tin từ khách hàng. Về phía người tiêu dùng, họ trở thành nạn nhân của các hành vi lừa đảo, quấy rối. Việc khắc phục hậu quả và đòi lại quyền lợi thường rất phức tạp và tốn thời gian, đòi hỏi người tiêu dùng phải tiến hành các thủ tục khiếu nại, tố cáo đến các cơ quan chức năng. Do đó, phòng ngừa luôn là biện pháp hiệu quả hơn là xử lý hậu quả.

Quyền của người tiêu dùng về thông tin được quy định cụ thể và đa dạng. Trước hết là quyền được thông báo: Doanh nghiệp phải công khai, rõ ràng về mục đích, phạm vi thu thập và sử dụng thông tin trước khi thực hiện. Thứ hai là quyền đồng ý: Việc thu thập, sử dụng, đặc biệt là chuyển giao cho bên thứ ba, phải có sự đồng ý của chủ thể dữ liệu. Thứ ba là quyền truy cập và chỉnh sửa: Người tiêu dùng có quyền yêu cầu doanh nghiệp cho phép xem, cập nhật, điều chỉnh thông tin cá nhân của mình khi phát hiện sai sót. Cuối cùng là quyền yêu cầu xóa dữ liệu và quyền phản đối việc xử lý dữ liệu cá nhân cho mục đích tiếp thị trực tiếp. Những quyền này tạo thành một cơ chế kiểm soát toàn diện, giúp người tiêu dùng làm chủ thông tin của chính mình.

Khi quyền về thông tin bị xâm phạm, người tiêu dùng nên thực hiện quy trình khiếu nại, tố cáo theo các bước. Đầu tiên, liên hệ trực tiếp với doanh nghiệp đã thu thập thông tin để yêu cầu giải quyết. Bước này nên được thực hiện bằng văn bản (email, thư) để có bằng chứng. Nếu doanh nghiệp không phản hồi hoặc giải quyết không thỏa đáng, người tiêu dùng có thể gửi đơn khiếu nại đến Cục Cạnh tranh và Bảo vệ người tiêu dùng thuộc Bộ Công Thương hoặc Sở Công Thương tại địa phương. Đối với các vi phạm liên quan đến không gian mạng, có thể gửi phản ánh đến Cục An toàn thông tin (Bộ Thông tin và Truyền thông) hoặc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an). Trong trường hợp có thiệt hại vật chất hoặc tinh thần, người tiêu dùng có quyền khởi kiện ra Tòa án để yêu cầu trách nhiệm bồi thường thiệt hại.

Sự đồng ý của chủ thể dữ liệu là nguyên tắc vàng trong bảo vệ dữ liệu cá nhân. Sự đồng ý phải được thể hiện một cách tự nguyện, rõ ràng và cụ thể. Doanh nghiệp không được sử dụng các điều khoản mập mờ, cài cắm trong các hợp đồng dài để coi đó là sự đồng ý. Theo Nghị định 13/2023/NĐ-CP, sự đồng ý phải được áp dụng cho từng mục đích xử lý dữ liệu khác nhau. Điều này có nghĩa là, nếu doanh nghiệp muốn sử dụng thông tin cho mục đích quảng cáo, họ phải xin phép riêng, không được gộp chung với sự đồng ý cho việc thực hiện hợp đồng. Người tiêu dùng cũng có quyền rút lại sự đồng ý bất cứ lúc nào, và việc rút lại phải dễ dàng như khi họ đã đồng ý. Đây là một thay đổi quan trọng, nâng cao quyền của người tiêu dùng trong việc kiểm soát thông tin.

Mỗi doanh nghiệp đều phải xây dựng và công khai chính sách bảo mật (hay chính sách xử lý dữ liệu cá nhân). Theo Nghị định 13/2023/NĐ-CP, chính sách này phải bao gồm các nội dung tối thiểu như: mục đích xử lý; loại dữ liệu được sử dụng; cách thức xử lý; thông tin về các tổ chức, cá nhân liên quan; hậu quả, thiệt hại không mong muốn có thể xảy ra; thời gian bắt đầu và kết thúc xử lý dữ liệu. Chính sách phải được viết bằng ngôn ngữ đơn giản, dễ hiểu và đặt ở vị trí dễ thấy trên website hoặc ứng dụng của doanh nghiệp. Việc có một chính sách bảo mật đầy đủ không chỉ giúp doanh nghiệp tuân thủ pháp luật mà còn là một công cụ truyền thông hiệu quả để chứng minh sự minh bạch và trách nhiệm của mình với khách hàng.

Mức xử phạt vi phạm hành chính đối với các hành vi vi phạm quy định về bảo vệ thông tin người tiêu dùng được quy định chủ yếu tại các Nghị định của Chính phủ, chẳng hạn như Nghị định 98/2020/NĐ-CP và Nghị định 15/2020/NĐ-CP (thay thế cho các Nghị định cũ hơn được đề cập trong tài liệu gốc). Các mức phạt có thể dao động từ vài triệu đến hàng chục, thậm chí hàng trăm triệu đồng tùy thuộc vào tính chất và mức độ nghiêm trọng của hành vi. Ví dụ, hành vi chuyển giao thông tin của người tiêu dùng cho bên thứ ba mà không được sự đồng ý có thể bị phạt tiền từ 10 đến 20 triệu đồng. Các quy định này nhằm đảm bảo rằng các chế tài đủ sức răn đe, buộc doanh nghiệp phải đầu tư nghiêm túc vào các biện pháp an toàn thông tin mạng và tuân thủ nghĩa vụ của doanh nghiệp.

Bộ Công Thương, với cơ quan trực thuộc là Cục Cạnh tranh và Bảo vệ người tiêu dùng và Cục Thương mại điện tử và Kinh tế số, đóng vai trò chủ chốt trong việc giám sát tuân thủ Luật Bảo vệ quyền lợi người tiêu dùng và các quy định trong lĩnh vực thương mại điện tử. Bộ Công an, đặc biệt là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), chịu trách nhiệm điều tra và xử lý các hành vi vi phạm có dấu hiệu tội phạm, chẳng hạn như truy cập trái phép, đánh cắp, mua bán dữ liệu quy mô lớn, vi phạm Luật An ninh mạng. Sự phối hợp chặt chẽ giữa hai cơ quan này tạo thành một mạng lưới giám sát và thực thi pháp luật toàn diện, từ các vi phạm hành chính thông thường đến các tội phạm công nghệ cao.