Từ khóa: pháp luật Việt Nam; bảo vệ dữ liệu cá nhân; quyền riêng tư; Luật Bảo vệ quyền lợi người tiêu dùng năm 2023; thương mại điện tử.

Abstract: In the context of the rapid development of e-commerce and its role as a pillar of the digital economy, the issue of protecting consumers' personal information is becoming increasingly urgent, especially after the Law on Consumer Rights Protection 2023 came into effect. Based on an analysis of current regulations and a comparison and reference to typical legal standards of the European Union, Singapore, and Japan, this article assesses the current situation, points out limitations regarding transparency, privacy protection mechanisms, and the responsibility of businesses in handling personal data, and proposes solutions to improve Vietnamese law on protecting consumers' personal information in e-commerce activities, aiming to enhance consumer protection effectiveness and promote the sustainable development of e-commerce in Vietnam.

Keywords: Vietnamese law; personal data protection; privacy; Law on Consumer Rights Protection of 2023; e-commerce.

Đặt vấn đề

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, thương mại điện tử ngày càng khẳng định vai trò là kênh giao dịch trọng yếu của nền kinh tế số[1]. Sự bùng nổ các nền tảng trực tuyến không chỉ tạo động lực cho tăng trưởng kinh tế mà còn hình thành lượng dữ liệu khổng lồ về hành vi, thói quen tiêu dùng và thông tin định danh cá nhân của người dùng[2]. Nếu những dữ liệu này bị thu thập, khai thác hoặc chia sẻ trái phép, quyền riêng tư của người tiêu dùng có thể bị xâm phạm, làm gia tăng nguy cơ lừa đảo tài chính và suy giảm niềm tin vào môi trường giao dịch điện tử[3]. Tại Việt Nam, hành lang pháp lý về bảo vệ dữ liệu cá nhân được quy định trong nhiều văn bản như: Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018, Nghị định số 13/2023/NĐ-CP ngày 17/04/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP), Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, Luật Bảo vệ dữ liệu cá nhân năm 2025. Tuy nhiên, các quy định còn thiếu thống nhất và chưa xác lập rõ mối quan hệ giữa quyền bảo vệ dữ liệu cá nhân và quyền của người tiêu dùng, dẫn đến lúng túng trong áp dụng và giảm hiệu quả bảo vệ. Vì vậy, phân tích sự giao thoa giữa bảo vệ dữ liệu cá nhân và bảo vệ người tiêu dùng theo Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, đồng thời, đối chiếu với các chuẩn mực quốc tế như Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU) và pháp luật một số quốc gia châu Á, qua đó chỉ ra những bất cập trong quy định pháp luật hiện hành và đề xuất giải pháp hoàn thiện nhằm bảo đảm quyền riêng tư, củng cố niềm tin của người tiêu dùng và thúc đẩy thương mại điện tử phát triển bền vững là điều rất quan trọng và cấp thiết trong bối cảnh hiện nay[4].

1. Sự cần thiết bảo vệ thông tin cá nhân người tiêu dùng trong hoạt động thương mại điện tử

Bảo vệ thông tin cá nhân người tiêu dùng trong hoạt động thương mại điện tử có vai trò rất quan trọng và cần thiết, thể hiện qua các khía cạnh sau:

Một là, bảo vệ quyền riêng tư và nhân phẩm của người tiêu dùng. Trong bối cảnh công nghệ số và thương mại điện tử ngày càng phát triển mạnh mẽ, việc bảo vệ thông tin cá nhân của người tiêu dùng không chỉ là yêu cầu pháp lý bắt buộc, mà còn là yếu tố cốt lõi bảo đảm quyền con người, quyền riêng tư và nhân phẩm của mỗi cá nhân trong môi trường số. Thông tin cá nhân gồm họ tên, địa chỉ, số điện thoại, thông tin tài khoản ngân hàng, thói quen tiêu dùng, vị trí địa lý,… không đơn thuần là dữ liệu, mà phản ánh danh tính, đời sống riêng tư và quyền tự quyết của người tiêu dùng đối với thông tin về chính mình. Việc thông tin cá nhân bị thu thập, lưu trữ, chia sẻ hoặc khai thác một cách trái phép trong môi trường thương mại điện tử có thể dẫn đến nhiều hệ lụy nghiêm trọng. Người tiêu dùng có thể bị xâm phạm quyền riêng tư, bị quấy rối bởi các hình thức tiếp thị không mong muốn, bị theo dõi hành vi trực tuyến, thậm chí bị đánh cắp danh tính để sử dụng vào các hành vi vi phạm pháp luật như lừa đảo tài chính, tín dụng, hay giả mạo trong giao dịch. Những hành vi này không chỉ xâm phạm an toàn cá nhân, mà còn gây tổn hại nghiêm trọng đến danh dự, nhân phẩm và cuộc sống của người tiêu dùng[5]. Chính vì vậy, việc thiết lập hệ thống pháp luật rõ ràng, đầy đủ và nghiêm ngặt để bảo vệ thông tin cá nhân trong hoạt động thương mại điện tử là hết sức cần thiết, không chỉ giúp ngăn ngừa rủi ro và bảo đảm quyền lợi chính đáng cho người tiêu dùng mà còn là nền tảng quan trọng để xây dựng lòng tin, bảo đảm an toàn và hướng đến sự phát triển bền vững của thương mại điện tử trong thời đại số hóa[6].

Hai là, ngăn chặn rủi ro tài chính và lừa đảo. Bảo vệ thông tin cá nhân không chỉ liên quan đến quyền riêng tư mà còn là một biện pháp thiết yếu nhằm phòng ngừa rủi ro tài chính và các hành vi lừa đảo. Thông tin cá nhân như số điện thoại, số tài khoản ngân hàng, mã OTP hoặc các dữ liệu xác thực khác nếu bị đánh cắp hoặc sử dụng trái phép, có thể trở thành công cụ để các đối tượng xấu thực hiện hành vi chiếm đoạt tài sản, lừa đảo tài chính hoặc giả mạo người tiêu dùng trong các giao dịch trực tuyến[7], không chỉ gây thiệt hại trực tiếp về kinh tế, mà còn ảnh hưởng nghiêm trọng đến tâm lý và niềm tin của người tiêu dùng đối với môi trường thương mại số. Do đó, bảo vệ thông tin cá nhân cần được xem là tuyến phòng thủ đầu tiên và quan trọng nhất trong chiến lược ngăn chặn gian lận tài chính trong thương mại điện tử[8]. Các doanh nghiệp, nền tảng số và tổ chức liên quan phải chủ động triển khai các biện pháp bảo mật nghiêm ngặt, giám sát rủi ro và tăng cường kiểm soát truy cập dữ liệu cá nhân, không chỉ bảo vệ người tiêu dùng khỏi các hành vi lừa đảo, mà còn góp phần xây dựng một hệ sinh thái thương mại điện tử an toàn, đáng tin cậy và phát triển bền vững[9].

Ba là, tạo niềm tin cho người tiêu dùng và thúc đẩy sự phát triển bền vững của thương mại điện tử. Việc bảo vệ thông tin cá nhân của người tiêu dùng không chỉ nhằm bảo đảm quyền lợi hợp pháp của họ, mà còn giữ vai trò then chốt trong xây dựng niềm tin của người tiêu dùng và tạo nền tảng phát triển bền vững cho thương mại điện tử[10]. Người tiêu dùng sẽ yên tâm tham gia các giao dịch trực tuyến khi dữ liệu cá nhân được thu thập, lưu trữ và xử lý một cách an toàn, minh bạch và có kiểm soát, từ đó gia tăng tần suất mua sắm và mức độ gắn bó với các nền tảng thương mại điện tử. Ngược lại, nếu xảy ra các sự cố rò rỉ hoặc lạm dụng dữ liệu, người tiêu dùng dễ mất niềm tin, phát sinh tranh chấp, khiếu nại và có thể ngừng tham gia môi trường mua sắm trực tuyến[11], gây tổn hại đến uy tín của doanh nghiệp và sự phát triển của thương mại điện tử. Chính vì vậy, việc các doanh nghiệp thương mại điện tử chủ động xây dựng uy tín thông qua cam kết mạnh mẽ và thực thi hiệu quả các chính sách bảo mật thông tin cá nhân không chỉ là trách nhiệm pháp lý mà còn là chiến lược phát triển bền vững. Hệ thống bảo mật dữ liệu an toàn, minh bạch và có trách nhiệm sẽ giúp doanh nghiệp khẳng định thương hiệu, tạo lợi thế cạnh tranh và niềm tin của người tiêu dùng. Đồng thời, góp phần hình thành môi trường thương mại điện tử lành mạnh, an toàn và bền vững, nơi quyền riêng tư của người tiêu dùng được tôn trọng, bảo vệ và coi trọng như một giá trị cốt lõi trong kỷ nguyên số hóa[12].

Bốn là, tuân thủ pháp luật và cam kết quốc tế. Việc bảo vệ thông tin cá nhân của người tiêu dùng trong hoạt động thương mại điện tử không chỉ là yêu cầu về đạo đức kinh doanh và xây dựng uy tín doanh nghiệp, mà còn là nghĩa vụ pháp lý bắt buộc theo quy định của pháp luật Việt Nam, cũng như các cam kết quốc tế mà Việt Nam là thành viên. Các văn bản pháp luật như Luật An toàn thông tin mạng năm 2015, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 cùng với nhiều hiệp định thương mại và công ước quốc tế về bảo vệ dữ liệu cá nhân đều đặt ra các yêu cầu cao về việc thu thập, lưu trữ, xử lý và bảo mật thông tin cá nhân của người tiêu dùng. Việc doanh nghiệp thương mại điện tử tuân thủ nghiêm các quy định pháp luật về bảo vệ dữ liệu cá nhân không chỉ giúp bảo đảm quyền lợi chính đáng cho người tiêu dùng, mà còn là cơ sở để doanh nghiệp hoạt động hợp pháp, tránh nguy cơ bị xử phạt vi phạm hành chính, khiếu kiện hoặc mất uy tín trên thị trường. Tuân thủ các tiêu chuẩn pháp lý quốc tế còn giúp doanh nghiệp nâng cao năng lực cạnh tranh, mở rộng hoạt động kinh doanh ra thị trường toàn cầu một cách bền vững và có trách nhiệm[13]. Vì vậy, bảo vệ thông tin cá nhân cần được xem là một phần không thể thiếu trong chiến lược phát triển và quản trị rủi ro của các doanh nghiệp thương mại điện tử hiện đại.

2. Kinh nghiệm quốc tế về bảo vệ thông tin cá nhân người tiêu dùng trong hoạt động thương mại điện tử

Thông tin cá nhân (personal data) được hiểu là mọi dữ liệu liên quan đến một cá nhân đã được xác định hoặc có thể xác định, gồm thông tin định danh trực tiếp như họ tên, số căn cước công dân, số điện thoại, địa chỉ liên hệ và cả thông tin định danh gián tiếp như địa chỉ IP, mã định danh trực tuyến, hành vi truy cập hoặc thói quen tiêu dùng. Theo khoản 1 Điều 4 Quy định (EU) 2016/679 - Quy định Bảo vệ dữ liệu chung của EU có hiệu lực từ ngày 25/5/2018 (GDPR): “Dữ liệu cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân đã được nhận dạng hoặc có thể được nhận dạng (gọi là “chủ thể dữ liệu)”, gồm các yếu tố như tên, số định danh, dữ liệu vị trí, mã định danh trực tuyến hoặc đặc điểm sinh học, văn hóa, xã hội, kinh tế. Dưới góc độ quyền con người, việc bảo vệ dữ liệu cá nhân gắn liền với quyền được tôn trọng đời sống riêng tư, được ghi nhận tại Điều 17 Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (ICCPR), theo đó “không ai bị can thiệp tùy tiện hoặc bất hợp pháp vào đời sống riêng tư, gia đình, chỗ ở hoặc thư tín của mình”. Trong thương mại điện tử, thông tin cá nhân của người tiêu dùng trở thành “tài sản dữ liệu” phục vụ hoạt động giao dịch, quảng cáo và định hướng hành vi tiêu dùng, việc bảo vệ dữ liệu này là điều kiện tiên quyết để bảo đảm an toàn giao dịch, ngăn ngừa rủi ro gian lận và củng cố niềm tin của người tiêu dùng đối với môi trường kinh doanh số.

Nhằm bảo vệ thông tin cá nhân trong thương mại điện tử, nhiều quốc gia đã sớm ban hành quy định chặt chẽ về bảo vệ thông tin cá nhân trong thương mại điện tử.

EU là khu vực có khuôn khổ pháp lý toàn diện và nghiêm ngặt nhất về bảo vệ thông tin cá nhân, thể hiện rõ qua các quy định của GDPR. Việc xử lý dữ liệu cá nhân phải tuân thủ 06 nguyên tắc cơ bản quy định tại Điều 5 GDPR, gồm: tính hợp pháp, công bằng và minh bạch; giới hạn mục đích; tối thiểu hóa dữ liệu; bảo đảm tính chính xác; giới hạn thời gian lưu trữ và bảo đảm tính toàn vẹn, bảo mật của dữ liệu. Đồng thời, Điều 6 GDPR quy định việc xử lý chỉ được coi là hợp pháp khi có căn cứ pháp lý rõ ràng như có sự đồng ý của chủ thể dữ liệu hoặc nhằm thực hiện hợp đồng hợp pháp. Bên cạnh đó, từ Điều 12 đến Điều 23, GDPR trao cho cá nhân nhiều quyền nhân thân về dữ liệu như quyền được thông báo, quyền truy cập, quyền chỉnh sửa, quyền xóa dữ liệu (right to erasure), quyền phản đối việc xử lý, quyền hạn chế xử lý và quyền di chuyển dữ liệu (right to data portability). Để bảo đảm hiệu lực thực thi, Điều 83 GDPR quy định mức xử phạt lên tới 20 triệu euro hoặc 4% tổng doanh thu toàn cầu của doanh nghiệp. Với quy định chặt chẽ, thống nhất và có tính răn đe cao, GDPR không chỉ bảo vệ hiệu quả quyền riêng tư của cá nhân, mà còn tạo ra khuôn khổ pháp lý đồng bộ cho 27 quốc gia thành viên EU, trở thành hình mẫu điển hình và là chuẩn mực tham chiếu toàn cầu về bảo vệ dữ liệu cá nhân trong lĩnh vực thương mại điện tử.

Singapore là một trong những quốc gia tiên phong ở châu Á trong việc dung hòa giữa bảo vệ quyền riêng tư cá nhân và thúc đẩy đổi mới sáng tạo trong nền kinh tế số. Điều này được thể hiện rõ qua Đạo luật Bảo vệ dữ liệu cá nhân (Personal Data Protection Act - PDPA) ban hành năm 2012, được sửa đổi toàn diện vào năm 2020. Theo quy định tại Mục 13 và 14 PDPA, việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân chỉ được thực hiện khi có sự đồng ý rõ ràng của cá nhân, đồng thời tổ chức phải thông báo minh bạch về mục đích và phạm vi xử lý theo Mục 20 PDPA. Người tiêu dùng được trao quyền truy cập, chỉnh sửa và yêu cầu xóa bỏ thông tin cá nhân khi không còn mục đích xử lý hợp pháp (Mục 21 - 22). Để bảo đảm thực thi hiệu quả, Mục 24 PDPA yêu cầu các tổ chức áp dụng những biện pháp bảo mật hợp lý, trong khi Mục 26D PDPA (sửa đổi, bổ sung năm 2020) buộc doanh nghiệp phải báo cáo các vi phạm dữ liệu nghiêm trọng trong vòng 72 giờ cho Ủy ban Bảo vệ dữ liệu cá nhân (Personal Data Protection Commission - PDPC), cơ quan có quyền xử phạt lên tới 1 triệu đôla Singapore theo Mục 29 PDPA. Với hệ thống quy định chặt chẽ, PDPA đã tạo dựng được sự cân bằng hài hòa giữa bảo vệ dữ liệu cá nhân và phát triển kinh tế số, góp phần củng cố niềm tin của người tiêu dùng, đồng thời xây dựng môi trường pháp lý minh bạch, an toàn và thuận lợi cho thương mại điện tử xuyên biên giới.

Nhật Bản là một trong những quốc gia sớm ban hành và hoàn thiện khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân thông qua Luật Bảo vệ thông tin cá nhân (Act on the Protection of Personal Information - APPI), được thông qua năm 2003, được sửa đổi toàn diện vào năm 2020. Theo Điều 2(1) APPI, thông tin cá nhân được hiểu là dữ liệu về một cá nhân có thể xác định được thông qua tên, ngày sinh hoặc các mô tả tương tự. Điều 2(3) APPI định nghĩa “thông tin cá nhân đặc biệt nhạy cảm”, gồm dữ liệu liên quan đến chủng tộc, tín ngưỡng, tình trạng y tế, sinh trắc học hay tài chính, những thông tin chỉ được phép xử lý khi có sự đồng ý riêng biệt của chủ thể. Để bảo đảm an toàn thông tin, Điều 22 APPI yêu cầu các tổ chức, doanh nghiệp phải áp dụng các biện pháp kỹ thuật và quản trị thích hợp, trong khi Điều 26 APPI quy định nghĩa vụ thông báo ngay cho Ủy ban Bảo vệ thông tin cá nhân (Personal Information Protection Commission - PPC) khi xảy ra vi phạm dữ liệu. Ngoài ra, Điều 40 - 42 trao cho PPC quyền thanh tra, hướng dẫn và áp dụng các biện pháp xử phạt cần thiết. Đặc biệt, APPI sửa đổi, bổ sung năm 2020 đã mở rộng phạm vi điều chỉnh của luật đối với các doanh nghiệp nước ngoài có hoạt động xử lý dữ liệu cá nhân của công dân Nhật Bản, thể hiện nguyên tắc trách nhiệm xuyên biên giới và tăng cường tính ràng buộc pháp lý. Với cách tiếp cận hài hòa giữa trách nhiệm của doanh nghiệp, vai trò giám sát của Nhà nước và quyền tự quyết dữ liệu của cá nhân, Nhật Bản đã xây dựng được một hệ sinh thái số minh bạch, an toàn và đáng tin cậy, tạo nền tảng vững chắc cho phát triển thương mại điện tử trong kỷ nguyên số.

3. Thực trạng pháp luật Việt Nam về bảo vệ thông tin cá nhân người tiêu dùng trong hoạt động thương mại điện tử

Pháp luật Việt Nam về bảo vệ thông tin cá nhân người tiêu dùng trong hoạt động thương mại điện tử hiện đang tồn tại những hạn chế sau:

Một là, pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử còn phân tán, thiếu thống nhất và đồng bộ. Hiện, khái niệm và phạm vi bảo vệ thông tin cá nhân trong hệ thống pháp luật Việt Nam chưa thống nhất, dẫn đến nhiều cách hiểu và cách áp dụng khác nhau trong thực tiễn. Khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015 xác định “thông tin cá nhân” là thông tin gắn với việc xác định danh tính của một người cụ thể, chủ yếu tập trung vào dữ liệu có khả năng nhận dạng trực tiếp. Trong khi, Nghị định số 13/2023/NĐ-CP lại tiếp cận khái niệm “dữ liệu cá nhân” rộng hơn, được chia thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm theo khoản 1, 3, 4 Điều 2, gồm cả thông tin có thể gián tiếp nhận diện cá nhân như hành vi, lịch sử giao dịch hay dữ liệu định danh điện tử. Điều 9 Nghị định số 13/2023/NĐ-CP còn quy định cụ thể về quyền của chủ thể dữ liệu, cơ chế đồng ý tại Điều 11 và các trường hợp xử lý không cần sự đồng ý tại Điều 17, thể hiện cách tiếp cận chi tiết và hiện đại hơn. Trong khi đó, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 chỉ dừng lại ở việc xác lập nguyên tắc bảo đảm quyền, lợi ích hợp pháp của người tiêu dùng tại khoản 2 Điều 6 và quy định nghĩa vụ của tổ chức, cá nhân kinh doanh khi thu thập, sử dụng thông tin người tiêu dùng từ Điều 15 đến Điều 20, song lại không đưa ra định nghĩa cụ thể về “thông tin cá nhân”. Sự khác biệt về thuật ngữ, phạm vi và cấu trúc giữa các văn bản này làm cho việc xác định chính xác loại thông tin nào cần được bảo vệ trong thương mại điện tử gặp khó khăn, đặc biệt là đối với dữ liệu hành vi, lịch sử mua sắm hay định danh trực tuyến.

Hai là, thiếu quy định cụ thể về trách nhiệm của doanh nghiệp thương mại điện tử. Hiện, nhiều văn bản pháp luật đã quy định đến nghĩa vụ bảo vệ dữ liệu người tiêu dùng, nhưng vẫn còn nhiều nội dung quan trọng chưa được quy định rõ ràng hoặc chỉ dừng lại ở mức khái quát. Chẳng hạn, quy định về thời gian lưu giữ thông tin cá nhân hoặc cơ chế cho phép người tiêu dùng yêu cầu xóa dữ liệu của mình còn sơ sài, chưa có hướng dẫn cụ thể về điều kiện, quy trình hay giới hạn áp dụng. Tương tự, nghĩa vụ thông báo và xin ý kiến người tiêu dùng trước khi thu thập, sử dụng hoặc chia sẻ thông tin cá nhân được nêu một cách chung chung, thiếu tiêu chí định lượng và chưa làm rõ nội dung thông báo phải gồm những gì, được thực hiện ra sao để bảo đảm tính minh bạch và chủ động cho người tiêu dùng. Đặc biệt, một số khái niệm quan trọng như “mục đích hợp pháp” của việc thu thập và sử dụng dữ liệu cá nhân chưa được pháp luật quy định hoặc hướng dẫn rõ ràng, làm cho doanh nghiệp có thể tùy nghi diễn giải và dẫn đến nguy cơ bị lạm dụng. Sự thiếu cụ thể trong các quy định này, dù chưa xét đến yếu tố thực thi, đã phần nào tạo ra khoảng trống pháp lý và gây khó khăn trong việc áp dụng thống nhất giữa các doanh nghiệp, đồng thời, làm suy giảm hiệu quả bảo vệ thông tin cá nhân trong môi trường thương mại điện tử.

Đối với dự thảo Luật Thương mại điện tử đang trình Quốc hội khóa XV, dự kiến thông qua tại kỳ họp thứ 10 (dự thảo Luật) chưa có điều khoản quy định cụ thể, chi tiết về việc bảo vệ dữ liệu cá nhân người tiêu dùng trong thương mại điện tử; tuy nhiên, đã có một số điều khoản quy định về trách nhiệm các bên có liên quan đến hoạt động thương mại điện tử.

Ba là, chưa quy định rõ vai trò và trách nhiệm của bên thứ ba. Hạn chế quan trọng trong hệ thống pháp luật hiện hành về bảo vệ thông tin cá nhân người tiêu dùng trong thương mại điện tử là việc chưa quy định rõ vai trò và trách nhiệm pháp lý của bên thứ ba, vốn là những tổ chức, cá nhân không trực tiếp cung cấp dịch vụ thương mại điện tử nhưng có quyền truy cập, xử lý hoặc sử dụng dữ liệu cá nhân của người tiêu dùng. Trong thực tiễn thương mại điện tử hiện đại, dữ liệu cá nhân thường xuyên được chia sẻ với các bên thứ ba, như đơn vị vận chuyển, đối tác quảng cáo, công ty phân tích hành vi người dùng hoặc các nền tảng công nghệ trung gian nhằm tối ưu hóa hoạt động kinh doanh và trải nghiệm khách hàng. Tuy nhiên, pháp luật hiện hành chưa có cơ chế đầy đủ và rõ ràng để kiểm soát phạm vi, mục đích sử dụng, cũng như trách nhiệm pháp lý của các bên thứ ba khi tiếp cận và xử lý dữ liệu cá nhân. Việc thiếu các quy định cụ thể về nghĩa vụ bảo mật, quyền và giới hạn sử dụng thông tin trong mối quan hệ giữa doanh nghiệp chính và bên thứ ba tạo ra những rủi ro lớn cho người tiêu dùng, trong đó đáng lo ngại nhất là khả năng thông tin cá nhân bị sử dụng sai mục đích, chia sẻ trái phép hoặc khai thác vượt quá sự đồng thuận của chủ thể dữ liệu. Sự thiếu rõ ràng về mặt pháp lý trong việc điều chỉnh hoạt động của bên thứ ba, dù chưa bàn đến vấn đề thực thi, làm phát sinh khoảng trống trong hệ thống bảo vệ dữ liệu cá nhân, làm cho người tiêu dùng dễ bị tổn hại mà không có cơ sở đầy đủ để yêu cầu bảo vệ quyền lợi. Đối với dự thảo luật cũng chưa quy định rõ cụ thể về trách nhiệm của bên thứ ba trong bảo vệ dữ liệu cá nhân người tiêu dùng.

4. Một số kiến nghị hoàn thiện

Để khắc phục các bất cập và nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong thương mại điện tử, Việt Nam có thể tham khảo, tiếp thu có chọn lọc kinh nghiệm lập pháp của EU, Singapore và Nhật Bản để hoàn thiện pháp luật về bảo vệ thông tin người tiêu dùng trong thương mại điện tử như sau:

Một là, tiếp tục hoàn thiện và hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân, Luật Thương mại điện tử (khi được ban hành) theo hướng thống nhất, đồng bộ, khả thi trong thực tiễn. Việc Việt Nam ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 và dự kiến thông qua Luật Thương mại điện tử đã đánh dấu bước tiến quan trọng trong quá trình xây dựng khung pháp lý bảo đảm quyền riêng tư và quyền được bảo vệ dữ liệu của cá nhân người tiêu dùng trong thương mại điện tử. Tuy nhiên, để các văn bản Luật này nhanh chóng đi vào cuộc sống, cần tập trung xây dựng các văn bản hướng dẫn chi tiết về phạm vi dữ liệu được bảo vệ, quy trình xử lý, quyền và nghĩa vụ của chủ thể dữ liệu, trách nhiệm của bên kiểm soát và xử lý dữ liệu, cũng như cơ chế thanh tra, kiểm tra, xử lý vi phạm. Đồng thời, cần tăng cường tính liên thông và tương thích giữa Luật Bảo vệ dữ liệu cá nhân năm 2025 và dự thảo Luật (sau khi được thông qua) với các văn bản pháp luật có liên quan như Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 và Luật Giao dịch điện tử năm 2023 nhằm bảo đảm một hành lang pháp lý thống nhất, tránh chồng chéo, mâu thuẫn trong áp dụng. Bên cạnh đó, việc tham khảo và đối chiếu với các chuẩn mực quốc tế, đặc biệt là mô hình GDPR của EU có ý nghĩa quan trọng trong việc củng cố nguyên tắc minh bạch, giới hạn mục đích xử lý, bảo đảm an toàn thông tin, quyền truy cập, quyền được quên và quyền phản đối của chủ thể dữ liệu. Việc triển khai hiệu quả Luật Bảo vệ dữ liệu cá nhân năm 2025 và dự thảo Luật (sau khi được thông qua) không chỉ góp phần bảo vệ quyền riêng tư của công dân, mà còn tạo nền tảng pháp lý vững chắc cho sự phát triển của nền kinh tế số, thương mại điện tử và chuyển đổi số quốc gia, bảo đảm niềm tin của người tiêu dùng và thúc đẩy hoạt động của doanh nghiệp trong môi trường dữ liệu an toàn, minh bạch và có trách nhiệm.

Hai là, tiếp tục hoàn thiện việc chuẩn hóa và phân loại khái niệm “dữ liệu cá nhân” trong thực tiễn áp dụng. Luật Bảo vệ dữ liệu cá nhân năm 2025 xác định rõ “dữ liệu cá nhân” là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân, sau khi khử nhận dạng không còn là dữ liệu cá nhân”[14]. Cách tiếp cận này phù hợp với xu hướng lập pháp hiện đại và tương đồng với các quy định quốc tế như Quy định chung về bảo vệ dữ liệu (GDPR) của EU, Luật APPI của Nhật Bản, Đạo luật PDPA của Singapore. Thời gian tới, cần tập trung hoàn thiện các văn bản hướng dẫn thi hành luật để làm rõ tiêu chí nhận diện, phạm vi, mức độ bảo vệ tương ứng của từng loại dữ liệu cá nhân để bảo đảm tính khả thi, thống nhất khi áp dụng. Đặc biệt, đối với dữ liệu cá nhân nhạy cảm gồm các thông tin liên quan đến sức khỏe, đời sống riêng tư, tài chính, đặc điểm sinh trắc học, nguồn gốc chủng tộc, quan điểm chính trị, tôn giáo hoặc dữ liệu về vị trí, cần được áp dụng cơ chế xử lý chặt chẽ và kiểm soát nghiêm ngặt hơn. Việc thu thập, sử dụng hoặc chia sẻ các loại dữ liệu này chỉ được thực hiện khi có sự đồng ý riêng biệt, rõ ràng, minh bạch và có thể chứng minh được của chủ thể dữ liệu, nhằm bảo đảm quyền kiểm soát và quyền riêng tư của cá nhân trong mọi hoạt động xử lý thông tin. Hoàn thiện quy định hướng dẫn phân loại và chuẩn hóa dữ liệu cá nhân không chỉ giúp cơ quan quản lý dễ dàng giám sát, doanh nghiệp hiểu rõ nghĩa vụ pháp lý trong thu thập, xử lý, chia sẻ dữ liệu, mà còn bảo đảm cho người dân quyền kiểm soát thông tin của mình trong môi trường số. Cách tiếp cận này đồng thời duy trì sự tương thích với chuẩn mực quốc tế, nâng cao uy tín của Việt Nam trong hợp tác, trao đổi dữ liệu xuyên biên giới và thúc đẩy sự phát triển an toàn, bền vững của nền kinh tế số.

Ba là, mở rộng và bảo đảm thực thi quyền của chủ thể dữ liệu. Để bảo vệ tốt hơn quyền riêng tư của người tiêu dùng trong thương mại điện tử, Việt Nam nên mở rộng và bảo đảm thực thi đầy đủ các quyền của chủ thể thông tin cá nhân theo chuẩn mực quốc tế. Có thể tham khảo, tiếp thu có chọn lọc quy định GDPR của EU, trong đó xác định rõ các quyền quan trọng như quyền truy cập và chỉnh sửa thông tin, quyền xóa dữ liệu (quyền được quên), quyền phản đối xử lý và quyền di chuyển dữ liệu sang nhà cung cấp khác. Đồng thời, kinh nghiệm từ PDPA của Singapore về cơ chế tiếp nhận, giải quyết yêu cầu của cá nhân với thời hạn phản hồi cụ thể cũng là bài học đáng chú ý. Việc bổ sung và bảo đảm các quyền này cùng cơ chế thực thi minh bạch sẽ giúp người tiêu dùng chủ động kiểm soát thông tin cá nhân, đồng thời tạo động lực để doanh nghiệp tuân thủ pháp luật, góp phần xây dựng môi trường thương mại điện tử an toàn và bền vững.

Bốn là, thiết lập nghĩa vụ đánh giá tác động và quản lý rủi ro dữ liệu. Để nâng cao mức độ an toàn cho thông tin cá nhân trong thương mại điện tử, Việt Nam cần quy định rõ nghĩa vụ đánh giá tác động và quản lý rủi ro dữ liệu đối với doanh nghiệp. Kinh nghiệm từ EU (GDPR) và Singapore (PDPA) cho thấy, việc yêu cầu doanh nghiệp thực hiện Đánh giá tác động bảo vệ dữ liệu (Data Protection Impact Assessment - DPIA) trước khi triển khai hệ thống xử lý mới hoặc khi có nguy cơ cao giúp nhận diện sớm rủi ro xâm phạm quyền riêng tư và đưa ra biện pháp phòng ngừa kịp thời. Việt Nam nên áp dụng cơ chế tương tự, bắt buộc các sàn thương mại điện tử và nền tảng số đa chức năng tiến hành đánh giá rủi ro quyền riêng tư trước khi thu thập, phân tích hay chia sẻ thông tin người dùng, đồng thời quy định doanh nghiệp phải bổ nhiệm cán bộ bảo vệ dữ liệu chịu trách nhiệm giám sát toàn bộ quy trình xử lý, bảo mật thông tin và báo cáo cho cơ quan quản lý. Việc thiết lập nghĩa vụ đánh giá tác động cùng cơ chế quản lý chuyên trách này sẽ giúp phòng ngừa vi phạm, tăng tính minh bạch, nâng cao trách nhiệm giải trình của doanh nghiệp và củng cố niềm tin của người tiêu dùng vào môi trường thương mại điện tử.

Năm là, quy định trách nhiệm và nghĩa vụ của bên thứ ba. Để tăng cường hiệu quả bảo vệ dữ liệu cá nhân trong thương mại điện tử, Việt Nam cần quy định rõ ràng về trách nhiệm và nghĩa vụ của các bên thứ ba, tức những tổ chức hoặc cá nhân không trực tiếp cung cấp dịch vụ thương mại điện tử nhưng được doanh nghiệp chia sẻ dữ liệu người tiêu dùng, chẳng hạn như đơn vị vận chuyển, đối tác quảng cáo hay công ty phân tích hành vi. Kinh nghiệm của EU (theo GDPR) và Nhật Bản (theo APPI) cho thấy, việc thiết lập cơ chế kiểm soát chặt chẽ đối với các bên thứ ba là yêu cầu bắt buộc để ngăn chặn nguy cơ lạm dụng hoặc rò rỉ thông tin. Vì vậy, Việt Nam nên quy định cụ thể nghĩa vụ bảo mật, phạm vi và mục đích sử dụng dữ liệu, đồng thời thiết lập cơ chế giám sát nghiêm ngặt khi dữ liệu được chia sẻ cho bên thứ ba. Bên cạnh đó, cần yêu cầu các doanh nghiệp và đối tác liên quan ký kết thỏa thuận bằng văn bản với các điều khoản bảo vệ dữ liệu tương đương tiêu chuẩn quốc tế, tương tự quy định của GDPR về “data processors” và APPI về “third-party provision”. Cách tiếp cận này vừa bảo đảm quyền riêng tư của người tiêu dùng, vừa tạo cơ sở pháp lý rõ ràng cho doanh nghiệp và các đối tác, góp phần xây dựng môi trường thương mại điện tử an toàn và đáng tin cậy.

Sáu là, kiểm soát điều khoản hợp đồng điện tử liên quan đến dữ liệu. Để bảo vệ tốt hơn quyền riêng tư của người tiêu dùng trong môi trường số, Việt Nam cần tăng cường cơ chế kiểm soát các điều khoản liên quan đến thông tin cá nhân trong hợp đồng điện tử. Kinh nghiệm từ EU với nguyên tắc minh bạch của GDPR; Singapore với Đạo luật Bảo vệ người tiêu dùng kết hợp quy định của Đạo luật Bảo vệ dữ liệu cá nhân cho thấy việc giám sát chặt chẽ các điều khoản về thu thập, sử dụng và chia sẻ thông tin cá nhân là hết sức cần thiết. Theo đó, các điều khoản liên quan đến quyền xử lý thông tin phải được trình bày rõ ràng, dễ hiểu và minh bạch, giúp người tiêu dùng nắm bắt đầy đủ để đưa ra sự đồng ý một cách tự nguyện và có nhận thức. Đồng thời, pháp luật Việt Nam nên quy định cơ chế cho phép tuyên bố vô hiệu các điều khoản bị coi là lạm dụng hoặc xâm phạm quyền riêng tư, chẳng hạn điều khoản cho phép thu thập thông tin vượt quá mục đích cần thiết hoặc tùy tiện chia sẻ cho bên thứ ba. Cách tiếp cận này vừa bảo đảm nguyên tắc công bằng, tự nguyện trong giao kết hợp đồng, vừa góp phần xây dựng môi trường thương mại điện tử an toàn, minh bạch và đáng tin cậy cho cả người tiêu dùng lẫn doanh nghiệp.

Bảy là, tăng cường chế tài và cơ quan giám sát độc lập. Để bảo vệ thông tin cá nhân hiệu quả và tạo dựng niềm tin cho người tiêu dùng trong thương mại điện tử, Việt Nam cần tăng cường chế tài và xây dựng cơ quan giám sát độc lập có thẩm quyền đủ mạnh. Kinh nghiệm từ EU, nơi hệ thống các cơ quan giám sát quốc gia phối hợp thông qua European Data Protection Board (EDPB) và từ Singapore với Ủy ban Bảo vệ dữ liệu cá nhân (PDPC) cho thấy một cơ quan chuyên trách có quyền thanh tra, hướng dẫn và xử phạt là nền tảng không thể thiếu để bảo đảm thực thi pháp luật về bảo vệ dữ liệu. Việt Nam nghiên cứu thành lập Cơ quan Bảo vệ Dữ liệu Quốc gia hoặc giao cơ quan có chức năng giám sát việc tuân thủ, tiếp nhận và giải quyết khiếu nại, đồng thời, chủ động kiểm tra và xử lý các vi phạm liên quan đến thông tin cá nhân. Đồng thời, cần nâng mức xử phạt vi phạm hành chính lên mức đủ sức răn đe, có thể tham khảo khung phạt tối đa 4% doanh thu toàn cầu theo chuẩn mực của GDPR. Việc thiết lập cơ quan giám sát độc lập cùng cơ chế chế tài mạnh mẽ sẽ khuyến khích doanh nghiệp tuân thủ nghiêm túc, bảo vệ quyền riêng tư của người tiêu dùng và thúc đẩy sự phát triển bền vững của thương mại điện tử tại Việt Nam.

Kết luận

Trong bối cảnh chuyển đổi số mạnh mẽ, thương mại điện tử không chỉ mở ra cơ hội phát triển kinh tế, mà còn đặt ra thách thức lớn trong việc bảo vệ quyền riêng tư và an toàn thông tin cá nhân của người tiêu dùng. Việc ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 và thông qua dự thảo Luật tạo nền tảng pháp lý thống nhất, khẳng định cam kết của Việt Nam trong việc bảo vệ quyền con người và xây dựng môi trường giao dịch điện tử an toàn, minh bạch. Kinh nghiệm từ các quốc gia có hệ thống pháp luật phát triển như EU, Singapore, Nhật Bản cho thấy, bảo vệ thông tin cá nhân là điều kiện tiên quyết để duy trì niềm tin và tính bền vững của thương mại điện tử. Từ đó, Việt Nam cần tập trung triển khai thi hành hiệu quả Luật Bảo vệ dữ liệu cá nhân năm 2025 và dự thảo Luật (sau khi được thông qua), đặc biệt là việc chuẩn hóa khái niệm và phân loại dữ liệu, quy định rõ nghĩa vụ bảo vệ thông tin của doanh nghiệp, quyền kiểm soát dữ liệu của người tiêu dùng, đồng thời tăng cường tuyên truyền, giám sát và xử lý vi phạm. Việc thực thi nghiêm túc, đồng bộ các quy định góp phần bảo đảm quyền lợi của người tiêu dùng, củng cố niềm tin thị trường, tạo nền tảng pháp lý vững chắc cho sự phát triển bền vững, an toàn của thương mại điện tử Việt Nam trong tiến trình hội nhập quốc tế./.

ThS. Trần Linh Huân

Trường Đại học Luật Thành phố Hồ Chí Minh

[1]. Cục Thương mại điện tử và Kinh tế số, Bộ Công Thương (2023), Thương mại điện tử Việt Nam 2023, tr. 3.

[2]. Đinh Thị Lan Anh (2015), Bảo vệ thông tin cá nhân trong thương mại điện tử theo pháp luật Việt Nam, Tạp chí Dân chủ và Pháp luật, số 7, tr. 29.

[3]. Nguyễn Thị Ngọc Tú (2023), Thực trạng pháp luật và một số kiến nghị giải pháp nâng cao hiệu quả bảo vệ thông tin cá nhân của khách hàng trong giao dịch thương mại điện tử, Tạp chí Công Thương, số 4, tr. 47.

[4]. Đinh Phan Quỳnh (2021), Một số giải pháp nâng cao hiệu quả bảo vệ thông tin cá nhân ở Việt Nam, Tạp chí Giáo dục và Xã hội, số 120, tr. 113.

[5]. Bùi Thị Quỳnh Trang (2020), Bảo vệ thông tin cá nhân trong thương mại điện tử và một số khuyến nghị, Tạp chí Tài chính, số 728, tr. 131 - 132.

[6]. Nguyễn Vân (2024), Bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử, https://thoibaotaichinhvietnam.vn/bao-ve-quyen-loi-nguoi-tieu-dung-trong-thuong-mai-dien-tu-153178.html, truy cập ngày 10/11/2025.

[7]. Cổng thông tin điện tử Công an tỉnh Hà Nam (2025), Nguy cơ lộ lọt thông tin cá nhân qua sàn thương mại điện tử, https://congan.hanam.gov.vn/index.php/vi/news/phong-chong-toi-pham-su-dung-cong-nghe-cao/nguy-co-lo-lot-thong-tin-ca-nhan-qua-san-thuong-mai-dien-tu-4811.html, truy cập ngày 10/11/2025.

[8]. ICTVietnam (2022), Giải pháp bảo vệ tài chính cá nhân, gia đình trước tấn công mạng trong “bình thường mới, https://mst.gov.vn/giai-phap-bao-ve-tai-chinh-ca-nhan-gia-dinh-truoc-tan-cong-mang-trong-binh-thuong-moi-197154381.htm, truy cập ngày 10/11/2025.

[9]. Trần Linh Huân, Nguyễn Phạm Thanh Hoa, Bảo mật thông tin cá nhân của khách hàng trong hoạt động thương mại điện tử - Quy định pháp luật nước ngoài và kinh nghiệm cho Việt Nam, Tạp chí Luật sư Việt Nam, số 3, tr. 51.

[10]. Nguyễn Tiến Minh (2023), Phát triển bền vững thương mại điện tử tại Việt Nam, Tạp chí Tài chính, số 3, tr. 58.

[11]. Nhóm PV (2024), Người dân đối mặt với nguy cơ lộ dữ liệu cá nhân trong thương mại điện tử, https://laodong.vn/thoi-su/nguoi-dan-doi-mat-voi-nguy-co-lo-du-lieu-ca-nhan-trong-thuong-mai-dien-tu-1348789.ldo, truy cập ngày 10/11/2025.

[12]. Cổng thông tin Bộ Khoa học và Công nghệ (2022), An toàn thông tin, chìa khóa cho phát triển bền vững thương mại điện tử, https://mic.gov.vn/an-toan-thong-tin-chia-khoa-cho-phat-trien-ben-vung-thuong-mai-dien-tu-197154923.htm, truy cập ngày 10/11/2025.

[13]. Trần Thị Việt Hà (2024), Pháp luật quốc tế về bảo vệ dữ liệu cá nhân và gợi mở cho Việt Nam, https://baoquocte.vn/phap-luat-quoc-te-ve-bao-ve-du-lieu-ca-nhan-va-goi-mo-cho-viet-nam-268402. html, truy cập ngày 10/11/2025.

[14]. Khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025.

TÀI LIỆU THAM KHẢO

1. Ban Chỉ đạo 35 Bộ Công thương (2021), Phát triển thương mại điện tử trở thành một trong những lĩnh vực tiên phong của nền kinh tế số, https://moit.gov.vn/bao-ve-nen-tang-tu-tuong-cua-dang/phat-trien-thuong-mai-dien-tu-tro-thanh-mot-trong-nhung-linh.html, truy cập ngày 10/11/2025.

2. Bùi Thị Quỳnh Trang (2020), Bảo vệ thông tin cá nhân trong thương mại điện tử và một số khuyến nghị, Tạp chí Tài Chính, số 728.

3. Cổng thông tin Bộ Khoa học và Công nghệ (2022), An toàn thông tin, chìa khóa cho phát triển bền vững thương mại điện tử, https://mic.gov.vn/an-toan-thong-tin-chia-khoa-cho-phat-trien-ben-vung-thuong-mai-dien-tu-197154923.htm, truy cập ngày 10/11/2025.

4. Cổng thông tin điện tử Công an tỉnh Hà Nam (2025), Nguy cơ lộ lọt thông tin cá nhân qua sàn thương mại điện tử, https://congan.hanam.gov.vn/index.php/vi/news/phong-chong-toi-pham-su-dung-cong-nghe-cao/nguy-co-lo-lot-thong-tin-ca-nhan-qua-san-thuong-mai-dien-tu-4811.html, truy cập ngày 10/11/2025.

5. Cục Thương mại điện tử và Kinh tế số, Bộ Công Thương (2023), Thương mại điện tử Việt Nam 2023.

6. Đinh Phan Quỳnh (2021), Một số giải pháp nâng cao hiệu quả bảo vệ thông tin cá nhân ở Việt Nam, Tạp chí Giáo dục và Xã hội, số 120.

7. Đinh Thị Lan Anh (2015), Bảo vệ thông tin cá nhân trong thương mại điện tử theo pháp luật Việt Nam, Tạp chí Dân chủ và Pháp luật, số 7.

8. ICTVietnam (2022), Giải pháp bảo vệ tài chính cá nhân, gia đình trước tấn công mạng trong “bình thường mới, https://mst.gov.vn/giai-phap-bao-ve-tai-chinh-ca-nhan-gia-dinh-truoc-tan-cong-mang-trong-binh-thuong-moi-197154381.htm, truy cập ngày 10/11/2025.

9. Nguyễn Thị Ngọc Tú (2023), Thực trạng pháp luật và một số kiến nghị giải pháp nâng cao hiệu quả bảo vệ thông tin cá nhân của khách hàng trong giao dịch thương mại điện tử, Tạp chí Công Thương, số 4.

10. Nguyễn Tiến Minh (2023), Phát triển bền vững thương mại điện tử tại Việt Nam, Tạp chí Tài chính, số 3.

11. Nguyễn Vân (2024), Bảo vệ quyền lợi người tiêu dùng trong thương mại điện tử, https://thoibaotaichinhvietnam.vn/bao-ve-quyen-loi-nguoi-tieu-dung-trong-thuong-mai-dien-tu-153178.html, truy cập ngày 10/11/2025.

12. Nhóm PV (2024), Người dân đối mặt với nguy cơ lộ dữ liệu cá nhân trong thương mại điện tử, https://laodong.vn/thoi-su/nguoi-dan-doi-mat-voi-nguy-co-lo-du-lieu-ca-nhan-trong-thuong-mai-dien-tu-1348789.ldo, truy cập ngày 10/11/2025.

13. Trần Linh Huân, Nguyễn Phạm Thanh Hoa, Bảo mật thông tin cá nhân của khách hàng trong hoạt động thương mại điện tử - Quy định pháp luật nước ngoài và kinh nghiệm cho Việt Nam, Tạp chí Luật sư Việt Nam, số 3.

14. Trần Thị Việt Hà (2024), Pháp luật quốc tế về bảo vệ dữ liệu cá nhân và gợi mở cho Việt Nam, https://baoquocte.vn/phap-luat-quoc-te-ve-bao-ve-du-lieu-ca-nhan-va-goi-mo-cho-viet-nam-268402.html, truy cập ngày 10/11/2025.

(Nguồn: Tạp chí Dân chủ và Pháp luật số Kỳ 1 (442) tháng 12/2025)