Ngày 28/9/2016, Quốc hội Pháp thông qua Đạo Luật Nước Cộng Hoà Số (Digital Republic Act). Đến ngày 07/10 cùng năm, đạo luật này được đăng Công báo và bắt đầu có hiệu lực, điều chỉnh toàn diện tất cả các vấn đề thuộc về nền kinh tế số trong lãnh thổ Pháp, trong đó có các vấn đề liên quan đến bảo vệ quyền lợi người tiêu dùng. Dưới đây là chín (09) nội dung quan trọng nhất của đạo luật này:
- Mức phạt tiền cao hơn mà Cơ quan Bảo vệ Dữ liệu Pháp có thể áp dụng: Mức tiền phạt mà Cơ quan Bảo vệ Dữ liệu Pháp có thể áp dụng được tăng từ 150,000 euro lên 3 triệu euro.
- Quyền lớn hơn cho các cá nhân: Mọi cá nhân đều có quyền quyết định và điều chỉnh phương thức sử dụng dữ liệu cá nhân của họ.
- Cung cấp thêm thông tin cho chủ thể dữ liệu (“data subjects”): Các bên xử lý dữ liệu (“data controllers”) phải thông báo cho các chủ thể dữ liệu về thời hạn mà dữ liệu cá nhân của họ sẽ được lưu trữ, và trong trường hợp không thể làm được điều đó, thì phải thông báo về các tiêu chí được sử dụng để xác định thời hạn đó.
- Quyền được riêng tư sau khi qua đời: Trước khi chết, bất cứ một cá nhân nào đều có quyền đưa ra các chỉ dẫn chung và cụ thể về việc lưu trữ, xoá bỏ hay tiết lộ dữ liệu cá nhân của mình. Trong trường hợp không có chỉ dẫn nào được đưa ra, thì người thừa kế của chủ thể dữ liệu sẽ có quyền quyết định.
- Quyền được quên lãng: Các cá nhân có quyền yêu cầu xoá bỏ dữ liệu cá nhân của họ ngay lập tức khi các dữ liệu đó được thu thập để đổi lại cho việc sử dụng các dịch vụ số khi họ còn là trẻ em.
- Mức độ bảo mật cao hơn cho các thư tín và liên lạc điện tử: Các nhà mạng và nhà cung cấp dịch vụ liên lạc điện tử có nghĩa vụ phải bảo đảm bí mật của các thư tín và liên lạc điện tử, bao gồm nội dung liên lạc, danh tính của người nhận và người gửi, chủ để cũng như các file đính kèm, trừ trường hợp xử lý để truy tìm vi-rút và phần mềm gián điệp.
- Quyền được dịch chuyển dữ liệu cho người tiêu dùng: Tất cả các nhà cung cấp dịch vụ liên lạc trực tuyến phải cho phép người tiêu dùng được thu hồi miễn phí tất cả mọi dữ liệu điện tử mà họ lưu trữ trên mạng, ở dạng có thể đọc được. người tiêu dùng cũng có quyền dịch chuyển toàn bộ dữ liệu của mình sang một nền tảng/nhà cung cấp khác.
- Quy định về các nhà cung cấp nền tảng trực tuyến: Các nhà cung cấp nền tảng trực tuyến được định nghĩa là các doanh nghiệp cung cấp dịch vụ liên lạc cho số đông dân chúng mà trong đó i) có sử dụng thuật toán máy tính để xếp hạng hoặc giới thiệu các nội dung số, hàng hoá, dịch vụ do bên thứ ba cung cấp hoặc hiển thị (ví dụ như các công cụ tìm kiếm trực tuyến); ii) các bên có thể liên lạc với nhau để bán hàng hoá, cung cấp dịch vụ, chia sẻ hay trao đổi nội dung số, hàng hoá và dịch vụ (ví dụ như các trang web đấu giá và bán hàng trực tuyến).
Các nhà cung cấp nền tảng trực tuyến phải cung cấp cho người tiêu dùng thông tin rõ ràng và minh bạch về i) điều kiện sử dụng chung áp dụng với nền tảng và phương tiện sử dụng để xếp hạng, giới thiệu hay không giới thiệu các nội dung, hàng hoá và dịch vụ sẵn có trên nền tảng, ii) các quan hệ hợp đồng hay quan hệ về vốn hay doanh thu sẽ xảy ra khi họ tác động tới thứ hạng hay việc giới thiệu nội dung, hàng hoá, dịch vụ sẵn có trên nền tảng của họ, và iii) quyền lợi và nghĩa vụ của các bên trong các vấn đề dân sự và thuế vụ khi nền tảng cho phép người tiêu dùng giao dịch với các nhà cung cấp chuyên nghiệp và không chuyên.
- Không hạn chế địa điểm lưu trữ dữ liệu: Các doanh nghiệp không có nghĩa vụ lưu trữ dữ liệu trong lãnh thổ nước Pháp/EU và có thể tự do chuyển dữ liệu ra ngoài nước Pháp/EU miễn là họ tuân thủ pháp luật về bảo vệ dữ liệu của EU.
Singapore không có riêng một bộ luật chuyên ngành về các hoạt động liên quan đến thương mại điện tử. Các vấn đề liên quan đến thương mại điện tử sẽ được điều chỉnh bởi các văn bản luật hiện hành liên quan đến bảo vệ người tiêu dùng, kinhd doanh hàng hóa và dịch vụ, thông tin thương mại và bảo vệ dữ liệu cá nhân.
Tháng 6 năm 2020, Enterprise Singapore và Hội đồng Tiêu chuẩn Singapore đã đặt ra Tiêu chuẩn quốc gia đầu tiên cho các giao dịch thương mại điện tử, gọi tắt là Tham chiếu kỹ thuật 76 (“TR 76”).
- Trách nhiệm sản phẩm
Hiện tại, ở Singapore không có hệ thống luật trách nhiệm sản phẩm riêng biệt. Nhìn chung, Đạo luật Kinh doanh hàng hóa (Điều khoản 393), Đạo luật Cung cấp hàng hóa (Điều khoản 394) và Đạo luạt Điều khoản hợp đồng không công bằng (Điều khoản 396) đều có những điều khoản quy định với các nội dung thể hiện các tiêu chuẩn cơ bản dành cho các hợp đồng mua bán hàng hóa, cũng có nghĩa là các điều khoản đảm bảo hàng hóa đạt chất lượng yêu cầu.
Bên cạnh đó, người tiêu dùng có thể dựa vào các quy định tại Đạo luật Bảo vệ người tiêu dùng (Kinh doanh công bằng) (Cap. 52A) để được bảo vệ quyền lợi trong vấn đề trách nhiệm sản phẩm. Theo đó, Đạo luật này giúp bảo vệ người tiêu dùng chống lại các hành vi không công bằng, đồng thời cho phép người tiêu dùng có các quyền bổ sung đối với một số hàng hóa không phù hợp với hợp đồng giao dịch. người tiêu dùng sẽ có quyền hành động để phản đối người bán thực hiện các hành vi không công bằng (được hiểu là các hành vi lừa dối hoặc gây hiểu lầm cho người tiêu dùng).
Pháp luật về trách nhiệm sản phẩm đối với các sản phẩm hàng hóa cụ thể được quy định theo một số lĩnh vực, bao gồm:
– Thực phẩm và Đồ uống: Đạo luật Kinh doanh thực phẩm (Cap.583) đưa ra các tiêu chuẩn tối thiểu để đảm bảo thực phẩm được kinh doanh trên thị trường đảm bảo an toàn và sự phù hợp với người dùng.
– Thuốc: Đạo luật Sản phẩm Y tế (Cap. 122D) quy định việc sản xuất, nhập khẩu, cung cấp, hiển thị thông tin và quảng cáo các sản phẩm liên quan đến sức khỏe ở Singapore. Đạo luật bao gồm các tiêu chuẩn về công thức, thành phần, đặc điểm kỹ thuật thiết kế, chất lượng, an toàn, hiệu quả và trình bày của các sản phẩm sức khỏe.
- Vấn đề bảo vệ người tiêu dùng
Theo TR 76, chợ điện tử và nhà bán lẻ điện tử phải đảm bảo rằng các thông tin liên quan đến tổ chức, sản phẩm và/ hoặc dịch vụ của tổ chức, cá nhân kinh doanh và các giao dịch phải được công bố chính xác và đẩy đủ. Các thông tin này bao gồm:
– Tên đăng ký pháp lý, số đăng ký và nơi đăng ký kinh doanh của tổ chức;
– Tên đầu mối liên hệ khi phát sinh bất kỳ yêu cầu;
– Các thông tin nên biết liên quan đến an toàn và sức khỏe;
– Các thông tin liên quan đến bảo hành, bao gồm cả thời hạn của bảo hành;
– Chính sách thanh toán và các phương án giao hàng khác nhau; và
– Các dịch vụ sau bán hàng, chính sách hoàn tiền, chính sách hủy bỏ đơn hàng và rút tiền và các chính sách liên quand dến đổi trả hàng.
Các nhà cung cấp hàng hóa, sản phẩm thuộc diện kiểm soát (theo định nghĩa tại Quy định về bảo vệ người tiêu dùng – Yêu cầu về an toàn) đã đăng ký với tổ chức Enterprise Singapore phải đảm bảo rằng các hàng hóa, sản phẩm đó đều được gắn Mác an toàn trước khi đưa ra cung ứng tại thị trường Singapore.
- Vấn đề bảo vệ dữ liệu cá nhân trong thương mại điện tử
Đạo luật Bảo vệ Dữ liệu cá nhân (sửa đổi) 2020 (được sửa đổi trên cơ sở Đạo luật Bảo vệ Dữ liệu cá nhân 2012) (gọi tắt là “PDPA”) là văn bản quy phạm pháp luật mới nhất điều chỉnh các quy định liên quan đến vấn đề bảo vệ dữ liệu cá nhân tại Singapore của các tổ chức (bao gồm bất kỳ cá nhân, cơ quan hay doanh nghiệp nào). Điều này được hiểu các doanh nghiệp kinh doanh trong lĩnh vực thương mại điện tử cũng nằm trong phạm vi điều chỉnh của luật. Đạo luật PDPA bắt đầu có hiệu lực từ 01 tháng 02 năm 2021.
Theo đó, một số các quy định tiêu biểu được điều chỉnh bao gồm:
– Thông báo vi phạm dữ liệu bắt buộc
– Các tình huống bổ sung được coi là thể hiện cho sự đồng ý;
– Các trường hợp ngoại lệ để thể hiện sự đồng ý; và
– Trách nhiệm cá nhân đối với việc xử lý sai phạm nghiêm trọng về dữ liệu cá nhân người dùng.
Các doanh nghiệp nói chung và doanh nghiệp kinh doanh trong lĩnh vực thương mại điện tử nói riêng cần xem xét các quy trình quản lý dữ liệu cá nhân và các chương trình đào tạo, nâng cao năng lực cán bộ nội bộ để điều chỉnh hoạt động cho phù hợp với các quy định mới cũng như đảm bảo thực hiện đúng nghĩa vụ bảo vệ dữ liệu cá nhân người tiêu dùng. Cụ thể, các doanh nghiệp thương mại điện tử được yêu cầu kết hợp các quy định của PDPA trong chính sách của mình (tức là thỏa thuận với người tiêu dùng hoặc chính sách bảo mật). Theo đó, các doanh nghiệp cần đảm bảo:
– Được sự đồng ý trước của cá nhân người tiêu dùng trước khi tiến hành thu thập, sử dụng và tiết lệ dữ liệu cá nhân;
– Chỉ sử dụng dữ liệu cá nhân cho các mục đích hạn hữu mà người tiêu dùng đã được thông báo;
– Cung cấp cho người tiêu dùng quyền truy cập và điều chỉnh dữ liệu cá nhân của mình;
– Bảo vệ dữ liệu cá nhân thuộc quyền sở hữu;
– Ngừng lưu trữ dữ liệu cá nhân người tiêu dùng khi không còn cần thiết; và
– Không chuyển dữ liệu cá nhân người tiêu dùng ra bên ngoài lãnh thổ Singapore (trừ một số trường hợp ngoại lệ theo PDPA).
Bên cạnh đó, người tiêu dùng có thể lựa chọn hình thức không nhận các tin nhắn tiếp thị được gửi đến số điện thoại tại Singapore qua Cơ quan Quản lý cuộc gọi (Do Not Call Registry).
Thông báo vi phạm dữ liệu bắt buộc
Theo Đạo luật PDPA, các tổ chức kinh doanh phải thông báo cho Ủy ban Bảo vệ dữ liệu cá nhân (PDPC) về bất kỳ vi phạm liên quan đến dữ liệu nào, bao gồm:
– Hậu quả hoặc nguy cơ có khả năng gây ra tổn hại đáng kể cho những cá nhân sẽ bị ảnh hưởng bởi hành vi vi phạm dữ liệu nào đó; hoặc
– Các vi phạm có quy mô đáng kể (tức là có liên quan đến từ 500 cá nhân người tiêu dùng trở lên)
Bên cạnh đó, các tổ chức cũng nên thông báo cho những cá nhân người tiêu dùng bị ảnh hưởng bởi hành vi vi phạm dữ liệu gây ra (hoặc có khả năng gây ra) thiệt hại đáng kể, ngoài trừ một số trường hợp ngoại lệ nhất định.
Bất kỳ vi phạm dữ liệu đáng kể nào cũng cần phải được báo cáo cho PDPC càng sớm càng tốt trong vòng tối đa 03 ngày sau khi đánh giá các tác động do vi phạm đó (có thể) gây ra. Việc thông báo cho các cá nhân người tiêu dùng bị ảnh hưởng cũng cần phải được tiến hành càng sớm càng tốt, đồng thời hoặc ngay sau khi thông báo cho PDPC.
Các tình huống bổ sung được coi là thể hiện cho sự đồng ý và Các trường hợp ngoại lệ để thể hiện sự đồng ý
Theo PDPA, phạm vi được cho là đồng ý đối với việc thu thập, sử dụng và tiết lệ dữ liệu cá nhân đã được mở rộng, bao gồm:
– Được coi là đồng ý theo sự cần thiết của hợp đồng – trong trường hợp cần thiết một cách hợp lý để thực hiện hợp đồng.
– Được coi là đồng ý bằng thông báo – trong đó cá nhân người tiêu dùng được thông báo về mục đích dự kiến của việc xử lý dữ liệu và không chọn không tham gia trong một khoảng thời gian hợp lý do tổ chức thông báo từ ban đầu.
Bên cạnh đó, một số trường hợp ngoại lệ mới đối với yêu cầu về sự đồng ý của người tiêu dùng đã được bổ sung nhằm tạo điều kiện thuận lợi cho việc nhận được sự đồng ý của người tiêu dùng, cụ thể như sau:
– Trường hợp ngoại lệ phục vụ lợi ích hợp pháp – trong đó lợi ích hợp pháp của tổ chức trong việc thu thập, sử dụng hoặc tiết lệ dữ liệu cá nhân lớn hơn bất kỳ ảnh hưởng bất lợi nào có thể gây ra cho người tiêu dùng. Trước khi căn cứ vào trường hợp ngoại lệ này, tổ chức phải tiến hành đánh giá để xác định toàn bộ các ảnh hưởng bất lợi bất kỳ nào đối với người tiêu dùng cũng như thực hiện các biện pháp hợp lý nhằm giảm thiểu rủi ro. Bên cạnh đó, tổ chức cần cung cấp cho người tiêu dùng quyền truy cập thích hợp vào quá trình xử lý các dữ liệu đã/ đang hoặc sẽ được thu thập.
– Trường hợp ngoại lệ phục vụ mục đích cải tiến kinh doanh – một tổ chức có thể sử dụng các dữ liệu cá nhân người tiêu dùng đã được thu thập trước đó mà không cần sự đồng ý lại của người tiêu dùng cho một số mục đích cải tiến kinh doanh nhất định như phát triển sản phẩm/ dịch vụ, cải tiến hiệu quả hoạt động.
Trách nhiệm cá nhân đối với việc xử lý sai phạm nghiêm trọng về dữ liệu cá nhân người dùng
Theo PDPA, có ba nhóm vi phạm mới được thiết lập nhằm quy định trách nhiệm của các cá nhân có liên quan trong việc xử lý sai nghiêm trọng vấn đề dữ liệu cá nhân thông qua việc tiết lệ trái phép, sử dụng không đúng mục đích và/ hoặc xác định lại trái phép các thông tin ẩn danh. Những vi phạm này có thể bị kết án với mức phạt tiền tối đa 5.000 đô la Singapore hoặc phạt tù tối đa 2 năm hoặc áp dụng cả hai hình thức. Các hành vi vi phạm không nhằm múc đích bao gồm các tình huống mà các cá nhân được phép tiết lộ, sử dụng hoặc xác định lại dữ liệu cá nhân người tiêu dùng. Việc ủy quyền có thể thực hiện dưới nhiều hình thức khác nhau, như quy định trong chính sách, hướng dẫn chính thức bằng văn bản của tổ chức, doanh nghiệp hoặc ủy quyền đột xuất cho một hành vi cụ thể xác định./.