【FV88】 Link vào FV88 Casino mới nhất 2026 ✔️

1. Cơ sở pháp lý và các nguyên tắc chính buộc thương nhân bán hàng phải chịu trách nhiệm bảo về thông tin khách hàng

Ở Nhật Bản có một “hệ sinh thái pháp luật” để bảo vệ quyền lợi của khách hàng/người tiêu dùng. Giữ vai trò trung tâm trong việc định khung chí sách bảo vệ người tiêu dùng là Luật cơ bản về chính sách người tiêu dùng (Act No. 78 of 1968-BCA)[1]. Ngoài ra, các đạo luật như Luật hợp đồng người tiêu dùng (CCA), Luật giao dịch thương mại đặc thù (ASCT) và những luật chuyên ngành khác đóng vai trò cụ thể hóa các nguyên tắc của BCA trong từng lĩnh vực giao dịch.

BCA không đưa ra những quy định cụ thể mà chỉ cung cấp các nguyên tắc cơ bản liên quan đến bảo vệ thông tin người tiêu dùng (NTD) bao gồm: (1) Quyền được cung cấp thông tin cần thiết của NTD, bao gồm quyền được biết thông tin có liên quan, được minh bạch thông tin và quyền được khiếu nại (Điều 2.1); (2) Trách nhiệm của doanh nghiệp trong việc minh bạch thông tin và cung cấp cơ chế xử lý khiếu nại cho NTD (Điều 5.2); (3) Giám sát nghiêm ngặt việc tuân thủ pháp luật (Điều 11); (4) Vai trò của hiệp hội doanh nghiệp trong hỗ trợ doanh nghiệp xây dựng chuẩn mực kinh doanh và hỗ trợ khách hàng (Điều 6).

Luật bảo vệ thông tin cá nhân (Act on the Protection of Personal Information - APPI) là đạo luật tập trung vào bảo vệ thông tin cá nhân (TTCN) nói chung và thông tin NTD nói riêng. Luật quy định về trách nhiệm tuân thủ của doanh nghiệp trong hoạt động thu thập, lưu trữ và sử dụng (gọi chung là xử lý) thông tin cá nhân, bao gồm nghĩa vụ đạt đồng thuận, minh bạch với cá nhân cung cấp thông tin (gọi tắt là cá nhân) và đảm bảo tính chính xác, an toàn trong việc xử lý thông tin cá nhân. APPI cũng thiết lập cơ quan chuyên trách trực thuộc chính phủ là Ủy ban bảo vệ thông tin cá nhân (PPC) để giám sát doanh nghiệp thực thi pháp luật. Bên cạnh đó, các bộ quy tắc của các hiệp hội doanh nghiệp cũng luôn đề cao trách nhiệm xã hội của doanh nghiệp (CSR) trong bảo vệ quyền riêng tư và thông tin khách hàng.

Đối tượng bảo vệ của APPI là các “thông tin cá nhân”, tức là toàn bộ những thông tin có thể nhận diện một cá nhân còn sống bao gồm tên tuổi, ngày sinh, địa chỉ, mã định danh cá nhân và những thông tin khác (Điều 2.1). Để cập nhật tác động của công nghệ số đến cách thức xử lý TTCN, APPI sửa đổi năm 2020 đã bổ sung một khái niệm mới, có tính viện dẫn cao là “thông tin liên quan tới cá nhân - PRI” (Điều 2.7) để chỉ những thông tin liên quan đến một cá nhân nhưng không còn thuộc phạm vi TTCN thông thường, mà được mã hóa bằng bí danh hoặc được ẩn danh. Như vậy, những thông tin về lịch sử duyệt web, sử dụng dịch vụ, mã cookie, ID thiết bị… của NTD khi tham gia thương mại điện tử đều có thể coi là PRI và phải chịu sự điều chỉnh của APPI[2]

2. Nghĩa vụ của doanh nghiệp trong bảo vệ thông tin người tiêu dùng

- Xác định rõ mục đích và thông báo mục đích trước và trong khi thu thập thông tin:

APPI quy định doanh nghiệp thu thập TTCN phải nêu rõ mục đích sử dụng “càng cụ thể càng tốt” (Điều 17.1) và không được xử lý vượt quá phạm vi cần thiết để đạt mục đích nếu chưa có đồng ý trước (Điều. 18.1). Quy định này buộc doanh nghiệp phải đảm bảo tính cụ thể, công khai và hợp pháp đối với các mục đích thu thập và xử lý thông tin, chẳng hạn chống gian lận, bảo đảm sức khỏe, an toàn giao dịch…, không được tự ý mở rộng cho các mục đích khác như chấm điểm rủi ro, quảng caó nhắm đích…mà không có sự thông báo trước và sự đồng ý của cá nhân. APPI cũng nghiêm cấm các doanh nghiệp sử dụng TTCN theo cách có khả năng kích động hoặc xúi giục hành vi bất hợp pháp hoặc bất công (Điều 19).

Khi thu thập TTCN, phải thông báo hoặc công bố mục đích sử dụng (Điều. 21.1) và trong một số trường hợp phải nêu rõ trước khi thu thập (Điều 21.2).

- Đảm bảo đồng thuận khi thu thập và xử lý thông tin:

Để đảm bảo các thông tin được thu thập và xử lý một cách minh bạch, APPI yêu cầu rất chặt chẽ về sự tự nguyện và đồng thuận của các cá nhân. Cụ thể, Điều 20.1 của APPI quy định doanh nghiệp không được thu thập các thông tin bằng cách lừa dối hoặc bằng những công cụ bất hợp pháp. Như vậy những thông tin thu được từ việc thông báo sai mục đích sử dụng hay bằng cách thu thập bất hợp pháp như quay lén, dàn dựng…đều không có giá trị sử dụng.

Điều 20.2 yêu cầu doanh nghiệp phải đạt được sự đồng ý trước của cá nhân hoặc người ủy quyền đối với những trường hợp thu thập thông tin nhạy cảm, trừ trường hợp luật định hoặc trong những trường hợp liên quan đến bảo vệ lợi ích cộng đồng. Quy định này đảm bảo cá nhân biết trước và chủ động ra quyết định về việc cho phép doanh nghiệp thu thập thông tin. Nó còn giúp hạn chế phạm vi thu thập TTCN nhạy cảm nếu doanh nghiệp không chứng minh được rằng việc thu thập là hợp pháp.

- Quản trị dữ liệu đúng, đủ, an toàn và xóa dữ liệu khi không cần:

APPI yêu cầu các doanh nghiệp xử lý TTCN phải nỗ lực giữ cho nội dung dữ liệu cá nhân chính xác và cập nhật, trong phạm vi cần thiết để đạt được mục đích sử dụng, và phải xóa dữ liệu cá nhân ngay lập tức nếu không còn cần thiết nữa (Điều 22). Quy định này hạn chế việc doanh nghiệp lạm dụng dữ liệu cá nhân để sử dụng cho những mục khác với công bố.

Liên quan đến tính an toàn, bảo mật của dữ liệu cá nhân, APPI yêu cầu các doanh nghiệp phải thực hiện các biện pháp cần thiết và phù hợp để quản lý an ninh dữ liệu cá nhân, bao gồm ngăn chặn việc rò rỉ, mất mát hoặc hư hỏng dữ liệu cá nhân mà họ xử lý (Điều 23), giám sát nhân viên xử lý dữ liệu (Art. 24) và bên nhận ủy thác xử lý (Art. 25).

- Báo cáo cơ quan chức năng và thông báo cho người bị ảnh hưởng về sự cố: Để buộc các doanh nghiệp phải minh bạch và công khai về tất cả các nguy cơ gây hại cũng như các thiệt hại xảy ra trong trường hợp gặp sự cố, rủi ro khi xử lý thông tin, APPI quy định trong trường hợp xảy ra rò rỉ, mất mát, hư hại, nếu các sự cố này có nguy cơ gây hại quyền lợi cá nhân, doanh nghiệp phải báo cáo Ủy ban bảo vệ TTCN (PPC) (Điều 26.1) và thông báo cho cá nhân liên quan (Điều 26.2).

- Công khai, sửa chữa thông tin theo yêu cầu của cá nhân: Theo yêu cầu của cá nhân, doanh nghiệp có thể phải công khai hoặc sửa chữa những thông tin có thể nhận dạng cá nhân họ đã thu thập, trừ trường hợp việc công khai, sửa chữa đó vi phạm quy định của pháp luật hoặc gây hại cho cá nhân, cho doanh nghiệp hoặc cho người thứ ba (Điều 33 và Điều 34).

- Chấm dứt việc sử dụng, xóa dữ liệu, chấm dứt việc chuyển giao cho bên thứ ba: APPI quy định cá nhân có thể yêu cầu doanh nghiệp chấm dứt việc sử dụng hoặc xóa những dữ liệu cá nhân nếu dữ liệu bị xử lý trái các quy định của pháp luật (Điều 35.1) và doanh nghiệp phải chấm dứt việc sử dụng hoặc xóa những dữ liệu cá nhân đó trừ phi việc này gây thiệt hại cho doanh nghiệp và doanh nghiệp đã sử dụng các biện pháp thay thế cần thiết để bảo vệ quyền và lợi ích hợp pháp của cá nhân (Điều 35.2).

Trong trường hợp thông tin bị chuyển giao trái phép cho bên thứ ba, doanh nghiệp cũng phải chấm dứt việc chuyển giao nếu cá nhân yêu cầu (Điều 35.3). APPI cũng cho phép doanh nghiệp từ chối yêu cầu này nếu việc thực hiện gây tổn hại cho doanh nghiệp và doanh nghiệp đã sử dụng biện pháp thay thế khác để bảo vệ quyền lợi hợp pháp của cá nhân (Điều 35.4).

- Đảm bảo cho cá nhân thực hiện quyền từ chối cung cấp thông tin: APPI không có quy định cụ thể nào về nghĩa vụ của doanh nghiệp trong việc cung cấp các cơ chế đảm bảo cho cá nhân thực hiện quyền từ chối cung cấp thông tin hay cho phép chia sẻ thông tin, song các yêu cầu về sự đồng thuận của cá nhân xuyên suốt đạo luật cho thấy cá nhân có quyền từ chối cung cấp, chấm dứt việc cung cấp và từ chối cho doanh nghiệp chia sẻ thông tin với bên thứ ba. Bởi vậy, việc tạo ra các cơ chế để NTD thực hiện quyền từ chối của mình chính là nghĩa vụ của doanh nghiệp.

- Bồi thường thiệt hại: Trong hệ thống pháp luật Nhật Bản, APPI chủ yếu thiết lập nghĩa vụ tuân thủ của doanh nghiệp khi xử lý TTCN, mà không có quy định về quyền được bồi thường thiệt hại của cá nhân. Do đó, khi doanh nghiệp vi phạm APPI gây thiệt hại cho cá nhân, ví dụ rò rỉ dữ liệu do thiếu biện pháp an toàn, xử lý vượt mục đích, cung cấp trái điều kiện, trách nhiệm bồi thường dân sự của doanh nghiệp được xác định trên cơ sở Bộ luật Dân sự Nhật Bản sửa đổi năm 2020, có hiệu lực năm 2022[3] Theo đó, cá nhân có thể yêu cầu bồi thường thiệt hại ngoài hợp đồng theo Điều 709 Bộ luật Dân sự Nhật Bản khi người gây thiệt hại do cố ý hoặc vô ý xâm phạm quyền, lợi ích được pháp luật bảo vệ phải bồi thường; Điều 710 cho phép yêu cầu bồi thường cả thiệt hại tinh thần vốn đặc biệt phù hợp trong các vụ việc khai thác trái phép dữ liệu cá nhân khi thiệt hại vật chất khó chứng minh.

Trong trường hợp giữa doanh nghiệp và người tiêu dùng tồn tại quan hệ hợp đồng dịch vụ thể hiện trong điều khoản sử dụng hoặc cam kết bảo mật, yêu cầu bồi thường cũng có thể dựa trên Điều 415 về trách nhiệm bồi thường do vi phạm nghĩa vụ hợp đồng.

3. Cơ chế xã hội - nghề nghiệp đảm bảo việc thực hiện nghĩa vụ tuân thủ APPI của doanh nghiệp

Bên cạnh những quy định mang tính nghiêm khắc buộc doanh nghiệp phải tuân thủ của APPI, Nhật Bản đã thiết lập được một cơ chế xã hội-nghề nghiệp hữu hiệu để tạo ra sức ép cho doanh nghiệp.

- Bộ quy tắc ứng xử của các hiệp hội nghề nghiệp: Nhiều hiệp hội doanh nghiệp đã thiết lập bộ quy tắc nội bộ giúp chuẩn hóa mức độ bảo quyền và lợi ích chính đáng của cá nhân cung cấp thông tin trong lĩnh vực hoạt động chuyên ngành, buộc các doanh nghiệp thành viên phải tuân thủ. Chẳng hạn, Hiệp hội Quảng cáo Tương tác Nhật Bản (JIAA)[4]đã ban hành Bộ hướng dẫn về quảng cáo hành vi trực tuyến (JIAA Behavioral Targeting Advertising Guidelines) yêu cầu doanh nghiệp: (1) Thông báo rõ ràng cho người dùng rằng dữ liệu duyệt web, tương tác trực tuyến đang được dùng để gắn quảng cáo và (2) Cung cấp cơ chế từ chối rõ ràng để người dùng dễ sử dụng[5].

- Doanh nghiệp Nhật Bản thường coi việc bảo vệ dữ liệu là một phần của trách nhiệm xã hội, không chỉ là tuân thủ pháp luật mà còn là xây dựng lòng tin với khách hàng. Trong thực tiễn quản trị doanh nghiệp, tuân thủ APPI thường được coi như một nội dung quan trọng của CSR và quản trị rủi ro doanh nghiệp, tạo ra vòng lặp “tuân thủ - giám sát - CSR”. Từ đó tạo ra hai sức ép cho doanh nghiệp là: (1) Sự cưỡng chế pháp lý từ cơ quan chuyên trách và (2) Áp lực niềm tin của xã hội đối với doanh nghiệp[6]. Ở phương diện pháp lý, APPI góp phần nhấn mạnh trách nhiệm của doanh nghiệp trong việc duy trì mối quan hệ tin cậy với khách hàng, gắn quản trị khủng hoảng với rủi ro công nghệ và yêu cầu lãnh đạo cấp cao chủ động chịu trách nhiệm, điều tra nguyên nhân và phòng ngừa tái diễn khi xảy ra sự cố làm suy giảm lòng tin[7]. Cùng với các hiệp hội doanh nghiệp, Bộ Nội vụ và Truyền thông và Bộ Kinh tế, Thương mại và Công nghiệp (METI) đã ban hành đồng hướng dẫn về “Quản trị quyền riêng tư doanh nghiệp” xác nhận mối liên kết chặt chẽ giữa tuân thủ APPI với CSR và uy tín của doanh nghiệp trong xã hội và nhận định doanh nghiệp là chủ thể trung tâm của quản trị quyền riêng tư; nếu xử lý rủi ro không phù hợp sẽ làm xói mòn niềm tin xã hội vào việc sử dụng dữ liệu và cản trở đổi mới số[8].

4. Một số gợi mở cho Việt Nam

Ở Việt Nam, không có cơ quan chuyên trách độc lập về bảo vệ thông tin cá nhân, nhiệm vụ này đang được giao cho Cục An ninh mạng và phòng, chống Tham gia casino trực tuyến FV88 sử dụng công nghệ cao (A05), Bộ Công an phụ trách, nên cách thức xử lý các vi phạm bảo vệ TTCN có thể nghiêng về xu hướng hành chính - an ninh hóa hoạt động bảo vệ dữ liệu cá nhân. Bên cạnh đó, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân và Luật bảo vệ dữ liệu cá nhân năm 2025 có hiệu lực từ 01/01/2026 cũng không quy định trình tự, thủ tục xử lý đối với những vụ việc lọt, lộ thông tin cá nhân, dẫn đến người bị xâm hại không được cập nhật thông tin về quá trình giải quyết và kết luận của cơ quan có thẩm quyền về cách thức xử lý sự cố.

Luật bảo vệ dữ liệu cá nhân năm 2025 cũng không quy định doanh nghiệp có trách nhiệm thông báo cho khách hàng khi vi phạm xảy ra mà chỉ quy định về trách nhiệm báo cáo cơ quan chức năng. Do vậy, thông tin đến người tiêu dùng có thể bị chậm trễ, khiến họ khó đánh giá rủi ro và chủ động phòng ngừa.

Ở diện rộng, các hiệp hội doanh nghiệp Việt Nam cũng chưa quan tâm đến vấn đề bảo vệ thông tin NTD, chưa có cơ chế lồng ghép việc tuân thủ pháp luật về bảo vệ thông tin khách hàng trong các bộ quy tắc của các hiệp hội và tạo sức ép xã hội - nghề nghiệp buộc các doanh nghiệp thành viên chủ động tuân thủ.

Từ cách thức doanh nghiệp Nhật Bản thực thi trách nhiệm bảo vệ thông tin NTD trong thương mại điện tử, có thể thấy được mô hình thực thi hiệu quả chính là sự kết hợp chặt chẽ giữa bốn (04) yếu tố: (1) Các quy định đầy đủ và toàn diện về nghĩa vụ bảo vệ thông tin cá nhân, bao gồm NTD; (2) Cơ chế giám sát việc thực thi pháp luật độc lập; (3) Sự gắn kết giữa luật pháp với các chuẩn mực xã hội - nghề nghiệp mang tính tự quản giữa các hiệp hội doanh nghiệp với các thanh viên; (4) Hành xử thể hiện CSR của doanh nghiệp trong đó tuân thủ pháp luật và đạo đức kinh doanh thể hiện trong sự tôn trọng quyền lợi khách hàng. Đây là những điểm cần phải hoàn thiện và bổ sung trong pháp luật bảo vệ thông tin cá nhân, thông tin người tiêu dùng và trong cơ chế thực thi của Việt Nam./.

PGS. TS. Phan Thị Thanh Thuỷ
Trường Đại học Việt - Nhật, Đại học Quốc gia Hà Nội

[1] Basic Consumer Act sửa đổi năm 2021 tại

[2] Xem Amendments to the Act on the Protection of Personal Information, tại https://www.aplawjapan.com/application/files/5816/3339/3524/Newsletter_AS_016.pdf? (15/8/2023)

[3] Japanese Civil Code (Act No. 89 of 1896) sửa đổi năm 2020, có hiệu lực năm 2022

[4]

[5]

[6] Miyashita, Hiroshi (2011). The evolving concept of data privacy in Japanese law. International Data Privacy Law (Oxford University Press), 1(4), 229–238.

[7] Kaneko, Keiko (2022), Phân tích mục tiêu và cách “tận dụng” cơ chế báo cáo sự cố rò rỉ dữ liệu, Journal of Japan Society for Security Management, 36(1), 3–24.

[8] METI, The Guidebook for Corporate Privacy Governance in the Digital Transformation (DX) Era tại , tr.51-56.