Tìm kiếm

Chương V Nghị định 52/2013/NĐ-CP thương mại điện tử: An toàn, an ninh trong giao dịch thương mại điện tử

Chương V
An toàn, an ninh trong giao dịch thương mại điện tử
MỤC 1. BẢO VỆ THÔNG TIN CÁ NHÂN TRONG THƯƠNG MẠI ĐIỆN TỬ
Điều 68. Trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng

1. Trong quá trình hoạt động kinh doanh thương mại điện tử, nếu thương nhân, tổ chức, cá nhân thực hiện việc thu thập thông tin cá nhân của người tiêu dùng thì phải tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân.

2. Trường hợp thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử ủy quyền cho bên thứ ba thực hiện việc thu thập, lưu trữ thông tin cá nhân của người tiêu dùng:

a) Hợp đồng giữa hai bên phải quy định rõ trách nhiệm của mỗi bên trong việc tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân;

b) Nếu hợp đồng giữa hai bên không quy định rõ trách nhiệm của mỗi bên thì thương nhân, tổ chức, cá nhân hoạt động kinh doanh thương mại điện tử chịu trách nhiệm trong trường hợp việc thu thập, lưu trữ và sử dụng thông tin cá nhân của người tiêu dùng vi phạm các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân.

Điều 69. Chính sách bảo vệ thông tin cá nhân của người tiêu dùng

1. Thương nhân, tổ chức, cá nhân thu thập và sử dụng thông tin cá nhân của người tiêu dùng phải xây dựng và công bố chính sách bảo vệ thông tin cá nhân với các nội dung sau:

a) Mục đích thu thập thông tin cá nhân;

b) Phạm vi sử dụng thông tin;

c) Thời gian lưu trữ thông tin;

d) Những người hoặc tổ chức có thể được tiếp cận với thông tin đó;

đ) Địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm cách thức liên lạc để người tiêu dùng có thể hỏi về hoạt động thu thập, xử lý thông tin liên quan đến cá nhân mình;

e) Phương thức và công cụ để người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương mại điện tử của đơn vị thu thập thông tin.

2. Những nội dung trên phải được hiển thị rõ ràng cho người tiêu dùng trước hoặc tại thời điểm thu thập thông tin.

3. Nếu việc thu thập thông tin được thực hiện thông qua website thương mại điện tử của đơn vị thu thập thông tin, chính sách bảo vệ thông tin cá nhân phải được công bố công khai tại một vị trí dễ thấy trên website này.

Điều 70. Xin phép người tiêu dùng khi tiến hành thu thập thông tin

1. Trừ trường hợp quy định tại Khoản 4 Điều này thương nhân, tổ chức thu thập và sử dụng thông tin cá nhân của người tiêu dùng trên website thương mại điện tử (gọi tắt là đơn vị thu thập thông tin) phải được sự đồng ý trước của người tiêu dùng có thông tin đó (gọi tắt là chủ thể thông tin).

2. Đơn vị thu thập thông tin phải thiết lập cơ chế để chủ thể thông tin bày tỏ sự đồng ý một cách rõ ràng, thông qua các chức năng trực tuyến trên website, thư điện tử, tin nhắn, hoặc những phương thức khác theo thỏa thuận giữa hai bên.

3. Đơn vị thu thập thông tin phải có cơ chế riêng để chủ thể thông tin được lựa chọn việc cho phép hoặc không cho phép sử dụng thông tin cá nhân của họ trong những trường hợp sau:

a) Chia sẻ, tiết lộ, chuyển giao thông tin cho một bên thứ ba;

b) Sử dụng thông tin cá nhân để gửi quảng cáo, giới thiệu sản phẩm và các thông tin có tính thương mại khác.

4. Đơn vị thu thập thông tin không cần được sự đồng ý trước của chủ thể thông tin trong các trường hợp sau:

a) Thu thập thông tin cá nhân đã công bố công khai trên các website thương mại điện tử;

b) Thu thập thông tin cá nhân để ký kết hoặc thực hiện hợp đồng mua bán hàng hóa và dịch vụ;

c) Thu thập thông tin cá nhân để tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng.

Điều 71. Sử dụng thông tin cá nhân

1. Đơn vị thu thập thông tin phải sử dụng thông tin cá nhân của người tiêu dùng đúng với mục đích và phạm vi đã thông báo, trừ các trường hợp sau:

a) Có một thỏa thuận riêng với chủ thể thông tin về mục đích và phạm vi sử dụng ngoài những mục đích, phạm vi đã thông báo;

b) Để cung cấp dịch vụ hoặc sản phẩm theo yêu cầu của chủ thể thông tin;

c) Thực hiện các nghĩa vụ theo quy định của pháp luật.

2. Việc sử dụng thông tin quy định tại Điều này bao gồm cả việc chia sẻ, tiết lộ và chuyển giao thông tin cá nhân cho bên thứ ba.

Điều 72. Bảo đảm an toàn, an ninh thông tin cá nhân

1. Đơn vị thu thập thông tin phải đảm bảo an toàn, an ninh cho thông tin cá nhân mà họ thu thập và lưu trữ, ngăn ngừa các hành vi sau:

a) Đánh cắp hoặc tiếp cận thông tin trái phép;

b) Sử dụng thông tin trái phép;

c) Thay đổi, phá hủy thông tin trái phép.

2. Đơn vị thu thập thông tin phải có cơ chế tiếp nhận và giải quyết khiếu nại của người tiêu dùng liên quan đến việc thông tin cá nhân bị sử dụng sai mục đích hoặc phạm vi đã thông báo.

3. Trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất thông tin của người tiêu đùng, đơn vị lưu trữ thông tin phải thông báo cho cơ quan chức năng trong vòng 24 (hai mươi bốn) giờ sau khi phát hiện sự cố.

Điều 73. Kiểm tra, cập nhật và điều chỉnh thông tin cá nhân

1. Chủ thể thông tin có quyền yêu cầu đơn vị thu thập thông tin thực hiện việc kiểm tra, cập nhật, điều chỉnh hoặc hủy bỏ thông tin cá nhân của mình.

2. Đơn vị thu thập thông tin có nghĩa vụ kiểm tra, cập nhật, điều chỉnh, hủy bỏ thông tin cá nhân của chủ thể thông tin khi có yêu cầu hoặc cung cấp cho chủ thể thông tin công cụ để tự kiểm tra, cập nhật, điều chỉnh thông tin cá nhân của mình.

MỤC 2. AN TOÀN THANH TOÁN TRONG THƯƠNG MẠI ĐIỆN TỬ
Điều 74. Trách nhiệm của thương nhân, tổ chức, cá nhân sở hữu website thương mại điện tử có chức năng thanh toán trực tuyến

1. Thương nhân, tổ chức, cá nhân sở hữu website thương mại điện tử có chức năng thanh toán trực tuyến phải đảm bảo an toàn, bảo mật giao dịch thanh toán của khách hàng, xử lý khiếu nại và đền bù thiệt hại trong trường hợp thông tin thanh toán của khách hàng qua website thương mại điện tử bị thay đổi, xóa, hủy, sao chép, tiết lộ, di chuyển trái phép hoặc bị chiếm đoạt gây thiệt hại cho khách hàng.

2. Trường hợp tự phát triển giải pháp thanh toán để phục vụ riêng website thương mại điện tử bán hàng của mình, thương nhân, tổ chức, cá nhân sở hữu website phải áp dụng các biện pháp sau nhằm đảm bảo an toàn, bảo mật cho giao dịch thanh toán của khách hàng:

a) Thiết lập hệ thống thông tin phục vụ hoạt động thanh toán đảm bảo kết nối trực tuyến 24 (hai mươi bốn) giờ trong ngày và 7 (bảy) ngày trong tuần. Thời gian dừng hệ thống để bảo trì không quá 12 (mười hai) giờ mỗi lần bảo trì và phải có thông báo trước cho khách hàng;

b) Mã hóa thông tin và sử dụng các giao thức bảo mật để đảm bảo không lộ thông tin trên đường truyền;

c) Triển khai các ứng dụng có khả năng phát hiện, cảnh báo và ngăn chặn các truy nhập bất hợp pháp và các hình thức tấn công trên môi trường mạng vào hệ thống thông tin phục vụ hoạt động thanh toán trực tuyến của mình;

d) Có các phương án kiểm soát quyền truy nhập hệ thống, quyền ra, vào nơi đặt thiết bị hệ thống thông tin phục vụ hoạt động thanh toán trực tuyến của mình;

đ) Có quy trình, hệ thống sao lưu và phục hồi dữ liệu khi hệ thống thông tin phục vụ hoạt động thanh toán gặp sự cố, đảm bảo sao lưu dữ liệu thanh toán ra các vật mang tin hoặc sao lưu trực tuyến toàn bộ dữ liệu;

e) Lưu trữ dữ liệu về từng giao dịch thanh toán theo thời hạn quy định tại Luật kế toán;

g) Trường hợp khách hàng thanh toán trước khi mua hàng hóa và dịch vụ, tiền thanh toán của khách hàng phải được giữ tại các tổ chức cung ứng dịch vụ thanh toán và khách hàng phải được cung cấp công cụ để theo dõi số dư thanh toán của mình trên hệ thống.

3. Thương nhân, tổ chức, cá nhân sở hữu website thương mại điện tử có chức năng thanh toán trực tuyến phải công bố trên website chính sách về bảo mật thông tin thanh toán cho khách hàng.

Điều 75. Trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ trung gian thanh toán cho website thương mại điện tử

1. Tuân thủ các quy định, tiêu chuẩn kỹ thuật về dịch vụ trung gian thanh toán do Ngân hàng Nhà nước Việt Nam ban hành.

2. Lưu trữ dữ liệu về từng giao dịch thanh toán thực hiện qua hệ thống của mình theo thời hạn quy định tại Luật kế toán.

3. Liên đới chịu trách nhiệm với thương nhân, tổ chức, cá nhân sở hữu website thương mại điện tử sử dụng dịch vụ trung gian thanh toán của mình trong trường hợp thông tin thanh toán của khách hàng qua website đó bị thay đổi, xóa, hủy, sao chép, tiết lộ, di chuyển trái phép hoặc bị chiếm đoạt gây thiệt hại cho khách hàng.

4. Trước ngày 15 tháng 01 hàng năm, báo cáo Bộ Công Thương số liệu thống kê về tình hình cung cấp dịch vụ cho các thương nhân, tổ chức, cá nhân tham gia hoạt động thương mại điện tử.

Chapter V

SAFETY AND SECURITY IN E-COMMERCE TRANSACTIONS

Section 1. PERSONAL INFORMATION PROTECTION IN E-COMMERCE

Article 68. Responsibility to protect personal information of consumers

1. When conducting e-commerce business activities, traders, organizations or individuals that collect personal information of consumers shall comply with this Decree and relevant regulations on protection of personal information.

2. In case a trader, organization or individual engaged in e-commerce business activities authorizes a third party to collect and store personal information of consumers:

a/ The contract between the two parties must clearly define the responsibility of each party to comply with this Decree and relevant regulations on protection of personal information;

b/ If the contract between the two parties does not clearly define the responsibility of each party, the trader, organization or individual engaged in e-commerce business activities shall take responsibility in case the collection, storage and use of personal information of consumers violate this Decree and relevant regulations on protection of personal information.

Article 69. Policy on protection of personal information of consumers

1. Trader, organizations or individuals that collect and use personal information of consumers shall formulate and announce their personal information protection policy with the following details:

a/ Purpose(s) of collection of personal information;

b/ Scope of information use;

c/ Duration of information storage;

d/ Persons or organizations that may access such information;

dd/ Address of the information collection and management unit, indicating how consumers can ask about the collection and processing of information relevant to them;

e/ Method and tools for consumers to access and modify their personal data on the e-commerce system of the information collection unit.

2. The above details must be clearly displayed to consumers before or at the time of information collection.

3. If the information collection is conducted through e-commerce websites of information collection units, the personal information protection policy must be publicly displayed at an easy-to-spot position on these websites.

Article 70. Asking for consumer permission upon information collection

1. Except the cases specified in Clause 4 of this Article, traders and organizations that collect and use personal information of consumers on their e-commerce websites (below collectively referred to as information collection units) shall obtain prior consent of consumers having such information (below referred to as information subjects).

2. Information collection units shall develop a mechanism for information subjects to express their consent explicitly through online functions on their websites, emails, messages or otherwise as agreed upon by the two parties.

3. Information collection units shall develop a separate mechanism for information subjects to choose to permit or not to permit the use of their personal information in the following cases:

a/ Sharing, disclosure or transfer of information to a third party;

b/ Use of personal information for sending advertisements, product introductions and other commercial information.

4. Information collection units are not required to obtain prior consent of information subjects in the following cases:

a/ Collection of personal information already published on e-commerce websites;

b/ Collection of personal information for concluding or performing goods and service purchase and sale contracts;

c/ Collection of personal information for calculating prices or charges for use of information, products and services online.

Article 71. Use of personal information

1. Information collection units shall use personal information of consumers for purposes and within scopes already notified, except the following cases:

a/ They have separate agreements with information subjects on use purpose and scope other than those they have notified;

b/ To provide services or products at the request of information subjects;

c/ To perform the obligations prescribed by law.

2. The use of information prescribed in this Article includes sharing, disclosure and transfer of personal information to third parties.

Article 72. Assurance of personal information safety and security

1. Information collection units shall assure safety and security of personal information which they have collected and stored, and prevent the following acts:

a/ Hacking or illegally accessing information;

b/ Illegally using information;

c/ Illegally altering or destroying information.

2. Information collection units shall formulate mechanisms for receiving and settling consumer complaints about the use of personal information for improper purposes or beyond the notified scope.

3. In case an information system is hacked, posing a risk of loss of consumer information, information storing units shall notify the incident to a functional agency within 24 (twenty-four) hours after detecting it.

Article 73. Checking, updating and modification of personal information

1. Information subjects may request information collection units to check, update, modify or delete their personal information.

2. Information collection units shall check, update, modify or delete personal information of information subjects when so requested or provide information subjects with tools for self checking, updating or modification of their personal information.

Section 2. PAYMENT SAFETY IN E-COMMERCE

Article 74. Responsibilities of traders, organizations or individuals that own e-commerce websites with the online payment function

1. Traders, organizations or individuals that own e-commerce websites with the online payment function shall assure safety and confidentiality of payment transactions of their customers, settle complaints and pay damages in case customer payment information via e-commerce websites is illegally altered, deleted, destroyed, copied, revealed, removed or appropriated, causing damage to customers.

2. In case of self-developing payment solutions to exclusively serve their own sales e-commerce websites, traders, organizations or individuals that own these websites shall apply the following measures to assure safety and confidentiality of customer payment transactions:

a/ Setting up an information system to serve payment activities and assure online connection around the clock 24 (twenty-four) hours a day and 7 (seven) days a week. The suspension of the system for maintenance must not exceed 12 (twelve) hours each time and be notified in advance to customers;

b/ Encrypting information and using security protocols to prevent information leakage during transmission;

c/ Deploying applications which are capable of detecting, warning and preventing illegal accesses and various online attacks against the information systems serving their online payment activities;

d/ Having plans to control the right to access the system and the right to enter or leave places where information system equipment are installed to serve their online payment activities;

dd/ Establishing processes and systems for copying, storing and recovering data when the information systems serving payment activities encounter incidents, assuring copying and storage of payment data on media or online copying and caching of all data;

e/ Storing data on each payment transaction for a time limit prescribed in the Accounting Law;

g/ In case customers make payments before purchasing goods and services, customers’ payments must be kept at payment service providers and customers must be provided with tools to monitor their payment balances on the system.

3. Traders, organizations or individuals that own e-commerce websites with the online payment function shall publicize on their websites the policy on confidentiality of customer payment information.

Article 75. Responsibilities of traders and organizations providing payment intermediary services for e-commerce websites

1. To comply with regulations and technical regulations on payment intermediary services promulgated by the State Bank of Vietnam.

2. To store data on each payment transaction conducted via their systems for a time limit prescribed in the Accounting Law.

3. To take joint responsibility with traders, organizations or individuals that own e-commerce websites using their payment intermediary service for cases in which payment information of customers is illegally altered, deleted or destroyed, copied, revealed, removed or appropriated, causing damage to customers.

4. Before the 15th of January every year, to report to the Ministry of Industry and Trade statistics on the provision of services to traders, organizations or individuals involved in e-commerce activities.

1 22 lượt xem
Trang trước
Chia sẻ
Trang sau