Chính sách & quyền riêng tư

Chính sách bảo mật là gì?

Chính sách quyền riêng tư là một tài liệu pháp lý giải thích cách một tổ chức xử lý bất kỳ thông tin khách hàng, khách hàng hoặc nhân viên nào được thu thập trong hoạt động của tổ chức. Nó sẽ bao gồm cách dữ liệu được thu thập, lưu trữ, sử dụng, chia sẻ và bảo vệ cũng như các quyền của người dùng liên quan đến dữ liệu. Nó được yêu cầu bởi luật pháp tại Liên minh Châu Âu, Bang California và các khu vực pháp lý khác.

Chính sách quyền riêng tư có thể được yêu cầu để tuân thủ quyền riêng tư .

Chính sách bảo mật phải chỉ định mọi thông tin nhận dạng cá nhân ( PII ) được thu thập, chẳng hạn như tên, địa chỉ và số thẻ tín dụng, cũng như các thông tin khác như lịch sử đặt hàng, thói quen duyệt web, tải lên và tải xuống . Chính sách cũng phải giải thích liệu dữ liệu có thể được để lại trên máy tính của người dùng hay không, chẳng hạn như cookie . Chính sách phải nêu rõ liệu dữ liệu có thể được chia sẻ hoặc bán cho bên thứ ba hay không và nếu có thì mục đích là gì.

Đối với các chính sách bảo mật đơn giản, tuyên bố đầu tiên trong chính sách bảo mật trực tuyến là tuyên bố có hiệu lực rằng, bằng cách truy cập trang web (điều bạn đang thực hiện nếu đang đọc chính sách), bạn đồng ý với các chi tiết trong chính sách bảo mật của trang web. Một số khu vực pháp lý hiện yêu cầu người tiêu dùng phải đưa ra sự đồng ý tích cực, nghĩa là loại điều khoản này không còn ràng buộc nữa.

Nhiều trang web hiện sử dụng thỏa thuận clickwrap (nhấp qua) để chứng minh sự đồng ý của người dùng với chính sách bảo mật. Những điều này có thể được bảo vệ trước tòa tốt hơn nhiều so với các chính sách dựa vào thỏa thuận thụ động, chẳng hạn như chỉ sử dụng một trang web. Các thỏa thuận Clickwrap thường xuất hiện ở cuối trang web với lời nhắc chấp nhận hoặc từ chối. Việc thêm hộp kiểm xác nhận rằng người tiêu dùng đã đọc và hiểu các điều khoản của chính sách quyền riêng tư có thể bảo vệ tổ chức hơn nữa. Cần theo dõi ngày, giờ và thông tin nhận dạng của việc chấp nhận.

Chính sách bảo mật và chính sách cookie

Chính sách quyền riêng tư bao gồm tất cả các khía cạnh về cách dịch vụ thu thập và sử dụng dữ liệu của người tiêu dùng. Chính sách cookie chỉ áp dụng cho cookie trang web, có thể được sử dụng để nhận dạng người tiêu dùng. Hiện nay, thông thường chính sách quyền riêng tư của dịch vụ cũng chứa chính sách cookie. Tuy nhiên, đây có thể là các tài liệu riêng biệt trong một số trường hợp.

Chính sách bảo mật nên bao gồm những gì?

Chính sách bảo mật cần được viết bằng ngôn ngữ dễ hiểu. Họ không nên sử dụng các thuật ngữ và thuật ngữ pháp lý phức tạp. Hầu hết các chính sách về quyền riêng tư đều được viết và thi hành bằng tiếng Anh, ngay cả khi đó không phải là ngôn ngữ chính thức của quốc gia. Tuy nhiên, cách tốt nhất là cung cấp bản dịch chất lượng cao về chính sách quyền riêng tư bằng mọi ngôn ngữ mà dịch vụ được sử dụng.

Chính sách bảo mật phải bao gồm các thông tin sau:

  • Các loại dữ liệu được thu thập — tên, ngày sinh, địa điểm, v.v.
  • Cách thu thập dữ liệu — mục nhập của người dùng, cookie, v.v.
  • Dữ liệu sẽ được sử dụng như thế nào – tiếp thị, khả năng sử dụng, chức năng dịch vụ, v.v.
  • Nếu dữ liệu sẽ được chia sẻ hoặc bán — bên thứ ba, đối tác, v.v.
  • Dữ liệu sẽ được lưu trữ và bảo vệ như thế nào — địa phương dịch vụ, mã hóa, v.v.
  • Cách từ chối và yêu cầu xóa, bao gồm cách gửi yêu cầu và câu hỏi về quyền riêng tư.
  • Ngày chính sách có hiệu lực.
  • Thông tin liên hệ cho các yêu cầu liên quan đến quyền riêng tư.
  • Các thông tin khác có thể được yêu cầu theo thẩm quyền của người tiêu dùng.

Thẩm quyền và thực thi chính sách bảo mật

Hoa Kỳ hiện không có luật liên bang trực tiếp yêu cầu hoặc thực thi các chính sách quyền riêng tư. FTC ( Ủy ban Thương mại Liên bang ) đang thúc đẩy việc tự điều chỉnh của ngành và thực thi các luật hiện hành. Luật pháp hiện hành của Hoa Kỳ chủ yếu bảo vệ thông tin sức khỏe cá nhân y tế bằng HIPAA và quyền riêng tư của trẻ em bằng COPPA ( Đạo luật bảo vệ quyền riêng tư trực tuyến của trẻ em ).

Một số bang của Mỹ đã ban hành luật bảo vệ quyền riêng tư kỹ thuật số của người tiêu dùng. California đã thông qua một số luật như vậy, chẳng hạn như Đạo luật về quyền riêng tư của người tiêu dùng California ( CCPA ).

Liên minh Châu Âu đã thông qua nhiều luật về quyền riêng tư dữ liệu của người tiêu dùng. Đáng chú ý nhất là Quy định bảo vệ dữ liệu chung ( GDPR ). Điều này bảo vệ tất cả công dân EU, ngay cả khi doanh nghiệp không đặt trụ sở tại EU. Nó xác định nghiêm ngặt cách các công ty thu thập và lưu trữ dữ liệu và bao gồm các khoản phạt nếu không tuân thủ.

Các quốc gia khác bao gồm Úc, Canada và Ấn Độ có luật có thể yêu cầu chính sách quyền riêng tư.

Mặc dù chúng không bắt buộc đối với mọi quốc gia, nhưng cách tốt nhất hiện nay là mọi dịch vụ đều phải có chính sách bảo mật công khai để bảo vệ người tiêu dùng ở các khu vực pháp lý yêu cầu chúng. Chính sách quyền riêng tư có thể bao gồm ngôn ngữ để đáp ứng các yêu cầu cụ thể của một số luật này và có các phần dành riêng cho từng luật đó.