Bảo vệ dữ liệu khách hàng thương mại điện tử: tuân thủ GDPR
Cập nhật ngày
Đội ngũ Certyneo
Biên tập viên — Certyneo · Về Certyneo
Giới thiệu
Việc bảo vệ dữ liệu khách hàng là vấn đề chiến lược lớn đối với bất kỳ người chơi thương mại điện tử nào. Kể từ khi Quy định bảo vệ dữ liệu chung (GDPR) có hiệu lực vào ngày 25 tháng 5 năm 2018, các trang web thương mại, ứng dụng bán hàng trên thiết bị di động và thị trường phải tôn trọng khuôn khổ pháp lý nghiêm ngặt dưới hình phạt lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm. Ngoài ràng buộc về quy định, việc tuân thủ GDPR còn thể hiện đòn bẩy thực sự đối với niềm tin của khách hàng: 87% người tiêu dùng châu Âu cho biết họ sẽ không mua hàng từ một trang web mà họ nghi ngờ về tính bảo mật dữ liệu. Bài viết trụ cột này nêu chi tiết các nghĩa vụ cụ thể của nhà bán lẻ điện tử về sự đồng ý, cookie, bản tin và bảo mật dữ liệu thanh toán.
Sự đồng ý: nền tảng của việc tuân thủ GDPR
Sự đồng ý là một trong sáu cơ sở pháp lý để xử lý được quy định tại Điều 6 của GDPR. Để có hiệu lực, nó phải đáp ứng bốn tiêu chí tích lũy được quy định tại Điều 7: tự do, cụ thể, đầy đủ thông tin và rõ ràng. Trong bối cảnh thương mại điện tử, điều này có nghĩa là người dùng Internet không thể có sự đồng ý với điều kiện mua sản phẩm (nguyên tắc tự do) và họ phải có thể đồng ý riêng cho từng mục đích (hồ sơ tiếp thị, chia sẻ với đối tác, bản tin, v.v.).
CNIL đã tăng cường đáng kể các yêu cầu của mình kể từ năm 2020 với các hướng dẫn về cookie và trình theo dõi. Nút “Chấp nhận tất cả” giờ đây phải đi kèm với nút “Từ chối tất cả” có khả năng truy cập và hiển thị tương đương. Các hộp được đánh dấu trước đều bị nghiêm cấm (Phán quyết của CJEU Planet49, ngày 1 tháng 10 năm 2019). Người bán điện tử cũng phải giữ lại bằng chứng đồng ý có dấu thời gian trong suốt thời gian xử lý và cho phép rút tiền đơn giản như lần cấp ban đầu.
Quản lý cookie và trình theo dõi trên các trang web thương mại
Các trang thương mại điện tử sử dụng trung bình 40 đến 60 cookie của bên thứ ba: phân tích, nhắm mục tiêu lại quảng cáo, mạng xã hội, chatbot, thử nghiệm A/B. Điều 82 của Đạo luật bảo vệ dữ liệu sửa đổi yêu cầu phải có sự đồng ý trước đối với bất kỳ trình theo dõi nào không thực sự cần thiết cho hoạt động của dịch vụ. Chỉ có giỏ hàng, phiên xác thực và cookie cân bằng tải mới được miễn.
Việc thiết lập Nền tảng quản lý sự đồng ý (CMP) tuân thủ đã trở nên cần thiết. Nó phải cho phép khách truy cập đưa ra các lựa chọn chi tiết: chấp nhận theo mục đích (đo lường đối tượng, cá nhân hóa, quảng cáo được nhắm mục tiêu) và theo người nhận. Các lệnh trừng phạt đang trút xuống: Google (150 triệu euro), Amazon (35 triệu euro), Facebook (60 triệu euro) vào năm 2022 vì thiếu nút từ chối có thể truy cập được như nút chấp nhận.
Bản tin và thăm dò thương mại: chọn tham gia nghiêm ngặt
Việc gửi bản tin và email quảng cáo thuộc điều L.34-5 của Bộ luật Bưu chính và Truyền thông Điện tử, chuyển đổi chỉ thị về Quyền riêng tư điện tử. Nguyên tắc là sự đồng ý tham gia trước một cách rõ ràng đối với các khách hàng tiềm năng cá nhân (B2C). Một ngoại lệ đáng chú ý tồn tại đối với những khách hàng đã mua hàng: việc khảo sát được phép đối với các sản phẩm hoặc dịch vụ tương tự, miễn là họ đã được thông báo trong quá trình lấy hàng và có thể phản đối từng lô hàng.
Cụ thể, hộp “Tôi muốn nhận các ưu đãi thương mại từ [thương hiệu]” phải được bỏ chọn theo mặc định và khác biệt với việc chấp nhận các Điều khoản & Điều kiện. Mỗi email phải bao gồm liên kết hủy đăng ký chỉ bằng một cú nhấp chuột đang hoạt động, danh tính của người gửi và địa chỉ liên hệ hợp lệ.
Bảo mật dữ liệu thanh toán
Việc xử lý dữ liệu ngân hàng tuân theo cả GDPR (điều 32 về bảo mật) và tiêu chuẩn PCI-DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán). Người bán điện tử nên ưu tiên mã thông báo thông qua nhà cung cấp dịch vụ thanh toán (PSP) được chứng nhận PCI-DSS cấp 1, do đó tránh việc lưu trữ trực tiếp số thẻ. Xác thực mạnh (3D Secure v2) là bắt buộc kể từ ngày 15 tháng 5 năm 2021 khi áp dụng chỉ thị DSP2.
Nghiêm cấm việc giữ lại mật mã trực quan (CVV) sau khi giao dịch. Số thẻ chỉ có thể được lưu giữ khi có sự đồng ý rõ ràng để tạo điều kiện thuận lợi cho các lần mua hàng tiếp theo (Thảo luận CNIL số 2018-303).
Kết luận
Việc tuân thủ GDPR trong thương mại điện tử không chỉ là một danh sách kiểm tra pháp lý: nó cấu trúc toàn bộ mối quan hệ khách hàng kỹ thuật số. Giữa sự đồng ý chi tiết, quản lý cookie, sự chặt chẽ trong việc tìm kiếm và thanh toán an toàn, các nhà bán lẻ điện tử phải áp dụng cách tiếp cận “quyền riêng tư theo thiết kế” khi thiết kế hành trình của họ. Cách tiếp cận này, không chỉ là một trở ngại thương mại, mà còn trở thành một lập luận khác biệt trong một thị trường nơi niềm tin kỹ thuật số quyết định tỷ lệ chuyển đổi và lòng trung thành.
Dùng thử Certyneo miễn phí
Gửi phong bì chữ ký đầu tiên của Quý khách trong chưa đầy 5 phút. 5 phong bì miễn phí mỗi tháng, không cần thẻ tín dụng.
Tìm hiểu sâu hơn
Các bài viết tham khảo về chủ đề này.
Tìm hiểu sâu hơn
Hướng dẫn toàn diện của chúng tôi để nắm vững chữ ký điện tử.
Tiếp tục đọc về Sécurité
Mở rộng kiến thức của Quý khách với những bài viết liên quan đến chủ đề này.
Chữ ký điện tử có an toàn không?
Mã hóa, xác thực, dấu vết kiểm tra: tại sao chữ ký điện tử lại an toàn hơn chữ ký giấy.
Chứng thư điện tử và chữ ký số
Chứng chỉ điện tử là gì, nó dùng để làm gì và liên kết với chữ ký số là gì?
Dập thời gian điện tử: định nghĩa và sử dụng
Dập thời gian điện tử là gì, nó hoạt động như thế nào, khi nào nó đủ tiêu chuẩn và tại sao nó lại bảo mật chữ ký của bạn.