Là gì về sửa đổi Luật Kinh doanh Viễn thông Nhật Bản năm Reiwa 5 (2023)? Giải thích chi tiết về quy định Cookie

Trong sửa đổi Luật Doanh nghiệp Viễn thông Nhật Bản (Japanese Telecommunications Business Law) dự kiến sẽ được thực thi vào năm 2023 (năm thứ 5 của thời kỳ Reiwa), dựa trên những thay đổi trong môi trường kinh doanh viễn thông, nhiều quy định mới sẽ được áp dụng nhằm mục đích cung cấp dịch vụ một cách trôi chảy và bảo vệ người sử dụng. Trong số đó, quy định về Cookie đặc biệt được chú ý.

Hiện nay, có rất nhiều dịch vụ trực tuyến sử dụng Cookie, và việc sửa đổi Luật Doanh nghiệp Viễn thông Nhật Bản sẽ ảnh hưởng như thế nào đến việc vận hành các dịch vụ trực tuyến đang là vấn đề quan tâm của nhiều doanh nghiệp. Cũng dự kiến sẽ có những thay đổi lớn trong lĩnh vực tiếp thị trực tuyến trong tương lai.

Bài viết này sẽ giới thiệu về Luật Doanh nghiệp Viễn thông Nhật Bản được sửa đổi và thông qua vào tháng 6 năm 2022, và dự kiến sẽ được thực thi vào ngày 17 tháng 6 năm 2023, cũng như các quy định đi kèm đã được xây dựng. Chúng tôi cũng sẽ giải thích chi tiết về quy định về Cookie đang được chú ý.

Tổng quan về việc sửa đổi Luật Doanh nghiệp Viễn thông Nhật Bản

Luật Doanh nghiệp Viễn thông Nhật Bản là một luật pháp nhằm đảm bảo việc điều hành doanh nghiệp viễn thông một cách hợp lý và phù hợp, đồng thời thúc đẩy sự cạnh tranh công bằng giữa các doanh nghiệp và bảo vệ lợi ích của người sử dụng (Điều 1 Luật Doanh nghiệp Viễn thông Nhật Bản). Để nói một cách dễ hiểu hơn, mục tiêu của luật này là tạo ra một cơ chế để đảm bảo việc cung cấp dịch vụ viễn thông như Internet và điện thoại di động một cách trôi chảy, bảo vệ lợi ích của người sử dụng và tiện ích của công dân.

Doanh nghiệp viễn thông bao gồm các doanh nghiệp cung cấp cơ sở hạ tầng thông tin và truyền thông như điện thoại và Internet. Trong lần sửa đổi này, các thay đổi sau đây đã được thực hiện, bao gồm việc mở rộng phạm vi các doanh nghiệp mục tiêu:

• Chuyển đổi dịch vụ viễn thông thành dịch vụ phổ quát như điện, gas và nước
• Đưa các công cụ tìm kiếm và mạng xã hội vào danh sách các đối tượng cần đăng ký
• Thiết lập sự cạnh tranh công bằng giữa các nhà mạng di động lớn và các nhà cung cấp SIM giá rẻ

Từ năm 2020 trở đi, việc làm việc từ xa, họp trực tuyến, giáo dục từ xa, v.v. đã trở nên phổ biến đột ngột. Hiện nay, môi trường Internet không chỉ là một dịch vụ mà cá nhân lựa chọn, mà còn có thể coi là cơ sở hạ tầng mà bất kỳ ai cũng có thể truy cập, giống như điện và gas. Trong lần sửa đổi này, một hệ thống cấp tài trợ đã được thiết lập để đảm bảo việc cung cấp dịch vụ ổn định ngay cả ở những khu vực mà các nhà cung cấp dịch vụ Internet không thể thu hồi vốn.

Phạm vi “doanh nghiệp viễn thông” cũng đã thay đổi. Các dịch vụ tìm kiếm và mạng xã hội lớn, trước đây không nằm trong phạm vi này, giờ đây đã trở thành đối tượng của quy định. Nói cách khác, các công cụ tìm kiếm lớn như Google và các mạng xã hội như Twitter, Instagram, v.v., nếu vượt quá một quy mô nhất định, sẽ trở thành đối tượng đăng ký như một doanh nghiệp viễn thông.

Dưới đây là các điều kiện cho các doanh nghiệp mới được thêm vào danh sách đăng ký:

1. Dịch vụ viễn thông tìm kiếm thông tin (như công cụ tìm kiếm Google): có số người sử dụng trên 10 triệu và là dịch vụ tìm kiếm đa lĩnh vực
2. Dịch vụ viễn thông tương đương với một trung gian (như mạng xã hội Twitter): có số người sử dụng trên 10 triệu và chủ yếu làm trung gian cho sự tương tác giữa người sử dụng không xác định

Ngoài ra, để đảm bảo sự cạnh tranh công bằng giữa 3 nhà mạng di động lớn và các nhà mạng MVNO khác, việc bắt buộc cung cấp phương pháp tính giá cũng đã được ghi rõ.

Khái niệm mới “Thông tin người dùng cụ thể”

Theo Quy tắc thi hành Luật Doanh nghiệp Viễn thông Nhật Bản, một khái niệm mới được gọi là “Thông tin người dùng cụ thể” đã được thiết lập. Các doanh nghiệp viễn thông cung cấp dịch vụ viễn thông có ảnh hưởng lớn đến lợi ích của người dùng sẽ bị quản lý. Cụ thể, các doanh nghiệp có số lượng người dùng hàng tháng trên 10 triệu người đối với dịch vụ miễn phí và trên 5 triệu người đối với dịch vụ trả phí sẽ bị quản lý. Các ví dụ có thể kể đến như nhà cung cấp dịch vụ điện thoại cố định, điện thoại di động, dịch vụ kết nối Internet, dịch vụ tìm kiếm như Google, và các dịch vụ mạng xã hội như Twitter.

“Thông tin người dùng cụ thể” là thông tin có thể xác định người dùng như email, hồ sơ cuộc gọi, ID người dùng, số điện thoại (Quy tắc thi hành Luật Doanh nghiệp Viễn thông Nhật Bản[ja] Điều 2-2, Điều 22-2-21), và các doanh nghiệp có trách nhiệm như sau đối với việc xử lý thông tin này (cùng Quy tắc thi hành Điều 22-2-22). Hãy lưu ý rằng thông tin được lưu trong Cookie cũng được bao gồm trong thông tin người dùng cụ thể này.

1. Xây dựng và thông báo về quy định xử lý
2. Xây dựng và công bố chính sách xử lý
3. Đánh giá tự đánh giá tình hình xử lý hàng năm, phản ánh vào quy định và chính sách xử lý
4. Chọn và thông báo người quản lý tổng thể tại thời điểm trên
5. Báo cáo khi có rò rỉ thông tin

Các doanh nghiệp xử lý thông tin người dùng cụ thể có trách nhiệm xây dựng và công bố chính sách xử lý của mình. Ngoài ra, họ phải thực hiện đánh giá tự đánh giá về xu hướng kỹ thuật và rủi ro tấn công mạng, và cần phải xem xét lại chính sách nếu cần thiết.

Ngoài ra, họ phải bổ nhiệm một người quản lý tổng thể có kinh nghiệm ít nhất 3 năm, và nếu có rò rỉ thông tin của hơn 1.000 người dùng, họ phải báo cáo cho Bộ trưởng Bộ Nội vụ và Truyền thông Nhật Bản mà không chậm trễ.

Ngoài ra, việc thiết lập quy tắc gửi đi ngoài, còn được gọi là quy định Cookie, có lẽ là điểm có ảnh hưởng lớn nhất trong sửa đổi lần này. Dưới đây, tôi sẽ giải thích thêm.

Quy định về Cookie được rõ ràng hóa

Cookie là gì? Ưu điểm và vấn đề liên quan

Cookie là một cơ chế lưu trữ thông tin của người dùng trên trình duyệt khi họ truy cập vào một trang web. Để giải thích một cách chi tiết hơn, khi người xem trang web truy cập vào máy chủ web từ các thiết bị như máy tính cá nhân, điện thoại thông minh, máy tính bảng, máy chủ web sẽ lưu một tệp tin vào thiết bị của người xem. Máy chủ web có thể tham khảo Cookie đã được lưu trữ trên thiết bị của người xem khi nhận được truy cập từ họ.

Nhờ vào điều này, khi bạn truy cập vào một trang web của dịch vụ web mà bạn đã sử dụng trước đó, hệ thống có thể nhận biết rằng bạn là người dùng đã từng truy cập trước đó. Ví dụ, khi bạn mua sắm trên một trang web thương mại điện tử, bạn có thể đã trải qua trải nghiệm như “đặt một sản phẩm bạn thích vào giỏ hàng, sau đó xem một số trang sản phẩm khác và sau đó kiểm tra lại giỏ hàng, sản phẩm bạn đã thêm vào giỏ hàng vẫn còn đó”. Thực ra, cơ chế này sử dụng Cookie.

Cookie, nói một cách đơn giản, là dữ liệu tổng hợp thông tin người dùng rộng rãi như ID để nhận biết người dùng, thời gian và số lần người dùng truy cập trang web. Vì Cookie có thể nhận biết người dùng, nó có thể cung cấp thông tin tối ưu khi người dùng truy cập trang web lần thứ hai trở đi.

Việc sử dụng Cookie cũng có thể thu thập thông tin cá nhân mà người dùng không mong muốn. Bằng cách thu thập thông tin về người dùng nào, từ thiết bị nào, truy cập vào trang web nào, có thể phân tích sở thích và thói quen của người dùng.

Tuy nhiên, hầu hết người dùng không thể biết Cookie ghi lại dữ liệu nào và khi nào, và gửi dữ liệu nào đến máy chủ. Dữ liệu Cookie có thể được sử dụng cho mục đích kinh doanh bởi các công ty bên thứ ba mà người dùng không biết. Do đó, từ góc độ vi phạm quyền riêng tư, Cookie đã được chỉ định là “thông tin cá nhân liên quan” theo sửa đổi Luật bảo vệ thông tin cá nhân vào tháng 4 năm 2022 (năm 2022 theo lịch Gregory).

Cho đến nay, nhiều người quản lý trang web đã sử dụng Cookie để nắm bắt thông tin người dùng và tiến hành các chiến lược tiếp thị chính xác và hiệu quả. Tuy nhiên, tại EU và các nước khác, việc vi phạm quyền riêng tư bằng cách sử dụng Cookie đã được coi là vấn đề và các biện pháp đã được thực hiện. Đặc biệt, nhiều người có thể đã nhận thấy rằng khi xem các trang web ở khu vực EU, một thông báo yêu cầu đồng ý sử dụng Cookie sẽ được hiển thị.

Cookie của bên thứ nhất và Cookie của bên thứ ba

Cookie có thể được chia thành hai loại chính: Cookie của bên thứ nhất và Cookie của bên thứ ba.

Cookie của bên thứ nhất là Cookie được phát hành trực tiếp từ tên miền của trang web mà người dùng đang truy cập. Nói cách khác, đây là Cookie mà “tên miền phát hành Cookie” = “tên miền của trang web đang được truy cập”. Bên thứ nhất (first party) có nghĩa là “bên liên quan”. Cookie của bên thứ nhất được gọi như vậy vì việc trao đổi Cookie hoàn tất giữa máy chủ của trang web mà người xem đã truy cập và thiết bị của người dùng.

Ngược lại, Cookie của bên thứ ba là Cookie được phát hành từ máy chủ không phải là trang web mà người xem đã truy cập (bên thứ ba). Việc trao đổi dữ liệu bằng cách sử dụng Cookie không hoàn tất giữa máy chủ của trang web mà người xem đã truy cập và thiết bị của người dùng, mà là giữa các máy chủ khác, do đó nó được gọi là Cookie của bên thứ ba.

Đối tượng chính của quy định về Cookie trong việc sửa đổi Luật kinh doanh viễn thông (Japanese Telecommunications Business Law) là việc sử dụng Cookie của bên thứ ba.

Cookie của bên thứ ba có thể thu thập thông tin lịch sử duyệt web của người dùng qua nhiều tên miền. Nếu có thể thu thập lịch sử duyệt web của một thiết bị, bạn có thể tạo hồ sơ về những gì người dùng của thiết bị đó quan tâm. Nếu sở thích cá nhân của bạn được tạo hồ sơ và được sử dụng trong quảng cáo mà người dùng không biết, điều này có thể dẫn đến cảm giác lo lắng của người dùng và gây ra vấn đề từ góc độ bảo vệ quyền riêng tư. Có lẽ nhiều người đã trải qua việc quảng cáo của các trang web đã truy cập trước đó hoặc quảng cáo của các sản phẩm liên quan được hiển thị nhiều hơn.

Ở Nhật Bản, cho đến nay, không có quy tắc pháp lý nào quy định trực tiếp việc sử dụng Cookie. Trong “Báo cáo nghiên cứu về hiệu quả kinh tế của quảng cáo hướng đến hành vi và bảo vệ người sử dụng” được công bố bởi Viện nghiên cứu chính sách thông tin và truyền thông của Bộ Nội vụ và Truyền thông vào tháng 3 năm 2010 (2010), có quan điểm rằng các doanh nghiệp sử dụng quảng cáo hướng đến hành vi nên rõ ràng về việc sử dụng và nhận được sự đồng ý trước. Nhưng như từ “mong muốn” cho thấy, không có ràng buộc pháp lý rõ ràng.

Sửa đổi Luật kinh doanh viễn thông lần này đã tiến thêm một bước từ “mong muốn” đến “phải làm”, và từ việc nói rõ rằng “phải làm”, có thể coi đây là một hướng đi mới trong việc thiết lập quy tắc pháp lý quy định trực tiếp việc sử dụng Cookie.

Nội dung quy định về Cookie

Điều 27-12 của Luật Kinh doanh Viễn thông Nhật Bản (Japanese Telecommunications Business Law) đã được sửa đổi quy định rằng, “Khi cung cấp dịch vụ viễn thông (điều này bao gồm cả dịch vụ trực tuyến) cho người sử dụng và muốn thực hiện việc truyền thông chỉ thị truyền thông thông tin đến thiết bị viễn thông của người sử dụng, theo quy định của Bộ Nội vụ và Truyền thông Nhật Bản, người cung cấp dịch vụ phải thông báo trước cho người sử dụng về nội dung thông tin liên quan đến người sử dụng sẽ được truyền đi thông qua chức năng truyền thông thông tin được kích hoạt bởi việc truyền thông chỉ thị truyền thông thông tin, thiết bị viễn thông mà thông tin sẽ được truyền đến và các vấn đề khác được quy định bởi Bộ Nội vụ và Truyền thông, hoặc phải đặt người sử dụng trong tình trạng dễ dàng nhận biết được.”

Đây là một điều khoản hơi khó hiểu, nhưng nếu tóm tắt, nó có nghĩa là:

• Khi cung cấp dịch vụ viễn thông (tức là dịch vụ trực tuyến) cho người sử dụng
• Khi muốn thực hiện việc truyền thông chỉ thị truyền thông thông tin đến thiết bị viễn thông của người sử dụng (như máy tính hoặc điện thoại thông minh)

Người cung cấp dịch vụ phải thông báo cho người sử dụng về các vấn đề quy định hoặc phải đặt người sử dụng trong tình trạng dễ dàng nhận biết được.

Vậy thì, “các vấn đề quy định” cần thông báo cho người sử dụng cụ thể là gì?

Theo Điều 27-12 của Luật Kinh doanh Viễn thông Nhật Bản đã được sửa đổi và Điều 22-2-29 của Quy tắc thi hành Luật Kinh doanh Viễn thông Nhật Bản đã được sửa đổi, khi muốn thực hiện việc truyền thông chỉ thị truyền thông thông tin, người cung cấp dịch vụ phải thông báo cho người sử dụng hoặc đặt người sử dụng trong tình trạng dễ dàng nhận biết được về các vấn đề sau:

• Nội dung “thông tin liên quan đến người sử dụng” sẽ được truyền đi
• Tên/tên gọi của người sẽ xử lý “thông tin liên quan đến người sử dụng” bằng cách sử dụng máy chủ đích
• Mục đích sử dụng “thông tin liên quan đến người sử dụng” sẽ được truyền đi

Nói cách khác, khi sử dụng Cookie, đối tượng của quy định về Cookie, bạn phải triển khai cơ chế thông báo cho người sử dụng về thông tin Cookie được thu thập, đích đến truyền thông và mục đích sử dụng, hoặc công bố chính sách Cookie để người sử dụng dễ dàng nhận biết được.

Bốn ngoại lệ của quy định về Cookie

Điều 27-12 của Luật Kinh doanh Viễn thông Nhật Bản (Japanese Telecommunications Business Law) đã quy định rằng không cần thông báo cho người dùng hoặc đưa thông tin vào tình trạng mà người dùng dễ dàng biết được trong bốn trường hợp sau:

Một: Thông tin cần thiết để hiển thị đúng mã, âm thanh hoặc hình ảnh được gửi trong dịch vụ viễn thông đó trên màn hình của thiết bị viễn thông của người dùng, hoặc thông tin khác được quy định bởi Bộ Nội vụ và Truyền thông Nhật Bản (Japanese Ministry of Internal Affairs and Communications) là cần thiết để gửi khi người dùng sử dụng dịch vụ viễn thông.

Theo Điều 22-2-30 của Luật thi hành Kinh doanh Viễn thông Nhật Bản (Japanese Telecommunications Business Law Enforcement Regulations), các thông tin sau đây được áp dụng:

• Thông tin thực sự cần thiết để cung cấp dịch vụ
• Thông tin cần thiết để hiển thị lại thông tin mà người dùng đã nhập khi sử dụng dịch vụ (bao gồm cả thông tin xác thực)
• Thông tin cần thiết để phát hiện và giảm thiểu hậu quả của hành vi không chính đáng
• Thông tin cần thiết để vận hành máy chủ một cách phù hợp

Hai: Mã nhận dạng được gửi đến thiết bị viễn thông của người dùng khi nhà cung cấp dịch vụ viễn thông hoặc người kinh doanh dịch vụ số ba cung cấp dịch vụ viễn thông cho người dùng, và được gửi đến thiết bị viễn thông của nhà cung cấp dịch vụ viễn thông hoặc người kinh doanh dịch vụ số ba như là điểm đến bởi chức năng gửi thông tin được kích hoạt bởi lệnh gửi thông tin.

Điều này hơi phức tạp, nhưng nó giả định rằng “trường hợp mà công ty gửi ID mà họ đã gửi đến thiết bị của người dùng đến máy chủ của họ”. Nói cách khác, chỉ có Cookie của bên thứ ba mới bị quy định, trong khi Cookie của bên đầu tiên là ngoại lệ.

Ba: Thông tin mà người dùng đã đồng ý để được gửi đến thiết bị viễn thông của họ

Cụm từ “Bạn có đồng ý với việc sử dụng Cookie không?” mà chúng ta thường thấy là do điều khoản này. Đối với người dùng đã đồng ý, không cần thông báo này.

Bốn: Thông tin mà người dùng không yêu cầu áp dụng biện pháp quy định trong trường hợp lệnh gửi thông tin gửi đang áp dụng cả hai điều kiện sau

Điều này nghĩa là việc thực hiện các biện pháp từ chối (opt-out), để người dùng có thể từ chối việc thu thập và sử dụng thông tin Cookie bất cứ lúc nào.

Tóm tắt: Hãy tham vấn chuyên gia về biện pháp đối phó với sửa đổi Luật Doanh nghiệp Viễn thông Nhật Bản

Với sự phát triển chóng mặt của các dịch vụ trực tuyến, việc sửa đổi luật pháp trong lĩnh vực này diễn ra rất thường xuyên. Do sự thay đổi mạnh mẽ, tài liệu tham khảo cũng khan hiếm, việc nắm bắt thông tin mới nhất và đối phó với nó không phải là điều dễ dàng.

Chúng tôi khuyến nghị bạn tiến hành các biện pháp đối phó với Luật Doanh nghiệp Viễn thông Nhật Bản và các quy định liên quan dựa trên lời khuyên của các chuyên gia.

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolith, với kinh nghiệm phong phú về cả IT, đặc biệt là Internet và luật, là một văn phòng luật sư đáng tin cậy. Luật Doanh nghiệp Viễn thông Nhật Bản (Japanese Telecommunications Business Law) sau khi được sửa đổi có nhiều điều khoản phức tạp, và có thể nói rằng nếu không phải là chuyên gia thì khó có thể hiểu được. Để kinh doanh hợp pháp, bạn cần kiểm tra pháp lý, vì vậy hãy liên hệ với chúng tôi để được tư vấn. Chi tiết được mô tả trong bài viết dưới đây.

Lĩnh vực hoạt động của Văn phòng luật sư Monolith: Pháp lý doanh nghiệp IT & Startup[ja]