Theo quy định tại Điều 70 Nghị định số 52/2013/NĐ-CP, trừ một số trường hợp đặc biệt, khi thương nhân, tổ chức, cá nhân sở hữu website thương mại điện tử bán hàng thu thập và sử dụng thông tin cá nhân của người tiêu dung trên website thương mại điện tử thì phải được sự đồng ý trước của người tiêu dung có thông tin đó. Đơn vị thu thập thông tin phải thiết lập cơ chế để chủ thể thông tin bày tỏ sự đồng ý một cách rõ ràng, thông qua các chức năng trực tuyến trên website, thư điện tử, tin nhắn, hoặc những phương thức khác theo thỏa thuận giữa hai bên.
Đơn vị thu thập thông tin phải có cơ chế riêng để chủ thể thông tin được lựa chọn việc cho phép hoặc không cho phép sử dụng thông tin cá nhân của họ trong những trường hợp sau:
- Chia sẻ, tiết lộ, chuyển giao thông tin cho một bên thử ba.
- Sử dụng thông tin cá nhân để gửi quảng cáo, giới thiệu sản phẩm và các thông tin có tính thương mại khác.
Thương nhân, tổ chức, cá nhân thu thập và sử dụng thông tin cá nhân của người tiêu dung phải xây dựng và công bố chính sách bảo vệ thông tin cá nhân với các nội dung sau:
- Mục đích thu thập thông tin cá nhân.
- Phạm vi sử dụng thông tin.
- Thời gian lưu trữ thông tin.
- Những người hoặc tổ chức có thể được tiếp cận với thông tin đó.
- Địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm cách thức liên lạc đề người tiêu dung có thể hỏi về hoạt động thu thập, xử lý thông tin liên quan đến cá nhân mình.
- Phương thức và công cụ đề người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương mại điện tử của đơn vị thu thập thông tin.
Những nội dung trên phải được hiển thị rõ ràng cho người tiêu dùng trước hoặc tại thời điểm thu thập thông tin. Nếu việc thu thập thông tin được thực hiện thông qua website thương mại điện tử của đơn vị thu thập thông tin, chính sách bảo vệ thông tin cá nhân phải được công bố công khai tại một vị trí dễ thấy trên website này.