3. Cơ sở lý thuyết của luận án
2.2. Thực trạng pháp luật Việt Nam về trách nhiệm của tổ chức, cá nhân kinh
2.2.1. Trách nhiệm bảo vệ thông tin của người tiêu dùng
Khi tiến hành giao dịch điện tử với tổ chức, cá nhân kinh doanh, do đặc thù của phương thức giao dịch này là các bên trong giao dịch không tiếp xúc trực tiếp với nhau nên NTD thường phải cung cấp các thông tin cá nhân để có thể tiến hành giao dịch mua bán, thanh toán và nhận hàng. Những thông tin mà NTD cung cấp có thể là các thông tin về nhân thân, số điện thoại, địa chỉ nhà, tài khoản ngân hàng… mà nếu bị đánh cắp, bị lợi dụng thì những thông tin này sẽ gây bất lợi cho NTD cả về tinh thần cũng như vật chất. Bên cạnh đó, nhiều công nghệ hiện đại như định vị toàn cầu GPS, phần mềm gián điệp mà doanh nghiệp sử dụng sẽ dễ dàng thu thập được những thông tin này và sử dụng nó cho các mục đích khác nhau, xâm phạm tới quyền và lợi ích hợp pháp của NTD. Trách nhiệm của tổ chức, cá nhân kinh doanh về bảo vệ thông tin của NTD khi NTD tiến hành giao dịch điện tử với mình được quy định rải rác ở nhiều văn bản pháp luật khác nhau. Điều 46 Luật Giao dịch điện tử năm 2005 về bảo mật thông tin trong giao dịch điện tử quy định: “Cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin về bí mật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác”. Tương tự như vậy, Luật Công nghệ thông tin năm 2006 cũng quy định về trách nhiệm đối với việc thu thập, xử lý, lưu trữ thông tin cá nhân của người khác trên môi trường mạng ở Điều 21, 2246. Thêm vào đó, Luật An toàn thông tin mạng coi hành vi "thu thập, sử dụng, phát tán, kinh doanh
46 Lại Việt Anh (2010), Bảo vệ quyền lợi NTD trong TMĐT ở Việt Nam, Hội thảo Pháp ngữ khu vực “Bảo vệ quyền lợi NTD: Từ hai góc nhìn Á- Âu”, Hà Nội, 27&28/9/2010.
trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân" là một trong các hành vi bị nghiêm cấm tại Điều 7, đồng thời đề ra những quy định cụ thể khi thu thập, sử dụng, cập nhật hay huỷ bỏ thông tin cá nhân trên mạng tại mục 2 Chương II của Luật này.
Hiện nay, trách nhiệm bảo vệ thông tin của tổ chức, cá nhân kinh doanh đối với NTD được quy định tại khoản 2 Điều 6 Luật BVQLNTD năm 2010. Theo đó, trường hợp thu thập, sử dụng, chuyển giao thông tin của NTD thì tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm sau:
- Thông báo rõ ràng, công khai trước khi thực hiện với NTD về mục đích hoạt động thu thập, sử dụng thông tin của NTD. Việc này yêu cầu tổ chức, cá nhân kinh doanh phải tiến hành thông báo cho NTD trước khi tiến hành thu thập hay sử dụng thông tin của họ. Đây là yêu cầu cần thiết đảm bảo cho quyền bí mật đời tư được quy định trong Bộ luật dân sự, NTD có quyền đồng ý hoặc không đồng ý cho phép thương nhân được thu thập những thông tin như tên, tuổi, địa chỉ của mình khi tiến hành giao dịch.
- Sử dụng thông tin phù hợp với mục đích đã thông báo với NTD và phải được NTD đồng ý. Nếu NTD đồng ý cung cấp thông tin cho tổ chức, cá nhân kinh doanh thì tổ chức, cá nhân kinh doanh có trách nhiệm phải sử dụng những thông tin này đúng như đã thông báo với NTD, không được sử dụng cho mục đích khác như mua bán, chuyển nhượng cho bên thứ ba.
- Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của NTD. Khi tổ chức, cá nhân kinh doanh tiến hành việc lưu trữ thông tin của NTD để sử dụng hay chuyển giao thì họ phải có những biện pháp bảo mật nhằm tránh việc để lộ những thông tin cá nhân của NTD ra bên ngoài, ảnh hưởng tới lợi ích của NTD. Ngoài ra, tổ chức, cá nhân kinh doanh phải đảm bảo thu thập thông tin chính xác và đầy đủ về NTD, tránh việc sai lệch thông tin dẫn đến hậu quả về mặt vật chất hay tinh thần cho NTD.
- Tự mình hoặc có biện pháp để NTD cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác. Đây là một trách nhiệm quan trọng của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của NTD, tuy nhiên trên thực tế thường hay bị thương nhân bỏ qua. Việc cho phép NTD sửa chửa kịp thời các sai sót về mặt thông tin vừa có lợi cho tổ chức, cá nhân kinh doanh trong việc chăm sóc khách hàng, vừa có lợi cho NTD tránh khỏi những thiệt hại không đáng có do thông tin sai sót gây nên, ví dụ như việc giao hàng sai địa chỉ, trừ tiền nhầm tài khoản…
- Chỉ được chuyển giao thông tin của NTD cho bên thứ ba khi có sự đồng ý của NTD, trừ trường hợp pháp luật có quy định khác. Quy định này đảm bảo cho thông tin của NTD không bị lợi dụng như một mặt hàng có thể mua bán, trao đổi để kiếm lợi nhuận cho tổ chức, cá nhân kinh doanh. NTD thường chỉ đồng ý cung cấp thông tin của mình khi việc làm này là cần thiết cho việc thực hiện giao dịch với tổ chức, cá nhân kinh doanh và họ muốn thông tin này phải được đảm bảo bởi tổ chức, cá nhân kinh doanh đó. Nếu những thông tin này bị chuyển giao cho bên thứ ba sẽ kéo theo rất nhiều phiền toái cho NTD như việc bị gọi điện chào hàng, nhận những tin nhắn rác… Vì vậy, trách nhiệm của tổ chức, cá nhân kinh doanh là phải đảm bảo bí mật thông tin của NTD, nếu NTD chưa đồng ý thì không được phép chuyển giao những thông tin này cho bên thứ ba.
Bên cạnh đó, NĐ 52/2013/NĐ-CP của Chính Phủ về TMĐT đã dành hẳn Mục 1 Chương 5 với 6 Điều47 để quy định về bảo vệ thông tin cá nhân NTD trong TMĐT, ngoài các quy định khá quen thuộc như Sử dụng thông tin cá nhân, Bảo đảm an toàn thông tin cá nhân, Kiểm tra, cập nhật và sửa đổi thông tin cá nhân,.. thì điểm đặc biệt đó là quy định về việc trách nhiệm bảo vệ thông tin cá nhân của NTD sẽ thuộc về chủ thể nào48, kể cả trong trường hợp đã uỷ
47 Từ Điều 68 đến Điều 72
48 Điều 68 quy định trách nhiệm này thuộc về thương nhân, tổ chức, cá nhân thực hiện việc thu thập thông tin cá nhân của NTD.
quyền cho bên thứ ba xử lý thông tin49. Quy định trong Nghị định này khá đầy đủ và cụ thể tuy nhiên lại chỉ giành riêng cho thông tin cá nhân của NTD khi giao dịch trên các trang TMĐT mà thôi.
Trong báo cáo về thực trạng công tác bảo vệ dữ liệu cá nhân năm 2019, Bộ Công an cho biết qua rà soát sơ bộ đã phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng. Các đối tượng này bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện...
Theo Bộ Công an, các gói dữ liệu thô được rao bán liên quan tới nhiều lĩnh vực: danh sách cán bộ, danh sách nội bộ (thậm chí bao gồm cả các đơn vị công an, quốc phòng, thuế...); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ)...50
Mới đây, thông tin về một vụ việc rao bán dữ liệu cá nhân gây chấn động dư luận xuất hiện từ ngày 13/5/2021, trên diễn đàn "R***forums" - một trang web thường diễn ra các giao dịch mua dữ liệu mà giới hacker (tin tặc) đánh cắp được. Kẻ rao bán tệp dữ liệu dung lượng 17GB chứa đựng thông tin cá nhân của 9.667 người Việt. Trong bài viết, người này cho biết mình đang sở hữu một số lượng lớn dữ liệu KYC (Know Your Customer - dữ liệu để xác minh thông
49 Khoản 2 Điều 68 quy định: “Nếu hợp đồng giữa hai bên không quy định rõ trách nhiệm của mỗi bên thì thương nhân, tổ chức, cá nhân hoạt động kinh doanh TMĐT chịu trách nhiệm."
50 Báo Tuổi trẻ online, Trắng trợn rao bán thông tin cá nhân, nguồn: https://congnghe.tuoitre.vn/trang-tron-rao-ban-thong-tin-ca-nhan-20200601075612973.htm ngày truy cập 10/12/2021.
tin người dùng), bao gồm 5 tập hợp file dữ liệu khác nhau, trong số đó có 1 tệp tin dung lượng 1,4 GB chứa thông tin của 3,6 nghìn người, bao gồm họ tên, ngày sinh, ảnh đại diện, địa chỉ, hộ khẩu, email, số điện thoại, số CMND, CCCD, ảnh chụp CMND, CCCD mặt sau và mặt trước51.
Việc thông tin cá nhân của NTD bị rao bán có thể gây ảnh hưởng lớn tới tài sản, sức khoẻ, tinh thần, danh dự của NTD, và quan trọng những thông tin đó bị lọt ra bằng cách nào và từ đâu, đồng thời trách nhiệm của các bên liên quan tới việc bảo mật thông tin của NTD cấp thiết phải được các cơ quan thực thi pháp luật kiểm tra, xử lý để tránh những trường hợp đáng lo ngại như trên.
Pháp luật Việt Nam chỉ quy định tổ chức, cá nhân kinh doanh có trách nhiệm gì khi tiến hành thu thập, sử dụng hay chuyển giao thông tin của NTD mà không quy định nguyên tắc cơ bản của việc thu thập, sử dụng thông tin của NTD phải là cần thiết để có thể thực hiện được hợp đồng giữa NTD với tổ chức, cá nhân kinh doanh và một khi mục đích sử dụng thông tin đã hoàn thành, ví dụ như hợp đồng đã hoàn tất thì thông tin của NTD phải được xóa ngay lập tức. Điều này dẫn đến việc các doanh nghiệp tiến hành thu thập thông tin của NTD một cách thiếu chọn lọc, không cần thiết và sau đó lưu trữ lại, không sử dụng khiến cho những dữ liệu này dễ dàng bị lọt ra ngoài vì không được doanh nghiệp quan tâm bảo mật.