6. Ý nghĩa khoa học và giá trị ứng dụng của đề tài
2.2 THỰC HIỆN HỢP ĐỒNG THƢƠNG MẠI ĐIỆN TỬ
2.2.3 Bảo mật thông tin khách hàng và trách nhiệm của bên nắm giữ thông tin
Một xã hội vốn truyền thống đề cao những giá trị chung dẫn đến quan niệm và ý thức về quyền riêng tƣ không đƣợc đề cao trong ngần ấy thời gian, đã dấy lên nhiều sự lo ngại, cho chính những ngƣời trong cuộc bị xâm phạm cũng nhƣ cho sự vận động và phát triển của cả một xã hội nói chung. Theo đó, khơng khó để bắt gặp những hành vi tiết lộ thông tin dựa vào những mối quan hệ trong xã hội vốn xem những giá trị về thân tín trong cách đối nhân xử thế, và nhƣ một lẽ sống đời thƣờng. Do vậy, pháp luật Việt Nam trong ngần ấy thời gian dƣờng nhƣ đứng ngoài cuộc trong việc bảo vệ quyền riêng tƣ của cá nhân, tổ chức bởi những cung cách hành xử đó tuân theo một quy luật khác, quy luật đạo đức – vốn vốn nặng nề và chịu sự ảnh hƣởng sâu sắc từ quá khứ. Từ đó, dễ dàng để bắt gặp những việc mua bán, trao đổi thông tin của cá nhân, tổ chức tràn lan nhƣ hiện nay. Ví dụ, “data khách hàng” là
một thuật ngữ quen thuộc để chỉ tập hợp dữ liệu thông tin cá nhân, khách hàng của doanh nghiệp đƣợc bán ra thị trƣờng với mục tiêu lợi nhuận, đem lại nguồn lợi bất chính cho những ngƣời nắm giữ, vốn dĩ khá quen thuộc và gần gũi cho những doanh nghiệp mới gia nhập muốn tìm nguồn khách hàng với chi phí rẻ mà khơng phải tốn nhiều cơng sức64. Chính việc thông tin đƣợc rao bán tràn lan và một hệ thống cơ quan thực thi pháp luật chƣa triệt để làm phát sinh nhiều hệ quả tiêu cực đến sự phát triển ổn định nền kinh tế mặc dù không thiếu những quy định điều chỉnh những chế tài có liên quan đến hành vi vi phạm. Điển hình cho sự tác động tiêu cực từ những hành vi vi phạm pháp luật về việc xâm phạm quyền riêng tƣ, quyền bảo mật những thông tin nhân thân là tạo ra sự e dè từ khách hàng và ngƣời tiêu dùng khi bản thân liên tục bị quấy rối nhằm chèo kéo để mua hàng hoặc để đƣợc cung ứng dịch vụ từ những doanh nghiệp đang nhắm đến. Và trong lĩnh vực thƣơng mại điện tử nói riêng, khi mà cách thức giao dịch đƣợc thực hiện hồn tồn thơng qua các phƣơng
64 Hà Quốc Tuấn, (2018). Sống chung với rò rỉ dữ liệu cá nhân. Thời báo Kinh tế Sài Gòn. Nguồn truy cập: https://www.thesaigontimes.vn/281639/Song-chung-voi-ro-ri-du-lieu-ca-nhan.html
tiện điện tử thì thơng tin là thành tố quan trọng nhất và quyết định liệu một giao dịch có đƣợc thực hay khơng, thơng qua việc xem xét và đánh giá thông tin, những giá trị từ thông tin mang lại, cấu thành nên đối tƣợng của một hợp đồng thƣơng mại điện tử. Từ lẽ đó, việc đánh giá những quy định pháp luật hiện hành và những cách thức nhƣ thế nào khiến các bên tôn trọng quyền riêng tƣ hơn vốn dĩ trở nên cần thiết trong giai đoạn kinh tế công nghệ đang ngày càng chiếm ƣu thế trên thị trƣờng nhƣ hiện nay.
Từ trƣớc đến nay, giới hạn về quyền riêng tƣ trở nên khá mong manh khi mà khả năng lựa chọn những gì đƣợc tiết lộ hay tiếp cận bởi ngƣời khác và quyền kiểm soát, cách thức cũng nhƣ thời điểm của các thông tin liên quan trở nên nhạy cảm hơn bao giờ hết. Theo đó, thơng tin dƣờng nhƣ trở thành một công cụ trong xã hội hiện đại khi nhà quản trị bao gồm quản trị nhà nƣớc hoặc quản trị doanh nghiệp lúc nào cũng muốn xâm phạm đến hoặc chiếm lấy những thông tin riêng tƣ của cá nhân nhằm đạt đƣợc mục đích riêng mình, bao gồm nhƣng khơng giới hạn mục đích chính trị của nhà cầm quyền (tuyên truyền, định hƣớng dƣ luận, vận động tranh cử, trƣng cầu dân ý,...); mục đích phát triển thị trƣờng hoặc gia nhập thị trƣờng của doanh nghiệp (thói quen, tâm lý, hành vi tiêu dùng, thị hiếu, sở thích, sự quan tâm,...). Trƣớc những mục đích trên thì bản thân những cá nhân riêng lẻ cũng đang yếu ớt trong việc chống lại những sự xâm phạm đó, kể cả những thách thức về mặt đạo đức đƣợc đặt ra trong một xã hội vốn dĩ pháp luật trở nên khơng phát huy đƣợc vai trị mang tính xử sự chung nhằm bảo vệ đƣợc quyền lợi của chính bản thân mình. Nhìn lại lĩnh vực thƣơng mại điện tử, sự tiện ích càng nhiều, giảm thiểu đƣợc chi phí giao dịch càng lớn thông qua những ứng dụng công nghệ hiện đại thì những rủi ro về quyền riêng tƣ, về thông tin cá nhân và những bất lợi bản thân ngƣời tiêu dùng, khách hàng gánh phải cũng gia tăng theo tƣơng ứng với những sự thuận lợi đó. Do vậy, với vai trò chung của pháp luật là cân bằng lợi ích, những biện pháp nhƣ thế nào nhằm bảo vệ đƣợc bên yếu thế trong việc bảo mật thơng tin trƣớc làn sóng xâm phạm từ các bên khác nhau nhƣ hiện nay là điều đang cần xem xét đến.
Pháp luật dân sự hiện hành không quy định trực tiếp về quyền riêng tƣ và bảo đảm thực hiện đối với những quyền riêng tƣ đó. Tuy vậy, với vai trị là pháp luật nền tảng thì cũng tồn tại quy định liên quan về quyền đối với thông tin cá nhân nhƣ tại Điều 38 BLDS 2015 quy định: “Đời sống riêng tư, bí mật cá nhân là bất khả xâm
phạm và được pháp luật bảo vệ; Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý; Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác”. Điều 46.2 Luật GDĐT 2005 quy định: “Cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thơng tin về bí mật đời tư hoặc thơng tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm sốt được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác”. Điều 6 Luật BVQLNTD 2010 quy định: “Người tiêu dùng được bảo đảm an tồn, bí mật thơng tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu; Sử dụng thông tin phù hợp với mục đích đã thơng báo với người tiêu dùng và phải được người tiêu dùng đồng ý; Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác”. Và Điều 4.4 Nghị định 52/2013/NĐ-CP quy định: “Cấm sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan, trừ trường hợp pháp luật có quy định khác”. Tồn tại khơng ít những quy phạm thực
định hiện hành trong những văn bản quy phạm khác nhau nhằm điều chỉnh hành vi của bên nắm giữ thông tin của khách hàng, ngƣời tiêu dùng dƣới dạng những quy phạm cấm. Tuy nhiên, việc chi tiết hoá những hành vi có liên quan trong q trình khai thác, sử dụng thông tin từ doanh nghiệp, tổ chức vẫn chƣa đƣợc pháp luật Việt Nam làm rõ nhằm bảo vệ quyền riêng tƣ về thông tin của khách hàng và ngƣời tiêu dùng. Chẳng hạn, một trƣờng hợp thực tế là những thông tin của khách hàng đƣợc doanh nghiệp xử lý sau khi thu thập, và việc xử lý thông tin nhằm đáp ứng đƣợc
mục tiêu hoạt động của doanh nghiệp thì vấn đề đƣợc đặt ra trong trƣờng hợp này là những dữ liệu thông tin thuộc về ai? Cá nhân những khách hàng, ngƣời tiêu dùng liên quan đến những thơng tin về nhân thân của chính bản thân mình có đƣợc những quyền năng gì từ thơng tin đã qua xử lý doanh nghiệp và những vấn đề khác có liên quan chƣa đƣợc pháp luật hiện hành làm rõ. Đó là một trong số những vấn đề có liên quan đến việc chi tiết hoá quyền riêng tƣ mà pháp luật Việt Nam cần phải thực hiện nhằm tạo ra một không gian thƣơng mại điện tử lành mạnh. Ngoài những quy phạm nội dung điều chỉnh hành vi của chủ thể nắm giữ thơng tin thì cũng tồn tại một số chế tài có liên quan đến việc cung cấp, khai thác, tiết lộ hoặc mua bán thông tin của khách hàng, ngƣời tiêu dùng khi có những hành vi vi phạm diễn ra. Chẳng hạn nhƣ, tại Nghị định 124/2015/NĐ-CP sửa đổi bổ sung Nghị định 185/2013/NĐ-CP quy định: “Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối hành vi: Đánh cắp, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan”. Và nhƣ đã phân tích ở những phần trên về góc độ chi phí giao dịch, một hệ
thống những quy định chế tài chƣa đủ sức răn đen và mức chế tài thấp hơn chi phí giao dịch trong giao lƣu thƣơng mại trên thực tế khiến hành vi vi phạm ngày càng diễn ra một cách phổ biến.
Nhận thấy đƣợc tầm quan trọng của việc bảo vệ quyền riêng tƣ đối với những thông tin cá nhân mà gần đây Liên minh châu Âu (EU) vừa thông qua Quy chế chung về bảo vệ dữ liệu (EU General Data Protection Regulation – GDPR), có hiệu lực thi hành từ tháng 05/2018 nhằm điều chỉnh những vấn đề có liên quan đến việc bảo vệ quyền riêng tƣ trong lĩnh vực không gian mạng, kể cả trong lĩnh vực thƣơng mại điện tử nói riêng. Và trong mối tƣơng quan với pháp luật Việt Nam, GDPR đƣợc xem nhƣ một khuôn mẫu pháp luật chung nhằm bảo vệ quyền riêng tƣ đƣợc áp dụng chung cho 28 quốc gia thành viên. Do vậy, việc xem xét trong mối quan hệ so sánh, đối chiếu cũng góp phần đƣa ra những góc nhìn hồn thiện pháp luật nƣớc ta hiện nay.
Thứ nhất, pháp luật dân sự hiện nay quy định về quyền đối với đời sống riêng tƣ và khẳng định pháp luật dân sự thừa nhận và bảo vệ quyền năng đó đối với chủ thể pháp luật dân sự. Tuy vậy, để giải thích thế nào về quyền đối với đời sống riêng tƣ bao gồm những nội dung nhƣ thế nào đều chƣa đƣợc làm rõ theo những quy định pháp luật trong nƣớc hiện hành có liên quan. Chẳng hạn, mã số căn cƣớc công dân hoặc mã số thuế cá nhân có đƣợc xem là một trong những nội dung quyền đối với đời sống riêng tƣ của cá nhân? Và nếu đã xem những thơng tin đó thuộc quyền đối với đời sống riêng tƣ cá nhân theo quy định của pháp luật dân sự thì việc bảo vệ cũng nhƣ những quy định về khai thác và sử dụng chúng đƣợc thực hiện nhƣ thế nào nếu có sự tƣơng tác và nắm giữa thơng tin từ tổ chức, doanh nghiệp trong quá trình giao lƣu thƣơng mại? Có thể thấy, GDPR đƣa ra khái niệm thế nào là thông tin cá nhân và dẫn giải về những nội dung cụ thể đối với dữ liệu cá nhân đó. Theo đó, Điều 4 GDPR định nghĩa: “Dữ liệu cá nhân bao gồm bất kỳ thông tin liên quan nào được
xác định hoặc nhằm xác định một tư cách cá nhân”65. Bên cạnh đó, Điều 4 và Điều 9 của GDPR cũng đƣa ra một danh sách những nội dung đƣợc xem là dữ liệu cá nhân, bao gồm: Họ và tên, mã số định danh, địa chỉ, dữ liệu trực tuyến, truy cập, một hoặc nhiều nhân tố nhằm xác định bản sắc vật lý, sinh lý, di truyền, kinh tế, văn hoá, xã hội đƣợc xác định đối với chủ thể đó. Và chính cách định nghĩa cũng nhƣ dẫn giải về dữ liệu cá nhân của GDPR là khá phù hợp với thực tế. Bởi những thành tố đƣợc xác định là dữ liệu cá nhân mà GDPR dẫn giải chính là những nguồn thơng tin quan trọng của một cá nhân trong chuỗi những hoạt động cơng nghệ số nói chung cũng nhƣ trong giao lƣu thƣơng mại điện tử nói riêng. Mà chính cách đề ra những nội dung này tạo điều kiện thuận lợi cho các chủ thể nhận thức đƣợc đúng và đủ về bản chất những thành tố nào đƣợc xem là dữ liệu cá nhân và từ đó có những hành động phù hợp nhằm bảo vệ những thơng tin đó.
Thứ hai, việc cụ thể hố những quyền năng liên quan đến bảo vệ quyền riêng tƣ của cá nhân. Theo đó, pháp luật Việt Nam cũng dành những điều khoản trong
65 “Personal data” means any information relating to an identified or identifiable natural
những văn bản quy phạm khác nhau nhằm điều chỉnh việc bảo vệ thông tin cá nhân. Bao gồm những quy phạm cấm tiết lộ, cung cấp, lƣu giữ, sử dụng, thu thập, bán hoặc chuyển nhƣợng những thông tin của khách hàng, ngƣời tiêu dùng mà mình có đƣợc. Tuy vậy, trong quá trình khai thác, sử dụng cũng nhƣ trong giao dịch thƣơng mại lại phát sinh nhiều vấn đề có liên quan khác mà pháp luật Việt Nam vẫn chƣa có sự dự liệu. Chẳng hạn, quyền đƣợc biết những thơng tin mình đƣợc khai thác và sử dụng ra sao, mục đích của việc khai thác và xử lý thông tin cá nhân đƣợc dùng cho những mục đích nhƣ thế nào; hoặc sau khoảng thời gian bao lâu thì doanh nghiệp phải xố bỏ những thơng tin có liên quan đến cá nhân? Và đây cũng là những quyền năng liên quan đến dữ liệu cá nhân đƣợc đánh giá khá phù hợp với thực tiễn đƣợc Liên minh châu Âu áp dụng nhằm buộc doanh nghiệp, tổ chức nắm giữ thông tin phải thực hiện nhƣ một nghĩa vụ nhằm đảm bảo lợi ích của cá nhân cũng nhƣ tôn trọng những quyền năng mà họ đƣợc pháp luật thừa nhận. Không dừng lại ở đó, chúng ta có thể tìm thấy một số quyền năng khác nhƣ: Quyền đƣợc thông tin (Right to be Informed – Điều 13 GDPR); Quyền đƣợc truy cập (Right of access by the data subject – Điều 15 GDPR); Quyền lãng quên (Right to erasure, „right to be forgotten‟ – Điều 17 GDPR); Quyền đƣợc phản đối (Right to object – Điều 21 GDPR); Quyền đƣợc cải chính (Right to Rectification – Điều 16 GDPR) và những quyền năng khác có liên quan đến dữ liệu cá nhân đã đƣợc Luật khung cụ thể hoá nhằm bảo vệ thông tin chủ thể khi tham gia vào những chuỗi hoạt động điện tử trực tuyến. Nhìn một cách tổng quát, những quyền năng mà GDPR có đặc điểm chung là tạo điều kiện cho những cá nhân có quyền kiểm tra, đƣợc biết về thơng tin cá nhân mình sử dụng nhƣ thế nào hoặc các quyền yêu cầu chấm dứt việc khai thác, sử dụng hoặc xố bỏ những thơng tin mà chính doanh nghiệp đã thu thập đƣợc.
Quay trở lại với lĩnh vực thƣơng mại điện tử, khi khách hàng, ngƣời tiêu dùng cung cấp những thông tin cá nhân có liên quan nhằm tiến hành giao kết một hợp đồng thƣơng mại điện tử. Vấn đề trách nhiệm của những doanh nghiệp bán hàng, cung ứng dịch vụ trong trƣờng hợp này đƣợc áp dụng tƣơng tự với những quyền năng mà GDPR đề cập ở trên. Theo đó, ngƣời tiêu dùng hoặc khách hàng đƣợc
quyền yêu cầu tổ chức, doanh nghiệp cung cấp những thơng tin có liên quan về cách thức thu thập dữ liệu, việc sử dụng dữ liệu cá nhân vào mục đích gì, và doanh nghiệp có trách nhiệm cung cấp trong vịng 72 giờ theo quy định của GDPR. Không dừng lại ở đó, ngƣời tiêu dùng còn những quyền năng khác nhƣ yêu cầu doanh nghiệp cải chính, đính chính thơng tin sai sót; hoặc quyền yêu cầu xoá bỏ (quyền lãng quên) khi chính những ngƣời tiêu dùng không muốn doanh nghiệp sử dụng thơng tin của bản thân mình nữa. Những điều khoản pháp lý dài và khó hiểu trong trƣờng hợp bên cung ứng dịch vụ, bán hàng soạn sẵn nhằm buộc ngƣời tiêu dùng mặc nhiên đồng ý với những điều khoản đƣợc sử dụng thông tin cá nhân đều vô hiệu và không đƣợc xem xét đến. Pháp luật EU đã có những động thái mạnh mẽ nhằm