3. Cơ sở lý thuyết của luận án
2.2. Thực trạng pháp luật Việt Nam về trách nhiệm của tổ chức, cá nhân kinh
2.2.1. Trách nhiệm bảo vệ thông tin của người tiêu dùng
Khi tiến hành giao dịch điện tử với tổ chức, cá nhân kinh doanh, do đặc thù của phương thức giao dịch này là các bên trong giao dịch không tiếp xúc trực tiếp với nhau nên NTD thường phải cung cấp các thơng tin cá nhân để có thể tiến hành giao dịch mua bán, thanh toán và nhận hàng. Những thơng tin mà NTD cung cấp có thể là các thơng tin về nhân thân, số điện thoại, địa chỉ nhà, tài khoản ngân hàng… mà nếu bị đánh cắp, bị lợi dụng thì những thơng tin này sẽ gây bất lợi cho NTD cả về tinh thần cũng như vật chất. Bên cạnh đó, nhiều cơng nghệ hiện đại như định vị toàn cầu GPS, phần mềm gián điệp mà doanh nghiệp sử dụng sẽ dễ dàng thu thập được những thông tin này và sử dụng nó cho các mục đích khác nhau, xâm phạm tới quyền và lợi ích hợp pháp của NTD. Trách nhiệm của tổ chức, cá nhân kinh doanh về bảo vệ thông tin của NTD khi NTD tiến hành giao dịch điện tử với mình được quy định rải rác ở nhiều văn bản pháp luật khác nhau. Điều 46 Luật Giao dịch điện tử năm 2005 về bảo mật thông tin trong giao dịch điện tử quy định: “Cơ quan, tổ chức, cá nhân không
được sử dụng, cung cấp hoặc tiết lộ thơng tin về bí mật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm sốt được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác”. Tương tự như vậy, Luật Công nghệ thông tin năm 2006
cũng quy định về trách nhiệm đối với việc thu thập, xử lý, lưu trữ thông tin cá nhân của người khác trên môi trường mạng ở Điều 21, 2246. Thêm vào đó, Luật
An tồn thơng tin mạng coi hành vi "thu thập, sử dụng, phát tán, kinh doanh
46 Lại Việt Anh (2010), Bảo vệ quyền lợi NTD trong TMĐT ở Việt Nam, Hội thảo Pháp ngữ
trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân" là một trong các hành vi bị nghiêm cấm tại Điều 7, đồng thời đề ra những quy định cụ thể khi thu thập, sử dụng, cập nhật hay huỷ bỏ thông tin cá nhân trên mạng tại mục 2 Chương II của Luật này.
Hiện nay, trách nhiệm bảo vệ thông tin của tổ chức, cá nhân kinh doanh
đối với NTD được quy định tại khoản 2 Điều 6 Luật BVQLNTD năm 2010.
Theo đó, trường hợp thu thập, sử dụng, chuyển giao thơng tin của NTD thì tổ
chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm sau:
- Thông báo rõ ràng, công khai trước khi thực hiện với NTD về mục đích hoạt động thu thập, sử dụng thông tin của NTD. Việc này yêu cầu tổ chức, cá nhân kinh doanh phải tiến hành thông báo cho NTD trước khi tiến hành thu thập hay sử dụng thông tin của họ. Đây là yêu cầu cần thiết đảm bảo cho quyền bí mật đời tư được quy định trong Bộ luật dân sự, NTD có quyền đồng ý hoặc khơng đồng ý cho phép thương nhân được thu thập những thông tin như tên, tuổi, địa chỉ của mình khi tiến hành giao dịch.
- Sử dụng thơng tin phù hợp với mục đích đã thơng báo với NTD và phải được NTD đồng ý. Nếu NTD đồng ý cung cấp thông tin cho tổ chức, cá nhân kinh doanh thì tổ chức, cá nhân kinh doanh có trách nhiệm phải sử dụng những thông tin này đúng như đã thông báo với NTD, khơng được sử dụng cho mục đích khác như mua bán, chuyển nhượng cho bên thứ ba.
- Bảo đảm an tồn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của NTD. Khi tổ chức, cá nhân kinh doanh tiến hành việc lưu trữ thông tin của NTD để sử dụng hay chuyển giao thì họ phải có những biện pháp bảo mật nhằm tránh việc để lộ những thông tin cá nhân của NTD ra bên ngồi, ảnh hưởng tới lợi ích của NTD. Ngồi ra, tổ chức, cá nhân kinh doanh phải đảm bảo thu thập thơng tin chính xác và đầy đủ về NTD, tránh việc sai lệch thông tin dẫn đến hậu quả về mặt vật chất hay tinh thần cho NTD.
- Tự mình hoặc có biện pháp để NTD cập nhật, điều chỉnh thông tin khi phát hiện thấy thơng tin đó khơng chính xác. Đây là một trách nhiệm quan trọng của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của NTD, tuy nhiên trên thực tế thường hay bị thương nhân bỏ qua. Việc cho phép NTD sửa chửa kịp thời các sai sót về mặt thơng tin vừa có lợi cho tổ chức, cá nhân kinh doanh trong việc chăm sóc khách hàng, vừa có lợi cho NTD tránh khỏi những thiệt hại khơng đáng có do thơng tin sai sót gây nên, ví dụ như việc giao hàngsai địa chỉ, trừ tiền nhầm tài khoản…
- Chỉ được chuyển giao thông tin của NTD cho bên thứ ba khi có sự đồng ý của NTD, trừ trường hợp pháp luật có quy định khác.Quy định này đảm bảo cho thông tin của NTD không bị lợi dụng như một mặt hàng có thể mua bán, trao đổi để kiếm lợi nhuận cho tổ chức, cá nhân kinh doanh. NTD thường chỉ đồng ý cung cấp thơng tin của mình khi việc làm này là cần thiết cho việc thực hiện giao dịch với tổ chức, cá nhân kinh doanh và họ muốn thông tin này phải được đảm bảo bởi tổ chức, cá nhân kinh doanh đó. Nếu những thơng tin này bị chuyển giao cho bên thứ ba sẽ kéo theo rất nhiều phiền toái cho NTD như việc bị gọi điện chào hàng, nhận những tin nhắn rác… Vì vậy, trách nhiệm của tổ chức, cá nhân kinh doanh là phải đảm bảo bí mật thơng tin của NTD, nếu NTD chưa đồng ý thì khơng được phép chuyển giao những thơng tin này cho bên thứ ba.
Bên cạnh đó, NĐ 52/2013/NĐ-CP của Chính Phủ về TMĐT đã dành hẳn
Mục 1 Chương 5 với 6 Điều47 để quy định về bảo vệ thơng tin cá nhân NTD trong TMĐT, ngồi các quy định khá quen thuộc như Sử dụng thông tin cá nhân, Bảo đảm an tồn thơng tin cá nhân, Kiểm tra, cập nhật và sửa đổi thông tin cá nhân,.. thì điểm đặc biệt đó là quy định về việc trách nhiệm bảo vệ thông tin cá nhân của NTD sẽ thuộc về chủ thể nào48, kể cả trong trường hợp đã uỷ
47 TừĐiều 68 đến Điều 72
48Điều 68 quy định trách nhiệm này thuộc về thương nhân, tổ chức, cá nhân thực hiện việc thu thập thông tin cá nhân của NTD.
quyền cho bên thứ ba xử lý thông tin49. Quy định trong Nghị định này khá đầy đủ và cụ thể tuy nhiên lại chỉ giành riêng cho thông tin cá nhân của NTD khi giao dịch trên các trang TMĐT mà thôi.
Trong báo cáo về thực trạng công tác bảo vệ dữ liệu cá nhân năm 2019, Bộ Cơng an cho biết qua rà sốt sơ bộ đã phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng. Các đối tượng này bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo
dục, y tế, chứng khốn, bệnh viện...
Theo Bộ Cơng an, các gói dữ liệu thơ được rao bán liên quan tới nhiều lĩnh vực: danh sách cán bộ, danh sách nội bộ (thậm chí bao gồm cả các đơn vị cơng an, quốc phịng, thuế...); điện lực; th bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ)...50
Mớiđây, thông tin về mộtvụ việc rao bán dữ liệu cá nhân gây chấn động dư luận xuất hiện từ ngày 13/5/2021, trên diễn đàn "R***forums" - một trang web thường diễn ra các giao dịch mua dữ liệu mà giới hacker (tin tặc) đánh cắp được. Kẻ rao bán tệp dữ liệu dung lượng 17GB chứa đựng thông tin cá nhân
của 9.667 người Việt. Trong bài viết, người này cho biết mình đang sở hữu một số lượng lớn dữ liệu KYC (Know Your Customer - dữ liệu để xác minh thông
49Khoản 2 Điều 68 quy định: “Nếu hợp đồng giữa hai bên không quy định rõ trách nhiệm của mỗi bên thì thương nhân, tổ chức, cá nhân hoạt động kinh doanh TMĐT chịu trách nhiệm."
50 Báo Tuổi trẻ online, Trắng trợn rao bán thông tin cá nhân, nguồn: https://congnghe.tuoitre.vn/trang-tron-rao-ban-thong-tin-ca-nhan-20200601075612973.htm ngày truy cập 10/12/2021.
tin người dùng), bao gồm 5 tập hợp file dữ liệu khác nhau, trong số đó có 1 tệp tin dung lượng 1,4 GB chứa thơng tin của 3,6 nghìn người, bao gồm họ tên, ngày sinh, ảnh đại diện, địa chỉ, hộ khẩu, email, số điện thoại, số CMND, CCCD, ảnh chụp CMND, CCCD mặt sau và mặt trước51.
Việc thơng tin cá nhân của NTD bị rao bán có thể gây ảnh hưởng lớn tới tài sản, sức khoẻ, tinh thần, danh dự của NTD, và quan trọng những thông tin đó bị lọt ra bằng cách nào và từ đâu, đồng thời trách nhiệm của các bên liên quan tới việcbảo mật thông tin của NTD cấp thiết phải được các cơ quan thực thi pháp luật kiểm tra, xử lý để tránh những trường hợpđáng lo ngại như trên.
Pháp luật Việt Nam chỉ quy định tổ chức, cá nhân kinh doanh có trách nhiệm gì khi tiến hành thu thập, sử dụng hay chuyển giao thông tin của NTD mà không quy định nguyên tắc cơ bản của việc thu thập, sử dụng thông tin của NTD phải là cần thiết để có thể thực hiện được hợp đồng giữa NTD với tổ chức, cá nhân kinh doanh và một khi mục đích sử dụng thơng tin đã hồn thành, ví dụ như hợp đồng đã hồn tất thì thơng tin của NTD phải được xóa ngay lập tức. Điều này dẫn đến việc các doanh nghiệp tiến hành thu thập thông tin của NTD một cách thiếu chọn lọc, khơng cần thiết và sau đó lưu trữ lại, không sử dụng khiến cho những dữ liệu này dễ dàng bị lọt ra ngồi vì khơng được doanh nghiệp quan tâm bảo mật.