2.2.2.1. Các website thương mại điện tử Việt Nam
Theo Sách trắng thương mại điện tử Việt Nam 2021( được xây dựng từ nguồn điều tra thống kê chính thức năm 2020 của Bộ Công Thương với mẫu của hơn 8.000 doanh nghiệp và 1.000 người tiêu dùng trong cả nước ) thì trong số các website bị phản ánh vi phạm liên quan đến các hoạt động thương mại điện tử được đăng trên cổng thơng tin online.gov.vn thì tỉ lệ website vi phạm với lỗi ‘ lừa đảo trong thanh toán ‘ chiếm 3.2%.
Con số 3.2% hầu như là trường hợp của các website TMĐT khơng có uy tín, ít người dùng. Ngày nay, khách hàng tiêu dùng rất thông minh, họ sẽ chỉ lựa chọn các website TMĐT có bảo mật tốt nên các website vi phạm lỗi lừa đảo thanh toán sẽ tự động bị đào thải ra khỏi thị trường.
Dưới đây là một số case study để phân tích về thực trạng thực thi pháp luật của 1 số website thương mại điện tử hiện nay:
a. Tiki
Tiki đã thực hiện đầy đủ trách nhiệm được quy định trong khoản 3 điều 74 Nghị định số 52/NĐ CP về việc cơng bố trên website về chính sách bảo mật- thơng tin thanh tốn cho khách hàng.
Ngoài ra Tiki cũng đã thực hiện đầy đủ trách nghiệm của mình được quy định đầy đủ
tại khoản 1 điều 74 Nghị định số 52/NĐ CP về việc đảm bảo an toàn, bảo mật giao dịch -
thanh toán của khách hàng. Trang thương mại điện tử này cam kết bảo mật 100% thơng tin thanh tốn và không sử dụng thông tin thẻ ngân hàng của khách hàng mà chỉ lưu
chuỗi đã được mã hóa. Điểm đáng chú ý là việc Tiki khơng trực tiếp lưu trữ thơng tin thẻ thanh tốn của khách hàng mà chỉ lưu trữ chuỗi dữ liệu được mã hóa từ các thơng tin này do phía đối tác thanh toán, đối tác trung gian thanh toán cung cấp cịn bản thân các thơng tin thì do đối tác thanh tốn, đối tác trung gian thanh tốn của Tiki thực hiện lưu trữ. Chính sách bảo mật của Tiki :
b. Thegioididong
Tương tự như với Tiki, Thegioididong cũng thực hiện đầy đủ trách nhiệm được quy định tại khoản 1,3 điều 74 Nghị định số 52/NĐ CP. Điều khoản liên quan đến đảm bảo -
Có thể thấy thegioididong có cách thức đảm bảo an tồn thanh tốn tương đối giống Tiki khi khơng trực tiếp lưu trữ thông tin thẻ của khách hàng mà việc này do đối tác cung cấp dịch vụ thanh toán, đối tác cung cấp dịch vụ trung gian thanh toán liên kết với họ là doanh nghiệp cung cấp dịch vụ ví điện tử, bên ngân hàng thực hiện. Điều này giảm thiểu rất nhiều rủi ro liên quan đến việc lộ thông tin thẻ.
Cuối năm 2018, xuất hiện tràn lan trên mặt báo cho rằng Thế giới di động làm lộ thơng tin thanh tốn của khách hàng?
Vào trưa 7-11-2018, cộng đồng mạng tại Việt Nam xôn xao khi trên diễn đàn Raid Forums xuất hiện đường link tải về danh sách được cho là thông tin của 5,4 triệu email
khách hàng Thế Giới Di Động và 61.000 địa chỉ email của nhân viên Thế Giới Di Động.
Tiếp đó, hacker cịn tung lên đường link tải về danh sách được cho là bản ghi lịch sử của 31.248 giao dịch của các khách hàng tại Thế Giới Di Động, Điện Máy Xanh trong
đó có thơng tin về mã số thẻ thanh toán.... Ngay sau khi nhận được phản ánh từ khách
hàng, TGDĐ đã trực tiếp làm việc với các đơn vị chức năng của Bộ thông tin và truyền
thơng để kiểm tra , rà sốt lại hệ thống của mình. Sau đó, thế giới di động đã có tun bố chính thức về vụ việc này trên trang chủ của mình :
“ Chúng tơi đã kiểm tra các thông tin được phản ánh và khẳng định hệ thống Công nghệ thơng tin của Thế Giới Di Động vẫn an tồn, hoạt động bình thường và khơng hề bị ảnh hưởng. Mọi thông tin của khách hàng vẫn được bảo mật và khách hàng không cần phải lo lắng cũng như có bất kỳ hành động nào liên quan đến thơng tin thất thiệt này. Liên quan đến các thông tin thẻ của khách hàng (số thẻ, ngày hết hạn, ngày giờ mua hàng…) bị lộ, chúng tôi không lưu trữ những thông tin này của khách hàng nên khơng thể có việc những thơng tin này bị lộ từ hệ thống của Thế Giới Di Động.
Khi khách hàng mua hàng và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách và là
máy của ngân hàng. Như vậy bản chất là ngân hàng đang đọc thẻ của khách và chuyển dữ liệu về ngân hàng, hệ thống của Thế Giới Di Động khơng can thiệp vào q trình này cũng như khơng được phép lưu trữ bất cứ thông tin nào của khách hàng.
Cũng tương tự nếu khách hàng thanh toán online qua trang web, khi thanh toán sẽ nhảy sang cổng thanh toán của một bên thứ ba, nên trang web Thế Giới Di Động không thể lưu các thông tin của khách. Như vậy, việc hacker tuyên bố đã hack vào hệ thống Thế Giới Di Động để lấy một thông tin mà công ty không lưu trữ là một điều khơng có thực. Ngồi ra, một số thơng tin cho rằng có email chính xác của họ ở trong số thông tin bị lộ, Thế Giới Di Động khẳng định các email này không xuất phát từ nguồn của Thế Giới Di Động. Hacker có thể thu thập email từ nguồn khác ở trên mạng và gán cho Thế Giới Di Động!".
Sau quá trình phối hợp và làm việc Cục An tồn Thơng tin (Bộ TT&TT) khẳng định ,
Thế Giới Di Động không bị tin tặc tấn công. Ngày 10/11/2018, báo VnExpresstiếp tục dẫn lại thông tin từ Ngân hàng Nhà nước, cho biết "Chưa có khách nào của Thế Giới
Di Động bị lộ thơng tin thẻ". Qua đó, có thể thấy lỗi trong trường hợp này không thuộc
về Thế giới di động. Tuy nhiên tại thời điểm đó thì Thế giới Di động vẫn bị mất thương hiệu, uy tín, niềm tin của khách hàng và đã dẫn đến việc giá trị cổ phiếu của công ty
này sụt giảm mạnh. Vụ việc này một lần nữa là hồi chuông cảnh báo cho các doanh
hoảng từ trên trời rơi xuống. Nếu khơng có các phương án bảo mật và bảo vệ dữ liệu khách hàng thì bất kỳ lúc nào, tai bay vạ gió cũng có thể rơi vào đầu doanh nghiệp.
c. Sendo
- Chính sách bảo mật trong thanh tốn của Sendo :
Theo đó, tiền thanh tốn sẽ chỉ được chuyển cho nhà bán hàng sau khi bạn xác nhận đã nhận được hàng. Thanh toán đảm bảo giúp cho việc giao dịch được thực hiện nhanh chóng, an tồn và dễ dàng hơn.
- Những tính năng quan trọng của thanh tốn đảm bảo:
● Thanh tốn an tồn với hệ thống bảo mật VeriSign.
● Theo dõi được việc giao nhận hàng.
● Tiền chỉ được chuyển cho nhà bán hàng sau khi bạn xác nhận đã nhận được hàng.
- Bảo mật thơng tin thanh tốn: Thơng tin thẻ tín dụng của khách hàng sẽ được Sendo lưu giữ an tồn nhờ việc sử dụng cơng nghệ bảo mật Chứng thư số (SSL) để mã hóa tất cả dữ liệu cá nhân được gửi qua Internet từ thiết bị điện tử của khách hàng. Mọi
thông tin cá nhân đều được bảo vệ an toàn bởi tường lửa.
2.2.2.2. Trung gian thanh tốn ( ví điện tử Momo)
Momo hiện đang cung cấp dịch vụ trung gian thanh toán cho các website Thương mại
điện tử hàng đầu Việt Nam như Lazada, Tiki,...
Về thực thi pháp luật, Momo đã thực hiện đúng trách nhiệm của tổ chức cung cấp dịch vụ trung gian thanh toán cho website thương mại điện tử được quy định tại Điều 75 Nghị định 52/2013/NĐ CP: “Tuân thủ các quy định, tiêu chuẩn kỹ thuật về dịch vụ - trung gian thanh toán do NHNN ban hành”.
Ví MoMo đã và đang đáp ứng những bộ tiêu chuẩn khắt khe nhất trong ngành Tài chính Ngân hàng quốc tế, đồng thời các hoạt động của Ví MoMo được giám sát bởi đơn vị chủ quản là Ngân hàng Nhà nước Việt Nam.
Đối với Momo, đơn vị này áp dụng chứng chỉ bảo mật quốc tế PCI DSS chứng nhận -
của ngành tài chính - ngân hàng quốc tế, bảo mật đường truyền Internet theo tiêu chuẩn SSL/TLS. Các ví điện tử hiện nay như MoMo sử dụng cơng nghệ Tokenization- mã hóa số thẻ quốc tế: là một quy trình bảo mật tự động mã hóa số thẻ của khách hàng thành Token (những dãy ký tự đặc biệt). Thay vì lưu trữ số thẻ thì hệ thống chỉ lưu trữ các Token trong các giao dịch sau này. Nếu xảy ra lỗ hổng dữ liệu, kẻ gian sẽ không thể truy cập được vào dữ liệu thẻ thật sự, bởi những mã Token được lưu trong hệ thống sẽ khơng có giá trị đối với tất cả mọi người ngoại trừ đơn vị thanh tốn hợp pháp.
Hình ảnh tại dienmayxanh.com
Như vậy, thanh tốn trên Momo an tồn bảo mật tuyệt đối, tính đến thời điểm hiện tại
chưa có vụ việc nào khẳng định việc rị rỉ thơng tin khách hàng xảy ra trong quá trình thanh toán là thuộc về trách nhiệm hay lỗi hệ thống của Momo .
Nói về các trường hợp lừa đảo, chiếm dụng tiền thành cơng của khách hàng sử dụng ví Momo phần lớn đều do sự cả tin, vơ ý, chưa tìm hiểu về các chiêu trị lừa đảo cơng nghệ cao hoặc đánh vào lịng tham của người dùng. Các trường hợp đó xảy ra là do khách hàng bị lừa và tự cung cấp cho kẻ gian mật khẩu truy cập, mã OTP và các thông tin cá nhân khác. Bảo mật cho người sử dụng ví thường sẽ đến từ 2 phía: trách nhiệm của đơn vị cung cấp sản phẩm – dịch vụ là xây dựng hệ thống an toàn và bảo mật; trách nhiệm của người dùng là thực hiện đầy đủ các khuyến nghị (bảo vệ thông tin các nhân, tuân thủ các điều khoản sử dụng…) để giảm thiểu tối đa rủi ro cho chính mình. Trên thực tế, ví MoMo đã thường xuyên và liên tục khuyến cáo người dùng không bao giờ cung cấp mật khẩu và mã OTP cho bất kỳ ai, cũng như cả ví và nhân viên cơng ty không bao giờ
yêu cầu người dùng cung cấp mật khẩu và mã OTP qua bất kỳ hình thức nào như gọi điện thoại, chat, yêu cầu nhập vào link google doc hay yêu cầu gửi ảnh… Bất kỳ ai yêu cầu cung cấp 2 thông tin này chắc chắn là lừa đảo.
Tuy nhiên với những trường hợp đó, Momo cam kết sẽ phối hợp chặt chẽ khi có yêu
cầu từ cơ quan chức năng để người dùng nhanh chóng lấy lại được tài sản.
2.2.3. Về phía nhà nước
- Về mặt chính sách
Các nhà quản lý đã và đang có những chính sách thúc đẩy thanh tốn trực tuyến phù hợp. Cụ thể, giai đoạn 2016 - 2020, để khuyến khích người dân sử dụng hình thức thanh
tốn khơng dùng tiền mặt, Chính phủ ban hành Quyết định số 2545/QĐ TTg với mục -
tiêu đến năm 2020 lắp đặt trên 300.000 thiết bị chấp nhận thẻ POS (Point of Sale) với khoảng 200 triệu giao dịch/năm tồn thị trường; cá nhân, hộ gia đình ở các thành phố lớn sử dụng hình thức thanh tốn khơng dùng tiền mặt trong sinh hoạt hằng ngày đạt mức 50%; tỷ lệ người dân trên 15 tuổi có tài khoản ngân hàng đạt mức thấp nhất 70% vào cuối năm 2020.
Đưa ra các văn bản luật quy định cụ thể về thanh toán không dùng tiền mặt thông qua
Nghị định số 101/2012/NĐ-CP và điều 74, 75 Nghị định số 52/2013/NĐ CP quy định -
về trách nhiệm của thương nhân, tổ chức , cá nhân sở hữu website thương mại điện tử có chức năng thanh tốn trực tuyến hoặc cung cấp dịch vụ trung gian thanh toán cho website thương mại điện tử. Ngồi ra cịn có quy định hướng dẫn về dịch vụ trung gian
thanh tốn thơng qua Thơng tư số 39/2014/TT NHNN. Bên cạnh đó, quy định tổng hạn -
mức giao dịch của một ví cá nhân bao gồm giao dịch chuyển tiền giữa các ví và giao dịch thanh tốn cho các hàng hóa, dịch vụ hợp pháp tối đa là 20 triệu đồng/ngày, 100 triệu đồng/tháng. Tổng hạn mức giao dịch của một ví của tổ chức tối đa là 100 triệu đồng/ngày và 500 triệu đồng/tháng.
- Về phía ngân hàng nhà nước
Ngân hàng Nhà nước với vai trò quản lý nhà nước trong ngành ngân hàng luôn chỉ đạo sát sao việc bảo đảm an ninh, an toàn hệ thống thơng tin trong tồn ngành. Trên cơ sở các quy định của Nhà nước, Ngân hàng Nhà nước đã ban hành nhiều văn bản quy phạm
pháp luật về đảm bảo an tồn hoạt động cơng nghệ thơng tin trong ngành tiệm cận với các chuẩn mực quốc tế về an tồn thơng tin như ISO 27001, PCI DSS…
Bên cạnh đó, Ngân hàng Nhà nước cịn là đầu mối thường xuyên tiếp nhận các cảnh
báo về lỗ hổng bảo mật, nguy cơ mất an tồn của hệ thống cơng nghệ thơng tin từ Bộ Công an, Bộ Quốc phịng, Bộ Thơng tin và Truyền thơng và các tập đồn, cơng ty cơng nghệ thông tin đối tác, để cảnh báo, chỉ đạo các đơn vị trong tồn ngành kiểm tra, rà sốt và có giải pháp kịp thời phịng, tránh, khơng để xảy ra các hiện tượng mất an tồn. Đi đơi với việc ban hành các văn bản, hàng năm ngoài việc tổng hợp giám sát qua hệ thống báo cáo, Ngân hàng Nhà nước đều tổ chức các đoàn kiểm tra tại chỗ để phát hiện, khuyến nghị và chấn chỉnh kịp thời những tồn tại, hạn chế về an ninh, bảo mật của các tổ chức tín dụng, các tổ chức trung gian thanh toán.
2.3. Đánh giá thực trạng
2.3.1. Về quy định pháp luật
Hiện nay nhà nước đang tích cực trong q trình sửa đổi, bổ sung, hoàn thiện hành
lang pháp lý để đảm bảo an toàn cho người dân và doanh nghiệp khi tiến hành thanh toán trong giao dịch thương mại điện tử. Tuy nhiên, công nghệ ngày càng phát triển và các hình thức thanh tốn ngày càng đa dạng hơn,khơng chỉ ở Việt Nam mà trên thế giới, sự phát triển của công nghệ, fintech,... luôn đi trước hành lang pháp lý. Nên hệ thống pháp luật Việt Nam còn tương đối nhiều lỗ hổng chưa được giải quyết:
- Thiếu quy định pháp luật về bảo hộ thanh tốn khơng dùng tiền mặt.
Đối với Việt Nam, thanh tốn khơng dùng tiền mặt phổ biến, toàn diện là một mục tiêu hướng tới.Tuy nhiên, xét về khía cạnh pháp luật thì hành lang pháp lý chưa đạt được mức kiến thiết chạy kịp theo nền tảng cơng nghệ để thúc đẩy thanh tốn không dùng tiền mặt trở nên phổ biến hoàn tồn tại Việt Nam. Chúng ta đang có một hệ thống pháp luật về thanh tốn khơng dùng tiền mặt, nhưng mới chỉ dừng lại ở yếu tố thiết lập, hướng dẫn, quy trình, hành lang để triển khai nền tảng thanh tốn đó mà thiếu đi quy định pháp luật về bảo hộ thanh tốn khơng dùng tiền mặt.
- Hiện vẫn chưa có hành lang pháp lý đầy đủ và chính thức đối với hình thức thanh tốn qua ví điện tử.
Nói cách khác, chưa có chế tài hay bộ luật nào quy định về tính pháp lý của ví điện tử và những rủi ro cũng như đảm bảo sự an toàn đối với tài sản của người dùng mỗi khi có tranh chấp. Chính vì thế, trong q trình sử dụng, quyền lợi của người dùng sẽ không được bảo vệ khi rủi ro, gian lận xảy ra. Điều này một phần đã giải thích vì sao mặc dù tốc độ phát triển của thương mại điện tử tại Việt Nam khơng ngừng tăng lên nhưng ví điện tử vẫn chưa được nhiều người biết đến, sử dụng rộng rãi.
- Chưa có một văn bản pháp lý riêng quy định đầy đủ về quy trình cung ứng các dịch