FINANCIAL TECHNOLOGY AND OTHER RELATING ISSUES
4. Trách nhiệm pháp lý do vi phạm nghĩa vụ bảo mật thông tin của nhà cung ứng dịch
Lộ bí mật thông tin cá nhân khi thực hiện thanh toán bằng ví điện tử là nguy cơ có khả năng xảy ra trên thực tế khi tội phạm công nghệ ngày càng phổ biến. Vậy trong trường hợp này, trách nhiệm của chủ thể cung ứng dịch vụ thanh toán sẽ được xác định như thế nào khi họ là người đang quản lý thông tin của khách hàng, đồng thời họ phải có nghĩa vụ đảm bảo thông tin đó được bảo vệ.
Liên quan đến trách nhiệm pháp lý của các chủ thể khi vi phạm các quy định pháp luật về nghĩa vụ bảo mật thông tin được quy định rải rác với các hành vi cụ thể khác nhau. Điều 16 Nghị định 101/2012/NĐ-CP, các nhà làm luật chỉ quy định tổ chức cung ứng dịch vụ chịu trách nhiệm bồi thường thiệt hại do không thực hiện đúng nghĩa vụ của mình trong đó có nghĩa vụ bảo mật thông tin. Hay cụ thể theo Mục 4 của Nghị định 174/2013/ NĐ-CP về Quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện có liệt kê các hành vi vi phạm và mức phạt tương ứng nhưng cũng không có hành vi nào thể hiện được bản chất của hành vi làm rò rỉ thông tin khách hàng của các tổ chức cung ứng dịch vụ. Ngay cả Bộ Luật Hình sự 2015 cũng chỉ quy định về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông chứ cũng không có quy định về tội làm rò rỉ thông tin. Từ đó ta thấy rằng, vấn đề này chỉ mới được đề cập về trách nhiệm dân sự, chứ không được quy định với các loại trách nhiệm pháp lý khác như trách nhiệm hành chính hay hình sự.
Trách nhiệm dân sự được xem là một trách nhiệm pháp lý mang tính tài sản được áp dụng đối với người vi phạm nhằm bù đắp về tổn thất vật chất, tinh thần và sức khỏe của người bị hại. Đặc điểm của trách nhiệm dân sự là các tổn thất sẽ được đền bù bằng một giá trị vật chất tương ứng. Tuy nhiên, không như các trường hợp bồi thường về hợp đồng, sức khỏe hay tinh thần đều có mức bồi thường thiệt hại được quy định cụ thể trong các văn bản hướng dẫn thi hành và trong các văn bản pháp luật liên quan thì đối với bồi thường thiệt hại do rò rỉ thông tin khách hàng hiện nay chưa có điều luật cụ thể hay văn bản pháp nào quy định cụ thể về mức bồi thường.
Điều đó khiến cho việc xác định mức bồi thường khi có tranh chấp xảy ra sẽ rất khó khăn. Phía người bị thiệt hại và tổ chức có hành vi vi phạm sẽ có góc độ xác định thiệt hại khác nhau, do tâm lý người bị thiệt hại sẽ mong muốn mình được bồi thường đúng với tổn thất hoặc nhiều hơn, hay bên vi phạm cố gắng trốn tránh trách nhiệm mà đưa ra các thỏa thuận không phù hợp đối với mức độ thiệt hại. Hơn thế nữa, khi chưa có mức vi phạm cụ thể, hay trách nhiệm pháp lý chưa được xác định rõ ràng sẽ làm mất tính răn đe của pháp luật, cũng như tạo điều kiện và thời cơ thuận lợi cho các tổ chức cung ứng dịch vụ xem nhẹ vấn đề
bảo mật và tìm cách trốn tránh trách nhiệm của mình khi có hiện tượng rò rỉ thông tin của khách hàng xảy ra.
Đối với vấn đề này, Ủy ban châu Âu đã xây dựng Quy định chung về bảo vệ dữ liệu (General Data Protection Regulation, viết tắt là GDPR) để điều chỉnh vấn đề này trong khuôn khổ pháp luật. Sau khi GDPR ra đời, nhiều quốc gia trên thế giới đã dựa vào Quy định này mà lập ra các văn bản luật dùng để áp dụng tại quốc gia mình nhằm điều chỉnh những vấn đề này như: Luật số 2018-493 (FDPA) về bảo vệ dữ liệu cá nhân của Pháp, Luật Bảo vệ dữ liệu quốc gia mới (DPA) của Anh, Luật về Sự riêng tư của người tiêu dùng của bang California (CCPA) - Hoa Kỳ... Mục đích chính của GDPR là để bảo vệ thông tin riêng tư của người dùng khỏi hành vi sử dụng dữ liệu cá nhân trái phép của các công ty hoạt động trong khối Liên minh châu Âu (EU). Từ đây, khẳng định người sử dụng dịch vụ có các quyền lợi tiêu biểu như sau:
quyền được biết, quyền được chỉnh sửa thông tin, quyền được từ chối, quyền được truy vấn thông tin và quyền được lãng quên. Trong đó, những quyền lợi liên quan đến vấn đề rò rỉ thông tin khách hàng, không đảm bảo được tính bảo mật được quy định rõ ở quyền được biết và quyền được từ chối. Quyền được biết là khi công ty cung ứng dịch vụ muốn sử dụng thông tin của khách hàng với bất cứ mục đích gì đều phải thông báo đến người sử dụng dịch vụ về hành vi của họ. Quyền được từ chối có nghĩa là khi người dùng không muốn thông tin của họ bị sử dụng bởi công ty cung ứng dịch vụ thì phía công ty phải tôn trọng và chấp nhận thực hiện đúng theo mong muốn của người sử dụng dịch vụ là chủ sở hữu của các thông tin.18 Bên cạnh đó mức bồi thường thiệt hại dành cho tổ chức vi phạm GDPR được quy định rõ trong Quy định này, cụ thể với hai mức phạt, có thể tối đa là 20 triệu Euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại. Tính đến tháng 5/2019, GDPR đã ra quyết định khoản tiền phạt lớn nhất là 50 triệu Euro19. Trong đó, vào tháng 1/2019, cơ quan giám sát bảo vệ dữ liệu của Pháp (CNIL) đã quyết định phạt công ty Google do đã vi phạm các quy tắc của GDPR cụ thể là về tính minh bạch và cơ sở pháp lý hợp lệ khi xử lý dữ liệu của mọi người cho mục đích quảng cáo. 20
GDPR thiết lập 7 nguyên tắc cần tuân thủ khi xử lý dữ liệu:
(1) Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu;
(2) Giới hạn mục đích: Mục đích xử lý dữ liệu phải hợp pháp và được thể hiện rõ ràng cho chủ thể dữ liệu khi thu thập;
(3) Giảm thiểu dữ liệu: Chỉ thu thập và xử lý dữ liệu khi thực sự cần thiết cho các mục đích đã định;
(4) Độ chính xác: Phải bảo đảm dữ liệu cá nhân là chính xác và cập nhật;
18 General Data Protection Regulation (GDPR).
19 Vũ Công Giao & Lê Trần Như Tuyên (2020), ‘Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam’, Nghiên cứu Lập pháp, 09(409).
20 Vũ Công Giao & Lê Trần Như Tuyên (2020), ‘Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam’, Nghiên cứu Lập pháp, 09(409).
(5) Giới hạn lưu trữ: Chỉ lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã định;
(6) Tính toàn vẹn và bảo mật: Việc xử lý dữ liệu phải được thực hiện trên cơ sở đảm bảo tính bảo mật, tính toàn vẹn và bảo mật thích hợp (ví dụ: bằng cách sử dụng mã hóa);
(7) Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh sự tuân thủ GDPR với tất cả các nguyên tắc này.
Tại Hoa Kỳ dù chưa có văn bản pháp luật cụ thể điều chỉnh đối với vấn đề này. Tuy nhiên, sau khi GDPR được thông qua, một số tiểu bang của Hoa Kỳ đã đề xuất luật bảo vệ dữ liệu của riêng họ, thiết lập một số quyền giống như GDPR. Luật về Sự riêng tư của người tiêu dùng của bang California (CCPA) đã được thông qua vào tháng 6/2018.
Không chỉ California, 11 Bang khác của Hoa Kỳ bao gồm Maryland, New Jersey và Washington… gần đây đã đưa ra dự thảo văn bản pháp luật tương tự nhằm cụ thể hóa nghĩa vụ bảo mật thông tin của bên cung ứng dịch vụ. Ngày 23/4/2020, một Tòa án ở Hoa Kỳ đã chính thức phê chuẩn thỏa thuận dàn xếp của Facebook đối với Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) lên đến 5 tỷ USD. Trong khi đó, như đã đề cập một số mức phạt mà pháp luật Việt Nam quy định cho các hành vi vi phạm trong lĩnh vực này là tối đa 70 triệu đồng cho hành vi sử dụng trái phép dữ liệu thông tin khách hàng theo xử phạt vi phạm hành chính hay tối đa là 1 tỷ đồng theo xử phạt vi phạm hình sự.
Từ đó ta thấy rằng, hành vi làm rò rỉ thông tin của khách hàng chưa có mức phạt cụ thể theo luật Việt Nam. Thêm vào đó, tại Việt Nam hiện nay vẫn chưa có bất cứ cơ quan, tổ chức nào có chuyên môn được Nhà nước trao quyền nghiên cứu chuyên sâu và tư vấn trong việc phát giác hành vi vi phạm liên quan đến vấn đề làm rò rỉ/lộ bí mật thông tin của các doanh nghiệp cung ứng dịch vụ trên nền tảng Internet. Cùng với đó, xét về trình độ khoa học - kỹ thuật thì Việt Nam còn rất nhiều hạn chế so với các nước tiên tiến. Đó là một trong những khó khăn chính trong việc thành lập một cơ quan có đủ yếu tố chuyên môn để thực hiện chức năng này hay cũng còn nhiều vướng mắc khi đưa ra một văn bản rõ ràng để hướng dẫn việc giám sát và phát hiện hành vi vi phạm.
Ở Hoa Kỳ, cơ quan có thẩm quyền điều tra tiến hành xử lý các hành vi vi phạm về bảo mật thông tin khách hàng của các công ty công nghệ bên cạnh Tòa án còn có Ủy ban thương mại Liên bang Hoa Kỳ (Federal Trade Commission, viết tắt là FTC).
Một trong hai sứ mệnh của Ủy ban Thương mại liên bang Mỹ (FTC) kể từ khi được thành lập vào năm 1914 là đảm bảo quyền riêng tư khách hàng và an toàn dữ liệu của người tiêu dùng. Vì thế, FTC đã thực hiện hàng loạt các hoạt động từ nghiên cứu đến ban hành các tiêu chuẩn, xây dựng khuôn khổ pháp lý để bảo vệ quyền riêng tư dữ liệu thông qua cuộc điều trần trước Quốc hội. Bên cạnh đó còn trực tiếp đề xuất các kiến nghị lập pháp và hành pháp.
Từ đó nâng cao nhận thức của người tiêu dùng từ sự tự giác chấp hành của doanh nghiệp, cuối cùng và quan trọng nhất là điều tra và xử lý các vụ việc có dấu hiệu vi phạm.21
FTC là tổ chức hoạt động độc lập ngoài phạm vi các Bộ, được Quốc hội Mỹ trao quyền tự chủ điều tra, xử lý, giám sát và ban hành các quy định điều chỉnh các vi phạm về quyền riêng tư dữ liệu cá nhân. Thông qua việc được trao quyền lực hành pháp độc lập mà FTC có thể giải quyết nhanh chóng một số lượng lớn các vụ việc để bảo vệ quyền riêng tư dữ liệu cho người tiêu dùng khi mà nền kinh tế số đang biến đổi nhanh chóng từng ngày. 22
5. Kết luận
Bảo mật thông tin của khách hàng phải được xem là một nghĩa vụ cơ bản và quan trọng của các tổ chức cung ứng dịch vụ trung gian thanh toán, bởi nó tác động rất lớn đến quyền riêng tư cũng như quyền tài sản của chủ thể sử dụng.
Tuy nhiên, các thỏa thuận trong hợp đồng cung ứng dịch vụ của nhà cung cấp dịch vụ thanh toán bằng ví điện từ tại Việt Nam cũng như trong các quy định của pháp luật liên quan điều chỉnh đối với vấn đề này vẫn chưa có các quy định cụ thể nhằm xác định dấu hiệu vi phạm của hành vi cũng như chế tài áp dụng khi chủ thể thực hiện hành vi vi phạm. Điều này sẽ tác động rất lớn đến tính an toàn khi thanh toán bằng ví điện tử cũng như việc ngăn chặn và loại trừ các hành vi cố ý chiếm đoạt thông tin hoặc làm lộ thông tin.
Do vậy, để đảm bảo an toàn cho hoạt động thanh toán bằng ví điện tử cũng như bảo vệ quyền và lợi ích hợp pháp của người tiêu dùng. Pháp luật Việt Nam cần có cơ chế cụ thể nhằm ràng buộc trách nhiệm pháp lý của các bên liên quan đối với thông tin cá nhân của người sử dụng trong hoạt động thanh toán bằng ví điện tử. Cụ thể:
Thứ nhất, các cơ quan lập pháp cần ban hành các quy định về cách thức tổ chức, giám sát, kiểm tra hoạt động đảm bảo tính bảo mật của các doanh nghiệp kinh doanh dịch vụ trung gian thanh toán. Bên cạnh đó, cần xác định rõ trách nhiệm của tổ chức, cá nhân trong trường hợp có hành vi vi phạm xảy ra. Đồng thời, cũng cần ban hành các văn bản hướng dẫn thi hành các điều khoản quy định trên, để việc tuân theo và thực thi pháp luật được chặt chẽ và rõ ràng.
Từ đó, mà vấn đề quản lý tính bảo mật cũng sẽ dễ dàng, công bằng và hợp lý. Trong quá trình soạn thảo các quy định mới, các cơ quan ban hành có thể tham khảo các văn bản luật từ các quốc gia khác trên thế giới trong đó có Quy định chung về bảo vệ dữ liệu (General Data Protection Regulation, viết tắt là GDPR) của Uỷ ban châu Âu nhằm xây dựng nên các quy phạm pháp luật phù hợp và mang giá trị thực tiễn hơn.
Thứ hai, khi xác định được trách nhiệm của bên có hành vi vi phạm thì mức phạt là một nội dung quan trọng cần được xác định rõ ngay trong pháp luật để việc thực thi pháp luật được diễn ra chặt chẽ và trôi chảy hơn. Mức phạt là một yếu tố thể hiện tính răn đe của pháp
21 Tống Khánh Linh, Trần Đăng Quang và Nguyễn Quang Đồng, Cơ chế bảo vệ quyền riêng tư về dữ liệu khách hàng của Mỹ: Những gợi ý cho Việt Nam, Thời báo Kinh tế Sài Gòn, 16/10/2020 tại link
<https://www.thesaigontimes.vn/309413/co-che-bao-ve-quyen-rieng-tu-ve-du-lieu-khach-hang-cua-my- nhung-goi-y-cho-viet-nam.html> truy cập ngày 29/2/2021.
22 Tống Khánh Linh, Trần Đăng Quang và Nguyễn Quang Đồng, tlđd 24.
luật, khi mức phạt không được xác định hoặc được xác định thấp hơn rất nhiều so với thiệt hại hoặc lợi ích mà bên có hành vi vi phạm thu được thì cũng làm mất đi ý nghĩa của nó. Kẻ xấu sẽ tiếp tục thực hiện hành vi của mình nhiều lần và ngày càng tinh vi hơn để có thể thu được những lợi ích khổng lồ từ việc đánh cắp thông tin cá nhân của người khác. Ngoài ra, khi mức phạt lại được xác định quá cao, không còn phù hợp với thực tế thì cũng trở nên vô nghĩa, do mức bồi thường vượt quá khả năng chi trả cũng sẽ không mang lại hiệu quả. Do vậy, trong các trường hợp có mức thiệt hại quá lớn, thì có thể xem xét đến trách nhiệm hình sự. Vì trách nhiệm hình sự được xem là trách nhiệm mang tính nghiêm khắc nhất của Nhà nước bao gồm các hình phạt khác bên cạnh phạt tiền, do vậy vẫn đảm bảo được tính răn đe phù hợp với thiệt hại của hành vi và đảm bảo cho việc thi hành án được diễn ra tốt hơn.
Cuối cùng, để pháp luật được thực thi dễ dàng và hiệu quả hơn, thì việc có một chủ thể có đủ chuyên môn và năng lực để giám sát và quản lý vấn đề bảo mật thông tin, dữ liệu số của khách hàng là một việc làm cần được xem xét và tham khảo. Mặc dù, cuộc sống ngày càng tiên tiến và hiện đại đi đôi với công nghệ kỹ thuật số phát triển không ngừng, do vậy việc nghiên cứu đối với các vấn đề phức tạp và mới như bảo mật thông tin dữ liệu số, phát hiện các mánh khóe và thủ đoạn tinh vi của bên xâm hại thông tin là một chuyện không đơn giản. Vì thế cần thiết phải đầu tư nguồn lực về thời gian, tiền bạc và cả con người để có thể tập trung nghiên cứu, giám sát và quản lý. Kịp thời ngăn chặn, phát hiện và xử lý các hành vi vi phạm. Để có thể như thế, một tổ chức chuyên môn độc lập với hoạt động hành pháp, chỉ tập trung nghiên cứu và thu thập thông tin, điều tra các hành vi của các doanh nghiệp nhờ đó có khả năng xử lý các vụ việc liên quan được nhanh chóng và dễ dàng hơn. Ví dụ về FTC là một trong những ví dụ mà Việt Nam có thể tham khảo và học hỏi khi trải qua nhiều năm FTC đã có sự đóng góp rất nhiều cho Hoa Kỳ khi giải quyết các vụ vi phạm nghĩa vụ giữ bí mật thông tin của các ông lớn trên thế giới trong ngành công nghệ.