FINANCIAL TECHNOLOGY AND OTHER RELATING ISSUES
3. Điều khoản về bảo mật thông tin của một số nhà cung cấp dịch vụ ví điện tử tại Việt Nam
Hình 1. Khảo sát về mức độ yêu thích của người tiêu dùng đối với ví điện tử8
Liên quan đến nghĩa vụ giữ bí mật thông tin của người dùng được quy định cụ thể khác nhau bởi những nhà cung ứng dịch vụ khác nhau.
Đầu tiên, theo Chính sách về quyền riêng tư của công ty M_Service kinh doanh ví điện tử Momo đã đưa ra các điều khoản về bảo mật thông tại Mục 6.1 rằng:
“6.1 Người Sử Dụng đồng ý rằng M_Service có thể thu thập, lưu trữ, sử dụng và xử lý các thông tin về Hồ Sơ Mở Tài Khoản MoMo cũng như các thông tin khác từ Người Sử Dụng hoặc các bên thứ ba để phục vụ cho mục đích nhận biết khách hàng và xác thực theo Quy Định Pháp Luật. M_Service cũng có thể thu thập, lưu trữ, sử dụng và xử lý thông tin cá nhân của Người Sử Dụng cho mục đích nghiên cứu và phân tích hoạt động và cải tiến Sản Phẩm/Dịch Vụ.
6.3 Người Sử Dụng chấp thuận, ủy quyền không hủy ngang và vô điều kiện cho M_Service tiết lộ hoặc công bố các thông tin liên quan đến Người Sử Dụng hoặc các Giao Dịch của Người Sử Dụng với các cá nhân hoặc tổ chức mà M_Service có thể được yêu cầu
8 Thông tin được đăng tải tại trang http://tapchinganhang.gov.vn/thi-truong-vi-dien-tu-viet-nam-co-hoi- va-thach-thuc.htm truy cập ngày 03/7/2021
tiết lộ theo bất kỳ Quy Định Pháp Luật hoặc quy định nào áp dụng đối với M_Service hoặc căn cứ theo bất kỳ yêu cầu hoặc lệnh nào của bất kỳ cơ quan nhà nước có thẩm quyền nào hoặc lệnh của tòa án.
6.4 Người Sử Dụng đồng ý với Chính Sách Quyền Riêng Tư của M_Service9”.
“MoMo sẽ không cho thuê hoặc bán thông tin của quý khách cho bên thứ ba mà không có sự chấp thuận của quý khách, theo đúng quy định pháp luật, ngoại trừ các trường hợp như được nêu trong chính sách này.”10
Theo đó, doanh nghiệp sẽ không thuê hoặc bán thông tin của người sử dụng nếu không có sự đồng ý của họ. Tuy nhiên, nghĩa vụ này chỉ được đảm bảo trong 02 trường hợp thuê và bán điều này không đủ để đảm bảo thông tin không được tiết lộ. Bởi lẽ, việc làm rò rỉ thông tin không chỉ dừng lại ở việc cho thuê hoặc bán thông tin mà đáng kể nhất là do hệ thống bảo mật của phần mềm do công ty sáng lập không đảm bảo được về mặt kỹ thuật, tạo cơ hội cho kẻ gian lợi dụng và đánh cắp thông tin. Khi xảy ra hiện tượng đánh cắp thông tin thông qua lỗ hổng kỹ thuật của doanh nghiệp thì trách nhiệm sẽ như thế nào đã không được đề cập cụ thể trong khi đó, bằng quy định trong điều khoản sử dụng mà người sử dụng phải mặc nhiên chấp nhận khi đồng ý sử dụng dịch vụ thì trách nhiệm đó sẽ thuộc về phía khách hàng “Người Sử Dụng sẽ chịu trách nhiệm quản lý tài khoản, mật khẩu tài khoản, các thông tin liên quan đến tài khoản, Biện Pháp Xác Thực, thông tin thiết bị… của mình. Nếu thông tin các thông tin trên của Người Sử Dụng bị mất hoặc bị lấy cắp hoặc bị tiết lộ một cách bất hợp pháp, thì Người Sử Dụng phải thay đổi thông tin tài khoản bằng cách sử dụng các công cụ được cài đặt sẵn trong Ứng Dụng MoMo hoặc thông báo ngay cho M_Service thông qua Dịch Vụ Khách Hàng để tạm ngừng Tài Khoản MoMo. Người Sử Dụng sẽ hoàn toàn chịu trách nhiệm về bất kỳ và tất cả yêu cầu Giao Dịch đã xảy ra trước khi M_Service nhận được thông báo đó. Người Sử Dụng lưu ý rằng Tài Khoản MoMo sẽ chỉ tạm thời ngừng khi Người Sử Dụng đã cung cấp mọi thông tin được yêu cầu cho Dịch Vụ Khách Hàng mà Dịch Vụ Khách Hàng có thể yêu cầu một cách hợp lý”11.
Bên cạnh đó, theo khoản 1 Điều 7 của Các điều khoản và điều kiện về dịch vụ của ví Momo có quy định về phần giới hạn trách nhiệm như sau:
“Trong mọi trường hợp M_Service (bao gồm cả các nhân viên, điểm giao dịch, cán bộ hoặc các bên liên kết của M_Service) sẽ không chịu trách nhiệm đối với người sử dụng về bất kỳ tổn thất, thiệt hại, trách nhiệm và chi phí nào theo bất kỳ nguyên nhân hành động nào gây ra bởi việc sử dụng, hoặc không có khả năng sử dụng sản phẩm/dịch vụ trừ khi M_Service
9 Mục 6 Điều khoản và điều kiện của dịch vụ ví Momo tại https://momo.vn/dieu-khoan-dieu-le truy cập ngày 04/7/2021
10 Mục V Chính sách về quyền riêng tư của ví điện tử MoMo, xem thêm tại website chính thức của ví điện tử MoMo, <https://momo.vn> truy cập ngày 29/2/2021.
11 Điểm j mục 3.1 Các điều khoản và điều kiện về dịch vụ của ví điện tử MoMo, tại https://momo.vn/dieu- khoan-dieu-le
(bao gồm cả các nhân viên, điểm giao dịch, cán bộ hoặc các bên liên kết của M_Service) có lỗi trong việc để xảy ra tổn thất, thiệt hại”12
Vấn đề lỗi được đặt ra trong điều khoản này cho thấy rằng phía doanh nghiệp sẽ không chịu trách nhiệm với tổn thất khi không có lỗi. Đối với các trường hợp rò rỉ thông tin, rất khó để xác định lỗi là của phía nào. Có thể do lỗi của bên đánh cắp thông tin, cũng có thể do lỗi không đảm bảo được tính bảo mật của doanh nghiệp, vậy sẽ rất khó để người sử dụng có thể yêu cầu khiếu nại hoặc đòi bồi thường. Trong khi đó, theo Nghị định 01/2012/NĐ-CP đã quy định nghĩa vụ bảo mật thông tin tại khoản 2 Điều 23, rằng:
“Tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán có trách nhiệm giữ bí mật các thông tin liên quan đến chủ tài khoản, giao dịch và số dư trên tài khoản thanh toán của người sử dụng dịch vụ của mình, trừ trường hợp pháp luật có quy định khác.”13
Vậy trong mọi trường hợp, nghĩa vụ bảo mật thông tin sẽ là nghĩa vụ của tổ chức cung ứng dịch vụ, do đó khi thông tin không được giữ bí mật thì doanh nghiệp sẽ xem như không hoàn thành nghĩa vụ của mình theo pháp luật, sẽ đơn giản hơn trong việc xác định trách nhiệm. Và không thể nào nếu thiệt hại xảy ra mà không bên nào chịu trách nhiệm.
Tiếp theo, tại Chính sách bảo vệ quyền riêng tư của công ty VNG kinh doanh ví điện tử Zalopay lại không quy định cụ thể và chi tiết về cách vấn đề bảo mật thông tin, khi quyền được bảo mật thông tin được xem như là một trong những quyền riêng tư của khách hàng.
Trong chính sách này, chỉ quy định sơ lược về các thông tin được thu thập, cách sử dụng thông tin... Hay trong Thỏa thuận sử dụng của Zalopay cũng không quy định trách nhiệm của doanh nghiệp khi làm rò rỉ thông tin của khách hàng. Như vậy, có thể nói rằng khi người dùng sử dụng dịch vụ này quyền được bảo mật thông tin của họ còn thấp hơn so với dùng ví điện tử Momo khi hầu như Zalopay không hề có sự chủ động tiếp cận vấn đề này dưới góc độ pháp lý thông qua hai văn bản được xem như quan trọng nhất là Thỏa thuận sử dụng và Chính sách bảo vệ quyền riêng tư.
Cuối cùng, ví điện tử Airpay của công ty Vietnam Esports là một trong những ví điện tử được sử dụng phổ biến ở Việt Nam.
Theo điều khoản sử dụng và chính sách bảo mật được đặt ra và yêu cầu người sử dụng phải chấp nhận nếu sử dụng dịch vụ thanh toán của Airpay, thì Airpay có quyền thu thập nhiều loại thông tin của người dùng theo quy định tại mục 3 khi người dùng thực hiện một, một số hoặc tất cả các hành vi được quy định tại mục 214. Các thông tin này sẽ được Airpay sử dụng với nhiều mục đích khác nhau được liệt kê cụ thể tại mục 6 của chính sách bảo mật15. Đồng thời, với các điều khoản đưa ra Airpay được quyền tiết lộ thông tin cá nhân của người
12 Các điều khoản và điều kiện về dịch vụ của ví điện tử MoMo, tại https://momo.vn/dieu-khoan-dieu-le Truy cập ngày 04/7/2021
13 Nghị định 101/2012/NĐ-CP của Chính phủ về Thanh toán không dùng tiền mặt.
14 Xem thêm tại Chính sách bảo mật ví điện tử Airpay https://shopeepay.vn/chinh-sach-bao-mat/#airpay- se-thu-thap-nhung-du-lieu-gi truy cập ngày 04/7/2021.
15 Xem thêm mục 6 Chính sách bảo mật của Airpay.
dùng cho các bên theo quy định tại mục 7 chính sách bảo mật, và sẽ được miễn trừ trách nhiệm về nghĩa vụ bảo mật thông tin theo quy định tại mục 11 “…Do đó chúng tôi không chịu trách nhiệm hay trách nhiệm pháp lý đối với nội dung, các biện pháp bảo mật (hoặc sự thiếu biện pháp bảo mật) và các hoạt động của các trang web/ứng dụng/dịch vụ được liên kết này.
Những trang web/ứng dụng/dịch vụ được liên kết này chỉ vì sự thuận tiện cho bạn và do đó bạn tự chịu trách nhiệm khi truy cập chúng”. Mặc dù phía Airpay đưa ra các cam kết nhằm bảo vệ thông tin cá nhân cho người sử dụng “Chúng tôi thực hiện các biện pháp an ninh khác nhau để bảo đảm tính an toàn các dữ liệu cá nhân của bạn trên hệ thống của chúng tôi. Dữ liệu cá nhân của người dùng được lưu trữ trong hệ thống mạng an toàn và chỉ có thể được truy cập bởi một số lượng nhân viên hạn chế người có đặc quyền truy cập vào các hệ thống như vậy. Chúng tôi sẽ lưu giữ dữ liệu cá nhân của bạn phù hợp với Luật Riêng tư và các luật hiện hành khác.”16
Tại Điều 9 của Điều khoản sử dụng của ví Airpay quy định quyền và nghĩa vụ của doanh nghiệp cung ứng dịch vụ có đề cập:
“9.2.3. Bảo mật thông tin cá nhân và dữ liệu về giao dịch của Người dùng, AirPay không được bán hoặc trao đổi những thông tin này với bên thứ ba, trừ trường hợp theo quy định của pháp luật hoặc được Người dùng cho phép.”17
Tuy nhiên, các biện pháp bảo vệ này vẫn không thể xem như một cam kết chắc chắn về nghĩa vụ bảo mật thông tin của bên cung ứng dịch vụ đối với khách hàng.
Tóm lại, mặc dù có chính sách bảo mật tương đối đồ sộ với rất nhiều điều khoản nhưng tương tự Zalopay thì Airpay vẫn chưa có điều khoản nào mà nội dung đề cập đến trách nhiệm bảo đảm bảo mật hay cơ chế bồi thường thiệt hại cho người dùng.
Điều khoản sử dụng, bảo mật thông tin đã được quy định là một nghĩa vụ của tổ chức cung ứng dịch vụ được pháp luật yêu cầu theo quy định tại Nghị định 101/2012/NĐ-CP. Tuy nhiên, trong điều khoản này chỉ quy định Airpay không được bán hoặc trao đổi những thông tin của khách hàng cho bên thứ 03 mà chưa được sự chấp thuận của người dùng thì so với
“không được bán và cho thuê” theo điều khoản của Momo đã được xem là có phạm vi rộng hơn. Vì vậy, cũng dễ dàng xác định hành vi và trách nhiệm khi thông tin bị rò rỉ.
Tóm lại, từ chính sách bảo mật của 03 công ty được xác định là 03 ông lớn trong ngành kinh doanh dịch vụ trung gian thanh toán, cụ thể là ví điện tử cho thấy rằng các điều khoản trong các chính sách bảo mật thông tin cũng như thỏa thuận sử dụng dịch vụ của các doanh nghiệp còn chưa cụ thể, rõ ràng hay các điều khoản chỉ là để được xem như là có được nhắc đến, bên cạnh đó trách nhiệm của các công ty được giới hạn nhiều trong vấn đề bảo mật thông tin này.
Rõ ràng với các điều khoản cụ thể đó thì khi thông tin của người dùng bị rò rỉ mà không do lỗi cố ý của tổ chức cung ứng dịch vụ thì trách nhiệm lại không được xác định rõ.
16 Chính sách bảo mật ví điện tử Airpay. Xem thêm tại website chính thức của ví điện tử Airpay,
<https://airpay.vn> truy cập ngày 27/06/2021.
17 Điều khoản sử dụng ví điện tử Airpay, https://airpay.vn> truy cập ngày 27/06/2021.
Chính vì vậy, hành lang pháp lý của Việt Nam cần có sự giám sát và quản lý các doanh nghiệp chặt chẽ hơn để đảm bảo quyền lợi của người sử dụng và trách nhiệm bảo mật thông tin cao hơn nữa cho nhà cung ứng dịch vụ.