Trang Chủ
Tóm tắt: Bài viết phân tích những quy định của pháp luật hiện hành về vấn đề bảo vệ thông tin cá nhân người tiêu dùng khi giao dịch trên website thương mại điện tử, trên cơ sở đó đề xuất một số kiến nghị hoàn thiện pháp luật về lĩnh vực này.
Abstract: This paper analyzes the provisions of the current legislation on the protection of personal information of consumers when transacting in Ecommerce websites; based on that, it proposes some solutions to improve those provisions.
Trong bối cảnh thương mại điện tử (TMĐT) được dự đoán sẽ bùng nổ trong thời gian tới, bảo vệ thông tin cá nhân người tiêu dùng khi giao dịch trên website TMĐT là một vấn đề rất cần được quan tâm. Pháp luật đặt ra trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng cho tất cả các chủ thể tham gia vào hoạt động TMĐT, bao gồm cả chính bản thân người tiêu dùng. Cụ thể:
1. Trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ mạng
Sự phát triển và phổ cập rộng rãi của Internet đã tạo điều kiện cho sự “nở rộ” của hoạt động kinh doanh trực tuyến, song hành với nó là những giá trị kinh tế cho các chủ thể kinh doanh. Là một bên tham gia vào hoạt động TMĐT, thương nhân, tổ chức cung cấp dịch vụ mạng đương nhiên cũng phải có trách nhiệm trong việc bảo đảm cho sự vận hành ổn định của TMĐT. Theo Điều 24 Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về thương mại điện tử (Nghị định số 52/2013/NĐ-CP), có thể xác định thương nhân, tổ chức cung cấp dịch vụ mạng bao gồm thương nhân, tổ chức cung cấp hạ tầng và thương nhân, tổ chức cung cấp dịch vụ TMĐT.
- Thương nhân, tổ chức cung cấp hạ tầng: Đây là những chủ thể cung cấp hạ tầng kỹ thuật cho người sở hữu website TMĐT bán hàng và thương nhân, tổ chức cung cấp dịch vụ TMĐT. Những chủ thể này tuy không tham gia trực tiếp vào giao dịch TMĐT như người bán và người mua, nhưng lại đóng vai trò rất quan trọng trong việc tạo nền móng cơ bản cho việc thiết lập và giao kết hợp đồng điện tử. Với đặc thù về lĩnh vực hoạt động các thương nhân, tổ chức cung cấp hạ tầng kỹ thuật có trách nhiệm tuân thủ các quy định của pháp luật về bảo vệ thông tin cá nhân người tiêu dùng, xây dựng và đảm bảo hệ thống hạ tầng kỹ thuật vận hành ổn định và an toàn, phù hợp với đặc thù của các giao dịch điện tử, qua đó đáp ứng được yêu cầu bảo đảm an toàn thông tin trong TMĐT.
- Thương nhân, tổ chức cung cấp dịch vụ TMĐT: Đây là các chủ thể thiết lập website TMĐT để cung cấp môi trường cho thương nhân, tổ chức, cá nhân khác tiến hành hoạt động xúc tiến thương mại, bán hàng hóa hoặc cung ứng dịch vụ. Trong vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong TMĐT, thương nhân, tổ chức cung cấp dịch vụ TMĐT có trách nhiệm: (i) Xây dựng và công bố trên website quy chế hoạt động của website TMĐT, bao gồm các quy định về an toàn thông tin, quản lý thông tin trên website TMĐT và chính sách bảo vệ thông tin cá nhân của người tiêu dùng, đồng thời phải theo dõi và bảo đảm việc thực hiện quy chế đó trên website TMĐT; (ii) Áp dụng các biện pháp để đảm bảo an toàn thông tin liên quan đến thông tin cá nhân của người tiêu dùng; (iii) Công bố công khai cơ chế giải quyết tranh chấp phát sinh trong quá trình giao dịch, tích cực hỗ trợ người tiêu dùng bảo vệ quyền và lợi ích hợp pháp của mình; (iv) Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác[1].
Về cơ bản, các quy định của pháp luật hiện hành về trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ TMĐT trong việc bảo vệ thông tin cá nhân người tiêu dùng tương đối hoàn chỉnh. Trong đó, yêu cầu thương nhân, tổ chức phải chủ động công bố công khai các chính sách cụ thể liên quan đến thông tin khách hàng và cơ chế giải quyết tranh chấp phát sinh. Khi những thông tin này được công khai, đồng nghĩa với việc người tiêu dùng có thể dễ dàng hơn trong việc tiếp cận và tìm hiểu được những thông tin nào của mình đang được thu thập, thu thập để làm gì và thông tin đó sẽ được sử dụng và bảo vệ như thế nào, từ đó người tiêu dùng có thể đưa ra lựa chọn có cung cấp thông tin cá nhân của mình hay không. Ngoài ra, yêu cầu cơ chế giải quyết tranh chấp phải công khai là một trong những yếu tố tạo tâm lý an tâm cho người tiêu dùng khi thực hiện giao dịch, đồng thời cũng là cách thức hỗ trợ tốt hơn cho người tiêu dùng khi phát hiện có hành vi xâm phạm thông tin cá nhân. Tuy nhiên, vấn đề kiểm soát, giám sát thương nhân, tổ chức cung cấp dịch vụ TMĐT trong việc xây dựng quy chế cũng như chấp hành chính sách hoạt động do chính họ đưa ra còn là một lỗ hổng do chưa có cơ chế kiểm soát việc thực thi trên thực tế.
Thông tin thanh toán cũng được xem là một trong những thông tin cá nhân của người tiêu dùng. Đây là những thông tin có khả năng thanh toán trực tiếp tiền mua hàng hóa, dịch vụ; rút tiền mặt trực tiếp từ các ngân hàng hoặc qua các máy rút tiền tự động (ATM) bằng các thẻ thanh toán có chứa thông tin thanh toán. Do tính chất nhạy cảm, đồng thời đây cũng là loại thông tin có giá trị kinh tế cao, cho nên pháp luật TMĐT cũng dành những quy định riêng về trách nhiệm bảo vệ thông tin thanh toán của người tiêu dùng. Cụ thể, với các thương nhân, tổ chức, cá nhân sở hữu website TMĐT có chức năng thanh toán trực tuyến phải có các trách nhiệm như: Đảm bảo an toàn, bảo mật giao dịch thanh toán của khách hàng; công bố trên website chính sách về bảo mật thông tin thanh toán cho khách hàng...
2. Trách nhiệm của người bán
Người bán tham gia vào hoạt động TMĐT bao gồm: Các thương nhân, tổ chức, cá nhân tự thiết lập website TMĐT để phục vụ hoạt động xúc tiến thương mại, bán hàng hóa hoặc cung ứng dịch vụ của mình (người sở hữu website TMĐT bán hàng); các thương nhân, tổ chức, cá nhân sử dụng website của thương nhân, tổ chức cung cấp dịch vụ TMĐT để phục vụ hoạt động xúc tiến thương mại, bán hàng hóa hoặc cung ứng dịch vụ của mình (người bán trên website TMĐT).
Đối với người bán là người sở hữu website TMĐT bán hàng, các giao dịch được thực hiện trên website TMĐT do chính những chủ thể này tự thiết lập. Cho nên, trước hết chủ sở hữu website TMĐT bán hàng phải có trách nhiệm trong việc bảo vệ thông tin cá nhân người tiêu dùng như một thương nhân, tổ chức cung cấp dịch vụ TMĐT, đồng thời cũng có những trách nhiệm của người bán trên website TMĐT. Điều 27 Nghị định số 52/2013/NĐ-CP cũng quy định thương nhân, tổ chức, cá nhân sở hữu website TMĐT bán hàng có trách nhiệm tuân thủ các quy định về bảo vệ thông tin cá nhân của khách hàng quy định tại mục 1 Chương V của Nghị định.
Pháp luật TMĐT đã liệt kê các trách nhiệm của người bán trên website TMĐT, nhưng lại không quy định về trách nhiệm trong vấn đề bảo vệ thông tin cá nhânngười tiêu dùng. Đây là một thiếu sót của hệ thống pháp luật về TMĐT. Áp dụng quy định chung về trách nhiệm của tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ khi “thu thập, sử dụng, chuyển giao” thông tin của người tiêu dùng tại Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 có thể gián tiếp xác định trách nhiệm của người bán trong vấn đề bảo vệ thông tin cá nhân của người tiêu dùng. Theo đó, người bán trên website TMĐT có trách nhiệm sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý; bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng; chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác.
Hiện nay, hoạt động kinh doanh qua mạng xã hội cũng trở nên phổ biến. Theo chỉ số TMĐT Việt Nam năm 2018, trong số 4.147 doanh nghiệp tham gia khảo sát, có tới 32% doanh nghiệp đang tiến hành kinh doanh trên mạng xã hội[2]. Theo Điều 6 Thông tư số 47/2014/TT-BCTngày 05/12/2014 của Bộ Tài chính quy định về quản lý website thương mại điện tử, thì các mạng xã hội nếu có một trong những hình thức hoạt động quy định tại điểm a, điểm b, điểm c khoản 2 Điều 35 Nghị định số 52/2013/NĐ-CP phải tiến hành đăng ký với Bộ Công Thương dưới hình thức sàn giao dịch TMĐT. Như vậy, thương nhân, tổ chức thiết lập mạng xã hội và người bán trên mạng xã hội phải thực hiện các trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ sàn giao dịch TMĐT và người bán trên sàn giao dịch TMĐT theo quy định của pháp luật.
3. Trách nhiệm của cá nhân người tiêu dùng
Trách nhiệm bảo vệ thông tin cá nhân của chính người tiêu dùng mới chỉ được ghi nhận như một nguyên tắc bảo đảm an toàn thông tin mạng tại khoản 1 Điều 16 Luật An toàn thông tin mạng năm 2015, theo đó, cá nhân cũng phải có trách nhiệm trong việc tự bảo vệ thông tin cá nhân của mình. Rõ ràng, người tiêu dùng trong TMĐT có nhiều điểm khác biệt so với người tiêu dùng trong giao dịch truyền thống, nhưng dù áp dụng phương thức giao dịch nào thì người tiêu dùng vẫn phải có ý thức trong việc tự bảo vệ mình. So với khi phát hiện bị xâm phạm mới quan tâm đến bảo vệ thông tin cá nhân thì có ý thức tự bảo vệ ngay khi bắt đầu tham gia vào giao dịch để phòng ngừa nguy cơ rủi ro là lựa chọn thông minh hơn nhiều. Có thể hiểu, trách nhiệm của người tiêu dùng trong việc bảo vệ thông tin cá nhân là dạng trách nhiệm tự thân. Trách nhiệm này không chỉ ở giai đoạn xác lập mà xuyên suốt trong cả quá trình giao dịch, kể cả khi giao dịch đã kết thúc. Cụ thể, trách nhiệm tự bảo vệ thông tin cá nhân của người tiêu dùng thể hiện ngay từ việc lựa chọn giao dịch với những website TMĐT, người bán có uy tín trên thị trường. Thận trọng trong việc cung cấp thông tin cá nhân và chọn lọc các thông tin sẽ cung cấp, có thể từ chối tiết lộ một số loại thông tin như một cách để bảo vệ mình và tiết lộ các thông tin khác để có được sản phẩm hoặc dịch vụ mong muốn[3].
Người tiêu dùng cũng cần có những nhận thức về quyền hạn đối với thông tin cá nhân của mình như: Quyền yêu cầu đơn vị thu thập thông tin thực hiện việc kiểm tra, cập nhật, điều chỉnh hoặc hủy bỏ thông tin cá nhân của mình; ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba; quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân…[4] Trách nhiệm tự bảo vệ thông tin cá nhân của người tiêu dùng là một dạng trách nhiệm tự thân, đóng vai trò hết sức quan trọng trong hoạt động đảm bảo an toàn thông tin mạng nói chung, góp phần tạo ra một môi trường TMĐT phát triển ổn định và bền vững.
4. Vấn đề thu thập và sử dụng thông tin cá nhân người tiêu dùng
Trong quá trình thu thập và sử dụng thông tin cá nhân người tiêu dùng, các chủ thể thu thập thông tin phải tuân thủ các quy định pháp luật có liên quan, cụ thể:
Thứ nhất, vấn đề thu thập thông tin cá nhân người tiêu dùng
Luật Công nghệ thông tin năm 2006, Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, Luật An toàn thông tin mạng năm 2015 và Nghị định số 52/2013/NĐ-CP đều có những quy định liên quan đến vấn đề thu thập và sử dụng thông tin cá nhân[5]. Nội dung của các quy định khá tương đồng, đều dựa trên một nguyên tắc cơ bản là phải có sự đồng ý của chủ thể thông tin về phạm vi, mục đích của việc thu thập và sử dụng thông tin trước khi tiến hành thu thập thông tin của người đó. Quy định này tương thích với nội dung của Hướng dẫn của Liên Hợp Quốc về bảo vệ người tiêu dùng; phù hợp với quy định của Bộ luật Dân sự năm 2015[6]. Mặt khác, đây cũng là một quy định rất hợp lý bởi thông tin cá nhân thuộc quyền sở hữu riêng của chủ thể thông tin, nên người đó có quyền quyết định cho phép hoặc từ chối hành vi thu thập và sử dụng thông tin cá nhân của tổ chức, cá nhân khác; đồng thời cũng có quyền được thông tin về những loại thông tin nào được thu thập, phạm vi và mục đích sử dụng để từ đó đưa ra quyết định có chấp thuận việc thu thập thông tin cá nhân của mình hay không. Việc xin ý kiến đồng ý của khách hàng phải được tiến hành thông qua một bước riêng để khách hàng lựa chọn chấp nhận hoặc từ chối. Không được thiết lập cơ chế chọn đồng ý mặc định cho khách hang[7].
Trên thực tế, người tiêu dùng thường không chú ý đến các nội dung về mục đích và phạm vi thu thập thông tin cá nhân do website TMĐT công bố. Kể cả khi người tiêu dùng đã đọc trước, trong nhiều trường hợp vẫn xác nhận đồng ý cho phép thu thập và sử dụng vì chưa ý thức được giá trị thông tin cá nhân của mình. Lợi dụng điều này, chủ thể thu thập thông tin thường thu thập và lưu giữ nhiều hơn những thông tin mà mình thực sự cần, đưa ra mục đích thu thập nhưng chỉ mang tính chất đối phó. Trên thực tế, cũng tồn tại tình trạng các chủ thể thu thập tự ý thu thập thông tin mà chưa có sự đồng ý trước đó của khách hàng.
Thứ hai, vấn đề sử dụng thông tin cá nhân người tiêu dùng
Ngoài một số trường hợp ngoại lệ được quy định tại khoản 4 Điều 70 Nghị định số 52/2013/NĐ-CP, đơn vị thu thập thông tin phải sử dụng thông tin cá nhân người tiêu dùng đúng với mục đích và phạm vi đã thông báo. Nguyên tắc có sự đồng ý trước của chủ thể thông tin không chỉ được áp dụng ở giai đoạn thu thập mà còn phải được tuân thủ trong quá trình sử dụng thông tin cá nhân đó. Khi sử dụng thông tin cá nhân vào mục đích khác với mục đích ban đầu đã thỏa thuận phải có sự cho phép của người tiêu dùng, không được cung cấp, chia sẻ, phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của người tiêu dùng hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Trong quá trình sử dụng thông tin cá nhân, chủ thể thu thập thông tin cũng có trách nhiệm tuân thủ các quy định về đảm bảo an toàn, an ninh thông tin cá nhân như: Áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân; áp dụng các biện pháp khắc phục, ngăn chặn khi xảy ra hoặc có nguy cơ xảy ra sự cố làm mất an toàn thông tin cá nhân; kiểm tra, cập nhật, điều chỉnh, hủy bỏ thông tin cá nhân của người tiêu dùng khi có yêu cầu hoặc cung cấp cho người tiêu dùng công cụ để tự kiểm tra, cập nhật, điều chỉnh thông tin cá nhân; hủy bỏ thông tin cá nhân lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ…
Thứ ba, các hành vi bị cấm trong thu thập và sử dụng thông tin cá nhân
Điều 4 Nghị định số 52/2013/NĐ-CP quy định về các hành vi bị cấm trong TMĐT, trong đó có hành vi đánh cắp, sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến thông tin cá nhân của người tiêu dùng trong TMĐT khi chưa được sự đồng ý của các bên liên quan. Điều 7 Luật An toàn thông tin mạng năm 2015 tiếp tục nhấn mạnh: Nghiêm cấm hành vi thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác. Để phù hợp với phạm vi điều chỉnh, Luật An toàn thông tin mạng còn mở rộng nghiêm cấm thêm với hành vi lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
Về cơ bản, Luật Công nghệ thông tin năm 2006, Luật An toàn thông tin mạng năm 2015 và Nghị định số 52/2013/NĐ-CP đã có những quy định tương đối rõ ràng, hợp lý và đầy đủ để đảm bảo cho hoạt động thu thập và sử dụng thông tin cá nhân người tiêu dùng được vận hành an toàn và ổn định. Trên thực tế, thương nhân, tổ chức, cá nhân kinh doanh TMĐT có thể không trực tiếp tiến hành việc thu thập và lưu trữ thông tin cá nhân của người tiêu dùng mà ủy quyền cho một bên thứ ba thực hiện. Đối với trường hợp này, pháp luật yêu cầu hợp đồng giữa hai bên phải quy định rõ trách nhiệm của mỗi bên trong việc tuân thủ các quy định pháp luật về bảo vệ thông tin cá nhân. Nếu hợp đồng không quy định rõ thì chủ thể hoạt động kinh doanh TMĐT phải chịu trách nhiệm nếu có vi phạm.
5. Một số kiến nghị
Một là, về trách nhiệm bảo vệ thông tin cá nhân người tiêu dùng của người bán trên website TMĐT
Theo Điều 68 Nghị định số 52/2013/NĐ-CP, trong quá trình hoạt động kinh doanh TMĐT, nếu thương nhân, tổ chức, cá nhân thực hiện việc thu thập thông tin cá nhân của người tiêu dùng thì phải tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân. Pháp luật đã đặt trách nhiệm bảo vệ thông tin cá nhân người tiêu dùng chủ yếu lên các chủ thể cung cấp dịch vụ TMĐT bởi các hoạt động thu thập, quản lý và sử dụng thông tin được diễn ra trên website TMĐT và người bán lúc này đóng vai trò như một khách hàng của thương nhân, tổ chức thiết lập website TMĐT. Tuy nhiên, dù người bán trên website TMĐT không trực tiếp thực hiện việc thu thập và xử lý thông tin cá nhân của người tiêu dùng nhưng đây vẫn là những thông tin người bán có thể tiếp cận và sử dụng.
Chính vì vậy, Nghị định số 52/2013/NĐ-CP cần bổ sung quy định về trách nhiệm của người bán trên website TMĐT trong việc tuân thủ các quy định của pháp luật về bảo vệ thông tin cá nhân người tiêu dùng. Cụ thể, cần bổ sung quy định tại khoản 1 Điều 68 Nghị định số 52/2013/NĐ-CP như sau: “Trong quá trình hoạt động kinh doanh TMĐT, nếu thương nhân, tổ chức, cá nhân thực hiện việc thu thập hoặc sử dụng thông tin cá nhân của người tiêu dùng thì phải tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân”.
Hai là, về hành vi mua, nhận chuyển nhượng thông tin cá nhân của người tiêu dùng
Khoản 33 Điều 1 Nghị định số 124/2015/NĐ-CP ngày 19/11/2015 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 185/2013/NĐ-CP ngày 15/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (Nghị định số 124/2015/NĐ-CP) mới chỉ quy định xử phạt hành chính đối với hành vi đánh cắp, tiết lộ, chuyển nhượng, bán các thông tin cá nhân của người tiêu dùng trong TMĐT. Trong khi đó, theo pháp luật hiện hành, việc chuyển giao thông tin cá nhân cho một bên thứ ba bắt buộc phải có sự đồng ý của chủ thể thông tin trước đó. Vì vậy, người mua trong trường hợp chưa có sự đồng ý chuyển giao của người tiêu dùng không phải là chủ thể có quyền tiếp cận và sử dụng thông tin cá nhân của người tiêu dùng. Mặt khác, rõ ràng thông tin cá nhân của người tiêu dùng trong TMĐT không phải là một “mặt hàng” hợp pháp để đưa vào giao dịch, nên tất cả các bên tham gia vào giao dịch, không chỉ chủ thể bán thông tin cá nhân mà cả chủ thể mua thông tin cá nhân của người tiêu dùng cũng phải bị xử lý theo quy định của pháp luật. Do đó, cần phải có những quy định xử phạt đối với những chủ thể có hành vi “mua, nhận chuyển nhượng” thông tin cá nhân của người tiêu dùng. Vì vậy, điểm b khoản 5 Điều 82 Nghị định số 185/2013/NĐ-CP ngày 15/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng cần được bổ sung thành: “Đánh cắp, tiết lộ, chuyển nhượng, bán, mua, nhận chuyển nhượng các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức khác hoặc thông tin cá nhân của người tiêu dùng trong TMĐT khi chưa được sự đồng ý của các bên liên quan”.
Ba là, về xử phạt vi phạm hành chính đối với hành vi bán, chuyển nhượng trái phép thông tin cá nhân người tiêu dùng
Chế tài hành chính áp dụng với các cá nhân, tổ chức thực hiện hành vi chuyển nhượng, bán trái phép thông tin cá nhân người tiêu dùng là một bất cập bởi vẫn chưa đủ mạnh để tạo tính răn đe, phòng ngừa các tổ chức, cá nhân vi phạm. Cụ thể, mức phạt tiền hiện tại theo quy định là từ 30.000.000 đồng đến 40.000.000 đồng[8] chưa tương xứng với lợi nhuận “khủng” mà các chủ thể thực hiện hành vi vi phạm có thể thu được. Trong khi đó, các hình thức xử phạt bổ sung hay biện pháp khắc phục hậu quả về nguyên tắc là không bắt buộc áp dụng (Điều 21, Điều 28 Luật Xử lý vi phạm hành chính năm 2012), quyết định có áp dụng hay không tùy thuộc ít nhiều vào ý chí chủ quan của chủ thể có thẩm quyền đối với từng vụ việc cụ thể. Như vậy, trường hợp hành vi vi phạm chỉ bị áp dụng hình thức xử phạt chính là phạt tiền, chủ thể có thẩm quyền không áp dụng hình thức xử phạt bổ sung hay biện pháp khắc phục hậu quả, đặc biệt là biện pháp “buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm” thì rõ ràng là mức phạt tiền nêu trên còn quá thấp và không hợp lý. Nhưng nếu tiếp tục sửa đổi theo hướng tăng mức xử phạt tiền đối với hành vi này lên cao thì lại không hợp lý đối với các trường hợp vi phạm có quy mô nhỏ lẻ, lợi nhuận thấp. Chính vì vậy, tác giả kiến nghị, thay vì căn cứ vào hành vi vi phạm để xác định mức xử phạt tiền cố định như quy định hiện hành thì Chính phủ cần xem xét sửa đổi quy định xử phạt vi phạm hành chính đối với hành vi bán, chuyển nhượng thông tin cá nhân người tiêu dùng khi chưa được sự đồng ý của người đó theo hướng hình phạt tiền cần được xây dựng dựa trên lợi nhuận mà thực tế tổ chức, cá nhân vi phạm thu được và mức phạt tiền cũng phải tỷ lệ thuận với số lợi bất hợp pháp có được. Tuy nhiên, vẫn giữ nguyên mức hình phạt tiền thấp nhất áp dụng đối với các chủ thể thực hiện hành vi để đảm bảo được tính răn đe, phòng ngừa vi phạm ngay cả đối với những vụ việc có quy mô nhỏ lẻ.
[1]. Xem: Điều 36, Điều 41 Nghị định số 52/2013/NĐ-CP và Điều 4 Thông tư số 47/2014/TT-BCT ngày 05/12/2014 của Bộ Công thương quy định về quản lý website TMĐT.
[2]. Hiệp hội Thương mại điện tử Việt Nam (2018), Chỉ số thương mại điện tử Việt Nam năm 2018, tr. 30.
[3]. Miriam J. Metzger (2007), Communication Privacy Management in Electronic Commerce,Journal of Computer-Mediated Communication, International Communication Association, Vol. 12, tr. 339.
[4]. Xem thêm: Điều 18 Luật An toàn thông tin mạng năm 2015, Điều 73 Nghị định số 52/2013/NĐ-CP.
[5]. Xem: Điều 21 Luật Công nghệ thông tin năm 2006, Điều 17 Luật An toàn thông tin mạng năm 2015, Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, Điều 70 Nghị định số 52/2013/NĐ-CP.
[6]. United Nations (2016), Guidelines for Consumer Protection, tr. 10: “Các doanh nghiệp cần bảo vệ quyền riêng tư của người tiêu dùng thông qua sự kết hợp giữa các cơ chế kiểm soát, bảo mật, minh bạch và có sự chấp thuận khi thu thập và sử dụng thông tin cá nhânngười tiêu dùng”.
Khoản 1 Điều 38 Bộ luật Dân sự năm 2015: “Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý”.
[7]. Khoản 21 Mục IV Thông tư số 09/2008/TT-BCT ngày 21/7/2008 của Bộ Công thương hướng dẫn Nghị định TMĐT về cung cấp thông tin và giao kết hợp đồng trên website TMĐT.
[8]. Khoản 33 Điều 1 Nghị định số 124/2015/NĐ-CP.
Abstract: This paper analyzes the provisions of the current legislation on the protection of personal information of consumers when transacting in Ecommerce websites; based on that, it proposes some solutions to improve those provisions.
Trong bối cảnh thương mại điện tử (TMĐT) được dự đoán sẽ bùng nổ trong thời gian tới, bảo vệ thông tin cá nhân người tiêu dùng khi giao dịch trên website TMĐT là một vấn đề rất cần được quan tâm. Pháp luật đặt ra trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng cho tất cả các chủ thể tham gia vào hoạt động TMĐT, bao gồm cả chính bản thân người tiêu dùng. Cụ thể:
1. Trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ mạng
Sự phát triển và phổ cập rộng rãi của Internet đã tạo điều kiện cho sự “nở rộ” của hoạt động kinh doanh trực tuyến, song hành với nó là những giá trị kinh tế cho các chủ thể kinh doanh. Là một bên tham gia vào hoạt động TMĐT, thương nhân, tổ chức cung cấp dịch vụ mạng đương nhiên cũng phải có trách nhiệm trong việc bảo đảm cho sự vận hành ổn định của TMĐT. Theo Điều 24 Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về thương mại điện tử (Nghị định số 52/2013/NĐ-CP), có thể xác định thương nhân, tổ chức cung cấp dịch vụ mạng bao gồm thương nhân, tổ chức cung cấp hạ tầng và thương nhân, tổ chức cung cấp dịch vụ TMĐT.
- Thương nhân, tổ chức cung cấp hạ tầng: Đây là những chủ thể cung cấp hạ tầng kỹ thuật cho người sở hữu website TMĐT bán hàng và thương nhân, tổ chức cung cấp dịch vụ TMĐT. Những chủ thể này tuy không tham gia trực tiếp vào giao dịch TMĐT như người bán và người mua, nhưng lại đóng vai trò rất quan trọng trong việc tạo nền móng cơ bản cho việc thiết lập và giao kết hợp đồng điện tử. Với đặc thù về lĩnh vực hoạt động các thương nhân, tổ chức cung cấp hạ tầng kỹ thuật có trách nhiệm tuân thủ các quy định của pháp luật về bảo vệ thông tin cá nhân người tiêu dùng, xây dựng và đảm bảo hệ thống hạ tầng kỹ thuật vận hành ổn định và an toàn, phù hợp với đặc thù của các giao dịch điện tử, qua đó đáp ứng được yêu cầu bảo đảm an toàn thông tin trong TMĐT.
- Thương nhân, tổ chức cung cấp dịch vụ TMĐT: Đây là các chủ thể thiết lập website TMĐT để cung cấp môi trường cho thương nhân, tổ chức, cá nhân khác tiến hành hoạt động xúc tiến thương mại, bán hàng hóa hoặc cung ứng dịch vụ. Trong vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong TMĐT, thương nhân, tổ chức cung cấp dịch vụ TMĐT có trách nhiệm: (i) Xây dựng và công bố trên website quy chế hoạt động của website TMĐT, bao gồm các quy định về an toàn thông tin, quản lý thông tin trên website TMĐT và chính sách bảo vệ thông tin cá nhân của người tiêu dùng, đồng thời phải theo dõi và bảo đảm việc thực hiện quy chế đó trên website TMĐT; (ii) Áp dụng các biện pháp để đảm bảo an toàn thông tin liên quan đến thông tin cá nhân của người tiêu dùng; (iii) Công bố công khai cơ chế giải quyết tranh chấp phát sinh trong quá trình giao dịch, tích cực hỗ trợ người tiêu dùng bảo vệ quyền và lợi ích hợp pháp của mình; (iv) Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác[1].
Về cơ bản, các quy định của pháp luật hiện hành về trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ TMĐT trong việc bảo vệ thông tin cá nhân người tiêu dùng tương đối hoàn chỉnh. Trong đó, yêu cầu thương nhân, tổ chức phải chủ động công bố công khai các chính sách cụ thể liên quan đến thông tin khách hàng và cơ chế giải quyết tranh chấp phát sinh. Khi những thông tin này được công khai, đồng nghĩa với việc người tiêu dùng có thể dễ dàng hơn trong việc tiếp cận và tìm hiểu được những thông tin nào của mình đang được thu thập, thu thập để làm gì và thông tin đó sẽ được sử dụng và bảo vệ như thế nào, từ đó người tiêu dùng có thể đưa ra lựa chọn có cung cấp thông tin cá nhân của mình hay không. Ngoài ra, yêu cầu cơ chế giải quyết tranh chấp phải công khai là một trong những yếu tố tạo tâm lý an tâm cho người tiêu dùng khi thực hiện giao dịch, đồng thời cũng là cách thức hỗ trợ tốt hơn cho người tiêu dùng khi phát hiện có hành vi xâm phạm thông tin cá nhân. Tuy nhiên, vấn đề kiểm soát, giám sát thương nhân, tổ chức cung cấp dịch vụ TMĐT trong việc xây dựng quy chế cũng như chấp hành chính sách hoạt động do chính họ đưa ra còn là một lỗ hổng do chưa có cơ chế kiểm soát việc thực thi trên thực tế.
Thông tin thanh toán cũng được xem là một trong những thông tin cá nhân của người tiêu dùng. Đây là những thông tin có khả năng thanh toán trực tiếp tiền mua hàng hóa, dịch vụ; rút tiền mặt trực tiếp từ các ngân hàng hoặc qua các máy rút tiền tự động (ATM) bằng các thẻ thanh toán có chứa thông tin thanh toán. Do tính chất nhạy cảm, đồng thời đây cũng là loại thông tin có giá trị kinh tế cao, cho nên pháp luật TMĐT cũng dành những quy định riêng về trách nhiệm bảo vệ thông tin thanh toán của người tiêu dùng. Cụ thể, với các thương nhân, tổ chức, cá nhân sở hữu website TMĐT có chức năng thanh toán trực tuyến phải có các trách nhiệm như: Đảm bảo an toàn, bảo mật giao dịch thanh toán của khách hàng; công bố trên website chính sách về bảo mật thông tin thanh toán cho khách hàng...
2. Trách nhiệm của người bán
Người bán tham gia vào hoạt động TMĐT bao gồm: Các thương nhân, tổ chức, cá nhân tự thiết lập website TMĐT để phục vụ hoạt động xúc tiến thương mại, bán hàng hóa hoặc cung ứng dịch vụ của mình (người sở hữu website TMĐT bán hàng); các thương nhân, tổ chức, cá nhân sử dụng website của thương nhân, tổ chức cung cấp dịch vụ TMĐT để phục vụ hoạt động xúc tiến thương mại, bán hàng hóa hoặc cung ứng dịch vụ của mình (người bán trên website TMĐT).
Đối với người bán là người sở hữu website TMĐT bán hàng, các giao dịch được thực hiện trên website TMĐT do chính những chủ thể này tự thiết lập. Cho nên, trước hết chủ sở hữu website TMĐT bán hàng phải có trách nhiệm trong việc bảo vệ thông tin cá nhân người tiêu dùng như một thương nhân, tổ chức cung cấp dịch vụ TMĐT, đồng thời cũng có những trách nhiệm của người bán trên website TMĐT. Điều 27 Nghị định số 52/2013/NĐ-CP cũng quy định thương nhân, tổ chức, cá nhân sở hữu website TMĐT bán hàng có trách nhiệm tuân thủ các quy định về bảo vệ thông tin cá nhân của khách hàng quy định tại mục 1 Chương V của Nghị định.
Pháp luật TMĐT đã liệt kê các trách nhiệm của người bán trên website TMĐT, nhưng lại không quy định về trách nhiệm trong vấn đề bảo vệ thông tin cá nhânngười tiêu dùng. Đây là một thiếu sót của hệ thống pháp luật về TMĐT. Áp dụng quy định chung về trách nhiệm của tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ khi “thu thập, sử dụng, chuyển giao” thông tin của người tiêu dùng tại Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 có thể gián tiếp xác định trách nhiệm của người bán trong vấn đề bảo vệ thông tin cá nhân của người tiêu dùng. Theo đó, người bán trên website TMĐT có trách nhiệm sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý; bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng; chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác.
Hiện nay, hoạt động kinh doanh qua mạng xã hội cũng trở nên phổ biến. Theo chỉ số TMĐT Việt Nam năm 2018, trong số 4.147 doanh nghiệp tham gia khảo sát, có tới 32% doanh nghiệp đang tiến hành kinh doanh trên mạng xã hội[2]. Theo Điều 6 Thông tư số 47/2014/TT-BCTngày 05/12/2014 của Bộ Tài chính quy định về quản lý website thương mại điện tử, thì các mạng xã hội nếu có một trong những hình thức hoạt động quy định tại điểm a, điểm b, điểm c khoản 2 Điều 35 Nghị định số 52/2013/NĐ-CP phải tiến hành đăng ký với Bộ Công Thương dưới hình thức sàn giao dịch TMĐT. Như vậy, thương nhân, tổ chức thiết lập mạng xã hội và người bán trên mạng xã hội phải thực hiện các trách nhiệm của thương nhân, tổ chức cung cấp dịch vụ sàn giao dịch TMĐT và người bán trên sàn giao dịch TMĐT theo quy định của pháp luật.
3. Trách nhiệm của cá nhân người tiêu dùng
Trách nhiệm bảo vệ thông tin cá nhân của chính người tiêu dùng mới chỉ được ghi nhận như một nguyên tắc bảo đảm an toàn thông tin mạng tại khoản 1 Điều 16 Luật An toàn thông tin mạng năm 2015, theo đó, cá nhân cũng phải có trách nhiệm trong việc tự bảo vệ thông tin cá nhân của mình. Rõ ràng, người tiêu dùng trong TMĐT có nhiều điểm khác biệt so với người tiêu dùng trong giao dịch truyền thống, nhưng dù áp dụng phương thức giao dịch nào thì người tiêu dùng vẫn phải có ý thức trong việc tự bảo vệ mình. So với khi phát hiện bị xâm phạm mới quan tâm đến bảo vệ thông tin cá nhân thì có ý thức tự bảo vệ ngay khi bắt đầu tham gia vào giao dịch để phòng ngừa nguy cơ rủi ro là lựa chọn thông minh hơn nhiều. Có thể hiểu, trách nhiệm của người tiêu dùng trong việc bảo vệ thông tin cá nhân là dạng trách nhiệm tự thân. Trách nhiệm này không chỉ ở giai đoạn xác lập mà xuyên suốt trong cả quá trình giao dịch, kể cả khi giao dịch đã kết thúc. Cụ thể, trách nhiệm tự bảo vệ thông tin cá nhân của người tiêu dùng thể hiện ngay từ việc lựa chọn giao dịch với những website TMĐT, người bán có uy tín trên thị trường. Thận trọng trong việc cung cấp thông tin cá nhân và chọn lọc các thông tin sẽ cung cấp, có thể từ chối tiết lộ một số loại thông tin như một cách để bảo vệ mình và tiết lộ các thông tin khác để có được sản phẩm hoặc dịch vụ mong muốn[3].
Người tiêu dùng cũng cần có những nhận thức về quyền hạn đối với thông tin cá nhân của mình như: Quyền yêu cầu đơn vị thu thập thông tin thực hiện việc kiểm tra, cập nhật, điều chỉnh hoặc hủy bỏ thông tin cá nhân của mình; ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba; quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân…[4] Trách nhiệm tự bảo vệ thông tin cá nhân của người tiêu dùng là một dạng trách nhiệm tự thân, đóng vai trò hết sức quan trọng trong hoạt động đảm bảo an toàn thông tin mạng nói chung, góp phần tạo ra một môi trường TMĐT phát triển ổn định và bền vững.
4. Vấn đề thu thập và sử dụng thông tin cá nhân người tiêu dùng
Trong quá trình thu thập và sử dụng thông tin cá nhân người tiêu dùng, các chủ thể thu thập thông tin phải tuân thủ các quy định pháp luật có liên quan, cụ thể:
Thứ nhất, vấn đề thu thập thông tin cá nhân người tiêu dùng
Luật Công nghệ thông tin năm 2006, Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, Luật An toàn thông tin mạng năm 2015 và Nghị định số 52/2013/NĐ-CP đều có những quy định liên quan đến vấn đề thu thập và sử dụng thông tin cá nhân[5]. Nội dung của các quy định khá tương đồng, đều dựa trên một nguyên tắc cơ bản là phải có sự đồng ý của chủ thể thông tin về phạm vi, mục đích của việc thu thập và sử dụng thông tin trước khi tiến hành thu thập thông tin của người đó. Quy định này tương thích với nội dung của Hướng dẫn của Liên Hợp Quốc về bảo vệ người tiêu dùng; phù hợp với quy định của Bộ luật Dân sự năm 2015[6]. Mặt khác, đây cũng là một quy định rất hợp lý bởi thông tin cá nhân thuộc quyền sở hữu riêng của chủ thể thông tin, nên người đó có quyền quyết định cho phép hoặc từ chối hành vi thu thập và sử dụng thông tin cá nhân của tổ chức, cá nhân khác; đồng thời cũng có quyền được thông tin về những loại thông tin nào được thu thập, phạm vi và mục đích sử dụng để từ đó đưa ra quyết định có chấp thuận việc thu thập thông tin cá nhân của mình hay không. Việc xin ý kiến đồng ý của khách hàng phải được tiến hành thông qua một bước riêng để khách hàng lựa chọn chấp nhận hoặc từ chối. Không được thiết lập cơ chế chọn đồng ý mặc định cho khách hang[7].
Trên thực tế, người tiêu dùng thường không chú ý đến các nội dung về mục đích và phạm vi thu thập thông tin cá nhân do website TMĐT công bố. Kể cả khi người tiêu dùng đã đọc trước, trong nhiều trường hợp vẫn xác nhận đồng ý cho phép thu thập và sử dụng vì chưa ý thức được giá trị thông tin cá nhân của mình. Lợi dụng điều này, chủ thể thu thập thông tin thường thu thập và lưu giữ nhiều hơn những thông tin mà mình thực sự cần, đưa ra mục đích thu thập nhưng chỉ mang tính chất đối phó. Trên thực tế, cũng tồn tại tình trạng các chủ thể thu thập tự ý thu thập thông tin mà chưa có sự đồng ý trước đó của khách hàng.
Thứ hai, vấn đề sử dụng thông tin cá nhân người tiêu dùng
Ngoài một số trường hợp ngoại lệ được quy định tại khoản 4 Điều 70 Nghị định số 52/2013/NĐ-CP, đơn vị thu thập thông tin phải sử dụng thông tin cá nhân người tiêu dùng đúng với mục đích và phạm vi đã thông báo. Nguyên tắc có sự đồng ý trước của chủ thể thông tin không chỉ được áp dụng ở giai đoạn thu thập mà còn phải được tuân thủ trong quá trình sử dụng thông tin cá nhân đó. Khi sử dụng thông tin cá nhân vào mục đích khác với mục đích ban đầu đã thỏa thuận phải có sự cho phép của người tiêu dùng, không được cung cấp, chia sẻ, phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của người tiêu dùng hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Trong quá trình sử dụng thông tin cá nhân, chủ thể thu thập thông tin cũng có trách nhiệm tuân thủ các quy định về đảm bảo an toàn, an ninh thông tin cá nhân như: Áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân; áp dụng các biện pháp khắc phục, ngăn chặn khi xảy ra hoặc có nguy cơ xảy ra sự cố làm mất an toàn thông tin cá nhân; kiểm tra, cập nhật, điều chỉnh, hủy bỏ thông tin cá nhân của người tiêu dùng khi có yêu cầu hoặc cung cấp cho người tiêu dùng công cụ để tự kiểm tra, cập nhật, điều chỉnh thông tin cá nhân; hủy bỏ thông tin cá nhân lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ…
Thứ ba, các hành vi bị cấm trong thu thập và sử dụng thông tin cá nhân
Điều 4 Nghị định số 52/2013/NĐ-CP quy định về các hành vi bị cấm trong TMĐT, trong đó có hành vi đánh cắp, sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến thông tin cá nhân của người tiêu dùng trong TMĐT khi chưa được sự đồng ý của các bên liên quan. Điều 7 Luật An toàn thông tin mạng năm 2015 tiếp tục nhấn mạnh: Nghiêm cấm hành vi thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác. Để phù hợp với phạm vi điều chỉnh, Luật An toàn thông tin mạng còn mở rộng nghiêm cấm thêm với hành vi lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
Về cơ bản, Luật Công nghệ thông tin năm 2006, Luật An toàn thông tin mạng năm 2015 và Nghị định số 52/2013/NĐ-CP đã có những quy định tương đối rõ ràng, hợp lý và đầy đủ để đảm bảo cho hoạt động thu thập và sử dụng thông tin cá nhân người tiêu dùng được vận hành an toàn và ổn định. Trên thực tế, thương nhân, tổ chức, cá nhân kinh doanh TMĐT có thể không trực tiếp tiến hành việc thu thập và lưu trữ thông tin cá nhân của người tiêu dùng mà ủy quyền cho một bên thứ ba thực hiện. Đối với trường hợp này, pháp luật yêu cầu hợp đồng giữa hai bên phải quy định rõ trách nhiệm của mỗi bên trong việc tuân thủ các quy định pháp luật về bảo vệ thông tin cá nhân. Nếu hợp đồng không quy định rõ thì chủ thể hoạt động kinh doanh TMĐT phải chịu trách nhiệm nếu có vi phạm.
5. Một số kiến nghị
Một là, về trách nhiệm bảo vệ thông tin cá nhân người tiêu dùng của người bán trên website TMĐT
Theo Điều 68 Nghị định số 52/2013/NĐ-CP, trong quá trình hoạt động kinh doanh TMĐT, nếu thương nhân, tổ chức, cá nhân thực hiện việc thu thập thông tin cá nhân của người tiêu dùng thì phải tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân. Pháp luật đã đặt trách nhiệm bảo vệ thông tin cá nhân người tiêu dùng chủ yếu lên các chủ thể cung cấp dịch vụ TMĐT bởi các hoạt động thu thập, quản lý và sử dụng thông tin được diễn ra trên website TMĐT và người bán lúc này đóng vai trò như một khách hàng của thương nhân, tổ chức thiết lập website TMĐT. Tuy nhiên, dù người bán trên website TMĐT không trực tiếp thực hiện việc thu thập và xử lý thông tin cá nhân của người tiêu dùng nhưng đây vẫn là những thông tin người bán có thể tiếp cận và sử dụng.
Chính vì vậy, Nghị định số 52/2013/NĐ-CP cần bổ sung quy định về trách nhiệm của người bán trên website TMĐT trong việc tuân thủ các quy định của pháp luật về bảo vệ thông tin cá nhân người tiêu dùng. Cụ thể, cần bổ sung quy định tại khoản 1 Điều 68 Nghị định số 52/2013/NĐ-CP như sau: “Trong quá trình hoạt động kinh doanh TMĐT, nếu thương nhân, tổ chức, cá nhân thực hiện việc thu thập hoặc sử dụng thông tin cá nhân của người tiêu dùng thì phải tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân”.
Hai là, về hành vi mua, nhận chuyển nhượng thông tin cá nhân của người tiêu dùng
Khoản 33 Điều 1 Nghị định số 124/2015/NĐ-CP ngày 19/11/2015 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 185/2013/NĐ-CP ngày 15/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (Nghị định số 124/2015/NĐ-CP) mới chỉ quy định xử phạt hành chính đối với hành vi đánh cắp, tiết lộ, chuyển nhượng, bán các thông tin cá nhân của người tiêu dùng trong TMĐT. Trong khi đó, theo pháp luật hiện hành, việc chuyển giao thông tin cá nhân cho một bên thứ ba bắt buộc phải có sự đồng ý của chủ thể thông tin trước đó. Vì vậy, người mua trong trường hợp chưa có sự đồng ý chuyển giao của người tiêu dùng không phải là chủ thể có quyền tiếp cận và sử dụng thông tin cá nhân của người tiêu dùng. Mặt khác, rõ ràng thông tin cá nhân của người tiêu dùng trong TMĐT không phải là một “mặt hàng” hợp pháp để đưa vào giao dịch, nên tất cả các bên tham gia vào giao dịch, không chỉ chủ thể bán thông tin cá nhân mà cả chủ thể mua thông tin cá nhân của người tiêu dùng cũng phải bị xử lý theo quy định của pháp luật. Do đó, cần phải có những quy định xử phạt đối với những chủ thể có hành vi “mua, nhận chuyển nhượng” thông tin cá nhân của người tiêu dùng. Vì vậy, điểm b khoản 5 Điều 82 Nghị định số 185/2013/NĐ-CP ngày 15/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng cần được bổ sung thành: “Đánh cắp, tiết lộ, chuyển nhượng, bán, mua, nhận chuyển nhượng các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức khác hoặc thông tin cá nhân của người tiêu dùng trong TMĐT khi chưa được sự đồng ý của các bên liên quan”.
Ba là, về xử phạt vi phạm hành chính đối với hành vi bán, chuyển nhượng trái phép thông tin cá nhân người tiêu dùng
Chế tài hành chính áp dụng với các cá nhân, tổ chức thực hiện hành vi chuyển nhượng, bán trái phép thông tin cá nhân người tiêu dùng là một bất cập bởi vẫn chưa đủ mạnh để tạo tính răn đe, phòng ngừa các tổ chức, cá nhân vi phạm. Cụ thể, mức phạt tiền hiện tại theo quy định là từ 30.000.000 đồng đến 40.000.000 đồng[8] chưa tương xứng với lợi nhuận “khủng” mà các chủ thể thực hiện hành vi vi phạm có thể thu được. Trong khi đó, các hình thức xử phạt bổ sung hay biện pháp khắc phục hậu quả về nguyên tắc là không bắt buộc áp dụng (Điều 21, Điều 28 Luật Xử lý vi phạm hành chính năm 2012), quyết định có áp dụng hay không tùy thuộc ít nhiều vào ý chí chủ quan của chủ thể có thẩm quyền đối với từng vụ việc cụ thể. Như vậy, trường hợp hành vi vi phạm chỉ bị áp dụng hình thức xử phạt chính là phạt tiền, chủ thể có thẩm quyền không áp dụng hình thức xử phạt bổ sung hay biện pháp khắc phục hậu quả, đặc biệt là biện pháp “buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm” thì rõ ràng là mức phạt tiền nêu trên còn quá thấp và không hợp lý. Nhưng nếu tiếp tục sửa đổi theo hướng tăng mức xử phạt tiền đối với hành vi này lên cao thì lại không hợp lý đối với các trường hợp vi phạm có quy mô nhỏ lẻ, lợi nhuận thấp. Chính vì vậy, tác giả kiến nghị, thay vì căn cứ vào hành vi vi phạm để xác định mức xử phạt tiền cố định như quy định hiện hành thì Chính phủ cần xem xét sửa đổi quy định xử phạt vi phạm hành chính đối với hành vi bán, chuyển nhượng thông tin cá nhân người tiêu dùng khi chưa được sự đồng ý của người đó theo hướng hình phạt tiền cần được xây dựng dựa trên lợi nhuận mà thực tế tổ chức, cá nhân vi phạm thu được và mức phạt tiền cũng phải tỷ lệ thuận với số lợi bất hợp pháp có được. Tuy nhiên, vẫn giữ nguyên mức hình phạt tiền thấp nhất áp dụng đối với các chủ thể thực hiện hành vi để đảm bảo được tính răn đe, phòng ngừa vi phạm ngay cả đối với những vụ việc có quy mô nhỏ lẻ.
Nguyễn Thị Thu Hằng
Đại học Luật TP. Hồ Chí Minh
Đại học Luật TP. Hồ Chí Minh
[1]. Xem: Điều 36, Điều 41 Nghị định số 52/2013/NĐ-CP và Điều 4 Thông tư số 47/2014/TT-BCT ngày 05/12/2014 của Bộ Công thương quy định về quản lý website TMĐT.
[2]. Hiệp hội Thương mại điện tử Việt Nam (2018), Chỉ số thương mại điện tử Việt Nam năm 2018, tr. 30.
[3]. Miriam J. Metzger (2007), Communication Privacy Management in Electronic Commerce,Journal of Computer-Mediated Communication, International Communication Association, Vol. 12, tr. 339.
[4]. Xem thêm: Điều 18 Luật An toàn thông tin mạng năm 2015, Điều 73 Nghị định số 52/2013/NĐ-CP.
[5]. Xem: Điều 21 Luật Công nghệ thông tin năm 2006, Điều 17 Luật An toàn thông tin mạng năm 2015, Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, Điều 70 Nghị định số 52/2013/NĐ-CP.
[6]. United Nations (2016), Guidelines for Consumer Protection, tr. 10: “Các doanh nghiệp cần bảo vệ quyền riêng tư của người tiêu dùng thông qua sự kết hợp giữa các cơ chế kiểm soát, bảo mật, minh bạch và có sự chấp thuận khi thu thập và sử dụng thông tin cá nhânngười tiêu dùng”.
Khoản 1 Điều 38 Bộ luật Dân sự năm 2015: “Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý”.
[7]. Khoản 21 Mục IV Thông tư số 09/2008/TT-BCT ngày 21/7/2008 của Bộ Công thương hướng dẫn Nghị định TMĐT về cung cấp thông tin và giao kết hợp đồng trên website TMĐT.
[8]. Khoản 33 Điều 1 Nghị định số 124/2015/NĐ-CP.
