Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử

Mục lục

Bàn về vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử

Tác giả: ThS. Nguyễn Thị Thu Hằng

TÓM TẮT

Bài viết trình bày một số cơ sở lý luận của vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử, với các nội dung sau: (i) chứng minh sự cần thiết của việc bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử; (ii) làm rõ các yếu tố chi phối hoạt động bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử; (iii) khái quát các khuynh hướng điều chỉnh của pháp luật đối với vấn đề bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử.

Xem thêm:

Xem thêm tài liệu liên quan:

Bảo vệ quyền lợi người tiêu dùng cá nhân khi ký kết hợp đồng tín dụng ngân hàng – ThS. Trần Thị Diệu Hà
Bàn về quy định người tiêu dùng là tổ chức theo luật bảo vệ quyền lợi người tiêu dùng Việt Nam – ThS. Lê Thị Hồng Vân
Quy định của CPTPP về thương mại điện tử và thách thức đối với Việt Nam trong bối cảnh hiện tại – ThS. Trần Lê Quốc Công

TỪ KHÓA: Người tiêu dùng, Thương mại điện tử

1. Sự cần thiết của việc bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử

Cùng với sự phổ cập ngày càng rộng rãi của Internet và sự ra đời của các công nghệ mới, thương mại điện tử (TMĐT) đã phát triển nhanh cả về hình thức lẫn tính ứng dụng. Trên thực tế, khi giao dịch TMĐT được người tiêu dùng (NTD) lựa chọn càng nhiều thì các hành vi xâm phạm thông tin cá nhân (TTCN) cũng diễn ra phức tạp và phổ biến hơn. Việc nghiên cứu các cơ sở chứng minh sự cần thiết của việc bảo vệ TTCN của NTD trong TMĐT có ý nghĩa quan trọng, đặt nền tảng về ý thức hệ cho hoạt động xây dựng và hoàn thiện pháp luật điều chỉnh.

1.1. Bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử góp phần bảo đảm quyền riêng tư và quyền lợi của người tiêu dùng

Quyền riêng tư là quyền giới hạn của cá nhân đối với thông tin của họ để xác định cho mình khi nào, làm thế nào và ở mức độ nào thông tin được truyền đạt cho người khác.[1] Sự riêng tư về TTCN là một nội dung của quyền riêng tư, được hiểu là “khả năng kiểm soát của con người khi TTCN của họ được thu thập và sử dụng”.[2] Khi “xã hội công nghiệp” chuyển sang “xã hội công nghệ”, quyền riêng tư của con người càng được quan tâm nhiều hơn. Đối với NTD, quyền riêng tư là khả năng kiểm soát TTCN của họ bằng việc sử dụng hoặc cho đi khi họ thấy phù hợp. Còn đối với bên bán, quyền riêng tư của NTD là sự tương tác mang tính hai chiều giữa bên bán với NTD. Nếu NTD càng ít quan tâm đến quyền riêng tư thì bên bán càng có cơ hội để khai thác thông tin nhằm phát triển các giao dịch TMĐT của mình.[3]

Trong mối quan hệ với tổ chức, cá nhân kinh doanh, NTD thường rơi vào tình trạng bất cân xứng về thông tin, hiểu biết, trình độ khoa học kỹ thuật, khả năng đàm phán, ký kết hợp đồng, khả năng chịu rủi ro và sự am tường pháp luật cũng như tiềm lực tài chính, cho nên NTD luôn ở vị thế yếu hơn.[4] Sự bất cân xứng này càng thể hiện rõ nét hơn khi quan hệ tiêu dùng được xác lập thông qua giao dịch TMĐT, chịu sự chi phối của môi trường mạng và yếu tố công nghệ. Lý thuyết về bảo vệ NTD thường dựa trên ba mục tiêu lớn là tạo ra thị trường hiệu quả cho hàng hóa, dịch vụ tiêu dùng, thúc đẩy đạo đức kinh doanh và bảo vệ những người theo chủ nghĩa tiêu dùng.[5] Vì vậy, bảo vệ TTCN của NTD cũng hướng tới các mục tiêu này, để bảo vệ một cách trọn vẹn quyền lợi cho NTD.

Trong TMĐT, TTCN của NTD là một dữ liệu được thu thập thường xuyên, lưu trữ và sử dụng không chỉ bởi các nhà bán lẻ, nhà sản xuất mà còn bởi nhà cung cấp dịch vụ, các tổ chức phi lợi nhuận hay thậm chí là các hacker (tin tặc). Trong khi đó, NTD trong nhiều trường hợp chưa có ý thức về “giá trị” của TTCN, dẫn đến thiếu sự quan tâm đến vấn đề bảo mật thông tin. Bảo vệ TTCN được xem là một quyền hiến định theo pháp luật của nhiều quốc gia trên thế giới bởi TTCN thuộc sở hữu riêng của mỗi người, có thể xác định và định danh một người cụ thể. Trên cơ sở đó, pháp luật về bảo vệ quyền lợi NTD đã cụ thể hóa và xây dựng cơ chế để bảo đảm an toàn, bí mật về TTCN cho NTD, kể cả khi NTD mua hàng hóa, dịch vụ bằng giao dịch TMĐT. Ngay cả khi bỏ qua khía cạnh giao dịch, bên bán vẫn có nghĩa vụ bảo đảm quyền riêng tư cho NTD thông qua việc bảo đảm an toàn cho những TTCN của NTD mà bên bán tiếp cận được (NTD đã cung cấp TTCN nhưng chưa/ từ chối xác lập giao dịch). Trong trường hợp quyền riêng tư đối với TTCN của NTD bị xâm phạm thì các chế tài do vi phạm quyền riêng tư của con người trong pháp luật về quyền riêng tư có thể được áp dụng đối với các bên liên quan.

1.2. Thực trạng hành vi xâm phạm thông tin cá nhân của người tiêu dùng trong thương mại điện tử ngày càng phổ biến

Trong nền kinh tế thị trường, thông tin khách hàng được nhiều tổ chức, cá nhân thu thập, lưu trữ và sử dụng để phục vụ cho nhiều mục đích khác nhau như tiếp thị sản phẩm, nghiên cứu thị trường, thậm chí được xem là một “mặt hàng” có thể mua bán… Hiện nay, các hành vi xâm phạm trái phép các TTCN trong TMĐT ngày càng trở nên phổ biến và tinh vi, điển hình như:

Một là, thu thập và sử dụng trái phép TTCN của NTD.

Với các công nghệ lớn và ngày càng phổ biến như công nghệ IoT (Internet of thing – Internet vạn vật), AI (artificial intelligence – trí tuệ nhân tạo), VR (virtual reality – thực tế ảo), AR (Augmented Reality – tương tác ảo), Cloud Computing (điện toán đám mây), big Data (dữ liệu lớn)… doanh nghiệp có thể dễ dàng thu thập, lưu trữ, phân tích và truyền tải dữ liệu của cá nhân.[6] Trong những trường hợp như vậy, số lượng người bị thu thập và sử dụng thông tin có thể lên tới hàng ngàn thậm chí là hàng triệu người. Tính phức tạp về mặt công nghệ đã khiến cho việc xác định và xử lý hành vi xâm phạm TTCN trở nên khó khăn, vượt ra khỏi tầm kiểm soát của pháp luật. Chẳng hạn, vào tháng 8/2014, hãng điện thoại Trung Quốc Xiaomi đã thừa nhận hành vi thu thập dữ liệu trái phép từ điện thoại của người dùng Việt Nam về máy chủ tại Trung Quốc. Theo đó, khi người dùng mua Redmi về, chỉ mới đơn giản lắp SIM vào máy, kết nối mạng, thêm số liên lạc, thực hiện vài cuộc điện thoại và trao đổi tin nhắn là các thông tin như tên nhà mạng, số liên lạc, tin nhắn SMS đều được chuyển tiếp đến máy chủ của Xiaomi.[7]

Hai là, đánh cắp TTCN của NTD: TTCN của NTD trong TMĐT thường được lưu trữ dưới dạng “dữ liệu điện tử”, cho nên trong trường hợp doanh nghiệp không có các biện pháp đảm bảo an toàn hiệu quả thì có thể bị tin tặc tấn công bất cứ khi nào. Theo Báo cáo chỉ số TMĐT Việt Nam (E-Business Index-EBI) năm 2017, có 17% website trong khảo sát mắc rủi ro nghiêm trọng là để dữ liệu của khách hàng có thể bị xem trái phép bởi người dùng khác. Một khách hàng khi sử dụng dịch vụ TMĐT tại các website này có khả năng mất tên, email, mật khẩu (dạng mã hóa) hoặc thông tin ngân hàng. Các website TMĐT bán lẻ thường có số lượng lớn khách hàng nên các dữ liệu khách hàng rất có giá trị với tội phạm công nghệ.[8] Hiện nay, hoạt động đánh cắp TTCN của NTD ngày càng trở nên phổ biến với quy mô ngày càng lớn, như vụ việc cuối tháng 4/2018, một diễn đàn nước ngoài đã rao bán gói dữ liệu lên đến 7,55 GB của hơn 163 triệu tài khoản Zing ID của Công ty Công nghệ Việt Nam (VNG)[9] hay nghi vấn Công ty CP Thế giới di động bị hack gói dữ liệu bao gồm danh sách thông tin của khoảng 5,4 triệu khách hàng vào đầu tháng 11/2018.

Ba là, hành vi làm phiền, lừa đảo chiếm đoạt tài sản NTD: đây là hệ quả của các hành vi trên. Các thông tin về nhân thân khách hàng cũng có thể được sử dụng cho nhiều mục đích khác nhau như: tiếp thị hàng hóa, dịch vụ; làm giấy tờ giả; bán cho bên thứ ba… Nhiều người cảm thấy bị làm phiền và khó chịu khi thường xuyên nhận được các lời mời sử dụng hàng hóa, dịch vụ của nhiều cá nhân, tổ chức thông qua thư điện tử hoặc điện thoại di động (nhắn tin hoặc gọi điện). Trong những trường hợp như vậy, phần lớn các thông tin họ có được là bất hợp pháp, bởi về nguyên tắc, việc thu thập và sử dụng các TTCN chỉ được thực hiện khi có sự đồng ý của chủ thể thông tin. Đây được xem là một hệ quả của các hành vi thu thập thông tin bất hợp pháp, phản ánh một lối tiếp thị, quảng bá sản phẩm kém văn minh của nhiều doanh nghiệp hiện nay. Ngoài ra, khi có được thông tin NTD, đặc biệt là các thông tin về thẻ tín dụng, tội phạm có thể sử dụng các thông tin này làm giả thẻ tín dụng để chiếm đoạt tiền trong tài khoản hoặc thực hiện các chi tiêu mua sắm.

1.3. Bảo vệ thông tin cá nhân của người tiêu dùng tạo động lực cho sự phát triển của thương mại điện tử

TTCN là một phạm trù gắn với quyền riêng tư. Trong bối cảnh này, quyền riêng tư có nghĩa là các quy tắc điều chỉnh việc thu thập, sử dụng và tiết lộ thông tin. Bề ngoài, các quy tắc về quyền riêng tư được sử dụng để củng cố các mối quan hệ về thông tin (bên chia sẻ thông tin và bên tiếp nhận thông tin). Trong đó, sự tin tưởng là nhân tố quan trọng tác động đến sự phát triển của các mối quan hệ về thông tin.[10] Bởi vì, khi tin tưởng lẫn nhau, con người mới chia sẻ các thông tin thuộc về cá nhân mình cho một chủ thể bất kì có nguyện vọng thu thập và sử dụng thông tin. Các mối quan hệ về thông tin rất cần thiết để phát triển hoạt động TMĐT hiện nay – phương thức giao dịch gắn với việc truyền dẫn dữ liệu điện tử. Nhiều nghiên cứu về ứng dụng và phát triển các mô hình TMĐT đều cho thấy rằng sự tin tưởng của NTD sẽ góp phần thúc đẩy TMĐT phát triển, hướng NTD tới quyết định lựa chọn giao dịch TMĐT thay vì phương thức giao dịch truyền thống. Sự tin tưởng này được hình thành từ nhiều nhân tố, trong đó có nhân tố về đảm bảo quyền riêng tư, an toàn TTCN cho NTD.[11] Tiêu dùng hàng hóa, dịch vụ là một nhu cầu chính đáng của con người. Dân số gia tăng, cộng thêm sự đa dạng trong nhu cầu tiêu dùng đã làm cho các giao dịch được xác lập để thỏa mãn nhu cầu tiêu dùng của con người tăng lên nhanh chóng. Các giao dịch giữa doanh nghiệp với NTD (Business to Customer – B2C) dần dần chiếm tỷ trọng không nhỏ trong các giao dịch tiêu dùng nói chung và giao dịch TMĐT nói riêng. Giao dịch B2C xác lập sẽ đi kèm với hoạt động thu thập và sử dụng thông tin của bên bán. Trên thực tế, NTD khá lo ngại với việc bị xâm phạm và lạm dụng TTCN của họ. Theo kết quả khảo sát của Cục TMĐT và Kinh tế số, có 38% số người được khảo sát cho rằng việc mất TTCN là một trong những trở ngại khi mua sắm trực tuyến và có 25% trả lời lý do chưa tham gia vào mua sắm trực tuyến là tâm lý lo sợ lộ TTCN.[12] Hai trong số tám khó khăn, trở ngại khi vận hành website TMĐT là khách hàng lo ngại vấn đề an toàn khi thanh toán trực tuyến và tâm lý lo ngại TTCN bị mua bán, tiết lộ.[13] Như vậy, khi đảm bảo được vấn đề an toàn cho TTCN của NTD thì số lượng NTD lựa chọn giao dịch này thay cho giao dịch truyền thống tăng lên, tạo đà cho TMĐT phát triển và dần trở thành một phương thức tiêu dùng an toàn và tiện ích.

Bài viết cùng số tạp chí

2. Các yếu tố chi phối hoạt động bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử

Xuất phát từ đặc thù của hoạt động TMĐT, mức độ và hiệu quả bảo vệ TTCN của NTD bị chi phối bởi nhiều yếu tố khác nhau.

2.1. Yếu tố không gian mạng và nền tảng công nghệ

Quan hệ tiêu dùng thông qua TMĐT sẽ chịu sự chi phối của yếu tố không gian mạng – nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian. Hệ quả tất yếu là TTCN của NTD cũng được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi qua môi trường mạng. Chính vì vậy, các rủi ro và sự cố về bảo mật, an toàn TTCN của NTD do hành vi truy nhập, sử dụng, tiết lộ trái phép thông tin là điều khó tránh khỏi.

Hiện nay, nhân loại đã bước sang cuộc cách mạng công nghiệp lần thứ 4 nhờ sự kết hợp giữa các công nghệ lại với nhau, xóa đi ranh giới giữa vật lý, kỹ thuật và sinh học.[14] Nếu không bắt kịp nhịp độ phát triển của thế giới và khu vực, Việt Nam sẽ phải đối mặt những thách thức và tác động tiêu cực, trong đó có hệ quả đe dọa về an toàn, an ninh thông tin.[15] Một trong những nhân tố quan trọng của cuộc cách mạng công nghiệp 4.0 là nền tảng công nghệ, đây sẽ là nhân tố chủ đạo chi phối mạnh mẽ các hình thức và mức độ phát triển của TMĐT. Hiện tại, TMĐT tại Việt Nam đang bước vào giai đoạn ba – giai đoạn TMĐT phát triển nhanh. Trong giai đoạn này, các giao dịch điện tử đã thâm nhập tới mọi lĩnh vực kinh tế xã hội. Nhiều loại hình kinh doanh mới xuất hiện trên nền tảng điện toán đám mây (cloud computing), công nghệ di động (mobile technology), dữ liệu lớn (big data), mạng xã hội (social media)…[16] Có thể nói, các công nghệ mới ra đời hỗ trợ các hình thức kinh doanh mới của doanh nghiệp, thường vượt ra khỏi phạm vi điều chỉnh của pháp luật hiện hành, đặc biệt cũng đặt ra những thách thức mới trong việc bảo đảm an toàn thông tin NTD. Trên thực tế, pháp luật cũng khó bắt kịp sự phát triển nhanh chóng của các thành tựu trong khoa học công nghệ ngày nay. Cho nên, việc kiểm soát hành vi xâm phạm hoặc lạm dụng TTCN của NTD sẽ trở nên khó khăn hơn.

2.2. Yếu tố chủ thể tham gia hoạt động thương mại điện tử

Chủ thể tham gia hoạt động TMĐT không dừng lại ở các chủ thể của phương thức giao dịch truyền thống (như bên bán và bên mua trong hợp đồng mua bán, bên cung ứng dịch vụ và bên sử dụng dịch vụ trong hợp đồng cung ứng dịch vụ…), mà còn liên quan đến nhiều chủ thể khác. Mỗi chủ thể đều có vai trò riêng trong quan hệ TMĐT. Cho nên, trách nhiệm của từng chủ thể trong vấn đề bảo vệ TTCN của NTD cũng khác nhau.

Xét từ phương diện quyền riêng tư trong TMĐT, một nghiên cứu cho thấy, có bốn nhóm chủ thể liên quan đến vấn đề bảo vệ quyền riêng tư: (i) những người muốn kiểm soát việc phát tán TTCN của người thu thập; (ii) những người muốn thu thập TTCN cho mục đích kinh doanh; (iii) những người có hành vi mua, bán, lưu trữ, hoặc sử dụng TTCN trái phép; (iv) người bảo vệ quyền riêng tư, có nghĩa vụ bảo vệ quyền của chủ thể bằng cách ngăn chặn người vi phạm và hướng dẫn thiết lập cho người thu thập thông tin.[17] Trên thực tế, tham gia vào hoạt động TMĐT có thể liên quan đến các chủ thể như người bán; người mua; tổ chức cung cấp dịch vụ mạng; chủ sở hữu website TMĐT…[18] Đặc biệt, với sự chi phối của môi trường mạng, vấn đề xác định chủ thể tiết lộ, chia sẻ hoặc sử dụng trái phép TTCN của NTD càng trở nên khó khăn và phức tạp.

2.3. Yếu tố trình độ công nghệ thông tin và nhận thức của người tiêu dùng

Đối với NTD, tham gia mua sắm hàng hóa và dịch vụ qua TMĐT đòi hỏi họ phải có một trình độ công nghệ thông tin nhất định. Khi có nền tảng công nghệ tốt, khả năng bảo mật thông tin sẽ cao hơn thông qua việc áp dụng các biện pháp tự bảo vệ thông tin, chẳng hạn, bật tính năng “không theo dõi” trên trình duyệt web, không lưu thông tin tài khoản và mật khẩu khi đăng nhập mua hàng tại các máy tính công cộng hay từ chối mua hàng khi chính sách bảo mật của người bán không rõ ràng…

Trong TMĐT, khả năng lưu trữ và truy xuất thông tin của các công nghệ truyền thông mới có thể tạo thuận lợi cho việc thu thập và trao đổi thông tin khách hàng, những người thường không có kiến thức về các công nghệ này. Mặt khác, các điều khoản về quyền riêng tư thường được đặt ở vị trí bất tiện (cuối trang), thường “tẻ nhạt” và phức tạp đối với người dùng website do ngôn ngữ mang tính pháp lý.[19] Trên thực tế, nhiều NTD cũng không quan tâm nhiều đến vấn đề bảo vệ TTCN, bởi họ cho rằng, thông tin của mình không có giá trị gì; hoặc khi bị phát tán thông tin, nếu xác định được chủ thể để lộ thông tin thì họ cũng “e ngại” việc khiếu nại, có thể dẫn đến mất thời gian mà không đạt được mục đích mong muốn.

2.4. Yếu tố pháp luật

Để bảo đảm cho hoạt động TMĐT, các quốc gia đều ra sức xây dựng và thực thi các chính sách và pháp luật phù hợp. Trong đó, vấn đề bảo đảm an toàn thông tin nói chung và an toàn TTCN nói riêng đang trở thành thách thức đối với các nhà lập pháp, bởi cách mạng công nghiệp 4.0 đã làm thay đổi cơ bản các mặt của đời sống nhân loại, kể cả TMĐT. Mặt khác, quyền riêng tư và yêu cầu được bảo vệ về TTCN của con người đang được đề cao và tôn trọng với tư cách là quyền của con người. Dĩ nhiên, pháp luật của bất kỳ nhà nước nào cũng phải thay đổi và hoàn thiện để bắt kịp đòi hỏi này. Pháp luật là công cụ quan trọng chi phối hiệu quả hoạt động bảo vệ TTCN của NTD trong TMĐT. Do đó, việc xây dựng và hoàn thiện các quy định của pháp luật về bảo vệ TTCN của NTD đang là vấn đề trọng tâm của các quốc gia khi có mong muốn phát huy tối đa lợi thế của TMĐT.

3. Khuynh hướng điều chỉnh pháp luật đối với vấn đề bảo vệ thông tin cá nhân người tiêu dùng trong thương mại điện tử

Hiện nay, khi điều chỉnh vấn đề bảo vệ TTCN nói chung và TTCN của NTD trong TMĐT nói riêng, trên thế giới có hai khuynh hướng cơ bản: (i) ban hành đạo luật chung: điển hình như như Liên minh châu Âu (EU), Nhật Bản… Đây là khuynh hướng phổ biến của các quốc gia/khu vực trên thế giới. Tính đến năm 2017, trên thế giới có khoảng 120 nước ban hành luật về bảo mật dữ liệu;[20] (ii) ban hành kèm trong các luật chuyên ngành: điển hình như trường hợp Hoa Kỳ, Việt Nam. Để minh họa cho hai khuynh hướng này, có thể tham khảo kinh nghiệm của EU, Nhật Bản và Hoa Kỳ.

3.1. Pháp luật của EU

EU được xem là một khu vực có pháp luật chặt chẽ, phát triển bậc nhất thế giới về bảo vệ dữ liệu cá nhân. Quyền được bảo vệ dữ liệu cá nhân và tôn trọng đời tư là các quyền cơ bản trong EU. Các quy tắc đầu tiên của EU về bảo vệ dữ liệu cá nhân được thông qua vào năm 1995 (Chỉ thị bảo vệ dữ liệu – Data Protection Directive), khi Internet vẫn còn trong giai đoạn sơ khai. Chỉ thị này đưa ra các quy tắc chung để bảo vệ quyền riêng tư liên quan đến việc xử lý dữ liệu cá nhân và tự do dịch chuyển dữ liệu giữa các quốc gia thành viên EU (Điều 1), đồng thời yêu cầu bất kỳ việc xử lý TTCN nào đều phải có sự đồng ý rõ ràng của người có liên quan và thông tin trước đó về việc xử lý dữ liệu đó phải được cung cấp cho chủ thể dữ liệu.[21] Tuy nhiên, càng về sau, toàn cầu hóa và sự tiến bộ của công nghệ dẫn tới những thách thức mới cho việc bảo vệ dữ liệu cá nhân và đặt ra yêu cầu cải cách khung bảo vệ dữ liệu của EU. Đến thời điểm hiện tại, Chỉ thị về Bảo mật và truyền thông điện tử 2002 (Privacy and Electronic Communications Directive 2002) và Quy định bảo vệ dữ liệu chung 2016 (General Data Protection Regulation – GDPR) đang là hai trụ cột chính của khung pháp lý bảo vệ dữ liệu của EU.

GDPR được xây dựng dựa trên nền tảng của Chỉ thị bảo vệ dữ liệu 1995, nhưng có cập nhật và hiện đại hóa hơn với mục đích đối phó với những thách thức đặt ra bởi nền kinh tế kỹ thuật số. Để tránh tình trạng vận dụng khác biệt các quy định bảo vệ dữ liệu theo Chỉ thị Bảo vệ dữ liệu 1995 của các thành viên trước đó, GDPR sẽ ràng buộc toàn bộ và áp dụng trực tiếp tại các quốc gia thành viên.[22]

Khác với GDPR, Chỉ thị về Bảo mật và truyền thông điện tử 2002 (được sửa đổi năm 2009) quy định các quy tắc về quyền riêng tư và thông tin liên lạc được mã hóa, với mục đích bảo vệ các quyền cơ bản và quyền tự do (đặc biệt là quyền riêng tư) đối với việc xử lý dữ liệu cá nhân trong lĩnh vực viễn thông trong mạng điện tử công cộng và đảm bảo sự di chuyển tự do của dữ liệu đó.[23] Tuy nhiên, thực tế các mục tiêu của Chỉ thị không được bảo đảm, do việc thực hiện phân tán của các quốc gia thành viên. Mặt khác, các quy tắc đã được thực thi kém hiệu quả, không thể theo kịp với tốc độ phát triển của công nghệ. Nhiều người dùng dễ bị tổn thương do hậu quả của việc sử dụng rộng rãi điện thoại thông minh (ứng dụng), hồ sơ trực tuyến, phương tiện truyền thông xã hội và sự bùng nổ của Internet nói chung.[24] Vì vậy, ngày 10/1/2017, Ủy ban châu Âu đã công bố một đề xuất lập pháp khác nhằm điều chỉnh các quy tắc hiện hành phù hợp với sự phát triển công nghệ và GDPR. Quy định được đề xuất dự định sẽ bãi bỏ Chỉ thị về bảo mật và truyền thông điện tử 2002, đồng thời cụ thể hóa và bổ sung cho GDPR.[25]

Bên cạnh đó, một công cụ bảo vệ dữ liệu khác của EU là Chỉ thị lưu giữ dữ liệu 2006. Tuy nhiên, Chỉ thị này đã bị Tòa án Công lý Liên minh châu Âu (European Court of Justice – ECJ) tuyên bố không hợp lệ vào ngày 8/4/2014, bởi vì nó vi phạm quyền riêng tư (Điều 7), quyền bảo vệ dữ liệu cá nhân (Điều 8) và nguyên tắc tỷ lệ (Điều 52) của Hiến chương về các quyền cơ bản của Liên minh châu Âu Hiện tại, Chỉ thị Lưu giữ dữ liệu 2006 chưa được thay thế bằng luật mới của EU. Thay vào đó, luật lưu giữ dữ liệu của các quốc gia thành viên được áp dụng, nhưng chúng phải được ECJ xem xét. ECJ cho rằng nghĩa vụ lưu giữ dữ liệu và quyền truy cập vào dữ liệu đó chỉ được phép theo luật EU nếu chúng thực sự cần thiết.[26]

3.2. Pháp luật của Nhật Bản

Nhật Bản đã ban hành một đạo luật riêng áp dụng cho các vấn đề riêng tư trực tuyến: Luật Bảo vệ TTCN (The Act on the Protection of Personal Information – APPI) sửa đổi năm 2015 và có hiệu từ ngày 30/5/2017. Các vấn đề pháp lý được sửa đổi chủ yếu tập trung vào các vấn đề liên quan đến TTCN, cụ thể: xác định nội hàm TTCN; quy tắc sử dụng thông tin; thành lập ủy ban bảo vệ TTCN; các chế tài xử phạt hành vi xâm phạm TTCN.[27] APPI chứa đựng các chính sách về bảo vệ dữ liệu, bao gồm các quy tắc không giới hạn để bảo vệ dữ liệu trực tuyến. APPI áp dụng cho bất kỳ nhà kinh doanh nào ở Nhật Bản có được dữ liệu cá nhân (Điều 2), yêu cầu một nhà điều hành doanh nghiệp xử lý TTCN phải thực hiện các biện pháp cần thiết và thích hợp để ngăn chặn sự rò rỉ, mất mát hoặc hư hỏng dữ liệu (Điều 20).

APPI định nghĩa TTCN là những thông tin về con người, xác định dựa vào tên, ngày sinh hoặc mô tả khác. TTCN cũng bao gồm các dấu hiệu nhận dạng cá nhân, chẳng hạn như dữ liệu vân tay và số nhận dạng của nhiều tài liệu khác nhau (Điều 20). Trong cuộc thảo luận về sửa đổi APPI năm 2015, nhóm soạn thảo được Chính phủ thành lập xem xét liệu TTCN có bao gồm dữ liệu về hành vi của khách hàng, chẳng hạn như lịch sử tải xuống ứng dụng trên điện thoại thông minh và lịch sử truy cập vào các trang web khác nhau. Tuy nhiên, Chính phủ đã quyết định không mở rộng định nghĩa TTCN với bản sửa đổi năm 2015. Để bảo đảm quyền được bảo vệ TTCN cho người dân, Chính phủ Nhật Bản đã thiết lập chính sách cơ bản về bảo vệ TTCN. Chính sách này đặt ra các hướng cơ bản và hành động được thực hiện bởi Nhà nước, cơ quan công cộng địa phương, cơ quan hành chính độc lập và các thực thể xử lý TTCN (Điều 7). Theo APPI, Ủy ban bảo vệ TTCN (PIPC) được đặt dưới thẩm quyền của Văn phòng Nội các để giám sát việc xử lý TTCN của các doanh nghiệp (Điều 59, Điều 60). PIPC có thể yêu cầu các nhà kinh doanh xử lý TTCN gửi báo cáo và tài liệu, và nhân viên PIPC có thể ghé thăm các doanh nghiệp để phỏng vấn nhân viên của họ và kiểm tra hồ sơ kinh doanh (Điều 40).

PIPC có thể cung cấp lời khuyên cho các doanh nghiệp có hành vi xử lý TTCN. Khi một doanh nghiệp bỏ qua nghĩa vụ pháp lý của mình, PIPC có thể đề nghị người quản lý doanh nghiệp chấm dứt vi phạm và thực hiện các biện pháp khắc phục cần thiết khác. Nếu doanh nghiệp không áp dụng các biện pháp được đề xuất mà không có lý do chính đáng, và khi PIPC phát hiện rằng việc vi phạm nghiêm trọng quyền và lợi ích của cá nhân sắp xảy ra, PIPC có thể yêu cầu người quản lý doanh nghiệp thực hiện các biện pháp được đề xuất (Điều 41, Điều 42). Các nhà kinh doanh không tuân thủ yêu cầu như vậy có thể bị phạt tù không quá sáu tháng hoặc phạt tiền không quá 300.000 yên (khoảng 2.700 đô la Mỹ) (Điều 84).

3.3. Pháp luật của Hoa Kỳ

Hoa Kỳ không có luật liên bang quy định toàn diện về vấn đề bảo vệ và sử dụng TTCN. Thay vào đó, Hoa Kỳ có một hệ thống “chắp vá” các quy định của liên bang và tiểu bang. Ngoài ra, có nhiều hướng dẫn được phát triển bởi các cơ quan của Chính phủ và các nhóm ngành tuy không có hiệu lực pháp luật nhưng là một phần của các nguyên tắc và khuôn khổ tự quản lý. Các đạo luật có liên quan đến bảo vệ thông tin NTD có thể kể đến các đạo luật như: (i) Đạo luật về Ủy ban Thương mại Liên bang là Luật Bảo vệ NTD liên bang, nghiêm cấm các hành vi không công bằng hoặc lừa đảo và đã được áp dụng cho các chính sách riêng tư và an toàn dữ liệu trực tuyến; (ii) Đạo luật Hiện đại hoá các dịch vụ tài chính (hay còn gọi Đạo luật Gramm – Leach – Bliley – Financial Services Modernization Act) quy định việc thu thập, sử dụng và tiết lộ thông tin tài chính; (iii) Đạo luật về tính linh hoạt và tính trách nhiệm về bảo hiểm y tế cũng đã sửa lại Quy tắc Thông báo vi phạm về an ninh; (iv) Đạo luật Báo cáo tín dụng công bằng (Fair Credit Reporting Act); (v) Đạo luật Bảo mật truyền thông điện tử; (vi) Đạo luật Lạm dụng và gian lận máy tính đã quy định việc ngăn chặn liên lạc điện tử và giả mạo máy tính…[28]

Trên thực tế, việc bảo vệ quyền riêng tư và dữ liệu của NTD trong TMĐT ở Hoa Kỳ được thực hiện chủ yếu thông qua các phương thức tự điều chỉnh bởi ngành công nghiệp TMĐT, hay còn gọi là mô hình tự điều chỉnh (Self – Regulation Model). Các biện pháp tự điều chỉnh được chia thành bốn nhóm: (i) nhóm thứ nhất: hướng dẫn tự xây dựng. Ví dụ, tháng 6/1986, Liên minh bảo mật trực tuyến đã công bố hướng dẫn bảo mật trực tuyến của mình, tuyên bố các thành viên đồng ý chấp nhận và thực hiện chính sách bảo mật, nhưng nó không giám sát hiệu suất của các thành viên; (ii) nhóm thứ 2: chương trình xác thực quyền riêng tư TMĐT, có nghĩa là các doanh nghiệp cam kết thực hiện bảo vệ quyền riêng tư TMĐT; (iii) nhóm thứ 3: phương pháp bảo vệ công nghệ, tập trung bảo vệ quyền riêng tư của NTD. Bằng cách sử dụng công nghệ phần mềm để bảo vệ quyền riêng tư, NTD có thể được cảnh báo tự động trước khi nhập vào trang web thông tin nào sẽ được thu thập. Hơn nữa, NTD có thể quyết định trước dữ liệu nào sẽ được thu thập và họ có thể chọn trước dữ liệu cho phép, các dữ liệu khác nằm ngoài lựa chọn sẽ không được thu thập; (iv) nhóm thứ 4: là phương pháp “bến an toàn” (safe harbor), như một phương pháp mới kết hợp tự điều chỉnh với các quy tắc lập pháp. Phương pháp này đề cập các hướng dẫn bảo vệ quyền riêng tư trong TMĐT, được ban hành bởi các nhà cung cấp dịch vụ trực tuyến cụ thể.[29]

Như vậy, mỗi quốc gia, khu vực có một khuynh hướng điều chỉnh pháp luật riêng đối với vấn đề bảo vệ TTCN của NTD trong TMĐT; phụ thuộc vào điều kiện, tình hình và nhu cầu của kinh tế, chính trị, văn hóa và xã hội của chính quốc gia, khu vực đó. Theo tác giả, không có khuynh hướng nào gọi là hoàn hảo và tối ưu, mà mỗi khuynh hướng điều chỉnh đều có những ưu và nhược điểm riêng.

Kết luận

Việt Nam không ban hành một luật chung về bảo vệ TTCN như nhiều quốc gia và khu vực trên thế giới, mà điều chỉnh thông qua các quy định của pháp luật chuyên ngành. Bảo vệ TTCN của NTD trong TMĐT được giới hạn trong hai yếu tố quan trọng: quan hệ tiêu dùng và giao dịch TMĐT. Cho nên trước hết, các văn bản liên quan đến cả hai yếu tố này sẽ được vận dụng để giúp NTD bảo vệ các TTCN của họ. Bên cạnh đó, trước những thách thức của vấn đề an ninh mạng và an toàn thông tin quốc gia, các đạo luật có liên quan cũng được Nhà nước ban hành trong thời gian gần đây như Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018. Thời gian gần đây, các hành vi xâm phạm TTCN của NTD ngày càng phổ biến ở Việt Nam. Thực trạng này đe dọa đến quyền riêng tư về TTCN và đời sống của NTD. Nghiêm trọng hơn, có thể ảnh hưởng đến sự phát triển của TMĐT, cũng như làm nảy sinh nhiều vấn đề tiêu cực đối với đời sống kinh tế, chính trị và xã hội.

NTD là chủ thể quan trọng và phổ biến trong các giao dịch TMĐT. Vì vậy, Nhà nước cần chú trọng việc bảo đảm quyền riêng tư về TTCN cho NTD. Khi mà nền tảng công nghệ của TMĐT hiện đại đang vận động và phát triển nhanh thì pháp luật về bảo vệ TTCN của NTD trong TMĐT cần được hoàn thiện liên tục để bảo vệ NTD khỏi các hành vi xâm phạm TTCN. Hiện nay, việc ban hành một đạo luật chung để bảo vệ thông tin/dữ liệu cá nhân đang là một xu hướng của thế giới. Vấn đề bảo vệ TTCN của NTD trong TMĐT ở Việt Nam đang được điều chỉnh thông qua nhiều văn bản pháp luật chuyên ngành.Tuy nhiên, nếu Nhà nước muốn bảo đảm tốt hơn quyền riêng tư cho công dân nói chung, trên cơ sở đó tối ưu hóa vấn đề bảo vệ TTCN của NTD khi tham gia vào giao dịch điện tử thì cần cân nhắc việc ban hành luật về bảo vệ TTCN trong tương lai.

CHÚ THÍCH

[1] Gabriel Stilman, “The Right to Our Personal Memories: Informational Self-determination and the Right to Record and Disclose Our Personal Data”, Journal of Evolution and Technology, Vol. 25, Issue 2, 2015, tr. 14.

[2] Kyung Han Sohn, “Privacy and security protection under Korean ecommerce law and proposals for its improvements”, Arizona Journal of International and Comparative Law, Vol. 33, No. 1, 2016, tr. 237.

[3] Rhys Smith – Jianhua Shao, “Privacy and e-commerce: a consumer-centric perspective”, Electronic Commerce Research, Vol. 7, Issue 2, 2007, tr. 101 – 102.

[4] Nguyễn Thị Thư, “Về một số quyền của người tiêu dùng theo pháp luật bảo vệ quyền lợi người tiêu dùng”, Tạp chí Nhà nước và pháp luật, số 11, 2011, tr. 57.

[5] A. Brooke Overby, “An Institutional Analysis of Consumer Law”, Vanderbilt Journal of Transnational Law, Vol. 34, 2001, tr. 1222.

[6] Nguyễn Thị Thu Vân, “Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng công nghiệp 4.0”, Tạp chí Dân chủ và pháp luật, số 10, 2017, tr. 3.

[7] Cao Xuân Quảng, Bảo vệ thông tin cá nhân trong các giao dịch tiêu dùng, Bản tin Cạnh tranh và người tiêu dùng số 47, 2014, tr. 15.

[8] Hiệp hội TMĐT Việt Nam, Chỉ số TMĐT Việt Nam, 2017, tr. 80.

[9] Đức Thiện, “Lộ thông tin hàng trăm triệu tài khoản khách hàng, VNG xin lỗi”, Báo Tuổi trẻ Online, truy cập ngày 14/7/2018.

[10] Neil Richards – Woodrow Hartzog, “Taking trust seriously in privacy law”, Stanford Technology Law Review, Vol. 19, 2016, tr. 434.

[11] Ghadeer Neama – Rana Alaskar – Mohammad Alkandari, “Privacy, security, risk, and trust concerns in e-commerce”, the 17th International Conference on Distributed Computing and Networking, No. 46, 2016.

[12] Cục TMĐT và Kinh tế số, Báo cáo TMĐT Việt Nam, 2015, tr. 31 – 32.

[13] Cục TMĐT và Kinh tế số, Báo cáo TMĐT Việt Nam, 2015, tr. 77.

[14] Mario Hermann – Tobias Pentek – Boris Otto, “Design Principles for Industrie 4.0 Scenarios: A Literature Review”, Working Paper, No. 01, 2015.

[15] Chỉ thị số 16/CT-TTg ngày 04/05/2017 của Thủ tướng Chính phủ Về việc tăng cường năng lực tiếp cận cuộc cách mạng công nghiệp lần thứ 4.

[16] Hiệp hội TMĐT Việt Nam, Chỉ số TMĐT Việt Nam 2018, 2018, tr. 9.

[17] M. Head, , Y. Yuan, “Privacy Protection in Electronic Commerce: A Theoretical Framework”, Human Systems Management, 20, 2001, tr. 150.

[18] Tào Thị Quyên – Lương Tuấn Nghĩa, Hoàn thiện pháp luật về TMĐT ở Việt Nam hiện nay, Nxb. Tư pháp, 2016, tr. 14-15.

[19] Zizi Papacharissi – Jan Fernback, “Online Privacy and Consumer Protection: An Analysis of Portal Privacy Statements”, Journal of Broadcasting and Electronic Media, 2005, tr. 260.

[20] Graham Greenleaf, “Global Data Privacy Laws 2017: 120 National Data Privacy Laws, Including Indonesia and Turkey”, Privacy Laws & Business International Report, 2017.

[21] Điều 7 Chỉ thị Bảo vệ dữ liệu 1995.

[22] Điều 99 GDPR. Tuy nhiên, một số điều khoản yêu cầu cho phép áp dụng theo pháp luật của quốc gia thành viên, chẳng hạn việc bổ nhiệm một cơ quan quản lý quốc gia và các biện pháp xử phạt hành chính đối với một hành vi vi phạm GDPR. GDPR cũng chứa “điều khoản mở” cho phép áp dụng pháp luật quốc gia trong các lĩnh vực nhất định, như trường hợp xử lý các danh mục dữ liệu cá nhân đặc biệt.

[23] Điều 1 Chỉ thị về bảo mật và truyền thông điện tử năm 2002.

[24] Electronic Privacy Information Center, EU Privacy and Electronic Communications (e-Privacy Directive), https://epic.org/international/eu_privacy_and_electronic_comm.html#resources, 2016, truy cập ngày 7/6/2018.

[25].http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=41241, truy cập ngày 7/6/2018.

[26].https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054en.pdf, truy cập ngày 8/6/2018.

[27] https://www.ppc.go.jp/en, truy cập ngày 5/9/2018.

[28] Ieuan Jolly, Privacy in the United States: overview, https://uk.practicallaw.thomsonreuters.com/Document/If9d9241113db11e498db8b09b4f043e0/View/FullText.html?transitionType=CategoryPageItem&contextData=%28sc.Default%29&navId=89BF038AFF5442A3A71CDF9F98FD18E9&comp=pluk, 2016, truy cập ngày 9/6/2018.

[29] Meirong Guo, “A Comparative Study on Consumer Right to Privacy in E-Commerce”, Modern Economy, Vol. 3, No. 4, 2012, tr. 404.

Tác giả: Nguyễn Thị Thu Hằng
Tạp chí Khoa học pháp lý Việt Nam số 02(123)/2019 – 2019, Trang 18-25
Nguồn: Fanpage Tạp chí Khoa học pháp lý