Bảo vệ thông tin người dùng trong mua sắm trực tuyến

Sự phát triển nhanh chóng của các nền tảng mua sắm trực tuyến, cùng với ảnh hưởng dây chuyền từ sự xuất hiện của đại dịch COVID-19 khiến cho hoạt động mua sắm truyền thông đang dần bị thay thế bởi loại hình mua sắm mới mẻ dựa vào công nghệ và mạng Internet. Bên cạnh những ưu thế vượt trội về sự tiện lợi, nhanh chóng thì mua sắm trực tuyến còn tiềm ẩn nhiều nguy cơ mà người dùng chưa thể lường trước được, trong đó có nguy cơ mất an toàn thông tin cá nhân.

Trong lĩnh vực thương mại điện tử, để phù hợp với tính chất của hoạt động này, pháp luật quy định cụ thể về các thông tin được coi là của “cá nhân” , góp phần định danh chủ thể đó, áp dụng trong lĩnh vực này, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật. Điểm đặc biệt của quy định này so với định nghĩa được nêu tại Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước là việc bổ sung thêm trường thông tin về số tài khoản và các giao dịch thanh toán cá nhân – những nhóm thông tin hết sức đặc trưng đối với hoạt động mua sắm trực tuyến. Trong khi đó, pháp luật điều chỉnh hoạt động thương mại điện tử không coi những thông tin liên hệ công việc và thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông là thông tin cá nhân.

Bảo vệ thông tin cá nhân trong cuộc sống nói chung và trên môi trường mua sắm trực tuyến nói riêng đã và đang là vấn đề được quan tâm trong khoa học pháp lý. Bên cạnh những quy định về nghĩa vụ bảo vệ thông tin cá nhân cơ bản tại các văn bản quy phạm pháp luật mang tính định hướng như Hiến pháp Việt Nam năm 2013 hay Bộ luật Dân sự năm 2015, đối với lĩnh vực thương mại điện tử, quyền và nghĩa vụ liên quan đến thông tin cá nhân của người dùng được chi tiết hóa qua Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 và Nghị định số 52/2013/NĐ-CP về thương mại điện tử cùng với một số văn bản pháp luật chuyên ngành khác.

 Quy định của pháp luật về bảo vệ thông tin người dùng trong mua sắm trực tuyến

Thông thường, khi bắt đầu và trong quá trình sử dụng dịch vụ mua sắm trực tuyến này, người dùng phải tiến hành cung cấp một số loại thông tin nhất định cho nền tảng để hỗ trợ cho chính hoạt động mua sắm của họ, ví dụ như thông tin định danh; thông tin về địa chỉ nhận hàng; thông tin về thanh toán trực tuyến,… Từ đó đặt ra yêu cầu về việc bảo đảm an toàn các thông tin này, tránh việc bị lộ, lọt, đánh cắp và sử dụng vào các mục đích bất chính, vi phạm pháp luật.

Quy định của Luật Bảo vệ quyền lợi người tiêu dùng năm 2010

Luật Bảo vệ quyền lợi người tiêu dùng được ban hành với mục đích chính là bảo vệ quyền và lợi ích hợp pháp của người tiêu dùng, bao gồm cả người tiêu dùng trực tuyến, mua sắm thông qua mạng Internet và các nền tảng tương tự. Theo đó, thông tin cá nhân của người dùng cũng sẽ được áp dụng những nguyên tắc và quy định điều chỉnh nhằm được bảo vệ, bởi an toàn thông tin cũng là một trong những quyền lợi chính đáng của người tiêu dùng.

Cụ thể hơn, Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 chi tiết hóa các nguyên tắc nêu trên trong việc bảo vệ thông tin của người tiêu dùng. Khoản 1 Điều này tuyên ngôn rõ ràng về việc “Người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu”, đồng thời đặt ra một số trách nhiệm cho tổ chức cá nhân kinh doanh hàng hóa, trong phạm vi bài viết này được hiểu là tổ chức, cá nhân cung cấp dịch vụ thương mại điện tử và thương nhân bán hàng trên nền tảng thương mại điện tử. Các trách nhiệm cần thực hiện bao gồm: (i) Thông báo về mục đích thu thập, sử dụng thông tin; (ii) Chỉ sử dụng, chuyển giao  thông tin khi được người dùng đồng ý và phù hợp với mục đích đã thông báo; (iii) Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng và chuyển giao thông tin; (iv) Có biện pháp để người dùng sửa đổi, bổ sung thông tin khi cần thiết. Đây chính là cơ sở để phát triển những quy định mang tính chi tiết hơn về hoạt động bảo vệ thông tin người dùng cũng như là kim chỉ nam để các nhà cung cấp dịch vụ triển khai trong thực tế.

Quy định của Nghị định số 52/2013/NĐ-CP về thương mại điện tử

Bên cạnh các quy định cơ bản, chủ thể thực hiện thu thập, sử dụng thông tin người dùng trong thương mại điện tử, như thương nhân hay tổ chức, cá nhân khác được thương nhân ủy quyền,… bắt buộc phải tuân thủ các quy định tại Nghị định số 52/2013/NĐ-CP về thương mại điện tử và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân của người dùng .

 Thứ nhất, bảo vệ thông tin người dùng trong hoạt động thu thập và sử dụng
Một là, phải xây dựng và công bố công khai chính sách bảo vệ thông tin cá nhân để làm cơ sở cho hoạt động thu thập, sử dụng cũng như bảo vệ thông tin người dùng với các nội dung chủ yếu như (i) mục đích thu thập thông tin cá nhân; (ii) phạm vi sử dụng thông tin; (iii) thời gian lưu trữ thông tin; (iv) Chủ thể có thể được tiếp cận với thông tin đó;…
Hai là, đảm bảo an toàn về thông tin thanh toán của người dùng. Thông tin về thanh toán là dạng thông tin hết sức quan trọng, liên quan đến nhiều hoạt động tài chính, cho nên, Nghị định 52 đã đưa loại thông tin này vào danh mục các thông tin cá nhân cần được bảo vệ cũng như quy định rõ trách nhiệm của các chủ thể cung cấp dịch vụ trung gian thanh toán hoặc sở hữu nền tảng thương mại điện tử thanh toán trực tuyến trong việc bảo đảm an toàn cho loại thông tin này.

 Thứ hai, bảo vệ thông tin người dùng trong hoạt động chuyển giao, chia sẻ, mua bán
Một là, chuyển giao, chia sẻ thông tin cần được sự đồng ý của người dùng. Xuất phát từ cơ sở việc vận hành nền tảng mua sắm trực tuyến phải có sự kết hợp giữa bên cung cấp dịch vụ và bên cung cấp hàng hóa (người bán) và các chủ thể khác như trung gian thanh toán, đơn vị vận chuyển,… cho nên giữa các bên đòi hỏi phải có sự chuyển giao, chia sẻ thông tin cá nhân của khách hàng. Theo quy định tại Điều 70, 71 Nghị định số 52/2013/NĐ-CP, việc thực hiện hoạt động này phải có sự đồng ý của người dùng và phù hợp với mục đích, phạm vi đã thỏa thuận.

Hai là, bên thứ ba nhận thông tin có trách nhiệm bảo mật theo hợp đồng đã ký với chủ thể hoạt động kinh doanh thương mại điện tử . Pháp luật đòi hỏi hợp đồng phải xác định rõ trách nhiệm của các bên khi thực hiện chuyển giao, chia sẻ thông tin, trường hợp không có quy định thì chủ thể cung cấp dịch vụ mua sắm trực tuyến sẽ phải chịu trách nhiệm nếu bên thứ ba nhận thông tin vi phạm các quy định về bảo vệ thông tin cá nhân của người dùng.

Ba là, hoạt động chuyển nhượng, mua bán thông tin cá nhân bị cấm theo quy định tại điểm a khoản 4 Điều 4 Nghị định 52. Cụ thể hơn, các chủ thể như bên kinh doanh dịch vụ thương mại điện tử, người bán, đơn vị vận chuyển có thể bị xử phạt hành chính nếu như thực hiện chuyển nhượng, bán thông tin người dùng khi chưa được sự đồng ý của họ .

Quy định của Nghị định số 98/2020/NĐ-CP quy định về xử phạt vi phạm hành chính trong hoạt động bảo vệ quyền lợi người tiêu dùng

Cùng với các quy định pháp luật nêu trên, với mục đích nhằm siết chặt hoạt động bảo vệ thông tin người mua sắm trực tuyến, Nghị định số 98/2020/NĐ-CP có quy định về xử phạt vi phạm hành chính đối với những hành vi vi phạm quy định về bảo vệ thông tin của người tiêu dùng (trong đó có người mua sắm trực tuyến) tại Điều 46. Theo đó, các hành vi như (i) không thông báo với người tiêu dùng về mục đích thu thập thông tin; (ii) sử dụng thông tin không phù hợp với mục đích thu thập đã thông báo; (iii) chuyển giao thông tin cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng,… sẽ bị phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng. Đặc biệt, hành vi vi phạm đối với những thông tin thuộc về bí mật cá nhân của người dùng sẽ bị phạt gấp đôi mức phạt tiền nêu trên.

Đề xuất một số kiến nghị về bảo vệ thông tin cá nhân trong hoạt động mua sắm trực tuyến

Quy định pháp luật Việt Nam, nhìn chung, đã có sự điều chỉnh hợp lý và kịp thời về vấn đề bảo mật thông tin của người tiêu dùng trực tuyến khi mà Nghị định số 52/2013/NĐ-CP được ban hành tại thời điểm mà thương mại điện tử bắt đầu manh nha phát triển mạnh ở nước ta. Tuy nhiên, cũng chính vì thế mà những quy định hiện hành có phần không đủ linh hoạt và bao quát được những vấn đề về an toàn thông tin người dùng đang nảy sinh cùng sự phát triển chóng mặt của các nền tảng mua sắm trực tuyến.

Mặc dù đã có một hành lang pháp lý khá hoàn thiện, nhưng khi nhìn từ thực tiễn, những điểm nóng mất an toàn thông tin người dùng trên các nền tảng thương mại điện tử vẫn xuất hiện rất nhiều. Những hình thức tội phạm thông tin phổ biến liên quan đến hoạt động mua sắm trực tuyến thường là phishing; bots và SQL injection. Theo đó, thông tin người dùng trên các nền tảng thương mại điện tử có thể thu thập dữ liệu của người dùng để sử dụng cho các mục đích thu lợi bất chính như bán dữ liệu, lợi dụng thông tin thanh toán để chiếm đoạt tài sản,… Ước tính, có hơn 1,3 triệu cuộc tấn công các nền tảng thương mại điện tử diễn ra trên thế giới mỗi giờ; điểm hình như vụ việc Ebay bị đánh cắp và lan truyền thông tin cá nhân của 145 triệu thành viên đăng ký. Thực tế đáng báo động này cho thấy sự cần thiết phải có những biện pháp tự bảo vệ và ứng phó của các tổ chức, cá nhân để hạn chế nguy cơ mất an toàn thông tin.

 Đối với chủ thể cung cấp dịch vụ thương mại điện tử

Bảo vệ thông tin người dùng vừa là nghĩa vụ của chủ thể cung cấp dịch vụ thương mại điện tử, vừa là một cách để thu hút người dùng và nâng cao hiệu quả kinh doanh. Một số biện pháp mà nhóm chủ thể này có thể áp dụng như sau:
– Thông báo công khai, rõ ràng cho người dùng biết về chế độ thu thập thông tin và mục đích thu thập thông tin của nền tảng; kèm theo đó là công khai chính sách bảo vệ thông tin cá nhân trước khi người dùng tiến hành đăng ký tài khoản.
– Xây dựng các chế độ bảo mật phù hợp với từng loại thông tin; đồng thời thiết lập hệ thống tiêu chí kiểm soát thông tin một cách chi tiết nhằm phân loại và phân quyền sử dụng từng loại thông tin trong tổng lượng thông tin mà người dùng cung cấp.
– Nâng cao chất lượng bảo mật nền tảng nhằm ngăn chặn các hoạt động xâm nhập, chiếm đoạt trái phép thông tin dựa trên kinh nghiệm từ những vụ việc đã xảy ra.
– Có quy định rõ ràng về trách nhiệm của các bên trong hợp đồng với bên thứ ba, ví dụ như đơn vị vận chuyển, trung gian thanh toán,… về trách nhiệm bảo mật thông tin khi thực hiện chuyển giao, chia sẻ thông tin bởi nếu không có quy định cụ thể thì chủ thể dung cấp dịch vụ thương mại điện tử là phải chịu toàn bộ trách nhiệm dù bên nào hành vi vi phạm pháp luật về bảo mật thông tin người dùng.
– Tuyên truyền phổ biến nhằm khuyến khích người dùng chủ động bảo vệ thông tin của mình vì đó vừa là quyền vừa là trách nhiệm của họ. Có thể thực hiện bằng các phương pháp như phổ biến cho người dùng về các rủi ro có thể gặp phải và hậu quả; hướng dẫn người dùng tự bảo mật thông tin bằng mật khẩu mạnh, xác nhận đăng nhập hai lớp,…; phổ biến cách nhận diện các dấu hiệu đáng ngờ trong quá trình mua sắm trực tuyến và phản hồi để được trợ giúp từ hệ thống.

Đối với người dùng các nền tảng thương mại điện tử

Tự bảo vệ thông tin cá nhân là trách nhiệm của người dùng, do đó, chính chủ thể này cần phải chủ động và kịp thời thực hiện những biện pháp đối với nguy cơ mất an toàn thông tin khi mua sắm trực tuyến, như:
– Tìm hiểu và chủ động áp dụng quy định của pháp luật vào thực tiễn quá trình mua hàng trên các nền tảng thương mại điện tử.
– Có ý thức bảo vệ thông tin cá nhân bằng cách: chỉ cung cấp thông tin cho những nền tảng có quy chế bảo vệ dữ liệu cá nhân rõ ràng, minh bạch; thực hiện đầy đủ các hướng dẫn của nền tảng để được bảo vệ thông tin một cách đầy đủ; kịp thời phản hồi cho bộ phận xử lý khi có sự cố hoặc nhận thấy những dấu hiệu đáng ngờ trong quá trình mua sắm./.

PrivacyCompliance

__________

[1] Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP.

[2] Khoản 1 Điều 68 Nghị định số 52/2013/NĐ-CP.

[3] Điều 69 Nghị định số 52/2013/NĐ-CP.

[4] Khoản 2 Điều 68 Nghị định số 52/2013/NĐ-CP.

[5] Điểm b khoản 5 Điều 63 Nghị định số 98/2020/NĐ-CP.