Bảo vệ thông tin người tiêu dùng

BẢO VỆ THÔNG TIN NGƯỜI TIÊU DÙNG Tóm tắt: Bảo vệ dữ liệu cá nhân nói chung và bảo vệ thông tin người tiêu dùng nói riêng đã được pháp luật Việt Nam quy định tại nhiều văn bản khác nhau. Mặc dù vậy, các quy định và việc thực thi chúng chưa đủ mạnh. Vì vậy, phân tích những điểm còn hạn chế đồng thời kiến nghị giải pháp nhằm cải thiện hiệu quả việc bảo vệ thông tin người tiêu dùng trong điều kiện kinh tế số đang phát triển ở Việt Nam là việc làm có ý nghĩa. Ngô Vĩnh Bạch Dương* * NCVC. Viện Nhà nước và Pháp luật. Abstract The protection of personal data in general and the protection of consumer information in particular are regulated by various legal normative documents. However, the regulations and their enforcements are thought to be insufficient. Therefore, it is meaningfully required analysis of the shortages and recommended remedies to improve the effectiveness of consumer information protection in the developing digital economy context of Vietnam. Thông tin bài viết: Từ khóa: người tiêu dùng, quyền riêng tư, bảo vệ dữ liệu cá nhân; bảo vệ thông tin người tiêu dùng Lịch sử bài viết: Nhận bài : 18/11/2018 Biên tập : 18/12/2018 Duyệt bài : 24/12/2018 Article Infomation: Keywords: consumer, consumer privacy, privacy protection, consumer information protection Article History: Received : 18 Nov. 2018 Edited : 18 Dec. 2018 Approved : 24 Dec. 2018 1. Thông tin của người tiêu dùng Trong cơ chế thị trường, để giành được lợi thế, các nhà cung cấp phải phục vụ tốt nhất cho các khách hàng của mình. Để xác lập và tiến hành giao dịch, người tiêu dùng và doanh nghiệp phải cung cấp cho nhau những thông tin tối thiểu về mình như tên, địa chỉ liên lạc, đối tượng giao dịch, địa chỉ giao hàng, phương tiện thanh toán... Khi đó, người tiêu dùng luôn được khuyến khích cung cấp nhiều thông tin để thuận lợi hơn cho việc tư vấn lựa chọn sản phẩm phù hợp. Chẳng hạn với một sản phẩm thời trang, nhà thiết kế không chỉ cần đến tên, tuổi của người tiêu dùng mà còn là công việc, địa vị xã hội, các thông số hình thể để có được một sản phẩm phù hợp nhất với túi tiền, nhu cầu, thẩm mỹ của họ. Sự đa dạng trong nhu cầu của con người cũng như trong sự phát triển của các loại hình hàng hóa, dịch vụ càng làm cho việc khai thác thông tin khách NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 19Số 12(388) T6/2019 hàng trở nên cần thiết nhưng cũng phức tạp, đa dạng hơn. Trong nhiều trường hợp, thông tin còn tế nhị và riêng tư hơn như tình trạng bệnh tật, sở thích, thói quen cá nhân... Người tiêu dùng, theo nghĩa phổ biến, đó là các cá nhân mua hàng hóa dịch vụ với mục đích tiêu dùng và không có ý định tái cung cấp1. Theo đó, những thông tin của người tiêu dùng cũng có thể được hiểu là những thông tin cá nhân. Điểm khác biệt giữa các thông tin cá nhân với thông tin người tiêu dùng là ở chỗ, thông tin của người tiêu dùng được thu thập và lưu trữ bởi các doanh nghiệp trong quá trình xác lập giao dịch với người tiêu dùng hoặc qua các khảo sát thị trường của họ. Những thông tin khách hàng đã thu thập được lưu trữ, quản lý có thể cho phép doanh nghiệp một mặt đáp ứng được nhu cầu của khách hàng trong một giao dịch trước mắt, nhưng mặt khác nó cũng tạo điều kiện để doanh nghiệp có thể dễ dàng tiếp cận với khách hàng cũ của mình thông qua việc khai thác cơ sở dữ liệu khách hàng sẵn có. Lưu trữ thông tin khách hàng chính là một phương thức để duy trì mối quan hệ bạn hàng ổn định cho nhà cung cấp đối với khách hàng truyền thống, bảo đảm giữ vững thị phần của họ một cách tiết kiệm. Thay vì phải mở rộng quảng bá thương hiệu, tiếp thị sản phẩm, doanh nghiệp chỉ cần dò tìm trong cơ sở dữ liệu sẵn có và liên lạc với khách hàng cũ. Đồng thời, để mở rộng thị phần, doanh nghiệp cũng cần điều tra, thu thập thông tin để đánh giá được thị hiếu, khuynh hướng mua sắm của khách hàng để từ đó có những điều chỉnh thích hợp hoạt động kinh doanh của mình hướng tới những khách hàng tiềm năng. Xây dựng và khai thác cơ sở dữ liệu 1 Theo Luật Bảo vệ quyền lợi của người tiêu dùng 2010, tại Điều 3.1. “người tiêu dùng” không được định nghĩa là các cá nhân mà chỉ là “người” một cách chung chung. Điều này hàm ngụ có thể các tổ chức hoặc nhóm cá nhân mua hàng hóa, dịch vụ cho mục đích tiêu dùng cũng được xem là “người tiêu dùng”. khách hàng là những thao tác quan trọng đối với doanh nghiệp mà kinh tế học gọi là “quản lý quan hệ khách hàng” (hay customer relationship management - CRM). Thông qua CRM, các doanh nghiệp tiếp cận và giao tiếp với khách hàng có hệ thống và hiệu quả nhằm phục vụ khách hàng tốt hơn. Các mục tiêu mà CRM hướng tới là tìm kiếm, thu hút, giành niềm tin khách hàng mới, duy trì những đối tác đã có, lôi kéo khách hàng cũ trở lại, giảm chi phí tiếp thị và mở rộng dịch vụ khách hàng. Thông qua hệ thống quan hệ khách hàng, các thông tin của khách hàng sẽ được cập nhật và được lưu trữ trong hệ thống quản lý cơ sở dữ liệu. Bằng việc dò tìm, phân tích dữ liệu, doanh nghiệp có thể xác định danh sách khách hàng tiềm năng và lâu năm để đề ra những chiến lược chăm sóc khách hàng hợp lý. Hiện nay, rất nhiều các doanh nghiệp phát hành thẻ tích điểm nhằm ưu đãi khách hàng truyền thống của mình, đồng thời có thể cập nhật nhanh chóng cơ sở dữ liệu khách hàng hiện có và thu hút thêm khách hàng mới. Ngoài ra, thông qua cơ sở dữ liệu của mình, doanh nghiệp còn có thể xử lý các vấn đề vướng mắc của khách hàng nhanh chóng và hiệu quả. 2. Thông tin của người tiêu dùng và quyền riêng tư Khi ý thức tư hữu của con người được hình thành, bất luận sự tương tác giữa con người với nhau có mức độ cao như thế nào, thì nhu cầu về sự riêng tư, kín đáo, không chia sẻ một khía cạnh, một vấn đề nào đó của cá nhân luôn tồn tại. Ngay cả khi hội nhập vào xã hội một cách tích cực, minh bạch hóa thông tin ở mức cao như trong các mạng xã hội, người ta vẫn luôn mong muốn mình không bị theo dõi bởi người khác. Người ta luôn cố gắng dành cho mình quyền NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 20 Số 12(388) T6/2019 tiết lộ, chia sẻ về bản thân mình với những đối tượng nhất định chứ không phải tất cả mọi người. Con người hiện đại sẽ tiếp tục phải tự cân bằng nhu cầu riêng tư với mong muốn chia sẻ, liên kết với người khác phù hợp với môi trường sống của mình2. Quyền riêng tư (right to privacy), đến nay đã được thừa nhận rộng rãi là một quyền con người, được pháp luật các quốc gia và quốc tế bảo vệ. Tuyên ngôn Quốc tế Nhân quyền (UDHR) năm 1948 khẳng định: "không ai phải chịu sự can thiệp một cách tùy tiện vào cuộc sống riêng tư, gia đình, nơi ở hoặc thư tín, cũng như bị xúc phạm danh dự hoặc uy tín cá nhân. Mọi người đều có quyền được pháp luật bảo vệ chống lại sự can thiệp và xâm phạm như vậy"3. Quyền riêng tư được tái khẳng định trong Công ước Quốc tế về các Quyền Dân sự và Chính trị (ICCPR 1966). Điều luật này ngăn chặn những hành vi xâm phạm tùy tiện và bất hợp pháp vào đời tư, gia đình, nhà ở, thư tín, danh dự, uy tín của mọi người mà có thể do các quan chức nhà nước hay do những chủ thể khác gây ra4. Quyền riêng tư, dù vậy, không phải là quyền tuyệt đối, nó có thể bị hạn chế trong những trường hợp nhất định vì lợi ích chung của xã hội. Lẽ đương nhiên, những hạn chế, can thiệp này phải được minh định trong luật và thực thi một cách nghiêm ngặt. Để bảo đảm bảo vệ đời tư hiệu quả, mỗi cá nhân cần có quyền được biết những thông tin cá nhân của mình được thu thập, lưu giữ bởi chủ thể nào, ở đâu và nhằm mục đích gì. Thêm vào đó, mỗi cá nhân cũng cần có quyền yêu cầu sửa chữa hoặc xóa bỏ thông tin cá nhân của mình nếu thông tin đang được lưu trữ không chính xác, hoặc bị thu thập hay lưu trữ một cách trái pháp luật. Bảo vệ quyền riêng tư 2 Xem thêm: Alan Westin, Privacy and Freedom, Bodley Head, 1970, trang 7. 3 UDHR 1948, Điều 12. 4 ICCPR 1966, Điều 17.1. đối với thông tin cá nhân của con người thường được các quốc gia quy định thành pháp luật bảo vệ dữ liệu cá nhân (personal data protection) hay còn gọi là bảo vệ bí mật đời tư (personal confidence). Về phạm vi, bảo vệ dữ liệu cá nhân hẹp hơn việc bảo vệ quyền riêng tư ở chỗ dữ liệu cá nhân chỉ liên quan đến “dữ liệu” tức là việc thu thập và sử dụng các thông tin cá nhân mà không bao gồm các quyền về tự do thân thể, quyền bất khả xâm phạm về nơi ở. Bảo vệ dữ liệu cá nhân khởi đầu dùng để chỉ việc bảo vệ dữ liệu có liên quan đến cá nhân trước sự lạm dụng. Bảo vệ dữ liệu cá nhân dựa trên nguyên tắc mỗi người đều có quyền tự quyết định là ai, khi nào và dữ liệu cá nhân nào của mình được phép cho người khác biết. Thông tin của người tiêu dùng là một bộ phận của lĩnh vực bảo vệ dữ liệu cá nhân. Điểm khác biệt giữa bảo vệ thông tin người tiêu dùng và bảo vệ dữ liệu cá nhân là ở phạm vi của nó: thông tin người tiêu dùng được thu thập, quản lý bởi các doanh nghiệp nhằm thực hiện hoặc hướng tới thực hiện các hoạt động bán hàng hóa, dịch vụ tiêu dùng; các dữ liệu cá nhân, ngược lại, có phạm vi rộng hơn, nó không bị giới hạn bởi các hoạt động cung cấp hàng hóa, dịch vụ tiêu dùng mà còn cả những lĩnh vực không liên quan đến thương mại. Ví dụ, linh mục có thể thu thập thông tin từ người xưng tội; cảnh sát có thể thu thập thông tin về nhân thân của những người liên quan đến vi phạm pháp luật hoặc những người tham gia tố tụng khác. Như vậy, bảo vệ thông tin của người tiêu dùng có cơ sở từ quyền riêng tư của con người. Người tiêu dùng, trong đa số các trường hợp, sẽ buộc phải cung cấp những thông tin cá nhân cho các doanh nghiệp để NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 21Số 12(388) T6/2019 phục vụ các giao dịch. Với mục tiêu giành lợi thế cạnh tranh, nhìn chung cơ sở dữ liệu khách hàng thường được các doanh nghiệp bảo mật chặt chẽ. Tuy vậy, vấn đề trọng tâm của tất cả các doanh nghiệp chính là lợi nhuận, họ sẽ không thể chi tiêu một cách vô hạn định cho công tác bảo mật thông tin khách hàng, ngoài ra, cạnh tranh không phải lúc nào cũng được duy trì một cách tuyệt đối, các doanh nghiệp vẫn thường có xu hướng liên kết, hợp tác hoặc thỏa hiệp, chia sẻ tài nguyên thông tin để cùng thu được lợi nhuận cao hơn. Cần nhìn nhận là cơ sở dữ liệu cá nhân được hình thành chủ yếu từ sự tin cậy của khách hàng trong quan hệ đối với doanh nghiệp, bởi vậy, việc chia sẻ thông tin khách hàng giữa các doanh nghiệp được xem là hành vi bội tín với khách hàng. Ngoài ra, những thông tin cá nhân do doanh nghiệp thu thập được nếu sơ ý hoặc cố ý tiết lộ cho bên thứ ba thì hoàn toàn có thể đem lại những bất lợi cho khách hàng. Chẳng hạn, sẽ rất khó khăn cho một người trong giao tiếp xã hội nếu bác sĩ của anh ta tiết lộ rằng anh ta mắc bệnh xã hội, mọi người sẽ có đánh giá không tốt về anh ta cho dù việc mắc bệnh không có nguyên nhân từ các tệ nạn xấu. Một ví dụ khác về sự bất tiện trong đời sống của người tiêu dùng là khi số điện thoại hoặc email bị tiết lộ, anh ta có thể bị quấy rầy khi phải nhận những cuộc gọi, tin nhắn, thư điện tử quảng cáo không mong muốn. Việc tiết lộ hay chia sẻ thông tin này cũng có thể bị lợi dụng bởi những kẻ xấu nhằm bôi nhọ danh dự khách hàng hoặc đánh cắp tài sản của họ thông qua việc sử dụng các thông số tài khoản hoặc thẻ tín dụng, thẻ mua hàng của 5 Chưa có khái niệm tương tự ở Việt Nam nên trong khuôn khổ đề tài này chúng tôi tạm dịch fair information practices là những hoạt động thông tin đúng mực để diễn tả tính chất tử tế, tôn trọng quyền con người, tôn trọng pháp luật và tôn trọng các giá trị đạo đức, nhân văn. 6 US Secretary's Advisory Committee on Automated Personal Data Systems, Records, Computers and the Rights of Citizens, Chapter IV: Recommended Safeguards for Administrative Personal Data Systems (1973). họ. Tuy nhiên, vấn đề cốt yếu của việc tiết lộ hoặc chia sẻ thông tin khách hàng, kể cả thông tin tốt, mà không được sự đồng thuận của họ, chính là vi phạm quyền riêng tư của người tiêu dùng. 3. Những phương thức cơ bản bảo vệ thông tin người tiêu dùng Bảo vệ thông tin người tiêu dùng là một nhiệm vụ của nhiều lĩnh vực như đạo đức, pháp luật. Ngay trong lĩnh vực pháp luật, bảo vệ thông tin người tiêu dùng cũng là một lĩnh vực liên ngành. Kinh nghiệm quốc tế cho thấy, bảo vệ thông tin người tiêu dùng chủ yếu được đặt trong nhóm quy định về bảo vệ dữ liệu cá nhân. Các phương thức điều chỉnh lĩnh vực pháp luật này đều hướng tới việc thu thập, khai thác cơ sở dữ liệu thông tin cá nhân một cách đàng hoàng, chính đáng, tôn trọng quyền con người, tôn trọng pháp luật và các giá trị đạo đức, nhân văn. Nói cách khác, pháp luật hướng tới sự đúng mực trong việc hình thành và khai thác thông tin cá nhân. Những hoạt động thông tin đúng mực (fair information practices - FIPs)5 là khái niệm lần đầu tiên được xuất hiện năm 1973 trong Báo cáo của Ủy ban cố vấn ngoại trưởng về hệ thống dữ liệu cá nhân tự động (US Secretary's Advisory Committee on Automated Personal Data Systems)6. Một báo cáo tương tự của Ủy ban này vào năm 1977 đã đưa ra một số nguyên tắc quan trọng về những hoạt động thông tin đúng mực. Những nguyên tắc này (fair information practice principles –FIPPs) bao gồm cả những yêu cầu về nội dung như mục đích, giới hạn, chất lượng thu thập thông tin; và thủ tục thông tin như trình tự truy cập và NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 22 Số 12(388) T6/2019 chấp thuận xử lý thông tin7. Các nguyên tắc hoạt động thông tin đúng mực này sau đó đã được sử dụng rộng rãi trong pháp luật bảo vệ quyền con người và tiếp tục phát triển. Đến năm 1980, OECD đã biên soạn bản hướng dẫn về các nguyên tắc của những hoạt động thông tin đúng mực (Guidelines on Fair Information Practice Principles – FIPPs). Bộ FIPPs của OECD gồm 8 nguyên tắc, tuy không phải là một đạo luật nhưng chúng có ý nghĩa rất quan trọng trong bảo vệ quyền riêng tư cũng như bảo vệ dữ liệu cá nhân của các nước với tính cách là nguồn tham khảo. Các nguyên tắc FIPPs của OECD bao gồm: Thu thập có giới hạn: Việc thu thập dữ liệu cá nhân và bất kỳ dữ liệu nào như vậy cần được thực hiện bằng các phương tiện hợp pháp và công bằng, và khi thích hợp, với những kiến thức hoặc sự đồng ý của đối tượng dữ liệu. Chất lượng dữ liệu: Dữ liệu cá nhân có liên quan đến mục đích mà chúng có thể được sử dụng và mức độ cần thiết cho các mục đích, phải chính xác, đầy đủ và phải được cập nhật. Mục đích thu thập được xác định chi tiết: Các mục đích thu thập dữ liệu cá nhân phải được xác định không muộn hơn thời gian thu thập dữ liệu và sau đó sử dụng giới hạn trong việc thực hiện những mục đích đó; sẽ là không phù hợp nếu việc thu thập như trên khi thay đổi mục đích. Sử dụng giới hạn: Dữ liệu cá nhân không được tiết lộ, làm sẵn để sử dụng cho các mục đích khác hơn so với những mục đích ban đầu, ngoại trừ trường hợp có sự đồng ý của chủ dữ liệu hoặc do pháp luật quy định An toàn dữ liệu: Dữ liệu cá nhân phải 7 Fred H. Cate: The Failure ofFair Information Practice Principles, in trong cuốn: Consumer protection in the age of “information economy”, edited by Jane K. Winn, Ashgate Publishing Ltd. 2006, p. 341 được bảo vệ bằng các biện pháp bảo vệ an ninh hợp lý chống lại các rủi ro như mất mát hoặc truy cập trái phép, sử dụng, tiêu hủy, sửa đổi, bổ sung hoặc tiết lộ dữ liệu. Nguyên tắc công khai: Cần có một chính sách chung cởi mở về sự phát triển, thực hành và các chính sách đối với dữ liệu cá nhân; phương tiện cho việc thiết lập cơ sở dữ liệu cá nhân và mục đích chính của việc sử dụng chúng, cũng như danh tính và địa chỉ người điều khiển dữ liệu phải được xác định trước. Sự tham gia của cá nhân: Một cá nhân có quyền nhận được xác nhận từ người quản lý dữ liệu về việc có hoặc không có dữ liệu liên quan đến anh ta; được thông báo khi dữ liệu liên quan đến mình trong khoảng thời gian hợp lý, với một thái độ tử tế và theo hình thức dễ hiểu đối với anh ta, không phải chịu lệ phí một cách quá đáng; được thông báo lý do nếu các yêu cầu trên không được chấp nhận và được quyền phản đối các lý do đó; được phản đối các dữ liệu liên quan đến mình và yêu cầu xóa, sửa chữa hoặc cập nhật dữ liệu đó. Trách nhiệm giải trình: Người quản lý dữ liệu phải có được trách nhiệm tuân thủ các biện pháp để bảo đảm hiệu lực cho các nguyên tắc đã nêu ở trên. Năm 1995, Liên minh châu Âu ban hành chỉ thị số 95/46/EC về bảo vệ dữ liệu. Đây là một chỉ thị rộng được thông qua bởi Liên minh châu Âu; được thiết kế để bảo vệ sự riêng tư của tất cả các dữ liệu cá nhân của công dân EU được thu thập và sử dụng cho mục đích thương mại, đặc biệt nó liên quan đến xử lý, sử dụng hay trao đổi những dữ liệu đó. Nói cách khác, Chỉ thị 95/46 dành trọng tâm cho việc bảo vệ thông tin người tiêu dùng. Ngoài những nguyên tắc FIPPs NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 23Số 12(388) T6/2019 như hướng dẫn của OECD, Chỉ thị 95/46 còn thành lập một khuôn khổ rộng lớn, trong đó đặt ra những giới hạn về việc thu và sử dụng các dữ liệu cá nhân, và đòi hỏi mỗi nước thành viên thiết lập một cơ quan độc lập chịu trách nhiệm cho việc bảo vệ dữ liệu quốc gia. Chỉ thị nghiêm cấm việc chuyển giao thông tin cá nhân được bảo vệ bên ngoài EU, trừ khi nước tiếp nhận áp dụng bảo vệ pháp lý tương tự. Mỗi quốc gia EU đã thành lập một cơ quan bảo vệ dữ liệu có thẩm quyền điều tra các khiếu nại, phạt tiền, khởi tố tội phạm và yêu cầu các doanh nghiệp thay đổi việc thực hành xử lý thông tin. Năm 2016, Nghị viện châu Âu ban hành Quy định chung về bảo vệ dữ liệu (General Data Protection Regulation – GDPR) và có hiệu lực từ ngày 25/5/2018. Theo GDPR, việc thu thập dữ liệu và xử lý dữ liệu phải có sự đồng thuận của các cá nhân trừ khi có ít nhất một căn cứ hợp pháp để thực hiện. Những căn cứ hợp pháp là: - Nếu chủ thể dữ liệu đã đồng ý xử lý dữ liệu cá nhân của mình; - Thực hiện các nghĩa vụ theo hợp đồng với chủ thể dữ liệu hoặc cho các nhiệm vụ theo yêu cầu của đối tượng dữ liệu đang trong quá trình ký kết hợp đồng; - Tuân thủ các nghĩa vụ pháp lý của một chủ thể quản lý dữ liệu; - Bảo vệ lợi ích sống còn của chủ thể dữ liệu hoặc cá nhân khác; - Thực hiện nhiệm vụ vì lợi ích công cộng hoặc chính quyền; - Vì lợi ích hợp pháp của người kiểm soát dữ liệu hoặc bên thứ ba, trừ khi những 8 GDPR, điều 6. 9 GDPR, điều 7.3. và 7.4. 10 GDPR, điều 83.4 11 GDPR, điều 83.5 và 83.6. 12 BEUC, Thông cáo báo chí ngày 27/11/2018 tại: https://www.beuc.eu/publications/consumer-groups-across-europe- file-complaints-against-google-breach-gdpr/html, truy cập ngày 30/11/2018. lợi ích này bị chồng lấn với lợi ích của chủ thể dữ liệu hoặc quyền của người đó theo Hiến chương về các quyền cơ bản của EU (đặc biệt là trường hợp quyền trẻ em)8. - Người chủ thể dữ liệu có quyền rút lại việc đã đồng thuận của mình với điều kiện rút lại không khó khăn hơn điều kiện mà họ đã chấp thuận. Người xử lý dữ liệu không được từ chối quyền rút lại của chủ dữ liệu9. Việc không tuân thủ GDPR sẽ bị phạt rất nặng. Cụ thể, sai phạm đối với các chuẩn mực cốt lõi về xử lý dữ liệu, vi phạm các quyền cá nhân hoặc chuyển dữ liệu ra khỏi EU mà không đảm bảo các bảo vệ tương đương sẽ bị phạt tới 20 triệu Euro hoặc 4% doanh thu hàng năm trên toàn cầu10. Sai phạm trong việc tuân thủ với các yêu cầu về kỹ thuật và tổ chức như đánh giá tác động, thông báo sự cố mất an toàn thông tin sẽ bị phạt tới 10 triệu Euro hoặc 2% doanh thu hàng năm trên toàn cầu11. Vụ kiện gần đây nhất trong khuôn khổ GDPR là Tổ chức người tiêu dùng châu Âu European Consumer Organisation (BEUC) đã kiện Google vì đã theo dõi vị trí của người tiêu dùng mà không được sự đồng thuận thực tế của họ. BEUC nại ra rằng, Google đã "lừa đảo" làm người dùng bật tùy chọn về “ghi nhớ lịch sử di chuyển” và không thông báo đầy đủ cho người dùng về việc bật như vậy để làm gì. Như vậy, sự đồng ý không được tự nguyện đưa ra. Vụ việc này có thể làm Google đối mặt với án phạt 4% doanh thu hàng năm và có thể lên đến 4 tỷ đô la. Trước đó, Facebook cũng đã bị tố giác về vi phạm điều kiện bảo mật thông tin và làm ảnh hưởng đến 25 triệu người dùng12. NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 24 Số 12(388) T6/2019 Đến nay, đã có khoảng 90 quốc gia trên thế giới ban hành luật có liên quan đến bảo vệ thông tin cá nhân dưới những hình thức khác nhau13. Có nước ban hành luật riêng về bảo vệ dữ liệu và được cụ thể hóa trong các luật chuyên ngành khác; cũng có nước ghi nhận quy định chung trong hiến pháp, luật dân sự và cụ thể hóa rải rác trong các luật như trường hợp của Việt Nam với Bộ luật Dân sự 2015 (Điều 38) và Luật Bảo vệ quyền lợi người tiêu dùng 2010 (Điều 6). 4. Bảo vệ thông tin người tiêu dùng ở Việt Nam Hiến pháp, Bộ luật Dân sự, Luật Bảo vệ người tiêu dùng và nhiều văn bản pháp luật chuyên ngành như các luật về viễn thông, công nghệ thông tin, giao dịch điện tử của Việt Nam đều đã có quy định về quyền cơ bản của công dân và bảo vệ thông tin cá nhân. Hiến pháp năm 2013 quy định: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”14. Điều 38 Bộ luật Dân sự quy định: “Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật”15. Luật Giao dịch điện tử năm 2005 cũng xác định nghĩa vụ của cơ quan, tổ chức trong bảo đảm bí mật thông tin và không được chia sẻ thông tin của người khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác16. 13 Graham Greenleaf: Global data privacy laws: 89 countries, and accelerating, Queen Mary University of London, School of LawLegal Studies Research Paper No. 98/2012, p. 1. 14 Hiến pháp 2013, Điều 21.1. 15 Bộ luật Dân sự 2015, Điều 38. 16 Luật Giao dịch điện tử 2005, Điều 46.2. 17 Luật Bảo vệ quyền lợi người tiêu dùng 2010, Điều 6. Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 quy định: “Người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu. Trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì doanh nghiệp có trách nhiệm: a) Thông báo rõ ràng, công khai trước khi thực hiện với người tiêu dùng về mục đích hoạt động thu thập, sử dụng thông tin của người tiêu dùng; b) Sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý; c) Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng; d) Tự mình hoặc có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác; đ) Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác”17. Luật An toàn thông tin mạng năm 2015 quy định việc “cập nhật, sửa đổi và hủy bỏ thông tin cá nhân” thì chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ, hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba. Theo đó, ngay khi nhận được yêu cầu, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm thực hiện yêu cầu và NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 25Số 12(388) T6/2019 thông báo lại cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình do tổ chức, cá nhân xử lý thông tin cá nhân đang lưu trữ. Tổ chức, cá nhân xử lý thông tin còn phải áp dụng các biện pháp phù hợp để bảo vệ thông tin cá nhân; thông báo lại cho chủ thể thông tin cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác. Luật cũng quy định tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác18. Luật cũng quy định thiết lập kênh thông tin trực tuyến, xử lý các phản ánh của người dân về các vấn đề bảo vệ thông tin cá nhân19. Gần đây nhất, Luật An ninh mạng năm 2018 cũng quy định về phòng chống gián điệp mạng, bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng. Đồng thời Luật cũng quy định trách nhiệm của các cơ quan nhà nước trong lĩnh vực này20. Từ các quy định trên, có thể thấy quy định của pháp luật Việt Nam trong bảo vệ thông tin người tiêu dùng đã theo khá sát với các nguyên tắc FIPPs. Đồng thời, chúng cũng không có quá nhiều khác biệt với GDPR ở điều kiện chấp nhận cho phép thu thập, xử lý dữ liệu của người tiêu dùng. Bên cạnh các quy định về quyền và nghĩa vụ của người chủ dữ liệu, người thu 18 Luật An toàn thông tin mạng, Điều 18. 19 Luật An toàn thông tin mạng, Điều 20.1. 20 Luật An ninh mạng 2018, Điều 17. 21 Nghị định 174/2013/NĐ-CP, Điều 66.5.a. 22 Bộ luật Hình sự 2015, sửa đổi 2017, Điều 288. 23 Nghị định 174/2013/NĐ-CP, Điều 73. 24 Bộ luật Hình sự 2015, sửa đổi 2017, Điều 159. thập, xử lý dữ liệu, pháp luật Việt Nam còn quy định những chế tài xử phạt đối với các hành vi phát tán, chia sẻ thông tin cá nhân, tùy theo mức độ, hành vi mà tổ chức, cá nhân vi phạm sẽ bị xử lý vi phạm hành chính hoặc xử lý trách nhiệm hình sự. Chẳng hạn, theo Nghị định 174/2013/NĐ-CP của Chính phủ, hành vi mua bán trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông, có thể bị phạt từ 50 - 70 triệu đồng21. Những người có hành vi vi phạm này, tùy vào tính chất, mức độ vi phạm có thể bị xử lý theo Bộ luật Hình sự năm 2015, sửa đổi, bổ sung năm 2017 về tội “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” với khung hình phạt cao nhất là 7 năm tù22. Những hành động chiếm đoạt tài khoản viễn thông, ứng dụng, dịch vụ gia tăng trên mạng, chia sẻ mật khẩu, mã truy cập có thể bị phạt đến 20 triệu đồng; trộm cắp, mua bán, trao đổi, tiết lộ, sử dụng trái phép thông tin thẻ tín dụng của người khác hoặc truy cập bất hợp pháp vào mạng hoặc thiết bị số của người khác chiếm quyền điều khiển; can thiệp vào chức năng hoạt động của thiết bị số; lấy cắp, thay đổi, hủy hoại, làm giả dữ liệu hoặc sử dụng trái phép các dịch vụ có thể bị phạt từ 30 đến 50 triệu đồng bên cạnh việc bồi thường thiệt hại23. Việc xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc các hình thức trao đổi thông tin riêng tư khác của người khác có thể bị phạt tiền từ 20 triệu đến 50 triệu đồng, bị phạt cải tạo không giam giữ đến 3 năm, bị phạt tù từ 1 đến 3 năm, hoặc chịu hình phạt bổ sung về cấm đảm nhiệm chức vụ từ 1 đến 5 năm24. NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 26 Số 12(388) T6/2019 Như vậy, pháp luật Việt Nam cũng đã có các chế tài khá nghiêm khắc với các đối tượng thu thập, sử dụng trái phép các thông tin cá nhân của người tiêu dùng. Tuy nhiên trên thực tế, hầu như chưa có vụ việc nào trong lĩnh vực này được xử lý nếu không gây thiệt hại cho nạn nhân. 5. Những rủi ro trong bảo vệ thông tin người tiêu dùng Như đã trình bày trên đây, bảo vệ thông tin của người tiêu dùng là một phần của bảo vệ quyền riêng tư của con người. Khi lựa chọn một mô hình hay cách thức điều chỉnh nào, chúng ta cũng cần đến hệ thống các nguyên tắc FIPPs. Sẽ tương đối khó khăn và không hiệu quả nếu chúng ta tách bạch việc bảo vệ quyền riêng tư của người tiêu dùng thành một nhóm quy định riêng bên ngoài những quyền con người. Khi một người tham gia vào các hoạt động giao dịch hoặc tương tác trên truyền thông xã hội, có rất nhiều thông tin cá nhân có thể bị rò rỉ. Đó có thể là ngày tháng năm sinh, nơi làm việc, nơi học tập, địa chỉ gia đình, các thành viên trong gia đình mình, thậm chí là số chứng minh thư, số bằng lái xe, số hộ chiếu... và nguy hiểm hơn nữa là các thông tin về thẻ tín dụng. Tất cả những thông tin trên đều có thể bị đánh cắp hoặc chia sẻ bất hợp pháp và gây ảnh hưởng đến bản thân và những người thân của họ. - Nguy cơ đến từ các nhà cung cấp dịch vụ mạng xã hội Việc sử dụng mạng xã hội hiện nay là hoàn toàn miễn phí, nhưng đổi lại theo điều khoản sử dụng dịch vụ, người dùng sẽ phải chia sẻ thông tin cá nhân của mình với nhà cung cấp dịch vụ và có thể là với cả các bên đối tác của trang mạng này. Tuy không phải trả tiền, nhưng các quảng cáo của bên thứ ba thường hướng đến các người dùng phù hợp với các đặc điểm nhân thân của họ. Những hành động tương tác (like hay comment) đều được lưu lại, phân tích thông qua những thuật toán để làm rõ người dùng này quan tâm đến điều gì, từ đó, những quảng cáo sẽ xuất hiện tương ứng. Không sai khi cho rằng, các mạng xã hội đã “bán dữ liệu cá nhân” của người dùng cho các hãng quảng cáo. - Nguy cơ đến từ các điều kiện giao dịch khó hiểu Nguy cơ này đến từ một bên thứ ba, có thể do chính các tổ chức, cá nhân này tự ý thu thập thông tin về người tiêu dùng. Có không ít các ứng dụng trò chơi đặt ra các tùy chọn để người dùng quyết định đồng ý cho chúng truy cập thông tin cá nhân trên các tài khoản mạng xã hội thì mới được sử dụng ứng dụng đó. Chẳng hạn các ứng dụng bói toán đòi người dùng Facebook phải cho truy cập danh sách bạn bè, số điện thoại, email thì người dùng mới được thực hiện việc bói. Sau khi thu thập được dữ liệu, chủ sở hữu ứng dụng kia làm điều gì, người dùng khó có thể kiểm soát. Đã có không ít các vụ hack tài khoản mạng xã hội để lừa đảo chiếm đoạt thẻ nạp tiền điện thoại trả trước bị phát hiện và những hậu quả bất lợi cho người dùng còn chưa thể biết có dừng lại ở đó hay không. Hiện nay, các điều kiện giao dịch chung phải đăng ký tại cơ quan quản lý ngành công thương chỉ dừng ở phạm vi 9 hàng hóa, dịch vụ thiết yếu theo Nghị định 99/2011/NĐ-CP của Chính phủ; Quyết định 02/2012/QĐ-TTg; Quyết định 35/2015/ QĐ-TTg, Quyết định 38/2018/QĐ-TTg của Thủ tướng Chính phủ là: cung cấp điện sinh hoạt; cung cấp nước sạch sinh hoạt; truyền hình trả tiền; thuê bao điện thoại cố định; thuê bao di động trả sau, dịch vụ thông tin di động mặt đất (hình thức thanh toán: trả trước); kết nối Internet; vận chuyển hành khách đường hàng không; vận chuyển hành khách đường sắt; mua bán căn hộ chung cư, các dịch vụ sinh hoạt do đơn vị quản lý khu chung cư cung cấp. Đây là một lượng rất nhỏ các loại điều kiện giao dịch chung mà người tiêu dùng phải đối mặt trong các giao dịch. NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 27Số 12(388) T6/2019 Ngoài thủ tục đăng ký tại các cơ quan công thương, việc khởi kiện các điều kiện giao dịch chung không công bằng với người tiêu dùng chưa thể thực hiện bởi hình thức khởi kiện tập thể, khởi kiện của tổ chức bảo vệ người tiêu dùng chưa được thừa nhận chính thức. - Dữ liệu không chỉ có trên môi trường mạng Có thể thấy môi trường mạng là nơi có nhiều rủi ro nhất, tuy nhiên dữ liệu cá nhân nói chung và thông tin người tiêu dùng nói riêng được khai báo và quản lý ở những nền tảng khác. Ngay cả trong trường hợp thu thập thông tin không vì mục đích thương mại như hồ sơ công dân tại các cơ quan quản lý, nếu không được kiểm soát, chúng hoàn toàn có thể bị truy cập và sử dụng cho các mục đích thương mại, ví dụ: dữ liệu đăng ký khai sinh hoàn toàn có thể bị lạm dụng, khai thác trong các hoạt động tiếp thị thực phẩm và đồ dùng trẻ em. Do vậy, Luật An toàn thông tin mạng, Luật An ninh mạng, tuy đã rất cố gắng tiến tới chuẩn mực thế giới nhưng vẫn không thể coi là đủ. Gần đây, đề xuất của Ủy ban nhân dân thành phố Hà Nội về việc thí điểm thu giá dịch vụ đối với việc cung cấp, chia sẻ các dữ liệu dân cư đối với các ngành như ngân hàng, công chứng và một số lĩnh vực khác25, về bản chất là bán dữ liệu của công dân cho doanh nghiệp mà chưa được sự đồng thuận của họ. 6. Kiến nghị Quyền riêng tư của người tiêu dùng sẽ không thể được bảo vệ một cách nghiêm túc nếu các quyền nhân thân, quyền bí mật đời tư trong luật dân sự không được thực thi. 25 Hà Nội đề nghị chia sẻ dữ liệu dân cư cho các ngành khác để thu tiền, tại https://thanhnien.vn/thoi-su/ha-noi-de-nghi- chia-se-du-lieu-dan-cu-cho-cac-nganh-khac-de-thu-tien-979148.html, truy cập ngày 30/11/2018. Điều cần làm trước tiên là ghi nhận và thực hiện những nguyên tắc thực hành thông tin đúng mực FIPPs của tất cả các chủ thể thu thập, quản lý và sử dụng các thông tin cá nhân, kể cả các cơ quan quản lý nhà nước. Từ góc độ pháp lý, để giải quyết vấn đề bảo vệ quyền riêng tư của người tiêu dùng, cần kiểm soát chặt chẽ các điều khoản sử dụng dịch vụ để bảo đảm sự “đồng ý” hay “cho phép” truy cập và khai thác các dữ liệu cá nhân mang tính thực chất; cần mở rộng thêm phạm vi kiểm soát các điều kiện giao dịch chung, không nên chỉ dừng ở 9 hàng hóa, dịch vụ như hiện nay bởi nguy cơ mất an toàn thông tin của người tiêu dùng có thể xảy ra ở bất cứ các giao dịch nào. Mặc dù các chế tài xử lý của Việt Nam không nhẹ, nhưng hầu như chỉ được áp dụng khi có thiệt hại lớn. Các trường hợp khác, rất ít khi các nạn nhân lên tiếng. Nên chăng, trao quyền theo dõi, khiếu nại, khởi kiện cho các tổ chức bảo vệ người tiêu dùng để kịp thời phát hiện và lên tiếng, yêu cầu cơ quan nhà nước bảo vệ. Điều này sẽ tăng khả năng phát hiện các vi phạm từ chính các đối tượng được bảo vệ. Cơ chế khởi kiện tập thể của người tiêu dùng, khởi kiện của các tổ chức xã hội bảo vệ người tiêu dùng cũng cần được cân nhắc và quy định chi tiết bởi không có cơ quan quản lý nào có thể thực hiện hết việc cho đăng ký các điều kiện giao dịch chung và kiểm soát chúng có vi phạm quyền riêng tư của người tiêu dùng hay không; thu hút sự tham gia của khu vực tư vào giải quyết vấn đề chung là cách làm phù hợp hiện nay, không chỉ vì việc tiết kiệm ngân sách nhà nước■ NHAÂ NÛÚÁC VAÂ PHAÁP LUÊÅT 28 Số 12(388) T6/2019