Trách nhiệm của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của người tiêu dùng theo pháp luật Việt Nam hiện nay

Bài viết phân tích, bình luận quy định pháp luật về trách nhiệm của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của người tiêu dùng, từ đó đưa ra những kiến nghị, đề xuất để hoàn thiện các quy định này[1].

1. Đặt vấn đề

Trong giao dịch mua bán hàng hóa, cung ứng dịch vụ giữa tổ chức, cá nhân kinh doanh với người tiêu dùng, việc thu thập thông tin của người tiêu dùng, nhất là các thông tin cá nhân của người tiêu dùng trở thành hành vi phổ biến của tổ chức, cá nhân kinh doanh. Trong nhiều trường hợp, nhất là trong các giao dịch thương mại điện tử, việc thu thập các thông tin của người tiêu dùng, như thông tin về danh tính của người tiêu dùng (họ tên, số điện thoại, địa chỉ liên lạc…) trở thành hành vi buộc phải làm nếu muốn giao dịch có thể diễn ra. Tuy nhiên, việc thu thập thông tin như vậy cũng khiến không ít người tiêu dùng lo ngại về khả năng các thông tin của người tiêu dùng, nhất là thông tin cá nhân của người tiêu dùng bị lộ, lọt hoặc bị sử dụng theo những mục đích không có lợi cho người tiêu dùng. Thực tiễn hoạt động kinh doanh, cung ứng hàng hóa, dịch vụ ở nước ta thời gian qua cũng đã diễn ra không ít trường hợp thông tin của người tiêu dùng do tổ chức, cá nhân kinh doanh thu thập được đã bị lộ, lọt hoặc bị khai thác trái phép cho các mục đích mà người tiêu dùng không mong muốn.

Điều đó cho thấy, việc điều chỉnh pháp luật đối với hành vi thu thập, xử lý thông tin của người tiêu dùng, nhất là thu thập và xử lý thông tin cá nhân của người tiêu dùng là rất cần thiết trong việc củng cố niềm tin của người tiêu dùng vào trật tự pháp luật trên thị trường hàng hóa, dịch vụ tiêu dùng, củng cố niềm tin của người tiêu dùng vào pháp luật.

2. Thực trạng quy định pháp luật về trách nhiệm của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của người tiêu dùng

Ngay từ năm 2010, khi ban hành Luật Bảo vệ quyền lợi người tiêu dùng, vấn đề bảo vệ thông tin của người tiêu dùng đã được đặt ra. Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 quy định: “Người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu”. Thêm vào đó, trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm: (i) Thông báo rõ ràng, công khai trước khi thực hiện với người tiêu dùng về mục đích hoạt động thu thập, sử dụng thông tin của người tiêu dùng; (ii) Sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý; (iii) Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng; (iv) Tự mình hoặc có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác; (v) Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác.

Trong lĩnh vực thương mại điện tử, năm 2013, khi Chính phủ ban hành Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 về thương mại điện tử[2] (Nghị định số 52/2013/NĐ-CP), vấn đề bảo vệ thông tin cá nhân của người tiêu dùng đã rất được coi trọng. Các quy định từ Điều 68 đến Điều 73 của Nghị định này cùng một số điều khoản khác trong Nghị định đã quy định khá chi tiết trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng. Theo quy định tại Điều 68 Nghị định số 52/2013/NĐ-CP, trong quá trình hoạt động kinh doanh thương mại điện tử, nếu thương nhân, tổ chức, cá nhân thực hiện việc thu thập thông tin cá nhân của người tiêu dùng thì phải tuân thủ các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân. Theo quy định tại Điều 69 Nghị định số 52/2013/NĐ-CP, thương nhân, tổ chức, cá nhân thu thập và sử dụng thông tin cá nhân của người tiêu dùng phải xây dựng và công bố chính sách bảo vệ thông tin cá nhân, được hiển thị rõ ràng cho người tiêu dùng trước hoặc tại thời điểm thu thập thông tin. Nếu việc thu thập thông tin được thực hiện thông qua website thương mại điện tử của đơn vị thu thập thông tin, chính sách bảo vệ thông tin cá nhân phải được công bố công khai tại một vị trí dễ thấy trên website này. Nghị định số 52/2013/NĐ-CP cũng quy định nghĩa vụ xin phép người tiêu dùng trước khi thu thập thông tin cá nhân của người tiêu dùng (Điều 70), theo đó, trừ trường hợp quy định tại khoản 4 Điều 70 Nghị định số 52/2013/NĐ-CP, thương nhân, tổ chức thu thập và sử dụng thông tin cá nhân của người tiêu dùng trên website thương mại điện tử (gọi tắt là đơn vị thu thập thông tin) phải được sự đồng ý trước của người tiêu dùng có thông tin đó (gọi tắt là chủ thể thông tin). Theo khoản 4 Điều 70 Nghị định số 52/2013/NĐ-CP, đơn vị thu thập thông tin không cần được sự đồng ý trước của chủ thể thông tin trong các trường hợp: (i) Thu thập thông tin cá nhân đã công bố công khai trên các website thương mại điện tử; (ii) Thu thập thông tin cá nhân để ký kết hoặc thực hiện hợp đồng mua bán hàng hóa và dịch vụ; (iii) Thu thập thông tin cá nhân để tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng. Theo Điều 71 Nghị định số 52/2013/NĐ-CP, đơn vị thu thập thông tin phải sử dụng thông tin cá nhân của người tiêu dùng đúng với mục đích và phạm vi đã thông báo, trừ một số ngoại lệ. Việc sử dụng thông tin quy định tại Điều này bao gồm cả việc chia sẻ, tiết lộ và chuyển giao thông tin cá nhân cho bên thứ ba. Theo Điều 72 Nghị định số 52/2013/NĐ-CP, đơn vị thu thập thông tin phải bảo đảm an toàn, an ninh cho thông tin cá nhân mà họ thu thập và lưu trữ, ngăn ngừa các hành vi đánh cắp, tiếp cận, sử dụng, thay đổi, phá hủy thông tin trái phép. Điều 73 Nghị định số 52/2013/NĐ-CP quy định quyền kiểm tra, cập nhật và điều chỉnh thông tin cá nhân của người tiêu dùng, theo đó, chủ thể thông tin có quyền yêu cầu đơn vị thu thập thông tin thực hiện việc kiểm tra, cập nhật, điều chỉnh hoặc hủy bỏ thông tin cá nhân của mình. Đơn vị thu thập thông tin có nghĩa vụ kiểm tra, cập nhật, điều chỉnh, hủy bỏ thông tin cá nhân của chủ thể thông tin khi có yêu cầu hoặc cung cấp cho chủ thể thông tin công cụ để tự kiểm tra, cập nhật, điều chỉnh thông tin cá nhân của mình.

Trường hợp tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng trái quy định kể trên, chủ thể này sẽ bị xử phạt vi phạm hành chính theo quy định tại Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (Nghị định số 98/2020/NĐ-CP). Theo Điều 46 Nghị định số 98/2020/NĐ-CP, hành vi vi phạm về bảo vệ thông tin của người tiêu dùng bị phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi vi phạm sau đây: (i) Không thông báo rõ ràng, công khai với người tiêu dùng về mục đích trước khi thực hiện hoạt động thu thập, sử dụng thông tin của người tiêu dùng theo quy định; (ii) Sử dụng thông tin của người tiêu dùng không phù hợp với mục đích đã thông báo với người tiêu dùng mà không được người tiêu dùng đồng ý theo quy định; (iii) Không bảo đảm an toàn, chính xác, đầy đủ đối với thông tin của người tiêu dùng khi thu thập, sử dụng, chuyển giao theo quy định; (iv) Không tự điều chỉnh hoặc không có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin không chính xác theo quy định; (v) Chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng theo quy định, trừ trường hợp pháp luật có quy định khác. Nếu các thông tin kể trên là thông tin thuộc về bí mật cá nhân của người tiêu dùng, chủ thể vi phạm có thể bị phạt gấp 02 lần mức tiền phạt kể trên.

Việc áp dụng các quy định kể trên cần tính đến một thực tế là, năm 2015, Việt Nam đã ban hành Luật An toàn thông tin mạng. Trong Luật này (Điều 3), thuật ngữ “thông tin cá nhân” được giải thích là “thông tin gắn với việc xác định danh tính của một người cụ thể”, thuật ngữ “chủ thể thông tin cá nhân” được giải thích là “người được xác định từ thông tin cá nhân đó”, và thuật ngữ “xử lý thông tin cá nhân” được giải thích là “việc thực hiện một hoặc một số thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân trên mạng nhằm mục đích thương mại”. Cũng theo quy định của Luật này, hành vi thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân bị nghiêm cấm (Điều 7).

Theo Điều 16 Luật An toàn thông tin mạng năm 2015, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý và phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình. Theo Điều 17 Luật An toàn thông tin mạng năm 2015, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm: (i) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; (ii) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân; (iii) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền. Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ. Luật An toàn thông tin mạng năm 2015 quy định quyền yêu cầu cập nhật, sửa đổi và hủy bỏ thông tin cá nhân tại Điều 18, theo đó, chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba. Ngay khi nhận được yêu cầu của chủ thể thông tin cá nhân về việc cập nhật, sửa đổi, hủy bỏ thông tin cá nhân hoặc đề nghị ngừng cung cấp thông tin cá nhân cho bên thứ ba, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm: (i) Thực hiện yêu cầu và thông báo cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình; (ii) Áp dụng biện pháp phù hợp để bảo vệ thông tin cá nhân; thông báo cho chủ thể thông tin cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác. Tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác.

Luật An toàn thông tin mạng năm 2015 cũng quy định trách nhiệm bảo đảm an toàn thông tin cá nhân trên mạng tại Điều 19 như sau: Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng. Khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất.

Ngày 03/02/2020, Chính phủ đã ban hành Nghị định số 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử (Nghị định số 15/2020/NĐ-CP), trong đó có một số điều khoản để quy định về xử phạt vi phạm hành chính đối với hành vi vi phạm các quy định về bảo vệ thông tin cá nhân. Cụ thể, theo quy định tại Điều 84 Nghị định số 15/2020/NĐ-CP, hành vi vi phạm quy định về thu thập, sử dụng thông tin cá nhân bị xử phạt như sau:

“1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau: a) Thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; b) Cung cấp thông tin cá nhân cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau: a) Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; b) Cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân; c) Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác.

3. Biện pháp khắc phục hậu quả: Buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm quy định tại điểm b khoản 1, các điểm b và c khoản 2 Điều này”.

Theo quy định tại Điều 85 Nghị định số 15/2020/NĐ-CP, hành vi vi phạm quy định về cập nhật, sửa đổi và hủy bỏ thông tin cá nhân bị xử phạt như sau:

“1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi không thông báo cho chủ thể thông tin cá nhân sau khi hủy bỏ thông tin cá nhân đã lưu trữ hoặc chưa thực hiện được biện pháp phù hợp để bảo vệ thông tin cá nhân do yếu tố kỹ thuật.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau: a) Không cập nhật, sửa đổi, hủy bỏ thông tin cá nhân đã lưu trữ theo yêu cầu của chủ thể thông tin cá nhân hoặc không cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của họ; b) Không hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ.

3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân”.

3. Một số phân tích và bình luận

Rà soát các quy định có liên quan kể trên đối với việc xác định trách nhiệm của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của người tiêu dùng, có thể thấy rằng, pháp luật Việt Nam đã có nhiều quy định cần thiết để xử lý các hành vi vi phạm pháp luật về bảo vệ thông tin của người tiêu dùng. Chẳng hạn, dựa vào các quy định pháp luật hiện hành của Việt Nam, chúng ta đã có thể phần nào xác định được “thông tin cá nhân của người tiêu dùng” bao gồm những thông tin nào. Chẳng hạn, trên cơ sở định nghĩa về “thông tin cá nhân” trong Luật An toàn thông tin mạng năm 2015 cùng với các quy định của Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, có thể xác định được “thông tin cá nhân của người tiêu dùng” chính là “thông tin gắn với việc xác định danh tính của một người tiêu dùng là cá nhân cụ thể”. Trên cơ sở quy định đó cùng với quy định của khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP, có thể xác định rõ hơn các thông tin cá nhân của người tiêu dùng bao gồm các thông tin như tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản... Cũng dựa vào các quy định hiện hành, có thể xác định được các nghĩa vụ của tổ chức, cá nhân kinh doanh khi thu thập, sử dụng thông tin cá nhân của người tiêu dùng, trong đó, phải kể tới các nghĩa vụ tuân thủ quy định của pháp luật, nghĩa vụ xin phép người tiêu dùng trước khi tiến hành hoạt động thu thập thông tin, nghĩa vụ bảo đảm an toàn đối với thông tin đã thu thập, nghĩa vụ sử dụng thông tin đúng mục đích đã cam kết/công bố, nghĩa vụ bảo đảm tính chính xác, cập nhật của thông tin cá nhân, nghĩa vụ tôn trọng các quyền của người tiêu dùng đối với thông tin cá nhân của mình... Cũng dựa vào các quy định hiện hành, có thể xác định được trách nhiệm pháp lý đối với tổ chức, cá nhân kinh doanh khi vi phạm các quy định về bảo vệ thông tin của người tiêu dùng, nhất là vi phạm các quy định về bảo vệ thông tin cá nhân của người tiêu dùng.

Mặc dù vậy, các quy định hiện hành cũng còn những điểm chưa thực sự hoàn thiện, thể hiện ở những khía cạnh sau:

Thứ nhất, các quy định về nghĩa vụ/trách nhiệm của tổ chức, cá nhân kinh doanh trong bảo vệ thông tin của người tiêu dùng còn tồn tại tản mạn trong các văn bản quy phạm pháp luật khác nhau, trong khi, mối quan hệ và thứ tự ưu tiên áp dụng của các văn bản quy phạm pháp luật này không dễ xác định.

Thứ hai, chưa có văn bản quy phạm pháp luật giải thích chính thức “thông tin của người tiêu dùng” gồm những thông tin nào. Dựa trên các quy định pháp luật hiện hành (nhất là các văn bản quy phạm pháp luật đã đề cập ở phần trên), có thể thấy, thông tin của người tiêu dùng bao gồm trước hết là các thông tin cá nhân của người tiêu dùng. Tuy nhiên, thông tin của người tiêu dùng không chỉ dừng ở “thông tin cá nhân của người tiêu dùng”. Vậy, bên cạnh “thông tin cá nhân của người tiêu dùng”, thì thông tin của người tiêu dùng còn bao gồm loại thông tin nào khác nữa, điều đó chưa được pháp luật quy định cụ thể.

Thứ ba, cách giải thích thuật ngữ “thông tin cá nhân” của người tiêu dùng trong các văn bản pháp luật còn chưa nhất quán. Thông tin cá nhân trong Luật An toàn thông tin mạng năm 2015 chỉ được định nghĩa rất khái quát là “thông tin gắn với việc xác định danh tính của một người cụ thể” (bất kể cá nhân đó đã tự công bố hay chưa), trong khi Nghị định số 52/2013/NĐ-CP (Điều 3) giải thích thông tin cá nhân là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”. Tuy nhiên, Nghị định số 52/2013/NĐ-CP (Điều 3) lại quy định rằng, “thông tin cá nhân trong Nghị định này không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông”. Thêm vào đó, pháp luật hiện hành chưa có sự phân loại đầy đủ thông tin cá nhân của người tiêu dùng theo mức độ nhạy cảm của từng loại thông tin (chẳng hạn, thông tin cá nhân về sức khỏe sẽ rất khác với thông tin về tên và địa chỉ của cá nhân; thông tin cá nhân của trẻ em sẽ khác với thông tin cá nhân của người đã trưởng thành).

Thứ tư, cách sử dụng các cụm từ chỉ hành vi tác động của tổ chức, cá nhân kinh doanh vào “thông tin cá nhân” (của người tiêu dùng) trong các văn bản khác nhau cũng rất khác nhau. Luật An toàn thông tin mạng năm 2015 sử dụng cụm từ “xử lý thông tin cá nhân” để chỉ các hành vi “thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân” (khoản 17 Điều 3), trong khi Nghị định số 52/2013/NĐ-CP sử dụng các cụm từ “thu thập, sử dụng, lưu trữ thông tin cá nhân” và từ “sử dụng thông tin cá nhân” theo Nghị định này bao gồm cả việc “chia sẻ, tiết lộ và chuyển giao thông tin cá nhân”.

Thứ năm, phạm vi áp dụng các quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 bao gồm cả không gian thực và không gian mạng, trong khi đó, các quy định về bảo vệ thông tin cá nhân trong Luật An toàn thông tin mạng năm 2015 chỉ áp dụng cho các hoạt động trên không gian mạng.

Thứ sáu, quy định về xử phạt vi phạm đối với tổ chức, cá nhân kinh doanh vi phạm quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Nghị định số 15/2020/NĐ-CP và Nghị định số 98/2020/NĐ-CP còn có sự khác biệt nhất định về mô tả các loại hành vi bị xử phạt và mức phạt cho mỗi loại hành vi. Thêm vào đó, nếu so sánh kinh nghiệm quốc tế[3], có thể thấy rằng, mức phạt đối với các hành vi vi phạm theo pháp luật Việt Nam còn khá nhẹ.

4. Đề xuất, kiến nghị

Các cơ quan có thẩm quyền của Việt Nam đang tích cực nghiên cứu sửa đổi, bổ sung Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 nhằm đáp ứng yêu cầu bảo vệ quyền lợi người tiêu dùng trong bối cảnh mới, trong đó, phải kể tới bối cảnh phát triển mạnh mẽ thương mại điện tử và kinh tế số. Đây là cơ hội lập pháp rất tốt để những điểm chưa hoàn thiện trong quy định pháp luật về trách nhiệm của tổ chức, cá nhân kinh doanh trong bảo vệ thông tin của người tiêu dùng được khắc phục. Dựa trên những phân tích nêu trên, cần hoàn thiện các quy định này như sau:

Thứ nhất, cần xác định và quy định rõ mối quan hệ và thứ tự ưu tiên áp dụng các quy định về nghĩa vụ/trách nhiệm của tổ chức, cá nhân kinh doanh trong bảo vệ thông tin của người tiêu dùng khi các quy định này tồn tại trong nhiều văn bản quy phạm pháp luật khác nhau. Việc chỉ vận dụng quy định tại Điều 156 Luật Ban hành văn bản quy phạm pháp luật năm 2015 (sửa đổi, bổ sung năm 2020) để xử lý trong trường hợp này chưa thực sự thỏa đáng[4]. Các quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) nên coi là các quy định mang tính chuyên ngành, được ưu tiên áp dụng so với các quy định về bảo vệ thông tin cá nhân nói chung.

Thứ hai, Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) nên có giải thích chính thức “thông tin của người tiêu dùng” gồm những thông tin gì. Thông tin của người tiêu dùng bao gồm trước hết là các thông tin cá nhân của người tiêu dùng. Tuy nhiên, thông tin của người tiêu dùng không chỉ dừng ở “thông tin cá nhân của người tiêu dùng” mà cần bao gồm cả các thông tin khác của người tiêu dùng.

Thứ ba, Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) cũng nên có giải thích thuật ngữ “thông tin cá nhân của người tiêu dùng” để bảo đảm tính nhất quán trong cách hiểu về thuật ngữ này cho các văn bản hướng dẫn thi hành sau khi Luật có hiệu lực. Giải thích này nên nhất quán với cách giải thích về thông tin cá nhân trong Luật An toàn thông tin mạng năm 2015 nhưng có thể chi tiết hơn.

Thứ tư, Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) nên sử dụng cụm từ chỉ hành vi tác động của tổ chức, cá nhân kinh doanh vào “thông tin cá nhân” (của người tiêu dùng) thống nhất với cách sử dụng cụm từ này trong Luật An toàn thông tin mạng năm 2015 (tức là nên sử dụng cụm từ “xử lý thông tin cá nhân” để chỉ các hành vi “thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân của người tiêu dùng”). Đây là cụm từ được sử dụng khá phổ biến trong pháp luật về bảo vệ người tiêu dùng cũng như các quy định về bảo vệ thông tin cá nhân trên thế giới. Thêm vào đó, Luật nên quy định trách nhiệm pháp lý khác nhau đối với các dạng thông tin cá nhân khác nhau của người tiêu dùng, tùy theo mức độ nhạy cảm của thông tin cá nhân này, đồng thời, cần coi trọng hơn tới việc bảo vệ thông tin cá nhân của người chưa thành niên, nhất là thông tin cá nhân của trẻ em.

Thứ năm, tiếp tục quy định phạm vi áp dụng các quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) theo hướng các quy định này được áp dụng cho cả hành vi của tổ chức, cá nhân kinh doanh trong không gian thực và trong không gian mạng.

Thứ sáu, nên quy định biện pháp chế tài nghiêm khắc hơn nữa đối với các hành vi của tổ chức, cá nhân kinh doanh vi phạm quy định về bảo vệ thông tin cá nhân của người tiêu dùng nhằm sớm thiết lập trật tự, kỷ luật, kỷ cương trên thị trường hàng hóa, dịch vụ tiêu dùng, tạo tiền đề phát triển bền vững thị trường hàng hóa, dịch vụ tiêu dùng ở nước ta trong thời gian tới với nhiều cơ hội phát triển mang tính bùng nổ của thương mại điện tử và kinh tế số trước tác động của cuộc Cách mạng công nghiệp lần thứ tư. Bên cạnh đó, các quy định về biện pháp chế tài dân sự và hình sự cũng cần được quan tâm nghiên cứu, hoàn thiện.

 

Theo tcdcpl.vn

Một siêu thị tại Hà Nội- Ảnh minh họa

[1]. Bài viết là một phần kết quả nghiên cứu của Đề tài độc lập cấp quốc gia “Hoàn thiện thể chế kinh tế thị trường định hướng xã hội chủ nghĩa dưới tác động của cuộc Cách mạng công nghiệp 4.0: Những vấn đề pháp lý cơ bản” (Mã số: ĐTĐL_XH-03/21).
[2]. Đã được sửa đổi, bổ sung bởi Nghị định số 85/2021/NĐ-CP ngày 25/9/2021 của Chính phủ.
[3]. Có thể tham khảo Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh Châu Âu năm 2016, Luật Bảo vệ thông tin cá nhân của Trung Quốc năm 2021…
[4]. Điều 156. Áp dụng văn bản quy phạm pháp luật
1. Văn bản quy phạm pháp luật được áp dụng từ thời điểm bắt đầu có hiệu lực. Văn bản quy phạm pháp luật được áp dụng đối với hành vi xảy ra tại thời điểm mà văn bản đó đang có hiệu lực. Trong trường hợp quy định của văn bản quy phạm pháp luật có hiệu lực trở về trước thì áp dụng theo quy định đó.
2. Trong trường hợp các văn bản quy phạm pháp luật có quy định khác nhau về cùng một vấn đề thì áp dụng văn bản có hiệu lực pháp lý cao hơn.
3. Trong trường hợp các văn bản quy phạm pháp luật do cùng một cơ quan ban hành có quy định khác nhau về cùng một vấn đề thì áp dụng quy định của văn bản quy phạm pháp luật ban hành sau.

TS. NGUYỄN VĂN CƯƠNG (Viện trưởng Viện Khoa học pháp lý, Bộ Tư pháp)