Hiện nay tại Việt Nam, sàn giao dịch thương mại điện tử là một nền tảng thu hút số lượng lớn người dùng vì sự tiện lợi, nhanh chóng trong các giao dịch mua bán.
Tuy nhiên trên thực tế, bên cạnh sự tiện nghi mà sàn giao dịch thương mại điện tử đem lại thì khách hàng vẫn lo lắng hoặc thậm chí đã gặp phải những rủi ro về việc thông tin cá nhân của mình bị lộ hoặc sử dụng trái phép. Câu hỏi đặt ra là ai sẽ là người chịu trách nhiệm về việc thông tin cá nhân của khách hàng bị tiết lộ hoặc sử dụng trái phép? Mức độ gánh chịu trách nhiệm bảo mật thông tin cá nhân khách hàng của họ tới đâu?
Sàn giao dịch thương mại điện tử (“TMĐT”) hiện nay là một trong những hình thức hoạt động TMĐT phổ biến nhất tại Việt Nam. Bên cạnh những vấn đề thu hút nhiều sự quan tâm của người dùng (như chất lượng hàng hóa, sự tiện lợi trong giao dịch mua bán, thời gian vận chuyển, phương thức thanh toán…) thì chính sách bảo mật thông tin cá nhân (“TTCN”) khách hàng cũng là một khía cạnh mà người dùng quan tâm nhiều không kém. Bởi lẽ, việc bảo mật TTCN của khách hàng cũng là một trong những quyền lợi mà họ mong muốn được bảo vệ tốt nhất khi tham gia vào các giao dịch của sàn giao dịch TMĐT.
Nghĩa vụ bảo mật thông tin cá nhân khách hàng
Hiện nay, pháp luật Việt Nam quy định các thương nhân, tổ chức cung cấp dịch vụ sàn giao dịch TMĐT có trách nhiệm “áp dụng các biện pháp cần thiết để đảm bảo an toàn thông tin liên quan đến thông tin cá nhân của người tiêu dùng”[1].
Theo đó, các TTCN được pháp luật bảo vệ là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”[2]. Nói cách khác, pháp luật Việt Nam quy định sàn giao dịch TMĐT có nghĩa vụ bảo mật TTCN các khách hàng của họ.
Các giới hạn của nghĩa vụ bảo mật thông tin cá nhân khách hàng
Hiện nay có một số sàn giao dịch TMĐT quy định các giới hạn trách nhiệm trong việc bảo mật TTCN khánh hàng trong quy chế hoạt động thể hiện trên trang chủ của họ. Hành động này có hợp pháp hay không?
Như đã nêu trên, theo quy định của pháp luật Việt Nam, sàn giao dịch TMĐT có nghĩa vụ đảm bảo an toàn cho các TTCN khách hàng bằng bất cứ biện pháp, phương tiện gì.
Mỗi sàn giao dịch TMĐT đều bắt buộc phải có quy chế hoạt động riêng được thể hiện trên trang chủ của website của sàn, trong đó phải thể hiện rõ nội dung về chính sách bảo mật TTCN của khách hàng sử dụng dịch vụ của sàn giao dịch TMĐT[3] theo các nội dung quy định tại Điều 69 Nghị định 52/2013/NĐ-CP về TMĐT, bao gồm:
- Mục đích thu thập TTCN;
- Phạm vi sử dụng thông tin;
- Thời gian lưu trữ thông tin;
- Những người hoặc tổ chức có thể được tiếp cận với thông tin đó;
- Địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm cách thức liên lạc để khách hàng sử dụng dịch vụ có thể hỏi về hoạt động thu thập, xử lý thông tin liên quan đến cá nhân mình;
- Phương thức và công cụ để khách hàng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống TMĐT của đơn vị thu thập thông tin.
Có thể thấy những nội dung trên trong chính sách bảo mật TTCN khách hàng không bao gồm các quy định về giới hạn trách nhiệm bảo mật TTCN khách hàng của sàn giao dịch TMĐT. Tuy nhiên, trong trường hợp phải cung cấp TTCN khách hàng để hỗ trợ các cơ quan quản lý nhà nước điều tra các hành vi vi phạm pháp luật[4] hoặc có sự đồng ý của khách hàng[5] thì sàn giao dịch TMĐT sẽ được quyền tiết lộ, cung cấp các TTCN đó.
Như vậy, có thể thấy, pháp luật Việt Nam cũng có quy định về giới hạn trách nhiệm bảo mật TTCN khách hàng của sàn giao dịch TMĐT trong một số trường hợp cụ thể, nhưng không cho phép sàn giao dịch TMĐT tự quy định giới hạn trách nhiệm bảo mật TTCN khách hàng của họ ngoài các trường hợp luật đã quy định. Do vậy, việc các sàn giao dịch TMĐT hiện nay có các quy định giải phóng nghĩa vụ bảo mật TTCN khách hàng của họ có hợp pháp hay không sẽ phụ thuộc vào nội dung của quy định đó.
Nếu sàn giao dịch TMĐT quy định các trường hợp miễn trừ nghĩa vụ bảo mật TTCN khách hàng của họ giống như các trường hợp mà pháp luật cho phép thì việc quy định đó là hợp pháp. Ngược lại, nếu sàn giao dịch TMĐT quy định thêm các trường hợp miễn trừ nghĩa vụ bảo mật TTCN khách hàng nằm ngoài các trường hợp mà pháp luật cho phép thì việc quy định như vậy sẽ không hợp pháp.
Điều này có nghĩa là khi có tranh chấp về vấn đề bảo mật TTCN của khách hàng, quy định giới hạn trách nhiệm này của sàn giao dịch TMĐT sẽ không giúp sàn giao dịch TMĐT giải phóng khỏi nghĩa vụ bảo mật TTCN khách hàng.
Kết luận
Tóm lại, sàn giao dịch TMĐT có nghĩa vụ bảo mật TTCN khách hàng và nghĩa vụ này chỉ được miễn trừ trong các trường hợp pháp luật quy định. Do đó, trước khi lựa chọn sử dụng dịch vụ của bất kỳ sàn giao dịch TMĐT nào, người dùng cũng nên tìm hiểu kỹ chính sách bảo mật TTCN khách hàng nói riêng cũng như quy chế hoạt động của từng sàn nói riêng. Việc tìm hiểu này không chỉ giúp người dùng hiểu rõ về hoạt động của sàn giao dịch TMĐT mà còn giúp người dùng có thể tự bảo vệ quyền lợi của mình một cách tốt nhất khi có tranh chấp.
[1] Khoản 7 Điều 36 Nghị định 52/2013/NĐ-CP về Thương mại điện tử.
[2] Khoản 13 Điều 3 Nghị định 52/2013/NĐ-CP về Thương mại điện tử.
[3] Điểm i Khoản 2 Điều 38 Nghị định 52/2013/NĐ-CP về Thương mại điện tử.
[4] Khoản 9 Điều 36 Nghị định 52/2013/NĐ-CP về Thương mại điện tử.
[5] Khoản 3 Điều 70 Nghị định 52/2013/NĐ-CP về Thương mại điện tử.