Sau vụ mua bán 1.300 GB dữ liệu chứa thông tin cá nhân, hay vụ hàng ngàn thông tin chứng minh nhân dân của người Việt bị rao bán trên diễn đàn hacker, nhiều người rất bức xúc, cho rằng thông tin cá nhân đang bị lạm dụng và đây là nguyên nhân gây bao phiền toái, thậm chí dẫn đến nhiều vụ trục lợi, lừa đảo.
Không ít người lên tiếng đòi hỏi phải xử lý không chỉ người bán mà còn cả người mua thông tin cá nhân nếu không được sự đồng ý của chủ sở hữu, nhưng...
Không phải mọi hành vi mua bán thông tin cá nhân đều là phạm pháp
Nỗi bức xúc, hoang mang của người dân liên quan đến thông tin cá nhân (TTCN) bị mua bán là điều chính đáng và dễ cảm thông. Nhưng trước hết cần phải làm rõ rằng liệu pháp luật hiện hành của Việt Nam có cấm mọi hành vi mua bán, trao đổi TTCN hay không?
Một số người, có cả luật sư, viện dẫn điều 288 Bộ luật Hình sự 2015 về “Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” để cho rằng hành vi mua bán, trao đổi TTCN là hành vi phạm pháp. Theo đó, khoản b, mục 1 của điều này quy định rằng hành vi “Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó” sẽ bị xử phạt hành chính, cải tạo không giam giữ, hoặc phạt tù đến ba năm.
Vậy có khi nào chủ sở hữu TTCN lại đồng ý với hành vi này không? Chắc chắn là có, khi, chẳng hạn, người tiêu dùng ký vào hợp đồng mua bán hàng hóa, dịch vụ với một doanh nghiệp, tổ chức nào đó mà trong hợp đồng có điều khoản, thường ghi chữ rất nhỏ, ở cuối hoặc trong phần phụ lục của hợp đồng, rằng khách hàng đồng ý cho phía doanh nghiệp cung cấp TTCN cho một bên thứ ba/bên đối tác... |
Điều cần chú ý trong quy định trên là cụm từ “mà không được phép của chủ sở hữu thông tin”. Như vậy, có thể diễn giải rằng hành vi mua bán, trao đổi TTCN mà chủ sở hữu đã đồng ý trước đó là hành vi hoàn toàn hợp pháp.
Vậy có khi nào chủ sở hữu TTCN lại đồng ý với hành vi này không? Chắc chắn là có, khi, chẳng hạn, người tiêu dùng ký vào hợp đồng mua bán hàng hóa, dịch vụ với một doanh nghiệp, tổ chức nào đó mà trong hợp đồng có điều khoản, thường ghi chữ rất nhỏ, ở cuối hoặc trong phần phụ lục của hợp đồng, rằng khách hàng đồng ý cho phía doanh nghiệp cung cấp TTCN cho một bên thứ ba/bên đối tác với mục đích XYZ (thường rất mù mờ, chung chung).
Ngay cả khi gọi điện cho một ngân hàng chẳng hạn (là người viết đang nói đến chuyện ở Singapore, không rõ ở Việt Nam ra sao), máy tự động của ngân hàng trước khi nối kết cuộc gọi với cán bộ hữu trách cũng thòng thêm một câu rằng thông tin cung cấp trong cuộc gọi cũng có thể được cung cấp cho bên thứ ba... Mà đương nhiên là thông tin trong cuộc gọi/hợp đồng thì phải bao gồm TTCN, còn việc “cung cấp” cho bên thứ ba bằng hình thức nào thì chỉ có... Trời mới biết, ngoài ngân hàng/doanh nghiệp và bên thứ ba/đối tác.
Ngoài ra, quy định trên còn kèm thêm điều kiện là hành vi được nói đến phải gây thiệt hại hoặc làm lợi bất chính từ bao nhiêu đồng trở lên, hoặc gây dư luận xấu, ảnh hưởng đến uy tín của cơ quan, tổ chức, cá nhân thì mới chịu chế tài phạt như đã nêu. Nói cách khác, không phải hành vi mua bán TTCN nào cũng là phạm pháp.
Có phần tương tự như vậy là chế tài theo một loạt văn bản pháp luật khác như Luật Công nghệ thông tin (2006), Luật Bảo vệ người tiêu dùng (2010), Luật An toàn thông tin mạng (2015), Nghị định 185/2013 (và nghị định sửa đổi 2015), Nghị định 15/2020, Nghị định 98/2020.
Theo đó, hành vi thu thập, xử lý, sử dụng, trao đổi TTCN mà “không được sự đồng ý” của chủ sở hữu TTCN sẽ bị cấm/phạt tiền. Như thế cũng có nghĩa là nếu chủ sở hữu TTCN trước đó đã đồng ý (dù vô tình, miễn cưỡng) thì việc mua bán TTCN là hợp pháp, hoặc ít nhất thì... không cấm!
Vậy thì hướng khắc phục, xử lý ra sao?
Như vậy, do vẫn còn mắc ở điều kiện/cụm từ “không được sự đồng ý” của chủ sở hữu TTCN nên TTCN mặc nhiên phải/vẫn được coi là hàng hóa hợp pháp và việc mua bán cũng được coi là hợp pháp chừng nào mà chủ sở hữu TTCN đồng ý.
Đây sẽ là một khó khăn tiềm năng cho cơ quan chức năng khi muốn chứng minh với các đối tượng đang bị điều tra rằng dữ liệu TTCN mà họ mua bán không được sự đồng ý của chủ sở hữu TTCN. Ít nhất bởi cơ quan chức năng, theo nguyên tắc suy đoán vô tội, sẽ phải lần ngược lại từng TTCN để truy ra xem nguồn gốc lọt TTCN đó từ đâu, và có được sự đồng ý từ ban đầu của chủ nhân hay không, với điều kiện nào...
Do đó, giải pháp pháp lý khắc phục về sau này sẽ được nghĩ đến đầu tiên là xóa luôn điều kiện “không được sự đồng ý” của chủ sở hữu TTCN khỏi mọi văn bản pháp luật để làm cho mọi việc trao đổi, cung cấp, mua bán dữ liệu TTCN (cho bên thứ ba) trở nên bất hợp pháp.
Nhưng hậu quả của cách làm dễ dãi này sẽ là tước đi từ doanh nghiệp, tổ chức cung cấp hàng hóa, dịch vụ một công cụ chính đáng để họ hoặc bảo vệ, tăng cường lợi ích chính đáng của mình (ví dụ như cung cấp TTCN người vay cho bên thứ ba để đảm bảo khoản nợ được “quản lý” một cách hiệu quả) hoặc phục vụ khách hàng tốt hơn (ví dụ cung cấp cho khách hàng hàng hóa, dịch vụ phụ trợ từ bên thứ ba). Chính vì vậy, không phải ngẫu nhiên khi hàng loạt văn bản pháp luật hiện nay vẫn phải duy trì điều kiện này.
Thay cho việc cấm thẳng thừng này thì cần bổ sung thêm trong các văn bản pháp luật liên quan điều khoản quy định buộc các chủ thể muốn mua bán, trao đổi, cung cấp dữ liệu TTCN cho/với một bên khác phải có bằng chứng về sự đồng ý của toàn bộ chủ sở hữu TTCN có trong bộ dữ liệu cho việc mua bán này (với mục đích mới khác với khi thu thập TTCN trước đó bởi bên bán), hoặc bằng chứng rằng các chủ thể này đã thông báo cho toàn bộ chủ sở hữu TTCN về việc mua bán này (và cho mục đích gì).
Đây là kinh nghiệm tham khảo từ trường hợp của Singapore. Chỉ cần một TTCN trong bộ dữ liệu không có những bằng chứng như vậy sẽ là căn cứ để coi vụ việc mua bán, trao đổi TTCN là phạm pháp và các bên tham gia mua bán sẽ bị xử lý theo quy định pháp luật(1).
Đồng thời với sự hợp pháp hóa mua bán TTCN này, cần bổ sung các hạn chế đối với các kênh khai thác dữ liệu TTCN truyền thống, như các cuộc thi, rút thăm trúng thưởng, hội thảo và khảo sát..., và người tiêu dùng có quyền từ chối cung cấp TTCN. Việc làm thế nào để xác định được người tiêu dùng lúc đó là việc của doanh nghiệp.
Điều cũng rất quan trọng khác là bổ sung quy định buộc các tổ chức mua bán dữ liệu TTCN của bên thứ ba (ở Việt Nam chính là những doanh nghiệp mua bán dữ liệu đang bị công an điều tra) phải đăng ký với cơ quan chức năng, và buộc các tổ chức này phải cung cấp thông tin về hệ thống của họ cho phép chủ sở hữu TTCN được xóa TTCN của mình khỏi bộ dữ liệu.
Đây là cách làm của Vermont, nơi đầu tiên ở Mỹ vào năm 2019 ban hành luật yêu cầu các công ty môi giới, mua bán dữ liệu cá nhân của bên thứ ba phải đăng ký với nhà chức trách. Qua đây cũng thấy thực ra thì môi giới và mua bán dữ liệu cá nhân là cả một thị trường, một ngành công nghiệp lớn và trong vùng xám hợp pháp ở nước ngoài(2).
(Theo TBKTSG)
(1) https://www.straitstimes.com/singapore/singapore-privacy-watchdog-takes-first-data-monger-to-task
(2) https://www.fastcompany.com/90310803/here-are-the-data-brokers-quietly-buying-and-selling-your-personal-information