Pháp luật về bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử: Một số khuyến nghị và giải pháp liên quan.

            Thương mại điện tử (TMĐT) Việt Nam trong những năm qua có sự phát triển mạnh mẽ, trở thành kênh phân phối và hiện là một trong những lĩnh vực tiên phong của nền kinh tế số. Đặc biệt, sau đại dịch Covid 19, thương mại điện tử đã khẳng định được tính ưu việt trong việc thay đổi thói quen và hành vi mua sắm của người tiêu dùng và là công cụ, phương thức kinh doanh quan trọng giúp nhiều thương nhân vượt qua khó khăn, thậm chí là có tốc độ phát triển mạnh mẽ hơn trong sau đại dịch, đặc biệt với một số nhóm doanh nghiệp được hưởng lợi do nhu cầu tiêu dùng tăng cao như nhóm thực phẩm, thiết bị y tế, thực phẩm bảo vệ sức khỏe, v.v... Tuy nhiên, sự thay đổi này cũng là kẽ hở cho việc nhiều đối tượng lợi dụng để thu thập thông tin người tiêu dùng trái phép và sử dụng những thông tin này vào các hành vi vi phạm thậm chí nhằm mục đích lừa đảo, chiếm đoạt tài sản, thậm chí mua bán thông tin cá nhân của người tiêu dùng. Các hành vi vi phạm ngày càng tinh vi, khó lường cả về quy mô, hình thức, phương thức lẫn thủ đoạn.

Theo Báo cáo tổng kết An ninh mạng Việt Nam năm 2023 và dự báo năm 2024 do Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS) tổng hợp, tình trạng lộ dữ liệu của người dùng tại Việt Nam đã ở mức báo động. Các vụ việc mất thông tin cá nhân thường bao gồm việc đánh cắp thông tin thanh toán, thông tin cá nhân, và tài khoản đăng nhập từ các trang web thương mại điện tử bị xâm nhập, dẫn đến nhiều thiệt hại nghiêm trọng cho người dùng. Thiệt hại do gian lận thương mại điện tử trong năm 2022 đã được tính đến hàng nghìn tỷ đồng. Theo đó, Bộ Công An đã phải cảnh báo, xử lý hàng chục triệu các vụ việc có liên quan đến xâm phạm cơ sở dữ liệu cá nhân của khách hàng. 

Sự gia tăng của các cuộc tấn công mạng cũng có xu hướng nhắm vào doanh nghiệp thương mại điện tử. Theo NCS, trong năm 2023 có 13.900 vụ tấn công mạng nhằm vào các tổ chức tại Việt Nam. Như vậy, trung bình mỗi tháng xảy ra 1.160 vụ, tăng 9,5% so với năm 2022. Các cuộc tấn công thường nhắm vào dữ liệu khách hàng, thông tin thanh toán, và cả cơ sở hạ tầng mạng của doanh nghiệp thương mại điện tử.

< >Khái niệm về “thông tin cá nhân”[1]. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo.

Theo thống kê của Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn.

 Có hơn 10 khái niệm thuật ngữ liên quan tới thông tin cá nhân được diễn giải theo những cách khác nhau, gồm: “dữ liệu cá nhân”, “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”; “thông tin về đời sống riêng tư”, “bí mật gia đình”, “quyền bất khả xâm phạm về đời sống riêng tư”; “cơ sở dữ liệu điện tử”; “thông tin của người tiêu dùng”. Riêng về khái niệm “thông tin cá nhân”, khái niệm này được coi là tương đồng và gần gũi nhất với khái niệm “dữ liệu cá nhân”. Cụm từ “thông tin cá nhân” xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 07 văn bản pháp luật có định nghĩa/diễn giải thế nào là thông tin cá nhân[2]. Số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong nội dung các quy định, không đưa ra giải thích hay dẫn chiếu giải thích đến văn bản pháp luật khác.

 “Thông tin cá nhân” đã được giải thích lần đầu tiên tại Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động nhà nước. Theo đó, thông tin cá nhân là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.

Ngoài ra, trong phạm vi áp dụng các giao dịch thương mại điện tử, thông tin cá nhân được định nghĩa tại Khoản 13 Điều 3 Nghị định 52/2013/NĐ-CP về thương mại điện tử. Theo điều khoản này, thông tin cá nhân là các thông tin góp phần định danh một cá nhân gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật. Theo Nghị định này, các thông tin liên hệ công việc và thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông không được xem là thông tin cá nhân. Trong Luật Bảo vệ quyền lợi người tiêu dùng 2023 đề cập đến khái niệm “thông tin cá nhân của người tiêu dùng bao gồm thông tin cá nhân của người tiêu dùng, thông tin về quá trình mua, sử dụng sản phẩm, hàng hoá, dịch vụ của người tiêu dùng và thông tin khác liên quan đến giao dịch giữa người tiêu dùng và tổ chức, cá nhân kinh doanh”. Hiện nay, trong các văn bản luật, định nghĩa thông tin cá nhân được đề cập một cách chính thức tại Khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015 đã quy định “thông tin cá nhân là thông tin gắn liền với việc xác định danh tính của một người cụ thể”. Thuật ngữ “danh tính” có thể được hiểu là các dữ liệu về tên, tuổi, lai lịch của một người, các thông tin này có thể đã được công khai hoặc họ không muốn tiết lộ và giữ làm bí mật riêng. Suy rộng ra, các thông tin cá nhân phải biểu thị các thông tin gắn liền với một người, phản ánh về các quyền dân sự hay chứa đựng các thông tin liên quan đến nhiều lĩnh vực khác như hành chính, hình sự, giáo dục, kinh tế, y tế....

Điều này đặt ra yêu cầu phải thống nhất về thuật ngữ “thông tin cá nhân” ở tầm văn bản Luật, bảo đảm sự đồng bộ về nội dung, phạm vi và cách thức, trường hợp áp dụng cụ thể. Phương án giải quyết là quy định các vấn đề mang tính nguyên tắc tại Luật Bảo vệ dữ liệu cá nhân, bãi bỏ các quy định tại các văn bản có liên quan nếu không đồng nhất với nguyên tắc về bảo vệ dữ liệu cá nhân.

Pháp luật bảo mật thông tin cá nhân là tổng thể các quy phạm pháp luật do cơ quan nhà nước có thẩm quyền ban hành để điều chỉnh quan hệ xã hội phát sinh giữa cơ quan nhà nước với cá nhân là công dân hoặc cá nhân khác, giữa cá nhân với cá nhân, cá nhân với tổ chức, nhằm bảo vệ thông tin cá nhân không bị xâm phạm một cách tùy tiện.

< >Pháp luật về bảo vệ thông tin của khách hàng thương mại điện tử.“Điều 5. Bảo đảm an toàn thông tin mạng và an ninh mạng trong giao dịch điện tử

1. Cơ quan, tổ chức, cá nhân phải tuân thủ quy định của pháp luật về giao dịch điện tử, pháp luật về an toàn thông tin mạng, pháp luật về an ninh mạng và quy định khác của pháp luật có liên quan khi thực hiện giao dịch điện tử.

…

Điều 6. Các hành vi bị nghiêm cấm trong giao dịch điện tử

…

3. Thu thập, cung cấp, sử dụng, tiết lộ, hiển thị, phát tán, kinh doanh trái pháp luật thông điệp dữ liệu.

4. Giả mạo, làm sai lệch hoặc xóa, hủy, sao chép, di chuyển trái pháp luật một phần hoặc toàn bộ thông điệp dữ liệu.

5. Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật.

6. Gian lận, giả mạo, chiếm đoạt hoặc sử dụng trái pháp luật tài khoản giao dịch điện tử, chứng thư điện tử, chứng thư chữ ký điện tử, chữ ký điện tử.

…”

Chính sách bảo vệ thông tin cá nhân của người tiêu dùng trong thương mại điện tử theo Điều 69 Nghị định 52/2013/NĐ-CP như sau:

“1. Thương nhân, tổ chức, cá nhân thu thập và sử dụng thông tin cá nhân của người tiêu dùng phải xây dựng và công bố chính sách bảo vệ thông tin cá nhân với các nội dung sau:

 a, Mục đích thu thập thông tin cá nhân;

 b, Phạm vi sử dụng thông tin;

c, Thời gian lưu trữ thông tin;

d, Những người hoặc tổ chức có thể được tiếp cận với thông tin đó;

đ, Địa chỉ của đơn vị thu thập và quản lý thông tin, bao gồm cách thức liên lạc để người tiêu dùng có thể hỏi về hoạt động thu thập, xử lý thông tin liên quan đến cá nhân mình;

e, Phương thức và công cụ để người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương mại điện tử của đơn vị thu thập thông tin.

2. Những nội dung trên phải được hiển thị rõ ràng cho người tiêu dùng trước hoặc tại thời điểm thu thập thông tin.

3. Nếu việc thu thập thông tin được thực hiện thông qua website thương mại điện tử của đơn vị thu thập thông tin, chính sách bảo vệ thông tin cá nhân phải được công bố công khai tại một vị trí dễ thấy trên website này.”

            Theo những quy định tại điều 69 tổ chức, cá nhân phải đưa ra một chính sách rõ ràng để khách hàng và người tiêu dùng có thể nắm rõ thông tin cá nhân của mình được thu thập và sử dụng vào mục đích gì, nếu như những thông tin đó rò rỉ ngoài nằm ngoài mục địch đã cam kết thì tổ chức, cá nhân đó hoàn toàn phải chịu trách nhiệm.

 Với những quy định nêu trên, nếu như doanh nghiệp hoặc chủ sàn giao dịch vi phạm những quy định về bảo mật thông tin khách hàng sẽ bị xử phạt hành chính. Mức xử phạt hành chính được wuy định tại Nghị định số 15/2020/NĐ-CP quy định xử phát vi phạm hành cính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử. Theo khoản 2, Điều 84 Nghị định 15/2020/NĐ-CP ngày 03/02/2020, quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử quy định:

“Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi:

< >Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; Cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhânThu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác.” Một số khuyến nghị và giải pháp bảo mật thông tin khách hàngKhuyến nghị đối với cơ quan quản lýKhuyến nghị đối với doanh nghiệp thương mại điện tử Khuyến nghị đối với người tiêu dùng, khách hàng4.Giải pháp hoàn thiện pháp luật bảo mật thông tin người tiêu dùng trong giao dịch điện tử

Thứ nhất, tiếp tục nghiên cứu cơ sở lý luận, thực tiễn thực thi pháp luật về bảo mật thông tin cá nhân, tham khảo kinh nghiệm của một số quốc gia có những quy định về vấn đề này.

Thứ hai, tiếp tục rà soát các quy định hiện hành về pháp luật bảo mật thông tin của người tiêu dùng qua đó sửa đổi những quy định còn chồng chéo hoặc không còn phù hợp để hoàn thiện các quy định pháp luật về bảo mật thông tin trong thương mại điện tử cho đồng bộ, nhất quán với các văn bản quy phạm pháp luật khác có liên quan.

Thứ ba, cụ thể hóa các trường hợp được yêu cầu cung cấp thông tin; trường hợp cấm, hạn chế cung cấp thông tin nhằm bảo đảm thuận lợi trong việc quản lý và thực thi pháp luật của các doanh nghiệp, bảo đảm quyền được bảo mật thông tin của người tiêu dùng (có thể tham khảo pháp luật của Singapore).

Thứ tư, cần hướng dẫn rõ ràng quy định doanh nghiệp được phép cung cấp thông tin người tiêu dùng cho nội bộ của doanh nghiệp. Pháp luật cần quy định cụ thể những thông tin người tiêu dùng mà doanh nghiệp được cung cấp, dữ liệu trường hợp doanh nghiệp cung cấp thông tin người tiêu dùng như: khi doanh nghiệp này sáp nhập hoặc đề xuất sáp nhập với doanh nghiệp khác. Quy định rõ thông tin về tiền gửi, tài sản gửi mà doanh nghiệp được cung cấp cho công ty mẹ vì mục đích quản lý rủi ro hoặc kiểm toán nội bộ,…

Thứ năm, rà soát, sửa đổi nhằm tạo sự thống nhất liên quan đến mức xử lý vi phạm hành chính. Bổ sung các chế tài hình sự nhằm xử lý các hành vi vi phạm nghĩa vụ bảo mật các thông tin khác của người tiêu dùng. Hoàn thiện khung pháp lý cho việc xử lý tội phạm công nghệ cao. Xử phạt vi phạm hành chính là một bộ phận của pháp luật xử lý vi phạm hành chính, là biện pháp chế tài mà Nhà nước áp dụng đối với các tổ chức, cá nhân có hành vi vi phạm hành chính, buộc các chủ thể này phải gánh chịu những hậu quả pháp lý bất lợi của trách nhiệm hành chính đối với hành vi vi phạm pháp luật hành chính của mình. Với ý nghĩa đó, xử phạt vi phạm hành chính trong lĩnh vực thương mại điện tử được coi là một yếu tố điều chỉnh các quan hệ xã hội phát sinh trong lĩnh vực bảo mật thông tin người tiêu dùng trong hoạt động thương mại điện tử, nhằm duy trì trật tự quản lý hành chính trong việc bảo mật quyền được bảo mật thông tin của người tiêu dùng. Các quy định về xử lý vi phạm bảo mật thông tin cần có các biện pháp đảm bảo để được thực thi có hiệu quả hạn chế sự biến tướng của các tội phạm công nghệ cao khi mức xử phạt còn hạn chế.

< >Giải pháp áp dụng Trí tuệ nhân tạo (AI) trong phát hiện hành vi gian lận đánh cắp thông tin khách hàng.Không riêng Việt Nam, vấn đề an ninh mạng, chống gian lận, bảo mật thông tin người dùng cũng là bài toán đau đầu của nhiều quốc gia trên thế giới. Theo báo cáo của Cybersecurity Venture - tổ chức nghiên cứu hàng đầu thế giới về nền kinh tế mạng toàn cầu, tổn thất do tội phạm mạng đã lên tới 8 nghìn tỷ USD vào năm 2023 trên toàn thế giới - tương đương hơn 250.000 USD mỗi giây. Dự báo vào năm 2025, tổn thất hàng năm sẽ tăng lên tới 10,5 nghìn tỷ USD. [3]

Gian lận, lừa đảo, và mất thông tin dữ liệu trong thương mại điện tử không chỉ gây thiệt hại về kinh tế mà còn làm mất niềm tin từ phía khách hàng, ảnh hưởng đến uy tín và doanh số bán hàng của doanh nghiệp.

Trước thực trạng đáng lo ngại nói trên, việc tăng cường kiểm soát bảo mật trong giao dịch thương mại điện tử là điều cấp thiết. Trong đó, việc sử dụng công nghệ, cụ thể là ứng dụng AI có thể phát hiện và ngăn chặn các hành vi gian lận, cũng như giúp bảo mật thông tin người dùng trong giao dịch thương mại điện tử nhờ những khả năng mạnh mẽ. 

< >Khả năng xác minh danh tính AI được sử dụng để xác định và xác minh danh tính của người mua khi họ thực hiện giao dịch trực tuyến, bao gồm cả việc kiểm tra dấu vân tay, nhận diện khuôn mặt, giọng nói… giúp ngăn chặn đánh cắp thông tin và gian lận tài khoản. Các công nghệ nhận dạng giúp đảm bảo rằng người thực hiện giao dịch là chủ sở hữu hợp pháp của tài khoản. Các hệ thống AI cũng có thể tự động phát hiện và ngăn chặn các hành vi giả mạo, bao gồm việc sử dụng thông tin đăng nhập hoặc thẻ tín dụng của người dùng một cách trái phép. Điều này không chỉ bảo vệ cho chính người mua mà còn bảo vệ lợi ích cho cả doanh nghiệp.

< >Phân tích hành vi người dùng AI có thể theo dõi và phân tích hành vi của người dùng trên trang web, cũng như dữ liệu từ lịch sử giao dịch, từ đó phát hiện những hành vi bất thường có thể là dấu hiệu của gian lận chỉ ra gian lận. Ví dụ, một người dùng thay đổi địa chỉ giao hàng nhiều lần trong một khoảng thời gian ngắn, hoặc cách thức mua hàng không đồng nhất cũng có thể là dấu hiệu cần chú ý của gian lận thương mại điện tử. 

< >Phát hiện gian lận thanh toánAI có thể phân tích hàng triệu giao dịch để tìm ra những mẫu hành vi bất thường, giúp ngăn chặn gian lận và bảo vệ cả người tiêu dùng lẫn doanh nghiệp. Chẳng hạn như một tài khoản thực hiện nhiều giao dịch lớn trong thời gian ngắn hoặc sử dụng nhiều thẻ tín dụng khác nhau, là dấu hiệu cảnh báo khả năng xảy ra gian lận. Các thuật toán học máy và học sâu cung cấp các công cụ mạnh mẽ để xử lý và phân tích dữ liệu, được áp dụng để xây dựng mô hình dự đoán gian lận, nhờ đó AI có thể tự động phát hiện và chặn các giao dịch gian lận một cách hiệu quả. Điều này đặc biệt quan trọng trong môi trường Thương mại điện tử, nơi mà gian lận tài chính và lừa đảo có thể gây ra tổn thất rất lớn.

PayPal là một ví dụ điển hình khi sử dụng hệ thống AI để phân tích hàng tỷ giao dịch, nhằm phát hiện và ngăn chặn gian lận tài chính. Hệ thống này giúp giảm thiểu rủi ro gian lận, đồng thời tối ưu hóa trải nghiệm thanh toán cho người dùng.

< >Kiểm duyệt sản phẩm, nhận biết và loại bỏ hàng giả AI giúp tự động hóa quy trình kiểm duyệt sản phẩm và nội dung đăng tải trên các nền tảng thương mại điện tử. Đồng thời AI có thể giúp phát hiện hàng giả bằng cách phân tích và so sánh hình ảnh sản phẩm, mô tả, và giá cả với dữ liệu của hàng hóa chính hãng. Quá trình này giúp bảo vệ thương hiệu và người tiêu dùng khỏi hàng giả, hàng nhái.