Bảo vệ thông tin cá nhân của người tiêu dùng theo pháp luật Việt Nam

1. Quyền được bảo vệ thông tin cá nhân của người tiêu dùng
Thông tin cá nhân của người tiêu dùng là thông tin gắn với việc xác định danh tính của cá nhân người tiêu dùng. Thông tin này rất đa dạng, gồm: Họ tên, tuổi, giới tính, địa chỉ, nghề nghiệp, điện thoại, địa chỉ thư điện tử, số hộ chiếu, số căn cước công dân, thông tin y tế, tài chính, văn hóa, xã hội… của người tiêu dùng.
Người tiêu dùng thường phải cung cấp những thông tin của mình cho tổ chức, cá nhân kinh doanh khi muốn mua bán một sản phẩm nào đó. Một vài hàng hóa có giá trị nhỏ thì người tiêu dùng không cần thiết phải cung cấp thông tin cho tổ chức, cá nhân kinh doanh nhưng với những loại hàng hóa có giá trị lớn thì việc cung cấp thông tin như tên, tuổi, địa chỉ, số điện thoại… là điều cần thiết để thuận tiện cho việc giao hàng hay chăm sóc hậu mãi sau này. Đặc biệt đối với một vài trường hợp người tiêu dùng thực hiện việc giao dịch qua mạng internet thì họ còn phải cung cấp những thông tin như số thẻ ngân hàng, mã pin bảo mật… Những thông tin này rất quan trọng đối với người tiêu dùng, nếu để lọt ra ngoài, họ có thể phải gánh chịu những hậu quả không hay về vật chất, tinh thần. Với mục đích bảo vệ quyền lợi của người tiêu dùng trước sự xâm hại của thương nhân, khoản 1 Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 đã quy định các quyền của người tiêu dùng, trong đó có quyền được bảo vệ thông tin như sau: “Người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu”. Bí mật thông tin của người tiêu dùng gồm rất nhiều loại thông tin, có thể là chi tiết về nhân thân, số tài khoản ngân hàng, số điện thoại… và đều phải được tổ chức, cá nhân kinh doanh sử dụng đúng mục đích và an toàn vì khi những bí mật này bị tiết lộ sẽ ảnh hưởng đến đời sống riêng tư, công việc, tài sản, sức khỏe của người tiêu dùng.
Ngoài việc được quy định trong Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, vấn đề bảo vệ thông tin cũng được đặc biệt chú trọng tới trong Luật Công nghệ thông tin năm 2006, Luật Giao dịch điện tử năm 2005 và Luật An toàn thông tin mạng năm 2015. Sở dĩ, những văn bản này có những quy định cụ thể về việc bảo vệ thông tin, vì trên thực tế, những vụ việc liên quan tới vấn đề mua bán thông tin cá nhân của người tiêu dùng chủ yếu xuất phát từ các nguồn như internet hay thiết bị viễn thông. Cụ thể, khoản 1 Điều 22 Luật Công nghệ thông tin năm 2006 quy định: “Cá nhân có quyền yêu cầu tổ chức, cá nhân lưu trữ thông tin cá nhân của mình trên môi trường mạng thực hiện việc kiểm tra, đính chính hoặc hủy bỏ thông tin đó”, quy định này tương tư như quy định của Luật An toàn thông tin mạng năm 2015[1]. Vì vậy, người tiêu dùng khi thực hiện việc cung cấp thông tin cho thương nhân trên mạng internet có thể yêu cầu thương nhân phải đính chính lại những thông tin sai lệch hoặc hủy bỏ những thông tin đó khi thấy việc lưu trữ thông tin là không cần thiết hoặc có nguy cơ để lộ thông tin ra bên ngoài. Bên cạnh đó, người tiêu dùng còn có quyền được bảo đảm bí mật các thông tin riêng chuyển qua mạng viễn thông công cộng theo quy định của Điều 6 Luật Viễn thông năm 2009. Có thể thấy, người tiêu dùng khi sử dụng những phương tiện điện tử như máy tính, điện thoại di động và những phương tiện công nghệ cao thường bị mất cắp thông tin cá nhân khi sử dụng những phương tiện này, đều được những văn bản pháp luật chuyên biệt điều chỉnh, đảm bảo quyền được bảo vệ thông tin của người tiêu dùng nói chung và trong môi trường mạng, viễn thông nói riêng.
Mặc dù được quy định trong khá nhiều văn bản pháp luật khác nhau nhưng các quy định này vẫn còn khá đơn sơ, chủ yếu là quy định về mặt nguyên tắc mà chưa cụ thể được người tiêu dùng có quyền gì và sẽ thực hiện quyền đó như thế nào đối với việc bảo vệ thông tin của bản thân. Pháp luật Việt Nam nên quy định các quyền cụ thể của chủ thể dữ liệu đối với thông tin của mình (ví dụ như quyền yêu cầu các thông tin của tổ chức, cá nhân xử lý thông tin; quyền truy cập dữ liệu; quyền cải chính thông tin; quyền xóa bỏ thông tin; quyền từ chối việc xử lý thông tin…) và quy định cụ thể việc thực hiện các quyền này như thế nào. Qua đó, giúp cho người tiêu dùng cũng như tổ chức, cá nhân thu thập thông tin dễ dàng hiểu và áp dụng các quy định này, tránh gây thiệt hại không đáng có đến người tiêu dùng.
2. Trách nhiệm bảo vệ thông tin cá nhân người tiêu dùng của tổ chức, cá nhân kinh doanh
Trách nhiệm của tổ chức, cá nhân kinh doanh về bảo vệ thông tin của người tiêu dùng khi người tiêu dùng tiến hành giao dịch với mình được quy định rải rác ở nhiều văn bản pháp luật khác nhau. Điều 46 Luật Giao dịch điện tử năm 2005 về bảo mật thông tin trong giao dịch điện tử quy định: “Cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin về bí mật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác”. Tương tự như vậy, Luật Công nghệ thông tin năm 2006 cũng quy định về trách nhiệm đối với việc thu thập, xử lý, lưu trữ thông tin cá nhân của người khác trên môi trường mạng ở Điều 21, Điều 22. Thêm vào đó, Luật An toàn thông tin mạng năm 2015 coi hành vi thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân là một trong các hành vi bị nghiêm cấm tại Điều 7, đồng thời đề ra những quy định cụ thể khi thu thập, sử dụng, cập nhật hay hủy bỏ thông tin cá nhân trên mạng tại mục 2 Chương II của Luật này.
Hiện nay, trách nhiệm bảo vệ thông tin của tổ chức, cá nhân kinh doanh đối với người tiêu dùng được quy định tại khoản 2 Điều 6 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010. Theo đó, đối với trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm sau:
- Thông báo rõ ràng, công khai trước khi thực hiện với người tiêu dùng về mục đích hoạt động thu thập, sử dụng thông tin của người tiêu dùng. Việc này yêu cầu tổ chức, cá nhân kinh doanh phải tiến hành thông báo cho người tiêu dùng trước khi tiến hành thu thập hay sử dụng thông tin của họ. Đây là yêu cầu cần thiết đảm bảo cho quyền bí mật đời tư được quy định trong Bộ luật Dân sự, người tiêu dùng có quyền đồng ý hoặc không đồng ý cho phép thương nhân được thu thập những thông tin như tên, tuổi, địa chỉ của mình khi tiến hành giao dịch.
- Sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý. Nếu người tiêu dùng đồng ý cung cấp thông tin cho tổ chức, cá nhân kinh doanh thì tổ chức, cá nhân kinh doanh có trách nhiệm phải sử dụng những thông tin này đúng như đã thông báo với người tiêu dùng, không được sử dụng cho mục đích khác như mua bán, chuyển nhượng cho bên thứ ba.
- Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng. Khi tổ chức, cá nhân kinh doanh tiến hành việc lưu trữ thông tin của người tiêu dùng để sử dụng hay chuyển giao thì họ phải có những biện pháp bảo mật nhằm tránh việc để lộ những thông tin cá nhân của người tiêu dùng ra bên ngoài, ảnh hưởng tới lợi ích của người tiêu dùng. Ngoài ra, tổ chức, cá nhân kinh doanh phải đảm bảo thu thập thông tin chính xác và đầy đủ về người tiêu dùng, tránh việc sai lệch thông tin dẫn đến hậu quả về mặt vật chất hay tinh thần cho người tiêu dùng.
- Tự mình hoặc có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác. Đây là trách nhiệm quan trọng của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của người tiêu dùng, tuy nhiên trên thực tế thường hay bị thương nhân bỏ qua. Việc cho phép người tiêu dùng sửa chữa kịp thời các sai sót về mặt thông tin vừa có lợi cho tổ chức, cá nhân kinh doanh trong việc chăm sóc khách hàng giúp cho người tiêu dùng tránh khỏi những thiệt hại không đáng có do thông tin sai sót gây nên, ví dụ như việc giao hàng sai địa chỉ, trừ tiền nhầm tài khoản…
- Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác. Quy định này đảm bảo cho thông tin của người tiêu dùng không bị lợi dụng như một mặt hàng có thể mua bán, trao đổi để kiếm lợi nhuận cho tổ chức, cá nhân kinh doanh. Người tiêu dùng thường chỉ đồng ý cung cấp thông tin của mình khi việc làm này là cần thiết cho việc thực hiện giao dịch với tổ chức, cá nhân kinh doanh và họ muốn thông tin này phải được đảm bảo bởi tổ chức, cá nhân kinh doanh đó. Nếu những thông tin này bị chuyển giao cho bên thứ ba sẽ kéo theo rất nhiều phiền toái cho người tiêu dùng như việc bị gọi điện chào hàng, nhận những tin nhắn rác… Vì vậy, trách nhiệm của tổ chức, cá nhân kinh doanh là phải đảm bảo bí mật thông tin của người tiêu dùng, nếu người tiêu dùng chưa đồng ý thì không được phép chuyển giao những thông tin này cho bên thứ ba.
Bên cạnh đó, Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về thương mại điện tử đã dành mục 1 Chương 5 với 06 điều (từ Điều 68 đến Điều 73) để quy định về bảo vệ thông tin cá nhân người tiêu dùng trong thương mại điện tử, ngoài các quy định khá quen thuộc như: Sử dụng thông tin cá nhân; bảo đảm an toàn thông tin cá nhân; kiểm tra, cập nhật và sửa đổi thông tin cá nhân... thì điểm đặc biệt đó là quy định về việc trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng sẽ thuộc về chủ thể nào, kể cả trong trường hợp đã ủy quyền cho bên thứ ba xử lý thông tin (Điều 68). Quy định trong Nghị định này tương đối đầy đủ và cụ thể, tuy nhiên lại chỉ dành riêng cho thông tin cá nhân của người tiêu dùng khi giao dịch trên các trang thương mại điện tử.
Pháp luật Việt Nam chỉ quy định trách nhiệm của tổ chức, cá nhân kinh doanh khi tiến hành thu thập, sử dụng hay chuyển giao thông tin của người tiêu dùng mà chưa quy định nguyên tắc cơ bản của việc xử lý thông tin của người tiêu dùng. Theo đó, khi xử lý thông tin của người tiêu dùng cần chú ý đến:
- Tính hợp pháp: Đó là việc xử lý thông tin cá nhân phải đảm bảo được thực hiện một cách hợp pháp, công bằng và minh bạch giữa tổ chức, cá nhân kinh doanh với người tiêu dùng.
- Giới hạn trong mục đích thu thập, tổ chức, cá nhân kinh doanh là chỉ được xử lý thông tin cá nhân của người tiêu dùng trong phạm vi mục đích đã thông báo cho người tiêu dùng.
- Tối thiểu hóa thông tin, thông tin của người tiêu dùng được thu thập, sử dụng phải là ít nhất, chỉ cần đủ để đáp ứng mục đích xử lý thông tin.
- Độ chính xác của thông tin, thông tin cá nhân phải chính xác và được cập nhật, chỉnh sửa kịp thời theo yêu cầu của người tiêu dùng, thông tin này phải cần thiết để đạt được mục đích của giao dịch giữa người tiêu dùng với tổ chức, cá nhân kinh doanh, các thông tin ngoài những thông tin đó phải được xóa.
- Giới hạn trong lưu giữ, thông tin cá nhân của người tiêu dùng được lưu giữ dưới các dạng khác nhau và trong một thời hạn được coi là cần thiết với mục đích xử lý thông tin. Khi mục đích hoàn thành, thông tin cần phải được xóa trừ một vài trường hợp được sự đồng ý của người tiêu dùng.
- Tính bảo mật: Tổ chức, cá nhân kinh doanh phải tiến hành bảo mật các thông tin cá nhân của người tiêu dùng, bảo vệ thông tin tránh việc bị mất cắp, tiết lộ hay phá hủy. 
Khi quy định đầy đủ các nguyên tắc này, cộng thêm quy định về trách nhiệm của tổ chức, cá nhân trong việc xử lý thông tin cá nhân người tiêu dùng sẽ tạo thành khung pháp lý vững chắc trong việc bảo vệ người tiêu dùng tại Việt Nam.
3. Xử lý vi phạm pháp luật trong việc bảo vệ thông tin cá nhân của người tiêu dùng
Khi thông tin của người tiêu dùng bị xâm hại thì cần phải có biện pháp xử lý thích hợp để răn đe tổ chức, cá nhân vi phạm. Biện pháp xử phạt thường được sử dụng khi tổ chức, cá nhân kinh doanh vi phạm việc bảo vệ thông tin của người tiêu dùng chính là biện pháp xử phạt hành chính.
 Theo Điều 65 Nghị định số 185/2013/NĐ-CP ngày 15/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng, thì  xử phạt vi phạm về bảo vệ thông tin của người tiêu dùng đối với các hành vi: Không thông báo rõ ràng, công khai với người tiêu dùng về mục đích trước khi thực hiện hoạt động thu thập, sử dụng thông tin của người tiêu dùng; sử dụng thông tin của người tiêu dùng không phù hợp với mục đích đã thông báo với người tiêu dùng mà không được người tiêu dùng đồng ý; không bảo đảm an toàn, chính xác, đầy đủ đối với thông tin của người tiêu dùng khi thu thập, sử dụng, chuyển giao; không tự điều chỉnh hoặc không có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin không chính xác; chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác thì tổ chức, cá nhân kinh doanh sẽ bị phạt tiền từ 10 triệu đồng đến 20 triệu đồng. Mức phạt tiền sẽ tăng lên gấp 02 lần nếu thông tin có liên quan là thông tin thuộc về bí mật cá nhân người tiêu dùng. Ngoài hình thức xử phạt chính là phạt tiền, Nghị định còn quy định các biện pháp khắc phục hậu quả trong trường hợp này đó là buộc tiêu hủy tang vật có chứa đựng thông tin của người tiêu dùng. Bên cạnh đó, Điều 84 Nghị định số 124/2015/NĐ-CP ngày 19/11/2015 của Chính phủ sửa đổi, bổ sung Nghị định số 185/2013/NĐ-CP quy định mức xử phạt cao nhất là 30 triệu đồng đối với hành vi vi phạm về bảo vệ thông tin cá nhân trong hoạt động thương mại điện tử.
Ngoài việc bị xử phạt hành chính, tổ chức, cá nhân kinh doanh vi phạm việc bảo vệ thông tin của người tiêu dùng còn có thể bị xử lý hình sự theo Điều 288 Bộ luật Hình sự năm 2015 về tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông: “Người nào thực hiện một trong các hành vi sau đây, thu lợi bất chính từ 50.000.000 đồng đến dưới 200.000.000 đồng hoặc gây thiệt hại từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc gây dư luận xấu làm giảm uy tín của cơ quan, tổ chức, cá nhân, thì bị phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 03 năm:
(a) …;
(b) Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó”.
Chế tài hình sự là chế tài nghiêm khắc nhất đối với tổ chức, cá nhân kinh doanh khi có hành vi vi phạm pháp luật bảo vệ người tiêu dùng. Khi hành vi vi phạm của tổ chức, cá nhân kinh doanh gây nguy hiểm cho người tiêu dùng, cho xã hội, đến mức bị coi là tội phạm trong Bộ luật Hình sự thì tổ chức, cá nhân kinh doanh sẽ phải chịu chế tài hình sự.
Theo tác giả, cần tăng mức phạt tiền đối với hành vi vi phạm bảo vệ thông tin của người tiêu dùng. Mức phạt đối với hành vi vi phạm bảo vệ thông tin của người tiêu dùng hiện nay tối đa là 30 triệu đồng. Nếu so với khoản lợi nhuận có thể đem lại khi bán những thông tin về người tiêu dùng ra bên ngoài thì mức phạt này là quá nhỏ, không đủ sức răn đe tổ chức, cá nhân kinh doanh. Hơn thế nữa, chi phí mà tổ chức, cá nhân kinh doanh phải bỏ ra để bảo mật những thông tin của người tiêu dùng cũng lớn hơn con số phạt này thì họ có thể sẵn sàng chịu phạt mà không phải tốn công sức, tiền của bảo mật thông tin. Vì vậy, cần phải tăng mức tiền phạt nhằm đảm bảo cho quyền được bảo vệ thông tin của người tiêu dùng được thực hiện trên thực tế, mức phạt tiền cao cũng khiến cho tổ chức, cá nhân kinh doanh có trách nhiệm hơn trong việc thu thập, sử dụng và lưu trữ thông tin của người tiêu dùng. [1]. Khoản 1 Điều 18 Luật An toàn thông tin mạng năm 2015 quy định: Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ