Dữ
liệu cá nhân bị lộ: Liệu bạn có được bồi thường?
Thanh
Ngọc - Luật Khoa
23/06/2021
https://www.luatkhoa.org/2021/06/du-lieu-ca-nhan-bi-lo-lieu-ban-co-duoc-boi-thuong/
Rất nhiều quy định,
nhưng cũng có rất nhiều lỗ hổng.
Một phần trong số
các ảnh chụp chứng minh thư và căn cước công dân của người Việt bị rao bán vào
tháng 5/2021. Ảnh: VnExpress.
*
Giữa tháng 5/2021, ảnh chụp chứng minh nhân
dân, căn cước công dân của khoảng 8.000 – 10.000 người Việt bị rao bán trên Internet. [1] Sau một tháng điều tra, Bộ
Công an vẫn chưa công bố kết quả điều tra về vụ lộ thông tin cá nhân gây ảnh hưởng
đến hàng nghìn người này.
Không đầy hai tuần sau vụ rao bán dữ liệu
trên, bản sao kê tài khoản của nghệ sĩ Hoài Linh tại Ngân hàng TMCP Quân Đội bị
đăng lên mạng xã hội. Sau đó, ngân hàng thông báo tìm ra nhân viên làm lộ bản sao kê và chuyển hồ
sơ vụ việc cho cơ quan điều tra. [2]
Trong cả hai vụ việc trên, rất có thể nhân
viên ngân hàng và người rao bán dữ liệu dù bị tìm ra thì cũng chỉ bị phạt hành
chính, nhưng liệu khổ chủ có được bồi thường? Pháp luật Việt Nam đang có những
chế tài như thế nào đối với việc xâm phạm dữ liệu cá nhân?
Dữ liệu bị tiết lộ:
Bạn có được bồi thường?
Dù sao đi nữa, vụ lộ sao kê tài khoản của nghệ
sĩ Hoài Linh rõ ràng đã gây rắc rối cho ông. Liệu ông có thể yêu cầu nhân viên
ngân hàng hay ngân hàng bồi thường cho những tổn thất vừa qua hay không? Câu trả
lời là có nhưng cũng có thể là không.
Tiến sĩ Nguyễn Văn Cương, Viện trưởng Viện
Khoa học Pháp lý, Bộ Tư pháp, cho rằng có nhiều khoảng trống pháp lý trong bảo vệ dữ liệu
cá nhân, trong đó có trách nhiệm bồi thường thiệt hại. [5]
Khoản 3, Điều 22, Luật Công nghệ Thông tin năm
2006 là căn cứ pháp lý để yêu cầu bồi thường khi thông tin cá nhân của bạn bị
xâm phạm trên môi trường mạng, ví dụ như bị tiết lộ âm thầm cho bên thứ ba.
Điều luật này quy định: “Cá nhân có quyền yêu
cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá
nhân.” Trách nhiệm bồi thường này áp dụng đối với tất cả các chủ thể có hành vi
sai phạm, bao gồm cả nhà nước.
Việc bồi thường khi thông tin cá nhân bị xâm
phạm cũng được quy định trong Luật Bảo vệ Quyền lợi Người tiêu dùng năm 2010 (Điều 11)
hay Luật An toàn Thông tin mạng năm 2015 (Điều 8), hay Nghị định số 52/2013/NĐ-CP về thương mại điện tử (Điều
78). [4] [5] [6]
Tuy vậy, cũng theo Tiến sĩ Nguyễn Văn Cương,
hiện nay, chưa có các quy định cụ thể về trách nhiệm bồi thường thiệt hại đối với
chủ thể có hành vi sai trái khi thông tin của bạn bị xâm phạm.
Nhà nước không quy định trách nhiệm bồi thường
trong hai văn bản sát sườn nhất về dữ liệu cá nhân do cơ quan nhà nước quản lý
(Nghị định 64/2007/NĐ-CP về ứng dụng công nghệ thông tin
trong hoạt động của cơ quan nhà nước, [7] và Thông tư số 25/2010/TT-BTTTT quy định việc thu thập, sử dụng,
chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện
tử hoặc cổng thông tin điện tử của cơ quan nhà nước. [8]
Bộ luật Dân sự hiện hành chưa có quy định làm
rõ trách nhiệm bồi thường khi thông tin cá nhân bị xâm phạm nói chung (như bị
tiết lộ mà chưa có sự đồng ý). Hiện nay, Bộ luật Dân sự chỉ dừng lại ở việc bảo
vệ các thông tin về “đời sống riêng tư, bí mật cá nhân, bí mật gia đình” (Điều
38). Mặt khác, việc bồi thường thiệt hại chỉ mới dừng lại ở trường hợp uy tín,
danh dự, nhân phẩm bị ảnh hưởng, chứ chưa áp dụng cho những thiệt hại do dữ liệu
cá nhân bị xâm phạm nói chung.
Dự thảo Nghị định về bảo vệ dữ liệu cá nhân của Bộ Công an
– đã hết thời hạn lấy ý kiến – dù được kỳ vọng sẽ bảo vệ dữ liệu cá nhân của bạn
tốt hơn, nhưng vẫn không có quy định nào rõ ràng về trách nhiệm bồi thường thiệt
hại. [9]
Xử phạt hành chính
về vi phạm thông tin cá nhân chỉ ở mức 30 triệu đồng
Pháp luật Việt Nam có những quy định về việc xử
phạt vi phạm hành chính khi dữ liệu cá nhân của bạn bị xâm phạm, nhưng các mức
xử phạt đang ở mức tối đa là 30 triệu đồng.
Nghị định số 98/2020/NĐ-CP quy định xử phạt vi phạm hành
chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo
vệ quyền lợi người tiêu dùng. [`10] Cụ thể, Khoản 4, Điều 65 về bảo vệ thông
tin cá nhân trong thương mại điện tử quy định mức phạt hành chính từ 20 đến 30
triệu đồng nếu có hành vi vi phạm thông tin cá nhân, bao gồm:
(i) Thu thập thông tin cá nhân của người tiêu
dùng mà không được sự đồng ý trước của chủ thể thông tin; (ii) thiết lập cơ chế
mặc định buộc người tiêu dùng phải đồng ý với việc thông tin cá nhân của mình bị
chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại
khác; (iii) sử dụng thông tin cá nhân của người tiêu dùng không đúng mục đích
và phạm vi đã thông báo.
Khoản 2, Điều 84, Nghị định số 15/2020/NĐ-CP quy định xử phạt vi phạm hành
chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ
thông tin và giao dịch điện tử cũng có mức phạt từ 20 đến 30 triệu đồng cho những
hành vi tương tự Nghị định 98 vừa nêu. [11]
Cùng hành vi vi phạm, tuy nhiên, Nghị định 15
không có hình phạt bổ sung mà chỉ có biện pháp khắc phục hậu quả là hủy bỏ
thông tin cá nhân bị vi phạm. Trong khi đó, Nghị định 98 quy định nếu tái phạm
hoặc vi phạm nhiều lần thì chủ thể vi phạm sẽ bị đình chỉ hoạt động thương mại
điện tử từ 6 đến 12 tháng, và buộc nộp lại số lợi thu được như là biện pháp khắc
phục hậu quả.
https://2xjs7y10oiyz26vqxu2hok6y-wpengine.netdna-ssl.com/wp-content/uploads/2021/03/2.jpg
Còn nhiều lỗ hổng
trong quy định xử phạt hành vi xâm phạm dữ liệu cá nhân ở Việt Nam. Ảnh minh họa:
cyber.org.
Dự thảo Nghị định bảo vệ dữ liệu cá nhân mới đây của Bộ
Công an đã mở rộng các hình thức vi phạm dữ liệu cá nhân như vi phạm quy định về
xử lý dữ liệu trong nghiên cứu, thống kê, dữ liệu của trẻ em, v.v. đồng thời dự
kiến nâng mức xử phạt hành chính cho các hoạt động vi phạm này lên mức từ 50 đến
80 triệu đồng. [12] Tuy nhiên, so với Nghị định 98, dự thảo này đã giảm hình phạt
đình chỉ hoạt động xử lý dữ liệu xuống còn 1 đến 3 tháng.
Liệu việc nâng mức phạt hành chính lên 80 triệu
đồng, giảm hình phạt bổ sung trong dự thảo trên của Bộ Công an có tăng được hiệu
quả đối với việc bảo vệ dữ liệu cá nhân?
Bộ luật Hình sự chưa có quy định về xâm phạm dữ liệu
cá nhân nói chung
Hai tội danh có liên quan đến dữ liệu cá nhân
trong Bộ luật Hình sự năm 2015, sửa đổi năm 2017 chỉ điều chỉnh
các hoạt động xâm phạm dữ liệu cá nhân một cách cá biệt, chưa đề cập đến dữ liệu
cá nhân nói chung. [13]
Hai tội danh đó là Điều 159 (Tội xâm phạm bí mật
hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin
riêng tư khác của người khác), và Điều 288 (Tội đưa hoặc sử dụng trái phép
thông tin mạng máy tính, mạng viễn thông).
Điều 159 chỉ áp dụng cho các trường hợp xâm phạm
thông tin cá nhân đối với các bí mật hoặc an toàn thư tín, điện thoại, điện
tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác. Điều
này có quy định về hình phạt từ 1 đến 3 năm tù giam, nhưng chỉ khi các vi phạm
phải có tính tổ chức, lợi dụng chức vụ quyền hạn, phạm tội hai lần trở lên, tiết
lộ thông tin làm ảnh hưởng đến danh dự, uy tín, nhân phẩm của người khác, hoặc
làm nạn nhân tự sát.
Còn Khoản 1, Điều 288 quy định phạt tiền hoặc
phạt tù lên đến 3 năm cho hành vi sử dụng trái phép thông tin cá nhân, nhưng chỉ
giới hạn phạm vi trên mạng máy tính, mạng viễn thông. Hơn nữa, đó phải là hành
vi có thu lợi bất chính từ 50 triệu đồng trở lên, hoặc gây thiệt hại từ 100 triệu
đồng trở lên, hoặc ảnh hưởng xấu đến uy tín của người bị hại.
Với hai quy định này, có khả năng dữ liệu của
bạn có thể bị xâm phạm ở một mức độ chưa thể áp dụng biện pháp xử lý hình sự.
Khi đó, nếu bị phát hiện thì tổ chức, cá nhân đó chỉ bị xử lý vi phạm hành
chính.
Bạn có thể không
hay biết dữ liệu của mình đang bị tiết lộ, sử dụng cho mục đích khác thông báo?
Dù các quy định về bảo vệ dữ liệu cá nhân người
dùng đối với các doanh nghiệp đã có từ lâu nhưng hiếm khi chúng ta được trực tiếp
trải nghiệm việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
Ví dụ như Điều 22, Luật Công nghệ Thông tin
năm 2006 quy định bạn phải đồng ý thì thông tin cá nhân của bạn mới được cung cấp
cho bên thứ ba, nhưng trên thực tế, hiếm khi chúng ta được hỏi ý kiến về việc
này. Những trường hợp như các hãng taxi bỗng dưng gọi điện lúc bạn sắp lên máy
bay để giới thiệu dịch vụ đưa đón, hay các cuộc điện thoại mời chào bất động sản
là những minh chứng phổ biến.
Việc xử lý dữ liệu tại cơ quan nhà nước được
quy định cụ thể tại Điều 5, Nghị định 64/2007/NĐ-CP về ứng dụng công nghệ thông tin
trong hoạt động của cơ quan nhà nước. [14] Theo đó, các cơ quan nhà nước khi
thu thập, xử lý, sử dụng thông tin cá nhân phải tuân thủ Điều 21, Luật Công nghệ
Thông tin. Theo đó, phải thông báo cho chủ sở hữu thông tin biết về hình thức,
phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng thông tin cá
nhân của người đó.
Tuy nhiên, ngay cả Cổng Dịch vụ Công Quốc gia
của Văn phòng Chính phủ cũng không tuân thủ quy định này. Tuy cam kết không
chia sẻ dữ liệu với các cơ quan khác, nhưng điều khoản và điều kiện sử dụng của cổng dịch vụ không nêu
cụ thể hình thức, phạm vi, địa điểm, mục đích, và thời gian lưu trữ thông tin.
[15] Với quy định như vậy, việc sử dụng dữ liệu của người dùng cho các mục đích
ngoài dịch vụ công là hoàn toàn có thể xảy ra.
----------------------------
Tài liệu tham khảo
1. VnExpress. (2021, May 15). Hàng
nghìn chứng minh nhân dân bị rao bán trên mạng. https://vnexpress.net/hang-nghin-chung-minh-nhan-dan-bi-rao-ban-tren-mang-4278639.html
2. Báo Thanh Niên. (2021, May 27). MB
xử lý nhân viên lộ thông tin tài khoản Hoài Linh. https://thanhnien.vn/tai-chinh-kinh-doanh/mb-xu-ly-nhan-vien-lo-thong-tin-tai-khoan-hoai-linh-1389805.html
3. Nguyễn Văn Cương (2020, December 4). Thực
trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn
thiện. Viện Nghiên Cứu Lập Pháp. http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210631
4. Luật Bảo vệ Quyền lợi Người tiêu dùng
2010
https://thuvienphapluat.vn/van-ban/Thuong-mai/Luat-bao-ve-quyen-loi-nguoi-tieu-dung-2010-115251.aspx
5. Luật An toàn Thông tin mạng 2015
https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-toan-thong-tin-mang-2015-298365.aspx
6. Nghị định số 52/2013/NĐ-CP về thương
mại điện tử
https://thuvienphapluat.vn/van-ban/Thuong-mai/Nghi-dinh-52-2013-ND-CP-thuong-mai-dien-tu-187901.aspx
7. Nghị định 64/2007/NĐ-CP về ứng dụng
công nghệ thông tin trong hoạt động của cơ quan nhà nước.
8. Thông tư số 25/2010/TT-BTTTT quy định
việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân
trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước
http://vanban.chinhphu.vn/portal/page/portal/chinhphu/hethongvanban?class_id=1&mode=detail&document_id=98384
9. Dự thảo Nghị định Bảo vệ Dữ liệu cá
nhân 2/2021 https://drive.google.com/file/d/1CLax6zzs2lqwmsbXAEUa8Vw9L7ZJimnd/view
10. Nghị định số 98/2020/NĐ-CP quy định
xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng
giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng.
11. Nghị định số 15/2020/NĐ-CP quy định
xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến
điện, công nghệ thông tin và giao dịch điện tử
https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-15-2020-ND-CP-xu-phat-vi-pham-hanh-chinh-linh-vuc-buu-chinh-vien-thong-tan-so-vo-tuyen-dien-350499.aspx
12. Dự thảo Nghị định Bảo vệ Dữ liệu cá
nhân 2/2021 https://drive.google.com/file/d/1CLax6zzs2lqwmsbXAEUa8Vw9L7ZJimnd/view
13. Bộ luật Hình sự
14. Nghị định 64/2007/NĐ-CP về ứng dụng
công nghệ thông tin trong hoạt động của cơ quan nhà nước.
15. Điều khoản và điều kiện sử dụng Cổng
Dịch vụ công Quốc gia
https://dichvucong.gov.vn/p/home/dvc-dieu-khoan-su-dung.html
No comments:
Post a Comment