Dữ liệu cá nhân bị lộ: Liệu bạn có được bồi thường?
Rất nhiều quy định, nhưng cũng có rất nhiều lỗ hổng.
Thanh Ngọc
Một phần trong số các ảnh chụp chứng minh thư và căn cước công dân của người Việt bị rao bán vào tháng 5/2021. Ảnh: VnExpress.
Giữa tháng 5/2021, ảnh chụp chứng minh nhân dân, căn cước công dân của khoảng 8.000 – 10.000 người Việt bị rao bán trên Internet. [1] Sau một tháng điều tra, Bộ Công an vẫn chưa công bố kết quả điều tra về vụ lộ thông tin cá nhân gây ảnh hưởng đến hàng nghìn người này.
Không đầy hai tuần sau vụ rao bán dữ liệu trên, bản sao kê tài khoản của nghệ sĩ Hoài Linh tại Ngân hàng TMCP Quân Đội bị đăng lên mạng xã hội. Sau đó, ngân hàng thông báo tìm ra nhân viên làm lộ bản sao kê và chuyển hồ sơ vụ việc cho cơ quan điều tra. [2]
Trong cả hai vụ việc trên, rất có thể nhân viên ngân hàng và người rao bán dữ liệu dù bị tìm ra thì cũng chỉ bị phạt hành chính, nhưng liệu khổ chủ có được bồi thường? Pháp luật Việt Nam đang có những chế tài như thế nào đối với việc xâm phạm dữ liệu cá nhân?
Dữ liệu bị tiết lộ: Bạn có được bồi thường?
Dù sao đi nữa, vụ lộ sao kê tài khoản của nghệ sĩ Hoài Linh rõ ràng đã gây rắc rối cho ông. Liệu ông có thể yêu cầu nhân viên ngân hàng hay ngân hàng bồi thường cho những tổn thất vừa qua hay không? Câu trả lời là có nhưng cũng có thể là không.
Tiến sĩ Nguyễn Văn Cương, Viện trưởng Viện Khoa học Pháp lý, Bộ Tư pháp, cho rằng có nhiều khoảng trống pháp lý trong bảo vệ dữ liệu cá nhân, trong đó có trách nhiệm bồi thường thiệt hại. [5]
Khoản 3, Điều 22, Luật Công nghệ Thông tin năm 2006 là căn cứ pháp lý để yêu cầu bồi thường khi thông tin cá nhân của bạn bị xâm phạm trên môi trường mạng, ví dụ như bị tiết lộ âm thầm cho bên thứ ba.
Điều luật này quy định: “Cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân.” Trách nhiệm bồi thường này áp dụng đối với tất cả các chủ thể có hành vi sai phạm, bao gồm cả nhà nước.
Việc bồi thường khi thông tin cá nhân bị xâm phạm cũng được quy định trong Luật Bảo vệ Quyền lợi Người tiêu dùng năm 2010 (Điều 11) hay Luật An toàn Thông tin mạng năm 2015 (Điều 8), hay Nghị định số 52/2013/NĐ-CP về thương mại điện tử (Điều 78). [4] [5] [6]
Tuy vậy, cũng theo Tiến sĩ Nguyễn Văn Cương, hiện nay, chưa có các quy định cụ thể về trách nhiệm bồi thường thiệt hại đối với chủ thể có hành vi sai trái khi thông tin của bạn bị xâm phạm.
Nhà nước không quy định trách nhiệm bồi thường trong hai văn bản sát sườn nhất về dữ liệu cá nhân do cơ quan nhà nước quản lý (Nghị định 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, [7] và Thông tư số 25/2010/TT-BTTTT quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước. [8]
Bộ luật Dân sự hiện hành chưa có quy định làm rõ trách nhiệm bồi thường khi thông tin cá nhân bị xâm phạm nói chung (như bị tiết lộ mà chưa có sự đồng ý). Hiện nay, Bộ luật Dân sự chỉ dừng lại ở việc bảo vệ các thông tin về “đời sống riêng tư, bí mật cá nhân, bí mật gia đình” (Điều 38). Mặt khác, việc bồi thường thiệt hại chỉ mới dừng lại ở trường hợp uy tín, danh dự, nhân phẩm bị ảnh hưởng, chứ chưa áp dụng cho những thiệt hại do dữ liệu cá nhân bị xâm phạm nói chung.
Dự thảo Nghị định về bảo vệ dữ liệu cá nhân của Bộ Công an – đã hết thời hạn lấy ý kiến – dù được kỳ vọng sẽ bảo vệ dữ liệu cá nhân của bạn tốt hơn, nhưng vẫn không có quy định nào rõ ràng về trách nhiệm bồi thường thiệt hại. [9]
Xử phạt hành chính về vi phạm thông tin cá nhân chỉ ở mức 30 triệu đồng
Pháp luật Việt Nam có những quy định về việc xử phạt vi phạm hành chính khi dữ liệu cá nhân của bạn bị xâm phạm, nhưng các mức xử phạt đang ở mức tối đa là 30 triệu đồng.
Nghị định số 98/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng. [`10] Cụ thể, Khoản 4, Điều 65 về bảo vệ thông tin cá nhân trong thương mại điện tử quy định mức phạt hành chính từ 20 đến 30 triệu đồng nếu có hành vi vi phạm thông tin cá nhân, bao gồm:
(i) Thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; (ii) thiết lập cơ chế mặc định buộc người tiêu dùng phải đồng ý với việc thông tin cá nhân của mình bị chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại khác; (iii) sử dụng thông tin cá nhân của người tiêu dùng không đúng mục đích và phạm vi đã thông báo.
Khoản 2, Điều 84, Nghị định số 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử cũng có mức phạt từ 20 đến 30 triệu đồng cho những hành vi tương tự Nghị định 98 vừa nêu. [11]
Cùng hành vi vi phạm, tuy nhiên, Nghị định 15 không có hình phạt bổ sung mà chỉ có biện pháp khắc phục hậu quả là hủy bỏ thông tin cá nhân bị vi phạm. Trong khi đó, Nghị định 98 quy định nếu tái phạm hoặc vi phạm nhiều lần thì chủ thể vi phạm sẽ bị đình chỉ hoạt động thương mại điện tử từ 6 đến 12 tháng, và buộc nộp lại số lợi thu được như là biện pháp khắc phục hậu quả.
Còn nhiều lỗ hổng trong quy định xử phạt hành vi xâm phạm dữ liệu cá nhân ở Việt Nam. Ảnh minh họa: cyber.org.
Dự thảo Nghị định bảo vệ dữ liệu cá nhân mới đây của Bộ Công an đã mở rộng các hình thức vi phạm dữ liệu cá nhân như vi phạm quy định về xử lý dữ liệu trong nghiên cứu, thống kê, dữ liệu của trẻ em, v.v. đồng thời dự kiến nâng mức xử phạt hành chính cho các hoạt động vi phạm này lên mức từ 50 đến 80 triệu đồng. [12] Tuy nhiên, so với Nghị định 98, dự thảo này đã giảm hình phạt đình chỉ hoạt động xử lý dữ liệu xuống còn 1 đến 3 tháng.
Liệu việc nâng mức phạt hành chính lên 80 triệu đồng, giảm hình phạt bổ sung trong dự thảo trên của Bộ Công an có tăng được hiệu quả đối với việc bảo vệ dữ liệu cá nhân?
Bộ luật Hình sự chưa có quy định về xâm phạm dữ liệu cá nhân nói chung
Hai tội danh có liên quan đến dữ liệu cá nhân trong Bộ luật Hình sự năm 2015, sửa đổi năm 2017 chỉ điều chỉnh các hoạt động xâm phạm dữ liệu cá nhân một cách cá biệt, chưa đề cập đến dữ liệu cá nhân nói chung. [13]
Hai tội danh đó là Điều 159 (Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác), và Điều 288 (Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông).
Điều 159 chỉ áp dụng cho các trường hợp xâm phạm thông tin cá nhân đối với các bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác. Điều này có quy định về hình phạt từ 1 đến 3 năm tù giam, nhưng chỉ khi các vi phạm phải có tính tổ chức, lợi dụng chức vụ quyền hạn, phạm tội hai lần trở lên, tiết lộ thông tin làm ảnh hưởng đến danh dự, uy tín, nhân phẩm của người khác, hoặc làm nạn nhân tự sát.
Còn Khoản 1, Điều 288 quy định phạt tiền hoặc phạt tù lên đến 3 năm cho hành vi sử dụng trái phép thông tin cá nhân, nhưng chỉ giới hạn phạm vi trên mạng máy tính, mạng viễn thông. Hơn nữa, đó phải là hành vi có thu lợi bất chính từ 50 triệu đồng trở lên, hoặc gây thiệt hại từ 100 triệu đồng trở lên, hoặc ảnh hưởng xấu đến uy tín của người bị hại.
Với hai quy định này, có khả năng dữ liệu của bạn có thể bị xâm phạm ở một mức độ chưa thể áp dụng biện pháp xử lý hình sự. Khi đó, nếu bị phát hiện thì tổ chức, cá nhân đó chỉ bị xử lý vi phạm hành chính.
Bạn có thể không hay biết dữ liệu của mình đang bị tiết lộ, sử dụng cho mục đích khác thông báo?
Dù các quy định về bảo vệ dữ liệu cá nhân người dùng đối với các doanh nghiệp đã có từ lâu nhưng hiếm khi chúng ta được trực tiếp trải nghiệm việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
Ví dụ như Điều 22, Luật Công nghệ Thông tin năm 2006 quy định bạn phải đồng ý thì thông tin cá nhân của bạn mới được cung cấp cho bên thứ ba, nhưng trên thực tế, hiếm khi chúng ta được hỏi ý kiến về việc này. Những trường hợp như các hãng taxi bỗng dưng gọi điện lúc bạn sắp lên máy bay để giới thiệu dịch vụ đưa đón, hay các cuộc điện thoại mời chào bất động sản là những minh chứng phổ biến.
Việc xử lý dữ liệu tại cơ quan nhà nước được quy định cụ thể tại Điều 5, Nghị định 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước. [14] Theo đó, các cơ quan nhà nước khi thu thập, xử lý, sử dụng thông tin cá nhân phải tuân thủ Điều 21, Luật Công nghệ Thông tin. Theo đó, phải thông báo cho chủ sở hữu thông tin biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng thông tin cá nhân của người đó.
Tuy nhiên, ngay cả Cổng Dịch vụ Công Quốc gia của Văn phòng Chính phủ cũng không tuân thủ quy định này. Tuy cam kết không chia sẻ dữ liệu với các cơ quan khác, nhưng điều khoản và điều kiện sử dụng của cổng dịch vụ không nêu cụ thể hình thức, phạm vi, địa điểm, mục đích, và thời gian lưu trữ thông tin. [15] Với quy định như vậy, việc sử dụng dữ liệu của người dùng cho các mục đích ngoài dịch vụ công là hoàn toàn có thể xảy ra.
T.N.
Nguồn: Luật Khoa