Các quy định luật pháp chưa hoàn thiện!
Khi ban hành Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, vấn đề bảo vệ thông tin người tiêu dùng đã được đặt ra. Trong khi đó, ở lĩnh vực thương mại điện tử, năm 2013, khi ban hành Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 về thương mại điện tử, vấn đề bảo vệ thông tin cá nhân của người tiêu dùng đã rất được coi trọng.
Vấn đề trên cũng được đề cập tại Luật An toàn thông tin mạng năm 2015 và Nghị định số 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử, trong đó có một số điều khoản để quy định về xử phạt vi phạm hành chính đối với hành vi vi phạm các quy định về bảo vệ thông tin cá nhân, được Chính phủ ban hành ngày 03/02/2020.
Như vậy, pháp luật đã có nhiều quy định cần thiết để xử lý các hành vi vi phạm pháp luật về bảo vệ thông tin của người tiêu dùng. Dựa vào các quy định pháp luật hiện hành, chúng ta đã có thể phần nào xác định được “thông tin cá nhân của người tiêu dùng” bao gồm những thông tin nào.
Từ định nghĩa về “thông tin cá nhân” trong Luật An toàn thông tin mạng năm 2015, cùng với các quy định của Luật Bảo vệ quyền lợi người tiêu dùng năm 2010, chúng ta xác định được “thông tin người tiêu dùng” chính là “thông tin gắn với việc xác định danh tính của một người tiêu dùng là cá nhân cụ thể”.
Dựa vào quy định của Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP, có thể xác định rõ hơn các thông tin cá nhân của người tiêu dùng bao gồm các thông tin như: tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản...
Cũng dựa vào các quy định hiện hành, chúng ta có thể xác định được trách nhiệm pháp lý của tổ chức, cá nhân kinh doanh khi vi phạm các quy định về bảo vệ thông tin của người tiêu dùng, nhất là vi phạm các quy định về bảo vệ thông tin cá nhân của người tiêu dùng.
Mặc dù vậy, các quy định hiện hành cũng còn những điểm chưa thực sự hoàn thiện. Cụ thể, thứ nhất các quy định về nghĩa vụ, trách nhiệm của tổ chức, cá nhân kinh doanh trong bảo vệ thông tin của người tiêu dùng còn tồn tại tản mạn trong nhiều văn bản quy phạm pháp luật khác nhau, trong khi, mối quan hệ và thứ tự ưu tiên áp dụng của các văn bản quy phạm pháp luật này không dễ xác định.
Bên cạnh đó, chưa có văn bản nào giải thích chính thức “thông tin người tiêu dùng” gồm những thông tin gì. Dựa trên các quy định pháp luật hiện hành, có thể thấy, thông tin người tiêu dùng bao gồm trước hết là các thông tin cá nhân của người tiêu dùng. Tuy nhiên, thông tin người tiêu dùng chắc chắn không chỉ dừng ở “thông tin cá nhân của người tiêu dùng”. Vậy, bên cạnh “thông tin cá nhân của người tiêu dùng”, thì thông tin của người tiêu dùng còn bao gồm loại thông tin nào khác nữa thì chưa được pháp luật quy định cụ thể.
Đặc biệt là cách giải thích thuật ngữ “thông tin cá nhân” của người tiêu dùng trong các văn bản pháp luật khác nhau, chưa nhất quán. Thông tin cá nhân trong Luật An toàn thông tin mạng chỉ được định nghĩa rất khái quát là “thông tin gắn với việc xác định danh tính của một người cụ thể” (bất kể cá nhân đó đã tự công bố hay chưa), trong khi Nghị định 52/2013/NĐ-CP giải thích thông tin cá nhân là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”. Tuy nhiên, Nghị định 52/2013/NĐ-CP lại quy định rằng “thông tin cá nhân… không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông”.
Cách sử dụng các cụm từ chỉ hành vi tác động của tổ chức, cá nhân kinh doanh vào “thông tin cá nhân” (của người tiêu dùng) trong các văn bản cũng rất khác nhau. Luật An toàn thông tin cá nhân năm 2015 sử dụng cụm từ “xử lý thông tin cá nhân” để chỉ các hành vi “thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân” (Khoản 17 Điều 3), trong khi Nghị định số 52/2013/NĐ-CP sử dụng các cụm từ “thu thập, sử dụng, lưu trữ thông tin cá nhân” và từ “sử dụng thông tin cá nhân” theo Nghị định này bao gồm cả việc “chia sẻ, tiết lộ và chuyển giao thông tin cá nhân”.
Trong khi đó, phạm vi áp dụng các quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 bao gồm cả không gian thực và không gian mạng, trong khi đó, các quy định về bảo vệ thông tin cá nhân trong Luật An toàn thông tin mạng năm 2015 chỉ áp dụng cho các hoạt động trên không gian mạng.
Cuối cùng là quy định về xử phạt vi phạm đối với tổ chức, cá nhân kinh doanh vi phạm quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Nghị định 15/2020/NĐ-CP và Nghị định 98/2020/NĐ-CP còn có sự khác biệt nhất định về mô tả các loại hành vi bị xử phạt và mức phạt cho mỗi loại hành vi. Thêm vào đó, nếu so sánh kinh nghiệm quốc tế, có thể thấy rằng, mức phạt đối với các hành vi vi phạm theo pháp luật Việt Nam còn khá nhẹ.
Cần nâng cao trách nhiệm của tổ chức, cá nhân trong việc bảo vệ thông tin người tiêu dùng
Từ những phân tích ở trên, nhiều chuyên gia cho rằng để bảo vệ tốt nhất cho người tiêu dùng, chúng ta cần xác định và quy định rõ mối quan hệ và thứ tự ưu tiên áp dụng các quy định về nghĩa vụ, trách nhiệm của tổ chức, cá nhân kinh doanh trong bảo vệ thông tin người tiêu dùng khi các quy định này tồn tại trong nhiều văn bản quy phạm pháp luật khác nhau.
Việc chỉ vận dụng quy định tại Điều 156 Luật Ban hành văn bản quy phạm pháp luật năm 2015 (sửa đổi, bổ sung năm 2020) để xử lý trong trường hợp này chưa thực sự thỏa đáng. Các quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) nên coi là các quy định mang tính chuyên ngành, được ưu tiên áp dụng so với các quy định về bảo vệ thông tin cá nhân nói chung.
Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) nên có giải thích chính thức “thông tin người tiêu dùng” gồm những thông tin gì. Thông tin của người tiêu dùng bao gồm trước hết là các thông tin cá nhân của người tiêu dùng. Tuy nhiên, thông tin của người tiêu dùng không chỉ dừng ở “thông tin cá nhân của người tiêu dùng” mà cần bao gồm cả các thông tin khác của người tiêu dùng.
Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) cũng nên có giải thích thuật ngữ “thông tin cá nhân của người tiêu dùng” để bảo đảm tính nhất quán trong cách hiểu về thuật ngữ này cho các văn bản hướng dẫn thi hành sau khi luật có hiệu lực. Giải thích này nên nhất quán với cách giải thích về thông tin cá nhân trong Luật An toàn thông tin mạng, nhưng có thể chi tiết hơn.
Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) nên sử dụng cụm từ chỉ hành vi tác động của tổ chức, cá nhân kinh doanh vào “thông tin cá nhân” (của người tiêu dùng) thống nhất với cách sử dụng cụm từ này trong Luật An toàn thông tin cá nhân năm 2015 - tức là nên sử dụng cụm từ “xử lý thông tin cá nhân” để chỉ các hành vi “thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân của người tiêu dùng”. Đây là cụm từ được sử dụng khá phổ biến trong pháp luật về bảo vệ người tiêu dùng cũng như các quy định về bảo vệ thông tin cá nhân trên thế giới.
Tiếp tục quy định phạm vi áp dụng các quy định về bảo vệ thông tin cá nhân của người tiêu dùng trong Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi) theo hướng các quy định này được áp dụng cho cả hành vi của tổ chức, cá nhân kinh doanh trong không gian thực và trong không gian mạng.
Nên quy định biện pháp chế tài nghiêm khắc hơn nữa đối với các hành vi của tổ chức, cá nhân kinh doanh vi phạm quy định về bảo vệ thông tin cá nhân của người tiêu dùng nhằm sớm thiết lập trật tự, kỷ luật, kỷ cương trên thị trường hàng hóa, dịch vụ tiêu dùng, tạo tiền đề phát triển bền vững thị trường hàng hóa, dịch vụ tiêu dùng ở nước ta trong thời gian tới với nhiều cơ hội phát triển mang tính bùng nổ của thương mại điện tử và kinh tế số trước tác động của cuộc Cách mạng công nghiệp lần thứ tư.
Đặc biệt là các quy định về biện pháp chế tài dân sự và hình sự cũng cần được quan tâm nghiên cứu, hoàn thiện.
