Pháp luật hiện nay cho phép các doanh nghiệp (DN) cung cấp dịch vụ thương mại điện tử thu thập thông tin cá nhân của người tiêu dùng (và các bên liên quan) khi tham gia hoạt động thương mại điện tử; theo Điều 17 Luật An toàn Thông tin mạng, Nghị định 52/2013/NĐ-CP, Thông tư 59/2015/TT-BTC…; sau khi được sự chấp thuận của khách hàng.
Theo Thông tư số 23/2019/TT-NHNN hướng dẫn về dịch vụ trung gian thanh toán, tại khoản 4, Điều 9 quy định hoạt động cung ứng ví điện tử đã yêu cầu bắt buộc tổ chức cung ứng dịch vụ ví điện tử phải xác thực thông tin khách hàng mở ví điện tử bằng việc kiểm tra, đối chiếu, đảm bảo hồ sơ mở ví điện tử của khách hàng là đầy đủ, hợp lệ. Thành phần hồ sơ phải có căn cước công dân (CCCD), chứng minh nhân dân (CMND), hộ chiếu, giấy khai sinh (với người chưa đủ 14 tuổi)…
Hiện nay, để thuận tiện hơn cho khách hàng trong việc thanh toán, các Cty kinh doanh app (ứng dụng) thường liên kết với các loại hình ví điện tử (momo, zalopay…). Thậm chí, có app còn đăng ký mở một loại ví điện tử riêng (như ví moca của Grab) chỉ để phục vụ thanh toán trên ứng dụng của mình. Khi đó, để đăng ký, kích hoạt ví điện tử, các app này đã thu thập thông tin cá nhân của khách hàng để hoàn thiện hồ sơ.
Trong khi đó, theo quy định trên, có thể hiểu chỉ các Cty kinh doanh app mở một ví điện tử riêng phục vụ cho ứng dụng của mình (như Grab) mới được phép thu thập thông tin cá nhân của khách. Các trường hợp khác được coi là thu thập trái phép thông tin cá nhân.
Với việc cung cấp thông tin cá nhân cho các DN, khách hàng sẽ đối mặt với nhiều rủi ro nếu lộ thông tin cá nhân. Số CMND, CCCD của một người có thể xác định được nơi sinh, giới tính, năm sinh người đó. Nếu biết được các thông tin này, đối tượng xấu có thể lợi dụng để giả dạng cán bộ thẩm quyền gọi điện lừa tiền.
Còn có những trường hợp các DN dùng CMND, CCCD của khách để đăng ký mã số thuế mà người này không hề biết. Chỉ tới khi muốn đăng ký mã số thuế thu nhập cá nhân, kiểm tra mới phát hiện đã có mã số thuế, trong khi chưa từng đi làm ở đâu hay đăng ký mã số thuế trước đó. Lúc này sẽ phải mất thời gian liên hệ với cơ quan thuế để được giải quyết. Bên cạnh đó, hiện tượng mua bán thông tin cá nhân đang diễn ra phổ biến…
Theo quy định pháp luật, đi đôi với quyền thu thập thông tin cá nhân khách hàng, DN cũng phải có trách nhiệm bảo vệ, bảo mật tuyệt đối các thông tin này. Với các DN kinh doanh app, không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan thẩm quyền. Trường hợp không kinh doanh app nữa, DN phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích.
Vì vậy, trường hợp các DN để xảy ra việc bị mất/đánh cắp hoặc bán lại dữ liệu khách hàng cho bên thứ 3 khi DN đó không kinh doanh app thì Nghị định 15/2020/NĐ-CP, có thể bị xử phạt đến 140 triệu đồng. Khi khách hàng bị thiệt hại vì lộ thông tin cá nhân do hành vi vi phạm của DN thì DN còn có thể phải bồi thường thiệt hại.
Theo ThS.LS Nguyễn Đức Hùng, PGĐ Cty Luật TNHH TGS (Đoàn LS Hà Nội), chế tài xử phạt với DN để lộ hay mua bán thông tin người tiêu dùng chưa có tính răn đe cao nên các đối tượng vẫn vi phạm, chạy theo lợi nhuận.
Để hạn chế những rủi ro có thể xảy ra, LS Hùng cho rằng pháp luật cần quy định chặt chẽ, nghiêm ngặt, cụ thể và rõ ràng hơn trong việc bảo vệ thông tin cá nhân của người tiêu dùng. Với người dân, cần chú trọng việc bảo mật số CMND, thẻ CCCD và thông tin cá nhân khác. “Tất nhiên, có thể không tránh được việc phải cung cấp các thông tin liên quan nhưng người dùng không nên tùy tiện mà chỉ cung cấp khi cảm thấy cần thiết và an toàn”, LS Hùng nói.