Doanh nghiệp làm lộ, lọt thông tin khách hàng bị xử lý như thế nào?
Theo thông tin từ Bộ Công an, hiện nay, tình trạng lộ, lọt, mua bán dữ liệu cá nhân diễn ra phổ biến, công khai và ngày càng phức tạp. Nghiêm trọng hơn, nhiều dữ liệu bị rao bán công khai trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.
Việt lột, lọt thông tin cá nhân gây ảnh hưởng lớn đến quyền lợi người tiêu dùng. Tại Việt Nam, đã có nhiều quy định liên quan đến việc xử phạt lọt, lộ thông tin. Hiện tại, Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (đang lấy ý kiến và chờ Chính phủ ban hành) có đưa ra quy định với mức xử phạt tối đa dành cho các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân là phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần hai trở lên. Đồng thời có thể xử phạt bổ sung là tước giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 1 - 3 tháng.
Bên cạnh đó, Luật Bảo vệ quyền lợi người tiêu dùng 2023 được Quốc hội thông qua ngày 20/6/2023 và có hiệu lực từ ngày 1/7/2024, cũng có nhiều quy định liên quan đến chính sách bảo vệ thông tin của người tiêu dùng. Theo đại diện Ủy ban Cạnh tranh Quốc gia (Bộ Công Thương), người tiêu dùng là người mua, sử dụng sản phẩm, hàng hóa, dịch vụ cho mục đích tiêu dùng, sinh hoạt của cá nhân, gia đình, cơ quan, tổ chức và không vì mục đích thương mại. Còn thông tin của người tiêu dùng sẽ bao gồm: Thông tin cá nhân của người tiêu dùng, thông tin về quá trình mua, sử dụng sản phẩm, hàng hóa, dịch vụ của người tiêu dùng và thông tin khác liên quan đến giao dịch giữa người tiêu dùng và tổ chức, cá nhân kinh doanh.
Luật Bảo vệ quyền lợi người tiêu dùng 2024 có 6 chính sách lớn về thông tin của người tiêu dùng.
Thứ nhất, đối với vấn đề bảo vệ thông tin của người tiêu dùng, Luật quy định, tổ chức, cá nhân kinh doanh tự mình hoặc ủy quyền, thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng phải bảo đảm an toàn, an ninh thông tin của người tiêu dùng theo quy định của Luật Bảo vệ quyền lợi người tiêu dùng 2023 và quy định khác của pháp luật có liên quan.
Luật Bảo vệ quyền lợi người tiêu dùng 2024 có 6 chính sách lớn về thông tin của người tiêu dùng |
Trường hợp tổ chức, cá nhân kinh doanh ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng thi phải được sự đồng ý của người tiêu dùng. Việc ủy quyền hoặc thuê bên thứ ba phải được thực hiện bằng văn bản, trong đó quy định rõ phạm vi, trách nhiệm của mỗi bên trong việc bảo vệ thông tin của người tiêu dùng theo quy định của Luật Bảo vệ quyền lợi người tiêu dùng 2023 và quy định khác của pháp luật có liên quan.
Trường hợp người tiêu dùng thực hiện giao dịch thông qua bên thứ ba thì bên thứ ba có trách nhiệm bảo vệ thông tin của người tiêu dùng theo quy định của Luật Bảo vệ quyền lợi người tiêu dùng 2023 và quy định khác của pháp luật có liên quan.
Thứ hai, về xây dựng quy tắc bảo vệ thông tin của người tiêu dùng, Luật quy định trừ trường hợp pháp luật có quy định khác, tổ chức, cá nhân kinh doanh thu thập, lưu trữ, sử dụng thông tin của người tiêu dùng phải xây dựng quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng với các nội dung: Mục đích thu thập thông tin; Phạm vi sử dụng thông tin; Thời hạn lưu trữ thông tin; Biện pháp bảo vệ thông tin, bảo đảm an toàn thông tin của người tiêu dùng.
“Nội dung quy tắc phải được tổ chức, cá nhân kinh doanh công khai theo hình thức niêm yết ở vị trí dễ nhìn thấy tại trụ sở, địa điểm kinh doanh và đăng tải trên trang thông tin điện tử, phần mềm ứng dụng (nếu có), tạo điều kiện để người tiêu dùng tiếp cận trước hoặc tại thời điểm thu thập thông tin” - đại diện Ủy ban Cạnh tranh Quốc gia cho hay.
Thứ ba, thông báo khi thu thập, sử dụng thông tin của người tiêu dùng, Luật quy định, tổ chức, cá nhân kinh doanh phải thông báo rõ ràng, công khai, bằng hình thức phù hợp với người tiêu dùng về mục đích, phạm vi thu thập, sử dụng thông tin, thời hạn lưu trữ thông tin của người tiêu dùng trước khi thực hiện và phải được người tiêu dùng đồng ý, trừ trường hợp pháp luật cho phép.
Bên cạnh đó, tổ chức, cá nhân kinh doanh phải thiết lập phương thức rõ ràng để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý, trừ trường hợp pháp luật cho phép.
Tổ chức, cá nhân kinh doanh không phải thực hiện nghĩa vụ thông báo khi thu thập, sử dụng thông tin của người tiêu dùng trong trường hợp thu thập thông tin đã được người tiêu dùng công khai hoặc trường hợp khác theo quy định của pháp luật.
Tổ chức, cá nhân kinh doanh phải hủy bỏ thông tin của người tiêu dùng khi hết thời hạn lưu trữ |
Thứ tư, về sử dụng thông tin của người tiêu dùng, Luật quy định, trước khi tổ chức, cá nhân kinh doanh thay đổi mục đích, phạm vi sử dụng thông tin đã thông báo cho người tiêu dùng thì phải thông báo lại và được người tiêu dùng đồng ý về việc thay đổi.
Việc sử dụng thông tin của người tiêu dùng quy định trong Luật Bảo vệ quyền lợi người tiêu dùng 2023 bao gồm cả việc chia sẻ, tiết lộ và chuyển giao thông tin của người tiêu dùng cho bên thứ ba.
Tổ chức, cá nhân kinh doanh phải sử dụng thông tin của người tiêu dùng chính xác, phù hợp với mục đích, phạm vi đã thông báo và phải được người tiêu dùng đồng ý, trừ các trường hợp: Có thỏa thuận riêng với người tiêu dùng về mục đích, phạm vi sử dụng ngoài những mục đích, phạm vi đã thông báo; Để bán, cung cấp sản phẩm, hàng hóa, dịch vụ theo yêu cầu của người tiêu dùng và chỉ trong phạm vi thông tin do người tiêu dùng đã đồng ý; Để thực hiện nghĩa vụ theo quy định của pháp luật.
Bên cạnh đó, tổ chức, cá nhân kinh doanh thu thập, sử dụng thông tin của người tiêu dùng phải có cơ chế để người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện các hành vi: Chia sẻ, tiết lộ, chuyển giao thông tin cho bên thứ ba, trừ trường hợp tổ chức, cá nhân kinh doanh, chuyển giao thông tin đã được thu thập phù hợp quy định của Luật Bảo vệ quyền lợi người tiêu dùng 2023 và quy định khác của pháp luật có liên quan cho bên thứ ba lưu trữ hoặc phân tích phục vụ hoạt động kinh doanh của bên chuyển giao và hai bên đã có thỏa thuận bằng văn bản về việc bên thứ ba có trách nhiệm bảo vệ thông tin người tiêu dùng theo quy định tại Luật Bảo vệ quyền lợi người tiêu dùng 2023; Sử dụng thông tin của người tiêu dùng để quảng cáo, giới thiệu sản phẩm, hàng hóa, dịch vụ và hoạt động có tính chất thương mại khác.
Thứ năm, về bảo đảm an toàn, an ninh thông tin của người tiêu dùng, Luật quy định, tổ chức, cá nhân kinh doanh phải bảo đảm an toàn, an ninh thông tin của người tiêu dùng mà họ thu thập, lưu trữ, sử dụng và có biện pháp ngăn ngừa các hành vi: Đánh cắp hoặc tiếp cận thông tin trái phép; Sử dụng thông tin trái phép; Chỉnh sửa, cập nhật, hủy bỏ thông tin trái phép.
Ngoài ra, tổ chức, cá nhân kinh doanh phải tiếp nhận và giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng liên quan đến việc thông tin bị thu thập trái phép, sử dụng sai mục đích, phạm vi đã thông báo.
Trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất an toàn, an ninh thông tin của người tiêu dùng, tổ chức, cá nhân kinh doanh hoặc bên lưu trữ thông tin liên quan phải thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong thời hạn 24 giờ kể từ thời điểm phát hiện hệ thống thông tin bị tấn công và thực hiện các biện pháp cần thiết để bảo đảm an toàn, an ninh thông tin của người tiêu dùng theo quy định của pháp luật về an ninh mạng, an toàn thông tin mạng, giao dịch điện tử và quy định khác của pháp luật có liên quan.
Thứ sáu, vấn đề kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao, ngừng chuyển giao thông tin của người tiêu dùng cũng được Luật quy định cụ thể: Người tiêu dùng có quyền yêu cầu tổ chức, cá nhân kinh doanh thực hiện việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao hoặc ngừng chuyển giao thông tin của mình cho bên thứ ba. Đồng thời, tổ chức, cá nhân kinh doanh có trách nhiệm thực hiện yêu cầu của người tiêu dùng theo quy định trên hoặc cung cấp cho người tiêu dùng công cụ, thông tin để tự thực hiện theo quy định của pháp luật.
“Tổ chức, cá nhân kinh doanh phải hủy bỏ thông tin của người tiêu dùng khi hết thời hạn lưu trữ theo quy định của Luật Bảo vệ quyền lợi người tiêu dùng 2023 hoặc quy định khác của pháp luật có liên quan” - đại diện Ủy ban Cạnh tranh Quốc gia thông tin.