(KTSG) - Chính sách dữ liệu và quyền riêng tư (Privacy & Data Policy) cho các trang web, nền tảng thương mại trực tuyến, cần tạo cơ hội để quản lý hiệu quả.
Thu thập thông tin và chính sách dữ liệu
Hiện nay có một số loại trang web, ứng dụng (app) có thể thu thập thông tin cá nhân phổ biến như sàn thương mại điện tử, trang web bán hàng độc lập, trang web cần đăng nhập để thực hiện chức năng hay yêu cầu quản lý của nền tảng.
Các trang web bán hàng trực tuyến có lợi thế là cần định danh khách hàng nên việc thu thập thông tin người dùng là điều tất yếu và chủ sở hữu không khó khăn để giải trình lý do thu thập ngoại trừ vấn đề quản lý lưu trữ, chia sẻ của họ phải có cơ chế giám sát và báo cáo chặt chẽ.
Các trang web không có chức năng bán hàng trực tuyến, dù không định danh người dùng nhưng họ có thể bật chế độ theo dõi thói quen của khách hàng khi truy cập trên trang web. Với loại này thì mục đích theo dõi là vấn đề cần hiểu đúng dưới góc độ công nghệ hơn là mục tiêu thu thập chủ động.
Tức là công nghệ thu thập thụ động, cookies là một ví dụ. Cookies giúp trải nghiệm trực tuyến của khách hàng dễ dàng và nhanh chóng hơn. Cơ chế hoạt động của cookies được gọi là “thu thập dữ liệu chính đáng” vì mục đích của cookies là phục vụ người dùng thông qua nhận biết hành vi, thói quen của họ trên web.
Điểm quan ngại với cookies là thông tin lưu lại trên trình duyệt có thể bị hacker tìm tới với các mục đích xấu. Nếu tắt cookies thì các phiền hà này sẽ không còn nữa. Song, dù là thu thập thụ động nhưng nếu xảy ra thiệt hại vật chất hoặc nguy cơ tương tự cho khách hàng thì trách nhiệm pháp lý cũng cần phải tính tới, nhất là phải biết điều gì đứng sau chất lượng công nghệ, từ hành vi người dùng hay yếu tố bảo mật của bên thứ ba gây ra.
Các thu thập thông tin cá nhân, như tuyên bố của các nhà cung cấp dịch vụ hay sở hữu nền tảng trực tuyến, là thu thập thông tin lưu lại trên hệ thống máy chủ qua ứng dụng hoặc cổng giao tiếp (ví dụ lập tài khoản đăng nhập, thanh toán,...) cơ bản nằm ngoài nhận biết của người dùng (mặc dù đã có sự cho phép thu thập (khi định danh) từ phía khách hàng), không thể hiện cam kết chính xác hay biết trước, mập mờ đầu ra của dữ liệu, chưa nói đến công nghệ. Do vậy trách nhiệm của bên nắm hệ thống là đương nhiên nếu để xảy ra lộ, lọt thông tin khách hàng.
Việc không có quy định có thể dẫn đến tình trạng bỏ sót phạm vi điều chỉnh đối với một số nhóm hành vi, các hành vi thu thập thông tin cá nhân sẽ được tự do thực hiện hơn, vì cơ bản là luật “không cấm”
Những trường hợp như bên thứ ba xâm nhập có chủ đích vào hệ thống bảo mật và đánh cắp dữ liệu, thông tin trên máy chủ là ngày càng nhiều. Do có yếu tố thứ ba nên sẽ không khách quan nếu không xem xét quy trình đánh giá liên quan đến các hệ thống quản lý kỹ thuật của chủ sở hữu nền tảng hay trang web. Và trách nhiệm của chủ nền tảng tùy thuộc vào nỗ lực cải thiện chống lại hành vi xâm nhập ở mức độ mà họ đã tuân thủ các cam kết bảo mật và luật áp dụng như thế nào.
Trên thế giới, các tập đoàn công nghệ lớn luôn đưa ra các cách tiếp cận chuẩn mực, minh bạch, công khai, đặc biệt là họ:
(i) tuyên bố tham chiếu rõ ràng tới các bộ quy tắc ứng xử và quy định về bảo mật và truyền tải thông tin theo các điều ước quốc tế hoặc với từng quốc gia có yêu cầu hay theo nguyên tắc có đi có lại. Ví dụ như Google, họ tuyên bố tuân thủ quy định truyền dữ liệu từ khu vực kinh tế châu Âu sang các quốc gia khác tương đương với luật của Liên minh châu Âu và các hiệp định song phương như EU-U.S. Privacy Shield, Swiss-U.S. Privacy Shield.
(ii) xây dựng các điều khoản mẫu để đưa vào và áp dụng trong các thỏa thuận cụ thể với đối tác thương mại về chính sách bảo mật, truyền và xử lý thông tin theo hướng ủng hộ bảo vệ quyền lợi người dùng mạnh mẽ hơn, cũng như để lấp các khoảng trống pháp lý của luật pháp nước sở tại.
Các điều khoản mẫu chính là “bảo bối”, là luật lệ của từng doanh nghiệp. Thử hình dung các điều khoản chính sách dữ liệu có nhiều lợi ích tiềm năng từ sự không đồng đều của hệ thống pháp luật của các quốc gia, nơi có trụ sở và cách mà các doanh nghiệp có thể lồng ghép hoặc “cài cắm” chính sách vào đó với lý do là pháp luật của quốc gia sở tại chưa đủ hoặc không có quy định điều chỉnh.
Với xu hướng thương mại tự do, các điều khoản chính sách dữ liệu cũng sẽ được xây dựng theo mô hình ba nguyên tắc (i) lấy thông lệ thương mại phổ biến hoặc điều ước quốc tế làm trụ cột để tiếp cận, cũng như dễ được thừa nhận nhanh chóng bởi các hệ thống pháp lý; (ii) đó là một công cụ pháp lý có thể sửa đổi phù hợp với yếu tố thị trường và quan hệ đối tác thương mại ưu tiên; (iii) thông qua đó để xây dựng, giữ được thương hiệu, uy tín, hình ảnh, củng cố lòng tin của khách hàng, chủ động tạo ra những cơ sở pháp lý có lợi khi giải quyết các tranh chấp pháp lý dựa trên nguyên tắc thỏa thuận thương mại tự nguyện giữa các đối tác.
Một tuyên bố dữ liệu dù an toàn về mặt công nghệ đến đâu cũng không thể loại trừ trách nhiệm của nhà cung cấp dịch vụ hay chủ trang web, đó là mấu chốt và rất công bằng.
Tại Việt Nam, quản lý chính sách dữ liệu thông tin cá nhân, nhất là đối với các trang web thương mại đã có những khởi đầu nhưng thực tế vẫn còn nhiều cái xa lạ.
Nghị định 85/2021/NĐ-CP về sửa đổi Nghị định 52/2013/NĐ-CP về thương mại điện tử cũng đã có quy định trách nhiệm của bên thu thập thông tin khách hàng là phải xây dựng và công bố “chính sách bảo vệ thông tin cá nhân người tiêu dùng”(1) song quy định này không có chế tài xử lý, cũng như không có quy định đăng ký chính sách dữ liệu. Sở dĩ nói điều này vì nó liên quan đến một quy định được ban hành trước đây nhưng nay đã bãi bỏ, là điểm a, khoản 2, điều 60, Nghị định 52 quy định giấy phép “Hoạt động đánh giá và chứng nhận chính sách bảo vệ thông tin cá nhân của các thương nhân, tổ chức, cá nhân tham gia hoạt động thương mại điện tử”.
Trước đây việc đánh giá này chỉ mang tính xã hội hóa và không nằm trong khuôn khổ nhà nước quản lý trực tiếp. Song việc nghiên cứu đánh giá lại tác động của cơ chế đăng ký quản lý chính sách dữ liệu cấp quốc gia và phân cấp là điều cần thiết và việc này nên đồng bộ với quy định công bố “chính sách bảo vệ thông tin cá nhân người tiêu dùng” như đã nói. Dù chỉ là manh nha của hướng tiếp cận, nhưng nếu từng bước xây dựng thì về lâu dài nhà nước sẽ có được bộ quy tắc quản lý chính sách dữ liệu thông tin cá nhân của các hoạt động thương mại điện tử.
Việc không có quy định có thể dẫn đến tình trạng bỏ sót phạm vi điều chỉnh đối với một số nhóm hành vi, các hành vi thu thập thông tin cá nhân sẽ được tự do thực hiện hơn, vì cơ bản là luật “không cấm”, khó kiểm soát được những vấn đề liên quan như bảo mật, lưu trữ, quản lý, truyền tải thông tin, trách nhiệm pháp lý của các bên, thiếu đi trải nghiệm chính sách cũng như nhận thức để đưa ra giải pháp sửa đổi và kế thừa lập pháp.
Ngoài ra, Internet, giao dịch thương mại điện tử với tính “đa biên” của nó thì các giới hạn định ước trách nhiệm cần có sự kiểm soát hợp lý, nên vấn đề hoàn thiện hệ thống pháp luật không chỉ là đòi hỏi có tính nguyên tắc phục vụ việc giải quyết các xung đột giữa các hệ thống pháp luật, mà qua đó còn góp phần nâng cao vị thế của nền luật pháp quốc gia sở tại, cũng như sự tôn trọng của các bên đối với vấn đề chủ quyền quốc gia trên không gian mạng.
Quản lý điều gì?
Khi công nghệ tràn ngập và xu hướng giao dịch số hóa rõ ràng hơn cũng chính là lúc các phương thức thu thập dữ liệu sẽ nhiều lên và tinh vi hơn. Quản lý dữ liệu là quản lý yếu tố công nghệ và con người để mô hình hóa các khả năng bảo vệ an toàn dữ liệu khác nhau. Một tuyên bố dữ liệu dù an toàn về mặt công nghệ đến đâu cũng không thể loại trừ trách nhiệm của nhà cung cấp dịch vụ hay chủ trang web, đó là mấu chốt và rất công bằng. Và những hưởng lợi này của người dùng trên môi trường Internet, vốn là bên yếu thế trong các quan hệ thương mại, nên được ưu tiên giải quyết. Một số gợi ý dưới đây có thể phù hợp:
(i) cần nghiên cứu ban hành điều khoản mẫu và khung các quy định mẫu chính sách quyền riêng tư, thu thập, xử lý, bảo mật dữ liệu điện tử người dùng Internet. Đây là cơ sở để đối soát các quy định chính sách dữ liệu thực tế của công ty tư nhân khi đăng ký.
(ii) luật cần hệ thống hóa trách nhiệm, nghĩa vụ quan trọng cần công khai cho người dùng Internet biết để họ có thể theo dõi và sử dụng các quyền pháp lý của mình một cách rõ nét và dễ dàng hơn.
(iii) phải có quy định quản lý, theo dõi, xâm nhập hệ thống máy chủ lưu trữ trong và ngoài nước của các công ty tư nhân mua hoặc thuê không gian máy chủ và buộc họ định kỳ cung cấp các báo cáo về thu thập dữ liệu.
(iv) xây dựng các mô hình tiếp cận thông tin máy chủ ở cấp chính phủ và người dân khi có nhu cầu, xem đây là quyền pháp lý cơ bản của người dùng trên Internet.
(v) chế tài xử lý hành chính và tư pháp không chỉ máy móc ở giá trị hình phạt cao hay thấp mà phải tính tới các lợi ích kinh tế mà lẽ ra bên vi phạm đã được thụ hưởng nếu không bị phát hiện và xử lý.
---------
(*) Contracts-vn
(1) Điều 69
