Căn cứ pháp lý để các công ty kinh doanh App được phép thu thập thông tin chứng minh thư nhân dân?

Căn cứ pháp lý nào để các c.ty kinh doanh App được phép thu thập thập thông tin chứng minh thư nhân dân (căn cước công dân/ hộ chiếu) ?

Thạc sỹ, Luật sư Nguyễn Đức Hùng – Phó Giám Đốc, Công ty Luật TNHH TGS (Thuộc Đoàn Luật Sư Thành Phố Hà Nội)

Tại Khoản 4, Điều  9 sửa đổi tại Thông tư số 23/2019/TT-NHNN sửa đổi, bổ sung một số Điều của Thông tư số 39/2014/TT-NHNN ngày 11 tháng 12 năm 2014 của Thống đốc Ngân hàng Nhà nước Việt Nam hướng dẫn về dịch vụ trung gian thanh toán quy định về Hoạt động cung ứng Ví điện tử: yêu cầu bắt buộc tổ chức cung ứng dịch vụ Ví điện tử phải xác thực thông tin khách hàng mở Ví điện tử bằng việc kiểm tra, đối chiếu, đảm bảo hồ sơ mở Ví điện tử của khách hàng là đầy đủ, hợp lệ. Theo đó, thành phần hồ sơ mở Ví điện tử của cá nhân theo Khoản 1, Điều 9 sửa đổi bắt buộc phải có căn cước công dân hoặc chứng minh nhân dân hoặc hộ chiếu còn thời hạn, giấy khai sinh (đối với cá nhân là công dân Việt nam chưa đủ 14 tuổi); thị thực nhập cảnh hoặc giấy tờ chứng minh được miễn thị thực nhập cảnh của cá nhân mở Ví điện tử (đối với cá nhân là người nước ngoài).

Trong khi đó, hiện nay, các công ty kinh doanh App thường liên kết với các loại hình ví điện tử (momo, zalopay…) để thuận tiện hơn cho khách hàng của mình trong việc thanh toán. Thậm chí, có app còn đăng ký mở một loại ví điện tử riêng (như ví moca của Grab) chỉ để phục vụ thanh toán trên ứng dụng của mình. Khi đó, để đăng ký, kích hoạt ví điện tử, các app này có quyền thu thập thông tin cá nhân của khách hàng để hoàn thiện hồ sơ (trong đó có chứng minh thư nhân dân, căn cước công dân hoặc hộ chiếu). Tuy nhiên, theo quy định trên có thể hiểu chỉ các công ty kinh doanh App mở một ví điện tử riêng phục vụ cho ứng dụng của mình (như grab) mới được phép thu thập thông tin cá nhân là chứng minh thứ, căn cước công dân hoặc hộ chiếu của khách hàng để hoàn thiện hồ sơ đăng ký. Còn các trường hợp khác được coi là việc thu thập trái phép thông tin cá nhân của khách hàng. Thực tế, các công ty kinh doanh App hợp thức hóa việc xác thực tài khoản thông tin cá nhân của khách hàng bằng việc khuyến khích khách hàng tự nguyện xác thực tài khoản (cung cấp ảnh chụp chứng minh nhân dân, căn cước công dân hoặc hộ chiếu) để có thể nhận được những ưu đãi, hỗ trợ mức cao nhất.

Trách nhiệm bảo mật thông tin cá nhân khách của các doanh nghiệp này nếu để xảy ra việc bị mất/đánh cắp/ hoặc bán lại dữ liệu khách hàng cho bên thứ 3 khi doanh nghiệp đó không kinh doanh App nữa sẽ như thế nào ?

Thạc sỹ, Luật sư Nguyễn Đức Hùng – Phó Giám Đốc, Công ty Luật TNHH TGS (Thuộc Đoàn Luật Sư Thành Phố Hà Nội)

Đi đôi với quyền thu thập thông tin chứng minh thư nhân dân (căn cước công dân/ hộ chiếu) của khách hàng thì các doanh nghiệp đủ điều kiện cũng phải có trách nhiệm bảo vệ, bảo mật tuyệt đối các thông tin này. Đối với các doanh nghiệp kinh doanh App, trách nhiệm này được quy định tại Luật An toàn thông tin mạng năm 2015, cụ thể:

Tại Điều 17, Luật An toàn thông tin mạng năm 2015 về việc Thu thập và sử dụng thông tin cá nhân quy định: tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm

(i) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó;

(ii) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân;

(iii) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Đồng thời, tại Điều 19 Luật này cũng quy định:

(i) Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng;

(ii) Khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất.

Riêng đối với trường hợp doanh nghiệp không kinh doanh App nữa, doanh nghiệp có trách nhiệm phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác (theo khoản 3, Điều 18 Luật An toàn thông tin mạng năm 2015).

Vì vậy, trường hợp các doanh nghiệp để xảy ra việc bị mất/ đánh cắp hoặc cố ý bán lại dữ liệu khách hàng cho bên thứ 3 khi doanh nghiệp đó không kinh doanh App nữa đều có thể bị xử lý theo quy định của pháp luật. Căn cứ theo Nghị định số 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử thì các hành vi trên có thể bị xử phạt với mức cụ thể sau:

• Hành vi không thực hiện các biện pháp cần thiết để ngăn chặn việc truy nhập thông tin, không thực hiện các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá hủy khi thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi trường mạng; có thể bị xử phạt từ 10 – 20 triệu đồng (theo điểm b, điểm đ, Khoản 3, Điều 102 Nghị định số 15/2020/NĐ-CP).
• Hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông có thể xử phạt từ 50 – 70 triệu đồng (theo điểm a, Khoản 5, Điều 102 Nghị định 15/2020/NĐ-CP)

Mức phạt sẽ là gấp 02 lần đối với chủ thể vi phạm là tổ chức. Như vậy, đối với việc để bị mất/đánh cắp/ hoặc bán lại dữ liệu khách hàng cho bên thứ 3 khi doanh nghiệp đó không kinh doanh App thì các doanh nghiệp này có thể bị xử phạt tối thiểu là 20.000.000 đồng và tối đa là 140.000.000 đồng. Bên cạnh đó, doanh nghiệp có thể bị áp dụng biện pháp khắc phục hậu quả là buộc nộp lại số lợi bất hợp pháp do thực hiện hành vi vi phạm (nếu có).

Ngoài ra, khi khách hàng bị thiệt hại vì lộ thông tin cá nhân do hành vi vi phạm của doanh nghiệp thì doanh nghiệp còn có thể phải bồi thường thiệt hại theo quy định của pháp luật dân sự.

Những rủi ro cho khách hàng khi cung cấp ảnh CMT/CCCD/HC trao cho các doanh nghiệp ngoài quốc doanh (tư nhân) là gì ?

Thạc sỹ, Luật sư Nguyễn Đức Hùng – Phó Giám Đốc, Công ty Luật TNHH TGS (Thuộc Đoàn Luật Sư Thành Phố Hà Nội)

Khi cung cấp thông tin CMND/CCCD/HC trao cho các doanh nghiệp ngoài quốc doanh (tư nhân), khách hàng sẽ đối mặt với nhiều rủi ro trong trường hợp bị lộ thông tin cá nhân. Số CMND, thẻ Căn cước công dân của một người có thể xác định được nơi sinh, giới tính và năm sinh của người đó. Vì vậy, khi biết được các thông tin này, nhiều đối tượng dễ dàng lợi dụng để giả dạng cơ quan công an, Viện kiểm sát, Tòa án… gọi điện thoại hù dọa người dân liên quan đến các vụ án lớn rồi yêu cầu chuyển tiền vào tài khoản để chứng minh, sau đó chiếm đoạt.

Ngoài ra, cũng có những trường hợp các doanh nghiệp dùng CMND, thẻ CCCD của khách hàng để đăng ký mã số thuế mà người này không hề biết. Chỉ tới khi muốn đăng ký mã số thuế thu nhập cá nhân, kiểm tra thì phát hiện đã có mã số thuế, trong khi, chưa từng đi làm ở đâu hay đăng ký mã số thuế trước đó. Lúc này, sẽ phải mất thời gian liên hệ với chi cục thuế để được giải quyết.

Hiện nay, hiện tượng mua bán thông tin cá nhân đã và đang diễn ra phổ biến, dẫn đến tình trạng kẻ xấu lấy cắp thông tin trên tài khoản ngân hàng gây thiệt hại về tài chính. Ngoài ra, chúng còn sử dụng thông tin đó để vay tín chấp hoặc mở thẻ tín dụng.

Do đó, việc bảo mật không chỉ số CMND, thẻ Căn cước công dân cũng như các thông tin cá nhân khác cần được chú trọng. Dù không tránh được việc phải cung cấp các thông tin này nhưng không tùy tiện mà chỉ cung cấp khi cảm thấy cần thiết và an toàn.

Có lỗ hổng pháp lý hay không khi các doanh nghiệp tư nhân lại có quyền thu thập dữ liệu CMT/CCCD/HC của công dân (khách hàng) với lý do họ được làm những việc pháp luật không cấm ? Luật kinh doanh điện tử có kẽ hở gì trong vấn đề này không ?

Thạc sỹ, Luật sư Nguyễn Đức Hùng – Phó Giám Đốc, Công ty Luật TNHH TGS (Thuộc Đoàn Luật Sư Thành Phố Hà Nội)

Hiện nay, quy định của pháp luật cho phép các doanh nghiệp cung cấp dịch vụ thương mại điện tử thu thập thông tin cá nhân của người tiêu dùng (và các bên liên quan) khi tham gia hoạt động thương mại điện tử. Tuy nhiên, việc thu thập thông tin khách hàng phải tuân thủ theo các quy đinh của pháp luật. Cụ thể, theo Điều 17 Luật an toàn thông tin mạng 2015, Nghị định 52/2013/NĐ-CP về thương mại điện tử và Thông tư 59/2015/TT-BTC quy định về quản lý hoạt động thương mại điện tử qua ứng dụng trên thiết bị di động đều quy định về việc các thương nhân, tổ chức, cá nhân cung cấp sàn thương mại điện tử, ứng dụng di động, ứng dụng cung cấp dịch vụ thương mại điện tử,… được thu thập thông tin cá nhân của khách hàng sau khi được sự chấp thuận của khách hàng, việc sử dụng thông tin đó cũng trong phạm vi, mục đích của hoạt động thương mại và phải tuân thủ quy định về bảo vệ thông tin cá nhân của khách hàng; có những chính sách, biện pháp cần thiết để đảm bảo an toàn thông tin liên quan đến thông tin cá nhân của người tiêu dùng. Những quy định của pháp luật đưa ra cho phép các doanh nghiệp cung cấp hoạt động thương mại điện tử được phép thu thập, sử dụng và bảo vệ thông tin của khách hàng. Bên cạnh đó, pháp luật cũng nghiêm cấm các hành vi như: “Đánh cắp, sử dụng, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức, cá nhân khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan, trừ trường hợp pháp luật có quy định khác;” đồng thời cũng quy định các chế tài xử phạt đối với doanh nghiệp tư nhân để lộ hay mua bán thông tin cá nhân của khách hàng. Như vậy, các doanh nghiệp tư nhân lại có quyền thu thập dữ liệu CMT/CCCD/HC của công dân (khách hàng) là hoàn toàn có căn cứ pháp lý chứ không phải dựa vào kẽ hở trong quy định pháp luật. Tuy nhiên, những quy định này còn lỏng lẻo và chưa nghiêm ngặt. Các chế tài xử phạt vi phạm đối với hành vi doanh nghiệp để lộ hay mua bán thông tin người tiêu dùng chưa có tính răn đe cao, do vậy, các đối tượng vi phạm sẵn sàng tiếp tục thực hiện các hoạt động vi phạm pháp luật để chạy theo lợi nhuận. Kể cả khi khách hàng nghi vấn cụ thể đơn vị, cá nhân nào đã cố tình cung cấp thông tin cá nhân của mình cũng khó lòng đòi lại quyền lợi bởi chỉ khi chứng minh được yếu tố “hậu quả” và “thiệt hại”, khách hàng mới có thể khiếu nại thành công và yêu cầu cơ quan chức năng vào cuộc.

Như vậy, cần có quy định pháp luật chặt chẽ, nghiêm ngặt, cụ thể và rõ ràng hơn trong việc bảo vệ thông tin cá nhân của người tiêu dùng.