Thông tin cá nhân của khách hàng ngày càng trở thành một loại "tài sản số" có giá trị cao trong thời đại công nghệ số. Tuy nhiên, việc thu thập và sử dụng dữ liệu khách hàng không đúng cách có thể dẫn đến những hậu quả pháp lý nghiêm trọng. Trên thực tế, hành vi mua bán thông tin khách hàng đang diễn ra phổ biến dưới nhiều hình thức và gây ảnh hưởng trực tiếp đến quyền riêng tư của người tiêu dùng. Để hiểu rõ hơn, hãy xem xét liệu hành vi này có bị coi là vi phạm pháp luật không, và chế tài xử lý cụ thể là gì.
1. Mua bán thông tin khách hàng có vi phạm pháp luật không?
Quy định này được nêu cụ thể tại Điều 7 Luật An toàn thông tin mạng 2015 và Điều 18 Luật Bảo vệ quyền lợi người tiêu dùng 2023 như sau:
Luật An toàn thông tin mạng 2015
Điều 7. Các hành vi bị nghiêm cấm
...
5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
...
Luật Bảo vệ quyền lợi người tiêu dùng 2023
Điều 18. Sử dụng thông tin của người tiêu dùng
...
4. Tổ chức, cá nhân kinh doanh thu thập, sử dụng thông tin của người tiêu dùng phải có cơ chế để người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện các hành vi sau đây:
a) Chia sẻ, tiết lộ, chuyển giao thông tin cho bên thứ ba, trừ trường hợp tổ chức, cá nhân kinh doanh chuyển giao thông tin đã được thu thập phù hợp quy định của Luật này và quy định khác của pháp luật có liên quan cho bên thứ ba lưu trữ hoặc phân tích phục vụ hoạt động kinh doanh của bên chuyển giao và hai bên đã có thỏa thuận bằng văn bản về việc bên thứ ba có trách nhiệm bảo vệ thông tin người tiêu dùng theo quy định tại Luật này;
...
Ngoài ra quy định về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông được nêu cụ thể tại Điều 288 Bộ luật Hình sự 2015 như sau:
Điều 288. Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông
1. Người nào thực hiện một trong các hành vi sau đây, thu lợi bất chính từ 50.000.000 đồng đến dưới 200.000.000 đồng hoặc gây thiệt hại từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc gây dư luận xấu làm giảm uy tín của cơ quan, tổ chức, cá nhân, thì bị phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 03 năm:
...
b) Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó;
...
Theo Điều 7 Luật An toàn thông tin mạng 2015, việc sử dụng thông tin cá nhân để kinh doanh khi chưa được phép là hành vi bị nghiêm cấm. Luật quy định rõ ràng: thông tin cá nhân chỉ được xử lý khi có sự đồng ý rõ ràng của chủ thể dữ liệu về phạm vi, mục đích sử dụng. Do đó, mua bán dữ liệu khách hàng qua mạng là vi phạm đồng thời hai chế định: quyền riêng tư và an toàn thông tin mạng.
Và theo Điều 18 của Luật Bảo vệ quyền lợi người tiêu dùng 2023 quy định cụ thể về nghĩa vụ bảo mật thông tin: các doanh nghiệp chỉ được thu thập và sử dụng thông tin khách hàng đúng với mục đích, phạm vi đã thông báo, có sự đồng ý rõ ràng, và không được chia sẻ cho bên thứ ba nếu không có sự chấp thuận hoặc quy định pháp luật khác. Đây là cơ sở pháp lý trực tiếp để người tiêu dùng khiếu nại, phản ánh hoặc khởi kiện nếu bị rò rỉ thông tin. Hành vi mua bán thông tin cá nhân cũng có thể bị xử lý hình sự nếu diễn ra trên môi trường mạng. Điều 288 Bộ luật Hình sự 2015 (sửa đổi 2017) coi việc sử dụng trái phép thông tin cá nhân trên mạng viễn thông, máy tính, gây thiệt hại hoặc thu lợi bất chính là tội phạm.
Tình huống giả định
Chị Trần Thị Thu Mai (38 tuổi), nhân viên văn phòng tại Hà Nội, thường xuyên mua hàng qua ứng dụng thương mại điện tử và từng tham gia nhiều chương trình khuyến mãi trực tuyến. Gần đây, chị liên tục nhận được tin nhắn, cuộc gọi từ các số lạ quảng cáo bất động sản, thẻ tín dụng và cả dịch vụ làm đẹp, mặc dù chưa từng đăng ký hoặc quan tâm đến các lĩnh vực này.
Nghi ngờ thông tin cá nhân bị lộ, chị Mai yêu cầu tra soát và phát hiện rằng một nền tảng mua sắm từng thu thập dữ liệu của chị trong quá trình đặt hàng đã âm thầm bán danh sách khách hàng cho nhiều đối tác quảng cáo bên ngoài. Tên, số điện thoại, địa chỉ và lịch sử mua hàng của chị đã bị sử dụng cho mục đích thương mại mà không có sự đồng ý rõ ràng nào từ chị.
Dù không có thiệt hại vật chất cụ thể, chị Mai cảm thấy bị xâm phạm nghiêm trọng đời sống riêng tư và gửi đơn phản ánh đến Cục Bảo vệ người tiêu dùng. Vụ việc đang trong quá trình xác minh, nhưng theo quy định pháp luật, nếu có căn cứ rõ ràng, doanh nghiệp có thể bị xử phạt hành chính và buộc công khai xin lỗi người tiêu dùng.
(Tình huống trên đây là tình huống không có thật, chỉ mang tính tham khảo.)
2. Chế tài xử phạt đối với hành vi mua bán thông tin khách hàng
Quy định này được nêu cụ thể tại Điều Điều 102 Nghị định 15/2020/NĐ-CP và Điều 288 Bộ luật Hình sự 2015:
Điều 102. Vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin
...
- Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông;
...
Điều 288. Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông
1. Người nào thực hiện một trong các hành vi sau đây, thu lợi bất chính từ 50.000.000 đồng đến dưới 200.000.000 đồng hoặc gây thiệt hại từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc gây dư luận xấu làm giảm uy tín của cơ quan, tổ chức, cá nhân, thì bị phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 03 năm:
...
b) Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó;
...
Theo quy định hiện hành, hành vi mua bán thông tin cá nhân bị xử lý theo hai cấp độ: hành chính và hình sự. Với mức độ nhẹ, khoản 5 Điều 102 Nghị định 15/2020/NĐ-CP xử phạt hành chính từ 50 đến 70 triệu đồng với hành vi tiết lộ, mua bán thông tin thuê bao, dữ liệu khách hàng. Ngoài ra, còn áp dụng hình phạt bổ sung như: tước quyền sử dụng giấy phép hoạt động từ 22 đến 24 tháng, buộc nộp lại số tiền thu lợi bất chính.
Nặng hơn nữa, nếu hành vi mua bán dữ liệu cá nhân diễn ra trên môi trường mạng và gây hậu quả, người vi phạm có thể bị truy cứu trách nhiệm hình sự theo Điều 288 Bộ luật Hình sự. Nếu thu lợi bất chính từ 50 triệu đồng đến dưới 200 triệu đồng hoặc gây thiệt hại từ 100 triệu đồng trở lên, có thể bị:
-
Phạt tiền từ 30 đến 200 triệu đồng
-
Phạt cải tạo không giam giữ đến 3 năm
-
Hoặc phạt tù từ 6 tháng đến 3 năm
Nếu phạm tội có tổ chức, tái phạm hoặc thu lợi bất chính từ 200 triệu đồng trở lên, khung hình phạt tăng lên:
-
Phạt tiền đến 1 tỷ đồng
-
Hoặc phạt tù từ 2 năm đến 7 năm
-
Cấm hành nghề từ 1 đến 5 năm
Tình huống giả định
Một công ty truyền thông mang tên Nina Media tại TP. Hồ Chí Minh đã mua danh sách hơn 5.000 số điện thoại khách hàng từ một nguồn nội bộ với giá 30 triệu đồng. Sau đó, công ty này dùng số dữ liệu trên để thực hiện chiến dịch gửi tin nhắn quảng cáo dịch vụ vay vốn tài chính.
Trong vòng hai tuần, nhiều người nhận được tin nhắn không mong muốn đã phản ánh lên tổng đài 1800 của Bộ Thông tin và Truyền thông. Cục An toàn thông tin đã vào cuộc xác minh và phát hiện danh sách khách hàng này được lấy trái phép từ dữ liệu thu thập của một sàn thương mại điện tử mà người tiêu dùng không hề hay biết.
Công ty truyền thông bị xử phạt 60 triệu đồng theo Nghị định 15/2020/NĐ-CP, buộc gỡ toàn bộ chiến dịch quảng cáo vi phạm, tước quyền sử dụng giấy phép hoạt động trong 24 tháng và nộp lại toàn bộ khoản thu lợi bất chính. Đại diện công ty cũng bị lập biên bản cảnh cáo và có thể bị xem xét truy cứu trách nhiệm hình sự nếu tái phạm hoặc phát hiện thêm hành vi tương tự trong tương lai.
(Tình huống trên đây là tình huống không có thật, chỉ mang tính tham khảo.)
Kết luận
Việc mua bán thông tin khách hàng không chỉ là hành vi xâm phạm nghiêm trọng quyền riêng tư cá nhân mà còn vi phạm các quy định cụ thể của pháp luật hiện hành. Theo quy định tại Bộ luật Dân sự, Luật An toàn thông tin mạng và Luật Bảo vệ quyền lợi người tiêu dùng, các cá nhân và tổ chức chỉ được thu thập, sử dụng thông tin khi có sự đồng ý của chủ thể dữ liệu và đúng với phạm vi cho phép. Đồng thời, hành vi mua bán, chia sẻ dữ liệu khách hàng trái phép có thể bị xử phạt hành chính lên đến 70 triệu đồng hoặc truy cứu trách nhiệm hình sự theo Điều 288 Bộ luật Hình sự 2015.
