Pháp luật Việt Nam về bảo mật trong giao dịch điện tử

1. Quy định của pháp luật về bảo mật giao dịch điện tử

- Trong giai đoạn giao kết giao dịch điện tử:

Việc giao kết hợp đồng nói chung cũng như giao dịch điện tử nói riêng thường tuân theo trình tự nhất định. Trình tự giao kết hợp đồng là một quá trình mà trong đó các bên bày tỏ ý chí cùng nhau đi đến những thỏa thuận làm phát sinh quyền và nghĩa vụ. Quá trình này diễn ra qua hai bước do pháp luật quy định gồm có đề nghị giao kết hợp đồng và chấp nhận giao kết hợp đồng. Hợp đồng được hình thành khi một bên đưa ra đề nghị giao kết hợp đồng và bên kia chấp nhận đề nghị giao kết này. Việc giao kết hợp đồng thông qua các phương tiện điện tử cũng tuân theo quy định chung của pháp luật về giao kết hợp đồng của pháp luật dân sự. Luật giao dịch điện tử năm 2005 quy định: “Trong giao kết hợp đồng, trừ trường hợp các bên có thỏa thuận khác, đề nghị giao kết hợp đồng và chấp nhận giao kết hợp đồng có thể được thực hiện thông qua thông điệp dữ liệu” (khoản 2 Điều 36). Như vậy, nếu không có thỏa thuận khác, quá trình giao kết hợp đồng điện tử cơ bản gồm hai bước chính là: (1) Đề nghị giao kết hợp đồng; (2) Chấp nhận đề nghị giao kết hợp đồng.

Trong quá trình giao kết hợp đồng điện tử, thông tin trong hợp đồng điện tử mà một bên có được từ đối tác có thể có một giá trị nhất định đối với bên cung cấp thông tin. Nếu các thông tin này không được giữ bí mật, không được khai thác sử dụng đúng mục đích thì sẽ ảnh hưởng tiêu cực đến quyền và lợi ích của bên cung cấp thông tin đó. Do đó, pháp luật cần có những quy định để đảm bảo bảo mật, an toàn thông tin trong giao dịch điện tử.

Pháp luật giao dịch điện tử Việt Nam hiện nay có một số quy định về quyền và nghĩa vụ liên quan đến bảo mật thông tin trong giai đoạn giao kết hợp đồng. Khoản 2 Điều 46 Luật giao dịch điện tử năm 2005 quy định: “Cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin về bí mật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác”. Tương tự, khoản 2 Điều 387 Bộ luật Dân sự (BLDS) năm 2015 quy định: “Trường hợp một bên nhận được thông tin bí mật của bên kia trong quá trình giao kết hợp đồng thì có trách nhiệm bảo mật thông tin và không được sử dụng thông tin đó cho mục đích riêng của mình hoặc cho mục đích trái pháp luật khác”. Theo đó, khi một bên cũng đã cung cấp cho bên còn lại những thông tin cần thiết liên quan đến giao dịch điện tử, nếu vi phạm nghĩa vụ đó thì sẽ bị áp dụng biện pháp chế tài, do đó, khi bên nhận được thông tin cũng có nghĩa vụ bảo mật thông tin đó, nếu vi phạm cũng bị áp dụng biện pháp chế tài, để đảm bảo quyền và nghĩa vụ giữa các bên, đặc biệt là bên thứ ba. Hơn nữa, trong quá trình đàm phán, các bên có thể cung cấp cho nhau những thông tin quan trọng mà mình đang nắm giữ (có thể là bí mật kinh doanh, công thức, bí quyết để cải tiến, nâng cao chất lượng sản phẩm, thiết kế sản phẩm, công nghệ phát triển sản phẩm mới…), những thông tin này là “tài sản” quan trọng của doanh nghiệp. Sau đó, nếu hợp đồng không được giao kết thì bên đã cung cấp thông tin có thể đứng trước những rủi ro tiềm ẩn nếu không được bảo vệ thích đáng, có thể bị bên nhận được thông tin hay người thứ ba sử dụng tùy tiện, gây bất lợi, thiệt hại cho bên cung cấp thông tin.

Có thể nói, giai đoạn đề nghị giao kết hợp đồng điện tử là giai đoạn giao dịch dễ có sự gian lận và lạm dụng. Do vậy, cùng với nghĩa vụ cung cấp thông tin, nghĩa vụ bảo mật thông tin ở giai đoạn này cần được quy định là một loại nghĩa vụ pháp lý độc lập nhằm xác định rõ các quyền và nghĩa vụ cho các bên liên quan, giúp cho những chủ thể tham gia vào giao dịch điện tử có thể tự bảo vệ chính mình, cũng như nâng cao ý thức và phải có trách nhiệm tự bảo mật thông tin trong giao dịch điện tử.

Ngoài các quy định trong BLDS năm 2015, Luật giao dịch điện tử năm 2005, tùy vào lĩnh vực giao kết giao dịch điện tử pháp luật Việt Nam cũng có những quy định trong pháp luật chuyên ngành về nghĩa vụ các bên chủ thể trong giao kết hợp đồng phải bảo đảm bảo mật thông tin về giao dịch nói chung và thông tin về việc giao kết giao dịch điện tử nói riêng. Ví dụ: Điều 14 Luật các tổ chức tín dụng năm 2010 quy định về bảo mật thông tin; Điều 25 Luật luật sư năm 2012 quy định về nghĩa vụ của Luật sư trong việc bảo mật thông tin khách hàng ngay cả những thông tin được thu thập trong giai đoạn tiếp xúc khách hàng để ký hợp đồng dịch vụ tư vấn pháp luật; khoản 2 Điều 21 Bộ luật lao động năm 2019 quy định về cam kết của các bên trong hợp đồng lao động liên quan đến bí mật kinh doanh, bí mật công nghệ của người sử dụng lao động và chế tài trong trường hợp một trong các bên vi phạm nghĩa vụ bảo mật thông tin hợp đồng…

Như vậy, bằng hai cách thức quy định các bên phải áp dụng các biện pháp bảo mật và không được thực hiện các hành vi làm lộ lọt dữ liệu về giao dịch điện tử ngay trong giai đoạn giao kết, pháp luật Việt Nam bước đầu đã đảm bảo cho các giao dịch được xác lập một cách an toàn. Tuy nhiên, biện pháp bảo mật như thế nào được coi là đảm bảo yêu cầu thì cần phải xem xét đến quy định của Luật công nghệ thông tin năm 2006, Luật viễn thông năm 2009, Luật an toàn thông tin mạng năm 2015,... Ngoài ra, trong giai đoạn này các bên sẽ sử dụng chữ ký số làm phương thức xác minh điện tử để đảm bảo là bên truyền thông tin và bên nhận thông tin là đích danh chủ thể tham gia, không có sự lộ lọt thông tin để chủ thể thứ ba có thể can thiệp vào.

- Trong giai đoạn thực hiện giao dịch điện tử:

Thực hiện giao dịch điện tử nói chung và thực hiện hợp đồng điện tử nói riêng là quá trình các bên chủ thể “hiện thực hóa” quyền và nghĩa vụ đã được thỏa thuận trước đó trong hợp đồng, phải đảm bảo các quy định của pháp luật, trong đó có vấn đề bảo mật giao dịch điện tử. Theo Điều 35 Luật giao dịch điện tử năm 2005 thì: “Các bên tham gia có quyền thỏa thuận sử dụng phương tiện điện tử trong giao kết và thực hiện hợp đồng; việc giao kết và thực hiện hợp đồng điện tử phải tuân thủ các quy định của Luật này và pháp luật về hợp đồng; khi giao kết và thực hiện hợp đồng điện tử, các bên có quyền thỏa thuận về yêu cầu kỹ thuật, chứng thực, các điều kiện bảo đảm tính toàn vẹn, bảo mật có liên quan đến hợp đồng điện tử đó”. Ngoài ra, vấn đề bảo mật liên quan đến thực hiện hợp đồng điện tử trong lĩnh vực thương mại cũng đã được quy định tại khoản 4 Điều 289 Luật thương mại năm 2005, cụ thể: “Chủ thể có nghĩa vụ phải giữ bí mật kinh doanh đã được nhượng quyền trong hợp đồng thương mại”.

Tuy nhiên, trong quá trình thực hiện hợp đồng điện tử, pháp luật giao dịch điện tử của Việt Nam hiện nay chỉ có một số quy định về quyền và nghĩa vụ liên quan đến bảo mật thông tin của giai đoạn thực hiện hợp đồng trong từng lĩnh vực nhất định. Cụ thể:

Một là, về bảo mật thông tin chủ thể tham gia giao dịch điện tử. Trong quá trình thực hiện giao dịch điện tử, việc bảo mật thông tin của chủ thể tham gia giao dịch là một trong những yêu cầu để đảm bảo tính bảo mật của giao dịch điện tử, qua đó đảm bảo được an toàn của các đối tượng tham gia cũng như đảm bảo an toàn khỏi chủ thể thứ ba có mục đích gây hại, phá hủy sự hợp tác của các bên chủ thể tham gia giao dịch điện tử. Trong lĩnh vực bảo vệ quyền lợi người tiêu dùng thì Điều 6 Luật bảo vệ người tiêu dùng năm 2010 đã quy định về việc bảo vệ thông tin của người tiêu dùng: “1. Người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu”, hay Điều 19 Luật an toàn thông tin mạng năm 2015 quy định: Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng.

Trong bối cảnh hiện nay, thông tin cá nhân được hiểu theo phạm vi rộng không chỉ là những thông tin về nhân thân mà bao gồm cả thông tin về tài chính của cá nhân chủ thể tham gia giao dịch điện tử.

Hai là, về đối tượng và các điều khoản khác của giao dịch điện tử. Ngoài những quy định về bảo mật thông tin của đối tượng tham gia giao dịch, pháp luật Việt Nam chưa quy định về việc bảo mật các chi phí liên quan giao dịch điện tử, cũng như về thời gian, địa điểm thực hiện nghĩa vụ trong giao dịch điện tử. Đặc biệt, trong môi trường giao dịch điện tử, các chủ thể tham gia giao dịch thường không biết nhau, khi đó các quy định về vấn đề bảo mật liên quan đến thời gian và địa điểm thực hiện nghĩa vụ trong hợp đồng sẽ giúp chủ thể tham gia giao dịch điện tử có thể tránh được sự chú ý của những đối tượng lừa đảo nhằm chiếm đoạt dữ liệu hay chiếm đoạt tài sản. Hiện nay, Luật giao dịch điện tử năm 2005 vẫn chưa quy định cụ thể về vấn đề này nên khi có thiệt hại xảy ra thì không có các chế tài để xử lý.

Ngoài ra, việc lựa chọn phương thức thanh toán cũng là một nội dung quan trọng trong giao kết hợp đồng điện tử bởi các đối tượng khi tham gia vào giao kết này không gặp trực tiếp để thanh toán nên cần có những quy định cụ thể, chi tiết. Ở Việt Nam hiện nay đang tồn tại một số công ty trung gian cho việc thanh toán trực tuyến, đóng vai trò kết nối giữa ngân hàng, người mua, người bán, người tham gia giao dịch điện tử. Tuy nhiên, việc thanh toán còn cần đặt ra nhiều vấn đề pháp lý cần phải giải quyết như vấn đề bảo mật, đảm bảo an toàn, thuận lợi cho giao dịch. Khoản 3 Điều 14 Luật các tổ chức tín dụng năm 2010 quy định về việc “đảm bảo thông tin giao dịch của các khách hàng không được để tiết lộ ra ngoài”. Tuy nhiên, pháp luật vẫn chưa đặt ra những biện pháp, những tiêu chuẩn cụ thể về mức độ bảo mật, đảm bảo an toàn thông tin giao dịch điện tử.

- Trong giai đoạn chấm dứt của giao dịch điện tử:

Pháp luật Việt Nam chưa có quy định bảo mật về thông tin chủ thể, đối tượng giao dịch và phương thức thanh toán,… nhưng đã có những quy định tương đối cụ thể về yêu cầu lưu trữ để tạo lập những chứng cứ, tài liệu mang tính pháp lý cũng như đảm bảo tính xác thực, bảo mật trong giai đoạn chấm dứt giao dịch điện tử để đảm bảo giao dịch đó được thực hiện một cách an toàn kể cả khi giao dịch điện tử đó đã chấm dứt. Điều 289 Luật thương mại năm 2005 quy định về nghĩa vụ của thương nhân nhận quyền: “… 4. Giữ bí mật về bí quyết kinh doanh đã được nhượng quyền, kể cả sau khi hợp đồng nhượng quyền thương mại kết thúc hoặc chấm dứt” cho thấy pháp luật đã dự liệu trước và quy định bảo mật đó thành nghĩa vụ trong lĩnh vực đặc trưng như thương mại với nội dung bí mật về bí quyết kinh doanh – yếu tố vô cùng quan trọng của một doanh nghiệp khi tiến hành từ khi giao kết tới khi chấm dứt với bất kỳ chủ thể nào khác trong môi trường kinh doanh.

Về nội dung, Điều 15 Luật giao dịch điện tử năm 2005 quy định trường hợp pháp luật yêu cầu chứng từ, hồ sơ hoặc thông tin phải được lưu trữ thì chứng từ, hồ sơ hoặc thông tin đó có thể được lưu trữ dưới dạng thông điệp dữ liệu khi đáp ứng các điều kiện sau đây: (i) Nội dung của thông điệp dữ liệu có thể truy cập và sử dụng được để tham chiếu khi cần thiết; (ii) Nội dung của thông điệp dữ liệu được lưu trong chính khuôn dạng mà nó được khởi tạo, gửi, nhận hoặc trong khuôn dạng cho phép thể hiện chính xác nội dung dữ liệu đó; (iii) Thông điệp dữ liệu được lưu trữ theo một cách thức nhất định cho phép xác định nguồn gốc khởi tạo, nơi đến, ngày giờ gửi hoặc nhận thông điệp dữ liệu; (iv) Nội dung, thời hạn lưu trữ đối với thông điệp dữ liệu được thực hiện theo quy định của pháp luật về lưu trữ.

Điều 10 Luật lưu trữ năm 2011 quy định: “Bảo đảm an toàn và bảo mật tài liệu lưu trữ điện tử: (i) Cơ quan, tổ chức có trách nhiệm định kỳ kiểm tra và bảo đảm an toàn hệ thống quản lý tài liệu điện tử; (ii) Cơ quan, tổ chức thực hiện các biện pháp bảo đảm an ninh, an toàn và bảo mật phù hợp với quy định của pháp luật trong việc quản lý tài liệu lưu trữ điện tử”.

Tuy nhiên, pháp luật Việt Nam còn quy định đơn lẻ, rải rác về việc bảo mật thông tin giao dịch điện tử của một số lĩnh vực khác như lĩnh vực lưu trữ công chứng, tài chính, ngân hàng (Điều 17 Luật công nghệ thông tin năm 2006; Điều 64 Luật công chứng năm 2014; Thông tư số 134/2017/TT-BTC hướng dẫn giao dịch điện tử trên thị trường chứng khoán; Thông tư số 19/2021/TT-BTC hướng dẫn giao dịch điện tử trong lĩnh vực thuế…), thương mại, kho bạc, đấu thầu, doanh nghiệp,…

Như vậy, pháp luật Việt Nam đã xây dựng một số văn bản quy phạm pháp luật về bảo mật và lưu trữ các giao dịch điện tử trong các lĩnh vực. Các văn bản đa phần đều có những quy định về bảo mật giao dịch điện tử sau khi kết thúc giao dịch nhằm bảo đảm tính pháp lý, tính tiện ích để hoạt động giao dịch điện tử được sử dụng rộng rãi trong cuộc sống, đáp ứng yêu cầu của giao dịch điện tử, tuy nhiên, còn chung chung, rải rác ở nhiều văn bản khác nhau dẫn tới khó tiếp cận, chưa đảm bảo hiệu quả hoạt động thực thi pháp luật về bảo mật giao dịch điện tử.

2. Một số đề xuất, kiến nghị

- Trong giai đoạn giao kết giao dịch điện tử:

Thứ nhất, cần bổ sung Điều 4 Luật giao dịch điện tử năm 2005 các định nghĩa về “chữ ký điện tử”, “chữ ký số”, “chữ ký quét”, “chữ ký hình ảnh”, “chữ ký điện tử an toàn” nhằm hướng pháp luật điều chỉnh rộng rãi, phong phú các dạng chữ ký điện tử, căn cứ để cơ quan có thẩm quyền xem xét về tính hợp pháp của các hình thức đó.

Thứ hai, bổ sung Chương III Luật giao dịch điện tử năm 2005 với các điều luật quy định về hình thức định danh điện tử và xác thực điện tử để từ đó các chủ thể tham gia giao dịch điện tử có căn cứ để áp dụng các biện pháp bảo mật phù hợp. Theo đó, xác thực là việc xác lập hoặc chứng thực một thực thể đáng tin cậy, có nghĩa là những thông tin do một người đưa ra hoặc về một cái gì đó là đúng đắn; là khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động của một hệ thống thông tin. Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, còn xác thực một người thường bao gồm việc thẩm tra nhận dạng cá nhân của họ.

- Trong giai đoạn thực hiện giao dịch điện tử:

Bổ sung Điều 46 Chương 6 Luật giao dịch điện tử năm 2005 về điều kiện để giao dịch điện tử được an toàn. Có quy định tại các văn bản pháp luật liên quan về bảo mật đáp ứng đủ điều kiện trong các giai đoạn, đặc biệt ở giai đoạn thực hiện giúp các chủ thể dễ dàng tiếp cận với hợp đồng điện tử đã giao kết với các yêu cầu nhất định nhằm thực hiện các nghĩa vụ trong hợp đồng đã giao kết. Cụ thể: (1) Yêu cầu “ghi” - bên thứ 3 không được phép copy lại văn bản và gửi nhiều lần đến người nhận mà người gửi không hề hay biết; (2) Yêu cầu “chữ ký” - người nhận cần phải xác định người gửi và kiểm tra xem người gửi đó có thực sự gửi thông tin đi hay không; (3) Yêu cầu “toàn vẹn” - người nhận cần có khả năng xác định được thông tin có bị thay đổi trong quá trình truyền thông tin hay không.

Đồng thời, bổ sung quy định tại Điều 37 Luật giao dịch điện tử năm 2005 về trách nhiệm và quyền của các bên khi tiếp cận và nhiệm vụ thực hiện nghĩa vụ bảo mật giao dịch điện tử đó.

- Trong giai đoạn chấm dứt giao dịch điện tử:

Một là, bổ sung quy định tại Điều 13 Luật lưu trữ năm 2011 về chuyển đổi tài liệu giấy sang tài liệu điện tử, phương thức chuyển đổi, điều kiện đáp ứng, giá trị của tài liệu điện tử sau khi chuyển đổi.

Hai là, mở rộng phạm vi điều chỉnh được quy định tại Điều 1 Luật lưu trữ năm  2011 trong hoạt động lưu trữ ở lĩnh vực tư, để từ đó hình thành cơ sở chứng cứ khi các bên xảy ra tranh chấp. Theo đó, về phạm vi điều chỉnh, Luật quy định về hoạt động lưu trữ; quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân trong hoạt động lưu trữ trong lĩnh vực tư và công; về đối tượng áp dụng: Luật áp dụng đối với tổ chức chính trị, cơ quan Nhà nước, Mặt trận Tổ quốc Việt Nam, tổ chức chính trị - xã hội, tổ chức chính trị xã hội - nghề nghiệp, tổ chức xã hội, tổ chức xã hội - nghề nghiệp, tổ chức kinh tế, đơn vị sự nghiệp, đơn vị vũ trang nhân dân và các tổ chức, cá nhân có liên quan.

Ba là, bổ sung về quy định trách nhiệm của các chủ thể liên quan trong giai đoạn chấm dứt tại Điều 35 Luật giao dịch điện tử năm 2005: “Chủ thể tham gia phải có trách nhiệm với thông điệp dữ liệu, không được tiết lộ những thông tin hoặc các giao dịch cần bảo mật trong các giai đoạn”.