Có được phép cung cấp thông tin thẻ VISA của khách hàng cho bên thứ ba?

Thông tin này sau đó được xác nhận rằng người dùng này đã nhập thông tin tài khoản trên trang web Agoda để đặt phòng, sau đó trang web Agoda đã chuyển thông tin khách hàng cho trang web Booking (đối tác của Agoda – cũng là một trang đặt phòng online), trang web Booking sau đó đã chuyển thông tin của khách hàng (bao gồm tất cả thông tin thẻ VISA) đến cho khách sạn theo quy trình của trang web Booking này. Thông tin thẻ VISA của người dùng này sau đó đã bị khách sạn in ra giấy để phục vụ cho hoạt động của mình.

Vấn đề này vẫn đang được tranh luận trên mạng, giữa một bên là khách hàng đang lo lắng cho thông tin bí mật của mình và một bên là các nhân viên khách sạn, tour luôn cho rằng việc chuyển thông tin đó là bình thường.

Vậy, theo pháp luật Việt Nam, việc này đúng hay sai; nếu xảy ra thiệt hại do việc lộ thông tin tài khoản bởi vì in thông tin ra giấy thì lỗi là của ai và ai sẽ là người chịu trách nhiệm ?

Đầu tiên, về mặt pháp lý thì theo lập luận của trang web Agoda (nơi người dùng đã trực tiếp nhập thông tin tài khoản) do khách hàng đã check đồng ý vào điều khoản sử dụng, trong đó có xác nhận rằng cho phép Agoda gửi thông tin thẻ cho đối tác của họ, do đó việc Agoda gửi thông tin cho Booking là hoàn toàn bình thường, không có vi phạm.

Xét về mặt quy định pháp luật Việt Nam, cụ thể là điểm c khoản 1 điều 17 Luật An toàn thông tin mạng 2015 thì cách lập luận này là đúng:

Điều 17. Thu thập và sử dụng thông tin cá nhân

1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm sau đây:

...

c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Tuy nhiên, lập luận này chỉ đúng với Agoda khi họ gửi thông tin khách hàng cho đối tác là Booking – vì đã có được sự chấp thuận của khách hàng. Còn khi Booking gửi thông tin của khách hàng (do Agoda gửi sang) cho khách sạn, là đối tác của Booking thì lại khác: khách hàng hoàn toàn không có ý kiến nào đồng ý để Booking gửi thông tin của mình cho bên thứ tư nào khác (Agoda và Booking là 2 pháp nhân hoàn toàn độc lập).

Nói cách khác, ở đây Booking đã có hành vi có dấu hiệu vi phạm quy định pháp luật Việt Nam khi gửi thông tin của khách hàng cho đối tác của mình (mà chưa có sự đồng ý của chủ thông tin).

Hành vi này có thể sẽ bị xử phạt theo điểm e khoản 3 điều 66 Nghị định 174/2013/NĐ-CP:

Điều 66. Vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin

...

3. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:

...

e) Thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật;

Tuy nhiên, rất tiếc là cả Agoda và Booking đều là pháp nhân nước ngoài, do đó việc xử phạt hành chính trong trường hợp này gần như bất khả thi.

Thứ hai, về vấn đề lỗi nếu có thiệt hại xảy ra (do lộ thông tin bí mật của thẻ vì in ra giấy) thì trách nhiệm trước tiên vẫn thuộc về khách sạn – do đây là hành vi của nhân viên khách sạn.

Tuy nhiên, bản thân trang web Agoda cũng không thể tránh khỏi trách nhiệm. Ở đây, cần làm rõ là việc cung cấp thông tin của khách hàng cho Agoda là một giao dịch dân sự giữa khách hàng và Agoda theo các điều khoản do hai bên thỏa thuận.

Theo đó, nếu có hành vi vi phạm (mà cụ thể là việc thực hiện không đúng quy trình bảo mật dẫn đến thông tin tài khoản của khách hàng bị tiết lộ, tài khoản VISA bị sử dụng bất hợp pháp) thì Agoda sẽ phải có trách nhiệm bồi thường thiệt hại theo quy định pháp luật (và trong trường hợp này thì khách hàng có thể yêu cầu bồi thường thiệt hại theo Bộ luật dân sự 2015 của Việt Nam).

Ở đây, cần làm rõ là “hành vi vi phạm” được hiểu là hành vi vi phạm của Agoda và cả của các đối tác của Agoda; bởi lẽ trong “Chính sách bảo mật” của mình thì Agoda đã cam kết rằng tất cả các đối tác của họ (nếu nhận được thông tin của khách hàng từ Agoda gửi đến) sẽ phải đảm bảo an toàn và bảo mật cho các thẻ này.

Vì thế nếu các đối tác của Agoda (ở đây là Booking cũng như là các đối tác khác của Booking) thực hiện không đúng các quy định về bảo đảm an toàn, bảo mật thông tin dẫn đến khách hàng bị thiệt hại (tài khoản bị sử dụng bất hợp pháp) thì đó cũng là lỗi của Agoda (vì Agoda đã cam kết/đảm bảo cho đối tác của mình).

Và do đó, chính Agoda cũng phải có trách nhiệm liên đới trong việc bồi thường cho khách hàng chứ không thể đẩy hết cho khách sạn.

Thế nhưng, một lần nữa, vấn đề lại có thể rơi vào ngõ cụt, bởi lẽ Agoda là pháp nhân nước ngoài, do đó rất khó để có thể khởi kiện, yêu cầu Agoda bồi thường khi có thiệt hại xảy ra.

Tóm lại, trong trường hợp này, có thể thấy là quyền lợi của khách hàng (người đặt phòng) đã bị xâm phạm do một hành vi vi phạm pháp luật Việt Nam – gửi thông tin bí mật của khách hàng cho người khác. Thế nhưng rất khó để có thể bảo vệ quyền lợi chính đáng của mình.

Chính vì thế, người dùng tốt nhất nên tự bảo vệ mình bằng cách chỉ cung cấp thông tin tài khoản của mình cho các trang web uy tín, có chính sách bảo mật rõ ràng và nên đọc kỹ các quy định, điều kiện sử dụng trước khi chấp nhận.

Trọng Hiền