Thực tế ghi nhận không ít những trường hợp việc mua bán, để lộ thông tin của khách hàng. Vậy thông tin khách hàng gồm những gì? Nguyên nhân vì sao chúng bị lộ? Doanh nghiệp làm lộ thì bị xử phạt thế nào?
(1) Thông tin khách hàng bao gồm những gì?
Thông tin khách hàng hay còn gọi là dữ liệu khách hàng (customer data) là tập hợp các dữ liệu liên quan đến cá nhân hoặc tổ chức sử dụng sản phẩm, dịch vụ của doanh nghiệp. Dữ liệu này bao gồm thông tin cá nhân, giao dịch, tương tác, hành vi và thiết bị. Việc thu thập thông tin khách hàng mang lại nhiều lợi ích cho doanh nghiệp như hiểu rõ nhu cầu khách hàng, cung cấp dịch vụ phù hợp, tăng cường hiệu quả marketing, phân tích thị trường và phát triển sản phẩm.
Thông thường, thông tin của khách hàng được các doanh nghiệp thu thập trong hệ thống sẽ gồm những yếu tố sau đây:
- Họ tên
- Tuổi (hoặc ngày tháng năm sinh)
- Giới tính
- Số điện thoại/Email
- Nghề nghiệp
- Tình trạng hôn nhân
- Thu nhập/ khả năng tài chính
- Số thẻ tín dụng (đối với các ngân hàng, dịch vụ tài chính, dịch vụ mua sắm trực tuyến)
Trong số những yếu tố vừa liệt kê trên, “Họ tên” và “Số điện thoại” là hai thông tin cơ bản nhất thường được các bên thu thập.
Như vậy, thông tin khách hàng là những thông tin cá nhân của người tiêu dùng, được tổng hợp và lưu trữ bởi các doanh nghiệp cung cấp sản phẩm, dịch vụ để phục vụ mục đích phân tích thị trường và nâng cao chất lượng sản phẩm.
(2) Nguyên nhân làm rò rỉ thông tin khách hàng là gì?
Rò rỉ thông tin khách hàng gần đây trở thành một trong vấn đề nhức nhối, gây ảnh hưởng nghiêm trọng đến cả doanh nghiệp và khách hàng. Việc rò rỉ, để lộ thông tin này thường xuất phát từ những nguyên nhân như sau:
- Hệ thống an ninh mạng yếu kém là nguyên nhân hàng đầu. Doanh nghiệp sử dụng phần mềm bảo mật lỗi thời, không cập nhật vá lỗi thường xuyên, hệ thống mạng không được phân chia an ninh, nhân viên IT thiếu kiến thức về bảo mật… tạo điều kiện cho những đối tượng xấu tấn công và đánh cắp dữ liệu.
- Lỗ hổng phần mềm cũng là một nguy cơ tiềm ẩn. Doanh nghiệp sử dụng phần mềm có lỗ hổng hoặc không cập nhật bản vá kịp thời khiến đối tượng xấu dễ dàng xâm nhập và lấy cắp dữ liệu.
- Yếu tố con người đóng vai trò quan trọng. Nhân viên vô tình hoặc cố ý tiết lộ thông tin, bị lừa đảo cung cấp dữ liệu cho kẻ gian, hoặc do thiếu kiến thức về bảo mật dẫn đến rò rỉ.
- Tấn công mạng ngày càng tinh vi khiến doanh nghiệp khó chống đỡ cũng là một trong những nguyên nhân thường thấy. Những đối tượng xâm nhập sử dụng các kỹ thuật tấn công hiện đại để xâm nhập hệ thống và đánh cắp dữ liệu. Ngoài ra, việc sử dụng dịch vụ từ nhà cung cấp không uy tín hay thiếu quy trình xử lý sự cố rò rỉ dữ liệu cũng góp phần làm rò rỉ thông tin.
(3) Làm rò rỉ thông tin khách hàng bị xử phạt như thế nào?
Hiện nay có không ít những doanh nghiệp thực hiện việc mời chào dịch vụ qua tin nhắn SMS hay gọi điện thoại gây nhiều phiền toái đến người tiêu dùng. Hay ở mức độ nghiêm trọng hơn, những thông tin cá nhân nêu trên của người tiêu dùng thậm chí còn bị rao bán công khai trong thời gian dài, với số lượng lớn trên không gian mạng.
Căn cứ theo Điều 24 Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (đang được lấy ý kiến và chờ Chính phủ ban hành) có quy định về mức phạt đối với hành vi vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân như sau:
- Phạt tiền từ 80 đến 100 triệu đồng với các trường hợp:
+ Không áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
+ Chuyển giao dữ liệu cá nhân không thuộc các trường hợp được pháp luật quy định cho phép chuyển giao hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân.
+ Mua, bán trái phép dữ liệu cá nhân.
+ Thiết lập các hệ thống phần mềm, biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân.
- Đối với hành vi vi phạm từ lần 2 trở lên đối với các quy định như đã nêu trên thì bị áp dụng mức phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.
- Hình thức xử phạt bổ sung:
+ Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 đến 03 tháng đối với tổ chức, cá nhân vi phạm.
+ Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm như: Chuyển giao dữ liệu cá nhân trái phép, Mua, bán trái phép dữ liệu cá nhân, thiết lập các hệ thống phần mềm, biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân.
Ngoài mức phạt và các hình thức phạt bổ sung ra, đối tượng vi phạm còn phải thực hiện các biện pháp khắc phục hậu quả như sau:
- Buộc ngừng xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm.
- Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm b, c, d Khoản 1 Điều 24.
- Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm b, c, d Khoản 1 Điều 24.
- Thực hiện việc công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại điểm b, c, d khoản 1 Điều 24.
Tổng kết lại, thông tin khách hàng là những thông tin của người tiêu dùng như: tên, tuổi, số điện thoại,... Những thông tin này được tổng hợp và lưu trữ bởi các doanh nghiệp cung cấp sản phẩm, dịch vụ để phục vụ mục đích phân tích thị trường và nâng cao chất lượng sản phẩm. Tuy nhiên vì nhiều nguyên khách quan lẫn chủ quan mà các thông tin này bị lộ ra ngoài. Những doanh nghiệp có hành vi làm lộ hay mua bán thông tin khách hàng sẽ bị xử phạt tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam khi vi phạm từ lần hai trở lên. Đồng thời, còn có thể bị xử phạt bổ sung là tước giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 đến 03 tháng.
