Tóm tắt:
Trong bối cảnh các hành vi vi phạm quyền tác giả trên Internet ngày càng phổ biến, doanh nghiệp cung cấp dịch vụ trung gian có vai trò quan trọng để ngăn chặn và phòng ngừa. Xuất phát từ quá trình và hình thức hoạt động, doanh nghiệp cung cấp dịch vụ trung gian có thể thu thập thông tin của người dùng và cung cấp theo yêu cầu của cơ quan nhà nước có thẩm quyền, từ đây có thể xác định chủ thể trực tiếp thực hiện hành vi xâm phạm. Tuy nhiên, việc thu thập thông tin người dùng trên không gian mạng hiện có một số bất cập, cần được xem xét và kiến nghị hoàn thiện quy định pháp luật. Bài viết này phân tích một số bất cập trong trách nhiệm thu thập thông tin người dùng của doanh nghiệp cung cấp dịch vụ trung gian đối với hành vi xâm phạm quyền tác giả, đồng thời đề xuất giải pháp hoàn thiện pháp luật về trách nhiệm thu thập thông tin người dùng của doanh nghiệp cung cấp dịch vụ trung gian.
Từ khóa: sở hữu trí tuệ, dịch vụ trung gian, quyền tác giả, hành vi xâm phạm, trách nhiệm pháp lý.
Theo khoản 1 Điều 110 Nghị định số 17/2023/NĐ-CP của Chính phủ quy định chi tiết một số điều và biện pháp quy định chi tiết một số điều và biện pháp thi hành Luật Sở hữu trí tuệ và quyền tác giả, quyền liên quan, “doanh nghiệp cung cấp dịch vụ trung gian là doanh nghiệp trong nước và ngoài nước cung cấp một, một số hoặc toàn bộ dịch vụ sau: dịch vụ chỉ truyền dẫn, dịch vụ lưu trữ đệm, dịch vụ lưu trữ nội dung thông tin số theo cầu”. Với vai trò cung cấp dịch vụ trung gian, các doanh nghiệp có thể yêu cầu người dùng cung cấp thông tin đầy đủ vì nhiều lý do khác nhau, trong đó có việc xác thực danh tính của người dùng, đảm bảo rằng chỉ những cá nhân được phép truy cập vào dịch vụ mới được sử dụng nó. Như vậy, xuất phát từ hình thức hoạt động, các doanh nghiệp cung cấp dịch vụ trung gian có vai trò rất lớn và là đầu mối thực hiện hiệu quả trong ngăn chặn những hành vi xâm phạm quyền tác giả trên Internet[1]. Nếu có hành vi xâm phạm quyền tác giả diễn ra trên Internet, các doanh nghiệp này dựa vào cơ sở dữ liệu của mình để cung cấp cho cơ quan chức năng có thẩm quyền, từ đó giúp xác định chủ thể thực hiện hành vi xâm phạm. Do đó, pháp luật Sở hữu trí tuệ quy định việc thu thập và cung cấp thông tin người dùng liên quan đến hành vi xâm phạm quyền tác giả là một nội dung của trách nhiệm phòng ngừa, ngăn chặn hành vi xâm phạm quyền tác giả. Cụ thể, doanh nghiệp cung cấp dịch vụ trung gian cung cấp thông tin người dùng khi nhận được yêu cầu bằng văn bản từ cơ quan quản lý nhà nước có thẩm quyền để phục vụ xác minh, xử lý hành vi vi phạm pháp luật về quyền tác giả, quyền liên quan[2].
Về thông tin người dùng mà doanh nghiệp cung cấp dịch vụ trung gian có thể thu nhập, đầu tiên đó là các dữ liệu cá nhân của khách hàng được doanh nghiệp nắm giữ như họ tên, địa chỉ, số điện thoại, email, căn cước công dân hoặc hộ chiếu, tài khoản ngân hàng và các thông tin khác liên quan đến việc sử dụng dịch vụ. Đây là thông tin định danh người dùng trên môi trường Internet. Theo Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân, “dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”[3]. “Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong đó, dữ liệu cá nhân cơ bản gồm: họ tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh, ngày, tháng, năm chết hoặc mất tích; giới tính; quốc tịch; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu,…”[4]. Trên thực tế, trước khi sử dụng dịch vụ của doanh nghiệp cung cấp dịch vụ trung gian, khách hàng buộc phải cung cấp các thông tin dữ liệu cá nhân thông qua giao kết hợp đồng hay các bước khai báo thông tin để được phép sử dụng dịch vụ. Một ví dụ là Netflix, Spotify - những ứng dụng thuộc dịch vụ lưu trữ nội dung thông tin số theo yêu cầu bắt buộc người dùng cung cấp thông tin đăng ký gồm họ tên, email, ngày sinh, thông tin thanh toán. Điều này giúp Netflix, Spotify đảm bảo tính bảo mật cho tài khoản của người dùng và tránh các hoạt động gian lận. Ngoài ra, doanh nghiệp cung cấp dịch vụ trung gian còn có thể thu thập các thông tin về dịch vụ khách hàng đã sử dụng, như: thời gian địa điểm; lưu lượng dữ liệu đã sử dụng; nội dung thông tin số mà khách hàng đã lưu trữ trên hệ thống của doanh nghiệp như video, hình ảnh và dữ liệu khác…
Về chủ thể có quyền yêu cầu cung cấp thông tin người dùng liên quan đến hành vi xâm phạm quyền tác giả, chỉ có cơ quan nhà nước có thẩm quyền mới có thể yêu cầu các doanh nghiệp cung cấp dịch vụ trung gian cung cấp thông tin khách hàng nếu có dấu hiệu hành vi xâm phạm quyền tác giả. Cơ quan nhà nước có thẩm quyền được trao quyền, trách nhiệm giám sát và điều phối hoạt động của các doanh nghiệp cung cấp dịch vụ trung gian. Việc yêu cầu thông tin khách hàng là một phần trong quyền và trách nhiệm này để đảm bảo tuân thủ pháp luật và bảo vệ quyền tác giả. Quy định chỉ có cơ quan nhà nước có thẩm quyền có quyền yêu cầu cũng nhằm bảo vệ quyền riêng tư, bảo vệ thông tin cá nhân của người dùng, ngăn chặn các hoạt động lừa đảo, trộm cắp danh tính hoặc tài khoản của người dùng, đồng thời đảm bảo khả năng quản lý của cơ quan nhà nước.
Vấn đề đầu tiên, nguồn dữ liệu thông tin người dùng của doanh nghiệp cung cấp dịch vụ trung gian liệu có đáng tin cậy để sử dụng? Nguyên nhân của bất cập này xuất phát từ đa số nền tảng công nghệ số hiện nay thu thập thông tin người dùng khá hời hợt. Có thể kể đến như các trang thông tin mạng xã hội, các nền tảng giải trí, phát trực tuyến (streaming), nền tảng video trên Internet… không đòi hỏi người dùng cung cấp thông tin định danh xác thực. Đa số họ có thể mở tài khoản chỉ cần với một địa chỉ thư điện tử (hoặc các tài khoản khác tương tự). Một ví dụ, với mạng xã hội như Facebook, TikTok, người dùng có thể dùng bất kỳ địa chỉ email để đăng ký thành viên. Do vậy, cũng dễ hiểu tại sao các nền tảng này có số lượng người dùng rất lớn, trong đó tài khoản “ảo” chiếm con số không hề nhỏ. Trong khi đó, số lượng doanh nghiệp cung cấp dịch vụ trung gian đặc thù yêu cầu người dùng phải cung cấp thông tin đầy đủ, chính xác mới được phép sử dụng dịch vụ vẫn còn ít ỏi. Họ chủ yếu là doanh nghiệp cung cấp dịch vụ truy nhập Internet, dịch vụ kết nối Internet, các doanh nghiệp viễn thông và khách hàng phải trả phí để sử dụng dịch vụ. Với trường hợp này, thông tin khách hàng được thu thập dễ dàng, rõ ràng, có tính xác thực cao. Tuy nhiên, từ điều kiện và cách thức đăng ký khác nhau, nguồn dữ liệu về thông tin người dùng mà doanh nghiệp cung cấp dịch vụ trung gian có được trở nên khó đáng tin cậy và không phản ánh chính xác về người dùng lẫn hành vi của họ. Do đó, khi xảy ra hành vi xâm phạm quyền tác giả trên Internet, dù doanh nghiệp cung cấp dịch vụ trung gian thực hiện đúng trách nhiệm cung cấp thông tin theo yêu cầu của cơ quan có thẩm quyền, nhưng thông tin đó vẫn không đủ để xác định chủ thể thực hiện hành vi xâm phạm.
Vấn đề thứ hai, pháp luật sở hữu trí tuệ trao quyền cho doanh nghiệp cung cấp dịch vụ trung gian thu thập, cung cấp thông tin người dùng để phục vụ xác minh, xử lý hành vi vi phạm quyền tác giả là một vấn đề nhạy cảm, bởi lẽ liên quan đến việc xâm phạm quyền riêng tư và bảo vệ dữ liệu cá nhân của người dùng. Do đó, thu thập dữ liệu cá nhân từ người dùng bởi các doanh nghiệp cung cấp dịch vụ trung gian làm suy yếu quyền riêng tư và tự do cá nhân, vì thông tin cá nhân dễ được sử dụng một cách không đúng đắn hoặc chia sẻ với bên thứ ba mà người dùng không biết hoặc không đồng ý. Đã xảy ra trường hợp doanh nghiệp cung cấp dịch vụ trung gian phải chịu trách nhiệm pháp lý liên quan đến việc thu thập thông tin người dùng. Tháng 2/2012, Facebook bị kiện liên quan đến cáo buộc theo dõi hoạt động trực tuyến của người dùng khi họ truy cập các trang website khác chứa nút "thích" của Facebook. Sau đó, Facebook được cho là đã tạo thành các hồ sơ duyệt web của người dùng và bán chúng cho các nhà quảng cáo[5].
Bên cạnh đó, các doanh nghiệp cung cấp dịch vụ trung gian có thể kiểm soát, xử lý dữ liệu cá nhân của người dùng. Điều này tạo ra một mối lo ngại về sự thiếu kiểm soát và trách nhiệm pháp lý trong việc quản lý, bảo vệ dữ liệu cá nhân. Nếu không có các quy định pháp luật và cơ chế kiểm tra, có thể không có đảm bảo rằng dữ liệu cá nhân được xử lý và bảo vệ một cách đúng đắn. Theo hệ thống pháp luật Việt Nam, các quy định về bảo vệ dữ liệu cá nhân có thể được chia thành 3 nhóm. Thứ nhất là hệ thống các quy phạm pháp luật điều chỉnh chung vấn đề về quyền riêng tư như Bộ luật Dân sự năm 2015 (Điều 38) vốn được thể chế hóa từ Điều 21 Hiến pháp năm 2013: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân, bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình; Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”. Một số chế tài cũng được quy định chi tiết trong Bộ luật Hình sự như Điều 159: Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác hay như Điều 291: Tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng. Thứ hai là các văn bản pháp đảm bảo môi trường an ninh mạng có liên quan đến quyền riêng tư và dữ liệu cá nhân như Luật An ninh mạng năm 2018 và các văn bản hướng dẫn liên quan như Nghị định số 53/2022/NĐ-CP của Chính phủ về quy định chi tiết một số điều của Luật An ninh mạng. Thứ ba là các văn bản quy định trực tiếp trách nhiệm của các chủ thể thu thập, xử lý và sử dụng dữ liệu cá nhân như Luật An toàn thông tin mạng năm 2015 và các văn bản hướng dẫn hoạt động xử lý dữ liệu, dữ liệu cá nhân trong một số lĩnh vực[6]. Ngoài ra phải kể đến Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
Theo khoản 1 Nghị định số 13/2023/NĐ-CP, Điều 2 Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Việc phân loại, bóc tách như vật nhằm tạo ra một yêu cầu khắc khe hơn trong việc thu thập và xử lý dữ liệu. Về nguyên tắc, tất cả hoạt động trong quy trình xử lý dữ liệu cá nhân cần có sự đồng ý của chủ thể dữ liệu[7]. Riêng dữ liệu cá nhân nhạy cảm, cần phải thông báo cho chủ thể dữ liệu rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm[8]. Khoản 13 Điều 2 Điều 2 Nghị định số 13/2023/NĐ-CP cũng xác định xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác. Tuy nhiên, vấn đề phạm vi trách nhiệm của bên xử lý dữ liệu sẽ thay đổi như thế nào nếu việc xử lý dữ liệu cá nhân tự động vẫn đang còn bỏ ngõ trong Nghị định số 13/2023/NĐ-CP. Đây là một bất cập liên quan vấn đề trao quyền cho các doanh nghiệp cung cấp dịch vụ trung gian để thu thập dữ liệu cá nhân từ người dùng bởi lẽ sẽ có doanh nghiệp lợi dụng việc xử lý dữ liệu cá nhân tự động không thông báo cho chủ thể dữ liệu để nhằm mục đích trục lợi bất hợp pháp.
Một là, việc người dùng cung cấp thông tin như thế nào cho doanh nghiệp cung cấp dịch vụ trung gian đã được quy định tại Nghị định số 13/2023/NĐ-CP, thể hiện bước tiến bộ trong việc liệt kê các trường hợp cụ thể cho cả khối “dữ liệu cơ bản”[9] và “dữ liệu nhạy cảm”[10]. Theo nghị định, định hình dữ liệu cá nhân cơ bản là liệt kê hầu hết các trường dữ liệu có thể gắn liền với một con người cụ thể, hoặc giúp xác định một con người cụ thể, sau đó loại trừ một số trường dữ liệu được coi là nhạy cảm. Bên cạnh đó, khái niệm của “dữ liệu cá nhân cơ bản” còn là các thông tin khác gắn liền với một con người cụ thể, hoặc giúp xác định một con người cụ thể[11]. Kế thừa điểm mạnh này của Nghị định số 13/2023/NĐ-CP, tác giả đề nghị, pháp luật sở hữu trí tuệ cần quy định người dùng chỉ cung cấp thông tin “dữ liệu cơ bản” như tên, địa chỉ email và số điện thoại cho doanh nghiệp cung cấp dịch vụ trung gian, nhằm đăng ký và xác thực tài khoản. Hình thức của việc đăng ký này cần thông qua các bước cung cấp thông tin cá nhân, như: họ tên, địa chỉ email, số điện thoại và địa chỉ để đăng ký tài khoản trên nền tảng dịch vụ trung gian; thông qua thông tin liên lạc khi người dùng cung cấp địa chỉ nhà, số điện thoại di động, địa chỉ email hoặc tài khoản mạng xã hội để doanh nghiệp liên lạc và gửi thông báo quan trọng. Như vậy, người dùng cần tránh tiết lộ thông tin nhạy cảm, qua đó vừa bảo vệ dữ liệu cá nhân của người dùng, vừa đảm bảo tính tiện lợi và minh bạch trong quá trình sử dụng dịch vụ trung gian. Về phía doanh nghiệp cung cấp dịch vụ trung gian, họ cũng dễ dàng thu thập, xử lý dữ liệu khi có sự đồng ý của chủ thể dữ liệu, đồng thời hạn chế tiếp nhận các “dữ liệu nhạy cảm” không cần thiết và thêm áp lực trách nhiệm.
Hai là, trao quyền cho các doanh nghiệp cung cấp dịch vụ trung gian để thu thập dữ liệu cá nhân từ người dùng lại trở thành một vấn đề hết sức nhạy cảm, bởi vấn đề bảo vệ dữ liệu cá nhân đang bị xâm phạm nghiêm trọng. Để giải quyết bất cập này, tác giả cho rằng pháp luật sở hữu trí tuệ cần có quy định xác định rõ ràng các hành vi được xem là xử lý dữ liệu cá nhân khách hàng của doanh nghiệp cung cấp dịch vụ trung gian. Hiện nay, Nghị định số 13/2023/NĐ-CP còn bỏ ngỏ phạm vi trách nhiệm của bên xử lý dữ liệu, cụ thể ở đây là doanh nghiệp cung cấp dịch vụ trung gian. Về vấn đề này, quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) có hướng giải quyết được đánh giá là phù hợp với thực tiễn. Theo đó, không phân biệt việc xử lý dữ liệu cá nhân do hệ thống tự động xử lý hay không, mà mọi hành vi xử lý dữ liệu cá nhân đều phải tuân thủ toàn bộ các yêu cầu về bảo vệ dữ liệu [12]. Dựa trên cơ sở đó, theo tác giả, pháp luật sở hữu trí tuệ cần có quy định cụ thể về trách nhiệm, nghĩa vụ bảo vệ dữ liệu của doanh nghiệp cung cấp dịch vụ trung gian phát sinh ngay từ giai đoạn xây dựng hệ thống lưu trữ, xử lý dữ liệu và giai đoạn thu thập. Hướng đi này sẽ đặt ra các yêu cầu mang tính chủ động hơn cho doanh nghiệp cung cấp dịch vụ trung gian, đó là cần phải có phương án bảo vệ dữ liệu cá nhân ngay từ khi hoạt động, đồng thời hạn chế rủi ro khi doanh nghiệp cung cấp dịch vụ trung gian làm lộ, hay thực hiện trục lợi từ khối dữ liệu cá nhân mà họ thu thập được.
Bên cạnh đó, tác giả kiến nghị cần có quy định nếu doanh nghiệp không tuân thủ các quy định bảo vệ dữ liệu cá nhân, hoặc không bảo mật thông tin cá nhân một cách an toàn, sẽ phải chịu trách nhiệm pháp lý và bồi thường thiệt hại cho người dùng bị ảnh hưởng. Các hình thức bồi thường bao gồm việc trả lại thiệt hại tài chính, khôi phục dữ liệu hoặc đền bù hậu quả tiêu cực mà người dùng phải chịu. Trong một số trường hợp xảy ra hậu quả nghiêm trọng, cần có quy định rút giấy phép hoạt động, hoặc bị cấm hoạt động của doanh nghiệp cung cấp dịch vụ trung gian. Doanh nghiệp cũng cần bị buộc phải công bố công khai vi phạm bảo mật dữ liệu và không đảm bảo an toàn thông tin cá nhân của người dùng. Việc không đảm bảo an toàn dữ liệu người dùng cũng có thể bị coi là vi phạm hình sự và doanh nghiệp phải chịu trách nhiệm hình sự. Điều này có thể dẫn đến khởi tố, truy tố và xử lý tại tòa án. Các quy định trên vừa tạo ra cơ chế bảo vệ pháp lý riêng biệt cho người dùng, vừa tạo ra trách nhiệm phải đảm bảo bảo mật dữ liệu cá nhân đối với doanh nghiệp cung cấp dịch vụ trung gian.
TÀI LIỆU TRÍCH DẪN:
TÀI LIỆU THAM KHẢO:
Shortcomings in the responsibility of intermediary service providers
for collecting information about perpetrators of copyright infringement
Vo Anh Tuan
University of Economics Ho Chi Minh City
ABSTRACT:
In the context of increasing copyright infringement on the Internet, intermediary service providers play a key role in copyright infringement prevention. Intermediary service providers can use their operational processes to collect information upon request by government agencies to identify the direct perpetrators of infringement. However, the collection of user information on the Internet in Vietnam has certain shortcomings that need to be resolved through the improvement of regulations. This paper analyzes shortcomings in the responsibility of intermediary service providers for collecting information about perpetrators of copyright infringement. Based on the paper’s findings, some solutions are proposed to improve related regulations.
Keywords: intellectual property, intermediary services, copyright, infringement, liability.
[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 21 tháng 10 năm 2023]
(CHG) Ngày 14/11, tại Đà Nẵng, Cục kỹ thuật an toàn và Môi trường công nghiệp (Bộ Công Thương) phối hợp với Hiệp hội Công nghiệp môi trường Việt Nam tổ chức Hội nghị tập huấn “Nâng cao năng lực bảo vệ môi trường cho các cơ quan, doanh nghiệp khu vực miền Trung”.
Xem chi tiết(CHG) Ngày 14/11, Sở Công Thương phối hợp với Hiệp hội Doanh nghiệp dịch vụ Logistics Việt Nam tổ chức Diễn đàn “Khu thương mại tự do Đà Nẵng - Động lực mới phát triển ngành logistics thành phố Đà Nẵng”.
Xem chi tiết(CHG) Bộ Chỉ huy Bộ đội Biên phòng tỉnh Long An đã có tân Bí thư Đảng ủy, Chính ủy Bộ Chỉ huy BĐBP tỉnh.
Xem chi tiếtBài báo nghiên cứu "Xu hướng tiêu dùng xanh trong phát triển bền vững tại Việt Nam" do TS. Nguyễn Thị Hạnh (Khoa Kinh tế và Quản trị Kinh doanh, Trường Đại học Hải Phòng) thực hiện.
Xem chi tiếtĐề tài Tự chủ đại học và những vấn đề thực tiễn triển khai tại các trường đại học công lập trực thuộc Bộ Công Thương do TS. Nguyễn Đồng Anh Xuân (Trường Đại học Công nghiệp Hà Nội) thực hiện.
Xem chi tiết