Nước cờ của Alipay tại Việt Nam và lo ngại thông tin cá nhân người dùng Việt sẽ bị “bán” cho nước ngoài ?
Quyền sở hữu thông tin của người dùng đang được xem là lỗ hổng mà pháp luật Việt Nam chưa quy định cụ thể. Nó gây nên những rủi ro khi thông tin tài chính, hồ sơ sức khỏe…của người dùng không được bảo mật mà có thể bị mua đi, bán lại, theo ông Nguyễn Quang Đồng, chuyên gia Viện Chính sách và Phát triển Truyền thông (IPS) - Hội Truyền thông số Việt Nam.
Chiến lược của Alipay
Ngày 10/11 vừa qua, CTCP Thanh toán Quốc gia Việt Nam (NAPAS) đã ký thỏa thuận với công ty quản lý dịch vụ thanh toán của Trung Quốc (Alipay, thuộc Alibaba). Theo đó, các đơn vị bán hàng sẽ được cung cấp thêm một phương thức thanh toán mới để đáp ứng nhu cầu của khách Trung Quốc thực hiện chi tiêu, mua sắp bằng ứng dụng thanh toán Alipay.
Dù Alipay chưa được cấp phép hoạt động tại Việt Nam như một trung gian thanh toán nhưng hành động này được xem là bước chân đầu tiên thâm nhập thị trường thanh toán trực tuyến Việt.
Báo chí gần đây cũng đã thông tin về việc một đơn vị tư vấn trong nước đang giúp cho Ant Finacial (công ty mẹ của Alipay) thúc đẩy thương vụ tìm hiểu một fintech đình đám trong nước. Dù chưa biết danh tính của công ty này nhưng tham vọng của Alipay tại Việt Nam là có cơ sở.
Việc một công ty quy mô lớn như Alipay (hay bất cứ công ty nước ngoài nào) gia nhập vào Việt Nam có thể xem là một tin tốt thúc đẩy thị trường thanh toán điện tử trong nước nhưng đồng thời cũng đặt ra về vấn đề an ninh mạng, cụ thể là rủi ro về thông tin người dùng.
Lỗ hổng về quyền sở hữu thông tin
Dự thảo Luật An ninh mạng Việt Nam do Bộ Công an chủ trì soạn thảo được trình Quốc hội cho ý kiến tại kỳ họp thứ 4 và thông qua tại kỳ họp thứ 5. Tuy nhiên, cũng như các quy định trong luật An toàn thông tin mạng, các quy định của dự thảo vẫn chưa thể đảm bảo lợi ích hợp pháp của tổ chức, công dân khi tham gia hoạt động trên không gian mạng.
Ông Nguyễn Quang Đồng, chuyên gia chính sách Viện IPS nói với Trí Thức Trẻ rằng hiện có một khoảng trống rất lớn trong dự thảo luật, chưa bảo vệ, bảo đảm an toàn cho người dùng Việt Nam.
Theo ông, đối với các quy định pháp lý liên quan đến an toàn thông tin trên môi trường mạng, có hai vấn đề phải bổ sung, tập trung vào nhóm quy định về an toàn thông tin cá nhân.
Thứ nhất là an toàn thông tin, tài khoán cá nhân người dùng trên mạng, bao gồm: thư tín, tín dụng, hồ sơ sức khỏe ... Thứ hai là tin giả và những phát ngôn thù hận. Trong đó, ông Đồng nhấn mạnh vấn đề đầu tiên.
Đối với an toàn thông tin cá nhân, ông cho biết cần phải xuất phát từ nguyên tắc “mặc định quyền sở hữu thông tin cá nhân là thuộc về người dùng chứ không phải là của doanh nghiệp”. Do đó, ngoài việc quy định cần có sự đồng ý của người dùng trước khi một bên được thu thập thông tin và sử dụng thông tin đó, cần cụ thể hóa thêm quy định về bảo toàn quyền thông tin khi một doanh nghiệp thực hiện chuyển nhượng, mua bán sáp nhập.
Ví dụ như khi JoomlArt – một công ty trong lĩnh vực kinh doanh web mua lại công ty Gavick.com thì các quy định pháp lý tại châu Âu yêu cầu rằng công ty này chỉ được tiếp nhận các giải pháp kỹ thuật của Gavick. Đối với phần dữ liệu cá nhân người dùng cung cấp cho Gavick thì JoomlArt cần phải tiến hành liên hệ lại với người dùng và chỉ được sử dụng khi những người này cho phép.
Bởi lẽ, luật pháp châu Âu lập luận trên nguyên tắc: người dùng là chủ sở hữu thông tin cá nhân, quyền sở hữu đó luôn thuộc về họ. Khi những người này cung cấp thông tin cho doanh nghiệp, doanh nghiệp được phép sử dụng. Tuy nhiên, khi doanh nghiệp này mua bán, sáp nhập, phần thông tin người dùng bị loại trừ khỏi phần chuyển nhượng.
Hiện tại, luật Việt Nam vẫn đang bỏ trống phần này. Theo đó, Việt Nam mới chỉ quy định chung về việc doanh nghiệp không được cung cấp thông tin người dùng cho một bên thứ ba, nằm trong Luật An toàn thông tin mạng.
“Trước hết luật cần xác lập được nguyên tắc như nêu trên, tôi nhấn mạnh lại, thông tin cá nhân luôn thuộc quyền sở hữu của người dùng. Tiếp đó, nguyên tắc đó cần cụ thể hóa, chi tiết trong các văn bản luật chuyên ngành. Bởi ví dụ, nếu không chuyển tiếp cho bên thứ 3 nhưng việc doanh nghiệp mua bán, sáp nhập hoặc giải thể vậy thông tin người dùng sẽ được bảo quản như thế nào? Nó có bị bán lại, sang nhượng bất chấp ý muốn của người dùng không?”, ông Đồng đặt câu hỏi. .
Do vậy, ông Đồng cho rằng những nhà làm luật cần bổ sung các quy định cụ thể nhằm loại trừ nguy cơ các doanh nghiệp nước ngoài mua lại doanh nghiệp trong nước và “mua” luôn dữ liệu người dùng Việt Nam. Ví dụ như thương vụ có thể có của Alipay, cũng như nhiều thương vụ khác có thể diễn ra trong thời gian tới.
“Nếu Alipay hay bất kỳ doanh nghiệp nước ngoài nào khác mua lại một công ty thanh toán điện tử Việt Nam thì họ cần phải tiến hành thu thập lại từ đầu thông tin của người dùng”, ông Đồng nói.
Bên cạnh đó, việc thắt chặt an ninh thông tin cho người dùng theo ông Đồng cũng mang hàm ý: nếu doanh nghiệp càng tuân thủ các nguyên tắc bảo mật người dùng thì sẽ dễ dàng hơn khi phát triển trên phạm vi toàn cầu. Bởi lẽ, điều này đã được áp dụng ở các nước trên thế gới với luật định rất chặt chẽ, khắt khe, đặc biệt khi nó liên quan đến hồ sơ tài chính, hồ sơ sức khỏe cá nhân.