Hoạt động mua hàng hàng hóa trên sàn thương mại điện tử ngày một tăng cao, dữ liệu cá nhân trực tuyến là miếng mồi ngon cho tội phạm mạng thực hiện lừa đảo. Qua thống kê trong giai đoạn cuối năm thời điểm cận tết 2024 và 3 tháng đầu năm 2025, lượng khách hàng mua hàng trực tuyến có đến 74% người dùng đã bị lộ lọt thông tin.

            Sự phát triển mạnh mẽ của thương mại điện tử, chuyển đổi số đã kéo theo nhiều rủi ro liên quan đến an toàn dữ liệu cá nhân. Các chiêu trò lừa đảo ngày càng thay đổi, càng khó lường và khó xử lý. Cùng XTLaw tìm hiểu những nguyên nhân, trách nhiệm hành lang pháp lý và giải pháp đề phòng tội phạm lừa đảo mua bán dữ liệu cá nhân qua các sàn thương mại điện tử.

1.             Dữ liệu cá nhân bị lạm dụng: Lỗ hổng từ hệ thống đến con người

Sự bùng nổ của thương mại điện tử kéo theo khối lượng lớn dữ liệu cá nhân được thu thập, xử lý và lưu trữ bởi các nền tảng. Tuy nhiên, hệ thống pháp lý và kỹ thuật hiện tại chưa đủ mạnh để kiểm soát toàn diện hoạt động này, khiến thông tin người dùng trở thành mục tiêu dễ dàng cho các hành vi chiếm đoạt, mua bán trái phép. Nhiều trường hợp rò rỉ dữ liệu bắt nguồn từ chính nhân viên nội bộ, từ đối tác thứ ba thiếu bảo mật, hoặc từ lỗ hổng trong quy trình kiểm soát quyền truy cập.

Thông tin cá nhân bị khai thác thường bao gồm: họ tên, số điện thoại, địa chỉ, sản phẩm đã mua, phương thức thanh toán… Với những dữ liệu tưởng chừng đơn giản ấy, các đối tượng có thể dựng lên những kịch bản lừa đảo cực kỳ tinh vi. Điểm nguy hiểm nằm ở chỗ: thông tin quá chính xác khiến người bị hại không kịp nghi ngờ.

Một ví dụ cụ thể: chị H. (trú tại quận Cầu Giấy, Hà Nội) từng đặt mua sản phẩm qua một sàn thương mại điện tử lớn. Chỉ hai ngày sau, một người tự xưng là nhân viên “chăm sóc khách hàng” của sàn gọi đến, thông báo đơn hàng của chị gặp lỗi thanh toán, yêu cầu chị cung cấp lại số thẻ và mã OTP để “xác minh lại giao dịch”. Tin tưởng do đối tượng cung cấp chính xác tên sản phẩm, địa chỉ và thời gian đặt hàng, chị H. làm theo hướng dẫn và kết quả là toàn bộ số dư tài khoản ngân hàng bị chiếm đoạt trong vòng vài phút.

2.             Hành vi vi phạm pháp luật nghiêm trọng

Từ góc độ pháp luật, hành vi chiếm đoạt, sử dụng hoặc mua bán trái phép thông tin cá nhân của người tiêu dùng là hành vi bị nghiêm cấm theo quy định tại Luật An toàn thông tin mạng 2015, Luật Bảo vệ quyền lợi người tiêu dùng 2023 (có hiệu lực từ 01/07/2024), và các văn bản hướng dẫn có liên quan. Cụ thể, khoản 5 Điều 7 Luật An toàn thông tin mạng nghiêm cấm hành vi “sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân”. Đồng thời, Điều 15 Luật Bảo vệ quyền lợi người tiêu dùng 2023 quy định rõ trách nhiệm của tổ chức, cá nhân kinh doanh trong việc bảo vệ thông tin của người tiêu dùng, cụ thể: “…việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng thi phải được sự đồng ý của người tiêu dùng”.

Tùy theo tính chất, mức độ và hậu quả, các hành vi vi phạm có thể bị xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự trong trường hợp có yếu tố cấu thành tội phạm. Cụ thể:

Về xử lý vi phạm hành chính:

Đối với hành vi chuyển nhượng, bán các thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan sẽ bị xử phạt theo điểm b khoản 5 Điều 63 Nghị định 98/2020/NĐ-CP. Theo đó, phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với hành vi đánh cắp, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan.

Ngoài ra, tại Khoản 2 Điều 101 Nghị định 15/2020/NĐ-CP quy định về vi phạm các quy định về trách nhiệm sử dụng dịch vụ mạng xã hội; trang thông tin điện tử được thiết lập thông qua mạng xã hội thì phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi tiết lộ thông tin, bí mật đời tư của cá nhân và bí mật khác mà chưa đến mức truy cứu trách nhiệm hình sự.

Đối với hành vi mua bán, sử dụng thông tin khách hàng trái pháp luật sẽ bị xử lý vi phạm hành chính theo quy định điểm a khoản 5 Điều 102 Nghị định 15/2020/NĐ-CP như sau:

“5. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông;

b) Che giấu tên, địa chỉ điện tử của mình hoặc giả mạo tên, địa chỉ điện tử của tổ chức, cá nhân khác khi gửi thư điện tử, tin nhắn.”

Về truy cứu trách nhiệm hình sự:

Trong trường hợp có yếu tố cấu thành tội phạm, người thực hiện hành vi có thể bị truy cứu trách nhiệm hình sự về các tội danh như: Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để chiếm đoạt tài sản (Điều 290 Bộ luật Hình sự 2015, sửa đổi 2017), hoặc Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông (Điều 288).

3.             Trách nhiệm của nền tảng thương mại điện tử

Theo Nghị định 13/2023/NĐ-CP, sàn thương mại điện tử được xác định là “bên kiểm soát dữ liệu cá nhân” – tức chủ thể quyết định mục đích và phương thức xử lý thông tin. Điều này kéo theo nghĩa vụ pháp lý không chỉ trong việc thu thập thông tin đúng mục đích, mà còn bao gồm cả quá trình lưu trữ, xử lý, chia sẻ, chuyển giao và bảo mật dữ liệu cá nhân.

Cụ thể, sàn thương mại điện tử có nghĩa vụ thông báo minh bạch cho người dùng về việc thu thập thông tin, mục đích sử dụng, thời gian lưu trữ, các bên thứ ba có thể được chia sẻ dữ liệu (nếu có), và phải thu được sự đồng ý rõ ràng, cụ thể, có thể kiểm chứng từ người dùng trước khi tiến hành xử lý. Đây là nguyên tắc cốt lõi của “sự đồng thuận” trong bảo vệ dữ liệu cá nhân – một nguyên tắc không thể bỏ qua theo Điều 11 và Điều 13 của Nghị định 13/2023/NĐ-CP. Nếu sàn thu thập dữ liệu mà không thông báo đầy đủ, hoặc sử dụng thông tin thu được cho các mục đích khác với mục đích ban đầu (như bán cho bên thứ ba, phục vụ quảng cáo không xin phép), hành vi đó có thể bị coi là xử lý trái phép và bị xử lý theo quy định của pháp luật.

Ngoài nghĩa vụ về sự minh bạch, sàn còn phải xây dựng hệ thống quản trị dữ liệu nội bộ bảo đảm an toàn thông tin. Điều 26 Nghị định 13/2023/NĐ-CP yêu cầu sàn phải áp dụng các biện pháp kỹ thuật và quản trị phù hợp để bảo vệ dữ liệu khỏi bị truy cập trái phép, rò rỉ, phá hoại hoặc mất mát. Điều này có nghĩa rằng việc xảy ra sự cố rò rỉ dữ liệu – nếu xuất phát từ lỗ hổng bảo mật, lỗi hệ thống hoặc thiếu quy trình giám sát – thì sàn Thương mại điện tử vẫn phải chịu trách nhiệm pháp lý, ngay cả khi không cố ý. Trong trường hợp chia sẻ dữ liệu cho bên thứ ba như đối tác vận hành dịch vụ, quảng cáo hay chăm sóc khách hàng, sàn có trách nhiệm lựa chọn đơn vị đủ năng lực, ký kết hợp đồng bảo mật rõ ràng và giám sát chặt chẽ quá trình xử lý để phòng ngừa hành vi xâm phạm dữ liệu từ bên thứ ba

Thực tế cho thấy nhiều sàn chưa có chính sách bảo vệ dữ liệu cụ thể hoặc chỉ mang tính hình thức. Việc chưa có cơ chế xử lý nội bộ khi có nghi vấn rò rỉ dữ liệu cũng khiến cho các hành vi vi phạm diễn ra âm thầm và kéo dài, gây hậu quả nghiêm trọng cho người tiêu dùng.

4.             Trách nhiệm pháp lý của các bên trung gian – mắt xích dễ bị bỏ qua

Ngoài sàn thương mại điện tử, các bên trung gian như đại lý bán hàng, đơn vị xử lý đơn hàng, nhà cung cấp dịch vụ phần mềm hỗ trợ TMĐT, đơn vị logistics, hoặc cả cá nhân là nhân viên kỹ thuật cũng có thể là nguồn rò rỉ dữ liệu. Nhiều vụ việc cho thấy dữ liệu khách hàng bị rao bán công khai trên mạng xuất phát từ nội bộ nhân viên của các bên thứ ba này, hoặc từ các công cụ trung gian bị cài mã độc.

Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, các bên trung gian – được gọi là “bên xử lý dữ liệu cá nhân” – là những tổ chức, cá nhân được bên kiểm soát dữ liệu (ví dụ như sàn thương mại điện tử) ủy quyền thực hiện một hoặc nhiều hoạt động xử lý dữ liệu, bao gồm thu thập, lưu trữ, phân tích, chuyển giao thông tin người dùng.

Về nguyên tắc, bên xử lý dữ liệu chỉ được thực hiện hoạt động trong phạm vi đã được thỏa thuận rõ ràng với bên kiểm soát dữ liệu và không được tự ý sử dụng, tiết lộ, chia sẻ hay mua bán dữ liệu với bất kỳ bên thứ ba nào. Điều 39 Nghị định 13/2023/NĐ-CP quy định rõ nghĩa vụ của bên xử lý dữ liệu trong việc đảm bảo an toàn thông tin, áp dụng biện pháp bảo mật kỹ thuật phù hợp, bảo đảm dữ liệu cá nhân không bị xâm phạm, rò rỉ hay truy cập trái phép. Trường hợp bên trung gian vi phạm – như tự ý bán thông tin khách hàng, cho phép truy cập trái phép hoặc thiếu biện pháp bảo vệ dẫn đến rò rỉ thông tin – thì không những bị xử lý trách nhiệm pháp lý độc lập, mà còn làm phát sinh trách nhiệm liên đới của cả bên kiểm soát dữ liệu nếu giữa hai bên không có cơ chế giám sát, hợp đồng bảo mật rõ ràng.

Tuy Nghị định 13/2023/NĐ-CP chưa có nghị định xử phạt hành chính đi kèm, nhưng hành vi vi phạm của bên trung gian vẫn có thể bị xử lý theo các quy định hiện hành như Điều 102 và 103 Nghị định 15/2020/NĐ-CP (sửa đổi bởi Nghị định 14/2022/NĐ-CP) đã được phân tích tại Mục 2 nêu trên.

5.             Trách nhiệm phòng ngừa của người tiêu dùng

Dù pháp luật đặt trọng tâm bảo vệ người tiêu dùng, nhưng trong môi trường số, mỗi cá nhân cũng phải đóng vai trò chủ động. Việc bảo mật thiết bị, không chia sẻ mã OTP, không xác nhận các liên kết lạ và thường xuyên kiểm tra tài khoản giao dịch là những kỹ năng cơ bản cần được phổ cập rộng rãi.

Nhiều người tiêu dùng hiện vẫn đặt niềm tin tuyệt đối vào những thông tin có vẻ “chính chủ” mà không kiểm tra lại từ kênh chính thức. Đây chính là khoảng trống mà kẻ gian lợi dụng để thực hiện hành vi chiếm đoạt tài sản một cách hợp pháp hóa bằng công nghệ.

6.             Kiến nghị hoàn thiện cơ chế pháp lý và thực thi

Để giải quyết triệt để tình trạng lạm dụng dữ liệu khách hàng trên môi trường thương mại điện tử, cần có sự kết hợp đồng bộ giữa các yếu tố: pháp luật đầy đủ, công nghệ bảo mật, kiểm tra giám sát thường xuyên, và nhận thức của người tiêu dùng. Một số định hướng cụ thể cần được xem xét:

• Nâng cao năng lực thanh tra, kiểm tra đột xuất đối với các sàn thương mại điện tử có dấu hiệu vi phạm.
• Quy định trách nhiệm cụ thể về đền bù thiệt hại và cảnh báo sớm cho người tiêu dùng trong trường hợp rò rỉ dữ liệu.
• Thiết lập cơ sở dữ liệu tập trung về vi phạm bảo mật dữ liệu, tạo điều kiện để người tiêu dùng tra cứu và đánh giá mức độ tin cậy của các nền tảng.
• Khuyến khích ứng dụng AI trong phát hiện bất thường và cảnh báo gian lận giao dịch theo thời gian thực.

            Để giải quyết triệt để vấn nạn lừa đảo từ việc chiếm đoạt và mua bán dữ liệu khách hàng trên sàn thương mại điện tử, cần áp dụng các biện pháp pháp lý mạnh mẽ và đồng bộ. Chỉ bằng cách tăng cường bảo vệ thông tin cá nhân, chúng ta mới có thể đảm bảo quyền lợi cho người tiêu dùng và duy trì sự phát triển bền vững của môi trường thương mại số.

Trên đây là toàn bộ trao đổi của Luật XTVN về tình trạng chiếm đoạt, mua bán thông tin dữ liệu khách hàng trên sàn thương mại điện tử và vấn đề pháp lý cần nhìn nhận thực tế. Mọi thắc mắc để được tư vấn, vui lòng liên hệ chúng tôi qua Hotline 0865766898!