Coupang, nền tảng TMĐT lớn nhất Hàn Quốc, đang đối mặt với làn sóng phẫn nộ chưa từng có khi thông tin cá nhân của 33,7 triệu khách hàng (gần 2/3 dân số nước này) bị rò rỉ. Dữ liệu bị đánh cắp bao gồm tên, số điện thoại, địa chỉ, email và đặc biệt là một phần lịch sử đặt hàng.
Dù Coupang trấn an rằng thông tin thanh toán và mật khẩu vẫn an toàn, giới chuyên gia cảnh báo rủi ro thực tế nguy hiểm hơn nhiều. Kẻ xấu có thể phân tích lịch sử mua sắm để "vẽ chân dung" nạn nhân: người mua bỉm sữa là đang nuôi con nhỏ, người mua thuốc đặc trị là đang mắc bệnh... từ đó thực hiện các kịch bản lừa đảo "nhắm mục tiêu" (targeted phishing) cực kỳ tinh vi.
Đáng chú ý, nguyên nhân vụ việc không đến từ hacker bên ngoài mà do một cựu nhân viên đã đánh cắp khóa bảo mật để truy cập trái phép.
Để giải quyết khủng hoảng, Coupang tuyên bố chi 1.600 tỷ won để đền bù. Tuy nhiên, mỗi khách hàng chỉ nhận được gói phiếu quà tặng (voucher) trị giá 50.000 won (gần 1 triệu VNĐ) với điều kiện sử dụng ngặt nghèo: bị xé lẻ cho nhiều dịch vụ (giao đồ ăn, du lịch, hàng hiệu...). Người dùng Hàn Quốc coi đây là chiêu trò "kích cầu" thiếu chân thành, ép nạn nhân phải tiếp tục chi tiền vào hệ sinh thái của hãng mới dùng hết được gói bồi thường.
Từ sự việc này, trao đổi với phóng viên Chuyên trang Sinh Viên Việt Nam - Báo Tiền Phong, Luật sư Phạm Văn Anh (Công ty luật TNHH Liên Phúc) đã có những phân tích pháp lý về kịch bản tương tự nếu xảy ra tại Việt Nam.
Doanh nghiệp không được ép khách hàng nhận Voucher
Trước câu hỏi liệu doanh nghiệp Việt Nam có quyền tự ý ấn định phương thức bồi thường bằng voucher như cách Coupang đang làm hay không, Luật sư Phạm Văn Anh khẳng định: Pháp luật Việt Nam không trao cho doanh nghiệp quyền đơn phương chọn voucher làm hình thức bồi thường.
Luật sư phân tích, hành vi làm lộ thông tin gây thiệt hại là xâm phạm Quyền nhân thân gắn với đời sống riêng tư (Điều 38 BLDS 2015). Theo Điều 585 Bộ luật Dân sự 2015, hình thức bồi thường (tiền, hiện vật hoặc thực hiện công việc) phải do các bên thỏa thuận. Nếu không thỏa thuận được, Tòa án sẽ quyết định.
"Người tiêu dùng hoàn toàn có quyền từ chối voucher. Đồng thời, họ có quyền yêu cầu bồi thường bằng tiền mặt, bao gồm cả thiệt hại vật chất (nếu có) và thiệt hại tinh thần do rủi ro dữ liệu cá nhân gây ra theo quy định tại Luật Bảo vệ quyền lợi người tiêu dùng 2023" Luật sư Văn Anh nhấn mạnh.
"Lỗi tại nhân viên": Doanh nghiệp không thể chối bỏ trách nhiệm liên đới
Trong vụ việc Coupang, nguyên nhân xuất phát từ yếu tố nội bộ (cựu nhân viên). Tại Việt Nam, nhiều doanh nghiệp thường vin vào cớ "nhân viên làm sai" hoặc "cựu nhân viên trả thù" để xin giảm nhẹ trách nhiệm. Tuy nhiên, luật sư cho biết Luật Bảo vệ quyền lợi người tiêu dùng 2023 (Điều 23, 24) quy định doanh nghiệp phải chịu trách nhiệm khi thông tin bị xâm phạm, không phân biệt nguồn rò rỉ.
Đặc biệt, Điều 597 Bộ luật Dân sự 2015 quy định rõ pháp nhân phải bồi thường thiệt hại do người của mình gây ra khi thực hiện nhiệm vụ.
Luật sư Phạm Văn Anh nhận định: "Nhân viên hoặc cựu nhân viên đã từng được giao quyền truy cập hợp pháp, và nguyên nhân sâu xa là do doanh nghiệp không thu hồi, kiểm soát hoặc phân quyền lại kịp thời. Do đó, doanh nghiệp không thể đổ lỗi hoàn toàn cho cá nhân để thoát trách nhiệm với khách hàng. Họ phải bồi thường cho người dùng trước, sau đó mới có quyền yêu cầu nhân viên hoàn trả lại thiệt hại cho doanh nghiệp".
Nguy cơ pháp lý từ "Lịch sử mua hàng"
Một điểm gây tranh cãi lớn là việc lộ "lịch sử đơn hàng". Theo Luật sư, dù pháp luật Việt Nam (Nghị định 13/2023 và Luật Bảo vệ dữ liệu cá nhân) chưa liệt kê cứng "lịch sử mua sắm" vào nhóm Dữ liệu nhạy cảm, nhưng dữ liệu này được bảo vệ dựa trên "mức độ rủi ro".
Khi lịch sử mua sắm kết hợp với thông tin định danh (tên, địa chỉ) để suy đoán tình trạng sức khỏe (mua thuốc), hoàn cảnh gia đình (mua đồ mẹ bé), nó trở thành công cụ xâm phạm đời sống riêng tư và có trách nhiệm pháp lý tương đương dữ liệu nhạy cảm.
Tuy nhiên, Luật sư cũng lưu ý, để kiện sàn TMĐT khi bị lừa đảo do lộ lịch sử mua hàng, người dùng phải chứng minh được 4 yếu tố: Hành vi vi phạm bảo mật của sàn; Thiệt hại thực tế; Mối quan hệ nhân quả và Lỗi của sàn. Đây là rào cản không nhỏ trong thực tế tố tụng.
Có thể khởi kiện tập thể tại Việt Nam không?
Với số lượng nạn nhân lên tới hàng triệu người như vụ Coupang, cơ chế khởi kiện tập thể thường được áp dụng ở nhiều nước. Tại Việt Nam, dù chưa có chế định "Class Action" chuyên biệt, Luật sư Văn Anh cho biết pháp luật vẫn cho phép nhiều người dùng cùng khởi kiện một bị đơn trong cùng một vụ án (đồng nguyên đơn).
"Người dân có thể tập hợp lại để cùng khởi kiện dân sự hoặc khiếu nại lên Ủy ban Cạnh tranh Quốc gia. Đối với các vụ việc nghiêm trọng gây nguy hiểm cho xã hội, người dùng cần làm đơn tố giác đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 – Bộ Công an) để điều tra và xử lý hình sự" Luật sư khuyến nghị.
Vụ việc Coupang là hồi chuông cảnh tỉnh cho người dùng Việt Nam trong bối cảnh các nền tảng số ngày càng yêu cầu thu thập nhiều dữ liệu chi tiết. Người tiêu dùng cần hiểu rõ quyền lợi của mình: Quyền từ chối bồi thường bằng voucher và quyền yêu cầu bảo vệ dữ liệu, bất kể lỗi thuộc về hacker hay nhân viên nội bộ của doanh nghiệp.
