Trong bối cảnh các hành vi vi phạm quyền tác giả trên Internet ngày càng phổ biến, doanh nghiệp cung cấp dịch vụ trung gian có vai trò quan trọng để ngăn chặn và phòng ngừa. Xuất phát từ quá trình và hình thức hoạt động, doanh nghiệp cung cấp dịch vụ trung gian có thể thu thập thông tin của người dùng và cung cấp theo yêu cầu của cơ quan nhà nước có thẩm quyền, từ đây có thể xác định chủ thể trực tiếp thực hiện hành vi xâm phạm. Tuy nhiên, việc thu thập thông tin người dùng trên không gian mạng hiện có một số bất cập, cần được xem xét và kiến nghị hoàn thiện quy định pháp luật. Nghiên cứu này phân tích một số bất cập trong trách nhiệm thu thập thông tin người dùng của doanh nghiệp cung cấp dịch vụ trung gian đối với hành vi xâm phạm quyền tác giả, đồng thời đề xuất giải pháp hoàn thiện pháp luật về trách nhiệm thu thập thông tin người dùng của doanh nghiệp cung cấp dịch vụ trung gian.

Qua nghiên cứu, tác giả đưa ra một số kiến nghị hoàn thiện pháp luật về trách nhiệm thu thập thông tin người dùng của doanh nghiệp cung cấp dịch vụ trung gian như sau:

Một là, việc người dùng cung cấp thông tin như thế nào cho doanh nghiệp cung cấp dịch vụ trung gian đã được quy định tại Nghị định số 13/2023/NĐ-CP, thể hiện bước tiến bộ trong việc liệt kê các trường hợp cụ thể cho cả khối “dữ liệu cơ bản” và “dữ liệu nhạy cảm”. Theo nghị định, định hình dữ liệu cá nhân cơ bản là liệt kê hầu hết các trường dữ liệu có thể gắn liền với một con người cụ thể, hoặc giúp xác định một con người cụ thể, sau đó loại trừ một số trường dữ liệu được coi là nhạy cảm. Bên cạnh đó, khái niệm của “dữ liệu cá nhân cơ bản” còn là các thông tin khác gắn liền với một con người cụ thể, hoặc giúp xác định một con người cụ thể. Kế thừa điểm mạnh này của Nghị định số 13/2023/NĐ-CP, tác giả đề nghị, pháp luật sở hữu trí tuệ cần quy định người dùng chỉ cung cấp thông tin “dữ liệu cơ bản” như tên, địa chỉ email và số điện thoại cho doanh nghiệp cung cấp dịch vụ trung gian, nhằm đăng ký và xác thực tài khoản. Hình thức của việc đăng ký này cần thông qua các bước cung cấp thông tin cá nhân, như: họ tên, địa chỉ email, số điện thoại và địa chỉ để đăng ký tài khoản trên nền tảng dịch vụ trung gian; thông qua thông tin liên lạc khi người dùng cung cấp địa chỉ nhà, số điện thoại di động, địa chỉ email hoặc tài khoản mạng xã hội để doanh nghiệp liên lạc và gửi thông báo quan trọng. Như vậy, người dùng cần tránh tiết lộ thông tin nhạy cảm, qua đó vừa bảo vệ dữ liệu cá nhân của người dùng, vừa đảm bảo tính tiện lợi và minh bạch trong quá trình sử dụng dịch vụ trung gian. Về phía doanh nghiệp cung cấp dịch vụ trung gian, họ cũng dễ dàng thu thập, xử lý dữ liệu khi có sự đồng ý của chủ thể dữ liệu, đồng thời hạn chế tiếp nhận các “dữ liệu nhạy cảm” không cần thiết và thêm áp lực trách nhiệm.

Hai là, trao quyền cho các doanh nghiệp cung cấp dịch vụ trung gian để thu thập dữ liệu cá nhân từ người dùng lại trở thành một vấn đề hết sức nhạy cảm, bởi vấn đề bảo vệ dữ liệu cá nhân đang bị xâm phạm nghiêm trọng. Để giải quyết bất cập này, tác giả cho rằng pháp luật sở hữu trí tuệ cần có quy định xác định rõ ràng các hành vi được xem là xử lý dữ liệu cá nhân khách hàng của doanh nghiệp cung cấp dịch vụ trung gian. Hiện nay, Nghị định số 13/2023/NĐ-CP còn bỏ ngỏ phạm vi trách nhiệm của bên xử lý dữ liệu, cụ thể ở đây là doanh nghiệp cung cấp dịch vụ trung gian. Về vấn đề này, quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) có hướng giải quyết được đánh giá là phù hợp với thực tiễn. Theo đó, không phân biệt việc xử lý dữ liệu cá nhân do hệ thống tự động xử lý hay không, mà mọi hành vi xử lý dữ liệu cá nhân đều phải tuân thủ toàn bộ các yêu cầu về bảo vệ dữ liệu. Dựa trên cơ sở đó, theo tác giả, pháp luật sở hữu trí tuệ cần có quy định cụ thể về trách nhiệm, nghĩa vụ bảo vệ dữ liệu của doanh nghiệp cung cấp dịch vụ trung gian phát sinh ngay từ giai đoạn xây dựng hệ thống lưu trữ, xử lý dữ liệu và giai đoạn thu thập. Hướng đi này sẽ đặt ra các yêu cầu mang tính chủ động hơn cho doanh nghiệp cung cấp dịch vụ trung gian, đó là cần phải có phương án bảo vệ dữ liệu cá nhân ngay từ khi hoạt động, đồng thời hạn chế rủi ro khi doanh nghiệp cung cấp dịch vụ trung gian làm lộ, hay thực hiện trục lợi từ khối dữ liệu cá nhân mà họ thu thập được.

Bên cạnh đó, tác giả kiến nghị cần có quy định nếu doanh nghiệp không tuân thủ các quy định bảo vệ dữ liệu cá nhân, hoặc không bảo mật thông tin cá nhân một cách an toàn, sẽ phải chịu trách nhiệm pháp lý và bồi thường thiệt hại cho người dùng bị ảnh hưởng. Các hình thức bồi thường bao gồm việc trả lại thiệt hại tài chính, khôi phục dữ liệu hoặc đền bù hậu quả tiêu cực mà người dùng phải chịu. Trong một số trường hợp xảy ra hậu quả nghiêm trọng, cần có quy định rút giấy phép hoạt động, hoặc bị cấm hoạt động của doanh nghiệp cung cấp dịch vụ trung gian. Doanh nghiệp cũng cần bị buộc phải công bố công khai vi phạm bảo mật dữ liệu và không đảm bảo an toàn thông tin cá nhân của người dùng. Việc không đảm bảo an toàn dữ liệu người dùng cũng có thể bị coi là vi phạm hình sự và doanh nghiệp phải chịu trách nhiệm hình sự. Điều này có thể dẫn đến khởi tố, truy tố và xử lý tại tòa án. Các quy định trên vừa tạo ra cơ chế bảo vệ pháp lý riêng biệt cho người dùng, vừa tạo ra trách nhiệm phải đảm bảo bảo mật dữ liệu cá nhân đối với doanh nghiệp cung cấp dịch vụ trung gian.