1. Khái quát về bảo mật thông tin và trách nhiệm Luật sư bảo mật thông tin khách hàng
1.1. Thông tin khách hàng
Thông tin khách hàng có thể là thông tin về giao dịch, vụ việc mà Luật sư đang tư vấn cho khách hàng hoặc thông tin về tình hình tài chính, dự án hoặc các hoạt động khác của khách hàng. Nói cách khác, thông tin của khách hàng là những tin tức, thông điệp mà khách hàng truyền đạt cho Luật sư trong quá trình tiếp xúc, trao đổi, giữa Luật sư và khách hàng hoặc do Luật sư biết được, thu thập được trong quá trình giải quyết vụ việc của khách hàng.
Theo quy định của Luật Luật sư (Luật LS) và Quy tắc Đạo đức và Ứng xử nghề nghiệp Luật sư Việt Nam 2011 (Bộ Quy tắc), không có quy định cụ thể về loại thông tin cần bảo mật. Do đó, tất cả thông tin mà Luật sư biết được trong quá trình cung cấp dịch vụ pháp lý cho khách hàng hoặc Luật sư thu thập đều trở thành thông tin phải bảo mật. Trường hợp giữa khách hàng và Luật sư có thỏa thuận, xác định những loại thông tin nào cần được bảo mật hoặc có thể công khai thì Luật sư cần tuân theo thỏa thuận đó.
Theo đó, thông tin khách hàng xuất phát từ hai chủ thể, bao gồm khách hàng và Luật sư. Đối với khách hàng, thông tin là toàn bộ những tin tức, thông điệp truyền đạt tới Luật sư kể từ lúc khách hàng trao đổi với Luật sư hoặc Luật sư tự thu thập, biết được trong khi cung cấp dịch vụ pháp lý. Đối với Luật sư, ý kiến tư vấn của Luật sư liên quan đến vụ việc của khách hàng, hoặc các tài liệu, chứng cứ luật sư thu thập được, các tài liệu chứng minh hoặc giải trình trực tiếp cho yêu cầu của nguyên đơn, bản luận cứ tranh tụng của Luật sư liên quan đến vụ việc của khách hàng đều là thông tin khách hàng. Có thể thấy rằng, dù nguồn thông tin xuất phát từ chủ thể nào (Luật sư hay khách hàng) cung cấp, hay tạo lập trong mối quan hệ Luật sư – Khách hàng thì vẫn có thể được xem là thông tin khách hàng nếu thông tin đó liên quan đến vụ việc của khách hàng.
Một điểm cần lưu ý, trong thông tin khách hàng có những loại thông tin mang tính chất nhạy cảm, riêng tư. Đó có thể là bí mật đời tư đối với khách hàng là cá nhân hoặc bí mật kinh doanh với khách hàng là doanh nghiệp hay tổ chức kinh tế khác. Do đó, Luật sư cần bảo mật tốt hơn những thông tin này nhằm tránh vi phạm nghĩa vụ bảo mật thông tin, có thể dẫn đến bị xử lý kỷ luật, dân sự, hành chính hay hình sự.
1.2. Trách nhiệm bảo mật thông tin khách hàng
Trách nhiệm bảo mật thông tin khách hàng đã sớm được hình thành trên thế giới, cho nên xem xét định nghĩa về khái niệm này sẽ giúp chúng ta hiểu đúng hơn bản chất. Theo từ điển pháp lý Legal dictionary, bảo mật thông tin khách hàng đề cập đến nghĩa vụ của một cá nhân không được chia sẻ thông tin bí mật với người khác, trừ khi có sự đồng ý rõ ràng của bên kia hoặc các ngoại lệ khác thực hiện theo hợp đồng.
Ở Việt Nam, trong văn bản Luật LS hiện hành, trách nhiệm bảo mật thông tin khách hàng của Luật sư được quy định tại Điều 25. Theo đó, “1. Luật sư không được tiết lộ thông tin về vụ, việc, về khách hàng mà mình biết được trong khi hành nghề, trừ trường hợp được khách hàng đồng ý bằng văn bản hoặc pháp luật có quy định khác; 2. Luật sư không được sử dụng thông tin về vụ, việc, về khách hàng mà mình biết được trong khi hành nghề vào mục đích xâm phạm lợi ích của Nhà nước, lợi ích công cộng, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; 3. Tổ chức hành nghề Luật sư có trách nhiệm bảo đảm các nhân viên trong tổ chức hành nghề không tiết lộ thông tin về vụ, việc, về khách hàng của mình.”. Ngoài ra, trong Bộ Quy tắc, trách nhiệm bảo mật thông tin được quy định tại Quy tắc 7: “7.1. Luật sư có nghĩa vụ giữ bí mật thông tin của khách hàng khi thực hiện dịch vụ pháp lý và sau khi đã kết thúc dịch vụ đó, trừ trường hợp được khách hàng đồng ý hoặc theo quy định của pháp luật. 7.2. Luật sư có trách nhiệm yêu cầu các đồng nghiệp có liên quan và nhân viên trong tổ chức hành nghề của mình cam kết không tiết lộ những bí mật thông tin mà họ biết được và Luật sư có trách nhiệm giải thích rõ nếu tiết lộ thì phải chịu trách nhiệm trước pháp luật”.
Đi từ hành động “giữ bí mật”, có thể định nghĩa bảo mật thông tin là việc Luật sư không được tiết lộ bất kì thông tin gì mà mình biết được qua thực hiện công việc khách hàng giao phó, trừ các thông tin đã được công khai trên các phương tiện thông tin đại chúng. Theo đó, Luật sư giữ thông tin khách hàng an toàn bằng việc không tiết lộ chúng. Chỉ thông tin đã được công khai trên các phương tiện đại chúng như báo, đài hay ti vi… và mọi người dễ dàng tiếp cận được thì Luật sư không cần bảo mật. Về cơ bản, cách lý giải này đã đáp ứng được yêu cầu về tính bảo mật, tức là thông tin khách hàng phải được giữ kín trong phạm vi một số ít người và không để lộ thông tin ra bên ngoài.
Việc giữ bí mật thông tin khách hàng là “một nguyên tắc đạo đức nghề nghiệp và đồng thời cũng là một nghĩa vụ pháp lý” . Từ góc độ đạo đức nghề nghiệp, nghề Luật sư gắn liền với sự tin tưởng, tín nhiệm của khách hàng. Để xác định vấn đề pháp lý chính xác và cung cấp dịch vụ hiệu quả, khách hàng cần cung cấp đầy đủ thông tin cho Luật sư. Do đó, khách hàng mong muốn thông tin của họ được bảo vệ một cách tốt nhất từ Luật sư. Cho nên, Luật sư bảo mật thông tin khách hàng là hành động thể hiện sự tôn trọng, bảo đảm lòng tin của khách hàng. Từ góc độ pháp lý, giữa Luật sư và khách hàng tồn tại một hợp đồng cung cấp dịch vụ pháp lý, mỗi bên sẽ có những quyền và nghĩa vụ nhất định. Và bảo mật thông tin khách hàng là nghĩa vụ cơ bản của Luật sư nhằm bảo vệ quyền lợi khách hàng, cũng như tạo cơ sở pháp lý để xử lý khi có hành vi vi phạm hợp đồng của Luật sư.
Tóm lại, trách nhiệm bảo mật thông tin khách hàng bao quát rất rộng và linh hoạt, hành vi không tiết lộ thông tin chỉ là một phần trong trách nhiệm này. Việc không nỗ lực ngăn chặn, bảo vệ thông tin khách hàng khỏi sự xâm nhập trái phép, hoặc cố ý sử dụng thông tin khách hàng để trục lợi hoặc vô ý tiết lộ thông tin của Luật sư đều là các biểu hiện vi phạm trách nhiệm bảo mật thông tin.
2. Đánh giá rủi ro pháp lý đối với Luật sư trong việc thực hiện bảo mật thông tin khách hàng
Thứ nhất, chủ thể có trách nhiệm bảo mật thông tin chưa bao quát. Theo quy định Bộ quy tắc, Luật sư, và các đồng nghiệp có liên quan, nhân viên của Luật sư phải cam kết không tiết lộ thông tin. Luật LS cũng quy định chủ thể là tổ chức hành nghề Luật sư phải bảo đảm các nhân viên trong tổ chức hành nghề Luật sư không được phép tiết lộ thông tin về vụ, việc và về khách hàng. Trên thực tế, trong quá trình cung cấp dịch vụ pháp lý, Luật sư cần sự hỗ trợ của các chủ thể khác không có trong quy định của văn bản pháp luật.
Khi Luật sư cần sự hỗ trợ, bên cạnh đồng nghiệp có liên quan và nhân viên của Luật sư, còn những chủ thể khác cùng tham gia. Rất dễ bắt gặp việc Luật sư sử dụng dịch vụ in ấn hoặc dịch thuật tài liệu, trong khi văn bản pháp luật không quy định trách nhiệm bảo mật thông tin đối với bên thứ ba liên quan này. Ví dụ, Luật sư cần photo tài liệu, và không yêu cầu bảo mật thông tin, thậm chí không yêu cầu tiệm photo xóa dữ liệu trong máy khi photo xong. Từ đó, thông tin khách hàng bị tiết lộ bởi tiệm photo có thể đọc, sử dụng thông tin đó hoặc rao bán kiếm lời và sau đó luật sư phải chịu trách nhiệm vì đã không bảo vệ thông tin khách hàng. Như vậy, vô hình chung trách nhiệm bảo mật thông tin khách hàng được đặt lên Luật sư, khi Luật sư cần sự hỗ trợ từ ai thì luật sư có trách nhiệm yêu cầu người đó bảo mật thông tin cũng như giải thích về hậu quả pháp lý khi tiết lộ, sử dụng.
Khi văn bản pháp luật không đưa bên thứ ba cung cấp dịch vụ hỗ trợ như in ấn, dịch thuật, công chứng…vào quy định, trách nhiệm bảo mật thông tin sẽ phải xem xét gián tiếp thông qua Luật sư. Từ đó, dẫn đến một rủi ro thường gặp đối với Luật sư, khi bên thứ ba cung cấp dịch vụ hỗ trợ sử dụng, tiết lộ thông tin khách hàng gây ra thiệt hại nhưng trách nhiệm pháp lý chỉ ràng buộc đối với Luật sư. Bởi không phải trong mọi trường hợp, Luật sư đều trao đổi, giám sát việc bảo mật thông tin của bên thứ ba liên quan. Nguyên nhân thường do bên thứ ba liên quan là người quen hay Luật sư chưa đánh giá đúng mức độ quan trọng của thông tin, hoặc cũng có thể Luật sư không giải thích, giải thích không rõ, không đầy đủ về trách nhiệm bảo mật thông tin nên thông tin khách hàng vô tình bị tiết lộ. Đa phần Luật sư bất cẩn không ký kết hợp đồng xác lập quyền và nghĩa vụ giữa Luật sư và bên thứ ba, nên khi xảy ra thiệt hại thì chỉ có Luật sư chịu trách nhiệm. Và việc không có quy định ràng buộc trách nhiệm của bên thứ ba sẽ tạo ra một lỗ hổng trong việc xử lý hành vi vi phạm của họ.
Thứ hai, văn bản pháp luật quy định Luật sư có trách nhiệm bảo mật thông tin khách hàng nhưng chưa có hướng dẫn Luật sư về các hành vi cụ thể hoặc cách thức xử lý khi có nguy cơ thông tin khách hàng bị tiết lộ.
Luật sư phải tự bảo vệ thông tin khách hàng bằng vốn kiến thức và kỹ năng vốn có. Nhưng sự phát triển internet cùng các thiết bị công nghệ đang đặt ra những thử thách lớn về bảo mật thông tin. Khi ở văn phòng, đa phần Luật sư sử dụng máy tính để làm việc. Thông tin khách hàng sẽ được lưu trữ trong hệ thống riêng biệt nhằm đảm bảo tính bảo mật cũng như dễ dàng quản lý, phân loại vụ việc khách hàng. Bên cạnh đó, Luật sư có thể lưu trữ trong các phần mềm như Google Drive, Dropbox hay OneDrive. Bởi khả năng lưu trữ lớn, không mất quá nhiều chi phí sử dụng và dễ dàng thao tác là những điểm tích cực mà Luật sư lựa chọn. Tuy nhiên, sử dụng internet Luật sư phải đối diện với hacker và virus, những tác nhân này sẽ phá hủy lớp bảo mật để đánh cắp thông tin khách hàng, thậm chí là toàn bộ thông tin của Luật sư. Hoặc khi làm việc ngoài văn phòng, việc sử dụng mạng wifi không dây có thể sẽ khiến cho máy tính Luật sư bị lây nhiễm virus, phần mềm mạo danh, lừa đảo dẫn tới mất thông tin hoặc bị kẻ xấu lấy cắp các thông tin cá nhân, làm lộ những trang web đã truy cập và các dữ liệu đã gửi đi. Từ đó, khiến cho thông tin khách hàng bị tiết lộ ra ngoài.
Bên cạnh đó, với vai trò tổ chức xã hội nghề nghiệp của Luật sư, Đoàn Luật sư, Liên đoàn Luật sư Việt Nam chưa nâng cao trách nhiệm giúp đỡ đối với Luật sư. Luật LS thể hiện rõ rằng Đoàn Luật sư và Liên đoàn Luật sư Việt Nam đại diện, bảo vệ quyền lợi ích hợp pháp của Luật sư cũng như lắng nghe tâm tư, nguyện vọng, kịp thời giải đáp thắc mắc của luật sư. Nhưng trên thực tế, việc thực hiện lại khá khó khăn. Khi Luật sư không hiểu rõ quy định pháp luật, không có cách thức bảo mật hoặc cách thức bảo mật không hiệu quả, thì họ lại không nhận được sự hỗ trợ, hướng dẫn từ tổ chức xã hội – nghề nghiệp của Luật sư. Kết quả là khi xảy ra hành vi vi phạm thì lại bị xử lý kỷ luật từ các tổ chức này.
Thứ ba, khi khách hàng là pháp nhân (ví dụ như tổ chức doanh nghiệp có tư cách pháp nhân) thì trách nhiệm bảo mật thông tin chưa được quy định rõ nhằm đảm bảo việc Luật sư thực hiện hiệu quả.
Trước hết, Luật sư gặp khó khăn trong việc làm rõ tính hợp pháp của người đại diện và phạm vi bảo mật thông tin. Tính hợp pháp của người đại diện của pháp nhân rất quan trọng, điều đó ảnh hưởng đến việc xác định thông tin được cung cấp có phải là đối tượng thông tin Luật sư có trách nhiệm bảo mật hay không. Theo khoản 1, Điều 142, Bộ luật Dân sự 2015, trường hợp người cung cấp thông tin cho Luật sư không có quyền đại diện, sẽ không làm phát sinh quyền của pháp nhân tức “Người được đại diện”, quyền được bảo mật thông tin trong mối quan hệ Luật sư – Khách hàng, trừ một số trường hợp luật định. Điều này có thể dẫn đến một rủi ro pháp lý là người cung cấp thông tin cho Luật sư không có quyền đại diện, trong khi thông tin được cung cấp có thể liên quan tới pháp nhân, liệu Luật sư có phải bảo mật thông tin này không? Bởi phía khách hàng đã cung cấp thông tin là cá nhân không có quyền đại diện cho khách hàng. Bên cạnh đó, một tổ chức như doanh nghiệp bao gồm nhiều bộ phận cấu thành, chẳng hạn ban giám đốc, Hội đồng quản trị, cán bộ, nhân viên hay cổ đông. Khi Luật sư cung cấp dịch vụ pháp lý cho doanh nghiệp thông qua người đại diện, thì chủ thể nhận được sự bảo mật thông tin là doanh nghiệp, chứ không phải người đại diện, hay những người không có quyền đại diện. Nếu Luật sư không nhận thức được đúng chủ thể cung cấp thông tin thì phạm vi bảo mật thông tin sẽ rất rộng, khó kiểm soát.
Thứ tư, hành vi vô ý tiết lộ thông tin của Luật sư chưa được sự điều chỉnh của pháp luật. Luật LS dường như không quan tâm đến yếu tố lỗi cho nên việc tiết lộ thông tin được đặt trong trạng thái chủ động, tức tự bản thân Luật sư gây ra.
Trên thực tế, Luật sư vô tình tiết lộ thông tin khách hàng khá phổ biến và nằm ngoài ý chí chủ quan của Luật sư. Chẳng hạn, khi gửi thư điện tử có đính kèm nội dung tư vấn pháp lý cho khách hàng, Luật sư gõ sai địa chỉ thư điện tử nên gửi nhầm tới một người khác. Rõ ràng, ý chí của Luật sư chỉ muốn cung cấp nội dung tư vấn pháp lý cho khách hàng, nhưng hành động và kết quả bị sai lệch dẫn đến thông tin khách hàng bị tiết lộ, thậm chí có thể rơi vào tay của bên có lợi ích đối lập. Tuy nhiên, Luật sư sẽ chịu trách nhiệm pháp lý cho hành vi vô ý tiết lộ thông tin giống như hành vi cố ý tiết lộ thông tin. Theo quy định pháp luật về Luật sư, yếu tố “vô ý” không giúp Luật sư giảm nhẹ tội, thậm chí đó có thể coi là tình tiết tăng nặng vì sự bất cẩn của luật sư trong quá trình cung cấp dịch vụ pháp lý.
Quy tắc 5 Bộ Quy tắc yêu cầu Luật sư phải bảo đảm chất lượng dịch vụ pháp lý nhằm bảo vệ tốt nhất quyền và lợi ích khách hàng. Hành vi gửi nhầm có thể gây ảnh hưởng trực tiếp hoặc gián tiếp đến quyền lợi khách hàng, do đó Luật sư đã không bảo đảm tốt chất lượng dịch vụ pháp lý và sẽ bị xử lý kỷ luật. Tuy nhiên, nếu Luật sư phát hiện ra sai sót và nhanh chóng yêu cầu bên vô tình nhận thư điện thử và yêu cầu không sử dụng và không tiết lộ thông tin thì tính bí mật của thông tin có còn được đảm bảo hay không? Trường hợp bên vô tình nhận thư điện tử đồng ý yêu cầu của Luật sư, có thể xem thông tin khách hàng vẫn được bảo mật. Còn các trường hợp khác, chẳng hạn bên vô tình nhận thư điện tử mở đọc, chuyển tiếp thư điện tử cho người khác hay in ra dẫn đến việc thông tin khách hàng bị tiết lộ, chắc chắn Luật sư sẽ phải chịu trách nhiệm cho hành vi vô ý gửi nhầm của bản thân, chứ không phải hành vi cố ý tiết lộ thông tin khách hàng.
Trong tình huống này, mặc dù Luật sư đã nỗ lực trong việc ngăn chặn, giảm thiểu và khắc phục hậu quả, nhưng quy định pháp luật chưa thực sự bảo vệ luật sư. Bởi lẽ giữ bí mật thông tin cần cả sự hợp tác của bên thứ ba vô tình nhận thông tin khách hàng. Nếu chỉ bản thân luật sư cố gắng trong trách nhiệm bảo mật thông tin khách hàng, thì khó có thể bảo đảm tính bí mật của thông tin.
Thứ năm, quy định pháp luật về trách nhiệm bảo mật thông tin của Luật sư chưa đề cấp đến thông tin được cung cấp bởi khách hàng tiềm năng. Liệu những khách hàng đã liên lạc với Luật sư nhưng không ký kết hợp đồng dịch vụ pháp lý thì các thông tin được cung cấp có phải là đối tượng thông tin được bảo mật? Trách nhiệm bảo mật thông tin khách hàng trong Luật LS được đặt ra khi Luật sư hành nghề, còn Bộ Quy tắc là khi luật sư thực hiện dịch vụ pháp lý và cả khi luật sư đã kết thúc dịch vụ pháp lý. Dưới góc độ hành nghề luật sư được hiểu là: “Tổ chức hành nghề luật sư và luật sư cung cấp dịch vụ pháp lý cho khách hàng…”. Từ đó, có thể hiểu rằng chỉ khi cung cấp dịch vụ pháp lý (nhận vụ việc của khách hàng và ký kết hợp đồng dịch vụ pháp lý), Luật sư mới có trách nhiệm bảo mật thông tin khách hàng.
Trên thực tế, khách hàng không ký kết hợp đồng dịch vụ pháp lý, đặc biệt khá phố biến là trường hợp khách hàng chủ động giao tiếp đơn phương với luật sư qua thư điện tử, hay trang web của tổ chức hành nghề luật sư và thông tin của họ cung cấp không được bảo mật.
Với sự thiếu vắng quy định pháp luật, hiện nay, trong bối cảnh phát triển phương tiện giao tiếp giữa Luật sư và khách hàng, đặc biệt là giao tiếp qua mạng, đã và đang có nhiều website của hãng luật ở Việt Nam có chính sách bảo mật thông tin khách hàng chẳng hạn, trang web luatsudoanhnnghiep.com.vn đã có chính sách bảo mật thông tin khách hàng từ năm 2016, hoặc trang web Công ty luật Minh Khuê cũng là một trong những tổ chức hành nghề luật sư dành sự quan tâm cho chính sách bảo mật thông tin khách hàng. Trong đó, chính sách thể hiện rằng thông tin khách hàng sẽ được bảo đảm một cách tốt nhất, trừ trường hợp cơ quan có thẩm quyền yêu cầu cung cấp thông tin. Bên cạnh đó, để nâng cao chất lượng bảo mật, khách hàng được khuyên không nên chia sẻ thông tin chi tiết cho bất kỳ ai qua email, nếu không công ty sẽ không chịu trách nhiệm về những hậu quả bất lợi mà khách hàng có thể gánh chịu. Đối với khách hàng có hành vi sử dụng chương trình, công cụ nhằm cổ vũ, truyền bá cho bất kỳ hoạt động nào can thiệp vào hệ thống trang web công ty, làm thay đổi cấu trúc dữ liệu, hãng luật sẽ tước bỏ quyền lợi của khách hàng cũng như truy tố trước pháp luật. Trách nhiệm bảo mật thông tin vẫn được hình thành đối với khách hàng tiềm năng không ký kết hợp đồng dịch vụ pháp lý tương tự như khách hàng ký kết.
Tuy nhiên, ngay cả khi có chính sách bảo mật thông tin khách hàng từ phía Luật sư, nguy cơ tiềm ẩn vẫn xảy ra với khách hàng khi có sự xung đột lợi ích. Chẳng hạn, khách hàng A của Luật sư kiện khách hàng B, nhưng khách hàng B do không biết việc Luật sư đang cung cấp dịch vụ pháp lý cho khách hàng A nên đã gửi thư điện tử nhờ tư vấn. Điều có thể xảy ra là Luật sư sẽ sử dụng thông tin mà khách hàng B cung cấp để bảo vệ thân chủ của mình. Bởi Luật LS chỉ đề cập đến khách hàng và bảo mật thông tin trong tình huống Luật sư đã nhận vụ việc, bên cạnh đó Bộ quy tắc tại Quy tắc 15 về xung đột lợi ích chưa có quy định nghiêm cấm Luật sư sử dụng thông tin của khách hàng tiềm năng B. Do đó, đối với khách hàng tiềm năng, đặc biệt khách hàng liên lạc qua thư điện tử, trang web nếu không có sự điều chỉnh quy định pháp luật, thông tin của họ sẽ bị sử dụng trái phép dẫn đến quyền, lợi ích hợp pháp bị xâm hại.
Trên đây, các rủi ro pháp lý đối với các Luật sư đối với trách nhiệm bảo mật thông tin khách hàng đã được nhận diện trên cơ sở thực tiễn hành nghề của Luật sư. Điều này đòi hỏi pháp luật về Luật sư và Bộ quy tắc cần có các điều chỉnh bổ sung thích hợp để hoàn thiện các quy phạm pháp luật và quy phạm đạo đức liên quan. Việc khắc phục các hạn chế của quy định pháp luật và Quy tắc đạo đức và Ứng xử nghề nghiệp Luật sư Việt Nam sẽ tạp ra hành lang pháp lý vững chắc để Luật sư an tâm khi hành nghề, cũng như đảm bảo quyền lợi chính đáng của khách hàng trong việc được bảo mật thông tin. Điều này góp phần xây dựng sự tin tưởng khách hàng đối với Luật sư, không phụ thuộc vào việc ký kết hợp đồng dịch vụ pháp lý với luật sư hay tổ chức hành nghề Luật sư, đặc biệt vấn đề bảo mật thông tin cần được đặt trong bối cảnh sự phát triển các phương tiện giao tiếp, thiết bị công nghệ để lưu trữ thông tin như hiện nay.
BẠCH THỊ NHÃ NAM
Giảng viên Khoa Luật, Đại học Kinh tế - Luật, ĐHQG TP. Hồ Chí Minh, NCS Đại học Griffith, Úc