Hôm 24/3 (chủ nhật), công ty chứng khoán VNDirect bị hacker tấn công, khiến nhiều nhà đầu tư mở tại khoản tại đây không thể truy cập/đặt lệnh. Dù đã bước vào tuần giao dịch mới, công ty vẫn chưa thể vận hành trở lại bình thường.
Dự kiến, tình trạng này có thể kéo dài đến ngày 28/3, tức hàng trăm nghìn nhà đầu tư sẽ không thể quản trị tài sản hoặc rút tiền khỏi tài khoản và đứng trước nguy cơ thiệt hại lớn nếu thị trường đi xuống (đặc biệt là các nhà đầu tư đăng ký vay ký quỹ, sử dụng đòn bẩy tại công ty).
Như vậy, liệu các nhà đầu tư có được bồi thường khi mạng của công ty chứng khoán bị hacker tấn công? Luật sư Nguyễn Thanh Hà, chủ tịch SBLAW trả lời znews về vấn đề sự cố kỹ thuật của công ty chứng khoán.
Câu hỏi cho luật sư:
1. Theo luật sư, nhà đầu tư có tài khoản tại VNDirect có quyền yêu cầu công ty chứng khoán bồi thường thiệt hại không? Pháp luật Việt Nam đã có quy định, hướng dẫn về trường hợp này chưa thưa luật sư?
Trả lời:
Hiện nay, pháp luật Việt Nam chưa có quy định cụ thể hướng dẫn cho những sự cố như trường hợp trên. Pháp luật hiện tại mới chỉ có những quy định khá chung chung về trách nhiệm của công ty chứng khoán như tại khoản 5 Điều 302 Nghị định 155/2020/NĐ-CP quy định “Công ty chứng khoán, công ty quản lý quỹ đầu tư chứng khoán có trách nhiệm thực hiện hoạt động ứng phó, khắc phục sự cố, sự kiện, biến động ảnh hưởng đến an toàn, ổn định và tính toàn vẹn của thị trường chứng khoán trong phạm vi liên quan đến hoạt động của đơn vị mình”; hay tại Khoản 4 Điều 11 của Thông tư 121/2020/TT-BTC quy định: “Công ty chứng khoán phải xây dựng kế hoạch dự phòng cho các tình huống khẩn cấp xảy ra nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của công ty”.
Việc VNDirect phải chịu trách nhiệm khi các nhà đầu tư bị thiệt hại là điều chắc chắn, tuy nhiên xác định trách nhiệm đến đâu và bồi thường như thế nào thì cần phải có một cuộc điều tra kỹ lưỡng về nguyên nhân xảy ra sự cố. Nếu sự cố này xảy ra do sự kiện bất khả kháng (theo quy định tại Điều 156 BLDS 2015) mà VNDirect không thể lường trước được và không thể khắc phục được thì việc bồi thường thiệt hại cần sự thương thảo thiện chí đến từ phía công ty và nhà đầu tư. Tuy nhiên, nếu nguyên nhân của sự cố là do phát sinh lỗi, thiếu trách nhiệm từ phía VNDirect, các nhà đầu tư hoàn toàn có thể đòi công ty bồi thường thiệt hại theo quy định pháp luật.
2. Về phía VNDirect, đây là sự cố bất ngờ đến từ yếu tố bên ngoài (hacker). Vậy, việc xem xét trách nhiệm bồi thường của công ty chứng khoán này theo luật sư liệu có khó khăn không và có thể phát sinh những vướng mắc gì?
Trả lời:
Việc xem xét trách nhiệm bồi thường của công ty chứng khoán sẽ có một số khó khăn nhất định. Mặc dù nhà đầu tư được phép yêu cầu bồi thường nhưng rất khó để xem xét trách nhiệm, bồi thường bao nhiêu, chứng minh thiệt hại như thế nào. Những thiệt hại theo dạng “định mua” hoặc “định bán” rất khó để xác định giá trị thực tế.
- Chứng minh thiệt hại: Để yêu cầu bồi thường, nhà đầu tư cần chứng minh rõ ràng và cung cấp bằng chứng về thiệt hại mà họ đã gánh chịu. Điều này có thể bao gồm việc cung cấp hồ sơ giao dịch, báo cáo tài chính, chứng từ liên quan và bất kỳ thông tin nào khác liên quan đến thiệt hại gây ra bởi sự cố bảo mật hoặc không thể truy cập vào tài khoản. Nếu khách hàng không cung cấp đủ bằng chứng hoặc không thể chứng minh thiệt hại xảy ra nguyên nhân hoàn toàn do hệ thống sập bởi hacker, quá trình xem xét trách nhiệm bồi thường sẽ gặp khó khăn.
- Sự cố an ninh mạng: Đối với trường hợp bị hacker tấn công, VNDirect cần chứng minh họ đã áp dụng biện pháp bảo mật và an ninh mạng đầy đủ. Nếu cơ quan có thẩm quyền điều tra ra rằng vụ việc bị hacker tấn công là do VNDirect thiếu sót trong khâu bảo mật, Công ty có thể đối mặt với việc bồi thường khách hàng.
- Chính sách bảo mật và điều khoản hợp đồng: Theo điểm d, khoản 14, Điều 9 Các điều khoản và điều kiện giao dịch chứng khoán của VNDirect: “VNDIRECT không có trách nhiệm đối với [...] d. Bất kỳ khiếu nại, yêu cầu bồi thường nào của Khách hàng về thiệt hại gây ra bởi bất kỳ nguyên nhân nào ngoài tầm kiểm soát của VNDIRECT, bao gồm nhưng không giới hạn ở hỏa hoạn, thiên tai, trục trặc của các thiết bị cơ khí hoặc điện tử hoặc hệ thống hạ tầng công cộng, do lỗi của các bên cung cấp dịch vụ viễn thông/dịch vụ lưu trữ dữ liệu, chiến tranh, sự thay đổi về pháp luật, quy định hoặc yêu cầu của Cơ quan Nhà nước có thẩm quyền/Cơ quan quản lý về chứng khoán.”, xác định vụ việc VNDirect bị hacker tấn công là hoàn toàn là nguyên nhân ngoài tầm kiểm soát, vậy nên khách hàng khó có thể truy cứu trách nhiệm bồi thường từ phía VNDirect.
3. Theo kinh nghiệm của luật sư, những trường hợp/tình huống xung đột quyền lợi giữa người sử dụng dịch vụ và đơn vị cung cấp dịch vụ tương tự có xuất hiện thường xuyên trong hoạt động tố tụng hay không? Và những sự vụ này thường được giải quyết theo chiều hướng/phương án nào?
Trả lời:
Trong hoạt động tố tụng liên quan đến vụ việc hacker tấn công và xung đột quyền lợi giữa người sử dụng dịch vụ và đơn vị cung cấp dịch vụ, tùy thuộc vào từng trường hợp cụ thể, có thể xuất hiện tình huống xung đột quyền lợi khác nhau. Tuy nhiên, không có thông tin cụ thể hoặc thống kê chính xác về tần suất xuất hiện của các vụ việc này trong hoạt động tố tụng.
Khi xảy ra xung đột quyền lợi trong vụ việc hacker tấn công, các bên có thể chọn giải quyết theo nhiều chiều hướng/phương án khác nhau, nhưng phổ biến và thông dụng nhất sẽ là hai bên đàm phán và thỏa thuận để cùng nhau giải quyết vụ việc. VNDirect là bên cung cấp dịch vụ, có trách nhiệm duy trì ổn định các giao dịch với khách hàng, nhưng trong sự việc này, họ cũng là bên bị hại, uy tín của công ty đối với khách hàng bị lung lay đáng kể.
4. Theo luật sư, liệu VNDirect có trách nhiệm nào không trong việc để xảy ra sự cố tấn công mạng?
Trả lời:
Căn cứ theo Điều 20 Thông tư 121/2020/TT-BTC khi thực hiện cung cấp dịch vụ giao dịch chứng khoán trực tuyến, công ty chứng khoán có nghĩa vụ như sau:
- Đảm bảo giao dịch liên tục, thông suốt.
- Đảm bảo an ninh, an toàn, bảo mật dữ liệu của hệ thống.
- Có hệ thống dự phòng, phương án thay thế trong trường hợp xảy ra sự cố.
- Có sự tách biệt với các hệ thống thông tin điện tử khác của công ty.
- Ban hành quy trình về việc vận hành, quản lý, sử dụng hệ thống giao dịch chứng khoán trực tuyến.
Bên cạnh đó, khi cung cấp dịch vụ giao dịch chứng khoán trực tuyến công ty chứng khoán phải ký hợp đồng hoặc phụ lục kèm theo hợp đồng mở tài khoản cho khách hàng. Trong đó bao gồm những nội dung như sau:
- Công bố về các rủi ro có thể xảy ra khi giao dịch chứng khoán trực tuyến.
- Quy định trách nhiệm của khách hàng và công ty chứng khoán về việc bảo mật thông tin về giao dịch trực tuyến của khách hàng.
Đồng thời, tại Khoản 4 Điều 11 Thông tư 121/2020/TT-BTC quy định về xây dựng kế hoạch dự phòng của công ty chứng khoán như sau: “Công ty chứng khoán phải xây dựng kế hoạch dự phòng cho các tình huống khẩn cấp xảy ra nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của công ty”
Do đó, có thể thấy trách nhiệm pháp lý của VNDirect chủ yếu được đặt ra dưới góc độ của việc bảo vệ dữ liệu khách hàng và đảm bảo hoạt động liên tục của hệ thống. Nếu hệ thống bị xâm phạm, tài sản của khách hàng vẫn được bảo đảm an toàn vì cổ phiếu của họ được bảo vệ trên hệ thống của Trung tâm Lưu ký Chứng khoán Việt Nam, trong khi tiền mặt được lưu giữ trong các tài khoản ngân hàng. Tuy nhiên, dữ liệu khách hàng có thể bị lộ, do đó VNDirect nói riêng và các công ty chứng khoán nói chung cần chịu trách nhiệm giữ an toàn cho tài khoản của khách hàng.
Trong trường hợp có thiệt hại xảy ra, khách hàng có thể tìm kiếm sự bồi thường dựa trên việc công ty không tuân thủ các biện pháp an ninh mạng đã được quy định. Cụ thể, các công ty chứng khoán cần có hệ thống sao lưu để đảm bảo liên tục và bảo vệ dữ liệu, điều này giúp bảo vệ dữ liệu nếu hệ thống bị xâm nhập. Đối với những khách hàng bị ảnh hưởng, việc tìm kiếm sự bồi thường có thể dựa trên các quy định về trách nhiệm dân sự và các quy định pháp lý khác liên quan đến bảo vệ thông tin cá nhân và an ninh mạng.
Đối với quy định về chế tài xử phạt, công ty chứng khoán không thực hiện xây dựng công nghệ thông tin, cơ sở dữ liệu dự phòng để bảo đảm hoạt động an toàn và liên tục của hệ thống thì sẽ bị xử phạt từ 70 đến 100 triệu đồng theo quy định tại Điểm đ Khoản 2 Điều 26 Nghị định 156/2020/NĐ-CP. Tuy nhiên, cũng loại trừ trường hợp Hệ thống không thể hoạt động liên tục do yếu tố khách quan, bất khả kháng. Trong trường hợp đó thì công ty chứng khoán sẽ không phải chịu mức phạt nêu trên.
5. Luật sư có lời khuyên gì cho các nhà đầu tư không? Họ nên làm gì lúc này?
Trả lời:
Trong những tình huống như sự vụ lần này, các nhà đầu tư nên thực hiện một số bước để bảo vệ quyền lợi của mình. Đầu tiên, họ cần theo dõi thông tin chính thức từ công ty chứng khoán và các cơ quan quản lý như Ủy ban Chứng khoán Nhà nước để cập nhật tình hình và biết được các biện pháp khắc phục đang được thực hiện. Thứ hai, nhà đầu tư nên kiểm tra và đảm bảo rằng tất cả các tài sản của họ, bao gồm cổ phiếu và tiền mặt, vẫn an toàn và được bảo vệ. Nếu có bất kỳ dấu hiệu nào cho thấy tài sản của họ bị ảnh hưởng, họ cần liên hệ ngay lập tức với VNDirect và các cơ quan chức năng. Thứ ba, nhà đầu tư có thể cân nhắc việc tìm kiếm sự tư vấn pháp lý để hiểu rõ hơn về quyền lợi và trách nhiệm của mình trong trường hợp này, cũng như các bước có thể thực hiện để đòi bồi thường nếu thiệt hại xảy ra. Cuối cùng, việc duy trì sự bình tĩnh và không lan truyền thông tin không chính thức là quan trọng, nhằm tránh gây hoang mang và ảnh hưởng đến thị trường chứng khoán nói chung.
Tham khảo thêm >> Nhà đầu tư có quyền đòi đền bù trong sự cố VNDirect?