Luật các Tổ chức tín dụng “Luật các TCTD” được xem là một “thước đo” nhằm xác định mức độ bảo đảm an toàn trong quá trình cung ứng dịch vụ ngân hàng, và các văn bản pháp luật khác đang c
Kết quả khảo sát nghiên cứu đề tài
- Luận văn Thạc sĩ Luật học của tác giả Trần Thị Quỳnh Như (2018), Pháp luật về đảm bảo bí mật thông tin khách hàng trong hoạt động ngân hàng, Đại học Huế
- Bài viết của tác giả Nguyễn Thị Kim Thoa (2015), Bảo đảm bí mật thông tin khách hàng của tổ chức hoạt động ngân hàng - Nhìn từ góc độ pháp lý, đăng trên Tạp chí Ngân hàng số 22
- Bài viết của tác giả Nguyễn Thị Kim Thoa (2017), Một số vấn đề pháp lý về bảo đảm bí mật thông tin khách hàng trong hoạt động ngân hàng, đăng trên tạp chí Ngân hàng số 8 năm 2017
- Bài viết của tác giả Nguyễn Hồng Hải (2018), Cần hoàn thiện cơ chế pháp lý về bảo mật thông tin khách hàng tại TCTD – Đặc san Toàn cảnh ngân hàng Việt Nam
- Bài viết của tác giả Nguyễn Thị Kim Thoa (2020), Giới hạn nghĩa vụ bảo mật thông tin khách hàng trong hoạt động ngân hàng theo quy định của pháp luật Việt Nam đăng trên tạp chí Khoa học pháp lý số 01 (131), Trường Đại học Luật TP Hồ Chí Minh, 2020, tr 82-97
- Bài viết của tác giả Nguyễn Thị Kim Thoa (2020), Bảo đảm an toàn thông tin khách hàng trong ngân hàng điện tử tại Việt Nam – Nhìn từ góc độ pháp lý, đăng trên tạp chí Ngân hàng số 16 năm 2020, tr 30-33
- Luận án Tiến sĩ Luật học của tác giả Nguyễn Thị Kim Thoa (2020), Pháp luật về bảo đảm bí mật thông tin khách hàng trong hoạt động Ngân hàng ở Việt Nam, Đại học Quốc gia Thành phố Hồ Chí Minh, Trường Đại học Kinh tế - Luật
Nhìn chung, các bài viết và công trình nghiên cứu nêu trên đã nêu được những vấn đề lý luận như khái niệm về các vấn đề pháp lý, nghĩa vụ bảo mật thông tin khách hàng của các tổ chức tín dụng nói chung trong hoạt động cung ứng dịch vụ ngân hàng, đặc biệt là hướng vào chủ thể là các ngân hàng thương mại Đồng thời, các tác giả kể trên đã đưa ra được cơ sở hình thành, giới hạn nghĩa vụ bảo mật thông tin khách hàng của hệ thống pháp luật Việt Nam thông qua những nghiên cứu, so sánh, đối chiếu với hệ thống văn bản các quốc gia khác trên thế giới bao gồm cả hệ thống thông luật và hệ thống dân luật Từ đó, các tác giả này đã chỉ ra những ưu điểm, thành tựu nhất định của các quy định hiện hành, và cũng đưa ra các nhận định, đánh giá về những bất cập của pháp luật, và song song đó, tác giả cũng vạch ra một số định hướng, đề xuất các giải pháp hoàn thiện pháp luật về bảo mật thông tin cá nhân, đặc biệt là nghĩa vụ bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng
Tuy nhiên, các bài viết và các công trình này đang chỉ hướng đến các ngân hàng thương mại – chiếm phần lớn thị trường cung ứng dịch vụ ngân hàng với lượng khách hàng là rất lớn, mà hiện tại vẫn chưa có nhiều tác giả đề cập và nghiên cứu đến nhóm các công ty tài chính - một chủ thể thuộc nhóm tổ chức tín dụng, đang trên đà phát triển vượt trội và ngày càng được biết đến, được tiếp nhận bởi một số lượng không nhỏ người dân Việt Nam Hơn nữa, ngày 17 tháng 4 năm 2023 vừa qua, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đến toàn bộ cơ quan, các tổ chức và cá nhân thuộc mọi lĩnh vực kinh doanh trên khắp Việt Nam Và Nghị định này sẽ chính thức có hiệu lực vào ngày 01 tháng 7 năm 2023 cũng là một hồi chuông cảnh tỉnh cho tất cả các tổ chức, nhất là nhóm tổ chức tín dụng nói chung, công ty tài chính nói riêng Vì vậy, trên cơ sở thông qua kết quả nghiên cứu của các bài viết, các công trình nêu trên, tác giả sẽ kế thừa về cơ sở hình thành nghĩa vụ bảo mật thông tin khách hàng, giới hạn của nghĩa vụ này trong hoạt động của các ngân hàng thương mại, tham khảo để phân tích, đưa ra các giải pháp và kiến nghị phù hợp khi nghiên cứu về nghĩa vụ bảo mật thông tin khách hàng của các công ty tài chính trong hoạt động cung ứng dịch vụ ngân hàng
Tác giả cũng sẽ đồng thời dựa trên quy định tại Nghị định số 13/2023/NĐ-CP để phân tích một số vướng mắc mà các công ty tài chính sẽ gặp phải trong quá trình chuyển tiếp khi Nghị định này sẽ có hiệu lực và ảnh hưởng mạnh mẽ đến hoạt động cung ứng dịch vụ ngân hàng của mình Bên cạnh đó, tác giả sẽ chủ động tham khảo pháp luật một số nước có quy định về khái niệm, cơ sở hình thành nghĩa vụ bảo mật thông tin khách hàng trong hoạt động ngân hàng từ đó đánh giá thực trạng về việc thực thi nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính tại Việt Nam và đưa ra kiến nghị phù hợp để hoàn thiện pháp luật, phù hợp với tình hình thực tiễn và với các quy định pháp luật mới vừa ban hành, đặc biệt là Nghị định 13/2023/NĐ-CP có hiệu lực vào ngày 01/7/2023
Tác giả sẽ tiến hành làm rõ, phân tích bản chất, cơ sở hình thành, phạm vi, nguyên tắc, các giới hạn nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính trong hoạt động cung ứng dịch vụ ngân hàng Từ đó, tác giả tiếp tục dựa trên các nghiên cứu để làm cơ sở cho việc xác định các bất cập đang tồn tại trong việc áp dụng quy định pháp luật hiện hành cần được điều chỉnh và có giải pháp thích hợp khi thực thi nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính để làm giảm thiểu, hạn chế các vi phạm, các tình trạng lạm dụng những giới hạn này để tự ý tiết lộ hoặc thực hiện không đầy đủ/ không tốt nghĩa vụ bảo mật thông tin trong hoạt động cung ứng dịch vụ ngân hàng của công ty tài chính.
Các vấn đề dự kiến cần giải quyết: điểm mới và các đóng góp về lý luận
Với những công trình nghiên cứu về nghĩa vụ bảo mật thông tin khách hàng trong hoạt động ngân hàng hướng đến các ngân hàng thương mại – chiếm phần lớn thị trường cung ứng dịch vụ ngân hàng, tại luận văn này tác giả sẽ đề cập và nghiên cứu đến nhóm các công ty tài chính, cũng là một chủ thể thuộc nhóm tổ chức tín dụng, đang cung ứng dịch vụ ngân hàng cho một lượng không nhỏ người dân Việt Nam Tác giả sẽ nghiên cứu các nội dung cụ thể như sau: i Tổng quan về nghĩa vụ bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng của công ty tài chính
Dựa trên một số quy định pháp luật ở nước ngoài, hệ thống pháp luật hiện hành của pháp luật Việt Nam (những quy định pháp pháp luật đã ban hành được một khoảng thời gian, những quy định pháp luật vừa mới được ban hành) tác giả sẽ nghiên cứu về cơ sở hình thành nghĩa vụ bảo mật thông tin khách hàng, phạm vi thực hiện bao gồm: những thông tin khách hàng phải bảo mật là những thông tin nào và thời hạn thực hiện, duy trì nghĩa vụ này trong bao lâu Đồng thời, tác giả sẽ nêu ra tính thiết yếu trong việc thực hiện nghĩa vụ bảo mật thông tin khách hàng khi công ty tài chính cung ứng dịch vụ ngân hàng ii Việc thực thi nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính trong quá trình cung ứng dịch vụ ngân hàng
Tại nội dung này, tác giả sẽ nghiên cứu về những nguyên tắc cốt lõi khi thực hiện nghĩa vụ bảo mật thông tin khách hàng mà công ty tài chính cần phải tuân thủ, những trách nhiệm pháp lý phát sinh trong trường hợp có hành vi vi phạm xảy ra dựa theo các quy định pháp luật hiện hành về các chế tài xử lý có liên quan đến những hành vi xâm phạm đến thông tin, dữ liệu cá nhân của khách hàng Ngoài ra, tác giả cũng sẽ nêu lên thực trạng hiện tại trong việc thực thi nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính, nêu lên những bất cập, vấn đề cần phải hoàn thiện, dẫn chứng một số vấn đề chưa thực sự được giải quyết triệt để bởi những quy định pháp luật vừa được ban hành gần đây Từ đó, tác giả đưa ra những kiến nghị, đề xuất để pháp luật về nghĩa vụ bảo mật thông tin khách hàng có thể chặt chẽ hơn và phù hợp với thực tiễn hơn.
TỔNG QUAN VỀ NGHĨA VỤ BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG CUNG ỨNG DỊCH VỤ NGÂN HÀNG CỦA CÔNG TY TÀI CHÍNH
Khái quát về nghĩa vụ bảo mật thông tin khách hàng của công
1.1.1 Khái niệm thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng của công ty tài chính
Ngày nay, đời sống của con người ngày càng hiện đại, các mối quan hệ không ngừng mở rộng dẫn đến sự gia tăng không ngừng nghỉ của lượng thông tin, và cũng từ đó thông tin trở thành một trong những nhu cầu rất thiết yếu và cơ bản Có thể nói, hiện nay hầu như không một ngành công nghiệp, sản xuất và dịch vụ nào lại không quan tâm đến thông tin Những quan điểm và đánh giá khác nhau của lĩnh vực này đã dẫn đến những khái niệm khác nhau về thông tin
Về cơ bản, thông tin là các sự việc, ý tưởng, là những phán đoán, sự kiện góp phần làm gia tăng sự hiểu biết, nhận thức của con người Thông tin chính là dữ liệu 4
4 “Tài nguyên quý giá nhất của thế giới không còn là dầu mỏ, mà là dữ liệu” - The Economist, The world’s most valuable resource is no longer oil, but data, 06/5/2017,
, truy cập ngày 21/12/2022 chính xác, đã được hệ thống hóa, dễ hiểu, có liên quan và kịp thời Thông tin được tạo nên trong quá trình giao tiếp: một nguời có thể nhận thông tin trực tiếp từ một hoặc nhiều người khác thông qua các phương tiện thông tin đại chúng, từ các ngân hàng dữ liệu, hoặc từ tất cả các hiện tượng mà người này quan sát được trong cuộc sống hàng ngày Từ điển Oxford Learners’ Dictionaries cho rằng thông tin là “các sự thật hoặc chi tiết về một người / sự việc nào đó” 5 còn theo từ điển Bách khoa toàn thư Việt Nam thì thông tin là “một khái niệm cơ bản của khoa học hiện đại, khái quát về các điều hiểu biết, tri thức thu được qua nghiên cứu, khảo sát hoặc trao đổi giữa các đối tượng với nhau” 6
Trong lĩnh vực tin học, thông tin chính là tập hợp của rất nhiều dữ liệu sau khi được xử lý cho ta những kiến thức, hiểu biết về một vấn đề, sự việc nào đó Thông tin còn là những dữ liệu có khả năng làm thay đổi tình trạng kiến thức của một cá nhân (những gì mà người đó đã biết) và cũng đồng thời đại diện về vật chất cho những gì trừu tượng có thể tạo ra được sự thay đổi này
Vậy, mỗi lĩnh vực khác nhau thì định nghĩa về thông tin cũng rất khác nhau Các quan điểm về thông tin rất đa dạng và cũng tùy thuộc vào từng lĩnh vực nghiên cứu cụ thể
Trong lĩnh vực ngân hàng, chủ thể cung ứng dịch vụ ngân hàng cho khách hàng là các tổ chức tín dụng 7 , ngoài các ngân hàng thương mại thì hiện nay, các chủ thể là tổ chức tín dụng phi ngân hàng cung cấp dịch vụ ngân hàng đang nhận được rất nhiều sự quan tâm đặc biệt từ xã hội đó là công ty tài chính Khác với các ngân hàng thương mại, thì các công ty tài chính không được thực hiện các hoạt động nhận tiền gửi của cá nhân và cung ứng các dịch vụ thanh toán qua tài khoản của khách hàng 8 Chủ thể còn lại sử dụng dịch vụ ngân hàng cung cấp bởi các công ty tài chính là khách hàng – một bên trong quan hệ dân sự, thương mại với tư cách là người mua và sử dụng dịch vụ Để thực hiện việc cung cấp các dịch vụ của mình, song song với thực hiện việc kiểm soát các giao dịch thì các công ty tài chính cần phải biết thông tin khách hàng
5 Oxford Leaners’ Dictionaries – Definition of Information: facts or details about somebody / something
6 Từ điển Bách khoa toàn thư Việt Nam, Tập 4 – Trang 257
7 Khoản 1 Điều 4 Luật Các tổ chức tín dụng năm 2010, sửa đổi bổ sung năm 2017
Tổ chức tín dụng là doanh nghiệp thực hiện một, một số hoặc tất cả các hoạt động ngân hàng Tổ chức tín dụng bao gồm ngân hàng, tổ chức tín dụng phi ngân hàng, tổ chức tài chính vi mô và quỹ tín dụng nhân dân
8 Khoản 4 Điều 4 Luật Các tổ chức tín dụng năm 2010, sửa đổi bổ sung năm 2017
Thông tin khách hàng trong lĩnh vực hoạt động cung ứng dịch vụ ngân hàng là những thông tin mà các tổ chức tín dụng thu thập được bằng hoạt động nghiệp vụ của mình Việc xác định và ghi nhận khái niệm thông tin khách hàng của một tổ chức tín dụng có thể khái quát thành hai cách nhận diện thông tin khách hàng:
Thông tin khách hàng đối với các ngân hàng thương mại, tại một số quốc gia được ghi nhận thông qua phương pháp này thì thường được liệt kê một cách chi tiết tất cả các thông tin được cho là có mối liên hệ đến các giao dịch được thực hiện giữa các ngân hàng thương mại với khách hàng Ví dụ như theo quy định tại Luật Ngân hàng của Singapore ban hành năm 1970, được sửa đổi, bổ sung qua nhiều năm và lần sửa đổi, bổ sung gần nhất là vào năm 2020, thông tin khách hàng là: “a) thông tin liên quan đến hoặc bất kỳ thông tin nào về tài khoản của khách hàng, cho dù tài khoản đó là khoản vay, đầu tư hoặc bất kỳ loại giao dịch nào khác, nhưng không bao gồm thông tin không thể tham chiếu đến khách hàng hoặc nhóm khách hàng được định danh; hoặc b) “thông tin tiền gửi” - thông tin tiền gửi là thông tin liên quan đến i) bất kỳ khoản tiền gửi nào của khách hàng, ii) các quỹ của khách hàng do ngân hàng quản lý; hoặc là c) két an toàn hoặc bất kỳ thỏa thuận lưu ký an toàn được thực hiện bởi một khách hàng với ngân hàng, nhưng cũng không bao gồm thông tin không được đề cập đến bất kỳ khách hàng hoặc nhóm khách hàng định danh nào” 9
Theo đó, thông tin khách hàng trong Luật Ngân hàng của quốc gia Singapore là những loại thông tin mà phải có khả năng xác định được danh tính của khách hàng, còn những thông tin không thể định danh được khách hàng thì không được coi là thông tin khách hàng
Tại một số quốc gia khác, khái niệm “thông tin khách hàng” của các ngân hàng thương mại được ghi nhận thông qua phương pháp loại trừ thì thường các khái niệm này sẽ ghi nhận tất cả các thông tin có mối liên hệ đến quá trình giao dịch của khách hàng với ngân hàng và loại trừ các thông tin khách hàng đã được công khai rộng rãi hoặc đã được biết đến bởi nhiều người Tại Thụy Sĩ, theo quy định của hệ thống pháp luật nước này thì các ngân hàng bị ràng buộc về mặt pháp lý để giữ bí mật liên quan
9 Article 40A – Section 7, Singapore Banking Act (Luật Ngân hàng Singapore năm 1970, sửa đổi bổ sung năm
2020), amended and supplemented in 2020, Interpretation of “customer information” đến những giao dịch với khách hàng cũng như bất kỳ thông tin nào phát sinh từ các giao dịch đó 10 Có thể thấy, theo pháp luật của quốc gia Thụy Sĩ, thông tin khách hàng được quy định rất khái quát, bao hàm rộng gồm bất cứ thông tin nào phát sinh, xuất hiện trong mối quan hệ giữa khách hàng và ngân hàng Như vậy, mặc dù có sự khác nhau về cách thức ghi nhận, nhưng có thể thấy rằng, hầu hết các quốc gia đều thống nhất thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng không đơn giản chỉ là những thông tin có mối liên hệ đến tài khoản, tiền gửi và các giao dịch khác của khách hàng mà còn bao gồm bất kỳ thông tin nào trong hồ sơ của khách hàng khi yêu cầu thiết lập quan hệ hợp đồng với các ngân hàng thương mại
Thông tin khách hàng,tại Việt Nam, không được ghi nhận trong Luật các tổ chức tín dụng năm 2010 sửa đổi bổ sung năm 2017, nhưng lại được hướng dẫn tại Khoản 1 Điều 3 Nghị định số 117/2018/NĐ-CP được ban hành bởi Chính phủ vào ngày 11 tháng 9 năm 2018 về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài thì: “Thông tin khách hàng của
TCTD, CNNHNNg (sau đây gọi là thông tin khách hàng) là thông tin do khách hàng cung cấp, thông tin phát sinh trong quá trình khách hàng đề nghị hoặc được TCTD, CNNHNNg cung ứng các nghiệp vụ ngân hàng, sản phẩm, dịch vụ trong hoạt động được phép, bao gồm thông tin định danh khách hàng và thông tin sau đây: thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại TCTD, CNNHNNg và các thông tin có liên quan khác.”
Phạm vi nghĩa vụ bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng của công ty tài chính
ứng dịch vụ ngân hàng của công ty tài chính
1.2.1 Thông tin khách hàng cần được bảo mật
Công ty tài chính với tư cách là một tổ chức tín dụng, về nguyên tắc, phải duy trì nghĩa vụ bảo mật toàn bộ những thông tin khách hàng hình thành trong mối quan hệ giữa công ty tài chính và khách hàng Trong mối quan hệ pháp luật hình thành giữa các công ty tài chính và khách hàng, thì quyền và nghĩa vụ của những chủ thể này phải luôn được tôn trọng, thống nhất và hài hòa với nhau Với công ty tài chính, khi yêu cầu khách hàng cung cấp thông tin để phục vụ cho việc vận hành, thực hiện hoạt động kinh doanh của mình thì các tổ chức này phải bảo mật thông tin khách hàng mà họ thu thập được, mặt khác các công ty tài chính cũng đồng thời có quyền được từ chối yêu cầu cung cấp, chia sẻ thông tin từ bên thứ ba nhằm đảm bảo quyền và lợi ích hợp pháp của khách hàng Khi khách hàng tham gia vào mối quan hệ với các công ty tài chính thì họ phải thực hiện nghĩa vụ cung cấp các thông tin theo yêu cầu, hơn nữa, khách hàng cũng có quyền là được bảo vệ một cách hợp pháp và không thể bị xâm phạm bởi bất kỳ chủ thể nào khác đối với các thông tin về tài khoản, giao dịch và một số thông tin khác của mình phải
Như vậy, về mặt lý luận, loại thông tin khách hàng cần được bảo mật có thể phân thành các giai đoạn như sau: i) Các thông tin ban đầu được thu thập, xử lý từ trước khi bắt đầu thiết lập quan hệ hợp đồng giữa công ty tài chính và khách hàng chẳng hạn như thông tin có mối liên hệ với thông tin cá nhân của khách hàng, thông tin số tài khoản ngân hàng nhận tiền giải ngân, các câu hỏi bảo mật cho dịch vụ đăng ký mở thẻ tín dụng, địa chỉ giao nhận thẻ tín dụng, thông tin người liên hệ khẩn cấp ii) Thông tin khách hàng phát sinh kể từ khi thiết lập quan hệ hợp đồng và trong quá trình thực hiện hợp đồng giữa khách hàng và công ty tài chính như thông tin tiền gửi của tổ chức và các thông tin giao dịch của khách hàng khi sử dụng dịch vụ ngân hàng của công ty tài chính hay thông tin liên lạc mới iii) Thông tin khách hàng sau khi đã kết thúc quan hệ hợp đồng với công ty tài chính
Việc xác định loại thông tin khách hàng mà các công ty tài chính có nghĩa vụ bảo mật trong mỗi giai đoạn đều có những đặc điểm riêng Chẳng hạn, đối với giai đoạn từ trước khi phát sinh mối quan hệ hợp đồng giữa khách hàng và công ty tài chính, ưu điểm là đã xác định rõ phạm vi thông tin nào của khách hàng cần phải được thu thập, xử lý tại giai đoạn này và những thông tin đó cần phải được bảo mật ngay cả khi quan hệ hợp đồng không được giao kết bởi hai bên Tại thời điểm này, mối quan hệ hợp đồng giữa khách hàng và công ty tài chính chưa có nhưng thông tin khách hàng vẫn phải được bảo mật theo nghĩa vụ dân sự vì mỗi cá nhân đều có quyền đối với đời sống riêng tư, bí mật cá nhân, gia đình của mình 44 Điều này tạo ra cơ chế rõ ràng trong việc bảo mật thông tin, đồng thời xác định một cách dễ dàng trách nhiệm của công ty tài chính trong việc bảo mật thông tin của khách hàng ngay cả trước khi thiết lập quan hệ hợp đồng giữa hai bên Với những thông tin ở giai đoạn này, sau khi đã xin được sự chấp thuận của khách hàng, công ty tài chính có thể đẩy mạnh việc quảng cáo, tiếp cận lại khách hàng để tiếp tục quảng bá những dịch vụ của mình để tìm kiếm cơ hội thiết lập mối quan hệ hợp đồng khác với khách hàng Đối với giai đoạn bắt đầu thiết lập và trong quá trình thực hiện hợp đồng, công ty tài chính phải có nghĩa vụ bảo mật toàn bộ những thông tin hình thành trong mối quan hệ giữa công ty tài chính và khách hàng của mình thì có thể thấy phạm vi nghĩa vụ bảo mật thông tin tương đối rộng và bao quát hơn Điều này sẽ tạo được sự an tâm và tin tưởng tuyệt đối cho khách hàng Bởi lẽ, khách hàng đều mong rằng những thông tin cá nhân, riêng tư của mình được bảo mật và họ có sự tín nhiệm nhất định đối với công ty tài chính Nhưng thông tin khách hàng mà các công ty tài chính nắm giữ không chỉ dừng lại ở thông tin tiền gửi của tổ chức, và các thông tin giao dịch của khách hàng mà còn bao gồm những thông tin có liên hệ đến tình hình tài chính của cá nhân, doanh nghiệp và các dự án đầu tư kinh doanh, kế hoạch sản xuất, kinh doanh của khách hàng và cũng có thể bao gồm cả “sức khỏe” tài chính, và thậm chí cả thông tin liên lạc mới trường hợp khách hàng có sự thay đổi chỗ ở, nơi làm việc… Nếu các đối thủ cạnh tranh, đối tác trên thị trường của khách hàng được công ty tài chính mà khách hàng đang có giao dịch cung cấp những thông tin này cho họ, và từ đó những đối thủ này có biện pháp cạnh tranh không ngay thẳng, không lành
44 Điều 38 Bộ luật dân sự năm 2015 mạnh thậm chí có phần tiêu cực Điều này sẽ gây thiệt hại nghiêm trọng về cả tài chính và danh tiếng cho chính khách hàng của công ty tài chính Trong giai đoạn này, có hai loại nghĩa vụ bảo mật thông tin khách hàng mà công ty tài chính cần phải nghiêm túc thực hiện đó là nghĩa vụ theo luật và nghĩa vụ theo thỏa thuận của các bên Theo đó, căn cứ vào quy định pháp luật thì công ty tài chính phải thực hiện nghĩa vụ bảo mật thông tin khách hàng bao gồm cả cách thức, phương thức bảo mật cũng như quy trình cung cấp thông tin khách hàng cũng phải tuân thủ quy định pháp luật một cách nghiêm ngặt, nếu vi phạm sẽ phải chịu trách nhiệm hành chính trước cơ quan nhà nước có thẩm quyền, chịu trách nhiệm dân sự về bồi thường thiệt hại ngoài hợp đồng cho khách hàng nếu hành vi vi phạm đó gây tổn hại đến quyền, lợi ích hợp pháp của khách hàng Đồng thời, công ty tài chính và khách hàng cũng có thể thỏa thuận về nghĩa vụ bảo mật thông tin nhưng phải nằm trong khuôn khổ pháp luật cho phép Các thỏa thuận liên quan đến nghĩa vụ bảo mật thông tin giữa khách hàng và công ty tài chính sẽ mang tính bình đẳng, tự nguyện Hai bên cần phải thực hiện đúng, đầy đủ các quyền và nghĩa vụ được liệt kê trong hợp đồng, nếu một trong hai bên không tuân thủ thỏa thuận thì sẽ phải chịu phạt vi phạm, trong trường hợp có gây thiệt hại thì bên vi phạm phải bồi thường cho những thiệt hại thực tế đối với bên bị vi phạm nếu hai bên có thỏa thuận về nghĩa vụ bồi thường Đối với trường hợp thứ ba, công ty tài chính phải có nghĩa vụ bảo mật mọi thông tin khách hàng sau khi đã kết thúc quan hệ hợp đồng với công ty tài chính theo quy định của Luật phòng, chống rửa tiền năm 2022 45 với thời hạn là 05 năm, và đặc biệt, theo quy định cụ thể của Ngân hàng nhà nước Tất cả những thông tin khách hàng bao gồm thông tin cung cấp bởi chính khách hàng, thông tin hình thành, phát sinh trong quá trình thực hiện hợp đồng giữa công ty tài chính và khách hàng cho đến khi hợp đồng chấm dứt thì đều được công ty tài chính lưu trữ và bảo mật theo quy định pháp luật
Trên thế giới, thực tiễn áp dụng pháp luật tại các quốc gia cũng có một số quy định có liên hệ đến nội dung này khi áp dụng cho các tổ chức tín dụng nói chung và được phân theo hai cách như sau: i) Một là, liệt kê thông tin khách hàng trong quá trình cung ứng dịch vụ ngân hàng mà các tổ chức tín dụng có được
45 Khoản 2 Điều 38 Luật phòng, chống rửa tiền năm 2022
Bằng cách thức này, những thông tin khách hàng mà tổ chức tín dụng phải bảo mật được liệt kê một cách chi tiết trong quá trình thực hiện các hoạt động nghiệp vụ Ví dụ như Singapore, quy định tại Điều 40A của Chương 19 Luật Ngân hàng Singapore năm 1970 được sửa đổi bổ sung năm 2020 có quy định rằng ngân hàng phải bảo mật các thông tin có liên hệ đến tài khoản, tiền gửi, các khoản về đầu tư của khách hàng và các thỏa thuận lưu ký an toàn của khách hàng hoặc các hợp đồng dịch vụ két an toàn 46
Còn ở Anh, án lệ Tournier v National provincial and Union bank of England 47 thì các ngân hàng không thực hiện bất cứ hành vi tiết lộ cho bất cứ chủ thể nào khác mà không có sự chấp thuận một cách minh thị hoặc bằng ngụ ý của khách hàng liên quan đến một trong các thông tin sau: trạng thái, tình hình tài khoản hoặc bất cứ giao dịch nào của khách hàng phát sinh tại ngân hàng, hoặc bất cứ thông tin nào khác có liên hệ đến khách hàng mà ngân hàng có được bằng việc nắm giữ tài khoản của khách hàng, ngoại trừ trường hợp ngân hàng buộc phải tuân theo lệnh của Tòa án, hoặc trong trường hợp phát sinh nhiệm vụ công khai hoặc nhằm mục đích bảo vệ quyền lợi của chính đáng của ngân hàng
Tại Việt Nam với hệ thống dân luật cũng có quy định pháp luật mang tinh thần pháp lý nêu trên được quy định tại Nghị định 117/2018/NĐ-CP Tổ chức tín dụng trong đó có công ty tài chính phải bảo mật thông tin khách hàng như được liệt kê tại Khoản 1 Điều 3 và chỉ được cung cấp, chia sẻ các thông tin có liên quan đến khách hàng cho các cơ quan, tổ chức và cá nhân khác khi có thỏa thuận với khách hàng hay trong trường hợp pháp luật có quy định cho phép Theo đó, có thể thấy công ty tài chính tại Việt Nam cũng thực hiện nghĩa vụ tương đương với các ngân hàng tại Thụy
Sĩ và Anh nêu trên ii) Hai là, những dữ liệu về tài chính, thông tin có liên hệ đến khách hàng mà tổ chức tín dụng có được trong quá trình cung ứng dịch vụ ngân hàng được ghi nhận, và ngoại trừ những thông tin khách hàng đã được công khai hay đã được biết đến bởi nhiều người
46 Điều 40A – Phần 7, Luật Ngân hàng Singapore (Singapore Banking Act) năm 1970, sửa đổi bổ sung năm
47 [IN THE COURT OF APPEAL] Tournier v National provincial and Union bank of England
BANKES, SCRUTTON, and ATKIN L.JJ
truy cập ngày 10/3/2023
Tại Thụy Sĩ, quy định của Luật liên bang về Ngân hàng và các Ngân hàng tiết kiệm, cụ thể tại Điều 47 có nội dung nghiêm cấm hành vi làm lộ ra bất kỳ thông tin nào đã được khách hàng giao phó, cung cấp cho ngân hàng Mặc dù vậy, theo các phán quyết của tòa án nghiêm cấm các ngân hàng thực hiện hành vi tiết lộ các thông tin có tính bí mật của khách hàng cho chủ thể khác, dù là cá nhân hay cơ quan nhà, trừ khi pháp luật có quy định khác Theo đó, điều này bao gồm: thông tin về mối quan hệ của ngân hàng với khách hàng, thông tin khách hàng về tình trạng tài chính, mối quan hệ, hợp tác giữa khách hàng với các ngân hàng khác (nếu có), các giao dịch của chính ngân hàng… nếu như việc tiết lộ những thông tin kể trên bất lợi cho khách hàng 48
Có thể thấy, hai hệ thống pháp luật quy định phạm vi thông tin khách hàng trong hoạt động ngân hàng phải được bảo mật có sự khác nhau tương đối rõ nét Cụ thể, pháp luật các quốc gia áp dụng hệ thống dân luật đặt ra quy định về nghĩa vụ bảo mật thông tin khách hàng không chỉ nằm trong phạm vi thông tin được khách hàng chủ động cung cấp, mà còn là bất cứ thông tin nào xung quanh có liên hệ đến khách hàng khi khách hàng thực hiện giao dịch với các tổ chức tín dụng sẽ được bảo mật; còn pháp luật của các quốc gia áp dụng hệ thống thông luật thì lại xây dựng quy định bằng việc liệt kê một cách cụ thể, chi tiết thông tin khách hàng cần phải được bảo mật Việc đưa ra giới hạn, khoanh vùng phạm vi thông tin khách hàng phải được bảo mật như trên bắt nguồn từ truyền thống bảo vệ quyền riêng tư, đẩy mạnh sự cạnh tranh không chỉ trong nước mà cả ở những quốc gia bên ngoài Tuy nhiên, ở cả hai hệ thống pháp luật có điểm tương đồng là đều xây dựng quy định phải bảo mật bất kỳ thông tin nào có liên hệ với khách hàng trong quá trình khách hàng sử dụng dịch vụ của các tổ chức tín dụng
Tại Việt Nam, thông tin khách hàng mà TCTD, CNNHNNg phải bảo mật về cơ bản có phạm vi gồm thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và những giao dịch của khách hàng tại các tổ chức này 49 bên cạnh thông tin riêng tư, cá nhân của khách hàng Những thông tin này nắm giữ vai trò rất quan trọng đối với tất cả khách hàng, đặc biệt là các khách hàng tổ chức, đây được phân vào dữ liệu cá nhân nhạy cảm theo Nghị định 13/2023/NĐ-CP 50 Như vậy, hệ thống pháp luật Việt Nam
48 Maurice Aubert (1984), The Limits of Swiss Banking Secrecy under Domestic and International Law, tr.275
49 Điều 14 Luật các tổ chức tín dụng năm 2010, sửa đổi bổ sung năm 2017
50 Điểm h Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP quy định theo phương thức liệt kê đối với phạm vi thông tin khách hàng mà các tổ chức tín dụng nói chung và các công ty tài chính nói riêng phải bảo mật và rõ ràng, đây được xem là các thông tin vô cùng quan trọng và riêng tư của khách hàng, nếu các công ty tài chính mà tiết lộ một hoặc nhiều thông tin xác định danh tính, chẳng hạn như họ tên, địa chỉ thường trú hay số điện thoại của khách hàng – những dữ liệu cá nhân cơ bản mà theo quy định pháp luật là cần phải được bảo mật 51 , những kẻ gian có thể lạm dụng để trục lợi hay là thực hiện một số hành vi khác như gây rối cho khách hàng để đe dọa nhằm yêu cầu khách hàng tiến hành các giao dịch mà khách hàng trái ý muốn, hoặc những kẻ này sẽ mạo danh khách hàng để tự thực hiện các giao dịch ngoài ý chí và hiểu biết của khách hàng, yêu cầu các công ty tài chính phải cung cấp thêm nhiều thông tin khác về khách hàng… trên cơ sở giả mạo bằng các chứng từ định danh bị làm giả hoặc lợi dụng sự tín nhiệm của khách hàng để tạm thời chiếm giữ điện thoại và thực hiện các cuộc gọi đến các công ty tài chính và sau đó có hành vi gây thiệt hại cho tài sản hoặc danh dự, nhân phẩm của khách hàng
Liên quan đến thông tin về các giao dịch với công ty tài chính, thực tế cũng tương đương những thông tin mà ngân hàng thương mại và các tổ chức tín dụng khác thu thập, lưu trữ và phải có nghĩa vụ bảo mật Nắm được những thông tin này có thể nắm bắt được tình hình và khả năng tài chính hiện tại của khách hàng tại một thời điểm nhất định Đa phần các khách hàng đều rất không mong muốn việc có các giao dịch vay tiền hay mua hàng hóa trả góp với mục đích tiêu dùng, phục vụ nhu cầu đời sống bị người khác biết được, ngay cả là người thân trong gia đình và bạn bè thân thiết Một số khách hàng xem đây là thông tin nhạy cảm và vô cùng đề cao tính bảo mật khi thực hiện giao dịch với các công ty tài chính Điều này cũng đồng nghĩa với việc người khác hoàn toàn có thể đánh giá được tình trạng tài chính của khách hàng hoặc có thể đưa ra những đánh giá, lời nhận xét ngoài mong muốn của khách hàng Ở một số trường hợp khác, nếu công ty tài chính tiết lộ về khoản vay của khách hàng tại tổ chức mình thì có rủi ro sẽ làm khách hàng mất cơ hội hợp tác và phát triển với các đối tác tiềm năng Bởi khi những đối thủ cạnh tranh tận dụng những thông tin này để gây áp lực cho khách hàng trong quá trình mua, bán sản phẩm do đã nắm bắt được khả năng tài chính của khách hàng trong thời điểm đó Điều này sẽ gây thiệt hại nghiêm trọng về danh tiếng cũng như tài chính của khách hàng vì khi đó khách hàng đã bị xâm hại đến lợi ích chính đáng
51 Khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP
Còn về thông tin tiền gửi, thông tin liên quan đến tài sản gửi của nhóm khách hàng tổ chức, các công ty tài chính phải có nghĩa vụ bảo mật không chỉ khoản tiền gửi, tài sản gửi, mà còn bảo đảm được những thông tin mang tính riêng tư, các thông tin cá nhân của người gửi tiền, tài sản tại tổ chức mình
Sự cần thiết trong việc bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng
cung ứng dịch vụ ngân hàng
Trong những năm gần đây, nghĩa vụ bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng của tổ chức tín dụng nói chung và công ty tài chính nói riêng đã và đang trở thành chủ đề được bàn luận và cũng là chủ đề của những lời chỉ trích nặng nề liên quan đến các hành động che đậy các loại tội phạm và hành vi không hợp pháp đối với hầu hết các hệ thống pháp luật trên thế giới như trốn thuế, rửa tiền, tài trợ khủng bố… sau rất nhiều áp lực quốc tế chủ yếu từ Liên Hợp Quốc (The United Nations - UN) trong cuộc chiến chống ma túy 59 , Lực lượng Đặc nhiệm Tài chính Quốc tế (Financial Action Task Force - FATF) trong hoạt động phòng, chống rửa tiền, chống khủng bố và tài trợ khủng bố , 60 Tổ chức Hợp tác Kinh tế và Phát triển (OECD) 61 trong một chiến dịch mang tầm cỡ toàn cầu liên quan đến tính
58 Khoản 1 Điều 1 Nghị định số 70/2000/NĐ-CP ngày 22/11/2000 chỉ quy định việc tổ chức tín dụng có nghĩa vụ giữ bí mật, lưu trữ và cung cấp các thông tin có liên quan đến tiền gửi và tài sản gửi của khách hàng gửi tại các TCTD…
59 Liên Hợp Quốc, trong nỗ lực chống buôn bán ma túy, vào năm 1988, UN đã thông qua một Công ước về Chống buôn bán bất hợp pháp các chất ma tuý và chất hướng thần, trong Khoản 3 Điều 5 Công ước
60 Nhiệm vụ hàng đầu của FATF là giúp các nước thành viên ban hành các quy định về chống rửa tiền mà mục tiêu cuối cùng là ban hành được Luật phòng, chống rửa tiền Với mục tiêu này, tháng 4/1990, FATF đưa ra 40 khuyến nghị nhằm chống lại sự lạm dụng hệ thống tài chính để rửa tiền buôn lậu ma túy (Xem thêm: 40 Khuyến nghị của Lực lượng đặc nhiệm tài chính về chống rửa tiền (FATF),
, truy cập ngày 01/4/2023
61 Organisation for Economic Cooperation and Development - OECD chịu trách nhiệm khởi xướng chiến dịch toàn cầu về việc bãi bỏ bảo mật ngân hàng liên quan đến tính minh bạch thuế minh bạch thuế Tuy nhiên, nghĩa vụ bảo mật thông tin khách hàng của các TCTD là cần thiết và đối với khách hàng, với chính tổ chức tín dụng và của cả nền kinh tế của mỗi quốc gia đều có ý nghĩa rất quan trọng Tại Việt Nam và một số quốc gia trên thế giới, với tư cách cũng là một tổ chức tín dụng, công ty tài chính cũng chịu sự điều chỉnh chung một hệ thống pháp lý với các ngân hàng thương mại dưới cùng một cơ quan chủ quản, tại Việt Nam là Ngân hàng nhà nước Theo đó, nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính có những ý như sau:
- Ý nghĩa đối với khách hàng
Bằng việc thu thập, phân tích các dữ liệu, thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng của công ty tài chính, cũng như các thông tin này có tác động đến đời sống hàng ngày, hoạt động kinh doanh của khách hàng, cho thấy rằng bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng là rất cần thiết
Thứ nhất, bảo vệ thông tin cá nhân và những dữ liệu liên quan
Khi khách hàng giao kết hợp đồng với công ty tài chính, tổ chức này bắt đầu tiến hành thu thập, ghi nhận thông tin có liên hệ đến khách hàng để xác minh, kiểm tra thông tin xác minh danh tính và các thông tin khác của khách hàng dựa trên yêu cầu về “nhận biết khách hàng” 62 Trường hợp những thông tin này không được bảo mật chặt chẽ, khách hàng sẽ dễ bị tổn hại trước những hành vi xâm phạm, đặc biệt là sau khi các hoạt động ngân hàng trực tuyến được đẩy mạnh không ngừng, nhất là sau khoảng thời gian dịch Covid-19 bùng nổ Với phương châm tiện lợi, nhanh chóng trong tầm tay việc sử dụng dịch vụ ngân hàng trực tuyến đang là xu thế và tội phạm trên các mạng trực tuyến cũng đang hướng đến xu thế vừa nêu để lừa đảo, chiếm đoạt tài sản của người dùng Gần đây, có hai cách thức mà “tin tặc” (hacker) thường xuyên sử dụng để thực hiện hành vi chiếm đoạt tài sản của người sử dụng, ví dụ như ở Việt Nam đó là sử dụng mã độc để lấy cắp thông tin tài khoản – mật khẩu, hoặc qua mặt người dùng bằng thủ đoạn giả mạo các website của các tổ chức tín dụng Nếu gian lận trong ngành tài chính tiếp tục gia tăng do hành vi mạo danh, lấy cắp danh tính của người khác, thì không chỉ là bắt buộc công ty tài chính phải giữ cho thông tin khách hàng an toàn và bảo mật nhằm ngăn chặn việc đánh cắp thông tin, mà công ty tài chính còn phải trang bị một hệ thống kỹ thuật, có các biện pháp tuân thủ, ngăn chặn
62 Quy định nhận biết khách hàng là một yêu cầu bắt buộc ở Việt Nam mà tổ chức tài chính phải áp dụng (Điều
9, 10 Luật Phòng, chống rửa tiền năm 2022) lừa đảo, hacker hiệu quả để kịp thời phát hiện và loại trừ các trường hợp giả mạo danh tính và gian lận
Hơn nữa, thông tin khách hàng mà công ty tài chính có “trong tay” phản ánh thêm nhiều khía cạnh riêng tư, cá nhân của khách hàng Ví dụ, công ty tài chính biết được thông tin liên quan đến công việc, độ tuổi, tình trạng hôn nhân của khách hàng, thông tin liên hệ của các số liên hệ khẩn cấp, các thói quen tiêu dùng, chi tiêu hàng ngày.… Nếu những thông tin này bị tiết lộ ra, nó có thể khiến cho khách hàng bị lạm dụng, “quấy rối” bởi những hoạt động tiếp thị có phần hung hãn đang xuất hiện ngày càng nhiều và dày đặc, thậm chí là các đối tượng lừa đảo đang trở thành một vấn đề nhức nhói khắp Việt Nam
Ngoài ra, những lý do cũng đóng vai trò quan trọng cho thấy thông tin khách hàng phải được bảo mật, một trong số đó là để đảm bảo cho sự an toàn của bản thân khách hàng Trường hợp cá nhân nào đó có thể truy cập vào hệ thống thông tin do tổ chức tín dụng nắm giữ, người đó có thể tìm địa chỉ thường trú, địa chỉ tạm trú hoặc địa chỉ làm việc của khách hàng, điều này có thể tạo cơ hội cho những người xa lạ tìm gặp đến khách hàng, người có ý đồ không chân chính hoặc những người theo dõi mà khách hàng không hề mong muốn
Thứ hai, đảm bảo sự riêng tư về trạng thái tài chính
Những thông tin mang tính riêng tư về trạng thái tài chính có thể kể đến là các giao dịch của khách hàng có thể phần nào cho thấy khả năng, năng lực tài chính của khách hàng Năng lực tài chính dồi dào hoặc thiếu thốn đều có thể mang lại sự dòm ngó từ những người khác Vì lẽ đó, khách hàng luôn mong muốn khả năng tài chính của mình được giữ bí mật, hơn nữa việc bảo mật những thông tin này sẽ giúp ngăn chặn các tranh chấp, mâu thuẫn xảy ra giữa những thành viên trong cùng một gia đình trong một số trường hợp
- Ý nghĩa đối với bản thân các công ty tài chính
Vì là tổ chức tín dụng phi ngân hàng – một hình thức của trung gian tài chính, các công ty tài chính huy động, kêu gọi những khoản tiền lớn từ nhiều đối tác, nhà đầu tư rồi phân bổ để cho vay những khoản nhỏ 63 nên thu nhập chủ yếu của công ty tài chính là “các khoản chênh lệch” giữa lãi suất cho vay với lãi suất huy động và cùng với những khoản thu nhập từ những khoản phí thu được từ việc cung cấp dịch
63 Hoàng Lê Khánh Linh, Các hình thức trung gian (môi giới) tài chính hiện nay?
< https://luatminhkhue.vn/cac-hinh-thuc-trung-gian-moi-gioi-tai-chinh.aspx>, truy cập ngày 22/02/2023 vụ cho khách hàng Nói một cách khác đi, công ty tài chính không phải là một tổ chức trực tiếp tự làm ra tài sản mà sự “tồn tại” và phát triển họ chính là nhờ vào khách hàng Vì vậy, việc giữ chân, duy trì và phát triển mối quan hệ với khách hàng là điều kiện tiên quyết cho sự tồn tại của công ty tài chính Bảo mật thông tin khách hàng là một tiêu chí thiết yếu của các công ty tài chính không thể thiếu để đáp ứng nhu cầu của khách hàngtrong quá trình hoạt động
Những thông tin có liên hệ với khách hàng được công ty tài chính thu thập, sử dụng và lưu trữ nhằm thực hiện các hoạt động kinh doanh của họ Các công ty tài chính sẽ không thể vận hành và kinh doanh một cách hiệu quả nếu như thiếu đi những thông tin về khách hàng của mình, những thông tin này được thu thập và sử dụng ở nhiều khía cạnh, phương thức trong kinh doanh của các công ty tài chính Cụ thể như sau: i) Đây chính là thông tin được dùng cho mục đích trực tiếp phục vụ cho các hoạt động vận hành, kinh doanh của công ty tài chính Ví dụ: để cung cấp dịch vụ cho vay tiêu dùng, phát hành thẻ tín dụng, các công ty tài chính cần phải thu thập các thông tin như họ tên, địa chỉ cư trú và các thông tin xác minh danh tính khác của khách hàng theo quy định pháp luật ii) Những thông tin của khách hàng được công ty tài chính tham khảo để dự phòng, tránh các rủi ro trong hoạt động kinh doanh, ngăn ngừa rủi ro tín dụng Nghĩa là, công ty tài chính với tư cách là một tổ chức tín dụng cần phải có hệ thống kỹ thuật có đầy đủ tính năng phân tích thông tin về lịch sử tín dụng của khách hàng hạn chế được rủi ro của những khoản nợ quá hạn và tăng cường khả năng thực hiện hoạt động thu hồi nợ hiệu quả iii) Thông tin khách hàng được công ty tài chính sử dụng nhằm mục tiêu tiếp thị, quảng cáo các dịch vụ tài chính phù hợp đến những đối tượng khách hàng một cách gần gũi, nhanh chóng, hiệu quả và không tốn quá nhiều chi phí Đây là một phương thức hợp lý để các công ty tài chính có thể tiếp cận được nhiều nguồn khách hàng mới khác nhau, cũng như có thể duy trì và tiếp tục quan hệ hợp đồng với các khách hàng đang sẵn có Và từ đó, các công ty tài chính có thể duy trì hoạt động kinh doanh trong những lúc cạnh tranh khắc nghiệt như tình hình gần đây iv) Có thể nhận thấy rằng, một khi khách hàng đã có niềm tin rằng thông tin của mình đang được bảo mật, từ đó họ sẽ cảm thấy tự tin, chủ động đưa các thông tin của mình một cách trung thực, chính xác và từ đó tổ chức tín dụng sẽ hạn chế được những rủi ro về mặt pháp lý khi không đủ thông tin xác minh danh tính của khách hàng và những thông tin có liên quan, hoạt động cung ứng dịch vụ ngân hàng sẽ đạt được hiệu quả
Tóm lại, việc thực hiện nghĩa vụ bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng đem lại nhiều điểm tích cực và lợi ích cho các bên khi tham gia vào quan hệ hợp đồng này Vì vậy, bảo mật thông tin khách hàng của các công ty tài chính trong quá trình cung ứng dịch vụ ngân hàng là một nghĩa vụ hết sức quan trọng và thiết yếu mà công ty tài chính phải tuân thủ một cách triệt để Các quy định pháp luật xoay quanh nghĩa vụ này vẫn là những quy định có ý nghĩa quan trọng trong các hệ thống pháp luật hiện nay
Nghĩa vụ bảo mật thông tin khác hàng là nghĩa vụ thiết yếu trong mối quan hệ giữa khách hàng và công ty tài chính khi tham gia vào quan hệ cung ứng dịch vụ ngân hàng Nghĩa vụ này hình thành khi mà các cá nhân, tổ chức có tiếp xúc, trao đổi và cung cấp thông tin, dữ liệu cá nhân từ cơ bản tới nhạy cảm cho công ty tài chính ở giai đoạn tìm hiểu về sản phẩm, dịch vụ cho đến khi hai bên xác lập quan hệ với nhau chính thức bằng một thỏa thuận bằng văn bản Đây là nghĩa vụ mà công ty tài chính phải triệt để tuân thủ theo quy định pháp luật với tư cách là một tổ chức tín dụng chứ không chỉ khởi nguồn từ sự tôn trọng quyền riêng tư hay nghĩa vụ liên quan đến hoạt động chuyên môn nghề nghiệp và thỏa thuận trên nguyên tắc trung thực, thiện chí trong hợp đồng
THỰC HIỆN NGHĨA VỤ BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG QUÁ TRÌNH CUNG ỨNG DỊCH VỤ NGÂN HÀNG CỦA CÔNG TY TÀI CHÍNH
Nguyên tắc bảo mật thông tin khách hàng trong quá trình cung ứng dịch vụ ngân hàng
Nhắc đến mối quan hệ giữa công ty tài chính và khách hàng thì phải nhắc đến nghĩa vụ bảo mật thông tin khách hàng, cùng các nguyên tắc gắn liền với quan hệ này bao gồm: (i) nguyên tắc đảm bảo quyền riêng tư của cá nhân được tôn trọng, (ii) nguyên tắc thực hiện nghĩa vụ về các hoạt động chuyên môn nghề nghiệp và (iii) nguyên tắc trung thực, thiện chí về hợp đồng, pháp luật về đại lý 64 Là một tổ chức tín dụng, công ty tài chính không được để cho các chủ thể khác tiếp cận, khai thác thông tin về cuộc sống riêng tư cá nhân, tài chính của khách hàng, khi mà những
64 Điều 166 Đại lý thương mại – Luật thương mại số 36/2005/QH11:
“Đại lý thương mại là hoạt động thương mại, theo đó bên giao đại lý và bên đại lý thoả thuận việc bên đại lý nhân danh chính mình mua, bán hàng hoá cho bên giao đại lý hoặc cung ứng dịch vụ của bên giao đại lý cho khách hàng để hưởng thù lao” thông tin đó công ty tài chính thu thập được do khách hàng chủ động cung cấp hoặc phát sinh trong quá trình giao kết, cung ứng các dịch vụ ngân hàng, sản phẩm vụ trên cơ sở quan hệ hợp đồng giữa khách hàng với các công ty tài chính Trên thực tế các nguyên tắc này đã và đang bị thách thức theo năm tháng Trong thời đại 4.0 này, khoa học công nghệ phát triển vượt trội tạo ra nhiều sự thuận lợi, tiện dụng cho khách hàng và hoạt động kinh doanh trong hoạt động ngân hàng nhưng bên cạnh đó là những rủi ro, nguy cơ tiềm ẩn các cơ hội gian lận phát sinh
Những trường hợp khách hàng lợi dụng chính các quy định về bảo mật thông tin để thực hiện các hành vi trái pháp luật khác như: thực hiện một hoặc nhiều giao dịch liên quan đến tài trợ khủng bố, che giấu tội phạm và mua bán ma túy, rửa tiền… như vậy sẽ gây ra nhiều bất lợi ảnh hưởng xấu đến xã hội Khi trường hợp như trên xảy ra, với tư cách là người đảm nhận chức năng bảo đảm tính có tổ chức của xã hội, nhà nước có nghĩa vụ tạo điều kiện thuận lợi nhất để quyền được bảo mật thông tin của công dân được thực hiện trong phạm vi pháp luật cho phép và đồng thời đảm bảo trật tự xã hội 65 Nhưng khi xét đến việc bảo vệ an ninh công cộng, lợi ích chung xã hội, thì nhà nước cần phải hạn chế đối với những thứ mà mình bảo vệ và dĩ nhiên cần có sự cân bằng giữa quyền riêng tư của cá nhân và lợi ích công cộng “Mọi người đều có quyền được tôn trọng đời sống riêng tư và gia đình, nơi cư trú và thư từ” và “cơ quan công quyền có thể có sự can thiệp tới việc thực hiện quyền này chỉ khi sự can thiệp này được luật dự liệu và là một biện pháp trong một xã hội dân chủ, và cần thiết cho an ninh quốc gia, an toàn công cộng hoặc vì sự thịnh vượng của đất nước với mục đích ngăn ngừa sự hỗn loạn hoặc tội phạm, bảo vệ sức khỏe hoặc các giá trị đạo đức hoặc bảo vệ quyền và sự tự do của các chủ thể khác” – Điểm này đã được khẳng định tại Điều 8 Công ước bảo vệ Nhân quyền và các quyền Tự do căn bản 66
Theo đó, phải kể đến trường hợp các cá nhân, tổ chức khác trong xã hội bị khách hàng của các công ty tài chính xâm hại đến tài sản Mỗi chủ thể, với tư cách là chủ sở hữu tài sản, đều có quyền tự mình bảo vệ tài sản một cách toàn vẹn, cũng như có quyền được đưa ra yêu cầu đối với cơ quan nhà nước có thẩm quyền bảo vệ lợi ích
65 Nguyễn Thị Kim Thoa, Luận án tiến sĩ “Pháp luật về đảm bảo bí mật thông tin của khách hàng trong hoạt động ngân hàng ở Việt Nam hiện nay” bảo vệ ngày 22/10/2020, tr 68
66 Công ước bảo vệ Nhân quyền và các quyền Tự do căn bản (Convention for the Protection of Human Rights and Fundamental Freedoms) là một hiệp ước quốc tế nhằm bảo vệ nhân quyền và các quyền tự do căn bản ở châu Âu Công ước được soạn thảo năm 1950 bởi Ủy hội châu Âu mới được thành lập thời đó, Công ước này có hiệu lực từ ngày 03.09.1953 hợp pháp của mình mỗi khi tài sản bị xâm hại Từ đó có thể suy ra, khi lợi ích của công ty tài chính bị xâm hại, chẳng hạn như khi khách hàng không thực hiện nghĩa vụ trả nợ khi công ty tài chính đã cho vay theo đúng thỏa thuận trong hợp đồng giữa hai bên hoặc quyền lợi của chủ thể khác bị khách hàng của các công ty tài chính xâm hại thì họ cũng có quyền thực hiện những điều mà pháp luật cho phép để bảo vệ quyền lợi của mình Và đối với công ty tài chính khi khách hàng không thực hiện nghĩa vụ trả nợ vay đúng hạn và đầy đủ thì có quyền được khởi kiện khách hàng của mình, một trong các phương thức hợp pháp, để thu hồi nợ
Vì vậy, trong trường hợp này nghĩa vụ bảo mật thông tin khách hàng của các công ty tài chính có thể bị pháp luật, các cơ quan nhà nước có thẩm quyền can thiệp nhằm bảo vệ quyền và lợi ích hợp pháp của các bên Bên cạnh đó, việc cung cấp, chia sẻ thông tin khách hàng cho các chủ thể khác cũng có thể thực hiện khi khách hàng cho phép rõ ràng việc các công ty tài chính được quyền cung cấp, chia sẻ thông tin của mình Sự ngầm đồng ý không đương nhiên được thừa nhận theo pháp luật Việt Nam, theo đó, tại Khoản 2 Điều 393 Bộ Luật Dân sự 2015 quy định thì im lặng không được coi là chấp nhận đề nghị giao kết hợp đồng của bên được đề nghị, trừ trường hợp các bên đã có thỏa thuận rõ ràng là im lặng đồng nghĩa với việc chấp nhận hoặc theo thói quen được xác lập giữa hai bên Đặc biệt đối với các thông tin riêng tư liên quan đến một cá nhân, là đối tượng khách hàng chủ yếu của các công ty tài chính, thì việc thể hiện sự đồng ý 67 phải được thực hiện rõ ràng bằng lời nói, hoặc có biểu hiện hoặc hành động cho việc chấp thuận để cho công ty tài chính được phép cung cấp, chia sẻ thông tin của mình Hiện nay, quy định pháp luật Việt Nam đã cụ thể hóa quy tắc trên tại Khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP 68
Thông qua sự phân tích và những đánh giá nêu trên, có thể thấy, bảo mật thông tin khách hàng trong quá trình cung ứng dịch vụ ngân hàng của tổ chức tín dụng nói chung và công ty tài chính nói riêng có những nguyên tắc buộc công ty tài chính phải
67 Khoản 2 Điều 38 Quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình - Bộ luật dân sự 2015:
“2 Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác.”
68 Khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
“3 Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.” tuân thủ tuyệt đối, tuy nhiên trong một số trường hợp nhất định nguyên tắc này cũng cần được giới hạn lại bởi một nguyên tắc cốt lõi – không xung đột với lợi ích chung của nhà nước và xã hội Mặc dù vậy, cần phải xác định một cách cụ thể các giới hạn này mà vẫn có thể cân bằng giữa việc không làm cho quyền lợi hợp pháp của khách hàng và hoạt động kinh doanh của công ty tài chính cũng như lợi ích chung của xã hội bị ảnh hưởng
Các quốc gia trên thế giới, trong mối quan hệ giữa tổ chức tín dụng với khách hàng, phần lớn đều có cùng quan điểm rằng bảo mật thông tin khách hàng này không phải là nghĩa vụ mang tính tuyệt đối Có thể lấy ví dụ từ hệ thống pháp luật của Thụy
Sĩ chẳng hạn, các trường hợp thông tin của khách hàng có thể được tiết lộ bao gồm: (i) khi pháp luật có yêu cầu (các quy định pháp luật yêu cầu phải công bố thông tin); (ii) khi xuất hiện lợi ích quan trọng hơn, có thể là lợi ích công cộng hoặc lợi ích cá nhân); và (iii) khi được khách hàng đồng ý 69
Trong hệ thống pháp luật của Singapore, Điều 47 Luật Ngân hàng Singapore ban hành năm 1970, sửa đổi, bổ sung năm 2020 quy định về nghĩa vụ bảo mật thông tin của khách hàng: “Thông tin khách hàng của ngân hàng sẽ không bị tiết lộ bởi ngân hàng hoặc bất kỳ nhân viên nào của ngân hàng tại Singapore, ngoại trừ được quy định rõ ràng trong Đạo luật này” Theo đó, tại Phụ lục thứ ba của Đạo luật này quy định các trường hợp ngoại lệ mà thông tin khách hàng được cung cấp, khi không có sự chấp thuận của khách hàng, thì các ngân hàng thương mại được thành lập tại Singapore hoặc các ngân hàng được thành lập tại nước ngoài có chi nhánh tại Singapore sẽ không được phép tiết lộ thông tin của khách hàng với bất cứ đối tượng nào khác trừ khi có lệnh của tòa án, hoặc nhằm bảo vệ lợi ích của ngân hàng 70
Pháp luật tại Việt Nam cũng có đề cập về phạm vi thực hiện nghĩa vụ bảo mật thông tin khách hàng tương đối chặt chẻ áp dụng trong lĩnh vực hoạt động cung ứng dịch vụ ngân hàng Trong Nghị định 117/2018/NĐ-CP có quy định các tổ chức tín dụng bao gồm công ty tài chính, chỉ được phép cung cấp thông tin khách hàng khi có sự đồng ý của khách hàng bằng hình thức văn bản, lời nói hoặc bằng hình thức khác có thỏa thuận với khách hàng hoặc trong trường hợp cung cấp theo quy định pháp
69 Sandra Booysen, Dora Neo (2017), Can Banks Still Keep a Secret? Bank secrecy in Financial Centres around the World, Cambridge University Press, tr 342
70 Yun Hui Tan, Banking secrecy in Singapore, DENTONS RODYK (September 2014)
, truy cập ngày 16/4/2023 luật Việc cung cấp cũng phải tuân theo trình tự, thủ tục quy định tại Nghị định này
Nội dung nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính trong quá trình cung ứng dịch vụ ngân hàng theo pháp luật Việt Nam
Với mục đích cụ thể hóa các quy định của Luật các tổ chức tín dụng về nghĩa vụ bảo mật và cung cấp thông tin khách hàng với mục đích hướng dẫn, hướng dẫn cho các tổ chức tín dụng có thể thực thi nghĩa vụ một cách đúng và đầy đủ, Nghị định số 117/2018/NĐ-CP có quy định: “Thông tin khách hàng của TCTD, CNNHNNg phải
71 Lê Minh Hồng, Đỗ Tiến Dũng, Pháp luật quốc tế về bảo vệ thông tin cá nhân,
, truy cập ngày 22/02/2023 được giữ bí mật và chỉ được cung cấp theo quy định của Luật các tổ chức tín dụng năm 2010, sửa đổi, bổ sung năm 2017, Nghị định này và pháp luật có liên quan” 72
Và một quy định khác cũng được nêu tại Nghị định số 117/2018/NĐ-CP là: “TCTD,
CNNHNNg chỉ được cung cấp thông tin khách hàng cho tổ chức khác, cá nhân thuộc trường hợp có quy định cụ thể tại bộ luật, luật, nghị quyết của Quốc hội” 73
Theo đó, nghĩa vụ bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng của công ty tài chính các nội dung sau: (i) công ty tài chính cần xác định được nội hàm của thông tin khách hàng mà mình cần phải bảo mật, (ii) tổ chức các phương thức, xây dựng quy trình nhằm bảo mật thông tin khách hàng và (iii) chỉ cung cấp thông tin trong các trường hợp luật định i Nội hàm của thông tin khách hàng mà công ty tài chính cần bảo mật
Trong hoạt động cung ứng dịch vụ ngân hàng, thông tin khách hàng bao gồm những thông tin, dữ liệu cá nhân, … (đối với khách hàng là cá nhân) hoặc thông tin về tổ chức kinh doanh, tình hình hoạt động, năng lực tài chính… (đối với khách hàng là tổ chức) thuộc quyền sở hữu của chính những khách hàng này mà những thông tin, dữ liệu này theo đó có thể định danh, xác định được một cá nhân hoặc một tổ chức cụ thể, mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của các nhân hoặc tổ chức đó Vì vậy, công ty tài chính khi cung ứng dịch vụ ngân hàng cho khách hàng của mình, trong quá trình thực hiện hoạt động nghiệp vụ mà thu thập được, có được những thông tin trên từ khách hàng hoặc từ các nguồn hợp pháp khác (ví dụ như từ Trung tâm Thông tin tín dụng quốc gia Việt Nam hoặc các công ty thông tin tín dụng) thì phải đảm bảo tính chính xác, toàn vẹn và bảo mật những thông tin này, chỉ được phép sử dụng những thông tin này để phục vụ cho mục đích cung ứng dịch vụ ngân hàng, thực hiện nghĩa vụ theo hợp đồng thỏa thuận với khách hàng Khách hàng của một công ty tài chính là chủ sở hữu thực sự của các thông tin, dữ liệu cá nhân của chính mình và họ có toàn quyền bao gồm: quyền đồng ý hoặc không đồng ý tiết lộ thông tin bản thân mình hoặc cho phép công ty tài chính cung cấp các thông tin bí mật của mình Đồng thời họ còn có các quyền khiếu nại, tố cáo, thậm chí là quyền khởi kiện các tổ chức, cá nhân xâm phạm đến sự riêng tư, bí mật liên quan đến thông tin của chính mình Bằng việc cung cấp thông tin bí mật của
72 Khoản 4 Nghị định số 117/2018/NĐ-CP về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài
73 Điểm a Khoản 1 Điều 11 Nghị định số 117/2018/NĐ-CP về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài khách hàng sau khi đã có sự đồng ý một cách minh thị, rõ ràng của khách hàng sẽ giúp cho công ty tài chính được miễn trừ nghĩa vụ bảo mật thông tin khách hàng trong quá trình cung ứng dịch vụ ngân hàng 74 ii Tổ chức các phương thức, xây dựng quy trình nội bộ nhằm bảo mật thông tin khách hàng
Biểu hiện rõ nhất trong nghĩa vụ bảo mật thông tin khách hàng của công ty tài chính với tư cách là một tổ chức tín dụng đó là phải xây dựng hệ thống quy trình nội bộ đối với bảo mật thông tin khách hàng, thiết kế các phương thức, quy trình bảo mật phải thống nhất xuyên suốt ở mọi giai đoạn kể từ trước khi xác lập quan hệ hợp đồng với khách hàng, cho đến khi chấm dứt quan hệ hợp đồng này Các phương thức, quy trình này cần phải được chuẩn hóa thành một văn bản, sơ đồ cụ thể, phải được công bố rộng rãi trong nội bộ công ty tài chính, ban lãnh đạo phải quán triệt đội ngũ nhân viên ở mọi bộ phận, phòng ban về ý thức, sự hiểu biết đúng đắn về việc thực hiện, đầy đủ các phương thức bảo mật, tuân thủ nghiêm ngặt quy trình mà công ty đề ra để đảm bảo từng cá nhân cho đến một tập thể phải thực hiện thống nhất quy chuẩn về nghĩa vụ bảo mật thông tin khách hàng nghiêm túc
Hiện nay, các dịch vụ ngân hàng thông qua Ngân hàng trực tuyến (Internet banking) đã không còn xa lạ với người dân Việt Nam vì tất cả tổ chức tín dụng bao gồm cả công ty tài chính đều đã và đang phát triển cho mình một hoặc vài nền tảng số để giúp cho khách hàng có thể thực hiện giao dịch trực tuyến, đặc biệt là trước tình hình dịch Covid bùng nổ dữ dội trong những năm gần đây Vì vậy, để nhấn mạnh nghĩa vụ bảo mật các thông tin khách hàng ngay cả khi khách hàng thực hiện các giao dịch trên các nền tảng Ngân hàng trực tuyến – công ty tài chính, thì theo quy định tại Khoản 2 Điều 4 Nghị định số 117/2018/NĐ-CP: “TCTD, CNNHNNg không được cung cấp thông tin xác thực khách hàng khi truy cập các dịch vụ ngân hàng bao gồm mã khóa bí mật, dữ liệu sinh trắc học, mật khẩu truy cập của khách hàng, thông tin xác thực khách hàng khác cho bất kỳ cơ quan, tổ chức, cá nhân nào, trừ trường hợp được sự chấp thuận của khách hàng đó bằng văn bản hoặc bằng hình thức khác theo thỏa thuận với khách hàng đó” Để giúp cho các tổ chức tín dụng có thể thực thi một
74 Điểm b Khoản 1 Điều 11 Nghị đinh số 117/2018/NĐ-CP - TCTD, CNNHNNg chỉ được cung cấp thông tin khách hàng cho tổ chức khác, cá nhân thuộc trường hợp có chấp thuận của khách hàng bằng văn bản hoặc bằng hình thức khác theo thỏa thuận với khách hàng
Khoản 2 Điều 11 Nghị đinh số 117/2018/NĐ-CP - TCTD, CNNHNNg có trách nhiệm cung cấp thông tin khách hàng cho chính khách hàng hoặc người đại diện hợp pháp của khách hàng đó cách đúng, đủ các yêu cầu về bảo mật và đảm bảo an toàn khi cung ứng dịch vụ ngân hàng thông qua Ngân hàng trực tuyến, Ngân hàng nhà nước Việt Nam đã ban hành Thông tư số 35/2016/TT-NHNN quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet như hạ tầng kỹ thuật, xác thực các giao dịch trên Internet banking và yêu cầu trong quản lý, vận hành hệ thống Internet banking vì cần phải đảm bảo hệ thống Internet banking phải có tiêu chuẩn nhất định để đảm bảo tính bảo mật, riêng tư khi khách hàng sử dụng dịch vụ ngân hàng trên các hệ thống Internet banking này chứ không thể được xây dựng một cách tùy ý Đồng thời giúp cho khách hàng cảm thấy có niềm tin, yên tâm hơn đối với các thông tin, dữ liệu cá nhân khi cung cấp cho các tổ chức tín dụng nói chung và công ty tài chính nói riêng iii Công ty tài chính chỉ cung cấp thông tin khách hàng trong các trường hợp luật định a Cung cấp thông tin theo yêu cầu của các cơ quan nhà nước thực hiện hoạt động điều tra, truy tố, xét xử và thi hành án
Theo quy định tại Khoản 1 Điều 88 Bộ luật tố tụng hình sự năm 2015 thì những cơ quan như: Cơ quan điều tra, Viện kiểm sát, Tòa án có quyền đưa ra yêu cầu đối với cơ quan, tổ chức, cá nhân về việc cung cấp những tài liệu, đồ vật, trình bày những tình tiết làm sáng tỏ vụ án Từ đó, để có chứng cứ nhằm làm sáng tỏ tình tiết của vụ án, theo yêu cầu từ Cơ quan điều tra, Viện kiểm sát, Tòa án, tổ chức tín dụng phải cung cấp thông tin của khách hàng cho các cơ quan ấy, trường hợp này sẽ loại trừ nghĩa vụ trong việc bảo mật thông tin khách hàng của tổ chức tín dụng Vấn đề này cũng được quy định tại Khoản 2 Điều 6 Bộ luật tố tụng dân sự năm 2015, theo đó
“Tòa án có trách nhiệm hỗ trợ đương sự trong việc thu thập chứng cứ và chỉ tiến hành thu thập, xác minh chứng cứ trong những trường hợp do Bộ luật này quy định”
Và tại Khoản 2 Điều 9 Luật tố tụng hành chính năm 2015 cũng quy định tương tự 75 Quy định pháp luật đã trao quyền cho Tòa án được trợ giúp đương sự trong việc thu thập, xác minh chứng cứ và chỉ tiến hành thu thập chứng cứ trong những trường hợp do các bộ luật này quy định Vì vậy, công ty tài chính với tư cách là một tổ chức tín dụng sẽ không được quyền lấy lý do thực hiện nghĩa vụ bảo mật thông tin khách hàng
75 Khoản 2 Điều 9 Luật tố tụng hành chính năm 2015 - Tòa án có trách nhiệm hỗ trợ đương sự trong việc thu thập tài liệu, chứng cứ và tiến hành thu thập, xác minh chứng cứ; yêu cầu cơ quan, tổ chức, cá nhân cung cấp tài liệu, chứng cứ cho Tòa án hoặc đương sự theo quy định của Luật này để từ chối cung cấp những chứng cứ liên quan khi có yêu cầu của cơ quan nhà nước, cá nhân có thẩm quyền 76 Các đương sự trong tố tụng hành chính, cũng có quyền và nghĩa vụ chủ động cung cấp, giao nộp tài liệu, chứng cứ cho Tòa án và chứng minh yêu cầu khởi kiện của mình là hợp pháp và có căn cứ Quy định này cũng được xây dựng và áp dụng tương tự như trong tố tụng dân sự
Luật thi hành án dân sự năm 2008, sửa đổi và bổ sung năm 2014 có nội dung quy định rằng Chấp hành viên 77 được quy định về quyền hạn của mình, trong số đó bao gồm: xác minh tài sản, điều kiện thi hành án của người phải thi hành án; đưa ra yêu cầu đối với cơ quan, tổ chức, cá nhân có liên quan cung cấp tài liệu để xác minh địa chỉ, tài sản của người phải thi hành án hoặc phối hợp với cơ quan có liên quan xử lý vật chứng, tài sản và những việc khác liên quan đến thi hành án 78 b Cung cấp thông tin khách hàng cho cơ quan thanh tra giám sát
Theo quy định tại Luật Thanh tra năm 2010 sẽ được thay thế bởi Luật Thanh tra năm
Trách nhiệm pháp lý khi công ty tài chính vi phạm nghĩa vụ bảo mật thông tin khách hàng
Với tư cách là một tổ chức tín dụng, công ty tài chính phải tuân thủ các quy định pháp luật hiện hành liên quan đến nghĩa vụ bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ ngân hàng Vậy để đảm bảo các công ty tài chính nghiêm túc tuân thủ các quy định đó thì nhà nước cũng đã ban hành một vài chế tài để xử lý các hành vi vi phạm, các hành vi cố tình vi phạm hoặc không thực hiện nghĩa vụ bảo mật thông tin khách hàng Tùy vào mức độ nghiêm trọng, bản chất của hành vi vi phạm, không thực hiện đúng và đầy đủ nghĩa vụ bảo mật thông tin khách hàng của các công ty tài chính được phân thành các trách nhiệm cụ thể như sau:
Theo quy định trong Nghị định 88/2019/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng,tại Điểm d Khoản 4 Điều 47 có nêu rõ mức xử phạt tổ chức tín dụng khi có hành vi làm lộ, sử dụng thông tin khách hàng của tổ chức tín dụng không đúng mục đích là từ 60.000.000 đến 80.000.000 đồng 95 Quy định xử phạt này áp dụng cho các hành vi mà công ty tài chính làm lộ thông tin của khách hàng, có thể là sự bất cẩn hoặc có chủ đích của một, một số nhân viên, không tuân thủ nghĩa vụ bảo mật thông tin; hoặc công ty tài chính sử dụng thông tin khách hàng không đúng mục đích đã thỏa thuận với khách hàng theo hợp đồng, ví dụ như mua bán thông tin khách hàng…
Các hoạt động kinh doanh của công ty tài chính không chỉ được điều chỉnh bởi các quy định trong khuôn khổ của Ngân hàng nhà nước về lĩnh vực hoạt động cung ứng dịch vụ ngân hàng mà còn bởi những văn bản pháp luật khác có liên quan Bởi lẽ, tại thị trường Việt Nam, phần lớn các khách hàng của công ty tài chính là cá nhân Đa phần những những cá nhân này là người có thu nhập thấp, công việc, nơi ở không ổn định nên các công ty tài chính thường luôn cố gắng thu thập, khai thác thông tin từ khách hàng nhiều nhất có thể để nắm bắt thông tin liên lạc của khách hàng, nhằm hỗ trợ cho hoạt động thu hồi nợ và chăm sóc khách hàng Và hoạt động kinh doanh chủ yếu của công ty tài chính được cấp phép bởi Ngân hàng nhà nước là cho vay bao gồm cả cho vay tiêu dùng, phát hành thẻ tín dụng và một số hoạt động ngân hàng khác Theo đó, khách hàng của các công ty tài chính cũng được xem là những người tiêu dùng, những người sử dụng các dịch vụ ngân hàng cung cấp bởi công ty tài chính
Vì lẽ đó, không chỉ riêng Nghị định 88 nêu trên, mà tại Nghị định 98/2020/NĐ-CP cũng quy định mức xử phạt đối với các tổ chức có những hành vi: sử dụng thông tin của người tiêu dùng không phù hợp mục đích đã thông báo và không có sự đồng ý của họ; không đảm bảo an toàn, chính xác, đầy đủ đối với thông tin của người tiêu dùng khi thu thập, chuyển giao; chuyển giao thông tin cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng theo quy định là từ 20.000.000 đến 40.000.000 đồng 96
95 Điểm b Khoản 3 Điều 3 Nghị định số 88/2019/NĐ-CP ngày 14 tháng 11 năm 2019 về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng – “b) Mức phạt tiền quy định tại Chương II Nghị định này là mức phạt tiền áp dụng đối với cá nhân; mức phạt tiền đối với tổ chức có cùng một hành vi vi phạm hành chính bằng
02 lần mức phạt tiền đối với cá nhân”
96 Điểm b Khoản 4 Điều 4 Nghị định số 98/2020/NĐ-CP ngày 26 tháng 8 năm 2020 sửa đổi, bổ sung tại Điểm b Khoản 1 Điều 3 Nghị định 17/2022/NĐ-CP:
Trong trường hợp, những thông tin kể trên mà có liên quan hoặc là những thông tin thuộc về bí mật cá nhân của người tiêu dùng thì mức phạt tiền vừa nêu trên là gấp hai lần
Ngày nay, phần lớn những trang mạng, ứng dụng đều yêu cầu người dùng phải thiết lập tài khoản với các thông tin cá nhân để hoạt động trên môi trường mạng máy tính, internet Và đặc biệt là đối với các tổ chức tín dụng nói chung, công ty tài chính nói riêng, để thuận tiện cho hoạt động và đáp ứng kịp thời nhu cầu của khách hàng trong thời đại 4.0 thì các công ty tài chính không ngừng đổi mới, cập nhật những công nghệ số hiện tại, thiết lập ra phần mềm ứng dụng internet banking của riêng từng tổ chức để phục vụ khách hàng Các quy chuẩn, điều kiện khi cung ứng dịch vụ ngân hàng trên Internet và ứng dụng internet banking được quy định tại Thông tư số 35/2016/TT-NHNN về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên internet, sửa đổi, bổ sung bởi Thông tư số 35/2018/TT-NHNN ban hành ngày 24 tháng 12 năm 2018 Vì vậy, bên cạnh các khách hàng thì công ty tài chính – là bên quản lý, vận hành ứng dụng internet banking này có thể biết được thông tin cá nhân của khách hàng, nắm bắt nhu cầu, thói quen sử dụng, và cả thói quen chi tiêu của các khách hàng Ngoài ra, bằng các chương trình thuật toán cao cấp, biện pháp thu thập, khai thác thông tin, giám sát, định vị toàn cầu, những người có kiến thức am tường về mạng máy tính cũng có thể thâm nhập vào hệ thống dữ liệu của các cá nhân, tổ chức khác, ngay cả khi chúng đã được sử dụng các biện pháp bảo mật (người ta thường gọi là “hacker”) 97 Hậu quả là khách hàng không hề hay biết về việc những người này sau khi tiếp cận thông tin cá nhân của chính mình đã cung cấp, rao bán hoặc phục vụ mục đích thương mại
Hiện nay, hành vi vi phạm liên quan đến dữ liệu cá nhân sẽ bị xử lý vi phạm hành chính theo quy định tại Nghị định 15/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử (“Nghị định 15”) Theo các quy định tại Điều 4, Điều 84, Điều
85, Điều 86, Điều 102 của Nghị định 15, các vi phạm về thu thập, sử dụng, cập nhật,
“Mức phạt tiền quy định tại Chương II của Nghị định này là mức phạt tiền áp dụng đối với hành vi vi phạm hành chính do cá nhân thực hiện … Trường hợp hành vi vi phạm hành chính do tổ chức thực hiện thì phạt tiền gấp hai lần mức phạt tiền quy định đối với cá nhân.”
97 Hoàng Thúy Quỳnh - Bàn về quyền đối với dữ liệu cá nhân theo pháp luật Việt Nam
, truy cập ngày 26/4/2023 sửa đổi, hủy bỏ, đảm bảo an toàn thông tin cá nhân thì tổ chức có thể bị phạt tiền từ 10.000.000 – 70.000.000 đồng Ngoài ra, đối với các công ty tài chính dưới sự điều hành của Ngân hàng nhà nước, Cơ quan Thanh tra, giám sát ngân hàng 98 khi nhận thấy, hoặc biết được hành vi vi phạm của công ty tài chính về việc không thực hiện nghĩa vụ bảo mật thông tin khách hàng, trong quyền hạn của mình, tùy theo mức độ nghiêm trọng của hành vi và hậu quả mà có quyền trình Thống đốc Ngân hàng Nhà nước về việc thu hồi giấy phép thành lập và hoạt động của công ty tài chính 99 Mặc dù không được quy định cụ thể, chi tiết trong các văn bản xử phạt hành chính, tuy nhiên, tổ chức tín dụng nói chung, công ty tài chính đều biết và nhận thức được rất rõ nếu họ không tuân thủ quy định pháp luật thì chắc chắn sẽ có rủi ro đối mặt với việc bị thanh tra bởi Cơ quan Thanh tra, giám sát ngân hàng và chịu hình phạt tương ứng cho hành vi vi phạm của mình
Hiện nay Bộ luật Hình sự chưa có quy định đối với hành vi xâm phạm dữ liệu cá nhân của tổ chức, cá nhân Trong một số trường hợp vẫn có quy định có thể áp dụng đó là “Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” tại Điều 159, theo đó “người phạm tội có thể bị phạt tiền từ 20.000.000 – 50.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm” Hoặc “Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” tại Điều 288 của Bộ luật Hình sự 2015, sửa đổi bổ sung 2017 Trường hợp này người phạm tội, tùy theo mức độ nghiêm trọng có thể bị những mức hình phạt như sau: phạt cảnh cáo, phạt tiền từ 30.000.000 – 1.000.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm, khung hình phạt cao nhất là bị phạt tù từ 02 – 07
98 Khoản 1 Điều 1 Quyết định số 20/2019/QĐ-TTg ngày 12 tháng 6 năm 2019 của Thủ tướng Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Cơ quan Thanh tra, giám sát ngân hàng trực thuộc Ngân hàng nhà nước Việt Nam:
“Là đơn vị tương đương Tổng cục, trực thuộc Ngân hàng Nhà nước Việt Nam (sau đây gọi là Ngân hàng Nhà nước), thực hiện chức năng tham mưu, giúp Thống đốc Ngân hàng Nhà nước quản lý nhà nước đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, quản lý nhà nước về công tác thanh tra, giám sát ngân hàng, giải quyết khiếu nại, tố cáo, phòng, chống tham nhũng, phòng, chống rửa tiền, bảo hiểm tiền gửi; tiến hành thanh tra hành chính, thanh tra chuyên ngành và giám sát ngân hàng trong các lĩnh vực thuộc phạm vi quản lý nhà nước của Ngân hàng Nhà nước; thực hiện phòng, chống rửa tiền, phòng, chống tài trợ khủng bố theo quy định của pháp luật và phân công của Thống đốc Ngân hàng Nhà nước.”
99 Điểm c Khoản 2 Điều 2 Quyết định số 20/2019/QĐ-TTg quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Cơ quan Thanh tra, giám sát ngân hàng trực thuộc Ngân hàng nhà nước Việt Nam năm Theo đó, có thể thấy các quy định trên của Bộ luật Hình sự chỉ dừng lại đối với các cá nhân phạm tội, và hiện chưa có trách nhiệm xử lý hình sự đối với tổ chức
- Trách nhiệm dân sự Điều 22 Luật Công nghệ Thông tin 2006 100 có quy định cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân Ngoài ra, quy định về yêu cầu bồi thường thiệt hại còn được nêu tại Luật bảo vệ quyền lợi người tiêu dùng năm 2010, cụ thể là Khoản 6 Điều 8 101 Theo đó, trách nhiện dân sự phát sinh giữa Bên có hành vi vi phạm, gây ra thiệt hại và Bên bị vi phạm, trường hợp này đang được hiểu là công ty tài chính do không thực hiện nghĩa vụ bảo mật thông tin khách hàng theo quy định pháp luật và theo thỏa thuận tại hợp đồng, có hành vi vi phạm gây thiệt hại đến khách hàng hoặc những cá nhân, tổ chức khác có quyền, lợi ích liên quan sẽ phải thực hiện việc chịu trách nhiệm bồi thường theo quy định tại pháp luật dân sự cho khách hàng, cùng với các cá nhân, tổ chức có liên quan đó Đặc biệt, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP, sẽ chính thức có hiệu lực vào ngày 01/7/2023 một lần nữa đã khẳng định quyền được yêu cầu bồi thường thiệt hại tại Khoản 10 Điều 9, cụ thể là quyền yêu cầu bồi thường thiệt hại của chủ thể dữ liệu 102 Tuy nhiên, các quy định này hiện tại chỉ dừng lại ở việc quy định về quyền được yêu cầu bồi thường của khách hàng (cá nhân) bị xâm phạm về thông tin, dữ liệu cá nhân, còn việc bồi thường như thế nào, căn cứ xác định và mức bồi thường cụ thể ra sao thì vẫn chưa có văn bản nào quy định rõ