CHƯƠNG 2: THỰC TRẠNG PHÁP LUẬT VỀ BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG CỦA CÁC NGÂN HÀNG THƯƠNG MẠI Ở VIỆT NAM HIỆN NAY
2.2. Thực tiễn thực thi pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay
2.2.2. Đánh giá thực tiễn thực thi pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay
“Thực thi pháp luật là quá trình triển khai những quy định pháp luật đã được ban hành đi vào thực tiễn đời sống thông qua hành vi pháp lý của các chủ thể chịu sự điều chỉnh của các văn bản quy phạm pháp luật và của các cơ quan Nhà
44
nước có thẩm quyền nhằm hỗ trợ các chủ thể trong việc hiểu và vận dụng các quy định pháp luật đối với hoàn cảnh, tình huống của mình trong thực tiễn.” (Nguyễn Thị Kim Thoa, không năm xuất bản)
Nhƣ vậy, thực thi pháp luật về BMTT khách hàng trong HĐNH là quá trình chuyển hóa các quy định pháp luật trên giấy tờ thành pháp luật trong hành động thực tiễn của các chủ thể có liên quan trong quá trình BMTT khách hàng trong HĐNH.
Nhƣ đã trình bày trong mục 1.2.1 thì những chủ thể liên quan vấn đề việc thực thi pháp luật trong BMTT khách hàng trong HĐNH đó là: cơ quan quản lý nhà nước về tiền tệ và HĐNH (Chính Phủ và NHNN); chủ thể nắm giữ trực tiếp thông tin của khách hàng (NHTM); khách hàng và các chủ thế thứ ba có liên quan khác.
Trong bài viết này, tác giả chỉ tập trung vào phân tích thực tiễn thực thi pháp luật của ba chủ thể là Chính phủ, NHNN; NHTM và khách hàng.
2.2.2.1. Đối với cơ quan quản lý Nhà nước về tiền tệ và HĐNH
Thực tiễn cho thấy việc thực thi pháp luật của cơ quan quản lý Nhà nước về tiền tệ và HĐNH (Chính Phủ và NHNN) đƣợc biểu hiện cụ thể qua các hoạt động sau:
Thứ nhất, Chính phủ và NHNN đã cụ thể chế hóa quy định pháp luật về BMTT khách hàng trong HĐNH. Chính phủ với vị trí, chức năng thực hiện “nhiệm vụ và quyền hạn trong quản lý và phát triển kinh tế” (Quốc Hội, 2016) còn NHNN với vị trí, chức năng “thực hiện chức năng quản lý nhà nước về tiền tệ và ngân hàng” (Quốc Hội, 2010), vậy nên ngay từ những năm đầu khi hệ thống NHTM được đi vào hoạt động và kể cả trong thời gian vừa qua trước thực trạng vấn đề mất BMTT ngân hàng ngày càng diễn ra ngày càng phức tạp thì Chính phủ cùng NHNN đã liên tục ban hành các văn bản quy phạm pháp luật để cụ thể hóa hoạt động BMTT trong HĐNH (Xem phụ lục 2). Cho đến nay khuôn khổ pháp luật về vấn đề BMTT khách hàng trong hoạt động của các NHTM ở nước ta đang không ngừng đƣợc hoàn thiện và điều chỉnh để phù hợp hơn với thực tiễn phát triển không ngừng của HĐNH nói chung và thực tiễn vấn đề BMTT khách hàng ở ngân hàng nói riêng.
45
Thứ hai, việc thực thi pháp luật về BMTT khách hàng trong HĐNH của chủ thể này còn thể hiện qua hoạt động thanh tra, giám sát của NHNN Việt Nam. Hoạt động này nhằm đảm bảo các TCTD tuân thủ đúng pháp luật về BMTT khách hàng trong HĐNH đồng thời có thể sớm ngăn chặn, phát hiện kịp thời các sai phạm trong hoạt động BMTT ở các ngân hàng để xử lý theo đúng quy định của pháp luật. Trong thời gian vừa qua trước thực tiễn vấn đề an ninh thông tin trong HĐNH của các NHTM ngày càng bị đe dọa thì NHNN đã ngày càng tăng cường công tác thanh tra, kiểm tra, giám sát của mình. Hoài thu (2018) đã chỉ ra rằng qua công tác thanh tra, kiểm tra, đã phát hiện nhiều tồn tại, sai phạm của các NHTM. Tuy nhiên, nội dung của các sai phạm phát hiện qua hoạt động thanh tra, kiểm tra lại chỉ tập trung chủ yếu vào các: hoạt động tín dụng, việc huy động vốn, việc phân loại nợ và trích lập dự phòng rủi ro, kiểm toán, kiểm soát nội bộ, quản trị rủi ro thanh khoản... Qua đó, đã ban hành 23 Quyết định xử phạt vi phạm hành chính, tổng số tiền phạt là 3.330,5 triệu đồng. Bên cạnh đó đƣa ra 604 kiến nghị yêu cầu tổ chức tín dụng khắc phục tồn tại, sai phạm đồng thời tích cực đôn đốc, kiểm tra, giám sát tổ chức tín dụng trong việc thực hiện kiến nghị. Các kiến nghị, khuyến nghị tập trung vào các lĩnh vực: quản trị, điều hành, kiểm toán nội bộ, hạch toán kế toán, hoạt động tín dụng, bảo lãnh, an toàn kho quỹ, phân loại nợ và trích lập dự phòng rủi ro, an toàn hoạt động của tổ chức tín dụng. Nhƣ vậy, có thể nhận thấy công tác thanh tra, giám sát ngân hàng, mặc dù đã có nhiều đổi mới và chuyển biến tích cực nhƣng vẫn còn hạn chế trong việc phát hiện và xử lý các hành vi tiêu cực và tội phạm; nhiều vụ việc phát sinh không đƣợc phát hiện kịp thời. Biểu là rất ít hoặc hầu nhƣ không có vụ việc nào về BMTT ngân hàng bị phát hiện trong thời gian vừa qua.
2.2.2.2. Đối với NHTM
NHTM là chủ thể nắm giữ trực tiếp thông tin của khách hàng vậy nên vậy nên việc chủ thể này thực thi tốt các quy định của pháp luật có ý nghĩa rất quan trọng. Có thể nói, trong thời gian vừa qua các NHTM ở Việt Nam đều đang làm khá tốt các quy định về BMTT khách hàng, ban hành các quy định nội bộ, liên tục gia tăng các biện pháp bảo mật để “đảm bảo an toàn, BMTT khách hàng trong quá trình cung cấp, quản lý, sử dụng, lưu trữ thông tin khách hàng tại ngân hàng”
46
(Chính Phủ, 2018). Tuy nhiên nhìn vào thực tiễn hiện nay thì có thể thấy vẫn còn nhiều lỗ hổng trong quy trình cũng nhƣ hệ thống bảo mật của các ngân hàng.
Khi khách hàng thực hiện các giao dịch của mình với các NHTM thì nhân viên, người điều hành, quản lý của các NHTM là các chủ thể có mối liên hệ trực tiếp với khách hàng, họ đương nhiên sẽ sở hữu rất nhiều những thông tin quan trọng của khách hàng. Vì vậy việc thực thi pháp luật về BMTT khách hàng của chủ thể này đƣợc thể hiện ở việc chấp hành cũng nhƣ tuân thủ những quy định pháp luật về BMTT của khách hàng. Hay nói cách khác, trong khi thực thi các quy định pháp luật đó, những chủ thể này phải kiềm chế; không hành động, thỏa thuận trái pháp luật; không thực hiện hoặc cam kết những điều mà pháp luật đã nghiêm cấm. (Tạp chí dân chủ & Pháp luật, không năm xuất bản).
Tuy nhiên, vẫn có nhiều trường hợp nhân viên của các NHTM vì những lý do khác nhau mà đã không thực hiện đúng nghĩa vụ BMTT khách hàng mà pháp luật đã quy định. Chẳng hạn nhƣ nhiều nhân viên ngân hàng đã thông báo số dƣ tài khoản, lịch sử giao dịch của khách hàng mặc dù chƣa đƣợc sự đồng ý của khách hàng. Ví dụ, vào ngày 24/5/2021, trên một diễn đàn về công nghệ tại Việt Nam, một người được cho là nhân viên của (NHTM cổ phần Quân đội – MB) đã đăng tải thông tin chụp màn hình chi tiết lịch sử giao dịch tài khoản của nghệ sỹ Hoài Linh tại ngân hàng. Sau khi kiểm tra và xác minh sự việc trên, MB thông báo phát hiện một cá nhân làm việc tại ngân hàng để lộ lọt thông tin của khách hàng.Sau khi sao kê này đƣợc đăng tải đã có ý kiến trái chiều, đặc biệt nhiều khách hàng bức xúc về việc vì sao nhân viên ngân hàng có quyền đăng công khai sao kê của khách hàng, trái với quy định tại Luật CTCTD hiện hành (Ngọc Anh, 2021).
Hay cũng có những trường hợp nhân viên ngân hàng lợi dụng việc trực tiếp theo dõi, liên hệ khách hàng đã sử dụng các thông tin của khách hàng, rút tiền của khách hàng làm thiệt hại đến lợi ích của khách hàng, ảnh hưởng đến niềm tin của khách hàng vào các NHTM. Ví dụ: “vụ mất 245 tỷ của bà Chu Thị Bình tại ngân hàng TMCP Xuất Nhập Khẩu - Eximbank. Lợi dụng việc trực tiếp theo dõi và liên hệ với khách hàng cũng như phê duyệt trên chứng từ giấy và trên hệ thống Corebank của Eximbank, ông Lê Nguyễn Hưng (nguyên Phó Giám đốc Eximbank
47
chi nhánh TP.HCM) đã lập giấy ủy quyền giả mạo việc khách hàng ủy quyền rút tiền đã rút hơn 245 tỷ đồng khách hàng. Vụ án này đã được đưa ra xét xử. Ngày 23/11/2019, TAND TPHCM tuyên án đối với 6 bị cáo nguyên là nhân viên Eximbank về hành vi “thiếu trách nhiệm gây thiệt hại đến tài sản của Nhà nước, cơ quan, tổ chức, doanh nghiệp” gây thiệt hại 264 tỷ đồng cho ngân hàng này. Hành vi của ông Lê Nguyễn Hưng đã phạm tội lừa đảo chiếm đoạt tài sản.” (Tuyết Mai, 2018).
Ngoài ra còn một số trường hợp, nhân viên ngân hàng đã không tuân thủ quy định nội bộ của các ngân hàng, truy cập vào mạng lưu trữ dữ liệu nội bộ, sao chép thông tin khách hàng để “dự phòng” cho bản thân (ví dụ dự phòng cho một công việc mới khi cần đến dữ liệu của khách hàng) hoặc lấy cắp thông tin khách hàng để rút tiền của khách hàng, rao bán kiếm lời hoặc cấu kết với tội phạm. Ví dụ nhƣ vụ việc “Nguyễn Lê Thanh Tú (trú tại quận Phú Nhuận, TP HCM) đã câu kết với Đoàn Lê Trí Viễn (là cán bộ ngân hàng BIDV chi nhánh ngân hàng Trường Sơn tại địa chỉ Gò Vấp, TP HCM) và nhóm đối tượng khác là nhân viên các ngân hàng thương mại tại TP HCM mua thông tin của 54 tài khoản khách hàng mở tại các ngân hàng (gồm tên doanh nghiệp, địa chỉ, mã số thuế, số tài khoản, mẫu dấu, mẫu chữ ký của người đại diện và kế toán các doanh nghiệp) với số tiền 742 triệu đồng. Để có thông tin về công ty, Đoàn Lê Trí Viễn đã truy cập vào mạng nội bộ của ngân hàng BIDV hoặc thông qua bạn bè của Viễn cũng làm trong ngành ngân hàng để có thông tin của nhiều công ty ở các ngân hàng khác (gồm các ngân hàng như:
Vietcombank, Vietinbank, MSB, ACB, MB) để cung cấp cho Tú.” (Nguyễn Hưởng, 2020)
Qua các dữ liệu ở trên cho thấy rằng, hiện nay nhiều nhân viên ngân hàng đã không thực hiện đúng nghĩa vụ BMTT của khách hàng, điều này cũng phần nào cho thấy trong quy định nội bộ của ngân hàng, quy trình làm việc của các ngân hàng vẫn còn nhiều sơ hở, chƣa đảm bảo an toàn tuyệt đối cho khách hàng, do đó cần phải có những giải pháp khắc phục kịp thời.
Bên cạnh đó cùng với sự phát triển của các dịch vụ ngân hàng hiện đại thì các nguy cơ về BMTT khách hàng cũng tăng dần. Đây là mối đe dọa đối không chỉ
48
với ngân hàng mà còn của khách hàng. NHNN (2021) đã quy định các NHTM phải áp dụng các biện pháp đảm bảo an toàn, bảo mật cơ sở dữ liệu khách hàng. Nhƣng các biện pháp, tiêu chuẩn kỹ thuật cần thiết đó cụ thể là gì thì lại hoàn toàn phụ thuộc vào từng NHTM khi triển khai trên thực tế. Do đó mà có những ngân hàng đã đạt tới trình độ công nghệ tiên tiến điển hình nhƣ: Vietinbank, SHB,... nhƣng cũng không ít ngân hàng đang sử dụng, vận hành những hệ thống lạc hậu.
2.2.2.3. Đối với khách hàng
Thực tiễn thời gian vừa qua có thể thấy, ý thức của khách hàng trong việc BMTT của mình đã ngày càng đƣợc đƣợc nâng cao. Qua việc nhận đƣợc những hướng dẫn, cảnh báo của ngân hàng, cũng như tiếp cận những thông tin thời sự…
khách hàng đã có những cảnh giác và có những biện pháp để BMTT cho chính mình như: bắt đầu tạo thói quen thay đổi mật khẩu Internet Banking thường xuyên;
trước không truy cập các website lạ; cảnh giác trước những đường link lạ được gửi qua tin nhắn, email hoặc qua mạng xã hội không rõ nguồn gốc…(Nguyễn Thị Thái Hƣng, 2020).
Tuy nhiên cũng có nhiều trường hợp do ý thức của khách hàng chưa cao, nhiều khách hàng lơ đễnh chia sẻ quá nhiều thông tin cá nhân lên mạng xã hội.
Hoặc có nhiều khách hàng quá tin vào nhân viên của ngân hàng nên không tuân thủ đầy đủ, theo đúng quy trình giao dịch với ngân hàng, tạo điều kiện để kẻ gian lợi dụng và dẫn đến tình trạng mất tiền. Chính Phủ (2018) quy định “khách hàng có nghĩa vụ phải BMTT tài khoản của mình”, tuy nhiên trong nhiều trường hợp khách hàng lại chia sẻ thông tin của mình, cung cấp mật khẩu, mã OTP …để người khác thực hiện giúp các giao dịch. Hiện nay, khi các giao dịch trực tiếp tại quầy của khách hàng với các NHTM ngày càng ít mà họ giao dịch với các NHTM thông qua các ứng dụng trực tuyến thì ngày càng có nhiều khách hàng bị tội phạm tấn công.
Một trong những hình thức đó là các trang web giả mạo: nhiều khách hàng do không hiểu biết đã đăng nhập mọi thông tin của mình trên các website mà website đó lại là website giả do hacker lập ra y nhƣ website của các ngân hàng dẫn đến mất hết tiền trong tài khoản của mình…
49
Đồng thời, khi tham gia vào các giao dịch với NHTM, khách hàng cần phải nghiên cứu kỹ và thỏa thuận các điều khoản BMTT của chính mình. Tuy nhiên, nhiều khách hàng do chủ quan hoặc do không có kiến thức tài chính có thể chƣa nắm rõ quyền đƣợc BMTT của mình nên vẫn xem nhẹ vấn đề này khi thực hiện ký kết hợp đồng với các NHTM. Do vậy, có thể nói mặc dù BMTT là nghĩa vụ của các ngân hàng nhƣng việc thực thi pháp luật của khách hàng cũng vẫn chƣa thực sự đúng theo quy định của pháp luật. Bởi nhiều khách hàng vẫn cho rằng đó là nhiệm vụ, là nghĩa vụ mà NHTM phải thực hiện nên nhiều trường hợp khi xảy ra vi phạm pháp luật về BMTT rất khó phân định trách nhiệm thuộc về bên nào.
Việc thực thi việc pháp luật trong việc thực hiện quyền khởi kiện, khiếu nại của khách hàng cũng vẫn còn nhiều hạn chế, bất cập. Nguyên nhân là do những khó khăn trong việc chứng minh các thiệt hại thực tế, chứng minh lỗi của bên vi phạm.
Cụ thể là khi khách hàng nhận thấy thông tin của mình bị rò rỉ, bị công bố hay bị mất cắp, muốn khởi kiện yêu cầu bồi thường thiệt hại thì phải chứng minh: hành vi vi phạm pháp luật, có lỗi, có thiệt hại thực tế xảy ra, có mối quan hệ nhân quả giữa hành vi vi phạm và hậu quả thực tế xảy ra. Nhƣng việc chứng minh này không đơn giản với khách hàng.
Khi mà một khách hàng bị mất tiền, hay bị lộ thông tin cá nhân quan trọng thì việc xác định trách nhiệm thuộc về ai lại phải nghiên cứu sâu rộng, bởi bản thân các NHTM không thể hoạt động nhƣ những cơ quan điều tra tội phạm. Một thực tiễn khá phổ biến đó là khi khách hàng mất tiền thì việc đòi lại rất khó khăn, rất nhiều trường hợp khi khách hàng mất tiền thông báo với ngân hàng thì nhiều ngân hàng đầu tiên họ đã từ chối trách nghiệm của mình, thường các ngân hàng xem xem là khách hàng có sự cẩu thả, lơ là hay không hay chính khách hàng là người cấu kết với tội phạm, để từ đó họ đẩy trách nghiệm về khách hàng. Tuy nhiên đối với những khách hàng mà mất tiền một cách oan uổng thì họ đổ lỗi cho ngân hàng. Trong trường hợp này các cơ quan chức năng phải vào cuộc một cách nhanh chóng. Khi khách hàng mất tiền thường họ sẽ trình báo lên công anh, công an phải xử lý ngay.
Tuy nhiên, nếu chúng ta chỉ giao việc này cho công an, cho các cơ quan an ninh địa phương thì sẽ không đủ. Ở bên Mỹ, tất cả nhưng giao dịch sai lầm, giao dịch mang
50
tính chất lừa đảo đều đƣợc đem ra tòa – đƣợc gọi là tòa án cho những vụ việc nhỏ (Small-claims courts).
Tuy nhiên, qua tìm hiểu thực tiễn xét xử tại Tòa án nhân dân các cấp trong thời gian vừa qua, hầu nhƣ chƣa có vụ việc nào đƣợc đƣa ra xét xử. Điều này hoàn toàn có thể lý giải bởi việc để lộ thông tin khách hàng sẽ tạo nên nhiều ảnh hưởng tiêu cực cho hoạt động của NHTM. Trước hết, uy tín và sự tín nhiệm của khách hàng đối với NHTM đó sẽ giảm sút, thậm chí nhiều khách hàng sẽ “quay lƣng”, tẩy chay NHTM đó. Ngoài ra, đối với các nhà đầu tư nước ngoài, BMTT là vấn đề đƣợc các nhà đầu tƣ đặc biệt quan tâm. Vì vậy, khi các NHTM để lộ thông tin của khách hàng, thì bản thân NHTM đã tự làm mất điểm trong mắt của các tổ chức xếp hạng tín dụng quốc tế, các nhà đầu tƣ và khách hàng quốc tế (Diệu Thiện, 2019).
Do đó nếu có đơn khởi kiện thì nhiều trường hợp giữa NHTM đã tự thỏa thuận với khách hàng, tìm cách giải quyết nội bộ nhằm bảo vệ uy tín của tổ chức mình.
Tóm lại, qua những phân tích, đánh giá về thực tiễn thực thi các quy định của pháp luật của các chủ thể có thể thấy rằng các chủ thể đã nhận thức đƣợc tầm quan trọng của BMTT do đó mà việc thực thi pháp luật về BMTT của các chủ thể này ngày càng đƣợc nâng cao. NHTM đã ý thức đƣợc nghĩa vụ của mình nên đang ngày càng khắc phục những lỗ hổng bảo mật (trong hệ thống bảo mật cũng nhƣ trong quy trình nội bộ của ngân hàng mình). Bản thân khách hàng cũng đã và đang ngày càng có ý thức hơn trong việc tự BMTT cá nhân của mình, chủ động khiếu nại, yêu cầu bồi thường kịp thời khi phát hiện thông tin của mình bị rò rỉ.
Tuy nhiên vẫn còn một số hạn chế sau đây: quy trình nội bộ của các NHTM hiện nay còn nhiều lỗ hổng đến từ không chỉ vấn đề kỹ thuật mà còn đến từ bộ phận cán bộ, nhân viên của chính các NHTM; sự vào cuộc chậm trễ của các thiết chế thanh tra, giám sát NHNN trong việc phát hiện sai phạm về BMTT khách hàng thời gian qua cho thấy vai trò của thanh tra, giám sát NHNN chƣa phát huy đƣợc vai trò trong việc phát hiện kịp thời những sai phạm liên quan đến nghĩa vụ BMTT khách hàng; nhiều khách hàng vẫn còn lơ đễnh, bị kẻ xấu lợi dụng.
Điều này xuất phát từ nhiều nguyên nhân bên cạnh những nguyên nhân khách quan thì chính bản thân các chủ thể thực thi pháp luật về BMTT khách hàng