Đánh giá thực trạng các quy định của pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay

CHƯƠNG 2: THỰC TRẠNG PHÁP LUẬT VỀ BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG CỦA CÁC NGÂN HÀNG THƯƠNG MẠI Ở VIỆT NAM HIỆN NAY

2.1. Thực trạng pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay

2.1.3. Đánh giá thực trạng các quy định của pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay

Dựa trên cơ sở lý luận đƣợc đƣợc nêu ở mục 1.2.2 và 2.1.2, có thể nhận thấy rằng các văn bản pháp luật điều chỉnh vấn đề BMTT khách hàng trong hoạt động của các TCTD nói chung và các NHTM nói riêng bước đầu đã và đang dần được hoàn thiện, góp phần tạo hành lang pháp lý quan trọng trong vấn đề BMTT khách hàng trong hoạt động của các NHTM ở Việt Nam hiện nay. Tuy nhiên, các quy định này vẫn còn nằm rải rác trong các văn bản quy phạm pháp luật, chƣa thực sự thống nhất, nhiều quy định còn chƣa rõ ràng, nhiều quy định chƣa thực sự phù hợp với thực tiễn của Việt Nam và chưa bắt kịp theo xu hướng chung của một số quốc gia trên thế giới. Do đó việc nhìn nhận lại và đánh giá các quy định của pháp luật là thực sự cần thiết để có thể có những sửa đổi, bổ sung cho phù hợp.

2.1.3.1. Quy định về loại thông tin khách hàng trong HĐNH của các NHTM.

Nếu như trước đây ở trong “Nghị định số 70/2000/NĐ-CP về việc giữ bí mật, lưu trữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng”

(Chính Phủ, 2000) đã không hướng dẫn một cách rõ ràng, cụ thể các thông tin khách hàng thì hiện nay với “Nghị định số 117/2018/NĐ-CP về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài” (Chính Phủ, 2018) mới được ban hành đã hướng dẫn một cách rất chi tiết về khái niệm thông tin khách hàng. Chính phủ (2018) tại Điều 3 của đã chỉ ra rằng:

“thông tin khách hàng của của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài (sau đây gọi là thông tin khách hàng) là thông tin do khách hàng cung cấp, thông tin phát sinh trong quá trình khách hàng đề nghị hoặc được tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung ứng các nghiệp vụ ngân hàng, sản phẩm, dịch vụ trong hoạt động được phép, bao gồm thông tin định danh khách hàng và các thông tin sau: thông tin về tài khoản; thông tin về tiền gửi; thông tin về tài sản gửi;

32

thông tin về giao dịch; thông tin về tổ chức, cá nhân là bên bảo đảm tại TCTD, CNNHNN và các thông tin có liên quan khác.” Với nghị định này thì lần đầu tiên trong một văn bản quy phạm pháp luật tại Việt Nam khái niệm thông tin khách hàng đƣợc đƣợc định nghĩa một cách đầy đủ và rõ ràng.

Nhƣ vậy, pháp luật Việt Nam đã ghi nhận khái niệm thông tin khách hàng khá cụ thể, chi tiết và theo phương pháp liệt kê ra các loại thông tin. Theo đó, thông tin khách hàng là những thông tin liên quan đến tài khoản, tiền gửi và các giao dịch của khách hàng. Đồng thời pháp luật Việt Nam cũng đã có những quy định cụ thể hơn về thông tin khách hàng. Đó không chỉ là thông tin đƣợc hình thành khi thiết lập hợp đồng mà còn là những thông tin đƣợc hình thành trong quá trình khách hàng đề nghị TCTD cung ứng các sản phẩm, dịch vụ. Điều này có nghĩa là, theo quy định của pháp luật Việt Nam, thông tin khách hàng còn bao gồm cả những thông tin của các khách hàng tiềm năng của các TCTD. Việc quy định nhƣ vậy có ý nghĩa rất quan trọng trong việc bảo vệ niềm tin của khách hàng cũng nhƣ xác định phạm vi, giới hạn, trách nhiệm của TCTD sau này. Đồng thời điều này tạo ra một cơ chế rõ ràng trong việc xác định thông tin cần bảo mật, dễ dàng xác định đƣợc trách nhiệm của TCTD trong việc BMTT của khách hàng.

Tuy nhiên cách liệt kê nhƣ vậy có thể không bao quát đƣợc các loại thông tin của khách hàng cần phải bảo mật. Vì thông tin khách hàng mà các TCTD nắm giữ không chỉ bao gồm thông tin về “tài khoản, tiền gửi, tài sản gửi và các giao dịch khác của khách hàng” (Quốc Hội, 2010) mà còn có thể có những thông tin liên quan đến tình hình tài chính của cá nhân, doanh nghiệp; phương thức sản xuất, kinh doanh của khách hàng và cũng có thể bao gồm cả tình hình tài chính hay tình hình sản xuất kinh doanh của các đối tác của khách hàng,…Nếu nhƣ đối thủ cạnh tranh của khách hàng đƣợc NHTM cung cấp những thông tin này, từ đó có thể có những biện pháp cạnh tranh không lành mạnh. Điều này sẽ gây thiệt hại cho khách hàng của TCTD.

2.1.3.2. Quy định về phạm vi, thời hạn BMTT khách hàng trong HĐNH của các NHTM.

33

Về nguyên tắc, TCTD có nghĩa vụ bảo mật tất cả các thông tin khách hàng phát sinh trong mối quan hệ giữa khách hàng và TCTD. Bởi trong quan hệ pháp luật giữa khách hàng và các TCTD, quyền và nghĩa vụ của các chủ thể này luôn thống nhất, phù hợp với nhau.

Về phạm vi BMTT khách hàng: phạm vi BMTT khách hàng đã đƣợc mở rộng so với quy định trước đó khi chỉ bảo mật các thông tin liên quan đến tiền gửi và tài sản tiền gửi. Pháp luật Việt Nam hiện hành đã quy định phạm vi thông tin khách hàng mà các TCTD có nghĩa vụ phải BMTT theo phương thức liệt kê, rõ ràng. Quốc Hội (2010) chỉ ra rằng: “TCTD, CNNHNN phải bảo đảm bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng tại TCTD, CNNHNN”. Đây đều là các thông tin rất quan trọng của khách hàng, nếu TCTD tiết lộ một trong các thông tin định danh, chẳng hạn mẫu chữ ký của khách hàng, kẻ gian có thể lợi dụng để rút tiền hoặc có những hành vi khác nhƣ mạo danh khách hàng để thực hiện các giao dịch mà khách hàng không mong muốn, yêu cầu TCTD cung cấp thông tin về khách hàng… trên cơ sở giả mạo chữ ký gây thiệt hại cho tài sản của khách hàng. Đồng thời là cơ sở để xác định và xử lý vi phạm nghĩa vụ BMTT và là cơ sở bảo đảm quyền đƣợc BMTT của khách hàng trong HĐNH.

Tuy nhiên, thông tin khách hàng cần phải bảo mật không chỉ gồm các thông tin liên quan đến tài khoản, tiền gửi và các giao dịch khác của khách hàng theo nhƣ hướng dẫn tại Nghị định số 117/2018/NĐ-CP bởi vì “HĐNH bao gồm các hoạt động nhận tiền gửi, cấp tín dụng và cung ứng dịch vụ thanh toán” (Quốc Hội, 2010). Có thể nhận thấy, thông tin khách hàng liên quan đến hoạt động cấp tín dụng của khách hàng chƣa đƣợc quan tâm điều chỉnh. Trong hoạt động cấp tín dụng, NHTM có quyền yêu cầu khách hàng cung cấp các thông tin nhƣ: tài liệu chứng minh phương án sử dụng vốn khả thi; mục đích sử dụng vốn hợp pháp; khả năng tài chính; các biện pháp bảo đảm cho khoản tiền vay trước khi quyết định cấp tín dụng… Nhƣ vậy có thể thấy, thông qua quá trình xét duyệt các dự án cho vay NHTM gần nhƣ đã sở hữu gần nhƣ toàn bộ các thông tin liên quan đến tài chính và hoạt động kinh doanh của khách hàng. Việc này có thể không chỉ ảnh hưởng đến lợi ích chính đáng của khách hàng (nếu thông tin bị tiết lộ) mà còn gián tiếp gây thiệt hại cho các NHTM. Vì NHTM không bị ràng buộc rõ ràng về nghĩa vụ BMTT trong

34

hoạt động này, do đó trong quá trình cung cấp các thông tin để vay vốn, khách hàng cũng rất e dè, lo ngại rằng thông tin bị tiết lộ sẽ gây thiệt hại, từ đó khách hàng có thể cung cấp thông tin không đầy đủ, điều này có thể gây ra khó khăn cho hoạt động xét duyệt cấp tín dụng và các NHTM có thể đƣa ra các quyết định sai lầm.

Về thời hạn BMTT khách hàng: NHTM phải BMTT của khách hàng cả trước (trước khi bắt đầu thỏa thuận hợp đồng), trong (vào bất kỳ thời điểm nào khi giữa TCTD và khách hàng thực sự ký kết hợp đồng) và cả sau khi kết thúc quan hệ hợp đồng đó. Đây có lẽ là một trong những quy định không rõ ràng và khó hiểu nhất trong các quy định về BMTT khách hàng trong hoạt động của các NHTM. Chính phủ (2018) quy định “thông tin khách hàng của TCTD là thông tin do khách hàng cung cấp, thông tin phát sinh trong quá trình khách hàng đề nghị hoặc được tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung ứng các nghiệp vụ ngân hàng, sản phẩm, dịch vụ trong hoạt động được phép”;đồng thời Quốc Hội (2010) quy định rằng “TCTD, CNNHNN phải bảo đảm bí mật thông tin…của khách hàng”.

Từ hai quy định này có thể hiểu, pháp luật Việt Nam đã bước đầu thừa nhận việc BMTT khách hàng trước khi hình thành mối quan hệ giữa ngân hàng và khách hàng.

Chính phủ (2018) đã quy định rằng“Đảm bảo an toàn, bí mật thông tin khách hàng trong quá trình cung cấp, quản lý, sử dụng, lưu trữ thông tin khách hàng”. Theo quy định này, có thể hiểu là nghĩa vụ BMTT khách hàng của TCTD không bị giới hạn về thời gian.

Có thể nhận thấy, một mặt quy định của pháp luật Việt Nam hiện hành phù hợp, tương thích với pháp luật của nhiều nước trên thế giới khi quy định nghĩa vụ bảo mật thông tin khách hàng không chỉ tồn tại khi hình thành mối quan hệ giữa ngân hàng và khách hàng mà còn áp dụng cả trước và sau khi mối quan hệ này chấm dứt. Quy định này là phù hợp, đã khắc phục đƣợc những hạn chế trong các quy định pháp luật trước đây. Việc quy định như vậy có ý nghĩa rất quan trọng trong việc bảo vệ niềm tin của khách hàng cũng nhƣ xác định phạm vi, giới hạn, trách nhiệm của TCTD sau này. Mặt khác, quy định thời hạn chấm dứt nghĩa vụ bảo

35

mật thông tin khách hàng trong HĐNH của TCTD chƣa có sự thống nhất, rõ ràng, nên cần được hướng dẫn rõ ràng, cụ thể hơn.

2.1.3.3. Quy định liên quan đến giới hạn BMTT khách hàng trong hoạt động của các NHTM.

Hầu hết pháp luật của các quốc gia trên thế giới đều cho rằng nghĩa vụ BMTT khách hàng trong HĐNH của các NHTM không phải là tuyệt đối, bởi nó sẽ bị giới hạn trong một số trường hợp luật định. Pháp luật Việt Nam cũng có sự tương đồng với các nước trên thế giới khi quy định nghĩa vụ này của các NHTM có thể sẽ bị giới hạn trong hai trường hợp theo đó là: “khi có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật và khi được sự chấp thuận của khách hàng” (Quốc Hội, 2010).Có thể thấy các quy định nêu trên, một mặt vẫn đảm bảo quyền đƣợc BMTT của khách hàng nhƣng cũng đồng thời góp phần hỗ trợ tích cực cho hoạt động tƣ pháp và thực thi pháp luật đƣợc hiệu quả; hỗ trợ đƣợc hoạt động phòng, chống các loại tội phạm xuyên quốc gia liên quan đến lĩnh vực tài chính ngân hàng.

Tuy nhiên, xét ở một khía cạnh nào đó, quy định nhƣ vậy có thể sẽ làm ảnh hưởng đến quyền riêng tư của cá nhân. Bởi vì việc nghị định đã mở rộng đối tượng đƣợc yêu cầu cung cấp thông tin liên quan đến thông tin khách hàng nhƣ vậy, thậm chí cơ quan ở cấp huyện cũng có thẩm quyền ký văn bản yêu cầu các NHTM cung cấp thông tin sẽ gây ra một sự tâm lý bất an cho khách hàng (Chính Phủ, 2018).

Việc can thiệp nhiều như vậy có khả năng sẽ ảnh hưởng tới hoạt động huy động vốn của ngân hàng, bởi một khi khách hàng có cơ sở lo sợ rằng thông tin của họ có thể bị cung cấp cho quá nhiều chủ thể khác nhau, nếu không đƣợc bảo đảm an toàn, chắc chắn sẽ ảnh hưởng nhiều đến hành động của khách hàng, họ có thể tích trữ tiền ở nhà hoặc thậm chí có thể chuyển sang các khoản đầu tƣ tài chính thay thế khác nhƣ: vàng, chứng khoán hay đầu tƣ vào tiền ảo…

Hơn nữa, quy định về giới hạn BMTT khách hàng trong trường hợp cung cấp cho cơ quan có thẩm quyền vẫn không hướng dẫn rõ trong trường hợp cụ thể nào các cơ quan nhà nước đó được quyền yêu cầu cung cấp thông tin, trong khi hướng dẫn trước đây tại nghị định số 70 trước đây lại quy định cụ thể rằng: “các cơ quan

36

nhà nước chỉ có thể yêu cầu cung cấp thông tin khách hàng trong quá trình thanh tra, điều tra, truy tố, xét xử, thi hành án” (Chính Phủ, 2000).

Đồng thời các quy định này vẫn chung chung, chƣa thống nhất, rõ ràng khi các trường hợp được yêu cầu cung cấp thông tin được quy định riêng rẽ trong từng văn bản pháp luật ( Bộ Luật tố tụng hình sự và Bộ luật tố tụng dân sự năm 2015;

Luật Thanh tra năm 2010; Luật CTCTD hiện hành; Luật Kiểm toán nhà nước năm 2015; Luật Quản lý thuế năm 2006, sửa đổi, bổ sung năm 2012 hoặc Luật Phá sản năm 2014…)

Vẫn có một số trường hợp cũng cần được yêu cầu TCTD phải cung cấp thông tin khách hàng như trường hợp liên quan đến hợp tác quốc tế về tội phạm xuyên quốc gia hay hợp tác quốc tế về thuế hoặc liên quan đến vấn đề giám hộ lại chƣa đƣợc pháp luật ngân hàng ghi nhận.

2.1.3.4. Quy định về quyền và nghĩa vụ của các chủ thể trong quan hệ về BMTT khách hàng trong HĐNH của các NHTM.

Có thể nhận thấy rằng pháp luật Việt Nam đã quy định rõ quyền và nghĩa vụ các chủ thể. Bên cạnh TCTD, khách hàng thì quy định của pháp luật hiện hành còn quy định thêm quyền và nghĩa vụ của chủ thể thứ ba có liên quan trong quan hệ pháp luật về BMTT của khách hàng. Chính phủ (2018) đã quy định tại “Mục 3:

quyền, nghĩa vụ, trách nghiệm của khách hàng, cơ quan, tổ chức, cá nhân trong việc giữ bí mật,cung cấp thông tin khách hàng của Nghị định 117/2018-NĐ-CP”.

Trong đó quy định rõ quyền và nghĩa vụ của khách hàng; quyền và trách nhiệm của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; quyền và trách nhiệm của cơ quan nhà nước, tổ chức khác, cá nhân. Việc quy định rõ quyền, nghĩa vụ và trách nghiệm của các chủ thể này đối với vấn đề BMTT khách hàng trong hoạt động của các NHTM là rất cần thiết. Bởi đây là cơ sở để khách hàng bảo vệ lợi ích của mình khi bị xâm hại, để NHTM và các cơ quan tổ chức khác thực hiện tốt quyền và nghĩa vụ của mình về BMTT khách hàng, đồng thời tạo cơ sở xác định trách nhiệm của các chủ thể khi xảy ra vi phạm nghĩa vụ đảm bảo BMTT khách hàng trong hoạt động của các NHTM.

37

2.1.3.5. Quy định về xử lý hành vi vi phạm BMTT khách hàng trong hoạt động của các NHTM.

Nếu trước đây tại Nghị định 70/2000/NĐ-CP, Chính phủ (2000) quy định rằng: “Các tổ chức, cá nhân phải thực hiện đúng các quy định về giữ bí mật, lưu trữ, cung cấp các thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng được quy định tại Nghị định này và các quy định pháp luật khác có liên quan. Tổ chức, cá nhân có hành vi vi phạm thì tuỳ theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật, xử lý hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại phải bồi thường theo quy định của pháp luật.” thì tại Nghị định 117/2018/NĐ-CP lại không có quy định này. Các quy định về xử lý vi phạm liên quan đến BMTT khách hàng phải dẫn chiếu đến các văn bản pháp lý khác. Cụ thể đối với hành vi đƣợc xác định là chƣa đến mức nguy hiểm cho xã hội thì sẽ bị xử phạt hành chính theo quy định của định của pháp luật có liên quan (Xem Phụ lục 1). Còn đối với hành vi đƣợc xác định là nguy hiểm cho xã hội thì sẽ bị truy cứu trách nhiệm hình sự theo quy định của Bộ luật hình sự hiện hành. Quốc Hội (2015) quy định: “điều 291 về tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng; điều 356, điều 357 quy định về tội lợi dụng chức vụ, quyền hạn; tội lạm quyền trong khi thi hành công vụ; điều 361 về tội cố ý làm lộ bí mật công tác; tội chiếm đoạt, mua bán, tiêu hủy tài liệu bí mật công tác và điều 362 về tội vô ý làm lộ bí mật công tác; tội làm mất tài liệu bí mật công tác.”

Tuy nhiên các định về xử lý vi phạm về BMTT khách hàng vẫn còn tồn đọng rất nhiều những hạn chế, có thể kể đến các hạn chế sau đây:

- Có những quy định còn chồng chéo, chƣa thực sự thống nhất giữa các văn bản quy phạm pháp luật có liên quan dẫn đến việc khó áp dụng trong thực tiễn, đặc biệt là quy định về mức xử lý vi phạm hành chính. Ví dụ Chính phủ (2019) quy định tại nghị định số 88/2019/NĐ-CP rằng “Đối với hành vi cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không đúng quy định của pháp luật; làm lộ, sử dụng thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không đúng mục đích theo quy định của pháp luật thì phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng”. Tuy nhiên khi xem xét quy