Hệ thống văn bản pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay

CHƯƠNG 2: THỰC TRẠNG PHÁP LUẬT VỀ BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG CỦA CÁC NGÂN HÀNG THƯƠNG MẠI Ở VIỆT NAM HIỆN NAY

2.1. Thực trạng pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay

2.1.2. Hệ thống văn bản pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại ở Việt Nam hiện nay

Nhằm thực hiện các quy định về BMTT nói chung và BMTT trong HĐNH nói riêng, các cơ quan Nhà nước có thẩm quyền đã ban hành nhiều văn bản quy phạm pháp luật để điều chỉnh tiêu biểu nhƣ: Hiến pháp năm 2013, Bộ Luật Dân sự năm 2015, Luật NHNH Việt Nam năm 2010, Luật CTCTD năm 2010 sửa đổi, bổ sung năm 2017, Luật Bảo vệ quyền lợi người tiêu dùng 2010 và các Nghị định hướng dẫn của Chính phủ; các thông tư của các bộ, ban, ngành có liên quan,… Đây đƣợc coi là khung pháp luật quan trọng trong việc điều chỉnh về BMTT khách hàng trong hoạt động của các NHTM ở Việt Nam hiện nay.

2.1.2.1. Hiến Pháp năm 2013 – BLDS năm 2015

Các quy định của Hiến Pháp năm 2013 và BLDS năm 2015. Ở Việt Nam nghĩa vụ BMTT nói chung và BMTT khách hàng trong HĐNH nói riêng đƣợc hình thành dựa trên cơ sở nguyên tắc bảo vệ quyền con người và quyền riêng tư quy định trong Hiến pháp và BLDS.

Thứ nhất, tại Điều 21 Hiến pháp năm 2013: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác.” (Quốc Hội, 2013). Với quy định trên của Hiến

26

Pháp, ta có thể thấy nó chƣa giải thích đƣợc nghĩa vụ BMTT của ngân hàng đối với chủ thể là pháp nhân và tổ chức khác khi tham gia giao dịch với ngân hàng, tuy nhiên quy định trên đƣợc xem là có ý nghĩa pháp lý quan trọng để xây dựng những quy định về nghĩa vụ bảo mật của các chủ thể nắm giữ thông tin của khách hàng (NHTM).

Thứ hai, trong BLDS năm 2015 cũng đã ghi nhận một số nghĩa vụ chung liên quan đến BMTT. Theo đó, Điều 38 quy định về quyền đời sống riêng tƣ, bí mật cá nhân, bí mật gia đình “Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác”(Quốc Hội, 2015). Vấn đề BMTT cũng đƣợc đề cập trong các quy định về giao kết hợp đồng, cung ứng dịch vụ (Quốc Hội, 2015). Cụ thể tại Điều 387 BLDS năm 2015 về thông tin trong giao kết hợp đồng: “Trường hợp một bên nhận được thông tin bí mật của bên kia trong quá trình giao kết hợp đồng thì có trách nhiệm bảo mật thông tin và không được sử dụng thông tin đó cho mục đích riêng của mình hoặc cho mục đích trái pháp luật khác.” (Quốc Hội, 2015). Nếu vi phạm, gây thiệt hại thì phải bồi thường. Hoặc Điều 517 BLDS năm 2015 cũng có quy định về nghĩa vụ của bên cung ứng dịch vụ: “Giữ bí mật thông tin mà mình biết được trong thời gian thực hiện công việc, nếu có thoả thuận hoặc pháp luật có quy định”(Quốc Hội, 2015).

Nếu tiết lộ bí mật thông tin của bên sử dụng dịch vụ thì phải bồi thường. Ngoài ra, Điều 565 BLDS năm 2015 quy định về nghĩa vụ của bên đƣợc ủy quyền: “Giữ bí mật thông tin mà mình biết được trong khi thực hiện việc ủy quyền”.(Quốc Hội, 2015)

Các quy định đƣợc nêu trên trong Hiến pháp năm 2013 và BLDS năm 2015 đều là những cơ sở pháp lý quan trọng, là nền tảng cho việc xây dựng những quy định về BMTT đối với từng lĩnh vực khác nhau trong đời sống xã hội, trong đó có BMTT khách hàng trong hoạt động của các NHTM ở Việt Nam hiện nay.

2.1.2.2. Các văn bản pháp luật chuyên ngành

Trên cơ sở Hiến pháp năm 2013 và BLDS năm 2015, Quốc hội nước ta đã ban hành nhiều đạo luật nhằm đảm bảo thực hiện hóa quyền đƣợc BMTT khách

27

hàng trong hoạt động của các NHTM nhƣ Luật NHNN Việt Nam năm 2010; Luật CTCTD năm 2010 sửa đổi, bổ sung năm 2017; Luật Bảo vệ quyền lợi người tiêu dùng năm 2010;…

Thứ nhất, các quy định trong Luật CTCTD và Luật NHNN Việt Nam hiện hành.

BMTT khách hàng trong hoạt động của các NHTM là một nội dung thuộc pháp luật ngân hàng phải điều chỉnh. Do vậy, ngay từ những năm đầu khi hệ thống NHTM đi vào hoạt động, Quốc Hội (1997) đã có quy định về nghĩa vụ BMTT khách hàng của TCTD theo điều 17 và điều 104 Luật CTCTD năm 1997. Tuy nhiên theo quy định tại khoản 3 Điều 17 chỉ giới hạn quy định hạn hẹp trong “bảo đảm bí mật số dư tiền gửi của khách hàng” và khoản 2 Điều 104 cũng chỉ xác định TCTD có quyền thực hiện hoặc không việc “từ chối yêu cầu của tổ chức, cá nhân về việc cung cấp thông tin liên quan đến tiền gửi, tài sản của khách hàng…”. Sau đó, việc Chính phủ thông qua Nghị định số 70/2000/NĐ-CP ngày 21/11/2000 về việc giữ gìn bí mật, lưu trữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng đã giúp quy định chi tiết hơn và khẳng định TCTD có “nghĩa vụ” từ chối cung cấp thông tin khách hàng và nội dung thông tin cần giữ bí mật cũng đƣợc mở rộng từ “số dư tiền gửi của khách hàng” đến mọi thông tin liên quan đến “tiền gửi và tài sản gửi của khách hàng”. Khi Luật CTCTD năm 2010 có hiệu lực và thay thế Luật CTCTD năm 1997, chính sách BMTT khách hàng đã có được bước tiến mới. Các quy định về BMTT khách hàng đã được quy định tại khoản 3 Điều 10, Điều 13 và Điều 14. Cụ thể theo khoản 2 Điều 14 đã nhấn mạnh, TCTD và CNNHNH có nghĩa vụ “phải đảm bảo bí mật thông tin” và phạm vi bí mật thông tin cũng đƣợc mở rộng đến thông tin liên quan “tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng” tại TCTD, CNNHNN đó (Nguyễn Thị Hương Thanh, 2016).

Hơn nữa, Quốc Hội (2010) cũng đã quy định các điều khoản nhƣ khoản 3 điều 10 Luật CTCTD về việc TCTD, CNNHNN có trách nhiệm “từ chối việc điều tra, phong tỏa, cầm giữ, trích chuyển tiền gửi của khách hàng, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật hoặc

28

được sự chấp thuận của khách hàng”; khoản 1 điều 14 Luật CTCTD và khoản 3 điều 38 Luật NHNN, Quốc Hội (2010) cũng quy định về nghĩa vụ BMTT khách hàng của các chủ thể có thẩm quyền tương ứng như: “nhân viên, người quản lý, điều hành của TCTD, CNNHNN; cán bộ, công chức của NHNN Việt Nam”,…

Nhƣ vậy, theo quy định của Luật CTCTD và Luật NHNN Việt Nam hiện hành, BMTT khách hàng là một nghĩa vụ bắt buộc mà các TCTD phải tuân thủ triệt để. TCTD không đƣợc để cho thông tin của khách hàng bị các chủ thể là bên thứ ba khác tự do tiếp cận, khai thác của khách hàng (trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật hoặc được sự chấp thuận của khách hàng). Quy định trên là Luật CTCTD là hết sức cần thiết, bởi đó sẽ là cơ sở để các NHTM cụ thể hóa trong các quy định nội bộ của ngân hàng.

Thứ hai, Luật bảo vệ quyền lợi người tiêu dùng năm 2010 cũng có các quy định liên quan đến việc bảo vệ thông tin của người tiêu dùng (theo quan điểm của tác giả thì khách hàng của các ngân hàng chính là người tiêu dùng tài chính). Quốc Hội (2010) đã quy định tại khoản 1 điều 6 rằng: “Người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu”. Người tiêu dùng nói chung và khách hàng của các NHTM nói riêng thường ở trong vị trí yếu thế hơn trong quan hệ mua, bán, sử dụng hàng hóa, dịch vụ so với các tổ chức, cá nhân kinh doanh, do tính chất xã hội phức tạp của quan hệ tiêu dùng mà người tiêu dùng khó có thể có cơ hội được tự do, bình đẳng vì họ thường phải tham gia vào mối quan hệ với đặc tính là “thông tin bất cân xứng” và phụ thuộc rất nhiều vào nhà cung cấp.

Do vậy mà đặt ra quy định về việc BMTT của người tiêu dùng là hợp lý và rất cần thiết.

2.1.2.3. Các văn bản dưới luật

Thứ nhất, các nghị định của Chính phủ liên quan đến BMTT khách hàng.

Chính phủ (2018) đã ban hành “Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài” thay thế cho “Nghị định số 70/2000/NĐ-CP ngày 21/11/2000 của Chính phủ về việc giữ bí mật, lưu trữ và cung cấp thông tin liên

29

quan đến tiền gửi và tài sản gửi của khách hàng.”(Chính Phủ, 2000). Với nghị định mới đƣợc ban hành đã khắc phục đƣợc những hạn chế của nghị định cũ trong vấn đề BMTT khách hàng ở các TCTD, có thể kể đến nhƣ: phạm vi BMTT khách hàng còn quá hẹp; quy định về chủ thể có quyền và nghĩa vụ BMTT khách hàng còn chƣa đầy đủ; các cơ quan,cá nhân có thẩm đƣợc quyền yêu cầu cung cấp thông tin khách hàng còn chƣa phù hợp với thực tế và chƣa quy định đầy đủ;... Ngoài ra, nghị định còn có điểm mới nhƣ: xác định rõ phạm vi điều chỉnh; quy định rõ phạm vi thông tin khách hàng cần được bảo đảm bí mật; mở rộng các chủ thể có thẩm quyền ký văn bản yêu cầu cung cấp thông tin khách hàng; quy định rõ trình tự, thủ tục yêu cầu cung cấp thông tin khách hàng đối với cơ quan Nhà nước có thẩm quyền và quy định về việc giữ bí mật, cung cấp thông tin khách hàng cho tổ chức khác, cá nhân không phải là cơ quan Nhà nước; quy định rõ trách nhiệm của các chủ thể liên quan khi làm lộ hoặc cung cấp thông tin khách hàng không đúng thẩm quyền và biện pháp pháp lý bảo đảm quyền được BMTT của khách hàng (Nguyễn Thị Kim Thoa, 2019).

Với những điểm nổi bật nhƣ trên, nghị định đã tạo góp phần cụ thể hóa và quy định chi tiết các quy định trong Luật CTCTD về BMTT khách hàng, đồng thời tạo cơ sở pháp lý quan trọng để việc giữ bí mật và cung cấp thông tin khách hàng trong HĐNH đƣợc thực hiện một cách thống nhất, rõ ràng và đồng bộ; đồng thời tháo gỡ những khó khăn, vướng mắc của các TCTD, CNNHNN trong việc cung cấp thông tin khách hàng, cũng như hỗ trợ các cơ quan Nhà nước có thẩm quyền thực hiện nhiệm vụ thu thập thông tin, chứng cứ, tài liệu kịp thời và góp phần đảm bảo tính thống nhất, phù hợp với Hiến pháp, BLDS.

Thứ hai, các thông tƣ của các bộ, ban, ngành có liên quan (đặc biệt là NHNN) nhằm thực hiện chức năng của mình về quản lý về tiền tệ và ngân hàng (Quốc Hội, 2010) cũng đã ban hành nhiều văn bản pháp luật. Đây cũng những văn bản pháp lý quan trọng trong việc điều chỉnh vấn đề BMTT khách hàng trong HĐNH. Tiêu biểu nhƣ: Thông tư 31/2015/TT-NHNN về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong HĐNH (NHNN, 2015); Thông tư 09/2020/TT- NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng (NHNN,

30

2020); thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet (NHNN, 2016); và nhiều thông tƣ khác.

Thứ ba, quy định nội bộ của các NHTM. Trên cơ sở các văn bản pháp luật đó, mỗi NHTM ở Việt Nam căn cứ tình hình thực tế và đặc thù hoạt động tại đơn vị để triển khai thực hiện và ban hành quy định nội bộ. Chính phủ (2018) đã quy định tại điều 5 Nghị Định 117/2018/NĐ-CP rằng: “quy định nội bộ về giữ bí mật, lưu trữ và cung cấp thông tin khách hàng phải bao gồm tối thiểu các nội dung sau đây: quy trình, thủ tục tiếp nhận, xử lý và cung cấp thông tin khách hàng; quy trình, thủ tục lưu trữ, bảo vệ bí mật thông tin khách hàng; việc giám sát, kiểm tra và xử lý vi phạm quy định nội bộ về giữ bí mật, lưu trữ, cung cấp thông tin khách hàng; phân cấp thẩm quyền, quyền hạn, nghĩa vụ của các đơn vị, cá nhân trong việc giữ bí mật, lưu trữ và cung cấp thông tin khách hàng.”

Hiện nay, nhiều NHTM đã ban hành nhiều quy định cụ thể về BMTT: quy định 183/2019/QĐ-TGĐ ngày 28/1/2019 của Tổng Giám đốc Ngân hàng HD bank về Quy định giữ bí mật, lưu trữ và cung cấp thông tin khách hàng; quy định 1135/QĐ-HĐTV-PC ngày 31/12/2019 của Hội đồng thành viên Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam (Agribank) về cung cấp thông tin trong hệ thống ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam;…

Bên cạnh đó, cùng với xu thế phát triển của khoa học công nghệ, đặc biệt là cuộc cách mạng công nghiệp 4.0, một khái niệm đƣợc sử dụng khá phổ biến và có mối liên hệ nhất định với thông tin khách hàng đó là “dữ liệu cá nhân”. Thông tin khách hàng và dữ liệu cá nhân có những điểm giống nhau mặc dù mục đích điều chỉnh có sự khác nhau. Đứng dưới góc độ bảo mật thì dường như các quy tắc bảo vệ dữ liệu cá nhân bao hàm rộng hơn vì nó ảnh hưởng đến việc thu thập, lưu trữ và sử dụng tất cả dữ liệu của một cá nhân. Trong khi đó nghĩa vụ BMTT khách hàng của các ngân hàng lại hẹp hơn khi chỉ tập trung vào việc giới hạn việc tiết lộ, cung cấp thông tin khách hàng phát sinh trong HĐNH. Hiện nay, Bộ Công An đang xây dựng và lấy ý kiến về “Dự thảo nghị định về bảo vệ dữ liệu cá nhân” đây sẽ một trong những bước tiến triển quan trọng khi lần đầu tiên Việt Nam đang trong quá trình xây dựng đƣợc hành lang pháp lý đầy đủ liên quan đến vấn đề bảo vệ thông tin cá

31

nhân. Nếu nhƣ nghị định này đƣợc ban hành cũng sẽ góp phần tạo cơ sở, hành lang pháp lý để giải quyết vấn đề BMTT khách hàng trong hoạt động của các NHTM ở Việt Nam hiện nay.