CHƯƠNG 1: NHỮNG VẤN ĐỀ LÝ LUẬN VỀ BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG CỦA CÁC NGÂN HÀNG THƯƠNG MẠI VÀ PHÁP LUẬT VỀ BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG CỦA CÁC NGÂN HÀNG THƯƠNG MẠI
1.2. Khái quát về pháp luật bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại
1.2.2. Các nội dung cơ bản của pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại
Pháp luật là hệ thống các quy tắc xử sự chung do Nhà nước ban hành hoặc thừa nhận nhằm điều chỉnh các quan hệ xã hội theo một mục đích nhất định. Pháp luật ra đời gắn liền với sự hình thành của Nhà nước, đồng thời một Nhà nước muốn tồn tại và hoạt động hiệu quả phải có sự tham gia điều chỉnh của pháp luật. Trong mọi khía cạnh của đời sống xã hội, pháp luật luôn đóng một vai trò quan trọng và không thể thiếu. Đối với vấn đề BMTT khách hàng trong hoạt động của các NHTM cũng vậy, vai trò của pháp luật là rất cần thiết. Do tính chất phức tạp của BMTT
18
khách hàng vì nó không chỉ liên quan đến lợi ích của khách hàng, nghĩa vụ của các TCTD mà còn của các bên thứ ba muốn tiếp cận thông tin đó để đáp ứng các mục đích của họ, vậy nên sẽ khó có một quy phạm đạo đức hay tập quán nào đủ khả năng để điều chỉnh vấn đề này. Nhƣng với công cụ pháp luật thì khác, công cụ pháp luật cho phép quản lý vấn đề này một cách thống nhất, toàn diện trên phạm vi toàn lãnh thổ bởi pháp luật mang tính quyền lực của Nhà nước và tính hệ thống cao. Việc xây dựng đƣợc một hành pháp lý đầy đủ và phù hợp với thực tiễn sẽ thúc đẩy hiệu quả thực thi của pháp luật trong đời sống, phù hợp với ý chí, nguyện vọng của Nhà nước. Ngược lại, nếu không điều chỉnh bằng pháp luật hoặc các quy định của pháp luật còn nhiều bất cập, không phù hợp sẽ làm giảm khả năng thực thi của pháp luật, đồng thời làm tăng tình trạng mất BMTT khách hàng trong ngân hàng.
Để điều chỉnh các quan hệ pháp luật liên quan đến vấn đề BMTT khách hàng trong hoạt động của các NHTM thì nội dung quy định pháp luật cần phải đảm bảo đƣợc năm nhóm quy định sau đây:
Thứ nhất, quy định về loại thông tin khách hàng. Hay nói cách khác là phải quy định đƣợc những thông tin nào đƣợc coi là thông tin khách hàng mà các NHTM cần phải bảo mật. Việc quy định rõ thông tin khách hàng là gì và bao gồm những thông tin nào sẽ giúp cho các NHTM xác định rõ những thông tin mà mình cần bảo mật và giúp cho khách hàng biết đƣợc những thông tin mà mình đƣợc bảo mật. Từ đó giúp đảm bảo NHTM thực hiện tốt nghĩa vụ của mình và đảm bảo quyền lợi của khách hàng.
Thứ hai, quy định về phạm vi, thời hạn BMTT khách hàng - phạm vi bảo mật trong những thông tin nào và những thông tin đó đƣợc bảo mật trong bao lâu. Việc xác định thời hạn BMTT khách hàng có ý nghĩa quan trọng trong việc xác định trách nhiệm của TCTD trong việc BMTT khách hàng. Chẳng hạn, những khách hàng dù đã chấm dứt giao dịch với các TCTD nhƣng những thông tin của họ vẫn còn giá trị nếu bị đối thủ cạnh tranh của khách hàng khai thác hay những thông tin này vẫn cần đƣợc giữ bí mật vì vấn đề riêng tƣ. Quy định này góp phần xác định rõ thời điểm phát sinh và chấm dứt nghĩa vụ BMTT khách hàng (trước, trong hay sau) khi kết thúc quan hệ giữa NHTM và khách hàng và xác định rõ phạm vi thông tin
19
nào của khách hàng cần đƣợc các NHTM bảo mật. Từ đó là cơ sở để xác định và xử lý các vi phạm về nghĩa vụ BMTT và là cơ sở bảo đảm quyền đƣợc BMTT của khách hàng trong HĐNH của khách hàng.
Thứ ba, quy định về giới hạn BMTT khách hàng – bảo mật trong những trường hợp nào và những trường hợp nào có thể cung cấp thông tin của khách hàng.
Cần phải có giới hạn để bảo đảm quyền của khách hàng, tránh tình trạng lạm dụng các giới hạn để tiết lộ/cung cấp hoặc không làm hết/làm tốt nghĩa vụ BMTT khách hàng trong hoạt động kinh doanh của NHTM; đồng thời không “lấn” vào những phần bị nhà nước “hạn chế”. Việc xác định rõ ràng, cụ thể các giới hạn của nghĩa vụ có ý nghĩa đặc biệt quan trọng, không chỉ trong xây dựng, gìn giữ niềm tin của khách hàng đối với một NHTM cụ thể, mà còn đối với cả hệ thống tín dụng của quốc gia và hiệu lực quản lý nhà nước. Hầu hết các nước đều thống nhất rằng, nghĩa vụ này không phải là tuyệt đối mà có giới hạn/ngoại lệ hạn chế để giải quyết các tình huống và hoàn cảnh khác nhau.
Thứ tư, quy định về quyền và nghĩa vụ của các chủ thể trong BMTT khách hàng – các chủ thể liên quan có những quyền và nghĩa vụ nào. Quy định này là cơ sở để khách hàng bảo vệ lợi ích của mình khi bị xâm hại, để NHTM và các cơ quan tổ chức thực hiện tốt quyền và nghĩa vụ của mình, đồng thời tạo cơ sở xác định trách nhiệm của các chủ thể khi xảy ra vi phạm nghĩa vụ đảm bảo BMTT khách hàng trong hoạt động của các NHTM.
Thứ năm, quy định về xử lý vi phạm trong BMTT khách hàng – cần quy định đƣợc các chế tài dân sự, hành chính và hình sự khi vi phạm nghĩa vụ BMTT khách hàng. Quy định này giúp đảm bảo cho việc thực thi pháp luật về BMTT khách hàng trong thực tiễn, đảm bảo cho các chủ thể liên quan thực hiện đúng và tốt quyền và nghĩa vụ của mình.
Năm quy định trên đƣợc coi là “khung xương” quan trọng để điều chỉnh các vấn đề pháp lý phát sinh từ hoạt động BMTT khách hàng trong hoạt động của các TCTD nói chung và các NHTM nói riêng. Nếu thiếu một trong quy định kể trên việc thực thực pháp luật sẽ không đƣợc đảm bảo trong thực tiễn. Do đó khi xây
20
dựng pháp luật về vấn đề này cần chú trọng đến năm nhóm quy định đó để đảm bảo hiệu quả của pháp luật.
1.3. Kinh nghiệm quốc tế trong việc điều chỉnh bằng pháp luật về bảo mật thông tin khách hàng trong hoạt động của các ngân hàng thương mại và bài học kinh nghiệm cho Việt Nam
Quy định pháp luật về nghĩa vụ BMTT khách hàng trong HĐNH của NHTM có sự khác nhau ở những khu vực pháp lý khác nhau. Báo Chính Phủ (2021) đƣa tin hiện nay tại hầu hết các quốc gia việc cung cấp thông tin tài khoản ngân hàng, BMTT của khách hàng được quy định rất nghiêm ngặt. Nhiều nước đã ban hành cả đạo luật về BMTT trong đó nghiêm cấm việc ngân hàng tiết lộ danh tính khách hàng cho bên thứ ba, dù đó là cơ quan thuế hay thậm chí là chính quyền trung ƣơng.
Ngoài ra, nhiều ngân hàng ở nhiều nước còn sử dụng cơ chế tài khoản mật danh (tức là cung cấp cách thức đặc biệt để các chủ tài khoản cung cấp tên tài khoản là một mã số hoặc một danh xƣng kiểu “nickname”). Thông tin cá nhân chi tiết của những tài khoản nhƣ thế chỉ đƣợc biết bởi các quản lý cấp cao của ngân hàng, những nhân viên giao dịch không thể biết, hồ sơ cũng đƣợc bảo vệ rất cẩn mật. Đặc điểm này khá phổ biến tại nhiều ngân hàng ở châu Âu, tiểu biểu là các ngân hàng ở Thụy Sỹ.
1.2.3.1. Pháp Luật Thụy Sĩ về bảo mật thông tin khách hàng
Hệ thống các ngân hàng ở Thụy Sỹ là hệ thống ngân hàng có nguồn gốc lâu đời và nổi tiếng với chế độ bảo mật rất cao. Mặc dù dân số quốc gia này chỉ chiếm hơn 0,1% dân số thế giới nhƣng đây lại là nơi nắm giữ đến hơn một phần tƣ tổng tài sản của các gia đình giàu có trên thế giới, vƣợt qua các trung tâm tài chính hàng đầu trên thế giới nhƣ Mỹ, Anh và Hồng Kông,... Ngân hàng đã có mặt tại khắp các thành phố của Thụy Sỹ từ thế kỷ 14. Trải qua hơn bảy thế kỷ, sự phát triển của các ngân hàng tại đây là kết quả của sự kết hợp cả về lịch sử, chính trị, tôn giáo và kinh tế. Đặc biệt, một nguyên tắc đã trở thành thương hiệu của các ngân hàng tại Thụy Sỹ đó chính là “vấn đề bảo mật thông tin”.
Ở Thụy Sỹ các luật đầu tiên về bảo mật ngân hàng đã có từ đầu thế kỷ 18.
Năm 1713, Nghị viện ở Geneva đã ban hành các điều khoản yêu cầu nhân viên ngân
21
hàng phải lưu giữ hồ sơ về khách hàng và các giao dịch. Năm 1934, Đạo luật Bảo mật Ngân hàng Thụy Sỹ ra đời. Khi tiền đƣợc gửi vào tài khoản ngân hàng Thụy Sỹ, nhân viên ngân hàng đƣợc yêu cầu giữ bí mật thông tin này một cách nghiêm ngặt, thậm chí không được phép tiết lộ về việc một người có tài khoản ngân hàng hay không. Bảo mật các thông tin của khách hàng trong ngân hàng không chỉ đƣợc hệ thống hóa trong Luật Ngân hàng mà còn cả trong Hiến pháp của quốc gia này.
Mặt khác, ngân hàng Thụy Sỹ đã giới thiệu một công nghệ đƣợc gọi là Mạng lưới tài khoản ngân hàng cá nhân (PBAN). Đây là một cơ chế để bảo vệ khách hàng, lưu trữ dữ liệu tài khoản của khách hàng với ba cấp độ bảo mật. Với mức độ bảo mật cao như vậy, Thụy Sỹ đã trở thành một điểm đến lý tưởng của các gia đình muốn quản lý tài sản của họ ở mức độ bảo mật cao nhất. Hệ thống pháp lý chặt chẽ, nền tảng ngân hàng phát triển cộng với những quy tắc bảo mật nghiêm ngặt là những lợi thế rất lớn cho Thụy Sỹ so với các quốc gia phát triển khác
Với mức độ bảo mật như vậy, Thụy Sỹ đã trở thành một điểm đến lý tưởng của các gia đình muốn quản lý tài sản của họ ở mức độ bảo mật cao nhất. Hệ thống pháp lý chặt chẽ, nền tảng ngân hàng phát triển cộng với những quy tắc bảo mật nghiêm ngặt là những lợi thế rất lớn cho Thụy Sỹ so với các quốc gia phát triển khác. Ngành ngân hàng của Thụy Sỹ có mức độ công bố thông tin ra bên ngoài thậm chí vào nhóm cao nhất thế giới, chung nhóm với các quốc gia đƣợc mệnh danh là thiên đường thuế như Cayman Island hay Maldives…(Trần Thị Phúc Hậu &
Lê Hoài Ân (2021)).
1.2.3.2. Pháp luật Singapore về bảo mật thông tin khách hàng
Ngay tại một quốc gia Đông Nam Á (Singapore) - Singapore có một trong những hệ thống ngân hàng hàng đầu trên thế giới với mức độ bảo mật và ổn định cao. Hệ thống ngân hàng Singapore đƣợc chia làm hai loại chính – ngân hàng nội địa và quốc tế. Tất cả các ngân hàng thương mại tại đất nước này đều nằm dưới sự điều hành của Cơ quan Tiền tệ Singapore. Tính bảo mật của khách hàng đƣợc đảm bảo trong mục 47 của Đạo luật Ngân hàng (Banking Act 1970) của nước này. Theo đó trừ khi có căn cứ luật pháp chứng minh trốn thuế hay tội phạm tài chính, thông tin khách hàng sẽ không đƣợc tiết lộ ra ngoài công chúng. Hơn nữa, Singapore sẽ
22
phạt các ngân hàng ở mức rất cao. Cụ thể, Điều 47 Luật Ngân hàng Singapore năm 1970, sửa đổi, bổ sung năm 2018 quy định: “Người nào vi phạm nghĩa vụ bảo mật thông tin khách hàng có thể bị phạt tù với thời hạn lên đến ba năm và/hoặc có thể bị phạt tới 125.000 đô la Singapore, một số trường hợp khác mức tiền phạt không vượt quá 250.000 đô la Singapore” (Nghị Viện Singapore, 1970). Hoàng Linh (2022) đưa tin với dự luật Thị trường và Dịch vụ tài chính (Financial Services and Markets Bill) được trình quốc hội nước này vào tháng 2/2022 mới đây dự kiến sẽ đẩy mức phạt tối đa cho mỗi lỗ hổng lên đến 1 triệu đô la Singapore (736.791 USD). Mức phạt có thể tăng cao hơn nếu một sự cố ảnh hưởng đến khách hàng của tổ chức tài chính hoặc các đối tác khác, dẫn đến nhiều vi phạm. Đây đƣợc coi là một trong những biện pháp quan trọng để thúc đẩy các ngân hàng ở Singapore chủ động có các biện pháp, cách thức bảo mật thông tin phù hợp.
1.2.3.3. Bài học kinh nghiệm cho Việt Nam
Từ sự thành công trong pháp luật về BMTT khách hàng trong HĐNH của các quốc gia trên thế giới, Việt Nam chúng ta có thể học hỏi đƣợc rất nhiều kinh nghiệm và có thể đƣa vào thực thi trong thực tiễn. Việc tìm hiểu các quy định pháp luật về bảo mật thông tin; các cách thức đang áp dụng và các hình thức xử phạt…
mà các quốc gia khác đang áp dụng là rất cần thiết để có thể rút ra bài học kinh nghiệm cho Việt Nam trong quá trình xây dựng và hoàn thiện pháp luật về BMTT khách hàng trong hoạt động của các NHTM.
Thứ nhất, Việt Nam cần phải học tập các quốc gia khác trên thế giới sớm nghiên cứu, xây dựng và ban hành Luật về bảo mật thông tin (đặc biệt là trong linh vực ngân hàng) nhằm cùng với các văn bản pháp luật khác tạo cơ chế hữu hiệu thực hiện quyền bất khả xâm phạm đời sống riêng tƣ, bí mật cá nhân đã đƣợc quy định tại Điều 21 và 22 Hiến pháp Việt Nam năm 2013.
Đồng thời, cần thống nhất, cụ thể hóa các quy định của pháp luật về BMTT vào trong một văn bản luật (Luật CTCTD hiện hành) để các NHTM cũng nhƣ các chủ thể liên quan thực thi pháp luật một cách hiệu quả nhất.
Hiện nay, Bộ CA đang tổ chức lấy ý kiến nhân dân về dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân, trong đó quy định rất rõ về các về “dữ liệu cơ bản”
23
và “dữ liệu nhạy cảm” của công dân và quy định mức phạt rất cao nếu tổ chức, cá nhân có hành vi xâm phạm. Việc Bộ CA xây dựng và lấy ý kiến rộng rãi về “Dự thảo quy định về bảo vệ dữ liệu cá nhân” là một trong những bước đi quan trọng để lần đầu tiên Việt Nam xây dựng đƣợc một hành lang pháp lý đầy đủ liên quan đến việc bảo vệ dữ liệu của cá nhân trong kỉ nguyên số.
Thứ hai, cần phải chủ động nâng cao các giải pháp phòng ngừa, đặc biệt là cần học hỏi áp dụng các thành tựu của khoa học công nghệ vào trong vấn đề BMTT khách hàng của ngân hàng như: xây dựng cơ chế để bảo vệ khách hàng, lưu trữ dữ liệu tài khoản của khách hàng với nhiều tầng bảo mật; cần phải thông minh hóa giám sát an toàn thông tin, tự động hóa trong giám sát phản ứng an toàn thông tin và luôn đặt ra giả thiết để săn tìm chủ động những nguy cơ trong hệ thống thay vì luôn đặt niềm tin một cách mơ hồ rằng hệ thống của mình đang an toàn; hạn chế việc cung cấp thông tin tài khoản ngân hàng theo hướng chỉ tòa án mới có quyền yêu cầu các ngân hàng cung cấp thông tin…Ngoài cần có hướng dẫn cụ thể, thống nhất về cách thức BMTT cho các ngân hàng, để tránh trình trạng có những ngân hàng bảo mật tốt nhƣng cũng có ngân hàng thì lại sử dụng, vận hành những hệ thống lạc hậu.
Thứ ba, các cơ quan có thẩm quyền cần đƣa ra các chế tài mang tính răn đe hơn và nâng cao mức xử phạt đối với các hành vi để lộ thông tin khách hàng của ngân hàng ra bên ngoài.
24
TIỂU KẾT CHƯƠNG 1
Qua những phân tích ở chương 1 về: “Những vấn đề lý luận về pháp luật về bảo mật thông tin khách hàng trong HĐNH của các NHTM ”, có thể thấy việc BMTT ngày càng đƣợc đề cao trong các hoạt động kinh tế nói chung và HĐNH nói riêng. Khi khách hàng tham gia vào HĐNH, họ sẽ cung cấp những thông tin cần thiết cho ngân hàng và những thông tin đó phải đƣợc bảo mật – đó là một nghĩa vụ pháp lý mà tất cả các TCTD (kể cả NHTM) luôn phải tuân thủ trong suốt quá trình hoạt động của mình. Xuất phát từ tầm quan trọng của BMTT và nhằm đảm bảo các chủ thể có liên quan thực thi tốt vấn đề này trong thực tiễn đời sống thì cần phải đƣợc điều chỉnh bằng pháp luật. Và để điều chỉnh các quan hệ pháp luật về BMTT khách hàng trong hoạt động của các NHTM thì nội dung quy định pháp luật cần đảm bảo các nhóm quy định sau: quy định về loại thông tin cần bảo mật; quy định về phạm vi, thời hạn bảo mật; quy định về giới hạn bảo mật; quy định về quyền và nghĩa vụ của chủ thể có liên quan và quy định về xử lý vi phạm trong BMTT khách hàng trong hoạt động của các NHTM. Hơn nữa, việc nghiên cứu pháp luật về BMTT khách hàng trong HĐNH của các nước trên thế giới có ý nghĩa lý luận và thực tiễn sâu sắc để có thể rút ra nhiều bài học kinh nghiệm cho Việt Nam. Những vấn đề được nêu ra ở chương 1 sẽ là cơ sở để phân tích và đánh giá thực trạng pháp luật và thực tiễn thực hiện pháp luật về BMTT hàng trong HĐNH của NHTM ở chương 2.