Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:11

Thêm vào BST

Báo xấu

13
lượt xem 3
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết "Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng" sẽ phân tích các mâu thuẫn, bất cập của một số văn bản pháp luật trong lĩnh vực ngân hàng với Nghị định 13 đồng thời kiến nghị nhằm hoàn thiện pháp luật trong quá trình hội nhập quốc tế sâu rộng và kỷ nguyên số. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng

BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG LĨNH VỰC NGÂN HÀNG TS. Nguyễn Thái Cường, Trường Đại học Luật TP.HCM Nguyễn Thuỳ Linh, Trường Đại học Luật TP.HCM Trần Thị Diễm My Trường Đại học Luật TP.HCM Tóm tắt: Quyền riêng tư đối với dữ liệu cá nhân là quyền con người cơ bản, được công nhận và bảo vệ bởi luật nhân quyền quốc tế. Sự phát triển của công nghệ đã cải thiện đời sống của con người, song cũng là một nguy cơ lớn với quyền riêng tư. Ở Việt Nam, sự bảo vệ của Nhà nước với vấn đề này còn thiếu hiệu quả, chưa tương xứng với tầm quan trọng của nó. Tình trạng đánh cắp dữ liệu cá nhân ngày càng phổ biến, nạn nhân thường là khách hàng của các tổ chức tín dụng. Vì vậy, Việt Nam đã ban hành Nghị định 13/2023/NĐ-CP ngày 17 tháng 04 năm 2023 về bảo vệ dữ liệu cá nhân, chính thức có hiệu lực từ ngày 1/7/2023 (“Nghị định 13”). Tuy nhiên, chỉ trong hai tháng triển khai, các tổ chức tín dụng liên tục gặp vướng mắc khi thực hiện chính sách mới. Bài viết sẽ phân tích các mâu thuẫn, bất cập của một số văn bản pháp luật trong lĩnh vực ngân hàng với Nghị định 13 đồng thời kiến nghị nhằm hoàn thiện pháp luật trong quá trình hội nhập quốc tế sâu rộng và kỷ nguyên số. Từ khóa: Bảo vệ dữ liệu cá nhân, Ngân hàng, Nghị định 13 ABSTRACT Privacy of personal data is a fundamental human right, recognized and protected by international human rights law. The development of technology has improved people's lives but is also a great risk to privacy. In Vietnam, the State's protection of this issue is still ineffective and not commensurate with its importance. Personal data theft is increasingly common, especially among customers of credit institutions. Therefore, Vietnam has issued Decree 13/2023/ND-CP dated April 17, 2023, on personal data protection, officially effective from July 1, 2023 (“Decree 13”). However, after only two months of implementation, credit 442
institutions continuously encountered difficulties when implementing the new policy. In this article, authors will analyze the contradictions and inadequacies of some legal documents in the banking sector with Decree 13 concurrently proposing to improve the law in the process of deep international integration and the digital era. Keywords: Personal Data Protection, Banking, Decree 13 1. Đặt vấn đề Xu thế chuyển đổi số trong lĩnh vực ngân hàng đang diễn ra mạnh mẽ, hệ thống ngân hàng liên tục ứng dụng các công nghệ mới, mô hình dịch vụ mới để đáp ứng tốt hơn nhu cầu của khách hàng. Nghiệp vụ ngân hàng được số hóa, khách hàng sử dụng dịch vụ trên môi trường số tăng cao, chỉ tính hai quý đầu năm 2023, giao dịch thanh toán nội địa qua kênh Internet hơn 4,03 triệu món với trị giá hơn 12.966 tỷ đồng. Cùng với sự phát triển của kỹ thuật số, ngành tài chính - ngân hàng phải đối mặt với các rủi ro tấn công mạng, đánh cắp dữ liệu khách hàng. Trong nền kinh tế số, dữ liệu cá nhân như một loại hàng hóa kinh doanh đặc biệt của các đối tượng xấu lợi dụng lừa đảo chiếm đoạt tài sản. Trong năm 2022, hơn 12.935 trường hợp bị lừa đảo trực tuyến, với hai loại: lừa đảo để đánh cắp thông tin cá nhân và lừa đảo tài chính. 73% đối tượng tấn công là đối tượng bên ngoài vào hệ thống ngân hàng, thường chiếm đoạt 71% dữ liệu cá nhân, 40% dữ liệu thông tin chủ tài khoản; 22% dữ liệu tài khoản của ngân hàng. Dữ liệu khách hàng là cốt lõi trong hoạt động kinh doanh của ngân hàng, trong quá trình vận hành, ngân hàng sẽ hình thành kho dữ liệu chung, phân tích, xử lý các loại dữ liệu chính thống của từng cá nhân về tình hình tài chính của họ. Vì thế rủi ro mất dữ liệu cá nhân lớn nhất là đến từ ngân hàng. Năm 2021, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân mua bán, sử dụng trái phép dữ liệu cá nhân trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về ngân hàng. Việt Nam đã ban hành Nghị định 13 với những bước tiến mới khi định nghĩa dữ liệu thông tin đầy đủ hơn so với những văn bản pháp luật liên quan đến dữ liệu cá nhân trước đây. Tuy nhiên, Nghị định 13 lại chứa đựng nhiều bất cập khi ứng dụng vào ngành ngân hàng, khiến các tổ chức tín dụng gặp vướng mắc khi triển khai. 2. Thực trạng pháp luật về bảo vệ dữ liệu cá nhân 443
Quyền đối với dữ liệu cá nhân (the right to personal data) hay quyền bảo vệ dữ liệu cá nhân, quyền về sự riêng tư với dữ liệu cá nhân là một phần cốt yếu về quyền riêng tư của con người (the right to privacy). 2.1. Các văn bản pháp luật về bảo vệ dữ cá nhân Việc bảo vệ quyền riêng tư của mỗi cá nhân là góp phần đảm bảo tính dân chủ, văn minh và sự phát triển ổn định, hài hoà của xã hội. Vì thế, bảo vệ dữ liệu cá nhân là một trong những vấn đề nhân quyền quan trọng, được cả thế giới quan tâm. Hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. 2.1.1. Pháp luật quốc tế Tại Liên minh châu Âu (EU), để bảo vệ quyền đối với dữ liệu cá nhân, Uỷ ban châu Âu đã xây dựng Quy định chung về bảo vệ dữ liệu (GDPR). Trong đó, dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm là hai khái niệm nền tảng của GDPR - đây là bước tiến pháp lý lớn về xác định dữ liệu cá nhân đã được Nghị định 13 triển khai xây dựng tại khoản 1 Điều 2. Tại khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP mới đây, khái niệm “dữ liệu cá nhân” được định nghĩa như sau “là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.” Đây là lần đầu tiên khái niệm này đã được quy định một cách cụ thể trong một văn bản quy phạm pháp luật chính thức, thực tế trước đây, pháp luật Việt Nam cũng đã có một khái niệm tương tự mang tên “thông tin cá nhân” của Luật An toàn thông tin mạng 2015, tuy nhiên, cách gọi “thông tin cá nhân” chỉ dừng lại ở việc ghi nhận thông tin để xác định danh tính cá nhân, trong khi đó “dữ liệu cá nhân” thì có phần bao quát hơn khi vừa là dữ liệu cơ bản dùng để xác định danh tính và cả dữ liệu nhạy cảm gắn liền với quyền riêng tư cá nhân. Về điều này, Singapore với Đạo luật Bảo vệ dữ liệu cá nhân năm 2012 (PDPA) chỉ ghi nhận khái niệm “dữ liệu cá nhân” tại khoản 1 Điều 2 là “những dữ liệu có thể định dạng được một cá nhân từ nguồn dữ liệu đó hoặc từ các nguồn khác được phép truy cập” và không ghi nhận sự phân chia các nhóm dữ liệu cá nhân. Trong khi đó, định nghĩa của Nghị định số 13/2023/NĐ-CP bám khá sát với cách quy định của Liên minh Châu Âu trong Quy định chung về bảo vệ dữ liệu năm 2016 (GDPR) khi chọn hướng liệt kê các yếu tố giúp nhận dạng và xác định danh tính một cá nhân. Từ góc độ các quy định của Việt Nam và EU, việc tiếp cận, sử dụng, khai thác các dữ liệu cá nhân sẽ có liên quan mật thiết đến quyền riêng tư cá nhân. Về điều này, Điều 21 Hiến pháp 444
năm 2013 đã khẳng định: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình”và Điều 13 PDPA cũng ghi nhận tương tự “một tổ chức không được thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân về một cá nhân trừ khi cá nhân đó đồng ý; hoặc nhận được ủy quyền từ người đó”. Do đó quyền riêng tư và dữ liệu cá nhân là những đối tượng đã được pháp luật các quốc gia bảo vệ, những hành vi tác động đến đối tượng này chỉ được thực hiện khi có sự đồng thuận với cá nhân người sở hữu hoặc yêu cầu bắt buộc từ cơ quan, tổ chức có thẩm quyền. Nhìn nhận chung rằng, về bản chất gần như nó cũng được xem là một loại tài sản cá nhân nên chỉ chính người sở hữu mới có thể quyết định công bố hay giữ kín các nội dung liên quan. Theo cách tiếp cận của Hoa Kỳ, việc bảo vệ dữ liệu và quyền về sự riêng tư được dựa trên sự kết hợp giữa luật pháp, quy định và tự điều chỉnh, thay vì chỉ có sự can thiệp của nhà nước. Pháp luật thường chỉ được áp dụng cho các tình huống trong đó các cá nhân không thể tự kiểm soát việc sử dụng dữ liệu cá nhân của họ.Trước tình hình phát triển nhanh chóng và ảnh hưởng của công nghệ 4.0 đến dữ liệu cá nhân cũng như mức độ phức tạp về khung pháp lý, Quốc hội Hoa Kỳ đã đưa ra một số dự luật về quyền về sự riêng tư dữ liệu để thực hiện tiêu chuẩn bảo mật dữ liệu liên bang tại Hoa Kỳ: Luật Phổ biến Dữ liệu Hoa Kỳ (S.142) sẽ áp đặt các yêu cầu về quyền về sự riêng tư đối với các nhà cung cấp dịch vụ Internet tương tự như các yêu cầu áp đặt cho các cơ quan Liên bang theo Luật về quyền về sự riêng tư năm 1974. Luật bảo vệ quyền về sự riêng tư và quyền lợi người tiêu dùng trên phương tiện truyền thông xã hội năm 2019 (S.189), sẽ yêu cầu các chủ thể: (1) cung cấp cho người dùng một bản sao miễn phí dưới dạng điện tử những dữ liệu cá nhân mà nhà điều hành đã xử lý và (2) thông báo cho người dùng trong vòng 72 giờ sau khi biết rằng dữ liệu của người dùng đã bị truyền đi mà vi phạm nền tảng bảo mật. 2.1.2. Pháp luật Việt Nam Tại Việt Nam, dữ liệu cá nhân được định nghĩa là thông tin gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Việt Nam đã có một số Luật liên quan đến an toàn dữ liệu cá nhân, như: Luật An ninh mạng 2018, Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng 2018, gần đây nhất là Nghị định 13. Luật An ninh mạng 2018 có phạm vi điều chỉnh hạn chế, chỉ bảo vệ các hoạt động trên không gian mạng, không khái quát đến thực tế chẳng hạn như hành vi lợi dụng không gian mạng nắm 445
giữ thông tin cá nhân và gây thiệt hại trên thực tế thì chưa có chế tài cụ thể. Sau đó, Nghị định 53/2022/NĐ-CP đã đặc biệt nêu rõ định nghĩa về dữ liệu thông tin cá nhân, thế nhưng, vì là văn bản điều chỉnh liên quan đến vấn đề an ninh mạng nên vấn đề bảo vệ dữ liệu cá nhân vẫn chưa được quy định chi tiết. Các quy định về chế tài đối với những hành vi vi phạm quyền dữ liệu cá nhân còn chưa tương xứng, chưa đảm bảo tính răn đe. Mức phạt tiền nặng nhất đối với vi phạm quyền về sự riêng tư trong pháp luật hành chính của Việt Nam hiện là 70 triệu đồng (Điều 66 Nghị định số 174/2013/NĐ-CP), trong pháp luật hình sự là 200 triệu đồng (Điều 288 Bộ luật Hình sự 2015, sửa đổi, bổ sung năm 2017). Trong khi đó, GDPR áp dụng mức phạt lên tới 20 triệu Euro (tương đương 500 tỷ VNĐ). Từ đó có thể thấy mức phạt trong luật pháp Việt Nam còn quá nhẹ so với mức độ nguy hại và hậu quả của hành vi xâm phạm quyền này. Trước khi Nghị định số 13 được ban hành, Việt Nam có tổng cộng 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân, trong đó có: Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 18 nghị định, 4 thông tư và thông tư liên tịch, 1 quyết định của Bộ trưởng. Tuy nhiên, tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Nói cách khác, đa số văn bản quy phạm pháp luật về bảo vệ thông tin cá nhân chưa dự liệu tới những tình huống thực tế và chưa có quy định cụ thể về trách nhiệm bồi thường thiệt hại đối với chủ thể vi phạm. Một số quy định của pháp luật hiện hành về bảo vệ quyền đối với dữ liệu cá nhân còn thiếu rõ ràng, nặng về nguyên tắc, có thể dẫn đến hiểu và áp dụng sai. 2.2. Những mâu thuẫn, bất cập trong Nghị định 13 đối với lĩnh vực ngân hàng Nghị định 13 đã có định nghĩa rõ hơn, quy định một số biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân, nêu rõ trách nhiệm của cơ quan chuyên trách trong việc bảo vệ dữ liệu cá nhân nhưng những bất cập tồn tại về biện pháp chế tài hay những tình huống trên thực tiễn ở những văn bản cũ vẫn chưa được khắc phục Nghị định 13. Nổi bật nhất là sự xung đột pháp luật của Nghị định 13 với pháp luật tài chính ngân hàng. Hoạt động các tổ chức tín dụng đã được điều chỉnh bởi các pháp luật chuyên ngành như Luật các tổ chức tín dụng, Luật Phòng chống rửa tiền, Nghị định 117/2018/NĐ-CP về giữa bí mật, cung cấp thông tin khách hàng của của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài. Các tổ chức tín dụng đã có hành lang pháp lý đầy đủ để triển khai, tuân thủ việc bảo vệ dữ liệu khách hàng theo các văn bản trên. Tuy nhiên, với sự ra đời của Nghị định 13 đã có sự xung đột pháp luật. Cụ thể: 446
2.2.1. Nhiều chủ thể có thể tiếp cận thông tin khách hàng dễ dàng Về bảo vệ dữ liệu cá nhân khách hàng, các tổ chức tín dụng hiện nay đang thực hiện theo Nghị định 117/2018/NĐ-CP về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức chi nhánh ngân hàng nước ngoài (“Nghị định 117”). Tại Điều 10 và Điều 11 của Nghị định 117 quy định các tổ chức tín dụng được cung cấp thông tin khách hàng theo yêu cầu của các chủ thể như thành viên đoàn thanh tra Chính phủ, thành viên đoàn kiểm toán, các cơ quan điều tra cấp huyện, kiểm ngư, kiểm lâm, hải quan,...chỉ cần có công văn yêu cầu cung cấp thông tin khách hàng là ngân hàng phải thực hiện nghĩa vụ cung cấp. Nghị định 13 mới ban hành lại quy định mang tính chung chung về vấn đề này: “Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.”. Như vậy, tổ chức tín dụng ngân hàng sẽ tiếp tục áp dụng Nghị định 117, trong khi quy định trên vẫn chưa thật sự mang tính bảo mật cao khi có quá nhiều chủ thể có thể tiếp cận được dữ liệu cá nhân khách hàng từ ngân hàng. Có thể thấy, Nghị định 13 dù được ban hành với mong muốn cải tiến những bất cập hiện tại nhưng lại bỏ qua các vấn đề mà văn bản pháp luật trước đây đã và đang mắc phải. 2.2.2. Sự dày đặc của các văn bản pháp luật Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (Điều 9). Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới luật chẳng hạn như Thông tư số 19/2016/TT-NHNN ngày 30/6/2016 của Thống đốc Ngân hàng Nhà nước Việt Nam về hoạt động thẻ ngân hàng (đã được sửa đổi, bổ sung); Thông tư số 23/2014/TT-NHNN ngày 19/8/2014 của Thống đốc Ngân hàng Nhà nước Việt Nam về mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán (đã được sửa đổi, bổ sung); Thông tư số 35/2018/TT-NHNN ngày 29/12/2016 của Thống đốc Ngân hàng Nhà nước Việt Nam về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên internet; Thông tư số 18/2018/TT-NHNN ngày 30/8/2018 của Thống đốc Ngân hàng Nhà nước Việt nam quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng, tổ chức tín dụng, chi nhánh ngân hàng có trách nhiệm áp dụng các biện pháp 447
đảm bảo an toàn, bảo mật cơ sở dữ liệu khách hàng. Với một lượng lớn Thông tư như hiện tại, quy định của Nghị định 13 đã trực tiếp phủ nhận tính áp dụng của các văn bản trên, như vậy sự tồn tại của chúng đã không còn ý nghĩa pháp luật đối với các tổ chức tín dụng. 2.2.3. Thiếu phù hợp với đặc thù ngành ngân hàng Nghị định 13 yêu cầu bên kiểm soát dữ liệu, bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11); trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13). Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của tổ chức tín dụng được thực hiện theo nhiều quy trình và sản phẩm. Mỗi quy trình, sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, lưu trữ dữ liệu khách hàng và được thực hiện trên một tập khách hàng lớn. Do đó, các quy định trên của Nghị định 13 không khả thi và khó có thể thực hiện đối với hoạt động ngân hàng. Mặt khác, nếu các quy trình xử lý dữ liệu của ngân hàng thay đổi phải có sự chấp thuận của khách hàng, điều này sẽ gây khá nhiều khó khăn, vướng mắc cho các tổ chức tín dụng, kéo dài thời gian, tiến độ khi cung cấp dịch vụ đến khách hàng do phải tăng thêm các bước vận hành. 2.2.4. Tốc độ điều chỉnh của Ngân hàng chậm hơn thời gian Nghị định 13 có hiệu lực Theo tinh thần của Nghị định 13, các tổ chức tín dụng phải chỉnh sửa hệ thống công nghệ thông tin, các quy định nội bộ, các mẫu biểu hợp đồng, văn bản, thỏa thuận để đảm bảo các nội dung về bảo vệ dữ liệu cá nhân của khách hàng. Tuy nhiên, thời gian ban hành Nghị định và thời gian có hiệu lực quá ngắn nên gây khó khăn cho hệ thống các tổ chức tín dụng trong việc rà soát và điều chỉnh. Tóm lại, ngành ngân hàng trên thực tế là khó có thể áp dụng hoàn toàn quy định của Nghị định 13, sẽ rất vướng mắc khi cứ cứng nhắc áp dụng mà không có hướng dẫn thống nhất về cách hiểu trên cơ sở phù hợp với pháp luật chuyên ngành. 3. Đánh giá Sự ra đời của Nghị định 13 là một bước tiến pháp lý quan trọng trong quá trình xây dựng Luật Bảo vệ dữ liệu cá nhân. Tuy nhiên, Nghị định hiện còn có những lỗ hổng tiềm ẩn, vì vậy, trong thời gian tới, Nhà nước cần tiếp tục xây dựng, hoàn thiện hệ thống pháp luật để thúc đẩy và 448
bảo vệ hiệu quả hơn quyền riêng tư nói chung và quyền dữ liệu cá nhân nói riêng theo đúng tinh thần của Hiến pháp và các điều ước quốc tế mà Việt Nam đã tham gia. Ở Châu Âu đã có văn bản pháp luật chung của EU và nhiều nước trong khu vực đã ban hành văn bản pháp luật riêng bảo vệ quyền về sự riêng tư, đặc biệt là bảo vệ dữ liệu cá nhân. Hoa Kỳ cũng đang xây dựng những đạo luật liên bang riêng về vấn đề này. Trong khi đó, quy định về bảo vệ quyền về dữ liệu cá nhân ở Việt Nam hiện vẫn nằm rải rác ở nhiều văn bản pháp luật khác nhau, dẫn đến tình trạng vừa chồng chéo, thiếu thống nhất và khó khăn cho việc áp dụng pháp luật như việc tổ chức tín dụng khi áp dụng Nghị định 13 lại dẫn chiếu đến các văn bản pháp luật chuyên ngành khác. Từ những phân tích trên, nhóm tác giả đưa ra một số đề xuất, kiến nghị để giải quyết những vấn đề pháp luật xuất hiện sau khi Nghị định 13 được ban hành. Thứ nhất, xây dựng Luật Bảo vệ dữ liệu cá nhân Nhà nước cần nghiên cứu xây dựng, ban hành một văn bản pháp luật riêng để bảo vệ dữ liệu cá nhân, trong đó quy định đầy đủ các khái niệm, nguyên tắc, thể chế và thiết chế bảo vệ dữ liệu riêng tư của con người. Luật Bảo vệ dữ liệu cá nhân quy định tổng hợp từ các hành vi, giai đoạn, thủ tục, thẩm quyền và biện pháp xử lý, chế tài liên quan đến vấn đề bảo đảm an ninh dữ liệu giữa khách hàng và tổ chức tín dụng ngân hàng. Luật thống nhất, làm rõ các thủ tục hành chính giúp ngân hàng dễ dàng thực hiện, tuân thủ và nâng cao hiệu quả trong hoạt động kiểm soát, kiểm tra của các cơ quan có thẩm quyền khác với ngân hàng. Thứ hai, ban hành văn bản hướng dẫn cho lĩnh vực ngân hàng và bãi bỏ các văn kiện cũ không còn phù hợp Việc xây dựng một đạo luật riêng sẽ cần một lượng thời gian dài, trước đó, để đảm bảo quá trình vận hành của ngân hàng, Chính phủ cần thiết ban hành một văn bản hướng dẫn cụ thể cho các tổ chức tín dụng, xác định các tổ chức này sẽ hoạt động theo trình tự gồm những hệ thống văn bản pháp luật nào, kèm theo phụ lục các mẫu biểu hợp đồng, văn bản, thỏa thuận liên quan đến nội dung về bảo vệ dữ liệu cá nhân cho khách hàng, quy định rõ quyền hạn, nhiệm vụ của phía ngân hàng khi sử dụng dữ liệu khách hàng trong việc phát triển, quản lý hoạt động. Nhà nước cần thống nhất một lộ trình phù hợp để có thể triển khai Nghị định 13, đồng thời nghiên cứu thêm về các quy định liên quan đến bảo vệ dữ liệu cá nhân, tổ chức huấn luyện cho 449
các ngân hàng, tổ chức tín dụng trong việc đảm bảo quyền và lợi ích cho khách hàng, bảo vệ người dân cũng như bảo vệ các cơ quan, tổ chức tránh khỏi tình trạng lộ, mất thông tin cá nhân. Nghị định không phải là một văn bản duy nhất quyết định toàn bộ nội dung mà còn có các nội dung liên quan đến luật chuyên ngành, chi phối các tổ chức tín dụng, vì thế Nhà nước cần tổng kết lại từng vấn đề lớn bằng một văn bản chính thức thông tin đến tất cả các tổ chức tín dụng để các tổ chức tín dụng yên tâm tổ chức thực hiện pháp luật. Đồng thời, Nhà nước rà soát và tiến hành bãi bỏ các quy định tại các văn bản, nghị định, thông tư cũ khác nếu không còn đồng nhất về nguyên tắc bảo vệ dữ liệu cá nhân của hiện tại. Thứ ba, hạn chế chủ thể được cung cấp thông tin Nhà nước cần xem xét bổ sung quy định hạn chế các trường hợp bắt buộc ngân hàng phải cung cấp thông tin cá nhân mà ngân hàng đang nắm giữ, cụ thể là chỉ những trường hợp thật sự cấp bách thì mới cung cấp. Chẳng hạn như chính sách của Mỹ, các ngân hàng chỉ được phép cung cấp những thông tin về tài khoản của khách hàng nếu có quyết định của tòa án. Tòa án là nơi duy nhất ra lệnh ngân hàng cung cấp thông tin về tín dụng của khách hàng. Ngân hàng chỉ cung cấp những thông tin có liên quan đến vụ án và cần thiết cho việc điều tra. Nhà nước nên khuyến khích và cho phép các tổ chức theo đặc thù ngành nghề được chủ động xây dựng quy trình đảm bảo quyền truy cập để các cơ quan thống nhất thực hiện. Chẳng hạn, đối với quyền truy cập của chủ thể dữ liệu, ngành Ngân hàng sẽ tự xây dựng quy trình đảm bảo quyền truy cập của chủ thể dữ liệu trên cơ sở đánh giá: (i) Loại thông tin có thể truy cập; (ii) sự an toàn, an ninh hệ thống để xem xét tính khả thi có thể truy cập; và (iii) Hình thức thực hiện quyền truy cập phù hợp. Thứ tư, xây dựng quy định về chế tài với những hành vi vi phạm trong Luật các tổ chức tín dụng Luật Công nghệ thông tin 2006 cũng đã có Quy định về hình thức xử lý khi vi phạm nghĩa vụ, tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật tại Điều 77. Bên cạnh đó, Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 cũng ghi nhận trong Điều 11 về các biện pháp chế tài tùy theo tính chất, mức độ của hành vi vi phạm: bị xử lý kỷ luật, phạt vi phạm hành chính, truy cứu trách nhiệm hình sự, bồi thường thiệt hại. Nghị định số 143/2021/NĐ-CP ban hành ngày 31/12/2021 sửa đổi, bổ sung một số điều của Nghị định số 450
88/2019/NĐ-CP trước đó quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng. Theo quy định tại khoản 5 Điều 47 Nghị định số 88/2019/NĐ-CP trong lĩnh vực vi phạm hành chính thì “Các hành vi cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không đúng quy định của pháp luật”; hoặc “làm lộ, sử dụng thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không đúng mục đích theo quy định của pháp luật” sẽ bị áp dụng mức phạt tiền tương xứng. Mức phạt tiền khi tổ chức vi phạm sẽ gấp đôi mức phạt tiền so với cá nhân. Nhưng nhìn chung mức phạt hành chính này còn khá nhẹ, vì khoảng lợi cho hành vi vi phạm khi chiếm đoạt thông tin khách hàng lớn hơn mức phạt này rất nhiều lần. Tuy nhiên với nền công nghệ ngày càng hiện đại thì việc có được thông tin cá nhân của đối tác vô cùng dễ dàng mà còn mang lại cho chủ sở hữu hưởng lợi những kết quả vô cùng to lớn, chính vì lẽ đó mà họ chấp nhận mức hình phạt bé đó để đổi lại lợi nhuận to lớn hơn, mức hình phạt này thật sự là chưa có sức răn đe đối với thực tiễn hiện nay. Bên cạnh đó, dưới góc nhìn khái quát về khung chế tài trong lĩnh vực bảo mật thông tin khách hàng của các tổ chức tín dụng thì Luật Ngân hàng nhà nước, Luật các tổ chức tín dụng hiện hành, các Nghị định có liên quan lại chưa có một chương hoặc một điều luật riêng biệt quy định về các chế tài, hình thức xử phạt khi tổ chức ngân hàng có hành vi vi phạm bảo mật thông tin khách hàng. Do đó, chế tài xử phạt vi phạm quyền riêng tư nói chung và dữ liệu riêng tư nói riêng tại Việt Nam hiện quá thấp so với chế tài ở châu Âu và các quốc gia khác, chưa tương xứng với mức độ nghiêm trọng của hành vi vi phạm, chưa đảm bảo tính răn đe. Cuối cùng, tăng cường sự phối hợp, giải đáp của các cơ quan chức năng với các tổ chức tín dụng Trước những vướng mắc, Bộ Công An và Ngân hàng nhà nước cần phối hợp giải đáp hỗ trợ các thắc mắc của các ngân hàng. Vì đây là vấn đề mới, khó và có sự giao thoa nhiều quy định văn bản pháp luật, nên vướng mắc trong triển khai là khó tránh khỏi. Nếu trong quá trình triển khai thực hiện Nghị định 13 vẫn còn gặp khó khăn, vướng mắc, các ngân hàng sẽ được hỗ trợ tổng hợp và gửi ngay ý kiến đóng góp để Ngân hàng nhà nước, Bộ Công an để tìm giải pháp tháo gỡ kịp thời. DANH MỤC TÀI LIỆU THAM KHẢO 451
Ánh Hồng và Lê Thanh (2023), Chặn rò rỉ thông tin tài khoản ngân hàng, https://tuoitre.vn/chan-ro-ri-thong-tin-tai-khoan-ngan-hang-20230623221454156.htm, truy cập 12/10/2023. Global Internet liberty campaign (2004), Privacy and human rights - An International Survey of Privacy Laws and Practice, http://gilc.org/privacy/survey/intro.html, truy cập 12/10/2023. Hồ Hương (2021), Một số mâu thuẫn, bất cập trong các quy định pháp luật đáp ứng yêu cầu của cuộc cách mạng công nghiệp lần thứ tư, https://quochoi.vn/hoatdongcuaquochoi/cackyhopquochoi/quochoikhoaXIII/Pages/danh- sach-ky-hop.aspx?ItemID=52194&CategoryId=0, truy cập 12/10/2023. Hoàng Thị Ngọc Lan(2019), Những thành tựu cơ bản của các cuộc cách mạng công nghiệp trong lịch sử thế giới, [http://vtec.edu.vn/index.php?option=com_content&view= article&id=995:nh-ng-thanh-t-u-co-b-n-c-a-cac-cu-c-cach-m-ng-cong-nghi-p-trong-l-ch-s-th- gi-i&catid=93&Itemid=492], truy cập 12/10/2023. Mai Hoàng (2023), Ngành ngân hàng: Chuyển đổi số gắn với an ninh, an toàn, https://baokhanhhoa.vn/kinh-te/tai-chinh-ngan-hang/202307/nganh-ngan-hangchuyen-doi-so- gan-voi-an-ninh-an-toan-89639b9/, truy cập 12/10/2023. Minh Dũng (2023), Bảo vệ dữ liệu cá nhân: Việc phải làm nhưng ngân hàng kêu khó, https://vietnamfinance.vn/bao-ve-du-lieu-ca-nhan-viec-phai-lam-nhung-ngan-hang-keu-kho- 20180504224286892.htm, truy cập 12/10/2023. Minh Ngọc (2023), Tổ chức tín dụng lúng túng khi triển khai Nghị định 13 về bảo vệ dữ liệu cá nhân, https://thitruongtaichinhtiente.vn/to-chuc-tin-dung-lung-tung-khi-trien-khai-nghi- dinh-13-ve-bao-ve-du-lieu-ca-nhan-47573.html, truy cập 12/10/2023. Trang Hoàng Thiên Trúc (2023), Pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng, [https://digital.lib.ueh.edu.vn/handle/UEH/69466;jsessionid=06BBA09A0CB0E4AC227ED D60C258E6DF], truy cập ngày 12/10/2023 452