intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Pháp luật về bảo vệ thông tin khách hàng tại các ngân hàng thương mại: Thực tiễn và kiến nghị hoàn thiện cho Việt Nam

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:23

Thêm vào BST
Báo xấu
10
lượt xem 2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết "Pháp luật về bảo vệ thông tin khách hàng tại các ngân hàng thương mại: Thực tiễn và kiến nghị hoàn thiện cho Việt Nam" đã tìm hiểu và đánh giá những chính sách hiện tại, đề ra những giải pháp hợp lý để hoàn thiện Pháp luật về bảo vệ dữ liệu cá nhân trong nhóm ngành Ngân hàng trong dòng chảy số. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Pháp luật về bảo vệ thông tin khách hàng tại các ngân hàng thương mại: Thực tiễn và kiến nghị hoàn thiện cho Việt Nam

  1. PHÁP LUẬT VỀ BẢO VỆ THÔNG TIN KHÁCH HÀNG TẠI CÁC NGÂN HÀNG THƯƠNG MẠI: THỰC TIỄN VÀ KIẾN NGHỊ HOÀN THIỆN CHO VIỆT NAM Nguyễn Thị Hải Yến Học viện Ngân hàng Nguyễn Thị Việt Chinh Học viện Ngân hàng Tóm tắt: Dữ liệu cá nhân (DLCN) là một trong những thông tin quan trọng liên quan đến các vấn đề chính trị - kinh tế trong bối cảnh cuộc cách mạng công nghiệp lần thứ tư. Đặc biệt, với ngành tài chính - ngân hàng - nơi chứa đựng những miếng mồi béo bở, cũng là lĩnh vực tiên phong trong chuyển đổi số thì việc gặp phải những nguy hiểm liên quan đến bảo mật thông tin khách hàng là điều cần phải lường trước. Bắt kịp những đổi mới về Pháp luật của Chính phủ về bảo vệ DLCN, nhóm nghiên cứu đã tìm hiểu và đánh giá những chính sách hiện tại, đề ra những giải pháp hợp lý để hoàn thiện Pháp luật về bảo vệ DLCN trong nhóm ngành Ngân hàng trong dòng chảy số. Từ khóa: Bảo vệ dữ liệu cá nhân, Bảo vệ dữ liệu khách hàng, Quyền riêng tư, Tài chính - Ngân hàng số… LAW ON PROTECTING CUSTOMER INFORMATION AT COMMERCIAL BANKS: PRACTICE AND RECOMMENDATIONS FOR COMPLETION FOR VIETNAM Abstract: Personal data is one of the important information related to political and economic issues in the context of the fourth industrial revolution. In particular, with the finance and banking industry - a place that holds lucrative baits and is also a pioneer in digital transformation, encountering dangers related to customer information security is a must unforeseen. Keeping up with the changes in the Government's Law on the protection of industrial goods, the research team has researched and evaluated current policies, proposed reasonable solutions to improve the Law on the protection of industrial goods in the industry group Banking in digital flow. 453
  2. Keywords: Personal data protection, Customer data protection, Privacy, Finance - Digital banking... 1. Tổng quan về dữ liệu người dùng tại Ngân hàng Thương mại 1.1. Khái niệm dữ liệu người dùng Theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Với vai trò là khách hàng của các sản phẩm, dịch vụ, một số dữ liệu cá nhân sẽ được chuyển sang dữ liệu người dùng tùy theo yêu cầu cung cấp thông tin của doanh nghiệp. Theo đó, dữ liệu người dùng được hiểu là những thông tin trên môi trường điện tử gắn liền với người dùng hay giúp xác định một người dùng cụ thể. Dựa trên nguồn cung cấp dữ liệu, dữ liệu người dùng có thể được phân chia làm 3 loại: - First-Party Data – Dữ liệu Chính ngạch (Dữ liệu chính chủ): là loại dữ liệu được thu thập từ những hoạt động trực tuyến của người dùng như mua sắm, duyệt web, search, … bao gồm thông tin cá nhân, thông tin nhân khẩu học và các thông tin liên quan có thể giúp định danh người dùng. - Second-Party Data – Dữ liệu người dùng được chia sẻ bởi đối tác(Dữ liệu được chia sẻ): đây là một biến thể của dữ liệu chính chủ, nó được thu thập trên nguyên tắc một bên có Dữ liệu chính ngạch đồng ý chia sẻ thông tin người dùng cho bên thứ ba. - Third-Party Data - Dữ liệu bên thứ 3 độc lập - là các dữ liệu ẩn danh được tập hợp bởi một bên thứ 3 (cá nhân, tổ chức …) không có mối quan hệ giao dịch trực tiếp với người dùng (khách hàng). Như vậy, có thể hiểu dữ liệu người dùng ở các Ngân hàng Thương mại là các thông tin ở dưới dạng ký hiệu, chữ viết, chữ số, âm thanh, hoặc các dạng tương tự trên môi trường số gắn liền với một khách hàng cụ thể của NHTM đó. Những thông tin đó giúp cho NHTM định danh được Khách hàng của họ trên môi trường số. Dữ liệu người dùng tại NHTM có thể đến từ nguồn Dữ liệu Chính ngạch do Khách hàng tự kê khai, đến từ dữ liệu được chia sẻ bởi đổi tác của NHTM, hoặc có thể gồm dữ liệu do bên thứ 3 độc lập cung cấp cho NHTM. 1.2. Khái niệm bảo mật thông tin khách hàng ở Ngân hàng Thương mại 454
  3. Dựa trên tiêu chí phân loại dữ liệu người dùng, Bảo mật thông tin khách hàng trong hoạt động tại các NHTM liên quan không chỉ là lợi ích của Khách hàng, nghĩa vụ của các tổ chức tín dùng mà còn của bên thứ ba muốn tiếp cận thông tin người dùng để phục vụ những lợi ích riêng của họ. Bảo mật thông tin khách hàng tại các NHTM là việc tổ chức tín dụng, chi nhánh ngân hàng ở nước ngoài,.. phải bảo đảm bí mật thông tin liên quan đến tiền gửi, tài sản, tài sản gửi và các giao dịch của khách hàng tại tổ chức tín dụng, chi nhánh ngân hàng ở nước ngoài; không được tự ý cung cấp dữ liệu khách hàng cho bên thứ 3 mà chưa được sự cho phép của Khách hàng, trừ trường hợp theo yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của Pháp luật. 1.3. Những yêu cầu đặt ra cho pháp luật về bảo mật thông tin khách hàng tại các Ngân hàng Thương mại Thực tế hiện nay, dữ liệu cá nhân nói chung và đặc biệt là dữ liệu người dùng tại NHTM là đã trở thành một “tài sản” quan trọng đứng trước nhiều nguy cơ nguy hại. Bởi vậy, việc xây dựng một hành lang pháp lý bảo mật bảo vệ thông tin khách hàng là bước đệm kiên cố để ổn định được hệ thống Ngân hàng số trong bối cảnh hiện nay. Thứ nhất, pháp luật cần bảo đảm quyền và lợi ích hợp pháp của Khách hàng. Trước những nguy cơ rò rỉ thông tin của khách hàng là cá nhân và tổ chức, việc xây dựng những quy định nghiêm ngặt để quản lý dữ liệu người dùng giúp Khách hàng được bảo đảm đời tư cá nhân, những thông tin liên quan đến thói quen sinh hoạt, đến mối quan hệ xã hội hay những bí mật kinh doanh… Đây đều là những thông tin quan trọng mà dễ có nguy cơ bị lợi dụng để gây thiệt hại cho Khách hàng. Những quyền và lợi ích cơ bản mà Pháp luật cần đặc biệt chú ý bảo vệ gồm có: Quyền được biết về các hoạt động thu thập, sử dụng, chia sẻ thông tin của Ngân hàng; quyền yêu cầu Ngân hàng chấm dứt, tạm hoãn việc thu thập thông tin khi cần thiết, quyền yêu cầu bồi thường thiệt hại khi có thiệt hại thực tế phát sinh, quyền sửa đổi, bổ sung thông tin khi cần thiết, … Thứ hai, pháp luật cần đáp ứng được nhiệm vụ thúc đẩy việc kinh doanh của NHTM Không thể phủ nhận rằng, việc xây dựng được một hệ thống bảo mật thông tin khách hàng tốt là bàn đạp để một NHTM phát triển ổn định. Từ cơ sở dữ liệu bảo mật, NHTM có thể phân tích và đưa ra những quyết định đầu tư hợp lý, đưa ra những quyết định thu hồi nợ đúng hạn và tránh rủi ro nợ quá hạn. 455
  4. Thứ ba, pháp luật cần phải hỗ trợ tư pháp và thực thi pháp luật Việc bảo mật dữ liệu người dùng tại các NHTM có vai trò quan trọng trong việc hỗ trợ tư pháp như thực hiện cung cấp thông tin phục vụ quá trình tố tụng các vụ án liên quan đến tranh chấp kiện đòi tài sản, tranh chấp ly hôn, tranh chấp thừa kế,... hay những vấn đề liên quan đến cung cấp thông tin phục vụ điều tra trong tố tụng hình sự. Mặt khác, việc cơ quan có thẩm quyền cần có được dữ liệu người dùng nhằm thực hiện những biện pháp bảo vệ họ trước nguy cơ xâm hại của tội phạm công nghệ cao. Bốn là, quy định pháp luật cần phải gắn liền với việc thực hiện phòng chống tội phạm xuyên quốc gia Bảo mật thông tin người dùng trước những thay đổi, kết nối nhanh chóng xuyên biên giới của tội phạm là một nhiệm vụ rất cấp thiết. Các đối tượng có thể lợi dụng việc kết nối của các ngân hàng đa quốc gia để tiến hành các hoạt động rửa tiền, trốn thuế,... vì vậy, việc xây dựng một cơ chế chính sách bảo vệ dữ liệu người dùng, phối hợp với các quốc gia trong khu vực và trên thế giới để phòng ngừa tội phạm xuyên biên là rất quan trọng. Năm là, pháp luật cần đáp ứng được vai trò bảo vệ chủ quyền quốc gia Trước những nguy cơ thất thoát nguồn “tài sản” cực kỳ quý giá trong thời đại số là dữ liệu người dùng, pháp luật có vai trò quan trọng trong việc tạo nên một tường chắn, kiểm soát các hoạt động của tổ chức tín dụng tránh rủi ro khi đánh mất thông tin dữ liệu người dùng ra bên ngoài lãnh thổ. Một số nội dung cụ thể cần được quy định trong pháp luật về bảo mật thông tin khách hàng tại các Ngân hàng Thương mại như: Phạm vi thông tin khách hàng được bảo mật bao gồm thông tin cá nhân, thông tin tài chính, thông tin giao dịch, … Các trường hợp được phép thu thập, sử dụng, chia sẻ thông tin khách hàng bao gồm: thu thập thông tin khi mở thẻ, sử dụng thông tin để cung cấp dịch vụ, chia sẻ thông tin cho các cơ quan có thẩm quyền khi được yêu cầu, … Về các biện pháp bảo mật thông tin khách hàng cụ thể: bao gồm biện pháp kỹ thuật là trang bị công nghệ tiên tiến, đi trước thời đại và biện pháp quản lý là xây dựng các quy trình bảo mật kín kẽ, phản ứng nhanh trước những nguy cơ rò rỉ. 456
  5. Về các chế tài xử lý vi phạm: Pháp luật cần quy định cụ thể hơn những khung hình phạt hành chính và hình sự cho những hành vi cụ thể liên quan đến vi phạm trong bảo mật thông tin Khách hàng tại Ngân hàng. 2. Khung pháp lý và thực tiễn áp dụng về bảo mật dữ liệu người dùng ở ngân hàng Thương mại trong cuộc cách mạng chuyển đổi số 2.1. Các quy định của pháp luật về bảo mật dữ liệu người dùng ở ngân hàng Thương mại Trên cơ sở của Hiến pháp Việt Nam, Quốc hội - cơ quan thực hiện quyền lập hiến, quyền lập pháp cũng như các vấn đề quan trọng của nước ta và giám sát tối cao đối với các hoạt động của nhà nước đặc biệt trong lĩnh vực Ngân hàng đã ban hành nhiều đạo luật đảm bảo thực hiện hóa quyền được đảm bảo bí mật thông tin của cá nhân, tổ chức trong lĩnh vực chuyên biệt. Nhìn chung, Pháp luật Việt Nam hiện chưa có một văn bản quy phạm pháp luật hoàn chỉnh nào quy định chi tiết, cụ thể về các vấn đề liên quan đến bảo mật dữ liệu người dùng cũng như mục bảo vệ dữ liệu người dùng ở các Ngân hàng Thương mại. Những quy định liên quan đến bảo mật dữ liệu người dùng còn nằm tản mạn và rải rác ở các văn bản quy phạm pháp luật khác nhau. Do vậy, những quy định liên quan đến bảo vệ dữ liệu cá nhân chưa có tính thống nhất, đồng bộ, có định hướng rõ ràng và đầy đủ trong việc hình thành một hành lang pháp lý có giá trị cao trong việc bảo vệ dữ liệu cá nhân. Mặt khác, những quy định liên quan đến dữ liệu cá nhân chưa nêu rõ được các nguyên tắc cơ bản, thống nhất cho hoạt động thu thập, xử lý, bảo đảm thông tin. Hoạt động bảo vệ thông tin cá nhân người dùng cũng chưa có những chế định rõ ràng quy định về hành vi vi phạm, mức phạt đối với từng hành vi vi phạm cụ thể trong phạm vi xâm phạm dữ liệu cá nhân khách hàng. Trong Bộ luật Dân sự 2015, khái niệm về quyền riêng tư đã được đề cập cụ thể, và đây chính là nguồn luật mang tính nguyên tắc và có tính định hướng cho các văn bản quy phạm pháp luật chuyên ngành. Ngay từ nguồn luật này, có thể thấy, nhìn chung, pháp luật Việt Nam đang đề cao việc bảo vệ dữ liệu cá nhân cho nguồn thông tin định danh cá nhân và thông tin riêng tư của cá nhân. Việc Bộ luật Dân sự chưa đưa ra được những quy định cụ thể, rõ ràng liên quan đến các bảo vệ dữ liệu người dùng cho các hoạt động tài Ngân hàng thương mại cũng như phân bổ các trường hợp cụ thể có nguy cơ phát sinh trong nền kinh tế chắc chắn là một vấn đề đang rất cần các nhà lập pháp đưa ra được câu chuyện giả định các tình huống, bối cảnh tiến xa hơn. Hiện tại, các quy định về bảo vệ dữ liệu cá nhân đang nằm rải rác tại các văn bản pháp luật chuyên ngành, nhóm tác giả đã tổng hợp cơ bản dưới bảng sau: 457
  6. Bảng 1. Nội dung các quy định về đảm bảo bí mật thông tin khách hàng trong lĩnh vực hoạt động ngân hàng trong các đạo luật do Quốc hội ban hành STT Tên đạo luật Nội dung điều chỉnh bảo mật thông tin khách hàng 1 Luật Hiến pháp - Khoản 1 Điều 21 có quy định: “Mọi người có quyền bất khả xâm 2013 2013 phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn.” 2 Luật dân sự - Điều 38 có quy định về BMTT như sau: 2015 “1. Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ. Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác…” - Điều 608 trong trường hợp khách hàng sử dụng dịch vụ ngân hàng số là “người tiêu dùng” 3 Luật Ngân - Khoản 3 Điều 38 quy định về bảo vệ bí mật thông tin: “3. Cán bộ, Hàng nhà nước công chức Ngân hàng Nhà nước phải giữ bí mật thông tin hoạt động Việt Nam năm nghiệp vụ của Ngân hàng Nhà nước, của các tổ chức tín dụng và bí mật 2010 tiền gửi của tổ chức, cá nhân theo quy định của pháp luật.” 4 Luật An ninh - Quy định về phòng chống gián điệp mạng, bảo vệ thông tin thuộc bí mạng năm mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí 2018 mật gia đình và đời sống riêng tư trên không gian mạng. 458
  7. 5 Luật An toàn - Điều 16 quy định về việc “Cơ quan, tổ chức, cá nhân xử lý thông tin thông tin mạng cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông năm 2015 tin do mình xử lý” 6 Luật bảo vệ - Quy định các công tác bảo vệ thông tin cá nhân của người sử dụng người tiêu trong bối cảnh công nghệ số dùng 2010 7 Luật giao dịch - Quy định trách nhiệm của các cá nhân, tổ chức với vấn đề bảo đảm điện tử 2023 an ninh, an toàn thông tin tại Chương VI 8 Luật các TCTD - Khoản 2 Điều 14: “Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài năm 2010 phải bảo đảm bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng tại tổ chức tín dụng, chi nhánh ngân hàng nước ngoài. Nguồn: Tổng hợp của tác giả Thực hiện chức năng quản lý nhà nước về tiền tệ, hoạt động ngân hàng và ngoại hối, Chính Phủ, Ngân hàng Nhà nước Việt Nam (NHNN), Thống đốc NHNN Việt Nam cũng đã ban hành nhiều văn bản để cụ thể hóa hoạt động quản lý trong lĩnh vực ngân hàng. Bảng 2. Tên văn bản hướng dẫn về hoạt động đảm bảo bí mật thông tin của khách hàng trong hoạt động ngân hàng STT Tên văn bản Nội dung 1 Ngày 17/4/2023, Nghị định Về bảo vệ dữ liệu cá nhân Số: 13/2023/NĐ-CP 2 Ngày 11/9/2018, Nghị định Giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín Số: 117/2018/NĐ-CP dụng, chi nhánh ngân hàng nước ngoài 459
  8. 3 Ngày 21/2/2011, hành Quy định việc đảm bảo an toàn, bảo mật hệ thống công Thông tư Số: 01/2011/TT- nghệ thông tin trong hoạt động ngân hàng tại NHNN 4 Ngày 30/6/2016, Thông tư Quy định về hoạt động thẻ ngân hàng Số: 19/2016/TT-NHNN 5 Ngày 29/12/2016, Thông tư Về đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ số 35/2016/TT-NHNN ngân hàng trên Internet 6 Ngày 28/12/2015, Thông Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ tư số 31/2015/TT-NHNN thông tin trong hoạt động ngân hàng 7 Ngày 28/1/2013, Thông tư Hoạt động thông tin tín dụng của Ngân hàng Nhà nước 03/2013/TT- NHNN Việt Nam 8 Ngày 14/11/2019, Nghị Quy định về xử phạt vi phạm hành chính trong lĩnh vực định số 88/2019/NĐ-CP tiền tệ ngân hàng 9 Ngày 26/8/2020, Nghị định Quy định xử phạt vi phạm hành chính trong hoạt động số 98/2020/NĐ-CP thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (chủ thể được nhắc tới trong bài hội thảo của chúng tôi có thể xem là người tiêu dùng tài chính) 10 Ngày 3/2/2020, Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực bưu số 15/2020/ NĐ-CP chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử Nguồn: Tổng hợp của tác giả 460
  9. Nhìn chung, những quy định liên quan đến bảo vệ dữ liệu cá nhân liên quan đến hoạt động ngành Ngân hàng còn mang tính chung chung, chưa có quy định cụ thể, rõ ràng về hoạt động bảo vệ dữ liệu người dùng tại các Ngân hàng Thương mại. Nhìn chung, những quy định này còn mang tính hình thức, chưa có giá trị áp dụng vào thực tiễn tình hình tội phạm liên quan đến dữ liệu cá nhân tại Ngân hàng. Đó cũng là một phần lý do tại sao tội phạm liên quan đến đánh cắp dữ liệu người dùng tại các Ngân hàng thương mại thường nằm ngoài vòng kiểm soát của pháp luật một cách dễ dàng. Hệ thống các quy phạm pháp luật liên quan đến bảo vệ dữ liệu người dùng lỏng lẻo như trên đặt ra yêu cầu cần thiết phải đưa ra một hành lang pháp lý chặt chẽ hơn để dữ liệu người dùng- tài sản quý giá trong thời buổi công nghệ số được bảo đảm an toàn nhất trước sự rình rập xâm hại của các đối tượng nguy hiểm. 2.2. Đánh giá nội dung các quy định về đảm bảo bí mật thông tin khách hàng 2.2.1 Những kết quả đạt được trong các quy định pháp luật về đảm bảo bí mật thông tin khách hàng của tổ chức tín dụng Thứ nhất, các quy định pháp luật về bảo mật thông tin khách hàng ngày càng được hoàn thiện Về hoạt động xây dựng pháp luật về đảm bảo bí mật thông tin của người dùng của các TCTD cho thấy khung pháp lý liên quan đến lĩnh vực này được ghi nhận ở nhiều cấp độ văn bản khác nhau, cụ thể đã ghi nhận quyền được đảm bảo bí mật thông tin khách hàng như là quyền con người trong đạo luật cơ bản của Luật Hiến pháp năm 2013. Đồng thời, cũng quy định đây là nghĩa vụ pháp lý phát sinh trong hoạt động nghiệp vụ của các TCTD, là nghĩa vụ hợp đồng giữa các TCTD với khách hàng trong các luật chung, luật chuyên ngành đã liệt kê ở bảng trên. Thứ hai, nghĩa vụ bảo mật thông tin khách hàng từ phía các TCTD càng được nâng cao Về nội dung quy định pháp luật về đảm bảo bí mật thông tin khách hàng của các TCTD có thể nhận thấy pháp luật về đảm bảo bí mật thông tin khách hàng của các TCTD đã tạo lập được hành lang pháp lý cho các chủ thể tham gia hoạt động ngân hàng thực hiện các quyền và nghĩa vụ đảm bảo bí mật thông tin khách hàng, cụ thể: Đối với các TCTD, khi các tổ chức này yêu cầu khách hàng cung cấp các thông tin để phục vụ cho hoạt động kinh doanh của mình thì các tổ chức này phải có nghĩa vụ bảo đảm bí mật thông tin khách hàng mà họ có được theo Luật Ngân hàng Nhà nước Việt Nam 2010, đồng thời các tổ chức hoạt động ngân hàng cũng có quyền từ chối yêu cầu cung cấp thông tin của bên thứ ba nhằm đảm bảo lợi ích của khách hàng quy định tại Luật các TCTD 2010. 461
  10. Đối với bên thứ ba là các tổ chức chuyên môn được TCTD thuê hoặc hợp tác với TCTD cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động kinh doanh của các TCTD có nghĩa vụ đảm bảo bí mật thông tin theo hợp đồng đã ký kết với các TCTD. Thứ ba, đảm bảo quyền lợi cho khách hàng trong việc bảo vệ thông tin cá nhân Đối với khách hàng, khi tham gia vào các giao dịch với các TCTD sẽ có nghĩa vụ cung cấp các thông tin cá nhân, đồng thời khách hàng cũng có đặc quyền là các thông tin về tài khoản, giao dịch và một số thông tin khác của mình phải được bảo vệ một cách hợp pháp và không thể bị xâm hại bởi bên thứ ba không có thẩm quyền tiếp cận thông tin như đã đề cập trong Luật Các tổ chức tín dụng năm 2010, Luật An toàn thông tin mạng năm 2015, Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 ở bảng liệt kê. Thứ tư, đã có những quy định cơ bản về biện pháp chế tài áp dụng Đối với hành vi vi phạm nghĩa vụ đảm bảo bí mật thông tin khách hàng ở các TCTD có thể gây ra thiệt hại cho khách hàng ở những mức độ khác nhau. Chính vì vậy, tùy thuộc vào mức độ gây thiệt hại mà pháp luật Việt Nam cũng đã quy định các loại chế tài có thể áp dụng nhằm điều chỉnh các hành vi vi phạm nghĩa vụ đảm bảo bí mật thông tin của khách hàng; các biện pháp chế tài như bị xử lý kỷ luật, phạt vi phạm hành chính, truy cứu trách nhiệm hình sự 2.2.2 Một số bất cập trong các quy định pháp luật về đảm bảo bí mật thông tin khách hàng trong hoạt động ngân hàng và khuyến nghị Thứ nhất, các quy định về mức xử phạt vi phạm hành chính và trách nhiệm hình sự về hành vi tiết lộ thông tin liên quan đến khách hàng còn chồng chéo, chưa đầy đủ, chưa đáp ứng yêu cầu thực tiễn Về xử phạt vi phạm hành chính: Tại Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 của Chính Phủ ban hành về xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng tại Điều 46 quy định về mức xử phạt để bảo vệ người tiêu dùng là 10 triệu đến 20 triệu. Nghị định số 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử tại Khoản 2 Điều 84 quy định về hành vi vi phạm quy định về thu thập, sử dụng thông tin cá nhân như sau: 462
  11. “2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau: a) Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; b) Cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân; c) Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác. Bên cạnh đó, có thể thấy việc quy định về mức xử phạt vi phạm hành chính này còn khá nhẹ so với các thông lệ của nhiều quốc gia trên thế giới cũng như hậu quả mà nhóm các đối tượng phạm tội gây ra. Về xử phạt vi phạm hình sự: Về trách nhiệm hình sự được quy định tại Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017) thì hoàn toàn không có quy định trực tiếp nào về tội tiết lộ thông tin của khách hàng trong hoạt động của Ngân hàng số, ngoại trừ một số quy định có liên quan. Tại Điều 291 BLHS 2015 cũng quy định về việc: “1. Người nào thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng của người khác với số lượng từ 20 tài khoản đến dưới 50 tài khoản hoặc thu lợi bất chính từ 20.000.000 đồng đến dưới 50.000.000 đồng, thì bị phạt tiền từ 20.000.000 đồng đến 100.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm.”. Hay tại Điều 159 BLHS 2015 Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác có thể bị phạt đến 3 năm tù. Điều 288 quy định Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông có thể bị phạt tới 7 năm tù. Tuy nhiên thì cả 2 tội danh này đều chưa có quy định cụ thể, trực tiếp về hành vi vi phạm pháp luật liên quan tới bí mật thông tin cá nhân cũng như thông tin khách hàng khi sử dụng dịch vụ ngân hàng số nói riêng hiện nay. Chính vì thế mà việc chứng minh tội phạm để phù hợp với các yếu tố cấu thành tội phạm vô cùng khó khăn, không thể truy cứu trách nhiệm hình sự và không thể hiện được sự răn đe thích đáng với đúng mức độ nguy hiểm của hành vi phạm tội. Thứ hai, việc các quy định chủ thể có trách nhiệm bảo mật thông tin khách hàng khi sử dụng các dịch vụ ngân hàng số cũng chưa được quy định cụ thể. Có thể thấy trong các giai đoạn thu thập thông tin giữa khách hàng và bên Ngân hàng thì nhân viên, người quản lý, người điều hành TCTD,.. có mối quan hệ trực tiếp với khách hàng sẽ sở hữu nhiều TTCN quan trọng về khách hàng. Chính vì thế mà khi thực thi pháp luật về BMTT khách hàng thì các chủ thể này cũng phải thực thi và chấp hành, tuân thủ các quy định pháp luật ngân hàng về BMTT khách hàng. Trong Luật NHNN 2010 đã có ghi nhận nghĩa vụ của 463
  12. cán bộ, công chức Ngân hàng Nhà nước trong việc phải giữ BMTT đối với bí mật liên quan đến tiền gửi của các tổ chức, cá nhân theo quy định của pháp luật hay trong Luật các TCTD 2010 cũng đã ghi nhận các chủ thể là nhân viên, người quản lý, điều hành TCTD. Tuy nhiên, trên thực tế còn nhiều chủ thể có liên quan khách đến BMTT khách hàng như bên thứ 3: kiểm toán độc lập, Ngân hàng Nhà nước, cơ quan thi hành án,.. Do đó, cần phải có các quy định cụ thể về trách nhiệm bảo mật thông tin đối với các chủ thể này. Thứ ba, các quy định về phạm vi bảo mật thông tin khách hàng còn chưa bao quát hết các loại thông tin khách hàng cần được bảo mật Trong bối cảnh như hiện nay thì hoạt động của ngân hàng không chỉ đơn thuần là hoạt động tiền gửi và tài sản gửi mà còn nhiều các hoạt động khách như hoạt động cấp tín dụng và cung ứng các dịch vụ thanh toán. Do đó trong hoạt động ngân hàng sẽ gồm nhiều tệp khách hàng như khách hàng gửi tiền, khách hàng vay, khách hàng cung ứng dịch vụ thanh toán, khách hàng thuê mua tài chính, khách hàng tham gia bảo hiểm,...và nhóm khách hàng này cũng có nhu cầu cần phải được bảo mật thông tin như mọi khách hàng khác khi tham gia các giao dịch với tổ chức hoạt động ngân hàng. Nếu Luật NHNN 2010 và Luật các TCTD không quy định cụ thể thì sẽ gây bất lợi đến tệp khách hàng này. Thứ tư, các quy định về trách nhiệm của các bên liên quan khi để lộ thông tin khách hàng còn chưa đầy đủ, chưa rõ ràng Mặc dù pháp luật Việt Nam cũng đã có những quy định về nghĩa vụ đảm bảo dữ liệu cá nhân của tổ chức cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động kinh doanh của TCTD là theo hợp đồng đã ký kết với các TCTD, nhưng khi dữ liệu cá nhân của khách hàng bị chủ thể thứ ba tiết lộ trong quá trình hoạt động này thì trách nhiệm của các TCTD - với tư cách là một chủ thể trực tiếp trong hợp đồng cung cấp dịch vụ cho khách hàng sẽ phải chịu trách nhiệm đến đâu, như thế nào lại chưa thấy pháp luật đề cập; trách nhiệm của các bên liên quan khi cung cấp các dịch vụ trên môi trường mạng gây ra thiệt hại do để lột lộ dữ liệu cá nhân của khách hàng cũng không được quy định chi tiết. Trong một số vụ rò rỉ thông tin của khách hàng, phía ngân hàng đưa ra lý do rằng hệ thống mã PIN được xây dựng và hoạt động dựa trên các thiết bị đảm bảo bí mật bằng phần cứng và không có sự can thiệp của bất kỳ đối tượng nào khác trong ngân hàng (nhân viên) Khi đó, bất kỳ giao dịch nghi ngờ (ấn vào đường link lạ) nào đều do lỗi từ phía khách hàng. Khi có tranh chấp pháp lý xảy ra, sẽ xuất hiện trường hợp đó là các TCTD sẽ lấy lý do vào tính tin cậy hệ thống đảm bảo TTCN của họ, nên không phát hiện được những lỗ hổng và lấy lý do an ninh để trốn tránh việc phải cung cấp thông tin về hệ thống này. 464
  13. Thứ năm, với sự ra đời của Nghị định 13/2023/NĐ-CP - “Nghị định bảo vệ dữ liệu cá nhân” có sự xung đột với các quy định của TCTD Tại Nghị định 13/2023/NĐ-CP quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác(điều 9). Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật. Mặt khác, trong hoạt động cung cấp dịch dịch vụ bên phía ngân hàng thì cần phải trải qua nhiều giai đoạn đối với việc xử lý dữ liệu cá nhân, tác động tới dữ liệu cá nhân như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan được coi là bắt buộc, tất yếu bởi nó không chỉ để cung cấp dịch cho khách hàng mà còn để đảm bảo an toàn cũng như quản lý rủi ro trong quá trình hoạt động Ngân hàng, để bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, với quy định Nghị định 13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có hướng dẫn thống nhất để áp dụng. Ngoài ra, Nghị định 13/2023/NĐ-CP yêu cầu Bên kiểm soát và xử lý dữ liệu/ Bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của Chủ thể dữ liệu và trong tất cả các quy trình xử lý(Điều 11); trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13). Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của TCTD được thực hiện theo nhiều quy trình/sản phẩm, trong mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp Khách hàng có số lượng rất lớn. Chính vì thế, để mà tuân thủ đầy đủ các quy định tại Nghị định 13, quy định này dường như không khả thi và khó có thể thực hiện được làm kéo dài thời gian cung cấp dịch vụ cho cả đôi bên; mặt khác các TCTD sẽ phải giành nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian/tiến độ khi cung cấp dịch vụ của TCTD đến Khách hàng do phải tăng thêm các bước vận hành. Bên cạnh đó, khi có các quy định về việc các chủ thể của TTCN phải đồng ý khi thu thập thông tin và xử lý thông tin thì cũng ảnh hưởng đến các hợp đồng cần phải bổ sung thêm các điều khoản để đảm bảo an toàn nhưng lại gây ra nhiều khó khăn, bất lợi 465
  14. cho các TCTD. Khi thay đổi các quy trình xử lý dữ liệu lại phải xin chấp thuận của khách hàng... trong khi các hoạt động xử lý dữ liệu này nhìn chung đều hướng đến mục đích phục vụ nhu cầu, theo yêu cầu của chính Khách hàng hoặc nhằm cải thiện chất lượng dịch vụ cung cấp tới Khách hàng. Điều này gây nhiều khó khăn và nhiều ngân hàng nhận định là không khả thi và khó có thể thực hiện. Pháp luật ngân hàng cũng không hướng dẫn rõ cần có sự đồng ý của khách hàng là như thế nào, trong trường hợp nào, bằng hình thức nào để có thể cung cấp thông tin cho khách hàng hay các chủ thể có liên quan. Có thể thấy rằng pháp luật Việt Nam chưa có quy định một cách bao quát các trường hợp được yêu cầu các TCTD cung cấp thông tin của khách hàng và cũng chưa hướng dẫn cụ thể hình thức được coi là có sự chấp thuận của khách hàng trong việc yêu cầu cung cấp thông tin bí mật của khách hàng Vấn đề này dẫn đến khó khăn, bất cập trong quá trình TCTD tuân thủ Nghị định 13 giai đoạn giải thích, yêu cầu khách hàng xác nhận, trong khi việc xử lý dữ liệu KHCN trong hoạt động ngân hàng là tất yếu, bắt buộc trong tất cả các quy trình nghiệp vụ ngân hàng. Nội dung này cần có sự hướng dẫn để thống nhất cách hiểu và áp dụng quy định... 2.3 Thực trạng áp dụng pháp luật đảm bảo bảo mật dữ liệu người dùng tại Ngân hàng Thương mại trong bối cảnh chuyển đổi số Thực trạng an ninh mạng hiện hiện nay Trong 48.646 cuộc tấn công mạng vào các hệ thống CNTT trọng yếu nửa đầu năm 2022, tấn công khai thác lỗ hổng vẫn chiếm đa số với gần 53% tổng số cuộc tấn công; tiếp đó là tấn công dò quét mạng (15,65%), tấn công APT (14,36%); tấn công xác thực (9,39%); tấn công cài mã độc (7,58%) Thách thức về an ninh mạng, bảo mật và an toàn thông tin hiện nay luôn đặt trong tình trạng báo động cao. Thông tin từ Bộ cũng cho biết: Việt Nam nằm trong top 10 quốc gia hứng chịu các cuộc tấn công mạng và lây nhiễm mã độc nguy hiểm, xếp thứ 7 số lượng nạn nhân bị tấn công mạng và xếp thứ 2 trong các quốc gia bị nhiễm mã độc đào tiền ảo nhiều nhất. Vụ án từ thực tiễn liên quan đến thiệt hại do mất an toàn dữ liệu khách hàng tại NHTM Trong tháng 8 năm 2023, một khách hàng của Vietcombank là chị H.T.N.Hương đã bị mất 500 triệu đồng trong tài khoản. Theo chị Hương, chị không thực hiện bất kỳ giao dịch nào trong thời gian này và cũng không cung cấp mã OTP cho bất kỳ ai. 466
  15. Ngân hàng Vietcombank đã xác minh và xác định rằng chị Hương đã bị lừa đảo cung cấp thông tin nhạy cảm, bao gồm: Tên đăng nhập, mật khẩu truy cập, Số thẻ, ngày hết hạn, mã bảo mật thẻ. Cụ thể, các đối tượng lừa đảo đã gửi email giả mạo Vietcombank đến chị Hương, kèm theo đường link dẫn đến một trang web giả mạo. Khi chị Hương truy cập vào trang web này, chị đã vô tình cung cấp các thông tin nhạy cảm trên. Sau khi có được thông tin của chị Hương, các đối tượng lừa đảo đã sử dụng thông tin này để thực hiện 7 giao dịch chuyển tiền từ tài khoản của chị Hương, với tổng số tiền là 500 triệu đồng. Trong đó, có 4 giao dịch được chuyển khoản trực tiếp vào tài khoản của một đối tượng khác, và 3 giao dịch còn lại được chuyển đến các ngân hàng khác. Rất may, hệ thống liên ngân hàng chưa hoạt động vào thời điểm các giao dịch được thực hiện, nên Vietcombank đã kịp giữ lại 3 giao dịch chuyển khoản đến các ngân hàng khác. Ngân hàng cũng đã hoàn trả cho chị Hương 300 triệu đồng, còn lại 200 triệu đồng vẫn đang được điều tra. Tài khoản của chị Hương liên tiếp bị trừ tiền dù chị không thực hiện giao dịch. Ảnh: VOV Về phía Ngân hàng: Khi được hỏi về phương thức lừa đảo thì ông Đào Minh Tuấn, Phó Tổng Giám đốc Vietcombank cho biết: phương thức lừa đảo này không phải là mới mà đã ngay từ đầu những năm 2000 khi thương mại điện tử bắt đầu trở nên phố biến, ngân hàng cũng như các cơ quan chức năng đã cảnh báo nhiều lần. Cụ thể, các đối tượng lừa đảo sẽ gửi email cho khách hàng kèm theo đó là một đường link và nội dung nhằm tạo sự quan tâm cho khách hàng như thông tin về chương trình khuyến mại của ngân hàng hoặc các vấn đề như yêu cầu nâng cấp hệ thống của ngân hàng... 467
  16. Khi đó, khách hàng vô tình bấm vào đường link đó sẽ được dẫn giải vào một trang web giả giống trang web của Vietcombank với địa chỉ không phải của Vietcombank (www.Vietcombank.com.vn) và tiếp đó vô tình khách hàng để lộ nhiều thông tin, trong đó có cả những thông tin như mã và mật khẩu truy cập, số thẻ, ngày hết hạn, mã bảo mật thẻ CVC, CVV, CSC... Đối tượng lừa đảo sau khi có được những thông tin này có thể sử dụng thẻ của khách hàng để thanh toán mua hàng hóa dịch vụ hoặc lấy tiền qua mạng (chuyển tiền qua mạng). Đối với trường hợp cụ thể này, đối tượng rất tinh vi trong việc thực hiện vào nửa đêm và rạng sáng. Có 7 giao dịch thực hiện thì có 4 giao dịch được chuyển khoản trực tiếp vào tài khoản, trên đó đã phát hành thẻ ghi nợ quốc tế và ngay sau khi thực hiện đối tượng đã sử dụng thẻ để rút tiền ở bên Malaysia. Còn lại 3 giao dịch đối tượng chuyển vào tài khoản của ngân hàng khác. Rất may vào ban đêm nên hệ thống liên ngân hàng chưa hoạt động, chính vì vậy ngân hàng đã kịp giữ lại và hoàn trả cho khách hàng. Vấn đề khúc mắc ở đây là sao không có mã OTP vẫn giao dịch được bình thường thì ông Tuấn cho hay “Đối với trường hợp này, nhận OTP có hai dạng. Một là nhận theo phương thức truyền thống là qua SMS, ngoài ra ngân hàng cung cấp một dịch vụ nữa là Smart OTP cho phép tạo ra OTP trên thiết bị smartphone hoặc Ipad (eToken). Để kích hoạt e-tocken, khách hàng phải phải nhập usename, password, sau đó hệ thống sẽ gửi mã OTP qua SMS đến điện thoại của khách hàng và khách hàng tiếp tục cung cấp cho các đối tượng mã OTP này. Ngay sau khi có đầy đủ các thông tin này e-Tocken của khách hàng đã bị chiếm đoạt. Thứ hai là khách hàng và đối tượng chat với nhau trên facebook và khách hàng cung cấp tự nguyện các thông tin riêng của khách hàng. Trường hợp thứ 3 là máy điện thoại của khách hàng bị nhiễm loại mã độc (malwware) và đối tượng lừa đảo vẫn có thể nhận các tin nhắn, trong đó có mã OTP. Malware này có thể thậm chí chỉ tồn tại trong một khoảng thời gian nào đó sẽ tự động bị xóa khỏi máy và khi kiểm tra có thể sẽ không phát hiện thấy malwware này nữa. Nguyên nhân dẫn đến rủi ro liên quan đến dữ liệu cá nhân của Khách hàng: Đầu tiên, là do sự chủ quan từ phía bản thân khách hàng: Do khách hàng vô ý vào trang web mạo danh, vào những trang web nhiễm virus có khả năng làm lộ mật khẩu cũng như là các thông tin có liên quan. Sau đó các đối tượng phạm tội sẽ dùng các thông tin thu thập được để truy cập vào tài khoản, chuyển khoản và rút tiền. 468
  17. Thứ hai, lỗi của tổ chức, cá nhân liên quan: Về phía ngân hàng: Có thể là Ngân hàng để để làm lọt lộ thông tin cá nhân của khách hàng. Lỗi này nằm bên phía bảo mật. Nếu là lỗi trong trường hợp này thì hoàn toàn thuộc về Ngân hàng, không liên quan gì đến khách hàng. Thứ ba, do thủ đoạn tinh vi của đối tượng Trong thời đại nền kinh tế số như hiện nay khi mà mọi thứ được thực hiện hầu hết trên nền tảng Internet , chính vì thế các đối tượng phạm tội đã lợi dụng kẽ hở để tấn công ăn cắp thông tin khách hàng một cách tinh vi khiến cho chủ thể của dữ liệu không thể lường trước được Tóm lại, trong trường hợp này bên phía Ngân hàng khi nhận tiền gửi của khách, Ngân hàng phải có nghĩa vụ áp dụng các biện pháp bảo đảm tiền của khách hàng được an toàn. Bên cạnh đó, khi áp dụng các biện pháp thanh toán điện tử, các ngân hàng phải có các công cụ để bảo đảm chắc chắn người ra lệnh thanh toán là chủ tài khoản. Nhưng chính vì lý do chưa có các quy định cụ thể, nên trách nhiệm phía các TCTD vẫn còn tình trạng “trốn tránh” như khó khăn thứ năm đã được đề cập ở trên. 3. Bài học kinh nghiệm và đề xuất kiến nghị hoàn thiện pháp luật liên quan đến bảo vệ thông tin khách hàng ở Ngân hàng thương mại tại Việt Nam 3.1 Bài học từ các quốc gia trên thế giới Trước những khó khăn thách thức của quá trình chuyển đổi số mà ngành Ngân hàng đang phải đối mặt, bằng những tham khảo từ các quốc gia tiên phong, dẫn đầu trong việc hình thành hành lang pháp lý bảo vệ dữ liệu người dùng tại các NHTM, nhóm nghiên cứu đã tổng hợp và rút ra những bài học từ các quốc gia: 3.1.1 Hoa Kỳ Một là, các tiểu bang tại Hoa Kỳ đều có luật riêng để điều chỉnh cách các tổ chức tư nhân thuộc phạm vi mình quản lý có thể thu thập và sử dụng thông tin liên quan đến nhận dạng cá nhân (PII). Mặc dù luật PII của các tiểu bang là không giống nhau nhưng đều thống nhất với luật liên bang giải quyết các vấn đề liên quan đến quy trình bảo mật dữ liệu, yêu cầu các Doanh nghiệp bảo vệ thông tin của người dùng. Hai là, đạo luật của các tiểu bang về bảo vệ dữ liệu người dùng nhằm bảo vệ người dùng tránh bị thu thập dữ liệu mà không có sự đồng ý của họ. Về cơ bản, các đạo luật này hướng quyền quyết định chia sẻ dữ liệu đến người dùng chính chủ. Tức là, các Doanh nghiệp sẽ không được 469
  18. phép tự ý chia sẻ thông tin cho bên thứ 3 nếu thông báo đến người chủ dữ liệu chưa được đồng ý. Ba là, các đạo luật của các bang yêu cầu chính công ty quản lý dữ liệu người dùng nếu để xảy ra rủi ro, thất thoát dữ liệu cho bên thứ ba thì phải hoàn toàn chịu trách nhiệm bồi thường . Thực tế cho thấy các công ty công nghệ với khối lượng dữ liệu người dùng khổng lồ như ông lớn Google, Facebook, Uber có thể phải chịu bồi thường nếu không bảo vệ được dữ liệu trên máy chủ của họ. 3.1.2 Các nước Châu Âu -EU Thứ nhất, EU đã ban hành được Quy định bảo vệ dữ liệu chung (GDPR), trong đó thống nhất yêu cầu các công ty phải tuân thủ quy tắc bảo vệ dữ liệu chung cho công dân EU. Các Doanh nghiệp tại EU có yêu cầu phải công khai, minh bạch các họ thu thập và xử lý dữ liệu cá nhân của người dùng. Những hành động liên quan đến việc sử dụng dữ liệu của cá nhân sẽ được thông báo và thỏa thuận trực tiếp với người dùng. Hai là, các quy định về biện pháp khắc phục, trách nhiệm và hình phạt là tương đối chặt chẽ, có tính răn đe. Về xử phạt hành chính có thể đánh giá ở mức độ tương xứng với sự nguy hại của vi phạm. Trong đó, mỗi quốc gia thành viên sẽ có những khung hình phạt riêng xong bảo đảm có hiệu lực, tương xứng và có tính răn đe. Nhìn chung, khung đánh giá mức độ vi phạm trong GDPR là tương đối hoàn thiện, đánh giá được khá toàn diện một hành vi. Ba là, đưa ra được những định nghĩa đầy đủ về những khái niệm liên quan, có sự phân biệt giữa DLCN và DLCN nhạy cảm vì giá trị của hai loại dữ liệu này có sự chênh lệch nhau. Việc phân biệt theo GDPR tạo điều kiện để pháp luật Việt Nam có cơ chế bảo vệ hợp lý hơn. Bốn là, Uỷ ban và các cơ quan giám sát của EU thể hiện tinh thần đón nhận hợp tác quốc tế để xử lý vấn đề dữ liệu cá nhân. Bên cạnh đó, GDPR của EU còn có những quy định đầy đủ về việc chuyển dữ liệu cá nhân sang nước thứ ba hoặc ra tổ chức quốc tế. 3.1.3 Nhật Bản Đạo luật bảo vệ thông tin cá nhân của Nhật Bản (APPI) là một trong những đạo luật về bảo vệ thông tin người dùng được ban hành sớm nhất tại Châu Á. Nó được áp dụng với ““những nhà quản lý doanh nghiệp xử lý các thông tin cá nhân” (Business operator handling personal information) (Khoản 4 Điều 2 Đạo luật về bảo vệ thông tin cá nhân Nhật Bản). Đạo luật đã đưa ra những bài học cụ thể như: 470
  19. Thứ nhất, APPI đã mang đến một cái nhìn cụ thể hơn về “thông tin cá nhân được yêu cầu đặc biệt” (Special care-required personal information), nó được chỉ ra chứa đựng bao gồm các yếu tố: Chủng tộc, tín ngưỡng, tôn giáo, địa vị xã hội, lý lịch tư pháp, hồ sơ bệnh án và quá khứ của cá nhân. Với các dữ liệu nhạy cảm (sensitive information) này, các nhà quản lý doanh nghiệp sẽ không được phép tự ý thu thập mà không có sự cho phép của chủ sở hữu. Hai là, PPC (Personal Information Protection Commission- Ủy ban bảo vệ dữ liệu thông tin) là cơ quan bảo vệ dữ liệu cấp trung ương hoạt động chuyên biệt và độc lập chịu trách nhiệm thi hành, điều tra cũng như hướng dẫn tuân thủ APPI. Việc thành lập PPC đã tạo sự thống nhất cao, tránh tình trạng rải rác quy định tại các điều luật khác nhau. Ngoài ra, PPC còn chịu trách nhiệm nghiên cứu theo dõi đưa ra kiến nghị sửa đổi và thông báo cho các Doanh nghiệp. Ba là, ban hành về khung hình phạt cho hành vi vi phạm. Với những vi phạm lệnh sửa đổi, đây là tội phạm hình sự và các cá nhân có thể bị phạt tù tối đa 6 tháng, khoản tiền phạt cũng có thể lên đến 300.000 Yên Nhật ( xấp xỉ 2.400 Euro). Nhìn chung, các quy định liên quan đến trách nhiệm bồi thường thiệt hại chưa được APPI giải quyết đến. Bốn là, với APPI 2017 chưa thiết lập được một khung pháp lý bảo vệ cho những người yếu thế cho xã hội: Cụ thể là với người chưa thành niên và những người không có đầy đủ năng lực hành vi dân sự. 3.2 Một số kiến nghị hoàn thiện hành lang pháp lý bảo vệ dữ liệu người dùng tại các Ngân hàng Thương mại Một là, cần bổ sung các biện pháp chế tài để nâng cao tính răn đe cũng như vấn đề liên quan đến bồi thường thiệt hại Các nhà làm luật nên bổ sung các hình phạt hình sự, hành chính liên quan đến nghĩa vụ bảo mật thông tin khách hàng khi TCHĐNH cung cấp dịch vụ ủy thác, tư vấn tài chính; cụ thể hóa các khung hình phạt phù hợp với các vi phạm nghĩa vụ bảo mật thông tin để thể hiện đúng với mức độ thiệt hại mà các đối tượng phạm tội gây ra. Bên cạnh đó, cần bổ sung quy định về việc bồi thường thiệt hại cho khách hàng do hành vi vi phạm nghĩa vụ bảo mật thông tin do công chức, viên chức Nhà nước ngành ngân hàng gây ra. Có thể thấy rủi ro của khách hàng trong giao dịch với bên TCTD qua dịch vụ ngân hàng số là khá phổ biến, do đó cần phải xác định những thiệt hại về tài chính xảy ra trong giao dịch trên nền tảng ngân hàng số (trong trường hợp nào là do lỗi của các TCTD, khách hàng hoặc các bên liên quan khác) để xác định ai sẽ là người phải chịu trách nhiệm cho những tổn thất đó. 471
  20. Hai là, cần có hướng dẫn cụ thể hơn về NĐ 13 để đảm bảo đồng bộ với quy định TCTD Đối với Nghị định 13 cũng như các quy định khác có liên quan thì cần có quy định liệt kê và hướng dẫn một cách đầy đủ; bên cạnh đó các quy định cần hướng dẫn rõ cụ thể là trong trường hợp nào, hình thức nào sẽ được coi là có sự chấp thuận, đồng ý của khách hàng để các TCTD có thể cung cấp thông tin cho các chủ thể có liên quan mà không vi phạm quyền của khách hàng cũng như có thể bảo vệ nhân viên trong trường hợp cung cấp thông tin khách hàng khi được khách hàng yêu cầu bằng lời nói hoặc thông qua các thông điệp dữ liệu, từ đó tạo điều kiện thuận lợi hơn trong việc giải quyết các tranh chấp phát sinh sau này. Pháp luật ngân hàng cần quy định một cách rõ ràng, cụ thể các cơ quan được quyền yêu cầu các TCHĐNH cung cấp các thông tin khách hàng của mình cũng như phạm vi thông tin, thủ tục yêu cầu cung cấp thông tin của khách hàng đối với các cá nhân, tổ chức này, trong đó phải đảm bảo sự cân bằng lợi ích của cá nhân và TCHĐNH trong việc bảo mật và công bố thông tin của khách hàng. Điều này sẽ thúc đẩy hiệu quả hoạt động kinh doanh ngân hàng mà không làm ảnh hưởng đến quyền riêng tư của khách hàng - quyền con người mà Hiến pháp quy định và cũng không vi phạm các cam kết quốc tế trong xu thế hội nhập. Cần có các quy định cụ thể về chủ thể có trách nhiệm bảo mật thông tin khách hàng khi sử dụng các dịch vụ ngân hàng số như bên thứ 3: kiểm toán độc lập, Ngân hàng Nhà nước, cơ quan thi hành án,..,... . Pháp luật ngân hàng cần bổ sung quyền khiếu nại, khởi kiện của các loại khách hàng đối với các TCHĐNH và cả chủ thể thứ ba nắm giữ thông tin khách hàng của ngân hàng khi các chủ thể này tiết lộ thông tin mà mình có được trong hoạt động nghiệp vụ của mình. Cần xem xét thừa nhận nghĩa vụ bảo mật thông tin liên quan đến khách hàng tiềm năng, chủ thể từng là khách hàng của TCHĐNH. Ba là, quy định cụ thể hơn về tệp khách hàng cần bảo mật thông tin Luật NHNN 2010 và Luật các TCTD cần quy định cụ thể rõ ràng các tệp khách hàng cần bảo mật thông tin mà không chỉ đơn thuần là hoạt động tiền gửi và tài sản gửi mà tệp khách hàng cung ứng dịch vụ thanh toán, khách hàng thuê mua tài chính, khách hàng tham gia bảo hiểm,.. nhóm khách hàng này cũng có nhu cầu cần phải được bảo mật thông tin. Bốn là, nên xây dựng một cơ quan chuyên trách về vấn đề bảo vệ dữ liệu người dùng Việt Nam nên cân nhắc trong việc thành lập ra một cơ quan chuyên trách chuyên giải quyết các vấn đề về dữ liệu cá nhân, dữ liệu liên quan đến người dùng như PPC của Nhật Bản sẽ giúp 472
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
5=>2