Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng

Chia sẻ chuyên mục Đề tài Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng hay nhất năm 2024 cho các bạn học viên ngành đang làm luận văn tham khảo nhé. Với những bạn chuẩn bị làm bài luận văn tốt nghiệp thì rất khó để có thể tìm hiểu được một đề tài hay, đặc biệt là các bạn học viên đang chuẩn bị bước vào thời gian lựa chọn đề tài làm luận văn thạc sĩ thì với đề tài Luận văn: Thực tiễn thực thi pháp luật về bảo mật thông tin của khách hàng trong hoạt động ngân hàng ở Việt Nam dưới đây chắc hẳn sẽ cho các bạn cái nhìn tổng quát hơn về đề tài này.

Sự phát triển như vũ bão của Công nghệ thông tin và truyền thông đã tác động một cách mạnh mẽ đến hoạt động Bảo mật thông tin của khách hàng trong Hoạt động ngân hàng. Dù khung pháp lý ấy không ngừng được bổ sung, sửa đổi nhằm điều chỉnh kịp thời Quan hệ pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng. Tuy nhiên, khoảng trống pháp lý điều chỉnh hoạt động này trong bối cảnh mới vẫn còn nhiều vấn đề phải giải quyết. Thực tiễn thực thi pháp luật Bảo mật thông tin khách hàng trong Hoạt động ngân hàng trong bối cảnh nền kinh tế số cũng đã tạo ra những “bất an” cho khách hàng, ngày càng nhiều khách hàng của các Tổ chức tín dụng “bỗng dưng” mất tiền trong tài khoản, nhiều thông tin của khách hàng bị rò rỉ, bị mất cắp, bị công bố trên mạng Internet.

Mục đích của chương này là: i) Phân tích, đánh giá thực trạng pháp luật về Bảo mật thông tin khách trong Hoạt động ngân hàng của Tổ chức tín dụng; ii) Phân tích thực tiễn thực thi pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng của các chủ thể trong Quan hệ pháp luật này.

2.1. Thực trạng pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng ở Việt Nam 

2.1.1. Quy định của pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng ở Việt Nam 

Việt Nam hiện đã có khung pháp lý về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng ở mức độ cơ bản. Đồng thời, khung pháp lý ấy không ngừng được bổ sung, sửa đổi nhằm điều chỉnh kịp thời Quan hệ pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng trong xu thế hội nhập quốc tế và sự phát triển của khoa học công nghệ và truyền thông, cụ thể:

Ngay từ những năm đầu hệ thống Ngân hàng thương mại đi vào hoạt động, căn cứ vào các quy định của Luật các Tổ chức tín dụng năm 1997, cụ thể tại khoản 3 Điều 17 về bảo đảm bí mật số dư tiền gửi của khách hàng và khoản 2 Điều 104 về từ chối yêu cầu của tổ chức, cá nhân về việc cung cấp thông tin liên quan đến tiền gửi, tài sản của khách hàng… Chính phủ đã thông qua Nghị định số 70/2000/NĐ-CP ngày 21/11/2000 về việc giữ bí mật, lưu trữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng nhằm hướng dẫn cụ thể về nghĩa vụ của các Tổ chức tín dụng, trong đó khẳng định Tổ chức tín dụng có “nghĩa vụ” từ chối cung cấp thông tin khách hàng. Đồng thời, để đưa quy định này vào thực tiễn, Ngân hàng nhà nước Việt Nam đã ban hành Thông tư số 02/2001/TT-NHNN ngày 4/4/2001 Quyết định số 1004/2001/QĐ-NHNN ngày 08/8/2001 về việc sửa đổi tiết a điểm 2.2 Mục II Thông tư số 02/2001/TT-NHNN để hướng dẫn thực hiện Nghị định này.

Tiếp đó, khi Luật các Tổ chức tín dụng năm 2010 có hiệu lực và thay thế Luật các Tổ chức tín dụng năm 1997, quy định về Bảo mật thông tin đã có bước tiến mới. Cụ thể, “khoản 2 Điều 14 Luật các Tổ chức tín dụng năm 2010 đã nhấn mạnh, Tổ chức tín dụng và Chi nhánh ngân hàng nước ngoài có nghĩa vụ phải bảo đảm bí mật thông tin” và phạm vi bí mật thông tin cũng được mở rộng đến thông tin liên quan “tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng” tại tổ chức đó.

Sau hơn 15 năm kể từ ngày Luật các Tổ chức tín dụng năm 2010 ban hành, Chính phủ thông qua Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 “nhằm khắc phục những hạn chế của Nghị định số 70/2000/NĐ-CP như phạm vi Bảo mật thông tin khách hàng quá hẹp; chủ thể có nghĩa vụ Bảo mật thông tin khách hàng chưa đầy đủ, cơ quan có thẩm quyền và người có thẩm quyền được quyền yêu cầu Tổ chức tín dụng cung cấp thông tin khách hàng chưa phù hợp với thực tế và chưa đầy đủ; một số quy định trong Nghị định số 70/2000/NĐ-CP mâu thuẫn với văn bản Luật, thủ tục yêu cầu cung cấp thông tin khách hàng trong một số trường hợp đã gây khó khăn cho các Cơ quan nhà nước có thẩm quyền trong việc phát hiện, xử lý các sai phạm liên quan đến tổ chức, doanh nghiệp, cá nhân….” Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Bên cạnh đó, những năm trở lại đây, khi công nghệ điện tử và số hóa thông tin phát triển nhanh chóng, xâm nhập sâu rộng vào các nghiệp vụ của hệ thống ngân hàng Việt Nam, các Tổ chức tín dụng đều áp dụng Công nghệ thông tin để lưu trữ, bảo mật và quản lý thông tin khách hàng mình.

Do vậy, rủi ro công nghệ lạc hậu, nguy hiểm từ tin tặc và các phần mềm độc hại trên mạng điện tử có thể mang đến mối đe dọa từ việc thất thoát/ rò rỉ thông tin hoặc thông tin của khách hàng bị đánh cắp. Trước rủi ro mạng và rủi ro Công nghệ thông tin tác động ngày càng cao đến Bảo mật thông tin khách hàng trong hoạt động dịch vụ ngân hàng, NHNN đã liên tục cập nhật và ban hành các văn bản hướng dẫn các Tổ chức tín dụng thực hiện trách nhiệm Bảo mật thông tin trong Hoạt động ngân hàng của mình. Đầu tiên là Thông tư số 01/2011/TT-NHNN quy định việc bảo đảm an toàn, bảo mật hệ thống Công nghệ thông tin trong hoạt động ngân hàng, sau đó là Thông tư số 31/2015/TT-NHNN sửa đổi, bổ sung Thông tư số 01/2011/TT-NHNN. Trong thông tư này, NHNN đã xác định rõ trách nhiệm của các Tổ chức tín dụng về thiết lập cơ chế quản lý, giám sát hệ thống Công nghệ thông tin cũng như cập nhật, nâng cấp, bảo trì công nghệ khi cần thiết nhằm bảo đảm giữ bí mật Công nghệ thông tin và Hoạt động ngân hàng của tổ chức luôn được thông suốt. Đồng thời, Thông tư cũng yêu cầu kiểm tra nội bộ về công tác bảo đảm an toàn bảo mật hoạt động Công nghệ thông tin của tổ chức và qua đó, lập báo cáo hàng năm trình lên NHNN như một phương thức giám sát việc thực thi của các Tổ chức tín dụng đối với bảo đảm an toàn, bảo mật hệ thống Công nghệ thông tin trong Hoạt động ngân hàng.

Hiện nay văn bản này được thay thế bởi Thông tư số 18/2018/TT-NHNN. Thông tư này được ban hành nhằm cập nhật các quy định mới của Luật An toàn thông tin mạng năm 2015 và các văn bản hướng dẫn đồng thời phản ánh đầy đủ, sát thực hơn các yêu cầu về an ninh bảo mật trong tình hình mới, phù hợp với thực tế phát triển nhanh chóng, đa dạng về Công nghệ thông tin. Thông tư số 18/2018/TT-NHNN sửa đổi, bổ sung một số quy định về: (i) Tiêu chí phân loại hệ thống thông tin theo mức độ quan trọng trên cơ sở loại thông tin mà hệ thống xử lý và yêu cầu đảm bảo an toàn, liên tục hệ thống thông tin; (ii) Lưu trữ tại Việt Nam đối với thông tin, dữ liệu của khách hàng theo quy định của pháp luật Việt Nam tại Mục 4; (iii) Quản lý sử dụng dịch vụ Công nghệ thông tin bên thứ ba để cung cấp cơ sở pháp lý cho việc sử dụng dịch vụ điện toán đám mây tại Mục 6; (iv) Quản lý bảo trì hệ thống thông tin tại Mục 7; (v) Hoạt động ứng cứu sự cố và trung tâm điều hành an ninh mạng tại Mục 8; (vi) Đảm bảo hoạt động liên tục hệ thống thông tin tại Mục 9. Thông tư tạo ra môi trường hoạt động ứng dụng Công nghệ thông tin bình đẳng hơn giữa Tổ chức tín dụng trong nước và nước ngoài hoạt động tại Việt Nam khi yêu cầu Chi nhánh ngân hàng nước ngoài sử dụng các hệ thống thông tin của ngân hàng mẹ (đặt ngoài lãnh thổ Việt Nam) cung cấp dịch vụ cho khách hàng Việt Nam hoặc phục vụ hoạt động kỹ thuật, nghiệp vụ của ngân hàng nước ngoài thì các hệ thống thông tin do ngân hàng mẹ cung cấp vẫn phải tuân thủ quy định trong Thông tư này. Ngân hàng TNHH một thành viên 100% vốn nước ngoài có quyền lợi và trách nhiệm như các Tổ chức tín dụng trong nước đối với yêu cầu về bảo đảm an toàn hệ thống thông tin.

Hơn nữa, trước thực tiễn ngân hàng điện tử bùng nổ, Ngân hàng nhà nước Việt Nam đã ban hành Quyết định số 35/2006/QĐ-NHNN ngày 31/7/2006 của Thống đốc quy định về các nguyên tắc quản lý rủi ro trong Hoạt động ngân hàng điện tử. Dựa trên quyết định này, NHNN đã yêu cầu các Tổ chức tín dụng được cấp phép Hoạt động ngân hàng điện tử phải xây dựng chính sách quản lý rủi ro trong Hoạt động ngân hàng điện tử của tổ chức mình dựa trên các nguyên tắc đưa ra trong quyết định để bảo đảm giám sát chặt chẽ các rủi ro có thể xảy ra trong giao dịch với khách hàng, với bên cung cấp dịch vụ mạng ngân hàng điện tử và các sự cố có thể phát sinh cũng như thiết lập các biện pháp sẵn có để kiểm soát và khắc phục sự cố kịp thời. Quyết định số 35/2006/QĐ-NHNN cũng yêu cầu các Tổ chức tín dụng này phải lập quy định nội bộ về quản lý rủi ro trong Hoạt động ngân hàng điện tử và báo cáo định kỳ 6 tháng một lần lên Ngân hàng nhà nước Việt Nam. Ngược lại, phía NHNN (Cục Thanh tra NHNN, Cục Công nghệ tin học) cũng sẽ tiến hành thanh tra đột xuất để kiểm tra việc tuân thủ Quyết định số 35/2006/QĐ-NHNN của các tổ chức này. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Đồng thời, trước nguy hại của vi-rút mạng và tin tặc mạng đến dịch vụ, NHNN lại tiếp tục ban hành Thông tư số 29/2011/TT-NHNN ngày 21/9/2011 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên mạng Internet. Trước đó, NHNN đã đưa ra Thông tư số 09/2003/TT-NHNN ngày 5/8/2003 của Thống đốc NHNN và Thông tư số 01/2008/TT-NHNN ngày 10/3/2008 sửa đổi, bổ sung Thông tư số 09/2003/TT-NHNN nhằm hướng dẫn thực hiện một số quy định tại Nghị định số 55/2001/NĐ-CP ngày 23/08/2001 của Chính phủ về quản lý, cung cấp và sử dụng Internet nhưng hai thông tư này đều chưa đề cập cụ thể về vấn đề “an toàn, bảo mật” trong việc cung ứng dịch vụ ngân hàng trên mạng Internet. Do đó, Thông tư số 29/2011/TT-NHNN đã kế thừa và cập nhật nhiều nội dung để nhấn mạnh nghĩa vụ cũng như hướng dẫn thiết lập hệ thống Bảo mật thông tin khách hàng khi tổ  chức tín dụng sử dụng Internet để cung ứng dịch vụ tài chính của mình.

Hiện nay văn bản này được thay thế bởi Thông tư số 35/2016/TT-NHNN ngày 29/12/2016 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên internet, sau đó là Thông tư số 35/2018/TT-NHNN ngày 24/12/2018 về sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của thống đốc Ngân hàng nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên internet. Cụ thể, “các đơn vị cung cấp dịch vụ Internet Banking phải gửi báo cáo bằng văn bản về Ngân hàng nhà nước Việt Nam (Cục Công nghệ tin học) trước khi cung cấp chính thức dịch vụ Internet Banking ít nhất 10 ngày làm việc (Khoản 1 Điều 20 Thông tư số 35/2016/TT-NHNN). Đồng thời, “trong vòng 05 ngày kể từ thời điểm phát sinh hoặc phát hiện các sự cố mất an toàn hoặc ảnh hưởng đến hoạt động của hệ thống Internet Banking, đơn vị phải báo cáo thời gian, địa điểm phát sinh sự cố; nguyên nhân sự cố; tình hình thiệt hại; các biện pháp đã thực hiện để khắc phục, ngăn chặn và phòng ngừa rủi ro…” (Khoản 1 Điều 20 Thông tư số 35/2016/TTNHNN ).

Bên cạnh đó, Thông tư cũng yêu cầu các đơn vị cung cấp dịch vụ Internet Banking phải “hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ Internet Banking” (Đỉều 18 Thông tư số 35/2016/TT-NHNN ). Đặc biệt, “các đơn vị cung cấp dịch vụ Internet Banking phải áp dụng các biện pháp bảo đảm an toàn, bảo mật cơ sở dữ liệu khách hàng, tối thiểu gồm: dữ liệu nhạy cảm của khách hàng khi lưu trữ, truyền trên mạng Internet phải được mã hóa hoặc che dấu; thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng, có biện pháp giám sát mỗi lần truy cập; có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu về thông tin khách hàng để phòng chống nguy cơ lộ, lọt thông tin khách hàng” (Điều 19 Thông tư số 35/2016/TT-NHNN và khoản 11 Điều 1 Thông tư số 35/2018/TT-NHNN). Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Khi tin tặc đã bắt đầu tấn công vào thẻ ngân hàng và máy giao dịch tự động (ATM) của ngân hàng, NHNN đã ngay lập tức ban hành Thông tư số 36/2012/TT-NHNN ngày 28/12/2012 của Thống đốc NHNN quy định về trang bị, quản lý, vận hành và bảo đảm an toàn hoạt động của máy giao dịch tự động cùng Thông tư số 20/2016/TT-NHNN sửa đổi bổ sung một số điều của Thông tư số 36/2012/TT-NHNN và Thông tư số 47/2014/TTNHNN ngày 31/12/2014 quy định về kỹ thuật về an toàn bảo mật đối với trang bị phục vụ thanh toán thẻ ngân hàng. Ba thông tư này đã đưa ra các hướng dẫn chi tiết và yêu cầu kỹ thuật bảo mật an toàn cần thiết cho hoạt động thông suốt của các điểm ATM và hệ thống thanh toán thẻ của các Tổ chức tín dụng. Báo cáo định kỳ hàng quý và báo cáo đột xuất về hoạt động quản lý ATM và hệ thống thanh toán thẻ cũng được quy định trong những thông tư này.

Cùng với sự phát triển kinh tế – xã hội thì hoạt động tài chính ngân hàng cũng diễn ra ngày càng sôi động. Các Tổ chức tín dụng phát triển nhanh về quy mô, đa dạng, phức tạp về loại hình dịch vụ. Tuy nhiên, bên cạnh đó, các hành vi vi phạm hành chính trong lĩnh vực tiền tệ ngân hàng cũng có những chuyển biến ngày càng phức tạp hơn. Do vậy, các quy định tại Nghị định số 202/2004/NĐ-CP ngày 10/12/2004 của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và Hoạt động ngân hàng đã bộc lộ nhiều bất cập, như một số hành vi vi phạm chưa có chế tài xử lý, nhiều mức chế tài còn nhẹ so với mức độ vi phạm…

Ngày 17/10/2014, Chính phủ đã ban hành Nghị định số 96/2014/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng có hiệu lực thi hành từ ngày 12/12/2014 và thay thế Nghị định số 202/2004/NĐ-CP và Nghị định số 95/2011/NĐ-CP ngày 20/10/2011 sửa đổi, bổ sung một số điều của Nghị định số 202/2004/NĐ-CP với mục đích đấu tranh, phòng chống những hành vi vi phạm pháp luật trong hoạt động tiền tệ, ngân hàng, tạo điều kiện thuận lợi cho việc thực thi chính sách tiền tệ của Chính phủ và NHNN; đồng thời đảm bảo sự tuân thủ luật pháp của tổ chức, cá nhân và sự an toàn của từng Tổ chức tín dụng cũng như hệ thống ngân hàng. Song, trước tình hình “ngày càng nhiều thông tin của khách hàng bị rò rỉ, mất cắp, công bố trái phép trên mạng Internet. Các hành vi vi phạm này cần phải được phát hiện, ngăn chặn và xử lý kịp thời. Xử phạt vi phạm hành chính là một trong những công cụ được Nhà nước sử dụng để thiết lập, duy trì, bảo vệ trật tự, kỷ cương, giúp bảo vệ một cách chính đáng quyền được Bảo mật thông tin của khách hàng trong Hoạt động ngân hàng”, chính phủ đã ban hành Nghị định số 88/2019/NĐ-CP ngày 14/11/2019 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng.

Sự phát triển mạnh mẽ của khoa học công nghệ thời gian qua đã thúc đẩy quá trình chuyển đổi số trong lĩnh vực ngân hàng. Khi công nghệ, tự động hóa và dữ liệu phát triển có thể tạo ra những cơ hội mới để cơ sở hạ tầng tài chính hoạt động hiệu quả hơn, tuy nhiên việc Bảo mật thông tin khách hàng cũng trở nên rất khó khăn và đầy thách thức. Ngày 13/01/2022, Thống đốc NHNN đã ban hành Chỉ thị số 02/CT-NHNN về việc đẩy mạnh chuyển đổi số và bảo đảm an ninh, an toàn thông tin trong Hoạt động ngân hàng. Theo đó, NHNN yêu cầu các NHNN chi nhánh tỉnh, thành phố: Tăng cường công tác quản lý, theo dõi, giám sát, thanh tra, kiểm tra để phát hiện, xử lý theo thẩm quyền các vi phạm pháp luật trong Hoạt động ngân hàng điện tử và công tác đảm bảo an ninh, an toàn tài sản, Bảo mật thông tin khách hàng; yêu cầu các Tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán: Thực hiện nghiêm túc công tác báo cáo về các sự cố an toàn thông tin theo quy định tại Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong Hoạt động ngân hàng; tăng cường chia sẻ thông tin về các mối đe dọa an ninh mạng giữa các thành viên Mạng lưới ứng cứu sự cố an ninh Công nghệ thông tin ngành Ngân hàng.

CÓ THỂ BẠN QUAN TÂM ĐẾN DỊCH VỤ: 

===>>> Nhận Viết Thuê Luận Văn Thạc Sĩ Ngành Luật

2.1.2. Đánh giá thực trạng pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng ở Việt Nam Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Thứ nhất, pháp luật ngân hàng đã tạo lập được hành lang pháp lý cho các chủ thể tham gia Hoạt động ngân hàng thực hiện các quyền và nghĩa vụ bảo đảm bí mật thông tin khách hàng. Cụ thể:

Đối với các Tổ chức tín dụng, khi các tổ chức này yêu cầu khách hàng cung cấp các thông tin để phục vụ cho hoạt động kinh doanh của mình như khi “yêu cầu khách hàng cung cấp tài liệu chứng minh phương án sử dụng vốn khả thi, khả năng tài chính của mình, mục đích sử dụng vốn hợp pháp, biện pháp bảo đảm tiền vay trước khi quyết định cấp tín dụng…; hoặc yêu cầu khách hàng vay báo cáo việc sử dụng vốn vay và chứng minh vốn vay được sử dụng đúng mục đích vay vốn” (Điều 94 Luật các Tổ chức tín dụng năm 2010 sửa đổi, bổ sung năm 2017), thì các tổ chức này phải có nghĩa vụ bảo đảm bí mật thông tin khách hàng mà họ có được. Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài có trách nhiệm “bảo đảm an toàn, bí mật thông tin khách hàng trong quá trình cung cấp, quản lý, sử dụng, lưu trữ thông tin khách hàng”. Đồng thời “các Tổ chức tín dụng cũng có quyền từ chối yêu cầu cung cấp thông tin cho bên thứ ba nhằm bảo đảm lợi ích của khách hàng”. Bên cạnh đó, khi Tổ chức tín dụng sử dụng dịch vụ Công nghệ thông tin của bên thứ ba phục vụ cho hoạt động kinh doanh của mình thì trách nhiệm của Tổ chức tín dụng trong việc bảo đảm an toàn thông tin không thay đổi.

“CQNN, tổ chức khác, cá nhân phải giữ bí mật thông tin khách hàng, sử dụng thông tin khách hàng đúng mục đích khi yêu cầu cung cấp thông tin và không được cung cấp cho bên thứ ba mà không có sự chấp thuận của khách hàng, trừ trường hợp cung cấp theo quy định của pháp luật”.

Đối với bên thứ ba là “các tổ chức chuyên môn được Tổ chức tín dụng thuê hoặc hợp tác với Tổ chức tín dụng cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động kinh doanh của các Tổ chức tín dụng có nghĩa vụ Bảo mật thông tin theo hợp đồng đã ký kết với các Tổ chức tín dụng”. Đặc biệt, Ngân hàng nhà nước Việt Nam đã ban hành Thông tư số 09/2020/TT-NHNN  quy định về an toàn hệ thống thông tin trong Hoạt động ngân hàng thay thế cho Thông tư số 18/2018/TT-NHNN và Thông tư số 31/2015/TT-NHNN quy định về đảm bảo an toàn, bảo mật hệ thống Công nghệ thông tin trong Hoạt động ngân hàng. Trong đó quy định rõ trách nhiệm Bảo mật thông tin khách hàng của Tổ chức tín dụng là theo cam kết trong hợp đồng sử dụng dịch vụ của Tổ chức tín dụng đối với bên thứ ba. cụ thể: Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

“Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba triển khai cho các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải có tối thiểu những nội dung sau: i) Không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu của tổ chức sử dụng dịch vụ cho cá nhân, tổ chức khác, trừ trường hợp có yêu cầu của Cơ quan nhà nước có thẩm quyền theo quy định của pháp luật; trong trường hợp này, bên thứ ba phải thông báo cho tổ chức sử dụng dịch vụ trước khi cung cấp dữ liệu, trừ khi việc thông báo sẽ vi phạm pháp luật Việt Nam. (ii) Phổ biến cho nhân sự của bên thứ ba tham gia thực hiện hợp đồng các quy định về bảo đảm an toàn thông tin của tổ chức, thực hiện các biện pháp giám sát bảo đảm tuân thủ”.³²

Ngoài ra, pháp luật cũng quy định trách nhiệm trong trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm của bên thứ ba đối với dịch vụ mà Tổ chức tín dụng sử dụng.

“Đối với khách hàng, khi tham gia vào quan hệ với các Tổ chức tín dụng sẽ có nghĩa vụ cung cấp các thông tin theo yêu cầu, đồng thời khách hàng cũng có đặc quyền là các thông tin về tài khoản, giao dịch và một số thông tin khác của mình phải được bảo vệ một cách hợp pháp và không thể bị xâm hại bởi bên thứ ba không có thẩm quyền tiếp cận thông tin; đồng thời khách hàng cũng phải có nghĩa vụ Bảo mật thông tin của chính mình”.

Đây là những điểm mới, tiến bộ hơn so với quy định của Nghị định số 70/2000/NĐCP trước đây là chỉ quy định trách nhiệm Bảo mật thông tin khách hàng là của các Tổ chức tín dụng mà không đề cập đến trách nhiệm của các chủ thể thứ ba có liên quan và trách nhiệm của chính bản thân khách hàng.

Bên cạnh đó, pháp luật đã quy định Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài phải áp dụng các biện pháp đảm bảo an toàn, bảo mật cơ sở dữ liệu khách hàng, tối thiểu bao gồm:

1. Thông tin bí mật của khách hàng khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để đảm bảo tính bí mật.
2. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.
3. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu về thông tin khách hàng để phòng chống nguy cơ lộ, lọt thông tin khách hàng“.

Thứ hai, pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng đã quy định phạm vi thông tin khách hàng cần được bảo đảm bí mật. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Trong quá trình Hoạt động ngân hàng, các Tổ chức tín dụng nắm giữ rất nhiều thông tin về khách hàng, do khách hàng cung cấp hoặc tổ chức tự thu thập để đáp ứng cho hoạt động của mình. Về nguyên tắc, các Tổ chức tín dụng phải có nghĩa vụ bảo mật đối với tất cả các thông tin này. Tuy nhiên, không phải tất cả các thông tin này đều có giá trị, có tính bí mật. Pháp luật Việt Nam hiện hành ghi nhận những thông tin mà “các Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài phải bảo mật đó là những thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng tại Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài”. Cụ thể đó là “thông tin do khách hàng cung cấp, thông tin phát sinh trong quá trình khách hàng đề nghị hoặc được Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài cung ứng các nghiệp vụ ngân hàng, sản phẩm, dịch vụ trong hoạt động được phép, bao gồm thông tin định danh khách hàng và thông tin sau đây: thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài và các thông tin có liên quan khác”. Quy định trên là phù hợp với quy định pháp luật có liên quan và cần thiết nhằm bảo đảm quyền lợi của khách hàng khi giao dịch với Tổ chức tín dụng.

Có thể nhận thấy, về nguyên tắc, “nghĩa vụ bảo đảm bí mật thông tin khách hàng chỉ phát sinh khi hợp đồng hình thành và chấm dứt khi hợp đồng chấm dứt. Tuy nhiên, bí mật thông tin của khách hàng có thể phát sinh khi chưa có hợp đồng. Dù rằng, về mặt pháp lý, chưa có một cơ sở nào ràng buộc nghĩa vụ giữ bí mật thông tin trong trường hợp này vì đây chưa phải là khách hàng – một bên trong quan hệ giao dịch nhưng các chủ thể này cũng có những thông tin quan trọng cần được pháp luật bảo vệ. Một cá nhân hay một tổ chức tuy chưa từng có giao dịch với Tổ chức tín dụng nhưng có thể đến các tổ chức này để xin vay vốn. Khi đó trong hồ sơ vay vốn của cá nhân hay tổ chức có những thông tin cần phải giữ bí mật với bên thứ ba như tình hình tài chính của cá nhân, doanh nghiệp và dự án đầu tư, phương thức sản xuất, kinh doanh”. Nếu Tổ chức tín dụng và cá nhân hay tổ chức này chưa hoặc không ký kết hợp đồng tín dụng nhưng thông tin này bị Tổ chức tín dụng tiết lộ cho đối thủ cạnh tranh thì việc tiết lộ thông tin này có thể gây thiệt hại lớn cho cá nhân, tổ chức ấy. Do đó, việc pháp luật quy định Tổ chức tín dụng phải Bảo mật thông tin khách hàng cả trong quá trình đề nghị giao kết hợp đồng là cần thiết nhằm bảo vệ quyền lợi của khách hàng.

Đây cũng là điểm mới, tiến bộ hợn so với quy định tại Nghị định 70/2000/NĐ-CP. Theo Nghị định 70/2000/NĐ – CP thì “các thông tin khách hàng cần phải đảm bảo bí mật gồm: Tiền gửi, tài sản gửi của khách hàng; các thông tin liên quan đến tiền gửi của khách hàng bao gồm số hiệu tài khoản, mẫu chữ ký của chủ tài khoản hoặc người được chủ tài khoản uỷ quyền, các thông tin về doanh số hoạt động và số dư tài khoản; các thông tin liên quan đến giao dịch gửi, rút tiền, chuyển tiền và tài sản của khách hàng; nội dung các văn bản, giấy tờ, tài liệu; tên và mẫu chữ ký của người gửi tiền và tài sản“. Như vậy hướng dẫn hiện hành đã khắc phục được việc quy định phạm vi thông tin khách hàng cần được bảo mật quá hẹp như trước đây.

Tuy vậy, trên thực tiễn, có một loại khách hàng nữa của các Tổ chức tín dụng cũng có những thông tin cần được bảo vệ, đó là các tổ chức, cá nhân đã từng có quan hệ, giao dịch với các Tổ chức tín dụng, đây là những khách hàng đã chấm dứt giao dịch nhưng vẫn có những thông tin này vẫn còn giá trị nếu bị đối thủ cạnh tranh của khách hàng khai thác hay những thông tin này vẫn cần được giữ bí mật vì vấn đề riêng tư. Song, pháp luật lại chưa có những quy định/hướng dẫn liên quan đến nghĩa vụ phải Bảo mật thông tin nào, thời hạn phải lưu giữ, nếu không có thỏa thuận thời hạn Bảo mật thông tin thì sẽ giải quyết như thế nào?.

Ngoài ra, tại Khoản 2 Điều 4 Nghị định số 117/2018/NĐ-CP cũng quy định: “TCTD, Chi nhánh ngân hàng nước ngoài không được cung cấp thông tin xác thực khách hàng khi truy cập các dịch vụ ngân hàng bao gồm mã khóa bí mật, dữ liệu sinh trắc học, mật khẩu truy cập của khách hàng, thông tin xác thực khách hàng khác cho bất kỳ cơ quan, tổ chức, cá nhân nào, trừ trường hợp được sự chấp thuận của khách hàng đó bằng văn bản hoặc bằng hình thức khác theo thỏa thuận với khách hàng đó“.

Như vậy, có thể nhận thấy các quy định trên đã khắc phục được việc quy định phạm vi thông tin khách hàng cần được bảo mật quá hẹp như trước đây. Bên cạnh đó, quy định này bước đầu đã xác định việc bảo mật các thông tin khách hàng khi Tổ chức tín dụng cung ứng dịch vụ tài chính công nghệ. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Tuy nhiên, Hoạt động ngân hàng không chỉ là hoạt động nhận tiền gửi và tài sản gửi mà còn nhiều hoạt động khác như hoạt động cấp tín dụng và cung ứng các dịch vụ thanh toán. Mà trong các hoạt động này, khách hàng sẽ phải cung cấp nhiều thông tin quan trọng vượt ra ngoài những thông tin mà Tổ chức tín dụng có nghĩa vụ bảo mật như đề cập trên. Chẳng hạn, “trong hoạt động hoạt động cấp tín dụng, các Tổ chức tín dụng có quyền yêu cầu khách hàng cung cấp tài liệu chứng minh phương án sử dụng vốn khả thi, khả năng tài chính của mình, mục đích sử dụng vốn hợp pháp, biện pháp bảo đảm tiền vay trước khi quyết định cấp tín dụng”. Ngoài ra, các Tổ chức tín dụng còn có thể yêu cầu khách hàng cung cấp toàn bộ các báo cáo hàng quý, năm về tình hình sản xuất kinh doanh và những thông tin khác liên quan đến vốn vay. Như vậy, Tổ chức tín dụng thông qua quá trình xét duyệt dự án cho vay đã sở hữu gần như toàn bộ các thông tin liên quan đến tài chính và hoạt động kinh doanh của khách hàng, kể cả những bí mật kinh doanh khác của khách hàng.

Trong hoạt động cung ứng dịch vụ thanh toán, “các thông tin liên quan đến khách hàng trong hoạt động cung ứng dịch vụ thanh toán gồm thông tin về chủ tài khoản, giao dịch và số dư trên tài khoản thanh toán của khách hàng”, ngoài ngân hàng cung ứng dịch vụ thanh toán, các thông tin này có thể có một chủ thể khác cũng sở hữu những thông tin này thông qua trung gian là ngân hàng cung ứng dịch vụ thanh toán. Điều này có nghĩa là những thông tin liên quan đến khách hàng có thể được biết đến bởi một Tổ chức tín dụng khác không trực tiếp giao dịch với khách hàng.

Như vậy thông tin liên quan đến khách hàng cần được bảo mật rất rộng nhưng pháp luật Việt Nam hiện hành chưa liệt kê đầy đủ hoặc có chăng cũng dừng lại quy định chung chung phạm vi thông tin khách hàng cần được bảo mật. Điều này cũng sẽ dẫn đến những khó khăn khi giải quyết các trường hợp cung cấp thông tin khách hàng trái pháp luật, làm ảnh hưởng đến quyền được Bảo mật thông tin của khách hàng.

Thứ ba, pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng đã tạo cơ chế khuyến khích để Tổ chức tín dụng thực thi hiệu quả nghĩa vụ Bảo mật thông tin khách hàng.

“TCTD, Chi nhánh ngân hàng nước ngoài căn cứ quy định của pháp luật, Nghị định này để ban hành quy định nội bộ về giữ bí mật, lưu trữ và cung cấp thông tin khách hàng và tổ chức thực hiện thống nhất trong Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài”. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Đây là quy định cần thiết, bởi bên cạnh các quy định mang tính định hướng, các nhà làm luật, cơ quan quản lý nhà nước về tiền tệ và Hoạt động ngân hàng cũng cần quy định các biện pháp khuyến khích để các Tổ chức tín dụng quy định thêm hoặc cụ thể hóa các quy định pháp luật nhằm thực thi hiệu quả nghĩa vụ Bảo mật thông tin khách hàng.

Thứ tư, pháp luật về ngân hàng đã quy định các thiết chế bảo đảm việc thực thi pháp luật Bảo mật thông tin khách hàng. Thiết chế bên trong bảo đảm thực thi trách nhiệm Bảo mật thông tin khách hàng là cơ quan kiểm soát nội bộ của Tổ chức tín dụng và thiết chế bên ngoài là cơ quan thanh tra, giám sát ngân hàng.

Mục đích của hoạt động kiểm soát nội bộ; thanh tra, giám sát ngân hàng nhằm “góp phần bảo đảm phòng ngừa, phát hiện, xử lý kịp thời rủi ro và đạt được yêu cầu đề ra”; “bảo đảm sự phát triển an toàn, lành mạnh của hệ thống các Tổ chức tín dụng và hệ thống tài chính; bảo vệ quyền và lợi ích hợp pháp của người gửi tiền và khách hàng của Tổ chức tín dụng; duy trì và nâng cao lòng tin của công chúng đối với hệ thống các Tổ chức tín dụng; bảo đảm việc chấp hành chính sách, pháp luật về tiền tệ và ngân hàng; góp phần nâng cao hiệu quả và hiệu lực quản lý nhà nước trong lĩnh vực tiền tệ và ngân hàng”.

Thứ năm, pháp luật về ngân hàng đã tạo ra một cơ chế để khách hàng có thể bảo vệ quyền lợi của mình khi bị của các chủ thể liên quan khi làm lộ hoặc cung cấp thông tin khách hàng không đúng thẩm quyền.

Nghị định số 117/2018/NĐ-CP quy định khách hàng có quyền sau đây: khiếu nại, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật trong trường hợp Cơ quan nhà nước, tổ chức khác, cá nhân, Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài cung cấp, sử dụng thông tin khách hàng không đúng quy định của pháp luật.

Quy định này đã tạo cơ sở để khách hàng có thể bảo vệ lợi ích của mình khi thông tin bị tiết lộ. Tuy nhiên vấn đề này cũng chỉ dừng lại mức chung chung: “TCTD, CNNHNNg có trách nhiệm giải quyết khiếu nại của khách hàng trong việc cung cấp thông tin khách hàng theo quy định của pháp luật”. Vậy những trường hợp cụ thể nào thuộc thẩm quyền giải quyết khiếu nại của Tổ chức tín dụng, trường hợp nào thuộc thẩm quyền giải quyết của Cơ quan nhà nước khác. Những Cơ quan nhà nước nào ngoài Tổ chức tín dụng có thẩm quyền giải quyết khiếu nại. Cơ chế giám sát và xử lý việc thực hiện các quy định này như thế nào. Cơ quan nào có thẩm quyền giải quyết yêu cầu bồi thường thiệt hại, khách hàng sẽ khởi kiện tại tòa dân sự hay tòa kinh tế. Tất cả những điều này đang chờ một quy định rõ ràng, cụ thể. Bởi một trong những nguyên tắc của bảo vệ người tiêu dùng nói chung và khách hàng của Tổ chức tín dụng nói riêng là bảo vệ quyền lợi của người tiêu dùng phải được thực hiện kịp thời, công bằng, minh bạch, đúng pháp luật. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Thứ sáu, pháp luật về ngân hàng đã quy định các biện pháp xử lý vi phạm liên quan khi thông tin khách hàng bị tiết lộ không đúng thẩm quyền, cụ thể:

Hành vi vi phạm nghĩa vụ Bảo mật thông tin khách hàng của Tổ chức tín dụng có thể dẫn đến những thiệt hại ở những mức độ khác nhau cho khách hàng. Chính vì vậy, pháp luật Việt Nam cũng đã quy định các loại chế tài nhằm điều chỉnh các hành vi vi phạm nghĩa vụ Bảo mật thông tin ấy, cụ thể:

Về trách nhiệm dân sự, Bộ luật dân sự năm 2015 đã quy định “chế tài bồi thường do vi phạm nghĩa vụ, cách xác định xác định trách nhiệm dân sự đối với những chủ thể vi phạm – Chủ thể gây thiệt hại phải bồi thường cho chủ thể bị thiệt hại theo quy định bồi thường do vi phạm hợp đồng hoặc bồi thường thiệt hại ngoài hợp đồng”. Đây là những cơ sở để pháp luật chuyên ngành quy định cụ thể hơn về nghĩa vụ của chủ thể nắm giữ thông tin khách hàng nói chung và nghĩa vụ bồi thường thiệt hại cho khách hàng nói riêng khi vi phạm pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng.

Về trách nhiệm hành chính, Văn bản quy phạm pháp luật hiện hành về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và Hoạt động ngân hàng là Nghị định số 88/2019/NĐ-CP ngày 14/11/2019 được sửa đổi bổ sung một số điều bởi Nghị định số 143/NĐ-CP ngày  31/12/2021 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng thì các vi phạm hành chính liên quan đến Bảo mật thông tin khách hàng bị áp dụng các hình thức xử phạt chính là cảnh cáo, phạt tiền, hình phạt bổ sung là đình chỉ có thời hạn và biện pháp khắc phục hậu quả. Theo đó, tùy thuộc vào tính chất, mức độ vi phạm, người vi phạm sẽ bị phạt tiền từ 100.000.000 đồng đến 150.000.000 đồng đối với hành vi lấy cắp, thông đồng để lấy cắp thông tin thẻ của khách hàng. “Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với hành vi cung cấp thông tin khách hàng của Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài không đúng quy định của pháp luật; làm lộ, sử dụng thông tin khách hàng của Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài không đúng mục đích theo quy định của pháp luật”.

 Nghị định số 88/2019/NĐ-CP đã có những quy định lượng hóa mức tiền phạt tương ứng với mức độ vi phạm so với Nghị định số 96/2014/NĐ-CP ngày 17/10/2014 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng trước đây. “Dù vậy, tương tự như Nghị định số 96/2014/NĐ-CP ngày 17/10/2014 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng, Nghị định số 88/2019/NĐ-CP cũng chỉ có một vài điều luật quy định về xử phạt đối với việc cung cấp, tiết lộ thông tin liên quan đến tiền gửi của chủ tài khoản; cung cấp các thông tin mà không được phép của cấp có thẩm quyền theo quy định của pháp luật hoặc chưa có sự chấp thuận của khách hàng. Vậy, các vi phạm về thông tin khác của khách hàng thì xử lý như thế nào, thì hầu như chưa được ghi nhận cụ thể”. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Thêm vào đó, các thông tư như Thông tư số 36/2012/TT-NHNN quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động, Thông tư số 20/2016/TT-NHNN về sửa đổi, bổ sung một số điều của Thông tư số 36/2012/TTNHNN ngày 28/12/2012 quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động và Thông tư số 39/2014/TT-NHNN ngày 11/12/2014 hướng dẫn về dịch vụ trung gian thanh toán, Thông tư số 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng, chưa đề cập đến việc xử phạt hay những biện pháp xử lý khi các Tổ chức tín dụng vi phạm hoặc làm sai những gì đã quy định và hướng dẫn. Hơn nữa, nếu văn bản pháp luật của NHNN có đề cập thì chỉ dừng ở mức khá chung, chưa đi vào chi tiết. Điều 28 Luật các Tổ chức tín dụng cũng chỉ quy định, NHNN sẽ thu hồi Giấy phép hoạt động trong trường hợp “TCTD, Chi nhánh ngân hàng nước ngoài không thực hiện hoặc thực hiện không đầy đủ quyết định xử lý của NHNN để đảm bảo an toàn trong Hoạt động ngân hàng” mà chưa đề cập chi tiết về xử lý vi phạm khi Bảo mật thông tin khách hàng bị xâm phạm do lỗi của bên Tổ chức tín dụng.

Về trách nhiệm hình sự, BLHS năm 2015 đã có ghi nhận về việc xử lý những hành vi vi phạm quy định tiết lộ thông tin của khách hàng tại Điều 356, Điều 357 quy định về tội lợi dụng chức vụ, quyền hạn; tội lạm quyền trong khi thi hành công vụ,  Điều 361 về tội cố ý làm lộ bí mật công tác; tội chiếm đoạt, mua bán hoặc tiêu hủy tài liệu bí mật công tác; Điều 362 về tội vô ý làm lộ bí mật công tác; tội làm mất tài liệu bí mật công tác. Ngoài ra, BLHS năm 2015 cũng đã quy định cụ thể về tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng (Điều 291). Tuy nhiên, các thông tin khác liên quan đến khách hàng như những thông tin về cung cấp dịch vụ ủy thác, tư vấn tài chính… lại không được quy định.

Có thể thấy hành vi phạm pháp luật Bảo mật thông tin khách hàng ở Việt Nam sẽ bị áp dụng nhiều hình thức trách nhiệm pháp lý khác nhau. Đây cũng là một điểm tương đồng so với pháp luật của nhiều nước trên thế giới.

Ở nhiều nước trên thế giới, “vi phạm nghĩa vụ Bảo mật thông tin khách hàng có thể dẫn đến việc áp dụng những chế tài khác nhau. Pháp luật của Pháp quy định nghĩa vụ giữ bí mật chuyên môn đối với những cá nhân có được các thông tin bí mật do chức vụ cố định hay tạm thời. Việc tiết lộ thông tin không thuộc những trường hợp phải tiết lộ cho cơ quan có thẩm quyền theo luật định sẽ bị áp dụng chế tài hình sự là hình phạt một năm tù và phạt 15.000 Euro (Điều L571-4 Luật Tài chính và tiền tệ, Điều 226.13 Bộ luật hình sự. Ngoài ra, nhân viên ngân hàng cũng sẽ chịu trách nhiệm dân sự nếu để lộ bí mật thông tin khách hàng, kể cả với lỗi vô ý. Tại Thụy Sĩ, vi phạm các nghĩa vụ Bảo mật thông tin của khách hàng có thể dẫn đến ba loại chế tài: hình sự, dân sự, hành chính. Đối với trách nhiệm hình sự, chủ thể phải chịu trách nhiệm do vi phạm nghĩa vụ bảo mật không chỉ giới hạn ở nhân viên – người phổ biến thông tin mà còn cả đối với những TCHĐNH – với tư cách là người sử dụng lao động. Pháp luật cũng quy định chế tài ngay cả khi chưa có thiệt hại xảy ra. Cụ thể, người vi phạm sẽ gánh chịu hậu quả là hình phạt tù không quá sáu tháng hoặc một khoản tiền phạt không quá 50.000 franc Thụy sĩ (CHF). Nếu vi phạm những nghĩa vụ đã được cam kết với lỗi vô ý thì hình phạt là một khoản tiền không quá 30.000 CHF. Các chế tài này cũng được áp dụng ngay cả sau khi chấm dứt quan hệ chính thức hoặc quan hệ lao động hoặc là sự thực hiện nghiệp vụ (Điều 47, Luật liên bang về Ngân hàng và Ngân hàng tiết kiệm). Với quy định này, pháp luật Thụy sĩ đã xác lập một nghĩa vụ rõ ràng đòi hỏi các TCHĐNH phải quản lý chặt chẽ và giám sát các thông tin bảo mật được quản lý. Về trách nhiệm dân sự, nhân viên ngân hàng và ngân hàng có thể bị kiện yêu cầu bồi thường thiệt hại tại tòa dân sự do vi phạm nghĩa vụ Bảo mật thông tin theo Điều 41 và Điều 49 Luật Thương mại. Theo đó, khách hàng có thể yêu cầu bồi thường thiệt hại do hành vi tiết lộ của mình cả trong trường hợp chưa giao kết hợp đồng với ngân hàng hoặc sau khi chấm dứt quan hệ hợp đồng với ngân hàng. Về trách nhiệm hành chính, một nhân viên vi phạm nghĩa vụ bảo mật thì kể cả giám đốc hoặc kiểm toán viên cũng có thể bị chấm dứt hợp đồng. Bên cạnh đó, ngân hàng còn phải đối mặt với hai loại biện pháp hành chính: một là họ có thể bị rút giấy phép kinh doanh trong lĩnh vực ngân hàng, hai là, họ có thể bị khai trừ ra khỏi Liên đoàn các ngân hàng Thụy Sĩ. Cả hai biện pháp này là động lực mạnh mẽ để ngân hàng thực thi tốt hơn nghĩa vụ giám sát và bảo vệ thông tin bí mật”. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

 Theo luật pháp của Hoa Kỳ, việc chia sẻ thông tin không có sự đồng ý của khách hàng hoặc vi phạm một thỏa thuận không tiết lộ thông tin là nguyên nhân dẫn đến thiệt hại về tài chính phải chịu trách nhiệm bồi thường thiệt hại. Mặc dù không có quy định chế tài hình sự trong việc tiết lộ thông tin của khách hàng, pháp luật Anh cũng quy định không phải mọi vi phạm đối với Luật Bảo vệ dữ liệu của nước này đều là một vi phạm hành chính, trừ trường hợp khi một cá nhân chịu thiệt hại do hành vi tiết lộ thông tin, một hình phạt tài chính sẽ do Cao ủy phụ trách Thông tin ấn định. Người bị thiệt hại cũng có thể khiếu nại dân sự về thiệt hại và yêu cầu bồi thường thiệt hại phát sinh.

Dù vậy, có thể nhận thức, mức phạt trong luật pháp Việt Nam còn khá nhẹ, trong khi hậu quả từ hành vi xâm phạm nghĩa vụ Bảo mật thông tin khách hàng có thể ảnh hưởng rất lớn từ cuộc sống, hoạt động kinh doanh của khách hàng.

Quy định của pháp luật về xử phạt hành vi vi phạm nghĩa vụ Bảo mật thông tin khách hàng trong Hoạt động ngân hàng còn thiếu những quy định cụ thể về hành vi vi phạm nghĩa vụ Bảo mật thông tin khách hàng cũng như chế tài xử lý. Điều này đã khiến cho việc xử lý các hành vi vi phạm pháp luật về Bảo mật thông tin khách hàng còn nhiều khó khăn. Đồng thời, mức xử phạt đối với các hành vi vi phạm nghĩa vụ Bảo mật thông tin khách hàng trong Hoạt động ngân hàng còn nhẹ so với thông lệ của nhiều quốc gia trên thế giới. Chẳng hạn, “pháp luật của Singapore, vi phạm nghĩa vụ Bảo mật thông tin khách hàng sẽ bị phạt tiền hoặc phạt tù. Cụ thể, Điều 47 Luật Ngân hàng Singapore năm 1970, sửa đổi, bổ sung năm 2018 quy định: Người nào vi phạm nghĩa vụ Bảo mật thông tin khách hàng có thể bị phạt tù với thời hạn lên đến ba năm và/hoặc có thể bị phạt tới 125.000 đô la Singapore, một số trường hợp khác mức tiền phạt không vượt quá 250.000 đô la Singapore”. và cũng chưa đáp ứng được yêu cầu đấu tranh phòng, chống vi phạm pháp luật trong lĩnh vực này (thường là các vi phạm rất khó phát hiện, xử lý).

2.2. Thực tiễn thực thi pháp luật về bảo mật thông tin của khách hàng trong hoạt động ngân hàng ở Việt Nam Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

2.2.1. Thực tiễn tuân thủ pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng 

Thực thi pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng được thực hiện thông qua hình thức tuân thủ pháp luật, đó là hoạt động nhằm đưa pháp luật vào cuộc sống, biến quy định pháp luật trở thành hành vi của các chủ thể. Đó là mọi hành vi của Tổ chức tín dụng, nhân viên Tổ chức tín dụng phải thực hiện phù hợp với quy định của pháp luật và yêu cầu pháp luật nhằm bảo đảm cho quyền được Bảo mật thông tin của khách hàng được tôn trọng, thực hiện chính xác và đầy đủ.

 Bảo mật thông tin khách hàng là nghĩa vụ mang tính sống còn của Tổ chức tín dụng, nhận thức được vấn đề này, các Tổ chức tín dụng rất chú trọng đến việc quán triệt/giám sát nhân viên của mình cũng như đầu tư các trang thiết bị nhằm thực hiện nghĩa vụ này.

Dù vậy, thời gian qua, vẫn có trường hợp nhân viên Tổ chức tín dụng vì những lý do khác nhau đã không thực hiện đúng nghĩa vụ Bảo mật thông tin khách hàng mà pháp luật đã quy định. Chẳng hạn, thông báo số dư tài khoản của khách hàng mặc dù khách hàng không thực hiện thủ tục yêu cầu ngân hàng kiểm tra số dư tài khoản; hoặc cung cấp thông tin tài khoản của khách hàng (qua tổng đài chăm sóc khách hàng) khi chưa xác thực cẩn thận khách hàng, từ đó dẫn đến việc nhiều khách hàng bị mất tiền trong tài khoản. Chưa dừng lại ở đó, một số trường hợp các nhân viên ngân hàng đã không tuân thủ quy định nội bộ của các ngân hàng, truy cập vào mạng lưu trữ dữ liệu nội bộ, sao chép thông tin khách hàng để “dự phòng” cho bản thân (ví dụ dự phòng cho một công việc mới khi cần đến dữ liệu của khách hàng), hoặc lấy cắp thông tin khách hàng để rút tiền của khách hàng. Chẳng hạn, ngày 05/4/2023 TAND TP HCM vừa tuyên phạt bị cáo Lê Tiến Danh, sinh năm 1992, quê Gia Lai, về tội “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản”

Theo cáo trạng, khoảng tháng 2/2018, ngân hàng VPBank nhận được khiếu nại của nhiều khách hàng về việc mất tiền từ tài khoản mở tại VPBank, nên trình báo đến cơ quan công an. Quá trình điều tra, Công an xác định Lê Tiến Danh, từng làm việc tại công ty tài chính TNHH MTV, nên biết quy trình cho vay tiêu dùng tín chấp không cần thẩm định trực tiếp. Từ đó, Danh đã lấy thông tin các khách hàng từng vay ở công ty tài chính, sau đó tổ chức cho các đồng phạm thực hiện hành vi chiếm đoạt tiền của công ty và khách hàng.

Để thực hiện hành vi chiếm đoạt tiền, các bị cáo đã truy cập bất hợp pháp vào tài khoản ngân hàng của khách hàng để đăng ký dịch vụ Internet Banking theo các bước sau: Sử dụng máy vi tính truy cập bất hợp pháp tài khoản khách hàng qua trang web rồi nhập thông tin số tài khoản, số giấy CMND, số điện thoại của khách hàng, nhập tài khoản User – Gmail (theo cú pháp “Tên khách hàng” gmail.com; khi đó hệ thống ngân hàng gửi mã khởi tạo gồm 6 chữ số (mã OTP) đến số điện thoại của khách hàng. Lúc này, các nghi phạm dùng sim, điện thoại liên hệ yêu cầu khách hàng đọc mã khởi tạo, rồi nhập mã này để hoàn thành đăng ký Internet Banking. Tiếp đó, các đối tượng sử dụng User “Tên khách hàng” gmail.com đăng nhập vào trang web của ngân hàng, chọn mục “quên mật khẩu”, thì hệ thống ngân hàng yêu cầu nhập lại thông tin của khách hàng và lần thứ hai hệ thống gửi mã OTP (6 chữ số) đến số điện thoại khách hàng. Các nghi phạm tiếp tục gọi cho khách hàng lấy mã OTP này rồi nhập vào hệ thống và đổi mật khẩu mới. Sau khi có được mã OTP và chiếm được quyền kiểm soát tài khoản ngân hàng, Danh và các đồng phạm sử dụng Internet Banking thực hiện chuyển tiền vay khỏi tài khoản khách hàng sang tài khoản giả của các nghi phạm đã lập trước đó, rồi rút tiền ra chiếm đoạt. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Do đó, Hội đồng xét xử đã tuyên bị cáo Danh 13 năm tù; các bị cáo còn lại nhận mức án 6-12 năm tù về cùng tội danh trên. Hoặc có trường hợp nhân viên ngân hàng rao bán kiếm lời hoặc theo đặt hàng. Chẳng hạn, ông N.M.D. (cư trú tại TP.HCM, nhân viên ngân hàng M.) đã gửi cho N. thông tin 23 tài khoản thuộc hai ngân hàng M. và V. Ông này trực tiếp sử dụng tài khoản được ngân hàng cấp cho mình đăng nhập vào hệ thống nội bộ ngân hàng M. để tra soát thông tin của ba tài khoản ngân hàng rồi bán cho N với giá 200.000 – 400.000 đồng/tài khoản.

Một vụ việc tương tự khác, bà P.T.H.T. (cư trú tại Đà Nẵng, nhân viên ngân hàng S. chi nhánh Đà Nẵng) đã sử dụng tài khoản nhân viên được ngân hàng cấp cho mình để đăng nhập vào hệ thống nội bộ. Qua đó tra cứu thông tin tài khoản ngân hàng theo số tài khoản mà H.Đ.N. cung cấp rồi gửi cho N. thông tin của 25 tài khoản thuộc ngân hàng này. Một cán bộ PA05 cho biết với việc cung cấp thông tin về các tài khoản ngân hàng cho H.Đ.N., nữ nhân viên này được trả phí 500.000 đồng/tài khoản. Tổng cộng, nữ nhân viên ngân hàng này đã hưởng lợi 12,5 triệu đồng từ việc bán trái phép thông tin tài khoản ngân hàng.

Một nhân viên khác của ngân hàng S. là ông L.Đ.A. (trú Đà Nẵng) cũng đã sử dụng tài khoản nhân viên được ngân hàng cấp cho mình để đăng nhập vào hệ thống nội bộ nhằm tra cứu thông tin tài khoản ngân hàng theo số tài khoản mà N. cung cấp.

Theo PA05, nhân viên này đã gửi cho N. thông tin của 25 tài khoản thuộc ngân hàng S. và được H.Đ.N. trả phí 200.000 đồng/thông tin mỗi tài khoản. Nhân viên ngân hàng này đã nhận 5 triệu đồng từ việc bán tài khoản.

Ngoài ra, theo công an, một số nhân viên Ngân hàng thương mại cổ phần khác có quen biết với H.Đ.N. qua mạng xã hội, sau đó nhận tra soát thông tin tài khoản ngân hàng các cá nhân để bán cho N..

Tình trạng mua bán thông tin khách hàng, dữ liệu cá nhân cũng diễn ra hết sức phổ biến và công khai cả với thông tin, dữ liệu thô lẫn dữ liệu cá nhân đã qua xử lý. Thậm chí, có những cán bộ nhân viên ngân hàng còn chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành thu lợi từ việc bán lại thông tin tài khoản của khách hàng.

Chẳng hạn, vụ vi phạm của nhân viên Tổ chức tín dụng thông qua bản án số: 09/2021/HS-ST Ngày 21-01-202 của tòa án nhân dân tỉnh Phú Thọ xét xử bị cáo Lê Thái N và Nguyễn Thái T về tội “mua bán trái phép thông tin tài khoản ngân hàng”. Nhận định của Toà: Hành vi của bị cáo đã phạm vào tội “Mua bán trái phép thông tin về tài khoản ngân hàng”, tội phạm và hình phạt được quy định tại Điều 291 Bộ luật hình sự năm 2015. Hành vi phạm tội của bị cáo Lê Thái N và Nguyễn Thái T là nguy hiểm cho xã hội, xâm phạm quyền được bảo vệ về bí mật thông tin của cá nhân, xâm phạm trật tự, an toàn trong lĩnh vực tài chính – ngân hàng và tạo điều kiện cho việc thực hiện các hành vi vi phạm pháp luật khác. Tòa án đã xử phạt bị cáo Lê Thái N 100.000.000 đồng, bị cáo Nguyễn Thái T 20.000.000 đồng” (Trích dẫn bản án số 09/2021/HS-ST Ngày 21-01-2021 của tòa án nhân dân tỉnh Phú Thọ) Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Ngoài ra, cũng có những trường hợp nhân viên Tổ chức tín dụng lợi dụng vị trí công việc được giao đã sử dụng các thông tin của khách hàng và thực hiện giao dịch rút tiền từ tài khoản tiết kiệm của họ, từ đó làm thiệt hại đến lợi ích của khách hàng, gây ảnh hưởng tiêu cực đến niềm tin của họ với các Tổ chức tín dụng. Chẳng hạn, đầu năm 2017, khách hàng Nguyễn Bạch Mai (Hà Nội) khiếu nại tới một ngân hàng cổ phần tại Hà Nội về khoản tiền gần 9 tỷ đồng gửi (từ 2015) tại phòng giao dịch số 14 của ngân hàng đã bị rút toàn bộ trong khi chủ tài khoản không thực hiện giao dịch. Vụ việc sau đó được chuyển tới Phòng PA 84, công an thành phố Hà Nội. Qua xác minh ban đầu cho thấy, nguyên trưởng phòng giao dịch số 14 có dấu hiệu làm giả một số giấy tờ rút, gửi tiền không đúng mẫu ngân hàng quy định… Hoặc vụ ông Đặng Nghĩa Toàn mất 122 tỷ đồng khi mở 4 sổ tiết kiệm tại NCB hay vụ việc nhiều cán bộ ngân hàng vi phạm nghiêm trọng trong vụ án Nguyễn Thị Hà Thành bị tòa án thành phố Hà Nội tuyên án chung thân chiếm đoạt tiền trăm tỷ của ba ngân hàng NCB, Việt Á và PVComBank. Điểm chung của hai vụ án này là các cán bộ ngân hàng với vai trò đồng phạm là những người trực tiếp quản lý và phê duyệt hồ sơ để tạo điều kiện cho Nguyễn Thị Hà Thành rút tiền để chiếm đoạt hoặc vụ mất 245 tỷ của bà Chu Thị Bình tại ngân hàng TMCP Xuất Nhập Khẩu (Eximbank), chi nhánh TP.HCM. “Lợi dụng việc trực tiếp theo dõi, liên hệ khách hàng cũng như phê duyệt trên chứng từ giấy và trên hệ thống Corebank của Eximbank, ông Lê Nguyễn Hưng, nguyên Phó Giám đốc Eximbank chi nhánh TP.HCM đã lập giấy ủy quyền giả mạo việc khách hàng ủy quyền rút tiền đã rút hơn 245 tỷ đồng khách hàng. Vụ án này đã được đưa ra xét xử. Ngày 23/11/2019, TAND TPHCM tuyên án đối với 6 bị cáo nguyên là nhân viên Eximbank về hành vi “thiếu trách nhiệm gây thiệt hại đến tài sản của Nhà nước, cơ quan, tổ chức, doanh nghiệp” gây thiệt hại 264 tỷ đồng cho ngân hàng này. Hành vi của Lê Nguyễn Hưng đã phạm tội lừa đảo chiếm đoạt tài sản”.

Còn rất nhiều những vụ việc khách hàng mất tiền khi tin tưởng gửi ngân hàng thông qua nhân viên ngân hàng đến tại nhà. Đơn cử như vụ tiền gửi của khách hàng tại gia (của phòng giao dịch cấp huyện) tại một ngân hàng chi nhánh Phú Thọ. Khách hàng bị cán bộ phụ trách phòng giao dịch này lừa thông qua việc nhận gửi tiền tại nhà và bỏ ngoài tài khoản nhà băng. Vụ hàng chục sổ tiết kiệm trị giá hàng trăm tỷ đồng “bốc hơi” tại Ngân hàng Oceabank chi nhánh Hải Phòng cũng để lại dư âm xấu…

Theo các chuyên gia ngân hàng, những vụ mất tiền thời gian qua đa phần đều chung đặc điểm: Xảy ra với các khách VIP. Và họ, do có chế độ được các ngân hàng chăm sóc đặc biệt từ các công đoạn gửi tiền, rút tiền cho đến nhận quà tặng, lãi suất nên họ đã chủ quan, thậm chí nhiều người còn tin tưởng tuyệt đối vào những cán bộ ngân hàng họ có quen biết (hay được giới thiệu) mà bỏ qua những quy định, nguyên tắc thông thường. Đây cũng là “kẽ hở” của khách để những cán bộ suy thoái về đạo đức nghề nghiệp, dụng tâm lừa đảo và… trục lợi. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Theo TS Nguyễn Trí Hiếu, các vụ việc khách VIP được phục vụ tại tư gia và bị thiệt hại chứng tỏ trong hệ thống có lỗ hổng. “Lỗ hổng ấy có thể là quy trình ngân hàng, có thể là việc thực hiện các quy định và quy trình nội bộ, cũng có thể là do đạo đức kinh doanh của cán bộ ngân hàng và cuối cùng là quy định của NHNN có thể cần chặt chẽ hơn nữa”, ông Hiếu nói. Theo đó, việc ngân hàng đổ lỗi cho cá nhân cán bộ sai phạm và thờ ơ trước quyền lợi của người gửi tiền là những hành động có thể tạo nên nguy cơ rủi ro lớn trong hoạt động của cả hệ thống ngân hàng.

Các phân tích trên cho thấy rằng, nhân viên ngân hàng đã không “ý thức được đặc thù nghề nghiệp, sự khắt khe của ngành”, không tuân thủ các quy định nội bộ của ngân hàng, quy trình làm việc của các ngân hàng còn nhiều sơ hở, chưa đảm bảo an toàn tuyệt đối cho khách hàng. Và như lời thừa nhận của một Tổng giám đốc ngân hàng rằng “đâu đó, vẫn còn những lổ hổng trong chế độ Bảo mật thông tin của khách hàng mà ngân hàng vẫn chưa thể  trám được“.

Đánh giá cho tình trạng rò rỉ thông tin khách hàng, tình trạng nhiều khách hàng bị mất tiền trong tài khoản như vừa qua, đại diện Ngân hàng nhà nước Việt Nam – Phó Thống đốc NHNN Đào Minh Tú cũng đưa ra ý kiến: “những việc mất tiền của khách hàng gần đây gây ảnh hưởng niềm tin của người gửi tiền. Có những vụ việc do nguyên nhân khách quan nhưng cũng nhiều vụ việc do chưa làm tốt trong quy trình, quy định (kể cả cán bộ thừa hành, nhân viên quản lý)“.

Có thể thấy, tính chất, mức độ và những hành vi vi phạm có thể khác nhau, song các hành vi đó đều thể hiện sự việc không thực hiện đúng nghĩa vụ do pháp luật quy định, cũng như quy chế quản lý nội bộ của các Tổ chức tín dụng, cần phải có những giải pháp khắc phục. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Ngoài những thách thức liên quan đến yếu tố chủ quan thì sự phát triển của khoa học Công nghệ thông tin và số hóa cũng tác động/ảnh hưởng rất nhiều đến việc tuân thủ pháp luật về Bảo mật thông tin khách hàng của các Tổ chức tín dụng.

Các Tổ chức tín dụng đều nhận thấy rằng, sự phát triển của dịch vụ ngân hàng điện tử, khả năng chuyển khoản và thanh toán tiền trên mọi phương tiện di động như smartphone, ATM, các loại thẻ tín dụng…có thể dẫn đến các nguy cơ lấy cắp tiền trong ngân hàng cũng tăng dần. Đây chính là mối đe dọa đối với ngân hàng và khách hàng. Điều này cũng đã được ông Lê Quang Hà, Giám đốc sản phẩm Công ty an ninh mạng Viettel xác nhận: thông tin ngân hàng là một trong những lĩnh vực tiên phong trong quá trình chuyển đổi số nhưng cũng là mục tiêu ưa thích của tội phạm mạng để chiếm đoạt tiền của khách hàng, dữ liệu của ngân hàng.

Theo trung tâm phân tích và chia sẻ nguy cơ của Viettel, “ngân hàng luôn là một trong những mục tiêu hấp dẫn của tội phạm mạng. Hình thức phổ biến nhất là hacker gửi tin nhắn chứa đường link giả mạo trang web của ngân hàng về tri ân, trúng thưởng… khi khách hàng nhấp vào sẽ mất thông tin, mã OTP và mất tiền trong tài khoản…” trong dịch Covid-19, lượng tấn công lừa đảo khách hàng tăng gấp 3 lần so với cùng kỳ, kẻ gian tấn công vào tất cả ngân hàng, ví điện tử, dịch vụ chuyển tiền quốc tế.

Trước tình hình đó, “theo thống kê của NHNN, việc đầu tư của các Ngân hàng thương mại cho an toàn thông tin chiếm 15% đầu tư cho Công nghệ thông tin ứng dụng công nghệ mới (AI, Big Data…) hoặc thuê ngoài để giám sát an toàn thông tin”.

Bên cạnh đó, “để đảm bảo an toàn, bảo mật cho giao dịch ngân hàng và thông tin, tài khoản khách hàng trước nguy cơ tấn công mạng, các Ngân hàng thương mại đã tăng cường phối hợp với NHNN để thực hiện các chính sách đã ban hành về Công nghệ thông tin trong lĩnh vực ngân hàng; chủ động trong việc giám sát hoạt động hệ thống Công nghệ thông tin và xử lý các sự cố phát sinh (nếu có); tăng cường các biện pháp giám sát, theo dõi hoạt động và nhật ký của các hệ thống thông tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking để kịp thời phát hiện và xử lý sự việc nghi ngờ là hành động tấn công (nếu có); thực hiện sao lưu và lưu trữ đầy đủ dữ liệu cũng như sẵn sàng kịch bản và phương án đảm bảo hoạt động liên tục cho các hệ thống thông tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking”. Tuy nhiên, tình hình tội phạm công nghệ cao ngày càng phức tạp, tinh vi, có phạm vi toàn cầu, vấn đề an ninh, Bảo mật thông tin tài khoản ngân hàng của khách hàng và ngân hàng đang là thách thức với ngành Ngân hàng.

Tóm lại, những vụ việc, dữ liệu phân tích trên cho thấy thực trạng tuân thủ pháp luật về Bảo mật thông tin khách hàng còn nhiều bất cập, tiềm ẩn những nguy cơ chưa được phát hiện, chưa bảo đảm tuân thủ pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng và cần phải có những giải pháp khắc phục.

2.2.2. Thực tiễn chấp hành pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Thực thi pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng được thực hiện thông qua hình thức chấp hành pháp luật là một trong những hình thức chủ yếu để đưa các quy định pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng vào cuộc sống. Nhận thức rõ tầm quan trọng của việc duy trì niềm tin từ khách hàng, các Tổ chức tín dụng đã luôn cập nhật các Văn bản quy phạm pháp luật của Cơ quan nhà nước có thẩm quyền, từ đó ban hành các quy định nội bộ nhằm cụ thể hóa các quy định pháp luật về Bảo mật thông tin khách hàng, giúp Tổ chức tín dụng, nhân viên các tổ chức này thực thi tốt nghĩa vụ bảo mật của mình.

Thực tiễn tại các Tổ chức tín dụng ở Việt Nam thời gian qua đã cho thấy, các Tổ chức tín dụng đã xây dựng các quy định nhằm triển khai các quy định về giữ bí mật, lưu trữ và cung cấp thông tin khách hàng. Chẳng hạn: Ngân hàng HD bank đã ban hành “Quy định số 183/2019/QĐ- TGĐ ngày 28/1/2019 của Tổng Giám đốc về Quy định giữ bí mật, lưu trữ và cung cấp thông tin khách hàng”; Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam đã ban hành “Quy định số 1135/QĐ-HĐTV-PC ngày 31/12/2019 của Hội đồng thành viên Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam (Agribank) về Cung cấp thông tin trong hệ thống ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam”; Ngân Hàng Nam Á đã ban hành “Thông báo bảo mật số 852/2022/TB-NHNA-06 ngày 19/10/2022 của Ngân Hàng Nam Á”….. Thông qua các quy định của các Tổ chức tín dụng, tác giả nhận thấy:

• Các quy định nội bộ của các Tổ chức tín dụng đều dựa trên cơ sở các Văn bản quy phạm pháp luật do Cơ quan nhà nước có thẩm quyền ban hành. Đồng thời các Tổ chức tín dụng cũng đã tiến hành sửa đổi, bổ sung thường xuyên các văn bản này cho phù hợp với sự thay đổi của pháp luật.
• Về nội dung, các Tổ chức tín dụng đã cụ thể hóa khá đầy đủ những nội dung được quy định trong Điều 5 Nghị định số 117/2018/NĐ-CP và các Văn bản quy phạm pháp luật khác có liên quan.
• Các quy định này cũng đã cập nhật và hướng dẫn kịp thời các quy định liên quan đến Bảo mật thông tin khách hàng trong xu thế phát triển mới của khoa học công nghệ và truyền thông.

Mặc dù có nhiều điểm tương đồng trong các quy định về giữ bí mật, lưu trữ và cung cấp thông tin khách hàng. Song, các Tổ chức tín dụng đều xây dựng các quy định này theo hướng phù hợp với những đặc thù của từng Tổ chức tín dụng nhằm thực thi pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng một cách hiệu quả.

Nhìn chung, việc ban hành các quy định nội bộ là căn cứ quan trọng cho các Tổ chức tín dụng thực hiện các biện pháp Bảo mật thông tin khách hàng trong Hoạt động ngân hàng. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Bên cạnh việc ban hành các quy định nội bộ cụ thể hóa các quy định pháp luật về Bảo mật thông tin khách hàng, Tổ chức tín dụng phải chấp hành nghĩa vụ cung cấp thông tin khách hàng trong một số trường hợp nhất định theo luật định.

Nhằm cụ thể hóa các quy định tại Điều 13 Luật các Tổ chức tín dụng, Khoản 3 Điều 4 và Khoản 1 Điều 11 của Nghị định số 117/2018/NĐ-CP quy định các trường hợp các Tổ chức tín dụng phải cung cấp thông tin khách hàng: (i) Có sự chấp thuận của khách hàng và phải cung cấp thông tin khách hàng cho chính khách hàng hoặc người đại diện hợp pháp của khách hàng đó, (ii) cung cấp cho cá nhân, tổ chức khác có quyền yêu cầu Tổ chức tín dụng cung cấp thông tin khách hàng được quy định cụ thể tại bộ luật, luật, nghị quyết của Quốc hội. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Đối với cung cấp thông tin khách hàng theo yêu cầu của Cơ quan nhà nước có thẩm quyền, việc cung cấp thông tin trong trường hợp này có bản chất pháp lý là quan hệ mệnh lệnh – phục tùng theo thẩm quyền hành chính nhà nước, hoặc theo thẩm quyền tố tụng để thực thi một hoạt động quản lý nhà nước cụ thể, hoặc thực thi một hoạt động tố tụng, thi hành án cụ thể.

Do đó, việc xác định Cơ quan nhà nước có thẩm quyền, người đại diện có thẩm quyền của cơ quan này, các trường hợp cơ quan này được tiếp cận thông tin khách hàng, phạm vi, mục đích sử dụng thông tin khách hàng… là phải dựa trên sự tuân thủ tuyệt đối quy định của pháp luật có liên quan (pháp luật về tố tụng, thi hành án, thanh tra, hải quan, thuế, xử lý vi phạm hành chính…), mà không phụ thuộc vào ý chí của Tổ chức tín dụng và khách hàng.

Bên cạnh đó, quy định về “chủ thể được quyền ký văn bản yêu cầu cung cấp thông tin khách hàng đã mở rộng ra tối đa, rất nhiều chủ thể theo luật định được yêu cầu cung cấp thông tin khách hàng. Đồng thời, chức danh các chủ thể được quyền ký yêu cầu Tổ chức tín dụng cung cấp thông tin khách hàng rất nhiều và ở các cấp khác nhau, thậm chí là đến cấp huyện cũng có quyền ký văn bản yêu cầu các ngân hàng cung cấp thông tin về tiền gửi, tài sản gửi của khách hàng”.

Liên quan đến nội dung này, có quan điểm cho rằng việc cung cấp thông tin khách hàng cho những đối tượng được yêu cầu cung cấp thông tin như hiện nay là phù hợp vì những quy định về chủ thể được yêu cầu Tổ chức tín dụng cung cấp thông tin khách hàng như trong Nghị định số 70/2000/NĐ-CP trước đây có thể dẫn tới việc khó khăn, chẳng hạn trong công tác quản lý, điều tra của các cơ quan điều tra cấp huyện và một số cơ quan chức năng điều tra và làm chậm trễ việc phát hiện, xử lý các sai phạm liên quan đến tổ chức, doanh nghiệp, cá nhân.

Thật ra, hướng dẫn của Nghị định số 117/2018/NĐ-CP liên quan đến việc mở rộng đối tượng được yêu cầu cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng tại ngân hàng có liên quan đến những sửa đổi trong các quy định tại Điều 16 Luật tổ chức Viện kiểm sát nhân dân năm 2014 về nhiệm vụ, quyền hạn của Viện kiểm sát nhân dân khi thực hành quyền công tố trong giai đoạn truy tố và quy định tại Điều 40 về hệ thống

Viện kiểm sát nhân dân, hay Luật Công an nhân dân năm 2018 sửa đổi, bổ sung năm 2023, Luật Thanh tra năm 2022, Luật Kiểm toán nhà nước năm 2015, sửa đổi, bổ sung năm 2019, Luật Hải quan năm 2014, Luật Quản lý thuế năm 2019.

Các bổ sung về chủ thể có quyền ký yêu cầu Tổ chức tín dụng cung cấp thông tin khách hàng là nhằm phù hợp, tương thích với các văn bản trên. Tuy nhiên, phạm vi này mở rộng ra tối đa, thậm chí cơ quan hạ xuống đến cấp huyện cũng có quyền ký văn bản yêu cầu các ngân hàng cung cấp thông tin về tiền gửi, tài sản gửi của khách hàng, liên quan đến các mục đích (i) thanh tra, (ii) điều tra, (iii) truy tố, (iv) xét xử, (v) thi hành án, (vi) kiểm toán và (vii) quản lý thuế. Đồng thời, chức danh các chủ thể được quyền ký yêu cầu Tổ chức tín dụng cung cấp thông tin khách hàng rất nhiều và ở các cấp khác nhau sẽ tạo ra một sự “bất an” cho khách hàng.

Ngoài việc phải chấp hành các quy định về Bảo mật thông tin, cung cấp thông tin theo luật định, theo Khoản 2 Điều 14 Nghị định số 117/2018/NĐ-CP, “TCTD còn có nghĩa vụ giải quyết khiếu nại của khách hàng”. Có thể nhận thấy rằng, đây là một trong những quy định quan trọng không chỉ giúp khách hàng có thể thực hiện việc bảo vệ các quyền và lợi ích hợp pháp của mình khi bị xâm hại mà  còn thể hiện trách nhiệm của các Tổ chức tín dụng cũng như của Cơ quan nhà nước về bảo vệ quyền lợi ích hợp pháp của khách hàng. Tuy nhiên, những quy định này chưa đáp ứng được những yêu cầu trên thực tế và gây nhiều khó khăn cho khách hàng trong quá trình khiếu nại. Cụ thể: Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Chưa quy định trình tự, thủ tục cũng như thẩm quyền giải quyết khiếu nại.

Mới chỉ đưa ra quy định rất chung mang tính nguyên tắc: Tổ chức tín dụng, Chi nhánh ngân hàng nước ngoài có trách nhiệm “giải quyết khiếu nại của khách hàng trong việc cung cấp thông tin khách hàng theo quy định của pháp luật; tổ chức giám sát, kiểm tra và xử lý vi phạm quy định nội bộ về giữ bí mật, lưu trữ, cung cấp thông tin khách hàng” nhưng chưa quy định rõ quy trình, trách nhiệm tiếp nhận và xử lý những trường hợp Tổ chức tín dụng, Cơ quan nhà nước có thẩm quyền (khi yêu cầu TTCD cung cấp thông tin khách hàng trong những trường hợp luật định) vi phạm nghĩa vụ Bảo mật thông tin khách hàng; chưa xác định những trường hợp cụ thể nào thuộc thẩm quyền giải quyết khiếu nại của Tổ chức tín dụng, trường hợp nào thuộc thẩm quyền giải quyết của Cơ quan nhà nước khác, ví dụ các cơ quan bảo vệ quyền lợi của người tiêu dùng. Cơ chế giám sát và xử lý việc thực hiện các quy định này như thế nào… Tất cả những điều này đang chờ một quy định rõ ràng, cụ thể. Bởi trên thực tế theo đại diện của Cục Cạnh tranh và Bảo vệ người tiêu dùng (CT&BVNTD – Bộ Công Thương), gần đây Cục có nhận được phản ánh nhiều khách hàng về việc gửi phản ánh đến ngân hàng bằng hình thức email, tuy hệ thống thư điện tử của ngân hàng đã xác nhận tiếp nhận thành công email của ngân hàng không liên hệ lại với khách hàng hay có cách giải quyết vấn đề khách hàng phản ánh. Cũng theo ý kiến của đại diện Cục CT&BVNTD, nhằm đảm bảo quyền lợi của người tiêu dùng trong quá trình giải quyết các tranh chấp phát sinh với ngân hàng, người tiêu dùng cần tìm hiểu trong các tài liệu giao dịch với ngân hàng để xác định xem các phương thức liên hệ nào được coi là phương thức chính thức, do ngân hàng công bố và vận hành. Chẳng hạn, nếu ngân hàng chấp nhận sử dụng email trong quá trình liên hệ thì người tiêu dùng sử dụng cách thức gửi thông tin qua email; ngược lại, người tiêu dùng nên đến trực tiếp các chi nhánh, điểm kinh doanh của ngân hàng để lập biên bản/phiếu phản ánh thông tin.

Tác giả cho rằng, giải quyết khiếu nại của khách hàng là nghĩa vụ luật định. Cần công khai quy trình, hướng dẫn chi tiết để khách hàng có thể thực hiện quyền khiếu nại của mình, tránh tình trạng Ngân hàng “làm khó” khách hàng.

2.2.3. Thực tiễn sử dụng pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng 

Với tư cách là chủ sở hữu của các thông tin, khách hàng có quyền công bố hoặc chia sẻ các thông tin bí mật của mình. Tuy nhiên, thời gian qua do ý thức của người tiêu dùng chưa cao nên còn không ít người chia sẻ quá nhiều thông tin cá nhân lên mạng xã hội. Đây là nguyên nhân thông tin cá nhân tràn lan trên không gian mạng khiến tình trạng lừa đảo trong thời kỳ công nghệ hiện đại diễn biến phức tạp. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

“Theo các chuyên gia về công nghệ ngân hàng, các loại hình gian lận phổ biến trong thanh toán điện tử như: (i) Đánh cắp thông tin bảo mật để chiếm đoạt quyền sử dụng tài khoản ngân hàng điện tử/thẻ, cụ thể, kẻ gian đánh cắp/thu thập thông tin bảo mật dịch vụ ngân hàng điện tử/Thẻ của khách hàng (số tài khoản, mật khẩu, mã OTP, mã PIN…) tiếp đó chiếm đoạt quyền sử dụng tài khoản để trục lợi; (ii) Kẻ gian lừa khách hàng tự chuyển tiền cho kẻ gian; (iii) Loại hình khác: Đối tượng lừa đảo lợi dụng giấy tờ bị thất lạc của khách hàng để thực hiện đăng ký mới/kích hoạt lại dịch vụ ngân hàng điện tử của khách hàng tại quầy để chiếm đoạt quyền sử dụng”.

Ngoài ra, các đối tượng còn sử dụng hình chụp căn cước công dân (CCCD), sao chép thông tin CCCD thật để làm phiên bản giả với dãy số và tên nạn nhân giữ nguyên, nhưng thay ảnh của chính mình vào. Sau đó, chúng dùng CCCD giả này đến ngân hàng chiếm đoạt tiền trong tài khoản của nạn nhân (đã nghiên cứu trước). Hiện, một số app vay tiền trực tuyến áp dụng công nghệ eKYC (Know Your Customer – định danh không gặp trực tiếp) cho phép người dùng xác thực tài khoản vay vốn bằng cách cần tải hình CCCD hoặc hình chân dung đang cầm giấy tờ trên tay. Kẻ gian sẽ lấy hình CCCD người khác, hoặc in thành phiên bản giả thay hình chân dung mình vào để vượt qua bước này.

“Bằng cách nghiên cứu thông tin trên CCCD như hình ảnh, tên tuổi, quê quán, nơi ở, giới tính… tội phạm công nghệ cao có thể biết được số điện thoại liên hệ, tài khoản ngân hàng của khách hàng. Sau đó chúng giả công an, kiểm sát viên, thanh tra, tòa án gọi điện đến hù dọa người này đang bị điều tra vì “liên quan đến vụ án”. Theo thống kê của Bộ Công an, thủ đoạn giả danh này chiếm hơn 65% số vụ lừa đảo trên không gian mạng năm 2020.

Tổng kết từ thực tiễn thì thấy các kịch bản lừa đảo, gian lận phổ biến như:

• Lừa đảo qua SMS (giả mạo tin nhắn SMS Brandname của chính ngân hàng);
• Lừa đảo qua tài khoản Facebook Messenger (giả mạo người thân/quen của khách hàng: Hack tài khoản mạng xã hội (Zalo, Facebook…) của bạn bè, người thân của khách hàng và giả mạo bạn bè, người thân của khách hàng. Tiếp đó, đối tượng lừa đảo đề nghị khách hàng cung cấp thông tin, tự chuyển tiền tới tài khoản lừa đảo hoặc nhờ nhận tiền hộ sau đó dụ khách hàng truy cập vào link lừa đảo;
• Lừa đảo qua điện thoại: Giả mạo là cán bộ ngân hàng/công an/tòa án… để gọi điện thông báo khách hàng đã trúng thưởng hoặc tài khoản khách hàng phạm pháp/giao dịch lỗi, đề nghị khách hàng cung cấp thông tin bảo mật để xác thực hoặc đe dọa bắt khách hàng chuyển tiền;
• Lừa đảo qua email (chủ yếu là gửi email chứa link độc hại). Các đối tượng sẽ gửi email cảnh báo giả tới email cá nhân của khách hàng với danh nghĩa là ngân hàng, từ đó yêu cầu khách hàng khai báo thông tin trên các đường dẫn độc được đính kèm email;
• v) Đánh cắp thông tin từ website giả mạo (phishing website): Các trang web giả mạo: hacker tạo trang web với giao diện sao chép giống hệt website chính thống của ngân hàng và lừa người dùng truy cập để đánh cắp thông tin hoặc lây nhiễm mã độc”. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Về phía người sử dụng dịch vụ, các lỗi thường gặp trong sử dụng tài khoản và mật khẩu liên quan đến quyền truy cập, người dùng cho mượn tài khoản, cấp thừa quyền hạn, hoặc bị lộ mật khẩu (do mật khẩu yếu, dùng chung mật khẩu, lưu mật khẩu không an toàn), đôi khi người dùng ghi mật khẩu ra giấy hoặc file văn bản hoặc sử dụng tính năng ghi nhớ mật khẩu và tự động đăng nhập, hoặc sử dụng chung mật khẩu cho các tài khoản khác nhau.

“Thiếu các giải pháp mang tính chống chối bỏ giao dịch hoặc chỉ áp dụng với các giao dịch hạn mức rất lớn trong khi các phương thức xác thực truyền thống như username & password, SMS OTP dễ bị đánh cắp và không còn an toàn. Tại hội nghị FIDO Châu Á- Thái Bình Dương năm  29/8/2023 tại tỉnh Khánh Hòa ông Trần Đăng Khoa phó cục trưởng an toàn thông tin – Bộ Thông Tin và Truyền Thông, cho biết mà OTP được nhiều nền tảng để xác thực đa lớp nhằm tăng tính năng an toàn. Tuy nhiên “phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro” do OTP thực chất là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp”.

Qua đó cho ta thấy, chính khách hàng hơn ai hết cần có ý thức bảo vệ chính mình khi tham gia vào các Hoạt động ngân hàng để bảo vệ quyền lợi của mình một cách tốt nhất.

2.2.4. Thực tiễn áp dụng pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng 

Áp dụng pháp luật về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng chủ yếu ở cấp độ can thiệp, được thực hiện bởi các cơ quan có thẩm quyền áp dụng và tổ chức thực hiện các quyết định xử lý các hành vi vi phạm pháp luật Bảo mật thông tin khách hàng trong Hoạt động ngân hàng.

Thanh tra, giám sát ngân hàng, xử lý vi phạm pháp luật về tiền tệ và ngân hàng theo quy định của pháp luật là chức năng mà pháp luật quy định cho cơ quan thanh tra, giám sát NHNN. Thời gian qua, công tác thanh tra, giám sát ngân hàng, đã có nhiều đổi mới và chuyển biến tích cực.

Hoạt động thanh tra, giám sát ngân hàng thời gian qua rất được chú trọng, nhằm khắc phục kịp thời những tồn tại và hạn chế trong công tác thanh tra, góp phần thực hiện tốt chủ trương của Đảng và Nhà nước về tái cơ cấu nền kinh tế, trong đó có nhiệm vụ tái cơ cấu hệ thống Tổ chức tín dụng, tăng cường xử lý nợ xấu trong lĩnh vực tài chính – ngân hàng. Cơ quan thanh tra, giám sát ngân hàng luôn coi trọng công tác giám sát rủi ro, khai thác triệt để thông tin và tính hữu ích từ các báo cáo giám sát; xây dựng kế hoạch thanh tra chi tiết, góp phần rút ngắn thời gian, tăng cường hiệu quả công tác thanh tra tại chỗ. Phương pháp thanh tra được đổi mới theo hướng chuyển từ thanh tra chuyên đề sang thanh tra toàn diện các Tổ chức tín dụng. Nội dung thanh tra được mở rộng, tập trung vào một số vấn đề trọng tâm, trọng điểm về thực trạng tài chính của từng Tổ chức tín dụng, xác định cụ thể số lãi, lỗ, chỉ rõ nguyên nhân, trách nhiệm của tập thể, từng cá nhân liên quan.

Trong bối cảnh thế giới công nghệ ngày càng phát triển, NHNN yêu cầu các Tổ chức tín dụng xác định công tác đảm bảo an ninh, an toàn Hoạt động ngân hàng là nhiệm vụ trọng tâm, có tầm quan trọng đặc biệt trong tình hình hiện nay. Để ngăn ngừa, phát hiện và xử lý kịp thời các hành vi vi phạm pháp luật trong Ngành, bên cạnh việc trực tiếp tăng cường và đặc biệt coi trọng công tác thanh tra, giám sát, NHNN đã chỉ đạo các Tổ chức tín dụng tăng cường công tác kiểm toán, kiểm soát nội bộ, thực hiện các biện pháp khác để kịp thời ngăn chặn và xử lý các vi phạm; chủ động phối hợp với Cơ quan nhà nước có thẩm quyền trong việc chuyển giao hồ sơ, vụ việc có dấu hiệu vi phạm theo luật định.

“Trong 9 tháng đầu năm 2022, công tác thanh tra, giám sát của ngành Ngân hàng đã triển khai hơn 900 cuộc thanh tra, kiểm tra, ban hành hơn 700 kết luận thanh tra. Trình bày kết quả đã đạt được trong thời gian qua tại Hội nghị về công tác thanh tra, giám sát ngân hàng được tổ chức vào ngày 1/10/2022, Phó Chánh thanh tra Cơ quan Thanh tra, giám sát ngân hàng Trần Đăng Phi cho biết, công tác thanh tra chuyên ngành, việc xây dựng kế hoạch thanh tra và xác định trọng tâm thanh tra trong năm 2022 đã bám sát diễn biến tình hình tiền tệ, nhiệm vụ chính trị của NHNN và định hướng của Thanh tra Chính phủ trong năm 2022. Theo nhận định của Phó Chánh thanh tra Cơ quan Thanh tra, giám sát ngân hàng thì về cơ bản, các Tổ chức tín dụng chấp hành quy định pháp luật, chủ trương, chính sách của Chính phủ, NHNN, tập trung các giải pháp cơ cấu lại các Tổ chức tín dụng, xử lý nợ xấu, đáp ứng nhu cầu vốn của khách hàng. Các Tổ chức tín dụng đã quan tâm hơn đến công tác kiểm tra, giám sát nội bộ, đánh giá kết quả chấp hành của các cán bộ, nhân viên”. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

Dù vậy, hoạt động này cũng chỉ tập trung chủ yếu vào: hoạt động tín dụng, việc huy động vốn, việc phân loại nợ và trích lập dự phòng rủi ro, kiểm toán, kiểm soát nội bộ, quản trị rủi ro thanh khoản.

Tóm lại, do Bảo mật thông tin khách hàng có ý nghĩa đặc biệt quan trọng, không chỉ trong xây dựng, gìn giữ niềm tin của khách hàng đối với một Tổ chức tín dụng cụ thể, mà còn đối với cả hệ thống tín dụng của quốc gia và hiệu lực quản lý nhà nước nên trong thực thi pháp luật về Bảo mật thông tin khách hàng thì hình thức thực thi pháp luật là tuân thủ pháp luật, chấp hành pháp luật của các chủ thể theo quy định của pháp luật về Bảo mật thông tin khách hàng. Việc sử dụng pháp luật trong việc khiếu nại, khởi kiện của khách hàng, kéo theo là việc ADPL của Cơ quan nhà nước có thẩm quyền phụ thuộc nhiều vào khách hàng. Một khi khách hàng không thực hiện quyền hoặc đã được thỏa thuận giải quyết nếu có vi phạm về Bảo mật thông tin khách hàng thì việc THPL bằng hình thức ADPL cũng khó thực hiện trên thực tế.

KẾT LUẬN CHƯƠNG 2

Thực thi pháp luật Bảo mật thông tin khách hàng trong Hoạt động ngân hàng thời gian qua đã được quan tâm trong thực tiễn, đó không chỉ là nghĩa vụ của Tổ chức tín dụng, của khách hàng, mà còn là trách nhiệm của Chính phủ, Ngân hàng nhà nước Việt Nam, các chủ thể thứ ba khác có được thông tin khách hàng do hoạt động chuyên môn, nghề nghiệp, hoạt động công vụ. Có thể nhận thấy, hoạt động thực thi pháp luật Bảo mật thông tin khách hàng trong Hoạt động ngân hàng đã góp phần quan trọng trong việc bảo vệ quyền được Bảo mật thông tin của khách hàng. Tuy nhiên, các hạn chế liên quan đến các quy định pháp luật điều chỉnh pháp luật Bảo mật thông tin khách hàng như đề cập trên. Bên cạnh đó, pháp luật Bảo mật thông tin khách hàng trong Hoạt động ngân hàng cũng chưa đề cập đến những thay đổi của xu thế thế giới về Bảo mật thông tin khách hàng trong Hoạt động ngân hàng. Đồng thời, sự thiếu vắng các quy định nội bộ bảo đảm bí mật thông tin khách hàng; cũng như chưa theo kịp sự phát triển của công nghệ ngân hàng là những thách thức đặt ra trong giai đoạn hiện nay.

Cùng với các quy định pháp luật về Bảo mật thông tin khách hàng vẫn còn một số tồn tại, hạn chế đặt ra yêu cầu phải có giải pháp để khắc phục, hoàn thiện hệ thống các quy định điều chỉnh về Bảo mật thông tin khách hàng.

Những hạn chế, bất cập của pháp luật về Bảo mật thông tin khách hàng của các Tổ chức tín dụng đã phân tích trong chương 2 cần phải được khắc phục thông qua việc đưa ra những giải pháp, kiến nghị trong chương 3. Luận văn: Thực tiễn pháp luật về bảo mật thông tin của khách hàng.

CÓ THỂ BẠN QUAN TÂM ĐẾN DỊCH VỤ: 

===>>> Luận văn: Hoàn thiện pháp luật về bảo mật thông tin khách hàng