Professional Documents
Culture Documents
IV. Khung pháp lý vn hiện nay, cần học hỏi xây dựng thêm cái gì ?
Tại Việt Nam, cùng với sự phát triển mạnh mẽ của của khoa học công nghệ và
truyền thông, các TCTD cũng đã triển khai nhiều dịch vụ thanh toán mới phù
hợp với xu thế thanh toán của các nước trong khu vực và trên thế giới. Tuy
nhiên, cùng với sự phát triển các dịch vụ đó là các hành vi khai thác thông tin
cũng tinh vi hơn, việc xâm phạm bí mật thông tin của khách hàng trong hoạt
động ngân hàng càng trở nên phổ biến hơn, vì vậy, việc đảm bảo bí mật những
thông tin và dữ liệu của khách hàng là điều vô cùng cần thiết.
● Những kết quả đạt được trong các quy định pháp luật về đảm bảo bí mật thông
tin khách hàng của tổ chức tín dụng
Thứ nhất, tạo dựng lĩnh vực pháp luật đảm bảo bí mật thông tin của khách hàng
được là quyền con người trong Hiến pháp năm 2013. Đồng thời, cũng quy định
đây là nghĩa vụ pháp lý phát sinh trong hoạt động nghề nghiệp của các TCTD.
Thứ hai, tạo lập được hành lang pháp lý cho các chủ thể tham gia hoạt động
ngân hàng thực hiện các quyền và nghĩa vụ đảm bảo bí mật thông tin khách
hàng, cụ thể:
+ Đối với các TCTD, khi các tổ chức này yêu cầu khách hàng cung cấp các
thông tin để phục vụ cho hoạt động kinh doanh của mình thì các tổ chức này
phải có nghĩa vụ bảo đảm bí mật thông tin khách hàng mà họ có được, đồng
thời các tổ chức hoạt động ngân hàng cũng có quyền từ chối yêu cầu cung cấp
thông tin của bên thứ ba nhằm đảm bảo lợi ích của khách hàng.
+ Đối với bên thứ ba là các tổ chức chuyên môn được TCTD thuê hoặc hợp tác
với TCTD cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động kinh doanh của các
TCTD có nghĩa vụ đảm bảo bí mật thông tin theo hợp đồng đã ký kết với các
TCTD .
+ Đối với khách hàng, khi tham gia vào quan hệ với các tổ chức hoạt động
ngân hàng sẽ có nghĩa vụ cung cấp các thông tin theo yêu cầu, đồng thời khách
hàng cũng có đặc quyền là các thông tin về tài khoản, giao dịch và một số
thông tin khác của mình phải được bảo vệ một cách hợp pháp và không thể bị
xâm hại bởi bên thứ ba không có thẩm quyền tiếp cận thông tin như đã đề cập
trong Luật Các tổ chức tín dụng năm 2010, Luật An toàn thông tin mạng năm
2015, Luật Bảo vệ quyền lợi người tiêu dùng năm 2010.
Thứ ba, pháp luật Việt Nam cũng đã quy định các loại chế tài có thể áp dụng
nhằm điều chỉnh các hành vi vi phạm nghĩa vụ đảm bảo bí mật thông tin của
khách hàng; các biện pháp chế tài như bị xử lý kỷ luật, phạt vi phạm hành
chính, truy cứu trách nhiệm hình sự, phải bồi thường thiệt hại sẽ được áp dụng
tùy theo tính chất, mức độ của hành vi vi phạm.
● Một số bất cập trong các quy định pháp luật về đảm bảo bí mật thông tin khách
hàng trong hoạt động ngân hàng và khuyến nghị
Một là, các quy định này còn chung chung, chưa rõ ràng, cụ thể, các điều luật
trong các luật chuyên ngành đều được quy định theo hướng “không được cung
cấp thông tin này cho tổ chức, cá nhân khác, trừ trường hợp có yêu cầu của cơ
quan nhà nước có thẩm quyền theo quy định của pháp luật hoặc được sự chấp
thuận của khách hàng”. Vậy, các cơ quan theo luật định nào được quyền cầu
các TCTD phải cung cấp thông tin của khách hàng thì chưa được liệt kê một
cách cụ thể.
Đồng thời, pháp luật ngân hàng cũng không hướng dẫn rõ cần có sự đồng ý của
khách hàng là như thế nào, trong trường hợp nào, bằng hình thức nào để có thể
cung cấp thông tin cho khách hàng hay các chủ thể có liên quan, và còn nhiều
điều luật chung chung khác.
Hai là, Luật NHNN Việt Nam năm 2010 và Luật Các TCTD năm 2010 và các
văn bản hướng dẫn hiện hành chỉ mới dừng lại ở việc quy định về đảm bảo bí
mật thông tin và cung cấp thông tin có liên quan đến tiền gửi và tài sản gửi của
khách hàng, các thông tin khác của khách hàng như thông tin trong hoạt động
cung cấp dịch vụ ủy thác, tư vấn tài chính… hiện chưa được đề cập và điều
chỉnh.
Ba là, khi sử dụng các giao dịch trực tuyến, ngân hàng điện tử,… sử dụng các
dịch vụ trên môi trường mạng internet, người sử dụng sẽ phải kê khai các thông
tin cá nhân - những thông tin này gắn với việc xác định rõ ràng danh tính. Dù
rằng pháp luật đã có những quy định về nghĩa vụ đảm bảo bí mật thông tin của
tổ chức cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động kinh doanh của TCTD
là theo hợp đồng đã ký kết với các TCTD, nhưng nếu bí mật thông tin khách
hàng bị chủ thể thứ ba tiết lộ trong quá trình này thì trách nhiệm của các TCTD
- với tư cách là một chủ thể trực tiếp trong hợp đồng cung cấp dịch vụ cho
khách hàng sẽ phải chịu trách nhiệm đến đâu, như thế nào lại chưa thấy pháp
luật đề cập; trách nhiệm của các bên liên quan khi cung cấp các dịch vụ trên
môi trường mạng khi thiệt hại do rò rỉ thông tin khách hàng cũng không được
quy định chi tiết. Trong một số vụ rò rỉ thông tin của khách hàng, phía ngân
hàng cho rằng hệ thống mã PIN được xây dựng và hoạt động dựa trên các thiết
bị đảm bảo bí mật bằng phần cứng, không có sự can thiệp của nhân viên ngân
hàng. Khi đó, bất kỳ giao dịch nghi ngờ nào đều do lỗi từ phía khách hàng. Khi
có tranh chấp pháp lý xảy ra, ngân hàng thường khẳng định chắc chắn vào tính
tin cậy hệ thống đảm bảo bí mật của họ, nên không phát hiện được những lỗ
hổng và lấy lý do an ninh để trốn tránh việc phải cung cấp thông tin về hệ thống
này.
Bốn là, Luật NHNN Việt Nam năm 2010 và Luật Các TCTD năm 2010 đều ghi
nhận nghĩa vụ giữ bí mật thông tin về khách hàng và các chế tài mà các TCTD
sẽ gánh chịu tùy theo tính chất, mức độ của hành vi vi phạm: bị xử lý kỷ luật,
phạt vi phạm hành chính, truy cứu trách nhiệm hình sự, phải bồi thường thiệt
hại nhưng lại chưa có quy định để khách hàng có thể bảo vệ mình trong trường
hợp có vi phạm xảy ra.
Năm là,các quy định về xử lý vi phạm đối với vấn đề đảm bảo bí mật thông tin
khách hàng còn chung chung, hầu như chỉ dẫn chiếu “theo quy định của pháp
luật”; đồng thời các văn bản quy phạm pháp luật hiện hành chưa dự liệu được
các hành vi vi phạm thông tin bí mật của khách hàng, chế tài tương xứng với
các hành vi vi phạm ấy.
V. Giải pháp nâng cao tính cẩn trọng và ý thức bảo mật thông tin
Về phía NHNN:
- NHNN cần tiếp tục hoàn thiện khung khổ pháp lý đối với dịch vụ mới; tạo
dựng môi trường pháp lý thúc đẩy đổi mới sáng tạo, khuyến khích các giải
pháp Fintech an toàn hiệu quả.
- Áp dụng các tiêu chuẩn về an ninh, an toàn hệ thống thông tin vào các văn bản
quy phạm pháp luật điều chỉnh hoạt động ứng dụng CNTT của các TCTD, tổ
chức trung gian thanh toán.
- Nâng cao chất lượng công tác thanh tra, kiểm tra tuân thủ các quy định về an
toàn bảo mật tại các TCTD, tổ chức trung gian thanh toán.
- Đẩy mạnh triển khai kế hoạch chuyển đổi thẻ từ sang thẻ chip.
- Phối hợp với các cơ quan chức năng Bộ Thông tin và Truyền thông, Bộ Công
an, Bộ Quốc phòng và các tổ chức cung cấp dịch vụ hạ tầng CNTT... để chia sẻ
thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng của ngành Ngân
hàng.
- Tiếp tục đẩy mạnh công tác truyền thông, nâng cao nhận thức cho cán bộ, nhân
viên trong ngành Ngân hàng và người dân trong việc nhận diện và giảm thiểu
các rủi ro của hoạt động ngân hàng trên không gian mạng.
Về phía các ngân hàng thương mại, các tổ chức cung ứng dịch vụ thanh
toán:
- Rà soát chặt chẽ các quy trình đăng ký, kích hoạt sử dụng dịch vụ ngân hàng
điện tử đảm bảo cung cấp dịch vụ cho đúng khách hàng.
- Triển khai rà soát, đánh giá rủi ro và các giải pháp an ninh bảo mật cho toàn bộ
vòng đời của một hệ thống thông tin.
- Trang bị các hệ thống hỗ trợ giám sát giao dịch điện tử, điều tra gian lận, từng
bước tổng hợp, phân tích dữ liệu của khách hàng và xây dựng bộ quy tắc để
phát hiện và ngăn chặn sớm các gian lận; xây dựng các tiêu chí và phần mềm
để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất
giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định hoặc các dấu
hiệu bất thường khác.
- Thường xuyên đánh giá các điểm yếu, lỗ hổng của hệ thống CNTT. Xây dựng
và triển khai diễn tập các quy trình, kịch bản ứng phó với các sự cố an toàn
thông tin mạng.
- Xây dựng đội ngũ cán bộ chuyên trách về an toàn thông tin, có đạo đức, kỷ
luật, nhằm ngăn ngừa sự câu kết với tội phạm mạng. Tăng cường công tác kiểm
toán nội bộ đảm bảo an toàn các hoạt động nghiệp vụ và hạ tầng CNTT. Dành
một nguồn tài chính nhất định cho việc đầu tư cơ sở hạ tầng-kỹ thuật, ứng dụng
khoa học công nghệ hiện đại, trong đó có công nghệ bảo mật.
- Tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội
phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các
dịch vụ ngân hàng điện tử và thanh toán thẻ.
- Tuyệt đối không cung cấp thông tin bảo mật các dịch vụ ngân hàng điện tử
(mật khẩu truy cập, OTP, mật khẩu truy cập địa chỉ email cá nhân) cho bất cứ ai
và bằng bất cứ hình thức nào (nhắn tin, trả lời điện thoại, tiết lộ trực tiếp...).
- Không truy cập các website không đáng tin cậy, hoặc nhấp vào bất kỳ đường
dẫn nào yêu cầu cung cấp, cập nhật thông tin cá nhân và thông tin dịch vụ ngân
hàng điện tử. Sau khi kết thúc sử dụng dịch vụ hoặc hoàn thành các giao dịch
thanh toán trực tuyến, phải tiến hành đăng xuất tài khoản. Tuyệt đối không
chọn chế độ lưu mật khẩu đăng nhập Internet Banking trên thiết bị sử dụng
chung, máy tính công cộng…
- Người dùng cần bảo vệ và thay đổi thường xuyên mật khẩu truy cập các dịch
vụ ngân hàng điện tử, thẻ, e-mail và cài đặt mật khẩu đảm bảo nguyên tắc an
toàn. Ưu tiên sử dụng máy tính cá nhân có cài đặt cập nhật các phần mềm diệt
virus để truy cập các dịch vụ ngân hàng điện tử của ngân hàng.
- Thường xuyên cập nhật hệ điều hành, phần mềm mới từ nhà cung cấp, tránh
cập nhật từ các nguồn giả mạo.
- Với thẻ tín dụng: Ngoài việc không cho người khác mượn thẻ, cất giữ thẻ cẩn
thận, khách hàng không nên để số tiền quá lớn trong thẻ ATM hoặc đặt hạn
mức thấp nhất có thể cho thẻ tín dụng. Bên cạnh đó, chủ thẻ nên chủ động
ngừng kích hoạt dịch vụ Internet Banking khi không có nhu cầu sử dụng và
kích hoạt trở lại khi cần dùng; đăng ký dịch vụ SMS Banking để nắm bắt kịp
thời giao dịch phát sinh. Đây cũng là một biện pháp hiệu quả để bảo vệ tài
khoản.
Ví dụ: một cô gái 25 tuổi tại Malaysia đã nhận được 7 báo cáo vi phạm pháp
luật của cảnh sát về tội gian lận và bị bắt giam nhiều ngày liền. Vì tin rằng
người bạn tốt của mình chỉ muốn làm công việc kinh doanh trực tuyến, cô ấy
đã đồng ý cho mượn thẻ ATM. Chủ nhân của tài khoản bị cảnh sát bắt giữ, chỉ
tiết lộ với cái tên là Lee, khẳng định một băng nhóm tội phạm đã sử dụng tài
khoản ngân hàng của cô để lừa đảo 7 người với tổng số tiền lên tới 33.000
USD, khoảng 770 triệu đồng.
Tình huống: bạn A là nhân viên sales của 1 công ty, vì muốn giữ lại thông tin bạn đã
trao đổi với khách hàng mà bạn có mối quan hệ thân thiết nên bạn đã chuyển sang
dùng email cá nhân để liên lạc với khách hàng, phòng trường hợp sau khi nghỉ việc và
không còn truy cập được vào mail công ty nữa. Theo các bạn hành động của bạn A có
sai hay không ? Vì sao ?
->sai, vì những thông tin thu được từ hoạt động kinh doanh, tình hình tài chính, danh
sách khách hàng, mối quan hệ của khách hàng, nội dung thư điện tử công ty cấp đều là
tài sản của công ty. Vì thế đưa thông tin ra ngoài là hành động không được phép đối
với bất cứ nhân viên nào.