Ngân hàng xem nhẹ việc bảo mật thông tin

Bảo mật thông tin ngân hàng

Năm 1997 đã từng có Thông tư liên bộ 15/1997/TTLB-BVHTT-NHNN, hướng dẫn thông tin báo chí về ngành NH, trong đó có quy định: Để bảo đảm tính chính xác, khách quan về thông tin của báo chí, các cơ quan báo chí khi đăng, phát tin, bài về hoạt động NH mang tính chất nghiệp vụ chuyên môn sâu (hoặc cao) nên trao đổi với NH đó hoặc NHNN. 

Luật An ninh mạng năm 2018 đã quy định: Hệ thống thông tin quốc gia thuộc lĩnh vực NH được xác định là một trong những hệ thống thông tin quan trọng về an ninh quốc gia.

Việc “làm giả, lưu hành, trộm cắp, mua bán, thu thập, trao đổi trái phép thông tin thẻ tín dụng, tài khoản NH của người khác; phát hành, cung cấp, sử dụng trái phép các phương tiện thanh toán”, là những hành vi vi phạm pháp luật về an ninh quốc gia. 
Luật NH Nhà nước và Luật Các tổ chức tín dụng đều đã quy định rõ cả nghĩa vụ bảo mật thông tin và quyền từ chối cung cấp thông tin mật của ngành NH, mà chủ yếu là thông tin liên quan đến khách hàng.

Như vậy cho thấy việc bảo mật thông tin là một trong những yêu cầu đặc biệt quan trọng của ngành NH, gồm cả NHNN, NHTM và các tổ chức tín dụng khác. 

Bảo mật thông tin khách hàng

Trước năm 2011, luật chỉ yêu cầu bảo mật thông tin với tiền gửi và tài sản gửi của khách hàng. Từ năm 2011, Khoản 2 Điều 14 về “Bảo mật thông tin”, Luật Các tổ chức tín dụng năm 2010 quy định, tổ chức tín dụng mở rộng phạm vi bảo đảm bí mật đối với thông tin liên quan đến tài khoản và các giao dịch của khách hàng. 

Tại Điều 3 Nghị định 117/2018/NĐ-CP ngày 11-9-2018 của Chính phủ về việc “Giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng”, quy định các thông tin về tiền gửi, tài sản gửi, tài khoản và giao dịch của khách hàng sau đây được bảo mật: 
Thứ nhất, thông tin về tiền gửi, như thông tin liên quan đến giao dịch gửi tiền, số dư các loại tiền gửi.

Thứ hai, thông tin về tài sản gửi, như thông tin về tài sản của khách hàng, tiền, giấy tờ có giá, các quyền tài sản, giấy tờ sở hữu, sử dụng.

Thứ ba, thông tin về tài khoản như tên, số hiệu, số dư tài khoản; giao dịch nộp, rút, chuyển, nhận tiền. Chẳng hạn như vụ việc thông tin giao dịch tài khoản của nghệ sĩ Hoài Linh vừa bị tiết lộ.

Thứ tư, thông tin về giao dịch, như chứng từ, thời điểm, số lượng, giá trị, số dư giao dịch.

Thứ năm, cả 4 trường hợp trên, còn đồng thời bao gồm cả 2 loại thông tin chung nữa là thông tin định danh khách hàng (như họ tên; mẫu chữ ký, chữ ký điện tử; ngày, tháng, năm sinh, quốc tịch, nghề nghiệp; địa chỉ nơi đăng ký thường trú, nơi ở hiện tại; số điện thoại, địa chỉ thư điện tử; số, ngày cấp, nơi cấp căn cước công dân đối với cá nhân) và các thông tin có liên quan khác.

Như vậy, gần như mọi thông tin liên quan đến tiền gửi, tài sản, giao dịch (kể cả giao dịch bảo đảm) và nhân thân khách hàng đều là thông tin phải được bảo mật. Pháp luật cũng quy định rất cụ thể, chặt chẽ về quy trình, thủ tục, hình thức; về việc phân quyền, giám sát, kiểm tra và việc xử lý vi phạm trong việc giữ bí mật, lưu trữ và cung cấp thông tin khách hàng. 

Xử lý vi phạm bảo mật thông tin

Trên thực tế, vi phạm bảo mật thông tin khách hàng là rất phổ biến và ở mức độ khá nghiêm trọng. Thậm chí nhiều thông tin mật của khách hàng đang bị mua bán, chia sẻ trôi nổi trên mạng internet. Tuy nhiên, số vụ việc bị phát hiện còn quá ít và chế tài xử lý vẫn còn quá nhẹ, nên không đủ sức răn đe.

Do tính chất, mức độ, quy mô hoạt động rộng lớn và phức tạp của các giao dịch NH, nên việc quản lý và xử lý vi phạm gặp nhiều khó khăn. Số lượng thông tin mật quá lớn, lại được trao đổi tương đối rộng rãi trong nội bộ các NH và giữa các NH với nhau để đáp ứng rất nhiều yêu cầu của khách hàng như vay tiền, gửi tiền, thanh toán, xem số dư tài khoản, tra cứu lịch sử giao dịch, xin cấp lại mật khẩu...

Ngoài ra, thông tin mật của khách hàng cũng được cung cấp thường xuyên cho hơn chục cơ quan chức năng khác nhau, với hàng chục chức danh như thanh tra viên, kiểm sát viên, điều tra viên, chấp hành viên, thẩm phán.

Khi cán bộ, nhân viên NH làm lộ thông tin khách hàng có thể phải chịu các chế tài kỷ luật lao động, trách nhiệm dân sự và xử phạt hành chính. Tuy nhiên, vi phạm về tiết lộ thông tin khách hàng gần như không thể bị sa thải theo quy định của Bộ luật Lao động. 

Pháp luật quy định rõ, khách hàng có quyền “khiếu nại, khởi kiện, yêu cầu bồi thường thiệt hại” đối với việc cung cấp, sử dụng thông tin khách hàng không đúng quy định của pháp luật. Tuy nhiên, yêu cầu bồi thường lại quá khó trước đòi hỏi phải chứng minh được thiệt hại thực tế. 

Đối với xử lý hành chính, hành vi của cá nhân làm lộ hoặc cung cấp thông tin khách hàng không đúng quy định thì có thể bị phạt tiền từ 30 – 40 triệu đồng theo quy định tại Điều 47 về “Vi phạm quy định về chế độ báo cáo, quản lý và cung cấp thông tin” theo Nghị định 88/2019/NĐ-CP ngày 14-11-2019 của Chính phủ, “Quy định xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và NH”.

Nếu tổ chức vi phạm thì bị phạt gấp 2 lần mức này. Tuy nhiên, mức phạt này còn quá nhẹ đối với hành vi tiết lộ thông tin của hàng trăm, hàng ngàn, thậm chí hàng triệu khách hàng.

Quy định pháp luật cũng như nội bộ đã có và khá chặt chẽ, nhưng yếu tố quyết định trong việc giữ gìn, bảo mật thông tin lại là tư cách đạo đức, ý thức trách nhiệm và giải pháp công nghệ để bịt kẽ hở. Nếu nhân sự NH thiếu đạo đức, không coi trọng yêu cầu bảo mật, thậm chí cố tình vi phạm thì không khác nào “giặc” ở trong nhà. Vì vậy, rất ít hy vọng dựa vào hô hào, giáo dục, mà phải được định hình bằng chế tài xử phạt nghiêm khắc và công cụ ngăn chặn.

Nếu NH thật sự quan tâm đến việc bảo mật, thì không thể thiếu quy trình kiểm soát chặt chẽ và đặc biệt là ứng dụng công nghệ vào việc bảo mật thông tin. Hoàn toàn có thể ngăn chặn và giám sát được từng trường hợp cụ thể sao chép, xem, in ấn, truyền gửi thông tin, tài liệu.