Nghĩa vụ bảo mật thông tin người sử dụng Internet Banking của nhà cung cấp dịch vụ trung gian thanh toán
Trong bối cảnh chuyển đổi số, Việt Nam luôn nỗ lực thay đổi, cải tiến và cập nhật những công nghệ hiện đại để áp dụng phát triển trong hầu hết các lĩnh vực, đặc biệt là kinh tế. Internet Banking hay dịch vụ thanh toán trên các thiết bị điện tử trở thành một bước tiến trong giao dịch thương mại.
Tóm tắt: Trong bối cảnh chuyển đổi số, Việt Nam luôn nỗ lực thay đổi, cải tiến và cập nhật những công nghệ hiện đại để áp dụng phát triển trong hầu hết các lĩnh vực, đặc biệt là kinh tế. Internet Banking hay dịch vụ thanh toán trên các thiết bị điện tử trở thành một bước tiến trong giao dịch thương mại. Kể từ thời điểm triển khai việc thanh toán các giao dịch bằng phương thức điện tử, phần lớn nhà cung cấp dịch vụ và người tiêu dùng đã áp dụng phương thức thanh toán này một cách phổ biến và rộng rãi. Thế nhưng, đi kèm với thành công đó là một thách thức vô cùng lớn đối với nhà cung cấp dịch vụ trung gian thanh toán với ngân hàng trong việc bảo mật thông tin của người sử dụng dịch vụ Internet Banking. Tình trạng thông tin khách hàng bị lộ và rao bán diễn ra phổ biến nhưng chưa được giải quyết thỏa đáng đã xâm phạm trực tiếp đến quyền riêng tư về dữ liệu cá nhân của người sử dụng loại dịch vụ này. Xuất phát từ thực tế đó, bài viết tập trung nghiên cứu, phân tích, làm rõ thực trạng pháp luật về nghĩa vụ bảo mật thông tin người sử dụng dịch vụ thanh toán Internet Banking của nhà cung cấp dịch vụ trung gian thanh toán và từ đó đưa ra một số kiến nghị góp ý hoàn thiện.
Từ khóa: Bảo mật thông tin, Internet Banking, dịch vụ thanh toán, thực trạng, kiến nghị.
THE OBLIGATION OF INTERMEDIARY PAYMENT SERVICE PROVIDERS
IN PROTECTING THE INFORMATION OF INTERNET BANKING'S USERS
IN PROTECTING THE INFORMATION OF INTERNET BANKING'S USERS
Abstract: In the context of digital transformation, Vietnam is constantly striving to change, improve, and update modern technologies to apply in developing across various sectors, especially the economy. Internet banking and payment services on electronic devices have become significant steps in commercial transactions. Since the implementation of electronic payment transactions, the majority of service providers and consumers have widely adopted this payment method throughout the country. However, accompanying this success is an enormous challenge for intermediaries and banks in securing the users' information for Internet banking services. The situation of customer information being disclosed and sold is common. However, it has not been satisfactorily resolved, which directly infringes on the privacy of personal data of users of this type of service. On that basic, the article focuses on researching and analyzing to clarify the legal situation on the obligation to protect information of users of Internet Banking payment services of intermediary payment service providers and thereby proposing some recommendations for completion.
Keywords: Information security, Internet Banking, payment services, current status, recommendations.
1. Đặt vấn đề
Thanh toán không dùng tiền mặt đang là xu thế thanh toán ở hiện tại và trong tương lai. Với việc điện thoại thông minh ngày càng được phổ biến đến nhiều tầng lớp người dân Việt Nam cùng sự xuất hiện của mạng 3G, 4G, 5G thì đây là một lợi thế giúp công cuộc chuyển đổi phương thức thanh toán càng nhanh hơn. Đặc biệt, ở thời điểm bùng phát dịch Covid-19, thanh toán không dùng tiền mặt càng được phát triển mạnh mẽ hơn bởi sự tiện lợi của nó. Với rất nhiều tiện ích, không khó để hiểu vì sao thanh toán không dùng tiền mặt ngày càng trở nên đa dạng và phổ biến. Bắt kịp xu thế chung, các nhà cung cấp dịch vụ thanh toán trung gian và các ngân hàng thương mại (NHTM) đã tập trung phát triển dịch vụ này. Tuy nhiên, đi kèm với sự phát triển là nhiều vấn đề pháp lý phát sinh, điển hình là vấn đề bảo mật thông tin của người sử dụng dịch vụ.
Nhận thức được điều đó, các nhà lập pháp Việt Nam đã xây dựng những quy định liên quan trong Bộ luật Dân sự năm 2015, Luật Ngân hàng Nhà nước Việt Nam (NHNN) năm 2010, Luật Các tổ chức tín dụng (TCTD) năm 2024, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, Thông tư số 39/2014/TT-NHNN ngày 11/12/2014 của Thống đốc NHNN hướng dẫn về dịch vụ trung gian thanh toán (sửa đổi, bổ sung tại Thông tư số 23/2019/TT-NHNN), Nghị định số 101/2012/NĐ-CP ngày 22/11/2012 của Chính phủ về thanh toán không dùng tiền mặt (sửa đổi, bổ sung tại Nghị định số 80/2016/NĐ-CP ngày 01/7/2016 của Chính phủ). Luật Các TCTD hiện hành quy định về trách nhiệm pháp lý của các TCTD đối với nghĩa vụ bảo mật thông tin của khách hàng được quy định tại Điều 13, 14. Tuy nhiên, trong quá trình thực thi đã cho thấy còn nhiều vấn đề bất cập cần sửa đổi, bổ sung, đặc biệt khi luật chưa ghi nhận một cách đầy đủ, toàn diện về trách nhiệm pháp lý của nhà cung cấp dịch vụ trung gian thanh toán đối với nghĩa vụ bảo mật thông tin của người sử dụng dịch vụ thanh toán trên các thiết bị di động, Internet Banking mà chỉ mới tập trung ghi nhận nhiệm vụ bảo mật thông tin khách hàng ở Thông tư số 39/2014/TT-NHNN, Nghị định số 101/2012/NĐ-CP và cũng chưa có chế tài ràng buộc hiệu quả các nhà cung cấp dịch vụ trung gian thanh toán và các NHTM trong việc thực hiện trách nhiệm. Điều này gây ảnh hưởng không nhỏ đến quyền lợi chính đáng của khách hàng. Chính vì vậy, vấn đề đặt ra là cần phải tiếp tục đưa ra các giải pháp góp ý hoàn thiện.
2. Quy định pháp luật về bảo mật thông tin người sử dụng dịch vụ thanh toán Internet Banking của nhà cung cấp dịch vụ trung gian thanh toán
Vấn đề bảo mật thông tin người sử dụng các dịch vụ thanh toán trực tuyến nói chung và Internet Banking nói riêng đã được thừa nhận trong pháp luật Việt Nam. Với tư cách là đạo luật có giá trị pháp lý cao nhất trong hệ thống pháp luật Việt Nam, Hiến pháp năm 2013 đã quy định ghi nhận quyền được bảo mật thông tin cá nhân như sau1:
“Điều 21.
1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình.
Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn.
2. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác.
Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”.
Theo đó, quyền bất khả xâm phạm đối với thông tin cá nhân là một trong những quyền cơ bản của con người, của công dân, được Hiến pháp ghi nhận và bảo đảm an toàn.
Bên cạnh đó, Luật NHNN năm 2010 cũng đã có những quy định khởi đầu cho trách nhiệm của nhà cung cấp dịch vụ trung gian trong vấn đề bảo mật thông tin người sử dụng dịch vụ Internet Banking. Tại khoản 10 Điều 6 Luật NHNN năm 2010 đã định nghĩa về loại hình giao dịch mang tên “dịch vụ trung gian thanh toán”. Theo đó, đây được xem là hoạt động kết nối trực tiếp giữa ngân hàng với khách hàng thông qua hình thức gián tiếp là truyền dẫn và xử lý dữ liệu cá nhân người dùng để giải quyết giao dịch thanh toán của họ trên nền tảng trực tuyến. Đồng thời, tại khoản 2 Điều 52 Luật NHNN năm 2010 cũng quy định về thẩm quyền công tác kiểm tra tổ chức hoạt động loại hình dịch vụ này. Theo đó, đối tượng thuộc diện chịu sự thanh tra ngân hàng gồm: “Tổ chức có hoạt động ngoại hối, hoạt động kinh doanh vàng; tổ chức hoạt động thông tin tín dụng; tổ chức cung ứng dịch vụ trung gian thanh toán không phải là ngân hàng”. Như vậy, tổ chức cung ứng dịch vụ trung gian thanh toán là đối tượng chịu sự thanh tra của NHNN về các hoạt động của mình.
Cùng với đó, Luật Giao dịch điện tử năm 2023 cũng có đề cập đến trách nhiệm của chủ quản nền tảng số trung gian quy mô lớn và rất lớn trong phục vụ giao dịch điện tử. Nội dung tại khoản 2 và khoản 3 Điều 47 quy định rõ những nghĩa vụ và các đầu mục tiêu chí công việc cụ thể mà chủ quản nền tảng số trung gian cần phải thực hiện khi phục vụ loại giao dịch này. Chính vì vậy, nhà cung cấp dịch vụ trung gian thanh toán cần chấp hành nghiêm chỉnh những tiêu chí về trách nhiệm của chủ quản hệ thống thông tin để phục vụ cho công tác đảm bảo an toàn thông tin người dùng.
Luật Các TCTD năm 2024 có đề cập đến “dịch vụ trung gian thanh toán” ở khoản 3 và điểm a khoản 4 Điều 111 về góp vốn, mua cổ phần của NHTM. Theo đó, NHTM được thành lập, mua lại công ty con, công ty liên kết hoạt động trong lĩnh vực quản lý nợ và khai thác tài sản, kiều hối, kinh doanh ngoại hối, vàng, bao thanh toán, phát hành thẻ tín dụng, tín dụng tiêu dùng, dịch vụ trung gian thanh toán, thông tin tín dụng theo quy định tại khoản 3 Điều 111 Luật Các TCTD hiện hành. Đồng thời, tại điểm a khoản 4 Điều 111 Luật Các TCTD hiện hành quy định hạng mục dịch vụ trung gian thanh toán được xem là một hạng mục đầu tư mà NHTM được góp vốn hoặc mua cổ phần của doanh nghiệp hoạt động lĩnh vực này. Qua đó cho thấy, “dịch vụ trung gian thanh toán” trở thành một lĩnh vực nhận được sự quan tâm rất lớn của phía NHTM. Chính vì vậy, các vấn đề liên quan đến bảo mật thông tin khách hàng trở thành một trong những yếu tố chủ chốt trong sự phát triển bền vững của NHTM thông qua sự hỗ trợ của các nhà cung cấp dịch vụ trung gian thanh toán.
Ngoài ra, bảo mật thông tin người sử dụng dịch vụ Internet Banking là một trong những nội dung thuộc phạm vi điều chỉnh của Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân. Theo quy định tại điểm h khoản 4 Điều 2 của Nghị định số 13/2023/NĐ-CP, thông tin khách hàng cung cấp cho tổ chức cung ứng dịch vụ trung gian thanh toán được xác định là loại dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư của người sử dụng loại dịch vụ này. Vì vậy, tại khoản 9 Điều 14 của Nghị định, nội dung về yêu cầu cung cấp dữ liệu cá nhân được quy định chung đối với Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân. Nội dung về cách thức xử lý dữ liệu cá nhân được quy định chung đối với các bên thu thập, kiểm soát và xử lý dữ liệu nên những nội dung này cũng được áp dụng đối với nhà cung cấp dịch vụ trung gian thanh toán. Điều này nhằm đảm bảo quyền và lợi ích hợp pháp của khách hàng trong vấn đề bảo mật thông tin cá nhân.
Kế thừa những quy định của bảo mật thông tin ở Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018, Văn bản hợp nhất số 47/VBHN-NHNN ngày 09/12/2019 của NHNN liên quan đến Thông tư hướng dẫn về dịch vụ trung gian thanh toán đã ghi nhận nội dung về đảm bảo an toàn, bảo mật dữ liệu cá nhân người dùng trong giao dịch điện tử2. Ngoài ra, quy định tại khoản 3 Điều 16 của Chương V về báo cáo, cung cấp thông tin và xử lý vi phạm đã ghi nhận “tổ chức cung ứng dịch vụ trung gian thanh toán có trách nhiệm cử cán bộ đầu mối chịu trách nhiệm báo cáo, cung cấp thông tin cho NHNN (Vụ Thanh toán) và xử lý các rủi ro, sự cố phát sinh”. Điều này giúp quản trị rủi ro cũng như đảm bảo quyền lợi hợp pháp trong giao dịch điện tử, đặc biệt là hình thức thanh toán Internet Banking mà khách hàng - người sử dụng phương thức dịch vụ thanh toán gặp phải trong quá trình thực hiện dịch vụ. Điều 17 Văn bản hợp nhất số 47/VBHN-NHNN cũng có những quy định về phương thức xử lý vi phạm tùy vào tính chất của vụ việc như sau: “Tổ chức, cá nhân vi phạm các quy định tại Thông tư này thì tùy theo tính chất và mức độ vi phạm sẽ bị xử lý vi phạm hành chính, trường hợp nghiêm trọng thì bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật”.
3. Thực trạng pháp luật về nghĩa vụ bảo mật thông tin người sử dụng dịch vụ thanh toán Internet Banking của nhà cung cấp dịch vụ trung gian thanh toán
Trong bối cảnh hội nhập của kỷ nguyên số, mọi người có xu hướng cập nhật và sử dụng các phương thức thanh toán trực tuyến trong cuộc sống ngày càng nhiều hơn. Giao dịch điện tử đã trở thành một trong những giao dịch quen thuộc được người dùng xác lập và diễn ra hằng ngày. Tuy nhiên, đi đôi với sự tiện lợi đó thì giao dịch điện tử, đặc biệt là dịch vụ thanh toán Internet Banking đã và đang gặp nhiều bất cập trong quá trình phục vụ thanh toán của khách hàng. Cụ thể:
Thứ nhất, có nhiều quy định về cơ chế bảo mật thông tin nhưng áp dụng vào thực tiễn lại chưa thực sự hiệu quả. Hệ thống bảo mật an ninh khách hàng của các bên cung cấp dịch vụ trung gian thanh toán vẫn còn tồn tại nhiều thiếu sót dù đã có nhiều văn bản pháp lý bảo vệ dữ liệu cá nhân của người dùng. Ngân hàng và khách hàng luôn phải đối mặt với những rủi ro về bảo mật thông tin từ hacker, virus máy tính... từ việc thiết bị điện tử truy cập Internet của người dùng có nguy cơ nhiễm mã độc hoặc mã nhận dạng cá nhân (yếu tố sinh trắc học như vân tay, nhận diện khuôn mặt) của khách hàng bị lộ, đánh cắp. Thủ phạm đã lợi dụng những lỗ hổng công nghệ thông tin ấy để trục lợi từ dữ liệu cá nhân của khách hàng. Điều này đã xâm phạm nghiêm trọng đến quyền bất khả xâm phạm thông tin cá nhân của người dùng được quy định tại Điều 21 Hiến pháp năm 2013 và gây ra nhiều hậu quả đáng tiếc. Sự phụ thuộc vào mã OTP và công nghệ nhận dạng sinh trắc học có nguy cơ trở thành điểm yếu trong giao dịch điện tử. Thiết bị của người dùng sẽ bị nhiễm virus hoặc hacker tấn công để thu thập mọi thông tin, bao gồm cả mã OTP, thông tin tài khoản ngân hàng cá nhân mà không cần sử dụng các phương thức khác như trước đây. Khi tin nhắn SMS chứa mã OTP bị đánh cắp, người dùng sẽ rơi vào chiêu trò lừa đảo và mất tiền một cách dễ dàng. Điển hình là vụ việc bà T.T.K.Đ là một trong những nạn nhân của chiêu trò lừa đảo đánh cắp thông tin qua giao dịch trên Internet Banking. Cụ thể, bà Đ cho thuê nhà tại Thành phố Hồ Chí Minh, ngày 02/10/2020, một người xưng là Nguyễn Việt Thắng nhắn tin qua zalo nói muốn thuê nhà; bà Đ yêu cầu đặt cọc thì đối tượng đồng ý đặt cọc 100 USD và gửi một đường link Westernunion.banking247 đề nghị bà Đ nhấn vào đường link này để nhận tiền. Bà Đ truy cập vào đường link và thao tác nhiều lần nhưng hệ thống báo lỗi, không nhận được tiền, bà Đ lên mạng nhắn lại thì tài khoản zalo của khách hàng»cũng không tồn tại. Đến ngày 05/10/2020, bà Đ kiểm tra tài khoản tiết kiệm online đã phát hiện bị rút hơn 1,2 tỉ đồng. Bà Đ ra ngân hàng sao kê tài khoản thì được biết tiền trong tài khoản của bà đã chuyển đến nhiều tài khoản khác nhau và các đối tượng rút sạch sau khi chuyển khoản. Bà Đ ra cơ quan công an tố giác nhưng do không xác minh được danh tính của kẻ lừa đảo nên cơ quan công an mất một thời gian dài để giải quyết vụ việc3. Sự việc này không chỉ gây tổn thất tài sản mà còn ảnh hưởng đến công việc, gia đình và sức khỏe tinh thần, thể chất của bà Đ. Sự việc nêu trên là hồi chuông cảnh báo cho vấn đề bảo mật thông tin người sử dụng dịch vụ thanh toán Internet Banking, đặc biệt là trách nhiệm của nhà cung cấp dịch vụ trung gian thanh toán trong việc truyền thông khách hàng nâng cao ý thức chủ động bảo mật thông tin cá nhân.
Thứ hai, cơ chế xử lý vi phạm còn nhiều bất cập trong thực tiễn quản lý. Hành lang pháp lý về bảo mật an toàn thông tin của người sử dụng loại hình dịch vụ thanh toán Internet Banking đang dần được hoàn thiện, tuy nhiên yếu tố về cơ chế xử phạt vi phạm còn nhiều bất cập cần được khắc phục để hoàn thiện hơn. Tại Điều 7 Văn bản hợp nhất số 47/VBHN-NHNN đã quy định: “Tổ chức cung ứng dịch vụ trung gian thanh toán phải xây dựng và thực hiện quy định nội bộ và tuân thủ theo quy định của NHNN về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử”. Tuy nhiên, các tiêu chí ràng buộc phải có trong quy định nội bộ của các tổ chức cung cấp loại hình dịch vụ này không được nhắc rõ trong phạm vi quy định nên đã dẫn đến điều lệ nội bộ của các tổ chức này có những bất cập trong quy tắc xử phạt vi phạm của nhân viên. Từ đó, dẫn đến một số thành phần đã lợi dụng lỗ hổng này để trục lợi cá nhân. Ngoài ra, tại khoản 3 Điều 16 Văn bản hợp nhất số 47/VBHN-NHNN đã ghi nhận: “Tổ chức cung ứng dịch vụ trung gian thanh toán có trách nhiệm cử cán bộ đầu mối chịu trách nhiệm báo cáo, cung cấp thông tin cho NHNN (Vụ Thanh toán) và xử lý các rủi ro, sự cố phát sinh”. Theo quy định này, trách nhiệm cuối cùng thuộc về cán bộ đầu mối để giải quyết rủi ro, sự cố xảy ra, vì vậy gánh nặng trách nhiệm khi đè nặng lên vai một hoặc một vài cá nhân đã làm xuất hiện tình trạng những nhân viên khác không phải chịu hoàn toàn trách nhiệm, từ đó có thể cố tình gian lận trong các giao dịch điện tử trung gian thanh toán. Bên cạnh đó, tại Điều 17 Văn bản hợp nhất số 47/VBHN-NHNN cũng quy định: “Tổ chức, cá nhân vi phạm các quy định tại Thông tư này thì tùy theo tính chất và mức độ vi phạm sẽ bị xử lý vi phạm hành chính, trường hợp nghiêm trọng thì bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật”. Tuy nhiên, nội dung quy định này mới chỉ rõ chủ thể chịu xử phạt là cá nhân nhưng chưa rõ ràng trong tiêu chí xác định khung hình phạt tương ứng với từng hành vi vi phạm mà chỉ quy định xét “tùy theo tính chất và mức độ vi phạm”. Điều này dẫn đến các đối tượng chưa có ý thức chủ động chấp hành, tuân thủ quy định được đề ra. Điển hình là vụ án “siêu lừa” chiếm đoạt 430 tỉ đồng của 03 ngân hàng diễn ra vào thời điểm tháng 5/2022. Nội dung vụ án là “siêu lừa” Nguyễn Thị Hà Thành và đồng phạm đã cấu kết với nhiều cán bộ ngân hàng giả mạo chữ ký hồ sơ của người gửi tiền để thực hiện 26 vụ lừa đảo, chiếm đoạt hơn 430 tỉ đồng của 03 ngân hàng gồm: NHTM cổ phần Quốc Dân (NCB), NHTM cổ phần Việt Á (VAB) và NHTM cổ phần Đại Chúng Việt Nam (PVcomBank). Từ sự thiếu trách nhiệm của nhân viên ngân hàng, “siêu lừa” đã thành công giả chữ ký và điểm chỉ vân tay của mình giả làm vân tay của một số người rồi dùng hồ sơ giả này để vay tiền các ngân hàng trên4. Qua vụ án này đã cho thấy cơ chế xử phạt vi phạm cũng như trách nhiệm quản lý nội bộ của các tổ chức còn tồn tại nhiều bất cập cần phải khắc phục. Quy định nội bộ của ngân hàng cũng như sự răn đe vi phạm, quán triệt quản lý đối với cấp dưới và các cơ quan liên quan trở thành vấn đề đáng quan tâm hiện nay ở các tổ chức cung cấp dịch vụ thanh toán cho khách hàng. Tại Hội thảo Smart Banking năm 2023 về chuyển đổi số ngành Ngân hàng, đại diện A05 - Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trực thuộc Bộ Công an cũng đã chia sẻ: “Có những thông tin bị chia sẻ bởi chính nhân viên. Chúng tôi đã xử lý hành chính vài trường hợp nhân viên ngân hàng sử dụng tài khoản vào việc vi phạm pháp luật, mua bán, cho, tặng, trao đổi. Đây là hệ quả tất yếu khi các cơ quan, tổ chức, doanh nghiệp tiến hành chuyển đổi số nhưng chưa có biện pháp bảo vệ chặt chẽ, tương xứng trong quá trình thu thập, khai thác, chuyển giao dữ liệu khách hàng”5. Niềm tin, sự uy tín đối với các NHTM trong vụ việc như trên đã phần nào bị ảnh hưởng nghiêm trọng khi những hồ sơ quan trọng và những dữ liệu cá nhân cũng dễ dàng bị làm giả, đánh cắp, điều này khiến người sử dụng dịch vụ càng thêm phần bất an, nhất là trong bối cảnh các đối tượng lừa đảo đang ngày càng tinh vi hơn.
Thứ ba, cơ chế phối hợp hệ thống dữ liệu điện tử giữa các cơ quan quản lý còn hạn chế trong kết nối và kiểm soát. Các quy định pháp lý và các tiêu chuẩn bảo mật thiếu sự kết nối giữa các tổ chức cung cấp dịch vụ trung gian thanh toán với nhau, giữa bên cung cấp dịch vụ thanh toán với khách hàng và các bên liên quan. Điều này tạo ra môi trường thiếu sự đồng nhất và kết nối trong việc bảo vệ thông tin người dùng dịch vụ thanh toán Internet Banking. Sự thiếu kết nối này đã dẫn đến những khó khăn trong phối hợp giữa các tổ chức, cơ quan, ban, ngành và các cấp về giải quyết các rủi ro của người dùng khi có vấn đề xảy ra. Điển hình là sự việc “Tự ý lấy thông tin người dân mở tài khoản ngân hàng”. Vụ việc xảy ra ở thị trấn Lao Bảo, huyện Hướng Hóa, tỉnh Quảng Trị. Nguyên nhân đến từ việc nhân viên bưu điện huyện Hướng Hóa không tuân thủ quy trình khi mở tài khoản ngân hàng mà tự ý lấy thông tin cá nhân của người dân để mở tài khoản. Cụ thể, trong 02 ngày 08/8/2023 và 09/8/2023, người dân ở thị trấn Lao Bảo đến trụ sở điện lực để đăng ký hợp đồng mua bán điện điện tử theo giấy mời của điện lực. Khi nhân viên điện lực lấy giấy tờ của người dân làm thủ tục ký hợp đồng mua bán điện điện tử, nhân viên bưu điện chụp ảnh giấy tờ, chụp ảnh chân dung, rồi lấy điện thoại của người dân để mở tài khoản ngân hàng số mà không hỏi ý kiến, gây ra nhiều bức xúc cho người dân6. Sự việc này đã thể hiện rõ sự thiếu kết nối trong quy trình quản lý hệ thống xử lý thông tin cá nhân giữa các bên liên quan. Tình trạng bất cập như trên sẽ không xảy ra nếu hệ thống xử lý thông tin cá nhân giữa các bên cung cấp dịch vụ thanh toán, bên cung cấp dịch vụ trung gian thanh toán và các bộ, ban, ngành có liên quan cùng có sự kết nối.
4. Một số đề xuất, kiến nghị hoàn thiện
Để bảo mật thông tin người sử dụng dịch vụ thanh toán Internet Banking trước tình trạng tội phạm mạng có những hành vi lừa đảo tinh vi đáng báo động cùng sự thiếu sót trong nội bộ của các tổ chức cung cấp dịch vụ trung gian thanh toán, đòi hỏi cần phải thực hiện một số các giải pháp sau:
Thứ nhất, quán triệt cơ chế, nâng cao hiệu quả xử lý vi phạm trong nội bộ của các tổ chức cung cấp dịch vụ trung gian thanh toán. Để khắc phục vấn đề còn bất cập trong quy định tại Điều 7 Văn bản hợp nhất số 47/VBHN-NHNN như đã đề cập, cần tiếp tục cụ thể hóa các nội dung phải có trong điều lệ của các tổ chức cung cấp các dịch vụ trung gian thanh toán để hạn chế tối đa tình trạng rủi ro trong hoạt động cung ứng thanh toán trung gian trên nền tảng số. Đối với phạm vi đối tượng bị xử phạt được quy định tại khoản 3 Điều 16 Văn bản hợp nhất số 47/VBHN-NHNN cần tiếp tục mở rộng thêm phạm vi đối tượng bị xử phạt. Điều này sẽ góp phần đảm bảo cho toàn thể nhân viên đều ý thức được trách nhiệm của mình trong vấn đề bảo mật thông tin cá nhân của khách hàng thay vì quy trách nhiệm về một chủ thể là “cán bộ đầu mối” chịu trách nhiệm giải quyết các rủi ro, sự cố phát sinh như hiện tại. Đồng thời, nội dung quy định tại các điều khoản xử lý vi phạm nên được rõ ràng trong tiêu chí xác định khung hình phạt tương ứng với từng hành vi vi phạm, không nên chỉ quy định xét “tùy theo tính chất và mức độ vi phạm” như nội dung quy định ở Điều 17 Văn bản hợp nhất số 47/VBHN-NHNN.
Thứ hai, bổ sung điều khoản có tính kết nối trách nhiệm liên tiếp giữa các nhà cung cấp nền tảng trung gian thanh toán trong quy trình xử lý thông tin cá nhân người dùng một cách rõ ràng hơn ở từng khu vực cụ thể. Theo đó, cần hạn chế những vụ việc sai phạm xảy ra do tình trạng thiếu kết nối trách nhiệm giữa các nhà cung cấp nền tảng trung gian trong việc kiểm soát và loại bỏ các nội dung vi phạm pháp luật trên nền tảng số. Các nhà lập pháp cần có một điều khoản quy định rõ về trách nhiệm liên tiếp giữa những tổ chức cung cấp loại hình dịch vụ này trên cơ sở đáp ứng đủ ba yếu tố gồm: (i) Lĩnh vực cần quán triệt; (ii) Quy trình chuyển tiếp trong phương thức xử lý dữ liệu cá nhân của người dùng minh bạch, rõ ràng; (iii) Trách nhiệm cụ thể và đối tượng chịu trách nhiệm ở mỗi giai đoạn của quy trình chuyển giao và quản lý những dữ liệu nhạy cảm. Việc thực hiện này sẽ giúp khắc phục tình trạng nhân viên ngân hàng tự ý mở tài khoản không đúng quy trình.
Thứ ba, tiếp tục hoàn thiện khung pháp lý về quy trình bảo mật những thông tin người sử dụng dịch vụ thanh toán Internet Banking của nhà cung cấp dịch vụ trung gian thanh toán dựa theo nội dung quy định về dữ liệu cá nhân tại Nghị định số 13/2023/NĐ-CP. Dựa trên những nền tảng pháp lý quy định có sẵn, nên tiếp tục cụ thể hơn quy định về hệ thống kiểm soát nội bộ của các TCTD bao gồm nhà cung cấp dịch vụ trung gian thanh toán. Theo đó, nên quy định việc áp dụng hệ thống định danh và xác thực điện tử của Bộ Công an làm tiêu chuẩn chung cho các giao dịch trên môi trường điện tử, trong giải quyết thủ tục hành chính và cung cấp dịch vụ công trực tuyến để hoàn thiện khung pháp lý về quy trình bảo mật những thông tin dựa theo nội dung quy định về dữ liệu cá nhân tại Nghị định số 13/2023/NĐ-CP. Cụ thể, cần bổ sung thêm những quy định yêu cầu về: (i) Trách nhiệm của chủ thể cung cấp dịch vụ trung gian thanh toán đối với những rủi ro mà khách hàng sử dụng dịch vụ gặp phải; (ii) Trách nhiệm quản lý của cơ quan nhà nước với nhà cung cấp dịch vụ trung gian thanh toán; (iii) Chế tài xử lý vi phạm về mua bán thông tin trái phép.
5. Kết luận
Hiện nay, Internet Banking đang dần trở thành một hình thức thanh toán phổ biến và tiện lợi cho mọi người ở mọi lúc, mọi nơi. Tuy nhiên, tình trạng lừa đảo, tấn công mạng đang ngày càng trở nên tinh vi và phức tạp hơn, do đó công tác quản lý, bảo vệ thông tin cá nhân của người sử dụng dịch vụ giao dịch điện tử, đặc biệt là những giao dịch thanh toán Internet Banking đang trở thành một trong những ưu tiên hàng đầu của thời kỳ chuyển đổi số ở nước ta. Trách nhiệm bảo mật thông tin đối với người sử dụng phương thức thanh toán Internet Banking không chỉ thuộc về nhà cung cấp dịch vụ thanh toán mà còn thuộc về các tổ chức cung cấp dịch vụ trung gian thanh toán. Hiện nay, mặc dù đã có hành lang pháp lý với những quy định cần thiết về bảo mật thông tin, tuy nhiên thực tế vẫn còn tồn tại những vấn đề bất cập nhất định. Một số quy định về bảo vệ dữ liệu cá nhân mặc dù đã có nhưng khi áp dụng vào thực tiễn lại chưa phát huy tối đa hiệu quả, cơ chế xử lý vi phạm còn nhiều bất cập trong thực tiễn, sự phối hợp hệ thống dữ liệu điện tử giữa các cơ quan quản lý còn hạn chế trong kết nối và kiểm soát. Do đó, việc nghiên cứu và đưa ra những đề xuất, giải pháp cần thiết để giải quyết kịp thời các vấn đề nêu trên nhằm bảo vệ hiệu quả thông tin của người tiêu dùng khi sử dụng dịch vụ thanh toán Internet Banking từ các nhà cung cấp dịch vụ trung gian là điều rất quan trọng, cấp thiết trong bối cảnh hiện nay.
1 Điều 21 Hiến pháp năm 2013.
2 Điều 47 Văn bản hợp nhất số 47/VBHH-NHNN ngày 09/12/2019 của NHNN.
3 Thúy Hà (2023), Nhiều tài khoản bị "bốc hơi", ngân hàng liên tục đưa ra cảnh báo, Báo điện tử VietNamPlus, https://www.vietnamplus.vn/tap-doan-marriott-se-mo-them-20-khach-san-khu-nghi-duong-o-viet-nam/904195.vnp
4 Danh Trọng - Hoàng Ngân (2022), "Siêu lừa" chiếm đoạt 430 tỉ đồng của 03 ngân hàng hầu tòa, Báo điện tử Tuổi trẻ online, https://tuoitre.vn/sieu-lua-chiem-doat-430-ti-dong-cua-3-ngan-hang-hau-toa-20220504095825291.htm
5 Lưu Quý (2023), Có nhân viên ngân hàng làm lộ dữ liệu khách hàng, Báo điện tử Vnexpress, https://vnexpress.net/co-nhan-vien-ngan-hang-lam-lo-du-lieu-khach-hang-4661833.html
6 Ngọc Vũ (2023), Tin mới nhất vụ tự ý lấy thông tin người dân mở tài khoản ngân hàng, Báo điện tử Dân Việt, https://danviet.vn/tin-moi-nhat-vu-tu-y-lay-thong- tin-nguoi-dan-mo-tai-khoan-ngan-hang-20230810154335363.html
2 Điều 47 Văn bản hợp nhất số 47/VBHH-NHNN ngày 09/12/2019 của NHNN.
3 Thúy Hà (2023), Nhiều tài khoản bị "bốc hơi", ngân hàng liên tục đưa ra cảnh báo, Báo điện tử VietNamPlus, https://www.vietnamplus.vn/tap-doan-marriott-se-mo-them-20-khach-san-khu-nghi-duong-o-viet-nam/904195.vnp
4 Danh Trọng - Hoàng Ngân (2022), "Siêu lừa" chiếm đoạt 430 tỉ đồng của 03 ngân hàng hầu tòa, Báo điện tử Tuổi trẻ online, https://tuoitre.vn/sieu-lua-chiem-doat-430-ti-dong-cua-3-ngan-hang-hau-toa-20220504095825291.htm
5 Lưu Quý (2023), Có nhân viên ngân hàng làm lộ dữ liệu khách hàng, Báo điện tử Vnexpress, https://vnexpress.net/co-nhan-vien-ngan-hang-lam-lo-du-lieu-khach-hang-4661833.html
6 Ngọc Vũ (2023), Tin mới nhất vụ tự ý lấy thông tin người dân mở tài khoản ngân hàng, Báo điện tử Dân Việt, https://danviet.vn/tin-moi-nhat-vu-tu-y-lay-thong- tin-nguoi-dan-mo-tai-khoan-ngan-hang-20230810154335363.html
Tài liệu tham khảo:
1. Luật NHNN năm 2010.
2. Bộ luật Dân sự năm 2015.
3. Hiến pháp năm 2013.
4. Luật Giao dịch điện tử năm 2023.
5. Luật Các TCTD năm 2010.
6. Luật Các TCTD năm 2024.
7. Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ bảo vệ dữ liệu cá nhân.
8. Văn bản hợp nhất số 47/VBHN-NHNN ngày 09/12/2019 của NHNN về hợp nhất Thông tư hướng dẫn về dịch vụ trung gian
thanh toán.
9. Nghị định số 80/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về sửa đổi, bổ sung một số điều của Nghị định số 101/2012/NĐ-CP
ngày 22/11/2012 của Chính phủ về thanh toán không dùng tiền mặt.
10. Thúy Hà (2023), Nhiều tài khoản bị "bốc hơi", ngân hàng liên tục đưa ra cảnh báo, Báo điện tử VietNamPlus, https://www.vietnamplus.vn/tap-doan-marriott-se-mo-them-20-khach-san-khu-nghi-duong-o-viet-nam/904195.vnp,
11. Anh Lê (2023), Luật Giao dịch điện tử (sửa đổi): Cần quy định trách nhiệm của các nhà cung cấp nền tảng trung gian, Tạp chí điện tử VIETTIMES, https://viettimes.vn/luat-giao-dich-dien-tu-sua-doi-can-quy-dinh-trach-nhiem-cua-cac-nha-cung-cap-nen-tang-trung-gian-post167134.html
12. Danh Trọng - Hoàng Ngân (2022), "Siêu lừa" chiếm đoạt 430 tỉ đồng của 03 ngân hàng hầu tòa, Báo điện tử Tuổi trẻ online, https://tuoitre.vn/sieu-lua-chiem-doat-430-ti-dong-cua-3-ngan-hang-hau-toa-20220504095825291.html
13. Lưu Quý (2023), Có nhân viên ngân hàng làm lộ dữ liệu khách hàng, Báo điện tử Vnexpress, https://vnexpress.net/co-nhan-vien-ngan-hang-lam-lo-du-lieu-khach-hang-4661833.html
14. Ngọc Vũ (2023), Tin mới nhất vụ tự ý lấy thông tin người dân mở tài khoản ngân hàng, Báo điện tử Dân Việt, https://danviet.vn/tin-moi-nhat-vu-tu-y-lay-thong-tin-nguoi-dan-mo-tai-khoan-ngan-hang-20230810154335363.html
ThS. Trần Linh Huân, Nguyễn Lê Thị Ngọc Ánh
Trường Đại học Luật Thành phố Hồ Chí Minh
