Bảo vệ dữ liệu tài chính cá nhân: Công nghệ không thay thế đạo đức
Chuyện nhân viên MBBank truy cập và sao kê giao dịch tài khoản của Nghệ sĩ Hoài Linh mở tại đây rồi tung lên mạng, cho thấy nỗi lo về bảo mật cá nhân qua dữ liệu ngân hàng là có thật.
- 27-05-2021Vụ tài khoản của Hoài Linh bị phát tán: MB đã tìm ra người gây sai phạm, xử lý kỷ luật và gửi hồ sơ sang cơ quan điều tra
- 25-05-2021MB Bank vào cuộc điều tra vụ sao kê tài khoản ngân hàng nghi của Hoài Linh bị phát tán
Trước hết, phải nói rằng chúng ta đã được Luật pháp bảo hộ quyền bảo mật cá nhân trong dữ liệu ngân hàng.
Khung pháp lý về quy định bảo mật cá nhân qua dữ liệu ngân hàng khá hoàn thiện
Cụ thể, Luật Các Tổ chức tín dụng (đã được sửa đổi, bổ sung) quy định trách nhiệm của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài trong việc bảo mật thông tin (Điều 14) và Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 của Chính phủ quy định về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài đã quy định cụ thể về trình tự, thủ tục cung cấp thông tin khách hàng (Điều 8), hồ sơ yêu cầu cung cấp thông tin khách hàng (Điều 9), đồng thời quy định trách nhiệm bảo mật thông tin của các cơ quan Nhà nước, tổ chức khác, cá nhân (Điều 15).
Luật cũng quy định các ngân hàng sẽ chỉ được phép cung cấp thông tin trong trường hợp là: Được sự yêu cầu, đồng ý của khách hàng; theo yêu cầu của cơ quan chức năng có thẩm quyền; phục vụ cho hoạt động nội bộ.
Bên cạnh đó, Nghị định số 88/2019/NĐ-CP ngày 14/11/2019 của Chính phủ về quy định xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng cũng nêu rõ, bất kể lý do nào khác mà cung cấp thông tin của khách hàng ra ngoài sẽ bị xử phạt vi phạm. Mức phạt hành chính với hành vi vi phạm được phân chia tùy theo lỗi phạm và áp dụng riêng theo tổ chức, cá nhân.
Nói cách khác cho đến hiện tại, khung pháp lý về quy định bảo mật cá nhân qua dữ liệu ngân hàng, trách nhiệm, lỗi phạm, chế tài… đối với tổ chức tín dụng, người làm ngân hàng, đều rất rõ ràng và đầy đủ.
Với trường hợp có nhân viên đã sao kê tài khoản của NS Hoài Linh và đưa lên mạng xã hội, MBBank đã ứng xử thượng tôn pháp luật, khẳng định uy tín của một ngân hàng lớn. Ngay từ khi thông tin lộ giao dịch tài khoản được cho từ MBBank, ngân hàng đã lập tức vào cuộc xác minh đồng thời khẳng định quan điểm tuân thủ quy định của pháp luật và quy định ngân hàng. Khi có kết quả vụ việc, MBBank nghiêm túc xử lý nhân viên không tuân thủ đạo đức nghề nghiệp gây ảnh hưởng tới quyền lợi của khách hàng, đồng thời chuyển hồ sơ vụ việc qua cơ quan điều tra. Quyết tâm rõ ràng, minh bạch thông tin, xử lý tới cùng, đây cũng là hành động để răn đe, làm gương đảm bảo các nhân viên của ngân hàng và có lẽ nhiều CBNV ngành qua vụ việc được rút kinh nghiệm.
MB thể hiện ứng xử của một ngân hàng uy tín thượng tôn pháp luật trong vụ việc cá nhân nhân viên sao kê giao dịch tài khoản của NS Hoài Linh và phát tán trên mạng xã hội
Tuy nhiên, cần phải nhấn mạnh rằng mặc dù khung pháp lý bảo mật thông tin cá nhân qua dữ liệu ngân hàng là đầy đủ; song các quy định về việc cung cấp thông tin cá nhân khách hàng theo yêu cầu của các cơ quan chức năng, thì vẫn còn những vấn đề nhất định. Một Luật sư nêu ví dụ theo Nghị định 126/2020/NĐ-CP hướng dẫn Luật Quản lý thuế 2019, quy định ngân hàng thương mại có trách nhiệm cung cấp các thông tin về tài khoản thanh toán của người nộp thuế mở tại ngân hàng cho cơ quan quản lý thuế. Cơ quan quản lý thuế có trách nhiệm bảo mật thông tin và hoàn toàn chịu trách nhiệm về sự an toàn của thông tin theo quy định của pháp luật. Theo đó, quy định về trách nhiệm của cơ quan thuế còn khá chung chung, thiếu chế tài cụ thể. "Giả định có trường hợp mất an toàn của thông tin cá nhân khi ngân hàng thương mại cung cấp dữ liệu qua cơ quan thuế, việc "truy xuất" lại công đoạn tiếp nhận, bảo mật thông tin, quy trách nhiệm từ ngân hàng thương mại đến cơ quan thuế, sẽ rất phức tạp. Mà trách nhiệm, chế tài chưa cụ thể thì rủi ro "phơi" dữ liệu cá nhân rất dễ xảy ra", Luật sư nhận định.
Bên cạnh đó, ở góc độ công nghệ, giới chuyên môn đánh giá các ngân hàng hiện tại đã đầu tư công nghệ và quy trình để quản lí, bảo mật thông minh dữ liệu khách hàng. Theo khảo sát tháng 9/2020 của NHNN Việt Nam, 50% các ngân hàng đã xây dựng kho dữ liệu tập trung (Data warehouse), 27% đã xây dựng các hồ dữ liệu (Data lake) để thu thập dữ liệu thô đến từ các điểm tiếp xúc số, khoảng 50% các ngân hàng đã ứng dụng phân tích dữ liệu để tối ưu hóa quy trình vận hành, tăng hiệu quả hoạt động, quản trị rủi ro,...
Một Lãnh đạo NHNN cho biết, trong xu thế ngân hàng số là ngân hàng mở, hiện những loại hình kết nối song phương giữa các ngân hàng và các đơn vị, lại vẫn chưa có khuôn khổ pháp lý đầy đủ. Ví dụ tại Việt Nam mặc dù chưa có khuôn khổ pháp lý về ngân hàng mở, nhưng thực tế đã có ngân hàng đã mở API để kết nối với các công ty trung gian thanh toán, thương mại điện tử, … Trong khi đó các API hiện nay mới chỉ là các kết nối song phương giữa ngân hàng và các đơn vị, chưa có một tiêu chuẩn chung thống nhất.
Vì vậy, quản lý rủi ro công nghệ, an ninh mạng là vấn đề lớn đang và sẽ còn tiếp tục được đặt ra với ngành ngân hàng. Song nhìn chung, với quản trị bảo mật dữ liệu trong nội bộ, ở các trường hợp truy cập, sao chép trái phép thông tin cá nhân khách hàng của nhân viên ngân hàng trên hệ thống, các ngân hàng đều dễ dàng "truy vết", tìm ra.
Theo ông Nguyễn Đình Tùng, TGĐ Ngân hàng OCB, trong bài chia sẻ "Nghề kinh doanh tiền", ông viết: "Rủi ro đạo đức xảy ra không phải vì hành lang pháp lý của ngân hàng bị thiếu, nếu không nói là các quy trình và quy định ngày càng khắt khe không thua gì thế giới. Song thực tế, không riêng với ngân hàng, chẳng có giải pháp kỹ thuật, công nghệ nào có thể thay thế 100% con người. Dù anh có quy trình hay hệ thống kiểm soát "bằng trời" cũng không thể bỏ qua yếu tố phẩm chất. Và thậm chí có những việc anh không thể nào kiểm soát vì buộc phải tin nhau".
Ngân hàng, ngành kinh doanh đặc biệt cung cấp dịch vụ vì con người, lại tạm thời được tiếp nhận và quản lý, giữ kho dữ liệu cá nhân – "tài sản vàng trong thời số hóa", luôn có những rủi ro bảo mật thông tin nhất định có thể xảy đến. Mà rủi ro ấy không hẳn chỉ đến từ việc chưa hoàn thiện khung pháp lý, hay hệ thống công nghệ chưa đầu tư hiện đại, quy trình quản lý còn khuyết thiếu…, đôi khi đó lại là "rủi ro đạo đức đến từ thái độ và nhân sinh quan chưa đúng" của con người. Và từ câu chuyện này cũng đặt ra câu hỏi: Trách nhiệm tổ chức với hành vi thành viên vi phạm chuyện này?
Diễn đàn doanh nghiệp