Bảo mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng (gọi chung là thông tin khách hàng) tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài (gọi chung là tổ chức tín dụng) là một nguyên tắc cơ bản của pháp luật về nhân thân, sở hữu, giao dịch và pháp luật về hoạt động ngân hàng.
Việc thực thi nguyên tắc này có ý nghĩa đặc biệt quan trọng, không chỉ trong xây dựng, gìn giữ niềm tin của khách hàng đối với một tổ chức tín dụng cụ thể, mà còn đối với cả hệ thống tín dụng của quốc gia và hiệu lực quản lý nhà nước.
Ông Nguyễn Hồng Hải, Vụ Pháp luật dân sự - kinh tế, Bộ Tư pháp
Bảo mật thông tin khách hàng là hệ quả phát sinh theo cam kết trong hợp đồng, hoặc do pháp luật quy định khi khách hàng xác lập, thực hiện, chấm dứt giao dịch với tổ chức tín dụng. Dưới góc độ giao dịch, đây là quan hệ về quyền, nghĩa vụ giữa hai bên trong giao dịch. Dưới góc độ giới hạn thực hiện quyền dân sự, đây là quan hệ có thể làm phát sinh “xung đột” giữa các lợi ích: Bảo vệ quyền, lợi ích hợp pháp của khách hàng; thực hiện trách nhiệm cung cấp thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền; bảo vệ quyền, lợi ích hợp pháp của tổ chức, cá nhân khác có liên quan.
Về mặt pháp lý, ở những cấp độ quy định khác nhau, Quốc hội, Chính phủ và Ngân hàng Nhà nước luôn quan tâm xây dựng, hoàn thiện hành lang pháp lý có liên quan, với những kết quả tích cực. Tuy nhiên, trước biến đổi nhanh của tình hình thực tế về tính đan xen, phức tạp của các quan hệ liên quan đến lĩnh vực tín dụng, ngân hàng; sự phát triển của công nghệ thông tin; hiệu quả quản trị nội bộ của tổ chức tín dụng; yêu cầu về quản lý nhà nước và về sự đồng bộ, thống nhất, khả thi trong quy định pháp luật thì cơ chế pháp lý về bảo mật thông tin khách hàng cần được nghiên cứu hoàn thiện.
Đối với tổ chức tín dụng
Việc bảo mật thông tin khách hàng, về cơ bản, pháp luật hiện hành mới chỉ dừng lại ở nguyên tắc chung, còn thiếu cơ chế pháp lý cụ thể để tổ chức tín dụng thực hiện đầy đủ trách nhiệm của mình trong bảo vệ quyền lợi của khách hàng, hoặc để hạn chế rủi ro pháp lý cho chính tổ chức tín dụng.
Việc giữ bí mật, lưu giữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng đã được luật hóa
Ví dụ, Luật Các tổ chức tín dụng tại Điều 14 (khoản 2) quy định, tổ chức tín dụng có trách nhiệm bảo mật thông tin khách hàng. Tuy nhiên, khi quy định liên quan trực tiếp đến những quyền lợi khách hàng được bảo vệ thì luật này chỉ ràng buộc tổ chức tín dụng “từ chối việc điều tra, phong tỏa, cầm giữ, trích chuyển tiền gửi của khách hàng, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật, hoặc được sự chấp thuận của khách hàng” (Khoản 3, Điều 10).
Về mặt pháp lý, các hành vi “từ chối việc điều tra, phong tỏa, cầm giữ, trích chuyển tiền gửi của khách hàng” có nội hàm hẹp hơn nhiều so với nội hàm của “bảo đảm bí mật thông tin”(ví dụ, hành vi tiết lộ thông tin khách hàng).
Để bảo đảm tốt hơn quyền lợi của khách hàng, trên cơ sở quy định của Điều 14, Luật Các tổ chức tín dụng, các quy định có liên quan của Bộ luật Dân sự (Điều 2.2, Điều 38, Điều 387.2, Điều 401.2, Điều 405.3, Điều 406.3, Điều 517.5…) thì pháp luật có liên quan, đặc biệt Nghị định số 70/2000/NĐ-CP ngày 21/11/2000 về việc giữ bí mật, lưu giữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng cần bổ sung nguyên tắc về bảo mật thông tin khách hàng.
Nguyên tắc về bảo mật thông tin khách hàng nên được bổ sung theo hướng: Thông tin khách hàng là bất khả xâm phạm; tổ chức tín dụng không được tự mình sử dụng, hoặc để bên thứ ba sử dụng thông tin khách hàng vào bất kỳ mục đích nào khác ngoài mục đích xác lập giao dịch với khách hàng; việc cung cấp thông tin khách hàng cho cơ quan, tổ chức, cá nhân khác, hoặc sử dụng thông tin khách hàng vào mục đích khác nhằm xác lập giao dịch mà chỉ tổ chức tín dụng được thực hiện trong trường hợp pháp luật có quy định, hoặc theo ý chí của khách hàng; trường hợp thông tin khách hàng đã được tổ chức tín dụng cung cấp hợp pháp cho chủ thể khác thì cũng không làm thay đổi hay chấm dứt trách nhiệm của tổ chức tín dụng về việc tiếp tục bảo đảm bảo mật thông tin khách hàng.
Ngoài ra, việc quy định tổ chức tín dụng có quy chế nội bộ về bảo mật thông tin khách hàng là cần thiết và phải có, trong đó quy trình bảo mật thông tin khách hàng, cơ chế giám sát việc sử dụng thông tin của khách hàng phải là những điều khoản cơ bản.
Tổ chức tín dụng cũng cần phải rà soát, quy định rõ vào quy chế nội bộ những vấn đề dễ phát sinh rủi ro pháp lý, hoặc dễ bị nội bộ trục lợi trong quá trình xác lập, thực hiện giao dịch với khách hàng, hoặc trong sử dụng thông tin khách hàng (ví dụ như vấn đề ủy quyền giữa khách hàng với nhân viên của tổ chức tín dụng, theo đó cho phép nhân viên tổ chức tín dụng thay mặt khách hàng xác lập, thực hiện giao dịch liên quan đến tài khoản, tiền gửi, tài sản gửi của khách hàng…).
Pháp luật cũng cần quy định rõ về áp dụng và hậu quả áp dụng quy chế nội bộ về bảo mật thông tin khách hàng. Trong đó, nội dung về quy trình xác lập, thực hiện giao dịch, hoặc bảo mật thông tin, sử dụng thông tin khách hàng, cơ chế giám sát việc sử dụng thông tin khách hàng cần phải được công khai, minh bạch với khách hàng và cần đưa thành một điều khoản trong hợp đồng theo mẫu, hoặc điều kiện giao dịch chung để khách hàng biết, hoặc phải biết về việc giao dịch được xác lập, thực hiện, hoặc việc bảo mật, sử dụng thông tin có đúng quy chế nội bộ của tổ chức tín dụng hay không.
Trường hợp pháp luật không có quy định khác, hoặc giữa tổ chức tín dụng và khách hàng không có thỏa thuận khác, thì quy chế nội bộ của tổ chức tín dụng đã được công khai với khách hàng cần được ưu tiên áp dụng trong giải quyết các quan hệ có liên quan.
Về cung cấp thông tin khách hàng cho cơ quan, tổ chức, cá nhân khác
Điều 14, Luật Các tổ chức tín dụng quy định, tổ chức tín dụng không được cung cấp thông tin khách hàng tại tổ chức tín dụng cho tổ chức, cá nhân khác, trừ trường hợp có 1 trong 2 căn cứ: Có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật, hoặc được sự chấp thuận của khách hàng.
Tuy nhiên, Luật Các tổ chức tín dụng và Nghị định số 70/2000/NĐ-CP đều không có quy định cụ thể, tách bạch giữa việc cung cấp thông tin khách hàng cho cơ quan nhà nước có thẩm quyền và việc cung cấp thông tin khách hàng cho tổ chức, cá nhân khác theo ý chí tự nguyện của chính khách hàng. Đây là 2 trường hợp cung cấp thông tin hoàn khác biệt về bản chất pháp lý, dẫn tới sự khác biệt về mục đích, thẩm quyền yêu cầu, trình tự cung cấp và những giới hạn trong việc cung cấp thông tin.
Đối với cung cấp thông tin khách hàng theo yêu cầu của cơ quan nhà nước có thẩm quyền, việc cung cấp thông tin trong trường hợp này có bản chất pháp lý là quan hệ mệnh lệnh - phục tùng theo thẩm quyền hành chính nhà nước, hoặc theo thẩm quyền tố tụng để thực thi một hoạt động quản lý nhà nước cụ thể, hoặc thực thi một hoạt động tố tụng, thi hành án cụ thể.
Do đó, việc xác định cơ quan nhà nước có thẩm quyền, người đại diện có thẩm quyền của cơ quan này, các trường hợp cơ quan này được tiếp cận thông tin khách hàng, phạm vi, mục đích sử dụng thông tin khách hàng… là phải dựa trên sự tuân thủ tuyệt đối quy định của pháp luật có liên quan (pháp luật về tố tụng, thi hành án, thanh tra, hải quan, thuế, xử lý vi phạm hành chính…), mà không phụ thuộc vào ý chí của tổ chức tín dụng và khách hàng.
Để bảo đảm thuận lợi, minh bạch, an toàn trong việc tổ chức tín dụng cung cấp thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền, pháp luật cần quy định rõ quyết định, hoặc văn bản yêu cầu cung cấp thông tin của các cơ quan này phải cung cấp đầy đủ cơ sở pháp lý về thẩm quyền trong tiếp cận thông tin khách hàng, về người đại diện hợp pháp của cơ quan, hoặc người có thẩm quyền tiến hành tố tụng, thi hành án, mối liên quan giữa thông tin khách hàng với hoạt động quản lý nhà nước, hoạt động tố tụng, hoặc thi hành án mà cơ quan có thẩm quyền đang thực hiện, mục đích, phạm vi, nội dung, phương thức, thời hạn cung cấp thông tin…
Cơ quan nhà nước có thẩm quyền phải chịu trách nhiệm về các nội dung trong quyết định, hoặc văn bản yêu cầu và chịu trách nhiệm về bảo mật đối với thông tin khách hàng được cung cấp. Tổ chức tín dụng không phải chịu trách nhiệm pháp lý khi thực hiện đúng nội dung của quyết định, hoặc văn bản yêu cầu cung cấp thông tin của cơ quan nhà nước có thẩm quyền nếu không có lỗi.
Bên cạnh đó, pháp luật cũng cần có quy định rõ về cơ chế pháp lý giải quyết trường hợp cơ quan nhà nước có thẩm quyền không cung cấp đủ các nội dung nêu trên thì tổ chức tín dụng có quyền từ chối hay không được từ chối cung cấp thông tin khách hàng; trường hợp không được từ chối thì tổ chức tín dụng thực hiện theo cơ chế pháp lý nào.
Chẳng hạn, trường hợp cơ quan có thẩm quyền không xác định rõ thời hạn cung cấp thông tin và pháp luật cũng không có quy định thì thời hạn được xác định theo quy chế nội bộ của tổ chức tín dụng hay theo quy định tại Nghị định số 70/2000/NĐ-CP đã được sửa đổi để ấn định thời hạn tổ chức tín dụng phải cung cấp cho cơ quan nhà nước có thẩm quyền?
Đối với cung cấp thông tin theo sự chấp thuận của khách hàng, việc cung cấp thông tin trong trường hợp này có bản chất pháp lý là quan hệ xác lập, thực hiện theo ý chí định đoạt của khách hàng. Về nguyên tắc, tổ chức tín dụng phải tôn trọng và thực hiện đúng việc cung cấp thông tin khách hàng cho tổ chức, cá nhân khác khi khách hàng có yêu cầu.
Tuy nhiên, việc thực hiện quyền của khách hàng trong trường hợp này có liên quan đến cam kết giữa khách hàng với tổ chức tín dụng, đến việc giới hạn thực hiện quyền dân sự và bảo vệ lợi ích quốc gia, dân tộc, lợi ích công cộng, quyền, lợi ích hợp pháp của người khác. Pháp luật hiện hành còn thiếu những quy định cụ thể về vấn đề này.
Ví dụ, tổ chức tín dụng có quyền từ chối việc cung cấp thông tin cho tổ chức, cá nhân khác theo yêu cầu của khách hàng hay không nếu yêu cầu này không phù hợp với quy chế nội bộ của tổ chức tín dụng mà khách hàng đã biết, hoặc buộc phải biết khi xác lập, thực hiện giao dịch với tổ chức tín dụng?
Trường hợp thông tin khách hàng liên quan đến lợi ích quốc gia, dân tộc, lợi ích công cộng thì cơ chế cung cấp thông tin cần được áp dụng như thế nào? Trong trường hợp nào thông tin khách hàng này được giải quyết theo pháp luật về bảo vệ bí mật nhà nước?
Trường hợp thông tin khách hàng liên quan đến quyền, lợi ích hợp pháp của chủ thể khác thì việc cung cấp thông tin được thực hiện theo cơ chế nào? Đơn cử, khoản tiền gửi tại tổ chức tín dụng mà khách hàng A đứng tên thuộc tài sản chung của vợ chồng AB, vậy khi A cho phép C được tiếp cận thông tin tài khoản của mình thì có xâm phạm đến quyền được bảo mật thông tin của B hay không?
Trường hợp giữa tổ chức tín dụng và khách hàng có bất đồng về việc cung cấp thông tin cho tổ chức, cá nhân khác thì sẽ được giải quyết theo cơ chế pháp lý nào? Ví dụ, thời hạn cung cấp thông tin là theo yêu cầu của khách hàng, theo quy định trong quy chế nội bộ của tổ chức tín dụng, theo quy định của pháp luật hay theo sự thỏa thuận giữa hai bên?