Đặt vấn đề
 

Pháp luật về bảo mật thông tin khách hàng trong hoạt động ngân hàng thời gian qua đã có những sửa đổi, bổ sung giúp cải thiện sự cân bằng giữa các yêu cầu hoạt động kinh doanh ngân hàng của các tổ chức tín dụng và sự bảo mật thông tin của khách hàng. Song, ngày càng nhiều thông tin của khách hàng bị rò rỉ, mất cắp, công bố trái phép trên mạng Internet. Các hành vi vi phạm này cần phải được phát hiện, ngăn chặn và xử lý kịp thời. Xử phạt vi phạm hành chính là một trong những công cụ được Nhà nước sử dụng để thiết lập, duy trì, bảo vệ trật tự, kỷ cương, giúp bảo vệ một cách chính đáng quyền được bảo mật thông tin của khách hàng trong hoạt động ngân hàng.
 

1. Vai trò của pháp luật về xử phạt vi phạm hành chính trong bảo mật thông tin khách hàng trong hoạt động ngân hàng
 

Xử phạt vi phạm hành chính là một bộ phận của pháp luật xử lý vi phạm hành chính, là biện pháp chế tài mà Nhà nước áp dụng đối với các tổ chức, cá nhân có hành vi vi phạm hành chính, buộc các chủ thể này phải gánh chịu những hậu quả pháp lý bất lợi của trách nhiệm hành chính đối với hành vi vi phạm pháp luật hành chính của mình.
 

Với ý nghĩa đó, xử phạt vi phạm hành chính trong lĩnh vực ngân hàng được coi là một yếu tố điều chỉnh các quan hệ xã hội phát sinh trong lĩnh vực bảo mật thông tin khách hàng trong hoạt động ngân hàng, nhằm duy trì trật tự quản lý hành chính trong việc bảo vệ quyền được bảo mật thông tin của khách hàng. Vai trò của hoạt động này được thể hiện như sau:
 

Một là, hoạt động xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng có mục đích là trừng phạt chủ thể vi phạm. Việc áp dụng các biện pháp xử phạt thể hiện sự trừng phạt nghiêm khắc của Nhà nước đối với các tổ chức, cá nhân vi phạm hành chính trong việc bảo mật thông tin khách hàng nhằm nâng cao hiệu quả quản lý nhà nước trong hoạt động này. Tuy việc trừng phạt trong vi phạm hành chính có tính chất nhẹ hơn sự trừng phạt trong hình sự nhưng các biện pháp phạt tiền, phạt bổ sung như tước quyền sử dụng giấy phép có thời hạn… cũng đã thể hiện tính chất trừng phạt chủ thể vi phạm, làm cho họ bị tổn thất nhất định về cả kinh tế lẫn tinh thần. Bởi các biện pháp này có thể tạo lập khả năng tránh tái diễn hành vi vi phạm của cá nhân, tổ chức và hàm ý không khuyến khích cá nhân, tổ chức khác thực hiện hành vi tương tự, với cơ chế thúc đẩy tâm lý “sợ bị phạt”; tâm lý đó sẽ làm cho các cá nhân kiểm soát tốt hành vi của mình cũng như đưa ra những lựa chọn thực hiện hành vi hợp pháp hoặc thậm chí là cá nhân có thể vẫn cố tình thực hiện hành vi nhưng sẽ có sự cân nhắc, tiết chế nhằm giảm thiểu mức độ sai phạm; nhờ đó mà nâng cao tính tuân thủ pháp luật tốt hơn.
 

Hai là, hoạt động xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng góp phần duy trì, bảo đảm trật tự quản lý hành chính trong lĩnh vực kinh doanh ngân hàng. Nhà nước sử dụng hoạt động xử phạt vi phạm hành chính như một phương tiện để thực hiện quyền lực trong hoạt động quản lý, kiểm tra, thanh tra và giám sát chặt chẽ các hoạt động của các chủ thể liên quan đến hoạt động bảo mật thông tin khách hàng. Nhờ có hoạt động xử phạt vi phạm hành chính, trật tự quản lý nhà nước về bảo mật thông tin khách hàng trong hoạt động ngân hàng được thiết lập, đi vào kỷ cương, nền nếp, đảm bảo thực hiện đúng chủ trương, đường lối của Đảng, chính sách, pháp luật của Nhà nước, góp phần nâng cao chất lượng, hiệu quả của hoạt động bảo mật thông tin khách hàng của ngân hàng trong giai đoạn hội nhập hiện nay.
 

Ba là, hoạt động xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng góp phần răn đe, phòng ngừa các hành vi vi phạm hành chính, góp phần giáo dục ý thức chấp hành pháp luật của tổ chức, cá nhân khi tham gia vào hoạt động kinh doanh ngân hàng. Tính giáo dục của việc xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng thể hiện ở chỗ, việc xử phạt giúp cho chủ thể vi phạm biết được rằng hành vi của họ đã xâm phạm đến quan hệ xã hội được pháp luật bảo vệ, từ đó sẽ ý thức hơn trong việc thực hiện hành vi của mình. Nếu hành vi làm rò rỉ, để lộ thông tin khách hàng, chia sẻ thông tin khách hàng cho người khác không bị xử phạt thì vô hình trung lại dung túng cho các hành vi vi phạm. Do vậy, việc xử phạt một chủ thể sẽ giúp cho các chủ thể khác nhìn vào đó mà tự điều chỉnh hành vi của mình, không thực hiện những vi phạm tương tự. Đây chính là mục đích phòng ngừa vi phạm của việc xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng.

 

2. Quy định của pháp luật về xử phạt hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng trong hoạt động ngân hàng 
 

Một là, nguyên tắc xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng trong hoạt động ngân hàng
 

Nguyên tắc xử phạt vi phạm hành chính là những tư tưởng chỉ đạo, làm nền tảng cho việc xử lý vi phạm hành chính. Các nguyên tắc được nêu tại Luật Xử lý vi phạm hành chính năm 2012, Luật Sửa đổi, bổ sung một số điều của Luật Xử lý vi phạm hành chính năm 2020, đây được xem là nguyên tắc khung cho các hoạt động xử phạt vi phạm hành chính trong mọi lĩnh vực quản lý cụ thể¹. Tuy nhiên, bên cạnh các nguyên tắc mang tính khuôn mẫu này thì trong mỗi lĩnh vực cụ thể có thể thêm các nguyên tắc đặc thù riêng biệt điều chỉnh lĩnh vực đó. Trong lĩnh vực hoạt động ngân hàng, Nghị định số 88/2019/NĐ-CP ngày 14/11/2019 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng (Nghị định số 88/2019/NĐ-CP) là quy định phù hợp nhằm đơn giản hóa cơ sở tiến hành xử phạt, tạo điều kiện để thực thi pháp luật hiệu quả.
 

Hai là, thẩm quyền xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng trong hoạt động ngân hàng
 

Thẩm quyền xử phạt vi phạm hành chính được hiểu là phạm vi quyền lực Nhà nước được giao cho cá nhân, tổ chức để áp dụng các hình thức xử phạt hành chính. Người có thẩm quyền xử phạt sẽ là người thay mặt Nhà nước, sử dụng quyền lực Nhà nước quyết định áp dụng biện pháp xử phạt thích hợp đối với chủ thể vi phạm trên thực tế. Theo Luật Xử lý vi phạm hành chính năm 2012, Luật Sửa đổi, bổ sung một số điều của Luật Xử lý vi phạm hành chính năm 2020, chủ thể có thẩm quyền xử phạt vi phạm hành chính được quy định cụ thể từ Điều 38 đến Điều 51, bao gồm các chức danh làm việc trong cơ quan Nhà nước như: Chủ tịch Ủy ban Nhân dân các cấp, công an nhân dân, thanh tra,… Trên cơ sở quy định thẩm quyền xử phạt hành chính trong Luật Xử lý vi phạm hành chính và tùy thuộc vào tính đặc thù của mỗi ngành, lĩnh vực khác nhau mà các Nghị định của Chính phủ xác định chủ thể có thẩm quyền xử phạt vi phạm hành chính trong ngành, lĩnh vực đó.
 

Vi phạm hành chính về bảo mật thông tin khách hàng trong hoạt động ngân hàng được cụ thể hóa tại Nghị định số 88/2019/NĐ-CP. Nghị định này đã quy định thẩm quyền xử phạt cho từng chức danh từ Điều 53 đến Điều 56. Thông qua các quy định trên, có thể thấy, thẩm quyền xử phạt các vi phạm hành chính về bảo mật thông tin khách hàng do Thanh tra viên ngân hàng; Chánh Thanh tra, giám sát Ngân hàng Nhà nước chi nhánh; Cục trưởng Cục Thanh tra, giám sát ngân hàng; Chánh Thanh tra, giám sát ngân hàng; Trưởng đoàn thanh tra do Thống đốc Ngân hàng Nhà nước, Chánh Thanh tra, giám sát ngân hàng ra quyết định và Trưởng đoàn thanh tra do Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương, Cục trưởng Cục Thanh tra, giám sát ngân hàng, Chánh Thanh tra, giám sát Ngân hàng Nhà nước chi nhánh ra quyết định. Bên cạnh đó, pháp luật xử lý vi phạm hành chính hiện hành cũng quy định việc phân định thẩm quyền lập biên bản vi phạm hành chính, xử phạt vi phạm hành chính và áp dụng các biện pháp khắc phục hậu quả đối với hành vi vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng trong hoạt động ngân hàng².
 

Ba là, hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng trong hoạt động ngân hàng
 

Theo quy định của pháp luật hiện hành, hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng của tổ chức tín dụng có thể dẫn đến những thiệt hại ở những mức độ khác nhau cho khách hàng. Đối với các hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng mà chưa đến mức phải truy cứu trách nhiệm hình sự, hiện nay được quy định tại Nghị định số 88/2019/NĐ-CP.
 

Hình thức xử phạt đối với các vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng trong hoạt động ngân hàng là chế tài của Nhà nước áp dụng đối với các chủ thể có lỗi trong việc thực hiện các hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng trong hoạt động ngân hàng. Theo Nghị định số 88/2019/NĐ-CP thì các vi phạm hành chính liên quan đến bảo mật thông tin khách hàng bị áp dụng các hình thức xử phạt chính là cảnh cáo, phạt tiền, hình phạt bổ sung là đình chỉ có thời hạn và biện pháp khắc phục hậu quả³.
 

Theo đó, tùy thuộc vào tính chất, mức độ vi phạm, người vi phạm sẽ bị phạt tiền từ 30.000.000 đồng đến 100.000.000 đồng đối với hành vi lấy cắp, thông đồng để lấy cắp thông tin thẻ của khách hàng⁴. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với hành vi cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không đúng quy định của pháp luật; làm lộ, sử dụng thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không đúng mục đích theo quy định của pháp luật⁵. 
 

Nghị định số 88/2019/NĐ-CP đã có những quy định lượng hóa mức tiền phạt tương ứng với mức độ vi phạm so với Nghị định số 96/2014/NĐ-CP ngày 17/10/2014 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng trước đây.
 

Dù vậy, tương tự như Nghị định số 96/2014/NĐ-CP ngày 17/10/2014 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng, Nghị định số 88/2019/NĐ-CP cũng chỉ có một vài điều luật quy định về xử phạt đối với việc cung cấp, tiết lộ thông tin liên quan đến tiền gửi của chủ tài khoản; cung cấp các thông tin mà không được phép của cấp có thẩm quyền theo quy định của pháp luật hoặc chưa có sự chấp thuận của khách hàng⁶. Vậy, các vi phạm về thông tin khác của khách hàng thì xử lý như thế nào, thì hầu như chưa được ghi nhận cụ thể.
 

Mặt khác, khi xem xét các quy định có liên quan, chẳng hạn Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 của Chính phủ về quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (với quan điểm khách hàng của ngân hàng có thể xem là người tiêu dùng tài chính) thì tại Điều 46 quy định hành vi vi phạm về bảo vệ thông tin của người tiêu dùng sẽ bị phạt tiền từ 10.000.000 đến 20.000.000 đồng.
 

Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử, tại khoản 2 Điều 84 quy định về hành vi vi phạm quy định về thu thập, sử dụng thông tin cá nhân như sau: “Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau: 
 

a) Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân;
 

 b) Cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân;
 

 c) Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác”.
 

Như vậy, có thể thấy:
 

- Quy định mức xử lý vi phạm hành chính về hành vi cung cấp, tiết lộ thông tin liên quan đến khách hàng còn chồng chéo, chưa thống nhất giữa các văn bản quy phạm pháp luật có liên quan.
 

- Các văn bản pháp luật liên quan còn thiếu những quy định cụ thể về hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng cũng như chế tài xử lý. Điều này đã khiến cho việc xử lý các hành vi vi phạm pháp luật về bảo mật thông tin khách hàng còn nhiều khó khăn.
 

- Mức xử phạt đối với các hành vi vi phạm nghĩa vụ bảo mật thông tin khách hàng trong hoạt động ngân hàng còn nhẹ so với thông lệ của nhiều quốc gia trên thế giới⁷ và cũng chưa đáp ứng được yêu cầu đấu tranh phòng, chống vi phạm pháp luật trong lĩnh vực này (thường là các vi phạm rất khó phát hiện, xử lý).
 

- Việc phân cấp thẩm quyền xử phạt đối với các vi phạm về bảo mật thông tin khách hàng cũng chưa được hướng dẫn rõ ràng, 

cụ thể⁸.

 

3. Một số khuyến nghị
 

Để phát huy vai trò của pháp luật xử phạt vi phạm hành chính trong lĩnh vực bảo mật thông tin khách hàng trong hoạt động ngân hàng ở Việt Nam hiện nay, tác giả đề xuất một số khuyến nghị sau:
 

Một là, nghiên cứu và làm rõ những điểm mới của Luật Sửa đổi, bổ sung một số điều của Luật Xử lý vi phạm hành chính năm 2020 có liên quan trực tiếp đến lĩnh vực tiền tệ và ngân hàng.
 

Hai là, nghiên cứu và làm rõ những điểm không phù hợp, mâu thuẫn hoặc cần sửa đổi, bổ sung vào Nghị định sửa đổi, bổ sung một số điều của Nghị định số 88/2019/NĐ-CP; từ đó, nhanh chóng xây dựng, hoàn thiện dự thảo Nghị định sửa đổi, bổ sung một số điều của Nghị định số 88/2019/NĐ-CP. 
 

Ba là, rà soát, sửa đổi nhằm tạo sự thống nhất liên quan đến mức xử phạt vi phạm hành chính về bảo mật thông tin khách hàng trong các văn bản có liên quan.
 

Bốn là, để bảo đảm tăng cường tính “răn đe” của chế tài xử phạt vi phạm hành chính, góp phần giảm thiểu vi phạm hành chính trong hoạt động bảo mật thông tin khách hàng cần: Tăng cường công tác tuyên truyền, phổ biến, giáo dục pháp luật về xử lý vi phạm hành chính. Việc tuyên truyền phải làm cho đối tượng cảm nhận được “cảm giác sai trái” và sự e ngại các thiệt hại về kinh tế nếu thực hiện hành vi vi phạm. Đồng thời, xem xét nâng mức xử phạt vi phạm hành chính, quy định rõ các biện pháp bổ sung đối với chủ thể có hành vi vi phạm nhằm bảo đảm tính răn đe, phòng ngừa chung.
 

 

 

1. Nguyên tắc xử phạt vi phạm hành chính bao gồm:
 

a) Mọi vi phạm hành chính phải được phát hiện, ngăn chặn kịp thời và phải bị xử lý nghiêm minh, mọi hậu quả do vi phạm hành chính gây ra phải được khắc phục theo đúng quy định của pháp luật;
 

b) Việc xử phạt vi phạm hành chính được tiến hành nhanh chóng, công khai, khách quan, đúng thẩm quyền, bảo đảm công bằng, đúng quy định của pháp luật;
 

c) Việc xử phạt vi phạm hành chính phải căn cứ vào tính chất, mức độ, hậu quả vi phạm, đối tượng vi phạm và tình tiết giảm nhẹ, tình tiết tăng nặng;
 

d) Chỉ xử phạt vi phạm hành chính khi có hành vi vi phạm hành chính do pháp luật quy định.
 

Một hành vi vi phạm hành chính chỉ bị xử phạt một lần.
 

Nhiều người cùng thực hiện một hành vi vi phạm hành chính thì mỗi người vi phạm đều bị xử phạt về hành vi vi phạm hành chính đó.
 

Một người thực hiện nhiều hành vi vi phạm hành chính hoặc vi phạm hành chính nhiều lần thì bị xử phạt về từng hành vi vi phạm, trừ trường hợp hành vi vi phạm hành chính nhiều lần được Chính phủ quy định là tình tiết tăng nặng;
 

đ) Người có thẩm quyền xử phạt có trách nhiệm chứng minh vi phạm hành chính. Cá nhân, tổ chức bị xử phạt có quyền tự mình hoặc thông qua người đại diện hợp pháp chứng minh mình không vi phạm hành chính;
 

e) Đối với cùng một hành vi vi phạm hành chính thì mức phạt tiền đối với tổ chức bằng 02 lần mức phạt tiền đối với cá nhân.
 

- Pháp luật Thụy Sĩ quy định về trách nhiệm hành chính, một nhân viên vi phạm nghĩa vụ bảo mật thì kể cả giám đốc hoặc kiểm toán viên cũng có thể bị chấm dứt hợp đồng. Bên cạnh đó, ngân hàng còn phải đối mặt với hai loại biện pháp hành chính: Một là, họ có thể bị rút giấy phép kinh doanh trong lĩnh vực ngân hàng; hai là, họ có thể bị khai trừ ra khỏi Liên đoàn các ngân hàng Thụy Sĩ. Cả hai biện pháp này là động lực mạnh mẽ để ngân hàng thực thi tốt hơn nghĩa vụ giám sát và bảo vệ thông tin bí mật. (Paolo S. Grassi and Daniele Calvarese (1995), The Duty Of Confidentiality Of Banks In Switzerland: Where It Stands And Where It Goes. Recent Developments And Experience. The Swiss Assistance To, And Cooperation With The Italian Authorities In The Investigation Of Corruption Among Civil Servants In Italy (The "Clean Hands" Investigation): How Much Is Too Much?, Pace International Law Review 1995, Vol. 7, pp. 329-372.)