Kinh nghiệm pháp luật Hoa Kỳ về bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán

Kinh nghiệm pháp luật Hoa Kỳ về bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán do ThS. Nguyễn Thị Bích Mai (Giảng viên, Khoa Luật Thương mại, Trường Đại học Luật TP. Hồ Chí Minh) thực hiện

TÓM TẮT:

Bài viết nghiên cứu kinh nghiệm pháp luật Hoa Kỳ về bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán, đồng thời trình bày các quy định pháp luật Việt Nam về bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán, qua đó so sánh để thấy được điểm hạn chế trong hành lang pháp lý của hoạt động này. Bài viết đã đề xuất kiến nghị là "bổ sung các quy định nhằm định phân định rõ trách nhiệm pháp lý bảo mật thông tin của các bên tham gia dịch vụ trung gian thanh toán", qua đó nhằm hoàn thiện hơn hành lang pháp lý của hoạt động này tại Việt Nam.

Từ khóa: bảo mật thông tin, dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán, khách hàng. 

1. Pháp luật Việt Nam về bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán

Hiện nay, quy chế pháp lý điều chỉnh hoạt động trung gian thanh toán được pháp luật Việt Nam ghi nhận chính tại 2 văn bản dưới luật, đó là Nghị định số 101/2012/NĐ-CP về Thanh toán không dùng tiền mặt và Thông tư số 39/2014/TT-NHNN Hướng dẫn về dịch vụ trung gian thanh toán.

1.1. Nghị định số 101/2012/NĐ-CP

Bảo mật thông tin khách hàng trong hoạt động cung ứng dịch vụ trung gian thanh toán, cho thấy quy định tương đối chặt chẽ về vấn đề này. Cụ thể như sau:

(i) Thứ nhất, một điều luật riêng về nghĩa vụ bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán được quy định tại Điều 23 Nghị định số 101/2012:

“Điều 23. Bảo mật thông tin

1. Quyền từ chối cung cấp thông tin

Tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán có quyền từ chối yêu cầu của tổ chức, cá nhân về việc cung cấp thông tin về chủ tài khoản, giao dịch và số dư trên tài khoản thanh toán của khách hàng, trừ trường hợp theo yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật hoặc được sự chấp thuận của chủ tài khoản.

2. Nghĩa vụ bảo mật thông tin

Tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán có trách nhiệm giữ bí mật các thông tin liên quan đến chủ tài khoản, giao dịch và số dư trên tài khoản thanh toán của người sử dụng dịch vụ của mình, trừ trường hợp pháp luật có quy định khác.”

(ii) Thứ hai, Nghị định số 101/2012/NĐ-CP quy định các hành vi nghiêm cấm liên quan đến bảo mật thông tin khách hàng tại Điều 6 như sau: “Xâm nhập hoặc tìm cách xâm nhập, phá hoại, làm thay đổi trái phép chương trình phần mềm, cơ sở dữ liệu điện tử sử dụng trong thanh toán; lợi dụng lỗi hệ thống mạng máy tính để trục lợi. Cung cấp thông tin không trung thực trong quá trình cung ứng và sử dụng dịch vụ thanh toán, dịch vụ trung gian thanh toán. Tiết lộ, cung cấp thông tin có liên quan đến tiền gửi của chủ tài khoản tại tổ chức cung ứng dịch vụ thanh toán không đúng theo quy định của pháp luật.”

(iii) Thứ ba, Nghị định số 101/2012/NĐ-CP xác định trách nhiệm pháp lý của tổ chức cung ứng dịch vụ trung gian thanh toán nếu vi phạm nghĩa vụ bảo mật thông tin khách hàng như sau: “Tổ chức cung ứng dịch vụ trung gian thanh toán có trách nhiệm bồi thường thiệt hại nếu gây thiệt hại do vi phạm thỏa thuận giữa các bên liên quan và theo quy định của pháp luật.”

1.2. Thông tư số 39/2014

Trên cơ sở Nghị định số 101/2012/NĐ-CP, Thông tư số 39/2014 tiếp tục quy định cụ thể hơn về trách nhiệm, nghĩa vụ bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán tại Khoản 2 Điều 7, Điểm c Khoản 1 Điều 11, Điểm đ Khoản 1 Điều 13. Điểm nổi bật của Thông tư số 39/2014 là nhấn mạnh trách nhiệm bồi thường thiệt hại cho khách hàng do lỗi để lộ thông tin khách hàng của TCCƯDVTGTT.

1.3. Các văn bản pháp luật có liên quan

Theo Luật An toàn thông tin mạng năm 2015, doanh nghiệp Fintech cung ứng dịch vụ trung gian thanh toán có trách nhiệm1: Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân; Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Theo quy định tại điểm h khoản 2 Điều 2 Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, thông tin khách hàng tổ chức cung ứng dịch vụ trung gian thanh toán là dữ liệu cá nhân nhạy cảm2. Doanh nghiệp Fintech cung ứng dịch vụ trung gian thanh toán có nghĩa vụ tuân theo nguyên tắc bảo vệ dữ liệu cá nhân bao gồm: xử lý dữ liệu cá nhân đúng mục đích; chỉ thu thập phù hợp và giới hạn trong phạm vi, mục đích cần xử lý, không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác; áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật; chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác3. Ngoài ra, doanh nghiệp không được thực hiện các hành vi bị nghiêm cấm tại Điều 8 Nghị định này4, đồng thời để bảo vệ dữ liệu cá nhân nhạy cảm, doanh nghiệp cần thực hiện theo các quy định tại Điều 28 Nghị định này.

Khi tìm hiểu pháp luật về nghĩa vụ bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán, quy định về trách nhiệm pháp lý của TCCƯDVTGTT nếu vi phạm nghĩa vụ này cũng cần được quan tâm. Cụ thể, 3 loại chế tài có thể sẽ áp dụng đối với TCCƯDVTGTT nếu họ vi phạm nghĩa vụ bảo mật thông tin, gồm: chế tài dân sự5, chế tài hành chính6 và chế tài hình sự7. Nhìn chung, quy chế pháp lý điều chỉnh trách nhiệm bảo mật thông tin khách hàng của tổ chức cung ứng dịch vụ trung gian thanh toán tương đối đầy đủ và chặt chẽ, tạo cơ sở pháp lý vững chắc để bảo vệ quyền và lợi ích hợp pháp khách hàng.

2. Kinh nghiệm từ pháp luật Hoa Kỳ và kiến nghị hoàn thiện

2.1. Kinh nghiệm từ Pháp luật Hoa Kỳ

Ngày 7/2/2012, Regulation E được Cục Bảo vệ tài chính người tiêu dùng (CFPB) ban hành (hiệu lực thi hành ngày 15/10/2013, sửa đổi bổ sung năm 2016, năm 2019, năm 2020) nhằm hướng dẫn thực thi Luật Thanh toán điện tử 1978. Theo đó Quy định E xây dựng các quy tắc bảo vệ người tiêu dùng trong các giao dịch chuyển tiền điện tử, cung cấp các biện pháp bảo vệ người tiêu dùng bao gồm yêu cầu về tiết lộ thông tin, quyền giải quyết lỗi khi người tiêu dùng chuyển tiền cho người tiêu dùng khác hoặc doanh nghiệp khác ở nước ngoài. Nổi bật nhất là cơ chế chia sẻ trách nhiệm pháp lý giữa bên cung ứng dịch vụ trung gian thanh toán và khách hàng sử dụng dịch vụ trong trường hợp khách hàng phát sinh tổn thất do lỗi của bên thứ ba như dữ liệu người dùng bị đánh cắp, tấn công tài khoản nhằm thực hiện các giao dịch bất hợp pháp8.

Cụ thể hơn, có thể kể đến quy định về Giới hạn trách nhiệm của người tiêu dùng đối với việc chuyển tiền trái phép được quy định cụ thể tại Phần 1005.6 Quy định E. Hiểu đơn giản, trong trường hợp khách hàng bị mất hoặc bị đánh cắp thiết bị truy cập hoặc dữ liệu để truy cập thiết bị dẫn đến khách hàng không kiểm soát được các giao dịch chuyển tiền điện tử xảy ra, chủ thể chịu trách nhiệm đối với tổn thất xảy ra là cả người dùng và tổ chức cung ứng dịch vụ. Trong đó, khoản tiền tối đa khách hàng phải chịu được xác định dựa vào thời điểm họ báo cáo cho tổ chức cung ứng dịch vụ, khoản tiền còn lại sẽ được doanh nghiệp bồi hoàn cho khách hàng sau quá trình điều tra, xác minh sự kiện. Có 3 mức bao gồm: (1) tối đa 50 USD; (2) tối đa 500 USD; hoặc (3) không giới hạn. Cụ thể, trong trường hợp khách hàng thông báo cho tổ chức tài chính trong vòng 2 ngày làm việc sau khi biết thiết bị truy cập bị mất hoặc đánh cắp, khách hàng chỉ chịu tối đa 50 USD dựa trên khoản chuyển tiền điện tử trái phép. Trường hợp khách hàng báo cáo giao dịch trái phép này trong vòng 60 ngày làm việc kể từ thời điểm biết thiết bị truy cập bị mất hoặc bị đánh cắp thì trách nhiệm pháp lý có thể lên tới 500 USD. Nếu vượt quá 60 ngày khách hàng không tiến hành báo cáo cho tổ chức tài chính biết về việc chuyển tiền điện tử trái phép này, khách hàng sẽ không còn được giới hạn mức độ chịu trách nhiệm đối với việc chuyển tiền trái phép, như vậy trường hợp này khách hàng có thể phải chịu toàn bộ tổn thất về số tiền bị đánh cắp mà không được doanh nghiệp xem xét bồi hoàn. Về phía doanh nghiệp, khi khách hàng báo cáo trong thời hạn luật định, tổ chức tài chính phải tiến hành điều tra và giải quyết trong vòng 45 ngày hoặc tối đa 90 ngày tùy thuộc vào mức độ sử dụng trái phép. Sau đó, tổ chức cung ứng dịch vụ phải hoàn tiền vào tài khoản người tiêu dùng trong một khoảng thời gian nhất định. Sau 60 ngày, tổ chức tài chính không bắt buộc phải điều tra giao dịch trái phép và người tiêu dùng có thể phải chịu trách nhiệm cho toàn bộ số tiền bị mất9.

2.2. Kiến nghị hoàn thiện

Tiếp thu kinh nghiệm pháp luật Hoa kỳ, tác giả kiến nghị bổ sung các quy định nhằm định phân định rõ trách nhiệm pháp lý bảo mật thông tin của các bên tham gia dịch vụ trung gian thanh toán

Về bản chất, quan hệ pháp luật giữa khách hàng và tổ chức cung ứng dịch vụ trung gian thanh toán được xác định là việc xác lập hợp đồng dịch vụ giữa bên cung ứng dịch vụ và bên sử dụng dịch vụ, trong đó bên cung ứng dịch vụ là tổ chức cung ứng dịch vụ trung gian thanh toán sẽ thực hiện các công việc theo thỏa thuận của hợp đồng dịch vụ. Trong giai đoạn công nghệ thông tin phát triển một cách mạnh mẽ như hiện nay, hoạt động cung ứng dịch vụ trung gian thanh toán luôn tiềm ẩn những rủi ro có thể xảy ra trong quá trình doanh nghiệp Fintech cung ứng dịch vụ này. Có thể kể đến các rủi ro như về lỗi giao dịch, đánh cắp dữ liệu tài khoản nhằm mục đích bất hợp pháp dẫn đến tiết lộ dữ liệu người dùng, gây thiệt hại đến tài sản khách hàng sử dụng dịch vụ. Như vậy, đặt trường hợp vì lý do bất khả kháng hoặc có tác động khách quan dẫn đến tài khoản của khách hàng bị tiết lộ dữ liệu, bị hư hỏng thì bên cung ứng dịch vụ có phải chịu trách nhiệm không?

Trong kỷ nguyên 4.0 hiện nay, không thể tránh khỏi các rủi ro rò rỉ dữ liệu, tài khoản người dùng mà lỗi không xuất phát từ bên tổ chức cung ứng dịch vụ hay người sử dụng dịch vụ. Vấn đề đặt ra là khi có tổn thất xảy ra cho khách hàng do lỗi của bên thứ ba trách nhiệm pháp lý được xác định như thế nào, khi bên cung ứng dịch vụ vẫn tuân thủ các quy định pháp luật về đảm bảo an toàn hệ thống, bảo mật thông tin dữ liệu người dùng, đồng thời doanh nghiệp không biết hoặc không thể biết trước về các tổn thất đã xảy ra và người sử dụng dịch vụ cũng không thể lường trước được thiệt hại mà họ đã chịu. Hiện nay, Thông tư số 39/2014/TT-NHNN vẫn còn bỏ ngỏ. Dẫn chiếu đến Bộ luật Dân sự 2015 điều chỉnh trực tiếp khung pháp lý của hợp đồng dịch vụ, theo đó khoản 6 Điều 517 Bộ luật Dân sự 2015 quy định bên cung ứng dịch vụ có trách nhiệm bồi thường thiệt hại cho bên sử dụng dịch vụ nếu làm mất, hư hỏng tài liệu, phương tiện được giao hoặc tiết lộ bí mật thông tin. Nhận thấy, chủ thể chịu trách nhiệm bồi thường thiệt hại theo Bộ luật Dân sự 2015 cũng được xác định theo hướng bên có lỗi gây ra thiệt hại phải bồi thường, nhưng trong trường hợp thiệt hại xảy ra không do lỗi của cả hai bên mà do lỗi của một bên thứ ba thì Bộ luật Dân sự 2015 cũng không đề cập đến.

So sánh với pháp luật Hoa Kỳ, cho thấy việc xác định trách nhiệm pháp lý của các bên trong trường hợp lỗi do bên thứ ba gây ra thiệt hại một cách cụ thể là hợp lý và cần thiết. Trong trường hợp tổn thất phát sinh do tác động khách quan mà không do khách hàng hoặc tổ chức cung ứng dịch vụ, cơ chế bồi hoàn được xác định dựa vào thời điểm người dùng thông báo cho tổ chức cung ứng dịch vụ biết về việc bị đánh cắp dữ liệu. Tức trong trường hợp nêu trên, cả tổ chức cung ứng dịch vụ và khách hàng có thể đồng thời đều phải chịu trách nhiệm đối với thiệt hại phát sinh không do lỗi của hai bên. Trong đó, mức tiền tối đa khách hàng phải chịu trách nhiệm được tính dựa vào thời điểm khách hàng thông báo cho tổ chức cung ứng dịch vụ, nếu vượt quá 60 ngày kể từ thời điểm biết về việc bị đánh cắp dữ liệu khách hàng sẽ không được bồi hoàn. Đồng thời khi khách hàng báo cáo trong thời hạn luật định, tổ chức cung ứng dịch vụ có trách nhiệm điều tra, xác minh, bồi hoàn phần tổn thất còn lại cho khách hàng sau khi đã trừ đi khoản tiền khách hàng chịu trách nhiệm. Theo tác giả, nguyên tắc xác định trách nhiệm pháp lý trên là phù hợp với thực tiễn hiện nay, mặc dù bên sử dụng dịch vụ được xem là bên yếu thế trong mối quan hệ cung ứng dịch vụ. Tuy nhiên, nhìn nhận từ góc độ là chủ thể cung ứng dịch vụ trung gian thanh toán, cũng cần có những quy định phù hợp để bảo vệ cho nhóm chủ thể này, đặt trường hợp tài khoản bị chiếm đoạt và thực hiện các giao dịch bởi bên thứ ba, tổ chức cung ứng dịch vụ không đủ khả năng để kiểm soát được ai là chủ thể đang thực hiện giao dịch.

Trên cơ sở đã phân tích, tác giả nhận thấy khung pháp lý điều chỉnh trách nhiệm pháp lý của các bên trong trường hợp phát sinh tổn thất do lỗi của bên thứ ba còn hạn chế, chưa đảm bảo được quyền lợi tối đa cho các bên tham gia dịch vụ trung gian thanh toán, qua đó tác giả kiến nghị sửa đổi, bổ sung các quy định chi tiết nhằm định rõ nghĩa vụ bồi thường thiệt hại của tổ chức cung ứng dịch vụ trung gian thanh toán trong trường hợp tổn thất xảy ra không do lỗi của cả hai bên mà do lỗi của bên thứ ba. Đồng thời, cần đặt ra quy định chi tiết buộc các doanh nghiệp Fintech cung ứng dịch vụ trung gian thanh toán có trách nhiệm cảnh báo, hướng dẫn khách hàng về các trường hợp lừa đảo, gian lận phổ biến và có trách nhiệm nhất định trong việc ngăn chặn, thông báo các giao dịch đáng ngờ nhằm giảm thiểu tối đa các rủi ro có thể xảy ra gây thiệt hại cho khách hàng.

TÀI LIỆU TRÍCH DẪN:

1Khoản 1 Điều 17 Luật An toàn thông tin mạng 2015.

2“Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.”

3Điều 3 Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân.

4“Điều 8. Hành vi bị nghiêm cấm

1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.

2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.

5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.”

5Xem Nghị định số 101/2012/NĐ-CP và Thông tư số 39/2014

6Điểm c, điểm d khoản 4 Điều 47 Nghị định số 88/2019/NĐ- CP của Chính phủ ngày 14 ngày 11 tháng 2019 của Chính phủ quy định về xử phạt vi phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng

7Điều 291 Bộ luật Hình sự năm 2015, được sửa đổi, bổ sung năm 2017.

8Xem cụ thể các quy định được sửa đổi tại đây: CFPB, Electronic Fund Transfer: Amendment, https://www.consumerfinance.gov/rules-policy/final-rules/electronic-fund-transfers-regulation-e/;

Regulation E: https://www.consumerfinance.gov/rules-policy/regulations/1005/2020-07-21/\

9Ngô Thị Thu Nguyệt, Nguyễn Huỳnh My My và Nguyễn Văn Phúc (2023). Quy chế pháp lý điều chỉnh hoạt động của các doanh nghiệp Fintech cung ứng dịch vụ trung gian thanh toán theo pháp luật Hoa Kỳ, Trung Quốc, Singapore và kinh nghiệm cho Việt Nam. Đề tài NCKH cấp trường Trường Đại học Luật TP. Hồ Chí Minh, trang 84.

TÀI LIỆU THAM KHẢO:

1. Đinh Bảo Ngọc (2022). Thị trường Fintech tại Việt Nam: Cơ hội và thách thức. Tạp chí Ngân hàng, truy cập tại https://tapchinganhang.gov.vn/thi-truong-fintech-tai-viet-nam-co-hoi-va-thach-thuc.htm

2. Hà Tâm (2021). Rửa tiền qua ví điện tử: Mối lo từ các đường dây đánh bạc ngàn tỷ. Báo Đầu tư, truy cập tại https://baodautu.vn/rua-tien-qua-vi-dien-tu-moi-lo-tu-cac-duong-day-danh-bac-ngan-ty-d155396.html

3. HyperLead Việt Nam (2022). Báo cáo thị trường Fintech Việt Nam 2021. Truy cập tại https://advertisingvietnam.com/hyperlead-bao-cao-thi-truong-fintech-viet-nam-2021-p19903

4. Lê Văn Luyện (2015). Dịch vụ cung ứng hạ tầng thanh toán tại Việt Nam, vai trò và giải pháp phát triển. Tạp chí Ngân hàng (tháng 02/2015), tr110-115;

5. Ngân hàng Nhà nước Việt Nam (2023). Danh sách các tổ chức không phải là ngân hàng được Ngân hàng Nhà nước cấp giấy phép hoạt động cung ứng dịch vụ trung gian thanh toán. Truy cập tại https://www.sbv.gov.vn/webcenter/portal/vi/menu/trangchu/tk/hdtt/ctccudvtt

US LEGAL EXPERIENCE ON CUSTOMER INFORMATION SECURITY

OF PAYMENT INTERMEDIARY SERVICE PROVIDERS

• Master. NGUYEN THI BICH MAI

Lecturer, Faculty of Commercial Law, Ho Chi Minh City University of Law

ABSTRACT:

This paper analyzed US legal experience on customer information security of payment intermediary service providers and presented Vietnamese legal regulations on customer information security of organizations. This paper aimed to point out the limitations in the legal framework of this issue. This paper proposed the recommendation of adding regulations to clearly define the legal responsibilities for information security of parties participating in intermediary payment services to strengthen the legal corridor of this activity in Vietnam.

Keywords: information security, payment intermediary services, payment intermediary service providers, customers.

[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghê, số 15 tháng 6 năm 2024]

Tạp chí Công Thương