Chính phủ vừa ban hành Nghị định số 117 về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng (TCTD), chi nhánh ngân hàng nước ngoài. Nghị định này có hiệu lực từ ngày 1-11-2018.
Nếu so với Nghị định số 70 ban hành năm 2000 về cùng nội dung này, Nghị định 117 đã trao quyền yêu cầu cung cấp thông tin khách hàng của TCTD một cách quá hào phóng cho thêm nhiều cơ quan nhà nước, tổ chức khác và cá nhân. Đây có thể là nguồn gốc và kẽ hở gây ra tình trạng lạm dụng thông tin và/hoặc gây ra tổn thất cũng như là gánh nặng cho TCTD và khách hàng.
Cụ thể, điều 10 về thẩm quyền ký văn bản yêu cầu cung cấp thông tin khách hàng quy định văn bản yêu cầu cung cấp thông tin khách hàng phải do “các cá nhân” (có quy định chi tiết ở điều 10 của nghị định này) ký mà không phải là - một cách chính tắc và phù hợp với ngôn ngữ pháp luật hơn - “đại diện có thẩm quyền” hoặc tương tự của những cơ quan này. Sự nhấn mạnh vào người ký vào văn bản yêu cầu cung cấp thông tin phải là các cá nhân (dù được quy định cụ thể là ai) tạo ra cách hiểu rằng văn bản này là do cá nhân yêu cầu chứ không phải là cơ quan nhà nước, và nếu có vấn đề gì xảy ra thì chỉ cá nhân đó chịu trách nhiệm trước pháp luật chứ không phải là cơ quan nhà nước liên đới.
Hơn nữa, điều 10 này còn cho phép các cá nhân thuộc cơ quan nhà nước, thậm chí ở cấp huyện và tương đương như tòa án, viện kiểm sát, hải quan, thuế, thanh tra... được quyền ký văn bản yêu cầu cung cấp thông tin khách hàng. Thậm chí, còn cho phép cả cấp... thành viên (hoặc điều tra viên, chấp hành viên) của đoàn thanh tra, đoàn kiểm toán, cơ quan điều tra, cơ quan thi hành án... được ký vào văn bản yêu cầu cung cấp thông tin khách hàng. Sự trao quyền “thoáng” quá mức này thật khó có thể lý giải một cách thỏa đáng. Chí ít thì người ta sẽ đặt câu hỏi tại sao trưởng các đoàn này không ký mà lại giao cho thành viên ký, hoặc tại sao thành viên mặc nhiên được ký mà không phải tối thiểu là trưởng đoàn.
Điều 11 quy định các trường hợp cung cấp thông tin khách hàng. Theo đó, TCTD chỉ được cung cấp thông tin khách hàng cho tổ chức khác, cá nhân trong một số trường hợp, gồm trường hợp có chấp thuận của khách hàng bằng văn bản hoặc bằng hình thức khác theo thỏa thuận với khách hàng. Quy định như thế này tất nhiên sẽ dẫn đến những trường hợp, ví dụ, thay vì ngân hàng gửi văn bản đến cho khách hàng để lấy được sự đồng thuận của khách hàng cũng bằng văn bản (hoặc khách hàng ra ngân hàng ký văn bản đồng thuận), ngân hàng chỉ cần gọi điện (có ghi âm) hoặc gửi tin nhắn và được khách hàng đồng ý cũng qua điện thoại, tin nhắn. Đây là một trong những kẽ hở để kẻ gian lợi dụng khai thác, bằng cách gọi điện, gửi tin nhắn mạo danh ngân hàng đe dọa khách hàng để lấy thông tin gây thiệt hại cho khách hàng như đã và đang xảy ra nhiều trên thực tế.
Vì vậy, quy định trên và những quy định tương tự trong các văn bản pháp luật khác liên quan đến bảo mật và cung cấp thông tin khách hàng cần hạn chế hình thức nhận sự đồng thuận của khách hàng, theo đó chỉ được qua văn bản. Bằng việc bổ sung quy định như vậy thì khách hàng sẽ nhận thức rõ được và (có quyền) từ chối trả lời, hợp tác với bất kể một chủ thể nào khác (qua những hình thức liên lạc khác) để giảm thiểu khả năng bị lừa gạt, lợi dụng.
Mặc dù điều 12 (và các điều liên quan như điều 7) có quy định về thời hạn cung cấp thông tin khách hàng nhưng đây dường như chỉ là quy định về thời hạn TCTD phải cung cấp thông tin khách hàng theo yêu cầu của cơ quan nhà nước. Trong Nghị định 117 không có quy định nào khác liên quan đến thời gian có hiệu lực mà trong thời gian này, TCTD phải liên tục cung cấp (cập nhật) thông tin khách hàng cho cơ quan nhà nước. Vì vậy, cần có thêm quy định rằng cơ quan nhà nước khi yêu cầu TCTD cung cấp thông tin khách hàng phải nêu rõ yêu cầu này có hiệu lực trong thời gian cụ thể là bao lâu để tránh sự diễn giải rằng một khi cơ quan nhà nước đã yêu cầu cung cấp thông tin khách hàng thì TCTD có nghĩa vụ phải đáp ứng yêu cầu này một cách vĩnh viễn, trong thời gian không xác định.
Điều 13 quy định về quyền và nghĩa vụ của khách hàng. Điều đáng chú ý là trong số những quyền của khách hàng được quy định tại điều này, không có quyền của khách hàng được biết, được thông báo trước (ít nhất là khi, ví dụ, mở tài khoản, sử dụng dịch vụ của ngân hàng...) rằng thông tin về khách hàng có thể sẽ được cung cấp cho tổ chức khác (mà không báo cho khách hàng biết). Nếu có quyền này và ngân hàng buộc phải tuân thủ thì sẽ có trường hợp khách hàng lựa chọn từ chối giao dịch và/hoặc sử dụng dịch vụ của ngân hàng này (nếu họ coi trọng tính riêng tư, bảo mật, và đây là quyền lợi hợp pháp của họ).
Liên quan đến nội dung trên, điều 14 quy định về quyền và trách nhiệm của TCTD, chi nhánh ngân hàng nước ngoài trong việc giữ bí mật, cung cấp thông tin khách hàng. Như đã phân tích ở trên, điều 14 cần được bổ sung quy định buộc TCTD phải thông báo cho khách hàng biết rõ khả năng thông tin của họ sẽ được cung cấp cho bên thứ ba (mà không cần phải báo cho khách hàng) theo quy định của pháp luật, để khách hàng kịp thời có lựa chọn phù hợp (sử dụng hay không sử dụng dịch vụ của TCTD).
Ở một góc độ khác, khoản 2 điều 15 về quyền và trách nhiệm của cơ quan nhà nước, tổ chức khác, cá nhân quy định rằng: “Cơ quan nhà nước, tổ chức khác, cá nhân phải chịu trách nhiệm theo quy định của pháp luật đối với việc làm lộ thông tin khách hàng, sử dụng thông tin khách hàng không đúng mục đích theo quy định của pháp luật”. Quy định này cần được bổ sung điều khoản trách nhiệm khi yêu cầu cung cấp thông tin sai thẩm quyền, không phù hợp với (nội dung) công việc được giao của cơ quan nhà nước, tổ chức khác và cá nhân ra yêu cầu cung cấp thông tin khách hàng. Thiếu vắng điều khoản quy trách nhiệm này sẽ tạo điều kiện nảy sinh các yêu cầu cung cấp thông tin không cần thiết, không chính đáng và, đặc biệt là, mang tính trục lợi, làm phương hại đến TCTD và khách hàng của họ.