Ngân hàng phải hủy bỏ thông tin cá nhân khi có yêu cầu của khách hàng
Kiểm tra việc chấp hành pháp luật về an toàn thông tin mạng, bảo vệ bí mật thông tin cá nhân (TTCN) tại 1 ngân hàng thương mại cổ phần, Thanh tra Bộ Thông tin và Truyền thông ban hành kết luận, cho thấy một số tồn tại trong việc thu thập và sử dụng, các biện pháp xử lý, bảo vệ TTCN cũng như đảm bảo quyền người dùng đối với TTCN của mình.
Cụ thể, theo báo cáo của ngân hàng, TTCN của khách hàng sẽ không được hủy bỏ kể cả trường hợp khách hàng có yêu cầu hủy bỏ thông tin của mình. Các TTCN mà ngân hàng thu thập khi người dùng mở tài khoản, thông tin thu thập trong quá trình sử dụng dịch vụ được lưu trữ vĩnh viễn.
Theo giải trình của phía ngân hàng, việc không hủy bỏ TTCN của khách hàng là thực hiện theo quy định tại Thông tư số 43/2011/TT-NHNN ngày 20/12/2011 quy định thời hạn bảo quản hồ sơ, tài liệu trong ngành Ngân hàng.
Đoàn kiểm tra xác minh nhận thấy, Thông tư số 43/2011/TT NHNN ngày 20/12/2011 đã được thay thế bằng Thông tư số 22/2021/TT-NHNN ngày 29/12/2021 quy định thời hạn bảo quản hồ sơ, tài liệu hình thành trong hoạt động của Ngân hàng Nhà nước Việt Nam. Tuy nhiên, Thông tư số 22/2021/TT-NHNN không điều chỉnh về thời gian lưu trữ TTCN của người sử dụng dịch vụ tại các ngân hàng thương mại.
Như vậy, ngân hàng chưa đảm bảo khả năng cho người dùng có thể thực hiện đầy đủ quyền yêu cầu tổ chức, cá nhân xử lý TTCN hủy bỏ TTCN của mình mà ngân hàng đã thu thập, lưu trữ hoặc ngừng cung cấp TTCN của mình cho bên thứ ba - kết luận kiểm tra nêu.
Đối với công tác bảo vệ bí mật TTCN, theo báo cáo, ngân hàng không ban hành quy trình thu thập, sử dụng TTCN của khách hàng. Việc thu thập TTCN của người sử dụng được thực hiện qua các hoạt động mở tài khoản, thông tin phát sinh trong quá trình sử dụng dịch vụ (thẻ tín dụng, thẻ ghi nợ, thẻ trả trước, giao dịch nộp tiền, rút tiền, chuyển tiền, nhận tiền của khách hàng…).
Để đảm bảo việc cung cấp, sử dụng dịch vụ của người dùng, ngân hàng đã ban hành “Điều khoản thỏa thuận về đăng ký và sử dụng dịch vụ ngân hàng hàng ngày cho Khách hàng cá nhân” và công khai cho khách hàng website và công khai trong quá trình đăng ký mở tài khoản. Ngoài điều khoản trên, ngân hàng không có bản thông báo nào khác về việc thu thập, sử dụng TTCN trong quá trình cung cấp dịch vụ cho người dùng.
Theo đoàn kiểm tra, trong “điều khoản thỏa thuận về đăng ký và sử dụng dịch vụ ngân hàng hàng ngày cho khách hàng cá nhân” không nêu rõ thông tin về phạm vi, mục đích của việc thu thập và sử dụng TTCN của khách hàng, thông tin về thời gian lưu trữ TTCN của khách hàng.
Như vậy, ngân hàng đã tiến hành thu thập TTCN người dùng khi chưa có sự đồng ý của chủ thể TTCN về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó. Tuy nhiên, theo quy định tại Điều 10 Luật Phòng chống rửa tiền, ngân hàng có nghĩa vụ phải thu thập các thông tin người dùng.
Kiểm tra việc xây dựng và công bố công khai biện pháp xử lý, bảo vệ TTCN của tổ chức, cá nhân mình khi xử lý TTCN, đoàn kiểm tra cho rằng Quy định số 1395/2018/QĐ-HĐQT về giữ bí mật và cung cấp thông tin khách hàng; Quy trình số 7559/2019/QT-TGĐ về cung cấp thông tin khách hàng tại ngân hàng; Quy định số 2884/2022/QĐ-TGĐ về mở tài khoản tại ngân hàng và điều khoản thỏa thuận về đăng ký và sử dụng dịch vụ ngân hàng hàng ngày cho khách hàng cá nhân, cho thấy ngân hàng không công bố công khai biện pháp xử lý, bảo vệ TTCN của tổ chức, cá nhân mình khi xử lý TTCN theo quy định.
Ghi nhận những kết quả ngân hàng đã thực hiện: Lập hồ sơ đề xuất cấp độ, thực hiện thẩm định, phê duyệt hồ sơ đề xuất cấp độ đối với các hệ thống thông tin của ngân hàng đúng quy định; triển khai thực hiện đánh giá và quản lý rủi ro an toàn hệ thống thông tin; giám sát, kiểm tra công tác bảo vệ hệ thống thông tin; triển khai các biện pháp phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại theo quy trình quản lý điểm yếu và mối đe dọa an toàn thông tin; Triển khai và áp dụng biện pháp khắc phục, ngăn chặn sự cố an toàn thông tin mạng; xây dựng, ban hành các quy trình thu thập, quản lý, xử lý TTCN trong nội bộ nhằm đảm bảo an toàn TTCN; sử dụng TTCN đã thu thập theo quy định; áp dụng biện pháp phù hợp để bảo vệ TTCN; thông báo cho chủ thể TTCN đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác; áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ TTCN do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng.
Đoàn kiểm tra đã kiến nghị các biện pháp xử lý: Thông tin đầy đủ phạm vi, mục đích của việc thu thập và sử dụng TTCN của khách hàng trước khi tiến hành thu thập TTCN; công bố đầy đủ, công khai biện pháp xử lý, bảo vệ TTCN của tổ chức, cá nhân mình khi xử lý TTCN; đề nghị Ngân hàng Nhà nước hướng dẫn về việc hủy bỏ TTCN theo yêu cầu của chủ thể thông tin và thực hiện đầy đủ quyền yêu cầu tổ chức, cá nhân xử lý TTCN hủy bỏ TTCN của mình mà ngân hàng đã thu thập, lưu trữ theo hướng dẫn.