Không thông báo phạm vi, mục đích sử dụng thông tin trước khi thu thập

Kết quả kiểm tra cho thấy Ngân hàng SeABank hiện có 05 hệ thống thông tin cung cấp dịch vụ trực tuyến phục vụ khách hàng cá nhân và doanh nghiệp. Các hệ thống thông tin này do các đơn vị trực thuộc Ngân hàng SeABank quản lý, vận hành, khai thác.

Về việc thu thập TTCN, theo báo cáo của Ngân hàng SeABank, Ngân hàng không ban hành quy trình thu thập, sử dụng TTCN của khách hàng.

Thông tin Ngân hàng SeABank thu thập TTCN của người sử dụng là TTCN khi mở tài khoản, bao gồm: Họ tên, số điện thoại, địa chỉ thường trú, địa chỉ nhà riêng, Email, số tài khoản, ngày tháng năm sinh, giới tính, tình trạng hôn nhân, số chứng minh nhân dân/căn cước công dân/hộ chiếu cùng ngày cấp, ảnh chụp mặt trước, mặt sau chứng minh nhân dân/căn cước công dân, ảnh chụp chân dung, thu nhập, thông tin nghề nghiệp (nhóm ngành, vị trí công tác), thu nhập, thông tin người đại diện hợp pháp (nếu có); dữ liệu đếm bước chân trong Google Fit của khách hàng.

Trong quá trình sử dụng dịch vụ, Ngân hàng SeABank tiếp tục thu thập TTCN phát sinh, gồm: Chữ ký của khách hàng, số dư tài khoản, thông tin liên quan đến giao dịch tiền gửi của khách hàng, số thẻ ngân hàng (thẻ tín dụng, thẻ ghi nợ, thẻ trả trước), thông tin liên quan đến giao dịch nộp tiền, rút tiền, chuyển tiền, nhận tiền của khách hàng, chứng từ giao dịch, thời điểm giao dịch, số lượng giao dịch, giá trị giao dịch, số dư giao dịch, thông tin tài sản đảm bảo của khách hàng...

Để đảm bảo việc cung cấp, sử dụng dịch vụ của người dùng, Ngân hàng SeABank đã ban hành “Điều khoản thỏa thuận về đăng ký và sử dụng dịch vụ ngân hàng hàng ngày cho Khách hàng cá nhân” (Điều khoản) và công khai cho khách hàng website sử dụng tên miền seabank.com.vn và công khai trong quá trình đăng ký mở tài khoản. Ngoài Điều khoản, Ngân hàng SeABank không có bản thông báo nào khác về việc thu thập, sử dụng TTCN trong quá trình cung cấp dịch vụ cho người dùng.

Kết quả kiểm tra, xác minh cho thấy, trong “Điều khoản thỏa thuận về đăng ký và sử dụng dịch vụ ngân hàng hàng ngày cho Khách hàng cá nhân”, Ngân hàng SeABank không nêu rõ thông tin về phạm vi, mục đích của việc thu thập và sử dụng TTCN của khách hàng trước khi tiến hành thu thập TTCN.

Như vậy, Ngân hàng SeABank đã tiến hành thu thập TTCN người dùng khi chưa có sự đồng ý của chủ thể TTCN về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó. Tuy nhiên, theo quy định tại Điều 10 Luật Phòng chống rửa tiền, SeABank có nghĩa vụ phải thu thập các thông tin người dùng nêu trên.

Ảnh chụp màn hình website của Ngân hàng SeABank. (Minh Nguyệt)

TTCN sau khi thu thập được lưu giữ tại các máy chủ của Ngân hàng SeABank. Trong quá trình cung cấp dịch vụ, thông tin người dùng được phân tích, xử lý nhằm phục vụ báo cáo, đánh giá trong nội bộ của Ngân hàng SeABank.

Đáng nói, kết quả kiểm tra Quy định số 1395/2018/QĐ-HĐQT về giữ bí mật và cung cấp thông tin khách hàng; Quy trình số 7559/2019/QT-TGĐ về cung cấp thông tin khách hàng tại Ngân hàng SeABank; Quy định số 2884/2022/QĐ-TGĐ về mở tài khoản tại Ngân hàng SeABank và Điều khoản thỏa thuận về đăng ký và sử dụng dịch vụ ngân hàng hàng ngày cho Khách hàng cá nhân cho thấy Ngân hàng SeABank không công bố công khai biện pháp xử lý, bảo vệ TTCN của tổ chức, cá nhân mình khi xử lý TTCN theo quy định.

Chưa đảm bảo người dùng có thể hủy bỏ TTCN của mình mà SeABank đã thu thập

Về việc thực hiện yêu cầu cập nhật, sửa đổi, hủy bỏ thông tin của chủ thể TTCN đối với các thông tin mà Ngân hàng đã thu thập, lưu trữ: Theo báo cáo của Ngân hàng SeABank, TTCN của khách hàng không được SeABank hủy bỏ kể cả trường hợp khách hàng có yêu cầu hủy bỏ thông tin của mình. Các TTCN mà SeABank thu thập khi người dùng mở tài khoản, thông tin thu thập trong quá trình sử dụng dịch vụ được Ngân hàng SeABank lưu trữ vĩnh viễn. Việc không hủy bỏ TTCN của khách hàng thực hiện theo quy định tại Thông tư số 43/2011/TT-NHNN ngày 20/12/2011 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định thời hạn bảo quản hồ sơ, tài liệu trong ngành Ngân hàng.

Tuy nhiên, qua kiểm tra, xác minh, Đoàn kiểm tra cho biết, Thông tư số 43/2011/TT-NHNN ngày 20/12/2011 đã được thay thế bằng Thông tư số 22/2021/TT-NHNN ngày 29/12/2021 quy định thời hạn bảo quản hồ sơ, tài liệu hình thành trong hoạt động của Ngân hàng Nhà nước Việt Nam. Điều 2 Thông tư số 22/2021/TT-NHNN quy định: “Thông tư này được áp dụng đối với các đơn vị và cán bộ, công chức, viên chức thuộc Ngân hàng Nhà nước Việt Nam (sau đây gọi tắt là Ngân hàng Nhà nước); các tổ chức, cá nhân thực hiện các nhiệm vụ liên quan đến lưu trữ hồ sơ, tài liệu của Ngân hàng Nhà nước”. Thông tư số 22/2021/TT-NHNN không điều chỉnh về thời gian lưu trữ TTCN của người sử dụng dịch vụ tại các ngân hàng thương mại.

Như vậy, Ngân hàng SeABank chưa đảm bảo khả năng cho người dùng có thể thực hiện đầy đủ quyền yêu cầu tổ chức, cá nhân xử lý TTCN hủy bỏ TTCN của mình mà SeABank đã thu thập, lưu trữ hoặc ngừng cung cấp TTCN của mình cho bên thứ ba.

Từ kết quả kiểm tra nêu trên, Thanh tra Bộ Thông tin và Truyền thông yêu cầu Ngân hàng SeABank thông tin đầy đủ phạm vi, mục đích của việc thu thập và sử dụng TTCN của khách hàng trước khi tiến hành thu thập TTCN. Đồng thời, công bố đầy đủ, công khai biện pháp xử lý, bảo vệ TTCN của tổ chức, cá nhân mình khi xử lý TTCN.

Thanh tra Bộ Thông tin và Truyền thông cũng đề nghị Ngân hàng Nhà nước Việt Nam hướng dẫn về việc hủy bỏ TTCN theo yêu cầu của chủ thể thông tin và thực hiện đầy đủ quyền yêu cầu tổ chức, cá nhân xử lý TTCN hủy bỏ TTCN của mình mà Ngân hàng SeABank đã thu thập, lưu trữ theo hướng dẫn./.