Trên diễn đàn Raid***, tài khoản Litur*** đăng tải bài viết cho biết đang nắm giữ thông tin của 2 triệu người dùng của một ngân hàng ở Việt Nam.
Những thông tin này gồm tên đầy đủ, số chứng minh thư, số điện thoại, địa chỉ nhà, ngày tháng năm sinh, giới tính, email và nghề nghiệp của khách hàng.
Người nắm giữ thông tin ngân hàng tuyên bố họ có đầy đủ dữ liệu của tất cả khách hàng. Thư mục chứa 2 triệu dữ liệu này chưa phải duy nhất. Trong thời gian tới, hacker sẽ đăng thêm những dữ liệu khác.
Trong trường hợp này, ngân hàng nói trên phải có trách nhiệm thế nào khi 2 triệu thông tin khách hàng bị lộ?
Ngân hàng phải bảo mật thông tin của khách
Trao đổi với Zing.vn, luật sư Trần Minh Hải (Công ty Luật Basico) cho biết theo Luật các tổ chức tín dụng 2010 (sửa đổi bổ sung năm 2017), ngân hàng phải có trách nhiệm bảo mật thông tin tiền gửi khách hàng, thông tin giao dịch và thông tin tài sản khách hàng.
Trong mọi trường hợp, bảo vệ bí mật thông tin khách hàng là trách nhiệm của ngân hàng. Ngân hàng không được cung cấp thông tin khách hàng cho bên thứ ba mà không có sự chấp thuận, trừ trường hợp cung cấp theo quy định của pháp luật.
Với vụ việc này, luật sư Hải đặt câu hỏi về việc làm sao hacker có được thông tin của chừng đó khách để đăng lên diễn đàn?
"Có thể đặt nhiều trường hợp giả thiết như hacker giả mạo thông tin để lôi kéo, dụ dỗ khách để chiếm đoạt tiền; với trường hợp này thì thông tin không thật nên không ảnh hưởng. Còn nếu trường hợp dữ liệu khách hàng hoàn toàn là thật thì hành vi đưa công khai thông tin này là vi phạm pháp luật nghiêm trọng", luật sư Hải nhận định.
Theo luật sư, việc hacker có được thông tin cho thấy có mối liên hệ nguyên nhân, kết quả mà ở đây có thể từ phía ngân hàng nói trên đã để xảy ra lỗ hổng trong việc bảo mật an ninh. Do đó, mấu chốt ở đây là xác minh làm rõ thông tin của khách hàng bị đăng lên diễn đàn có thật hay không.
Xử hành chính hoặc hình sự tùy mức độ
Luật sư Nguyễn Ngọc Việt (Đoàn Luật sư TP.HCM) nêu quan điểm trong trường hợp hàng triệu thông tin đó đúng sự thật thì ngân hàng phải có trách nhiệm với khách.
Ở đây, khách hàng có quyền khiếu nại, khởi kiện và yêu cầu bồi thường thiệt hại theo quy định của pháp luật trong trường hợp có cơ sở cho rằng ngân hàng đã cung cấp, sử dụng thông tin khách hàng không đúng quy định của pháp luật.
Về chế tài, tùy theo tính chất, mức độ vi phạm mà người làm lộ thông tin bí mật của hành khách có thể bị xử lý kỷ luật, xử phạt hành chính hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Về xử phạt hành chính, theo Điều 65 nghị định 185/2013/NĐ-CP thì hành vi vi phạm về bảo vệ thông tin của người tiêu dùng sẽ bị phạt tiền từ 10-20 triệu đồng và buộc tiêu hủy dữ liệu chứa thông tin của người tiêu dùng.
Nếu thông tin liên quan đến bí mật cá nhân người tiêu dùng thì người vi phạm bị phạt tiền gấp hai lần mức phạt trên, hoặc có thể xử lý hình sự theo Điều 291 về Thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng.