TS. Lê Thị Giang
Nguyễn Hà My
Nguyễn Xuân Mai
Lê Khánh Vi
Trường Đại học Luật Hà Nội
(Quanlynhanuoc.vn) – Trong thời đại công nghệ số, ngành Ngân hàng đang có sự phát triển mạnh mẽ với việc ứng dụng trí tuệ nhân tạo (AI), điện toán đám mây, blockchain và dữ liệu lớn (Big Data) nhằm nâng cao hiệu quả hoạt động và trải nghiệm khách hàng. Sự bùng nổ của các dịch vụ ngân hàng số, thanh toán trực tuyến và giao dịch không dùng tiền mặt giúp khách hàng tiếp cận dịch vụ tài chính nhanh chóng và tiện lợi hơn. Tuy nhiên, điều này cũng đặt ra thách thức lớn về an toàn thông tin và bảo vệ dữ liệu cá nhân. Bài viết nghiên cứu pháp luật về bảo vệ dữ liệu cá nhân tại ngân hàng ở Việt Nam và đề xuất một số giải pháp.
Từ khóa: Pháp luật; dữ liệu cá nhân; ngân hàng; dịch vụ tài chính; quản lý nhà nước.
1. Đặt vấn đề
Dữ liệu cá nhân của khách hàng, bao gồm thông tin tài khoản, lịch sử giao dịch, số CMND/CCCD nếu bị lộ lọt hoặc sử dụng sai mục đích có thể gây hậu quả nghiêm trọng, như lừa đảo tài chính, đánh cắp danh tính. Do đó, việc xây dựng và hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng là vô cùng cấp thiết. Các quy định cần chặt chẽ hơn về thu thập, lưu trữ, xử lý và chia sẻ dữ liệu, đồng thời, phải có chế tài nghiêm khắc đối với các vi phạm. Chỉ khi có hành lang pháp lý vững chắc, khách hàng mới có thể yên tâm sử dụng dịch vụ ngân hàng số góp phần thúc đẩy nền kinh tế số phát triển bền vững.
2. Một số kết quả đạt được trong hoạt động bảo vệ dữ liệu cá nhân tại các Ngân hàng ở Việt Nam
Thực tế, các ngân hàng thương mại hàng đầu Việt Nam đã thể hiện sự tuân thủ nghiêm ngặt và đạt được hiệu quả đáng kể trong việc thực thi pháp luật về bảo vệ dữ liệu cá nhân. Với sự phát triển mạnh mẽ của công nghệ, bên cạnh những giá trị to lớn cho phát triển kinh tế – xã hội, việc bảo đảm dữ liệu cá nhân, an ninh mạng và phòng chống tội phạm sử dụng công nghệ cao để lừa đảo trực tuyến là một thách thức lớn.
Theo thống kê của Cục An toàn thông tin, trong năm 2023, có gần 16.000 phản ánh về các trường hợp lừa đảo trên mạng, trong đó có 91% liên quan đến giả mạo, lừa đảo trong lĩnh vực ngân hàng – tài chính. Rủi ro từ hoạt động giả mạo, lừa đảo trên không gian mạng là thách thức mà tất cả các ngân hàng đều phải đối mặt trong xu hướng chuyển đổi số các dịch vụ ngân hàng hiện nay1. Trong bối cảnh đó, các ngân hàng tiên phong, như: Ngân hàng Thương mại Cổ phần Ngoại thương Việt Nam (Vietcombank), Ngân hàng Thương mại cổ phần Công thương Việt Nam (Vietinbank) và Ngân hàng Thương mại cổ phần Quân Đội (MBBank) luôn là những ngân hàng mạnh tay đầu tư cho công nghệ và chủ động thực hiện cam kết bảo vệ tài sản của khách hàng là mục tiêu hàng đầu. Từ nhiều năm nay, các ngân hàng này liên tục phát triển và áp dụng hàng loạt giải pháp bảo vệ ví tiền khách hàng trên không gian mạng, mang lại sự an tâm cho người dùng. Trong quá trình triển khai công tác bảo vệ dữ liệu, các ngân hàng thương mại đã thể hiện nhiều ưu điểm nổi bật về mặt công nghệ, quy trình và nhân sự.
Đi đầu trong công cuộc bảo vệ dữ liệu cá nhân là Vietcombank. Căn cứ theo quy định tại Điều 21 Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ quy định về bảo vệ dữ liệu cá nhân, các ngân hàng đã triển khai toàn diện các biện pháp bảo vệ dữ liệu cá nhân cơ bản. Cụ thể, Vietcombank đã xây dựng và vận hành thành công hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013, tuân thủ đầy đủ quy định tại Điều 41 Luật An toàn thông tin mạng về bảo đảm an toàn hệ thống thông tin theo cấp độ. Theo báo cáo tài chính năm 2023, ngân hàng đã phân bổ 2.500 tỷ đồng để nâng cấp hạ tầng công nghệ và hệ thống bảo mật, ngăn chặn tấn công mạng. Vietcombank đã xây dựng thành công hệ thống bảo mật đa lớp với công nghệ mã hóa đầu cuối tiên tiến. Kết quả đáng ghi nhận là tỷ lệ ngăn chặn thành công các cuộc tấn công mạng đạt 99,9%, một con số ấn tượng trong bối cảnh các mối đe dọa an ninh mạng ngày càng phức tạp. Để bảo đảm chất lượng dịch vụ và bảo mật, ngân hàng đã thành lập Trung tâm Dữ liệu chuyên biệt với đội ngũ chuyên gia về bảo mật và quản trị dữ liệu. Hiệu quả hoạt động của trung tâm này được thể hiện qua tỷ lệ xác thực người dùng thành công đạt 99,97%2.
Song song với việc nâng cao năng lực kỹ thuật, Vietcombank cũng chú trọng phát triển nguồn nhân lực thông qua việc tổ chức 52 khóa đào tạo về an toàn thông tin cho nhân viên trong năm 2023. Ngân hàng cũng tích cực phối hợp với cơ quan công an trong việc điều tra và ngăn chặn các vụ lừa đảo, góp phần bảo vệ quyền lợi khách hàng. Một trong những điểm nổi bật trong chiến lược bảo mật của Vietcombank là việc áp dụng các phương thức xác thực đa yếu tố và sinh trắc học trong các giao dịch ngân hàng số, nâng cao tính an toàn cho người dùng.
Tiếp đến, VietinBank cũng đã áp dụng nghiêm Điều 46 Luật Giao dịch điện tử về bảo đảm an toàn thông tin trong giao dịch điện tử ngân hàng. Đặc biệt, thành lập và vận hành Trung tâm Điều hành An ninh mạng 24/7, tích hợp công nghệ AI trong phát hiện gian lận, bảo đảm quyền và lợi ích hợp pháp của chủ thể dữ liệu theo Điều 38 Bộ luật Dân sự. Theo số liệu công bố, trong năm 2023, Trung tâm Điều hành An ninh mạng của VietinBank đã phát hiện và ngăn chặn thành công 15.000 cuộc tấn công mạng, bảo vệ an toàn cho 18 triệu khách hàng. Ngân hàng đã đi đầu trong việc ứng dụng công nghệ AI và Machine Learning vào công tác phát hiện gian lận, với thành tích đáng kể là phát hiện và ngăn chặn thành công hơn 10.000 giao dịch đáng ngờ trong năm 2023.
Về mặt bảo mật người dùng, Vietinbank đạt tỷ lệ thành công trong xác thực người dùng lên đến 99,95%3, khẳng định độ tin cậy cao trong việc bảo vệ tài khoản khách hàng. Để duy trì và nâng cao chất lượng dịch vụ, ngân hàng đã tổ chức nhiều khóa đào tạo an toàn thông tin cho nhân viên trong năm 2023. Một thành tựu quan trọng khác là việc Vietinbank đạt được chứng chỉ bảo mật quốc tế PCI DSS lần thứ 5 về bảo mật thông tin thẻ thanh toán, bảo đảm tuân thủ các tiêu chuẩn quốc tế về bảo mật trong lĩnh vực thanh toán. VietinBank cũng đã xây dựng quy trình xử lý và phản hồi sự cố bảo mật nhanh chóng, kết hợp với hệ thống phân loại và quản lý dữ liệu theo mức độ nhạy cảm. Đặc biệt, ngân hàng đã triển khai các giải pháp bảo mật tiên tiến như mã hóa đầu cuối, xác thực đa yếu tố và sinh trắc học, tạo nên một hệ thống bảo mật dữ liệu cá nhân đồng bộ và toàn diện.
Cùng với các ngân hàng trên, MB tuân thủ các biện pháp bảo vệ dữ liệu cá nhân, ngay từ năm 2017, khi bắt đầu hành trình chuyển đổi số, MB nhận thức rõ ràng về thách thức kép: số hóa dịch vụ và bảo đảm an toàn tuyệt đối cho khách hàng. Ngân hàng nhận chứng chỉ quốc tế về bảo mật thẻ thanh toán PCI DSS năm thứ tư liên tiếp. Mỗi năm, ngân hàng chi hơn 1.000 tỷ đồng để nâng cấp hạ tầng công nghệ, xây dựng một hệ thống có khả năng phân tích hành vi khách hàng chính xác, phát hiện giao dịch bất thường và bảo đảm giao dịch thông suốt. Để đối phó với các mối đe dọa ngày càng tinh vi, MB đã chủ động làm chủ công nghệ trong đó có AI.
Không dừng lại ở đó, MB còn cho ra mắt bộ giải pháp App Protection trên App MBBank. Theo đại diện Ngân hàng, App Protection được thiết kế như một lớp bảo vệ tiên tiến nhất trong hệ thống an ninh của các ngân hàng hiện nay. Với bộ giải pháp này, App MBBank có thể phát hiện và cảnh báo người dùng khi thiết bị di động có dấu hiệu bị tấn công từ các yếu tố bên ngoài, gây mất kiểm soát thiết bị dẫn đến nguy cơ mất tiền trên tài khoản. Khách hàng sẽ được thông báo nếu có các phần mềm độc hại, gián điệp hoặc các thiết bị không an toàn do bị can thiệp trái phép hay bị điều khiển từ xa từ thiết bị khác. Bộ giải pháp này sẽ đóng vai trò quan trọng trong việc bảo vệ thông tin cá nhân của khách hàng, giúp ngăn chặn việc đánh cắp các dữ liệu nhạy cảm như thông tin đăng nhập ứng dụng ngân hàng, mã PIN, số thẻ tín dụng, từ đó, ngăn chặn các hành vi gian lận và chiếm đoạt dữ liệu cá nhân, tiền trong tài khoản ngân hàng. Quy trình hoạt động của App Protection được thiết kế để nâng cao bảo mật mà vẫn duy trì trải nghiệm người dùng tốt nhất. Cụ thể, khi mở App MBBank, hệ thống sẽ tự động quét và kiểm tra môi trường. Nếu phát hiện bất kỳ dấu hiệu đáng ngờ nào, một cảnh báo sẽ ngay lập tức được gửi đến khách hàng.
3. Một số bất cập, hạn chế trong pháp luật về bảo vệ dữ liệu cá nhân tại các ngân hàng ở Việt Nam
Các chính sách mới về bảo vệ dữ liệu cá nhân được nhận xét tạo hành lang pháp lý chặt chẽ, tuy nhiên, bên cạnh những mặt tích cực, vẫn để lại không ít băn khoăn, đặc biệt đối với cộng đồng doanh nghiệp nói chung và lĩnh vực ngân hàng nói riêng. Theo thống kê của Bộ Công an, mặc dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chỉ có Nghị định số 13/2023/NĐ-CP đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân nên cần thống nhất thực hiện trong thực tiễn, theo đó cần có văn bản luật làm “luật gốc”, mang tính nguyên tắc, góp phần tiếp tục thể chế hóa quy định của Hiến pháp để các quy phạm khác tuân thủ, phát triển.
Bên cạnh đó, bất cập còn đến từ xung đột trong việc áp dụng Nghị định số 13/2023/NĐ-CP vào lĩnh vực ngân hàng, do quy định của Nghị định số 13/2023/NĐ-CP cho phép cá nhân từ chối hoặc yêu cầu xóa dữ liệu, nếu áp dụng một cách cứng nhắc trong lĩnh vực ngân hàng sẽ gây khó khăn cho hoạt động thu thập và xử lý dữ liệu phục vụ quản lý tài chính, phòng chống rủi ro và gian lận. Điều này có thể ảnh hưởng đến tính an toàn của hệ thống ngân hàng và hệ thống tiền tệ. Ngoài ra, nhiều thách thức trong việc tuân thủ yêu cầu về sự đồng ý và thông báo trước khi xử lý dữ liệu cá nhân trong ngành ngân hàng vẫn còn tồn tại. Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân quy định, bên kiểm soát dữ liệu và bên xử lý dữ liệu phải có sự đồng ý của chủ thể dữ liệu trong tất cả các quy trình xử lý dữ liệu và phải thông báo trước khi tiến hành xử lý dữ liệu cá nhân. Nếu áp dụng cứng nhắc Nghị định số 13/2023/NĐ-CP, các ngân hàng sẽ phải thiết lập thêm nhiều quy trình lấy ý kiến khách hàng, điều này không chỉ làm tăng chi phí vận hành (do phải đầu tư vào hệ thống quản lý dữ liệu và nhân lực giám sát) mà còn có thể kéo dài thời gian cung cấp dịch vụ.
Đồng thời, để bảo đảm tuân thủ các quy định của Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, các tổ chức tín dụng buộc phải thực hiện hàng loạt điều chỉnh trong hệ thống công nghệ thông tin, quy trình nội bộ, hợp đồng, biểu mẫu, thỏa thuận với khách hàng nhằm tích hợp đầy đủ các yêu cầu về bảo vệ dữ liệu cá nhân. Tuy nhiên, một trong những thách thức lớn nhất là nội dung của Nghị định số 13/2023/NĐ-CP còn mang tính khái quát và định tính, chưa có hướng dẫn chi tiết về nhiều khía cạnh quan trọng, gây khó khăn trong thực thi. Đặc biệt, thời gian từ khi Nghị định được ban hành đến khi có hiệu lực chỉ chưa đầy 3 tháng (từ ngày 17/4/2023 đến 01/7/2023), không đủ để các tổ chức tín dụng rà soát và điều chỉnh toàn bộ hệ thống. Việc nâng cấp hạ tầng công nghệ để đáp ứng yêu cầu mới cũng đòi hỏi nguồn lực tài chính và nhân sự lớn, tạo áp lực lên các ngân hàng, nhất là những ngân hàng có quy mô dữ liệu khách hàng khổng lồ.
4. Giải pháp hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong ngân hàng
Một là, Việt Nam chưa có một văn bản luật riêng biệt, toàn diện và thống nhất về vấn đề bảo vệ dữ liệu cá nhân mà các quy định nằm rải rác trong nhiều văn bản khác nhau, gây khó khăn cho việc áp dụng thống nhất và đầy đủ. Do đó, việc ban hành luật bảo vệ dữ liệu cá nhân sẽ tạo nền tảng pháp lý vững chắc cho việc bảo vệ quyền riêng tư trong kỷ nguyên số. Để Luật Bảo vệ dữ liệu cá nhân thực sự đi vào cuộc sống, các luật chuyên ngành, như: Luật Giao dịch điện tử, Luật An toàn thông tin mạng, Luật An ninh mạng, Luật Các tổ chức tín dụng… cần được rà soát kỹ lưỡng và điều chỉnh. Mục tiêu là tạo ra một hệ thống pháp luật đồng bộ, nhất quán, loại bỏ mọi quy định chồng chéo, mâu thuẫn, bổ sung những quy định còn thiếu và làm rõ những quy định chưa rõ ràng.
Hai là, để hiện thực hóa các quy định của pháp luật về bảo vệ dữ liệu cá nhân (dữ liệu cá nhân), đồng thời tăng cường giám sát việc tuân thủ trong lĩnh vực ngân hàng, các cơ quan quản lý nhà nước đóng vai trò then chốt. Trách nhiệm này đòi hỏi một loạt các hành động cụ thể, được triển khai một cách đồng bộ và có sự phối hợp chặt chẽ. Song song với việc hoàn thiện hành lang pháp lý, tăng cường thanh tra, kiểm tra, giám sát và xử lý vi phạm là yếu tố then chốt để bảo đảm hiệu quả thực thi. Ngân hàng Nhà nước cần tăng cường tần suất và phạm vi thanh tra, kiểm tra (cả định kỳ và đột xuất) việc tuân thủ quy định về bảo vệ dữ liệu cá nhân tại các tổ chức tín dụng. Sự phối hợp liên ngành giữa Bộ Công an, Bộ Thông tin và Truyền thông và Ngân hàng Nhà nước là cần thiết để điều tra, xác minh và xử lý các vụ việc vi phạm, đặc biệt là các vụ có dấu hiệu tội phạm. Không chỉ dừng lại ở việc phát hiện và xử lý, các biện pháp xử phạt hành chính (như phạt tiền, đình chỉ hoạt động) và hình sự (trong trường hợp đủ yếu tố cấu thành tội phạm) cần được áp dụng một cách nghiêm khắc, đủ sức răn đe, để tạo ra một “hồi chuông cảnh tỉnh” cho toàn ngành.
Ba là, đối với các tổ chức tín dụng và ngân hàng, việc xây dựng và thực hiện chính sách bảo vệ dữ liệu cá nhân là bước đi căn bản. Chính sách này không chỉ là một tài liệu nội bộ thông thường mà phải là một lời cam kết từ cấp lãnh đạo cao nhất được diễn đạt một cách rõ ràng, minh bạch và dễ tiếp cận đối với cả nhân viên và khách hàng. Các ngân hàng cần xem xét kỹ lưỡng toàn bộ quy trình có liên quan đến dữ liệu cá nhân, từ khâu thu thập, xử lý, lưu trữ đến khi chia sẻ, nhằm bảo đảm tính tuân thủ, tối ưu hóa và an toàn. Để làm được điều này, cần xác định rõ mục đích thu thập dữ liệu, có được sự chấp thuận một cách rõ ràng từ phía khách hàng (trừ các trường hợp ngoại lệ theo luật định), bảo đảm tính minh bạch trong việc sử dụng dữ liệu, áp dụng các biện pháp bảo mật thích hợp, và thiết lập cơ chế hỗ trợ khách hàng thực hiện các quyền lợi liên quan.
Ngoài ra, việc đầu tư vào công nghệ bảo mật không chỉ là một khuyến nghị mà là một yêu cầu thiết yếu. Các ngân hàng cần chủ động triển khai các giải pháp công nghệ hiện đại, tương xứng với quy mô và đặc thù hoạt động, chẳng hạn như mã hóa dữ liệu, xác thực đa yếu tố, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), hệ thống quản lý thông tin bảo mật (SIEM), cũng như các giải pháp bảo mật khác. Đồng thời, việc thường xuyên cập nhật, nâng cấp các hệ thống bảo mật là điều bắt buộc để đối phó với các mối đe dọa an ninh mạng ngày một tinh vi.
Các ngân hàng cần đưa nội dung về bảo vệ dữ liệu cá nhân vào chương trình đào tạo chính thức, tổ chức các khóa đào tạo chuyên sâu, và quan trọng hơn, xây dựng một văn hóa bảo mật trong toàn tổ chức, nơi mà việc bảo vệ dữ liệu cá nhân được coi là trách nhiệm chung của mọi thành viên. Ngoài ra, các ngân hàng cần thiết lập quy trình xử lý sự cố, thúc đẩy hợp tác và minh bạch thông tin. Một quy trình xử lý sự cố an ninh dữ liệu được xây dựng bài bản, chi tiết, bao gồm các bước từ phát hiện, đánh giá, ngăn chặn, khắc phục, thông báo đến rút kinh nghiệm, là “phòng tuyến” sau cùng khi rủi ro xảy ra.
Ngoài ra, việc hợp tác mật thiết với cơ quan chức năng, chia sẻ kinh nghiệm với các tổ chức tín dụng bạn và minh bạch thông tin với khách hàng sẽ góp phần củng cố niềm tin và nâng cao uy tín của ngân hàng. Sau cùng, đánh giá rủi ro và tuân thủ phải là một hoạt động thường xuyên, liên tục. Các ngân hàng cần thực hiện đánh giá rủi ro bảo mật dữ liệu cá nhân một cách định kỳ, rà soát và cập nhật chính sách, quy trình để bảo đảm tuân thủ các quy định mới nhất của pháp luật, cũng như thích ứng với những biến động của môi trường kinh doanh và công nghệ. Thêm vào đó, cơ chế kiểm tra, giám sát nội bộ cần được thiết lập và vận hành hiệu quả để bảo đảm việc tuân thủ được thực hiện một cách nghiêm túc và nhất quán.
5. Kết luận
Dữ liệu cá nhân không những là tài sản quan trọng của các ngân hàng mà còn là tài sản của quốc gia. Vì thế, hệ thống Ngân hàng cần chú trọng bảo mật tuyệt đối an toàn dữ liệu cá nhân để bảo vệ an toàn tài chính của khách hàng, cán bộ và nhân viên; khi dữ liệu cá nhân được bảo vệ an toàn thì chi phí hoạt động của ngân hàng sẽ được tối ưu hóa do không phải gánh chịu chi phí xử lý vi phạm thông tin, từ đó, hiệu quả hoạt động của ngân hàng sẽ được nâng cao, giúp ngân hàng phát triển và tăng trưởng bền vững. Để làm được điều này, ngân hàng cần khuyến cáo người dùng – chủ thể dữ liệu cần phải bảo vệ, gìn giữ thông tin cá nhân nhằm hạn chế rủi ro trên môi trường mạng. Đồng thời, ngân hàng phải thường xuyên kiểm soát dữ liệu để bảo vệ tài sản quan trọng nhất, giá trị nhất đó chính là bảo vệ dữ liệu cá nhân; song song đó, cần phải thực hiện quy trình bảo đảm an toàn thông tin và bảo vệ dữ liệu thông qua việc xây dựng các chính sách, quản lý rủi ro, tiêu chuẩn tại các Ngân hàng thông qua việc chú trọng hài hòa 3 yếu tố trọng tâm: Quy trình – Công nghệ – Khách hàng.
Chú thích:
1, 2, 3. Bảo vệ dữ liệu cá nhân trong giai đoạn chuyển đổi số tại Việt Nam. https://tcdcpl.moj.gov.vn/qt/tintuc/Pages/xay-dung-phap-luat.aspx?ItemID=738.
Tài liệu tham khảo:
1. Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong thời kỳ hội nhập. http://khoahockiemsat.hpu.vn/portal/article/view/196
2. Một số giải pháp góp phần hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam. https://doi.org/10.62829/VNHN.339.26.30
3. Pháp luật về bảo hộ dữ liệu cá nhân trong bối cảnh phát triển trí tuệ nhân tạo và các công nghệ số mới nổi khác. https://tapchi.hul.edu.vn/index.php/jl/article/view/102.
4. Phạm Thị Hiền (2021). Pháp luật về bảo vệ dữ liệu cá nhân trong nền kinh tế số ở Việt Nam hiện nay. Tạp chí Công thương số 25 (2021).
5. Nguyễn Lan Phương, Nguyễn Quang Đồng (2022). Bảo vệ dữ liệu cá nhân ở Việt Nam? Tạp chí Tia Sáng số 6 (2022).
6. Tăng cường hiệu quả bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng. https://baochinhphu.vn/tang-cuong-hieu-qua-bao-ve-du-lieu-ca-nhan-trong-linh-vuc-ngan-hang-102230629164734487.htm.
7. Bygrave, L. A (2014). “Data privacy law: An international perspective (First edition)”. Oxford University Press.
8. Data protection as a fundamental right next to privacy? “Reconstructing” a not so new right. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3076415.
9. Data protection, scientific research, and the role of information. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3537186.
