Bảo đảm an toàn trong việc kết nối và xử lý dữ liệu của khách hàng khi triển khai Open API

Ngày 31/12/2024, Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) ban hành Thông tư số 64/2024/TT-NHNN quy định về triển khai giao diện lập trình ứng dụng mở (Open API) trong ngành Ngân hàng (Thông tư số 64/2024/TT-NHNN). Theo đó, ngân hàng, khách hàng và bên thứ ba (sau đây gọi là các bên) khi triển khai Open API phải tuân thủ các quy định của pháp luật về giữ bí mật, cung cấp thông tin khách hàng và bảo vệ dữ liệu cá nhân. Việc xử lý dữ liệu cá nhân của khách hàng chỉ phục vụ cho chính khách hàng đó, trừ trường hợp theo quy định của pháp luật. Dữ liệu trong quá trình xử lý phải được quản lý, lưu trữ, khai thác, sử dụng đúng mục đích tại hợp đồng giữa các bên và phù hợp với quy định của pháp luật.

Ảnh minh họa - Nguồn: Internet

Tuân thủ quy định pháp luật về bảo vệ dữ liệu cá nhân

Theo Thông tư số 64/2024/TT-NHNN, các thuật ngữ dưới đây được hiểu như sau:

Giao diện lập trình ứng dụng (Application Programming Interface - API) là giao diện cho phép giao tiếp giữa các ứng dụng phần mềm trong một tổ chức hoặc giữa các tổ chức với nhau.

Open API là tập hợp các API được ngân hàng cung cấp cho bên thứ ba trực tiếp kết nối, xử lý dữ liệu để cung ứng dịch vụ cho khách hàng. Open API gồm: Open API cơ bản và Open API khác.

Hệ thống thử nghiệm Open API là hệ thống thông tin của ngân hàng cung cấp cho bên thứ ba để thử nghiệm các Open API trước khi triển khai chính thức.

Khách hàng là cá nhân sử dụng dịch vụ của ngân hàng.

Bên thứ ba là tổ chức hoặc ngân hàng khác có thỏa thuận bằng hợp đồng với ngân hàng trong việc kết nối, xử lý dữ liệu qua Open API để cung ứng dịch vụ cho khách hàng.

Sự đồng ý của khách hàng là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của khách hàng.

Về nguyên tắc chung, tại Điều 4 của Thông tư số 64/2024/TT-NHNN quy định: Ngân hàng, khách hàng và bên thứ ba (sau đây gọi là các bên) khi triển khai Open API phải tuân thủ các yêu cầu sau: (1) Tuân thủ các quy định của pháp luật về giữ bí mật, cung cấp thông tin khách hàng và bảo vệ dữ liệu cá nhân. Việc xử lý dữ liệu cá nhân của khách hàng chỉ phục vụ cho chính khách hàng đó, trừ trường hợp theo quy định của pháp luật. (2) Dữ liệu trong quá trình xử lý phải được quản lý, lưu trữ, khai thác, sử dụng đúng mục đích tại hợp đồng giữa các bên và phù hợp với quy định của pháp luật. (3) Dữ liệu trong quá trình xử lý phải bảo đảm tính cập nhật và chính xác. Trường hợp có sai lệch phải thực hiện đính chính, hiệu chỉnh kịp thời theo thỏa thuận giữa các bên.

Tại Điều 8 Thông tư số 64/2024/TT-NHNN quy định: Hợp đồng giữa ngân hàng với bên thứ ba, ngân hàng phải ký kết hợp đồng với bên thứ ba về việc triển khai Open API, bao gồm tối thiểu các nội dung sau: Cam kết bảo mật thông tin, trong đó có thỏa thuận về việc bảo đảm an toàn, bảo mật thông tin khi thực hiện xử lý dữ liệu qua Open API do ngân hàng cung cấp; cam kết sử dụng dữ liệu do ngân hàng cung cấp đúng phạm vi, mục đích; bên thứ ba phải thông báo cho ngân hàng khi phát hiện nhân sự vi phạm quy định về an toàn thông tin mạng khi triển khai Open API; thông tin về dịch vụ cung cấp cho khách hàng được triển khai qua Open API; thông tin về phí dịch vụ cung cấp cho khách hàng được triển khai qua Open API (nếu có); điều khoản về hệ thống thông tin của bên thứ ba kết nối, xử lý dữ liệu qua Open API phải được đánh giá, xác định cấp độ theo quy định của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; quyền truy cập dữ liệu của bên thứ ba khi triển khai Open API; điều khoản chấm dứt hợp đồng.

Thông tư số 64/2024/TT-NHNN cũng quy định cụ thể quyền và trách nhiệm của ngân hàng và bên thứ ba, cụ thể:

Tại Điều 10 Thông tư số 64/2024/TT-NHNN quy định: Quyền của ngân hàng: (1) Yêu cầu bên thứ ba cung cấp các thông tin cần thiết liên quan đến quá trình kết nối, xử lý dữ liệu qua Open API; (2) Các quyền khác quy định trong hợp đồng với bên thứ ba.

Tại Điều 11 Thông tư số 64/2024/TT-NHNN quy định: Trách nhiệm của ngân hàng: (1) Hoàn thiện cơ sở hạ tầng hệ thống thông tin phục vụ triển khai Open API để sẵn sàng kết nối, xử lý dữ liệu; (2) Xây dựng và hoàn thiện các tài liệu hướng dẫn kết nối, xử lý dữ liệu; (3) Bảo đảm chất lượng dữ liệu trong quá trình triển khai Open API. Thông báo kịp thời cho bên thứ ba khi có sai lệch dữ liệu và phối hợp với bên thứ ba đính chính, hiệu chỉnh kịp thời; (4) Bảo đảm an toàn, an ninh mạng cho hệ thống thông tin triển khai Open API, đáp ứng tối thiểu cấp độ 3 theo quy định của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và tuân thủ quy định của NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng; (5) Cung cấp công cụ hoặc chức năng cho phép khách hàng thực hiện: a) Tra cứu các dữ liệu mà khách hàng đồng ý cho bên thứ ba xử lý; b) Rút lại sự đồng ý của khách hàng theo quy định của pháp luật; (6) Thiết lập thời hạn được thực hiện truy vấn thông tin của khách hàng sau khi được khách hàng đồng ý không quá 180 ngày, trừ trường hợp có thỏa thuận khác giữa khách hàng với ngân hàng; (7) Cung cấp thông tin tình hình triển khai Open API cho NHNN (thông qua Cục Công nghệ thông tin) khi được yêu cầu; (8) Phối hợp với bên thứ ba theo thỏa thuận và với cơ quan có thẩm quyền để giải quyết vướng mắc, tranh chấp trong quá trình triển khai Open API; (9) Có giải pháp công nghệ giới hạn số lần truy vấn tự động thông tin của khách hàng từ bên thứ ba; (10) Chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý bên thứ ba; (11) Thực hiện cập nhật hoặc thu hồi quyền truy cập dữ liệu của bên thứ ba khi có thay đổi theo hợp đồng; (12) Giám sát hoạt động truy cập: a) Có hệ thống giám sát để phát hiện và ngăn chặn các hành vi truy cập bất thường hoặc trái phép từ bên thứ ba; b) Ghi nhật ký toàn bộ việc sử dụng Open API từ bên thứ ba tối thiểu trong vòng 03 tháng và sao lưu tối thiểu 01 năm để phục vụ kiểm tra khi cần thiết.

Điều 12 Thông tư số 64/2024/TT-NHNN quy định: Quyền và trách nhiệm của bên thứ ba: (1) Bên thứ ba có các quyền theo hợp đồng hoặc thỏa thuận với ngân hàng, khách hàng. (2) Trách nhiệm của bên thứ ba: a) Cung cấp công cụ hoặc chức năng cho phép khách hàng thực hiện trực tuyến: (i) Tra cứu các dữ liệu mà khách hàng đồng ý cho bên thứ ba xử lý; (ii) Rút lại sự đồng ý của khách hàng theo quy định của pháp luật; b) Thông báo cho khách hàng các điều khoản, điều kiện về việc sử dụng dịch vụ và hướng dẫn khách hàng cách thức sử dụng dịch vụ; c) Ban hành quy trình quản lý rủi ro; quy trình chăm sóc khách hàng; quy trình xử lý khiếu nại; quy trình giải quyết tranh chấp; quy trình bảo đảm hoạt động liên tục và quy trình sử dụng dịch vụ khi cung cấp dịch vụ cho khách hàng; d) Khai thác và sử dụng dữ liệu đúng phạm vi theo thỏa thuận giữa các bên và theo quy định của pháp luật; đ) Thông báo kịp thời cho ngân hàng khi xảy ra sự cố về công nghệ thông tin, an toàn thông tin khi triển khai Open API. Hình thức và thời gian thông báo theo thỏa thuận giữa ngân hàng và bên thứ ba; e) Thông báo kịp thời cho ngân hàng khi có sai lệch dữ liệu và phối hợp với ngân hàng đính chính, hiệu chỉnh kịp thời. Hình thức và thời gian thông báo theo thỏa thuận giữa ngân hàng và bên thứ ba.

Thông tư số 64/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/3/2025. Đối với các ngân hàng đã kết nối, xử lý dữ liệu trực tiếp với bên thứ ba qua API hoặc Open API để cung cấp dịch vụ cho khách hàng cá nhân trước thời điểm Thông tư này có hiệu lực thi hành phải thực hiện: Lập danh mục API, Open API đang triển khai và kế hoạch thực hiện chi tiết bảo đảm tuân thủ quy định Thông tư này gửi NHNN (thông qua Cục Công nghệ thông tin), hoàn thành trước ngày 01/7/2025, đồng thời tuân thủ các quy định tại Thông tư này, hoàn thành trước ngày 01/3/2027.

Tạo điều kiện cho việc cung cấp dịch vụ ngân hàng qua phương tiện điện tử an toàn

Thời gian qua, ngành Ngân hàng đã tiếp cận, nghiên cứu và ứng dụng thành quả của cuộc Cách mạng công nghiệp lần thứ tư để phục vụ chuyển đổi số từ khá sớm. Một trong những công nghệ đột phá đó là kết nối chia sẻ dữ liệu qua Open API, công nghệ này đã được một số ngân hàng Việt Nam nghiên cứu, triển khai ứng dụng vào hoạt động thanh toán, nhận biết khách hàng điện tử, cung ứng sản phẩm, dịch vụ tài chính sáng tạo.

Open API là một lĩnh vực mới cả về kỹ thuật và pháp lý ở Việt Nam cũng như trên thế giới. Các thách thức khi triển khai Open API không chỉ là vấn đề công nghệ mà còn là thay đổi nhận thức và khung pháp lý. Ngành Ngân hàng đã bước đầu triển khai Open API, cho phép các đối tác kết nối, chia sẻ, trao đổi dữ liệu…, song việc phát triển Open API đang diễn ra một cách cục bộ, ở từng ngân hàng. Cụ thể, mỗi ngân hàng sử dụng một tiêu chuẩn Open API, tiêu chuẩn an ninh bảo mật khác nhau dẫn đến thị trường bị phân mảnh, việc hợp tác giữa công ty công nghệ tài chính (Fintech) với ngân hàng gặp nhiều khó khăn khi quá trình cung cấp dịch vụ ra thị trường tốn nhiều nguồn lực, thời gian, chi phí để chỉnh sửa phần mềm phù hợp với tiêu chuẩn Open API của từng ngân hàng.

Trước đó, Việt Nam chưa có chuẩn chung về hệ thống công nghệ thông tin, lưu trữ thông tin, bảo mật, kết nối…, hành lang pháp lý, chưa có quy định hướng dẫn về tiêu chuẩn kỹ thuật và lộ trình triển khai Open API trong ngành Ngân hàng. Các ngân hàng và bên thứ ba vẫn đang tự mình tìm kiếm, lựa chọn đối tác để kết nối theo nhu cầu riêng, đồng thời, tương tác trực tiếp để tích hợp và triển khai dịch vụ. Việc triển khai giữa các bên vẫn gặp nhiều khó khăn do mỗi ngân hàng phải xây dựng, vận hành các tiêu chuẩn và kết nối riêng biệt, dẫn đến chi phí vận hành cao, tốn kém nguồn lực. Các ngân hàng phải thực hiện toàn bộ quy trình triển khai với bên thứ ba từ việc xác minh khách hàng (KYC) đến kết nối kỹ thuật, trong khi bên thứ ba phải tuân theo nhiều tiêu chuẩn và kết nối với các ngân hàng khác nhau, điều này đòi hỏi phải rà soát, vận hành nhiều bộ tài liệu pháp lý khác nhau. Việc triển khai mở rộng kết nối, phát triển hệ sinh thái của các ngân hàng sẽ tốn kém về nguồn lực do đồng thời phải duy trì nhiều tiêu chuẩn khác nhau.

Trong quan hệ hợp tác cung ứng dịch vụ cho khách hàng, các bên thứ ba/công ty Fintech không chịu nhiều quy định quản lý, kiểm soát chặt chẽ như các ngân hàng, do đó có thể tiềm ẩn rủi ro lộ, lọt dữ liệu hoặc sử dụng dữ liệu khách hàng sai mục đích. Theo Cục An toàn thông tin, Bộ Thông tin và Truyền thông, một trong những nguyên nhân của việc lộ, lọt thông tin cá nhân cũng đến từ việc chia sẻ cho bên thứ ba.

Việc triển khai Open API hiện nay chủ yếu là các ngân hàng truy cập, sử dụng dữ liệu của bên thứ ba cung cấp dịch vụ. Những dữ liệu này tương đối nhạy cảm nên các ngân hàng hoàn toàn có cơ sở để lo ngại về vấn đề an ninh, bảo mật khi chưa có quy chuẩn pháp lý rõ ràng. Tuy nhiên, theo đúng tinh thần của phát triển ngân hàng mở thì những dữ liệu này phải được ngân hàng cung cấp ra bên ngoài khi có sự yêu cầu của khách hàng, do trọng tâm của ngân hàng mở không phải để phục vụ cho ngân hàng mà là vì khách hàng. Hơn nữa, trước đây do chưa có quy định rõ ràng nên các ngân hàng phải tự đánh giá xem bên thứ ba đó có đủ tin cậy và an toàn hay không để quyết định hợp tác triển khai Open API, việc này cũng cản trở ngân hàng mở phát triển.

Như vậy, việc ban hành Thông tư số 64/2024/TT-NHNN xác định các nguyên tắc, quy định cụ thể với ngân hàng và bên thứ ba về việc triển khai Open API trong ngành Ngân hàng là cần thiết và cấp thiết. Thông tư số 64/2024/TT-NHNN góp phần tạo cơ sở pháp lý rõ ràng, đặc biệt trong việc kết nối và xử lý dữ liệu của khách hàng một cách an toàn, tạo ra những sản phẩm, dịch vụ sáng tạo mới, đáp ứng ngày càng cao nhu cầu của khách hàng; cho phép bên thứ ba truy cập thuận tiện và an toàn dữ liệu của khách hàng khi được sự đồng ý của chủ sở hữu dữ liệu; đồng thời, tạo điều kiện thuận lợi cho các công ty Fintech cung cấp nhiều dịch vụ sáng tạo mới, đáp ứng nhu cầu ngày càng cao của khách hàng.

Trong thời gian tới, các cơ quan liên quan cần nghiên cứu để tiến tới Việt Nam có thể xây dựng hạ tầng chung về ngân hàng mở. Theo đó, một đơn vị hoặc nhiều bên sẽ đứng ra kết nối hạ tầng giữa các ngân hàng với công ty Fintech và các bên thứ ba cung cấp dịch vụ. Hạ tầng dùng chung giúp chuẩn hóa tiêu chuẩn kỹ thuật, quy trình nghiệp vụ bảo đảm an ninh, an toàn khi chia sẻ dữ liệu, đấu nối dịch vụ, đặc biệt với dịch vụ thanh toán trên nền tảng ngân hàng mở. Điều này sẽ mang lại nhiều lợi ích thiết thực cho cả ngân hàng, các công ty Fintech và khách hàng. Khách hàng sẽ được hưởng lợi từ trải nghiệm tối ưu, tiếp cận nhiều nguồn thông tin và dịch vụ, xử lý nhu cầu tài chính một cách nhanh chóng, an toàn hơn, tiết kiệm chi phí. Đối với các ngân hàng và công ty Fintech, hạ tầng chung này sẽ giúp giảm bớt sự phức tạp trong triển khai pháp lý, giảm rủi ro an ninh, tiết kiệm chi phí và nguồn lực; đồng thời, tăng khả năng mở rộng dịch vụ, cơ hội tiếp cận khách hàng. Đối với các cơ quan quản lý, hạ tầng chung về ngân hàng mở sẽ giúp dễ dàng hơn trong việc giám sát thị trường, thúc đẩy hệ sinh thái số và triển khai các chủ trương phát triển kinh tế số, tạo nền tảng cho sự phát triển của tài chính mở.

Bên cạnh đó, NHNN tiếp tục phối hợp Bộ Công an và cơ quan liên quan trong việc kết nối hiệu quả, an toàn cơ sở dữ liệu về khách hàng ngân hàng với Cơ sở dữ liệu quốc gia về dân cư; tăng cường cơ chế phối hợp, trao đổi thông tin giữa các bên để kịp thời hỗ trợ, giải đáp những vướng mắc, sự cố phát sinh cho khách hàng trong quá trình sử dụng dịch vụ.

Trong thời đại số hóa, khi các phương thức, thủ đoạn của tội phạm công nghệ và lừa đảo trở nên tinh vi hơn, việc thiết lập lớp phòng thủ trước các cuộc tấn công cũng ngày càng trở nên khó khăn. Tin tặc thường tấn công từ phía người dùng, với hình thức phổ biến là giả mạo cơ quan chức năng hoặc lừa tải ứng dụng bằng những chiêu trò thao túng tâm lý khách hàng. Do đó, về phía các ngân hàng thương mại, tổ chức cung ứng dịch vụ trung gian thanh toán cần tiếp tục đẩy mạnh truyền thông, giáo dục tài chính để nâng cao nhận thức, kỹ năng cho khách hàng trong tiếp cận và sử dụng các sản phẩm, dịch vụ ngân hàng trên nền tảng số; đồng thời, đầu tư nhiều hơn vào công nghệ bảo mật, nâng cao năng lực giám sát, quản lý rủi ro để ngăn chặn, ứng phó kịp thời với các mối đe dọa an ninh mạng hay tội phạm tài chính.

Tài liệu tham khảo:

Thông tư số 64/2024/TT-NHNN ngày 31/12/2024 của Thống đốc NHNN quy định về triển khai Open API trong ngành Ngân hàng.