Bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam

Tóm tắt: Ngân hàng số và thanh toán điện tử đang phát triển nhanh tại Việt Nam, điều này đã làm thay đổi cách thức cung ứng dịch vụ tài chính và gia tăng sự phụ thuộc vào dữ liệu khách hàng. Dữ liệu cá nhân, đặc biệt là thông tin định danh và giao dịch đang ngày càng trở thành yếu tố cốt lõi nhưng cũng tiềm ẩn nhiều rủi ro bị lạm dụng hoặc xâm phạm. Trước thực tế đó, bài viết tập trung phân tích, làm rõ những khó khăn, thách thức trong việc bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam hiện nay; từ đó, đề xuất một số giải pháp khắc phục.

Từ khóa: Bảo vệ dữ liệu cá nhân, dịch vụ ngân hàng số, thanh toán điện tử, thách thức, giải pháp.

PROTECTION OF PERSONAL DATA IN DIGITAL BANKING SERVICES
AND ELECTRONIC PAYMENTS IN VIETNAM

Abstract: Digital banking and electronic payments are rapidly developing in Vietnam, which has transformed the way financial services are delivered and increased reliance on customer data. Personal data, particularly identification and transaction information, are increasingly becoming core elements but also poses significant risks of misuse or unauthorized access. In this context, the article focuses on analyzing and clarifying the difficulties and challenges in protecting personal data in digital banking and electronic payment services in Vietnam, thereby, proposing several solutions for improvement.

Keywords: Personal data protection, digital banking services, electronic payments, challenges, solutions.

1. Đặt vấn đề

Sự phát triển của ngân hàng số đang làm thay đổi cách thức vận hành của hệ thống tài chính tại Việt Nam trong những năm gần đây. Nếu trước đây các giao dịch chủ yếu được thực hiện trực tiếp tại quầy thì hiện nay phần lớn hoạt động thanh toán và quản lý tài khoản đã được chuyển lên các nền tảng số như ứng dụng ngân hàng, ví điện tử hoặc cổng thanh toán trực tuyến. Sự thay đổi này buộc các tổ chức tín dụng phải dựa nhiều hơn vào dữ liệu khách hàng để phục vụ các hoạt động như xác thực, đánh giá rủi ro và cá nhân hóa dịch vụ. Trong quá trình đó, dữ liệu cá nhân không còn chỉ là thông tin hỗ trợ giao dịch mà đã trở thành một yếu tố có giá trị cốt lõi đối với hoạt động ngân hàng. Tuy nhiên, việc gia tăng vào dữ liệu cũng kéo theo nhiều rủi ro đáng lưu ý, đặc biệt trong bối cảnh các hành vi xâm phạm dữ liệu và tấn công mạng ngày càng tinh vi. Thực tế này cho thấy các cơ chế bảo vệ dữ liệu cá nhân hiện nay vẫn còn những điểm chưa theo kịp tốc độ phát triển của dịch vụ số. Vì vậy, việc xem xét vấn đề bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng số và thanh toán điện tử cần được tiếp cận một cách thận trọng và toàn diện nhằm bảo đảm quyền lợi của khách hàng cũng như duy trì sự an toàn của hệ thống tài chính.

2. Tầm quan trọng của việc bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam

Tại Việt Nam hiện nay, các dịch vụ ngân hàng số, ví điện tử, Mobile Banking và thanh toán trực tuyến ngày càng phổ biến, trở thành nền tảng quan trọng thúc đẩy nền kinh tế số và thương mại điện tử. Theo số liệu Ngân hàng Nhà nước Việt Nam (NHNN) công bố đầu năm 2026, giá trị thanh toán không dùng tiền mặt năm 2025 gấp khoảng 28 lần GDP; tính đến tháng 12/2025, số lượng tài khoản thanh toán cá nhân đã vượt 232 triệu tài khoản, tăng 13,68% so với cùng kỳ năm trước¹. So với năm 2024, trong năm 2025, giao dịch thanh toán không dùng tiền mặt tăng 42,21% về số lượng và 22,65% về giá trị; giao dịch qua Internet tăng 53,95% về số lượng và 35,75% về giá trị; giao dịch qua điện thoại di động tăng 36,62% về số lượng và 20,07% về giá trị; riêng giao dịch qua mã QR tăng 50,94% về số lượng và 124,06% về giá trị². Ngoài ra, đến tháng 12/2025, số lượng thẻ ngân hàng đang lưu hành đạt trên 164 triệu thẻ, tăng 5,32% so với cùng kỳ năm 2024³. Những số liệu được công bố cho thấy dịch vụ ngân hàng số và thanh toán điện tử tiếp tục tăng trưởng mạnh và ngày càng phổ biến trong đời sống kinh tế - xã hội tại Việt Nam.

Trong bối cảnh đó, dữ liệu cá nhân của khách hàng trở thành một yếu tố trung tâm của hoạt động ngân hàng số. Các tổ chức tín dụng và doanh nghiệp cung cấp dịch vụ thanh toán phải thu thập, lưu trữ và xử lý nhiều loại thông tin nhạy cảm như dữ liệu định danh, thông tin tài khoản, lịch sử giao dịch, dữ liệu sinh trắc học và thông tin tài chính. Những dữ liệu này không chỉ phục vụ cho việc xác thực và thực hiện giao dịch mà còn được sử dụng để phân tích hành vi khách hàng, quản trị rủi ro, phát triển các sản phẩm tài chính số. Trong bối cảnh chuyển đổi số mạnh mẽ, dữ liệu cá nhân ngày càng được coi là tài sản quan trọng của các tổ chức tín dụng.

Tuy nhiên, sự gia tăng của các dịch vụ ngân hàng số cũng kéo theo nhiều rủi ro về an toàn thông tin và bảo mật dữ liệu. Hệ thống ngân hàng và tổ chức tài chính thường là mục tiêu tấn công của tội phạm mạng do giá trị dữ liệu và tài sản tài chính lớn. Theo một khảo sát về an toàn thông tin, hơn 50% các cuộc tấn công mạng được ghi nhận nhắm vào các ngân hàng và tổ chức tài chính⁴. Bên cạnh đó, một số sự cố an ninh mạng gần đây cho thấy nguy cơ rò rỉ dữ liệu cá nhân và dữ liệu tài chính có thể xảy ra nếu hệ thống bảo mật không được bảo đảm đầy đủ.

Việc rò rỉ hoặc bị khai thác trái phép dữ liệu cá nhân trong lĩnh vực ngân hàng có thể gây ra nhiều hệ quả nghiêm trọng. Trước hết, có thể dẫn đến việc chiếm đoạt tài khoản, gian lận tài chính hoặc lừa đảo trực tuyến đối với khách hàng. Đồng thời, các sự cố rò rỉ dữ liệu cũng có thể làm suy giảm niềm tin của người sử dụng đối với các dịch vụ ngân hàng số và thanh toán điện tử, từ đó ảnh hưởng đến quá trình phát triển của hệ thống tài chính số. Các chuyên gia trong lĩnh vực tài chính, ngân hàng cũng cho rằng an toàn và bảo mật dữ liệu là yếu tố then chốt quyết định sự phát triển bền vững của ngân hàng số⁵.

Từ góc độ quản lý nhà nước và ổn định hệ thống tài chính, bảo vệ dữ liệu cá nhân còn có ý nghĩa quan trọng trong việc bảo đảm an toàn cho hệ thống thanh toán quốc gia. Khi các giao dịch tài chính ngày càng được thực hiện trên môi trường số, bất kỳ sự cố rò rỉ dữ liệu hoặc tấn công mạng nào cũng có thể gây ảnh hưởng đến hoạt động của các tổ chức tín dụng và làm gia tăng rủi ro đối với thị trường tài chính. Vì vậy, việc tăng cường bảo vệ dữ liệu cá nhân không chỉ nhằm bảo vệ quyền riêng tư, tài sản của khách hàng mà còn góp phần bảo đảm an ninh tài chính và thúc đẩy sự phát triển bền vững của hệ sinh thái tài chính số tại Việt Nam.

Có thể thấy rằng, trong bối cảnh ngân hàng số và thanh toán điện tử phát triển nhanh chóng, bảo vệ dữ liệu cá nhân trở thành một yêu cầu mang tính nền tảng đối với hoạt động ngân hàng hiện đại. Việc xây dựng cơ chế bảo vệ dữ liệu hiệu quả không chỉ giúp bảo đảm quyền lợi của khách hàng mà còn tạo dựng niềm tin đối với các dịch vụ tài chính số, qua đó thúc đẩy quá trình chuyển đổi số của ngành Ngân hàng và sự phát triển của nền kinh tế số tại Việt Nam.

3. Thực trạng bảo vệ dữ liệu cá nhân đối với dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam

Trên thực tế, công tác bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng thời gian qua đã có những bước tiến đáng kể: Khung pháp lý về bảo vệ dữ liệu cá nhân từng bước hoàn thiện; đầu tư về công nghệ bảo mật của các tổ chức tín dụng ngày càng gia tăng; tổ chức tín dụng và khách hàng ngày càng quan tâm hơn đến an toàn thông tin, đặc biệt trong bối cảnh gia tăng giao dịch trực tuyến. Tuy nhiên, trên thực tế tình trạng rò rỉ, lộ lọt dữ liệu cá nhân vẫn diễn biến phức tạp. Điều này cho thấy hệ thống bảo vệ dữ liệu vẫn tồn tại những lỗ hổng cần khắc phục.

Thực trạng một số khó khăn, thách thức trong việc bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam hiện nay được thể hiện dưới các khía cạnh sau:

Thứ nhất, khối lượng dữ liệu cá nhân nhạy cảm trong ngành Ngân hàng ngày càng đồ sộ và liên thông sâu giữa nhiều hệ thống, khiến rủi ro không còn nằm ở từng giao dịch đơn lẻ mà chuyển thành rủi ro ở cấp hệ sinh thái. Đến ngày 26/12/2025, toàn Ngành đã có hơn 143 triệu hồ sơ khách hàng cá nhân và hơn 1,5 triệu hồ sơ khách hàng tổ chức có tài khoản thanh toán được đối chiếu sinh trắc học qua căn cước công dân (CCCD) gắn chíp hoặc ứng dụng VNeID; khoảng 22,14 triệu khách hàng cá nhân có ví điện tử đang hoạt động cũng đã được thu thập, đối chiếu thông tin sinh trắc học⁶. Ở tầng dữ liệu vĩ mô, đến cuối năm 2025, kho dữ liệu tập trung của NHNN có trên 40 tỉ dòng dữ liệu; cơ sở dữ liệu thông tin tín dụng lưu trữ dữ liệu của 55 triệu khách hàng, cơ sở dữ liệu phục vụ phòng, chống rửa tiền lưu trữ thông tin của 36 triệu khách hàng, 154 triệu tài khoản và 1,3 tỉ giao dịch⁷. Khi dữ liệu được tập trung hóa, chuẩn hóa và chia sẻ ngày càng nhiều để phục vụ định danh, chấm điểm tín dụng, phòng chống gian lận, kết nối dịch vụ công và cá nhân hóa sản phẩm, dịch vụ, chỉ một lỗ hổng kỹ thuật hoặc một sai sót quản trị nội bộ cũng có thể ảnh hưởng tới số lượng chủ thể dữ liệu lớn, hậu quả lan rộng hơn nhiều so với mô hình ngân hàng truyền thống.

Thứ hai, tội phạm công nghệ cao đang lợi dụng chính dữ liệu cá nhân và các công cụ xác thực số để thực hiện hành vi lừa đảo, chiếm đoạt tài sản ngày càng tinh vi. Theo Bộ Công an, năm 2024 Việt Nam đã phát hiện hơn 6.000 vụ việc liên quan đến hoạt động lừa đảo trực tuyến với tổng thiệt hại hơn 12.000 tỉ đồng; năm 2025, cơ quan này tiếp tục xác định bốn nhóm thủ đoạn lừa đảo chính gồm mạo danh, lừa đảo tình cảm, lừa đảo đầu tư và phát tán mã độc, đồng thời nhấn mạnh tội phạm đang triệt để lợi dụng các phương tiện thanh toán điện tử, cổng trung gian thanh toán, thanh toán quốc tế, tiền điện tử, tiền mã hóa để che giấu dấu vết dòng tiền⁸. Đáng chú ý, Bộ Công an cũng cảnh báo các đối tượng đang tận dụng trí tuệ nhân tạo (AI) và Deepfake để giả mạo gương mặt, giọng nói, thao túng cảm xúc nạn nhân, từ đó đánh cắp dữ liệu cá nhân hoặc lừa chuyển tiền⁹. Điều này cho thấy bảo vệ dữ liệu cá nhân trong ngân hàng số hiện nay không chỉ là giữ bí mật thông tin mà còn là yêu cầu phòng ngừa tội phạm tài chính số, bởi nếu dữ liệu bị lộ hoặc bị khai thác trái phép sẽ là nguyên liệu đầu vào cho các kịch bản lừa đảo tiếp theo.

Thứ ba, sự kết hợp giữa giả mạo thương hiệu ngân hàng thông báo lộ lọt dữ liệu và kỹ thuật chiếm quyền thiết bị đầu cuối đang diễn ra rất trực diện đối với khách hàng. Sau sự cố an ninh mạng tại Trung tâm Thông tin tín dụng quốc gia Việt Nam (CIC) ngày 10/9/2025, Cục Cảnh sát hình sự, Bộ Công an đã cảnh báo hàng loạt thủ đoạn như giả mạo ngân hàng hoặc CIC gửi tin nhắn, email, tin nhắn mạng xã hội thông báo tài khoản bị lộ thông tin; giả mạo tổng đài ngân hàng yêu cầu cung cấp OTP; giả mạo lực lượng công an để thao túng tâm lý, dẫn dụ người dùng truy cập đường link giả mạo, cài ứng dụng độc hại hoặc chiếm quyền điều khiển thiết bị¹⁰. Bộ Công an nêu rõ mục tiêu của các đối tượng là khai thác, thu thập thông tin cá nhân để xây dựng kịch bản lừa đảo tiếp theo, lừa nạn nhân tự chuyển tiền hoặc tải ứng dụng độc hại nhằm chiếm đoạt tiền trong tài khoản ngân hàng. Như vậy, thách thức hiện nay không còn dừng ở nguy cơ rò rỉ dữ liệu theo nghĩa tĩnh mà đã chuyển thành nguy cơ vũ khí hóa dữ liệu trong các chuỗi tấn công lừa đảo đa tầng, nơi thông tin cá nhân bị biến thành công cụ để vượt qua các lớp phòng vệ thông thường của người dùng.

Thứ tư, sự tồn tại của tài khoản ngân hàng không chính chủ, tài khoản cho thuê, cho mượn và việc lợi dụng xác thực khuôn mặt để luân chuyển tiền phạm pháp. Tháng 4/2025, Bộ Công an đã thông tin về vụ việc các đối tượng mở 71 tài khoản ngân hàng cá nhân, cho thuê hoặc cho mượn tài khoản, xác thực khuôn mặt nhằm luân chuyển dòng tiền lừa đảo, tổng số tiền luân chuyển qua các tài khoản này khoảng 200 tỉ đồng của gần 1.000 bị hại trên phạm vi cả nước¹¹. Vấn đề này cho thấy ngay cả khi ngành Ngân hàng đã đẩy mạnh định danh xác thực điện tử (eKYC), đối chiếu sinh trắc học và làm sạch dữ liệu, thực tế vẫn tồn tại nguy cơ bị lợi dụng thông qua việc sử dụng người đứng tên thay hoặc các tài khoản trung gian để che giấu chủ thể thực sự. Nói cách khác, thách thức bảo vệ dữ liệu cá nhân hiện nay gắn chặt với thách thức xác minh đúng chủ thể dữ liệu, đúng chủ thể giao dịch và đúng quyền kiểm soát dữ liệu trong suốt vòng đời sử dụng tài khoản.

Thứ năm, hạ tầng bảo mật và quản trị rủi ro của Ngành phải theo tốc độ phát triển quá nhanh của ngân hàng số, thanh toán số và mô hình kết nối mở. Từ ngày 01/3/2025, Thông tư số 64/2024/TT-NHNN ngày 31/12/2024 của Thống đốc NHNN quy định về triển khai giao diện lập trình ứng dụng mở (Open API) trong ngành Ngân hàng bắt đầu tạo khuôn khổ pháp lý cho việc kết nối dữ liệu giữa ngân hàng và bên thứ ba; theo đó, ngân hàng phải ký hợp đồng với bên thứ ba, phải có cam kết bảo mật, quy định quyền truy cập dữ liệu, cung cấp công cụ để khách hàng tra cứu dữ liệu¹². Việc mở rộng mô hình Open API là cần thiết để phát triển hệ sinh thái số nhưng đồng thời cũng phát sinh điểm tiếp xúc dữ liệu, chủ thể xử lý dữ liệu, rủi ro chia sẻ vượt mục đích, rủi ro bảo mật ở phía đối tác và rủi ro tranh chấp trách nhiệm khi xảy ra sự cố.

Thứ sáu, còn tồn tại khoảng cách giữa sự hoàn thiện của khuôn khổ pháp luật và năng lực tuân thủ thực tế của toàn bộ hệ sinh thái ngân hàng số - trung gian thanh toán - khách hàng. Về mặt pháp lý, Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua ngày 26/6/2025, có hiệu lực từ ngày 01/01/2026 quy định rõ quyền của chủ thể dữ liệu như quyền được biết, quyền đồng ý hoặc rút lại sự đồng ý, quyền yêu cầu chỉnh sửa, xóa, hạn chế xử lý dữ liệu; đồng thời nghiêm cấm mua, bán dữ liệu cá nhân, chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân¹³. Chế tài cũng được nâng mạnh mức phạt tối đa đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; đối với vi phạm chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu năm trước liền kề; các hành vi vi phạm khác trong lĩnh vực này có thể bị phạt đến 3 tỉ đồng đối với tổ chức¹⁴. Khó khăn hiện nay vì vậy không nằm ở thiếu hành lang pháp lý mà ở khâu tổ chức thực hiện, giám sát tuân thủ, kiểm soát nội bộ, phân định trách nhiệm của các bên xử lý dữ liệu và năng lực chứng minh sự đồng ý hợp lệ, đúng mục đích, đúng phạm vi trong bối cảnh dữ liệu được xử lý qua nhiều lớp công nghệ.

Thứ bảy, năng lực phát hiện, cảnh báo và ngăn chặn gian lận dù đã được cải thiện nhưng vẫn cho thấy quy mô rủi ro rất lớn. Theo số liệu của ngành Ngân hàng, đến cuối năm 2025, Hệ thống thông tin hỗ trợ quản lý, giám sát và phòng ngừa rủi ro (SIMO) đã hỗ trợ cảnh báo hơn 2,26 triệu lượt khách hàng, trong đó trên 700 nghìn lượt chủ động dừng hoặc hủy giao dịch, góp phần ngăn chặn nguy cơ thất thoát hơn 2,78 nghìn tỉ đồng¹⁵. Đến ngày 25/02/2026, hệ thống này đã được triển khai tới 149 đơn vị, ghi nhận hơn 664 nghìn bản ghi tài khoản thanh toán, ví điện tử, thẻ ngân hàng và đơn vị chấp nhận thanh toán có dấu hiệu nghi ngờ gian lận, lừa đảo, vi phạm pháp luật; hỗ trợ cảnh báo tới 3,3 triệu lượt khách hàng, trong đó hơn 1 triệu lượt khách hàng đã tạm dừng hoặc hủy giao dịch với tổng số tiền tương ứng hơn 3,7 nghìn tỉ đồng¹⁶. Các con số này cho thấy năng lực giám sát của ngành Ngân hàng đang tiến bộ rõ rệt, nhưng ở chiều ngược lại cũng phản ánh rằng quy mô giao dịch rủi ro, nghi ngờ gian lận và khả năng khai thác dữ liệu để phục vụ lừa đảo vẫn ở mức rất đáng lo ngại. Khi số lượng cảnh báo đã lên tới hàng triệu lượt, bảo vệ dữ liệu cá nhân rõ ràng không còn là nhiệm vụ phụ trợ mà là một cấu phần trung tâm của quản trị rủi ro thanh toán số.

Thứ tám, nhận thức và kỹ năng tự bảo vệ dữ liệu của một bộ phận người dùng chưa theo kịp tốc độ số hóa dịch vụ tài chính. Bộ Công an khi cảnh báo về sự cố liên quan đến CIC đã chỉ rõ các nhóm dễ trở thành mục tiêu là người lớn tuổi, người hạn chế kỹ năng công nghệ, học sinh, sinh viên ít kinh nghiệm xã hội, công nhân và người lao động tự do thường xuyên sử dụng dịch vụ liên quan đến thẻ tín dụng. Trong khi đó, các chiến dịch tuyên truyền chống lừa đảo năm 2025 - 2026 của Bộ Công an và Hiệp hội An ninh mạng quốc gia đều nhấn mạnh lừa đảo hiện nay tận dụng mạnh công nghệ AI, Deepfake, tin nhắn và cuộc gọi mạo danh để đánh cắp dữ liệu cá nhân và chiếm đoạt tài sản¹⁷. Điều này cho thấy dù pháp luật và công nghệ bảo mật có tiếp tục hoàn thiện, con người vẫn là mắt xích dễ bị tổn thương nhất. Trong môi trường ngân hàng số và thanh toán điện tử, nơi nhiều giao dịch diễn ra tức thời, từ xa và dựa trên niềm tin vào giao diện số, chỉ một lần cung cấp OTP, nhấp vào đường link giả, cài ứng dụng lạ hoặc chia sẻ dữ liệu sinh trắc học không đúng mục đích cũng có thể dẫn tới hậu quả nghiêm trọng.

4. Một số giải pháp nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam hiện nay

Từ những khó khăn, thách thức đã nêu, việc bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam hiện nay cần được triển khai theo hướng đồng bộ, kết hợp giữa hoàn thiện pháp luật, siết chặt quản trị nội bộ, nâng cấp giải pháp kỹ thuật, kiểm soát hệ sinh thái kết nối dữ liệu và tăng cường năng lực tự bảo vệ của người dùng. Yêu cầu này càng cấp thiết khi Luật Bảo vệ dữ liệu cá nhân đã có hiệu lực từ ngày 01/01/2026; đồng thời, ngành Ngân hàng đang bước vào giai đoạn số hóa sâu hơn với Open API, eKYC, đối chiếu sinh trắc học và các mô hình thanh toán điện tử quy mô lớn. Bài viết đưa ra một số giải pháp khắc phục và nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam cụ thể như sau:

Một là, tiếp tục hoàn thiện và tổ chức thực thi nghiêm khung pháp lý về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng số và thanh toán điện tử. Điểm trọng tâm không chỉ là có quy định chung mà phải cụ thể hóa thành các nghĩa vụ tuân thủ rõ ràng đối với ngân hàng, tổ chức trung gian thanh toán, công ty thông tin tín dụng và các bên thứ ba tham gia xử lý dữ liệu. Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định hướng dẫn thi hành Luật đã có hiệu lực, các tổ chức trong lĩnh vực tài chính, ngân hàng cần chuyển nhanh từ tư duy tuân thủ hình thức sang tư duy quản trị vòng đời dữ liệu. Điều này đòi hỏi phải rà soát toàn bộ quy trình thu thập, lưu trữ, chia sẻ, khai thác, chỉnh sửa, xóa, hủy dữ liệu; xác định rõ dữ liệu nào là dữ liệu cơ bản, dữ liệu nào là dữ liệu nhạy cảm; đồng thời bảo đảm mọi hoạt động xử lý đều có căn cứ pháp lý, có mục đích xác định, có thời hạn lưu trữ và có cơ chế kiểm tra nội bộ định kỳ. Nghị định hướng dẫn cũng yêu cầu các tổ chức trong lĩnh vực tài chính - ngân hàng phải áp dụng đầy đủ tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân, thực hiện đánh giá tuân thủ định kỳ hằng năm và ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân. Đây cần được xem là nghĩa vụ nền tảng, không phải thủ tục phụ trợ.

Hai là, nâng chuẩn quản trị sự đồng ý của khách hàng và kiểm soát chặt nguyên tắc xử lý đúng mục đích, đúng phạm vi, đúng thời hạn. Trong dịch vụ ngân hàng số và thanh toán điện tử, khách hàng thường xử lý dữ liệu thông qua ứng dụng, website hoặc giao diện điện tử; nếu cơ chế không minh bạch thì rất dễ dẫn đến tình trạng xác nhận hình thức, không đầy đủ thông tin hoặc bị mở rộng quá mức cần thiết. Theo cơ chế pháp lý mới, khi xin sự đồng ý, xác nhận của khách hàng, tổ chức kiểm soát và xử lý dữ liệu phải minh bạch về mục đích xử lý, nguồn thu thập dữ liệu, các bên liên quan, thời gian lưu trữ, cơ chế rút lại sự đồng ý và chính sách xóa, hủy dữ liệu; riêng trong lĩnh vực tài chính - ngân hàng còn phải làm rõ việc sử dụng dữ liệu cho chấm điểm, xếp hạng tín dụng hoặc đánh giá thông tin tín dụng nếu có. Do đó, giải pháp cần thiết là các ngân hàng và trung gian thanh toán phải thiết kế lại giao diện xin chấp thuận theo hướng dễ hiểu, tách bạch từng mục đích xử lý, cho phép khách hàng lựa chọn riêng biệt từng nhóm dữ liệu và từng mục đích, thay vì gom thành một gói chấp thuận chung. Đồng thời, cần xây dựng công cụ để khách hàng có thể dễ dàng kiểm tra mình đã đồng ý những nội dung nào, cho tổ chức nào, trong thời hạn bao lâu và rút lại sự đồng ý ngay trên ứng dụng.

Ba là, kiểm soát chặt việc chia sẻ dữ liệu qua Open API và các mô hình kết nối với bên thứ ba. Từ ngày 01/3/2025, Thông tư số 64/2024/TT-NHNN đã tạo khuôn khổ pháp lý cho việc triển khai Open API trong ngành Ngân hàng, cho phép bên thứ ba truy cập dữ liệu của khách hàng khi có sự đồng ý của chủ thể dữ liệu. Tuy nhiên, chính vì Open API mở rộng khả năng kết nối nên cũng làm tăng rủi ro lộ lọt dữ liệu nếu đối tác không bảo đảm an toàn hệ thống hoặc sử dụng dữ liệu vượt quá phạm vi được phép. Thông tư đã yêu cầu hợp đồng giữa ngân hàng và bên thứ ba phải có nội dung về cam kết bảo mật thông tin, sử dụng dữ liệu đúng phạm vi, đúng mục đích, quyền truy cập dữ liệu, điều kiện an toàn hệ thống thông tin và cơ chế chấm dứt hợp đồng. Trên cơ sở đó, giải pháp đặt ra là cần chuẩn hóa hợp đồng Open API theo mẫu rủi ro tối thiểu; áp dụng cơ chế phân tầng quyền truy cập; kiểm tra định kỳ hệ thống của bên thứ ba; thiết lập cơ chế ngắt kết nối ngay khi phát hiện vi phạm và buộc đối tác phải chịu trách nhiệm bồi hoàn, khắc phục khi để xảy ra sự cố dữ liệu. Nói cách khác, trong môi trường ngân hàng mở, an toàn dữ liệu không thể chỉ bảo đảm ở phía ngân hàng mà phải được kéo dài sang toàn bộ chuỗi đối tác xử lý dữ liệu.

Bốn là, cần tăng cường các biện pháp bảo mật kỹ thuật ở cấp ứng dụng và thiết bị đầu cuối của người dùng bởi hành vi lừa đảo hiện nay chủ yếu tấn công vào điện thoại, tài khoản và thao tác của khách hàng. Thông tư số 77/2025/TT-NHNN đã đặt ra yêu cầu siết chặt an toàn, bảo mật đối với dịch vụ ngân hàng trực tuyến, trong đó có việc dừng hoặc từ chối giao dịch khi phát hiện thiết bị có dấu hiệu rủi ro; đồng thời tăng cường khả năng phát hiện giả mạo sinh trắc học. Vì vậy, các ngân hàng cần đầu tư đồng bộ công nghệ, giám sát rủi ro, phát hiện thiết bị bị can thiệp trái phép và kịp thời giới hạn giao dịch ngay khi có dấu hiệu bất thường.

Năm là, đẩy mạnh làm sạch dữ liệu khách hàng, kiểm soát tài khoản không chính chủ và ngăn chặn việc cho thuê, cho mượn tài khoản. Đây là giải pháp có ý nghĩa rất thực tiễn, bởi nhiều vụ lừa đảo thời gian qua đã lợi dụng tài khoản không hoạt động, tài khoản cho thuê, cho mượn hoặc thông tin khách hàng chưa được làm sạch để che giấu dòng tiền vi phạm pháp luật. Theo Vụ Thanh toán NHNN, việc xử lý tài khoản không hoạt động không chỉ giúp làm sạch dữ liệu mà còn góp phần củng cố niềm tin của khách hàng; đồng thời, cơ quan quản lý đang dự thảo nâng mạnh mức xử phạt đối với hành vi cho thuê, cho mượn tài khoản ngân hàng¹⁸. Vì vậy, các ngân hàng cần định kỳ rà soát, phân loại tài khoản ngủ đông, tài khoản lâu không phát sinh giao dịch, tài khoản có dấu hiệu bất thường; chủ động thông báo cho khách hàng xác nhận lại nhu cầu sử dụng; khóa hoặc đóng tài khoản theo quy định nếu không còn nhu cầu. Song song đó, cần kết hợp dữ liệu sinh trắc học, dữ liệu định danh điện tử và mô hình giám sát giao dịch để nhận diện sớm các chuỗi tài khoản trung gian có nguy cơ bị lợi dụng cho lừa đảo, rửa tiền hoặc đánh cắp dữ liệu.

Sáu là, xây dựng cơ chế cảnh báo sớm, chia sẻ thông tin rủi ro và phản ứng nhanh đối với giao dịch có dấu hiệu gian lận. Thực tiễn cho thấy, hướng đi này đã mang lại hiệu quả ban đầu khá rõ việc bảo vệ dữ liệu cá nhân trong ngân hàng số phải gắn với cơ chế phòng ngừa gian lận theo thời gian thực. Do đó, giải pháp cần được tiếp tục theo hướng mở rộng kết nối SIMO với nhiều ngân hàng, ví điện tử và đơn vị chấp nhận thanh toán hơn; chuẩn hóa dữ liệu cảnh báo; phân loại rủi ro theo nhóm hành vi; xây dựng quy trình phong tỏa, xác minh, khôi phục nhanh; đồng thời kết nối hiệu quả hơn với cơ quan công an để xử lý các tài khoản, thiết bị, địa chỉ IP hoặc mô hình giao dịch có dấu hiệu phạm tội.

Bảy là, thiết lập cơ chế ứng phó sự cố và thông báo vi phạm dữ liệu minh bạch, kịp thời, lấy khách hàng làm trung tâm. Nghị định số 356/2025/NĐ-CP yêu cầu trong thời hạn không quá 72 giờ kể từ khi phát hiện lộ, mất dữ liệu cá nhân nhạy cảm, tổ chức trực tiếp thu thập dữ liệu phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cho chủ thể dữ liệu¹⁹. Quy định này cần được cụ thể hóa bằng quy trình nội bộ của từng ngân hàng và tổ chức trung gian thanh toán theo hướng xác định đầu mối xử lý sự cố; quy trình cô lập, khắc phục và điều tra nguyên nhân; mẫu thông báo gửi khách hàng; giải pháp khóa tài khoản, thay đổi thông tin xác thực, rà soát giao dịch nghi ngờ và cơ chế lưu giữ bằng chứng số để phục vụ xác minh trách nhiệm. Khi xảy ra sự cố, điều quan trọng không chỉ là xử lý kỹ thuật mà còn là giảm thiểu thiệt hại cho chủ thể dữ liệu, ngăn ngừa hiệu ứng dây chuyền và duy trì niềm tin thị trường. Một cơ chế phản ứng chậm, thiếu minh bạch hoặc chỉ thông báo hình thức sẽ làm gia tăng rủi ro cho khách hàng và cho chính tổ chức cung cấp dịch vụ.

Tám là, cần nâng cao nhận thức, kỹ năng số của khách hàng và năng lực chuyên trách của tổ chức tài chính trong bảo mật, quản trị dữ liệu và tuân thủ. Theo đó, cần đẩy mạnh truyền thông thường xuyên, dễ hiểu; lồng ghép cảnh báo trực tiếp trên ứng dụng ngân hàng để giúp khách hàng nhận diện rủi ro và tuân thủ các nguyên tắc an toàn cơ bản; đồng thời, mỗi tổ chức tài chính phải xây dựng đội ngũ chuyên trách về bảo vệ dữ liệu cá nhân, đảm bảo sự phối hợp liên ngành giữa công nghệ thông tin, pháp chế, kiểm soát nội bộ, an ninh mạng, vận hành và quản trị rủi ro.

5. Kết luận

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, dịch vụ ngân hàng số và thanh toán điện tử tại Việt Nam phát triển nhanh cả về quy mô, tần suất giao dịch và mức độ ứng dụng công nghệ. Bên cạnh những lợi ích về tốc độ, tiện ích và khả năng tiếp cận dịch vụ tài chính, vấn đề bảo vệ dữ liệu cá nhân ngày càng trở thành yêu cầu nền tảng đối với sự an toàn của khách hàng và sự ổn định của hệ thống tài chính ngân hàng. Thực tiễn cho thấy, rủi ro xâm phạm dữ liệu không chỉ xuất phát từ lỗ hổng kỹ thuật mà còn từ sự gia tăng của tội phạm công nghệ cao, nguy cơ lạm dụng dữ liệu trong môi trường kết nối mở, hạn chế trong quản trị nội bộ và kỹ năng tự bảo vệ của người dùng. Do đó, bảo vệ dữ liệu cá nhân trong ngân hàng số và thanh toán điện tử cần được tiếp cận như một quá trình quản trị tổng thể, bao gồm hoàn thiện pháp luật, tăng cường kỷ luật tuân thủ, ứng dụng giải pháp công nghệ và nâng cao nhận thức của khách hàng, qua đó góp phần củng cố niềm tin số và thúc đẩy sự phát triển bền vững của hệ sinh thái tài chính số.y

¹ Anh Minh (2026), Thanh toán không tiền mặt bứt phá, ngân hàng dẫn dắt chuyển đổi số¸ Báo điện tử Chính phủ, https://baochinhphu.vn/thanh-toan-khong-tien-mat-but-pha-ngan-hang-dan-dat-chuyen-doi-so-102260202112121397.htm

² Quỳnh Trang (2026), Thanh toán số tăng trưởng mạnh, vượt nhiều mục tiêu đề ra, Thời báo Ngân hàng, https://thoibaonganhang.vn/thanh-toan-so-tang-truong-manh-vuot-nhieu-muc-tieu-de-ra-177374.html

³ Quỳnh Trang (2026), tlđd(2).

⁴ Marketing - Communication Department UEH (2022), Cybersecurity Risks in Digital Banking: The Case of Vietnam, https://www.ueh.edu.vn/en/news/cybersecurity-risks-in-digital-banking-the-case-of-vietnam-58109

⁵ Vietnam News (2024), Future of digital banking hinges on data security: Experts, https://vietnamnews.vn/economy/1650094/future-of-digital-banking-hinges-on-data-security-experts.html

⁶ Quỳnh Trang (2026), Dữ liệu được bảo vệ, người dùng yên tâm hơn trong thanh toán, Thời báo Ngân hàng, https://thoibaonganhang.vn/du-lieu-duoc-bao-ve-nguoi-dung-yen-tam-hon-trong-thanh-toan-176225.html

⁷ Lê Hoàng Chính Quang (2026), Thành công trong chuyển đổi số ngành Ngân hàng năm 2025 - Nền tảng cho phát triển an toàn, bền vững hệ thống tài chính, Tạp chí Ngân hàng, https://tapchinganhang.gov.vn/thanh-cong-trong-chuyen-doi-so-nganh-ngan-hang-nam-2025-nen-tang-cho-phat-trien-an-toan-ben-vung-he-thong-tai-chinh-17043.html

⁸ BBT (2025), Tăng cường hợp tác quốc tế trong phòng, chống tội phạm lừa đảo trực tuyến, https://bocongan.gov.vn/bai-viet/tang-cuong-hop-tac-quoc-te-trong-phong-chong-toi-pham-lua-dao-truc-tuyen-1761383230

⁹ Nguyễn Lan (2025), Chống lừa đảo trực tuyến 2025: Lan tỏa thông điệp “Nhận diện bẫy lừa - An tâm vui sắm”¸ Bộ Công an, https://bocongan.gov.vn/bai-viet/chong-lua-dao-truc-tuyen-2025-lan-toa-thong-diep-nhan-dien-bay-lua-an-tam-vui-sam-1764245385

¹⁰ BBT (2025), Cảnh báo lừa đảo chiếm đoạt tài sản từ sự cố an ninh mạng tại Trung tâm Thông tin tín dụng quốc gia (CIC), Bộ Công an, https://bocongan.gov.vn/bai-viet/canh-bao-lua-dao-chiem-doat-tai-san-tu-su-co-an-ninh-mang-tai-trung-tam-thong-tin-tin-dung-quoc-gia-cic-1757991790

¹¹ BBT (2025), Cảnh giác với thủ đoạn cắt ghép hình ảnh, video nhạy cảm nhằm lừa đảo chiếm đoạt tài sản của cán bộ công chức, doanh nhân, Bộ Công an, https://bocongan.gov.vn/bai-viet/canh-giac-voi-thu-doan-cat-ghep-hinh-anh-video-nhay-cam-nham-lua-dao-chiem-doat-tai-san-cua-can-bo-cong-chuc-doanh-nhan-d22-t44736

¹² Khoản 6 Điều 11 Thông tư số 64/2024/TT-NHNN ngày 31/12/2024 của Thống đốc NHNN quy định về triển khai Open API trong ngành Ngân hàng.

¹³ Quỳnh Vinh, Huyền Trang (2025), Cấm mua, bán dữ liệu cá nhân, ngăn chặn tình trạng lợi dụng lừa đảo, chiếm đoạt tài sản quy mô lớn, https://bocongan.gov.vn/chinh-sach-phap-luat/bai-viet/cam-mua-ban-du-lieu-ca-nhan-ngan-chan-tinh-trang-loi-dung-lua-dao-chiem-doat-tai-san-quy-mo-lon-d3-t1763

¹⁴ Minh Ngân (2026), Từ hôm nay, Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực thi hành, https://bocongan.gov.vn/bai-viet/luat-bao-ve-du-lieu-ca-nhan-chinh-thuc-co-hieu-luc-thi-hanh-tu-ngay-01-01-2026-1767186124?

¹⁵ Hà Chi (2026), Dòng chảy số trong ngành Ngân hàng, Thời báo Ngân hàng, https://thoibaonganhang.vn/dong-chay-so-trong-nganh-ngan-hang-178378.html

¹⁶ Kim Anh (2026), Chuyển đổi số ngân hàng: Tiếp tục ưu tiên phát triển hạ tầng số, kết nối liên thông dữ liệu, Tạp chí Ngân hàng, https://tapchinganhang.gov.vn/chuyen-doi-so-ngan-hang-tiep-tuc-uu-tien-phat-trien-ha-tang-so-ket-noi-lien-thong-du-lieu-17083.html

¹⁷ Nguyễn Lan (2025), tldd (11).

¹⁸ Hạ Chi (2026), Làm sạch dữ liệu củng cố niềm tin của khách hàng, Thời báo Ngân hàng, https://thoibaonganhang.vn/lam-sach-du-lieu-cung-co-niem-tin-cua-khach-hang-177128.html

¹⁹ Quỳnh Trang (2026), tlđd (8).

Tài liệu tham khảo:

1. Kim Anh (2026), Chuyển đổi số ngân hàng: Tiếp tục ưu tiên phát triển hạ tầng số, kết nối liên thông dữ liệu, Tạp chí Ngân hàng, https://tapchinganhang.gov.vn/chuyen-doi-so-ngan-hang-tiep-tuc-uu-tien-phat-trien-ha-tang-so-ket-noi-lien-thong-du-lieu-17083.html

2. Lê Hoàng Chính Quang (2026), Thành công trong chuyển đổi số ngành Ngân hàng năm 2025 - Nền tảng cho phát triển an toàn, bền vững hệ thống tài chính, Tạp chí Ngân hàng, https://tapchinganhang.gov.vn/thanh-cong-trong-chuyen-doi-so-nganh-ngan-hang-nam-2025-nen-tang-cho-phat-trien-an-toan-ben-vung-he-thong-tai-chinh-17043.html

3. Luật Bảo vệ dữ liệu cá nhân năm 2025.

4. Marketing - Communication Department UEH (2022), Cybersecurity Risks in Digital Banking: The Case of Vietnam, https://www.ueh.edu.vn/en/news/cybersecurity-risks-in-digital-banking-the-case-of-vietnam-58109

5. Minh Ngân (2026), Từ hôm nay, Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực thi hành, Bộ Công an, https://bocongan.gov.vn/bai-viet/luat-bao-ve-du-lieu-ca-nhan-chinh-thuc-co-hieu-luc-thi-hanh-tu-ngay-01-01-2026-1767186124

6. Nguyễn Lan (2025), Chống lừa đảo trực tuyến 2025: Lan tỏa thông điệp “Nhận diện bẫy lừa - An tâm vui sắm”, Bộ Công an, https://bocongan.gov.vn/bai-viet/chong-lua-dao-truc-tuyen-2025-lan-toa-thong-diep-nhan-dien-bay-lua-an-tam-vui-sam-1764245385

7. Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệ cá nhân.

8. PV (2025), Vụ Thanh toán - Hành trình 20 năm trưởng thành và phát triển, Thời báo Ngân hàng, https://thoibaonganhang.vn/vu-thanh-toan-hanh-trinh-20-nam-truong-thanh-va-phat-trien-175037.html

9. Quỳnh Trang (2026), Dữ liệu được bảo vệ, người dùng yên tâm hơn trong thanh toán, Thời báo Ngân hàng, https://thoibaonganhang.vn/du-lieu-duoc-bao-ve-nguoi-dung-yen-tam-hon-trong-thanh-toan-176225.html

10. Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

11. Thông tư số 64/2024/TT-NHNN ngày 31/12/2024 của Thống đốc NHNN quy định về triển khai giao diện lập trình ứng dụng mở trong ngành Ngân hàng.

12. Thông tư số 77/2025/TT-NHNN ngày 31/12/2025 của Thống đốc NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

13. Vietnam News (2024), Future of digital banking hinges on data security: Experts, https://vietnamnews.vn/economy/1650094/future-of-digital-banking-hinges-on-data-security-experts.html