Bảo vệ dữ liệu cá nhân trong hệ sinh thái thanh toán số: Nền tảng cho phát triển thanh toán hiện đại và bền vững

Tại Việt Nam, cùng với quá trình thúc đẩy thanh toán không dùng tiền mặt (TTKDTM) và triển khai Chiến lược phát triển hệ thống thanh toán quốc gia đến năm 2030, hệ sinh thái thanh toán số đang phát triển nhanh chóng cả về quy mô và mức độ ứng dụng công nghệ. Các phương thức TTKDTM như thanh toán qua điện thoại di động, mã QR, ví điện tử… ngày càng trở nên phổ biến trong đời sống kinh tế - xã hội. Theo số liệu thống kê, giá trị giao dịch TTKDTM năm 2025 đạt khoảng 28 lần GDP, trong khi số lượng và giá trị giao dịch tăng trưởng bình quân lần lượt khoảng 58,86% và 24,36% mỗi năm trong giai đoạn 2021 - 2025. Đáng chú ý trong giai đoạn này, thanh toán qua điện thoại di động tăng trưởng rất mạnh, khoảng 73,32% về số lượng và 52,55% về giá trị.

Sự phát triển mạnh mẽ của thanh toán số đã mang lại nhiều lợi ích cho nền kinh tế, góp phần nâng cao hiệu quả lưu thông tiền tệ, thúc đẩy tài chính toàn diện và hỗ trợ sự phát triển của kinh tế số. Tuy nhiên, cùng với sự gia tăng nhanh chóng của các giao dịch điện tử là khối lượng dữ liệu cá nhân phát sinh ngày càng lớn, đặt ra yêu cầu ngày càng cao đối với việc quản trị và bảo vệ dữ liệu.

1. Đặc thù dữ liệu cá nhân trong hệ sinh thái thanh toán số

Trong hệ sinh thái thanh toán số, dữ liệu cá nhân không chỉ là thông tin nhận diện người dùng mà còn là yếu tố cấu thành trực tiếp của quá trình cung ứng dịch vụ, xác thực giao dịch, quản trị rủi ro và phòng, chống gian lận. Sự phát triển mạnh của TTKDTM, tài khoản TTKDTM, thẻ ngân hàng, ví điện tử và các dịch vụ ngân hàng trực tuyến trong khuôn khổ Nghị định số 52/2024/NĐ-CP ngày 15/5/2024 của Chính phủ quy định về TTKDTM và các thông tư chuyên ngành của Ngân hàng Nhà nước Việt Nam (NHNN) đã đưa dữ liệu cá nhân trở thành một loại “hạ tầng mềm” thiết yếu của hoạt động thanh toán hiện đại.

Khác với nhiều lĩnh vực dịch vụ thông thường, dữ liệu cá nhân trong thanh toán số có phạm vi rất rộng và mang tính liên kết cao. Một giao dịch thanh toán có thể đồng thời làm phát sinh, lưu giữ hoặc đối chiếu nhiều lớp dữ liệu khác nhau, gồm: Dữ liệu định danh cơ bản của khách hàng; dữ liệu tài chính như số tài khoản, thông tin thẻ, giá trị và tần suất giao dịch; dữ liệu kỹ thuật như địa chỉ IP, thiết bị, thời điểm, vị trí truy cập, nhật ký đăng nhập; và dữ liệu hành vi phản ánh thói quen chi tiêu, mô hình sử dụng dịch vụ, mức độ tín nhiệm và dấu hiệu rủi ro. Khi các lớp dữ liệu này được kết nối với nhau, chúng không còn là những mảnh thông tin rời rạc mà có thể tạo thành hồ sơ số khá đầy đủ về một cá nhân, cho phép nhận diện sâu về nhân thân, khả năng tài chính, quan hệ giao dịch và hành vi tiêu dùng của người sử dụng dịch vụ.

Điểm đáng lưu ý là dữ liệu trong lĩnh vực thanh toán không chỉ có giá trị nhận biết mà còn có giá trị khai thác và giá trị tấn công rất cao. Đối với tổ chức cung ứng dịch vụ, dữ liệu là cơ sở để nhận diện khách hàng, cá thể hóa dịch vụ, chấm điểm rủi ro và phát hiện giao dịch bất thường. Tuy nhiên, chính vì gắn trực tiếp với tài khoản, phương tiện thanh toán và dòng tiền của khách hàng, loại dữ liệu này cũng trở thành mục tiêu ưu tiên của hành vi xâm nhập trái phép, đánh cắp danh tính, giả mạo giao dịch và lừa đảo tài chính. So với nhiều loại dữ liệu cá nhân khác, dữ liệu thanh toán có khả năng bị khai thác gần như ngay lập tức để thực hiện hành vi chiếm đoạt tài sản, nên mức độ rủi ro và hậu quả thực tế thường lớn hơn, nhanh hơn và trực tiếp hơn.

Đặc thù này càng rõ hơn trong bối cảnh các quy định gần đây yêu cầu tăng cường xác minh, đối chiếu thông tin sinh trắc học khi mở và sử dụng một số dịch vụ thanh toán bằng phương tiện điện tử. Với tài khoản thanh toán, ví điện tử và các giao dịch trực tuyến có mức độ rủi ro cao, dữ liệu sinh trắc học ngày càng được sử dụng như một yếu tố xác thực quan trọng, gắn với việc đối chiếu thông tin từ Cơ sở dữ liệu quốc gia về dân cư hoặc tài khoản định danh điện tử VNeID theo các quy định chuyên ngành được sửa đổi, bổ sung trong năm 2025. Điều này làm cho dữ liệu cá nhân trong thanh toán số không chỉ bao gồm thông tin “biết về khách hàng” mà còn bao gồm cả thông tin “gắn với chính con người khách hàng”, tức những dữ liệu khó thay đổi, khó thay thế và có tính nhạy cảm đặc biệt.

Từ góc độ quản lý, dữ liệu cá nhân trong hệ sinh thái thanh toán số vì vậy có ít nhất ba đặc điểm nổi bật. Thứ nhất, đây là loại dữ liệu đa tầng, kết hợp đồng thời dữ liệu định danh, dữ liệu tài chính, dữ liệu công nghệ và dữ liệu hành vi. Thứ hai, đây là loại dữ liệu có tính động và được cập nhật liên tục theo thời gian thực cùng với quá trình giao dịch, đăng nhập, xác thực và sử dụng dịch vụ. Thứ ba, đây là loại dữ liệu có mức độ nhạy cảm cao vì liên quan trực tiếp đến tài sản, khả năng tiếp cận tài khoản và an toàn giao dịch của khách hàng. Chính ba đặc điểm này làm cho yêu cầu bảo vệ dữ liệu cá nhân trong hoạt động thanh toán không thể dừng ở bảo mật thông tin theo nghĩa truyền thống, mà phải bao quát cả khâu thu thập tối thiểu, kiểm soát truy cập, đối chiếu xác thực, giám sát rủi ro, ngăn ngừa giả mạo và xử lý sự cố trong toàn bộ vòng đời dữ liệu.

Trong bối cảnh đó, bảo vệ dữ liệu cá nhân trong hoạt động thanh toán không còn là vấn đề tuân thủ mang tính hình thức mà đã trở thành một trụ cột của an toàn hệ thống tài chính số. Theo cách tiếp cận của Việt Nam, Luật Dữ liệu năm 2024, có hiệu lực từ ngày 01/7/2025 đã tạo nền tảng pháp lý mới cho quản trị, khai thác và bảo vệ dữ liệu trong nền kinh tế số; tiếp đó, Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua ngày 26/6/2025 và có hiệu lực từ ngày 01/01/2026 đã nâng chuẩn bảo vệ dữ liệu cá nhân lên cấp luật, thay cho mô hình điều chỉnh chủ yếu bằng nghị định trước đây.

Trước thời điểm Luật này có hiệu lực, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân đã xác lập các nguyên tắc cốt lõi như xử lý đúng mục đích, minh bạch, giới hạn phạm vi thu thập, bảo đảm an ninh, an toàn và kiểm soát chặt chẽ việc xử lý dữ liệu cá nhân nhạy cảm, trong đó có dữ liệu sinh trắc học. Cách tiếp cận này tương đồng với xu hướng quốc tế, cụ thể như: Quỹ Tiền tệ Quốc tế (IMF) nhấn mạnh rằng niềm tin của người dùng vào thanh toán số phụ thuộc lớn vào cách thức thu thập, lưu trữ, truy cập và sử dụng dữ liệu¹; Ngân hàng Thế giới (World Bank) cảnh báo rằng trong các hệ thống thanh toán nhanh (FPS), vi phạm quyền riêng tư và mất an toàn dữ liệu có thể dẫn tới đánh cắp danh tính, gian lận tài chính, sai lệch hồ sơ tài chính và rủi ro lan truyền trên diện rộng²; Ngân hàng Thanh toán Quốc tế (BIS) cũng coi rủi ro an ninh mạng, gian lận và quyền riêng tư dữ liệu là những thách thức cố hữu đi cùng quá trình mở rộng thanh toán số và thanh toán nhanh³.

Vì vậy, việc để xảy ra rủi ro rò rỉ hoặc lộ lọt dữ liệu trong lĩnh vực thanh toán thì hậu quả không chỉ dừng ở việc xâm phạm đời tư của khách hàng mà còn có thể làm suy giảm niềm tin vào dịch vụ tài chính số, gia tăng lừa đảo trực tuyến, chiếm đoạt tài sản, tạo rủi ro hoạt động và rủi ro danh tiếng đối với tổ chức cung ứng dịch vụ; thậm chí ảnh hưởng đến an toàn, ổn định của hệ thống thanh toán quốc gia. Bảo vệ dữ liệu cá nhân vì thế phải được nhìn nhận như một yêu cầu pháp lý, kỹ thuật và quản trị tích hợp, gắn liền với quản lý rủi ro, an ninh mạng, xác thực khách hàng và bảo đảm tính bền vững của quá trình chuyển đổi số ngành Ngân hàng.

2. Hoàn thiện hành lang pháp lý bảo vệ dữ liệu trong hoạt động thanh toán

Cùng với sự phát triển nhanh của thanh toán số, khuôn khổ pháp lý về bảo vệ dữ liệu tại Việt Nam trong thời gian qua đã có bước hoàn thiện rõ rệt theo hướng chuyển từ điều chỉnh rời rạc sang thiết lập một nền tảng pháp lý thống nhất hơn cho quản trị dữ liệu và bảo vệ dữ liệu cá nhân. Dấu mốc quan trọng nhất là việc Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15), có hiệu lực từ ngày 01/01/2026; tiếp đó, Chính phủ ban hành Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân. Hai văn bản này đã nâng yêu cầu bảo vệ dữ liệu cá nhân từ cấp độ quy định dưới luật lên cấp độ luật, đồng thời làm rõ hơn trách nhiệm của các chủ thể trong toàn bộ quá trình thu thập, xử lý, lưu trữ, chia sẻ, chuyển giao và ứng phó với vi phạm dữ liệu cá nhân.

Đáng chú ý, cơ chế kiểm soát đối với hoạt động chuyển dữ liệu cá nhân ra nước ngoài được thiết kế theo hướng quản lý dựa trên rủi ro, gắn với trách nhiệm giải trình của tổ chức xử lý dữ liệu. Theo đó, trước khi thực hiện chuyển dữ liệu, tổ chức phải tiến hành đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định của Luật và Nghị định hướng dẫn. Quy trình này yêu cầu làm rõ mục đích chuyển dữ liệu, phạm vi và loại dữ liệu được chuyển, đối tượng nhận dữ liệu, cũng như đánh giá mức độ bảo vệ dữ liệu tại quốc gia hoặc vùng lãnh thổ tiếp nhận, qua đó nhận diện và kiểm soát các rủi ro có thể phát sinh đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.

Có thể thấy, hệ thống pháp luật của Việt Nam đang từng bước xây dựng, hoàn thiện cơ chế bảo vệ dữ liệu theo mô hình nhiều lớp. Ở lớp nền tảng, Luật Dữ liệu (Luật số 60/2024/QH15), có hiệu lực từ ngày 01/7/2025 đã tạo cơ sở chung cho việc quản trị, bảo vệ, khai thác và chia sẻ dữ liệu trong nền kinh tế số. Trên nền tảng đó, Luật Bảo vệ dữ liệu cá nhân và Nghị định hướng dẫn đã hình thành khung pháp lý chuyên biệt đối với dữ liệu cá nhân, trong đó đặt trọng tâm vào nguyên tắc xử lý dữ liệu, quyền của chủ thể dữ liệu, nghĩa vụ của bên kiểm soát, xử lý dữ liệu và trách nhiệm thông báo, phối hợp xử lý khi xảy ra vi phạm. Như vậy, hành lang pháp lý về bảo vệ dữ liệu trong thanh toán không chỉ dựa vào các yêu cầu bảo mật kỹ thuật của từng dịch vụ, mà đã được đặt trong một cấu trúc pháp lý rộng hơn về quyền dữ liệu và trách nhiệm pháp lý của tổ chức xử lý dữ liệu.

Đối với lĩnh vực ngân hàng và thanh toán, NHNN đã tiếp tục hoàn thiện các quy định chuyên ngành theo hướng cụ thể hóa các yêu cầu bảo vệ dữ liệu vào từng loại hình dịch vụ và từng khâu nghiệp vụ. Thông tư số 17/2024/TT-NHNN (được sửa đổi, bổ sung bởi Thông tư số 25/2025/TT-NHNN) đã làm rõ hơn yêu cầu về mở và sử dụng tài khoản thanh toán, đặc biệt là trách nhiệm của tổ chức cung ứng dịch vụ trong việc nhận biết, xác minh, đối chiếu và quản lý thông tin khách hàng.

Trong lĩnh vực thẻ ngân hàng, Thông tư số 18/2024/TT-NHNN (được sửa đổi, bổ sung bởi Thông tư số 45/2025/TT-NHNN) đã tăng cường yêu cầu kiểm soát an toàn giao dịch, xác thực chủ thẻ và phòng ngừa gian lận trong hoạt động thẻ. Đối với dịch vụ trung gian thanh toán, Thông tư số 40/2024/TT-NHNN (được sửa đổi, bổ sung bởi Thông tư số 41/2025/TT-NHNN) tiếp tục bổ sung yêu cầu về điều kiện kỹ thuật, quản trị vận hành và an toàn hệ thống đối với các tổ chức trung gian thanh toán… Các quy định này cho thấy pháp luật chuyên ngành ngân hàng đang dịch chuyển từ cách tiếp cận quản lý từng sản phẩm thanh toán riêng lẻ sang cách tiếp cận quản lý rủi ro dữ liệu gắn với toàn bộ chu trình cung ứng dịch vụ số.

Một điểm mới đáng chú ý trong quá trình hoàn thiện hành lang pháp lý là sự gia tăng yêu cầu đối với an toàn xác thực điện tử và phòng, chống giả mạo công nghệ cao. Thông tư số 50/2024/TT-NHNN (sửa đổi, bổ sung bởi Thông tư số 77/2025/TT-NHNN) quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng đã mở rộng yêu cầu kỹ thuật theo hướng tăng cường bảo vệ giao dịch trực tuyến trước các nguy cơ giả mạo sinh trắc học, lừa đảo số và tấn công công nghệ cao. Theo đó, yêu cầu bảo vệ dữ liệu trong hoạt động thanh toán không còn được hiểu chỉ là bảo mật thông tin lưu trữ mà còn bao gồm bảo đảm tính xác thực của chủ thể giao dịch, tính toàn vẹn của dữ liệu trong quá trình xử lý và khả năng phát hiện, ngăn chặn các hành vi lợi dụng công nghệ AI, Deepfake để vượt qua cơ chế xác thực. Đây là bước phát triển quan trọng và phản ánh xu hướng điều chỉnh pháp lý phù hợp hơn với rủi ro mới của môi trường thanh toán số.

Tổng thể, hành lang pháp lý bảo vệ dữ liệu trong hoạt động thanh toán ở Việt Nam hiện nay đang được hình thành trên cơ sở kết nối giữa pháp luật chung về dữ liệu, pháp luật chuyên biệt về bảo vệ dữ liệu cá nhân và các quy định chuyên ngành của NHNN. Sự kết nối này giúp tạo ra một khuôn khổ quản lý tương đối đồng bộ, trong đó yêu cầu bảo vệ dữ liệu được lồng ghép vào cả ba phương diện: Tuân thủ pháp lý, tổ chức vận hành và kiểm soát kỹ thuật. Đây là nền tảng quan trọng để các tổ chức cung ứng dịch vụ thanh toán chuyển từ tư duy “bảo mật thông tin” đơn thuần sang tư duy “quản trị dữ liệu và quản trị rủi ro dữ liệu” trong bối cảnh thanh toán số ngày càng phát triển sâu rộng.

3. Kinh nghiệm quốc tế về tăng cường bảo vệ dữ liệu trong hệ sinh thái thanh toán số

Kinh nghiệm quốc tế cho thấy bảo vệ dữ liệu trong hệ sinh thái thanh toán số hiện không còn được tiếp cận như một vấn đề thuần túy về bảo mật thông tin mà đã trở thành một cấu phần trọng yếu của an toàn hoạt động thanh toán, phòng ngừa gian lận, bảo vệ người sử dụng dịch vụ và duy trì niềm tin đối với hạ tầng tài chính số. Cách tiếp cận phổ biến hiện nay là xây dựng cơ chế bảo vệ dữ liệu theo nhiều tầng, bao gồm: (1) Khung pháp lý chuyên ngành đối với tổ chức cung ứng dịch vụ thanh toán; (2) Các chuẩn kỹ thuật và quản trị đối với hệ thống, công cụ và quy trình xử lý giao dịch; và (3) Các cơ chế hợp tác công - tư để chia sẻ cảnh báo rủi ro, xác minh thông tin thanh toán và hạn chế lộ lọt dữ liệu trong toàn bộ chuỗi cung ứng dịch vụ.

3.1. Quy định pháp lý chuyên ngành ngân hàng - thanh toán

Một trong những kinh nghiệm nổi bật là cách tiếp cận của các quốc gia và khu vực kinh tế lớn trong việc không tách rời việc bảo vệ dữ liệu khỏi khung pháp lý thanh toán, mà lồng ghép trực tiếp yêu cầu bảo mật, xác thực an toàn và trách nhiệm xử lý rủi ro vào pháp luật chuyên ngành. Tại Liên minh châu Âu (EU) khuôn khổ PSD2 cùng các tiêu chuẩn kỹ thuật của Cơ quan Ngân hàng châu Âu (EBA) về xác thực mạnh khách hàng (Strong Customer Authentication - SCA) và chuẩn giao tiếp an toàn đã trở thành trụ cột pháp lý giúp giảm gian lận trong TTKDTM. Báo cáo chung EBA - NHTW Châu Âu (ECB) công bố tháng 12/2025 cho thấy yêu cầu SCA được áp dụng từ năm 2020 đã góp phần làm giảm mức độ gian lận trong ngành mặc dù các hình thức lừa đảo vẫn liên tục thay đổi và thích ứng với quy định mới. Cách tiếp cận này cho thấy bảo vệ dữ liệu trong thanh toán không chỉ là giữ bí mật thông tin mà còn là bảo đảm dữ liệu xác thực không bị khai thác để thực hiện giao dịch trái phép⁴.

Cũng tại EU, Quy định (EU) 2024/886 về thanh toán tức thời bằng Euro đã bổ sung thêm một lớp bảo vệ dữ liệu và phòng ngừa gian lận quan trọng là xác minh người thụ hưởng (Verification of Payee - VoP)⁵. Theo đó, bên cung ứng dịch vụ thanh toán phải cung cấp dịch vụ kiểm tra sự khớp đúng giữa số tài khoản và tên người thụ hưởng trước khi lệnh chuyển tiền được thực hiện. ECB nhấn mạnh rằng cơ chế này giúp người trả tiền được thông báo khi có sai lệch giữa số tài khoản và tên người nhận, từ đó hạn chế chuyển tiền nhầm hoặc bị lừa đảo chuyển tiền tới tài khoản giả mạo. Về bản chất, đây là một công cụ pháp lý - kỹ thuật quan trọng trong việc sử dụng dữ liệu thanh toán để xác minh trước giao dịch nhưng vẫn giới hạn mục đích xử lý để đảm bảo an toàn cho giao dịch thanh toán.

Tại Singapore, Cơ quan Tiền tệ Singapore (MAS) tiếp cận vấn đề từ góc độ bảo vệ người sử dụng TTKDTM và phân bổ trách nhiệm đối với giao dịch trái phép. Bộ hướng dẫn bảo vệ người sử dụng thanh toán điện tử (E-Payments User Protection Guidelines) có hiệu lực từ ngày 16/12/2024 đã quy định nghĩa vụ của tổ chức tài chính và người dùng đối với các giao dịch thanh toán không được phép hoặc giao dịch nhầm lẫn⁶. Cùng với đó, MAS ban hành thêm Bộ hướng dẫn về khuôn khổ chia sẻ trách nhiệm (Guidelines on Shared Responsibility Framework) và các thông tư về biện pháp chống lừa đảo đối với các tổ chức thanh toán lớn, qua đó yêu cầu các tổ chức phải củng cố kiểm soát xác thực, cảnh báo gian lận, nhận diện kịch bản lừa đảo và xử lý khiếu nại rõ ràng hơn⁷. Kinh nghiệm của Singapore cho thấy bảo vệ dữ liệu trong thanh toán số cần được gắn với trách nhiệm vận hành cụ thể của tổ chức cung ứng dịch vụ chứ không chỉ dừng ở quy định chung về quyền riêng tư.

Tựu chung lại, điểm chung trong các khuôn khổ pháp lý chuyên ngành này là dữ liệu được xem như một phần của cơ chế đảm bảo an toàn cho hoạt động thanh toán. Pháp luật không chỉ yêu cầu bảo mật dữ liệu khi lưu trữ mà còn kiểm soát cách dữ liệu được sử dụng để xác thực giao dịch, đối soát thông tin người nhận, phát hiện giao dịch bất thường, phân bổ trách nhiệm khi có gian lận và báo cáo rủi ro cho cơ quan quản lý. Đây là kinh nghiệm quan trọng đối với Việt Nam bởi trong hệ sinh thái thanh toán số, cùng một tập dữ liệu có thể vừa là đối tượng cần bảo vệ, vừa là công cụ để phòng ngừa gian lận nếu được khai thác đúng mục đích và trong khuôn khổ kiểm soát phù hợp.

3.2. Các sáng kiến mới về tăng cường bảo vệ dữ liệu trong thanh toán của khu vực công

Bên cạnh khuôn khổ pháp lý, nhiều sáng kiến mới của các ngân hàng trung ương (NHTW), cơ quan quản lý tiền tệ và các tổ chức quốc tế đang cho thấy xu hướng chuyển mạnh sang mô hình bảo vệ dữ liệu gắn với thiết kế hệ thống thanh toán. Tại BIS và Ủy ban Cơ sở hạ tầng thị trường tài chính (CPMI), một trọng tâm lớn trong giai đoạn gần đây là làm sao để các hệ thống thanh toán nhanh, hệ thống thanh toán xuyên biên giới và cơ chế liên thông hệ thống có thể vận hành hiệu quả mà không làm gia tăng rủi ro lộ lọt dữ liệu.

Báo cáo của CPMI tháng 10/2024 về liên kết các hệ thống thanh toán nhanh xuyên biên giới đã nhấn mạnh rằng các quyết định về quản trị và giám sát phải tính đến cơ chế chia sẻ dữ liệu, trách nhiệm giữa các bên tham gia và các yêu cầu đối với vận hành an toàn⁸. Cùng thời điểm đó, CPMI cũng thúc đẩy hài hòa hóa việc sử dụng API và mô hình dữ liệu ISO 20022 do tiêu chuẩn hóa dữ liệu không chỉ phục vụ khả năng tương tác mà còn giúp giảm lỗi, tăng khả năng kiểm soát truy cập và quản trị dữ liệu trong chuỗi thanh toán xuyên biên giới⁹.

Một cách tiếp cận quan trọng khác là việc BIS đang tiếp tục thúc đẩy các công nghệ tăng cường bảo vệ quyền riêng tư (Privacy-Enhancing Technologies - PETs) cho thanh toán số. Nghiên cứu công bố năm 2025 của Trung tâm đổi mới sáng tạo BIS về PETs cho thấy các công nghệ này cho phép xử lý, phân tích hoặc xác minh dữ liệu mà không cần chia sẻ toàn bộ dữ liệu gốc giữa các bên tham gia. Trong bối cảnh hệ thống thanh toán và phòng, chống gian lận ngày càng phụ thuộc vào phân tích dữ liệu liên tổ chức, PETs được xem là công cụ quan trọng để giảm sự đánh đổi giữa hai mục tiêu vốn thường xung đột: một bên là nhu cầu khai thác dữ liệu để kiểm soát rủi ro, bên kia là yêu cầu bảo vệ dữ liệu cá nhân và bí mật khách hàng. Đây là một chuyển biến lớn về tư duy quản lý: Thay vì chỉ gia tăng hàng rào bảo mật xung quanh dữ liệu tập trung, nhiều sáng kiến quốc tế đang hướng tới cách “xử lý dữ liệu mà không cần bộc lộ toàn bộ dữ liệu”¹⁰.

Liên quan trực tiếp tới chống gian lận trong thanh toán, BIS Innovation Hub cũng tiếp tục phát triển các sáng kiến như Dự án Aurora và Dự án Hertha. Dự án Aurora chứng minh rằng các mô hình học máy (đặc biệt khi kết hợp phân tích mạng lưới và kỹ thuật bảo vệ quyền riêng tư) có thể giúp phát hiện các mô hình rửa tiền và gian lận phức tạp mà không cần gom toàn bộ dữ liệu về một kho tập trung¹¹. Dự án Hertha tiếp tục khai thác AI và dữ liệu giao dịch để nhận diện tội phạm tài chính trong bối cảnh các hình thức lừa đảo, giả mạo điện tử và lợi dụng công nghệ số ngày càng tinh vi¹². Kinh nghiệm từ các dự án này là cách thức kết hợp giữa mục tiêu đảm bảo tính toàn vẹn hệ thống thanh toán với mục tiêu giảm thiểu việc phơi lộ dữ liệu gốc, qua đó xây dựng cơ chế giám sát hiệu quả nhưng vẫn tôn trọng nguyên tắc bảo mật dữ liệu.

Ngoài ra, BIS Innovation Hub cũng triển khai dự án Leap nhằm chuẩn bị cho việc chuyển đổi sang các giải pháp mật mã kháng lượng tử trong hệ thống tài chính, qua đó góp phần bảo vệ các hệ thống thanh toán trước rủi ro “thu thập trước, giải mã sau” (harvest now, decrypt later), tức là dữ liệu giao dịch được thu thập ở hiện tại nhưng có thể bị giải mã trong tương lai khi năng lực tính toán lượng tử đủ mạnh¹³.

Tại châu Âu, ngoài lớp quy định bắt buộc thì ECB còn chủ động hỗ trợ thị trường triển khai các công cụ hạn chế gian lận dữ liệu trong thanh toán. Một ví dụ là việc Eurosystem xem xét cung cấp dịch vụ xác thực người nhận tiền ở cấp hạ tầng nhằm hỗ trợ các tổ chức cung ứng dịch vụ thanh toán triển khai yêu cầu xác minh người thụ hưởng theo Quy định thanh toán tức thời của EU¹⁴. Sáng kiến này cho thấy vai trò của NHTW không chỉ dừng ở ban hành quy định hay giám sát mà còn có thể tham gia kiến tạo dịch vụ hạ tầng dùng chung để tăng an toàn thanh toán và giảm chi phí tuân thủ cho các tổ chức tham gia thị trường.

Tại Singapore, thời gian gần đây MAS không chỉ củng cố trách nhiệm của các tổ chức tài chính trong việc bảo vệ người dùng TTKDTM, mà còn liên tục cập nhật cảnh báo, hướng dẫn và yêu cầu kỹ thuật đối với các rủi ro mới như Deepfake và lừa đảo số. Thông tư của MAS tháng 9/2025 về rủi ro mạng liên quan tới Deepfake cho thấy cơ quan quản lý đã nhìn nhận gian lận thanh toán không còn chỉ là vấn đề mất cắp thông tin đăng nhập, mà ngày càng gắn với việc giả mạo danh tính, thao túng quá trình xác thực và đánh lừa con người bằng công nghệ AI¹⁵. Kinh nghiệm này khẳng định, bảo vệ dữ liệu trong thanh toán hiện đại phải bao gồm cả bảo vệ tính xác thực của dữ liệu đầu vào và của người khởi tạo giao dịch.

Ở góc độ chính sách quốc tế, G20 TechSprint 2025 do Trung tâm đổi mới sáng tạo BIS công bố cũng dành trọng tâm cho tăng cường an ninh và độ tin cậy của hệ thống thanh toán nhanh và hệ thống thẻ, đồng thời giảm gian lận¹⁶. Việc bài toán này được đưa vào TechSprint cho thấy cộng đồng quốc tế đang xem bảo vệ dữ liệu, chống gian lận và khả năng chia sẻ tín hiệu rủi ro một cách an toàn là một trong những chủ đề trọng tâm của đổi mới tài chính hiện nay.

3.3. Các sáng kiến mới về tăng cường bảo vệ dữ liệu trong thanh toán của khu vực tư nhân

Khu vực tư nhân (ví dụ, các hiệp hội ngân hàng, hiệp hội thanh toán và các mạng lưới chia sẻ thông tin ngành tài chính…) đang giữ vai trò ngày càng quan trọng trong việc chuyển hóa yêu cầu bảo vệ dữ liệu thành thực tiễn vận hành. Tại châu Âu, Ủy ban Thanh toán châu Âu (European Payments Council - EPC) đã xây dựng Bộ quy tắc xác minh người nhận tiền (Verification of Payee Scheme Rulebook) và các đặc tả API giữa các tổ chức cung ứng dịch vụ thanh toán để triển khai xác minh người thụ hưởng một cách tương tác giữa các tổ chức cung ứng dịch vụ thanh toán trong khu vực thanh toán Euro thống nhất (SEPA)¹⁷. Đây là ví dụ điển hình về việc khu vực tư nhân đóng vai trò “cầu nối” giữa yêu cầu pháp lý và khả năng vận hành thực tế: Hiệp hội không chỉ ban hành bộ quy tắc mà còn xây dựng chuẩn tương tác, quy tắc phản hồi và khuôn khổ quản trị chung để các tổ chức thành viên có thể xử lý việc đối soát dữ liệu người thụ hưởng một cách thống nhất và an toàn hơn.

Tại Hoa Kỳ, Hiệp hội Ngân hàng Mỹ (American Bankers Association - ABA) đẩy mạnh các chiến dịch và sáng kiến nâng cao năng lực chống gian lận như “Banks Never Ask That”, đồng thời liên tục vận động cho các cơ chế phối hợp liên ngành và chia sẻ dữ liệu phục vụ phòng, chống lừa đảo¹⁸. Trong các thư kiến nghị năm 2025, ABA nhấn mạnh nhu cầu xây dựng chiến lược quốc gia về chống gian lận và tăng cường chia sẻ dữ liệu giữa các khu vực để ngăn ngừa lừa đảo thanh toán và gian lận kỹ thuật số¹⁹. Qua đó cho thấy khu vực tư nhân không chỉ là bên tuân thủ quy định mà còn là tác nhân tích cực thúc đẩy các mô hình quản trị dữ liệu an toàn hơn, đặc biệt trong bối cảnh gian lận ngày càng mang tính liên nền tảng và liên ngành.

Từ các kinh nghiệm trên có thể rút ra ba nhận xét chính. Thứ nhất, bảo vệ dữ liệu trong hệ sinh thái thanh toán số đang được quốc tế xử lý theo cách tiếp cận tích hợp giữa pháp luật chuyên ngành, thiết kế hạ tầng và quản trị rủi ro vận hành. Thứ hai, xu hướng mới không chỉ là siết bảo mật dữ liệu, mà còn là sử dụng dữ liệu một cách an toàn để xác minh người thụ hưởng, phát hiện gian lận, chia sẻ tín hiệu rủi ro và bảo vệ người dùng theo thời gian thực. Thứ ba, khu vực tư nhân và các hiệp hội ngành đóng vai trò ngày càng quan trọng trong việc chuẩn hóa quy trình, phát triển bộ quy tắc, tiêu chuẩn API, cơ chế cảnh báo và nền tảng hợp tác tin cậy.

4. Định hướng trong thời gian tới

Bên cạnh vai trò của cơ quan quản lý nhà nước và các tổ chức cung ứng dịch vụ, một yếu tố ngày càng quan trọng nhưng thường bị xem nhẹ trong bảo vệ dữ liệu cá nhân chính là người sử dụng dịch vụ thanh toán. Trong thực tiễn, người dùng chính là “mắt xích cuối cùng” trong chuỗi bảo vệ dữ liệu, đồng thời cũng là điểm dễ bị tổn thương nhất trước các hình thức tấn công lừa đảo, giả mạo và khai thác thông tin. Nhiều vụ việc gian lận trong thanh toán số không xuất phát từ lỗ hổng kỹ thuật của hệ thống, mà từ việc người dùng bị đánh cắp thông tin đăng nhập, chia sẻ mã xác thực (OTP), hoặc bị dẫn dụ cung cấp dữ liệu cá nhân qua các kịch bản lừa đảo ngày càng tinh vi.

Do đó, bảo vệ dữ liệu cá nhân trong thanh toán số không thể chỉ tiếp cận theo hướng “bảo mật hệ thống”, mà cần được nhìn nhận là trách nhiệm chung của cả hệ sinh thái, trong đó người dùng đóng vai trò chủ động trong việc bảo vệ thông tin của chính mình. Điều này đòi hỏi cần tăng cường hơn nữa công tác truyền thông, giáo dục tài chính số, nâng cao nhận thức về rủi ro và kỹ năng sử dụng dịch vụ an toàn cho người dân, đồng thời thiết kế các cơ chế cảnh báo, xác thực và phòng ngừa gian lận theo hướng “lấy người dùng làm trung tâm”.

Trong bối cảnh các dịch vụ thanh toán ngày càng gắn với các nền tảng số và hệ sinh thái xuyên biên giới, vấn đề bảo vệ dữ liệu cá nhân không còn giới hạn trong phạm vi lãnh thổ quốc gia. Nhiều giao dịch thanh toán hiện nay được thực hiện thông qua các nền tảng quốc tế, các nhà cung cấp dịch vụ công nghệ hoặc trung gian thanh toán nước ngoài, làm phát sinh việc truyền, lưu trữ và xử lý dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam. Điều này đặt ra thách thức lớn về kiểm soát dòng chảy dữ liệu, bảo đảm quyền riêng tư của người dùng và duy trì chủ quyền dữ liệu quốc gia.

Trước thực tế đó, pháp luật Việt Nam về bảo vệ dữ liệu cá nhân đã bước đầu thiết lập các cơ chế kiểm soát đối với hoạt động chuyển dữ liệu cá nhân ra nước ngoài, bao gồm yêu cầu đánh giá tác động xử lý dữ liệu, điều kiện về sự đồng ý của chủ thể dữ liệu, nghĩa vụ bảo đảm an ninh, an toàn thông tin và trách nhiệm của bên chuyển, bên nhận dữ liệu. Đối với lĩnh vực ngân hàng - thanh toán, yêu cầu này càng cần được chú trọng thông qua việc kiểm soát chặt chẽ các hoạt động hợp tác với đối tác nước ngoài, thuê ngoài dịch vụ công nghệ thông tin, kết nối với các hệ thống thanh toán quốc tế và tích hợp với các nền tảng số xuyên biên giới.

Việc quản lý hiệu quả rủi ro pháp lý và rủi ro vận hành liên quan đến dữ liệu cá nhân xuyên biên giới không chỉ giúp bảo vệ quyền và lợi ích hợp pháp của người sử dụng dịch vụ, mà còn góp phần hạn chế nguy cơ lộ lọt dữ liệu, phòng ngừa gian lận và đảm bảo an toàn cho toàn bộ hệ thống thanh toán. Đây cũng là một trong những nội dung quan trọng cần tiếp tục được hoàn thiện về khuôn khổ pháp lý và cơ chế giám sát trong thời gian tới, phù hợp với thông lệ quốc tế và yêu cầu hội nhập của Việt Nam.

Trong bối cảnh hệ sinh thái thanh toán số tiếp tục mở rộng nhanh, định hướng trong thời gian tới của Việt Nam cần chuyển mạnh từ tư duy “bảo mật thông tin” sang tư duy “quản trị dữ liệu và quản trị rủi ro dữ liệu” trong toàn bộ vòng đời của hoạt động thanh toán. Trên cơ sở kinh nghiệm quốc tế cho thấy, bảo vệ dữ liệu trong hoạt động thanh toán chỉ thực sự hiệu quả khi được triển khai đồng thời ở cả ba phương diện: Khuôn khổ pháp lý rõ ràng, cơ chế quản trị rủi ro chặt chẽ và hợp tác liên cơ quan, liên ngành, xuyên biên giới trong chia sẻ thông tin và cảnh báo rủi ro.

Thứ nhất, ngành Ngân hàng cần tiếp tục tập trung triển khai đầy đủ, thống nhất và hiệu quả các quy định pháp luật về bảo vệ dữ liệu cá nhân và các quy định chuyên ngành trong lĩnh vực thanh toán. Trọng tâm trong giai đoạn tới là tổ chức thực thi đồng bộ khuôn khổ pháp lý về dữ liệu, bảo vệ dữ liệu cá nhân và các quy định chuyên ngành về thanh toán, an toàn, bảo mật trong cung ứng dịch vụ trực tuyến.

Theo hướng này, cần nâng cao trách nhiệm của các tổ chức cung ứng dịch vụ thanh toán trong từng khâu thu thập, xử lý, lưu trữ, chia sẻ, khai thác và xóa dữ liệu; đồng thời lồng ghép yêu cầu bảo vệ dữ liệu vào thiết kế sản phẩm, quy trình nghiệp vụ, mô hình thuê ngoài và quản lý bên thứ ba. Đây cũng là hướng đi phù hợp với kinh nghiệm quốc tế, nơi yêu cầu bảo vệ dữ liệu ngày càng được tích hợp trực tiếp vào pháp luật chuyên ngành về thanh toán, xác thực giao dịch và bảo vệ người sử dụng dịch vụ.

Thứ hai, cần đặt trọng tâm lớn hơn vào quản trị rủi ro dữ liệu trong hoạt động thanh toán. Kinh nghiệm quốc tế cho thấy rủi ro dữ liệu trong thanh toán số không chỉ đến từ tấn công mạng hay lộ lọt thông tin, mà còn đến từ sai lệch trong xác thực, gian lận chuyển tiền, lừa đảo giả mạo, chia sẻ dữ liệu quá mức cần thiết, rủi ro từ bên thứ ba và việc khai thác công nghệ mới như AI, Deepfake để vượt qua các chốt kiểm soát. Vì vậy, định hướng thời gian tới cần yêu cầu các tổ chức cung ứng dịch vụ thanh toán và tổ chức cung ứng dịch vụ trung gian thanh toán củng cố mô hình quản trị rủi ro theo hướng dựa trên mức độ rủi ro, tăng cường phân loại dữ liệu, kiểm soát truy cập, giám sát giao dịch bất thường, kiểm thử an ninh thường xuyên, quản lý rủi ro thuê ngoài và xây dựng năng lực ứng phó, khắc phục sự cố.

Cùng với đó, cần khuyến khích áp dụng các chuẩn mực quốc tế về an toàn thông tin và an ninh dữ liệu, cũng như tiếp cận từng bước các công nghệ mới như công nghệ tăng cường bảo vệ quyền riêng tư, xác minh người thụ hưởng, phân tích gian lận theo thời gian thực và các giải pháp mật mã linh hoạt hơn cho hạ tầng thanh toán trọng yếu.

Thứ ba, Việt Nam cần đẩy mạnh hợp tác quốc tế và tham khảo sâu hơn các sáng kiến quốc tế về bảo vệ dữ liệu trong thanh toán. Ngành Ngân hàng cần chủ động tham gia các diễn đàn hợp tác quốc tế về an toàn thanh toán, an ninh mạng tài chính, tiêu chuẩn dữ liệu và phòng, chống gian lận; tăng cường trao đổi kinh nghiệm với các NHTW, cơ quan giám sát thanh toán và tổ chức quốc tế; đồng thời theo dõi chặt chẽ các sáng kiến mới liên quan tới chuẩn hóa dữ liệu, API an toàn, công nghệ tăng cường bảo vệ quyền riêng tư và an ninh hệ thống thanh toán trong dài hạn.

Thứ tư, cần tăng cường giáo dục tài chính số, nâng cao nhận thức và trách nhiệm tự bảo vệ dữ liệu cá nhân của người sử dụng dịch vụ. Cần đẩy mạnh triển khai các chương trình truyền thông, phổ cập kiến thức về an toàn thanh toán số, bảo vệ dữ liệu cá nhân và nhận diện gian lận trên môi trường số; lồng ghép nội dung giáo dục tài chính số vào các chương trình giáo dục phổ thông và đào tạo cộng đồng; đồng thời phát huy vai trò của các tổ chức tín dụng, tổ chức trung gian thanh toán trong việc cung cấp công cụ cảnh báo, hướng dẫn sử dụng dịch vụ an toàn và hỗ trợ người dùng kịp thời khi phát sinh rủi ro.

Về lâu dài, cần hướng tới xây dựng một môi trường thanh toán số mà trong đó người dùng không chỉ là đối tượng được bảo vệ mà còn là chủ thể chủ động tham gia bảo vệ dữ liệu của chính mình, thông qua việc tuân thủ các khuyến nghị an toàn, nâng cao cảnh giác và hợp tác với các tổ chức cung ứng dịch vụ trong phòng ngừa, phát hiện và xử lý gian lận.

5. Kết luận

Trong kỷ nguyên kinh tế số, dữ liệu cá nhân đã trở thành một cấu phần nền tảng của hệ sinh thái thanh toán hiện đại. Cùng với sự phát triển nhanh của thanh toán điện tử, yêu cầu bảo vệ dữ liệu cá nhân ngày càng gắn chặt với yêu cầu bảo đảm an toàn hệ thống, phòng ngừa gian lận và bảo vệ quyền, lợi ích hợp pháp của khách hàng. Vì vậy, quản trị và bảo vệ dữ liệu cá nhân trong hoạt động thanh toán không chỉ là vấn đề tuân thủ pháp luật, mà còn là điều kiện cốt lõi để củng cố niềm tin thị trường, nâng cao chất lượng dịch vụ tài chính và bảo đảm sự phát triển bền vững của TTKDTM. Trong đó, người sử dụng dịch vụ không chỉ là đối tượng cần được bảo vệ mà còn là chủ thể tham gia trực tiếp vào quá trình bảo vệ dữ liệu, bảo đảm an toàn giao dịch trong toàn bộ hệ sinh thái thanh toán số.

Đối với ngành Ngân hàng Việt Nam, việc tiếp tục triển khai hiệu quả các quy định pháp luật mới, tăng cường quản trị rủi ro và chủ động tham khảo kinh nghiệm quốc tế sẽ có ý nghĩa quyết định trong việc xây dựng một hệ sinh thái thanh toán số an toàn, hiện đại và đáng tin cậy hơn. Khi dữ liệu cá nhân được quản trị một cách chặt chẽ, minh bạch và phù hợp với thông lệ tốt, hệ thống thanh toán không chỉ vận hành an toàn hơn mà còn tạo nền tảng quan trọng cho tài chính toàn diện, đổi mới sáng tạo và phát triển kinh tế số trong giai đoạn tới.y

¹ Nhận định của IMF đối với thiết kế bảo mật dữ liệu của hệ thống thanh toán CBDC tại https://www.imf.org/en/publications/fintech-notes/issues/2024/08/30/central-bank-digital-currency-data-use-and-privacy-protection-554103

² https://fastpayments.worldbank.org/sites/default/files/2025-02/Cybersecurity%20Focus%20Note_Feb%2019_Final.pdf

³ https://www.bis.org/publ/bppdf/bispap153.pdf

⁴ https://www.eba.europa.eu/publications-and-media/press-releases/joint-eba-ecb-report-payment-fraud-strong-authentication-remains-effective-fraudsters-are-adapting

⁵ https://eur-lex.europa.eu/eli/reg/2024/886/oj/eng

⁶ https://www.mas.gov.sg/regulation/guidelines/e-payments-user-protection-guidelines

⁷ https://www.mas.gov.sg/regulation/guidelines/guidelines-on-shared-responsibility-framework

⁸ https://www.bis.org/press/p241015.htm

⁹ https://www.bis.org/cpmi/publ/d223.pdf

¹⁰ https://www.bis.org/publ/work1242.pdf

¹¹ https://www.bis.org/about/bisih/2025_analytics_challenge.htm

¹² https://www.bis.org/publ/othp96.pdf

¹³ https://www.bis.org/about/bisih/topics/cyber_security/leap.htm

¹⁴ https://www.ecb.europa.eu/press/intro/news/html/ecb.mipnews240802.en.html

¹⁵ https://www.mas.gov.sg/regulation/circulars/cyber-risks-associated-with-deepfakes

¹⁶ https://www.bis.org/innovation_hub/2025_g20_techpsprint.pdf

¹⁷ https://www.europeanpaymentscouncil.eu/document-library/rulebooks/verification-payee-scheme-rulebook

¹⁸ https://www.aba.com/about-us/press-room/press-releases/bnat-launch-2025

¹⁹ https://www.aba.com/advocacy/policy-analysis/letter-to-occ-on-rfi-payments-fraud