Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng: Từ yêu cầu pháp lý đến thực tiễn quản trị

1. Dữ liệu cá nhân trong hoạt động ngân hàng

Theo Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật số 91/2025/QH15), dữ liệu cá nhân được phân thành hai nhóm gồm: Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong lĩnh vực ngân hàng, phần lớn thông tin liên quan đến khách hàng thuộc nhóm dữ liệu cá nhân nhạy cảm theo quy định tại Điều 2 của Luật này. Cụ thể hóa quy định của Luật, Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân đã xác định nhiều loại dữ liệu có mức độ nhạy cảm cao cần được áp dụng các biện pháp bảo vệ đặc biệt.

Trong thực tiễn, hoạt động ngân hàng thường xuyên xử lý nhiều loại dữ liệu cá nhân như thông tin tài khoản và lịch sử giao dịch tài chính; thông tin về thu nhập, dư nợ và lịch sử tín dụng; dữ liệu sinh trắc học phục vụ định danh khách hàng điện tử (eKYC); cũng như dữ liệu về vị trí và hành vi tiêu dùng phát sinh trong quá trình cung cấp dịch vụ ngân hàng số. Những loại dữ liệu này có mối liên hệ trực tiếp với quyền riêng tư và lợi ích tài chính của cá nhân, do đó khi bị xâm phạm có thể gây ra những hậu quả nghiêm trọng không chỉ đối với khách hàng mà còn đối với sự an toàn của hệ thống tài chính.

Từ góc độ quản trị, các tổ chức tín dụng (TCTD) cần triển khai các biện pháp bảo vệ dữ liệu nghiêm ngặt trong toàn bộ vòng đời dữ liệu, từ khâu thu thập, lưu trữ đến xử lý và chia sẻ. Bên cạnh đó, Luật Dữ liệu (Luật số 60/2024/QH15) cũng đặt ra khuôn khổ quản trị dữ liệu ở cấp độ rộng hơn khi cho phép phân loại dữ liệu trong các tổ chức tài chính thành dữ liệu quan trọng hoặc dữ liệu cốt lõi nếu việc mất an toàn dữ liệu có khả năng ảnh hưởng đến ổn định kinh tế - tài chính hoặc an ninh quốc gia. Điều này cho thấy dữ liệu trong lĩnh vực ngân hàng không chỉ mang giá trị đối với từng cá nhân mà còn có ý nghĩa đối với sự an toàn của hệ thống tài chính.

Trên thực tế, các sự cố xâm phạm dữ liệu trong lĩnh vực ngân hàng có thể dẫn đến những hệ quả nghiêm trọng như chiếm đoạt tài sản của khách hàng, gian lận tín dụng, rửa tiền và tài trợ tội phạm, lộ thông tin tài chính quy mô lớn hoặc làm suy giảm niềm tin của xã hội đối với hệ thống ngân hàng. Do đó, việc quản trị và bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng không chỉ là nghĩa vụ tuân thủ pháp luật mà còn là một yếu tố quan trọng nhằm bảo đảm an toàn hệ thống tài chính và ổn định kinh tế vĩ mô.

Kinh nghiệm quốc tế cũng cho thấy xu hướng tăng cường quản trị và bảo vệ dữ liệu trong lĩnh vực tài chính. Tại Liên minh châu Âu, Quy định bảo vệ dữ liệu chung (GDPR) yêu cầu các tổ chức tài chính áp dụng các biện pháp bảo vệ nghiêm ngặt đối với dữ liệu cá nhân, đặc biệt là các loại dữ liệu nhạy cảm như dữ liệu sinh trắc học và dữ liệu tài chính, đồng thời đặt ra các nghĩa vụ về minh bạch, trách nhiệm giải trình và đánh giá tác động xử lý dữ liệu đối với tổ chức xử lý dữ liệu.

Bên cạnh đó, một số quốc gia châu Á cũng đã xây dựng các chuẩn mực quản trị rủi ro công nghệ và bảo vệ dữ liệu trong lĩnh vực ngân hàng. Chẳng hạn, Cơ quan Tiền tệ Singapore (MAS) yêu cầu các tổ chức tài chính triển khai hệ thống quản trị rủi ro công nghệ và bảo vệ dữ liệu toàn diện, bao gồm kiểm soát truy cập, bảo mật hệ thống thông tin và cơ chế ứng phó với sự cố an ninh mạng. Những kinh nghiệm này cho thấy việc quản trị dữ liệu trong ngân hàng không chỉ là vấn đề bảo vệ quyền riêng tư mà còn gắn chặt với quản trị rủi ro công nghệ và an toàn hệ thống tài chính.

2. Pháp luật điều chỉnh hoạt động bảo vệ dữ liệu trong lĩnh vực ngân hàng

Khung pháp lý về bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính - ngân hàng tại Việt Nam được hình thành từ nhiều văn bản pháp luật khác nhau. Trong đó, Luật Bảo vệ dữ liệu cá nhân năm 2025 đóng vai trò trung tâm trong việc điều chỉnh hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân. Bên cạnh đó, Luật Dữ liệu năm 2024 thiết lập cơ chế quản trị dữ liệu ở phạm vi rộng hơn, cho phép phân loại dữ liệu thành dữ liệu quan trọng hoặc dữ liệu cốt lõi trong trường hợp việc mất an toàn dữ liệu có thể ảnh hưởng đến ổn định kinh tế - tài chính hoặc an ninh quốc gia.

Trong lĩnh vực ngân hàng, nhiều loại dữ liệu như dữ liệu giao dịch tài chính, dữ liệu tín dụng hoặc dữ liệu định danh của khách hàng có thể thuộc nhóm dữ liệu cần áp dụng các biện pháp quản trị và bảo vệ nghiêm ngặt. Bên cạnh đó, việc bảo đảm an toàn dữ liệu trong lĩnh vực ngân hàng còn chịu sự điều chỉnh của Luật An toàn thông tin mạng (Luật số 86/2015/QH13), Luật An ninh mạng (Luật số 116/2025/QH15) cùng các quy định chuyên ngành về bảo mật và an toàn hệ thống công nghệ thông tin.

Trong khuôn khổ Luật Bảo vệ dữ liệu cá nhân năm 2025, các TCTD với tư cách là tổ chức xử lý dữ liệu có trách nhiệm áp dụng các biện pháp kỹ thuật và quản lý phù hợp nhằm bảo đảm an toàn dữ liệu cá nhân của khách hàng trong toàn bộ vòng đời dữ liệu, từ khâu thu thập, lưu trữ đến quá trình xử lý và chia sẻ dữ liệu (Điều 27). Hoạt động thu thập và xử lý dữ liệu phải được thực hiện trên cơ sở mục đích xử lý rõ ràng và trong phạm vi cần thiết cho việc cung cấp dịch vụ tài chính - ngân hàng, đồng thời bảo đảm các nguyên tắc cơ bản của xử lý dữ liệu như tính hợp pháp, minh bạch và tối thiểu hóa dữ liệu.

Việc sử dụng dữ liệu, đặc biệt là dữ liệu tín dụng để phục vụ hoạt động phân tích hoặc chấm điểm khách hàng phải được thực hiện trên cơ sở sự đồng ý của chủ thể dữ liệu. Các TCTD cũng phải triển khai các biện pháp bảo mật hệ thống thông tin nhằm phòng ngừa nguy cơ truy cập trái phép, rò rỉ hoặc mất dữ liệu, đồng thời bảo đảm trách nhiệm giải trình trong quá trình xử lý dữ liệu cá nhân.

Song song với nghĩa vụ của tổ chức xử lý dữ liệu, pháp luật cũng thiết lập các quyền cơ bản của chủ thể dữ liệu nhằm bảo đảm quyền riêng tư và quyền kiểm soát thông tin của cá nhân. Chủ thể dữ liệu có quyền được biết về hoạt động xử lý dữ liệu, quyền truy cập và chỉnh sửa dữ liệu, quyền rút lại sự đồng ý đối với việc xử lý dữ liệu, cũng như quyền yêu cầu hạn chế hoặc chấm dứt việc xử lý dữ liệu trong một số trường hợp nhất định. Đối với lĩnh vực ngân hàng, việc bảo đảm thực thi các quyền này có ý nghĩa quan trọng trong việc tăng cường tính minh bạch của hoạt động xử lý dữ liệu và củng cố niềm tin của khách hàng đối với các dịch vụ tài chính số.

Một yêu cầu pháp lý khác là nghĩa vụ đánh giá tác động đối với hoạt động xử lý dữ liệu cá nhân. Các tổ chức xử lý dữ liệu, bao gồm các TCTD, phải thực hiện đánh giá tác động nhằm nhận diện và kiểm soát các rủi ro có thể phát sinh đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu (Điều 21).

Hồ sơ đánh giá tác động đối với hoạt động xử lý dữ liệu cá nhân cần mô tả mục đích xử lý, loại dữ liệu được xử lý, phương thức xử lý, các biện pháp bảo vệ dữ liệu và rủi ro tiềm ẩn liên quan đến dữ liệu cá nhân, đồng thời phải được gửi tới cơ quan quản lý nhà nước có thẩm quyền trong thời hạn nhất định kể từ khi bắt đầu hoạt động xử lý dữ liệu. Quy định này thể hiện sự chuyển dịch từ mô hình bảo mật kỹ thuật sang mô hình quản trị rủi ro dữ liệu, trong đó tổ chức xử lý dữ liệu phải chủ động đánh giá và kiểm soát rủi ro ngay từ giai đoạn thiết kế hoạt động xử lý dữ liệu.

Pháp luật cũng đặt ra yêu cầu chặt chẽ đối với việc chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam. Khi dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài để lưu trữ hoặc xử lý, tổ chức xử lý dữ liệu phải bảo đảm mức độ bảo vệ dữ liệu tương đương với tiêu chuẩn pháp luật Việt Nam và phải lập hồ sơ đánh giá tác động đối với hoạt động chuyển dữ liệu xuyên biên giới (Điều 20). Đồng thời, các tổ chức này phải lưu trữ hồ sơ liên quan và sẵn sàng cung cấp cho cơ quan quản lý nhà nước khi có yêu cầu. Trong bối cảnh nhiều ngân hàng đang sử dụng hạ tầng điện toán đám mây và các nền tảng công nghệ quốc tế, quy định này đặt ra yêu cầu kiểm soát pháp lý và kỹ thuật chặt chẽ đối với việc lưu trữ và xử lý dữ liệu ở nước ngoài.

Ngoài ra, khi phát hiện sự cố xâm phạm dữ liệu cá nhân có nguy cơ gây thiệt hại cho chủ thể dữ liệu, tổ chức xử lý dữ liệu phải thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong thời hạn 72 giờ kể từ thời điểm phát hiện sự cố (Điều 23). Đồng thời, tổ chức xử lý dữ liệu phải ghi nhận đầy đủ thông tin về sự cố, bao gồm nguyên nhân, phạm vi dữ liệu bị ảnh hưởng và các biện pháp khắc phục đã hoặc đang được triển khai. Cơ chế này phản ánh cách tiếp cận quản lý rủi ro dữ liệu theo hướng chủ động, tương tự cơ chế thông báo vi phạm dữ liệu GDPR.

Đối với dữ liệu cá nhân nhạy cảm, bao gồm dữ liệu tài chính, dữ liệu sinh trắc học và dữ liệu định danh điện tử, pháp luật yêu cầu áp dụng các biện pháp bảo vệ nghiêm ngặt hơn trong quá trình thu thập và xử lý dữ liệu. Đây là nhóm dữ liệu có thể gây ra tác động nghiêm trọng đối với quyền riêng tư và lợi ích của cá nhân nếu bị xâm phạm, đồng thời có thể ảnh hưởng đến sự an toàn của hệ thống tài chính. Vì vậy, các TCTD cần thiết lập cơ chế kiểm soát và bảo mật dữ liệu ở mức độ cao nhằm bảo đảm an toàn dữ liệu cá nhân trong hoạt động ngân hàng.

3. Một số thách thức trong quản trị dữ liệu ngân hàng

Trong bối cảnh chuyển đổi số mạnh mẽ của ngành Ngân hàng, dữ liệu cá nhân ngày càng trở thành nguồn tài nguyên quan trọng phục vụ hoạt động phân tích, quản trị rủi ro và phát triển các sản phẩm tài chính số. Tuy nhiên, việc gia tăng quy mô thu thập và xử lý dữ liệu cũng làm phát sinh nhiều rủi ro pháp lý và công nghệ liên quan đến bảo vệ dữ liệu cá nhân.

Một thách thức quan trọng hiện nay là việc ứng dụng AI và công nghệ phân tích dữ liệu lớn (Big Data) trong hoạt động chấm điểm tín dụng và quản trị quan hệ khách hàng. Các hệ thống này cho phép ngân hàng khai thác dữ liệu hành vi giao dịch, dữ liệu tiêu dùng và lịch sử tín dụng của khách hàng nhằm dự đoán khả năng trả nợ, đánh giá mức độ rủi ro tín dụng và thiết kế các sản phẩm tài chính phù hợp với từng nhóm khách hàng. Việc ứng dụng AI góp phần nâng cao hiệu quả quản trị rủi ro, đồng thời tối ưu hóa quy trình ra quyết định trong hoạt động cấp tín dụng.

Tuy nhiên, việc sử dụng các hệ thống xử lý dữ liệu tự động cũng đặt ra yêu cầu pháp lý mới liên quan đến bảo vệ dữ liệu cá nhân. Hoạt động xử lý dữ liệu bằng công nghệ tự động phải bảo đảm mục đích xử lý hợp pháp, minh bạch và phù hợp với phạm vi dữ liệu đã được thu thập, đồng thời cần có cơ chế đánh giá và kiểm soát rủi ro phát sinh trong quá trình xử lý dữ liệu. Trong thực tiễn, một vấn đề đáng chú ý là bảo đảm tính minh bạch và khả năng giải thích của thuật toán trong các hệ thống phân tích dữ liệu và chấm điểm tín dụng sử dụng AI.

Vấn đề nổi bật khác liên quan đến bảo vệ dữ liệu cá nhân là việc xử lý dữ liệu sinh trắc học trong hoạt động định danh khách hàng điện tử (eKYC). Quá trình chuyển đổi số trong lĩnh vực ngân hàng đã thúc đẩy việc triển khai rộng rãi các giải pháp eKYC nhằm đơn giản hóa thủ tục mở tài khoản và cung cấp dịch vụ tài chính trực tuyến. Tuy nhiên, hoạt động này đòi hỏi các TCTD phải thu thập và xử lý khối lượng lớn dữ liệu sinh trắc học của khách hàng, bao gồm hình ảnh khuôn mặt, dấu vân tay hoặc các dữ liệu định danh điện tử khác.

Dữ liệu sinh trắc học được xếp vào nhóm dữ liệu cá nhân nhạy cảm, do đó việc thu thập và xử lý loại dữ liệu này phải tuân thủ các yêu cầu bảo mật nghiêm ngặt. Các ngân hàng cần áp dụng nhiều biện pháp kỹ thuật và quản lý nhằm bảo đảm an toàn cho hệ thống lưu trữ và xử lý dữ liệu, bao gồm kiểm soát quyền truy cập, giám sát các hoạt động truy cập dữ liệu và phát hiện kịp thời các hành vi xâm nhập trái phép. Trên thực tế, dữ liệu sinh trắc học có đặc điểm không thể thay đổi hoặc thiết lập lại như mật khẩu, vì vậy khi bị rò rỉ hoặc xâm phạm có thể gây ra rủi ro lâu dài đối với quyền riêng tư và an toàn tài chính của cá nhân.

Thực tiễn quốc tế cho thấy nhiều sự cố rò rỉ dữ liệu tài chính tại các tổ chức tài chính - ngân hàng, phản ánh mức độ rủi ro cao khi hệ thống lưu trữ dữ liệu khách hàng bị tấn công hoặc khai thác trái phép. Điển hình, năm 2019 ngân hàng Capital One (Hoa Kỳ) đã xảy ra sự cố truy cập trái phép vào hệ thống lưu trữ dữ liệu trên nền tảng điện toán đám mây làm lộ thông tin của hơn 100 triệu khách hàng. Trước đó, vụ tấn công mạng nhằm vào công ty báo cáo tín dụng Equifax năm 2017 cũng làm lộ dữ liệu cá nhân và thông tin tín dụng của khoảng 147 triệu người tiêu dùng¹. Những sự cố này cho thấy nguy cơ đặc biệt nghiêm trọng khi dữ liệu tài chính và dữ liệu định danh bị xâm phạm.

Ngoài ra, việc chia sẻ dữ liệu giữa ngân hàng với các chủ thể khác trong hệ sinh thái tài chính số cũng đặt ra nhiều thách thức đối với việc bảo vệ dữ liệu cá nhân. Sự phát triển của các công ty công nghệ tài chính (Fintech), trung tâm thông tin tín dụng và các tổ chức cung cấp dịch vụ thanh toán trung gian đã làm gia tăng nhu cầu trao đổi và khai thác dữ liệu khách hàng trong quá trình cung cấp các dịch vụ tài chính số.

Việc chia sẻ dữ liệu có thể hỗ trợ triển khai các dịch vụ như thanh toán điện tử, cho vay trực tuyến hoặc chấm điểm tín dụng tự động, đồng thời thúc đẩy đổi mới sáng tạo trong lĩnh vực tài chính - ngân hàng. Tuy nhiên, hoạt động này phải được thực hiện trên cơ sở tuân thủ chặt chẽ các quy định về bảo vệ dữ liệu cá nhân. Việc chuyển giao dữ liệu cho bên thứ ba chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu và phải bảo đảm dữ liệu được sử dụng đúng mục đích đã được thông báo. Pháp luật cũng nghiêm cấm các hành vi mua bán hoặc trao đổi trái phép dữ liệu cá nhân dưới bất kỳ hình thức nào.

Trong bối cảnh hợp tác ngày càng sâu rộng giữa ngân hàng và công ty Fintech, các TCTD cần thiết lập cơ chế kiểm soát chặt chẽ đối với việc chia sẻ và xử lý dữ liệu, quy định rõ trách nhiệm bảo mật dữ liệu trong hợp đồng, kiểm soát quyền truy cập và giám sát việc sử dụng dữ liệu của các bên liên quan. Nhiều sự cố rò rỉ dữ liệu tài chính tại các tổ chức tài chính trên thế giới trong những năm gần đây gây thiệt hại lớn cho khách hàng và làm suy giảm niềm tin của thị trường đã cho thấy tầm quan trọng của việc kiểm soát chặt chẽ hoạt động chia sẻ dữ liệu trong hệ sinh thái tài chính số.

4. Mô hình quản trị và kiểm soát rủi ro dữ liệu cá nhân trong ngân hàng

Việc quản trị và bảo vệ dữ liệu cá nhân trong hoạt động ngân hàng cần được tích hợp vào hệ thống quản trị rủi ro tổng thể của TCTD. Trong bối cảnh chuyển đổi số, dữ liệu ngày càng trở thành tài sản chiến lược của ngân hàng, do đó việc quản trị dữ liệu cần gắn với các chuẩn mực quản trị rủi ro và kiểm soát nội bộ, tương tự như đối với rủi ro tín dụng, rủi ro thanh khoản và rủi ro vận hành, nhằm bảo đảm dữ liệu được thu thập, xử lý và bảo vệ một cách an toàn, minh bạch và có trách nhiệm.

Mô hình ba tuyến phòng thủ trong quản trị dữ liệu

Một cách tiếp cận hiệu quả trong quản trị dữ liệu là tích hợp việc bảo vệ dữ liệu cá nhân vào mô hình quản trị rủi ro theo ba tuyến phòng thủ, vốn được áp dụng phổ biến trong các tổ chức tài chính:

Tuyến phòng thủ thứ nhất: Là các đơn vị kinh doanh và bộ phận trực tiếp xử lý dữ liệu khách hàng, chịu trách nhiệm thu thập và sử dụng dữ liệu trong phạm vi cần thiết và phù hợp với mục đích xử lý.

Tuyến phòng thủ thứ hai: Là các bộ phận quản trị rủi ro, tuân thủ và pháp chế, có nhiệm vụ xây dựng chính sách quản trị dữ liệu, thực hiện đánh giá tác động xử lý dữ liệu và giám sát việc tuân thủ trong toàn hệ thống.

Tuyến phòng thủ thứ ba: Là bộ phận kiểm toán nội bộ, thực hiện đánh giá độc lập đối với hiệu quả của hệ thống kiểm soát và mức độ tuân thủ các quy định về bảo vệ dữ liệu. Việc áp dụng mô hình này giúp phân định rõ trách nhiệm giữa các bộ phận và tăng cường kiểm soát rủi ro dữ liệu trong tổ chức.

Bộ phận phụ trách bảo vệ dữ liệu

Các tổ chức xử lý dữ liệu cá nhân cần chỉ định bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu nhằm giám sát việc tuân thủ các quy định pháp luật và chính sách nội bộ liên quan đến xử lý dữ liệu. Bộ phận này có nhiệm vụ tham mưu xây dựng chính sách bảo vệ dữ liệu, đánh giá rủi ro trong hoạt động xử lý dữ liệu và phối hợp xử lý các sự cố liên quan đến dữ liệu cá nhân. Trong thực tiễn ngân hàng, chức năng này thường được tích hợp trong các đơn vị tuân thủ, pháp chế hoặc quản trị rủi ro nhằm tăng cường hiệu quả quản lý rủi ro và bảo đảm tuân thủ pháp luật.

Nguyên tắc quyền riêng tư theo thiết kế

Nguyên tắc quyền riêng tư theo thiết kế xuất phát từ các chuẩn mực quốc tế về bảo vệ dữ liệu, đặc biệt là GDPR, theo đó các biện pháp bảo vệ dữ liệu phải được tích hợp ngay từ giai đoạn thiết kế hệ thống và quy trình xử lý dữ liệu. Trong quá trình phát triển các sản phẩm và dịch vụ ngân hàng số, các yêu cầu về bảo vệ dữ liệu cá nhân cần được tích hợp ngay từ giai đoạn thiết kế hệ thống và quy trình xử lý dữ liệu theo nguyên tắc bảo vệ dữ liệu ngay từ khâu thiết kế.

Theo cách tiếp cận này, các biện pháp bảo vệ dữ liệu phải trở thành một phần cấu thành trong thiết kế của hệ thống công nghệ và quy trình vận hành. Các ngân hàng cần triển khai các biện pháp kỹ thuật và quản lý phù hợp như mã hóa dữ liệu trong quá trình lưu trữ và truyền tải, thiết lập cơ chế phân quyền truy cập theo vai trò, lưu vết và giám sát các hoạt động truy cập dữ liệu, đồng thời quản lý vòng đời dữ liệu từ khâu thu thập, lưu trữ, sử dụng đến khi dữ liệu được xóa hoặc hủy bỏ. Việc áp dụng nguyên tắc này giúp nâng cao mức độ an toàn của hệ thống thông tin và hạn chế các rủi ro phát sinh trong quá trình xử lý dữ liệu cá nhân.

Cơ chế phản ứng sự cố dữ liệu

Cơ chế phản ứng và thông báo vi phạm dữ liệu là yêu cầu phổ biến trong các chuẩn mực quốc tế về bảo vệ dữ liệu và quản trị an ninh thông tin, theo đó tổ chức xử lý dữ liệu phải thiết lập quy trình phát hiện, xử lý và thông báo vi phạm dữ liệu cá nhân cho cơ quan quản lý và chủ thể dữ liệu khi cần thiết (European Parliament & Council, 2016; ISO/IEC, 2022).

Bên cạnh biện pháp phòng ngừa, các TCTD cần thiết lập quy trình quản lý và phản ứng đối với các sự cố xâm phạm dữ liệu cá nhân nhằm bảo đảm khả năng phát hiện và xử lý kịp thời các rủi ro phát sinh trong quá trình vận hành hệ thống thông tin. Quy trình này cần bao gồm các bước phát hiện và xử lý sự cố, đánh giá phạm vi dữ liệu bị ảnh hưởng, triển khai các biện pháp khắc phục và thực hiện nghĩa vụ thông báo cho cơ quan quản lý cũng như các chủ thể dữ liệu khi cần thiết. Đồng thời, các ngân hàng cũng cần xây dựng kịch bản truyền thông và cơ chế đánh giá thiệt hại nhằm giảm thiểu tác động tiêu cực của các sự cố an ninh dữ liệu. Việc thiết lập cơ chế phản ứng sự cố dữ liệu một cách hệ thống không chỉ giúp nâng cao khả năng ứng phó với rủi ro an ninh mạng mà còn góp phần bảo đảm tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng.

5. Một số khuyến nghị nâng cao hiệu quả thực thi pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng

Một là, ban hành hướng dẫn chuyên ngành về bảo vệ dữ liệu trong lĩnh vực tài chính - ngân hàng

Mặc dù khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam đã được thiết lập tương đối đầy đủ, hoạt động tài chính - ngân hàng vẫn có nhiều đặc thù liên quan đến dữ liệu tài chính, dữ liệu tín dụng và dữ liệu sinh trắc học của khách hàng. Do đó, cần nghiên cứu ban hành các hướng dẫn chuyên ngành nhằm cụ thể hóa việc áp dụng quy định về bảo vệ dữ liệu trong ngành Ngân hàng.

Các hướng dẫn này có thể tập trung vào một số nội dung như quản lý dữ liệu khách hàng trong môi trường ngân hàng số, tiêu chuẩn bảo mật đối với hệ thống eKYC, cơ chế chia sẻ dữ liệu giữa ngân hàng với các công ty Fintech và trung tâm thông tin tín dụng, cũng như yêu cầu quản trị và bảo mật đối với hạ tầng công nghệ thông tin của các TCTD. Việc ban hành các hướng dẫn chuyên ngành sẽ góp phần bảo đảm tính thống nhất trong áp dụng pháp luật và hỗ trợ các TCTD triển khai hiệu quả các quy định về bảo vệ dữ liệu cá nhân trong thực tiễn.

Hai là, thiết lập cơ chế thử nghiệm có kiểm soát đối với các mô hình AI trong lĩnh vực tài chính - ngân hàng

Sự phát triển của AI và công nghệ phân tích dữ liệu đang mở ra nhiều cơ hội đổi mới trong hoạt động ngân hàng, đặc biệt trong các lĩnh vực chấm điểm tín dụng, đánh giá rủi ro và cá nhân hóa dịch vụ tài chính. Tuy nhiên, việc ứng dụng AI trong xử lý dữ liệu cá nhân cũng đặt ra những thách thức pháp lý liên quan đến tính minh bạch của thuật toán, nguy cơ thiên lệch trong mô hình ra quyết định và việc bảo vệ quyền lợi của khách hàng. Do đó, cần nghiên cứu thiết lập cơ chế thử nghiệm có kiểm soát đối với các mô hình AI trong lĩnh vực tài chính - ngân hàng. Thông qua cơ chế này, các TCTD và công ty Fintech có thể thử nghiệm các giải pháp công nghệ mới trong phạm vi và thời gian nhất định dưới sự giám sát của cơ quan quản lý, qua đó vừa khuyến khích đổi mới sáng tạo vừa bảo đảm tuân thủ các yêu cầu về bảo vệ dữ liệu cá nhân và an toàn hệ thống tài chính.

Ba là, xây dựng tiêu chuẩn kỹ thuật quốc gia về mã hóa và lưu trữ dữ liệu tài chính

Cần nghiên cứu xây dựng bộ tiêu chuẩn kỹ thuật quốc gia về mã hóa, lưu trữ và bảo mật dữ liệu tài chính, bao gồm các yêu cầu về mã hóa dữ liệu trong quá trình truyền tải và lưu trữ, quản lý khóa mã hóa, tiêu chuẩn an toàn đối với hệ thống lưu trữ cũng như cơ chế sao lưu và khôi phục dữ liệu. Việc thiết lập các tiêu chuẩn kỹ thuật thống nhất sẽ góp phần nâng cao mức độ an toàn của hệ thống thông tin ngân hàng và tăng cường hiệu quả quản trị dữ liệu trong toàn bộ hệ thống tài chính.

Bốn là, tăng cường đào tạo nguồn nhân lực về quản trị dữ liệu, an ninh mạng và đạo đức AI

Bên cạnh khung pháp lý và hạ tầng kỹ thuật, yếu tố con người giữ vai trò quan trọng trong việc bảo đảm hiệu quả quản trị và bảo vệ dữ liệu cá nhân. Trong bối cảnh các TCTD ngày càng ứng dụng dữ liệu lớn và AI trong hoạt động kinh doanh, nhu cầu về đội ngũ nhân sự có chuyên môn trong quản trị dữ liệu, an ninh mạng và quản lý rủi ro công nghệ ngày càng trở nên cấp thiết. Do đó, cần tăng cường các chương trình đào tạo và bồi dưỡng cho cán bộ ngân hàng về pháp luật bảo vệ dữ liệu cá nhân, kỹ năng quản trị và bảo mật dữ liệu, cũng như các nguyên tắc đạo đức trong phát triển và ứng dụng AI. Đồng thời, các TCTD cần xây dựng văn hóa tuân thủ và bảo vệ dữ liệu trong toàn hệ thống nhằm nâng cao nhận thức của nhân sự và hạn chế các rủi ro phát sinh từ yếu tố con người trong quá trình xử lý dữ liệu.

Năm là, xây dựng cơ chế chia sẻ dữ liệu tài chính an toàn trong hệ sinh thái ngân hàng số

Trong bối cảnh phát triển của ngân hàng số và các mô hình ngân hàng mở, nhu cầu chia sẻ dữ liệu giữa ngân hàng với công ty Fintech và các nhà cung cấp dịch vụ tài chính ngày càng gia tăng. Do đó, cần xây dựng cơ chế chia sẻ dữ liệu tài chính an toàn nhằm bảo đảm việc khai thác và sử dụng dữ liệu khách hàng được thực hiện minh bạch và có kiểm soát. Cơ chế này cần quy định rõ tiêu chuẩn bảo mật đối với việc truyền tải và lưu trữ dữ liệu, cơ chế cấp quyền truy cập dữ liệu trên cơ sở sự đồng ý của khách hàng, cũng như trách nhiệm của các bên tham gia trong quá trình khai thác và bảo vệ dữ liệu. Việc thiết lập khuôn khổ chia sẻ dữ liệu an toàn sẽ góp phần thúc đẩy đổi mới sáng tạo trong hệ sinh thái tài chính số, đồng thời bảo đảm quyền riêng tư và lợi ích hợp pháp của khách hàng.

Đối với các TCTD, quản trị và bảo vệ dữ liệu cá nhân không chỉ là yêu cầu tuân thủ pháp luật mà còn là yếu tố then chốt bảo đảm an toàn hoạt động và duy trì niềm tin của khách hàng. Vì vậy, quản trị dữ liệu cần được tích hợp vào hệ thống quản trị ngân hàng hiện đại, gắn với quản trị rủi ro, kiểm soát nội bộ và quản trị công nghệ, qua đó góp phần nâng cao an toàn dữ liệu và thúc đẩy phát triển bền vững trong kỷ nguyên số.

¹ https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlementTài liệu tham khảo:

Tài liệu tham khảo

1. Cavoukian, A. (2011), Privacy by Design: The 7 Foundational Principles. Information and Privacy Commissioner of Ontario.

2. European Commission (2016), General Data Protection Regulation.

3. Luật Bảo vệ dữ liệu cá nhân năm 2025.

4. Luật Dữ liệu năm 2024.

5. Monetary Authority of Singapore (MAS) (2021), Technology Risk Management Guidelines.

6. Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.

7. Tapchicongthuong.vn (2025), Bảo mật dữ liệu cá nhân trong ngân hàng: Góc nhìn pháp lý và thực tiễn, https://ojs.tapchicongthuong.vn/vi/ojs-post/bao-mat-du-lieu-ca-nhan-trong-ngan-hang--goc-nhin-phap-ly-va-thuc-tien-139343.htm