Bảo vệ quyền lợi khách hàng trong ngân hàng số: Góc nhìn từ pháp luật bảo vệ dữ liệu cá nhân

Tóm tắt: Trong bối cảnh phát triển ngân hàng số, bảo vệ dữ liệu cá nhân trở thành một yếu tố then chốt, gắn liền với việc đảm bảo quyền và lợi ích hợp pháp của khách hàng. Việc ban hành Luật số 91/2025/QH15 ngày 26/6/2025 của Quốc hội (Luật Bảo vệ dữ liệu cá nhân), cùng với các văn bản hướng dẫn như Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân, Thông tư số 77/2025/TT-NHNN ngày 31/12/2025 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) về việc sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng đã tạo cơ sở pháp lý quan trọng cho việc kiểm soát hoạt động xử lý dữ liệu cá nhân trong lĩnh vực ngân hàng. Trên cơ sở phân tích khung pháp lý hiện hành, bài viết chỉ ra một số hạn chế trong cơ chế bảo vệ dữ liệu cá nhân của khách hàng; qua đó đề xuất giải pháp góp phần nâng cao hiệu quả bảo vệ quyền lợi khách hàng trong bối cảnh ngân hàng số phát triển.

Từ khóa: Bảo vệ dữ liệu cá nhân, quyền lợi khách hàng, ngân hàng số.

PROTECTING CUSTOMER RIGHTS IN DIGITAL BANKING:
A PERSPECTIVE FROM PERSONAL DATA PROTECTION LAW

Abstract: In the context of digital banking development, personal data protection has become a critical factor closely associated with safeguarding the lawful rights and interests of customers. The promulgation of Law No. 91/2025/QH15 dated June 26, 2025 by the National Assembly (the Law on Personal Data Protection), together with guiding documents such as Decree No. 356/2025/NĐ-CP dated December 31, 2025 of the Government detailing a number of articles and measures for the implementation of the Law on Personal Data Protection, and Circular No. 77/2025/TT-NHNN dated December 31, 2025 of the Governor of the State Bank of Vietnam amending and supplementing a number of articles of Circular No. 50/2024/TT-NHNN on safety and security in the provision of online services in the banking sector, has established an important legal foundation for controlling personal data processing activities in the banking sector. Based on an analysis of the current legal framework, this article identifies several limitations in the mechanisms for protecting customers’ personal data; proposes solutions to enhance the effectiveness of customer rights protection in the context of digital banking development.

Keywords: Personal data protection, customer rights, digital banking.

1. Đặt vấn đề

Trong bối cảnh Cách mạng công nghiệp lần thứ tư, sự phát triển mạnh mẽ của công nghệ số đã làm thay đổi căn bản phương thức cung ứng dịch vụ ngân hàng. Các giao dịch tài chính ngày càng được thực hiện qua môi trường trực tuyến, hệ thống ngân hàng số, ứng dụng di động và các nền tảng thanh toán điện tử¹. Trong quá trình này, dữ liệu cá nhân của khách hàng bao gồm thông tin định danh, dữ liệu sinh trắc học, lịch sử giao dịch và hành vi tài chính trở thành nguồn tài nguyên quan trọng đối với hoạt động của các tổ chức tín dụng (TCTD). Tuy nhiên, bên cạnh lợi ích về tiện ích và hiệu quả giao dịch, việc xử lý và lưu trữ khối lượng lớn dữ liệu cá nhân trong hệ sinh thái ngân hàng số cũng làm gia tăng nguy cơ rò rỉ, lạm dụng hoặc xâm phạm dữ liệu, qua đó trực tiếp ảnh hưởng đến quyền và lợi ích hợp pháp của khách hàng.Chính vì vậy, bảo vệ dữ liệu cá nhân ngày càng được coi là một nội dung quan trọng trong cơ chế bảo vệ quyền con người và quyền lợi của người sử dụng dịch vụ tài chính.

Ở Việt Nam, khuôn khổ pháp lý về vấn đề này đã có những bước phát triển đáng kể, thể hiện xu hướng hoàn thiện pháp luật nhằm tăng cường bảo vệ dữ liệu cá nhân, đặc biệt trong lĩnh vực có mức độ rủi ro cao như ngân hàng. Tuy nhiên, thực tiễn triển khai các quy định mới vẫn đặt ra nhiều vấn đề cần tiếp tục nghiên cứu. Sự phát triển nhanh chóng của ngân hàng số, việc ứng dụng các nền tảng điện toán đám mây, dịch vụ thuê ngoài xử lý dữ liệu và công nghệ phân tích dữ liệu lớn đang tạo ra khoảng cách nhất định giữa quy định pháp luật và thực tiễn vận hành của các TCTD². Khoảng cách này có thể dẫn đến hạn chế trong việc đảm bảo quyền của chủ thể dữ liệu, đồng thời làm gia tăng rủi ro đối với quyền lợi của khách hàng khi sử dụng dịch vụ ngân hàng trong môi trường số.

2. Khung pháp lý về bảo vệ dữ liệu cá nhân trong hoạt động ngân hàng

2.1. Cấu trúc pháp lý điều chỉnh hoạt động xử lý dữ liệu cá nhân trong lĩnh vực ngân hàng

Hệ thống pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong hoạt động ngân hàng hiện được xây dựng trên cơ sở kết hợp giữa các quy định pháp luật chung về bảo vệ dữ liệu cá nhân và các quy định chuyên ngành điều chỉnh hoạt động của TCTD. Sự kết hợp này hình thành cơ chế pháp lý nhiều tầng, nhằm kiểm soát quá trình xử lý dữ liệu khách hàng trong môi trường số. Có thể nhận diện cấu trúc pháp lý này theo ba tầng cơ bản:

Thứ nhất, tầng pháp luật chung về bảo vệ dữ liệu cá nhân. Nền tảng của hệ thống pháp luật hiện hành là Luật số 91/2025/QH15 có hiệu lực từ ngày 01/01/2026. Luật thiết lập các nguyên tắc cơ bản trong xử lý dữ liệu cá nhân, đồng thời xác lập hệ thống quyền của chủ thể dữ liệu như quyền được biết, quyền truy cập, quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu và quyền phản đối việc xử lý dữ liệu. Bên cạnh đó, Luật quy định trách nhiệm của các chủ thể tham gia quá trình xử lý dữ liệu, bao gồm bên kiểm soát dữ liệu, bên xử lý dữ liệu và bên kiểm soát - xử lý dữ liệu³. Các quy định này tạo nền tảng pháp lý chung cho hoạt động bảo vệ dữ liệu cá nhân trong mọi lĩnh vực của đời sống kinh tế - xã hội, trong đó có hoạt động ngân hàng.

Thứ hai, tầng văn bản quy định chi tiết và hướng dẫn thi hành. Trên cơ sở Luật, Chính phủ đã ban hành Nghị định số 356/2025/NĐ-CP nhằm cụ thể hóa các nội dung về điều kiện xử lý dữ liệu cá nhân, cơ chế đồng ý của chủ thể dữ liệu, yêu cầu đánh giá tác động xử lý dữ liệu và thủ tục chuyển dữ liệu cá nhân ra nước ngoài. Đáng chú ý, Nghị định số 356/2025/NĐ-CP xác định nhiều loại thông tin tài chính của khách hàng như thông tin tài khoản, lịch sử giao dịch và dữ liệu liên quan đến thẻ ngân hàng thuộc nhóm dữ liệu cá nhân nhạy cảm⁴. Việc phân loại này kéo theo nghĩa vụ áp dụng các biện pháp bảo vệ nghiêm ngặt hơn đối với các TCTD trong quá trình thu thập, lưu trữ và xử lý dữ liệu khách hàng.

Thứ ba, tầng quy định chuyên ngành trong lĩnh vực ngân hàng. Bên cạnh các quy định chung về bảo vệ dữ liệu cá nhân, hoạt động của các TCTD còn chịu sự điều chỉnh của hệ thống văn bản chuyên ngành do NHNN ban hành. Thông tư số 77/2025/TT-NHNN đặt ra các chuẩn mực kỹ thuật liên quan đến xác thực khách hàng, kiểm soát thiết bị truy cập, cũng như phát hiện các hành vi giả mạo hoặc can thiệp trái phép vào ứng dụng ngân hàng⁵. Các quy định này có ý nghĩa đặc biệt quan trọng trong bối cảnh dịch vụ ngân hàng số và thanh toán điện tử ngày càng phổ biến.

2.2. Những bước tiến của khung pháp lý về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng

Sự hình thành của hệ thống quy định pháp luật nêu trên cho thấy những bước tiến quan trọng của Việt Nam trong việc thiết lập cơ chế bảo vệ dữ liệu cá nhân gắn với bảo vệ quyền lợi của khách hàng sử dụng dịch vụ ngân hàng. Trước hết, giá trị pháp lý của các quy định về bảo vệ dữ liệu cá nhân đã được nâng lên ở cấp luật. Trước khi ban hành Luật Bảo vệ dữ liệu cá nhân, các quy định liên quan chủ yếu nằm trong văn bản dưới luật, tiêu biểu là Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân. Việc ban hành luật chuyên ngành đã tạo cơ sở pháp lý vững chắc hơn cho công tác bảo vệ dữ liệu cá nhân, đồng thời nâng cao trách nhiệm tuân thủ của các tổ chức, doanh nghiệp trong quá trình xử lý dữ liệu. Việc xếp thông tin tài khoản, lịch sử giao dịch và các dữ liệu liên quan đến hoạt động ngân hàng vào nhóm dữ liệu cá nhân nhạy cảm thể hiện cách tiếp cận thận trọng của nhà làm luật đối với những loại thông tin có khả năng ảnh hưởng trực tiếp đến quyền tài sản và đời sống riêng tư của cá nhân⁶. Điều này cũng phù hợp với xu hướng lập pháp quốc tế khi thông tin tài chính thường được coi là một trong những nhóm dữ liệu cần được bảo vệ ở mức độ cao.

Các yêu cầu về bảo mật và an toàn dữ liệu trong lĩnh vực ngân hàng được cụ thể hóa bằng các tiêu chuẩn kỹ thuật. Các quy định tại Thông tư số 77/2025/TT-NHNN không chỉ dừng lại ở nguyên tắc chung mà còn đặt ra những yêu cầu kỹ thuật cụ thể đối với hệ thống ngân hàng số như cơ chế xác thực nhiều lớp, phát hiện thiết bị truy cập có dấu hiệu can thiệp trái phép hoặc giải pháp nhận diện tấn công giả mạo đối với dữ liệu sinh trắc học.

Việc kết hợp giữa quy định pháp lý và tiêu chuẩn kỹ thuật giúp nâng cao hiệu quả bảo vệ dữ liệu khách hàng trong thực tiễn vận hành của các TCTD; cơ chế kiểm soát rủi ro trong giao dịch trực tuyến được tăng cường. Các quy định mới đặt ra yêu cầu xác thực mạnh đối với một số nhóm giao dịch có mức độ rủi ro cao hoặc đối với một số nhóm khách hàng nhất định⁷, qua đó góp phần hạn chế nguy cơ lạm dụng tài khoản ngân hàng và các hành vi gian lận trong môi trường số.

3. Một số hạn chế của khung pháp lý về bảo vệ quyền lợi khách hàng trong hoạt động ngân hàng số

Mặc dù khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam đã có nhiều bước phát triển đáng kể, tuy nhiên việc triển khai trong lĩnh vực ngân hàng số vẫn đặt ra những vấn đề cần tiếp tục hoàn thiện. Những hạn chế này không chỉ xuất phát từ nội dung quy phạm pháp luật mà còn từ khoảng cách giữa thiết kế pháp lý và thực tiễn vận hành, thể hiện qua một số khía cạnh sau:

Thứ nhất, về cơ chế thể hiện sự đồng ý của khách hàng: Pháp luật yêu cầu sự đồng ý phải tự nguyện, cụ thể, rõ ràng và có thể kiểm chứng. Theo quy định tại Nghị định số 356/2025/NĐ-CP, sự đồng ý phải được thể hiện bằng hành vi minh thị và có khả năng chứng minh khi cần thiết, qua đó bảo đảm quyền kiểm soát của cá nhân đối với dữ liệu của mình (Điều 6 và Điều 8). Tuy nhiên, trong thực tiễn, các hợp đồng điện tử của TCTD chủ yếu được thiết kế theo mô hình “chấp nhận toàn bộ điều khoản”, khiến khách hàng chỉ có thể đồng ý hoặc từ chối toàn bộ nếu muốn hoặc không sử dụng dịch vụ. Điều này làm suy giảm đáng kể quyền tự quyết, đặc biệt khi dữ liệu cá nhân được sử dụng cho nhiều mục đích khác nhau như phân tích hành vi, chấm điểm tín dụng hay tiếp thị.

Mặc dù pháp luật đặt ra yêu cầu nghiêm ngặt về tính rõ ràng và minh thị của sự đồng ý, trong nhiều trường hợp khách hàng rơi vào tình thế “buộc phải đồng ý”, dẫn đến sự đồng ý mang tính hình thức hơn là thực chất. Bên cạnh đó, nhiều hệ thống ngân hàng số chưa thiết lập đầy đủ cơ chế quản trị sự đồng ý có khả năng truy vết và chứng minh, gây khó khăn trong việc xác lập tính hợp pháp của hoạt động xử lý dữ liệu cũng như trong công tác kiểm tra, giám sát.

Thứ hai, về cơ chế phân định trách nhiệm giữa các chủ thể xử lý dữ liệu: Trong môi trường ngân hàng số, dữ liệu cá nhân được xử lý bởi nhiều chủ thể như TCTD, nhà cung cấp công nghệ, trung gian thanh toán và đối tác phân tích dữ liệu. Theo Luật Bảo vệ dữ liệu cá nhân năm 2025, các chủ thể này có thể được xác định với những tư cách pháp lý khác nhau gồm bên kiểm soát dữ liệu, bên xử lý dữ liệu hoặc bên kiểm soát - xử lý dữ liệu, tùy theo vai trò cụ thể trong từng công đoạn xử lý (Điều 2). Việc xác định chủ thể chịu trách nhiệm khi xảy ra sự cố rò rỉ dữ liệu còn nhiều khó khăn, đặc biệt khi có sự tham gia của bên thứ ba hoặc yếu tố kỹ thuật phức tạp. Các vụ việc rò rỉ dữ liệu quy mô lớn và tình trạng nhân viên ngân hàng tham gia vào hành vi mua bán thông tin khách hàng cho thấy rủi ro đến từ cả bên ngoài lẫn nội bộ.

Thứ ba, về việc áp dụng căn cứ “lợi ích chính đáng”: Dù đã được ghi nhận trong Luật Bảo vệ dữ liệu cá nhân năm 2025, căn cứ “lợi ích chính đáng” vẫn được quy định theo hướng liệt kê, thiếu tiêu chí đánh giá cụ thể (Điều 19). Trong bối cảnh ngân hàng số đẩy mạnh ứng dụng dữ liệu lớn và trí tuệ nhân tạo, ranh giới giữa lợi ích chính đáng và xâm phạm quyền riêng tư trở nên khó xác định.

Trong thực tiễn hoạt động ngân hàng số, hạn chế này bộc lộ rõ khi các TCTD đẩy mạnh ứng dụng dữ liệu lớn và trí tuệ nhân tạo trong phân tích hành vi khách hàng, chấm điểm tín dụng, phát hiện gian lận và cá nhân hóa sản phẩm tài chính. Khi đó, ranh giới giữa “lợi ích chính đáng” của TCTD và nguy cơ xâm phạm quyền riêng tư của khách hàng trở nên rất mong manh. Thực tế cho thấy các hành vi lừa đảo ngày càng tinh vi, đối tượng xấu có thể khai thác thông tin cá nhân để tạo dựng lòng tin và chiếm đoạt tài sản, đặt ra yêu cầu phải kiểm soát chặt chẽ hơn hoạt động xử lý dữ liệu vì mục đích kinh doanh nhằm ngăn ngừa nguy cơ lạm dụng dưới danh nghĩa “lợi ích chính đáng”.

Điều này không chỉ tiềm ẩn nguy cơ lạm dụng dữ liệu dưới danh nghĩa kinh doanh mà còn gây khó khăn cho các TCTD trong việc xác định tính hợp pháp của các hoạt động như phát hiện gian lận, quản trị rủi ro hay cải tiến dịch vụ. Hệ quả là hoặc phát sinh rủi ro pháp lý, hoặc dẫn đến xu hướng thận trọng quá mức, hạn chế khả năng khai thác dữ liệu.

Thứ tư, về cơ chế thông báo vi phạm dữ liệu cá nhân: Quy định về nghĩa vụ thông báo trong thời hạn ngắn (khoảng 72 giờ) góp phần tăng cường minh bạch, nhưng tạo áp lực lớn đối với các TCTD. Trong các sự cố an ninh mạng phức tạp, việc nhanh chóng xác định phạm vi dữ liệu bị ảnh hưởng và đối tượng liên quan là thách thức đáng kể. Quá trình này đòi hỏi sự phối hợp giữa nhiều hệ thống kỹ thuật, các bộ phận chuyên môn và cả đối tác công nghệ bên ngoài. Trong những trường hợp phức tạp, việc vừa bảo đảm độ chính xác của thông tin, vừa hoàn thành thông báo tới số lượng lớn khách hàng trong thời hạn 72 giờ là yêu cầu khó khả thi nếu thiếu cơ chế kỹ thuật và quy trình ứng phó phù hợp.

Bên cạnh đó, pháp luật hiện hành chưa có hướng dẫn cụ thể và thống nhất về hình thức, nội dung, phương thức thực hiện nghĩa vụ thông báo cho chủ thể dữ liệu. Các vấn đề như lựa chọn kênh thông báo (thư điện tử, tin nhắn, thông báo trên ứng dụng ngân hàng số), mức độ chi tiết của thông tin cần cung cấp hay trách nhiệm cập nhật thông tin khi diễn biến sự cố thay đổi vẫn chưa được quy định rõ. Sự thiếu vắng các tiêu chuẩn cụ thể này có thể dẫn đến tình trạng thiếu thống nhất trong thực tiễn áp dụng giữa các TCTD, qua đó ảnh hưởng đến hiệu quả thực chất của cơ chế bảo vệ quyền lợi khách hàng khi xảy ra vi phạm dữ liệu cá nhân.

Thứ năm, về cơ chế chuyển dữ liệu cá nhân ra nước ngoài: Trong bối cảnh chuyển đổi số, hoạt động ngân hàng ngày càng phụ thuộc vào các hạ tầng công nghệ có yếu tố xuyên biên giới, do đó, việc chuyển dữ liệu cá nhân ra nước ngoài đã trở thành một hoạt động mang tính tất yếu trong quá trình vận hành của nhiều TCTD⁸. Theo quy định của Nghị định số 356/2025/NĐ-CP, hoạt động này phải được thực hiện trên cơ sở lập hồ sơ đánh giá tác động và thực hiện nghĩa vụ thông báo cho cơ quan có thẩm quyền trước khi tiến hành chuyển dữ liệu (Điều 17 và Điều 18).

Theo số liệu từ NHNN, chỉ tính đến tháng 7/2025, hoạt động thanh toán song phương bằng mã QR giữa Việt Nam và một số quốc gia như Thái Lan, Lào, Campuchia đã ghi nhận hàng chục nghìn giao dịch với tổng giá trị lên tới hàng nghìn tỉ đồng⁹. Đồng thời, các TCTD trong nước cũng đang tích cực mở rộng hợp tác quốc tế và ứng dụng các nền tảng công nghệ toàn cầu, trong đó có việc sử dụng hạ tầng điện toán đám mây đặt tại nước ngoài. Những xu hướng này cho thấy nhu cầu chuyển dữ liệu cá nhân ra ngoài lãnh thổ ngày càng trở nên phổ biến và mang tính thiết yếu đối với hoạt động ngân hàng số.

Các quy định về hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài hiện nay chưa xác định rõ các tiêu chí đánh giá, nội dung cần thiết cũng như quy trình xem xét, chấp thuận của cơ quan có thẩm quyền. Sự thiếu minh bạch và cụ thể trong thủ tục hành chính có thể gây ra những khó khăn đáng kể cho các TCTD trong quá trình triển khai hệ thống công nghệ có yếu tố xuyên biên giới, đặc biệt trong bối cảnh yêu cầu về tốc độ và tính liên tục của dịch vụ ngân hàng ngày càng cao¹⁰. Đáng chú ý, trong khi các quy định về thủ tục còn thiếu rõ ràng, hệ thống chế tài đối với hành vi vi phạm lại được thiết kế với mức độ nghiêm khắc cao, có thể lên tới 5% doanh thu của năm liền kề trước đó (khoản 4 Điều 8). Sự thiếu đồng bộ giữa yêu cầu pháp lý và hướng dẫn thực thi có thể làm chậm quá trình triển khai công nghệ, đồng thời tiềm ẩn rủi ro pháp lý trong hoạt động cung cấp dịch vụ ngân hàng số xuyên biên giới.

4. Kiến nghị hoàn thiện quy định pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng

Từ hạn chế của khung pháp lý hiện hành, việc hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng số cần được thực hiện theo hướng đồng bộ, vừa bảo đảm quyền kiểm soát dữ liệu của khách hàng, vừa tạo điều kiện cho các TCTD khai thác dữ liệu một cách hợp pháp và hiệu quả.

Thứ nhất, cần hoàn thiện cơ chế thể hiện sự đồng ý của chủ thể dữ liệu theo hướng bảo đảm tính tự do và thực chất: Định hướng rõ việc thiết kế cơ chế đồng ý theo hướng phân tách từng mục đích xử lý dữ liệu, hạn chế mô hình “chấp nhận toàn bộ điều khoản” trong hợp đồng điện tử. Đồng thời, yêu cầu các TCTD thiết lập hệ thống quản trị sự đồng ý có khả năng ghi nhận, lưu trữ và truy vết đầy đủ thông tin liên quan đến quá trình đồng ý của khách hàng. Giải pháp này không chỉ củng cố quyền tự quyết của chủ thể dữ liệu mà còn nâng cao khả năng chứng minh tính hợp pháp của hoạt động xử lý dữ liệu khi phát sinh tranh chấp.

Thứ hai, cần hoàn thiện cơ chế phân định trách nhiệm giữa các chủ thể tham gia xử lý dữ liệu cá nhân trong môi trường ngân hàng số: Cụ thể hóa nguyên tắc phân bổ trách nhiệm giữa bên kiểm soát và bên xử lý dữ liệu, đồng thời bổ sung cơ chế trách nhiệm liên đới trong trường hợp có nhiều chủ thể cùng tham gia vào quá trình xử lý. Bên cạnh đó, làm rõ nghĩa vụ của TCTD trong việc kiểm soát đối tác công nghệ và bên thứ ba, cũng như tăng cường các yêu cầu về kiểm soát nội bộ nhằm hạn chế rủi ro phát sinh từ chính hệ thống. Việc hoàn thiện cơ chế này sẽ góp phần nâng cao tính minh bạch và cũng như truy cứu trách nhiệm khi xảy ra vi phạm dữ liệu.

Thứ ba, cần xây dựng khuôn khổ pháp lý rõ ràng hơn đối với việc áp dụng căn cứ “lợi ích chính đáng” trong xử lý dữ liệu cá nhân: Thiết lập các tiêu chí mang tính định hướng để đánh giá tính hợp pháp của việc xử lý dữ liệu trên cơ sở lợi ích chính đáng, bao gồm mức độ cần thiết, tính cân xứng và tác động đến quyền của chủ thể dữ liệu. Quy định yêu cầu áp dụng các biện pháp bảo vệ bổ sung khi sử dụng căn cứ này. Việc làm rõ các tiêu chí sẽ giúp hạn chế nguy cơ lạm dụng dữ liệu, đồng thời tạo điều kiện cho các TCTD ứng dụng công nghệ dữ liệu trong quản trị rủi ro và nâng cao chất lượng dịch vụ.

Thứ tư, cần hoàn thiện cơ chế thông báo vi phạm dữ liệu cá nhân theo hướng bảo đảm tính khả thi và thống nhất: Nên quy định cụ thể hơn về hình thức, nội dung và phương thức thông báo cho chủ thể dữ liệu, đồng thời cho phép áp dụng cách tiếp cận linh hoạt tùy theo mức độ nghiêm trọng của sự cố. Khuyến khích các TCTD xây dựng quy trình ứng phó sự cố dữ liệu một cách bài bản, kết hợp giữa giải pháp kỹ thuật và cơ chế phối hợp nội bộ, nhằm đáp ứng yêu cầu phát hiện và xử lý kịp thời các vi phạm trong bối cảnh thời hạn thông báo ngày càng rút ngắn.

Thứ năm, cần tiếp tục hoàn thiện cơ chế kiểm soát việc chuyển dữ liệu cá nhân ra nước ngoài theo hướng minh bạch và phù hợp với thực tiễn: Làm rõ các tiêu chí đánh giá tác động, nội dung hồ sơ và quy trình thực hiện nghĩa vụ pháp lý đối với hoạt động chuyển dữ liệu xuyên biên giới. Bảo đảm sự cân bằng hợp lý giữa yêu cầu quản lý nhà nước và nhu cầu ứng dụng công nghệ của các TCTD. Việc hoàn thiện cơ chế này sẽ góp phần giảm thiểu rủi ro pháp lý và thúc đẩy quá trình hội nhập của hệ thống ngân hàng trong bối cảnh toàn cầu hóa.

5. Kết luận

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, hoạt động ngân hàng ngày càng phụ thuộc vào việc thu thập và xử lý dữ liệu cá nhân, qua đó đặt ra yêu cầu cấp thiết về việc bảo vệ quyền lợi của khách hàng. Khung pháp lý của Việt Nam, đặc biệt với sự ra đời của Luật Bảo vệ dữ liệu cá nhân năm 2025, đã bước đầu thiết lập nền tảng quan trọng cho việc kiểm soát hoạt động xử lý dữ liệu. Tuy nhiên, thực tiễn cho thấy vẫn còn một số hạn chế liên quan đến cơ chế thể hiện sự đồng ý, phân định trách nhiệm giữa các chủ thể, áp dụng căn cứ “lợi ích chính đáng”, thông báo vi phạm dữ liệu và chuyển dữ liệu ra nước ngoài. Những hạn chế này phản ánh sự thiếu đồng bộ giữa quy định pháp luật và đặc thù của môi trường ngân hàng số, nơi dữ liệu được xử lý với tốc độ cao, phạm vi rộng và sự tham gia của nhiều chủ thể. Do đó, việc hoàn thiện pháp luật cần được thực hiện theo hướng nâng cao tính minh bạch, cụ thể và khả thi, đồng thời bảo đảm sự cân bằng hợp lý giữa bảo vệ quyền riêng tư và thúc đẩy đổi mới sáng tạo. Chỉ khi xây dựng được một khuôn khổ pháp lý vừa chặt chẽ vừa linh hoạt, phù hợp với thực tiễn công nghệ, mới có thể bảo đảm hiệu quả bảo vệ quyền lợi khách hàng và tạo nền tảng cho sự phát triển bền vững của ngân hàng số tại Việt Nam.y

¹ Đào Văn Hùng (2019), “Phát triển khu vực tài chính - ngân hàng trong bối cảnh Cách mạng công nghiệp lần thứ tư”, Tạp chí Cộng sản, https://www.tapchicongsan.org.vn/web/guest/kinh-te/-/2018/494039/phat-trien-khu-vuc-tai-chinh---ngan-hang-trong-boi-canh-cach-mang-cong-nghiep-lan-thu-tu.aspx

² Nguyễn Đình Thắng (2021), “Xu hướng tất yếu của ngân hàng số trong cuộc cách mạng công nghiệp 4.0”, Tạp chí Khoa học và Công nghệ, số 02, tháng 12 năm 2021, trang 73 - 78.

³ Phạm Minh Đô (2025), “Luật Bảo vệ dữ liệu cá nhân 2025: Hành lang pháp lý cho môi trường số an toàn tại Việt Nam”, Tạp chí điện tử Pháp lý, https://phaply.net.vn/luat-bao-ve-du-lieu-ca-nhan-2025-hanh-lang-phap-ly-cho-moi-truong-so-an-toan-tai-viet-nam-a260430.html

⁴ Minh Nguyên (2026), “Một số thay đổi cần lưu ý trong xử lý dữ liệu cá nhân từ 01/01/2026”, Tạp chí Điện tử Tòa án nhân dân, https://lsvn.vn/mot-so-thay-doi-can-luu-y-trong-xu-ly-du-lieu-ca-nhan-tu-01-01-2026-a167892.html

⁵ Minh Hoàng (2026), “Tăng cường biện pháp an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành Ngân hàng”, Tạp chí Thị trường Tài chính Tiền tệ, https://thitruongtaichinhtiente.vn/tang-cuong-bien-phap-an-toan-bao-mat-trong-cung-cap-dich-vu-truc-tuyen-nganh-ngan-hang-76013.html

⁶ Hoàng Minh Khôi (2026), “Luật Bảo vệ dữ liệu cá nhân và vấn đề thực thi - Kinh nghiệm từ một số quốc gia phát triển”, Tạp chí Điện tử Tòa án nhân dân, https://tapchitoaan.vn/luat-bao-ve-du-lieu-ca-nhan-va-van-de-thuc-thi-kinh-nghiem-tu-mot-so-quoc-gia-phat-trien15184.html

⁷ Nguyễn Hương (2026), “Thông tư 77/2025/TT-NHNN "siết" bảo mật Online Banking từ 01/3/2026”, Luật Việt Nam, https://luatvietnam.vn/linh-vuc-khac/diem-moi-thong-tu-77-2025-tt-nhnn-ve-bao-mat-online-banking-883-106480-article.html

⁸ Huỳnh Minh Quân, Nguyễn Đắc Triết (2025), “Pháp luật Liên minh châu Âu về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử”, Tạp chí Ngân hàng, số 22 tháng 11/2025.

⁹ Khánh Ly (2025), “Việt Nam hoàn thiện cơ chế thúc đẩy thanh toán QR code xuyên biên giới”, Báo Kinh tế Việt Nam, https://byvn.net/EBTg

¹⁰ Gia Nguyễn (2024), “Bảo vệ dữ liệu cá nhân với công ty tài chính”, Tạp chí Diễn đàn Doanh nghiệp, https://diendandoanhnghiep.vn/bao-ve-du-lieu-ca-nhan-voi-cong-ty-tai-chinh-10145087.html

Tài liệu tham khảo:

1. Đào Văn Hùng (2019), “Phát triển khu vực tài chính - ngân hàng trong bối cảnh Cách mạng công nghiệp lần thứ tư”, Tạp chí Cộng sản, https://www.tapchicongsan.org.vn/web/guest/kinh-te/-/2018/494039/phat-trien-khu-vuc-tai-chinh---ngan-hang-trong-boi-canh-cach-mang-cong-nghiep-lan-thu-tu.aspx

2. Gia Nguyễn (2024), “Bảo vệ dữ liệu cá nhân với công ty tài chính”, Tạp chí Diễn đàn Doanh nghiệp, https://diendandoanhnghiep.vn/bao-ve-du-lieu-ca-nhan-voi-cong-ty-tai-chinh-10145087.html

3. Hoàng Minh Khôi (2026), “Luật Bảo vệ dữ liệu cá nhân và vấn đề thực thi - Kinh nghiệm từ một số quốc gia phát triển”, Tạp chí Điện tử Tòa án nhân dân, https://tapchitoaan.vn/luat-bao-ve-du-lieu-ca-nhan-va-van-de-thuc-thi-kinh-nghiem-tu-mot-so-quoc-gia-phat-trien15184.html

4. Huỳnh Minh Quân, Nguyễn Đắc Triết (2025), “Pháp luật Liên minh châu Âu về bảo vệ dữ liệu cá nhân trong hoạt động thương mại điện tử”, Tạp chí Ngân hàng, số 22 tháng 11/2025.

5. Khánh Ly (2025), “Việt Nam hoàn thiện cơ chế thúc đẩy thanh toán QR code xuyên biên giới”, Báo Kinh tế Việt Nam, https://byvn.net/EBTg

6. Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15 ngày 26/6/2025 của Quốc hội).

7. Minh Hoàng (2026), “Tăng cường biện pháp an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành Ngân hàng”, Tạp chí Thị trường Tài chính Tiền tệ, https://thitruongtaichinhtiente.vn/tang-cuong-bien-phap-an-toan-bao-mat-trong-cung-cap-dich-vu-truc-tuyen-nganh-ngan-hang-76013.html

8. Minh Nguyên (2026), “Một số thay đổi cần lưu ý trong xử lý dữ liệu cá nhân từ 01/01/2026”, Tạp chí Điện tử Tòa án nhân dân, https://lsvn.vn/mot-so-thay-doi-can-luu-y-trong-xu-ly-du-lieu-ca-nhan-tu-01-01-2026-a167892.html

9. Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.

10. Nguyễn Đình Thắng (2021), “Xu hướng tất yếu của ngân hàng số trong cuộc cách mạng công nghiệp 4.0”, Tạp chí Khoa học và Công nghệ, số 02, tháng 12/2021, trang 73-78.

11. Nguyễn Hương (2026), “Thông tư 77/2025/TT-NHNN "siết" bảo mật Online Banking từ 01/3/2026”, Luật Việt Nam, https://luatvietnam.vn/linh-vuc-khac/diem-moi-thong-tu-77-2025-tt-nhnn-ve-bao-mat-online-banking-883-106480-article.html

12. Phạm Minh Đô (2025), “Luật Bảo vệ dữ liệu cá nhân 2025: Hành lang pháp lý cho môi trường số an toàn tại Việt Nam”, Tạp chí điện tử Pháp lý, https://phaply.net.vn/luat-bao-ve-du-lieu-ca-nhan-2025-hanh-lang-phap-ly-cho-moi-truong-so-an-toan-tai-viet-nam-a260430.html

13. Thông tư số 77/2025/TT-NHNN, ngày 31/12/2025 của Thống đốc NHNN về việc sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.