Hoàn thiện khuôn khổ pháp lý về bảo vệ dữ liệu khách hàng trong lĩnh vực ngân hàng

1. Đặt vấn đề

Khi các dịch vụ tài chính càng được số hóa, cùng với khối lượng thông tin được thu thập ngày càng tăng cho phép các tổ chức tài chính ứng dụng công nghệ tiên tiến hơn, cũng như đào tạo mô hình trí tuệ nhân tạo hiệu quả hơn, từ đó xây dựng và phát triển nhiều sản phẩm, dịch vụ mới, giúp cải thiện trải nghiệm và mang lại nhiều lợi ích hơn cho khách hàng. Tuy nhiên, các tổ chức tài chính cũng đối diện với nhiều thách thức khi tiếp cận và chia sẻ dữ liệu; đồng thời cũng trở thành mục tiêu để tấn công nhằm khai thác các điểm yếu của hệ thống¹. Trong năm 2025, lĩnh vực tài chính đã phải đối diện với hàng loạt các vụ rò rỉ dữ liệu, ảnh hưởng tới hàng triệu khách hàng và làm dấy lên quan ngại về an ninh trong lĩnh vực ngân hàng toàn cầu².

Trong các vụ rò rỉ dữ liệu, tin tặc thường truy cập vào các dữ liệu nhạy cảm của khách hàng (như số tài khoản ngân hàng, mật khẩu và lịch sử giao dịch). Các vụ tấn công được thực hiện thông qua phương thức khai thác lỗ hổng trong phần mềm của bên thứ ba mà nhiều ngân hàng hiện đang sử dụng, làm lộ dữ liệu của hàng triệu khách hàng; tấn công vào mạng máy chủ nội bộ của ngân hàng nhằm khai thác các dữ liệu khách hàng; dùng mã độc để mã hóa một lượng lớn dữ liệu khiến khách hàng không thể truy cập được và buộc ngân hàng phải chuộc lại nếu không các thông tin khách hàng sẽ bị rao bán trên chợ đen; thực hiện kế hoạch lừa đảo tinh vi để đánh lừa nhân viên tiết lộ thông tin đăng nhập; truy cập trái phép vào hệ thống lưu trữ đám mây của ngân hàng, nơi lưu trữ hàng triệu hồ sơ khách hàng, sử dụng những phương thức tấn công tinh vi để vượt qua các giao thức bảo mật và đánh cắp dữ liệu nhạy cảm. Các vụ rò rỉ dữ liệu này thường mang lại nhiều hệ quả nặng nề, cả về danh tiếng, pháp lý, tài chính và đặc biệt là làm suy giảm lòng tin của khách hàng đối với mức độ an toàn, bảo mật của hệ thống tài chính³.

Trong những năm trở lại đây, Việt Nam đã có nhiều cải thiện pháp lý liên quan đến bảo vệ dữ liệu cá nhân nói chung và bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng nói riêng, góp phần thúc đẩy số hóa các dịch vụ ngân hàng một cách an toàn, hiệu quả và tạo điều kiện để triển khai mục tiêu tăng cường tài chính toàn diện. Trong khuôn khổ bài viết, tác giả khái quát thực trạng khuôn khổ pháp lý của Việt Nam liên quan đến bảo vệ dữ liệu cá nhân; đồng thời, trên cơ sở so sánh, đối chiếu với thông lệ quốc tế, bài viết đưa ra một số khuyến nghị nhằm hoàn thiện hơn công tác xây dựng và thực thi pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng.

2. Tổng quan về bảo vệ dữ liệu khách hàng trong lĩnh vực ngân hàng

Để duy trì niềm tin của khách hàng và hạn chế các rủi ro về danh tiếng, cũng như để đảm bảo việc tuân thủ pháp luật, các ngân hàng luôn xác định việc bảo vệ thông tin khách hàng và dữ liệu về tài chính đóng vai trò quan trọng hàng đầu. Trong đó, bảo vệ dữ liệu khách hàng trong lĩnh vực ngân hàng được hiểu là các biện pháp được thực hiện để bảo vệ, bảo mật các thông tin khách hàng.

Trước hàng loạt các đe dọa, rủi ro, thách thức đối với công tác bảo vệ bí mật thông tin khách hàng như đe dọa an ninh mạng (bao gồm mã độc, tấn công Phishing…), đe dọa nội bộ (đến từ chính nhân sự của ngân hàng), các rủi ro đến từ đối tác là bên thứ ba và thách thức tuân thủ pháp luật, các ngân hàng đã và đang nỗ lực trong việc triển khai, thực hiện các biện pháp như: (i) Bảo mật thông tin khách hàng, không cung cấp trái phép thông tin khách hàng cho bên thứ ba; (ii) Sử dụng các công nghệ mã hóa để chuyển các thông tin nhạy cảm sang một giao thức mà chỉ có thể đọc được khi có mật khẩu bảo mật; (iii) Kiểm soát quyền tiếp cận thông tin nhằm đảm bảo thông tin chỉ được thực hiện bởi những cá nhân được cấp quyền; (iv) Xây dựng mạng lưới an ninh (như tường lửa, hệ thống phát hiện xâm nhập; hệ thống ngăn ngừa xâm nhập) nhằm bảo vệ mạng lưới trước sự tiếp cận và đe dọa từ bên ngoài; (v) Phát triển các ứng dụng ngân hàng an toàn và xây dựng các kịch bản ứng phó, nhận diện gian lận nhằm giúp ngân hàng nhanh chóng xử lý khi có các sự cố vi phạm an ninh; (vi) Phân loại dữ liệu và đánh giá rủi ro, xây dựng các kế hoạch ứng phó, phục hồi khi xảy ra sự cố; (vii) Thường xuyên cập nhật các quy định pháp luật và hướng dẫn của cơ quan có thẩm quyền; tăng cường công tác tuyên truyền, phổ biến, nâng cao nhận thức của các nhân sự⁴...

Để tạo cơ sở pháp lý tổ chức triển khai thực hiện các biện pháp nêu trên, các quốc gia trên thế giới đã xây dựng và ban hành khuôn khổ pháp lý điều chỉnh hoạt động bảo vệ dữ liệu cá nhân và/hoặc an ninh mạng, áp dụng chung cho lĩnh vực tài chính, ngân hàng. Nhìn chung, khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân tại các quốc gia có sự tương đồng, trong đó nhấn mạnh đặc biệt đến tầm quan trọng về sự chấp thuận của khách hàng khi bên quản lý thu thập, xử lý dữ liệu cá nhân.

3. Khuôn khổ pháp lý về bảo vệ dữ liệu khách hàng tại các nước trên thế giới

Tại châu Âu, Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR) thiết lập một khuôn khổ pháp lý toàn diện để bảo vệ dữ liệu cá nhân, áp dụng đối với bất kỳ tổ chức nào cung cấp dịch vụ tài chính cho cư dân mang quốc tịch tại Liên minh châu Âu (EU) cho dù các tổ chức tài chính đó có trụ sở nằm ngoài EU⁵.

Theo GDPR, các tổ chức tài chính phải có được sự đồng ý của khách hàng một cách tự nguyện, rõ ràng trước khi tiến hành thu thập thông tin, theo đó, các ô được đánh dấu sẵn và sự im lặng không được coi là hợp lệ theo tiêu chuẩn GDPR; đồng thời GDPR cũng yêu cầu rằng sự đồng ý của khách hàng được đưa ra khi đã được cung cấp đầy đủ thông tin cần thiết⁶. Khi đề nghị khách hàng cho phép thu thập dữ liệu,

Điều 7 GDPR quy định rằng, đề nghị phải được thể hiện rõ ràng để khách hàng có thể nhận biết được việc đồng ý cho phép xử lý dữ liệu với các vấn đề khác; nội dung, cách thức, ngôn ngữ đề nghị phải dễ hiểu, dễ tiếp cận⁷. Đồng thời, các tổ chức tài chính được yêu cầu cho phép khách hàng thực hiện cơ chế rút lại sự đồng ý, cơ chế này phải được thực hiện một cách dễ dàng như khi khách hàng đưa ra sự đồng ý ban đầu. Vì vậy, các nền tảng ngân hàng kỹ thuật số cần cung cấp giao diện quản lý sự đồng ý đơn giản, cho phép khách hàng xem xét và cập nhật các tùy chọn của họ mà không cần liên hệ với dịch vụ khách hàng⁸.

Bên cạnh đó, các tổ chức tài chính cũng phải thiết lập quy trình ứng phó toàn diện cho phép xử lý kịp thời sự cố bảo mật liên quan đến việc truy cập trái phép, mất hoặc tiết lộ dữ liệu cá nhân. Trường hợp vi phạm dữ liệu cá nhân có khả năng gây rủi ro cao cho khách hàng (như lộ số tài khoản, dữ liệu thanh toán hoặc thông tin xác thực), các tổ chức tài chính có nghĩa vụ thông báo ngay cho chủ thể dữ liệu⁹.

Ngoài ra, hiện nay, các tổ chức tài chính phụ thuộc rất nhiều vào các nhà cung cấp bên ngoài khi sử dụng dịch vụ đám mây, giải pháp phần mềm, xử lý thanh toán… GDPR yêu cầu tất cả các bên xử lý dữ liệu thứ ba cũng như các tổ chức tài chính khác trong hệ sinh thái tài chính phải ký kết các thỏa thuận xử lý dữ liệu toàn diện, trong đó nêu rõ vai trò, trách nhiệm và khung pháp lý điều chỉnh. Tổ chức tài chính cũng được yêu cầu thực hiện thủ tục thẩm định đánh giá khả năng bảo vệ dữ liệu của nhà cung cấp, trong đó đánh giá biện pháp kỹ thuật, biện pháp bảo vệ tổ chức, chương trình đào tạo nhân viên và quy trình ứng phó sự cố trước khi hợp tác. Tuy vậy, các tổ chức tài chính vẫn phải chịu trách nhiệm về những sai sót trong bảo vệ dữ liệu khách hàng của nhà cung cấp, do đó việc kiểm tra kỹ lưỡng và giám sát liên tục là điều cần thiết. GDPR cũng yêu cầu khi xảy ra sự cố với nhà cung cấp, các tổ chức tài chính phải đáp ứng nghĩa vụ thông báo trong vòng 72 giờ cho các cơ quan giám sát¹⁰.

GDPR là các yêu cầu bắt buộc và trách nhiệm tuân thủ được cơ quan quản lý giám sát chặt chẽ, cùng với đó, hình phạt đối với các hành vi vi phạm GDPR sẽ được xác định theo tỉ lệ phần trăm doanh thu toàn cầu của doanh nghiệp vi phạm. Các khoản phạt hành chính có thể lên tới 20 triệu Euro hoặc 4% tổng doanh thu toàn cầu hằng năm, thậm chí các cơ quan giám sát luôn sẵn sàng áp dụng mức phạt tối đa đối với hành vi vi phạm nghiêm trọng¹¹.

Tại Ấn Độ, Đạo luật Bảo vệ dữ liệu cá nhân kỹ thuật số năm 2023 (DPDPA) là một đạo luật quy định về việc xử lý dữ liệu cá nhân dưới định dạng kỹ thuật số theo cách thức vừa công nhận quyền của cá nhân trong việc bảo vệ dữ liệu cá nhân của mình, vừa ghi nhận sự cần thiết phải xử lý dữ liệu cá nhân cho các mục đích hợp pháp¹².

Chương II DPDPA quy định các nghĩa vụ của chủ thể lưu giữ dữ liệu là chỉ được tiến hành xử lý dữ liệu cá nhân khi có sự chấp thuận của chủ thể dữ liệu hoặc cho các mục đích hợp pháp nhất định. Trong đó, Điều 5 DPDPA quy định mỗi yêu cầu gửi đến chủ thể dữ liệu để có được sự đồng ý của chủ thể này phải gửi kèm hoặc gửi trước một thông báo bởi chủ thể lưu giữ dữ liệu tới chủ thể dữ liệu, trong đó phải nêu rõ cho chủ thể dữ liệu biết về các dữ liệu cá nhân và mục đích xử lý dữ liệu cá nhân, cách thức mà chủ thể dữ liệu thực hiện các quyền của mình, bao gồm quyền tiến hành khiếu nại. DPDPA cũng đưa ra ví dụ minh họa, trường hợp khách hàng cá nhân X mở tài khoản ngân hàng sử dụng ứng dụng trên điện thoại hoặc trên trang thông tin điện tử của ngân hàng Y. Để thực hiện quy trình nhận biết khách hàng (KYC) khi mở tài khoản ngân hàng, khách hàng X được lựa chọn việc xử lý dữ liệu cá nhân bởi ngân hàng Y một cách trực tiếp hoặc thông qua quy trình nhận diện khách hàng bằng video. Ngân hàng Y sẽ gửi kèm hoặc gửi trước một yêu cầu mô tả các dữ liệu cá nhân và mục đích xử lý các dữ liệu cá nhân tới khách hàng X¹³.

Điều 6 DPDPA cũng quy định rằng sự đồng ý của chủ thể dữ liệu là hoàn toàn tự nguyện, cụ thể, vô điều kiện và không thể mập mờ; sự đồng ý đó phải được thể hiện bởi hành động rõ ràng, thể hiện sự đồng ý xử lý dữ liệu cá nhân của mình cho các mục đích cụ thể. Quy định này cũng cho phép cá nhân có thể giới hạn sự đồng ý để xử lý dữ liệu của mình cho những mục đích nhất định. Khi khách hàng thể hiện sự đồng thuận đối với yêu cầu của nhà cung cấp dịch vụ nhưng vi phạm bất kỳ quy định nào của Luật thì cũng bị coi là vô hiệu. Ví dụ, khách hàng đồng ý từ bỏ quyền khiếu nại trước Ủy ban Bảo vệ dữ liệu Ấn Độ, sự chấp thuận này bị coi là vô hiệu theo quy định của Điều 6 DPDPA¹⁴.

Liên quan đến việc lưu trữ dữ liệu, Điều 8 DPDPA quy định rằng trừ khi việc lưu trữ dữ liệu là cần thiết để tuân thủ quy định của Luật, chủ thể lưu trữ dữ liệu phải xóa dữ liệu cá nhân khi chủ thể dữ liệu cá nhân yêu cầu hoặc ngay khi cho rằng mục đích cụ thể để lưu trữ dữ liệu không còn nữa, tùy sự kiện nào đến trước và yêu cầu chủ thể xử lý dữ liệu xóa bất kỳ dữ liệu cá nhân nào mà chủ thể lưu trữ dữ liệu đã cung cấp cho chủ thể xử lý dữ liệu.

Tại Trung Quốc, pháp luật về bảo vệ dữ liệu cá nhân và an ninh mạng được cấu thành bởi 3 trụ cột chính là Luật Bảo vệ dữ liệu cá nhân (PIPL), có hiệu lực từ ngày 01/11/2021; Luật An ninh mạng (CSL), có hiệu lực từ ngày 01/6/2017; và Luật An ninh dữ liệu (DSL), có hiệu lực từ ngày 01/9/2021.

Nhìn chung, tương tự các quốc gia khác, pháp luật Trung Quốc yêu cầu cần phải có sự đồng ý rõ ràng từ chủ thể dữ liệu trước khi thông tin cá nhân có thể được thu thập, sử dụng, chuyển giao hoặc xử lý. Sự đồng ý đó phải được đưa ra trên cơ sở chủ thể dữ liệu được cung cấp đầy đủ thông tin về mục đích thu thập, sử dụng dữ liệu. Trong một số trường hợp nhất định như thu thập hoặc xử lý thông tin cá nhân nhạy cảm, chuyển dữ liệu ra nước ngoài cần có sự đồng ý riêng¹⁵ (tức là sự đồng ý rõ ràng, cụ thể đối với hoạt động xử lý/chuyển giao thay vì chỉ có sự đồng ý chung đối với thông báo về quyền riêng tư, được thể hiện thông qua hành động khẳng định) từ chủ thể dữ liệu¹⁶. Mặc dù không có một định nghĩa rõ ràng và cụ thể về “sự đồng ý riêng”, tuy nhiên, thực tế cho thấy rằng các tổ chức cần tránh sự đồng ý mang tính bắt buộc hoặc kết hợp chung với các yêu cầu khác¹⁷ (ví dụ, yêu cầu người dùng phải chấp nhận tất cả các điều khoản và điều kiện sử dụng dịch vụ, bao gồm cả việc cho phép thu thập dữ liệu, sử dụng dữ liệu và chia sẻ dữ liệu cho bên thứ ba; người dùng không được lựa chọn nội dung mà mình đồng ý hoặc không đồng ý¹⁸).

Bên cạnh đó, pháp luật Trung Quốc cũng yêu cầu khi chủ thể kiểm soát dữ liệu chia sẻ, cung cấp và chuyển thông tin cá nhân cho bên thứ ba, chủ thể kiểm soát dữ liệu phải có được sự đồng ý riêng biệt của chủ thể dữ liệu về mục đích chia sẻ, cung cấp và chuyển thông tin cá nhân cho bên thứ ba những loại thông tin được chia sẻ, tên và đầu mối liên hệ của bên nhận dữ liệu; thực hiện đánh giá tác động thông tin cá nhân và thực hiện các biện pháp hữu hiệu để bảo vệ chủ thể dữ liệu; ghi lại chính sách và lưu trữ thông tin liên quan đến việc chia sẻ, cung cấp hoặc chuyển dữ liệu cá nhân; đảm bảo rằng thông tin cá nhân chỉ được chuyển để xử lý và không chia sẻ, chuyển bất kỳ thông tin về sinh trắc học hoặc các thông tin nhạy cảm khác mà pháp luật cấm; đảm bảo rằng bên xử lý dữ liệu tuân thủ và hỗ trợ bên kiểm soát dữ liệu tuân thủ các nghĩa vụ theo pháp luật về bảo vệ dữ liệu¹⁹.

4. Thực trạng tại Việt Nam

4.1. Pháp luật chung về bảo vệ dữ liệu cá nhân

Việc bảo vệ dữ liệu cá nhân tại Việt Nam nói chung và bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng nói riêng được điều chỉnh bởi nhiều văn bản quy phạm pháp luật, trong đó phải kể đến sự ghi nhận “quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình” và “quyền bảo vệ danh dự, uy tín của mình” tại khoản 1 Điều 21 Hiến pháp năm 2013. Khoản 1 Điều 21 Hiến pháp năm 2013 cũng yêu cầu “Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”.

Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân đã tiếp tục hoàn thiện các quy định của Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân nhằm xử lý, bao quát các vấn đề liên quan đến bảo vệ dữ liệu cá nhân như phương thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân; chuyển giao, cung cấp, công khai dữ liệu cá nhân; quyền, nghĩa vụ của chủ thể dữ liệu cá nhân và bên kiểm soát, bên xử lý dữ liệu cá nhân; chuyển dữ liệu cá nhân xuyên biên giới.

Bên cạnh đó, Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP còn quy định về công tác bảo vệ dữ liệu cá nhân trong một số hoạt động như kinh doanh bảo hiểm; tài chính - ngân hàng, thông tin tín dụng; bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến; trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây; bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học... Các quy định này đặc biệt có ý nghĩa quan trọng trong bối cảnh việc ứng dụng công nghệ ngày càng trở nên phổ biến.

4.2. Pháp luật ngân hàng về bảo vệ dữ liệu cá nhân

Thời gian qua, các văn bản quy phạm pháp luật chuyên ngành có liên quan đến pháp luật ngân hàng về bảo vệ dữ liệu cá nhân gồm: Luật An toàn thông tin mạng năm 2015, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, Luật Các tổ chức tín dụng năm 2024, Luật Bảo vệ dữ liệu cá nhân năm 2025, Nghị định số 117/2018/NĐ-CP ngày 01/11/2018 của Chính phủ về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, Nghị định số 356/2025/NĐ-CP, Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng… đã và đang dần được hoàn thiện, tiệm cận với thông lệ quốc tế.

Tại Việt Nam, pháp luật ngân hàng điều chỉnh nội dung bảo vệ dữ liệu cá nhân thông qua ba nhóm văn bản quy phạm pháp luật.

Thứ nhất, các quy định chung về bảo vệ dữ liệu cá nhân. Điều 13, Điều 14 Luật Các tổ chức tín dụng ghi nhận trách nhiệm của của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài trong việc bảo vệ thông tin khách hàng cũng như trách nhiệm của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài trong việc bảo đảm an toàn hệ thống thông tin, bảo mật dữ liệu. Tương tự, Nghị định số 52/2024/NĐ-CP ngày 15/5/2025 của Chính phủ quy định về thanh toán không dùng tiền mặt cũng đã ghi nhận quyền từ chối cung cấp thông tin và trách nhiệm bảo mật thông tin của tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán.

Thứ hai, các quy định cụ thể về bảo vệ dữ liệu cá nhân. Các quy định cụ thể về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài được quy định tại Nghị định số 117/2018/NĐ-CP, trong đó quy định cụ thể về nội hàm thông tin khách hàng, các trường hợp, trình tự, thủ tục cung cấp thông tin khách hàng cho cơ quan nhà nước cũng như điều kiện thực hiện cung cấp thông tin khách hàng cho chủ thể khác không phải là cơ quan nhà nước.

Đồng thời, các nội dung về bảo mật thông tin khách hàng và bảo đảm an toàn hệ thống thông tin, bảo mật dữ liệu được cụ thể hóa tại Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng và Thông tư số 50/2024/TT-NHNN, được sửa đổi, bổ sung bởi Thông tư số 77/2025/TT-NHNN ngày 31/12/2025 của Thống đốc NHNN, trong đó quy định về các biện pháp cụ thể để bảo đảm an toàn thông tin như quản lý an toàn, bảo mật hệ thống mạng; giám sát và ghi nhật ký hoạt động của hệ thống thông tin; phòng, chống mã độc; quản lý truy cập; quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba…

Thứ ba, trách nhiệm về bảo đảm an toàn, bảo mật dữ liệu nói chung và bảo vệ dữ liệu cá nhân nói riêng cũng được NHNN tiếp tục củng cố tại Thông tư số 83/2025/TT-NHNN ngày 31/12/2025 của Thống đốc NHNN quy định về hệ thống kiểm soát nội bộ của ngân hàng thương mại, chi nhánh ngân hàng nước ngoài, trong đó yêu cầu ngân hàng phải nhận dạng rủi ro hoạt động đối với trường hợp sản phẩm, dịch vụ, cách thức cung cấp sản phẩm, dịch vụ không phù hợp với quy định, quyền lợi khách hàng (bao gồm cả hành vi vi phạm bảo mật thông tin khách hàng); đồng thời, thực hiện quản lý rủi ro đối với hoạt động thuê ngoài, trong đó yêu cầu hợp đồng thuê ngoài phải đảm bảo chặt chẽ, đầy đủ, bảo vệ quyền sở hữu, bảo mật cơ sở dữ liệu, thông tin khách hàng. Bên cạnh đó, ngân hàng cần quản lý rủi ro hoạt động trong việc ứng dụng công nghệ vào hoạt động nội bộ và hoạt động giao dịch với khách hàng; đồng thời, đảm bảo hệ thống xác thực đáp ứng yêu cầu bảo mật thông tin của khách hàng, an toàn giao dịch và an ninh hệ thống thông tin của ngân hàng.

Tuy nhiên, các văn bản nêu trên mới chỉ quy định về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cũng như quy định về các biện pháp bảo đảm an toàn thông tin. Cách thức thu thập sự chấp thuận/đồng ý của khách hàng cũng như nội dung cụ thể về các quyền của chủ thể dữ liệu (khách hàng) đối với việc xử lý dữ liệu được quy định tại các văn bản quy phạm pháp luật chuyên ngành về bảo vệ dữ liệu cá nhân.

Có thể thấy rằng, pháp luật của Việt Nam về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng đã cơ bản được hoàn thiện và đồng bộ cũng như có sự tương thích, phù hợp với thông lệ quốc tế. Tuy vậy, việc hoàn thiện toàn diện khuôn khổ pháp lý vẫn cần tiếp tục được rà soát nhằm bảo vệ dữ liệu cá nhân hiệu quả hơn, cân bằng giữa việc bảo vệ dữ liệu cá nhân với nâng cao trải nghiệm của khách hàng trong lĩnh vực ngân hàng.

5. Một số khuyến nghị

Trên tinh thần của Nghị quyết số 66-NQ/TW ngày 30/4/2025 của Bộ Chính trị về đổi mới công tác xây dựng và thi hành pháp luật đáp ứng yêu cầu phát triển đất nước trong kỷ nguyên mới, bài viết đề xuất một số khuyến nghị về xây dựng và tổ chức thi hành pháp luật. về bảo vệ dữ liệu cá nhân.

5.1. Khuyến nghị về hoàn thiện pháp lý

Thứ nhất, về thời hạn lưu trữ dữ liệu

Khoản 3 Điều 3 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định dữ liệu cá nhân được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác. Tuy nhiên, khi đưa ra sự đồng ý, khoản 2 Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 chỉ quy định các thông tin cá nhân cần biết rõ bao gồm: “a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân; b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân; c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân”. Điều này cho thấy, tại thời điểm đưa ra sự đồng ý, cá nhân không được biết về thời gian lưu trữ dữ liệu cá nhân. Điều này sẽ làm hạn chế chủ thể dữ liệu thực hiện quyền đối với dữ liệu cá nhân. Do vậy, thời hạn lưu trữ dữ liệu cần được coi là một thông tin cần thiết chủ thể dữ liệu cá nhân phải biết khi đưa ra sự đồng ý.

Thứ hai, về cách thức đề nghị sự chấp thuận của khách hàng trước khi thu thập, xử lý dữ liệu

Điều 11 Luật Bảo vệ dữ liệu cá nhân năm 2025 chỉ quy định: “Dữ liệu cá nhân được thu thập phải được sự đồng ý của chủ thể dữ liệu cá nhân trước khi thu thập, trừ trường hợp pháp luật có quy định khác”. Khoản 2 Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng quy định: “Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin”. Khoản 3, 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng như

Điều 6 Nghị định số 356/2025/NĐ-CP chỉ quy định về phương thức thể hiện sự đồng ý. Tuy nhiên, Điều 37 Luật Bảo vệ dữ liệu cá nhân năm 2025 không quy định trách nhiệm của bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân khi đề nghị khách hàng chấp thuận đối với việc thu thập, xử lý dữ liệu cá nhân.

Để đảm bảo rằng, sự đồng ý của khách hàng là hoàn toàn tự nguyện khi đã biết đầy đủ thông tin, các văn bản quy phạm pháp luật cần quy định rõ trách nhiệm của bên kiểm soát dữ liệu cá nhân trong việc gửi đề nghị một cách rõ ràng, cụ thể, dễ hiểu cả về ngôn ngữ, nội dung cũng như cách thức thực hiện để khách hàng hiểu rõ hơn về quyền và trách nhiệm của mình, cũng như hiểu rõ hơn về hệ quả pháp lý khi đồng ý cho phép bên kiểm soát dữ liệu thu thập, xử lý dữ liệu.

Thứ ba, về việc thực hiện quyền yêu cầu xóa dữ liệu; rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân

Điểm a khoản 1 Điều 14 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định việc xóa, hủy dữ liệu cá nhân được thực hiện trong trường hợp “Chủ thể dữ liệu cá nhân có yêu cầu và chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình. Yêu cầu của chủ thể dữ liệu cá nhân trong trường hợp này phải tuân thủ đầy đủ các nguyên tắc quy định tại khoản 3 Điều 4 của Luật này”. Tuy nhiên, Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam năm 2013 đã ghi nhận: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”; đồng thời, điểm d khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng quy định quyền của chủ thể dữ liệu cá nhân trong việc “yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân” thì việc quy định chủ thể dữ liệu cá nhân khi thực hiện yêu cầu của mình phải “chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình” là không cần thiết và có thể sẽ làm suy giảm “động lực” của cá nhân khi thực hiện quyền hợp pháp của mình. Nội dung này nên được quy định như là trách nhiệm của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân trong việc thông báo về các rủi ro, thiệt hại có thể xảy ra cho chủ thể dữ liệu khi xóa dữ liệu cá nhân thay vì quy định như tại điểm a khoản 1 Điều 14 Luật Bảo vệ dữ liệu cá nhân năm 2025.

Bên cạnh đó, liên quan đến yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân, khoản 2 Điều 10b Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định “yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được và được gửi cho bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân”. Tuy nhiên, cách thức thực hiện yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân phải đơn giản, dễ thực hiện và bằng những cách thức tương tự như khi bên kiểm soát thu thập dữ liệu cá nhân. Quy định hiện hành sẽ vô hình trung tạo ra sự bất bình đẳng không cần thiết giữa việc thể hiện sự đồng ý với việc rút lại sự đồng ý hay yêu cầu hạn chế xử lý dữ liệu cá nhân. Do vậy, cần điều chỉnh khoản 2 Điều 10 Luật Bảo vệ dữ liệu cá nhân năm 2025 theo hướng: Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân được thực hiện bằng các phương thức tương tự với việc thể hiện sự đồng ý của chủ thể dữ liệu. Tuy nhiên, để tránh ảnh hưởng đến các giao dịch đang được xử lý khi sử dụng thông tin được khách hàng đồng ý trước đó, Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng cần bổ sung nguyên tắc xử lý đối với trường hợp này khi chủ thể dữ liệu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân.

5.2. Khuyến nghị về thực thi pháp luật

Như đã đề cập ở trên, nhìn chung, khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân nói chung và bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng nói riêng đã cơ bản hoàn thiện và tiệm cận với thông lệ quốc tế. Do vậy, để các quy định hiện hành phát huy hiệu lực, hiệu quả, cần tiếp tục đẩy mạnh công tác tổ chức thực thi pháp luật liên quan đến bảo vệ dữ liệu cá nhân, trong đó tập trung xây dựng văn hóa tuân thủ pháp luật.

Nếu như trong cấu trúc bảo mật mạng truyền thống, người dùng và thiết bị trong phạm vi mạng được coi là đáng tin cậy thì đối với kiến trúc Zero Trust - dựa trên nguyên tắc không bao giờ tin tưởng mà phải luôn xác minh - bất kỳ người dùng hoặc thiết bị nào (bên trong hay bên ngoài mạng) đều có thể là mối đe dọa tiềm tàng²⁰. Kiến trúc Zero Trust loại bỏ sự tin tưởng ngầm định và yêu cầu xác minh liên tục mọi người dùng và thiết bị truy cập tài nguyên. Hiện nay, Thông tư số 09/2020/TT-NHNN đã quy định về quản lý truy cập mạng nội bộ, trong đó yêu cầu xây dựng và triển khai quy định quản lý truy cập mạng và các dịch vụ mạng; kiểm soát việc cài đặt, sử dụng các công cụ phần mềm hỗ trợ truy cập từ xa; quản lý và phân quyền truy cập thông tin và ứng dụng phải bảo đảm nguyên tắc cấp quyền vừa đủ để thực hiện nhiệm vụ được giao; kết nối từ mạng Internet vào mạng nội bộ của tổ chức để phục vụ công việc phải sử dụng mạng riêng ảo và xác thực đa yếu tố. Bên cạnh đó, Thông tư số 50/2024/TT-NHNN, được sửa đổi, bổ sung bởi Thông tư số 77/2025/TT-NHNN cũng yêu cầu “các giao dịch của khách hàng được phân loại và đánh giá mức độ rủi ro tối thiểu theo nhóm khách hàng, hành vi sử dụng của khách hàng, loại giao dịch, hạn mức giao dịch (nếu có) và tuân thủ các quy định của pháp luật liên quan. Trên cơ sở đó, đơn vị cung cấp các hình thức xác nhận giao dịch phù hợp cho khách hàng lựa chọn”.

Tuy nhiên, cân bằng giữa bảo mật - tuân thủ quy định pháp luật và trải nghiệm người dùng, giảm thiểu sự gián đoạn là yếu tố then chốt khi triển khai mô hình Zero Trust trong lĩnh vực ngân hàng. Vì vậy, trải nghiệm người dùng phải là trọng tâm trong thiết kế mô hình Zero Trust. Bằng cách duy trì sự cân bằng này, các ngân hàng mới có thể bảo đảm bảo mật mạnh mẽ mà không ảnh hưởng đến hiệu quả hoặc sự hài lòng của khách hàng²¹.

Bên cạnh đó, để vừa tuân thủ pháp luật về bảo vệ dữ liệu cá nhân, vừa tăng cường hiệu quả của dịch vụ tài chính số, dữ liệu tổng hợp cũng được coi là một giải pháp để khai thác giá trị của dữ liệu khi cho phép thử nghiệm, phát triển mô hình và đổi mới trên toàn hệ thống tài chính, đồng thời duy trì các biện pháp mạnh mẽ để bảo vệ quyền riêng tư và niềm tin của công chúng²². Dữ liệu tổng hợp là loại dữ liệu được tạo ra bởi các thuật toán hoặc mô hình máy tính mà không phải được thu thập trực tiếp từ các sự kiện, tương tác hay đối tượng trong thế giới thực, do vậy, dữ liệu tổng hợp cho phép giữ nguyên các đặc tính quan trọng mà không làm lộ thông tin nhạy cảm. Tuy nhiên, dữ liệu được tổng hợp từ việc “nhái” lại các hành vi và quan hệ xã hội thực, được tạo ra từ các dữ liệu tổng hợp và ẩn danh, khiến rủi ro rò rỉ thông tin khách hàng có thể thấp hơn nhưng cũng có thể làm suy giảm tính tin cậy trong một số trường hợp. Do vậy, các tổ chức tài chính cần xác định thứ tự, mục tiêu ưu tiên khi sử dụng dữ liệu tổng hợp cho các hoạt động của mình; cũng như cần có sự xem xét, chuẩn bị trước khi triển khai các dự án nhằm gia tăng sự tự tin khi sử dụng dữ liệu tổng hợp.

6. Kết luận

Bảo vệ dữ liệu khách hàng không chỉ là nghĩa vụ pháp lý mà còn là yếu tố sống còn để duy trì niềm tin và hạn chế rủi ro cho hệ thống ngân hàng trong kỷ nguyên số. Các nỗ lực xây dựng pháp luật của Việt Nam thời gian qua, đặc biệt với Luật Bảo vệ dữ liệu cá nhân năm 2025, Nghị định số 356/2025/NĐ-CP cùng hệ thống pháp luật ngân hàng về bảo vệ dữ liệu cá nhân đã tạo lập hành lang pháp lý khá vững chắc, tương thích với các tiêu chuẩn quốc tế. Tuy nhiên, để đáp ứng tốt hơn yêu cầu phát triển và bảo vệ tối đa quyền của chủ thể dữ liệu, khuôn khổ pháp lý cần tiếp tục được rà soát và hoàn thiện; đảm bảo tổ chức triển khai thực thi pháp luật hiệu quả. Sự kết hợp chặt chẽ giữa một hành lang pháp lý bảo vệ quyền riêng tư và sự linh hoạt trong đổi mới công nghệ sẽ giúp ngành Ngân hàng giải quyết thành công bài toán cân bằng: Vừa bảo vệ an toàn tuyệt đối dữ liệu cá nhân, vừa nâng cao tối đa trải nghiệm của khách hàng.

¹ The Synthetic Data Expert Group (2024), Using Synthetic Data in financial services, Financial Conduct authority, https://www.fca.org.uk/publication/corporate/report-using-synthetic-data-in-financial-services.pdf

² Naveen Goud (2025), Top 5 Banking Data Breaches of 2025, Cybersecurity insiders, https://www.cybersecurity-insiders.com/top-5-banking-data-breaches-of-2025/

³ Naveen Goud (2025), Top 5 Banking Data Breaches of 2025, Cybersecurity insiders, 30/12/2025, https://www.cybersecurity-insiders.com/top-5-banking-data-breaches-of-2025/

⁴ Priyanshu Choudhary (2023), Data Privacy and Security in the Banking Sector: Challenges and Best Practices, International journal of law management & humanities, ISN 2581-5369, Vol 6, Issue 4, https://www.ijlmh.com/wp-content/uploads/Data-Privacy-and-Security-in-the-Banking-Sector.pdf

⁵ Ana Mishova (2025), GDPR for Financial Institutions: Compliance Roadmap, https://gdprlocal.com/gdpr-for-financial-institutions/

⁶ Ana Mishova (2025), GDPR for Financial Institutions: Compliance Roadmap, https://gdprlocal.com/gdpr-for-financial-institutions/

⁷ https://gdpr-info.eu/recitals/no-32/

8 Ana Mishova (2025), GDPR for Financial Institutions: Compliance Roadmap, https://gdprlocal.com/gdpr-for-financial-institutions/

⁹ Ana Mishova (2025), GDPR for Financial Institutions: Compliance Roadmap, https://gdprlocal.com/gdpr-for-financial-institutions/

¹⁰ Ana Mishova (2025), GDPR for Financial Institutions: Compliance Roadmap, https://gdprlocal.com/gdpr-for-financial-institutions/

¹¹ Ana Mishova (2025), GDPR for Financial Institutions: Compliance Roadmap, https://gdprlocal.com/gdpr-for-financial-institutions/

¹² DPDPA (2023), https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf

¹³ DPDPA (2023), https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf

¹⁴ DPDPA (2023), https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf

¹⁵ Separate consent

¹⁶ Collection and processing in China, https://www.dlapiperdataprotection.com/?t=collection-and-processing&c=CN#insight

¹⁷ Bundled consent

¹⁸ Consent to the handling of personal information, https://www.oaic.gov.au/privacy/your-privacy-rights/your-personal-information/consent-to-the-handling-of-personal-information

¹⁹ Transfer of personal data in China, https://www.dlapiperdataprotection.com/?t=transfer&c=CN#insight

²⁰ Zero Trust in Banking: Enhancing Banking Security through Zero Trust Architecture, Uberether, https://uberether.com/zero-trust-in-banking/

²¹ Zero Trust in Banking: Enhancing Banking Security through Zero Trust Architecture, Uberether, https://uberether.com/zero-trust-in-banking/

²² The synthetic data expert group (2025), Generating and sing synthetic Data for Models in financial services: Governance considerations, FCA, https://www.fca.org.uk/publication/corporate/synthetic-data-models-financial-services-governance.pdf

Tài liệu tham khảo:

1. The Synthetic Data Expert Group (2024), Using Synthetic Data in financial services, Financial Conduct authority, 3/2024, https://www.fca.org.uk/publication/corporate/report-using-synthetic-data-in-financial-services.pdf

2. Naveen Goud (2025), Top 5 Banking Data Breaches of 2025, Cybersecurity insiders, 30/12/2025, https://www.cybersecurity-insiders.com/top-5-banking-data-breaches-of-2025/

3. Priyanshu Choudhary (2023), Data Privacy and Security in the Banking Sector: Challenges and Best Practices, International journal of law management & humanities, ISN 2581-5369, Vol 6, Issue 4, https://www.ijlmh.com/wp-content/uploads/Data-Privacy-and-Security-in-the-Banking-Sector.pdf

4. Ana Mishova (2025), GDPR for Financial Institutions: Compliance Roadmap, 11/6/2025, https://gdprlocal.com/gdpr-for-financial-institutions/

5. DPDPA (2023), https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf

6. Dlapiper (2026), Collection and processing in China, https://www.dlapiperdataprotection.com/?t=collection-and-processing&c=CN#insight

7. Dlapiper (2026), Transfer of personal data in China, https://www.dlapiperdataprotection.com/?t=transfer&c=CN#insight

8. Uberether (2025), Zero Trust in Banking: Enhancing Banking Security through Zero Trust Architecture, https://uberether.com/zero-trust-in-banking/

9. The synthetic data expert group (2025), Generating and sing synthetic Data for Models in financial services: Governance considerations, FCA, https://www.fca.org.uk/publication/corporate/synthetic-data-models-financial-services-governance.pdf