Khung pháp lý về quản trị dữ liệu cá nhân trong ngân hàng: Giải pháp quản lý hiệu quả và đảm bảo quyền lợi khách hàng

Luật Bảo vệ dữ liệu cá nhân năm 2025 được Quốc hội thông qua ngày 26/6/2025, có hiệu lực từ ngày 01/01/2026 đã đánh dấu cột mốc chính thức về sự ra đời của một luật riêng về quyền riêng tư và bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, trước sự phát triển nhanh chóng của công nghệ số và các mô hình dịch vụ tài chính, ngân hàng mới, thực tiễn quản trị dữ liệu cá nhân và vấn đề bảo đảm quyền lợi của khách hàng (chủ thể dữ liệu) vẫn còn một số hạn chế. Bài viết phân tích khung pháp lý về bảo vệ dữ liệu cá nhân và thực tiễn quản trị dữ liệu trong lĩnh vực ngân hàng tại Việt Nam, trên cơ sở tham chiếu đến Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu (GDPR)¹, từ đó, đề xuất một số kiến nghị nhằm nâng cao hiệu lực quản lý và tăng cường bảo vệ quyền lợi hợp pháp của khách hàng đối với quá trình xử lý dữ liệu cá nhân nói chung trong lĩnh vực ngân hàng.

1. Khung pháp lý về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng tại Việt Nam

Hệ thống pháp luật Việt Nam về quyền riêng tư và bảo vệ dữ liệu cá nhân đang ở giai đoạn đầu trong quá trình việc hình thành và phát triển. Mặc dù vậy, khung pháp lý trong lĩnh vực này đã định hình được một bức tranh tương đối rõ ràng. Nếu như trước đây quy định về quyền riêng tư và bảo vệ dữ liệu của cá nhân đa phần còn nằm rải rác và mang tính khái quát ở nhiều văn bản quy phạm pháp luật khác nhau như các nguyên tắc chung về quyền riêng tư của cá nhân trong Hiến pháp, Bộ luật Dân sự qua các thời kỳ và một số quy định về thông tin cá nhân trong Luật Công nghệ thông tin năm 2006 (được thay thế bởi Luật Chuyển đổi số năm 2025 kể từ ngày 01/7/2026), Luật An toàn thông tin mạng năm 2015, Luật Báo chí năm 2016, Luật An ninh mạng năm 2018 hay Luật Bảo vệ quyền lợi người tiêu dùng năm 2023² và hiện tại Việt Nam đã có luật riêng về dữ liệu và bảo vệ dữ liệu cá nhân.

Năm 2023, Việt Nam đã có văn bản quy phạm pháp luật đầu tiên quy định chi tiết về bảo vệ dữ liệu cá nhân là Nghị định số 13/2023/NĐ-CP ngày 17/4/202³ của Chính phủ. Ngày 30/11/2024, Quốc hội ban hành Luật Dữ liệu số 60/2024/QH15 được xem là một luật chung về dữ liệu thiên về mặt quản lý nhà nước, bao gồm cả dữ liệu cá nhân và phi cá nhân; tuy nhiên, luật này chỉ tập chung điều chỉnh về dữ liệu số mà không bao gồm dữ liệu trên môi trường vật lý truyền thống3, đi kèm theo đó là Nghị định số 165/2025/NĐ-CP ngày 30/6/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu. Năm 2025, Luật Bảo vệ dữ liệu cá nhân và Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ hướng dẫn chi tiết Luật Bảo vệ dữ liệu cá nhân (thay thế cho Nghị định số 13/2023/NĐ-CP) được ban hành.

Trong lĩnh vực ngân hàng, nghĩa vụ bảo vệ dữ liệu cá nhân của khách hàng về cơ bản chịu sự điều chỉnh bởi các quy định chung, bên cạnh đó còn tuân thủ theo một số quy định chuyên ngành như Luật Các tổ chức tín dụng năm 2024 (sửa đổi, bổ sung năm 2025), Luật Phòng, chống rửa tiền năm 2022, Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 của Chính phủ về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và một số thông tư do Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) ban hành như: Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng, Thông tư số 15/2023/TT-NHNN ngày 05/12/2023 quy định về hoạt động thông tin tín dụng của NHNN, Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng. Theo đó, ngành Ngân hàng phải đáp ứng nhiều yêu cầu khắt khe về định danh, bảo mật thông tin khách hàng và quy trình cung cấp thông tin khách hàng.

Đối chiếu với quy định của Liên minh châu Âu, GDPR được xây dựng trên nền tảng coi bảo vệ dữ liệu cá nhân là một quyền cơ bản của con người⁴, quan điểm này bắt nguồn từ Hiến chương về Quyền Cơ bản của Liên minh châu Âu (Charter of Fundamental Rights of the European Union) được ban hành lần đầu vào năm 2000, trong đó Điều 7 của Hiến chương này bảo vệ quyền tôn trọng đời sống riêng tư và gia đình⁵, Điều 8 xác lập quyền được bảo vệ dữ liệu cá nhân như một quyền độc lập của cá nhân như sau (tạm dịch):

Điều 8. Bảo vệ dữ liệu cá nhân

1. Mọi người đều có quyền được bảo vệ dữ liệu cá nhân liên quan đến mình.

2. Các dữ liệu đó phải được xử lý một cách công bằng cho những mục đích cụ thể và trên cơ sở sự đồng ý của người liên quan hoặc trên cơ sở hợp pháp khác được quy định bởi pháp luật. Mọi người đều có quyền được tiếp cận các dữ liệu đã được thu thập liên quan đến mình, và có quyền yêu cầu chỉnh sửa các dữ liệu đó.

3. Việc tuân thủ các quy định này phải chịu sự giám sát của một cơ quan thẩm quyền độc lập.

Trên cơ sở đó, GDPR thiết lập cơ chế pháp lý đặt chủ thể dữ liệu ở vị trí trung tâm, trao cho họ nhiều quyền kiểm soát đối với dữ liệu của mình như quyền truy cập, chỉnh sửa, xóa dữ liệu (quyền được lãng quên), quyền về khả năng chuyển dịch dữ liệu, quyền hạn chế và phản đối việc xử lý dữ liệu. Điều này cho thấy dữ liệu cá nhân trong hệ thống pháp luật của Liên minh châu Âu không được xem là một loại tài sản có thể tự do mua bán, mà gắn với quyền nhân thân của một cá nhân. Bên cạnh đó, sự đồng ý chủ thể dữ liệu được xem là một cơ sở pháp lý quan trọng trong hoạt động xử lý dữ liệu cá nhân của họ⁶.

Pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam đang có cách tiếp cận khá tương đồng khi cũng lấy chủ thể dữ liệu làm trung tâm và xây dựng mô hình quản trị theo vòng đời và tính nhạy cảm của dữ liệu cá nhân. Trừ một số trường hợp pháp luật có quy định đặc thù, chủ thể dữ liệu có quyền quyết định cuối cùng đối với hoạt động dữ liệu cá nhân của mình thông qua việc thực hiện các quyền của chủ thể dữ liệu⁷, ví dụ như, khách hàng (chủ thể dữ liệu) có quyền được biết ngân hàng đang xử lý dữ liệu cá nhân của mình như thế nào, ngân hàng tiết lộ, chuyển dữ liệu cá nhân của mình cho những ai, có quyền đồng ý hoặc từ chối hoạt động xử lý dữ liệu cá nhân của ngân hàng, có quyền yêu cầu ngân hàng chỉnh sửa, cung cấp, xóa, hủy dữ liệu cá nhân của mình, yêu cầu bồi thường thiệt hại do có vi phạm về xử lý dữ liệu cá nhân... Ngoài ra, ngân hàng phải đảm bảo cơ chế thực hiện quyền của chủ thể dữ liệu tuân thủ đúng thời hạn thực hiện theo quy định, ví dụ như ngân hàng phải phản hồi trong vòng 02 ngày làm việc khi nhận được yêu cầu rút lại sự đồng ý về xử lý dữ liệu cá nhân của khách hàng và thực hiện yêu cầu đó trong vòng 15 ngày⁸. Ngân hàng cũng phải xây dựng các quy trình nội bộ, biểu mẫu, biện pháp kỹ thuật về bảo vệ dữ liệu cá nhân⁹, phải có bộ phận nhân sự về bảo vệ dữ liệu cá nhân đạt chuẩn¹⁰, phải thông báo cho cơ quan chuyên trách về bảo vệ dữ liệu cá nhân và khách hàng khi có vi phạm về dữ liệu cá nhân¹¹, phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (nếu có)¹².

2. Thực tiễn quản trị dữ liệu khách hàng trong hoạt động ngân hàng

Quản trị dữ liệu có thể hiểu là sự tổng hòa trong việc xây dựng hệ thống các nguyên tắc, chính sách, quy trình, lẫn các giải pháp về mặt công nghệ, kỹ thuật, cũng như trong công tác đào tạo nguồn nhân lực, xây dựng văn hóa về việc quản lý và xử lý dữ liệu nhằm đảm bảo tính hiệu quả, an toàn, bảo mật, duy trì chất lượng dữ liệu sạch và đảm bảo quyền lợi của khách hàng¹³.

Cùng với sự phát triển của công nghệ số, các ngân hàng ngày càng chú trọng xây dựng hệ thống quản trị dữ liệu nhằm quản lý hiệu quả nguồn dữ liệu khách hàng, đồng thời bảo đảm tuân thủ các quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân. Tuy vậy, thực tiễn quản trị dữ liệu khách hàng trong hoạt động ngân hàng vẫn còn có hạn chế, cũng như văn hóa, nhận thức về bảo vệ dữ liệu khách hàng chưa cao ở một số nhân viên ngân hàng. Việc quản trị dữ liệu khách hàng chưa thật tốt không những ảnh hưởng đến uy tín của ngân hàng mà còn phải chịu các hình thức chế tài như xử phạt vi phạm hành chính, bồi thường thiệt hại hoặc nặng hơn nữa sẽ bị xử lý hình sự đối với các cá nhân có hành vi vi phạm¹⁴. Nhìn ra thế giới, có không ít các tổ chức trong ngành tài chính, ngân hàng từng bị xử phạt theo quy định của GDPR. (Bảng 1)

2.1. Phân loại dữ liệu cá nhân của khách hàng

Thứ nhất, về dữ liệu cá nhân điện tử hay phi điện tử. Trước đây tồn tại hai luồng quan điểm khác nhau, quan điểm thứ nhất cho rằng Nghị định số 13/2023/NĐ-CP chỉ điều chỉnh đối với dữ liệu cá nhân trên môi trường điện tử, trong khi quan điểm thứ hai, cũng là quan điểm của tác giả²⁵ cho rằng dữ liệu cá nhân theo Nghị định này cần được hiểu là gồm cả trên môi trường điện tử và phi điện tử. Sự khác nhau này xuất phát từ cách định nghĩa tại khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử…”.

Nếu đọc cụm từ “trên môi trường điện tử” gắn với toàn bộ vế trước đó thì quan điểm thứ nhất sẽ phù hợp, tuy nhiên, nếu chúng ta tách cụm từ “hoặc dạng khác trên môi trường điện tử” thành một vế độc lập thì có vẻ quan điểm thứ hai sẽ hợp lý hơn. Tuy vậy, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã có cách tiếp cận rõ hơn theo hướng dữ liệu cá nhân sẽ bao gồm cả dữ liệu trên môi trường điện tử và phi điện tử, thông qua định nghĩa tại khoản 1 Điều 2: “Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể…”. GDPR cũng có cách tiếp cận tương tự khi phạm vi áp dụng nêu tại Điều 2 (1) và Điều 4 (2) của quy định này bao trùm dữ liệu cá nhân được xử lý theo phương thức tự động và không tự động trong khuôn khổ các hệ thống lưu trữ, bao gồm dữ liệu cá nhân tồn tại dưới dạng hồ sơ giấy có cấu trúc.

Thứ hai, về tính nhạy cảm của dữ liệu cá nhân. Nghị định số 356/2025/NĐ-CP có một số thay đổi đáng chú ý. Cụ thể, điểm k khoản 1 Điều 4 liệt kê dữ liệu cá nhân nhạy cảm bao gồm: “Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác”; phạm vi dữ liệu cá nhân nhạy cảm trong ngành Ngân hàng đã được thay đổi theo hướng thu hẹp so với Nghị định số 13/2023/NĐ-CP. Tuy nhiên, điểm m khoản 1 Điều 4 quy định dữ liệu cá nhân nhạy cảm còn bao gồm “Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ”. Bởi theo Luật Các tổ chức tín dụng năm 2024 (sửa đổi, bổ sung năm 2025) đã có quy định về nghĩa vụ bảo mật thông tin khách hàng khá rõ tại Điều 13, theo đó, ngân hàng không được tiết lộ thông tin khách hàng, phải bảo đảm bí mật thông tin khách hàng, không được cung cấp thông tin khách hàng cho tổ chức, cá nhân khác, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của luật hoặc được sự chấp thuận của khách hàng.

Quy định trên của Nghị định số 356/2025/NĐ-CP có thể gây lúng túng cho các ngân hàng, nếu hiểu theo câu từ của điều khoản, mọi thông tin của khách hàng tại ngân hàng đều là dữ liệu cá nhân nhạy cảm và làm cho phần liệt kê về dữ liệu cá nhân trong lĩnh vực ngân hàng tại điểm k khoản 1 Điều 4 Nghị định này trở nên “mất đi ý nghĩa”. Cũng cần lưu ý rằng, Nghị định số 356/2025/NĐ-CP có thêm một yêu cầu bổ sung đối với dữ liệu cá nhân nhạy cảm về việc thiết lập cơ chế phân quyền giới hạn truy cập (khoản 2 Điều 4), tức là các ngân hàng cần bổ sung vấn đề này vào quy trình nội bộ, cũng như cần xây dựng giải pháp về mặt kỹ thuật, nghiệp vụ nhằm đảm bảo tuân thủ đúng.

Nếu chọn giải pháp an toàn hơn khi phân loại dữ liệu cá nhân theo hướng các dữ liệu cá nhân của khách hàng trong hoạt động ngân hàng đều là dữ liệu cá nhân nhạy cảm, đồng nghĩa với việc trách nhiệm, chi phí tuân thủ của ngân hàng sẽ gia tăng đáng kể.

2.2. Cơ chế bảo đảm sự đồng ý của khách hàng

2.2.1. Nội dung bắt buộc của sự đồng ý

Tương tự Nghị định số 13/2023/NĐ-CP, Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ 04 nội dung sau: (i) Loại dữ liệu cá nhân được xử lý; (ii) Mục đích xử lý dữ liệu cá nhân; (iii) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân (trước đây là tổ chức, cá nhân được xử lý dữ liệu cá nhân); và (iv) Các quyền, nghĩa vụ của chủ thể dữ liệu.

Riêng đối với lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng, khoản 2 Điều 8 Nghị định 356/2025/NĐ-CP có thêm yêu cầu khi xin sự đồng ý của chủ thể dữ liệu phải đảm bảo nêu rõ: (i) Các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu có; (ii) Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan; (iii) Thời gian lưu trữ dữ liệu cá nhân; (iv) Cơ chế, cách thức rút lại sự đồng ý và chính sách xóa, hủy dữ liệu cá nhân theo quy định.

Như vậy, Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP đã bổ sung thêm nhiều yêu cầu hơn so với trước đây, góp phần gia tăng tính minh bạch về hoạt động xử lý dữ liệu cá nhân. Các ngân hàng, với tư cách là bên kiểm soát hoặc bên kiểm soát và xử lý dữ liệu cá nhân, khi xin sự đồng ý cần nêu đầy đủ tối thiểu các nội dung nêu trên cho khách hàng biết rõ.

Thứ nhất, về yếu tố tự nguyện và biết rõ. Luật Bảo vệ dữ liệu cá nhân năm 2025 đã thể hiện bước tiến đáng kể khi tiếp cận rõ ràng và đầy đủ hơn đối với yêu cầu về sự đồng ý của chủ thể dữ liệu. Tuy nhiên, Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP hiện chưa có quy định cụ thể cách hiểu yếu tố “tự nguyện và biết rõ” khi chủ thể dữ liệu đưa ra sự đồng ý. Vì vậy, nếu chỉ dựa vào việc khách hàng ký tên hoặc xác nhận dưới các điều khoản đồng ý do ngân hàng soạn sẵn để đánh giá tính hợp lệ của sự đồng ý, thì có thể chưa đảm bảo đầy đủ quyền lợi của khách hàng. Trên thực tế, trong quá trình tiếp cận và sử dụng các sản phẩm, dịch vụ ngân hàng, khách hàng thường phải tiếp nhận một khối lượng thông tin và điều khoản tương đối lớn. Điều này đặt ra yêu cầu đối với các bên liên quan trong việc bảo đảm rằng sự đồng ý được thể hiện trên cơ sở minh bạch, dễ hiểu và phù hợp với nhu cầu thực tế của khách hàng, qua đó góp phần nâng cao chất lượng bảo vệ dữ liệu cá nhân.

Kinh nghiệm quốc tế cũng cung cấp thêm góc nhìn tham chiếu đáng chú ý. Cụ thể, Điều 7(4) của GDPR đặt ra một điều kiện quan trọng khá tương đồng về sự đồng ý phải được chủ thể dữ liệu đưa ra một cách tự nguyện. Theo đó, Ủy ban Bảo vệ Dữ liệu châu Âu (EDPB) trong hướng dẫn ban hành tháng 5/2020 đã làm rõ rằng sự đồng ý khi xử lý dữ liệu cá nhân sẽ trở nên không hợp lệ nếu chủ thể dữ liệu cảm thấy bị ép buộc hoặc nếu không đồng ý sẽ gây ra các hệ quả bất lợi cho họ. Chẳng hạn, trong một số trường hợp, việc lồng ghép nội dung đồng ý vào điều khoản chung của hợp đồng mà chủ thể dữ liệu không được thỏa thuận khác đi sẽ được xem là không hợp lệ, hoặc khi sự đồng ý là điều kiện bắt buộc để cung cấp dịch vụ, thực hiện một hợp đồng thì các bên phải có trách nhiệm xem xét tính phù hợp, cần thiết trong hoàn cảnh cụ thể²⁶.

Theo thông tin đăng tải công khai trên website của Ủy ban Cạnh tranh Quốc gia tháng 01/2026²⁷, Công ty Cổ phần Tập đoàn VNG (Zalo) đã bị xử phạt 810 triệu đồng đối với một số hành vi vi phạm quy định về bảo vệ quyền lợi người tiêu dùng, trong đó có hành vi “không thiết lập phương thức để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý theo quy định đối với một số thông tin” và “không có cơ chế để người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện việc sử dụng thông tin của người tiêu dùng để quảng cáo, giới thiệu sản phẩm, hàng hóa, dịch vụ và hoạt động có tính chất thương mại khác”. Theo tác giả, việc người dùng được yêu cầu đồng ý với các thay đổi trong chính sách bảo mật của Zalo cần được bóc tách một cách kỹ lưỡng để xác định quy trình xin sự đồng ý này có vi phạm nguyên tắc “tự nguyện và biết rõ” hay không. Nếu các thay đổi trong chính sách bảo mật là cần thiết để Zalo cung cấp các sản phẩm và dịch vụ cho người tiêu dùng thì có thể phù hợp; ngược lại, các thay đổi nhằm phục vụ các mục đích khác như để phục vụ mục đích nội bộ của Zalo hoặc liên quan đến quảng cáo, tiếp thị thì có vẻ việc đồng ý này sẽ được xem là không tự nguyện, bởi cách thiết kế chức năng xin sự đồng ý của Zalo trong vụ việc trên theo dạng consent wall (bức tường đồng ý), người dùng sẽ không có sự lựa chọn khác, ngoài việc đồng ý hoặc ngừng truy cập ứng dụng.

Đây cũng là một thách thức không nhỏ đối với ngân hàng trong quá trình xin sự đồng ý cần bảo đảm yếu tố tự nguyện và biết rõ từ khách hàng. Khi dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân mà Bộ Công an trình Chính phủ được thông qua và có hiệu lực, các hành vi xin sự đồng ý không đảm bảo nguyên tắc “tự nguyện và biết rõ” như nêu trên có thể sẽ chịu mức phạt cao hơn và toàn diện hơn.

Thứ hai, không được mặc định đồng ý và phải đồng ý với từng mục đích. Nội dung này được quy định tại điểm a khoản 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 và khoản 3 Điều 6 Nghị định số 356/2025/NĐ-CP. Vấn đề này thực sự là một bài toán khó dành cho ngân hàng trong quá trình xây dựng quy trình và biểu mẫu xin sự đồng ý của khách hàng, đặc biệt khi ngân hàng đang xử lý dữ liệu cá nhân của khối lượng lớn khách hàng. Thực tiễn tư vấn pháp luật, tác giả nhận thấy thông lệ vận dụng và thực hiện nguyên tắc này cũng đa dạng và có nhiều khác biệt trên thị trường.

Đa số ngân hàng hiện nay đều đăng tải công khai chính sách bảo mật hoặc chính sách bảo vệ dữ liệu cá nhân của mình trên website, khi cung cấp dịch vụ lần đầu cho các khách hàng, ngân hàng thường sẽ yêu cầu khách hàng xác nhận sự đồng ý về xử lý dữ liệu cá nhân của khách hàng theo chính sách công bố trên website của ngân hàng. Khi có sự thay đổi trong các chính sách này, ngân hàng sẽ cần xin sự đồng ý bổ sung của khách hàng đối với các nội dung thay đổi. Tùy theo từng điều kiện và loại hình sản phẩm, dịch vụ cung cấp đến khách hàng, có ngân hàng sẽ chọn hình thức xin sự đồng ý qua các biểu mẫu ký tay trực tiếp, hoặc xác nhận đồng ý qua phương thức điện tử như thư điện tử (email), nền tảng ngân hàng trực tuyến, tin nhắn SMS, cuộc gọi có ghi âm, bấm chọn đồng ý trên website đối với các tệp tin văn bản nhỏ (Cookies).

Tham khảo giải thích của EDPB về yếu tố mặc định đồng ý và đồng ý với từng mục đích tại mục số 44 và 168 trong ấn phẩm hướng dẫn về sự đồng ý khi xử lý dữ liệu cá nhân vào tháng 5/2020²⁸, GDPR yêu cầu phải có một “tuyên bố hoặc hành động khẳng định rõ ràng”, nên mọi sự đồng ý được suy đoán dựa trên các hình thức thể hiện ý chí mang tính ngầm định hơn của chủ thể dữ liệu (ví dụ:

Ô lựa chọn đồng ý được đánh dấu sẵn) cũng sẽ không đáp ứng tiêu chuẩn về sự đồng ý theo GDPR; và nếu bên kiểm soát dữ liệu gộp nhiều mục đích xử lý lại với nhau mà không tìm cách xin sự đồng ý riêng biệt cho từng mục đích, thì sẽ thiếu yếu tố tự nguyện và tính cụ thể. Khi việc xử lý dữ liệu được thực hiện vì nhiều mục đích, giải pháp để tuân thủ các điều kiện của sự đồng ý hợp lệ là phải đảm bảo tính phân tách, tức là tách riêng các mục đích và xin sự đồng ý cho từng mục đích.

Tuy nhiên, việc thiết kế giải pháp bảo đảm cho khách hàng đồng ý trên từng mục đích và không mặc định đồng ý là vấn đề khá nan giải, ngân hàng khó có thể tách riêng các khách hàng chọn đồng ý từng phần để quản lý riêng khi số lượng khách hàng tại các ngân hàng là rất lớn và các sản phẩm, dịch vụ ngân hàng sẽ khác nhau về bản chất.

2.2.2. Sự đồng ý của chủ thể dữ liệu là trẻ em

Trong một số trường hợp, ngân hàng có thể thực hiện xử lý dữ liệu cá nhân của trẻ em, chẳng hạn như ngân hàng có thể nhận thế chấp đối với bất động sản do trẻ em đứng tên hoặc xử lý một số giao dịch liên quan đến thừa kế tài sản đang quản lý bởi ngân hàng mà người thừa kế là trẻ em, hoặc ngân hàng có thể tổ chức một số chương trình chăm sóc, tri ân khách hàng có liên quan đến trẻ em. Khi đó, vấn đề xin sự đồng ý đối với các chủ thể dữ liệu này sẽ có một số điểm cần lưu ý.

Khoản 2 Điều 24 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định việc xử lý dữ liệu cá nhân của trẻ em (người dưới 16 tuổi theo quy định của Luật Trẻ em năm 2016) nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ trên 07 tuổi phải có sự đồng ý của chính cá nhân là trẻ em đó và đồng thời cần có thêm sự đồng ý từ người đại diện theo pháp luật của trẻ em. Luật Bảo vệ dữ liệu cá nhân năm 2025 dường như đang trên cơ sở kế thừa các quy định của Luật Hôn nhân và gia đình năm 2014 (khoản 2 Điều 81, khoản 3 Điều 84 của Luật này quy định trường hợp xác định bên được quyền trực tiếp nuôi con khi ly hôn và sau ly hôn, nếu con từ đủ 07 tuổi trở lên thì phải xem xét nguyện vọng của con) và Luật Trẻ em năm 2016 (khoản 11 Điều 6 của Luật này quy định cấm việc công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em mà không được sự đồng ý của trẻ em từ đủ 07 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em).

Tuy nhiên, cách tiếp cận này chưa thật sự đồng nhất với Bộ luật Dân sự năm 2015 về giao dịch dân sự, cụ thể, tại khoản 2 và khoản 3 Điều 21 Bộ luật Dân sự năm 2015 đang lấy mốc là 06 tuổi để khống chế và ràng buộc các điều kiện kèm theo. Xét về bản chất, sự đồng ý về xử lý dữ liệu cá nhân cho dù tồn tại dưới dạng một thỏa thuận giữa ngân hàng và khách hàng hoặc dưới dạng hành vi pháp lý đơn phương từ khách hàng đều cần được xem là một loại giao dịch dân sự theo định nghĩa tại Điều 116 Bộ luật Dân sự năm 2015, bởi sự đồng ý này sẽ là một căn cứ xác lập các quyền, nghĩa vụ dân sự của các bên trong quá trình xử lý dữ liệu cá nhân.

Tiến sĩ Nguyễn Văn Hiển, nguyên Viện trưởng Viện Nghiên cứu lập pháp, Ủy ban Thường vụ Quốc hội cho rằng, Điều 4 Bộ luật Dân sự năm 2015 đã thể hiện tinh thần, nguyên lý chung của nguyên tắc “Lex specialis derogat legi generali” (ưu tiên áp dụng luật chuyên ngành trước luật chung)^29. Tuy vậy, kỳ vọng các nhà làm luật sẽ làm rõ hơn cách quy định về mốc độ tuổi của trẻ em như phân tích trên đây để tránh có sự không đồng nhất giữa Bộ luật Dân sự và các văn bản luật có liên quan khác.

2.2.3. Các trường hợp ngoại lệ không cần sự đồng ý của chủ thể dữ liệu

Luật Bảo vệ dữ liệu cá nhân năm 2025 đã kế thừa và hoàn thiện các quy định của Nghị định số 13/2023/NĐ-CP, đặc biệt là đối với các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu. Điều 19 Luật Bảo vệ dữ liệu cá nhân năm 2025 bổ sung hai trường hợp mới so với quy định trước đây: (i) Vì lợi ích hợp pháp của chủ thể dữ liệu hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên; và (ii) Trường hợp khác theo quy định của pháp luật.

Bổ sung (i) nêu trên có thể so sánh tượng tự với nguyên tắc “legitimate interest” (lợi ích chính đáng), một trong những căn cứ hợp pháp được xử lý dữ liệu cá nhân của chủ thể dữ liệu bên cạnh việc xin sự đồng ý của họ, tại điểm f Điều 6 (1) của GDPR. Nguyên tắc này là một công cụ hữu hiệu cho các ngân hàng được quyền quyết định việc xử lý dữ liệu cá nhân mà không gặp rào cản về pháp lý, cũng như bảo vệ được quyền lợi của khách hàng trong một số tình huống mang tính cấp bách, thường thấy trong quá trình phòng ngừa gian lận, lừa đảo, tội phạm. Trong khi đó, bổ sung (ii) đã giải quyết được độ “chênh” giữa Nghị định số 13/2023/NĐ-CP và một số quy định pháp luật khác có liên quan về các trường hợp ngoại lệ không cần sự đồng ý của khách hàng khi ngân hàng xử lý dữ liệu cá nhân của họ.

Nhiều ngân hàng sẽ khá e dè khi áp dụng nguyên tắc nêu trên, bởi để xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý, ngân hàng sẽ phải thiết lập cơ chế giám sát khi xử lý dữ liệu cá nhân đảm bảo các nội dung tối thiểu nêu tại khoản 2 Điều 19 Luật Bảo vệ dữ liệu cá nhân năm 2025, vốn tốn rất nhiều nguồn lực để thực hiện, cũng như vẫn tồn tại rủi ro khi tranh chấp xảy ra, ngân hàng khó có thể chứng minh được căn cứ vận dụng xử lý theo nguyên tắc trên là phù hợp hay chưa.

Ở một khía cạnh khác, cách thành văn tại Điều 17 Luật Bảo vệ dữ liệu cá nhân năm 2025 về chuyển giao dữ liệu cá nhân (như sẽ phân tích tại mục 2.3) có thể dễ gây nhầm lẫn rằng Điều 17 cũng đang quy định về các trường hợp xử lý (chuyển giao) dữ liệu cá nhân có thể không cần sự đồng ý của chủ thể dữ liệu. Cụ thể, Luật quy định việc chuyển giao dữ liệu cá nhân “được thực hiện” trong các trường hợp khi có sự đồng ý của chủ thể dữ liệu và một số trường hợp khác như chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức, chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định… Tuy vậy, tác giả cho rằng các nhà làm luật chỉ đang cố gắng liệt kê các trường hợp nào được xem là chuyển giao dữ liệu cá nhân (nhằm phân biệt với trường hợp cung cấp dữ liệu cá nhân), từ đó để quy định các nghĩa vụ kèm theo như nêu tại Điều 7 Nghị định số 356/2025/NĐ-CP.

2.3. Quy trình cung cấp, chuyển giao dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP đều chưa đưa ra định nghĩa cụ thể để phân biệt khi nào được xem là hành vi cung cấp dữ liệu cá nhân và khi nào được xem là chuyển giao dữ liệu cá nhân. Việc phân định hai khái niệm này có ý nghĩa quan trọng trong thực tiễn bởi lẽ khi thực hiện hoạt động chuyển giao dữ liệu cá nhân, ngân hàng sẽ cần đáp ứng một số yêu cầu khắt khe hơn theo quy định tại Điều 7 Nghị định số 356/2025/NĐ-CP, như cần xác lập thỏa thuận chuyển giao dữ liệu cá nhân với các nội dung tối thiểu theo luật định hoặc thiết lập các quy trình chuyển giao nội bộ, các biện pháp kỹ thuật, tiêu chuẩn bảo mật nâng cao.

Điều 15 Luật Bảo vệ dữ liệu cá nhân năm 2025 liệt kê trường hợp cung cấp dữ liệu cá nhân bao gồm:

(i) Cung cấp cho chủ thể dữ liệu theo yêu cầu của chính chủ thể dữ liệu; (ii) Cung cấp cho cơ quan, tổ chức, cá nhân khác khi được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác. Bên cạnh đó, Điều 18 Luật Dữ liệu năm 2024 cũng quy định thêm các trường hợp cung cấp dữ liệu, trong đó có: (iii) Cung cấp dữ liệu cho cơ quan nhà nước không cần sự đồng ý của chủ thể dữ liệu; và (iv) Cung cấp dữ liệu cho cơ quan nhà nước vì lợi ích chung. Trong khi đó, Điều 17 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp: (i) Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu; (ii) Chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập; (iii) Chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp tái cấu trúc hoặc kế thừa hoạt động của tổ chức, doanh nghiệp theo quy định của pháp luật; (iv) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định; (v) Chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền; (vi) Chuyển giao dữ liệu cá nhân trong các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu.

Đáng chú ý, khoản 6 Điều 7 Nghị định số 356/2025/NĐ-CP quy định: “Cơ quan, tổ chức, cá nhân thực hiện cung cấp dữ liệu cá nhân theo khoản 2 Điều 15 của Luật Bảo vệ dữ liệu cá nhân dựa trên từng yêu cầu cụ thể của chủ thể dữ liệu thì không được coi là chuyển giao dữ liệu và không phải thực hiện theo quy định tại Điều này”.

Từ các quy định nêu trên, có thể thấy rằng, cung cấp dữ liệu cá nhân sẽ thiên về yếu tố “phát sinh trên một yêu cầu cụ thể của chủ thể dữ liệu hoặc bên thứ ba và ít gắn liền với mục đích xử lý ban đầu của bên cung cấp”, trong khi chuyển giao dữ liệu cá nhân sẽ thiên về yếu tố “bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chủ động chuyển giao hoặc chuyển giao theo yêu cầu và thường gắn với mục đích xử lý ban đầu của bên chuyển giao”. Chính sự khác biệt này lý giải vì sao pháp luật đặt ra những yêu cầu chặt chẽ hơn đối với hoạt động chuyển giao dữ liệu cá nhân. Tuy nhiên, không loại trừ một trường hợp có thể vừa được coi là cung cấp, vừa là chuyển giao dữ liệu cá nhân. Chẳng hạn, khi ngân hàng gửi thông tin xác nhận tài khoản cho chính khách hàng hoặc người được ủy quyền, bên nhận có toàn quyền quyết định việc sử dụng thông tin, nên tình huống này thường được xem là cung cấp dữ liệu cá nhân.

Ngược lại, nếu ngân hàng chia sẻ thông tin tài khoản với ngân hàng đối tác để thực hiện giao dịch thanh toán, hoặc gửi thông tin khách hàng cho nhà cung cấp giải pháp xác thực sinh trắc học hay dịch vụ chữ ký số, đơn vị dập thẻ để dập thẻ ghi nợ, thẻ tín dụng cho khách hàng thì việc xử lý dữ liệu thường gắn với một mục đích đã được xác định rõ giữa các bên. Do đó, các trường hợp này nên được coi là chuyển giao dữ liệu cá nhân.

Một tình huống khác, chẳng hạn, một công ty tìm kiếm, giới thiệu khách hàng thực hiện gửi thông tin khách hàng cho ngân hàng để thẩm định cấp tín dụng cho khách hàng, lúc này có thể được xem là chuyển giao dữ liệu cá nhân nếu giữa ngân hàng và đơn vị gửi thông tin có ký thỏa thuận về dịch vụ giới thiệu khách hàng nhằm xác định rõ mục đích chuyển giao. Tuy nhiên, cũng là công ty đó gửi thông tin của khách hàng cho ngân hàng, nhưng họ thực hiện trên cơ sở chỉ định của khách hàng, giữa ngân hàng và đơn vị gửi thông tin không tồn tại một thỏa thuận nào về giới thiệu khách hàng, lúc này mối quan hệ giữa hai bên có vẻ đơn thuần là hoạt động cung cấp dữ liệu cá nhân.

Tuy vậy, pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam hiện nay vẫn chưa có quy định rõ ràng về trường hợp chuyển giao từ bên kiểm soát dữ liệu cá nhân này sang bên kiểm soát dữ liệu cá nhân khác, chẳng hạn như khi khách hàng muốn đổi ngân hàng cung cấp dịch vụ cho khách hàng. Trong khi đó theo Điều 20 của GDPR, trường hợp này có thể được xem là chuyển dịch, chuyển giao dữ liệu cá nhân, tuy nhiên nội hàm của điều khoản này có phần hơi khác so với quy định về chuyển giao dữ liệu cá nhân trong pháp luật Việt Nam.

Trên thực tế, có nhiều tình huống phức tạp và gây khó khăn cho các ngân hàng xác định đúng hoạt động của mình là cung cấp hay chuyển giao dữ liệu cá nhân. Nếu xác định sai sẽ dẫn đến hậu quả không tuân thủ đúng các yêu cầu của pháp luật. Do đó, trong thời gian tới, phía cơ quan nhà nước cần có hướng dẫn rõ hơn về nội dung này.

3. Một số kiến nghị

Thứ nhất, về khung pháp lý quy định về bảo vệ dữ liệu cá nhân. Các cơ quan nhà nước có thẩm quyền cần tiếp tục rà soát, hoàn thiện và có cẩm nang hoặc các hướng dẫn chung một cách rõ ràng hơn nhằm bảo đảm tính thống nhất trong thực thi và đồng bộ trong hệ thống pháp luật, như: (i) Rà soát lại cách phân loại dữ liệu cá nhân, đặc biệt là dữ liệu cá nhân nhạy cảm trong lĩnh vực ngân hàng; (ii) Có hướng dẫn rõ hơn về yếu tố “tự nguyện và biết rõ”, “đồng ý mặc định và đồng ý với từng mục đích” cần được hiểu như thế nào khi xin sự đồng ý của chủ thể dữ liệu; (iii) Rà soát lại quy định về độ tuổi khi xin sự đồng ý của chủ thể dữ liệu là trẻ em; (iv) Có hướng dẫn rõ hơn về cách thành văn tại Điều 17 Luật Bảo vệ dữ liệu cá nhân năm 2025 nhằm tránh gây hiểu nhầm theo hướng chuyển giao dữ liệu cá nhân “được thực hiện” một cách hợp pháp ngay cả khi có thể không có sự đồng ý của chủ thể dữ liệu; (v) Có hướng dẫn rõ hơn các trường hợp cung cấp và chuyển giao dữ liệu cá nhân nhằm tránh các trường hợp vận dụng quy định pháp luật khác nhau cho cùng một tình huống tương tự nhau.

Thứ hai, về mô hình quản trị dữ liệu cá nhân khách hàng trong hoạt động ngân hàng. Có thể tham khảo cách phân loại nêu tại Điều 27 Luật Dữ liệu năm 2024, cụ thể là xây dựng mô hình quản trị dữ liệu cá nhân theo bốn nhóm chính, bao gồm: (i) Xây dựng chính sách, quy trình nội bộ và các biểu mẫu liên quan nhằm tuân thủ đúng quy định pháp luật về bảo vệ dữ liệu cá nhân, trong đó lưu ý đến cơ chế đảm bảo việc thực hiện quyền của chủ thể dữ liệu; (ii) Xây dựng cơ chế quản lý, giám sát hoạt động xử lý dữ liệu cá nhân; (iii) Xây dựng, triển khai các giải pháp kỹ thuật trong hoạt động xử lý dữ liệu cá nhân; (iv) Xây dựng, phát triển, quản lý nguồn nhân lực, đặc biệt nên xây dựng bộ phận về bảo vệ dữ liệu cá nhân theo hướng chuyên môn hóa, cũng như cần xây dựng, nâng cao văn hóa doanh nghiệp trong bảo vệ dữ liệu cá nhân.

Thứ ba, khi xin sự đồng ý của chủ thể dữ liệu, ngân hàng phải bảo đảm sử dụng ngôn ngữ rõ ràng và dễ hiểu, không nên sử dụng các chính sách bảo mật dài dòng, khó hiểu hoặc chứa nhiều thuật ngữ pháp lý phức tạp. Sự đồng ý phải rõ ràng, đầy đủ thông tin tối thiểu theo quy định, bảo đảm tính tự nguyện và biết rõ, đồng ý với từng mục đích của chủ thể dữ liệu, cũng như tránh các trường hợp mặc định đồng ý. Trường hợp thực hiện giao dịch liên quan đến trẻ em cần có thêm sự đồng ý từ người đại diện theo pháp luật về trẻ em.

Nếu hợp đồng, biểu mẫu chứa nhiều nội dung không liên quan đến việc đồng ý xử lý dữ liệu cá nhân, thì phần liên quan đến sự đồng ý nên được trình bày nổi bật, rõ ràng hoặc trong một tài liệu riêng biệt. Tương tự, nếu sự đồng ý được xin bằng phương tiện điện tử, yêu cầu này nên riêng biệt và độc lập, không nên chỉ là một đoạn trong điều khoản, điều kiện chung. Trong trường hợp màn hình nhỏ hoặc không gian hiển thị hạn chế, có thể sử dụng cách trình bày nhiều lớp để tránh ảnh hưởng tiêu cực đến trải nghiệm người dùng, đặc biệt cần tránh thiết kế giải pháp xin sự đồng ý theo dạng consent wall (bức tường đồng ý)³⁰.

¹ GDPR được ban hành ngày 27/4/2016, có hiệu lực từ ngày 25/5/2018.

² ThS. Bạch Thị Nhã Nam có phân tích như sau: “Hiến pháp năm 2013 đã ghi nhận quyền riêng tư, cụ thể là quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình. Tiếp theo đó, cùng cách tiếp cận dưới góc độ quyền con người, lĩnh vực pháp luật dân sự ghi nhận quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình như một loại quyền nhân thân. Pháp luật hành chính và pháp luật hình sự tiếp cận việc bảo vệ dữ liệu cá nhân dưới góc độ bảo vệ quyền con người thông qua việc quy định các chế tài hành chính, chế tài hình sự đối với các hành vi xâm phạm dữ liệu cá nhân […]”. Bạch Thị Nhã Nam, “Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân”, Tạp chí Nghiên cứu Lập pháp, số 05 (453), tháng 03/2022, trang 50-51.

³ Điều 1 Luật Dữ liệu năm 2024 quy định về phạm vi điều chỉnh như sau: “Luật này quy định về dữ liệu số; xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu số...”.

⁴ Xem thêm mục (1) phần căn cứ ban hành (Whereas) của GDPR.

⁵ Điều 7 của Hiến chương về Quyền Cơ bản của Liên minh châu Âu quy định: “Everyone has the right to respect for his or her private and family life, home and communications” (Tạm dịch: "Mọi người đều có quyền được tôn trọng đời sống riêng tư và đời sống gia đình của mình, nơi ở và các phương tiện liên lạc”).

⁶ Xem thêm Điều 6 (Lawfulness of processing/Tính hợp pháp về xử lý dữ liệu) của GDPR.

⁷ Xem thêm khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân năm 2025.

⁸ Xem thêm Điều 5 Nghị định số 356/2025/NĐ-CP.

⁹ Xem thêm Điều 27, khoản 1 Điều 37 Luật Bảo vệ dữ liệu cá nhân năm 2025 và Điều 8 Nghị định số 356/2025/NĐ-CP.

¹⁰ Xem thêm Điều 33 Luật Bảo vệ dữ liệu cá nhân năm 2025 và Điều 13 Nghị định số 356/2025/NĐ-CP.

¹¹ Xem thêm Điều 23, Điều 27 Luật Bảo vệ dữ liệu cá nhân năm 2025 và Điều 8, Điều 29 Nghị định số 356/2025/NĐ-CP.

¹² Xem thêm Điều 20, Điều 21 Luật Bảo vệ dữ liệu cá nhân năm 2025 và Điều 17, Điều 19 Nghị định số 356/2025/NĐ-CP.

¹³ Xem thêm khoản 1 Điều 15 Luật Dữ liệu năm 2024.

¹⁴ Hiện nay, hành vi vi phạm về truy cập, tiết lộ, mua bán dữ liệu cá nhân trái phép có thể bị xử lý hình sự theo Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung theo văn bản hợp nhất số 135/VBHN-VPQH ngày 05/9/2025), ví dụ như Điều 159 về “tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác”; Điều 288 về “tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”; Điều 290 về “tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản”; Điều 291 về “tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng”.

¹⁵ Báo Điện tử Vietnam+, "Ngân hàng lớn nhất Italy bị phạt nặng vì chuyển giao dữ liệu bất hợp pháp", https://www.vietnamplus.vn/ngan-hang-lon-nhat-italy-bi-phat-nang-vi-chuyen-giao-du-lieu-bat-hop-phap-post1098753.vnp, truy cập ngày 15/3/2026.

¹⁶ Spanish Data Protection Authority (AEPD) imposes fine of 6.000.000 EUR on CAIXABANK, S.A., https://www.edpb.europa.eu/news/national-news/2021/spanish-data-protection-authority-aepd-imposes-fine-6000000-eur-caixabank_en, truy cập ngày 15/3/2026

¹⁷ Privacy News 18/12/2020, https://cedpo.eu/1985-2, truy cập ngày 15/3/2026.

¹⁸ Details Page for ETid 2840, https://www.enforcementtracker.com/ETid-2840, truy cập ngày 15/3/2026.

¹⁹ Italy privacy watchdog fines Unicredit $3.1 million for data breach, https://www.reuters.com/business/finance/italy-privacy-watchdog-fines-unicredit-31-million-data-breach-2024-03-07/, truy cập ngày 15/3/2026.

²⁰ Details Page for ETid 2377, https://www.enforcementtracker.com/ETid-2377, truy cập ngày 15/3/2026.

²¹ Polish SA: administrative fine of 928 498,06 € for failure to inform data breach victims, https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-928-49806-eu-failure-inform-data-breach_en, truy cập ngày 15/3/2026.

²² Details Page for ETid 1856, https://www.enforcementtracker.com/ETid-1856, truy cập ngày 15/3/2026.

²³ Troska o dane osób ważniejsza niż interes administratora, https://uodo.gov.pl/pl/138/3049, truy cập ngày 15/3/2026.

²⁴ Imposition of a fine on a bank for an incident of personal data breach, https://www.edpb.europa.eu/news/national-news/2025/imposition-fine-bank-incident-personal-data-breach_en, truy cập ngày 15/3/2026.

²⁵ Nguyễn Văn Minh, Quy định về bảo vệ dữ liệu cá nhân trong hoạt động của tổ chức tín dụng tại Việt Nam, Tạp chí Khoa học Pháp lý Việt Nam, số 11(183)/2024, tháng 11/2024, trang 106.

²⁶ Nguyễn Văn Minh, Quy định về bảo vệ dữ liệu cá nhân trong hoạt động của tổ chức tín dụng tại Việt Nam, Tạp chí Khoa học Pháp lý Việt Nam, số 11(183)/2024, tháng 11/2024, trang 110.

²⁷ Ủy ban Cạnh tranh Quốc gia xử phạt vi phạm hành chính đối với Công ty Cổ phần Tập đoàn VNG (Zalo), https://vcc.gov.vn/default.aspx?page=news&do=detail&id=301efa2c-02d6-4df6-9b57-2291a6293060p, truy cập ngày 15/3/2026.

²⁸ EDPB, Guidelines 5/2020 on consent under Regulation 2016/679, Version 1.1, 2020, trang 11 (Ủy ban Bảo vệ Dữ liệu châu Âu, Ấn phẩm hướng dẫn về sự đồng ý khi xử lý dữ liệu cá nhân theo Quy định 2016/679, Phiên bản 1.1, 2020, trang 12, trang 33).

²⁹ Nguyễn Văn Hiển, “Nguyên tắc áp dụng pháp luật trong trường hợp các văn bản do cùng một chủ thể ban hành có quy định khác nhau về cùng một vấn đề”, Tạp chí Nghiên cứu Lập pháp, số 07 (407), tháng 4/2020.

³⁰ Xem thêm European Data Protection Board, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.1, 2020 (Ủy ban Bảo vệ Dữ liệu châu Âu, Ấn phẩm hướng dẫn về sự đồng ý khi xử lý dữ liệu cá nhân theo Quy định 2016/679, Phiên bản 1.1, 2020.

Tài liệu tham khảo:

1. Bộ luật Dân sự năm 2015.

2. Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung theo văn bản hợp nhất số 135/VBHN-VPQH ngày 05/9/2025).

3. ComplyCloud và CIT Law Firm, ComplyCloud EU GDPR Casebook 2023, ISSN 2794-6215, 2023 (Hãng Luật CIT và ComplyCloud, Sổ tay 2023 tổng hợp tranh chấp theo GDPR của EU, Số phát hành ISSN 2794-6215, 2023).

4. Charter of Fundamental Rights of the European Union No. 2000/C 364/01 (Hiến chương về Quyền Cơ bản của Liên minh châu Âu số 2000/C 364/01).

5. Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam ngày 28/11/2013 (sửa đổi, bổ sung theo Nghị quyết số 203/2025/QH15 ngày 16/6/2025 của Quốc hội).

6. Luật Các tổ chức tín dụng năm 2024 (sửa đổi, bổ sung năm 2025).

7. Luật Dữ liệu năm 2024.

8. Luật Bảo vệ dữ liệu cá nhân năm 2025.

9. Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.

10. Nghị định số 165/2025/NĐ-CP ngày 30/6/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Dữ liệu.

11. Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân.

12. Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 quy định về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài.

13. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (GDPR ban hành ngày 27/4/2016).