Pháp luật về bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành Ngân hàng

Tóm tắt: Xu hướng chuyển đổi số đem đến nhiều cơ hội phát triển cho ngành Ngân hàng nhưng cũng tiềm ẩn rủi ro, một trong số đó là rủi ro xâm phạm dữ liệu cá nhân của khách hàng. Mặc dù quá trình xây dựng và thực thi pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng nói riêng đã có cải thiện, tuy nhiên những hạn chế, bất cập là điều không thể tránh khỏi. Bài viết tập trung phân tích thực trạng pháp luật về bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành Ngân hàng ở Việt Nam hiện nay, từ đó đưa ra một số kiến nghị, giải pháp hoàn thiện.

Từ khóa: Bảo vệ dữ liệu cá nhân, chuyển đổi số ngành Ngân hàng, hoàn thiện pháp luật.

LAWS ON PERSONAL DATA PROTECTION IN THE CONTEXT OF DIGITAL TRANSFORMATION IN THE BANKING INDUSTRY

Abstract: The transformation trend opens numerous development opportunities for the banking industry but also entails potential risks, including violating customers’ data. Although developing and enforcing personal data protection laws in the banking industry has improved, limitations are nevertheless inevitable. The article focuses on analyzing the law on personal data protection in the current trend of digital transformation in Vietnamese banking industry, thereby providing several recommendations and complete solutions.

Keywords: Personal data protection, digital transformation of the banking industry, improving the law.

1. Chuyển đổi số ngành Ngân hàng và yêu cầu bảo vệ dữ liệu cá nhân

Trong thập kỷ qua, sự phát triển mạnh mẽ của môi trường số, nổi lên là các công nghệ như trí tuệ nhân tạo, Internet vạn vật, dữ liệu lớn, chuỗi khối… đã làm thay đổi hoàn toàn hệ sinh thái ngành tài chính nói chung và ngành Ngân hàng nói riêng. Sự tham gia của các công ty hoạt động trong lĩnh vực công nghệ thông tin cung cấp các dịch vụ tài chính, hay còn gọi là các doanh nghiệp Fintech, đã thổi làn gió mới vào thị trường với những giải pháp công nghệ trong lĩnh vực tài chính. Fintech thực sự cung cấp dịch vụ như những ngân hàng, thậm chí có thể hiệu quả hơn bởi công nghệ, nhưng theo một cách khác biệt và riêng rẽ (Giorgio và cộng sự, 2017). Bên cạnh đó, theo IDC Infobrief (2021), sự tác động không nhỏ của đại dịch Covid-19, việc hạn chế giao tiếp đã thúc đẩy sự thay đổi nhanh chóng của các giao dịch thanh toán (ngân hàng tăng trưởng trung bình ít nhất 50% các giao dịch điện tử trong năm 2019 - 2020).

Có thể thấy rằng, dưới sự tác động mạnh mẽ của cuộc Cách mạng công nghiệp lần thứ tư tới chính sách phát triển của các quốc gia, chuyển đổi số ngày càng đóng vai trò quan trọng trong nền kinh tế toàn cầu. Các quốc gia đã và đang cạnh tranh trên phạm vi toàn cầu để có vị thế về công nghệ số. Việt Nam đã tham gia “cuộc đua” khi coi chuyển đổi số là một trong những mục tiêu trọng tâm trong Chiến lược phát triển kinh tế - xã hội 10 năm (2021 - 2030). Quyết định số 749/QĐ-TTg ngày 03/6/2020 của Thủ tướng Chính phủ phê duyệt Chương trình “Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030” nêu rõ, một trong những lĩnh vực có tác động xã hội, liên quan hằng ngày tới người dân cần ưu tiên chuyển đổi số, trước tiên là ngành tài chính - ngân hàng.

Với vai trò là huyết mạch của nền kinh tế, cung ứng những dịch vụ thiết yếu và nền tảng, thúc đẩy cho các ngành kinh tế phát triển, ngành Ngân hàng xác định chuyển đổi số không còn là xu hướng, mà là bắt buộc. Chuyển đổi số trong ngân hàng là việc tích hợp số hóa và công nghệ số vào mọi lĩnh vực ngân hàng. Trước hết là việc ứng dụng các công cụ phân tích dữ liệu lớn và trí tuệ nhân tạo sẽ hỗ trợ ngân hàng trong giám sát hành vi khách hàng và phát hiện gian lận, từ đó giảm thiểu các tổn thất tài chính (Rami Hafar, 2024). Chuyển đổi số giúp ngân hàng tiết kiệm chi phí và hợp lý hóa quy trình hoạt động. Sự tích hợp này cũng mang lại trải nghiệm khách hàng dễ dàng và hấp dẫn hơn. Công nghệ như Chatbot và trí tuệ nhân tạo giúp ngân hàng cung cấp dịch vụ nhanh chóng, cá nhân hóa hơn, đồng thời tăng cường khả năng tự phục vụ của khách hàng (Kanerika, 2024).

Với những ưu điểm của chuyển đổi số, Chiến lược phát triển công nghệ thông tin ngành Ngân hàng Việt Nam đến năm 2025, định hướng đến năm 2030 đặt ra mục tiêu cụ thể đối với toàn Ngành: “Thực hiện thành công kế hoạch chuyển đổi số trong ngành Ngân hàng”; các ngân hàng “chuẩn hóa hoạt động, nghiệp vụ ngân hàng trên nền tảng công nghệ... phát triển các dịch vụ ngân hàng số trên không gian mạng”.

Bên cạnh việc đem lại nhiều cơ hội kinh doanh, chuyển đổi số cũng đặt ra những mối đe dọa và rủi ro mới. Trong lĩnh vực ngân hàng, các nghiên cứu đã chỉ ra rằng, không chỉ lượng dữ liệu tăng lên mà giá trị tương ứng của tài sản số cũng gia tăng. Thông tin nhạy cảm của khách hàng, tài sản sở hữu trí tuệ và thậm chí việc kiểm soát các máy móc chủ chốt đều xuất hiện ngày càng nhiều dưới dạng số hóa và điện tử. Điều này khiến các ngân hàng trở thành mục tiêu của hacker chuyên nghiệp; sự tấn công ảnh hưởng đến những tài sản này có khả năng tác động mạnh mẽ đến hoạt động kinh doanh của ngân hàng (Trung B.H., 2023).

Nghiên cứu của Viện Nghiên cứu Tài chính quốc tế (IIF) và Công ty Kiểm toán E&Y (2021) tiến hành tại 33 nước với sự tham gia của 88 tổ chức tài chính cho thấy, trong 10 nhóm rủi ro lớn nhất mà ngành Ngân hàng phải đối mặt trong 5 năm tới, có 7 nhóm rủi ro liên quan đến chuyển đổi số. Báo cáo của RSA (2019) đã chỉ ra 7 lĩnh vực của quản trị rủi ro số tại các ngân hàng thương mại hiện nay, trong đó rủi ro liên quan đến quản lý dữ liệu và bảo mật quyền riêng tư là một trong số đó.

Trong trường hợp khác, khi tiến hành chuyển đổi số, các ngân hàng buộc phải mở rộng hệ sinh thái; để kết nối với bên thứ ba, ngân hàng sẽ cần chia sẻ dữ liệu cá nhân của khách hàng. Rủi ro đặt ra là bên thứ ba có thể bị tấn công và ngân hàng sẽ bị tấn công ngược lại. Điển hình là vụ việc xảy ra tại Flagstar Bank của Mỹ. Tháng 6/2022, Flagstar Bank thông báo vụ tấn công vào hệ thống làm lộ lọt thông tin cá nhân của trên 1,5 triệu khách hàng. Các thông tin bị đánh cắp là thông tin định danh cá nhân như tên, địa chỉ, số an sinh xã hội... (Anna Hrushka, 2022). Đây không phải là lần đầu tiên Flagstar Bank bị tấn công. Trước đó, vào cuối năm 2020, ngân hàng này cũng bị tấn công mã độc tống tiền gây lộ lọt dữ liệu cá nhân nhạy cảm, phải nộp phạt và bồi thường trên 5,9 triệu USD (Chí Tín, 2022).

Tại Việt Nam, trong những năm gần đây, các định chế tài chính đã phối hợp với đối tác (bên thứ ba, như các công ty Fintech) để hình thành “hệ sinh thái số” trong cung cấp dịch vụ đáp ứng nhu cầu ngày càng gia tăng của khách hàng trên nền tảng số. Vấn đề đặt ra là kẻ gian thường tấn công vào bên thứ ba và từ đó tấn công ngược lại các tổ chức tài chính - ngân hàng. Thực tế này đã xảy ra từ hàng chục năm trước, hiện ngày càng phổ biến với khái niệm “tấn công vào chuỗi cung ứng”. Trong khi đó, kết quả khảo sát an toàn dữ liệu cá nhân tại Việt Nam được PwC thực hiện năm 2021 cho thấy, từ nhận thức đến quy trình ứng phó sự cố/vi phạm dữ liệu, quy trình quản lý rủi ro đối với bên thứ ba đều còn ở mức khá thấp (Đỗ Phạm, 2022).

Từ các lý do trên, để có thể phát triển nhanh, mạnh, hiệu quả và phù hợp với xu hướng phát triển công nghệ trong lĩnh vực ngân hàng, việc nghiên cứu, hoàn thiện khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành Ngân hàng là vô cùng cần thiết. Chỉ thông qua việc hoàn thiện pháp luật, các tổ chức tín dụng mới có cơ hội phát triển việc cung ứng sản phẩm, dịch vụ ngân hàng trên nền tảng công nghệ số để gia tăng khả năng tiếp cận dịch vụ tài chính của người dân và doanh nghiệp, bảo đảm yêu cầu về kiểm soát rủi ro, bảo vệ quyền lợi của các bên liên quan, đồng thời, xây dựng cơ chế quản lý giám sát phù hợp với bối cảnh Việt Nam và chuẩn mực chung, theo thông lệ tốt của thế giới.

2. Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành Ngân hàng

Bảo mật dữ liệu cá nhân trong xu hướng chuyển đổi số ngành Ngân hàng là một vấn đề rất phức tạp, vì liên quan đến lợi ích của khách hàng, nghĩa vụ của tổ chức tín dụng và các bên thứ ba muốn tiếp cận thông tin đó để đáp ứng mục đích của họ. Vì vậy, pháp luật ngân hàng phải là phương tiện để nhà nước điều hòa lợi ích giữa các chủ thể có liên quan, bảo đảm cho xã hội phát triển hài hòa và ổn định.

Về thực trạng quy định pháp luật: Ngoài các văn bản như Hiến pháp năm 2013, Bộ luật Dân sự năm 2015, Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018, Luật Các tổ chức tín dụng năm 2024… quy định liên quan đến an toàn dữ liệu cá nhân còn tập trung tại các văn bản quy phạm pháp luật như: Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng; Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân. Đây được coi là khung pháp lý quan trọng trong việc điều chỉnh vấn đề về bảo vệ dữ liệu cá nhân.

Đối với lĩnh vực ngân hàng, do có những đặc thù trong quá trình tiến hành hoạt động, vấn đề bảo vệ dữ liệu cá nhân cũng được điều chỉnh riêng tại Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 của Chính phủ về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài. Gần đây nhất, trước bối cảnh chuyển đổi số mạnh mẽ, Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) ban hành Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng, trong đó nêu rõ, đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm: Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật; thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che giấu để bảo đảm tính bí mật; thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập; có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng, chống nguy cơ lộ, lọt dữ liệu; thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về NHNN¹.

Có thể thấy, pháp luật đã có những nỗ lực trong việc quy định rõ quyền và nghĩa vụ của các chủ thể và mối quan hệ tương tác giữa các chủ thể trong việc thực hiện nghĩa vụ bảo vệ dữ liệu cá nhân. Quy định pháp luật về bảo mật dữ liệu cá nhân của các tổ chức tín dụng đã tạo lập được hành lang pháp lý cho các chủ thể tham gia hoạt động ngân hàng, đặc biệt là ngân hàng số, thực hiện quyền và nghĩa vụ bảo vệ thông tin, dữ liệu khách hàng. Đồng thời, pháp luật cũng đã quy định rõ về nguyên tắc, thủ tục để tổ chức tín dụng cung cấp thông tin, dữ liệu khách hàng trong những trường hợp luật định và cả trách nhiệm liên quan trong quá trình cung cấp thông tin theo luật định².

Bên cạnh đó, pháp luật về bảo vệ dữ liệu cá nhân cũng quy định các chế tài xử lý vi phạm liên quan khi thông tin khách hàng bị tiết lộ không đúng thẩm quyền và các biện pháp pháp lý để khách hàng có thể bảo vệ quyền lợi của mình khi bị xâm phạm³. Các thiết chế bảo đảm việc thực thi pháp luật bảo vệ dữ liệu, thông tin khách hàng không ngừng được củng cố và tăng cường.

Về cơ bản, pháp luật về bảo vệ dữ liệu cá nhân nói chung và trong xu hướng chuyển đổi số ngành Ngân hàng nói riêng đang dần được hoàn thiện, tuy nhiên không thể tránh khỏi những bất cập, tồn tại trong quá trình xây dựng, thực thi pháp luật trong lĩnh vực này. Trước tiên phải kể đến sự thiếu thống nhất trong cách hiểu về dữ liệu cá nhân. Nội dung về dữ liệu cá nhân được quy định ở nhiều văn bản pháp luật nhưng lại không có khái niệm trực tiếp mà chủ yếu là thông qua các khái niệm như bí mật cá nhân, thông tin cá nhân. Có thể thấy, các dữ liệu cá nhân được pháp luật đề cập và bảo vệ gồm những thông tin để xác định chính xác danh tính một người như: Họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số CMND/CCCD, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác. Việc sử dụng các khái niệm chưa thống nhất, hay thậm chí là cách giải thích chưa thống nhất của các văn bản pháp luật hiện nay cho thấy pháp luật Việt Nam chưa bao phủ hết, nói cách khác là chưa theo kịp sự phát triển của công nghệ thông tin trong việc khai thác, nhận dạng và sử dụng các dữ liệu cá nhân khác như: Công nghệ nhận diện khuôn mặt, các dữ liệu sinh trắc như vân tay, mống mắt… (Hiền P.T., 2021). Phạm vi bảo vệ dữ liệu cá nhân theo pháp luật hiện hành ở Việt Nam hiện nay chỉ dừng lại ở việc bảo vệ các dữ liệu, thông tin bị xâm hại trong phạm vi lãnh thổ Việt Nam chứ chưa mang tính phi biên giới.

Tuy đạt được một số thành công nhất định, nhưng nhìn chung, pháp luật ngân hàng vẫn chưa phát huy hết vai trò điều chỉnh trong việc bảo vệ các dữ liệu, thông tin của khách hàng. Quy định pháp luật hiện hành về bảo vệ dữ liệu khách hàng trong xu hướng chuyển đổi số còn hạn chế về tính hệ thống dẫn đến chồng chéo, khó khăn trong thực hiện. Phạm vi, giới hạn dữ liệu khách hàng cần được bảo vệ còn chưa được cụ thể hóa. Ngoài ra, vẫn còn chưa quy định rõ ràng về hành vi vi phạm nghĩa vụ bảo vệ dữ liệu, thông tin khách hàng, cũng như chế tài xử lý, cơ chế giải quyết khiếu nại của khách hàng…

Về thực tiễn thi hành pháp luật: Giai đoạn vừa qua, khung pháp lý đối với vấn đề bảo vệ dữ liệu khách hàng trong xu hướng chuyển đổi số của ngành Ngân hàng đã liên tục được hoàn thiện để phù hợp với thực tiễn. Nhờ có sự can thiệp, điều chỉnh của pháp luật nên xã hội đã có sự quan tâm hơn; ngân hàng cũng đã tăng cường hơn các biện pháp để có thể bảo vệ thông tin, dữ liệu của khách hàng.

Chuyển đổi số ngành Ngân hàng dù đạt nhiều kết quả khả quan nhưng trong bối cảnh công nghệ thông tin phát triển mạnh mẽ, hầu hết các ngân hàng đều lưu trữ thông tin, dữ liệu khách hàng trên không gian mạng; trong khi đó, các đối tượng hacker xuất hiện ngày càng tinh vi hơn. Nếu hệ thống bảo mật của ngân hàng bị hacker tấn công (Loan Chi, 2023), khách hàng của ngân hàng có thể mất tiền trong tài khoản; thông tin của khách hàng có thể bị mất cắp, rò rỉ, thậm chí có tình trạng mua, bán thông tin khách hàng làm cho khách hàng lo lắng, không tin tưởng vào giao dịch trực tuyến.

Để khắc phục những hạn chế trong vấn đề bảo vệ thông tin, dữ liệu khách hàng, các cơ quan quản lý nhà nước, ngân hàng và khách hàng cần quan tâm thực thi pháp luật về bảo vệ dữ liệu khách hàng hiệu quả nhất. Chính phủ và NHNN đã cụ thể hóa quy định pháp luật về bảo vệ dữ liệu khách hàng trong hoạt động ngân hàng, nhất là trong xu hướng chuyển đổi số. Thời gian qua, cơ quan nhà nước có thẩm quyền cũng đã không ngừng tiến hành hoạt động thanh tra, giám sát nhằm bảo đảm các tổ chức tín dụng tuân thủ đúng pháp luật về bảo vệ dữ liệu, thông tin khách hàng; đồng thời có thể sớm ngăn chặn, phát hiện kịp thời các sai phạm đối với hoạt động này ở các ngân hàng để đưa ra cách xử lý theo đúng quy định của pháp luật. Tuy nhiên, hoạt động này chưa được triệt để.

Đối với ngân hàng, hoạt động bảo vệ dữ liệu khách hàng luôn được chú trọng bởi lẽ ngân hàng là chủ thể nắm giữ trực tiếp thông tin của khách hàng. Vậy nên, việc các chủ thể này thực hiện tốt bảo vệ thông tin, dữ liệu khách hàng là vô cùng quan trọng. Trong giai đoạn số hóa, hầu hết các ngân hàng đều đã ban hành những quy định nội bộ, liên tục gia tăng các biện pháp bảo vệ dữ liệu khách hàng. Tuy nhiên, một số ngân hàng chưa quan tâm đầu tư vào công nghệ số.

Thực tế cho thấy, thời gian qua, ý thức của khách hàng đối với vấn đề bảo vệ dữ liệu, thông tin đã được nâng cao đáng kể. Khách hàng đã tuân thủ các quy định pháp luật cũng như của các ngân hàng, nâng cao cảnh giác và thực hiện những biện pháp để bảo vệ dữ liệu như cài đặt bảo mật tài khoản ngân hàng, thay đổi mật khẩu các ứng dụng thường xuyên, hạn chế truy cập; thậm chí là chặn các trang web, đường link lạ có thể chứa virus dẫn đến bị đánh cắp dữ liệu. Tuy nhiên, không phải khách hàng nào cũng có ý thức bảo vệ quyền lợi của chính mình. Nhiều khách hàng vẫn còn chủ quan, lơ là trong việc bảo vệ dữ liệu cá nhân trên không gian mạng. Có những trường hợp khách hàng đăng thông tin lên mạng xã hội, hay nhờ người khác truy cập để thực hiện các giao dịch vì cho rằng bảo vệ thông tin của mình là do các ngân hàng thực hiện. Sự thiếu cảnh giác này đã khiến cho không ít người bị mất tài khoản và rút hết sạch tiền.

Thông qua những phân tích trên, có thể thấy, việc thực thi quy định pháp luật về bảo vệ dữ liệu cá nhân trong xu thế chuyển đổi số ngành Ngân hàng đang ngày càng được đề cao. Các chủ thể có liên quan cũng đã nhận thức và hành động đúng đắn đối với vấn đề này. Dù vẫn còn một số bất cập, hạn chế nhưng chắc chắn trong tương lai gần, nhiều giải pháp phù hợp, hiệu quả sẽ được triển khai để bảo vệ tối đa dữ liệu, thông tin khách hàng trong ngân hàng.

3. Một số kiến nghị, giải pháp

Trong thời đại chuyển đổi số hiện nay của ngành Ngân hàng, dữ liệu cá nhân ngày càng được lưu trữ nhiều trên không gian mạng. Việc lưu trữ thông tin qua Internet mặc dù rất nhanh chóng, tiện lợi, số lượng lưu trữ lại vô cùng lớn nhưng nếu các ngân hàng, tổ chức không có những biện pháp bảo vệ đúng đắn, phù hợp thì rất dễ bị kẻ xấu lợi dụng, thực hiện những hành vi vi phạm pháp luật. Từ những lỗ hổng trong quy định pháp luật cũng như trong thực tiễn thi hành các quy định về bảo vệ dữ liệu khách hàng trong xu hướng chuyển đổi số ngành Ngân hàng, bài viết đề xuất một số giải pháp như sau:

Thứ nhất, tiếp tục hoàn thiện các quy định pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng

- Để bảo đảm tính tương thích, đồng bộ với Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, cần tiến hành rà soát, chỉnh sửa để có hướng diễn giải phù hợp đối với cụm từ “dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân”. Theo thống kê của Bộ Công an, trước khi Nghị định số 13/2023/NĐ-CP được ban hành, Việt Nam có tổng cộng 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân, trong đó có: Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 18 nghị định, 4 thông tư và thông tư liên tịch, 1 quyết định của bộ trưởng. Tuy nhiên, tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân và bảo vệ dữ liệu cá nhân (Kỳ Phong, 2023).

- Ngân hàng cần có những quy định cụ thể, bao quát hơn nữa loại thông tin khách hàng; cần phải bảo mật, bổ sung thêm các loại thông tin khách hàng cần bảo mật, chẳng hạn như thông tin: Tình hình tài chính của cá nhân, doanh nghiệp; phương thức sản xuất, kinh doanh của khách hàng… vì đây đều là những thông tin vô cùng quan trọng, nếu bị lộ sẽ gây ảnh hưởng không nhỏ tới khách hàng.

- Cần rà soát, bổ sung quy định cụ thể, rõ ràng đối với những trường hợp được phép cung cấp thông tin khách hàng của các ngân hàng, tổ chức. Đặc biệt, cần làm rõ quy định về chế tài xử lý đối với những hành vi vi phạm nghĩa vụ bảo vệ thông tin, dữ liệu của khách hàng. Cần xây dựng cụ thể cơ chế bảo vệ quyền lợi khách hàng khi những thông tin của họ bị cung cấp không đúng quy định của pháp luật, nhất là đối với nội dung khiếu nại của khách hàng khi nhận thấy có hành vi xâm phạm đến quyền lợi của họ.

Thứ hai, đối với việc bảo đảm thực thi có hiệu quả trong thực tế

Để quy định pháp luật được thực hiện, áp dụng một cách tối đa, các cơ quan nhà nước, ngân hàng, tổ chức cũng như chính khách hàng cần:

- Đối với cơ quan quản lý nhà nước, cần tiếp tục đẩy mạnh công tác thanh tra, kiểm tra, giám sát và phối hợp với các cơ quan, ban, ngành có liên quan để kịp thời phát hiện và xử lý vi phạm; hướng dẫn, hỗ trợ hệ thống ngân hàng nâng cấp hệ thống an ninh, bảo mật ở mức cao; xây dựng các tiêu chuẩn hoặc quy chuẩn về an toàn thông tin theo chuẩn mực quốc tế cho ngành Ngân hàng để có thể triển khai tuân thủ đồng bộ; theo dõi, đánh giá, cập nhật thường xuyên hoạt động bảo mật trong ngân hàng; đẩy mạnh hoạt động tuyên truyền, giáo dục về an toàn thông tin, bảo vệ dữ liệu cá nhân trong hệ thống ngân hàng tới bộ phận dân cư nói chung.

- Đối với các ngân hàng, cần ban hành đầy đủ, chi tiết quy chế nội bộ về bảo vệ dữ liệu khách hàng; chủ động tìm hiểu, học hỏi, áp dụng các giải pháp khoa học công nghệ; đầu tư nâng cấp hệ thống cơ sở hạ tầng kỹ thuật nhằm bảo đảm an toàn cho hệ thống an ninh ngân hàng; chú trọng kiểm soát nội bộ và thường xuyên đưa ra những cảnh báo để khách hàng có thể tự phòng, tránh. Đặc biệt, cần đào tạo, nâng cao chất lượng đội ngũ cán bộ, nhân viên ngân hàng cả về đạo đức và chuyên môn; tăng cường tuyên truyền đối với khách hàng trong việc nâng cao ý thức và trách nhiệm trong việc bảo mật thông tin của chính mình; cảnh báo khách hàng cẩn trọng trong việc cung cấp thông tin cá nhân trên các phương tiện thông tin đại chúng khi giao dịch qua Internet.

- Đối với khách hàng, cần tự nâng cao nhận thức bản thân, có trách nhiệm và hành động đúng đắn để tự bảo vệ quyền, lợi ích của chính mình. Để làm được như vậy, khách hàng cần tìm hiểu rõ, tuân thủ các quy định pháp luật cũng như khuyến cáo của ngân hàng, cẩn trọng và đề cao cảnh giác trên không gian mạng. Khách hàng cần nâng cao ý thức trong sử dụng bất cứ thiết bị kết nối Internet nào để tránh lộ thông tin cá nhân; thường xuyên cập nhật các phương tiện, biện pháp an ninh, bảo mật trên thiết bị của mình, đồng thời tự bảo mật mọi thông tin liên quan đến dịch vụ ngân hàng kỹ thuật số như: Mật khẩu truy cập, mật khẩu giao dịch một lần, mật khẩu truy cập địa chỉ email cá nhân; cẩn trọng với các đường link/website lạ, không cung cấp mã OTP, chi tiết giao dịch sao kê cho bất kỳ đối tượng nào, thường xuyên thay đổi mật khẩu truy cập các dịch vụ ngân hàng kỹ thuật số để bảo vệ toàn bộ giao dịch của bản thân.

4. Kết luận

Với sự phát triển mạnh mẽ của khoa học, công nghệ, pháp luật về bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành Ngân hàng thời gian qua đã thường xuyên được hoàn thiện để phù hợp với thực tế. Tuy nhiên, vẫn tồn tại một số bất cập, hạn chế. Trong thời gian tới, bên cạnh tiếp tục hoàn thiện quy định pháp luật, cơ quan nhà nước có thẩm quyền cùng các chủ thể có liên quan cần tiến hành đồng bộ giải pháp nhằm nâng cao hiệu quả thi hành pháp luật về bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số ngành Ngân hàng. Đây chính là hướng đi quan trọng nhằm bảo vệ lợi ích của khách hàng cũng như uy tín của ngân hàng trong giai đoạn số hóa ở Việt Nam hiện nay.■

¹ Điều 19 Thông tư số 50/2024/TT-NHNN.

² Điều 7 đến Điều 15 Nghị định số 117/2018/NĐ-CP.

³ Xem thêm: Điều 47 Nghị định số 88/2019/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ, ngân hàng (sửa đổi, bổ sung bởi Nghị định số 143/2021/NĐ-CP).

Tài liệu tham khảo:

1. Anna Hrushka (2022), Breach at Flagstar Bank impacts more than 1.5M customers, https://www.bankingdive.com/news/breach-at-flagstar-bank-impacts-more-than-15m-customers/625882/

2. Loan Chi (2023), Hacker chiếm đoạt 10 tỉ đồng từ ngân hàng: Chuyên gia công nghệ nói gì?, https://thanhnien.vn/hacker-chiem-doat-10-ti-dong-tu-ngan-hang-chuyen-gia-cong-nghe-noi-gi-185230705113230354.html

3. Chí Tín (2022), Chuyển đổi số: Ngân hàng đối diện vật cản từ tội phạm công nghệ, https://thoibaotaichinhvietnam.vn/chuyen-doi-so-ngan-hang-doi-dien-vat-can-tu-toi-pham-cong-nghe-114749.html

4. Chính phủ (2018), Nghị định số 117/2018/NĐ-CP về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài.

5. Chính phủ (2019), Nghị định số 88/2019/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ, ngân hàng.

6. Chính phủ (2021), Nghị định số 143/2021/NĐ-CP sửa đổi, bổ sung một số điều của Nghị định số 88/2019/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ, ngân hàng.

7. Đỗ Phạm (2022), Chuyển đổi số phải gắn với bảo vệ dữ liệu cá nhân, https://thoibaonganhang.vn/chuyen-doi-so-phai-gan-voi-bao-ve-du-lieu-ca-nhan-132079.html

8. Huỳnh Dũng (2024), Nan giải xử lý tình trạng tài khoản ngân hàng “bốc hơi”, https://vneconomy.vn/nan-giai-xu-ly-tinh-trang-tai-khoan-ngan-hang-boc-hoi.htm

9. Quỳnh Dương (2022), Bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành Ngân hàng, https://thitruongtaichinhtiente.vn/bao-ve-du-lieu-ca-nhan-trong-xu-huong-chuyen-doi-so-nganh-ngan-hang-42613.html

10. Giorgio Barba Navaretti, Giacomo Calzolari, Alberto Franco Pozzolo (2017), Fintech and Banks: Friends or Foes?, European Economic: banks, Regulation, and Real Sector, Year 3, Issue 2.

11. IDC Infobrief (2021), Báo cáo Fintech và Ngân hàng số 2025 tại châu Á - Thái Bình Dương.

12. IIF and E&Y (2021), Resilient banking: capturing opportunities and managing risks over the long term, 11th annual EY/IIF Global Bank Risk Management Survey.

13. Kanerika (2024), Digital Transformation In Banking: A Guide For Banks And Financial Institutions, https://kanerika.com/blogs/digital-transformation-in-banking/

14. Phạm Thị Hiền (2021), Pháp luật về bảo vệ dữ liệu cá nhân trong nền kinh tế số ở Việt Nam hiện nay”, https://tapchicongthuong.vn/bai-viet/phap-luat-ve-bao-ve-du-lieu-ca-nhan-trong-nen-kinh-te-so-o-viet-nam-hien-nay-85558.htm

15. Nguyễn Thanh Huyền (2024), An toàn dữ liệu cá nhân trong hệ thống ngân hàng thương mại Việt Nam, Tạp chí Tài chính kỳ 1 tháng 4/2024, https://tapchitaichinh.vn/an-toan-du-lieu-ca-nhan-trong-he-thong-ngan-hang-thuong-mai-viet-nam.html

16. Kỳ Phong (2023), Nghị định 13 về bảo vệ dữ liệu cá nhân: Các ngân hàng kiến nghị có thời gian chuyển tiếp khi thực hiện, https://vneconomy.vn/nghi-dinh-13-ve-bao-ve-du-lieu-ca-nhan-cac-ngan-hang-kien-nghi-co-thoi-gian-chuyen-tiep-khi-thuc-hien.html

17. Rami Hafar (2024), Digital Transformation in Banks: Impact and Roadmap, https://www.newmetrics.net/insights/digital-transformation-in-banks-impact-and-roadmap/

18. RSA (2019), Digital risk management in banking, https://static1.squarespace.com/static/

19. Bùi Huy Trung (2023), Quản trị rủi ro số tại các ngân hàng thương mại: Kinh nghiệm của Ngân hàng Trung ương Đức và một số khuyến nghị, https://tapchinganhang.gov.vn/quan-tri-rui-ro-so-tai-cac-ngan-hang-thuong-mai-kinh-nghiem-cua-ngan-hang-trung-uong-duc-va-mot-so-k.html