Quản trị dữ liệu khách hàng của ngân hàng thương mại trong hoạt động bảo hiểm liên kết

Tóm tắt: Bài viết nghiên cứu trách nhiệm quản trị dữ liệu khách hàng của ngân hàng thương mại (NHTM) trong bối cảnh bùng nổ hoạt động Bancassurance tại Việt Nam. Trên cơ sở phân tích dòng chảy dữ liệu đặc thù và những rủi ro hiện hữu, tác giả đối chiếu hệ thống quy định từ Luật Bảo vệ dữ liệu cá nhân năm 2025, Nghị định số 356/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân và Bộ luật Hình sự năm 2015 để đưa ra trách nhiệm pháp lý trong quản trị dữ liệu. Từ đó, nhóm tác giả đề xuất một số khuyến nghị nhằm xây dựng mô hình Bancassurance minh bạch và an toàn.

Từ khóa: Quản trị dữ liệu, Bancassurance, bảo vệ dữ liệu cá nhân, rủi ro nội gián, ngân hàng số.

CUSTOMER DATA GOVERNANCE OF COMMERCIAL BANKS IN BANCASSURANCE ACTIVITIES

Abstract: This article examines the responsibilities of commercial banks in governing customer data in the context of the rapid expansion of Bancassurance activities in Vietnam. Based on an analysis of specific data flows and existing risks, the authors examine and cross-reference the regulatory framework, including the Law on Personal Data Protection 2025, Government Decree No. 356/NĐ-CP dated December 31, 2025 detailing a number of articles and implementation measures of the Law on Personal Data Protection, and the Criminal Code 2015, in order to identify legal responsibilities in data governance. On that basis, the authors propose several recommendations to develop a transparent and secure Bancassurance model.

Keywords: Data governance, Bancassurance, personal data protection, insider risk, digital banking.

1. Tổng quan về quản trị dữ liệu và hoạt động Bancassurance

1.1. Quản trị dữ liệu

Theo Hiệp hội Quản lý dữ liệu quốc tế (Data Management Association - DAMA), quản trị dữ liệu là việc thực thi quyền hạn và sự kiểm soát đối với việc quản lý các tài sản dữ liệu. Dưới góc độ thực thi, quản trị dữ liệu là một khái niệm của quản lý dữ liệu liên quan đến khả năng cho phép một cơ quan, tổ chức bảo đảm rằng chất lượng dữ liệu cao tồn tại trong suốt vòng đời hoàn chỉnh của dữ liệu.

Vận hành quản trị dữ liệu trong tổ chức tín dụng là quá trình chuyển đổi từ sự phân tán, cục bộ sang sự thống nhất và kiểm soát tập trung. Hoạt động này vừa thúc đẩy tính tương tác dữ liệu liên bộ phận, vừa ngăn chặn các rủi ro từ dữ liệu lỗi và hành vi lạm dụng quyền riêng tư. Thay thế cho các hệ thống xử lý giao dịch chuyên biệt và rời rạc trước đây, quản trị dữ liệu xác lập một khung chính sách đồng bộ về phân quyền và giám sát, tạo thế cân bằng giữa khai thác thương mại và bảo mật. Hơn nữa, đây cũng là cơ chế then chốt để đảm bảo tính chuẩn xác trong phân tích dữ liệu và sự tuân thủ nghiêm ngặt các quy định về thu thập, xử lý thông tin.

1.2. Bancassurance

Bancassurance (thuật ngữ ghép từ "Bank" và "Insurance") là mô hình kinh doanh phân phối sản phẩm bảo hiểm thông qua mạng lưới của NHTM. Về bản chất pháp lý, đây là hoạt động đại lý bảo hiểm tổ chức, trong đó ngân hàng sử dụng nguồn lực về chi nhánh, đội ngũ nhân sự và đặc biệt là cơ sở dữ liệu khách hàng để giới thiệu, chào bán và thu phí bảo hiểm cho doanh nghiệp bảo hiểm đối tác.

Cơ chế vận hành Bancassurance dựa trên sự cộng sinh kinh tế giữa hai định chế: Ngân hàng sẽ đóng vai trò là kênh phân phối, giúp gia tăng nguồn thu ngoài lãi thông qua phí hoa hồng và phí dịch vụ, đồng thời hoàn thiện hệ sinh thái dịch vụ tài chính tất cả trong một (One-stop shop) cho khách hàng. Trong khi đó, doanh nghiệp bảo hiểm sẽ được tận dụng uy tín và mạng lưới sẵn có của ngân hàng để tiếp cận tệp khách hàng khổng lồ mà không cần đầu tư quá lớn vào hệ thống đại lý truyền thống, từ đó tối ưu hóa chi phí marketing và tăng trưởng doanh số.

Trong những năm gần đây, hoạt động Bancassurance không còn giới hạn ở các giao dịch tại quầy mà đã có sự chuyển dịch mạnh mẽ sang hai hình thức hiện đại. Mô hình truyền thống nâng cao, nhân viên ngân hàng sẽ trực tiếp tư vấn hoặc phối hợp với chuyên gia bảo hiểm tại chi nhánh để khai thác dữ liệu khách hàng vay vốn hoặc khách hàng ưu tiên. Mô hình Bancassurance số (Digital Bancassurance) sẽ tích hợp sản phẩm bảo hiểm trực tiếp lên ứng dụng ngân hàng số (Mobile Banking/Digital Bank). Theo đó, quy trình từ giới thiệu, thẩm định đến phát hành hợp đồng được thực hiện tự động dựa trên các thuật toán phân tích hành vi và dữ liệu sẵn có của ngân hàng.

1.3. Quản trị dữ liệu khách hàng trong hoạt động Bancassurance

Quản trị dữ liệu trong hoạt động Bancassurance không chỉ là một quy trình kỹ thuật đơn thuần mà là bài toán quản trị sự giao thoa giữa hai hệ sinh thái dữ liệu: Tài chính, ngân hàng và bảo hiểm. Đặc thù của mô hình này tạo ra những dòng chảy thông tin phức tạp, nơi quyền riêng tư của khách hàng thường đứng trước nguy cơ bị đánh đổi bởi các mục tiêu tăng trưởng doanh thu.

Trong mô hình Bancassurance, dữ liệu không nằm yên tại một thực thể mà luân chuyển qua lại giữa ngân hàng (bên kiểm soát dữ liệu) và doanh nghiệp bảo hiểm (bên đồng kiểm soát hoặc bên xử lý dữ liệu). Sự tích hợp hệ thống tạo ra hai dòng chảy chính:

(i) Dòng dữ liệu xuôi từ ngân hàng sang doanh nghiệp bảo hiểm: Ngân hàng chia sẻ thông tin định danh (KYC), thói quen chi tiêu, số dư tài khoản và xếp hạng tín dụng để doanh nghiệp bảo hiểm thực hiện thẩm định rủi ro và nhắm mục tiêu tiếp thị. Đây là dòng dữ liệu tiềm ẩn nhiều rủi ro. Bởi khi dữ liệu đầu vào được thu thập cho các mục đích của ngân hàng (như mở tài khoản), không được kiểm soát chặt chẽ lại được tự động chuyển đổi mục đích sang chào mời bảo hiểm, thẩm định và quản lý hợp đồng bảo hiểm mà không có sự đồng ý của khách hàng.

(ii) Dòng dữ liệu ngược từ doanh nghiệp bảo hiểm về ngân hàng, bao gồm các thông tin về tình trạng sức khỏe, tiền sử bệnh lý và lịch sử bồi thường của khách hàng được trả về hệ thống ngân hàng. Đây là những dữ liệu cá nhân nhạy cảm theo Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 của Chính phủ hướng dẫn thi hành Luật bảo vệ dữ liệu cá nhân. Nếu không được quản lý chặt chẽ, các dữ liệu này có thể bị lạm dụng để đánh giá lại uy tín tín dụng, dẫn đến việc phân biệt đối xử trong cung cấp dịch vụ ngân hàng.

Đứng ở góc độ nghiên cứu, những rủi ro trong quản trị của phía ngân hàng, tác giả sẽ tập trung làm rõ những rủi ro trong dòng dữ liệu xuôi từ ngân hàng sang doanh nghiệp bảo hiểm.

2. Quy định pháp luật về quản trị dữ liệu trong hoạt động Bancassurance

Trong bối cảnh nền kinh tế số, việc quản trị dữ liệu cá nhân tại các tổ chức tín dụng không còn dừng lại ở phạm vi tuân thủ hành chính, mà đã dịch chuyển sang tư duy kiểm soát có hệ thống. Sự điều chỉnh của Luật Bảo vệ dữ liệu cá nhân năm 2025, Nghị định số 356/2025/NĐ-CP và Luật Các tổ chức tín dụng năm 2024, đã xác lập một khuôn khổ pháp lý đa tầng, buộc ngân hàng phải tái cấu trúc toàn bộ quy trình Bancassurance, bao gồm:

Một là, trách nhiệm đảm bảo quyền của chủ thể dữ liệu

Ngân hàng, với tư cách là bên kiểm soát dữ liệu, phải cụ thể hóa các quyền của khách hàng thành những quy trình vận hành tiêu chuẩn. Điều 9 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định rõ về sự đồng ý của chủ thể dữ liệu với cơ chế đồng ý tách biệt và tự nguyện: “Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được”. Trong hoạt động liên kết với bảo hiểm, quy định này đặt ra yêu cầu ngân hàng có trách nhiệm pháp lý, phải tách biệt sự đồng ý xử lý dữ liệu cá nhân cho mục đích ngân hàng và mục đích Bancassurance. Khách hàng phải được trao quyền lựa chọn độc lập: “Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân” (theo Điều 4.1.b), qua đó xóa bỏ sự mặc định trong việc chuyển giao thông tin sang bên thứ ba.

Bên cạnh đó, pháp luật cũng đặt ra yêu cầu thiết lập quy trình phản hồi quyền chủ thể dành cho khách hàng. Ngân hàng phải xây dựng các kênh tiếp nhận và xử lý yêu cầu như: Rút lại sự đồng ý, truy cập hoặc xóa dữ liệu khách hàng một cách kịp thời (Điều 4.5). Yêu cầu này đòi hỏi sự đồng bộ kỹ thuật giữa hệ thống ngân hàng lõi (Core-Banking) và hệ thống của doanh nghiệp bảo hiểm, nhằm đảm bảo xử lý trên toàn hệ thống liên kết ngay khi có yêu cầu từ phía khách hàng.

Đối với việc chuyển giao dữ liệu, liên quan trực tiếp đến hoạt động Bancassurance, Điều 17 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định rõ: “1. Việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp sau đây: a) Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân; b) Chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập”. Như vậy, trong hoạt động Bancassurance, ngân hàng không được phép tự ý chuyển giao dữ liệu sang tổ chức bảo hiểm, mà phải đảm bảo có sự đồng ý “thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được” (Điều 9.3).

Hai là, trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu cá nhân của khách hàng

Việc thu thập, xử lý dữ liệu cá nhân của khách hàng phải đảm bảo “đúng phạm vi, mục đích cụ thể, rõ ràng” và “đảm bảo tính chính xác của dữ liệu cá nhân”, “được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân” (Điều 3 Luật Bảo vệ dữ liệu cá nhân năm 2025). Nguyên tắc “giới hạn mục đích và tối thiểu hóa dữ liệu” yêu cầu phía ngân hàng chỉ được phép khai thác và chuyển giao những dữ liệu thực sự cần thiết cho việc thiết lập giao dịch cụ thể với khách hàng. Vì vậy, việc lạm dụng dữ liệu lịch sử giao dịch nhạy cảm để nhằm mục đích ép buộc bán chéo sản phẩm bảo hiểm là hành vi vi phạm nguyên tắc xử lý dữ liệu cá nhân.

Ba là, ngân hàng có trách nhiệm kiểm soát nội bộ và quản trị rủi ro nội gián

Theo Luật Bảo vệ dữ liệu cá nhân năm 2025, với trách nhiệm kiểm soát nội bộ, ngân hàng phải chịu trách nhiệm đối với các hành vi chiếm đoạt, cố ý làm lộ dữ liệu từ phía nhân viên ngân hàng (Điều 7.7). Điều này đòi hỏi các ngân hàng phải thiết lập cơ chế giám sát đa tầng, áp dụng nguyên tắc quyền truy cập tối thiểu và các biện pháp ghi nhật ký hệ thống để ngăn chặn nguy cơ nhân viên trích xuất tệp khách hàng tiềm năng cho các mục đích tiếp thị bảo hiểm trái quy định.

Bên cạnh việc phòng ngừa rủi ro tiếp cận dữ liệu khách hàng với mục đích cá nhân, pháp luật còn đặt ra quy định nghiêm cấm mọi hành vi mua bán dữ liệu (Điều 7.6). Cụ thể, mọi hình thức chuyển giao dữ liệu khách hàng cho các đại lý bảo hiểm, bên thứ ba mà không có sự đồng ý của chủ thể dữ liệu đều bị coi là hành vi xâm phạm bất hợp pháp. Nhìn chung, việc yêu cầu kiểm soát nội bộ và quản trị rủi ro nội gián là một trong những vấn đề trọng tâm, ngân hàng cần lưu ý trong việc đảm bảo an toàn dữ liệu khách hàng trong liên kết chéo với bảo hiểm. Những lợi ích phía sau việc bán dữ liệu rất dễ là động cơ để các nhân viên ngân hàng lợi dụng, trục lợi từ dữ liệu.

Bốn là, trách nhiệm của ngân hàng khi để xảy ra hành vi vi phạm về an toàn dữ liệu cá nhân của khách hàng

Hiện nay, đối với hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, pháp luật đã quy định việc chịu trách nhiệm cả về hành chính, hình sự và chế tài bồi thường thiệt hại. So với quy định xử phạt tại Nghị định số 13/2023/NĐ-CP, khung hình phạt tại

Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025 cho thấy sự quyết liệt hơn khi đưa ra khung hình phạt, đồng thời có sự tham khảo khung hình phạt của Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR) để đưa ra mức xử phạt hợp lý nhất.

Về khung hình phạt hình sự, Luật Bảo vệ dữ liệu cá nhân năm 2025 không có quy định cụ thể về vấn đề này. Tuy nhiên, Bộ Luật hình sự năm 2015 có những quy định liên quan đến vi phạm về bảo vệ dữ liệu cá nhân như sau: Pháp luật bảo vệ dữ liệu cá nhân quy định hoạt động lưu trữ, xóa, hủy dữ liệu cá nhân sẽ được thực hiện theo yêu cầu của chủ thể dữ liệu hoặc theo quy định của pháp luật. Theo đó, các hành vi tự ý xóa, làm tổn hại hoặc thay đổi dữ liệu điện tử hoặc ngăn chặn trái phép việc truyền tải dữ liệu của mạng máy tính, mạng viễn thông, phương tiện điện tử có thể bị truy cứu trách nhiệm hình sự theo quy định tại Điều 287 Bộ luật Hình sự năm 2015. Mức phạt căn cứ vào thiệt hại thực tế dao động từ “Phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng hoặc phạt tù từ 06 tháng đến 03 năm”; “Phạt tiền từ 200.000.000 đồng đến 1.000.000.000 đồng hoặc phạt tù từ 03 năm đến 07 năm” và nặng nhất là “Phạt tù từ 07 năm đến 12 năm”.

Ngoài ra, pháp luật bảo vệ dữ liệu cá nhân nghiêm cấm hành vi mua bán trái phép dữ liệu cá nhân. Đồng thời, dữ liệu cá nhân chỉ được chỉnh sửa theo yêu cầu của chủ thể dữ liệu hoặc theo quy định của pháp luật. Theo đó, hành vi mua bán trái phép dữ liệu cá nhân có thể bị truy cứu trách nhiệm hình sự về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông theo Điều 288 Bộ luật Hình sự năm 2015. Mức hình phạt cho vi phạm này là “Phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 03 năm”; “Phạt tiền từ 200.000.000 đồng đến 1.000.000.000 đồng hoặc phạt tù từ 02 năm đến 07 năm”.

Bên cạnh đó, việc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Trong lĩnh vực tài chính - ngân hàng, việc thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng của người khác có thể bị truy cứu trách nhiệm hình sự về tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng tại

Điều 291 Bộ luật Hình sự năm 2015. Cụ thể, hình thức xử phạt “Phạt tiền từ 20.000.000 đồng đến 100.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm”, “Phạt tiền từ 100.000.000 đồng đến 200.000.000 đồng hoặc phạt tù từ 03 tháng đến 02 năm” cho đến “Phạt tiền từ 200.000.000 đồng đến 500.000.000 đồng hoặc phạt tù từ 02 năm đến 07 năm”.

Nhìn chung, pháp luật hiện nay đã quy định khung xử phạt hình sự tương đối chặt chẽ cho các hành vi vi phạm quy định về bảo vệ dữ liệu khách hàng tại ngân hàng. Nếu chỉ đánh giá hành vi vi phạm của các cá nhân để trục lợi từ mô hình Bancassurance, việc đặt ra một mức xử phạt tiền như hiện nay còn tương đối thấp. Bởi một sự xâm nhập trái phép vào nguồn dữ liệu ngân hàng sẽ cung cấp trái phép rất nhiều dữ liệu khách hàng, khả năng trục lợi cao hơn rất nhiều so với mức bị xử phạt. Đây là nguyên nhân khiến cho các đối tượng còn coi nhẹ các quy định về đảm bảo dữ liệu khách hàng.

Về khung hình phạt hành chính, Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định: “Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm”, “Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó”, “Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.”

Việc quy định mức độ xử phạt dựa trên quy mô và lợi ích kinh tế, mức 5% (thậm chí còn cao hơn mức xử phạt hiện tại của GDPR là 4%) đối với những hành vi vi phạm cho thấy mức độ răn đe ở mức rất cao so với tiêu chuẩn quốc tế trong phạm trù bảo vệ dữ liệu cá nhân. Đặc biệt, ở góc độ lĩnh vực ngân hàng - bảo hiểm, việc quy định đánh vào lợi ích kinh tế này phần nào triệt tiêu được suy nghĩ lợi dụng chức vụ, quyền hạn để đánh cắp dữ liệu, lợi dụng dữ liệu cá nhân người dùng của nhân viên ngân hàng.

3. Thực trạng thi hành pháp luật về quản trị dữ liệu trong hoạt động Bancassurance

3.1. Những kết quả tích cực

Thứ nhất, các NHTM hiện nay đã nhận thức được tầm quan trọng và xây dựng nhiều giải pháp công nghệ nhằm quản trị dữ liệu hiệu quả. Một số ngân hàng đã bắt đầu thiết lập cấu trúc quản trị chuyên biệt như: NHTM cổ phần Việt Nam Thịnh Vượng (VPBank) thành lập Trung tâm Phân tích Kinh doanh (BICC) từ năm 2013, đồng thời hợp tác với Tập đoàn International Business Machines (IBM) để xây dựng cơ sở dữ liệu lớn; NHTM cổ phần Công thương Việt Nam (VietinBank) thành lập Hội đồng Quản lý Dữ liệu từ năm 2019. VietinBank cũng phát triển Dự án Kho dữ liệu doanh nghiệp (EDW); NHTM cổ phần Quân đội (MB) hợp tác với các Công ty Infosys, Amigo triển khai dự án kho dữ liệu tập trung và công cụ báo cáo quản trị.

Thứ hai, các NHTM đã chú trọng cập nhật quy định về bảo mật và tăng cường công nghệ bảo mật. Việc triển khai xác thực sinh trắc học theo Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) về triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng đã trở thành yêu cầu kỹ thuật hữu hiệu, ngăn chặn các hành vi giả mạo danh tính để trục lợi dữ liệu trong giao dịch bảo hiểm số. Qua đó, góp phần nâng cao mức độ an toàn hệ thống, củng cố niềm tin của khách hàng và thúc đẩy sự phát triển bền vững của hệ sinh thái tài chính số.

Thứ ba, các NHTM đã tăng cường cách thức sử dụng dữ liệu cá nhân thông qua cam kết bảo mật dữ liệu được xác nhận với khách hàng. Việc sử dụng dữ liệu cá nhân cũng được cam kết nằm trong phạm vi phục vụ mục đích tại ngân hàng của khách hàng. Về cơ bản, việc quản trị về chính sách để đảm bảo an toàn dữ liệu cho người dùng đang được các ngân hàng triển khai tương đối hiệu quả.

Thứ tư, khung xử phạt về vi phạm liên quan đến bảo vệ dữ liệu cá nhân đang thể hiện sự quyết liệt răn đe hiệu quả. Với sự thay đổi trong Luật Bảo vệ dữ liệu cá nhân năm 2025, những chế tài mạnh tay đã buộc các ngân hàng nói riêng và các ngân hàng có dịch vụ Bancassurance phải tập trung tuân thủ nghiêm ngặt các quy định về đảm bảo dữ liệu cá nhân, bao gồm những thay đổi về công nghệ, đào tạo con người, nâng cấp hệ thống quản trị toàn diện.

3.2. Một số hạn chế

Thứ nhất, áp lực từ chỉ tiêu bán sản phẩm của ngân hàng và rủi ro nội gián trong thực thi Bancassurance khá lớn. Áp lực doanh số bảo hiểm cực lớn khiến nhân viên ngân hàng thường xuyên vi phạm nguyên tắc "Giới hạn mục đích". Theo dữ liệu thực tế, tình trạng nhân viên lợi dụng quyền truy cập vào hệ thống Core-Banking để lọc danh sách khách hàng dựa trên số dư tài khoản, sau đó tự ý chuyển dữ liệu cho bộ phận Telesales bảo hiểm vẫn diễn ra khó kiểm soát. Nhìn chung, những mắt xích yếu nhất trong hệ thống để đảm bảo an toàn dữ liệu của khách hàng chính là vấn đề con người, bao gồm cả khách hàng và nhân viên ngân hàng.

Thứ hai, việc thu thập ý kiến đồng ý sử dụng dữ liệu của người dùng còn mang tính hình thức. Thực tế triển khai cho thấy, quyền "được đồng ý hoặc không đồng ý" của khách hàng thường bị làm lu mờ bởi các kỹ thuật thiết kế giao diện hoặc lồng ghép điều khoản. Người dùng dưới áp lực thời gian và sự chủ quan, khó nhận biết đã nhanh chóng tìm để nút "Tôi đồng ý" để xử lý xong một thủ tục của ngân hàng. Nhiều ngân hàng vẫn duy trì các bản thỏa thuận xử lý dữ liệu dài hàng chục trang với ngôn ngữ phức tạp, nơi quyền chia sẻ dữ liệu cho đối tác bảo hiểm được đính kèm vào các dịch vụ thiết yếu của ngân hàng. Điều này khiến sự đồng ý của khách hàng mang tính hình thức hơn là tự nguyện thực chất.

Thứ ba, việc giám sát bên thứ ba chưa thực sự chặt chẽ. Trong khi các ngân hàng đang ngày một nâng cao khả năng bảo mật dữ liệu thì các doanh nghiệp bảo hiểm và các đơn vị trung gian khác thường có tiêu chuẩn bảo mật không đồng nhất với ngân hàng. Thực tế cho thấy, dòng dữ liệu từ ngân hàng sang bảo hiểm (và ngược lại) thường được thực hiện qua các kênh tích hợp chưa được kiểm thử định kỳ về khả năng phục hồi. Khoảng trống này khiến dữ liệu nhạy cảm về sức khỏe và tài chính dễ dàng bị lộ lọt khi hệ thống của đối tác gặp sự cố.

4. Một số khuyến nghị nâng cao hiệu quả quản trị dữ liệu trong hoạt động Bancassurance

Thứ nhất, các NHTM cần xây dựng khung chính sách quản trị chặt chẽ, đảm bảo bám sát yêu cầu của NHNN. Các chính sách này cần mang tính hệ thống, có sự phối hợp giữa các khối, bộ phận để mang lại hiệu quả cao, đồng bộ, quy định trách nhiệm cho từng quy trình xử lý dữ liệu và đảm bảo truy xuất rủi ro rõ ràng.

Thứ hai, các NHTM nên bổ sung chức danh vị trí Giám đốc điều hành dữ liệu (CDO). Vị trí CDO cùng với sự tin tưởng và hỗ trợ của Tổng Giám đốc hoặc Chủ tịch Hội đồng quản trị là vị trí quan trọng nhất để có thể triển khai thành công chương trình quản trị dữ liệu. Hiện nay, mới chỉ có số ít ngân hàng chú trọng đến vị trí này, tuy nhiên, nhìn về tương lai, khi dữ liệu sẽ mang lại nguồn tài nguyên khổng lồ cho ngân hàng, việc đầu tư cho một nhánh quản trị chuyên biệt và có trình độ cao, bám sát yêu cầu từ cấp cao như trên là điều tất yếu.

Thứ ba, loại bỏ nguy cơ nội gián bán dữ liệu người dùng. Các NHTM cần chú trọng đến công tác đào tạo bồi dưỡng và tuyên truyền đến cán bộ, nhân viên về quy định và nhất là chế tài của pháp luật liên quan đến trách nhiệm bảo vệ dữ liệu cá nhân của khách hàng, kiên quyết nghiêm cấm việc bán thông tin khách hàng cho bên thứ ba khi chưa được sự đồng ý của chủ thể. Mặt khác, nên đầu tư vào hệ thống thông tin, hạn chế số lượng cá nhân được tiếp cận trực tiếp với dữ liệu khách hàng, đồng thời có thể truy xuất thông tin rò rỉ từ thao tác nào, đến từ vị trí nào.

Thứ tư, tăng cường trách nhiệm trong việc giải thích cụ thể cho khách hàng biết những thông tin khách hàng đồng ý cho ngân hàng sử dụng sẽ được dùng vào mục đích nào. Những giao diện yêu cầu cấp quyền đồng ý sử dụng thông tin trên các ứng dụng cũng cần được cập nhật, chỉnh sửa cho phù hợp, đảm bảo ngắn gọn và rõ ràng, dễ tiếp cận và tiếp nhận cho người dùng. Đồng thời, cần đặt ra yêu cầu về sự đảm bảo an toàn thông tin khi hợp tác với các tổ chức bảo hiểm. Trước khi sử dụng mô hình Bancassurance, ngân hàng cần chủ động đặt ra tiêu chuẩn đảm bảo dữ liệu người dùng được bảo vệ nghiêm ngặt khi chuyển giao sang bên thứ ba. Yêu cầu này sẽ buộc các tổ chức bảo hiểm phải có trách nhiệm đầu tư, quản lý có trách nhiệm cao hơn với luồng dữ liệu được tiếp nhận.

5. Kết luận

Trong bối cảnh kinh tế số, việc quản lý dữ liệu khách hàng đã trở thành điều kiện sống còn đối với hệ thống ngân hàng, không còn là một lựa chọn mang tính bổ trợ. Đặc biệt, hoạt động Bancassurance với sự trao đổi thông tin nhạy cảm giữa lĩnh vực tài chính và bảo hiểm đặt ra yêu cầu cao hơn về cách thức giám sát và điều hành. Để bảo đảm sự phát triển an toàn, bền vững của lĩnh vực tài chính - ngân hàng, việc hoàn thiện cơ chế phối hợp và liên kết giữa các chủ thể giữ vai trò then chốt, tạo sự vận hành thống nhất cho toàn hệ thống. Cùng với đó, cần xây dựng khuôn khổ quản trị dữ liệu đồng bộ, thúc đẩy chia sẻ thông tin theo nguyên tắc kiểm soát chặt chẽ, đồng thời đề cao trách nhiệm giải trình của các bên liên quan nhằm giảm thiểu nguy cơ rò rỉ dữ liệu của khách hàng.

Tài liệu tham khảo:

1. Bộ luật Hình sự năm 2015.

2. E&Y and Tapestry Networks (2018), Data governance: Securing the future of financial services. New York: Financial Services Leadership Summit.

3. Kevin Taylor-Sakyi (2016), Big Data: Understanding Big Data.

4. Luật Bảo vệ dữ liệu cá nhân năm 2025.

5. Nghị định số 356/NĐ-CP ngày 31/12/2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân

6. PwC (2016), Data Governance Survey Results: A European Comparison of Data Management Capabilities in Banks.

7. Rouse, M. (2007), What is data governance and why does it matter? Search Data Management.

8. Stringfellow, A. (2018), Data Governance Best Practices for Banks & Financial Services Companies, NGData.

9. Tạp chí Công thương (2025), “Bancassurance - Mảng kinh doanh tiềm năng cho các NHTM Việt Nam”, https://tapchicongthuong.vn/bancassurance-mang-kinh-doanh-tiem-nang-cho-cac-ngan-hang-thuong-mai-viet-nam-133529.html