Tăng cường quản trị và bảo vệ dữ liệu cá nhân trong hệ thống ngân hàng nhằm kiến tạo niềm tin số

1. Chính sách chuyển đổi số ngành Ngân hàng Việt Nam trong kỷ nguyên dữ liệu

Ở cấp độ Ngân hàng Nhà nước Việt Nam (NHNN)

NHNN đã thể hiện vai trò trung tâm trong việc dẫn dắt tiến trình chuyển đổi số ngành Ngân hàng thông qua việc Thống đốc NHNN ban hành Quyết định số 810/QĐ-NHNN ngày 11/5/2021 về Kế hoạch chuyển đổi số ngành Ngân hàng đến năm 2025, định hướng đến 2030; đồng thời, ngày 11/5 hằng năm cũng được chọn là "Ngày Chuyển đổi số ngành Ngân hàng". Tiếp đó, ngày 03/11/2025 Thống đốc NHNN ban hành Quyết định số 3579/QĐ-NHNN về Chiến lược chuyển đổi số ngành Ngân hàng đến năm 2030. Ngoài ra, NHNN cũng tích cực hoàn thiện hành lang pháp lý cho ngân hàng số, thúc đẩy đầu tư vào hạ tầng công nghệ, kho dữ liệu và các giải pháp an toàn thông tin. Việc ban hành các thông tư, chỉ thị và kế hoạch hành động liên quan đến công nghệ tài chính (Fintech), thanh toán điện tử, xác thực sinh trắc học, dữ liệu lớn, điện toán đám mây và trí tuệ nhân tạo (AI)… đã cho thấy quá trình số hóa trong ngành Ngân hàng đang được triển khai theo hướng vừa đổi mới mạnh mẽ, vừa bảo đảm kiểm soát rủi ro.

Theo đó, hạ tầng dữ liệu của NHNN tiếp tục được củng cố theo hướng tập trung và thông minh hơn. Việc hình thành kho dữ liệu lớn với dung lượng trên 16TB, chứa hơn 40 tỉ dòng dữ liệu, cho thấy ngành Ngân hàng đã bước đầu xây dựng được nền tảng quản trị dựa trên dữ liệu quy mô lớn. Đáng chú ý, hệ thống giám sát các tài khoản thanh toán và ví điện tử nghi ngờ gian lận, giả mạo đã hỗ trợ cảnh báo hơn 2,26 triệu lượt khách hàng, trong đó có hơn 700 nghìn lượt chủ động dừng hoặc hủy giao dịch, qua đó góp phần ngăn chặn nguy cơ thất thoát hơn 2,78 nghìn tỉ đồng. Những con số này cho thấy giá trị thực tiễn của quản trị dữ liệu không chỉ nằm ở tuân thủ mà còn ở khả năng phòng ngừa rủi ro và bảo vệ khách hàng theo thời gian thực.

Ở cấp độ tổ chức tín dụng (TCTD)

Tại các TCTD, tỉ lệ giao dịch thực hiện trên kênh số đã vượt 90%, cho thấy hành vi tài chính của người dân đang thay đổi căn bản. Thanh toán điện tử liên ngân hàng vận hành an toàn, liên tục và thông suốt, trong khi các dịch vụ ngân hàng số, ví điện tử, thanh toán không dùng tiền mặt và xác thực trực tuyến ngày càng trở thành một phần quen thuộc trong đời sống hàng ngày. Từ góc độ phát triển kinh tế, điều này có ý nghĩa đặc biệt quan trọng vì ngân hàng số không chỉ phục vụ nhu cầu giao dịch mà còn tạo nền tảng cho thương mại điện tử, tiêu dùng số, quản trị tài chính cá nhân và mở rộng tiếp cận tài chính toàn diện.

Đặc biệt, Đề án Phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06), trong đó, ứng dụng khai thác Cơ sở dữ liệu quốc gia về dân cư trong hoạt động ngân hàng được triển khai mạnh mẽ. Việc kết nối, làm sạch và xác thực dữ liệu khách hàng thông qua căn cước công dân gắn chip và ứng dụng VNeID đã tạo ra bước tiến lớn trong quản trị nhận diện khách hàng. Đến hết năm 2025, toàn ngành Ngân hàng đã có hơn 143 triệu hồ sơ khách hàng cá nhân (NHNN, 2026). Đây không chỉ là một thành tựu kỹ thuật, mà còn là nền tảng để giảm gian lận, nâng cao độ chính xác của dữ liệu, rút ngắn quy trình phục vụ và mở rộng khả năng tiếp cận dịch vụ tài chính cho người dân. Trong một nền kinh tế số, khả năng xác thực đúng khách hàng nhanh chóng và an toàn chính là điều kiện tiên quyết để ngân hàng phát triển các sản phẩm số quy mô lớn mà vẫn duy trì kiểm soát rủi ro.

Quan trọng hơn, con người là trung tâm của chuyển đổi số. Phong trào “Bình dân học vụ số” do NHNN phát động cho thấy, số hóa không chỉ là đầu tư công nghệ mà còn là quá trình phổ cập năng lực số cho đội ngũ cán bộ và nhân viên toàn hệ thống. Việc hình thành mạng lưới “Đại sứ số” và “Hạt nhân số” tại các đơn vị là một sáng kiến đáng chú ý, giúp chuyển đổi số từ một mệnh lệnh hành chính thành một quá trình lan tỏa năng lực và thay đổi văn hóa tổ chức. Trong dài hạn, năng lực cạnh tranh của ngân hàng số không chỉ phụ thuộc vào nền tảng công nghệ mà còn phụ thuộc vào chất lượng nhân lực số, khả năng quản trị thay đổi và tuân thủ đạo đức dữ liệu của đội ngũ vận hành.

Có thể thấy, chuyển đổi số ngành Ngân hàng Việt Nam đã bước sang một giai đoạn mới, trong đó trọng tâm không còn chỉ là số lượng giao dịch điện tử hay mở rộng kênh số, mà là xây dựng nền tảng dữ liệu an toàn, hạ tầng số tin cậy, mô hình quản trị thích ứng và cơ chế phục vụ lấy người dân làm trung tâm. Chính trong bối cảnh này, vấn đề quản trị và bảo vệ dữ liệu cá nhân trở nên đặc biệt quan trọng, bởi dữ liệu vừa là nguồn lực phát triển, vừa là điểm dễ tổn thương nhất của hệ sinh thái ngân hàng số.

2. Dữ liệu cá nhân trong hoạt động ngân hàng

Tính chất của dữ liệu cá nhân trong hoạt động ngân hàng

Trong lĩnh vực tài chính - ngân hàng, dữ liệu cá nhân có tính chất đặc biệt nhạy cảm vì không chỉ phản ánh danh tính của khách hàng mà còn gắn trực tiếp với quyền tài sản, khả năng tín dụng, lịch sử giao dịch và hành vi tài chính của mỗi cá nhân. Nếu ở nhiều lĩnh vực khác, vi phạm dữ liệu có thể chủ yếu xâm phạm quyền riêng tư, thì trong ngân hàng, sự cố dữ liệu còn có thể kéo theo mất mát tài sản, gian lận, chiếm đoạt tài khoản, làm sai lệch hồ sơ tín dụng và gây tổn hại đến uy tín tài chính của khách hàng. Chính vì vậy, dữ liệu cá nhân trong ngân hàng phải được nhìn nhận không chỉ là dữ liệu hành chính đơn thuần mà là một loại tài sản số có giá trị pháp lý, kinh tế và xã hội rất lớn.

Các nhóm dữ liệu mà ngân hàng thường thu thập ngày càng đa dạng và sâu hơn so với trước đây. Ngoài các thông tin định danh cơ bản như họ tên, ngày sinh, số định danh cá nhân, địa chỉ, số điện thoại, ngân hàng còn nắm giữ dữ liệu tài khoản, lịch sử giao dịch, dữ liệu tín dụng, dữ liệu tài sản bảo đảm, dữ liệu hành vi sử dụng ứng dụng, vị trí truy cập, thiết bị truy cập và cả dữ liệu sinh trắc học phục vụ định danh khách hàng điện tử (eKYC). Khi các sản phẩm ngân hàng số ngày càng cá nhân hóa, ngân hàng còn có xu hướng kết hợp nhiều lớp dữ liệu để đánh giá mức độ rủi ro, thói quen tiêu dùng, nhu cầu tín dụng và hành vi thanh toán của khách hàng. Điều này giúp tăng cường hiệu quả kinh doanh và khả năng phục vụ, đồng thời làm gia tăng mức độ can thiệp vào đời sống riêng tư của cá nhân.

Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật số 91/2025/QH15) có ý nghĩa đặc biệt quan trọng trong việc định hình lại giới hạn pháp lý của hoạt động xử lý dữ liệu trong ngân hàng. Theo đó, các TCTD chỉ được thu thập những dữ liệu cần thiết, phù hợp với mục đích cụ thể và từ các nguồn hợp pháp. Yêu cầu này thể hiện nguyên tắc tối thiểu hóa dữ liệu, tức là ngân hàng không thể viện dẫn lý do “có thể cần trong tương lai” để thu thập quá nhiều dữ liệu. Trong bối cảnh ngân hàng ngày càng số hóa sâu, nguyên tắc này giữ vai trò quan trọng nhằm ngăn ngừa tình trạng tích lũy dữ liệu quá mức, gây tăng rủi ro lộ lọt thông tin và làm xói mòn niềm tin của khách hàng.

Một điểm then chốt khác là việc sử dụng dữ liệu để chấm điểm, xếp hạng hoặc đánh giá tín dụng của khách hàng cá nhân chỉ được tiến hành trên cơ sở có sự đồng ý rõ ràng của chính khách hàng đó. Đây là một quy định có ý nghĩa bảo vệ rất lớn vì chấm điểm tín dụng là hoạt động có tác động trực tiếp đến quyền tiếp cận vốn, mức lãi suất, điều kiện bảo đảm và cơ hội tài chính của mỗi người. Nếu không kiểm soát chặt chẽ, dữ liệu cá nhân có thể bị sử dụng để đưa ra những quyết định bất lợi đối với khách hàng mà khách hàng không biết.

Yêu cầu bảo mật dữ liệu trong hoạt động ngân hàng

Yêu cầu bảo mật dữ liệu trong ngân hàng không chỉ xuất phát từ Luật Bảo vệ dữ liệu cá nhân năm 2025 mà còn được củng cố bởi Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 của Chính phủ về việc giữ bí mật, cung cấp thông tin khách hàng của TCTD, chi nhánh ngân hàng nước ngoài và các quy định chuyên ngành khác. Theo đó, mọi thông tin liên quan đến khách hàng của TCTD phải được giữ bí mật, trừ các trường hợp pháp luật cho phép như phục vụ điều tra, thanh tra, tố tụng hoặc thực hiện nghĩa vụ phòng, chống rửa tiền. Cơ chế này phản ánh nguyên tắc rằng dữ liệu ngân hàng trước hết thuộc phạm vi kiểm soát của khách hàng, còn ngân hàng chỉ là chủ thể được giao quyền lưu giữ và xử lý trong những giới hạn hợp pháp nhất định.

Trong môi trường số, yêu cầu bảo mật không chỉ dừng ở quy định pháp lý mà phải được cụ thể hóa bằng biện pháp kỹ thuật và tổ chức. Ngân hàng cần thiết lập cơ chế mã hóa dữ liệu trong quá trình lưu trữ và truyền tải, phân quyền truy cập theo chức năng, giám sát truy cập nội bộ, phát hiện truy cập bất thường, định kỳ kiểm thử an ninh và có phương án sao lưu, phục hồi dữ liệu. Đặc biệt, trong bối cảnh phần lớn hệ thống ngân hàng hiện nay phụ thuộc vào nhà cung cấp công nghệ, nền tảng điện toán đám mây và đối tác tích hợp, việc quản trị dữ liệu không chỉ tập trung vào “bức tường” kỹ thuật của chính ngân hàng mà còn phải mở rộng ra toàn bộ chuỗi cung ứng số.

Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng đặt ra yêu cầu rõ ràng về xử lý sự cố dữ liệu. Khi xảy ra lộ, mất hoặc vi phạm dữ liệu tài khoản, tài chính, tín dụng của khách hàng, TCTD không chỉ phải báo cáo cơ quan có thẩm quyền mà còn phải thông báo cho chính khách hàng bị ảnh hưởng. Đây là một bước tiến quan trọng, bởi trong thực tiễn, thiệt hại của khách hàng thường tăng nhanh nếu họ không được cảnh báo kịp thời để khóa tài khoản, đổi mật khẩu, giám sát giao dịch hoặc thực hiện các biện pháp bảo vệ khác. Nghĩa vụ thông báo sớm do đó không chỉ là nghĩa vụ hành chính mà còn là nghĩa vụ giảm thiểu thiệt hại.

Tuy nhiên, thách thức lớn hiện nay là ranh giới trách nhiệm ngày càng phức tạp khi ngân hàng hợp tác với bên thứ ba. Nếu dữ liệu bị rò rỉ từ nhà cung cấp dịch vụ công nghệ thông tin, ngân hàng vẫn là chủ thể chịu trách nhiệm chính trước khách hàng với tư cách là bên kiểm soát dữ liệu. Điều này đặt ra yêu cầu rất cao về quản trị hợp đồng, kiểm toán nhà cung cấp, đánh giá an ninh bên thứ ba và cơ chế phân bổ trách nhiệm pháp lý trong chuỗi xử lý dữ liệu. Trong nền kinh tế số, rủi ro dữ liệu không còn là rủi ro nội bộ đơn tuyến mà đã trở thành rủi ro hệ sinh thái.

3. Thách thức về quản trị và bảo vệ dữ liệu cá nhân trong bối cảnh ngân hàng số

Mặc dù chuyển đổi số tạo ra nhiều cơ hội nâng cao hiệu quả hoạt động ngân hàng, nhưng đồng thời cũng làm cho quản trị dữ liệu cá nhân trở nên phức tạp với nhiều thách thức khác nhau.

Một là, sự gia tăng mạnh mẽ của bề mặt rủi ro dữ liệu. Khi ngân hàng chuyển phần lớn hoạt động sang môi trường số, dữ liệu khách hàng không còn chỉ nằm trong hệ thống lõi nội bộ mà phân tán qua ứng dụng di động, cổng thanh toán, nền tảng đám mây, trung gian thanh toán và nhà cung cấp công nghệ. Mỗi điểm kết nối mới đều có thể trở thành một điểm yếu nếu không được quản lý đúng mức.

Hai là, sự bất cân xứng thông tin giữa ngân hàng và khách hàng trong việc hiểu và kiểm soát dữ liệu. Trên thực tế, phần lớn khách hàng đồng ý với các điều khoản xử lý dữ liệu mà không thực sự hiểu dữ liệu của mình sẽ được dùng đến đâu, lưu trong bao lâu, chia sẻ cho ai và ảnh hưởng như thế nào đến quyết định tín dụng hoặc tiếp thị. Trong điều kiện đó, nguyên tắc đồng ý có nguy cơ trở thành một thủ tục hình thức thay vì công cụ bảo vệ thực chất. Đây là vấn đề đặc biệt quan trọng trong ngân hàng số vì các quyết định tự động hóa ngày càng nhiều, từ gợi ý sản phẩm đến đánh giá rủi ro và phát hiện gian lận.

Ba là, thách thức về cấu trúc pháp lý và quản trị trách nhiệm trong hệ sinh thái mở. Khi một giao dịch hoặc dịch vụ tài chính số có sự tham gia của ngân hàng, công ty Fintech, nhà cung cấp điện toán đám mây và đơn vị xác thực danh tính, câu hỏi “Ai chịu trách nhiệm cuối cùng khi dữ liệu bị lộ hoặc bị sử dụng sai mục đích?” trở nên rất phức tạp. Trong lý thuyết, ngân hàng với tư cách bên kiểm soát dữ liệu thường phải chịu trách nhiệm chính trước khách hàng. Tuy nhiên, trong thực tiễn, việc chứng minh lỗi, xác định chuỗi sự kiện và áp dụng chế tài đối với từng mắt xích là không đơn giản.

Bốn là, nguy cơ thiên lệch và thiếu minh bạch trong các hệ thống phân tích dữ liệu, đặc biệt là chấm điểm tín dụng bằng thuật toán. Khi ngân hàng khai thác dữ liệu lớn và AI để dự đoán hành vi tài chính, hiệu quả kinh doanh có thể được cải thiện, nhưng cũng có nguy cơ dẫn đến quyết định thiếu công bằng nếu dữ liệu đầu vào không đầy đủ, không đại diện hoặc bị lệch theo nhóm dân cư. Trong bối cảnh đó, quản trị dữ liệu không chỉ dừng ở bảo mật, mà còn phải bao gồm cả quản trị chất lượng dữ liệu, tính minh bạch của mô hình và khả năng giải trình đối với quyết định tự động.

Năm là, thách thức về nguồn nhân lực và văn hóa tuân thủ. Nhiều sự cố dữ liệu không bắt nguồn từ tấn công công nghệ quá tinh vi mà xuất phát từ lỗi nội bộ như cấp quyền quá rộng, chia sẻ thông tin không đúng quy trình, sử dụng thiết bị cá nhân không an toàn hoặc nhận thức hạn chế về an ninh dữ liệu. Điều đó có nghĩa là ngay cả khi ngân hàng đầu tư lớn vào công nghệ, nếu không xây dựng được văn hóa quản trị dữ liệu và trách nhiệm nghề nghiệp mạnh mẽ, rủi ro vẫn tồn tại ở mức cao.

4. Một số khuyến nghị nâng cao hiệu quả quản trị và bảo vệ dữ liệu cá nhân trong hoạt động ngân hàng

Đối với Chính phủ

Chính phủ cần tiếp tục hoàn thiện khung pháp lý về bảo vệ và quản trị dữ liệu cá nhân theo hướng đồng bộ giữa Luật Bảo vệ dữ liệu cá nhân năm 2025 và các quy định chuyên ngành trong lĩnh vực tài chính - ngân hàng. Trong bối cảnh ngân hàng số và tài chính mở phát triển mạnh, dữ liệu khách hàng được chia sẻ giữa nhiều chủ thể như ngân hàng, công ty Fintech, trung gian thanh toán và các nhà cung cấp công nghệ. Do đó, cần quy định rõ trách nhiệm pháp lý của từng chủ thể trong chuỗi xử lý dữ liệu, đặc biệt trong các mô hình ngân hàng mở và tài chính mở.

Bên cạnh đó, Chính phủ cần thúc đẩy xây dựng các tiêu chuẩn kỹ thuật quốc gia về chia sẻ dữ liệu tài chính thông qua giao diện lập trình ứng dụng mở (Open API) nhằm bảo đảm an toàn dữ liệu, tăng khả năng kiểm soát truy cập và bảo vệ quyền riêng tư của khách hàng trong toàn bộ hệ sinh thái tài chính số.

Đối với NHNN

NHNN cần tiếp tục đóng vai trò điều phối và dẫn dắt quá trình hình thành hệ sinh thái quản trị dữ liệu trong toàn Ngành. Trước hết, cần xây dựng và ban hành các tiêu chuẩn kỹ thuật chung về quản trị dữ liệu, bảo mật thông tin và chia sẻ dữ liệu trong hệ thống ngân hàng; đồng thời, phát triển các cơ chế giám sát, cảnh báo rủi ro và chia sẻ thông tin an ninh mạng giữa các TCTD. Việc hình thành các nền tảng giám sát tập trung có thể giúp phát hiện sớm các hành vi gian lận, tấn công mạng hoặc lộ lọt dữ liệu, qua đó nâng cao khả năng ứng phó của toàn hệ thống.

Bên cạnh đó, cần gắn chiến lược quản trị dữ liệu với quá trình phát triển Trung tâm tài chính quốc tế tại Việt Nam, qua đó thúc đẩy tiếp cận các chuẩn mực quốc tế về quản trị dữ liệu, an ninh mạng và bảo vệ quyền riêng tư trong lĩnh vực tài chính.

Đối với các TCTD

Các TCTD cần định hướng thay đổi tư duy, từ việc coi bảo vệ dữ liệu là chi phí tuân thủ sang việc xem quản trị dữ liệu là một tài sản chiến lược trong cạnh tranh. Các TCTD cần đầu tư mạnh mẽ vào hạ tầng công nghệ, hệ thống phân tích dữ liệu và các giải pháp bảo mật hiện đại nhằm bảo đảm khả năng phát hiện và xử lý rủi ro dữ liệu theo thời gian thực.

Ngoài ra, các TCTD cần xây dựng khung quản trị dữ liệu nội bộ toàn diện, bao gồm các quy trình kiểm soát truy cập, phân loại dữ liệu, quản lý rủi ro bên thứ ba và cơ chế giám sát việc chia sẻ dữ liệu với các đối tác Fintech. Bên cạnh yếu tố công nghệ, các TCTD cũng cần chú trọng phát triển nguồn nhân lực số và xây dựng văn hóa dữ liệu trong tổ chức, coi bảo vệ dữ liệu cá nhân là một nguyên tắc đạo đức trong hoạt động kinh doanh.

Đối với người sử dụng dịch vụ ngân hàng

Người sử dụng dịch vụ ngân hàng cần tăng cường tham gia các chương trình giáo dục tài chính số và nâng cao nhận thức về quyền dữ liệu cá nhân. Trong môi trường tài chính số, khách hàng không chỉ là người sử dụng dịch vụ mà còn là chủ thể dữ liệu cần được trang bị kiến thức để tự bảo vệ thông tin cá nhân trước các rủi ro lừa đảo hoặc tấn công mạng. Việc phổ biến kỹ năng sử dụng dịch vụ ngân hàng số an toàn và nâng cao nhận thức về quyền riêng tư dữ liệu sẽ góp phần củng cố niềm tin số trong xã hội.

5. Kết luận

Quản trị và bảo vệ dữ liệu cá nhân không chỉ nhằm đáp ứng yêu cầu pháp lý mà còn là nền tảng củng cố niềm tin của khách hàng đối với các dịch vụ ngân hàng số. Vì vậy, ngành Ngân hàng cần tiếp tục hoàn thiện khung pháp lý, tăng cường vai trò quản lý, giám sát của cơ quan quản lý nhà nước, đồng thời nâng cao năng lực quản trị dữ liệu tại các TCTD. Khi dữ liệu được quản trị an toàn và minh bạch, hệ thống ngân hàng sẽ bảo vệ tốt hơn quyền lợi khách hàng, đồng thời tạo động lực cho đổi mới sáng tạo và phát triển bền vững trong kỷ nguyên kinh tế số.

Tài liệu tham khảo:

1. Anh Nhi (2026), Tăng thêm 72 tỉ USD, kinh tế số đóng góp hơn 14% vào GDP 2025, VnEconomy, ngày 06/01/2026.

2. Hà Chi (2026), Dòng chảy số trong ngành Ngân hàng, Thời báo Ngân hàng, Ngân hàng số, ngày 06/3/2026.

3. Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật số 91/2025/QH15).

4. Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 của Chính phủ về việc giữ bí mật, cung cấp thông tin khách hàng của TCTD, chi nhánh ngân hàng nước ngoài.

5. Thu Giang (2025), Chuyển đổi số Việt Nam bước sang giai đoạn tăng tốc, hiệu quả và gần dân hơn, Báo Chính phủ, https://baochinhphu.vn/chuyen-doi-so-viet-nam-buoc-sang-giai-doan-tang-toc-hieu-qua-va-gan-dan-hon-102251021102103518.htm

6. Vũ Minh Châu (2026), Cấm vận tài chính của Hoa Kỳ: Rủi ro tuân thủ và hàm ý đối với các tổ chức tài chính trong bối cảnh hội nhập, Tạp chí Ngân hàng, số 4, tháng 02/2026.