Ngân hàng đã cập nhật các quy định mới về dữ liệu cá nhân khách hàng theo Nghị định số 13 được Chính phủ ban hành, hiệu lực từ ngày 1/7/2023
Nhiều quy định mới về bảo vệ dữ liệu cá nhân
Theo đó, Nghị định 13 nêu rõ, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng…
Dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của người đó. Chẳng hạn như quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe; nguồn gốc chủng tộc, nguồn gốc dân tộc; đặc điểm di truyền; đặc điểm sinh học riêng; đời sống tình dục; dữ liệu về vị trí; dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; thông tin khách hàng của tổ chức tín dụng…
Điều 8 của Nghị định 13 quy định các hành vi bị nghiêm cấm, gồm:
Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân;
Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
Nghị định cũng cấm hành vi cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền, cũng như việc lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Đồng thời, Nghị định cũng nêu rõ, cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Nghị định cũng quy định cụ thể trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu. Điều 17 Nghị định quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu, gồm: trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác; việc công khai dữ liệu cá nhân theo quy định của luật.
Cùng với đó là trường hợp xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
Ngoài ra, bên kiểm soát và xử lý dữ liệu cá nhân cũng có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật; cũng như trong trường hợp phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Các ngân hàng đồng loạt cập nhật các quy định mới về dữ liệu cá nhân khách hàng theo Nghị định số 13:
Theo đó, Vietcombank mới đây đã thông báo đến khách hàng về việc Vietcombank đã cập nhật “Các điều kiện giao dịch chung về bảo vệ dữ liệu cá nhân” theo Nghị định 13 về bảo vệ dữ liệu cá nhân. Các Điều Kiện Giao Dịch Chung này là một phần không thể tách rời của các thoả thuận giữa Vietcombank và khách hàng. Các “Điều Kiện Giao Dịch Chung” này có thể được sửa đổi trong từng thời kỳ và sẽ được cập nhật trên trang thông tin điện tử chính của của Vietcombank.
Tương tự, nhiều ngân hàng, công ty tài chính khác như Techcombank ,VPBank, HDBank, Shinhan bank, Shinhan Finance, Homecredit, Mirae Asset Finance…cũng đã có thông báo tới khách hàng về vấn đề này.
Phát sinh nhiều vướng mắc, xung đột
Với hàng loạt các quy định đã nêu trên, chính sách mới về bảo vệ dữ liệu cá nhân được nhận xét tạo hành lang pháp lý chặt chẽ, tuy nhiên, bên cạnh những mặt tích cực, Nghị định mới vẫn để lại không ít băn khoăn, đặc biệt đối với cộng đồng doanh nghiệp nói chung và lĩnh vực ngân hàng nói riêng.
Theo ông Nguyễn Quốc Hùng - Tổng thư ký Hiệp hội Ngân hàng Việt Nam (VNBA), là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới, dữ liệu cá nhân của hơn 2/3 dân số Việt Nam đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Theo đó, tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.
Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, và có hiệu lực từ ngày 01/7/2023, đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13/2023/NĐ-CP, các tổ chức tín dụng phản ánh với Hiệp hội gặp một số vướng mắc, gây lúng túng khi thực hiện.
Mặc dù được đánh giá cao bởi tính chặt chẽ, tiến bộ, tuy nhiên, đối với các ngân hàng khi triển khai thực hiện Nghị định 13/2023/NĐ-CP đang gặp không ít khó khăn, vướng mắc
Cụ thể, theo Câu lạc bộ Pháp chế Ngân hàng thuộc VNBA, hoạt động của các tổ chức tín dụng được điều chỉnh bởi các quy định pháp luật chuyên ngành như: Luật Các tổ chức tín dụng năm 2010 (sửa đổi, bổ sung năm 2014); Luật Phòng chống rửa tiền; Nghị định 117/2018/NĐ-CP về giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; Thông tư 09/2020/TT-NHNN của Ngân hàng Nhà nước quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng đã hướng dẫn cụ thể về việc bảo vệ dữ liệu cá nhân khách hàng, việc quản lý, lưu trữ, sao lưu… Các tổ chức tín dụng hoàn toàn đã có hành lang pháp lý đầy đủ để triển khai, tuân thủ việc bảo vệ dữ liệu khách hàng theo các quy định nêu trên, tuy nhiên, với sự ra đời của Nghị định 13/2023/NĐ-CP có sự xung đột pháp luật.
Chẳng hạn, Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác(khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9).
Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật. Mặt khác, đối với hoạt động ngân hàng, việc xử lý dữ liệu cá nhân, tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan là bắt buộc, tất yếu không chỉ để cung cấp dịch cho khách hàng mà còn để quản lý và quản lý rủi ro trong hoạt động Ngân hàng, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu kháchhàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, với quy định Nghị định 13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có quan điểm, hướng dẫn thống nhất để áp dụng.
Ngoài ra, Nghị định 13 yêu cầu Bên kiểm soát và xử lý dữ liệu/ Bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của Chủ thể dữ liệu và trong tất cả các quy trình xử lý(Điều 11); và trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13).
Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của TCTD được thực hiện theo nhiều quy trình/sản phẩm, trong mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp Khách hàng có số lượng rất lớn.
Để tuân thủ đầy đủ các quy định tại Nghị định 13, quy định này dường như không khả thi và khó có thể thực hiện được; mặt khác các TCTD sẽ phải dành nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian/tiến độ khi cung cấp dịch vụ của TCTD đến Khách hàng do phải tăng thêm các bước vận hành.
Khi thay đổi các quy trình xử lý dữ liệu lại phải xin chấp thuận của khách hàng... trong khi các hoạt động xử lý dữ liệu này nhìn chung đều hướng đến mục đích phục vụ nhu cầu, theo yêu cầu của chính Khách hàng hoặc nhằm cải thiện chất lượng dịch vụ cung cấp tới Khách hàng. Điều này gây nhiều khó khăn và nhiều ngân hàng nhận định là không khả thi và khó có thể thực hiện.
Tại Điều 11 Nghị định 13 cho phép Chủ thể dữ liệu có thể đồng ý một hoặc một số mục đích hoặc với điều kiện kèm theo. Nội dung này theo đại diện ngân hàng dẫn đến khó khăn cho TCTD vì quá trình xây dựng hệ thống, chương trình, luồng xử lý dữ liệu, luồng giao dịch cần được thực hiện đồng bộ. Nếu có bất kỳ hạn chế nào sẽ dẫn đến hậu quả TCTD không thể cung cấp dịch vụ cho KH.
Tuy nhiên, khi TCTD từ chối cung cấp dịch vụ cho khách hàng vì lý do trên, một số khách hàng đã phản ứng tiêu cực và dẫn chiếu lý do. Theo các trao đổi, phản biện trong quá trình xây dựng Nghị định 13, yêu cầu “Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo” nhằm mục đích khắc phục bất cập về việc: Chủ thể dữ liệu chỉ có thể đồng ý hoặc không đồng ý toàn bộ về việc xử lý dữ liệu; nếu không đồng ý thì không thể sử dụng hàng hóa, dịch vụ. Nếu đồng ý toàn bộ thì sẽ không đáp ứng được mục đích ban hành của Nghị định 13, việc xác nhận của chủ thể dữ liệu sẽ chỉ mang tính thủ tục, hình thức.
Vấn đề này dẫn đến khó khăn, bất cập trong quá trình TCTD tuân thủ Nghị định 13 giai đoạn giải thích, yêu cầu khách hàng xác nhận, trong khi việc xử lý dữ liệu KHCN trong hoạt động ngân hàng là tất yếu, bắt buộc trong tất cả các quy trình nghiệp vụ ngân hàng. Nội dung này cần có sự hướng dẫn để thống nhát cách hiểu và áp dụng quy định...
Cần thống nhất các luật chuyên ngành
Ông Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an cho biết, trong 3 năm qua, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán, NHNN đánh giá Nghị định 13 là một bước tiến lớn trong vấn đề bảo vệ dữ liệu cá nhân tiệm cận với thông lệ quốc tế. Việc tuân thủ bảo mật thông tin khách hàng là hết sức cần thiết, tuy nhiên trong quá trình thực hiện sẽ có nhiều khó khăn.
“Quan điểm của Vụ Thanh toán là Nghị định không phải là một văn bản duy nhất quyết định toàn bộ nội dung này mà còn có các nội dung liên quan đến luật chuyên ngành, chi phối các tổ chức tín dụng, các tổ chức tài chính đang hoạt động liên quan đến Luật Ngân hàng Nhà nước, Luật Các tổ chức tín dụng”, ông Phạm Anh Tuấn nhấn mạnh.
Theo đó, ông Phạm Anh Tuấn mong muốn: “Hiệp hội Ngân hàng tổng kết lại từng vấn đề lớn để có những buổi làm việc chi tiết với A05. Qua đó, sẽ có văn bản để thông tin đến tất cả các tổ chức tín dụng. Đồng thời sẽ có những các thông tư, văn bản hướng dẫn dưới luật để các tổ chức tín dụng yên tâm tổ chức thực hiện”.