Tóm tắt:
Dữ liệu cá nhân (DLCN) ngày càng được coi là một tài sản quan trọng của con người, đồng thời nó cũng trở thành “miếng mồi béo bở”, thu hút những cuộc tấn công mạng và hành vi lạm dụng thông tin đầy rẫy rủi ro. Trong thời gian qua, mặc dù đã có một số nghiên cứu về DLCN, bảo vệ DLCN tại Việt Nam, song vẫn tồn tại một khoảng trống đáng kể về nghiên cứu chuyên sâu, có hệ thống và tập trung trực tiếp vào vai trò của văn hóa pháp luật trong việc bảo vệ DLCN tại các ngân hàng và việc hoàn thiện khung pháp lý cho lĩnh vực ngân hàng. Bài viết này phân tích sâu hơn mối quan hệ giữa các yếu tố pháp lý, hành chính, xã hội và văn hóa trong việc bảo vệ DLCN; tập trung vào đánh giá các quy định hiện hành và đề xuất những giải pháp hoàn thiện cụ thể, thiết thực, nhằm xây dựng một khung pháp lý vững chắc, bảo vệ hiệu quả DLCN trong lĩnh vực này.
Từ khóa: dữ liệu cá nhân, bảo mật, ngân hàng, nền công nghiệp số, quy định pháp luật.
1. Đặt vấn đề
Trong bối cảnh số hóa nền kinh tế và sự phát triển mạnh mẽ của công nghệ thông tin, tình trạng lộ lọt dữ liệu cá nhân vẫn rất phổ biến nhưng Việt Nam vẫn thiếu một hành lang pháp lý chuyên biệt và thống nhất, đặc biệt trong lĩnh vực ngân hàng. Mặc dù đã có Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/7/2025 nhưng công tác thực hiện các quy định này còn nhiều lúng túng tại các cơ quan, doanh nghiệp do sự thiếu đồng bộ, rõ ràng, trong các quy định gây nên khó khăn trong áp dụng và thực thi các quy định của pháp luật về bảo vệ DLCN. Bên cạnh đó, nhận thức về tầm quan trọng của việc bảo vệ DLCN trong một bộ phận không nhỏ người dân còn hạn chế, cũng là một trong số những lý do dẫn tới tình trạng lộ lọt, xâm nhập, chiếm đoạt, buôn bán DLCN.
2. Cơ sở lý luận
Theo quy định tại Khoản 1, Điều 2 Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”
Theo Điều 2, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, dữ liệu cá nhân được chia thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Thứ nhất, dữ liệu cá nhân cơ bản đã được quy định bao gồm 11 thông tin, những thông tin này bao gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch;... Thứ hai là DLCN nhạy cảm, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: Quan điểm chính trị, quan điểm tôn giáo; Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;...
Việc bảo vệ dữ liệu cá nhân không chỉ là yêu cầu pháp lý theo Nghị định số 13/2023/NĐ-CP mà còn là yếu tố then chốt đảm bảo sự tin cậy, an toàn và phát triển bền vững của hệ thống ngân hàng Việt Nam. Đặc biệt, với số lượng người dùng internet và các dịch vụ ngân hàng số ngày càng tăng, nguy cơ lộ lọt và lạm dụng dữ liệu cá nhân cũng gia tăng, đòi hỏi sự quan tâm và hành động kịp thời. Trong môi trường giao dịch trực tuyến ngày càng phổ biến tại Việt Nam, bảo mật dữ liệu là yếu tố quan trọng để đảm bảo an toàn cho các giao dịch, tránh bị tấn công mạng, đánh cắp thông tin, đảm bảo trải nghiệm người dùng an toàn và tin cậy. Các ngân hàng có hệ thống bảo mật tốt, tuân thủ pháp luật sẽ tạo được uy tín với khách hàng, thu hút khách hàng mới và giữ chân khách hàng hiện tại, từ đó nâng cao khả năng cạnh tranh trên thị trường tài chính Việt Nam. Việc bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng còn góp phần đảm bảo an ninh chung, phòng chống tội phạm mạng, khủng bố tài chính.
3. Tầm quan trọng của bảo mật dữ liệu cá nhân trong ngân hàng
Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đánh dấu một bước tiến quan trọng trong việc bảo vệ quyền riêng tư của công dân Việt Nam trong kỷ nguyên số. Nghị định này không chỉ tạo ra một khung pháp lý rõ ràng và toàn diện, mà còn mang lại những lợi ích thiết thực cho cả cá nhân và tổ chức. Đối với cá nhân, Nghị định 13 trao quyền kiểm soát mạnh mẽ hơn đối với dữ liệu cá nhân của họ. Giờ đây, họ có quyền biết thông tin của mình được thu thập và sử dụng như thế nào, quyền yêu cầu chỉnh sửa hoặc xóa bỏ dữ liệu và quyền rút lại sự đồng ý đã cấp. Điều này giúp giảm thiểu đáng kể nguy cơ bị xâm phạm quyền riêng tư, bị lạm dụng thông tin cá nhân cho mục đích xấu. Đồng thời, Nghị định cũng góp phần nâng cao nhận thức của người dân về tầm quan trọng của việc bảo vệ dữ liệu cá nhân, khuyến khích họ chủ động bảo vệ thông tin của mình trên không gian mạng.
Đối với các ngân hàng, Nghị định 13 tạo ra một môi trường pháp lý minh bạch và đồng nhất, giúp người dân xây dựng các quy trình và hệ thống bảo mật dữ liệu hiệu quả hơn. Việc tuân thủ Nghị định 13 không chỉ giúp các tổ chức tránh được các rủi ro pháp lý và tài chính, mà còn nâng cao uy tín và niềm tin của khách hàng. Nghị định 13 góp phần thúc đẩy quá trình này bằng cách tạo ra một môi trường an toàn và tin cậy cho các giao dịch trực tuyến.
Bên cạnh Nghị định 13, việc Quốc hội thông qua Luật Dữ liệu là một thành tựu quan trọng, đánh dấu bước tiến lớn của Việt Nam trong việc bảo vệ dữ liệu cá nhân. Luật này tạo ra một khung pháp lý toàn diện, điều chỉnh việc thu thập, xử lý, lưu trữ và chia sẻ dữ liệu, đặc biệt có ý nghĩa trong lĩnh vực ngân hàng, nơi mà sự bảo mật dữ liệu khách hàng là yếu tố then chốt. Việc tuân thủ Luật Dữ liệu không chỉ giúp các ngân hàng tránh được các rủi ro pháp lý mà còn nâng cao uy tín và niềm tin của khách hàng.
4. Những hạn chế, bất cập khi thực thi bảo mật dữ liệu cá nhân trong ngân hàng
Thứ nhất, hạn chế trong khuôn khổ pháp lý và thực thi pháp luật.
Hiện nay, việc kiểm tra, thanh tra định kỳ chưa được thực hiện chặt chẽ, dẫn đến tình trạng ngân hàng chỉ tuân thủ mang tính hình thức mà không thực sự đầu tư vào các biện pháp bảo mật hiệu quả. Bên cạnh đó, năng lực giám sát của cán bộ thực thi pháp luật còn hạn chế, nhiều ngân hàng chưa có đủ nhân sự chuyên môn để kiểm soát rủi ro bảo mật, dẫn đến các vụ rò rỉ thông tin nghiêm trọng. Đối với các hành vi vi phạm nghĩa vụ bảo mật thông tin mà chưa đến mức phải truy cứu trách nhiệm hình sự, hiện nay được quy định tại Nghị định số 88/2019 chỉ mới tập trung vào việc cung cấp và tiết lộ thông tin liên quan đến tiền gửi của chủ tài khoản và đi sâu vào việc xử phạt hành vi cung cấp thông tin mà không được phép của cơ quan có thẩm quyền hoặc khách hàng. Chưa có quy định cụ thể đối với hành vi vi phạm thông tin khác của khách hàng như các thông tin về giao dịch không phải là tiền gửi, thông tin liên quan đến tín dụng và khoản vay, lịch sử giao dịch và thói quen chi tiêu,… Điều này tạo ra khoảng trống pháp lý và khó khăn trong quá trình xử lý những vi phạm này.
Thứ hai, hạn chế về công nghệ bảo mật và các chuyên gia bảo mật.
Nhiều ngân hàng, đặc biệt là các ngân hàng nhỏ chưa đầu tư mạnh vào các công nghệ bảo mật tiên tiến như AI phát hiện gian lận, xác thực sinh trắc học hay hệ thống giám sát an ninh theo thời gian thực, cũng như đội ngũ nhân viên có kiến thức năng lực cao về bảo mật. Điều này dẫn đến tình trạng dữ liệu khách hàng có thể bị lộ, bị bán trên các diễn đàn chợ đen, gây ảnh hưởng nghiêm trọng đến quyền riêng tư của người dùng, hoặc có thể bị lừa lấy hết tiền trong tài khoản ngân hàng mà không hề hay biết. Ngoài ra, nếu xảy ra sự cố bảo mật, ngân hàng có thể chịu trách nhiệm pháp lý, bị xử phạt, phải bồi thường cho khách hàng và mất uy tín trên thị trường, đặc biệt trong bối cảnh chuyển đổi số, nếu không đầu tư vào công nghệ bảo mật sẽ khó cạnh tranh với các ngân hàng có nền tảng số mạnh mẽ và an toàn hơn. Song song với đó, Việt Nam đang thiếu hụt nhân lực có chuyên môn cao về an ninh mạng, đặc biệt trong lĩnh vực tài chính - ngân hàng, nhiều ngân hàng chưa có đội ngũ chuyên trách về bảo mật thông tin, dẫn đến phản ứng chậm khi có sự cố.[1]
Thứ ba, nguy cơ lạm dụng dữ liệu cá nhân từ nội bộ ngân hàng.
Nhân viên ngân hàng có thể lợi dụng quyền truy cập hệ thống để thu thập, sử dụng hoặc bán thông tin khách hàng trái phép vì lợi ích cá nhân mà tình trạng này diễn ra khó bị phát hiện. Nếu để tình trạng “rủi ro từ nội gián” này kéo dài, khách hàng sẽ mất niềm tin và rút tài khoản, ảnh hưởng đến hoạt động kinh doanh của ngân hàng, khách hàng có thể bị lừa đảo, chiếm đoạt tài sản. Vì thế, tăng cường kiểm soát nội bộ, áp dụng các biện pháp hạn chế quyền truy cập, giám sát giao dịch của nhân viên và tăng cường xử lý vi phạm là điều cần thiết để ngăn chặn tình trạng này lại.[2]
5. Cần xây dựng một khung pháp lý vững chắc, bảo vệ hiệu quả bảo mật dữ liệu cá nhân trong ngân hàng
Thứ nhất, xây dựng khung pháp lý đồng bộ, rõ ràng, cho lĩnh vực bảo mật DLCN trong ngân hàng. Cần loại bỏ sự chồng chéo giữa các văn bản pháp luật hiện hành và ban hành hướng dẫn cụ thể, đơn giản để đồng bộ hóa các quy định, giúp ngân hàng áp dụng các quy định một cách linh hoạt mà không làm ảnh hưởng đến trải nghiệm khách hàng. Đề xuất cải thiện quy định về cách phân loại dữ liệu có thể áp dụng theo bối cảnh sử dụng dữ liệu thay vì chỉ dựa theo các danh mục được liệt kê sẵn. Bên cạnh đó, bổ sung cơ chế xử lý thiệt hại phi vật chất như tổng hại uy tín, tâm lý trong các quy định liên quan.
Thứ hai, nâng cao năng lực bảo vệ DLCN của các đội ngũ, cơ quan chuyên trách. Đề xuất việc cập nhật danh mục dữ liệu nhạy cảm nên được giao phó cho một hội đồng chuyên trách hoặc cơ quan độc lập với nhiệm vụ rà soát định kỳ và điều chỉnh danh sách, điều này cũng có thể buộc các doanh nghiệp phải báo cáo đánh giá tác động xử lý DLCN, đồng thời tăng cường kiểm soát các hoạt động trên không gian số. Bên cạnh đó, việc xây dựng một đội ngũ chuyên phụ trách về tội phạm công nghệ cao là rất cần thiết cho việc thu thập chứng cứ phạm tội, kết hợp giữa cơ quan điều tra, viện kiểm sát và các tổ chức chuyên môn cùng với sự trang bị những công cụ tiên tiến như hệ thống giám sát mạng, phục hồi dữ liệu, giải mã thông tin,… để đảm bảo nguyên vẹn chứng cứ.
Thứ ba, tăng cường chế tài xử lý vi phạm bảo vệ DLCN trong ngân hàng. Đề xuất bổ sung tội danh riêng về vi phạm DLCN trong BLHS, bởi các quy định hiện hành chưa đủ quyết liệt, răn đe. Song song đó, cần bổ sung trách nhiệm đối với pháp nhân mà không chỉ xử lý mỗi cá nhân, với mức phạt nặng và các biện pháp khắc phụ cụ thể, nhằm buộc họ chịu trách nhiệm toàn diện nhất có thể. Có thể tham khảo GDPR hoặc một số hình thức khác như đình chỉ kinh doanh, tạm dừng xử lý dữ liệu trong một thời gian nhất định. Đặc biệt, đối với các hành vi trục lợi bất chính từ DLCN, mức phạt hình sự càng cần được nâng lên đáng kể để tạo thành một “lá chắn thép” bảo vệ DLCN trong bối cảnh ngày nay.
Thứ tư, nâng cấp công nghệ và hệ thống bảo mật nhằm đáp ứng nhu cầu ngày càng cao về bảo mật DLCN trong ngân hàng. Các ngân hàng cần thiết nên tăng cường công nghệ bảo vệ DLCN và xây dựng hệ thống trí tuệ nhân tạo (AI) nhằm phát hiện xâm phạm dữ liệu. Hệ thống AI có thể giám sát các giao dịch bất thường, nhanh chóng phát hiện hành vi truy cập hoặc chia sẻ dữ liệu trái phép, từ đó nâng cao hiệu quả bảo mật và đảm bảo an toàn cho hệ thống ngân hàng.
Thứ năm, nâng cao nhận thức và trách nhiệm của khách hàng về bảo mật DLCN trong ngân hàng. Đề xuất các ngân hàng tổ chức các chiến dịch truyền thông nhằm tăng cường tuyên truyền về quyền lợi và trách nhiệm của khách hàng trong việc bảo vệ DLCN của chính mình. Bên cạnh đó, khuyến khích khách hàng áp dụng các phương thức xác thực mạnh để nâng cao an toàn cho tài khoản của mình. Đặc biệt, cần thiết phải có sự thúc đẩy hợp tác giữa ngân hàng, cơ quan quản lý và khách hàng. Ngân hàng nên xây dựng cơ chế đối thoại chặt chẽ với cơ quan nhà nước và khách hàng để điều chỉnh quy định linh hoạt, phù hợp; thiết lập các kênh phản hồi hiệu quả cho phép khách hàng nhanh chóng, dễ dàng phản ánh các vấn đề liên quan đến bảo mật DLCN.[3]
6. Kết luận
Hoàn thiện khung pháp lý về bảo vệ DLCN trong lĩnh vực ngân hàng là chìa khóa quan trọng để đảm bảo sự phát triển bền vững và an toàn của nền kinh tế số tại Việt Nam. Nghị định số 13/2023/NĐ-CP và Luật Bảo vệ Dữ liệu cá nhân sắp có hiệu lực là những bước tiến quan trọng, nhưng khung pháp lý hiện hành vẫn còn thiếu sự đồng bộ, thực thi chưa hiệu quả và nhận thức cộng đồng chưa đầy đủ. Bên cạnh đó, chuyển đổi số mang đến tiềm năng to lớn, nhưng chỉ khi được hỗ trợ bởi cơ chế pháp lý chặt chẽ và hiệu quả thì những lợi ích này mới thực sự phát huy. Do đó, việc nghiên cứu đưa ra các giải pháp pháp lý phù hợp cho bảo vệ DLCN là nhiệm vụ vô cùng quan trọng và cấp thiết, góp phần xây dựng tương lai thịnh vượng cho đất nước.
TÀI LIỆU THAM KHẢO:
1. Nguyễn Văn Minh (2024). Quy định về bảo vệ dữ liệu cá nhân trong hoạt động của tổ chức tín dụng tại Việt Nam, truy cập tại https://khoahocphaplyvietnam.edu.vn/vjls/article/view/165/118?fbclid=IwY2xjawI6O4pleHRuA2FlbQIxMAABHb26jy5y4CNXJpGXB82EOZ_NObykWRgKE-vsuAkxAzW2DGcJ-LPz0y-piA_aem_7xlcb1cVtOkNYyI8ofmezQ >
2. Tạp chí Khoa học và Công nghệ Việt Nam (2024). Luật Dữ liệu chuyển đổi an ninh mạng và kinh tế Việt Nam ra sao, truy cập tại < https://vjst.vn/vn/tin-tuc/16374/luat-du-lieu-chuyen-doi-an-ninh-mang-va-kinh-te-viet-nam-ra sao.aspx?fbclid=IwY2xjawI6RsdleHRuA2FlbQIxMAABHfhaEXSfJw_1Q_R3__JQpPrEhd32Up2TV25rvBCWjI4sLadC3oZjy8wLFw_aem_CZeFXt3sQp3v8AsxlczKgg.
3. Nguyễn Thị Kim Thoa (2020). Pháp luật về bảo đảm bí mật thông tin khách hàng trong hoạt động ngân hàng ở Việt Nam, Luận án Tiến sĩ Luật học, Trường Đại học Kinh tế - Luật, Đại học Quốc gia thành phố Hồ Chí Minh.
Personal data security in banking: Legal and practical perspectives
Nguyen Hong Trang1
Dang Thi Thu Thao1
Le Huy Phuong1
Tran Thi Diep1
Le Nguyen Phuong1
1National Economics University
Abstract:
This study examines the growing importance of personal data as a valuable asset, while also acknowledging its vulnerability to cyberattacks and misuse. Although there have been several studies on personal data and its protection in Vietnam, there remains a notable gap in research that systematically explores the role of legal culture in personal data protection within banks, as well as the need for improvements in the legal framework governing the banking sector. The article analyzes the interplay between legal, administrative, social, and cultural factors in safeguarding personal data. It also evaluates current regulations and proposes practical, actionable solutions to enhance personal data protection, aiming to establish a robust legal framework for effectively safeguarding personal data in the banking sector.
Keywords: personal data, security, banking, digital industry, regulation
[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 5 tháng 2 năm 2025]
