TÓM TẮT:
Bài viết này trình bày thực trạng tuân thủ các quy định bảo vệ dữ liệu cá nhân của khách hàng đối với các ví điện tử tại Việt Nam, đặc biệt sau khi Nghị định số 13/2023/NĐ-CP của Chính phủ về Bảo vệ dữ liệu cá nhân được ban hành. Các doanh nghiệp tài chính như Công ty cổ phần Dịch vụ di động trực tuyến (MoMo) hay Công ty cổ phần ZION (ZaloPay) đã áp dụng các biện pháp bảo vệ dữ liệu cá nhân của khách hàng thông qua chính sách bảo mật rõ ràng, việc thu thập và xử lý dữ liệu minh bạch. Tuy nhiên, bài viết cũng chỉ ra một số vấn đề cần khắc phục và đề xuất giải pháp cho các doanh nghiệp tài chính, nhằm tăng cường bảo vệ dữ liệu cá nhân của khách hàng trong thời gian tới.
1. Đặt vấn đề
Dịch vụ ví điện tử và bảo vệ dữ liệu cá nhân là hai yếu tố quan trọng trong việc quản lý và phát triển các dịch vụ tài chính điện tử tại Việt Nam. Sau khi Nghị định số 12/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được ban hành, các doanh nghiệp ví điện tử phải tuân thủ các quy định mới về việc thu thập, xử lý và bảo vệ thông tin cá nhân của khách hàng. Điều này đặt ra câu hỏi: Các ví điện tử như MoMo và ZaloPay đã thực hiện các quy định này như thế nào? Mức độ tuân thủ của các doanh nghiệp tài chính đối với pháp luật bảo vệ dữ liệu cá nhân ra sao, và những thách thức nào họ gặp phải trong quá trình triển khai? Nghiên cứu này sẽ phân tích thực trạng tuân thủ pháp luật của các ví điện tử tại Việt Nam, từ đó đề xuất các giải pháp nhằm cải thiện việc bảo vệ dữ liệu cá nhân và nâng cao hiệu quả thực thi các quy định pháp lý trong lĩnh vực tài chính.
2. Thực trạng tuân thủ các quy định bảo vệ dữ liệu cá nhân đối với các ví điện tử tại Việt Nam
Ngày 17 tháng 4 năm 2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân với nhiều quy định chặt chẽ về bảo vệ dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân đối với cơ quan, tổ chức, cá nhân có liên quan. Sau khi nghị định được ban hành, điều này chính thức tạo ra một hành lang pháp lý nhằm bảo vệ dữ liệu cá nhân tại Việt Nam một cách hiệu quả, giảm thiểu tối đa những nguy cơ và hệ quả của hành vi xâm phạm dữ liệu cá nhân.
Điều 8 của Nghị định quy định rõ về những hành vi nghiêm cấm, bao gồm: xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân; xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. Ngoài ra, nghị định cũng nghiêm cấm hành vi hành vi cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền, cũng như việc lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật. Ngoài ra, Nghị định còn quy định các điều khoản về bảo vệ dữ liệu cá nhân như hoạt động bảo vệ dữ liệu cá nhân và trách nhiệm của các cơ quan, tổ chức, cá nhân.
Trên thực tế, các doanh nghiệp tài chính đã thực hiện một số biện pháp, chính sách thông qua các nền tảng của mình. Đối với MoMo, ví điện tử này đã quy định rõ về dữ liệu và thông tin MoMo thu thập, cách thức MoMo sử dụng và chia sẻ thông tin người dùng, quyền truy cập vừa lựa chọn của người dùng, thông tin liên hệ[1]. Những nội dung này được quy định cụ thể trong Chính sách quyền riêng tư của MoMo. Về loại thông tin thu thập, MoMo thu thập thông tin qua nhiều nguồn khác nhau như từ khách hàng (bao gồm tên, quốc tịch, số điện thoại, địa chỉ, thông tin CMND/CCCD, ngày sinh, tình trạng hôn nhân, thông tin tài chính, và các thông tin khác khi đăng ký, thực hiện giao dịch, tham gia sự kiện hoặc liên hệ hỗ trợ), các loại thông tin thu thập tự động (dữ liệu về giao dịch, phương thức thanh toán (không bao gồm chi tiết thẻ như số CVV), thông tin thiết bị và ứng dụng (địa chỉ IP, hệ điều hành, vị trí địa lý), và lịch sử truy cập) và thông tin từ các nguồn khác như các bên đối tác thương mại và các bên thứ ba khác). Theo Chính sách quyền riêng tư của MoMo, MoMo thu thập các dữ liệu và thông tin người dùng cần thiết để đảm bảo việc cung cấp và vận hành các sản phẩm, dịch vụ tuân thủ các quy định pháp luật, cá nhân hóa trải nghiệm của khách hàng, liên hệ và hỗ trợ khách hàng, cũng như cho các mục đích nghiên cứu và phân tích. Về vấn đề chia sẻ thông tin, MoMo chia sẻ thông tin cá nhân với các công ty trong cùng tập đoàn, đối tác kinh doanh, nhà cung cấp dịch vụ, hoặc cơ quan nhà nước có thẩm quyền khi cần thiết theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Ngoài ra, MoMo còn quy định về các quyền truy cập và lựa chọn của người dùng về thông tin cá nhân của mình như quyền truy cập, chỉnh sửa, cập nhật, xóa hoặc không cung cấp một số thông tin không bắt buộc. Ngoài ra, người dùng có thể tùy chọn việc MoMo thu thập và sử dụng dữ liệu của mình. MoMo cam kết bảo mật thông tin cá nhân của người dùng bằng cách áp dụng các biện pháp kỹ thuật và tổ chức phù hợp, như mã hóa dữ liệu và kiểm soát truy cập, để ngăn chặn truy cập trái phép, mất mát hoặc rò rỉ thông tin. Người dùng được khuyến nghị thường xuyên kiểm tra và cập nhật Chính sách Quyền riêng tư để nắm bắt những thay đổi mới nhất. Việc tiếp tục sử dụng dịch vụ sau khi có thay đổi đồng nghĩa với việc chấp nhận các điều khoản được cập nhật. Bên cạnh đó, MoMo cũng quy định về việc bảo vệ quyền riêng tư đối với trẻ em.
Tương tự với MoMo, ZaloPay cũng đã ban hành Chính sách quyền riêng tư của mình. Chính sách Bảo vệ Quyền riêng tư của ZaloPay[2], cập nhật ngày 22/06/2023 nhằm phù hợp với tinh thần của Nghị định số 12/2023/NĐ-CP, nêu rõ cách thức Công ty Cổ phần ZION (ZION) thu thập, lưu trữ, xử lý và bảo vệ thông tin cá nhân của người dùng khi sử dụng các sản phẩm và dịch vụ do ZION cung cấp. Giống như với MoMo, ZaloPay cũng quy định về hai loại thông tin thu thập, đó chính là thông tin do người dùng cung cấp và thông tin thu thập tự động. Tuy nhiên, ZaloPay không quy định về nguồn thông tin từ bên thứ ba giống với MoMo. Về mục đích sử dụng thông tin, ZION sử dụng thông tin cá nhân của người dùng từ ZaloPay để: (1) Cung cấp và quản lý các sản phẩm, dịch vụ; (2) Xác minh danh tính và đảm bảo an ninh, an toàn cho tài khoản người dùng; (3) Cải thiện và nâng cao chất lượng dịch vụ, cá nhân hóa trải nghiệm người dùng; (4) Liên hệ, hỗ trợ khách hàng và giải quyết các vấn đề phát sinh liên quan đến việc sử dụng dịch vụ; (5) Tuân thủ các quy định pháp luật hiện hành. Ngoài ra, ZION cam kết không chia sẻ thông tin cá nhân của người dùng cho bên thứ ba trừ các trường hợp như khi có sự đồng ý của người dùng; khi cung cấp cho các đối tác, nhà cung cấp dịch vụ để thực hiện các chức năng thay mặt ZION, với điều kiện các bên này phải tuân thủ chính sách bảo mật thông tin; khi có yêu cầu từ cơ quan nhà nước hoặc theo quy định pháp luật.
3. Đề xuất giải pháp cho các doanh nghiệp tài chính nhằm tăng cường bảo vệ dữ liệu cá nhân của khách hàng
Chính sách bảo vệ dữ liệu cá nhân của các tổ chức tài chính, doanh nghiệp cung ứng dịch vụ tài chính thông qua ứng dụng tài chính được thể hiện một cách cụ thể, rõ ràng, hướng tới các biện pháp bảo vệ dữ liệu cá nhân một cách an toàn, hạn chế tối đa rủi ro trong việc rò rỉ thông tin cá nhân của khách hàng. Trong tương lai, để cải thiện tối đa về khả năng bảo vệ dữ liệu cá nhân của khách hàng, các công ty tài chính cần thực hiện một vài hướng đi như sau:
Thứ nhất, các doanh nghiệp tài chính cần tiến hành rà soát toàn bộ các hoạt động liên quan đến việc thu thập và xử lý dữ liệu cá nhân của khách hàng. Việc này giúp họ xác định rõ vai trò của mình trong mối quan hệ này, có thể là bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, hoặc đảm nhận cả hai vai trò[3]. Xác định đúng vai trò sẽ giúp các doanh nghiệp tài chính tuân thủ các nghĩa vụ pháp lý, bao gồm cả việc thực hiện các thủ tục hành chính với cơ quan chức năng như Bộ Công an, đảm bảo bảo vệ quyền lợi của khách hàng[4].
Thứ hai, các doanh nghiệp tài chính nên thực hiện đánh giá mức độ tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong hoạt động của mình[5]. Doanh nghiệp cần rà soát để phát hiện các sai sót hoặc vi phạm trong việc thu thập, lưu trữ và xử lý dữ liệu khách hàng, đánh giá mức độ rủi ro và tìm các giải pháp khắc phục kịp thời nhằm đảm bảo bảo mật và an toàn thông tin cá nhân của khách hàng.
Thứ ba, các doanh nghiệp tài chính cần nhanh chóng rà soát, ban hành mới hoặc điều chỉnh các quy định nội bộ về bảo vệ dữ liệu cá nhân của khách hàng. Các quy định này có thể bao gồm Thỏa ước lao động tập thể, Nội quy lao động, Hợp đồng lao động,… và các chính sách riêng biệt liên quan đến bảo vệ dữ liệu cá nhân. Việc rà soát toàn diện các văn bản này sẽ giúp doanh nghiệp bảo vệ quyền lợi của khách hàng một cách hiệu quả. Đồng thời, các doanh nghiệp tài chính cần xây dựng các quy trình, chính sách đặc biệt về bảo vệ dữ liệu cá nhân, làm cơ sở để triển khai các hoạt động đào tạo, phổ biến quy định về bảo vệ dữ liệu cá nhân cho toàn bộ nhân viên[6].
Thứ tư, doanh nghiệp tài chính cần chú trọng việc kiểm soát tuân thủ quy định bảo vệ dữ liệu cá nhân trong nội bộ. Việc kiểm soát này giúp doanh nghiệp sớm phát hiện các sai phạm và có biện pháp khắc phục, đồng thời hạn chế rủi ro liên quan đến việc rò rỉ thông tin cá nhân của khách hàng[7].
Cuối cùng, các doanh nghiệp tài chính nên triển khai các hoạt động đào tạo, phổ biến các chính sách và quy định về bảo vệ dữ liệu cá nhân cho toàn bộ nhân viên và các bên liên quan[8]. Việc này giúp nâng cao nhận thức của người lao động về tầm quan trọng của việc bảo vệ dữ liệu cá nhân của khách hàng, đồng thời hiểu rõ các hậu quả từ các hành vi vi phạm, đảm bảo mọi hoạt động của doanh nghiệp đều tuân thủ nghiêm ngặt các yêu cầu về bảo vệ quyền lợi của khách hàng[9].
4. Kết luận
Sự phát triển mạnh mẽ của các dịch vụ ví điện tử tại Việt Nam đang tạo ra những cơ hội lớn, song cũng đặt ra không ít thách thức về việc bảo vệ dữ liệu cá nhân của khách hàng. Nghiên cứu này đã phân tích thực trạng tuân thủ các quy định bảo vệ dữ liệu cá nhân đối với các ví điện tử điển hình như MoMo và ZaloPay, trong bối cảnh Nghị định số 12/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực. Mặc dù các doanh nghiệp này đã triển khai nhiều biện pháp bảo vệ thông tin người dùng, song vẫn còn một số vấn đề tồn tại như thiếu sót trong việc xử lý dữ liệu từ các bên thứ ba và khó khăn trong việc đảm bảo tính minh bạch trong việc thu thập thông tin.
Chúng tôi nhận thấy cơ quan quản lý cần tiếp tục hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân, đồng thời tăng cường các biện pháp giám sát và xử lý vi phạm để bảo vệ quyền lợi của khách hàng và đảm bảo sự phát triển bền vững của các dịch vụ tài chính điện tử. Các doanh nghiệp tài chính cũng cần chủ động rà soát và điều chỉnh các chính sách bảo mật của mình để không chỉ tuân thủ pháp luật mà còn xây dựng niềm tin vững chắc với người dùng.
Trên cơ sở đó, nghiên cứu đề xuất một số giải pháp như: (i) tăng cường kiểm tra và rà soát các hoạt động thu thập và xử lý dữ liệu cá nhân; (ii) nâng cao trách nhiệm và nhận thức của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân; (iii) tăng cường hợp tác giữa các cơ quan quản lý để đảm bảo tính đồng bộ và hiệu quả trong quá trình thực thi pháp luật. Việc thực hiện đồng bộ các giải pháp này sẽ giúp tạo ra một môi trường pháp lý an toàn, thúc đẩy sự phát triển của dịch vụ ví điện tử và bảo vệ quyền lợi của người dùng tại Việt Nam.
Tài liệu trích dẫn và tham khảo:
[1] Ví điện tử MoMo (2024). Các điều khoản và điều kiện về dịch vụ, truy cập tại <https://www.momo.vn/dieu-khoan-dieu-le>.
[2] ZION (2022). Thỏa thuận sử dụng dịch vụ liên kết tài khoản ZaloPay với tài khoản TMĐT của khách hàng, truy cập tại <https://zalopay.vn/quy-dinh/thoa-thuan-su-dung-dich-vu-lien-ket-tai-khoan-zalopay-voi-tai-khoan-tmdt-cua-khach-hang>.
[3] Ví điện tử MoMo (2023). Chính sách quyền riêng tư, truy cập tại <https://www.momo.vn/chinh-sach-quyen-rieng-tu>.
[4] ZION (2023). Chính sách bảo vệ quyền riêng tư ZaloPay, truy cập tại <https://zalopay.vn/quy-dinh/chinh-sach-bao-ve-quyen-rieng-tu>.
[5] VLM Law Firm (2023). Bảo vệ dữ liệu cá nhân và những điều doanh nghiệp cần làm để tuân thủ Nghị định 13/2023/NĐ-CP, truy cập tại <https://vlmlawfirm.com/doanh-nghiep-can-lam-gi-de-bao-ve-du-lieu-ca-nhan/>.
[6] Vision & Associates Legal (2023). Quy định mới về bảo vệ dữ liệu cá nhân tại Việt Nam, truy cập tại <https://vision-associates.com/wp-content/uploads/2023/06/Quy-dinh-moi-ve-bao-ve-du-lieu-ca-nhan-tai-Viet-Nam.pdf>.
[7] R Digital (2023). Tuân thủ Luật Bảo vệ dữ liệu cá nhân: Hướng dẫn cho doanh nghiệp, truy cập tại <https://r-digital.tech/vi/tin-tuc/tuan-thu-luat-bao-ve-du-lieu-ca-nhan-huong-dan-cho-doanh-nghiep>.
[8] Công ty Luật YKVN (2023). Nội dung cập nhật pháp lý về bảo vệ dữ liệu cá nhân, truy cập tại <https://ykvn-law.com/vi/noi-dung-cap-nhat-phap-ly-ve-bao-ve-du-lieu-ca-nhan/>.
[9] Minh Châu (2024), Áp dụng quy định về dữ liệu cá nhân giúp doanh nghiệp tối ưu hóa hoạt động, báo điện tử Đại biểu nhân dân, truy cập tại <https://daibieunhandan.vn/ap-dung-quy-dinh-ve-du-lieu-ca-nhan-giup-doanh-nghiep-toi-uu-hoa-hoat-dong-post395826.html>.
[10] Cao Tân (2023), Bảo vệ dữ liệu cá nhân trong môi trường số là việc làm cấp bách, Báo Nhân dân, truy cập tại <https://special.nhandan.vn/bao-ve-du-lieu-ca-nhan-trong-moi-truong-so/index.html>.
Current compliance of e-wallet providers with personal data protection laws in Vietnam and policy recommendations for financial enterprises
Le Sy Duc1
Dinh Ngoc Phuong Dung1
Nguyen Thao Linh1
1Hanoi Law University
Abstract:
This study examines the current state of compliance with personal data protection regulations by e-wallet service providers in Vietnam, particularly in the context of Decree No. 13/2023/ND-CP on Personal Data Protection. It focuses on financial technology enterprises such as Online Mobile Services Joint Stock Company (MoMo) and ZION Joint Stock Company (ZaloPay), which have implemented measures to safeguard customers’ personal data through transparent privacy policies and clear data collection and processing practices. Despite these efforts, several challenges remain. The study identifies existing shortcomings and proposes recommendations aimed at helping financial enterprises strengthen their data protection frameworks, ensuring greater security and trust for e-wallet users in the digital economy.
[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 5 tháng 2 năm 2025]