Ngân hàng trông chờ hướng dẫn về quy định bảo vệ dữ liệu cá nhân
Nhiều nội dung quy định trong Nghị định 13/2023 về bảo vệ dữ liệu cá nhân vừa có hiệu lực thi hành từ ngày 1-7 đang khiến các ngân hàng lúng túng khi thực hiện.
Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân (DLCN), Chính phủ đã ban hành Nghị định 13/2023 về bảo vệ DLCN. Nghị định chính thức có hiệu lực từ ngày 1-7 vừa qua. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý DLCN.
Hệ lụy của việc lộ thông tin cá nhân
Hiện nay, việc lộ thông tin cá nhân như số điện thoại, số CMND/CCCD không chỉ là miếng mồi béo bở để những người mua bán DLCN trái phép tiếp tục hoành hành mà còn khiến nhiều người bỗng dưng trở thành con nợ dù chưa từng vay ở bất cứ ngân hàng hay công ty tài chính (CTTC) nào.
Chia sẻ về câu chuyện bỗng dưng bị nợ xấu, anh Tấn Phát (quận Tân Bình, TP.HCM) nói: “Cách đây hai tháng, thông qua cơ quan, tôi làm hồ sơ để vay tiền Quỹ CEP. Tuy nhiên, tôi bị quỹ này từ chối với lý do dính nợ xấu 4 triệu đồng tại một CTTC. Hệ thống CIC đưa tôi vào “danh sách đen” nên không thể tiếp cận vay vốn ở bất cứ tổ chức tín dụng nào khác nữa. Tôi vô cùng sốc, vì suốt 20 năm qua tôi chưa từng vay vốn tại bất cứ ngân hàng nào, cũng chưa từng mở thẻ tín dụng tại bất cứ CTTC nào”.
Đại diện một CTTC thừa nhận: “Trong quá trình xử lý nợ xấu, chúng tôi đã từng gặp trường hợp khách hàng không hề vay tiền nhưng vẫn bị nợ xấu. Phần lớn những trường hợp này là do khách hàng đã bị lộ thông tin cá nhân, mất CMND/CCCD dẫn đến kẻ gian sử dụng thông tin cá nhân của khách hàng để đi vay tín chấp”.
Quy định về bảo vệ DLCN còn nhiều hạn chế
Để quản lý việc sử dụng và bảo vệ DLCN, Chính phủ đã ban hành Nghị định 13/2023, vừa có hiệu lực ngày 1-7.
Đánh giá về nghị định này, TS Nguyễn Quốc Hùng, Tổng thư ký Hiệp hội Ngân hàng, cho biết: Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Hiện có tới hơn 2/3 DLCN của người dân nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau.
Vấn đề trên khiến thực trạng mất an toàn dữ liệu, mua bán, trao đổi DLCN trái phép diễn ra ngày càng phổ biến. Trong khi đó, các quy định về bảo vệ DLCN còn nhiều hạn chế, chưa có sự thống nhất.
Nhiều ngân hàng đang gặp khó khi thực hiện việc bảo mật dữ liệu cá nhân của khách hàng theo quy định tại Nghị định 13/2023. Ảnh: T.LINH
“Do đó, với Nghị định 13 về bảo vệ DLCN mà Chính phủ vừa ban hành là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý DLCN” - ông Hùng nhận định.
Tuy nhiên, theo ông Hùng, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng phản ánh gặp một số vướng mắc, gây lúng túng khi thực hiện.
Đơn cử tại Điều 9 của nghị định quy định chủ thể dữ liệu có quyền được biết về hoạt động xử lý DLCN của mình; có quyền không đồng ý xử lý DLCN của mình; có quyền rút lại sự đồng ý của mình; có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp luật khác có quy định khác.
Cần văn bản hướng dẫn nghị định
Lãnh đạo một ngân hàng cho biết hiện nay toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới luật.
Hơn nữa, trong hoạt động ngân hàng, việc xử lý DLCN như thu thập, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp truy xuất, mã hóa, giải mã, sao chép, chia sẻ, cung cấp, chuyển giao, xóa, hủy DLCN… là tất yếu.
Những việc này không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý, quản lý rủi ro nhằm đảm bảo an toàn, an ninh của hệ thống. Do đó, nhiều hoạt động xử lý dữ liệu khách hàng cá nhân là không thể nếu buộc phải có sự đồng ý của khách hàng.
“Vậy nên với hàng loạt quy định nêu trên trong Nghị định 13 sẽ gây khó khăn khi áp dụng vào thực tế triển khai trong hoạt động của ngành ngân hàng. Để thuận tiện hơn cho quá trình triển khai Nghị định 13, các ngân hàng đang rất cần văn bản hướng dẫn nghị định” - vị đại diện nói.
Trong lúc chờ đợi các văn bản hướng dẫn cụ thể của các cơ quan chức năng, các ngân hàng đang tiến hành gửi thông báo tới khách hàng về việc triển khai thực hiện Nghị định 13/2023 về bảo vệ DLCN.
Chẳng hạn như Ngân hàng TMCP Bản Việt (BVBank), Ngân hàng TMCP Bưu điện Liên Việt (LPBank), Ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank)… đã gửi thông báo đến khách hàng về việc cập nhật “các điều khoản và điều kiện chung về bảo vệ DLCN”.
Theo đó, các ngân hàng cho biết trong quá trình thiết lập thỏa thuận sử dụng các sản phẩm, dịch vụ tài chính giữa ngân hàng và khách hàng, các ngân hàng cần thu thập và xử lý DLCN của khách hàng, dữ liệu của các cá nhân có liên quan đến khách hàng (chủ thể dữ liệu). Song các ngân hàng cam kết tôn trọng quyền riêng tư và bảo vệ DLCN của chủ thể dữ liệu theo quy định của pháp luật.
Tăng cường kiểm tra nội bộ đối với bảo mật thông tin của khách hàng
Ngay sau khi Nghị định 13/2023 chính thức có hiệu lực, Quyền Chánh Thanh tra, giám sát ngân hàng (thuộc Ngân hàng Nhà nước) Nguyễn Tuấn Anh đã ký văn bản chỉ đạo các ngân hàng thương mại về việc bảo mật thông tin của khách hàng.
Theo đó, cơ quan thanh tra, giám sát ngân hàng yêu cầu các tổ chức tín dụng rà soát, hoàn thiện nội dung quy định về giữ bí mật, lưu trữ và cung cấp thông tin của khách hàng (nếu cần thiết), đảm bảo tuân thủ quy định của pháp luật.
Đồng thời, các tổ chức tín dụng cần tăng cường kiểm tra, kiểm soát nội bộ đối với công tác bảo mật thông tin của khách hàng trên toàn hệ thống. Các ngân hàng cần chủ động quyết liệt triển khai các biện pháp phòng ngừa, ngăn chặn nhằm đảm bảo bảo mật thông tin của khách hàng theo quy định của pháp luật và quy định nội bộ... Quá trình triển khai không để xảy ra trường hợp vi phạm pháp luật nhằm bảo vệ quyền và lợi ích hợp pháp của khách hàng.
