Ngày 09/6/2022, Hiệp hội Ngân hàng đã tổ chức Hội thảo góp ý dự thảo Nghị định về định danh và xác thực điện tử theo hình thức trực tuyến kết hợp trực tiếp, với sự tham dự của đại diện Cục Cảnh sát Quản lý hành chính về trật tự xã hội Bộ Công an - cơ quan soạn thảo Nghị định; đại diện Văn phòng chính phủ, Vụ Pháp luật hình sự Bộ Tư pháp, Vụ Thanh toán, Cục Công nghệ tin học Ngân hàng Nhà nước - cơ quan quản lý và đại diện các tổ chức hội viên.
Hội thảo dưới sự điều hành của ông Nguyễn Quốc Hùng, Tổng Thư ký Hiệp hội Ngân hàng đã nghe báo cáo tổng hợp các ý kiến góp ý các Tổ chức hội viên đối với dự thảo Nghị định; đồng thời ghi nhận nhiều góp ý trực tiếp bổ sung của đại diệncác Tổ chức hội viên (BIDV, TPBank, MB, Techcombank, ACB…) tham gia hội thảo. Đại diện cơ quan quản lý cũng đã góp ý làm rõ thêm một số Điều trong dự thảo. Đại diện cơ quan soạn thảo trân trọng ghi nhận và tiếp thu ý kiến góp ý tại hội thảo (Xem mục Video).
Tại báo cáo tóm tắt ý kiến góp ý của các Tổ chức hội viên đối với dự thảo Nghị định về định danh và xác thực điện tử, do ông Nguyễn Thành Long, Chủ nhiệm Câu lạc bộ Pháp chế Ngân hàng nêu rõ: Nội dung Nghị định này hết sức quan trọng đối với hoạt động của các Tổ chức hội viên (TCTD, Công ty Fintech, các Trung gian thanh toán…). Trong quá trình lấy ý kiến, Hiệp hội Ngân hàng nhận được rất nhiều ý kiến góp ý của các tổ chức hội viên đối với dự thảo Nghị định, cụ thể như sau:
I. Góp ý chung:
- Quy định dự thảo có thể hiểu rằng tất các các tổ chức cung cấp dịch vụ eKYC hiện nay cũng buộc phải được Bộ Công An cho phép mới đươc hoạt động, việc hoạt động eKYC của tất cả các ngân hàng và tổ chức hiện nay có thể bị xem là chưa phù hợp quy định pháp luật. Do đó, đề nghị cơ quan soạn thảo phân định rõ phạm vi của "Dịch vụ định danh và xác thực điện tử" được hiểu trong nghị định này chỉ là "Dịch vụ định danh và xác thực điện tử có sử dụng dữ liệu cư dân quốc gia" để tránh hiểu lầm với các dịch vụ xác thực người dùng điện tử (eKYC) khác trên thị trường.
- Nội dung dự thảo chủ yếu đề cập đến việc thành lập, cấp phép cho các tổ chức cung cấp dịch vụ định danh và xác thực điện tử. Đề nghị cơ quan soạn thảo xem xét có quy định hướng dẫn cụ thể về việc các tổ chức được phép sử dụng thông tin vào những mục đích gì, phạm vi sử dụng và trách nhiệm liên quan, đặc biệt, là nhóm các tổ chức là TCTD - đã có cơ sở dữ liệu định danh của khách hàng rồi thì việc liên kết dữ liệu đó với cơ sở dữ liệu của Bộ Công an ra sao? Có sử dụng dữ liệu đó khi mà hệ thống Cơ sở dữ liệu Quốc gia chung đi vào hoạt động không hay phải định danh xác thực lại khách hàng. Cần cho phép các TCTD được kết nối, khai thác dữ liệu định danh điện tử cho hoạt động của TCTD nhằm xác minh, xác thực khách hàng cho mục đích phòng chống rửa tiền và gian lận, lừa đảo trong hoạt động tài chính ngân hàng.
- Đối với cơ sở dữ liệu (CSDL) quốc gia, Bộ Công an nên xem xét mở API cho các bên vào đối chiếu không tính phí. Hiện nay, một số nước trong khu vực cũng đang cho gọi miễn phí vào cơ sở dữ liệu, nhưng đương nhiên với điều kiện là bên gọi vào cần đăng ký. Việc này giúp mở rộng dịch vụ ngân hàng và các dịch vụ tài chính nói chung.
- Đối với xác thực điện tử, cấp độ thấp nhất có thể lấy chuẩn của ngân hàng làm baseline-là dựa vào đa yếu tố (MFA), ít nhất là có what you know, what you have và who you are. Còn đối với cấp độ cao nhất cần có VIDEO EKYC để xác thực biometrics. Hiện nay khi hình ảnh cá nhân tràn lan trên mạng, và lại có giả mạo công nghệ cao (deep fake) thì việc xác thực biometrics chỉ dùng 1 hình ảnh mặt (như yêu cầu của Nghị định) là không đủ, khôngđảm bảo chống giả mạo và chống chối bỏ.
- Cân nhắc cho phép ngân hàng làm 1 custodian of digital identity và cho cơ chế xác thực lẫn nhau. Nghĩa là khi 1 khách hàng đã định danh điện tử ở 1 ngân hàng thì qua 1 tổ chức khác giao dịch thì không cần định danh lại nữa, mà chỉ cần tổ chức đó gọi qua ngân hàng để xác thực người dùng. Lý do là vì ngân hàng nói chung có chuẩn định danh tương đối cao hơn các tổ chức khác. Nhiều ngân hàng lại có quản trị rủi ro chặt chẽ và đầu tư vào công nghệ có chuẩn cao, thì định danh người dùng của họ càng có độ tin cậy cao. Việc cho phép ngân hàng làm custodian of identity và định danh lẫn nhau giúp thuận lợi cho người dùng, trên cơ sở đó thúc đẩy thanh toán không dùng tiền mặt phát triển.
- Đề nghị cơ quan soạn thảo bổ sung: (i) nghĩa vụ của công dân khi thay đổi thông tin về danh tính điện tử, phải chủ động khai báo, cập nhật vào tài khoản định danh điện tử; Trách nhiệm của Người đại diện theo pháp luật của tổ chức cập nhật thay đổi các thông tin về danh tính điện tử của tổ chức; (ii) Tính pháp lý của xác thực điện tử nhằm đảm bảo tính chống chối bỏ của chủ thể danh tính điện tử; Cách thức/quy trình để thực hiện tạo tài khoản định danh điện tử để công dân, cơ quan, tổ chức và các bên liên quan có căn cứ thực hiện: cho phép có thể cung cấp tài khoản định danh điện tử mức 2 trên nền tảng di động/web mà không bắt buộc phải thực hiện tại cơ quan công an, phù hợp với chủ trương triển khai Chính phủ số.. …
- Bên cạnh đó, việc định danh điện tử một chủ thể là cá nhân hoặc tổ chức có thể được thực hiện thông qua những giải pháp khác nhau, đồng thời việc sử dụng chữ ký số có xu hướng được áp dụng nhiều hơn trong các giao dịch giữa các cơ quan, tổ chức, cá nhân cũng như giữa các bên cung cấp sản phẩm, dịch vụ và khác hàng. Do đó, đề nghị cơ quan soạn thảo nghiên cứu, xem xét đồng bộ, tích hợp các giải pháp định danh điện tử các cá nhân, tổ chức như cấp chứng thư số khi thực hiện cấp tài khoản định danh điện tử cho cá nhân, cơ quan, tổ chức.
- Hiện nay các cơ quan có thẩm quyền có một số ứng dụng khác như PC Covid, VSSID, Sổ sức khỏe điện tử… Đề nghị các cơ quan phối hợp thống nhất trên một ứng dụng để tạo thuận lợi cho người dân khi sử dụng.
- Dự thảo Nghị định quy định rất nhiều nội dung mới, đề nghị Ban soạn thảo xem xét, bổ sung giải thích các thuật ngữ để thống nhất cách hiểu: số định danh cá nhân, số định danh của người nước ngoài, mã số tổ chức, chủ thể danh tính số biết, chủ thể danh tính số sở hữu, dữ liệu gốc,..., đồng thời làm rõ sự khác nhau giữa các khái niệm có liên quan được đề tập tại Nghị định như: "Dịch vụ trên mội trường mạng", “Danh tính số” và "Danh tính điện tử", "Môi trường" và "Môi trường điện tử"; nền tảng định danh; cơ quan quản lý nền tảng định danh và xác thực điện tử quốc gia …
II. Góp ý cụ thể đối với dự thảo Nghị định:
1. Phạm vi điều chỉnh, đối tượng áp dụng (Điều 1, Điều 2)
Tại Điều 1 Dự thảo Nghị định, đề nghị quy định rõ phạm vi áp dụng chỉ liên quan tới Hệ thống định danh điện tử quốc gia và các dịch vụ đi kèm có sử dụng định danh điện tử bằng Dữ liệu cư dân quốc gia để tránh gây hiểu lầm với các dịch vụ xác thực danh tính khách hàng(eKYC) mà các cơ quan tổ chức tự thu thập và định danh đang áp dụng hiện nay.
2. Về giải thích từ ngữ (Điều 3)
a. Khoản 8 Điều 3 Dự thảo Nghị định quy định: “8. “Xác thực điện tử” là hoạt động xác thực chủ thể danh tính điện tử và xác thực thông tin của chủ thể danh tính điện tử.” Phạm vi của các hoạt động được xem là xác thực điện tử chưa được quy định rõ ràng. Đề nghị cơ quan soạn thảo làm rõ được các hoạt động xác minh của các Ngân hàng đang thực hiện hiện nay có phải là xác thực điện tử hay không?
b. Đề nghị cơ quan soạn thảo làm rõ “Cơ sở dữ liệu định danh điện tử quốc gia” là một cơ sở độc lập hoàn toàn với các cơ sở dữ liệu khác hay khai thác (một phần) thông tin từ các cơ sở dữ liệu liên quan này.
3. Về nguyên tắc định danh và xác thực điện tử (Điều 4)
Điều 4 Dự thảo Nghị định quy định về các nguyên tắc định danh và xác thực điện tử, Dự thảo đang chỉ ghi nhận nguyên tắc chung đối với công dân, do đó, đề nghị cơ quan soạn thảo xem xét có quy định nguyên tắc định danh và xác thực điện tử đối với tổ chức, người nước ngoài.
4. Về khai thác thông tin trong hệ thống định danh và xác thực điện tử (Điều 5)
a. Khoản 2 Điều 5 Dự thảo Nghị định quy định: “2. Các tổ chức, cá nhân không thuộc khoản 1 Điều này khai thác thông tin của chủ thể danh tính điện tử trong hệ thống định danh và xác thực điện tử qua dịch vụ định danh và xác thực điện tử khi được sự đồng ý của chủ thể danh tính điện tử”. Đề nghị cơ quan soạn thảo xem xét bổ sung quy trình, thủ tục để các tổ chức, doanh nghiệp trên xin phép cơ quan quản lý với hệ thống định danh và xác thực điện tử quốc gia để được kết nối. Bổ sung trường hợp ngoại lệ nếu chỉ scan QR code trên Căn cước công dân gắn chíp thì không bắt buộc phải sử dụng thiết bị chuyên dụng do Bộ Công an cung cấp.
b. Khoản 3 Điều 5 Dự thảo Nghị định quy định: “3. Các cơ quan, tổ chức thực hiện việc khai thác thông tin trong hệ thống định danh và xác thực điện tử qua ứng dụng VNeID, thẻ Căn cước công dân gắn chíp điện tử bằng thiết bị, phần mềm đáp ứng yêu cầu kỹ thuật do Bộ trưởng Bộ Công an hướng dẫn”. Đề nghị cơ quan soạn thảo hướng dẫn rõ cơ quan, tổ chức, doanh nghiệp cần tham chiếu đến quy định nào để thực hiện kết nối, xác thực với hệ thống định danh và xác thực điện tử.
c. Bên cạnh đó, đề nghị cơ quan soạn thảo xem xét quy định rõ cách sử dụng ứng dụng như thế nào? Xuất trình/cung cấp thông tin cụ thể gì để sử dụng? Hướng dẫn quy trình/các bước cụ thể về việc khai thác và sử dụng thông tin định danh điện tử.
5. Về danh tính điện tử của công dân Việt Nam (Điều 7)
a. Khoản 2 Điều 7 dự thảo Nghị định quy định danh tính điện tử của công dân Việt Nam trong đó gồm thông tin sinh trắc học: ảnh chân dung và vân tay (thu nhận trực tiếp tại nơi đăng ký cấp tài khoản). Với quy định như vậy, Nghị định đang giới hạn các đặc điểm, loại hình sinh trắc học để xác thực danh tính điện tử của cá nhân. Trường hợp sau này phát sinh và phổ biến các loại hình, thông tin sinh trắc học khác như: giọng nói, mống mắt, võng mạc, yếu tố sinh học khác… thì sẽ chưa có quy định để điều chỉnh và áp dụng. Ngoài ra, bất kỳ công dân nào cũng có thể cung cấp ảnh chân dung được chụp tại bất kỳ thời điểm nào mà bức ảnh đó có thể không giống với chủ thể được chụp, chưa kể có thể được chỉnh sửa hay can thiệp bằng kỹ thuật số, làm mất mục đích của việc “sinh trắc học” hoặc nhận diện danh tính. Do đó, cần có quy định hay yêu cầu cụ thể đối với ảnh chân dung của công dân khi cung cấp cho mục đích xác định hay đăng ký danh tính điện tử.
Đề nghị cơ quan soạn thảo xem xét bổ sung Khoản 2 Điều 7 như sau “Thông tin sinh trắc học: Ảnh chân dung, vân tay (thu nhận trực tiếp tại nơi đăng ký cấp tài khoản) và các thông tin sinh trắc học khác được pháp luật quy định”. Đề xuất bổ sung tương tự như trên đối với Khoản 2 Điều 8 quy định về thông tin sinh trắc học của danh tính điện tử của người nước ngoài.
b. Điều 7 Dự thảo Nghị định liệt kê các thông tin cá nhân như Số định danh, họ tên, ngày sinh, sinh trắc học… đây là các thông tin cá nhân được sử dụng để tạo ra, gắn liền với Danh tính điện tử của một cá nhân/tổ chức. Đơn vị soạn thảo cần làm rõ Danh tính điện tử được tạo ra phải gắn liền với 1 trong các trường thông tin này hay phải gắn liền với tổ hợp của các trường thông tin để định danh một cá nhân. Ví dụ 2 cá nhân có thể trùng Họ và Tên, trùng Ngày tháng năm sinh. Bên cạnh đó, đề nghị cơ quan soạn thảo xem xét bổ sung thêm số giấy tờ tùy thân của khách hàng, cụ thể là số CCCD Chip, số hộ chiếu,…Ngân hàng thường xác thực khách hàng dựa vào các thông tin này; Bổ sung định nghĩa và phạm vi “Thông tin cá nhân” để thống nhất với các quy định pháp luật hiện hành về thông tin cá nhân.
Ngoài ra, tại Điều 7 Dự thảo Nghị định này cũng chưa có thông tin thành viên hộ gia đình/mối liên hệ nhân thân của cá nhân. Hiện nay, việc xác định thành viên HGĐ/kiểm tra thông tin thành viên HGĐ trong trường hợp sử dụng đất của HGĐ cần có xác nhận/trích lục hộ khẩu của hộ gia đình. Thông tin tình trạng hôn nhân của các cá nhân khi được thường trú qua nhiều giai đoạn ở nhiều nơi thực hiện khó khăn khi có yêu cầu (để xác định tài sản chung/riêng). Do đó, đề nghị cơ quan soạn thảo xem xét bổ sung thêm thông tin thành viên HGĐ theo từng thời điểm giai đoạn/chuyển/nhập khẩu (giai đoạn nào? ở đâu? Bao nhiêu thành viên HGĐ liên quan); Bổ sung thông tin tình trạng hôn nhân của cá nhân qua các giai đoạn thời gian cư trú.
6. Về các thông tin thuộc danh tính điện tử (Điều 7, Điều 8, Điều 9)
Điều 7, Điều 8, Điều 9 Dự thảo quy định về các thông tin thuộc Danh tính điện tử của công dân Việt Nam, của người nước ngoài, của tổ chức. Tuy nhiên, một số trường hợp chưa được quy định cụ thể: người giám hộ trong trường hợp khách hàng đăng ký là người chưa đủ 14 tuổi; thông tin về công dân Việt Nam, người nước ngoài, tổ chức có nằm trong Danh sách đen của phòng chống rửa tiền hay không. Các thông tin chưa rõ quy định là thông tin tại thời điểm hiện tại, thông tin đã được cập nhập hay có hiển thị lịch sử thay đổi thông tin hay không. Đơn vị soạn thảo xem xét, bổ sung thêm thông tin trong các trường hợp đã nêu trên để thuận tiện trong việc sử dụng thông tin.
Do đó, đề nghị cơ quan soạn thảo xem xét, bổ sung quy định nhằm xác định thông tin này là thông tin mới nhất hay tính đến ngày nào, và thông tin này có hiển thị lịch sử thay đổi hay không.
7. Về danh tính điện tử của tổ chức (Điều 9)
Đối với doanh nghiệp hiện nay đều có email và số điện thoại, do đó, đề nghị cơ quan soạn thảo xem xét bổ sung thêm thông tin tổ chức dùng để xác định danh tính điện tử như sau: Số điện thoại; Email (nếu có).
8. Về kích hoạt tài khoản định danh điện tử (Điều 18)
Đề nghị cơ quan soạn thảo bổ sung thêm phương thức chủ động kích hoạt từ xa thay vì phải đến cơ quan Công an để thực hiện kích hoạt nếu sau 7 ngày cá nhân, tổ chức chưa kịp thực hiện kích hoạt. Bên cạnh đó, đề nghị cơ quan soạn thảo xem xét bổ sung thêm phương thức kích hoạt trên nền web.
9. Về khóa tài khoản định danh điện tử (Điều 19)
a. Điểm b của các Khoản 1, Khoản 2, Khoản 3 Điều 19 Dự thảo Nghị định quy định: “b) Cơ quan tiến hành tố tụng, cơ quan chức năng có thẩm quyền hoặc bên sử dụng dịch vụ có yêu cầu khóa tài khoản định danh điện tử thì gửi đề nghị khóa tài khoản tới cơ quan Công an để xem xét, giải quyết.” Đề nghị cơ quan soạn thảo làm rõ: Bên sử dụng dịch vụ cụ thể là những bên nào? Bổ sung định nghĩa về bên sử dụng dịch vụ tại Nghị định; Xem xét lại việc yêu cầu khóa tài khoản của bên sử dụng dịch vụ có thuộc trường hợp chủ thể danh tính điện tử vi phạm điều khoản dịch dịch vụ đã thỏa thuận với cơ quan cấp tài khoản định danh điện tử.
b. Đề nghị cơ quan soạn thảo xem xét bổ sung quy định: Trường hợp chủ thể danh tính điện tử yêu cầu khóa: Nơi tiếp nhận yêu cầu khóa, trình tự, thủ tục, Hồ sơ, mẫu biểu cần cung cấp như thế nào ? Trường hợp cơ quan chức năng chủ động khóa: khi nào hệ thống tự động khóa, khi nào thực hiện thủ công, cơ quan nào chịu trách nhiệm thực hiện, hồ sơ/căn cứ chứng minh là gì (bằng chứng vi phạm/khai tử…); đề nghị làm rõ trường hợp nào “Bên sử dụng dịch vụ” được quyền yêu cầu khóa tài khoản định danh điện tử.
Bên cạnh đó, các trường hợp người mắc bệnh tâm thần, hoặc bệnh khác làm mất khả năng điều khiển hành vi của mình thì tài khoản định danh điện tử có thuộc trường hợp khóa không? Đề nghị cơ quan soạn thảo xem xét quy định rõ vấn đề này.
10. Về dịch vụ định danh và xác thực điện tử (Điều 28)
Đề nghị có quy định cụ thể phạm vi áp dụng đối với nội dung này chỉ áp dụng cho các dịch vụ định danh và xác thực điện tử có sử dụng dữ liệu dân cư quốc gia để phân định với các dịch vụ eKYC hiện tại. Tương tự đối với điều 29, chỉ áp dụng với các Công ty cung cấp dịch vụ Định danh và xác thực điện tử có sử dụng dữ liệu dân cư quốc gia.
11. Điều kiện cung cấp dịch vụ định danh và xác thực điện tử (Điều 29)
Chưa quy định rõ rằng chỉ đối với các đơn vị thực hiện định danh điện tử bằng dữ liệu cư dân Quốc gia thì mới cần thiết phải được cấp phép bởi Bộ Công an, để tránh làm ảnh hưởng và hiểu lầm tới cá dịch vụ eKYC đang cung cấp và triển khai trên thị trường.Cần làm rõ đây là các dịch vụ định danh và xác thực điện tử "có sử dụng dữ liệu cư dân Quốc gia" để tránh hiểu lầm với các dịch vụ xác minh danh tính điện tử bằng eKYC khác.
Điểm d Khoản 4 Điều 29 quy định Tổ chức, doanh nghiệp đề nghị cấp giấy phép phải có Đề án hoạt động cung cấp dịch vụ bao gồm các tài liệu sau;…”. Chi tiết các nội dung/yêu cầu/điều kiện của các hồ sơ thuyết minh, các phương án bảo vệ dữ liệu, phương án khắc phục thảm họa, phương án kết nối cụ thể là gì?Đề nghị xem xét bổ sung quy định làm rõ, quy định hướng dẫn, mẫu biểu Đề án.
12. Hồ sơ, trình tự thủ tục cấp giấy chứng nhận đủ điều kiện cung cấp dịch vụ định danh và xác thực điện tử (Điều 30)
Khoản 2 Điều 30 quy định Trình tự, thời hạn và cách thức cấp Giấy phép:Đối với trường hợp nộp qua cổng dịch vụ công trực tuyến, đề nghị ghi nhận cụ thể địa chỉ website của công dịch vụ công trực tuyến tại khoản này.
Đề nghị xem xét, bổ sung quy định về việc tổ chức/doanh nghiệp xin cấp phép được bổ sung hồ sơ trong trường hợp: - Bộ Công an yêu cầu bổ sung hồ sơ sau thời điểm được quy định tại Điểm b Khoản 2 Điều 30; - Bổ sung hồ sơ sau thời điểm Bộ Công an lấy ý kiến các bộ/cơ quan ngang bộ có liên quan sau thời điểm được quy định tại Điểm c Khoản 2 Điều 30.
13. Cấp lại, thay đổi Giấy phép cung cấp dịch vụ định danh và xác thực điện tử (Điều 31)
Đề nghị làm rõ Tổ chức Đề nghị cấp Giấy phép đủ điều kiện cung cấp dịch vụ định danh và xác thực điện tử có phải nộp lệ phí cấp Giấy phép không?Các trường hợp sử dụng Giấy chứng nhận đủ điều kiện và các hành vi nghiêm cấm.
14. Thu hồi giấy phép cung cấp dịch vụ định danh và xác thực điện tử (Điều 33)
Cần quy định rõ mức độ xác thực cần sử dụng cho từng loại thông tin trên ứng dụng VNeID để đảm bảo an toàn bảo mật thông tin người dùng trên App.
15. Về ký quỹ và sử dụng tiền ký quỹ của Tổ chức cung cấp dịch vụ định danh và xác thực điện tử (Điều 34)
- Đề nghị cơ quan soạn thảo xem xét bổ sung khái niệm “Ký quỹ” theo hướng: “Tiền ký quỹ là khoản tiền đảm bảo việc thực hiện các nghĩa vụ của Tổ chức cung cấp dịch vụ định danh và xác thực điện tử đối với khách hàng sử dụng dịch vụ định danh và xác thực điện tử và Nhà nước trong các trường hợp quy định tại Nghị định này.” để đảm bảo phù hợp với Điều 292, Điều 230 Bộ Luật dân sự và Điều 39 Nghị định số 21/2021/NĐ-CP ngày 19/3/2021 của Chính phủ về quy định thi hành Bộ Luật dân sự về bảo đảm thực hiện nghĩa vụ
- Đề nghị cơ quan soạn thảo xem xét, bổ sung quy định về việc rút tiền ký quỹ và sử dụng tiền ký quỹ, trong đó cần làm rõ về: những trường hợp được rút, sử dụng tiền ký quỹ; căn cứ để rút, sử dụng tiền ký quỹ; trình tự, thủ tục rút, sử dụng tiền ký quỹ.
16. Trách nhiệm của Bộ Công an (Điều 39) (Điều 40 Dự thảo 1)
- Đề nghị bổ sung trách nhiệm đầu mối đánh giá, cấp phép cho các nhà cung cấp dịch vụ định danh điện tử?
- Tại Điều 39 quy định về “Trách nhiệm của Bộ Công an”, đề nghị bổ sung thêm trách nhiệm của Bộ Công an trong việc cung cấp các thiết bị chuyên dụng cho các cá nhân, cơ quan, tổ chức khai thác thông tin trong hệ thống định danh điển tử bằng thẻ CCCD gắn chip.
17. Về dữ liệu định danh và xác thực điện tử và kết nối cơ sở hạ tầng, kỹ thuật
Đề nghị cơ quan soạn thảo quy định rõ hơn về định dạng dữ liệu lưu trữ, cụ thể về dữ liệu thông tin cá nhân và dữ liệu về sinh trắc học. Dữ liệu sẽ lưu trữ theo tiêu chuẩn kỹ thuật và công nghệ gì? Từ dữ liệu đó các Tổ chức tín dụng cần chuẩn bị công nghệ, hạ tầng phù hợp để có thể tiếp nhận và giải mã; Về kết nối cơ sở hạ tầng giữa tổ chức tín dụng và đơn vị cung cấp dịch vụ hoặc Bộ Công an và ai sẽ đứng ra làm chủ trì và hướng dẫn cụ thể về việc kết nối này để đảm bảo đúng chuẩn. Đồng thời đề nghi cơ quan soạn thảo quy định rõ hơn về hệ thống lưu trữ, tiêu chuẩn kỹ thuật về máy chủ, cấu hình, lưu trữ on Prem hay on cloud,... Ngoài ra, đề nghị cơ quan soạn thảo xem xét quy định nguồn dữ liệu sẽ chỉ là một chiều từ Bộ Công an gửi đi tới các tổ chức tín dụng hay có thể thu thập ngược lại từ nguồn dữ liệu của các tổ chức tín dụng.Khi có sự sai sót về dữ liệu thì đơn vị nào sẽ là đầu mối xử lý và chịu trách nhiệm: Bộ Công an hay các đơn vị được Bộ Công an chọn làm nhà cung cấp dịch vụ.
18. Về cập nhật thông tin định danh, văn bản pháp luật ban hành mới cũng như vai trò từ Ngân hàng Nhà nước
Ngân hàng Nhà nước cần phối hợp với Bộ Công an và các Bộ, ban, ngành liên quan để xây dựng các văn bản, quy định riêng đối với đơn vị sử dụng dữ liệu là các Tổ chức tín dụng, thậm chí các tổ chức tín dụng cũng có thể là đơn vị đầu mối được Bộ Công an lựa chọn để làm đơn vị cung cấp dữ liệu. Quy định cụ thể vể việc này như thế nào.
Ngân hàng Nhà nước cũng cần có ý kiến về việc hiện các ngân hàng đã có cơ sở dữ liệu định danh của khách hàng rồi thì việc liên kết dữ liệu đó với cơ sở dữ liệu của Bộ Công an ra sao? Có sử dụng dữ liệu đó khi mà hệ thống CSDL Quốc gia chung đi vào hoạt động không hay phải định danh xác thực lại khách hàng.
Ngân hàng Nhà nước cũng có ý kiến với Bộ Công an khi triển khai kết nối hạ tầng và CSDL để đảm bảo tính thống nhất, và chi phí triển khai phù hợp. Trong nghị định cần nêu rõ hơn về việc cập nhật thông tin định danh của cá nhân, tổ chức. Việc cập nhật thông tin được thực hiện ở đâu (chỉ tại đơn vị Công an cấp phường/xã, quận/huyện, bộ Công an,...) hay có thể cập nhật sửa đổi tại các đơn vị khác hoặc tổ chức tín dụng; Cần có một hành lang pháp lý chi tiết với những quy định cụ thể tránh việc có thể hiểu theo nhiều cách với cùng một văn bản pháp luật.
Đề nghị cơ quan soạn thảo xem xét quy định rõ ràng hơn về an toàn, bảo mật dữ liệu cũng như việc lưu trữ dữ liệu khi được phép và không được phép từ cá nhân hoặc tổ chức được định danh.
