Với nhiều nội dung được quy định tại Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/7/2023 sẽ tác động trực tiếp đến hoạt động ngân hàng và không ít ngân hàng gặp một số vướng mắc, lúng túng khi thực hiện, cần sớm được tháo gỡ.
> "Khó vay hay không là do doanh nghiệp chứ không phải do ngân hàng"
> Có doanh nghiệp vay tiền ngân hàng để đầu tư vào chứng khoán, bất động sản
> Cục An ninh mạng khuyến cáo về "bẫy" mua bán tài khoản ngân hàng
Sáng 29/6/2023, Hiệp hội Ngân hàng Việt Nam phối hợp với Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an tổ chức tọa đàm “Triển khai Nghị định số 13/2023/NĐ-CP của Chỉnh phủ về bảo vệ dữ liệu cá nhân”.
Tham dự có TS. Nguyễn Quốc Hùng - Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam; ông Phạm Anh Tuấn - Vụ trưởng Vụ Thanh toán (Ngân hàng Nhà nước Việt Nam); Trung tá Triệu Mạnh Tùng - Phó Cục trưởng Cục A05; ông Nguyễn Thành Đô - Ủy viên Hội đồng Hiệp hội, Phó Chủ tịch HĐQT HDBank; ông Phạm Văn Phong - Ủy viên Hội đồng Hiệp hội, Phó Chủ tịch thường trực HĐQT Sacombank cùng đại diện nhiều tổ chức tín dụng là hội viên Hiệp hội Ngân hàng Việt Nam. Sự kiện được tổ chức dưới hình thức trực tiếp và trực tuyến với khoảng gần 1000 đại biểu tham dự.
TS. Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam
Phát biểu tại buổi tọa đàm, TS. Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam cho biết, Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới, với 2/3 dân số có dữ liệu cá nhân đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng cùng nhiều hình thức và mức độ khác nhau. Theo đó, tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.
Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, ngày 17/4/2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (Nghị định 13), có hiệu lực thi hành kể từ ngày 01/7/2023. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng phản ánh gặp một số vướng mắc, gây lúng túng khi thực hiện. Cụ thể như: Nguyên tắc việc xử lý dữ liệu cá nhân phải được sự đồng ý của chủ thể dữ liệu (trường hợp tổ chức tín dụng nhận dữ liệu cá nhân từ một Bên thứ ba; Chuyển giao quyền, nghĩa vụ trong Hợp đồng, thỏa thuận; Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo; Về các chủ thể tham gia vào quy trình xử lý dữ liệu cá nhân của khách hàng…); Vướng mắc trong phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng; Quyền của các chủ thể dữ liệu (quyền rút lại sự đồng ý, quyền xóa dữ liệu; quyền truy cập…); Yêu cầu về lập Báo cáo đánh giá tác động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài…
Theo TS. Nguyễn Quốc Hùng, để hỗ trợ các tổ chức tín dụng, Hiệp hội Ngân hàng Việt Nam đã phối hợp với Cục A05 tổ chức tọa đàm nhằm trao đổi, giải đáp các vướng mắc trong quá trình triển khai Nghị đinh 13. Cũng như mong muốn, thông qua tọa đàm, lãnh đạo của Cục A05 sẽ giải thích cụ thể những vướng mắc, khó khăn mà các tổ chức tín dụng gặp phải trong quá trình triển khai Nghị định 13.
Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục A05
Trình bày báo cáo tóm lược những vướng mắc, kiến nghị của các tổ chức tín dụng, đại diện Câu lạc bộ Pháp chế Ngân hàng (Hiệp hội Ngân hàng Việt Nam) cho biết, Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2, Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2, Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (Điều 9). Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật.
Mặt khác, đối với hoạt động ngân hàng, việc xử lý dữ liệu cá nhân, tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan là bắt buộc, tất yếu không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý và quản lý rủi ro trong hoạt động ngân hàng, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, với quy định Nghị định 13 như trên sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có quan điểm, hướng dẫn thống nhất để áp dụng.
Bên cạnh đó, Nghị định 13 yêu cầu: (a) Bên kiểm soát và xử lý dữ liệu/ Bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của Chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11); và (b) Trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13). Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của tổ chức tín dụng được thực hiện theo nhiều quy trình, sản phẩm, trong mỗi quy trình, sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp khách hàng có số lượng rất lớn. Để tuân thủ đầy đủ các quy định tại Nghị định 13, quy định này dường như không khả thi và khó có thể thực hiện được. Mặt khác các tổ chức tín dụng sẽ phải dành nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian, tiến độ khi cung cấp dịch vụ của tổ chức tín dụng đến khách hàng do phải tăng thêm các bước vận hành. Khi thay đổi các quy trình xử lý dữ liệu lại phải xin chấp thuận của khách hàng...trong khi các hoạt động xử lý dữ liệu này nhìn chung đều hướng đến mục đích phục vụ nhu cầu, theo yêu cầu của chính khách hàng hoặc nhằm cải thiện chất lượng dịch vụ cung cấp tới khách hàng.
Đại diện Câu lạc bộ Pháp chế Ngân hàng (Hiệp hội Ngân hàng Việt Nam) trình bày báo cáo vướng mắc, kiến nghị.
Cũng theo đại diện Câu lạc bộ Pháp chế Ngân hàng, việc thu thập dữ liệu cá nhân trong hoạt động của các tổ chức tín dụng nhằm mục đích quản lý rủi ro cho nội bộ tổ chức tín dụng, lưu giữ các bằng chứng, dữ liệu giao dịch quan trọng chứng minh trong trường hợp có tranh chấp xảy ra và cũng góp phần bảo vệ quyền và lợi ích hợp pháp của khách hàng trong các giao dịch. Do đó, Nghị định 13 quy định về việc rút lại sự đồng ý hoặc xóa dữ liệu trong một số trường hợp còn ảnh hưởng đến quyền lợi của cả tổ chức tín dụng và khách hàng chứ không có tác dụng bảo vệ. Hơn nữa, việc xóa bỏ dữ liệu cá nhân sẽ gây khó khăn trong ứng xử với các dữ liệu theo hợp đồng thỏa thuận đã ký với ngân hàng, giữa ngân hàng với các bên liên quan, và việc xóa bỏ hoàn toàn dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu có thể ảnh hưởng đến việc tổ chức tín dụng thực hiện cung cấp thông tin, tài liệu cho Cơ quan nhà nước có thẩm quyền (điều tiết bởi Nghị định 117/2018/NĐ-CP).
Liên quan đến các yêu cầu về lập Báo cáo đánh giá tác động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài tại các Điều 24 và Điều 25 của Nghị định 13, đại diện Câu lạc bộ Pháp chế Ngân hàng cho biết, trên thực tế, đối với phần lớn các doanh nghiệp, đặt biệt là các doanh nghiệp hoạt động trong lĩnh vực công nghệ tài chính, thương mại điện tử, dữ liệu cá nhân sẽ được thu thập và xử lý liên tục với khối lượng lớn. Trong suốt quá trình hoạt động, các công ty sẽ tương tác đến dữ liệu cá nhân hàng ngày và việc phát sinh các hoạt động xử lý mới hoặc dữ liệu mới (nhưng vẫn nằm trong mục đích đã đánh giá cũ) là rất thường xuyên, chưa kể đến các hoạt động có tính chất thời vụ có xử lý dữ liệu cá nhân ở phạm vi rất nhỏ như khuyến mại, khảo sát…. Do đó, yêu cầu phải lập báo cáo đánh giá tác động đối với toàn bộ hoạt động xử lý dữ liệu cá nhân sẽ gần như không khả thi, tạo áp lực báo cáo và tăng lượng việc đáng kể lên doanh nghiệp, và cả đơn vị tiếp nhận báo cáo (A05).
Về dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, theo Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 ngày 11/9/2018 của Chính phủ về giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài (Nghị định 117). Tuy nhiên, giữa Nghị định 117 và Nghị định số 13 có một số nội dung chi tiết còn khác nhau và không trùng khớp về đối tượng, phạm vi nên khó khăn trong việc áp dụng. Vì vậy, cần có hướng dẫn cụ thể hơn, theo hướng tổ chức tín dụng thực hiện theo quy định của Nghị định 117.
Tại tọa đàm, đại diện các tổ chức tín dụng đã nêu những khó khăn, vướng mắc cụ thể ở từng đơn vị khi triển khai, mong muốn được lãnh đạo cục A05 và các cơ quan liên quan giải đáp, hướng dẫn.
Đại diện Sacombank
Theo đại diện Sacombank, do Nghị định số 13 đang có “độ vênh” với một số quy định pháp luận hiện hành nên đề nghị cần có lộ trình cụ thể để triển khai hoặc trước mắt, có thể cho phép ngân hàng triển khai áp dụng một phần Nghị định số 13. Đại diện Sacombank cũng đề nghị xem xét tích hợp quy định về cho phép xử lý dữ liệu cá nhân của khách hàng đối với ngân hàng (khách hàng chỉ cần đồng ý 1 lần thay vì mỗi lần xử lý ngân hàng lại phải xin phép khách- PV)
Đại diện VPBank
Đối với xử lý dữ liệu bên thứ 3 liên quan tới khách hàng, theo đại diện VPBank, khi tổ chức tín dụng thu thập thông tin của khách hàng (cá nhân và doanh nghiệp) thì còn thu thập thêm thông tin của những người liên quan đến khách hàng cá nhân như: cha, mẹ, vợ hoặc chồng, con,… Thậm chí tổ chức tín dụng còn thu thập thêm tài khoản giải ngân cho bên thụ hưởng. Như vậy, tổ chức tín dụng có cần phải xin phép bên thứ 3 khi thu thập thông tin? Bởi theo đại diện VPBank, khi khách hàng (cá nhân) cung cấp thông tin cho tổ chức tín dụng thì khách hàng cá nhân phải có trách nhiệm về thông tin cung cấp (được sự đồng ý và ủy quyền của những người liên quan).
Hay tương tự như đối với khách hàng doanh nghiệp thì sẽ phải kê khai tên người đại diện theo pháp luật, kế toán trưởng hoặc những người ủy quyền sử dụng tài khoản, những người có liên quan (như: cha, mẹ, vợ, chồng, con,…) thì tổ chức tín dụng có cần phải lấy sự đồng ý của tất cả các thông tin cá nhân mà khách hàng doanh nghiệp cung cấp?
Tại tọa đàm, đại diện các tổ chức tín dụng cũng cho rằng một số quy định tại Nghị định 13 chưa phù hợp với lĩnh vực ngân hàng cần thống nhất cách hiểu và áp dụng.
Tại tọa đàm, trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục A05 đã tóm lược, phổ biến một số nội dung chính của Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân có liên quan đến hoạt động ngân hàng. Đồng thời, ghi nhận những câu hỏi, ý kiến, đề xuất của đại diện các ngân hàng. Lãnh đạo Cục A05 cho biết, tại buổi tọa đàm sẽ không đủ thời lượng để giải quyết tất cả các vướng mắc của các ngân hàng. Vì thế, Cục A05 sẽ tiếp tục phối hợp với Hiệp hội Ngân hàng Việt Nam, Ngân hàng Nhà nước Việt Nam, nhằm tiếp tục giải đáp, hướng dẫn cho các ngân hàng nhằm thực hiện đúng các quy định pháp luật về bảo vệ dữ liệu cá nhân, phù hợp với thực tiễn hoạt động của ngành ngân hàng.
Quang cảnh tọa đàm
Ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán, Ngân hàng Nhà nước cho rằng Nghị định 13 là một bước tiến lớn trong vấn đề bảo vệ dữ liệu cá nhân, tiệm cận với thông lệ quốc tế. Việc tuân thủ bảo mật thông tin khách hàng là cần thiết, tuy nhiên trong quá trình triển khai, các tổ chức tín dụng phản ánh còn gặp nhiều khó khăn. Ông Tuấn đề nghị Hiệp hội Ngân hàng Việt Nam tiếp tục tổng hợp các vướng mắc theo từng vấn đề cụ thể để tiếp tục làm việc với Cục A05, để có những văn bản hướng dẫn cho toàn hệ thống
Theo TS. Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam cho biết, Hiệp hội Ngân hàng Việt Nam sẽ tiếp tục đồng hành với các tổ chức tín dụng hội viên, trao đổi, thảo luận với Ngân hàng Nhà nước Việt Nam, Cục A05 (Bộ Công an) để cùng tháo gỡ khó khăn cho các tổ chức tín dụng nhằm tạo điều kiện thuận lợi cho người dân khi tiếp cận các dịch vụ tài chính ngân hàng.
TĐ – VNBA News