Sáng nay (29/6), Hiệp hội ngân hàng Việt Nam phối hợp với Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao tổ chức toạ đàm về Triển khai Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân.
Ông Nguyễn Quốc Hùng, Tổng thư ký Hiệp hội ngân hàng cho biết, Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới, dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau, theo đó tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi đó các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.
Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định số 13 về bảo vệ dữ liệu cá nhân, và có hiệu lực từ ngày 01/7/2023. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các Tổ chức tín dụng phản ánh gặp một số vướng mắc, gây lúng túng khi thực hiện.
Cụ thể, các ngân hàng cho rằng hoạt động các TCTD đã được điều chỉnh bởi các pháp luật chuyên ngành như Luật các TCTD, Luật Phòng chống rửa tiền, Nghị định 117/2018/NĐ-CP về giữa bí mật, cung cấp thông tin khách hàng của TCTD, chi nhánh ngân hàng nước ngoài, Thông tư 09 năm 2020 của NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng đã hướng dẫn cụ thể về việc bảo vệ dữ liệu cá nhân Khách hàng,… Các TCTD hoàn toàn đã có hành lang pháp lý đầy đủ để triển khai, tuân thủ việc bảo vệ dữ liệu Khách hàng theo các quy định nêu trên. Tuy nhiên, với sự ra đời của NĐ 13 có sự xung đột pháp luật.
Chẳng hạn, Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9).
Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quyphạm pháp luật cấp độ dưới Luật. Mặt khác, đối với hoạt động ngân hàng, việc xử lý dữ liệu cá nhân, tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan là bắt buộc, tất yếu không chỉ để cung cấp dịch cho khách hàng mà còn để quản lý và quản lý rủi ro trong hoạt độngNgân hàng, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu kháchhàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, với quy định NĐ13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có quan điểm, hướng dẫn thống nhất để áp dụng.
Ngoài ra, NĐ 13 yêu cầu: (a) Bên kiểm soát và xử lý dữ liệu/ Bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của Chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11); và (b) Trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13).
Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của TCTD được thực hiện theo nhiều quy trình/sản phẩm, trong mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp Khách hàng có số lượng rất lớn.
Để tuân thủ đầy đủ các quy định tại NĐ 13, quy định này dường như không khả thi và khó có thể thực hiện được; mặt khác các TCTD sẽ phải dành nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian/tiến độ khi cung cấp dịch vụ của TCTD đến Khách hàng do phải tăng thêm các bước vận hành.
Khi thay đổi các quy trình xử lý dữ liệu lại phải xin chấp thuận của khách hàng…trong khi các hoạt động xử lý dữ liệu này nhìn chung đều hướng đến mục đích phục vụ nhu cầu, theo yêu cầu của chính Khách hàng hoặc nhằm cải thiện chất lượng dịch vụ cung cấp tới Khách hàng. Điều này gây nhiều khó khăn và nhiều ngân hàng nhận định là không khả thi và khó có thể thực hiện.