Tổ chức tín dụng 'lúng túng' khi triển khai Nghị định 13 về bảo vệ dữ liệu cá nhân

Tham dự Tọa đàm có: Ông Nguyễn Quốc Hùng - Phó Chủ tịch kiêm Tổng Thư ký VNBA; ông Phạm Anh Tuấn – Vụ trưởng Vụ Thanh toán Ngân hàng Nhà nước; Trung tá Triệu Mạnh Tùng - Phó Cục trưởng, A05, Bộ Công an; đại diện lãnh đạo các Vụ, Cục thuộc NHNN, A05 Bộ Công an; đại diện các TCTD và các thành viên Nhóm công tác Ngân hàng nước ngoài (BWG).

Phát biểu khai mạc Tọa đàm, Phó Chủ tịch kiêm Tổng Thư ký VNBA Nguyễn Quốc Hùng cho biết, Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.

“

Trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các TCTD đã phản ánh một số vướng mắc, gây lúng túng khi thực hiện cụ thể quy định liên quan đến một số vấn đề như: Nguyên tắc việc xử lý dữ liệu cá nhân; phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng; quyền của các chủ thể dữ liệu...

Ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký VNBA

Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP (Nghị định 13) về bảo vệ dữ liệu cá nhân và có hiệu lực từ ngày 1/7/2023. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.

Tuy nhiên, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các TCTD đã phản ánh một số vướng mắc, gây lúng túng khi thực hiện cụ thể quy định liên quan đến một số vấn đề như: Nguyên tắc việc xử lý dữ liệu cá nhân; phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng; quyền của các chủ thể dữ liệu (quyền rút lại sự đồng ý, quyền xóa dữ liệu; quyền truy cập…); yêu cầu về lập Báo cáo đánh giá tác động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài.

Với những vướng mắc trên, Phó Chủ tịch kiêm Tổng Thư ký Nguyễn Quốc Hùng bày tỏ hy vọng, qua buổi Tọa đàm, lãnh đạo của A05 sẽ giải thích cụ thể những vướng mắc, khó khăn mà các TCTD gặp phải trong quá trình triển khai Nghị định 13.

Thực trạng triển khai quy định bảo vệ dữ liệu cá nhân tại Việt Nam

Phát biểu tại Tọa đàm, Trung tá Triệu Mạnh Tùng - Phó Cục trưởng, A05 - Bộ Công an cho biết, mặc dù hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ “dữ liệu cá nhân” trước khi Nghị định 13 được ban hành, chưa có định nghĩa về dữ liệu cá nhân cũng như bảo vệ dữ liệu cá nhân. Nhưng các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình, cùng với các quy định liên quan đến thông tin cá nhân, thông tin riêng, thông tin số,… đã được quy định trong các văn bản hiện hành. Do đó, Nghị định 13 được xây dựng, tiếp cận theo hướng dữ liệu cá nhân và bảo vệ dữ liệu cá nhân là vấn đề liên quan đến quyền riêng tư được pháp luật bảo vệ phù hợp tinh thần của hiến pháp.

“

Nghị định 13 được xây dựng, tiếp cận theo hướng dữ liệu cá nhân và bảo vệ dữ liệu cá nhân là vấn đề liên quan đến quyền riêng tư được pháp luật bảo vệ phù hợp tinh thần của hiến pháp.

Trung tá Triệu Mạnh Tùng - Phó Cục trưởng, A05 - Bộ Công an

Để thực hiện chủ trương, chính sách của Đảng, Nhà nước, bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật, dữ liệu cá nhân là vấn đề liên quan chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin, Chính phủ số và kinh tế số… Thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này.

Trung tá Triệu Mạnh Tùng cho biết, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân ở Việt Nam. Điều này đặt ra yêu cầu đối với nghị định bảo vệ dữ liệu cá nhân, bảo đảm hài hòa với thông lệ quốc tế, nhưng cũng phải tạo môi trường kinh doanh bình đẳng và thượng tôn pháp luật tại Việt Nam.

Theo thống kê của Bộ Công an, trước khi Nghị định số 13 được ban hành, Việt Nam có tổng cộng 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân, trong đó có: Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 18 nghị định, 4 thông tư và thông tư liên tịch, 1 quyết định của Bộ trưởng. Tuy nhiên, tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.

Trung tá Triệu Mạnh Tùng cho rằng, hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ dữ liệu cá nhân, do đó chưa có định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.

Hiện nay, có hơn 10 khái niệm thuật ngữ liên quan đến thông tin cá nhân được diễn giải theo những cách khác nhau. Nhưng khái niệm này được coi là tương đồng. Riêng khái niệm về thông tin cá nhân được coi là tương đồng và gần gũi nhất với khái niệm dữ liệu cá nhân.

Về cụm từ “thông tin cá nhân” đã xuất hiện ở hơn 300 văn bản quy phạm pháp luật nhưng chỉ có 7 văn bản quy phạm pháp luật có định nghĩa, diễn giải thế nào là thông tin cá nhân, số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong các nội dung, các quy định, chưa đưa ra, giải thích hay dẫn chiếu, giải thích đến văn bản pháp luật khác.

Điều này đặt ra khó khăn lớn đối với công tác xây dựng Nghị định, quy định về bảo vệ dữ liệu cá nhân trong bảo đảm tính tương thích, đồng bộ với toàn bộ nội dung các văn bản pháp luật hiện có. Nguyên nhân là các văn bản này đang diễn giải việc bảo vệ thông tin cá nhân theo những cách khác nhau và không đồng bộ, tương thích.

Còn nhiều khó khăn/vướng mắc ảnh hưởng đến quá trình triển khai tại các TCTD

Báo cáo về những vướng mắc triển khai Nghị định 13, đại diện CLB Pháp chế Ngân hàng, VNBA cho biết, Nghị định 13 quy định về bảo vệ dữ liệu khách hàng cá nhân đang có sự xung đột pháp luật với pháp luật tài chính ngân hàng. Cụ thể như sau:

Thứ nhất, Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9).

Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới luật. Mặt khác, đối với hoạt động ngân hàng, việc xử lý dữ liệu cá nhân tác động tới dữ liệu cá nhân như: Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi… không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý hoạt động ngân hàng và quản lý rủi ro, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, với quy định Nghị định 13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có sự thống nhất giữa Bộ Công an và Ngân hàng Nhà nước (NHNN).

“

Để tuân thủ đầy đủ các quy định tại Nghị định 13, dường như không khả thi và khó có thể thực hiện đối với hoạt động ngân hàng.

Đại diện CLB Pháp chế Ngân hàng, VNBA

Thứ hai, Nghị định 13 yêu cầu bên kiểm soát dữ liệu, bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11); trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13). Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của TCTD được thực hiện theo nhiều quy trình và sản phẩm. Mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, lưu trữ dữ liệu khách hàng và được thực hiện trên một tập khách hàng lớn.

Do đó, đại diện CLB Pháp chế Ngân hàng cho rằng, để tuân thủ đầy đủ các quy định tại Nghị định 13, dường như không khả thi và khó có thể thực hiện đối với hoạt động ngân hàng. Mặt khác, các quy trình xử lý dữ liệu của ngân hàng thay đổi thì phải có sự chấp thuận của khách hàng, điều này cũng gây khá nhiều khó khăn, vướng mắc cho các TCTD, dẫn đến việc kéo dài thời gian, tiến độ khi cung cấp dịch vụ đến khách hàng do phải tăng thêm các bước vận hành.

Thứ ba, để đảm bảo đáp ứng quy định của Nghị định 13, các TCTD phải chỉnh sửa hệ thống công nghệ thông tin, các quy định nội bộ, các mẫu biểu hợp đồng, văn bản, thỏa thuận để đảm bảo các nội dung về bảo vệ dữ liệu cá nhân của khách hàng. Tuy nhiên, một số điều khoản trong Nghị định 13 hiện nay đang được diễn đạt khá chung chung và mang tính định tính. Hơn nữa, thời gian ban hành Nghị định và thời gian có hiệu lực quá ngắn nên gây khó khăn cho hệ thống các TCTD trong việc rà soát và điều chỉnh.

Thứ tư, một số quy định chưa phù hợp với lĩnh vực ngân hàng cần thống nhất cách hiểu và áp dụng, như: Về các chủ thể tham gia vào quy trình xử lý dữ liệu cá nhân của khách hàng; chuyển giao quyền, nghĩa vụ trong Hợp đồng/thỏa thuận; đồng ý XLDL một phần; về Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm; quyền của các chủ thể dữ liệu; yêu cầu về lập Báo cáo đánh giá tác động xử lý dữ liệu... Những nội dung này cần có sự hướng dẫn để thống nhất cách hiểu và áp dụng.

Phát biểu tại tọa đàm, ông Nguyễn Thành Đô, thành viên Hội đồng VNBA cho rằng, Nghị định 13 là hết sức là quan trọng, phù hợp với yêu cầu cải tiến trong công tác quản lý hành chính của đất nước, nhất là ở trong giai đoạn phát triển công nghệ hiện nay. Cho nên, việc bảo vệ dữ liệu cá nhân hết sức quan trọng.

Tuy nhiên, trong Nghị định 13, ngoài đối tượng cá nhân thì các đối tượng sử dụng dữ liệu cá nhân rất rộng, từ các tổ chức sử dụng lao động, các cơ quan cung cấp dịch vụ, công ty bảo hiểm, thậm chí cả UBND phường… đều lưu trữ, xử lý và kiểm soát cơ sở dữ liệu cá nhân. Chính vì thế, khi đi vào từng ngành, nghề, chẳng hạn như ngành Ngân hàng sẽ mang tính đặc thù cao, do đó phát sinh nhiều mâu thuẫn, vướng mắc.

Theo đại diện VPBank, các TCTD gặp khó khăn/vướng mắc liên quan đến xử lý dữ liệu bên thứ 3 liên quan tới khách hàng. Khi TCTD thu thập thông tin của khách hàng (cá nhân và doanh nghiệp), còn thu thập thêm thông tin của những người liên quan đến khách hàng cá nhân như: Cha, mẹ, vợ hoặc chồng, con,… thậm chí tổ chức tín dụng còn thu thập thêm tài khoản giải ngân cho bên thụ hưởng. "Như vậy, TCTD có cần phải xin phép bên thứ 3 khi thu thập thông tin?", đại diện VPBank đặt vấn đề và cho rằng: "Khi cung cấp thông tin cho TCTD thì khách hàng phải có trách nhiệm về thông tin cung cấp".

Cần có thêm các hướng dẫn để thống nhất cách hiểu và áp dụng

Trước những vướng mắc nêu ra, đại diện CLB Pháp chế Ngân hàng đề nghị, phương án giải quyết là quyết định các vấn đề mang tính nguyên tắc về bảo vệ dữ liệu cá nhân, bãi bỏ các quy định tại các văn bản, nghị định, thông tư khác nếu không đồng nhất về nguyên tắc bảo vệ dữ liệu cá nhân. Đồng thời, việc áp dụng quy định tại các điều khoản bị bãi bỏ được dẫn chiếu tới Nghị định bảo vệ dữ liệu cá nhân.

Tại buổi tọa đàm, đại diện các TCTD đều thống nhất cần có một lộ trình phù hợp để có thể triển khai Nghị định 13, đồng thời nghiên cứu thêm về các quy định liên quan đến bảo vệ dữ liệu cá nhân, tổ chức huấn luyện cho các ngân hàng, TCTD để mang lại quyền và lợi ích cho khách hàng, bảo vệ người dân cũng như bảo vệ các cơ quan, tổ chức tránh khỏi tình trạng lộ, mất thông tin cá nhân.

Kiến nghị liên quan đến phạm vi áp dụng xuyên biên giới, đại diện BWG đề nghị, Bộ Công an xem xét hướng dẫn giới hạn đối tượng cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu khi việc xử lý dữ liệu đó liên quan đến mục đích cung cấp hàng, hóa dịch vụ cho chủ thể dữ liệu cho chủ thể dữ liệu tại Việt Nam, đồng thời giám sát hành vi của chủ thể dữ liệu khi hành vi đó diễn ra tại Việt Nam.

Đối với định nghĩa liên quan (bên kiểm soát/xử lý), cần tiếp cận thông lệ quốc tế theo cách phân loại: Bên Kiểm soát dữ liệu cá nhân (Controller) hoặc Bên Xử lý dữ liệu cá nhân (Processor); Ban hành hướng dẫn cụ thể để xác định vai trò của ngân hàng trong hoạt động xử lý dữ liệu như tình huống thực tế nêu trên để các ngân hàng thống nhất cách hiểu và thực hiện.

“

Đề nghị Bộ Công an cho phép hệ thống ngân hàng có thời gian chuyển tiếp. Trong thời gian chuyển tiếp đó, Bộ công an và NHNN đưa ra thông tư liên bộ để giải thích hoặc có thể vận dụng cho nghị định này

Ông Nguyễn Thành Đô, thành viên Hội đồng VNBA

Đối với quyền truy cập của chủ thể dữ liệu, các tổ chức theo mô hình hoạt động, đặc thù ngành nghề (ví dụ, ngành Ngân hàng) sẽ tự xây dựng quy trình đảm bảo quyền truy cập của chủ thể dữ liệu trên cơ sở đánh giá: (i) Loại thông tin có thể truy cập; (ii) sự an toàn, an ninh hệ thống để xem xét tính khả thi có thể truy cập; và (iii) Hình thức thực hiện quyền truy cập phù hợp.

Đại diện BWG cũng kiến nghị Bộ Công an ban hành hướng dẫn và đăng tải trên cổng thông tin của Bộ, cho phép các tổ chức theo mô hình hoạt động, đặc thù ngành nghề nêu trên được chủ động xây dựng quy trình đảm bảo quyền truy cập để các bên thống nhất thực hiện.

Về thời hạn thi hành, triển khai, cần hướng dẫn lộ trình thực hiện với thời gian phù hợp cho Nghị Định 13, trong thời hạn 2 năm. Quy định điều khoản chuyển tiếp đối với từng nhóm hành vi vi phạm về thời hạn bắt đầu áp dụng xử phạt trong Nghị định xử phạt vi phạm tương ứng với lộ trình thực hiện được kiến nghị của Nghị định 13.

Đối với sự đồng ý của chủ thể dữ liệu, đại diện BWG đề xuất, đối với nhóm chủ thể dữ liệu từ ngày 1/7/2023 trở đi, sự đồng ý được thực hiện trên cơ sở: (i) Đảm bảo thông tin đến chủ thể dữ liệu về vệc xử lý dữ liệu cá nhân của họ (ví dụ: cung cấp đường dẫn đến thông báo bảo mật); (ii) Nội dung ngắn gọn và đẩy đủ; (iii) Hình thức thu thập sự đồng ý theo quy định.

Để triển khai Nghị định 13 đạt hiệu quả cao, ông Nguyễn Thành Đô đề nghị nên có một cách tiếp cận khác đi để xử lý vấn đề liên quan đến dữ liệu cá nhân. “Đề nghị Bộ Công an cho phép hệ thống ngân hàng có thời gian chuyển tiếp. Trong thời gian chuyển tiếp đó, Bộ công an và NHNN đưa ra thông tư liên bộ để giải thích hoặc có thể vận dụng cho nghị định này”, ông Nguyễn Thành Đô đề nghị.

Trước những vướng mắc và đề xuất của các TCTD, đại diện Bộ Công an cũng đã giải đáp một số thắc mắc của các ngân hàng. Tuy nhiên, đây là vấn đề mới, khó và có sự giao thoa nhiều quy định văn bản pháp luật, nên đại diện Bộ Công an cho rằng, vướng mắc trong triển khai là khó tránh khỏi. Bộ Công an sẵn sàng phối hợp cùng với ngành Ngân hàng tìm giải pháp tháo gỡ khó khăn trong quá trình triển khai.

Phát biểu tại buổi hội thảo, ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán, NHNN đánh giá Nghị định 13 là một bước tiến lớn trong vấn đề bảo vệ dữ liệu cá nhân tiệm cận với thông lệ quốc tế. Việc tuân thủ bảo mật thông tin khách hàng là hết sức cần thiết, tuy nhiên trong quá trình thực hiện sẽ có nhiều khó khăn.

“Quan điểm của Vụ thanh toán là Nghị định không phải là một văn bản duy nhất quyết định toàn bộ nội dung này mà còn có các nội dung liên quan đến luật chuyên ngành, chi phối các TCTD, các tổ chức tài chính đang hoạt động liên quan đến Luật Ngân hàng Nhà nước, Luật Các TCTD”, ông Phạm Anh Tuấn nhấn mạnh và bày tỏ mong muốn: “VNBA tổng kết lại từng vấn đề lớn để có những buổi làm việc chi tiết với A05. Qua đó, sẽ có văn bản để thông tin đến tất cả các TCTD. Đồng thời sẽ có những các thông tư, văn bản hướng dẫn dưới luật để các TCTD yên tâm tổ chức thực hiện”.

Phát biểu kết luận tọa đàm, Phó Chủ tịch kiêm Tổng Thư ký Nguyễn Quốc Hùng đề nghị: “Nếu trong quá trình triển khai thực hiện Nghị định 13 vẫn còn gặp khó khăn, vướng mắc, các ngân hàng, TCTD cần gửi ngay ý kiến đóng góp về Hiệp hội để tổng hợp. Chúng tôi sẽ có báo cáo và làm việc với NHNN, Bộ Công an để tìm giải pháp tháo gỡ kịp thời”.