Hiệp hội Ngân hàng (VNBA) vừa phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an để tổ chức tọa đàm “Triển khai Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân”.
Trở đi mắc núi, trở lại mắc sông
Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP (Nghị định 13) về bảo vệ dữ liệu cá nhân và có hiệu lực từ ngày 1/7/2023. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.
Tuy nhiên, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng đã phản ánh một số vướng mắc, gây lúng túng khi thực hiện cụ thể quy định liên quan đến một số vấn đề như: Nguyên tắc việc xử lý dữ liệu cá nhân; phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng; quyền của các chủ thể dữ liệu (quyền rút lại sự đồng ý, quyền xóa dữ liệu; quyền truy cập…); yêu cầu về lập báo cáo đánh giá tác động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài.
Đặc biệt, theo đại diện Câu lạc bộ Pháp chế Ngân hàng của VNBA cho biết, Nghị định 13 quy định về bảo vệ dữ liệu khách hàng cá nhân đang có sự xung đột pháp luật với pháp luật tài chính ngân hàng.
Điển hình nhất, Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9).
Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới luật. Do vậy, với quy định Nghị định 13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có sự thống nhất giữa Bộ Công an và Ngân hàng Nhà nước.
Ngoài ra, cũng theo vị này, Nghị định 13 yêu cầu bên kiểm soát dữ liệu, bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11); trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13).
Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của tổ chức tín dụng được thực hiện theo nhiều quy trình và sản phẩm. Mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, lưu trữ dữ liệu khách hàng và được thực hiện trên một tập khách hàng lớn.
Còn theo đại diện VPBank, các tổ chức tín dụng gặp khó khăn/vướng mắc liên quan đến xử lý dữ liệu bên thứ 3 liên quan tới khách hàng. Khi tổ chức tín dụng thu thập thông tin của khách hàng (cá nhân và doanh nghiệp), còn thu thập thêm thông tin của những người liên quan đến khách hàng cá nhân như: Cha, mẹ, vợ hoặc chồng, con…
"Thậm chí tổ chức tín dụng còn thu thập thêm tài khoản giải ngân cho bên thụ hưởng. Như vậy, tổ chức tín dụng có cần phải xin phép bên thứ 3 khi thu thập thông tin?", đại diện VPBank đặt vấn đề và cho rằng: "Khi cung cấp thông tin cho tổ chức tín dụng thì khách hàng phải có trách nhiệm về thông tin cung cấp".
Cần các hướng dẫn rõ ràng
Tại buổi tọa đàm, đại diện các tổ chức tín dụng đều thống nhất cần có một lộ trình phù hợp để có thể triển khai Nghị định 13, đồng thời nghiên cứu thêm về các quy định liên quan đến bảo vệ dữ liệu cá nhân, tổ chức huấn luyện cho các ngân hàng, tổ chức tín dụng để mang lại quyền và lợi ích cho khách hàng, bảo vệ người dân cũng như bảo vệ các cơ quan, tổ chức tránh khỏi tình trạng lộ, mất thông tin cá nhân.
Kiến nghị liên quan đến phạm vi áp dụng xuyên biên giới, đại diện Nhóm công tác Ngân hàng nước ngoài (BWG) đề nghị, Bộ Công an xem xét hướng dẫn giới hạn đối tượng cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu khi việc xử lý dữ liệu đó liên quan đến mục đích cung cấp hàng, hóa dịch vụ cho chủ thể dữ liệu cho chủ thể dữ liệu tại Việt Nam, đồng thời giám sát hành vi của chủ thể dữ liệu khi hành vi đó diễn ra tại Việt Nam.
"Về thời hạn thi hành, triển khai, cần hướng dẫn lộ trình thực hiện với thời gian phù hợp cho Nghị Định 13, trong thời hạn 2 năm. Quy định điều khoản chuyển tiếp đối với từng nhóm hành vi vi phạm về thời hạn bắt đầu áp dụng xử phạt trong Nghị định xử phạt vi phạm tương ứng với lộ trình thực hiện được kiến nghị của Nghị định 13", đại diện BWG nêu.
Đặc biệt, để triển khai Nghị định 13 đạt hiệu quả cao, nhiều quan điểm đề nghị nên có một cách tiếp cận khác đi để xử lý vấn đề liên quan đến dữ liệu cá nhân. Trong đó, đề nghị Bộ Công an cho phép hệ thống ngân hàng có thời gian chuyển tiếp. Trong thời gian chuyển tiếp đó, Bộ công an và Ngân hàng Nhà nước đưa ra thông tư liên bộ để giải thích hoặc có thể vận dụng cho nghị định này.
Theo ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán, Nghị định 13 không phải là một văn bản duy nhất quyết định toàn bộ, mà còn có các nội dung liên quan đến luật chuyên ngành, chi phối các tổ chức tín dụng, các tổ chức tài chính đang hoạt động liên quan đến Luật Ngân hàng Nhà nước, Luật Các tổ chức tín dụng.
"Ngành ngân hàng cần tổng kết lại từng vấn đề lớn để có những buổi làm việc chi tiết với cơ quan công an. Qua đó, sẽ có văn bản để thông tin đến tất cả các tổ chức tín dụng. Đồng thời sẽ có những các thông tư, văn bản hướng dẫn dưới luật để các tổ chức tín dụng yên tâm tổ chức thực hiện”, ông Anh Tuấn nhấn mạnh.
Trước những vướng mắc và đề xuất của các tổ chức tín dụng, đại diện Bộ Công an cũng đã giải đáp một số thắc mắc của các ngân hàng. Tuy nhiên, đây là vấn đề mới, khó và có sự giao thoa nhiều quy định văn bản pháp luật, nên đại diện Bộ Công an cho rằng, vướng mắc trong triển khai là khó tránh khỏi. Bộ Công an sẵn sàng phối hợp cùng với ngành Ngân hàng tìm giải pháp tháo gỡ khó khăn trong quá trình triển khai.