Xung đột pháp lý với pháp luật tài chính ngân hàng
Tại Tọa đàm Triển khai Nghị định 13/2023/NĐ-CP (Nghị định 13) của Chính phủ về bảo vệ dữ liệu cá nhân (DLCN) mới đây, ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam (VNBA) cho biết, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng (TCTD) đã phản ánh một số vướng mắc, gây “lúng túng” khi thực hiện.
Theo đại diện CLB Pháp chế Ngân hàng (thuộc VNBA), Nghị định 13 đang có sự xung đột pháp lý với pháp luật tài chính ngân hàng. Cụ thể, Điều 9 Nghị định 13 quy định: Chủ thể có quyền được biết về việc xử lý DLCN của mình, trừ trường hợp luật khác có quy định khác; chủ thể có quyền không đồng ý xử lý DLCN của mình; chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp luật khác có quy định khác… Trong khi đó, theo hệ thống văn bản quy phạm pháp luật (VBQPPL) lĩnh vực ngân hàng, toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các VBQPPL cấp độ dưới luật.
Mặt khác, đối với hoạt động ngân hàng, việc xử lý DLCN tác động tới DLCN như: Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi… không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý hoạt động ngân hàng và quản lý rủi ro, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng.
Nghị định 13 cũng yêu cầu bên kiểm soát, bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11), trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể DLCN (Điều 13). Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của TCTD được thực hiện theo nhiều quy trình và sản phẩm. Mỗi quy trình, sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, lưu trữ dữ liệu khách hàng và được thực hiện trên một tập khách hàng lớn.
“Để tuân thủ đầy đủ các quy định tại Nghị định 13, dường như không khả thi và khó có thể thực hiện đối với hoạt động ngân hàng…” - đại diện CLB Pháp chế Ngân hàng nhận định. Mặt khác, các quy trình xử lý dữ liệu của ngân hàng thay đổi thì phải có sự chấp thuận của khách hàng, điều này cũng gây khá nhiều khó khăn, vướng mắc cho các TCTD, dẫn đến việc kéo dài thời gian, tiến độ khi cung cấp dịch vụ đến khách hàng do phải tăng thêm các bước vận hành.
Đặc biệt, để bảo đảm đáp ứng quy định của Nghị định 13, các TCTD phải chỉnh sửa hệ thống công nghệ thông tin, các quy định nội bộ, các mẫu biểu hợp đồng, văn bản, thỏa thuận để bảo đảm các nội dung về bảo vệ DLCN của khách hàng. Tuy nhiên, một số điều khoản trong Nghị định 13 đang được diễn đạt khá chung chung và mang tính định tính. Hơn nữa, thời gian ban hành Nghị định và thời gian có hiệu lực quá ngắn nên gây khó khăn cho hệ thống các TCTD trong việc rà soát và điều chỉnh.
Ngoài ra. một số quy định chưa phù hợp với lĩnh vực ngân hàng cần thống nhất cách hiểu và áp dụng, như: Về các chủ thể tham gia vào quy trình xử lý DLCN của khách hàng; chuyển giao quyền, nghĩa vụ trong hợp đồng/thỏa thuận; đồng ý xây dựng dữ liệu một phần; về DLCN cơ bản và DLCN nhạy cảm; quyền của các chủ thể dữ liệu; yêu cầu về lập báo cáo đánh giá tác động xử lý dữ liệu...
Cần có lộ trình và Thông tư liên tịch
Tại Tọa đàm, ông Nguyễn Thành Đô, thành viên Hội đồng VNBA cho rằng, Nghị định 13 là hết sức quan trọng, phù hợp với yêu cầu cải tiến trong công tác quản lý hành chính của đất nước, nhất là ở trong giai đoạn phát triển công nghệ hiện nay.
Tuy nhiên, theo Nghị định 13, ngoài đối tượng cá nhân thì các đối tượng sử dụng DLCN rất rộng, từ các tổ chức sử dụng lao động, các cơ quan cung cấp dịch vụ, công ty bảo hiểm, thậm chí cả UBND phường… đều lưu trữ, xử lý và kiểm soát cơ sở DLCN. Chính vì thế, khi đi vào từng ngành, nghề, chẳng hạn như ngành Ngân hàng sẽ mang tính đặc thù cao, do đó phát sinh nhiều mâu thuẫn, vướng mắc.
Để triển khai hiệu quả Nghị định 13, ông Nguyễn Thành Đô đề nghị nên có một cách tiếp cận khác để xử lý vấn đề liên quan đến DLCN. “Đề nghị Bộ Công an cho phép hệ thống ngân hàng có thời gian chuyển tiếp. Trong thời gian chuyển tiếp đó, Bộ công an và Ngân hàng Nhà nước đưa ra Thông tư liên tịch để giải thích hoặc có thể vận dụng cho Nghị định này” - ông Đô nói.
Theo đại diện CLB Pháp chế Ngân hàng, cần quy định các vấn đề mang tính nguyên tắc về bảo vệ DLCN, bãi bỏ các quy định tại các văn bản, nghị định, thông tư khác nếu không đồng nhất về nguyên tắc bảo vệ DLCN. Đồng thời, việc áp dụng quy định tại các điều khoản bị bãi bỏ được dẫn chiếu tới Nghị định bảo vệ DLCN.
Tại Tọa đàm, đại diện các TCTD đều thống nhất cần có một lộ trình phù hợp để có thể triển khai Nghị định 13, đồng thời nghiên cứu thêm về các quy định liên quan đến bảo vệ DLCN, tổ chức huấn luyện cho các ngân hàng, TCTD để mang lại quyền và lợi ích cho khách hàng, bảo vệ người dân cũng như bảo vệ các cơ quan, tổ chức tránh khỏi tình trạng lộ, mất thông tin cá nhân…
Tại Hội thảo, Trung tá Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an cho biết, theo thống kê của Bộ Công an, trước khi Nghị định 13 được ban hành, Việt Nam có 68 VBQPPL liên quan trực tiếp đến bảo vệ DLCN (Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 18 nghị định, 4 thông tư và thông tư liên tịch, 1 quyết định của Bộ trưởng). Tuy nhiên, tất cả đều chưa thống nhất về khái niệm và nội hàm DLCN và bảo vệ DLCN.
Theo Trung tá Tùng, hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ DLCN, do đó chưa có định nghĩa về DLCN và bảo vệ DLCN. Hiện có hơn 10 khái niệm thuật ngữ liên quan đến thông tin cá nhân được diễn giải theo những cách khác nhau, riêng khái niệm về thông tin cá nhân được coi là tương đồng và gần gũi nhất với khái niệm DLCN.