Ngân hàng 'lúng túng' với quy định bảo vệ dữ liệu cá nhân

Ảnh minh họa.
Ảnh minh họa.
0:00 / 0:00
0:00
(PLVN) - Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ 1/7/2023. Thế nhưng, các ngân hàng vẫn đang “lúng túng” không biết phải triển khai như thế nào.

Xung đột pháp lý với pháp luật tài chính ngân hàng

Tại Tọa đàm Triển khai Nghị định 13/2023/NĐ-CP (Nghị định 13) của Chính phủ về bảo vệ dữ liệu cá nhân (DLCN) mới đây, ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam (VNBA) cho biết, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng (TCTD) đã phản ánh một số vướng mắc, gây “lúng túng” khi thực hiện.

Theo đại diện CLB Pháp chế Ngân hàng (thuộc VNBA), Nghị định 13 đang có sự xung đột pháp lý với pháp luật tài chính ngân hàng. Cụ thể, Điều 9 Nghị định 13 quy định: Chủ thể có quyền được biết về việc xử lý DLCN của mình, trừ trường hợp luật khác có quy định khác; chủ thể có quyền không đồng ý xử lý DLCN của mình; chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp luật khác có quy định khác… Trong khi đó, theo hệ thống văn bản quy phạm pháp luật (VBQPPL) lĩnh vực ngân hàng, toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các VBQPPL cấp độ dưới luật.

Mặt khác, đối với hoạt động ngân hàng, việc xử lý DLCN tác động tới DLCN như: Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi… không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý hoạt động ngân hàng và quản lý rủi ro, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng.

Nghị định 13 cũng yêu cầu bên kiểm soát, bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11), trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể DLCN (Điều 13). Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của TCTD được thực hiện theo nhiều quy trình và sản phẩm. Mỗi quy trình, sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, lưu trữ dữ liệu khách hàng và được thực hiện trên một tập khách hàng lớn.

“Để tuân thủ đầy đủ các quy định tại Nghị định 13, dường như không khả thi và khó có thể thực hiện đối với hoạt động ngân hàng…” - đại diện CLB Pháp chế Ngân hàng nhận định. Mặt khác, các quy trình xử lý dữ liệu của ngân hàng thay đổi thì phải có sự chấp thuận của khách hàng, điều này cũng gây khá nhiều khó khăn, vướng mắc cho các TCTD, dẫn đến việc kéo dài thời gian, tiến độ khi cung cấp dịch vụ đến khách hàng do phải tăng thêm các bước vận hành.

Đặc biệt, để bảo đảm đáp ứng quy định của Nghị định 13, các TCTD phải chỉnh sửa hệ thống công nghệ thông tin, các quy định nội bộ, các mẫu biểu hợp đồng, văn bản, thỏa thuận để bảo đảm các nội dung về bảo vệ DLCN của khách hàng. Tuy nhiên, một số điều khoản trong Nghị định 13 đang được diễn đạt khá chung chung và mang tính định tính. Hơn nữa, thời gian ban hành Nghị định và thời gian có hiệu lực quá ngắn nên gây khó khăn cho hệ thống các TCTD trong việc rà soát và điều chỉnh.

Ngoài ra. một số quy định chưa phù hợp với lĩnh vực ngân hàng cần thống nhất cách hiểu và áp dụng, như: Về các chủ thể tham gia vào quy trình xử lý DLCN của khách hàng; chuyển giao quyền, nghĩa vụ trong hợp đồng/thỏa thuận; đồng ý xây dựng dữ liệu một phần; về DLCN cơ bản và DLCN nhạy cảm; quyền của các chủ thể dữ liệu; yêu cầu về lập báo cáo đánh giá tác động xử lý dữ liệu...

Cần có lộ trình và Thông tư liên tịch

Tại Tọa đàm, ông Nguyễn Thành Đô, thành viên Hội đồng VNBA cho rằng, Nghị định 13 là hết sức quan trọng, phù hợp với yêu cầu cải tiến trong công tác quản lý hành chính của đất nước, nhất là ở trong giai đoạn phát triển công nghệ hiện nay.

Tuy nhiên, theo Nghị định 13, ngoài đối tượng cá nhân thì các đối tượng sử dụng DLCN rất rộng, từ các tổ chức sử dụng lao động, các cơ quan cung cấp dịch vụ, công ty bảo hiểm, thậm chí cả UBND phường… đều lưu trữ, xử lý và kiểm soát cơ sở DLCN. Chính vì thế, khi đi vào từng ngành, nghề, chẳng hạn như ngành Ngân hàng sẽ mang tính đặc thù cao, do đó phát sinh nhiều mâu thuẫn, vướng mắc.

Để triển khai hiệu quả Nghị định 13, ông Nguyễn Thành Đô đề nghị nên có một cách tiếp cận khác để xử lý vấn đề liên quan đến DLCN. “Đề nghị Bộ Công an cho phép hệ thống ngân hàng có thời gian chuyển tiếp. Trong thời gian chuyển tiếp đó, Bộ công an và Ngân hàng Nhà nước đưa ra Thông tư liên tịch để giải thích hoặc có thể vận dụng cho Nghị định này” - ông Đô nói.

Theo đại diện CLB Pháp chế Ngân hàng, cần quy định các vấn đề mang tính nguyên tắc về bảo vệ DLCN, bãi bỏ các quy định tại các văn bản, nghị định, thông tư khác nếu không đồng nhất về nguyên tắc bảo vệ DLCN. Đồng thời, việc áp dụng quy định tại các điều khoản bị bãi bỏ được dẫn chiếu tới Nghị định bảo vệ DLCN.

Tại Tọa đàm, đại diện các TCTD đều thống nhất cần có một lộ trình phù hợp để có thể triển khai Nghị định 13, đồng thời nghiên cứu thêm về các quy định liên quan đến bảo vệ DLCN, tổ chức huấn luyện cho các ngân hàng, TCTD để mang lại quyền và lợi ích cho khách hàng, bảo vệ người dân cũng như bảo vệ các cơ quan, tổ chức tránh khỏi tình trạng lộ, mất thông tin cá nhân…

Tại Hội thảo, Trung tá Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an cho biết, theo thống kê của Bộ Công an, trước khi Nghị định 13 được ban hành, Việt Nam có 68 VBQPPL liên quan trực tiếp đến bảo vệ DLCN (Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 18 nghị định, 4 thông tư và thông tư liên tịch, 1 quyết định của Bộ trưởng). Tuy nhiên, tất cả đều chưa thống nhất về khái niệm và nội hàm DLCN và bảo vệ DLCN.

Theo Trung tá Tùng, hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ DLCN, do đó chưa có định nghĩa về DLCN và bảo vệ DLCN. Hiện có hơn 10 khái niệm thuật ngữ liên quan đến thông tin cá nhân được diễn giải theo những cách khác nhau, riêng khái niệm về thông tin cá nhân được coi là tương đồng và gần gũi nhất với khái niệm DLCN.

Đọc thêm

Thay đổi nhân sự ngành Thuế

Thứ trưởng Bộ Tài chính Lê Tấn Cận trao quyết định và chúc mừng ông Lưu Đức Huy và bà Nguyễn Thị Thanh Hằng
(PLVN) - 2 vị trí Vụ trưởng Vụ Chính sách (Tổng cục Thuế) và Phó Cục trưởng Cục Quản lý, giám sát chính sách thuế, phí và lệ phí (Bộ Tài chính) đã được hoán đổi giữa ông Lưu Đức Huy và bà Nguyễn Thị Thanh Hằng.

Livestream bán hàng: Khai thuế, nộp thuế như thế nào?

Livestream bán hàng: Khai thuế, nộp thuế như thế nào?
(PLVN) - Các tổ chức, cá nhân bán hàng hóa thông qua phiên livestream thực hiện đăng ký thuế, kê khai, nộp thuế theo nguyên tắc: tự khai, tự nộp, tự chịu trách nhiệm và xuất hóa đơn đầy đủ khi cung cấp hàng hóa, dịch vụ.

Hoàn thuế GTGT: Nhận diện khó khăn, thách thức

Thời gian qua nhiều doanh nghiệp xuất khẩu gỗ gặp khó trong hoàn thuế GTGT vì phải truy xuất đến F0, F1...
(PLVN) - Mặc dù từ đầu năm đến nay, cơ quan thuế (CQT) đã giải quyết hoàn thuế giá trị gia tăng (GTGT) cho hơn 15 nghìn hồ sơ với tổng số tiền hơn 115 nghìn tỷ đồng, bằng 112% so với số hoàn cùng kỳ năm 2023, song công tác hoàn thuế vẫn đối diện với nhiều khó khăn, thách thức…