Nguyễn Văn Duy
Công ty cổ phần Xây dựng Mitsuvi Việt Nam
(Quanlynhanuoc.vn) – Trong thời đại kỹ thuật số ngày nay, việc thụ hưởng sự tiện lợi từ các ứng dụng công nghệ thường đòi hỏi người sử dụng phải đánh đổi quyền riêng tư của họ. Còn đối với các công ty cung ứng giải pháp công nghệ, dữ liệu là mạch máu cho việc triển khai ứng dụng. Thực tế này càng trở nên phổ biến trên thị trường công nghệ tài chính (Fintech) khi dữ liệu người dùng không chỉ thuần túy được sử dụng cho các hoạt động marketing và dịch vụ hậu mãi mà còn là nguyên liệu đầu vào để hình thành nên sản phẩm ứng dụng. Trong bối cảnh đó, pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam đã được hình thành và nhanh chóng được triển khai trong thời gian qua.
Từ khóa: Công nghệ tài chính; dữ liệu cá nhân; luật; ngân hàng; tài chính.
1. Yêu cầu bảo vệ dữ liệu cá nhân trong lĩnh vực công nghệ tài chính bằng công cụ pháp luật
Việc thu thập và phân tích thông tin khách hàng trong các hoạt động tài chính, ngân hàng truyền thống từ lâu đã được coi là có vai trò quan trọng và được luật hóa tại nhiều quốc gia. Các dữ liệu như lịch sử tín dụng, phân loại nợ được coi như những thông tin không thể thiếu cho các quyết định giải ngân trong ngành ngân hàng. Các dữ liệu như vậy đang trở nên hữu dụng hơn trong đa dạng các mục đích như cá nhân hóa dịch vụ, tối ưu hóa quản lý rủi ro và cung cấp cho người dùng những trải nghiệm tiện lợi. Ví dụ, một đề nghị cấp tín dụng có thể được xử lý nhanh và chính xác hơn thông qua các thuật toán sàng lọc, chấm điểm khách hàng.
Cùng với yêu cầu gia tăng chất lượng dịch vụ ở một thị trường có mức độ cạnh tranh cao như Fintech, nhu cầu về việc sử dụng dữ liệu khách hàng vượt ra khỏi phạm vi dữ liệu người dùng từ một ứng dụng và một nhà cung cấp đơn lẻ. Thay vào đó, dữ liệu thường được xử lý, chia sẻ giữa các nhà cung cấp dịch vụ cùng ngành hoặc thậm chí khác ngành. Việc chia sẻ dữ liệu hợp tác được sử dụng như một giải pháp mạnh mẽ để tăng cường các chiến lược quản lý rủi ro trong các tổ chức tài chính, bao gồm các doanh nghiệp Fintech. Nguồn thông tin có được từ dữ liệu được chia sẻ có thể khám phá ra các xu hướng thị trường tiềm ẩn, xác định các phân khúc chưa được phục vụ và tiết lộ các con đường đổi mới sản phẩm và dịch vụ. Dữ liệu được chia sẻ có khả năng thúc đẩy ngành tài chính hướng tới sự tăng trưởng chưa từng có, biến ngành này thành một cái nôi của sự đổi mới.
Mặc dù không thể phủ nhận những lợi ích được đem lại từ các xu hướng khai thác dữ liệu cá nhân, hoạt động này cũng làm nảy sinh những vấn đề pháp lý và rủi ro mang những đặc điểm riêng của lĩnh vực Fintech:
Thứ nhất, rủi ro của việc mất kiểm soát dữ liệu. Rủi ro này đến từ quá trình lưu trữ, quản lý và truyền tải dữ liệu sau khi các bên đã đạt được sự chấp thuận ban đầu về việc sử dụng dữ liệu. Tuy nhiên, trong môi trường kỹ thuật số, dữ liệu là các nguồn tài nguyên có thể được sử dụng và tái sử dụng, thường theo những cách không thể được hình dung đầy đủ vào thời điểm dữ liệu được thu thập. Rủi ro mất quyền kiểm soát sẽ tăng lên gấp bội khi dữ liệu được chia sẻ qua nhiều hạ tầng, đặc biệt là khi các nằm trên nhiều khu vực pháp lý khác nhau. Một số công nghệ như điện toán đám mây cũng không được nhiều người lựa chọn vì lo ngại mất quyền kiểm soát dữ liệu của mình1.
Thứ hai, dữ liệu cá nhân trong lĩnh vực Fintech là mục tiêu nhắm tới của các hành vi tội phạm có chủ đích. Việc chiếm đoạt dữ liệu sinh trắc, mật khẩu nhằm chiếm quyền truy cập, điều khiển các ứng dụng ngân hàng điện tử đã trở thành các nguy cơ thực tế đe dọa an toàn của các hệ thống tài chính. Một công nghệ như deepfake có thể bắt chước khuôn mặt, giọng nói và hành vi của con người với độ chính xác cao – gây ra rủi ro lớn cho các quy trình xác minh danh tính của khách hàng bằng phương thức điện tử (eKYC). Ở một chiều hướng khác, các công ty Fintech với khối dữ liệu khách hàng khổng lồ mà họ thu thập và xử lý, cũng tự biến mình trở thành nam châm thu hút tin tặc và tội phạm mạng.
Thứ ba, tồn tại nguy cơ của rủi ro đạo đức trong trường hợp dữ liệu khách hàng bị lạm dụng dẫn đến làm giảm khả năng tiếp cận các dịch vụ, hàng hóa của một số cá nhân vì các vấn đề tạm thời, không mang tính bản chất. Xu hướng ứng dụng rộng rãi trí tuệ nhân tạo (AI) trong Fintech cũng làm gia tăng lo ngại về sự thiên vị, phân biệt đối xử hoặc đánh giá thiếu chính xác của các công nghệ chưa hoàn thiện. Việc sử dụng các nguồn thông tin không có tính xác thực, hoặc nguồn thông tin ẩn danh cũng có thể trở thành vấn đề cho quá trình khuyến nghị hoặc ra quyết định được cung cấp bởi các sản phẩm Fintech. Việc kiểm chứng tính đúng đắn và xác định tính trách nhiệm cho các quá trình như vậy sẽ trở nên phức tạp hơn đáng kể khi công nghệ được sử dụng là AI.
2. Sự phát triển của pháp luật bảo mật dữ liệu trong lĩnh vực Fintech ở Việt Nam
Bối cảnh toàn cầu của pháp luật bảo mật dữ liệu đều được định hình bởi nhu cầu bảo vệ người tiêu dùng khỏi việc lạm dụng dữ liệu cá nhân của họ. Điều này đã dẫn đến việc ban hành các quy định bảo vệ dữ liệu nghiêm ngặt ở các khu vực pháp lý khác nhau, nhằm bảo vệ quyền riêng tư, bảo mật và an toàn của người tiêu dùng trong nền kinh tế kỹ thuật số2.
Việc xây dựng các quy định điều chỉnh trong lĩnh vực này đồng thời được thúc đẩy bởi sự thừa nhận vai trò quan trọng của dữ liệu trong lĩnh vực FinTech, tập trung vào việc ngăn chặn các mối đe dọa an ninh mạng và vi phạm quyền riêng tư. Trong hệ thống pháp luật Việt Nam hiện hành, các văn bản quy phạm pháp luật tương ứng gồm có Luật An ninh mạng, các văn bản hướng dẫn thi hành và Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân:
Một là, Luật An ninh mạng năm 2018 và Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 là những văn bản quan trọng nhất điều chỉnh khung pháp lý về an ninh mạng đối với hoạt động Fintech. Những quy định này yêu cầu các tổ chức tài chính, bao gồm các công ty Fintech, phải duy trì tiêu chuẩn an ninh mạng cao để bảo vệ dữ liệu. Đối với các tổ chức có hoạt động thu thập, xử lý dữ liệu cá nhân, Luật An ninh mạng quy định trách nhiệm lưu trữ dữ liệu tại Việt Nam; nhật ký hệ thống phải được lưu trữ ít nhất 12 tháng. Các quy định kể trên thiết lập những yêu cầu tuân thủ chung, buộc doanh nghiệp kinh doanh trong lĩnh vực Fintech phải thiết lập và duy trì những công cụ và biện pháp bảo vệ dữ liệu của khách hàng trước nguy cơ của hành vi xâm phạm từ bên ngoài.
Hai là, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân bao gồm các quy định chặt chẽ về thu thập, phân tích và chia sẻ dữ liệu để bảo vệ quyền của người dùng. Theo các quy định mang tính nguyên tắc, chủ thể dữ liệu có quyền biết cách thức dữ liệu đang được xử lý, quyền từ chối và quyền yêu cầu xóa dữ liệu. Bên cạnh đó, Nghị định số 13/2023/NĐ-CP yêu cầu sự đồng ý của khách hàng đối với bất kỳ hoạt động xử lý dữ liệu nào, bao gồm: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất,… Nói cách khác, hoạt động liên quan đến dữ liệu cá nhân đều được coi là xử lý dữ liệu và phải được khách hàng đồng ý trước.
Một nguyên tắc quan trọng được Nghị định số 13/2023/NĐ-CP thiết lập là nghiêm cấm hành vi mua, bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp pháp luật có quy định khác. Trường hợp loại trừ theo quy định có thể được liên hệ tới một cơ sở dữ liệu có tính phí quan trọng hàng đầu trong lĩnh vực ngân hàng là cơ sở dữ liệu về thông tin tín dụng khách hàng, được tổ chức và vận hành dưới sự kiểm soát chặt chẽ của Nhà nước. Ngoài các trường hợp đặc biệt do luật định, các tổ chức, cá nhân chỉ được chia sẻ dữ liệu cá nhân không vì mục đích lợi nhuận, kể cả với chủ thể dữ liệu. Các quy định cũng yêu cầu chặt chẽ về hình thức và nội dung của sự đồng ý, theo đó, một sự đồng ý phải bao gồm việc đồng ý đối với: (1) Loại dữ liệu cá nhân được xử lý; (2) Mục đích xử lý dữ liệu cá nhân; (3) Tổ chức, cá nhân được xử lý dữ liệu cá nhân và (4) Các quyền, nghĩa vụ của chủ thể dữ liệu. Về hình thức của sự đồng ý, Nghị định số 13/2023/NĐ-CP quy định: sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
Bên cạnh các quy định chung về an ninh mạng và bảo vệ dữ liệu cá nhân, trong lĩnh vực pháp luật chuyên ngành ngân hàng về trung gian thanh toán, Thông tư số 39/2014/TT-NHNN ngày 11/12/2014 của Ngân hàng Nhà nước Việt Nam hướng dẫn về dịch vụ trung gian thanh toán và các văn bản sửa đổi bổ sung, đã thiết lập các nghĩa vụ tuân thủ riêng bao gồm yêu cầu áp dụng biện pháp bảo mật như mã hóa giao dịch và xác thực khách hàng. Các yêu cầu này được kiểm soát ngay từ thời điểm một doanh nghiệp xây dựng hồ sơ xin cấp giấy phép cung ứng dịch vụ, bảo đảm việc áp dụng biện pháp bảo mật dữ liệu là thực tế trước khi đưa sản phẩm đến công chúng. Tuy nhiên, ngoại trừ lĩnh vực trung gian thanh toán đã có quy định rõ ràng, các lĩnh vực ứng dụng Fintech khác chưa có quy định riêng.
Đến nay, hầu hết các yêu cầu của việc áp dụng quy định pháp luật về bảo vệ dữ liệu cá nhân nói chung và bảo vệ dữ liệu cá nhân trong lĩnh vực Fintech nói riêng có thời gian áp dụng chưa lâu, chưa có nhiều thực tiễn để đánh giá mức độ tuân thủ của cộng đồng Fintech. Tuy nhiên, người ta vẫn có cơ sở để lo ngại rằng việc đáp ứng các yêu cầu của các quy định pháp luật, đặc biệt, trong nhiều trường hợp nhằm mục đích bảo vệ bên cung ứng dịch vụ hơn là bảo vệ thực chất quyền lợi của chủ thể dữ liệu. Mặt khác, các quy định chặt chẽ sẽ có xu hướng cản trở khả năng gia nhập thì trường của các doanh nghiệp thiếu kinh nghiệm và nguồn lực tài chính, trong khi nhóm chủ thể này tập trung chủ yếu ở các doanh nghiệp start-up.
3. Một số kiến nghị, giải pháp
Thứ nhất, tăng cường khả năng tiếp cận và chia sẻ dữ liệu của khu vực công. Trong thời đại của thông tin, nguồn dữ liệu công là nguồn dữ liệu an toàn, được loại trừ khả năng bị lạm dụng vì các mục tiêu trục lợi. Việc tiếp cận nguồn dữ liệu công sẽ có tác động giảm chi phí xã hội, tạo ra mặt bằng cạnh tranh công bằng hơn cho các bên tham gia vào thị trường Fintech. Các cơ chế quản lý nhà nước và cơ chế giám sát chặt chẽ cho phép việc sử dụng các dữ liệu này là phù hợp vì múc đích chung của cộng đồng. Về khía cạnh chi phí tiếp cận, nhiều đánh giá cho rằng dữ liệu khu vực công nên được cung cấp với chi phí thấp nhất có thể, tốt nhất là không quá chi phí cận biên3.
Mục tiêu này gắn bó chặt chẽ với chiến lược phát triển các chiến lược dữ liệu quốc gia, phù hợp cách tiếp cận của Chính phủ Việt Nam trong thời gian một vài năm trở lại. Tiêu biểu trong số đó là hệ thống Cơ sở dữ liệu quốc gia về dân cư đã được hình thành và đưa vào triển khai trong một số lĩnh vực, trong đó có ngân hàng. Hệ thống này là tập hợp thông tin cơ bản của tất cả công dân Việt Nam được chuẩn hóa, số hóa, lưu trữ, được thiết kế để phục vụ công tác quản lý nhà nước và các giao dịch của cơ quan, tổ chức và cá nhân. Phù hợp với các quy định của Nghị định số 13/2023/NĐ-CP về các trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu, các văn bản pháp luật chuyên ngành cho mục tiêu này trong tương lai cần xây dựng quy định cụ thể ghi nhận quyền và trách nhiệm của các bên trong cơ chế chia sẻ dữ liệu dự kiến.
Thứ hai, Nhà nước cần hỗ trợ phát triển cơ sở hạ tầng, nghiên cứu và đổi mới sáng tạo liên quan đến dữ liệu. Với đặc thù là hoạt động ứng dụng khoa học kỹ thuật trình độ cao, mô hình vườn ươm và sandbox cho thấy khả năng phù hợp với các ứng dụng bảo vệ dữ liệu cá nhân trong lĩnh vực Fintech.
Kinh nghiệm của Việt Nam trong xây dựng cơ chế thí điểm Sandbox nói chung cho Fintech cho thấy việc xây dựng cơ chế pháp lý hỗ trợ lĩnh vực cho thấy là một công việc không đơn giản, được tích hợp bởi nhiều quy định pháp luật tài chính, khoa học – công nghệ, dân sự và hành chính trong một lĩnh vực hẹp. Tuy nhiên, đặc điểm riêng của hoạt động khai thác dữ liệu có thể khiến Nhà nước có nhiều động lực hơn trong việc tham gia với vai trò giám sát chặt chẽ. Bên cạnh đó, cần một vai trò trung gian của các thực thể uy tín như Chính phủ để kết nối các nhân tố sáng tạo nhưng thiếu năng lực tài chính với các nguồn lực sẵn có nhưng thiếu động lực trực tiếp tham gia nghiên cứu một dự án trong lĩnh vực này.
Thứ ba, hoàn thiện quy định pháp luật về bảo mật dữ liệu cá nhân. Nếu như các khía cạnh về an ninh mạng có thể dễ dàng hơn trong bổ sung, hoàn thiện các hướng dẫn về tiêu chuẩn kỹ thuật, việc hoàn thiện quy định pháp luật về bảo mật dữ liệu là phức tạp do liên quan đến các quan hệ dân sự phức tạp giữa các bên dân sự.
Trong đó, một nội dung được nhiều bên quan tâm là yêu cầu về việc đạt được sự chấp thuận của chủ thể dữ liệu với các yêu cầu mô tả chi tiết việc sử dụng dữ liệu. Mặc dù các quy định đã tương đối chặt chẽ, vẫn luôn tồn tại một khả năng khách hàng thường phải gặp phải khó khăn trong việc hiểu hoặc lựa chọn không đồng ý với một phần hoặc toàn bộ nội dung “Các điều kiện giao dịch chung về bảo vệ dữ liệu cá nhân” do bên cung cấp dịch vụ soạn thảo và yêu cầu xác nhận. Tuy nhiên, không thể phủ nhận thực tế rằng, các bên cung ứng dịch vụ cũng bị phụ thuộc vào các bên cung cấp giải pháp kỹ thuật trong quy trình xử lý dữ liệu cá nhân. Một thay đổi trong quá trình đó có thể nằm ngoài các dự liệu và phạm vi xin chấp thuận ban đầu với chủ thể dữ liệu và việc yêu cầu phải thực hiện lại việc đạt được sự đồng ý là thiếu thực tế. Do đó, quy định về việc xin chấp thuận xử lý dữ liệu cá nhân từ chủ thể dữ liệu cần được bổ sung, đảm bảo có sự phân loại về mức độ xin chấp thuận, cho phép sự linh hoạt nhưng không làm thay đổi bản chất của quan hệ chấp thuận này giữa các bên.
Thứ tư, các doanh nghiệp hoạt động trong lĩnh vực này cần chủ động trong việc đảm bảo tuân thủ quy định pháp luật, bao gồm kiểm soát chặt chẽ việc lưu trữ và chia sẻ dữ liệu, đặc biệt là dữ liệu nhạy cảm như thông tin tài khoản ngân hàng. Việc ứng dụng các tiến bộ mới nhất về mã hóa, bảo mật dữ liệu là đòi hỏi tất yếu, sau đó, bảo đảm đào tạo an ninh mạng và pháp lý cho nhân viên.
Trong thời gian tới, các doanh nghiệp cần có biện pháp triển khai để đạt được sự chấp thuận của khách hàng nếu có nhu cầu sử dụng dữ liệu người dùng. Việc triển khai ở những doanh nghiệp có lượng khách hàng lớn là không đơn giản đến từ các vấn đề về nguồn lực và phương thức triển khai. Tuy nhiên, Nghị định số 13/2023/NĐ-CP đã quy định rõ từ ngày 01/07/2023, không cho phép khả năng trì hoãn việc áp dụng.
Cách tiếp cận với các dự án phát triển sản phẩm dựa trên cơ sở khai thác dữ liệu người dùng của bên thứ ba, các doanh nghiệp cần xây dựng các kế hoạch hợp tác cho mục tiêu phát triển bền vững. Các giao dịch mua bán dữ liệu người dùng đã được liệt kê thuộc về các hành vi bị cấm ở hầu hết các quốc gia, trong đó có Việt Nam. Vì vậy, việc sử dụng dữ liệu cần có chiến lược rõ ràng, gắn với hoạt động kinh doanh cốt lõi doanh nghiệp và vì lợi ích của người tiêu dùng.
Chú thích:
1. OECD (2017). OECD Digital Economy Outlook 2017. OECD Publishing, Paris.
2. Stevani, W., & Sudirman, L. (2021). Urgensi Perlindungan Data Pengguna Financial Technology terhadap Aksi Kejahatan Online di Indonesia. Journal of Judicial Review, 23(2), 197-216.
3. OECD (2013). Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, amended on 11 July 2013, OECD, Paris.
Tài liệu tham khảo:
1. Chính phủ (2023). Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân.
2. Chính phủ (2022). Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 quy định chi tiết một số điều của Luật An ninh mạng.
3. Ngân hàng Nhà nước Việt Nam (2014). Thông tư số 39/2014/TT-NHNN ngày 11/12/2014 hướng dẫn về dịch vụ trung gian thanh toán.
4. Quốc hội (2018). Luật An ninh mạng năm 2018.
5. Adedoyin Tolulope Oyewole, Bisola Beatrice Oguejiofor, Nkechi Emmanuella Eneh, Chidiogo Uzoamaka Akpuokwe, & Seun Solomon Bakare (2024). Data privacy laws and their impact on financial technology companies: a review. Computer Science & IT Research Journal, Volume 5, Issue 3, March 2024
6. OECD (2019). Enhancing Access to and Sharing of Data: Reconciling Risks and Benefits for Data Re-use across Societies. OECD Publishing, Paris
7. Stevani, W., & Sudirman, L. (2021). Urgensi Perlindungan Data Pengguna Financial Technology terhadap Aksi Kejahatan Online di Indonesia. Journal of Judicial Review, 23(2), 197-216.
