Personal data protection in digital banking services: current status and recommendations for Vietcombank
TS. Nguyễn Ngọc Hà
Viện Nghiên cứu Sáng tạo, Trường Đại học Ngoại thương
ThS. Nguyễn Ngọc Cẩm Anh
Trường Đại học Thương mại
(Quanlynhanuoc.vn) – Trong bối cảnh các ngân hàng thương mại tại Việt Nam đẩy mạnh chuyển đổi số, dữ liệu cá nhân trở thành một thành phần cốt lõi trong mọi quy trình cung ứng và quản trị dịch vụ tài chính. Nghiên cứu tập trung phân tích thực trạng bảo vệ dữ liệu cá nhân trong các dịch vụ ngân hàng số tại Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank), một trong những ngân hàng tiêu biểu trong việc ứng dụng công nghệ vào vận hành và phục vụ khách hàng. Dựa trên việc hệ thống hóa cơ sở lý luận, kết hợp khảo sát chính sách, giải pháp kỹ thuật và hành chính mà Vietcombank đang áp dụng, nghiên cứu đánh giá các ưu điểm và hạn chế trong công tác bảo vệ dữ liệu cá nhân của ngân hàng. Trên cơ sở đó, đề xuất một số khuyến nghị toàn diện về pháp lý, kỹ thuật, đào tạo và tương tác khách hàng nhằm tăng cường hiệu quả bảo vệ dữ liệu cá nhân trong bối cảnh Vietcombank ngày càng phụ thuộc vào nền tảng ngân hàng số; góp phần làm rõ vai trò trung tâm của ngân hàng trong việc gìn giữ niềm tin kỹ thuật số và nâng cao năng lực tuân thủ pháp luật về quyền riêng tư tại Việt Nam.
Từ khóa: Dữ liệu cá nhân; bảo vệ dữ liệu cá nhân; dịch vụ ngân hàng số; Vietcombank.
Abstract: As commercial banks in Vietnam accelerate their digital transformation, personal data has become a core component of all financial service delivery and management processes. This study focuses on analyzing the current state of personal data protection in digital banking services at the Joint Stock Commercial Bank for Foreign Trade of Vietnam (Vietcombank), one of the leading banks in applying technology to operations and customer service. Based on a systematic review of the theoretical framework, combined with an examination of the policies, technical solutions, and administrative measures currently implemented by Vietcombank, the study evaluates the strengths and limitations of the bank’s personal data protection efforts. Based on this, the study proposes a set of comprehensive recommendations regarding legal, technical, training, and customer interaction aspects to enhance the effectiveness of personal data protection as Vietcombank increasingly relies on digital banking platforms; thereby helping to clarify the bank’s central role in maintaining digital trust and improving compliance capabilities regarding privacy laws in Vietnam.
Keywords: Personal data; personal data protection; digital banking services; Vietcombank.
1. Đặt vấn đề
Ngân hàng số là một tiện ích ngân hàng trong thời đại hiện đại, phản ánh sự phát triển của công nghệ và truyền thông1. Chính vì vậy, ngành ngân hàng số tại Việt Nam thường xuyên là mục tiêu của các cuộc tấn công mạng, dẫn đến nhiều vụ vi phạm dữ liệu và tranh chấp pháp lý. Số liệu đáng báo động cho thấy trong năm 2024, khoảng 14,5 triệu tài khoản tại Việt Nam đã bị rò rỉ dữ liệu, chiếm 12% tổng số vụ rò rỉ dữ liệu trên toàn cầu2. Đối với các ngân hàng thương mại lớn như Vietcombank, đơn vị đang dẫn đầu trong chuyển đổi số tại Việt Nam, dữ liệu cá nhân không đơn thuần là công cụ phục vụ vận hành mà còn là nền tảng để xây dựng lòng tin, duy trì sự gắn bó của khách hàng và bảo đảm tính bền vững của hệ sinh thái số. Tuy nhiên, chính mức độ tập trung dữ liệu cao và tần suất xử lý lớn lại đặt ngân hàng vào vị trí chịu rủi ro cao nhất trước các mối đe dọa xâm nhập trái phép, lộ lọt thông tin và các yêu cầu trách nhiệm pháp lý ngày càng khắt khe. Nghiên cứu này được thực hiện nhằm phân tích thực trạng bảo vệ dữ liệu cá nhân trong các dịch vụ ngân hàng số tại Vietcombank từ góc độ kỹ thuật, hành chính đến pháp lý, từ đó, đề xuất các khuyến nghị khả thi nhằm nâng cao hiệu quả thực thi trong bối cảnh pháp luật đang từng bước hoàn thiện.
2. Khái quát chung về bảo vệ dữ liệu cá nhân trong dịch vụ ngân hàng số
2.1. Khái niệm và đặc điểm dữ liệu cá nhân trong lĩnh vực ngân hàng số
Trong xu thế mở rộng các dịch vụ số, đặc biệt trong lĩnh vực ngân hàng, khái niệm “dữ liệu cá nhân” giữ vai trò nền tảng trong việc bảo đảm quyền riêng tư và an toàn thông tin cho người dùng. Theo Ủy ban châu Âu (EC), mọi thông tin liên quan đến một cá nhân đã được xác định hoặc có thể xác định được, cả trực tiếp lẫn gián tiếp3. Luật bảo vệ dữ liệu Anh quốc cũng khẳng định tương tự rằng dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến cá nhân được xác định hoặc có thể được xác định. Xét theo pháp luật Việt Nam, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân xác định dữ liệu cá nhân là thông tin định dạng điện tử có thể nhận diện hoặc liên hệ đến một cá nhân, bao gồm ký hiệu, văn bản, hình ảnh, âm thanh và các dạng biểu đạt khác. Tuy nhiên, Dự thảo Luật Bảo vệ dữ liệu cá nhân, tại khoản 1 Điều 2 (được công bố lấy ý kiến vào tháng 5/2025) đã loại bỏ giới hạn “trên môi trường điện tử”, mở rộng phạm vi áp dụng cho cả dữ liệu ở dạng giấy tờ, bản ghi âm hoặc ảnh chụp vật lý.
Trong lĩnh vực ngân hàng số, dữ liệu cá nhân xuất hiện và được xử lý xuyên suốt trong mọi hoạt động cung cấp dịch vụ, từ khâu định danh, giao dịch đến chăm sóc khách hàng4. Dịch vụ ngân hàng số là các dịch vụ tài chính được cung cấp thông qua các nền tảng công nghệ số, bao gồm ứng dụng di động, website hoặc hệ thống tự động hóa5. Trong môi trường ngân hàng số, những dữ liệu cá nhân phổ biến được sử dụng bao gồm dữ liệu định danh (họ tên, số CMND/CCCD, số tài khoản, ngày sinh…), dữ liệu tài chính (số dư, lịch sử giao dịch), dữ liệu thiết bị và vị trí (địa chỉ IP, GPS, thiết bị truy cập), dữ liệu sinh trắc qua eKYC (khuôn mặt, vân tay) và dữ liệu hành vi (tần suất, thời gian, kiểu giao dịch).
Từ phân tích hai thuật ngữ “dữ liệu cá nhân” và “dịch vụ ngân hàng số”, có thể hiểu dữ liệu cá nhân trong ngân hàng số có thể được hiểu là tất cả thông tin giúp xác định hoặc góp phần xác định một cá nhân, được thu thập, lưu trữ, xử lý dưới dạng kỹ thuật số hoặc vật lý, phục vụ mục tiêu cung cấp dịch vụ tài chính trực tuyến. Đây là cơ sở để hiểu rõ vai trò quan trọng của pháp luật, quản trị nội bộ và hệ thống kỹ thuật trong việc bảo đảm quyền riêng tư và an toàn thông tin cho khách hàng.
Dữ liệu cá nhân trong ngân hàng số có thể chia thành hai nhóm theo quy định của luật: nhóm dữ liệu cơ bản như họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, CMND/CCCD, tài khoản ngân hàng, và thông tin hoạt động trên không gian mạng; và nhóm dữ liệu nhạy cảm như sinh trắc học (vân tay, khuôn mặt), tài chính (lịch sử giao dịch)6.
Đặc điểm nổi bật của dữ liệu cá nhân trong ngân hàng số là tính đa dạng và độ nhạy cảm cao, bởi dữ liệu không chỉ chứa thông tin nhận dạng mà còn phản ánh hành vi tài chính và tình trạng tài khoản. Khối lượng dữ liệu rất lớn, được cập nhật và xử lý theo thời gian thực nhằm phục vụ mục tiêu nhận dạng giao dịch, phát hiện gian lận và cung cấp trải nghiệm tài chính được cá nhân hóa.
2.2. Yêu cầu pháp lý và kỹ thuật bảo vệ dữ liệu cá nhân trong ngân hàng số
Trong bối cảnh ngân hàng số ngày càng phát triển, việc bảo vệ dữ liệu cá nhân vừa phải bảo đảm các nguyên tắc pháp lý, vừa phải áp dụng các biện pháp kỹ thuật bắt buộc đối với các ngân hàng thương mại.
(1) Yêu cầu pháp lý trong bảo vệ dữ liệu cá nhân trong ngân hàng số.
Nghị định số 13/2023/NĐ-CP đặt ra 8 nguyên tắc bắt buộc khi xử lý dữ liệu cá nhân, gồm: tính hợp pháp, minh bạch, mục đích rõ ràng, hạn chế thu thập, chính xác, thời gian lưu trữ giới hạn, bảo mật và trách nhiệm giải trình. Ngân hàng chỉ được xử lý dữ liệu cá nhân phù hợp với mục đích đã thông báo và phải nhận được sự đồng ý cụ thể từ chủ thể; không được mua bán dữ liệu cá nhân nếu không có quy định của pháp luật cho phép7.
Đối với việc chuyển giao dữ liệu cá nhân của khách hàng, Luật Các tổ chức tín dụng năm 2024 quy định rõ ngân hàng chỉ có quyền chuyển giao dữ liệu khách hàng khi có một trong hai điều kiện: được cơ quan nhà nước có thẩm quyền yêu cầu, hoặc có sự chấp thuận rõ ràng của khách hàng8. Đồng thời, Luật Công nghệ thông tin năm 2006 cũng bổ sung rằng việc chia sẻ dữ liệu cá nhân cho bên thứ ba mà không có sự đồng ý là hành vi bị nghiêm cấm, trừ một số ngoại lệ phục vụ nghĩa vụ hợp đồng hoặc quy định của pháp luật đặc biệt9. Điều này nhằm giới hạn tối đa sự tùy tiện trong việc tiết lộ thông tin cá nhân của khách hàng.
Phạm vi và thời điểm phát sinh nghĩa vụ bảo vệ dữ liệu cá nhân cũng đã được mở rộng rõ rệt. Luật Các tổ chức tín dụng năm 2024 thay vì liệt kê từng loại thông tin, đã sử dụng khái niệm “thông tin khách hàng” để diễn đạt khái quát hơn, bao gồm: dữ liệu cá nhân, tài chính, nhu cầu giao dịch, phương án kinh doanh… Nghĩa vụ bảo mật không còn giới hạn trong thời gian quan hệ hợp đồng đang tồn tại mà được mở rộng ra cả giai đoạn trước và sau khi quan hệ đó chấm dứt. Ví dụ, ngay cả khi khách hàng mới chỉ đề nghị giao dịch hoặc khảo sát sản phẩm, thì thông tin được cung cấp vẫn thuộc phạm vi cần bảo mật. Sau khi quan hệ chấm dứt, ngân hàng vẫn phải bảo vệ dữ liệu trong một khoảng thời gian nhất định và chỉ được lưu trữ trong thời hạn cần thiết theo quy định tại khoản 7 Điều 3 và khoản 7 Điều 16 của Nghị định số 13/2013/NĐ-CP.
Đối với các yêu cầu chuyên biệt đối với dịch vụ số ngành ngân hàng, Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Ngân hàng Nhà nước Việt Nam yêu cầu các giải pháp an toàn, bảo mật tối thiểu bao gồm tường lửa ứng dụng và cơ sở dữ liệu, giải pháp phòng chống tấn công từ chối dịch vụ (DDoS) và hệ thống quản lý và phân tích sự kiện an toàn thông tin (SIEM)10. Đặc biệt, thông tư cấm lưu trữ thông tin khách hàng tại các phân vùng mạng kết nối Internet và quy định chặt chẽ về độ dài mật khẩu, cũng như cơ chế OTP.
(2) Yêu cầu kỹ thuật trong bảo vệ dữ liệu cá nhân trong ngân hàng số.
Bên cạnh yêu cầu pháp lý, hệ thống ngân hàng số cần tuân thủ nghiêm ngặt các yêu cầu kỹ thuật nhằm bảo đảm an toàn dữ liệu cá nhân của khách hàng trong suốt quá trình thu thập, lưu trữ và xử lý dữ liệu.
Thứ nhất, dữ liệu cá nhân trong ngân hàng số phải được mã hóa để bảo vệ tính bảo mật và tính toàn vẹn. Mã hóa là biện pháp cốt lõi giúp bảo vệ thông tin khách hàng trước nguy cơ rò rỉ hoặc bị truy cập trái phép. Thông tư số 50/2024/TT-NHNN về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng yêu cầu tất cả dữ liệu định danh cá nhân, như mã PIN, mật khẩu, thông tin sinh trắc học… khi lưu trữ đều phải được mã hóa hoặc ẩn danh để ngăn chặn hành vi đánh cắp hoặc lợi dụng. Bên cạnh đó, Thông tư số 09/2020/TT-NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng quy định rằng các hệ thống thông tin từ cấp độ 3 trở lên bắt buộc phải sử dụng biện pháp mã hóa trong quá trình truyền và lưu trữ dữ liệu 11.
Thứ hai, ngân hàng số phải áp dụng cơ chế xác thực đa yếu tố để bảo đảm tính chính xác trong việc truy cập và thực hiện giao dịch. Xác thực đa yếu tố (Multi-Factor Authentication – MFA) là yêu cầu bắt buộc đối với các hệ thống thông tin quan trọng trong lĩnh vực ngân hàng. Các hệ thống cấp độ cao phải tích hợp tối thiểu 2 yếu tố xác thực độc lập như mật khẩu, OTP, sinh trắc học hoặc thiết bị xác minh 13.
Thứ ba, ngân hàng số cần triển khai hệ thống kiểm soát truy cập chặt chẽ nhằm giới hạn quyền truy cập dữ liệu theo từng chức năng. Kiểm soát truy cập có ý nghĩa bảo đảm chỉ những người có thẩm quyền mới được tiếp cận dữ liệu cá nhân của khách hàng. Hệ thống phải được thiết kế để phân quyền rõ ràng, đồng thời ghi nhận nhật ký truy cập, giám sát liên tục và có khả năng truy vết14. Thông tư số 50/2024/TT-NHNNVN tiếp tục nhấn mạnh rằng việc kiểm soát truy cập phải được thực hiện đối với cả thiết bị đầu cuối của người dùng và hạ tầng của ngân hàng.
Thứ tư, ngân hàng cần bảo đảm an toàn cho hạ tầng mạng vận hành dịch vụ ngân hàng số. Hệ thống mạng và hạ tầng công nghệ thông tin là điểm dễ bị tấn công nhất nếu không được bảo vệ kỹ lưỡng. Các ngân hàng phải thiết lập các lớp bảo vệ như tường lửa, hệ thống phát hiện và phòng chống xâm nhập, hệ thống sao lưu và khôi phục dữ liệu. Các hệ thống cấp độ 3 trở lên và các hệ thống ngân hàng trực tuyến phải đáp ứng các yêu cầu về an toàn và sẵn sàng hoạt động 24/7. Ngoài ra, bố trí các công cụ bảo mật tập trung để giám sát hành vi bất thường, ngăn chặn việc lưu trữ trái phép thông tin người dùng trên thiết bị cá nhân.
Tóm lại, hệ thống ngân hàng số hiện đại chỉ có thể bảo vệ hiệu quả dữ liệu cá nhân nếu đáp ứng đồng bộ các yêu cầu pháp lý và kỹ thuật nêu trên. Điều này là tiêu chí chính để xây dựng lòng tin của khách hàng trong môi trường số hóa ngày càng phức tạp.
3. Thực trạng bảo vệ dữ liệu cá nhân trong các dịch vụ ngân hàng số tại Vietcombank
3.1. Tổng quan về các dịch vụ ngân hàng số tại Vietcombank
Vietcombank, một trong những ngân hàng thương mại hàng đầu tại Việt Nam, đã và đang khẳng định vị thế tiên phong trong công cuộc phát triển và triển khai hệ sinh thái ngân hàng số toàn diện.
Sự phát triển của ngân hàng số tại Vietcombank được đánh dấu bằng một bước tiến chiến lược quan trọng: sự ra đời của VCB Digibank, nhằm hợp nhất các dịch vụ ngân hàng trực tuyến trước đây. VCB Digibank cung cấp một bộ tính năng đa dạng, đáp ứng hầu hết các nhu cầu tài chính và phi tài chính của khách hàng, từ các giao dịch cơ bản đến các tiện ích nâng cao15. Nền tảng này tích hợp các tính năng cốt lõi như: chuyển khoản, thanh toán hóa đơn, gửi tiết kiệm trực tuyến, thanh toán dịch vụ công (điện, nước, học phí, thuế…), mở tài khoản trực tuyến, quản lý tài khoản và thẻ, nạp tiền điện thoại, đầu tư chứng khoán… Đặc biệt, Vietcombank đã tích hợp thành công các chức năng từng tồn tại riêng biệt trên ứng dụng VCBPAY vào VCB Digibank, từ đó mang đến trải nghiệm đồng nhất và liền mạch cho người dùng16. Việc hợp nhất này không chỉ đơn giản hóa hành trình khách hàng mà còn tạo điều kiện thuận lợi hơn cho việc quản lý dữ liệu tập trung và triển khai các biện pháp bảo mật thống nhất trên toàn hệ thống.
Bên cạnh nền tảng VCB Digibank hiện đại, Vietcombank vẫn duy trì và phát triển các kênh ngân hàng số truyền thống như SMS Banking và Phone Banking nhằm phục vụ các nhóm khách hàng có trình độ công nghệ thấp hoặc không sử dụng điện thoại thông minh, điển hình là người cao tuổi hoặc cư dân vùng sâu, vùng xa. Dịch vụ SMS Banking cho phép khách hàng truy vấn số dư, xem lịch sử giao dịch, kiểm tra dư nợ, kích hoạt/thay đổi trạng thái thẻ… thông qua tin nhắn gửi đến tổng đài 6167. Trong khi đó, Phone Banking cung cấp hỗ trợ 24/7 cho các tình huống khẩn cấp như khóa thẻ, khôi phục mật khẩu hoặc tư vấn thông tin sản phẩm, với giao dịch được thực hiện qua tổng đài mà không cần đến chi nhánh. Cả hai dịch vụ đều miễn phí đăng ký và phí dịch vụ ngân hàng, chỉ tính phí viễn thông theo quy định của nhà mạng.
Hiệu quả của chiến lược ngân hàng số tại Vietcombank được thể hiện rõ nét qua sự tăng trưởng nhanh chóng về số lượng người dùng và tần suất giao dịch. Tính đến giữa năm 2024, hơn 3 triệu khách hàng đã cập nhật thông tin sinh trắc học thành công. Đến cuối năm, con số này đã đạt gần 8,5 triệu khách hàng, một kết quả đáng kể trong lĩnh vực số hóa ngân hàng tại Việt Nam 17. Tỷ lệ người dùng cao cho thấy khách hàng có niềm tin mạnh mẽ vào nền tảng số và các biện pháp bảo mật của Vietcombank. Điều này cũng phản ánh thành công của chiến lược tiếp cận đa kênh, kết hợp giữa công nghệ hiện đại và dịch vụ hỗ trợ khách hàng truyền thống, từ đăng ký trực tuyến đến hỗ trợ tại gần 400 điểm giao dịch trên toàn quốc. Tuy nhiên, mức độ chấp nhận cao đồng nghĩa với việc ngân hàng đang nắm giữ một lượng lớn dữ liệu cá nhân nhạy cảm, đặc biệt là dữ liệu sinh trắc học, từ đó đặt ra yêu cầu cấp thiết về một hệ thống bảo vệ dữ liệu an toàn và hiệu quả.
3.2. Các biện pháp bảo vệ dữ liệu cá nhân áp dụng trong dịch vụ ngân hàng số tại Vietcombank
(1) Biện pháp kỹ thuật.
Để bảo đảm an toàn cho dữ liệu cá nhân trong hệ thống ngân hàng số, Vietcombank đã triển khai và hoàn thiện hệ thống bảo mật kỹ thuật đa tầng, tập trung vào hai nhóm biện pháp chính dưới đây:
Đối với biện pháp bảo mật đăng nhập và bảo mật giao dịch, Vietcombank áp dụng cơ chế xác thực nhiều lớp trên toàn bộ các nền tảng ngân hàng số của mình. Cơ chế này yêu cầu người dùng phải trải qua nhiều bước xác thực liên tiếp để bảo đảm rằng chỉ chủ tài khoản mới có thể thực hiện giao dịch. Đây là tuyến phòng thủ đầu tiên và quan trọng nhất trong việc bảo vệ dữ liệu cá nhân khỏi việc truy cập trái phép. Một trong những phương thức xác thực nổi bật là VCB Smart OTP tạo mã giao dịch, được đánh giá cao về độ an toàn và tiện lợi.
Khác với mã OTP gửi qua tin nhắn SMS vốn dễ bị can thiệp, Smart OTP cho phép người dùng tự tạo mã xác thực ngay trên thiết bị di động, kể cả khi không có kết nối Internet. Mỗi lần tạo mã đều yêu cầu nhập mã PIN cá nhân, hạn chế tối đa rủi ro bị đánh cắp mã như khi sử dụng OTP qua SMS. Vietcombank hiện cung cấp Smart OTP dưới 2 hình thức: ứng dụng riêng biệt dùng cho giao dịch trên website và ứng dụng tích hợp trong VCB Digibank dành cho thiết bị di động. Sau đó, giải pháp định danh điện tử eKYC cũng được Vietcombank triển khai nhằm tăng cường kiểm soát ngay từ khâu mở tài khoản. Việc định danh trực tuyến bằng công nghệ AI giúp loại bỏ nguy cơ giả mạo giấy tờ, ngăn chặn hiệu quả hành vi sử dụng thông tin cá nhân sai mục đích18. Nhờ đó, eKYC góp phần bảo đảm rằng dữ liệu cá nhân từ khi được thu thập đã nằm trong vùng kiểm soát an toàn, qua đó nâng cao tính chính danh và tính hợp pháp của thông tin trong hệ thống ngân hàng số.
Bên cạnh đó, Vietcombank còn triển khai công nghệ Push Authentication để xác thực đăng nhập và giao dịch thông qua thông báo đẩy 19. Khi người dùng thực hiện một hành động quan trọng, hệ thống sẽ gửi thông báo xác nhận đến thiết bị đã đăng ký. Chỉ khi người dùng nhấn “chấp thuận”, giao dịch mới được thực hiện. Đây là một giải pháp hiệu quả để ngăn chặn các cuộc tấn công phishing hoặc giả mạo tài khoản.
Từ giữa năm 2024, Vietcombank đã đẩy mạnh ứng dụng xác thực sinh trắc học (Facepay) cho các giao dịch có giá trị cao, đúng theo yêu cầu bắt buộc của Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của Ngân hàng Nhà nước, nhằm bảo vệ tối ưu dữ liệu cá nhân trước nguy cơ bị mạo danh. Các giao dịch này bao gồm chuyển khoản trên 10 triệu VND mỗi giao dịch, tổng chuyển khoản trên 20 triệu VND mỗi ngày, thanh toán hóa đơn trên 100 triệu VND mỗi ngày và các trường hợp kích hoạt lần đầu hoặc thay đổi điện thoại sử dụng VCB Digibank. Theo thống kê nội bộ, tính đến cuối năm 2024, đã có gần 8,5 triệu khách hàng cập nhật thông tin sinh trắc học, với hơn 4 triệu giao dịch tài chính được xác thực bằng khuôn mặt20.
Đối với biện pháp bảo vệ tài khoản và kiểm soát truy cập, song song với việc tăng cường xác thực, Vietcombank cũng triển khai nhiều tính năng kỹ thuật giúp người dùng chủ động bảo vệ tài khoản và kiểm soát rủi ro giao dịch. Để tăng cường khả năng tự bảo vệ cho khách hàng, Vietcombank đã bổ sung tính năng khóa nhanh toàn bộ thẻ cho dịch vụ số. Tính năng này cho phép khách hàng nhanh chóng khóa tất cả các thẻ đang liên kết trong trường hợp mất thẻ, nghi ngờ bị lộ thông tin hoặc gian lận, giúp ngăn chặn ngay lập tức khả năng rò rỉ hoặc đánh cắp dữ liệu cá nhân liên quan đến thẻ. Đây là giải pháp thể hiện tư duy bảo mật “lấy người dùng làm trung tâm” và tập trung vào phòng chống gian lận 21. Tính năng khóa toàn bộ thẻ cung cấp quyền tự chủ ngay lập tức cho người dùng trong các tình huống căng thẳng cao, giảm đáng kể khoảng thời gian có thể xảy ra hoạt động gian lận.
Ngoài ra, Vietcombank còn triển khai cơ chế tự động khóa đăng nhập web sau khi khách hàng kích hoạt lại ứng dụng VCB Digibank trên một thiết bị mới. Biện pháp này nhằm ngăn chặn khả năng truy cập trái phép vào tài khoản nếu thiết bị cũ đã bị mất hoặc bị xâm nhập, qua đó bảo vệ dữ liệu cá nhân của người dùng khỏi việc truy xuất từ các điểm truy cập không hợp lệ. Người dùng có thể chủ động mở lại tính năng này nếu có nhu cầu, sau khi xác thực danh tính qua ứng dụng.
Bằng cách cho phép các hành động bảo mật tự phục vụ nhanh chóng, ngân hàng đã giảm số lượng cuộc gọi liên quan đến gian lận đến bộ phận dịch vụ khách hàng và có thể hạn chế rủi ro tài chính đối với các giao dịch gian lận. Quan trọng hơn, cách tiếp cận bảo mật lấy người dùng làm trung tâm này không chỉ cải thiện sự hài lòng của khách hàng mà còn củng cố hình ảnh của ngân hàng như một đối tác kỹ thuật số an toàn và đáng tin cậy.
(2) Biện pháp hành chính.
Kết hợp với kỹ thuật, Vietcombank đã xây dựng và triển khai một khuôn khổ hành chính toàn diện nhằm bảo vệ dữ liệu cá nhân trong các dịch vụ ngân hàng số.
Thứ nhất, Vietcombank sở hữu một hệ thống quản trị ổn định và bộ máy tổ chức khoa học, được cơ cấu theo từng tuyến chức năng. Trong cơ cấu này, Trung tâm Dữ liệu và Phân tích (Data and Analytics Center) được xác định là đơn vị phụ trách chính về bảo vệ dữ liệu cá nhân tại Vietcombank22. Việc xác định rõ ràng bộ phận chuyên trách làm đầu mối chịu trách nhiệm về bảo vệ dữ liệu cho thấy một cách tiếp cận hành chính tập trung vào trách nhiệm giải trình. Cấu trúc này tạo điều kiện thuận lợi cho việc sở hữu và điều phối rõ ràng các sáng kiến bảo vệ dữ liệu trên toàn mạng lưới rộng lớn gồm 116 chi nhánh và các công ty con của Vietcombank. Điều này cho thấy một mô hình quản trị có khả năng mở rộng, bảo đảm việc thực hiện chính sách nhất quán trên toàn hệ thống.
Trong khuôn khổ giám sát và bảo đảm tuân thủ, Ban kiểm soát của Vietcombank đóng vai trò quan trọng trong việc kiểm tra, kiểm soát các báo cáo gửi Ngân hàng Nhà nước. Điều này nhằm bảo đảm các báo cáo này phản ánh đúng thực trạng hoạt động của tổ chức tín dụng và phù hợp với các báo cáo phục vụ công tác quản trị nội bộ. Sự nhất quán này là cần thiết để bảo đảm tính minh bạch và chính xác của thông tin, bao gồm cả thông tin liên quan đến an toàn dữ liệu. Vietcombank cam kết duy trì các tiêu chuẩn cao nhất về hành vi đạo đức và pháp lý trong mọi hoạt động, một cam kết được củng cố mạnh mẽ thông qua các cơ chế kiểm soát nội bộ chặt chẽ.
Thứ hai, Vietcombank chú trọng đào tạo và nâng cao nhận thức về bảo vệ dữ liệu cá nhân và an toàn thông tin cho đội ngũ cán bộ. Vietcombank đã huy động nguồn lực đáng kể và thành lập một ban triển khai dự án để thuê đơn vị tư vấn chuyên nghiệp xây dựng khung bảo vệ dữ liệu cá nhân. Điều này thể hiện sự đầu tư nghiêm túc của ngân hàng vào việc xây dựng nền tảng kiến thức và các quy trình chuyên nghiệp ngay từ cấp độ cơ bản.
Năm 2024, Vietcombank đã phối hợp với Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an để tổ chức thành công hội thảo “Nâng cao nhận thức về bảo vệ dữ liệu cá nhân” trên toàn hệ thống, dưới cả hình thức trực tiếp và trực tuyến. Hội thảo này có sự tham gia của lãnh đạo và đại diện các đơn vị, nhằm nâng cao hiểu biết và giải đáp các thắc mắc liên quan đến bảo vệ dữ liệu cá nhân, bảo đảm thông tin được truyền tải rộng khắp và sâu sắc. Để phát triển năng lực nội bộ một cách bền vững, Vietcombank còn triển khai các khóa đào tạo cho cán bộ tại Trường Đào tạo Vietcombank ở khu Ecopark vào năm 2023. Sự kết hợp giữa việc thuê tư vấn bên ngoài để xây dựng khuôn khổ bảo vệ dữ liệu và việc cung cấp các cơ sở đào tạo nội bộ chuyên biệt, cùng với việc phát triển chuyên môn liên tục cho đội ngũ kiểm toán, cho thấy, Vietcombank coi giáo dục nhân viên là một khoản đầu tư chiến lược.
Thứ ba, Vietcombank chủ động truyền thông và cung cấp hướng dẫn chi tiết cho khách hàng nhằm phòng ngừa rủi ro rò rỉ dữ liệu cá nhân từ phía người dùng. Đồng thời, ban hành “5 nguyên tắc bảo mật bắt buộc” dành cho khách hàng khi sử dụng dịch vụ ngân hàng điện tử và thẻ. Các nguyên tắc này bao gồm: giữ bí mật thông tin ngân hàng điện tử và thẻ; xác thực người đề nghị giao dịch tài chính; kiểm tra thông tin được sử dụng để thực hiện giao dịch; cập nhật các phần mềm bảo mật và ứng dụng Vietcombank mới nhất; đăng xuất khỏi tài khoản vào ngày sau khi hoàn thành phiên giao dịch23. Đối với dịch vụ ngân hàng số, khách hàng được khuyến nghị sử dụng bảo mật sinh trắc học hai lớp (vân tay, mống mắt, khuôn mặt), đọc kỹ các chính sách của đơn vị chấp nhận thanh toán trực tuyến, so sánh số tiền, tránh sử dụng máy tính công cộng và không đưa thiết bị di động cho người khác thanh toán hộ. Bằng cách cung cấp các bước hành động rõ ràng và tuyên bố minh bạch về những điều ngân hàng sẽ không bao giờ yêu cầu, Vietcombank không chỉ thông báo mà còn tích cực định hướng hành vi của khách hàng theo hướng an toàn hơn, chủ động hơn trong việc bảo vệ dữ liệu cá nhân, thay vì chỉ trông chờ vào hệ thống kỹ thuật của ngân hàng.
Thứ tư, Vietcombank đã thiết lập các quy trình rõ ràng và đa dạng hóa các kênh liên lạc để xử lý sự cố bảo mật và giải quyết các khiếu nại liên quan đến dữ liệu cá nhân. Trong trường hợp khách hàng nghi ngờ có gian lận hoặc bị tấn công dữ liệu, Vietcombank khuyến nghị thực hiện theo thứ tự ưu tiên: đầu tiên là khóa dịch vụ trên các kênh trực tuyến, sau đó đổi mật khẩu của dịch vụ đang bị kẻ gian tìm cách lấy cắp thông tin, và cuối cùng là gọi ngay tổng đài 24/7 của ngân hàng hoặc đến điểm giao dịch gần nhất để được hỗ trợ24.
Về quy trình giải quyết khiếu nại liên quan đến việc xử lý dữ liệu cá nhân, khách hàng có quyền đề nghị rà soát, khiếu nại nếu phát hiện thông tin cá nhân bị sử dụng sai mục đích, bị tiết lộ trái phép, hoặc xảy ra các giao dịch không rõ ràng trong vòng 60 ngày kể từ ngày vấn đề phát sinh. Yêu cầu tra soát, khiếu nại cần được thực hiện bằng văn bản và gửi trực tiếp tại điểm giao dịch hoặc qua các phương tiện điện tử do Vietcombank công bố. Vietcombank có trách nhiệm xử lý yêu cầu tra soát, khiếu nại trong vòng 30 ngày làm việc kể từ ngày tiếp nhận. Trường hợp khiếu nại có yếu tố tội phạm, việc giải quyết sẽ thuộc trách nhiệm của cơ quan nhà nước có thẩm quyền; Vietcombank sẽ thông báo kết quả sau khi có kết luận của cơ quan này. Nếu không có yếu tố tội phạm, Vietcombank sẽ đàm phán với khách hàng về phương án giải quyết trong vòng 15 ngày làm việc kể từ ngày có kết luận của cơ quan nhà nước. Thông qua cơ chế này, Vietcombank thể hiện rõ trách nhiệm giải trình và cam kết bảo vệ dữ liệu cá nhân của khách hàng.
(3) Biện pháp pháp lý
Vietcombank đã triển khai chuỗi biện pháp pháp lý đồng bộ để bảo đảm việc thu thập, xử lý và lưu trữ dữ liệu cá nhân tuân thủ nghiêm ngặt các quy định pháp luật hiện hành của Việt Nam. Vietcombank đã thiết lập và liên tục cập nhật các chính sách và quy định nội bộ của mình để phù hợp với khuôn khổ pháp lý quốc gia về bảo vệ dữ liệu cá nhân. Vietcombank đã ban hành “Điều khoản và Điều kiện sử dụng dịch vụ Ngân hàng điện tử”, quy định chi tiết về bảo mật hệ thống và quản lý rủi ro. Tài liệu cũng cung cấp các điều kiện chi tiết về việc thu thập, sử dụng và chia sẻ dữ liệu, bao gồm các điều khoản về việc chia sẻ với bên thứ ba theo các thỏa thuận bảo mật nghiêm ngặt.
Ngoài ra, “Các điều kiện giao dịch chung về bảo vệ dữ liệu cá nhân” của Vietcombank đã được cập nhật để phù hợp với Nghị định số 13/2023/NĐ-CP. Tài liệu này mô tả toàn diện các loại dữ liệu cá nhân được xử lý, các nguồn dữ liệu đa dạng được thu thập và các mục đích xử lý cụ thể. Tài liệu cũng nêu rõ các phương thức xử lý dữ liệu, các điều kiện chuyển dữ liệu ra nước ngoài, cũng như các quyền và nghĩa vụ của chủ thể dữ liệu. Quan trọng hơn, nội dung cập nhật tái khẳng định cam kết kiên định của Vietcombank trong việc liên tục áp dụng và cập nhật các biện pháp kỹ thuật nhằm bảo đảm an toàn và bảo mật tối đa cho dữ liệu cá nhân.
Trong các nỗ lực và sáng kiến tuân thủ, Vietcombank đã chủ động triển khai “Dự án Khung Bảo vệ dữ liệu cá nhân”. Sáng kiến này được thiết kế đặc biệt để bảo đảm tuân thủ toàn diện Nghị định số 13/2023/NĐ-CP và chuẩn bị chiến lược cho Luật Bảo vệ dữ liệu cá nhân sắp tới25. Các hoạt động chính trong dự án này bao gồm: thiết lập bộ máy bảo vệ dữ liệu chính thức, giám sát và tư vấn liên tục về tuân thủ, thực hiện các thủ tục hành chính bắt buộc như chuẩn bị báo cáo đánh giá tác động xử lý dữ liệu cá nhân và phát triển, ban hành các tài liệu nội bộ cần thiết để hướng dẫn các hoạt động bảo vệ dữ liệu.
Vietcombank cũng điều chỉnh chính sách mật khẩu yêu cầu có tối thiểu 8 ký tự, lịch sử truy cập, sinh trắc học và yêu cầu tái xác thực khi PIN Smart OTP hết hạn, bảo đảm phù hợp với yêu cầu về bảo mật và dữ liệu khách hàng tuân thủ quy định Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng26.
4. Khuyến nghị nhằm nâng cao bảo vệ dữ liệu cá nhân đối với các dịch vụ ngân hàng số tại Vietcombank
4.1. Đánh giá thực trạng bảo vệ dữ liệu cá nhân trong các dịch vụ ngân hàng số tại Vietcombank
Việc bảo vệ dữ liệu cá nhân trong các dịch vụ ngân hàng số tại Vietcombank thời gian qua đã đạt được nhiều kết quả tích cực, thể hiện qua một số ưu điểm nổi bật sau:
Thứ nhất, Vietcombank thể hiện tư duy bảo vệ dữ liệu cá nhân theo hướng chủ động và mang tính hệ thống. Đây là một hướng tiếp cận hoàn toàn phù hợp với tinh thần của tiêu chuẩn quốc tế ISO/IEC 27001 về quản lý an toàn thông tin27. Thay vì xử lý theo kiểu phản ứng khi sự cố xảy ra, ngân hàng đã triển khai khung chính sách và giải pháp kỹ thuật phòng ngừa từ trước, như xác thực đa lớp, giới hạn hiệu lực OTP, sinh trắc học và mã hóa dữ liệu. Điều này giúp ngăn chặn sớm nguy cơ rò rỉ hoặc bị đánh cắp thông tin cá nhân.
Thứ hai, cấu trúc tổ chức và phân công trách nhiệm trong quản trị dữ liệu tại Vietcombank có tính minh bạch và khả năng vận hành hiệu quả. Việc giao Trung tâm Dữ liệu và Phân tích làm đầu mối phụ trách, cùng với cơ chế giám sát nội bộ và báo cáo định kỳ, cho thấy ngân hàng không xem nhẹ nghĩa vụ giải trình, mà đã thiết lập rõ ràng chuỗi trách nhiệm trong việc bảo vệ dữ liệu. Điều này đặc biệt quan trọng trong bối cảnh hệ thống Vietcombank có quy mô lớn và phân tán về địa lý.
Thứ ba, Vietcombank đã thích ứng nhanh và tuân thủ pháp luật một cách nghiêm túc. Trong bối cảnh Nghị định số 13/2023/NĐ-CP và Thông tư số 50/2024/TT-NHNN mới được ban hành chưa lâu, Vietcombank đã kịp thời cập nhật các tài liệu pháp lý nội bộ, khởi động dự án khung bảo vệ dữ liệu cá nhân và thực hiện đánh giá tác động xử lý dữ liệu theo đúng yêu cầu của pháp luật. Việc chủ động chuẩn bị cho Luật Bảo vệ dữ liệu cá nhân cũng cho thấy, tầm nhìn dài hạn trong quản trị rủi ro pháp lý.
Tổng thể, có thể nhận xét rằng Vietcombank không chỉ làm đúng luật mà còn đang đi trước một bước trong việc chuẩn hóa quy trình, nâng cao năng lực con người và xây dựng văn hóa bảo vệ dữ liệu trong toàn bộ hệ thống ngân hàng số của mình.
Mặc dù đã triển khai nhiều biện pháp bảo vệ dữ liệu cá nhân ở cả cấp độ kỹ thuật, hành chính và pháp lý, Vietcombank vẫn còn tồn tại một số hạn chế nhất định trong quá trình thực thi, cụ thể:
Một là, quy trình tiếp nhận và xử lý khiếu nại liên quan đến dữ liệu cá nhân tuy đã được quy định trong các văn bản nội bộ, nhưng chưa mang tính chuyên biệt và khó tiếp cận đối với người dùng. Mặc dù hiện tại Vietcombank có quy định chung về quyền khiếu nại và trình tự tra soát giao dịch. Tuy nhiên, quy trình này chủ yếu phục vụ cho việc xử lý sự cố tài chính như giao dịch nhầm, mất tiền mà chưa có một hệ thống phản hồi riêng biệt dành cho các vi phạm liên quan đến dữ liệu cá nhân như bị lộ thông tin định danh, dữ liệu sinh trắc học bị xử lý sai mục đích… Ngoài ra, trên các nền tảng số như ứng dụng VCB Digibank hoặc website chính thức, ngân hàng chưa thiết lập biểu mẫu điện tử riêng để khách hàng phản ánh vi phạm dữ liệu cá nhân, đồng thời thiếu các chỉ dẫn trực quan giúp khách hàng dễ dàng xác định nên liên hệ bộ phận nào khi gặp sự cố liên quan đến quyền riêng tư. Điều này không chỉ gây khó khăn trong việc tiếp cận thông tin mà còn dẫn đến tình trạng khiếu nại bị xử lý chậm hoặc không đúng trọng tâm.
Hai là, việc thực hiện quyền của chủ thể dữ liệu cá nhân vẫn chưa đạt mức chủ động cần thiết. Mặc dù ngân hàng đã ban hành các điều kiện giao dịch và chính sách riêng về bảo vệ dữ liệu cá nhân, người dùng vẫn chưa có công cụ cụ thể để thực hiện các quyền như yêu cầu truy cập, chỉnh sửa, xóa hoặc giới hạn việc xử lý thông tin cá nhân. Nhiều nội dung trong các điều khoản sử dụng dịch vụ điện tử của Vietcombank hiện vẫn mang tính “chấp thuận toàn phần” thay vì cung cấp các tùy chọn cá nhân hóa theo từng loại dữ liệu và mục đích sử dụng 28.
Ba là, mức độ minh bạch trong việc chuyển giao dữ liệu cho bên thứ ba còn hạn chế. Mặc dù Vietcombank đã có nội dung đề cập rằng việc chia sẻ dữ liệu với bên thứ ba chỉ được thực hiện khi có sự cho phép của khách hàng hoặc theo yêu cầu của pháp luật tại Điều khoản sử dụng dịch vụ 29, nhưng các thông tin công bố vẫn mang tính chung chung và chưa đáp ứng yêu cầu minh bạch theo quy định của pháp luật hiện hành. Cụ thể, ngân hàng chưa liệt kê rõ ràng danh sách bên thứ ba nhận dữ liệu, loại dữ liệu được chia sẻ, cũng như chưa áp dụng cơ chế đồng ý riêng biệt cho từng mục đích xử lý theo chuẩn mực pháp lý.
3.2. Khuyến nghị nâng cao bảo vệ dữ liệu cá nhân đối với các dịch vụ ngân hàng số tại Vietcombank
(1) Khuyến nghị về mặt pháp lý và chính sách nội bộ
Rà soát và cập nhật toàn diện các chính sách, quy trình. Vietcombank cần tiến hành một cuộc rà soát pháp lý toàn diện và tỉ mỉ đối với tất cả các chính sách nội bộ, quy trình vận hành và thỏa thuận hợp đồng hiện có, bao gồm cả các nhà cung cấp bên thứ ba và các bên xử lý dữ liệu, đặc biệt chú ý đến cơ chế đồng ý hoặc quy trình khiếu nại. Ngân hàng nên phát triển các biểu mẫu đồng ý tách biệt theo từng loại dữ liệu và từng mục đích sử dụng, đặc biệt đối với các dữ liệu nhạy cảm như sinh trắc học, vị trí, lịch sử giao dịch. Đồng thời, ngân hàng cần ban hành một quy trình chuyên biệt về phản ứng với sự cố rò rỉ, thất thoát hoặc truy cập trái phép dữ liệu cá nhân để hướng dẫn nội bộ cách phát hiện, ghi nhận, báo cáo và khắc phục các sự cố liên quan đến dữ liệu cá nhân, đồng thời thông báo rõ ràng đến khách hàng bị ảnh hưởng. Ngoài ra, ngân hàng cũng nên ưu tiên cập nhật khẩn cấp các chính sách liên quan đến dữ liệu cũ, tức là dữ liệu được thu thập trước ngày Nghị định 13 có hiệu lực. Điều này bao gồm việc thiết lập các cơ chế rõ ràng để có được sự đồng ý hồi tố khi áp dụng, hoặc bảo đảm rằng việc xử lý tiếp tục dựa trên các căn cứ hợp pháp và tuân thủ các quy định pháp luật khác.
Tăng cường vai trò và quyền hạn của bộ phận phụ trách bảo vệ dữ liệu cá nhân. Trao quyền cho Trung tâm Dữ liệu và Phân tích hiện có với đủ nguồn lực, quyền hạn rõ ràng và mức độ độc lập trong hoạt động để giám sát, kiểm toán và thực thi hiệu quả việc tuân thủ bảo vệ dữ liệu trên tất cả các phòng ban và chức năng của ngân hàng. Cân nhắc chính thức hóa việc bổ nhiệm người đảm nhận vai trò cán bộ bảo vệ dữ liệu (DPO) chuyên trách, tách biệt khỏi các chức năng hiện có, với người sở hữu chuyên môn pháp lý và kỹ thuật vững chắc về quyền riêng tư dữ liệu.
DPO sẽ đóng vai trò là đầu mối độc lập trong việc giám sát, đánh giá tuân thủ, tham mưu chính sách và phối hợp xử lý các vấn đề liên quan đến dữ liệu cá nhân trong toàn bộ hệ thống ngân hàng số. Việc có một DPO rõ ràng, minh định thẩm quyền và trách nhiệm không chỉ giúp nâng cao hiệu quả kiểm soát nội bộ mà còn thể hiện cam kết mạnh mẽ của ngân hàng đối với việc bảo vệ quyền riêng tư của khách hàng. Đồng thời, DPO sẽ là cầu nối giữa Vietcombank với các cơ quan quản lý nhà nước khi xảy ra sự cố hoặc trong quá trình thanh tra, kiểm tra, từ đó góp phần tăng cường năng lực phản ứng pháp lý và giảm thiểu rủi ro bị xử phạt hành chính.
Xây dựng chương trình đào tạo định kỳ chuyên sâu về bảo vệ dữ liệu cá nhân cho toàn bộ nhân sự. Việc đào tạo cần được thiết kế phù hợp với từng vai trò, từ giao dịch viên tuyến đầu, cán bộ công nghệ thông tin, nhân viên chăm sóc khách hàng đến đội ngũ quản lý cấp cao. Nội dung đào tạo không chỉ bao gồm quy định pháp luật về bảo vệ dữ liệu cá nhân, chính sách nội bộ của ngân hàng, mà còn phải cập nhật các tình huống thực tiễn và thông lệ bảo mật tiên tiến trong ngành ngân hàng số. Vietcombank cần nhấn mạnh rằng quyền riêng tư dữ liệu là một thành phần thiết yếu trong niềm tin của khách hàng và tính bền vững của hệ thống tài chính số. Một tỷ lệ đáng kể các vụ vi phạm dữ liệu và sự cố bảo mật thường bắt nguồn từ lỗi của con người, sự sơ suất nội bộ hoặc các mối đe dọa từ bên trong 30. Do đó, bên cạnh hệ thống pháp lý và công nghệ bảo mật, Vietcombank cần kiến tạo một “tường lửa con người” vững chắc, tức là một lực lượng nhân sự được đào tạo bài bản, nhận thức đầy đủ và cam kết mạnh mẽ trong việc tuân thủ các nguyên tắc bảo vệ dữ liệu.
(2) Khuyến nghị về mặt kỹ thuật và công nghệ
Áp dụng đánh giá rủi ro bảo vệ dữ liệu cá nhân bắt buộc đối với các dịch vụ ngân hàng số mới. Mỗi khi triển khai một sản phẩm ngân hàng số mới, Vietcombank nên yêu cầu các đơn vị triển khai thực hiện báo cáo đánh giá tác động đến dữ liệu cá nhân. Báo cáo này sẽ phân tích các nguy cơ rò rỉ, sai phạm dữ liệu ngay từ giai đoạn thiết kế sản phẩm, giúp Vietcombank phòng ngừa rủi ro pháp lý và uy tín ngay từ đầu. Đánh giá rủi ro không chỉ giúp nhận diện các điểm yếu trong quy trình xử lý dữ liệu mà còn tạo cơ hội đề xuất các biện pháp giảm thiểu rủi ro ngay từ khi dịch vụ đang trong giai đoạn thử nghiệm. Đây cũng là công cụ giúp các bộ phận pháp chế, an ninh mạng và phát triển sản phẩm phối hợp hiệu quả hơn, từ đó nâng cao năng lực kiểm soát nội bộ và khả năng phản ứng trước các sự cố dữ liệu có thể xảy ra. Quan trọng hơn, việc thực hiện PIA đều đặn sẽ góp phần xây dựng văn hóa tuân thủ bền vững và tạo niềm tin cho khách hàng trong bối cảnh các vụ việc lộ lọt thông tin ngày càng phổ biến.
Xây dựng và chuẩn hóa quy trình quản lý toàn bộ vòng đời dữ liệu cá nhân theo nguyên tắc bảo vệ dữ liệu ngay từ giai đoạn thiết kế. Vietcombank cần phát triển và tài liệu hóa chi tiết quy trình quản lý dữ liệu cá nhân cho toàn bộ vòng đời dữ liệu, bao gồm thu thập, xử lý, lưu trữ, chia sẻ, truy cập và hủy bỏ, nhằm bảo đảm rằng mọi giai đoạn đều tuân thủ đầy đủ các nguyên tắc cơ bản về bảo vệ dữ liệu. Cụ thể, quy trình này cần phản ánh rõ các tiêu chí như: giới hạn mục đích sử dụng, thu thập dữ liệu tối thiểu cần thiết, bảo đảm độ chính xác và tính cập nhật của dữ liệu, hạn chế thời gian lưu trữ, bảo đảm tính bảo mật và thiết lập cơ chế trách nhiệm giải trình rõ ràng. Bên cạnh đó, Vietcombank nên triển khai hệ thống lập bản đồ dữ liệu trên toàn hệ thống nhằm xác định chính xác dữ liệu cá nhân đang được lưu trữ ở đâu, ai có quyền truy cập, đang được sử dụng cho mục đích gì và có được chia sẻ với bên thứ ba nào hay không. Việc lập bản đồ này không chỉ giúp kiểm soát nội bộ hiệu quả hơn mà còn là công cụ hỗ trợ đắc lực cho các hoạt động đánh giá tác động bảo vệ dữ liệu.
(3) Khuyến nghị về mặt truyền thông và tương tác khách hàng
Thiết lập kênh tương tác chuyên biệt chỉ dành cho các vấn đề liên quan đến dữ liệu cá nhân. Nhằm mang đến cho khách hàng trải nghiệm minh bạch và an tâm tuyệt đối khi thực hiện quyền riêng tư của mình, ngân hàng có thể bổ sung mục “Quyền dữ liệu cá nhân” hoặc “Hỗ trợ dữ liệu cá nhân” trực quan trên giao diện chính của ứng dụng VCB Digibank và trên trang web chính thức, nơi khách hàng dễ dàng tìm thấy các biểu mẫu tương tác, hướng dẫn chi tiết và bản đồ quy trình xử lý yêu cầu. Thông qua kênh này, khách hàng có thể dễ dàng gửi các yêu cầu cụ thể như: truy cập dữ liệu cá nhân mà ngân hàng đang lưu trữ, yêu cầu chỉnh sửa thông tin sai lệch, đề nghị xóa hoặc hạn chế xử lý dữ liệu trong các trường hợp không còn cần thiết, rút lại sự đồng ý đã cấp, hoặc phản ánh về các hành vi xử lý dữ liệu không phù hợp. Giao diện kênh cần được thiết kế thân thiện, minh bạch về quy trình, thời gian xử lý và các bước tiếp theo sau khi nhận yêu cầu, từ đó giúp người dùng dễ dàng sử dụng mà không cần hiểu sâu về kỹ thuật hoặc pháp lý. Việc xây dựng một kênh chuyên biệt như vậy không chỉ là một bước đi chiến lược thể hiện cam kết tôn trọng quyền riêng tư và minh bạch với khách hàng trong môi trường số, mà còn là cách hiệu quả để củng cố lòng tin, gia tăng mức độ hài lòng và giữ chân khách hàng trong dài hạn.
Đẩy mạnh truyền thông đa kênh và liên tục đến khách hàng về quyền dữ liệu cá nhân và các hành vi an toàn số. Các chiến dịch này cần được triển khai đồng bộ trên nhiều kênh như ứng dụng VCB Digibank, website chính thức của ngân hàng, mạng xã hội, các điểm giao dịch vật lý, cũng như thông qua tin nhắn SMS và email định kỳ. Nội dung truyền thông cần được thiết kế rõ ràng, dễ hiểu và gắn liền với tình huống thực tiễn nhằm định hướng hành vi an toàn cho khách hàng. Cụ thể, Vietcombank có thể tập trung vào việc phổ biến các quyền dữ liệu cá nhân, hướng dẫn chi tiết quy trình thực hiện các quyền này thông qua ứng dụng ngân hàng số. Thêm vào đó, các nội dung truyền thông nên nhấn mạnh những cảnh báo về các hành vi phổ biến dẫn đến rò rỉ dữ liệu, như cung cấp mã OTP cho người lạ, truy cập vào ứng dụng giả mạo hoặc tiết lộ thông tin cá nhân trên mạng xã hội. Để tăng tính tiếp cận và hiệu quả truyền tải, Vietcombank nên sử dụng đa dạng các hình thức truyền thông như video minh họa, đồ họa thông tin sinh động và các hội thảo trực tuyến liên quan đến dữ liệu cá nhân. Việc tích hợp các công cụ hỗ trợ này không chỉ giúp khách hàng tiếp nhận thông tin thuận tiện và chủ động hơn mà còn góp phần hình thành một “văn hóa dữ liệu” bền vững trong cộng đồng người dùng dịch vụ.
5. Kết luận
Việc bảo vệ dữ liệu cá nhân không chỉ là yêu cầu pháp lý bắt buộc mà còn là một yếu tố cốt lõi trong chiến lược phát triển bền vững của các ngân hàng số hiện đại. Thông qua nghiên cứu này, có thể thấy rằng Vietcombank đã có nhiều nỗ lực đáng ghi nhận trong việc thiết lập và triển khai các biện pháp bảo vệ dữ liệu cá nhân toàn diện từ kỹ thuật đến hành chính và pháp lý. Tuy nhiên, vẫn tồn tại những khoảng trống cần được hoàn thiện, như minh bạch hóa chính sách chia sẻ dữ liệu với bên thứ ba, nâng cao khả năng truy cập và thực thi quyền của chủ thể dữ liệu, cũng như phát triển văn hóa bảo vệ dữ liệu trong toàn tổ chức và đối với khách hàng.
Trong bối cảnh pháp luật về bảo vệ dữ liệu đang tiếp tục được hoàn thiện và xu hướng chuyển đổi số ngày càng sâu rộng, Vietcombank cần tiếp tục đầu tư mạnh mẽ hơn nữa vào các cơ chế đánh giá rủi ro dữ liệu, xây dựng quy trình vòng đời dữ liệu rõ ràng, và đẩy mạnh đào tạo nội bộ kết hợp tương tác khách hàng một cách có trách nhiệm và hiệu quả. Nghiên cứu này hy vọng đã cung cấp một cái nhìn có chiều sâu về thực trạng và triển vọng bảo vệ dữ liệu cá nhân tại Vietcombank, qua đó, đóng góp thêm một phần vào tiến trình xây dựng ngân hàng số an toàn, minh bạch và hướng đến khách hàng tại Việt Nam.
Chú thích:
1. Wulan Rannie B (2023). Legal Protection of Customer Personal Data in the Banking Sector. Tạp chí Khoa học Xã hội và Nhân văn ARRUS, tập 3, Số 5 (2023), tr. 710. https://qemsjournal.org/index.php/soshum/article/view/2169/1373.
2. Năm 2024: Hơn 14 triệu tài khoản tại Việt Nam bị rò rỉ dữ liệu. https://antoanthongtin.vn/tin/hon-14-trieu-tai-khoan-tai-viet-nam-bi-ro-ri-du-lieu.
3. Khoản 1 Điều 4 Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu năm 2016.
4. Bảo vệ dữ liệu khách hàng: Vì sao các ngân hàng lúng túng? https://tuoitre.vn/bao-ve-du-lieu-khach-hang-vi-sao-cac-ngan-hang-lung-tung-20230702223510156.htm.
5. Văn Phạm Kim Xuyến (2025). Phát triển các dịch vụ ngân hàng số tại Việt Nam trong bối cảnh kinh tế số hiện nay. Tạp chí Khoa học Đại học Huế, tập 134, Số 6S-1, tr. 7.
6. Nguyễn Hồng Trang và cộng sự (2025). Bảo mật dữ liệu cá nhân trong ngân hàng: Góc nhìn pháp lý và thực tiễn. Tạp chí Công Thương, số 5, tháng 2/2025.
7. Nguyễn Thị Kim Thoa (2020). Pháp luật về bảo đảm bí mật thông tin khách hàng trong hoạt động ngân hàng tại Việt Nam. Luận án Tiến sĩ, Trường Đại học Kinh tế – Luật, tr. 38.
8. Ngân hàng có được cung cấp thông tin của chủ tài khoản không? https://vtcnews.vn/ngan-hang-co-duoc-cung-cap-thong-tin-chu-tai-khoan-ar846105.html.
9. Khoản 2 Điều 22 Luật Công nghệ thông tin năm 2006 (sửa đổi, bổ sung năm 2023).
10. Nâng cao chất lượng dịch vụ và bảo vệ quyền lợi của khách hàng khi sử dụng dịch vụ ngân hàng trực tuyến. https://tapchinganhang.gov.vn/nang-cao-chat-luong-dich-vu-va-bao-ve-quyen-loi-cua-khach-hang-trong-su-dung-dich-vu-ngan-hang-truc-tuyen-111.html.
11. Quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng. https://moj.gov.vn/qt/tintuc/Pages/van-ban-chinh-sach-moi.aspx?ItemID=3336.
12. Bảo đảm an toàn thông tin trong giao dịch điện tử theo pháp luật của một số quốc gia và đề xuất cho Việt Nam. http://khoahockiemsat.hpu.vn/portal/article/view/261/248.
13. Ngân hàng nâng cấp công nghệ bảo mật, kịp thời ngăn chặn tội phạm công nghệ và các hành vi lừa đảo. https://tapchinganhang.gov.vn/ngan-hang-nang-cap-cong-nghe-bao-mat-kip-thoi-ngan-chan-toi-pham-cong-nghe-va-lua-dao-9257.html.
14. Điều 26 Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 về an toàn hệ thống thông tin trong hoạt động ngân hàng.
15. Vietcombank chuyển đổi số gia tăng trải nghiệm khách hàng. https://tapchinganhang.gov.vn/vietcombank-chuyen-doi-so-gia-tang-trai-nghiem-khach-hang-7723.html.
16. Vietcombank ngừng cung cấp dịch vụ trên ứng dụng VCBPAY. https://tapchicongthuong.vn/vietcombank-ngung-cung-cap-dich-vu-tren-ung-dung-vcbpay-97581.htm.
17. Gần 8,5 triệu khách hàng Vietcombank đã cập nhật sinh trắc học thành công. https://vietnamnet.vn/gan-8-5-trieu-khach-hang-vietcombank-cap-nhat-sinh-trac-hoc-thanh-cong-2351125.html.
18. Pháp luật về định danh khách hàng điện tử trong hoạt động ngân hàng tại Việt Nam. https://tapchinganhang.gov.vn/phap-luat-ve-dinh-danh-khach-hang-dien-tu-trong-hoat-dong-ngan-hang-tai-viet-nam-9329.html.
19. Chuyển đổi số tại các ngân hàng thương mại Việt Nam: Thực trạng và giải pháp. https://jshou.edu.vn/houjs/article/view/165/150.
20. Hướng dẫn giao dịch an toàn trên các kênh ngân hàng điện tử và thẻ. https://digibankm5.vietcombank.com.vn/get_file/ibomni/html/huong-dan-giao-dich-an-toan.html.
21. Hướng dẫn giao dịch an toàn trên các kênh giao dịch ngân hàng điện tử của Vietcombank. https://www.vietcombank.com.vn/-/media/Project/VCB-Sites/VCB/KHCN/Lien-he-va-Ho-tro/GD-an-toan/PDF-files/Cnh-bo-giao-dch-an-ton.pdf?.
22. Dấu xanh tự hào – Báo cáo phát triển bền vững 2024. https://vietcombank.com.vn/-/media/Project/VCB-Sites/VCB/Nha-Dau-tu/Bao-cao-PTBV/VN_VCB-ESG-2024_250519.pdf?.
23, 24, 25, 26. Vietcombank cập nhật, bổ sung một số biện pháp nhằm tăng cường an toàn, bảo mật dịch vụ ngân hàng trực tuyến theo quy định tại Thông tư số 50/2024/TT-NHNN. https://www.vietcombank.com.vn/vi-VN/KHCN/Truy-cap-nhanh/Tin-noi-bat/Articles/2024/12/31/Thong-bao-thong-tu-50.
27. Information security objectives and the output legitimacy of ISO/IEC 27001: stakeholders’ perspective on expectations in private organizations in Sweden. Tạp chí Springer Nature, Tập 21, tr. 716. https://link.springer.com/article/10.1007/s10257-023-00646-y.
28. Điều 3.4 Điều khoản, điều kiện sử dụng dịch vụ Ngân hàng điện tử và hình thức xác nhận dành cho Khách hàng cá nhân của Vietcombank áp dụng kể từ ngày 22/5/2025.
29. Điều 4.2. Điều khoản, điều kiện sử dụng dịch vụ Ngân hàng điện tử và hình thức xác nhận dành cho Khách hàng cá nhân của Vietcombank áp dụng kể từ ngày 22/5/2025.
30. Lỗi của con người: Điểm yếu trong hệ thống an ninh mạng. https://ictvietnam.vn/loi-cua-con-nguoi-diem-yeu-trong-he-thong-an-ninh-mang-31967.html.
