Bảo vệ dữ liệu cá nhân: Việc phải làm nhưng ngân hàng kêu khó

Ngân hàng: Mục tiêu hàng đầu của tội phạm công nghệ

Thông tin cá nhân là “mỏ vàng”, là mục tiêu săn tìm của tội phạm công nghệ. Việc lộ lọt dữ liệu cá nhân trong thời gian qua đã ảnh hưởng không nhỏ đến quyền riêng tư, là cơ sở để vấn nạn mua bán thông tin cá nhân, lừa đảo công nghệ cao diễn ra tràn lan.

Ở Việt Nam, việc ứng dụng các nền tảng số, hệ sinh thái số cũng có thể làm gia tăng những nguy cơ như tấn công mạng, gián điệp mạng, tội phạm sử dụng công nghệ cao, đặc biệt là tình trạng mua bán, lộ, mất thông tin, dữ liệu cá nhân...

Ông Nguyễn Quốc Hùng - Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Việt Nam cho biết, dữ liệu cá nhân của hơn 2/3 dân số đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép ngày càng phổ biến, trong khi các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa thống nhất.

Bộ Công an thông tin, trong 2 năm 2019 - 2020, dữ liệu cá nhân mua bán trái phép trên thị trường ‘chợ đen’ lên tới gần 1.300 gigabyte, chứa hàng tỷ thông tin về các cá nhân của nhiều tổ chức, doanh nghiệp trên cả nước. Các nạn nhân không hề biết thông tin của mình đang trở thành món hàng trôi nổi. Khi thông tin dữ liệu cá nhân rơi vào tay tin tặc hay tội phạm, các đối tượng sử dụng thông tin cá nhân có thể tiến hành hoạt động phạm tội.

Theo Cổng Cảnh báo an toàn thông tin Việt Nam, năm 2022, diễn ra hơn 12.935 trường hợp lừa đảo trực tuyến, với 2 loại hình chính là lừa đảo để đánh cắp thông tin cá nhân và lừa đảo tài chính. Dù với hình thức nào, các đối tượng cũng đều thông qua dữ liệu cá nhân thu thập được để lừa đảo đa dạng, tinh vi.

Trung tá Triệu Mạnh Tùng - Phó Cục trưởng A05, Bộ Công an cho hay, trong hơn 3 năm qua, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan đến hoạt động mua bán dữ liệu cá nhân. Nhiều vụ việc có tính chất nghiêm trọng, đáng báo động. Trong hơn 30 loại hình tội phạm sử dụng công nghệ cao thì có tới gần 2/3 sử dụng thông tin dữ liệu cá nhân để thực hiện các hành vi phạm tội.

Ông Đoàn Thanh Hải - Phó Cục trưởng Cục Công nghệ thông tin, Ngân hàng Nhà nước chia sẻ, ngân hàng luôn là mục tiêu hàng đầu của tội phạm công nghệ. Dù công nghệ có phát triển đến đâu thì cũng chỉ ngăn chặn tội phạm mạng ở mức độ nhất định. Tội phạm ngày càng biến hóa. Ngay cả những quốc gia đi đầu về công nghệ cũng không thể tránh khỏi tội phạm xâm nhập đánh cắp dữ liệu dù "hàng rào" dựng lên rất cao.

Luật sư Trương Thanh Đức, Giám đốc Công ty Luật ANVI đánh giá, nguyên nhân chính dẫn đến tình trạng ăn cắp dữ liệu cá nhân ngày càng gia tăng là do nhận thức của một bộ phận không nhỏ người dân trong việc bảo vệ thông tin cá nhân còn thấp. Cùng với đó, có nguyên nhân từ một số nhân viên ngân hàng vì mục đích thu lợi đã cho phép bên thứ ba tiếp cận phần mềm lưu trữ dữ liệu thông tin cá nhân của khách hàng.

Những năm gần đây, các ngân hàng hướng tới sự cân bằng giữa đầu tư phát triển sản phẩm, dịch vụ với đầu tư cho công tác bảo đảm an ninh, an toàn hệ thống công nghệ thông tin, giữa trải nghiệm, thuận tiện khách hàng với bảo mật dữ liệu, bảo vệ khách hàng khi giao dịch trên kênh số.

Khi hàng rào bảo mật của các nhà băng đã được nâng cấp, chặt chẽ hơn, tội phạm công nghệ sẽ tấn công vào những lỗi bất cẩn của khách hàng. Với các cuộc tấn công nhắm vào người dùng, ngân hàng cũng không thể kiểm soát hết được vì phụ thuộc vào ý thức bảo mật, trình độ của từng khách hàng.

Lúng túng với quy định bảo vệ dữ liệu cá nhân

Từ ngày 1/7, Nghị định về bảo vệ dữ liệu cá nhân có hiệu lực. Đây là hành lang pháp lý quan trọng để bảo vệ thông tin cá nhân của khách hàng. Thế nhưng, các ngân hàng cho rằng, những quy định trong nghị định này còn nhiều vướng mắc, xung đột. Nhiều ngân hàng kêu ca lúng túng, không biết phải triển khai như thế nào.

Trao đổi về triển khai Nghị định mới, đại diện Câu lạc bộ Pháp chế Ngân hàng thuộc Hiệp hội Ngân hàng cho rằng, quy định về bảo vệ dữ liệu khách hàng cá nhân đang có sự xung đột với pháp luật tài chính ngân hàng.

Đối với hoạt động ngân hàng, việc xử lý dữ liệu cá nhân gồm: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa... không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý hoạt động ngân hàng và quản lý rủi ro, bảo đảm an toàn an ninh của hệ thống tiền tệ. Do đó, nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không cần có sự chấp thuận của khách hàng.

Trong khi đó, Nghị định quy định nghiêm ngặt trách nhiệm của ngân hàng trong việc bảo vệ dữ liệu cá nhân, quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác. Đặc biệt, chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình.

Đại diện Câu lạc bộ Pháp chế Ngân hàng nhận định, để tuân thủ đầy đủ các quy định tại Nghị định 13 dường như không khả thi và khó có thể thực hiện đối với hoạt động ngân hàng. Đặc biệt, quy định xử lý dữ liệu của ngân hàng thay đổi thì phải có sự chấp thuận của khách hàng cũng gây khá nhiều khó khăn, vướng mắc cho các ngân hàng dẫn đến việc kéo dài thời gian, tiến độ khi cung cấp dịch vụ đến khách hàng do phải tăng thêm các bước vận hành.

Lãnh đạo một ngân hàng cổ phần cho biết, các ngân hàng luôn phân tích thông tin của khách hàng trước khi ra mắt hay cải tiến sản phẩm, dịch vụ. Việc phân tích thông tin theo tệp khách hàng có thể tới vài triệu người. Nếu thực hiện theo Nghị định 13, các ngân hàng phải được sự đồng ý của vài triệu khách hàng mới được xử lý, phân tích thông tin là điều không thể. Ngoài việc khó khăn khi liên lạc và nhận được sự đồng ý của cả vài triệu khách hàng, ngân hàng còn đứng trước nguy cơ rủi ro lộ bí mật kinh doanh.

Đại diện VPBank băn khoăn về việc xử lý dữ liệu bên thứ 3 liên quan tới khách hàng. Khi tổ chức tín dụng thu thập thông tin của khách hàng còn thu thập thêm thông tin của những người liên quan đến khách hàng cá nhân như: cha, mẹ, vợ hoặc chồng, con,… thậm chí tổ chức tín dụng còn thu thập thêm tài khoản giải ngân cho bên thụ hưởng. Như vậy, tổ chức tín dụng có cần phải xin phép bên thứ 3 khi thu thập thông tin.

Vì thế, đại diện các tổ chức tín dụng đều cho rằng, cần có lộ trình phù hợp để có thể triển khai Nghị định 13, đồng thời nghiên cứu thêm về các quy định liên quan đến bảo vệ dữ liệu cá nhân, để mang lại quyền và lợi ích cho khách hàng, bảo vệ người dân, các cơ quan, tổ chức tránh khỏi tình trạng lộ, mất thông tin cá nhân.