“Xung đột” pháp luật trong triển khai Nghị định 13 về bảo vệ dữ liệu cá nhân

Hành lang pháp lý quan trọng

Ngày 29/6, Hiệp hội Ngân hàng Việt Nam phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an tổ chức tọa đàm triển khai Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân.

Phát biểu khai mạc tọa đàm, ông Nguyễn Quốc Hùng, Tổng thư ký Hiệp hội Ngân hàng Việt Nam cho biết, là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới, dữ liệu cá nhân của hơn 2/3 dân số Việt Nam đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Theo đó, tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.

Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP (Nghị định 13) về bảo vệ dữ liệu cá nhân, và có hiệu lực từ ngày 1/7/2023. Lãnh đạo Hiệp hội Ngân hàng khẳng định, đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng phản ánh với Hiệp hội gặp một số vướng mắc, gây lúng túng khi thực hiện.

Ông Nguyễn Quốc Hùng, Tổng thư ký Hiệp hội Ngân hàng Việt Nam phát biểu tại tọa đàm

Ông Nguyễn Quốc Hùng cho biết, để giúp các tổ chức tín dụng hội viên hiểu rõ các nội dung quy định tại Nghị định 13 liên quan đến hoạt động ngân hàng, Hiệp hội Ngân hàng phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an tổ chức tọa đàm nhằm trao đổi, giải đáp các vướng mắc trong quá trình triển khai Nghị định 13.

“Tôi hy vọng, qua buổi tọa đàm, lãnh đạo của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an sẽ giải thích cụ thể những vướng mắc, khó khăn mà các tổ chức tín dụng gặp phải trong quá trình triển khai Nghị định 13. Để các tổ chức tín dụng có cách hiểu, áp dụng thống nhất pháp luật, góp phần vừa đảm bảo mục tiêu bảo vệ dữ liệu khách hàng cá nhân vừa đảm bảo hoạt động của các tổ chức tín dụng, phù hợp với pháp luật chuyên ngành” - ông Hùng nói.

Tại tọa đàm, Trung tá, TS. Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an đã làm rõ sự cần thiết của việc ban hành Nghị định 13 và giải thích nhiều khái niệm được quy định trong nghị định như: Dữ liệu cá nhân; chủ thể dữ liệu; dữ liệu cá nhân cơ bản; dữ liệu cá nhân nhạy cảm; các quy định về bảo vệ dữ liệu cá nhân đối với tổ chức, doanh nghiệp;… Đặc biệt, Nghị định có quy định rất rõ quyền và nghĩa vụ của chủ thể dữ liệu trong các hoạt động liên quan đến dữ liệu cá nhân.

Nhiều khó khăn, vướng mắc trong quá trình triển khai

Chia sẻ cụ thể hơn những vướng mắc trong quá trình triển khai, đại diện Câu lạc bộ Pháp chế Ngân hàng (Hiệp hội Ngân hàng Việt Nam) cho biết, hoạt động của các tổ chức tín dụng được điều chỉnh bởi các quy định pháp luật chuyên ngành như: Luật Các tổ chức tín dụng năm 2010 (sửa đổi, bổ sung năm 2014); Luật Phòng chống rửa tiền; Nghị định 117/2018/NĐ-CP về giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; Thông tư 09/2020/TT-NHNN của Ngân hàng Nhà nước quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng đã hướng dẫn cụ thể về việc bảo vệ dữ liệu cá nhân khách hàng, việc quản lý, lưu trữ, sao lưu… Các tổ chức tín dụng hoàn toàn đã có hành lang pháp lý đầy đủ để triển khai, tuân thủ việc bảo vệ dữ liệu khách hàng theo các quy định nêu trên. Tuy nhiên, với sự ra đời của Nghị định 13 có sự xung đột pháp luật.

Tọa đàm triển khai Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân

Chẳng hạn, Nghị định 13 tại khoản 2, Điều 3 và khoản 1, Điều 9 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác; hay tại khoản 2, Điều 9 quy định chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình; chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác tại Điều 9.

Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật. Mặt khác, đối với họat động ngân hàng, việc xử lý dữ liệu cá nhân, tác động tới dữ liệu cá nhân, như: Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan là bắt buộc, tất yếu không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý và quản lý rủi ro trong hoạt động ngân hàng, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, với quy định Nghị định 13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có quan điểm, hướng dẫn thống nhất để áp dụng.

Ngoài ra, Nghị định 13 yêu cầu: Bên kiểm soát và xử lý dữ liệu/Bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý tại Điều 11; và trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân tại Điều 13.

Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của tổ chức tín dụng được thực hiện theo nhiều quy trình/sản phẩm, trong mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp khách hàng có số lượng rất lớn.

Do đó, để tuân thủ đầy đủ các quy định tại Nghị định 13, quy định này dường như không khả thi và khó có thể thực hiện được; mặt khác các tổ chức tín dụng sẽ phải dành nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian/tiến độ khi cung cấp dịch vụ của tổ chức tín dụng đến khách hàng do phải tăng thêm các bước vận hành.

Khi thay đổi các quy trình xử lý dữ liệu lại phải xin chấp thuận của khách hàng... trong khi các hoạt động xử lý dữ liệu này nhìn chung đều hướng đến mục đích phục vụ nhu cầu, theo yêu cầu của chính khách hàng hoặc nhằm cải thiện chất lượng dịch vụ cung cấp tới khách hàng.

Hơn hết, để đảm bảo đáp ứng quy định của Nghị định 13, các tổ chức tín dụng phải tiến hành chỉnh sửa hệ thống công nghệ thông tin, các quy định nội bộ và các mẫu hợp đồng/văn bản/thỏa thuận để đảm bảo có các nội dung về bảo vệ dữ liệu cá nhân của khách hàng trong quá trình xử lý dữ liệu… Tuy nhiên, một số điều khoản trong Nghị định 13 được diễn đạt chung chung, việc diễn giải để thực hiện các điều khoản này gặp một số khó khăn, trong thời gian quá ngắn (trước 1/7/2023) thì việc rà soát và điều chỉnh trong nội bộ ngân hàng để đáp ứng quy định của Nghị định 13 là không khả thi, khó thực hiện.

Trước những phản ánh của các tổ chức tín dụng, đại diện Bộ Công an đã có giải đáp một số thắc mắc. Tuy nhiên, đây là vấn đề mới, khó và có sự giao thoa nhiều quy định văn bản pháp luật, nên việc vướng mắc trong triển khai là khó tránh khỏi.

Về phía Hiệp hội Ngân hàng Việt Nam, ông Nguyễn Quốc Hùng cho biết, trong quá trình triển khai thực hiện nếu các ngân hàng vẫn khó khăn vướng mắc gửi về Hiệp hội để cơ quan này tổng hợp, báo cáo và làm việc với Ngân hàng Nhà nước, Bộ Công an tháo gỡ kịp thời.