Tuân thủ quy trình 9 vấn đề trong khai thác dữ liệu cá nhân
Ngày nay, qua các hoạt động nghiệp vụ phục vụ đời sống phổ biến đến cộng đồng dân cư, ngành ngân hàng đã đi xuyên suốt gần như mọi ngóc ngách trong đời sống xã hội. Với hoạt động đó, lợi thế hiển nhiên của các ngân hàng là nắm giữ một khối lượng thông tin khổng lồ sưu tầm được từ hệ thống cơ sở khách hàng của mình.
Nhiều năm qua, các ngân hàng đều tận dụng lợi thế hiển nhiên đó để xây dựng cho mình hệ thống xử lý dữ liệu đặc biệt lớn và phức tạp, vượt xa khả năng của các phần mềm thông thường mà chúng ta quen gọi với khái niệm “Big Data”. Quy trình nghiệp vụ nội bộ của nhiều ngân hàng đã được thay đổi toàn diện, rút ngắn thời gian, thủ tục, tiết kiệm giấy tờ, tận dụng tiện ích từ kết quả phân tích dữ liệu tự động… Tốc độ số hóa nghiệp vụ đối với khách hàng cá nhân đang được đẩy mạnh trong cuộc đua tranh của nhiều ngân hàng.
Tuy nhiên, khi Nghị định 13/2023 của Chính phủ về bảo vệ dữ liệu cá nhân có hiệu lực, tốc độ số hóa nghiệp vụ nói trên của giới ngân hàng phải đối mặt với một trở ngại lớn. Nghị định 13 là văn bản pháp quy đầu tiên tại Việt Nam quy định về bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/7/2023. Từ các nội dung trực tiếp tác động của Nghị định 13 vào ngân hàng số, ngành ngân hàng phải xây dựng cho mình một quy trình tuân thủ với 9 vấn đề bắt buộc phải thực thi, cũng là cơ chế toàn diện thể hiện ngân hàng đã làm tròn trách nhiệm trong xử lý dữ liệu cá nhân, bao gồm: Thể hiện sự đồng ý của khách hàng; bảo đảm khách hàng với tư cách chủ thể dữ liệu được thực hiện quyền của họ trong quá trình xử lý dữ liệu; thông báo xử lý dữ liệu; cung cấp dữ liệu; chỉnh sửa dữ liệu; lưu trữ, xóa, huỷ dữ liệu; đánh giá tác động xử lý dữ liệu; chuyển dữ liệu ra nước ngoài và thông báo vi phạm quy định về bảo vệ dữ liệu.
Sau khi Nghị định 13 có hiệu lực, nhiều ngân hàng đã có động thái thể hiện sự tôn trọng về dữ liệu cá nhân của khách hàng như đăng tải trên website chính thức của mình tuyên ngôn bảo vệ dữ liệu cá nhân của ngân hàng, hoặc gửi thư tới hàng loạt khách hàng về thông điệp bảo vệ dữ liệu cá nhân…
Tuy nhiên, để thực hiện đúng Nghị định 13 thì không đơn giản như vậy. Xử lý dữ liệu theo công nghệ sẽ gồm nhiều bước, từ thu thập, nghiên cứu, phân tích, tổng hợp… đến ứng dụng sản phẩm. Các ngân hàng sẽ phải thông báo tới khách hàng, nêu rõ mục đích xử lý dữ liệu tại tất cả các bước hoạt động trong một quy trình xử lý dữ liệu và phải được sự đồng ý của khách hàng trong từng bước. Không chỉ vậy, các ngân hàng phải bảo đảm khách hàng với tư cách chủ thể dữ liệu có quyền tự truy cập dữ liệu, phản đối xử lý dữ liệu, thậm chí tự xóa dữ liệu. Các công việc liên quan đến dữ liệu như cung cấp dữ liệu theo yêu cầu của khách hàng hoặc người ủy quyền, hay chỉnh sửa dữ liệu, hoặc hủy xóa dữ liệu cũng được Nghị định 13 đưa ra những quy trình cụ thể mà bên kiểm soát dữ liệu là các ngân hàng phải tuân thủ theo. Các ngân hàng cũng có nghĩa vụ lập, lưu giữ để sẵn sàng phục vụ kiểm tra đối với các hồ sơ đánh giá tác động xử lý dữ liệu, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực thi trình tự thông báo vi phạm về dữ liệu cá nhân khi phát hiện vi phạm.
Các nội dung quy định tại Nghị định 13 là cần thiết trong việc bảo vệ quyền lợi chính đáng của các cá nhân công dân đối với dữ liệu cá nhân bản thân mình. Tại nhiều quốc gia kinh tế phát triển cũng có quy định với nội dung và mục đích tương tự nên các nghiệp vụ ngân hàng số tại các quốc gia này cũng phải tương thích với nghĩa vụ bảo vệ dữ liệu cá nhân. Trở ngại đối với các ngân hàng tại Việt Nam nằm ở chỗ việc số hóa nghiệp vụ đi chậm và muộn hơn. Vượt qua trở ngại chính là yếu tố rút ngắn thời gian cả về tốc độ số hóa nghiệp vụ ngân hàng cũng như hoàn thiện quy trình 9 vấn đề tuân thủ trong bảo vệ dữ liệu cá nhân của các ngân hàng.
Phòng thủ rủi ro khi tội phạm công nghệ tấn công khách hàng
Ngân hàng không hẳn là vô can và việc tội phạm công nghệ tấn công vào khách hàng của ngân hàng chính là một trở ngại lớn với mong muốn số hóa nghiệp vụ.
Hãy thử hình dung một tình huống như sau: Một khách hàng cá nhân nhận được tin nhắn mang tên ngân hàng của mình thông báo rằng tài khoản đang bị lộ mật khẩu, yêu cầu khách hàng truy cập vào một đường dẫn (link) để thay đổi mật khẩu. Sau khi khách hàng này làm theo hướng dẫn thì từ một số điện thoại cố định hiển thị tên ngân hàng có người gọi đến. Người này tự xưng là nhân viên ngân hàng và yêu cầu khách hàng thông báo mật khẩu dùng một lần (OTP) mà ngân hàng vừa gửi đến điện thoại di động để hoàn tất quá trình thay đổi mật khẩu tài khoản của khách hàng. Vị khách hàng kiểm tra điện thoại di động và thông tin mật khẩu OTP cho người tự xưng là nhân viên ngân hàng. Vài giây sau, cũng từ điện thoại di động của vị khách nọ báo tin, một khoản tiền lớn vừa được chuyển khoản ra khỏi tài khoản. Hóa ra, vị khách hàng này vừa thực hiện xong một quy trình trở thành nạn nhân mới của tội phạm công nghệ, trong khi cứ nghĩ rằng mình đang giao dịch trực tuyến với ngân hàng. Đây là tình huống không hiếm trong thực trạng vô vàn tình huống lừa đảo mà tội phạm công nghệ đang nhắm vào các khách hàng của ngân hàng. Với tình huống trên trách nhiệm sẽ thuộc về ai?
Đối với các ngân hàng, rất dễ để đưa ngay ra nhận định rằng, trách nhiệm trước hậu quả sẽ thuộc về khách hàng, bởi ngân hàng đã đầu tư công nghệ, xác lập một chuỗi các chốt chặn bảo mật thông tin. Khách hàng có nghĩa vụ phải bảo mật mật khẩu thông tin truy cập tài khoản của mình. Thậm chí, các ngân hàng có thể sẽ viện dẫn quy định tại Điểm g, Khoản 2, Điều 5 - Thông tư số 23/2014/TT-NHNN ngày 19/8/2014 của Ngân hàng Nhà nước về hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán để xác định ngân hàng vô can. Điều khoản này quy định như sau: “2. Chủ tài khoản thanh toán có các nghĩa vụ sau: g) Chịu trách nhiệm về những thiệt hại do sai sót hoặc bị lợi dụng, lừa đảo khi sử dụng dịch vụ thanh toán qua tài khoản do lỗi của mình”. Với quy định này, rõ ràng khách hàng phải chịu trách nhiệm từ sai sót của mình khi bị tội phạm công nghệ tấn công.
Tuy nhiên, ngân hàng không hẳn là vô can và việc tội phạm công nghệ tấn công vào khách hàng của ngân hàng chính là một trở ngại lớn với mong muốn số hóa nghiệp vụ. Mặc dù các ngân hàng đã phòng thủ rủi ro công nghệ bằng nhiều khâu kiểm soát mật khẩu truy cập của khách hàng, nhưng một thực tế là nhiều ngân hàng lại thiếu phòng thủ rủi ro pháp lý từ giao dịch trực tuyến với khách hàng.
Trong hầu hết vụ tấn công của tội phạm công nghệ, yếu tố tác động vào lòng tin của khách hàng đều giống nhau, đó là khách hàng luôn nghĩ rằng mình đang giao dịch với chính ngân hàng. Tội phạm công nghệ biết rõ điều đó và luôn sử dụng các thủ đoạn tạo các kênh liên lạc mạo danh ngân hàng để đánh lừa khách hàng. Kênh liên lạc giả mạo này có thể là điện thoại cố định, thư điện tử, tin nhắn điện thoại di động và chúng thường giống nhau ở yếu tố thể hiện bên ngoài tương tự như hình ảnh thương hiệu của ngân hàng qua chữ cái viết tắt, logo…
Nếu như ngân hàng cho rằng mình vô can trong trường hợp khách hàng bị tội phạm công nghệ lừa đảo thì hầu hết các hợp đồng cam kết trong giao dịch trực tuyến với khách hàng lại trở thành bằng chứng chứng minh rằng ngân hàng không vô can. Hợp đồng về giao dịch trực tuyến của nhiều ngân hàng chỉ có các thông tin cơ bản của ngân hàng, của khách hàng và không có cam kết gì giữa ngân hàng với khách hàng về những phương thức liên lạc ấn định mà các bên lựa chọn.
Nếu như tại hợp đồng, thỏa thuận, ngân hàng xác định với khách hàng rằng ngân hàng chỉ liên lạc với khách hàng qua một số điện thoại cố định, một thư điện tử xác định, thì việc khách hàng tin vào kênh liên lạc không chính thống hoàn toàn thuộc trách nhiệm của khách hàng. Vậy thì, khi bị tội phạm công nghệ tấn công bằng những kênh liên lạc mạo danh ngân hàng, khách hàng vẫn có quyền khiếu nại chia sẻ trách nhiệm đối với chính ngân hàng. Đây sẽ là một trở ngại thực tiễn đối với ngân hàng số nếu rủi ro pháp lý bị ngân hàng bỏ qua trong triển khai giao dịch với khách hàng.
Lợi thế của việc triển khai ngân hàng số đối với khách hàng cá nhân là việc rút ngắn thời gian để đạt được các mục tiêu của ngân hàng trong kinh doanh. Vậy thì các ngân hàng cũng không nên mất quá nhiều thời gian để chủ động vượt qua 2 trở ngại nêu trên trong quá trình số hóa nghiệp vụ và giao dịch với khách hàng.