Cần quy định pháp lý chặt hơn đối với công ty công nghệ tài chính

Liên quan đến những thách thức về bảo mật thông tin đối với hoạt động giao dịch ngân hàng, ông Phạm Thanh Ngọc - Phó Vụ trưởng Vụ Ngân hàng bán lẻ cho biết, đó là về quy định bảo mật thông tin khách hàng của tổ chức tín dụng. Nghị định 117/2018/NĐ-CP (về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài (gọi chung là tổ chức tín dụng) quy định thông tin khách hàng của tổ chức tín dụng phải được giữ bí mật và chỉ được cung cấp theo quy định của Luật các tổ chức tín dụng năm 2010 (sửa đổi, bổ sung năm 2017), Nghị định 117/2018/NĐ-CP và pháp luật có liên quan.

Xu hướng Ngân hàng số đưa đến nhiều thách thức bảo mật thông tin trong giao dịch ngân hàng. Ảnh Đỗ Doãn

Theo đó, tổ chức tín dụng không được cung cấp thông tin khách hàng khi truy cập các dịch vụ ngân hàng như mã khóa bí mật, dữ liệu sinh trắc học, mật khẩu truy cập… cho bất kỳ cơ quan, tổ chức, cá nhân nào, trừ trường hợp được sự chấp thuận của khách hàng. Như vậy, nghị định điều chỉnh nghĩa vụ từ phía ngân hàng và tham chiếu đến “pháp luật liên quan”, cũng như cho phép ngân hàng chia sẻ thông tin với bên thứ ba khi có sự chấp thuận của khách hàng.

Đối với bên được chia sẻ thông tin, nghị định quy định phải chịu trách nhiệm đối với việc làm lộ thông tin khách hàng, sử dụng thông tin khách hàng không đúng mục đích. Tuy nhiên, quy định này chưa chỉ dẫn chi tiết hơn về việc thực hiện nghĩa vụ bảo mật, lưu trữ của bên nhận thông tin, ví dụ như có phải xây dựng quy trình nội bộ sử dụng, khai thác, bảo mật thông tin, có được chia sẻ thông tin với đối tượng khác hay không…

Tương tự, Thông tư số 09/2020/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng cũng chỉ quy định về các nghĩa vụ phòng chống rủi ro công nghệ thông tin (CNTT), quản lý an toàn, bảo mật hệ thống mạng đối với các tổ chức tín dụng, các tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng, Công ty CP Thanh toán Quốc gia Việt Nam, Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam... mà không áp dụng đối với các công ty công nghệ tài chính (fintech) khác.

‘‘Như vậy, dù các công ty fintech ít nhiều được tiếp cận thông tin của các ngân hàng khi triển khai hoạt động hợp tác, vẫn chưa có quy định pháp lý trực tiếp điều chỉnh nghĩa vụ bảo mật thông tin đối với các công ty fintech. Việc thiếu hụt về quy định như hiện nay cũng dễ hiểu do các công ty fintech (ngoại trừ các trung gian thanh toán) chưa được quản lý bởi pháp luật chuyên ngành và cơ quan quản lý chuyên ngành mà vẫn đang hoạt động dưới đăng ký kinh doanh gồm các ngành nghề kinh doanh không có điều kiện’’ - ông Phạm Thanh Ngọc cho biết.

Hoàn thiện cơ chế thử nghiệm có kiểm soát hoạt động công nghệ tài chính

Thách thức thứ hai, theo ông Phạm Thanh Ngọc, đó là những vấn đề liên quan đến việc phát triển các sản phẩm, dịch vụ ngân hàng bán lẻ mới, trong đó một ví dụ điển hình là Ngân hàng mở (Open banking). Với dịch vụ này, khách hàng có thể sử dụng dịch vụ tài chính ngân hàng không chỉ ở các kênh do ngân hàng thương mại (NHTM) cung cấp, mà còn trên các kênh do đối tác thứ 3, công ty fintech, ứng dụng mobile app cung cấp nhằm đáp ứng đa dạng các nhu cầu cuộc sống.

Khách hàng tìm hiểu sản phẩm của dịch vụ ngân hàng bán lẻ. Ảnh Đỗ Doãn

Tuy nhiên, các quy định pháp luật điều chỉnh quan hệ này hiện đang thiếu hụt. Cụ thể như, Thông tư 39/2014/TT-NHNN quy định chỉ cho phép các trung gian thanh toán được Ngân hàng Nhà nước Việt Nam (NHNN) cấp phép mới được phép sử dụng các dịch vụ thanh toán của ngân hàng, còn việc cung cấp dịch vụ ngân hàng trên các ứng dụng của fintech chưa được quy định.

Hiện cũng chưa có quy định hướng dẫn về giao diện lập trình ứng dụng mở (Open API); những dịch vụ, dữ liệu nào của ngân hàng mà fintech được sử dụng (chuyển tiền, thanh toán, sao kê, truy vấn số dư,...); chưa có quy định về tiêu chuẩn CNTT liên quan đến lưu trữ thông tin khách hàng, bảo mật dữ liệu trong quá trình kết nối; chưa có quy định về áp dụng tiêu chuẩn kỹ thuật vào quy trình xác thực khách hàng từ bên thứ ba.

Để khắc phục những vấn đề nêu trên, NHNN hiện đang gấp rút hoàn thiện dự thảo nghị định về cơ chế thử nghiệm (sandbox) đối với hoạt động fintech. Nghị định này dự kiến điều chỉnh các hoạt đồng gồm: cho vay ngang hàng (P2P Lending); hỗ trợ định danh khách hàng; giao diện lập trình ứng dụng mở; các giải pháp ứng dụng công nghệ đổi mới sáng tạo như blockchain..., trong đó có điều kiện về xây dựng hệ thống CNTT đáp ứng yêu cầu an toàn thông tin và bảo mật thông tin.

Bên cạnh đó, Bộ Công an cũng đang xây dựng nghị định về bảo vệ dữ liệu cá nhân quy định về xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân, xử lý vi phạm về dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

‘‘Tuy nhiên, cho đến khi các nghị định này được ban hành, các tổ chức tín dụng cần chủ động giám sát, ràng buộc các công ty fintech trong việc sử dụng đúng mục đích thông tin ngân hàng, đồng thời phải có chính sách bảo mật nội bộ phù hợp. Các doanh nghiệp fintech cũng cần quan tâm đến khía cạnh bảo mật khi đưa ra ý tưởng và triển khai hợp tác cung ứng các dịch vụ trên thực tế’’ - ông Phạm Thanh Ngọc khuyến nghị./.