Thông tin định danh khách hàng của ngân hàng có phải dữ liệu cá nhân không?

Ngày đăng - 16/12/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tin tức

Thông tin định danh khách hàng của ngân hàng không chỉ là dữ liệu cá nhân mà còn được xếp vào loại dữ liệu cá nhân nhạy cảm, đòi hỏi mức độ bảo vệ cao nhất. Tại DPVN, chúng tôi cung cấp giải pháp toàn diện để các tổ chức tín dụng tuân thủ nghiêm ngặt các quy định pháp luật, đảm bảo an toàn cho dữ liệu tài chính của khách hàng.

Thông tin định danh khách hàng của ngân hàng có phải là dữ liệu cá nhân nhạy cảm không?

Khẳng định là CÓ. Theo điểm h, khoản 4, Điều 2 Nghị định 13/2023/NĐ-CP, thông tin khách hàng của tổ chức tín dụng, bao gồm thông tin định danh, được phân loại là dữ liệu cá nhân nhạy cảm. Điều này đặt ra yêu cầu bảo vệ ở mức độ cao nhất cho các ngân hàng và tổ chức tài chính.

Việc pháp luật xếp thông tin khách hàng ngân hàng vào nhóm dữ liệu cá nhân nhạy cảm là hoàn toàn có cơ sở. Các thông tin này, nếu bị rò rỉ hoặc lạm dụng, có thể gây ra những thiệt hại trực tiếp và nghiêm trọng về tài chính, danh dự và an toàn cho khách hàng. Chúng không chỉ đơn thuần là thông tin liên lạc mà còn gắn liền với các giao dịch tài chính, tình hình tài sản và các mối quan hệ bảo đảm.

Về chuyên môn, dữ liệu này không chỉ bao gồm các thông tin cơ bản như tên hay số CCCD, mà còn là tập hợp các thông tin được thu thập qua quy trình Nhận biết Khách hàng (Know Your Customer – KYC). Theo quy định của Luật Các tổ chức tín dụng 2024 và Luật Phòng, chống rửa tiền 2022, quy trình KYC là bắt buộc để xác minh và định danh khách hàng, ngăn chặn các hoạt động tài chính bất hợp pháp. Do đó, toàn bộ dữ liệu thu thập trong quá trình này đều mang tính chất nhạy cảm và cần được bảo vệ đặc biệt.

Ngân hàng được phép thu thập những loại thông tin định danh nào của khách hàng?

Ngân hàng được phép thu thập các thông tin định danh khách hàng theo quy định của Luật Phòng, chống rửa tiền và các văn bản hướng dẫn của Ngân hàng Nhà nước. Các thông tin này bao gồm thông tin nhận dạng cá nhân, thông tin về người thụ hưởng, mục đích và bản chất của mối quan hệ kinh doanh.

Việc thu thập thông tin khách hàng của các tổ chức tín dụng phải tuân thủ nghiêm ngặt nguyên tắc tối thiểu hóa dữ liệu, tức là chỉ thu thập những gì cần thiết cho mục đích định danh và phòng chống rửa tiền. Theo Điều 9 và Điều 10 Luật Phòng, chống rửa tiền năm 2022, các nhóm thông tin chính ngân hàng phải thu thập bao gồm:

Loại khách hàng Thông tin định danh tối thiểu
Cá nhân Việt Nam Họ tên; Ngày sinh; Quốc tịch; Nghề nghiệp, chức vụ; Số điện thoại; Số Căn cước công dân hoặc Hộ chiếu; Địa chỉ.
Cá nhân Nước ngoài Họ tên; Ngày sinh; Quốc tịch; Nghề nghiệp, chức vụ; Số hộ chiếu; Thị thực nhập cảnh; Địa chỉ ở Việt Nam và nước ngoài.
Tổ chức Tên đầy đủ và viết tắt; Trụ sở chính; Mã số doanh nghiệp/Mã số thuế; Thông tin về người thành lập, người đại diện theo pháp luật.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: Một vướng mắc thực tế mà nhiều ngân hàng gặp phải là việc thu thập dữ liệu sinh trắc học (vân tay, khuôn mặt) cho quy trình định danh điện tử (eKYC). Mặc dù tiện lợi, nhưng đây là dữ liệu cá nhân nhạy cảm có rủi ro cao. Doanh nghiệp phải chứng minh được sự cần thiết, có sự đồng ý rõ ràng từ khách hàng và áp dụng các biện pháp bảo mật đặc biệt cho loại dữ liệu này. Việc này phải được mô tả chi tiết trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Ngân hàng có những nghĩa vụ bảo mật cốt lõi nào đối với thông tin khách hàng?

Nghĩa vụ của ngân hàng không chỉ dừng lại ở việc không tiết lộ thông tin. Họ phải chủ động áp dụng các biện pháp quản lý và kỹ thuật để bảo vệ dữ liệu, chỉ định nhân sự phụ trách, thông báo cho khách hàng về việc xử lý dữ liệu nhạy cảm và tuân thủ các quy định nghiêm ngặt của Ngân hàng Nhà nước về an toàn hệ thống thông tin.

Với vai trò là Bên Kiểm soát dữ liệu cá nhân, các tổ chức tín dụng có những nghĩa vụ bảo mật đặc thù và nghiêm ngặt hơn so với các ngành khác, bao gồm:

  • Nghĩa vụ bảo mật theo Luật Các tổ chức tín dụng: Điều 14 Luật Các tổ chức tín dụng 2024 yêu cầu các TCTD phải bảo mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng. Việc cung cấp thông tin chỉ được thực hiện khi có sự chấp thuận của khách hàng hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
  • Áp dụng biện pháp bảo vệ nâng cao: Do xử lý dữ liệu nhạy cảm, các ngân hàng phải thực hiện các nghĩa vụ tại Điều 28 Nghị định 13, bao gồm chỉ định bộ phận và nhân sự phụ trách bảo vệ dữ liệu, đồng thời thông báo cho khách hàng rằng dữ liệu của họ là dữ liệu nhạy cảm và đang được xử lý.
  • Tuân thủ tiêu chuẩn an toàn của Ngân hàng Nhà nước: Các tổ chức tín dụng phải tuân thủ bộ tiêu chuẩn về an toàn thông tin do Ngân hàng Nhà nước ban hành, ví dụ như các quy định tại Thông tư 09/2020/TT-NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng.
  • Trách nhiệm khi có vi phạm: Trong trường hợp xảy ra sự cố rò rỉ dữ liệu, ngân hàng có trách nhiệm thông báo cho cơ quan chức năng trong vòng 72 giờ và phối hợp xử lý, đồng thời chịu trách nhiệm bồi thường thiệt hại cho khách hàng nếu có.

Việc xây dựng một chính sách bảo vệ dữ liệu cá nhân cho khách hàng minh bạch và dễ hiểu là một phần quan trọng để thực hiện tốt nghĩa vụ này.

Khách hàng có những quyền gì đối với thông tin định danh của mình tại ngân hàng?

Khách hàng có đầy đủ 11 quyền của một chủ thể dữ liệu được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP. Các quyền này bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa, xóa dữ liệu, quyền rút lại sự đồng ý, và quyền khiếu nại, yêu cầu bồi thường thiệt hại.

Việc pháp luật trao cho khách hàng những quyền mạnh mẽ này đòi hỏi các ngân hàng phải xây dựng các quy trình nội bộ hiệu quả để đáp ứng. Một số quyền quan trọng khách hàng cần biết:

  • Quyền truy cập và chỉnh sửa: Bạn có quyền yêu cầu ngân hàng cung cấp bản sao thông tin định danh của bạn và yêu cầu chỉnh sửa nếu thông tin đó không còn chính xác (ví dụ: thay đổi địa chỉ, số điện thoại, số CCCD).
  • Quyền rút lại sự đồng ý: Đối với các mục đích không bắt buộc (ví dụ: nhận thông tin quảng cáo sản phẩm của đối tác), bạn có quyền rút lại sự đồng ý bất cứ lúc nào. Tuy nhiên, việc rút lại sự đồng ý cho mục đích định danh (KYC) có thể dẫn đến việc ngân hàng không thể tiếp tục cung cấp dịch vụ.
  • Quyền yêu cầu xóa dữ liệu: Khi bạn chấm dứt mối quan hệ với ngân hàng (đóng tài khoản), bạn có quyền yêu cầu xóa dữ liệu của mình. Tuy nhiên, ngân hàng có thể phải lưu trữ một số thông tin nhất định trong một khoảng thời gian theo quy định của pháp luật về lưu trữ hồ sơ kế toán, phòng chống rửa tiền.
  • Quyền khiếu nại và yêu cầu bồi thường: Nếu bạn cho rằng ngân hàng đã vi phạm quy định bảo vệ dữ liệu của mình, bạn có quyền khiếu nại trực tiếp đến ngân hàng, khiếu nại lên Cục A05, hoặc khởi kiện ra tòa để yêu cầu bồi thường thiệt hại.

DPVN: Đồng Hành Cùng Ngành Tài Chính – Ngân Hàng Tuân Thủ Quy Định

Ngành tài chính – ngân hàng luôn là tâm điểm của các quy định pháp lý phức tạp. Việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân không chỉ là nghĩa vụ mà còn là yếu tố sống còn để duy trì niềm tin của khách hàng.

DPVNLuật sư Nguyễn Lâm Sơn cung cấp các dịch vụ tư vấn chuyên biệt cho ngành ngân hàng, giúp Quý tổ chức xây dựng một khung tuân thủ vững chắc. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về bảo vệ dữ liệu khách hàng ngân hàng

1. Ngân hàng có được chia sẻ thông tin định danh của tôi cho công ty bảo hiểm liên kết không?

Ngân hàng chỉ được phép chia sẻ thông tin của bạn cho công ty bảo hiểm khi và chỉ khi có được sự đồng ý rõ ràng và tự nguyện của bạn cho mục đích này. Sự đồng ý này phải được thu thập riêng, không được gộp chung một cách mập mờ trong hợp đồng mở tài khoản.

2. Dữ liệu eKYC (video call, hình ảnh selfie) được bảo vệ như thế nào?

Dữ liệu eKYC chứa hình ảnh và dữ liệu sinh trắc học, là dữ liệu cá nhân nhạy cảm. Ngân hàng phải áp dụng các biện pháp bảo vệ cao nhất, bao gồm mã hóa mạnh, kiểm soát truy cập nghiêm ngặt, và phải nêu rõ việc xử lý loại dữ liệu này trong chính sách bảo mật cũng như trong hồ sơ ĐGTĐ gửi cơ quan chức năng.

3. Nếu tôi đóng tài khoản, ngân hàng có phải xóa ngay thông tin của tôi không?

Bạn có quyền yêu cầu xóa, tuy nhiên, ngân hàng có thể không xóa ngay lập tức. Theo quy định của pháp luật về kế toán và phòng, chống rửa tiền, các tổ chức tín dụng có nghĩa vụ lưu trữ hồ sơ giao dịch và thông tin khách hàng trong một khoảng thời gian nhất định (thường là tối thiểu 5 năm) sau khi kết thúc giao dịch hoặc đóng tài khoản.

4. Ai chịu trách nhiệm nếu dữ liệu của tôi bị lộ từ một ứng dụng fintech liên kết với ngân hàng?

Ngân hàng, với tư cách là Bên Kiểm soát Dữ liệu, sẽ chịu trách nhiệm chính và trực tiếp trước bạn. Sau đó, ngân hàng có thể truy cứu trách nhiệm của công ty fintech đó dựa trên hợp đồng xử lý dữ liệu đã ký kết giữa hai bên. Do đó, việc ngân hàng lựa chọn đối tác và có thỏa thuận pháp lý chặt chẽ là rất quan trọng.

5. Tôi cần làm gì nếu nghi ngờ thông tin của mình tại ngân hàng bị lạm dụng?

Đầu tiên, bạn nên liên hệ trực tiếp với ngân hàng qua các kênh chính thức để khiếu nại và yêu cầu làm rõ. Nếu không được giải quyết thỏa đáng, bạn có quyền gửi khiếu nại tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) hoặc khởi kiện ra Tòa án có thẩm quyền.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Luật Các tổ chức tín dụng 2024: https://thuvienphapluat.vn/van-ban/Tien-te-Ngan-hang/Luat-Cac-to-chuc-tin-dung-2024-553957.aspx
  3. Luật Phòng, chống rửa tiền 2022: https://thuvienphapluat.vn/van-ban/Tien-te-Ngan-hang/Luat-phong-chong-rua-tien-2022-506929.aspx
  4. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  5. Ngân hàng Nhà nước Việt Nam: https://www.sbv.gov.vn/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486