BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC MỞ THÀNH PHỐ HỒ CHÍ MINH QUY ĐỊNH MỚI VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN LIÊN QUAN ĐẾN CÁC TỔ CHỨC TÍN DỤNG, NHỮNG VẤN ĐỀ CỊN VƯỚNG MẮC VÀ ĐỀ XUẤT HỒN THIỆN TIỂU LUẬN CUỐI KỲ MƠN HỌC: CHUYÊN ĐỀ THỰC TIỄN GVHD: TS NGUYỄN THỊ MỸ HẠNH Học viên: NGUYỄN BÌNH HẬU Lớp: MLAW022B MSHV: 2283801072005 TP HỒ CHÍ MINH - 2023 LỜI CAM ĐOAN Tơi đoan Tiểu luận “Quy định Bảo vệ liệu cá nhân liên quan đến hoạt động Tổ chức tín dụng” nghiên cứu tơi Ngoại trừ tài liệu tham khảo trích dẫn Tiểu luận này, tơi cam đoan toàn phần hay phần nhỏ Tiểu luận chưa công bố sử dụng để nhận cấp nơi khác Khơng có sản phẩm/nghiên cứu người khác sử dụng Tiểu luận mà khơng trích dẫn theo quy định Tiểu luận chưa nộp để nhận cấp trường đại học sở đào tạo khác TP HCM, tháng 08/2023 Tác giả Nguyễn Bình Hậu i LỜI CẢM ƠN Tôi xin gửi lời cảm ơn sâu sắc tri ân đến Giáo viên hướng dẫn TS NGUYỄN THỊ MỸ HẠNH giảng dạy hướng dẫn môn học “Chun đề thực tiễn” khóa học tơi trường Đại học Mở Thành phố Hồ Chí Minh Xin gửi lời cảm ơn đến thầy Ths.NGUYỄN HOÀNG MINH HẢI hướng dẫn nghiên cứu môn “ Tuân thủ pháp luật bảo vệ bí mật cá nhân” Với hướng dẫn tận tâm kiến thức sâu sắc Cô Thầy hỗ trợ tơi suốt q trình nghiên cứu đề tài Các lời khuyên quý giá hướng dẫn chân thành Cô Thầy giúp tơi hướng vượt qua khó khăn trình nghiên cứu Bản thân thực thuyết trình với tinh thần nghiêm túc nỗ lực trình thực đề tài nghiên cứu Với dẫn tận tâm Cơ Thầy, tơi hồn thiện nghiên cứu theo u cầu khóa học Một lần nữa, Tôi xin chân thành cảm ơn cô TS NGUYỄN THỊ MỸ HẠNH Ths.NGUYỄN HOÀNG MINH HẢI, chúc Cô Thầy nhiều sức khỏe, nhiều niềm vui việc sống ý TP HCM, tháng 08/2023 Tác giả Nguyễn Bình Hậu ii TĨM TẮT ĐỀ TÀI Chúng ta sống thời đại cách mạng công nghiệp lần thứ tư, thời đại mà thứ dần dịch chuyển lên không gian mạng Theo thống kê Liên hợp quốc, tính đến tháng 4/2023, giới có 5,18 tỷ người sử dụng internet (chiếm gần 65% dân số giới) với gần 29 tỷ thiết bị kết nối internet1 Việt Nam hịa vào xu hướng chuyển đổi số, phát triển Chính phủ điện tử, kinh tế số, xã hội số, công dân số với 77,93 triệu người sử dụng internet (chiếm 79% dân số) Cơ sở hạ tầng khơng gian mạng phát triển nhanh ngày hồn thiện, tạo điều kiện thuận lợi cho ngành, nghề, dịch vụ kinh doanh có liên quan đến liệu cá nhân phát triển Bên cạnh yếu tố thuận lợi, phát triển nhanh, mạnh khoa học công nghệ tạo nhiều khó khăn, thách thức công tác bảo vệ liệu cá nhân Tình trạng lộ, liệu cá nhân diễn phổ biến không gian mạng Người sử dụng chưa có ý thức bảo vệ liệu cá nhân dẫn tới đăng tải công khai lộ, mất, bị chiếm đoạt trình chuyển giao, lưu trữ, trao đổi Các hành vi vi phạm pháp luật liên quan đến lĩnh vực chưa có chế tài xử lý nghiêm minh, xứng đáng, bảo đảm tính đe, phịng ngừa Tình hình đặt yêu cầu bảo vệ tương xứng với việc sử dụng, khai thác liệu cá nhân mục đích Để đạt cân này, trước hết quan trọng xây dựng tảng pháp lý bảo vệ liệu cá nhân, thống cách hiểu khái niệm nội hàm “dữ liệu cá nhân”, định hình vị trí, trách nhiệm tổ chức, doanh nghiệp hoạt động liên quan đến xử lý liệu cá nhân mơi trường số Theo đó, ngày 17/4/2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP bảo vệ liệu cá nhân Việc Chính phủ Việt Nam ban hành nghị định bảo vệ liệu cá nhân nói lên tầm quan trọng vấn đề Điều yêu cầu chúng ta, từ tổ chức đến nhân, phải tuân thủ pháp luật “về bảo vệ liệu cá nhân” trình tham gia hoạt động xã hội Khơng nằm ngoại lệ, Tổ chức tín dụng tổ chức có mối liên hệ trao đổi thơng tin hầu hết với tổ chức cá nhân trình hoạt động Vì vậy, việc rà soát tuân thủ cấp bách Cá nhân tôi, thành viên hệ thống TCTD, thực đề tài nhằm thực để thực tốt cơng việc https://www.statista.com/statistics/617136/digital-population-worldwide/ truy cập 9:00 AM 8/7/2023 iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii TÓM TẮT ĐỀ TÀI iii MỤC LỤC iv DANH MỤC TỪ VIẾT TẮT v CHƯƠNG 1: SỰ CẦN THIẾT BAN HÀNH QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ NỘI DUNG CHÍNH CỦA QUY ĐỊNH 1.1 Sự cần thiết ban hành quy định bảo vệ liệu cá nhân 1.1.1 Thể chế hóa quy định Hiến pháp pháp luật quyền bảo vệ bí mật cá nhân, quyền người, quyền cơng dân an ninh mạng 1.1.2 Bảo đảm đồng bộ, thống hệ thống pháp luật 1.1.3 Hài hịa với thơng lệ, quy định quốc tế bảo vệ liệu cá nhân .2 1.1.4 Tạo tảng pháp lý cho hoạt động có liên quan tới liệu cá nhân 1.1.5 Xử lý nghiêm hành vi vi phạm liệu cá nhân: 1.2 Nội dung quy định bảo vệ liệu cá nhân 1.2.1 Thống thuật ngữ xây dựng số khái niệm quan trọng 1.2.2 Xây dựng nguyên tắc bảo vệ liệu cá nhân 1.2.3 Quyền nghĩa vụ chủ thể liệu 1.2.4 Các quy định cụ thể CHƯƠNG 2: NHỮNG VẤN ĐỀ CÒN VƯỚNG MẮC VÀ ĐỀ XUẤT HOÀN THIỆN 2.1 Những vấn đề vướng mắc liên quan đến đến triển khai thực hiện: .6 2.1.1 Trách nhiệm cung cấp thông tin nhân tổ chức: 2.1.2 Cấp độ quản lý liệu nhạy hay nhạy cảm TCTD: 2.1.3 Làm xử lý liệu cá nhân phục vụ cho hoạt động TCTD: .7 2.2 Những vướng mắc cần kiến nghị quan chức hướng dẫn: 2.2.1 Vấn đề rút lại thông tin cung cấp: 2.2.2 Vấn đề thời hạn lưu trữ thông tin: 2.2.3 Quy định đánh giá tác động xử lý liệu cá nhân: .9 KẾT LUẬN 10 TÀI LIỆU THAM KHẢO i PHỤ LỤC: THỎA THUẬN BẢO VỆ DỮ LIỆU CÁ NHÂN TẠI NGÂN HÀNG TMCP ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM (BIDV) ii iv DANH MỤC TỪ VIẾT TẮT Từ viết tắt CMND, CCCD DN GTTT ID KTT NĐDTPL NĐ-CP NHNN SWIFT TCTD Từ viết đầy đủ Chứng minh nhân dân, Căn cước công dân Doanh nghiệp Giấy tờ tùy thân Identification Kế toán trưởng Người đại diện pháp luật Nghị định Chính phủ Ngân hàng Nhà nước Business Identifier Codes: Mã định danh ngân hàng Tổ chức tín dụng v CHƯƠNG 1: SỰ CẦN THIẾT BAN HÀNH QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ NỘI DUNG CHÍNH CỦA QUY ĐỊNH 1.1 Sự cần thiết ban hành quy định bảo vệ liệu cá nhân 1.1.1 Thể chế hóa quy định Hiến pháp pháp luật quyền bảo vệ bí mật cá nhân, quyền người, quyền công dân an ninh mạng Hiến pháp khẳng định quyền riêng tư cá nhân bất khả xâm phạm Hiến pháp phát triển mở rộng phạm vi quyền riêng tư không quyền bất khả xâm phạm thân thể, nhà ở, thư tín mà cịn bao gồm quyền bảo vệ bí mật cá nhân, có thơng tin đời sống riêng tư, bí mật cá nhân, bí mật gia đình Mặc dù, hệ thống pháp luật Việt Nam hành chưa sử dụng cụm từ “dữ liệu cá nhân”, chưa có định nghĩa liệu cá nhân bảo vệ liệu cá nhân, nhưng, với quy định quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình quy định liên quan tới “thơng tin cá nhân”, “thông tin riêng”, “thông tin số”, “thông tin cá nhân mơi trường mạng”, “thơng tin bí mật đời tư”… văn hành, Nghị định xây dựng tiếp cận theo hướng “dữ liệu cá nhân” “bảo vệ liệu cá nhân” vấn đề có liên quan đến quyền riêng tư, pháp luật bảo vệ, phù hợp với tinh thần Hiến pháp Cơng dân Việt Nam có quyền bất khả xâm phạm, quyền giữ bí mật liệu cá nhân Dữ liệu cá nhân pháp luật Việt Nam bảo vệ, hành vi xâm phạm liệu cá nhân bị xử lý nghiêm minh theo quy định pháp luật 1.1.2 Bảo đảm đồng bộ, thống hệ thống pháp luật Dữ liệu cá nhân vấn đề liên quan chặt chẽ đến quyền người, quyền cơng dân, an tồn, an ninh mạng, an ninh thơng tin, an ninh liệu, công nghệ thông tin cách mạng cơng nghiệp lần thứ tư, phủ điện tử, phủ kinh tế số Thời gian gần đây, Đảng Nhà nước ban hành nhiều văn đạo vấn đề Bảo vệ liệu cá nhân tiến hành song song, đồng thời với phát triển kinh tế, xã hội, liền với tất khâu, trình phải đảm bảo không hạn chế phát triển, đổi sáng tạo Theo thống kê, trước Nghị định số 13/2023/NĐ-CP(Nghị định 13) ban hành, Việt Nam có nhiều văn quy phạm pháp luật liên quan trực tiếp đến bảo vệ liệu cá nhân Việt Nam Tuy nhiên, chưa thống khái niệm nội hàm liệu cá nhân, bảo vệ liệu cá nhân Điều đặt khó khăn lớn công tác xây dựng Nghị định quy dịnh bảo vệ liệu cá nhân bảo đảm tính tương thích, đồng với tồn nội dung văn pháp luật có 1.1.3 Hài hịa với thông lệ, quy định quốc tế bảo vệ liệu cá nhân Bảo vệ liệu cá nhân vấn đề tổ chức nhiều quốc gia giới quan tâm trước nước ta thời gian dài, có nhiều kinh nghiệm pháp lý thực tiễn triển khai thi hành để tiếp thu Do hệ thống pháp luật, trình độ nhận thức, kinh tế, xã hội khác nên việc tiếp thu cần bảo đảm yếu tố hài hòa, sở phù hợp với thực tiễn nước ta Hầu hết công ước, khuyến nghị tiêu chuẩn khu vực quyền riêng tư bảo vệ thông tin liệu cá nhân tuân thủ Nguyên tắc bảo mật Tổ chức hợp tác phát triển kinh tế (OECD), bao gồm Công ước Hội đồng châu Âu bảo vệ cá nhân liên quan đến tự động xử lý thông tin liệu cá nhân, Hướng dẫn Liên hợp quốc tệp thơng tin liệu cá nhân vi tính hóa, Khung bảo mật hợp tác kinh tế châu Á – Thái Bình Dương, Các tiêu chuẩn quốc tế quyền riêng tư bảo vệ thông tin liệu cá nhân (Nghị định Madrid), Luật Tổ chức quốc gia Hoa Kỳ (OAS) bảo vệ thông tin liệu cá nhân năm 2014, gần Quy định bảo vệ liệu chung EU (GDPR) Hiện nay, có 80 quốc gia ban hành văn quy phạm pháp luật bảo vệ liệu cá nhân, nhiều văn có quy định áp dụng tổ chức, cá nhân Việt Nam Điều nầy đặt yêu cầu dối với Nghị định bảo vệ liệu cá nhân, bảo đảm hài hịa với thơng lệ quốc tế phải tạo mơi trường kinh doanh bình đẳng, thượng tơn pháp luật Việt Nam 1.1.4 Tạo tảng pháp lý cho hoạt động có liên quan tới liệu cá nhân Nước ta quốc gia có tốc độ phát triển ứng dụng internet cao giới Theo thống kê We Are Social Meltwater, tính đến tháng năm 2023, Việt Nam có 77,93 triệu người dùng Internet, tương đương với 79,1% tổng dân số2 Dữ liệu cá nhân 2/3 dân số nước ta lưu trữ, đăng tải, chia sẻ thu thập khơng gian mạng với nhiều hình thức mức độ chi tiết khác Việc thu thập liệu cá nhân tích hợp sâu sản phẩm, dịch vụ có khó nhận biết, xác thực sai bảo đảm mục đích sử dụng thông báo Yêu cầu bảo vệ nâng cao từ https://www.vnis.vn/news/thong-ke-internet-viet-nam-2023 truy cập lúc 3:30 PM ngày 02/8/2023 góc độ cá nhân tới vấn đề chủ quyền, an ninh quốc gia Cơ sở hạ tầng khơng gian mạng phát triển nhanh ngày hồn thiện, tạo điều kiện thuận lợi cho ngành, nghề, dịch vụ kinh doanh có liên quan tới liệu cá nhân phát triển Nước ta đẩy mạnh xây dựng Chính phủ điện tử, hướng tới Chính phủ số, kinh tế só với tham gia ngày sâu rộng lĩnh vực hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế Cơng nghệ thơng tin, truyền thơng, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, liệu lớn, liệu nhanh ứng dụng sâu rộng, tạo giá trị to lớn xã hội Dữ liệu cá nhân từ vị trí chưa thực quan trọng, trở thành nguyên liệu cho hoạt động ngành, nghề, dịch vụ nêu ngày chiếm vị trí quan trọng tổng thể lĩnh vực tạo giá trị lợi nhuận cao kinh tế quốc dân Điều đặt cho Chính phủ toán phải quản lý hiệu quả, tương đồng sử dụng bảo vệ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững phát triển giá trị liệu cá nhân tạo 1.1.5 Xử lý nghiêm hành vi vi phạm liệu cá nhân: Tình trạng lộ liệu cá nhân diễn phổ biến không gian mạng Người sử dụng chưa có ý thức bảo vệ liệu cá nhân, đăng tải công khai lộ trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt đăng tải cơng khai Tình trạng mua bán liệu cá nhân diễn phổ biến, công khai với liệu thô liệu cá nhân qua xử lý, nhiều hành vi chưa xử lý thiếu quy định pháp luật Các doanh nghiệp kinh doanh dịch vụ có thu thập liệu cá nhân khách hàng, cho phép đối tác thứ ba tiếp cận thông tin cá nhân yêu cầu, quy định chặt chẽ, để đối tác thu thập thơng tin cá nhân khách hàng, hình thành kho liệu cá nhân, phân tích, xử lý loại liệu để tiến hành kinh doanh, buôn bán Việc mua bán liệu cá nhân không diễn đơn lẻ, cá nhân với cá nhân, mà cịn có tham gia cơng ty, tổ chức Một số công ty thành lập mới, đầu tư xây dựng, vận hành hệ thống kỹ thuật chuyên thu thập trái phép liệu cá nhân để kinh doanh thu lợi nhuận, xây dựng phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trang mạng để thu thập thông tin tự động, phân tích thành tệp liệu cá nhân có giá trị, tán phát mã độc có chức thu thập liệu cá nhân môi trường mạng, tổ chức công, xâm nhập hệ thống máy tính quan, tổ chức, doanh nghiệp để chiếm đoạt liệu cá nhân 1.2 Nội dung quy định bảo vệ liệu cá nhân 1.2.1 Thống thuật ngữ xây dựng số khái niệm quan trọng - Dữ liệu cá nhân thông tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự môi trường điện tử gắn liền với người cụ thể giúp xác định người cụ thể Dữ liệu cá nhân bao gồm liệu cá nhân liệu cá nhân nhạy cảm - Thông tin giúp xác định người cụ thể thơng tin hình thành từ hoạt động cá nhân mà kết hợp với liệu, thông tin lưu trữ khác xác định người cụ thể - Bảo vệ liệu cá nhân hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến liệu cá nhân theo quy định pháp luật 1.2.2 Xây dựng nguyên tắc bảo vệ liệu cá nhân Nghị định xây dựng tám nguyên tắc bảo vệ liệu cá nhân, bao gồm: (1) Dữ liệu cá nhân xử lý theo quy định pháp luật; (2) Chủ thể liệu biết hoạt động liên quan tới xử lý liệu cá nhân mình, trừ trường hợp có quy định khác; (3) Dữ liệu cá nhân xử lý với mục đích bên kiểm soát liệu cá nhân, bên xử lý liệu cá nhân, bên kiểm soát xử lý liệu cá nhân, bên thứ ba đăng ký, tuyên bố xử lý liệu cá nhân; (4) Dữ liệu cá nhân thu thập phải phù hợp giới hạn phạm vi, mục đích cần xử lý Dữ liệu cá nhân không mua, bán hình thức, trừ trường hợp có quy định khác; (5) Dữ liệu cá nhân cập nhật, bổ sung phù hợp với mục đích xử lý; (6) Dữ liệu cá nhân áp dụng biện pháp bảo vệ, bảo mật trình xử lý, bao gồm việc bảo vệ trước hành vi vi phạm quy định bảo vệ liệu cá nhân phịng, chóng mát, phá hủy thiệt hại cố, sử dụng biện pháp kỹ thuật; (7) Dữ liệu cá nhân lưu trữ khoảng thời gian phù hợp với mục đích xử lý liệu, trừ trường hợp pháp luật có quy định khác; (8) Bên kiểm soát liệu, bên kiểm soát xử lý liệu phải chịu trách nhiệm tuân thủ nguyên tắc xử lý liệu được quy định chứng minh tuân thủ với nguyên tắc xử lý liệu 1.2.3 Quyền nghĩa vụ chủ thể liệu Nghị định quy định 11 quyền chủ thể liệu, gồm: (1) Quyền biết; (2) Quyền đống ý; (3) Quyền truy cập; (4) Quyền rút lại đồng ý; (5) Quyền xóa liệu; (6) Quyền hạn chế xử lý liệu; (7) Quyền cung cấp liệu; (8) Quyền phản đối xử lý liệu; (9) Quyền khiếu nại, tố cáo; (10) Quyền yêu cầu bồi thường thiệt hại theo quy định pháp luật; (11) Quyền tự bảo vệ Nghị định quy định năm nghĩa vụ chủ thể liệu, gồm: (1) Có trách nhiệm tự bảo vệ liệu cá nhân mình, yêu cầu tổ chức, cá nhân khác có liên quan bảo vệ liệu cá nhân mình; (2) Tơn trọng, bảo vệ liệu cá nhân người khác; (3) Cung cấp đầy đủ, xác liệu cá nhân đồng ý cho phép xử lý liệu cá nhân; (4) Tham gia tuyên truyền, phổ biến kỹ bảo vệ liệu cá nhân; (5) Thực quy định pháp luật bảo vệ liệu cá nhân tham gia phòng, chống hành vi vi phạm quy định bảo vệ liệu cá nhân 1.2.4 Các quy định cụ thể Nghị định quy định nội dung cụ thể bảo vệ liệu cá nhân bao gồm: (1) Quy định đồng ý chủ thể liệu; (2) Về rút lại dự đồng ý chủ thể liệu; (3) Về thông báo xử lý liệu cá nhân; (4) Về cung cấp liệu cá nhân; (5) Chỉnh sửa liệu cá nhân; (6) Lưu trữ, xóa, hủy bỏ liệu cá nhân; (7) Về xử lý liệu cá nhân trường hợp không cần đồng ý chủ thể liệu; (8) Xử lý liệu cá nhân thu từ hoạt động ghi âm, ghi hình nơi công cộng; (9) Xử lý liệu cá nhân người bị tuyên bố tích, chết; (10) Xử lý liệu cá nhân trẻ em; (11) Bảo vệ liệu cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo; (12) Thu thập, chuyển giao, mua, bán trái phép liệu cá nhân; (13) Thông báo vi phạm quy định bảo vệ liệu cá nhân; (14) Đánh giá tác động xử lý liệu cá nhân chuyển liệu cá nhân nước ngoài; (15) Biện pháp bảo vệ liệu cá nhân; (16) Bảo vệ liệu cá nhân bản; (17) Bảo vệ liệu cá nhân nhạy cảm; (18) Cơ quan chuyên trách bảo vệ liệu cá nhân cổng thông tin quốc gia bảo vệ liệu cá nhân; (19) Điều kiện bảo đảm hoạt động bảo vệ liệu cá nhân CHƯƠNG 2: NHỮNG VẤN ĐỀ CÒN VƯỚNG MẮC VÀ ĐỀ XUẤT HOÀN THIỆN 2.1 Những vấn đề vướng mắc liên quan đến đến triển khai thực hiện: 2.1.1 Trách nhiệm cung cấp thông tin cá nhân tổ chức: Điều Nghị định 13 quy định cung cấp liệu nhân giao dịch, không quy định khách hàng Tổ chức, đăng ký giao dịch TCTD, phải đăng ký người đại diện theo pháp luật cá nhân có liên quan đến tổ chức giao dịch với TCTD, thơng tin tổ chức khai báo, có ảnh hưởng thuộc trách nhiệm của tổ chức đăng ký hay TCTD tiếp nhận thông tin chưa rõ ràng, cần hướng dẫn cụ thể Ý kiến đề xuất giải pháp triển khai : Khi mở tài khoản tổ chức, có thông tin liên quan đến NĐDTPL, KTT, người giới thiệu để giao dịch,…và thông tin cụ thể cá nhân nên thuộc phạm vi điều chỉnh Nghị định 13 phải đảm bảo quyền cá nhân Vì vậy, liên quan đến việc xử lý liệu cá nhân, TCTD phải yêu cầu tổ chức đăng ký giao dịch cung cấp thêm việc lấy ý kiến đồng ý cá nhân tổ chức trước đăng ký thông tin giao dịch 2.1.2 Cấp độ quản lý liệu hay nhạy cảm TCTD: Tại Điều có quy định cụ thể liệu cá nhân, liệu cá nhân bản, liệu cá nhân nhạy cảm Tuy nhiên, khái niệm nhạy cảm hay chưa xác định cụ thể nào, mức độ sao,…có thể xảy tình như: + Một cá nhân có thơng tin Họ, chữ đệm tên khai sinh, Số điện thoại,… bị rò rỉ, thất thoát gây ảnh hưởng đến chủ thể liệu gọi spam chào mời, quảng cáo sử dụng thông tin cá nhân để làm giả giấy tờ lừa đảo, có nhạy cảm không? + Điểm k khoản quy định "Thông tin tài khoản số cá nhân; liệu cá nhân phản ánh hoạt động, lịch sử hoạt động không gian mạng" liệu cá nhân gồm, thu thập bình luận mạng người dùng MXH đồng thời có động thái phân tích đánh giá thơng tin tích cực hay tiêu cực, để sử dụng vào mục đích khác có nhay cảm khơng? Ý kiến đề xuất giải pháp triển khai : + Nghị định 13 có quy định cụ thể liệu cá nhân, liệu cá nhân bản, liệu cá nhân nhạy cảm Tuy nhiên, tất liệu ảnh hưởng trực tiếp tới quyền, lợi ích Chủ thể nên dù thông tin định danh Chủ thể họ tên, địa chỉ, CMND, CCCD nằm danh sách liệu lưu trữ hệ thống, TCTD nên ghi nhận liệu cá nhân cấp độ nhạy cảm + Khi thu thập bình luận mạng người dùng MXH, TCTD cần phải đánh giá đối tác việc thu thập thông tin có gắn với người cụ thể hay không kể liệu không định danh để tránh việc vi phạm khai thác liệu liên quan đế liệu cá nhân người dùng 2.1.3 Làm xử lý liệu cá nhân phục vụ cho hoạt động TCTD: Điều 11 quy định xử lý liệu nhân (trừ trường hợp luật có quy định khác) phải có đồng ý chủ thể liệu áp dụng tất hoạt động quy trình xử lý liệu cá nhân Sự đồng ý chủ thể liệu có hiệu lực chủ thể liệu tự nguyện biết rõ nội dung sau: : a)Loại liệu cá nhân xử lý; b) Mục đích xử lý liệu cá nhân; c) Tổ chức, cá nhân xử lý liệu cá nhân; d) Các quyền, nghĩa vụ chủ thể liệu Như vây, xử lý liệu khách hàng, TCTD có phải kê chi tiết loại liệu xử lý hay cầ nêu loại liệu liệu nhạy cảm Trong trường hợp phát sinh trường liệu bổ sung chương trình, TCTD co phải tiến hành lại bước xin chấp thuận khách hàng để xử lý trường liệu khơng? Mục đích xử lý liệu quy định tổng quát hay phải quy định chi tiết cụ thể tất trường hợp sử dụng liệu xử lý? Nếu quy định chi tiết mục đích chi tiết có thay đổi TCTD có cần xác nhận khách hàng khơng? Ý kiến đề xuất giải pháp triển khai : Trước mắt, chờ có quy định chi tiết nội dung này, làm việc với khách hàng, TCTD nên lấy ý kiến toàn liệu mà chủ thể cung cấp cho TCTD TCTD thu thập trình xử lý giao dịch cho khách hàng khơng phải xin chấp thuận bổ sung với liệu Khi xử lý liệu phục vụ cho nhiều mục đích, phải liệt kê mục đích để chủ thể liệu đồng ý với nhiều mục đích nêu 2.2 Những vướng mắc cần kiến nghị quan chức hướng dẫn: 2.2.1 Vấn đề rút lại thông tin cung cấp: Khoản 1, Điều 12 quy định việc rút lại đồng ý khơng ảnh hưởng đến tính hợp pháp việc xử lý liệu đồng ý trước rút lại đồng ý Đồng thời, nhận yêu cầu rút lại đồng ý chủ thể liệu, Bên Kiểm soát liệu cá nhân, Bên Kiểm soát xử lý liệu cá nhân thông báo cho chủ thể liệu hậu quả, thiệt hại xảy rút lại đồng ý Khái niệm “không ảnh hưởng đến liệu đồng ý trước đó” hay “thơng báo cho chủ thể liệu hậu quả, thiệt hại xảy rút lại đồng ý” khó xác định Ví dụ khách hàng đề nghị không đồng ý cho phép tiếp tục lưu thông tin tên , ngày sinh khách hàng xử lý nào, có xóa không? ảnh hưởng đến liệu trước đồng ý hay quy định thơng báo hậu quả, thiệt hại xảy có thực phù hợp khơng thể lường trước hậu quả/thiệt hại xảy Việc lưu trữ thơng tin khách hàng thông thường thực theo sách chung với tất khách hàng Tuy nhiên, theo quy định nghị định, việc xử lý thông tin khách hàng phải lựa chọn theo cá nhân khách hàng thay đổi theo thời gian (từng khách hàng đồng ý hay không đồng ý, rút lại đồng ý lúc nào) thiết kế hệ thống phức tạp, phát sinh nhiều chi phí Các hệ thống triển khai xử lý nào? Trường hợp triển khai hệ thống cloud phát sinh nhiều vấn đề phức tạp Nên quan chức có liên quan cần thơng triển khai thực 2.2.2 Vấn đề thời hạn lưu trữ thông tin: Khoản Điều quy định liệu cá nhân lưu trữ khoảng thời gian phù hợp với mục đích xử lý liệu, trừ trường hợp pháp luật có quy định khác Tuy nhiên Nghị định chưa nêu rõ loại mục đích xử lý liệu, thời gian phù hợp cho loại liệu bao lâu? Có quy định thời gian tối đa hay không? Với liệu sử dụng tảng bên thứ ba, bên thứ ba đáp ứng việc lưu trữ thời gian phù hợp theo quy định luật, sau thời gian doanh nghiệp lại tải liệu lưu trữ doanh nghiệp có bị coi vi phạm luật khơng?" 2.2.3 Quy định đánh giá tác động xử lý liệu cá nhân: Khoản 1, Điều 24 Hồ sơ đánh giá tác động xử lý liệu cá nhân Bên Kiểm soát liệu cá nhân, Bên Xử lý liệu cá nhân Bên Kiểm soát xử lý liệu cá nhân không hướng dẫn rõ nội dung khai báo “Thông tin chi tiết liên lạc Bên kiểm soát liệu cá nhân, Bên Xử lý liệu cá nhân, Bên Kiểm soát xử lý liệu cá nhân” cá nhân/đơn vị nào: (i) thông tin cá nhân cán tham gia xử lý giao dịch (có thể có nhiều cán tham gia (giao dịch viên/kiểm soát viên)) hay (ii) thơng tin đơn vị phịng/ban/chi nhánh, hay (iii) thông tin TCTD? Đối với nội dung điểm đ Điều 24 “Tổ chức, cá nhân nhận liệu cá nhân, bao gồm tổ chức, cá nhân lãnh thổ Việt Nam” đặc thù nghiệp vụ tập quán quốc tế, TCTD khó xác định kiểm sốt thơng tin tất tổ chức, cá nhân nêu điện Swift ngân hàng đại lý Ngân hàng chuyển tiếp qua nhiều ngân hàng trung gian để chuyển đến ngân hàng người hưởng cuối Vì cần có quy định hướng dẫn cụ thể để xử lý triển khai thực KẾT LUẬN Với việc ban hành Nghị định số 13/2023/NĐ-CP bảo vệ liệu cá nhân đánh dấu bước tiến lớn nổ lực xây dựng hành lang pháp lý nhằm bảo vệ liệu cá nhân Việt Nam cách hiệu quả, giảm thiểu tối đa nguy hệ hành vi xâm phạm liệu cá nhân, chung tay với cộng đồng quốc tế xử lý nguy cơ, thách thức đến từ không gian mạng Tuy nhiên, sau ban hành, trình nghiên cứu áp dụng, tổ chức tín dụng cịn vướng phải nhiều thắc mắc, có nhiều cách hiểu khác xuất phát từ nội dung quy định chưa thực rõ ràng Do vậy, học viên kiến nghị Bộ Công an sớm ban hành thông tin hướng dẫn áp dụng để tổ chức tín dụng vừa tn thủ quy định pháp luật, vừa khơng ảnh hưởng đến q trình hoạt động kinh doanh 10 TÀI LIỆU THAM KHẢO Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam; Bộ luật Dân năm 2015; Luật Tổ chức tín dung 2010, sửa đổi năm 2017; Luật An ninh mạng năm 2018; Nghị định số 13/2023/NĐ-CP bảo vệ liệu cá nhân i PHỤ LỤC: THỎA THUẬN BẢO VỆ DỮ LIỆU CÁ NHÂN TẠI NGÂN HÀNG TMCP ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM (BIDV) Hôm nay, ngày [●] (“Ngày ký”), [●], gồm có: BÊN A: Ngân Hàng TMCP Đầu Tư Phát Triển Việt Nam (BIDV) (a) Địa chỉ: Tháp BIDV, 35 Hàng Vơi, Quận Hồn Kiếm, Hà Nội, Việt Nam (b) Điện thoại: [●] Mã số thuế [●] (c) Đại diện hợp pháp: [●] Chức danh: [●] Fax: [●] (Theo Giấy ủy quyền số: [●]) BÊN B: [●] [Tên Công Ty] (a) Địa chỉ: [●] (b) Điện thoại: [●] (c) Đại diện hợp pháp: [●] Mã số thuế [●] Fax: [●] Chức danh: [●] (Theo Giấy ủy quyền số: [●]) (Bên A Bên B sau gọi riêng “Bên” gọi chung “Các Bên”) CƠ SỞ XÁC LẬP THỎA THUẬN - XÉT VÌ, Bên ký kết Thỏa Thuận đồng ý rằng, Các Bên đã, ký kết, thực hợp đồng, thỏa thuận (“Hợp Đồng”) với nhau, Bên có trao đổi, chuyển giao Dữ liệu cá nhân; Việc xác lập thỏa thuận điều khoản bảo vệ Dữ liệu cá nhân cần thiết để bảo đảm quyền lợi ích hợp pháp Bên, khách hàng Bên bảo đảm phù hợp với Nghị định 13/2023/NĐ-CP ngày 17/04/2023 Chính Phủ bảo vệ liệu cá nhân (“Nghị Định 13”) quy định pháp luật liên quan; - VÌ VẬY, NAY, Các Bên thống ký Thỏa thuận bảo vệ liệu cá nhân (sau gọi chung “Thỏa thuận”), cụ thể sau: Điều 1.GIẢI THÍCH TỪ NGỮ 1.1 “Dữ Liệu Cá Nhân”: a) Là thông tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự môi trường điện tử gắn liền với người cụ thể giúp xác định người cụ thể Dữ Liệu Cá Nhân đề cập Thỏa Thuận liệu khách hàng cá nhân Bên A và/hoặc Bên B, cá nhân đại diện Bên và/hoặc cá nhân có liên quan đến Hợp Đồng (sau gọi chung “Chủ Thể Dữ Liệu”) mà trình b) ii ký kết, thực hiện, triển khai Hợp Đồng Các Bên trao đổi, chuyển giao Dữ Liệu Cá Nhân cho 1.2 “Xử lý Dữ Liệu Cá Nhân”: Là nhiều hoạt động tác động tới liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy liệu cá nhân hành động khác có liên quan 1.3 “Bên Kiểm Soát Dữ Liệu Cá Nhân”: tổ chức, cá nhân định mục đích phương tiện xử lý liệu cá nhân “Bên Xử Lý Dữ Liệu Cá Nhân”: tổ chức, cá nhân thực việc xử lý liệu thay mặt cho Bên Kiểm soát liệu, thông qua hợp đồng thỏa thuận với Bên Kiểm soát liệu “Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân”: tổ chức, cá nhân đồng thời định mục đích, phương tiện trực tiếp xử lý liệu cá nhân “Bên Thứ Ba”: tổ chức, cá nhân Chủ Thể Dữ Liệu, Bên Kiểm soát liệu cá nhân, Bên Xử lý liệu 1.4 1.5 1.6 Các thuật ngữ sử dụng Thỏa Thuận trình thực Hợp đồng, thỏa thuận Bên liên quan đến việc bảo vệ liệu cá nhân hiểu giải thích theo Nghị Định 13 văn hướng dẫn, sửa đổi, bổ sung thời kỳ Điều 2.NỘI DUNG THỎA THUẬN 2.1 Khi bên giữ vai trị Bên Kiểm Sốt Dữ Liệu, Bên Kiểm Soát Và Xử Lý Dữ Liệu Bên có trách nhiệm: 2.1.1 Thơng báo việc xử lý Dữ Liệu Cá Nhân cho Chủ Thể Dữ Liệu phải có xác nhận đồng ý xử lý Dữ Liệu Cá Nhân Chủ Thể Dữ Liệu theo quy định Nghị định 13 Chỉ chỉnh sửa Dữ Liệu Cá Nhân sau Chủ Thể Dữ Liệu đồng ý 2.1.2 Cung cấp chứng đồng ý Chủ Thể Dữ Liệu Bên Kiểm soát liệu, Bên Kiểm soát xử lý liệu yêu cầu Bên xử lý liệu thực việc chỉnh sửa liệu 2.1.3 Ngừng xử lý/ hạn chế/ xoá liệu cá nhân yêu cầu tổ chức, cá nhân có liên quan ngừng xử lý/ hạn chế/ xoá liệu cá nhân nhận yêu cầu Chủ Thể Dữ Liệu việc ngừng xử lý/ hạn chế/ xoá liệu Chủ Thể Dữ Liệu rút lại đồng ý theo quy định Nghị định 13 quy định Bên Kiểm soát liệu, Bên Kiểm soát xử lý liệu 2.1.4 Cung cấp cho Bên xử lý liệu, Bên thứ ba chứng chứng minh việc Chủ Thể Dữ Liệu không thoả mãn điều kiện để chỉnh sửa liệu/ ngừng xử lý/ hạn chế/ xoá liệu cá nhân 2.1.5 Thực việc lưu trữ Dữ Liệu Cá Nhân theo hình thức phù hợp với hoạt động có biện pháp bảo vệ Dữ Liệu Cá Nhân theo quy định pháp luật 2.1.6 Ghi lại lưu trữ nhật ký hệ thống trình xử lý Dữ Liệu Cá Nhân 2.1.7 Đánh giá tác động xử lý Dữ Liệu Cá Nhân, Đánh giá tác động chuyển liệu cá nhân nước theo quy định Nghị định 13 hướng dẫn Bộ Công an thời kỳ (nếu có) iii 2.1.8 Lưu trữ chứng chứng minh việc tuân thủ nguyên tắc bảo vệ Dữ Liệu Cá Nhân theo quy định Điều Nghị định 13 2.1.9 Các trách nhiệm khác theo quy định Nghị định 13 2.2 Khi bên giữ vai trò Bên xử lý liệu, Bên thứ ba Bên có trách nhiệm: 2.2.1 Thực chỉnh sửa liệu cá nhân theo yêu cầu Bên Kiểm soát liệu, Bên kiểm soát xử lý liệu sau nhận chứng việc Chủ thể liệu đồng ý việc chỉnh sửa liệu cá nhân 2.2.2 Trường hợp phát sinh yêu cầu ngừng xử lý/ hạn chế/ xoá liệu Chủ thể liệu rút lại đồng ý: − Trường hợp nhận yêu cầu từ Chủ thể liệu, Bên xử lý liệu, Bên thứ ba có trách nhiệm: ▪ Thơng báo cho Bên Kiểm soát liệu, Bên Kiểm soát xử lý liệu yêu cầu cầu ngừng xử lý/ hạn chế/ xoá liệu Chủ thể liệu; ▪ Việc ngừng xử lý/hạn chế/xoá liệu thực có chấp thuận Bên Kiểm sốt liệu, Bên Kiểm soát xử lý liệu − Trường hợp nhận yêu cầu từ Bên Kiểm soát liệu, Bên Kiểm soát xử lý liệu: thực theo yêu cầu 2.2.3 Thực việc lưu trữ liệu cá nhân theo hình thức phù hợp với hoạt động có biện pháp bảo vệ liệu cá nhân theo quy định pháp luật 2.2.4 Xóa/ trả lại tồn liệu cá nhân cho Bên Kiểm soát liệu cá nhân sau kết thúc xử lý liệu 2.2.5 Đánh giá tác động xử lý Dữ Liệu Cá Nhân, Đánh giá tác động chuyển liệu cá nhân nước theo quy định Nghị định 13 hướng dẫn Bộ Công an thời kỳ (nếu có) 2.2.6 Trường hợp Bên xử lý liệu có sử dụng nhà thầu phụ Bên xử lý liệu phải bảo đảm nhà thầu phụ phải tuân thủ đầy đủ trách nhiệm Bên xử lý liệu theo Thỏa thuận này; Bên xử lý liệu có trách nhiệm làm việc trực tiếp với nhà thầu phụ; thu thập thông tin, chứng từ nhà thầu phụ để cung cấp cho Bên Kiểm soát liệu nhằm đáp ứng yêu cầu Nghị định 13 2.2.7 Lưu trữ chứng chứng minh việc tuân thủ nguyên tắc bảo vệ Dữ Liệu Cá Nhân theo quy định Điều Nghị định 13 cung cấp chứng việc tuân thủ có u cầu Bên Kiểm sốt liệu, Bên Kiểm soát xử lý liệu 2.2.8 Các trách nhiệm khác theo quy định Nghị định 13 Điều ĐIỀU KHOẢN CHUNG 3.1 Các tranh chấp phát Luật Điều Chỉnh Giải Quyết Tranh Chấp (a) Thỏa Thuận điều chỉnh giải thích theo quy định pháp luật Việt Nam (b) Bất kỳ tranh chấp phát sinh từ liên quan đến Thỏa Thuận này, bao gồm vấn đề liên quan đến tồn tại, hiệu lực chấm dứt Thỏa Thuận, đưa giải chung thẩm Trung tâm Trọng tài Quốc tế Việt Nam (“VIAC”) phù hợp với quy tắc trọng tài VIAC có hiệu lực thời điểm Việc xét xử trọng tài thực hội đồng gồm 03 (ba) trọng tài viên ngôn ngữ trọng tài tiếng Việt Địa điểm tiến hành xét xử trọng tài Việt Nam 3.2 Thông Báo iv (a) Trừ có quy định khác rõ ràng Thỏa Thuận này, tất thông báo trao đổi khác đưa theo Thỏa Thuận phải lập thành văn tiếng Việt gửi (i) thư bảo đảm trả trước, (ii) chuyển thư tay, (iii) qua fax (và gốc phải gửi qua bưu điện vòng (hai) Ngày Làm Việc sau đó) tới địa nêu đây: (i) Tới BIDV: [●] (ii) (a) - Địa chỉ: [●] - Người nhận: [●] - Email: [●] - Điện thoại: [●] Fax: [●] Tới Công Ty: [●] [Tên Công Ty] - Địa chỉ: [●] - Người nhận: [●] - Email: [●] - Tel: [●] Fax: [●] Tất thông báo trao đổi có hiệu lực sau nhận (i) từ bưu điện, (ii) chuyển thư tay, (iii) fax người nhận dự kiến địa số fax nêu Điểm (a) Mỗi Bên tùy thời điểm thông báo cho Bên thay đổi thông tin liên lạc quy định Điểm (a) Việc ký kết Thỏa thuận không ảnh hưởng đến Thỏa thuận bảo mật thơng tin ký Bên (nếu có) điều khoản Bảo mật thông tin Hợp đồng, thỏa thuận cụ thể khác hai bên Trong trường hợp có mâu thuẫn Thỏa thuận Hợp đồng, thỏa thuận khác Bên liên quan đến việc bảo vệ liệu cá nhân điều khoản Thỏa thuận có hiệu lực thi hành Mọi vấn đề liên quan đến bảo vệ Dữ Liệu Cá Nhân chưa quy định Thỏa Thuận áp dụng theo Nghị định 13 quy định pháp luật sửa đổi, bổ sung, có liên quan thời kỳ Mọi sửa đổi, bổ sung Thỏa Thuận Bên thỏa thuận phải lập thành văn có đầy đủ chữ ký đại diện có thẩm quyền Bên phận không tách rời Thỏa Thuận Thỏa Thuận có hiệu lực kể từ ngày ký nêu phần đầu Thỏa Thuận chấm dứt hai Bên khơng cịn quan hệ hợp tác hoàn thành tất nghĩa vụ phát sinh theo Hợp đồng ký, trừ trường hợp Các Bên có thỏa thuận khác Sau Thỏa Thuận chấm dứt, Bên có nghĩa vụ tiếp tục thực đầy đủ trách nhiệm liên quan tương ứng với vai trò theo Nghị Định 13 quy định pháp luật bảo vệ liệu cá nhân ban hành, sửa đổi, bổ sung thời kỳ (b) 3.3 3.4 3.5 3.6 v 3.7 Thỏa Thuận lập thành [●] ([●]) gốc tiếng Anh [●] ([●]) gốc tiếng Việt có hiệu lực pháp lý nhau, Bên giữ [●] ([●]) gốc tiếng Anh [●] ([●]) gốc tiếng Việt Trong trường hợp có mẫu thuận tiếng Anh tiếng Việt tiếng Việt ưu tiên áp dụng ĐƯỢC KÝ BỞI đại diện hợp pháp Các Bên: Ngân hàng Thương Mại Cổ Phần Đầu Tư Phát Triển Việt Nam [Tên Công Ty] Họ Tên: Chức Danh: Họ Tên: Chức Danh: vi