CƠ SỞ LÝ LUẬN VỀ RỦI RO BẢO MẬT THÔNG TIN ĐỐI VỚI VIỆC ĐỊNH DANH KHÁCH HÀNG ĐIỆN TỬ (EKYC) TRONG HOẠT ĐỘNG NGÂN HÀNG
Khái quát về định danh khách hàng điện tử (eKYC)
Phát triển các hoạt động ngân hàng số là xu hướng tất yếu, khách quan trong nền kinh tế hiện đại, là kết quả phát triển và ứng dụng công nghệ thông tin trong thời đại hội nhập kinh tế quốc tế Các hoạt động, dịch vụ ngân hàng số đã và đang được ứng dụng trong hoạt động kinh doanh của nhiều ngân hàng trên thế giới Đối với nước đang phát triển như hiện nay, thì đây là một lĩnh vực khá mới mẻ, có sự cạnh tranh mạnh mẽ giữa các ngân hàng thương mại trong khoảng 10 năm gần đây, đặc biệt là sau khi Việt Nam gia nhập WTO 1 Trong những năm gần đây, thế giới đã chứng kiến sự mở rộng và phát triển nhanh chóng của xu hướng ngân hàng số Nhưng phải đến khi đại dịch Covid-19 bùng phát vào đầu năm
2020, nhu cầu và sự cần thiết của các giải pháp công nghệ số đối với ngân hàng mới được khắc họa rõ nét "Đại dịch đã chứng minh rằng, ngân hàng số là điều cần thiết để người tiêu dùng ở mọi lứa tuổi tự tin quản lý tài chính của họ" 2 , Alison Beer, Giám đốc phụ trách công nghệ JPMorgan Chase khẳng định Khảo sát của JPMorgan Chase đối với 1.500 khách hàng vào cuối năm 2020 cho thấy 54% người tiêu dùng sử dụng các công cụ kỹ thuật số khi giao dịch ngân hàng nhiều hơn kể từ đại dịch Như vậy, chuyển đổi số với ngành ngân hàng không còn là sự lựa chọn, mà là yêu cầu bắt buộc, là hướng đi chiến lược
Các hoạt động của ngân hàng được số hóa giúp khách hàng mở tài khoản nhanh chóng, tiện lợi, mà không phải ra quầy giao dịch bằng phương pháp định danh trực tuyến (eKYC) Một số đối tượng như người cao tuổi, người chưa thể tiếp cận tới các dịch vụ tài chính phổ thông cũng có thể đăng ký tài khoản ngay tại nhà vào bất kỳ thời điểm nào với under- bank… Chính thực tiễn đó dẫn đến việc định danh khách hàng điện tử là một "sản phẩm" tất yếu, phát triển từ hoạt động của ngân hàng số Đồng thời, việc định danh khách hàng điện tử càng trở nên quan trọng và cần thiết hơn trong kỷ nguyên số hiện nay Bởi vấn đề định danh là nền tảng cơ bản quan trong trong lĩnh vực tài chính - ngân hàng 3 Thông tin về danh tính khách hàng là điều cần thiết nhằm bảo vệ, phòng chống gian lận và phòng ngừa tội phạm ngân hàng Từ đó, cung cấp các hoạt
1 Hoàng Nguyên Khai (2013),“Các yếu tố ảnh hưởng đến năng lực cạnh tranh phát triển dịch vụ ngân hàng điện tử”,
Tạp chí Tin học Ngân hàng, số 2, tr.6
2 Quỳnh Dương, “Xu hướng ngân hàng số trong năm 2022”,
[https://tapchitaichinh.vn/xu-huong-ngan-hang-so-trong-nam-2022.html] (truy cập ngày 21/3/2023)
3 Douglas W.Arner và các tác giả khác (2018), “The Identity Challenge in Finance: From analogue to digitized identification to digital KYC utilities”, SSRN Electronic Journal, (10) động, dịch vụ số hóa một cách chất lượng Từ các quan điểm về quản lý rủi ro thì định danh khách hàng trong hoạt động ngân hàng là điều cần thiết cho sự một thị trường toàn vẹn và
"lành mạnh" 4 Các quy định về nhận dạng và định danh khách hàng theo cách làm truyền thống hiện nay có thể là rào cản lớn đối với việc tiếp cận các dịch vụ về tài chính, đặc biệt là đối với các cá nhân và doanh nghiệp nhỏ Do đó, nhóm nghiên cứu nhận ra rằng, công nghệ số hóa trong việc định danh khách hàng mang đến một cơ hội giải quyết những thách thức trên thông qua việc phát triển cơ sở hạ tầng định danh kỹ thuật số và các tiện ích liên quan
Việc thiết lập, xây dựng một khung pháp lý thích hợp, minh thị cho việc định danh khách hàng bằng điện tử là cơ bản và cần thiết cho các hoạt động ngân hàng số hay dữ liệu của khách hàng sau này Là một điều kiện cần và đủ - định danh khách hàng điện tử - eKYC (Electronic Know Your Customer)
1.1.1 Khái niệm định danh khách hàng điện tử (eKYC) eKYC, viết tắt cụm từ tiếng Anh - Electronic Know Your Customer, nghĩa là định danh khách hàng bằng phương thức điện tử được phát triển từ KYC eKYC đề cập đến việc tiến hành các quy trình nhận biết khách hàng (KYC) theo phương thức kỹ thuật số Định danh khách hàng điện tử là việc xác minh, lưu trữ, cập nhật Theo đó, những thông tin về khách hàng bao gồm (i) thông tin cá nhân (giấy tờ chứng minh cá nhân, số điện thoại, ) (ii) tình hình tài chính và (iii) đặc điểm cá nhân (sinh trắc) sẽ được xác minh và lưu trữ để phục vụ cho các hoạt động ngân hàng mà có sự tham gia của khách hàng trong hoạt động đó
Với sự phát triển công nghệ và để đơn giản hóa thủ tục, giấy tờ, các tổ chức tài chính đã nghiên cứu ứng dụng công nghệ vào quy trình KYC, để chuyển từ nhận biết khách hàng đòi hỏi gặp mặt trực tiếp, dựa trên giấy tờ sang nhận biết khách hàng trực tuyến, từ xa bằng phương thức điện tử, nhằm tiết kiệm thời gian, chi phí và tăng trải nghiệm khách hàng Đối với KYC truyền thống, khách hàng có thể đã đến chi nhánh ngân hàng để mở tài khoản Một nhân viên ngân hàng sẽ kiểm tra giấy tờ tùy thân của họ, sau đó so sánh thông tin của họ với cơ sở dữ liệu và danh sách theo dõi Quy trình eKYC có nghĩa là một cá nhân có thể cung cấp bản sao kỹ thuật số của tài liệu nhận dạng và thông tin sinh trắc học đi kèm Chúng được phân tích trong vài giây trong khi dữ liệu cá nhân của họ cũng được chạy dựa trên các nguồn dữ liệu đáng tin cậy
4 Douglas W.Arner và các tác giả khác (2018), tlđd [3] Điểm khác biệt cốt lõi giữa quy trình KYC và eKYC là phương pháp nắm bắt và kiểm tra thông tin Việc định danh khách hàng điện tử (eKYC) cũng bao gồm các bước: (i) Nhận biết khách hàng (Identification); (ii) Xác minh khách hàng (Verification); các hoạt động giám sát, quản lý để ngăn chặn các hành vi gian lận, hoạt động rửa tiền, khủng bố như quy trình KYC truyền thống, tuy nhiên, bằng tập hợp các công nghệ kỹ thuật số hiện đại
EKYC trong hoạt động ngân hàng
Trong lĩnh vực ngân hàng, eKYC là một quy trình nhằm xác định, định danh khách hàng khi tham gia vào các dịch vụ tài chính như mở tài khoản, rút tiền, gửi tiền… bằng phương thức điện tử Nhằm thiết lập mối quan hệ và định danh khách hàng bằng phương tiện điện tử, bao gồm kênh trực tuyến và kênh di động, mà không cần phải gặp mặt trực tiếp 5 Đây là một trong những quy trình nhằm xác minh danh tính của khách hàng khi tham gia vào các dịch vụ của ngân hàng như mở tài khoản, rút tiền, gửi tiền… trong hoạt động ngân hàng 6 Là bước đầu tiên trong tất cả các hoạt động trước khi khách hàng sử dụng sản phẩm/dịch vụ của doanh nghiệp tài chính, ngân hàng đó Vì ngân hàng hay tổ chức phải nhận biết về khách hàng của mình và quy trình định danh khách hàng điện tử giúp các ngân hàng đảm bảo khách hàng giao dịch đó là chính chủ, là người đã đăng ký dịch vụ với ngân hàng
Các quy định liên quan đến lĩnh vực tài chính - ngân hàng đều tập trung vào ba mục tiêu lớn: Toàn diện, Ổn định và Trung thực 7 Trong một bài nghiên cứu của Vincent Schalatt, Johnnes Sedmeir, Simon Feulner, Nils Urbach 8 có nhận xét quy trình định danh khách hàng truyền thống ở các quốc gia có thể khác nhau do các quy định, điều kiện khác nhau của chính phủ đối với hệ thống tài chính ngân hàng của họ nhưng một số hoạt động
5 Lưu Minh Sang, “Định danh khách hàng điện tử tại Việt Nam: Thị trường định danh khách hàng điện tử tại Việt Nam: Thị trường đã sẵn sàng, chỉ còn thiếu khung pháp lý”, [https://www.thesaigontimes.vn/308312/dinh-danh-khach- hang-dien-tu-tai-viet-nam-thi-truong-da-san-sang-chi-con-thieu-khung-phap-ly.html] (truy cập ngày 20/01/2023)
6 Stringeex, “eKYC là gì? Vì sao eKYC là "chìa khóa vàng" của ngân hàng điện tử?” [https://stringeex.com/vi/blog/post/eKYC-la-gi] (truy cập ngày 02/02/2023)
7 Hyperlogy, "Ứng dụng công nghệ Liveness Detection (Xác định thực thể sống) Active hay Passive?", [https://www.hyperlogy.com/vi/ung-dung-cong-nghe-liveness-detection-xac-dinh-thuc-the-song-active-hay-passive/] (truy cập ngày 30/7/2023)
- Xem thêm: Trần Phạm Hữu Châu, "Thực trạng triển khai định danh điện tử (eKYC) tại các ngân hàng thương mại Việt Nam", [https://tapchicongthuong.vn/bai-viet/thuc-trang-trien-khai-dinh-danh-dien-tu-eKYC-tai-cac-ngan-hang- thuong-mai-viet-nam-84454.htm] (truy cập ngày 29/7/2023)
8 Vincent Schlatt , Johannes Sedlmeir, Simon Feulner , Nils Urbach (2021), “Designing a Framework for Digital KYC
Processes Built on Blockchain-Based Self-Sovereign Identity”, Frankfurt University of Applied Sciences, Frankfurt,
Germany, tr.4 cốt lõi cụ thể của quy trình định danh khách hàng có thể được xác định như sau: Nhận biết khách hàng; Xác minh dữ liệu; Sàng lọc tên; Đánh giá rủi ro; Tăng cường thẩm định; Giám sát quy trình; Lưu trữ hồ sơ
Theo đó, eKYC bao gồm các bước cụ thể như sau 9 :
Bước 1: Nhận dạng thông tin cá nhân qua các biểu mẫu
Bước 2: Xác thực hai yếu tố: người dùng truy xuất và nhập mật khẩu một lần vào ứng dụng dành cho thiết bị di động
Bước 3: Chụp ID: người dùng chụp ảnh mặt trước và mặt sau của giấy tờ tùy thân
Bước 4: Xác minh danh tính: Người dùng hoàn thành nhận diện sự sống và khớp khuôn mặt theo hướng dẫn
Rủi ro bảo mật thông tin trong định danh khách hàng điện tử trong hoạt động ngân hàng
1.2.1 Định nghĩa và nguyên tắc bảo mật thông tin trong hoạt động ngân hàng
Có nhiều quan điểm về bản chất của bảo mật thông tin cho khách hàng khi khách hàng tham gia vào mối quan hệ với các tổ chức tín dụng Một trong số đó được rất nhiều các hệ thống pháp luật trên thế giới thừa nhận là xác định bảo mật thông tin một là loại nghĩa vụ hợp đồng
Một số nước theo hệ thống dân luật thường xem nghĩa vụ bảo mật thông tin của các tổ chức tín dụng là nghĩa vụ hợp đồng được xác định một cách mặc nhiên Có thể kể đến như Đức không có bất kỳ quy định pháp lý nào về nghĩa vụ bảo mật thông tin của khách hàng, nhưng người ta thừa nhận rộng rãi rằng khách hàng có quyền yêu cầu ngân hàng giữ bí mật thông tin phát sinh từ mối quan hệ của họ Tất cả thông tin thu được trong thời gian hợp đồng và trong giai đoạn tiền hợp đồng được bảo hiểm bởi ngân hàng bảo mật 54 Ngoài ra, các nước khác không cùng hệ thống dân luật cũng thừa nhận cơ sở xác định nghĩa vụ bảo vệ thông tin khách hàng theo khía cạnh này như Anh, Mỹ, Úc Theo đó, khi tiến hành giao dịch với các tổ chức tín dụng, khách hàng mặc định được bảo mật thông tin cá nhân, từ đó, nghĩa vụ bảo vệ thông tin cho khách hàng là nghĩa vụ bắt buộc của các tổ chức tín dụng
Tuy nhiên, việc làm rõ “tất cả thông tin thu được trong thời gian hợp đồng và trong giai đoạn tiền hợp đồng” bao gồm những thông tin nào để xác định phạm vi nghĩa vụ bảo mật của tổ chức tín dụng cũng là một vấn đề quan trọng Khi khách hàng sử dụng công nghệ eKYC để được định danh, từ đó tham gia vào các hoạt động của tổ chức tín dụng, những thông tin sau đây buộc phải cung cấp cho tổ chức tín dụng hoặc trong quá trình thực hiện hợp đồng, những thông tin này mới bắt đầu phát sinh và tổ chức tín dụng sẽ là đối tượng nắm giữ thông tin đầu tiên
Nhóm thông tin thứ nhất mà tổ chức tín dụng cần bảo mật là thông tin cá nhân Khi thực hiện quá trình định danh khách hàng điện tử, khách hàng cần cung cấp những thông tin rất mang tính cá nhân như giấy tờ tùy thân (giấy chứng minh nhân dân, căn cước công
54 Hu Ying, “A Symposium at the Faculty of Law, National University of Singapore, 4-5 December 2014”
[https://law.nus.edu.sg/wp-content/uploads/2020/04/CBFL-Rep-1503.pdf] (truy cập ngày 20/7/2023) dân), thông tin sinh trắc học như dấu vân tay, mống mắt, hình ảnh khuôn mặt… 55 Những thông tin này gắn liền với cuộc sống riêng tư của một công dân, nếu bị tiết lộ ra ngoài trong trường hợp không phải do cá nhân chủ đích đồng ý thì sẽ bị xem như xâm phạm quyền về đời sống riêng tư, bí mật cá nhân 56 Do đó, tổ chức tín dụng có nghĩa vụ bảo mật những thông tin này 57
Nhóm thông tin thứ hai là nhóm thông tin về tín dụng Trên thế giới, khi eKYC đã được áp dụng vào nhiều dịch vụ khác nhau trong đó bao gồm dịch vụ cấp tín dụng (cho vay) thì khách hàng có thể cần phải cung cấp thêm về thông tin tín dụng hay lịch sử tín dụng Những thông tin này cũng là những thông tin mà tổ chức tín dụng cần phải bảo mật ở mức nhất định 58
Về nguyên tắc của bảo mật thông tin, tổ chức tín dụng cần thực hiện một cách minh bạch và an toàn Khái niệm “minh bạch” trong bảo mật thông tin khách hàng có thể được hiểu là: tổ chức tín dụng, cần giải thích rõ ràng, chính thức về những dữ liệu cá nhân cần thu thập; những dữ liệu đó được sử dụng cho mục đích gì và tổ chức tín dụng sẽ chia sẻ những thông tin này đến bên thứ ba hay cho đối tượng khác trong trường hợp nào 59 Thông thường, các thông tin này sẽ được đăng tải lên website chính thức của tổ chức tín dụng hoặc đề cập rõ trong hợp đồng với khách hàng Trong khi đó, tính chất “an toàn” được hiểu là tổ chức tín dụng thực hiện việc bảo mật thông tin cá nhân đúng như những gì đã cam kết với khách hàng, cụ thể hơn, các tổ chức tín dụng cần thực hiện các biện pháp hợp lý, phù hợp với quy định của pháp luật quốc gia để có thể thực hiện đúng như cam kết với khách hàng để đảm bảo sự an toàn cho thông tin của khách hàng không bị rò rỉ ra bên ngoài, không bị xâm phạm hay lợi dụng bất hợp pháp
55 Trên thực tế, những thông tin thuộc nhóm thông tin cá nhân của khách hàng khi tham gia mối quan hệ với tổ chức tín dụng còn bao gồm thông tin về tài khoản, giao dịch tiền gửi, giao dịch chuyển tiền Những thông tin này phản ánh trực tiếp nhu cầu, lối sống, sở thích, tình hình tài chính của một cá nhân nên cũng cần được ngân hàng bảo mật Tuy nhiên, phạm vi nghiên cứu của đề tài chỉ xoay quanh việc bảo mật thông tin cá nhân của khách hàng trong quá trình thực hiện định danh khách hàng điện tử, có nghĩa là những thông tin phát sinh trực tiếp từ quá trình thực hiện định danh khách hàng điện tử sẽ được nhóm nghiên cứu hướng đến nghiên cứu Do đó, những thông tin mà tổ chức tín dụng về cơ bản đã phải có nghĩa vụ bảo mật (không liên quan đến quá trình thực hiện eKYC) thì không nằm trong phạm vi phân tích
56 Điều 38 Bộ Luật Dân sự 2015
57 Những hậu quả của việc các thông tin cá nhân trên bị tiết lộ ra ngoài là rất lớn sẽ được nhóm nghiên cứu phân tích ở phần rủi ro
58 Trong một số trường hợp, khách hàng khi vay tổ chức tín dụng mà sử dụng eKYC thì còn cần phải xác minh thông tin như có đang có khoản vay khác không, đã thanh toán hết các khoản vay còn dư nợ không, Hoặc trong một số trường hợp, tổ chức tín dụng sẽ lấy những thông tin từ giấy tờ tùy thân để thẩm định điểm số tín dụng
59 Tổng hợp từ website của các ngân hàng như HSBC, Agribank, Vietcombank, VP Bank
Tóm lại, bảo mật thông tin là một nghĩa vụ của các tổ chức tín dụng khi khách hàng tiến hành ký kết hợp đồng với họ Khi đó, các tổ chức tín dụng cần bảo mật thông tin bao gồm thông tin cá nhân và thông tin tín dụng của khách hàng một cách minh bạch (cho phép khách hàng biết lý do thu thập thông tin cũng như quy trình mà thông tin của họ được thu thập, lưu trữ và bảo vệ) và an toàn bằng cách ứng dụng công nghệ, biện pháp để tối ưu hóa hoạt động bảo vệ thông tin như đã cam kết với khách hàng
1.2.2 Nhận diện rủi ro phát sinh từ quy trình eKYC trong hoạt động ngân hàng
Về lý luận, eKYC là một quy trình ứng dụng công nghệ nhằm mục đích nhận biết và xác minh khách hàng là chính chủ từ khi mở tài khoản và trong suốt quá trình giao dịch, đồng thời đánh giá, giám sát rủi ro, ngăn ngừa các gian lận bất hợp pháp
Như vậy, quy trình triển khai eKYC tại các giai đoạn khác nhau sẽ có những rủi ro về bảo mật thông tin cho khách hàng khác nhau Nhóm nghiên cứu dựa theo các bước eKYC được áp dụng trong hoạt động ngân hàng để nhận biết những rủi ro chung theo từng giai đoạn Liên quan đến vấn đề bảo mật thông tin của khách hàng trong việc ứng dụng eKYC trong hoạt động mở tài khoản thanh toán và cho vay tại Việt Nam hiện nay, nhóm nghiên cứu nhận diện rủi ro trong 03 giai đoạn như sau:
(i) Giai đoạn xác minh khách hàng để định danh mở tài khoản
Giai đoạn này bao gồm các bước như: nhận dạng thông tin khách hàng, xác thực hai yếu tố, chụp ID và xác minh danh tính thông qua việc nhận diện sự sống và khớp khuôn mặt theo hướng dẫn Tại các bước định danh khách hàng như trên, một số rủi ro có thể phát sinh như sau:
Trước hết, rủi ro về “vỏ bọc danh tính”:
Khi xem xét khía cạnh về “vỏ bọc” danh tính - danh tính không hợp lệ và tính khó áp dụng của ID (identification) trong eKYC đối với các thông tin “cơ bản” liên quan đến nhân thân của khách ở các nước đang phát triển khi các thông tin đó là một trở ngại, nơi mà số lượng lớn người dân thường không có giấy tờ tùy thân chính thức, hoặc có thông tin sai lệch bị nhập liệu sai lệch 60 Từ đó, dẫn đến các vấn đề phát sinh về việc giả mạo, đánh cắp thông tin, hay lừa đảo sẽ xảy ra…trên các nền tảng định danh khách hàng điện tử của Ngân hàng trong tương lai, ảnh hưởng đến quyền và lợi ích của khách hàng, ngân hàng
Ngân hàng phải đối mặt với vấn đề liên quan bảo mật rủi ro như người dùng sử dụng công nghệ deepfake để gian lận nhằm bỏ qua bước kiểm tra thực thể sống Số liệu của
PHÁP LUẬT VỀ BẢO MẬT THÔNG TIN ĐỐI VỚI VIỆC ĐỊNH
Quy định pháp luật về bảo mật thông tin khi thực hiện định danh khách hàng điện tử (eKYC) tại Việt Nam
Hiện nay, tại Việt Nam một trong những văn bản pháp luật điều chỉnh trực tiếp các vấn đề về quyền riêng tư và bảo mật thông tin của cá nhân là Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ ngày 01/07/2023
Cho đến nay, Nghị định này được xem là khuôn khổ pháp lý đáp ứng những yêu cầu của GDPR 80 Theo đó, các quy định trong Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã phần nào “mở lối” và hoàn thiện những hạn chế về bảo mật dữ liệu cá nhân trước đây, xây dựng một khuôn khổ pháp lý chung để hoàn thiện những quy định bảo vệ thông tin trực tuyến của cá nhân một cách hoàn chỉnh hơn Tuy nhiên, việc bảo mật thông tin của khách hàng khi thực hiện định danh điện tử kết nối với cơ sở dữ liệu dân cư là vấn đề đặc thù, đòi hỏi những quy định điều chỉnh cụ thể và trực tiếp Đối tượng điều chỉnh của Nghị định 13/2023/NĐ-CP có phạm vi rất rộng, bao gồm: (i) Cơ quan, tổ chức, cá nhân Việt Nam; (ii) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; (iii) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; (iv) Cơ quan, tổ
80 Quy định Chung về Bảo vệ Dữ liệu (General Data Protection Regulation - GDPR) của Liên minh Châu Âu đã được phát triển để tạo ra các luật về quyền riêng tư dữ liệu gắn kết trên khắp Châu Âu chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động bảo vệ dữ liệu cá nhân tại Việt Nam Có thể thấy, Nghị định này quy định về bảo vệ dữ liệu của mọi cá nhân là người Việt Nam/ trên lãnh thổ Việt Nam và trách nhiệm bảo vệ dữ liệu cá nhân của mọi cơ quan, tổ chức, cá nhân có liên quan, một cách chung nhất Đồng thời, các quy định về nguyên tắc bảo mật, quyền và nghĩa vụ của các chủ thể liên quan đến việc bảo mật thông tin…chỉ là quy định khung, chưa điều chỉnh được những vấn đề phát sinh cụ thể
Trong khi đó, việc bảo mật thông tin khi thực hiện eKYC của các ngân hàng Việt Nam hiện nay lại ngày càng phức tạp hơn khi kết hợp với Cơ sở dữ liệu dân cư quốc gia, đặt ra những khó khăn riêng biệt Do đó, việc phân tích các quy định của pháp luật Việt Nam hiện nay liên quan đến vấn đề bảo mật thông tin dưới mô hình eKYC hiện nay là vô cùng quan trọng
2.1.1 Nguyên tắc bảo mật thông tin
Tại Việt Nam, quy định về eKYC còn khá mới mẻ và chưa có nhiều quy định cụ thể về lĩnh vực này, vì vậy, những quy định về nguyên tắc của lĩnh vực này cũng còn khá mơ hồ, nếu có thì cũng nằm rải rác trong các văn bản pháp luật khác nhau Tuy nhiên, có thể xác định được các nguyên tắc của eKYC qua quy định về nguyên tắc của định danh và xác thực điện tử 81 theo Điều 4 Nghị định số 59/2022/NĐ-CP; Điều 3 Thông tư số 35/2016/TT- NHNN ngày 29/12/2016 của Ngân hàng nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet (Thông tư số 35/2016/TT-NHNN), cụ thể như sau: Điều 4 Nghị định số 59/2022/NĐ-CP bao gồm các nguyên tắc:
(i) Tuân thủ Hiến pháp và pháp luật, bảo đảm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
(ii) Bảo đảm tính chính xác, duy nhất trong định danh và xác thực điện tử; công khai, minh bạch trong quản lý, thuận tiện cho cơ quan, tổ chức, cá nhân;
(iii) Bảo đảm an ninh, an toàn thiết bị, bảo mật dữ liệu khi thực hiện định danh và xác thực điện tử;
81 Nguyễn Văn Trung, Phạm Ngọc Thanh Hà và Vũ Phan Kim Anh, “Hoàn thiện pháp luật về định danh khách hàng điện tử ở Việt Nam - Kinh nghiệm từ một số quốc gia trên thế giới”, [https://danchuphapluat.vn/hoan-thien-phap-luat- ve-dinh-danh-khach-hang-dien-tu-o-viet-nam-kinh-nghiem-tu-mot-so-quoc-gia-tren-the-gioi] (truy cập ngày 3/8/2023)
(iv) Cơ quan, tổ chức, cá nhân được khai thác và sử dụng danh tính điện tử phải bảo mật thông tin tài khoản định danh điện tử và tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân;
(v) Mọi hành vi vi phạm pháp luật về định danh và xác thực điện tử phải được phát hiện, xử lý kịp thời theo quy định của pháp luật;
(vi) Bảo đảm phù hợp với các điều ước quốc tế mà Việt Nam là thành viên Điều 3 Thông tư số 35/2016/TT-NHNN đưa ra nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking Theo đó, về cơ bản, eKYC hay định danh và xác thực điện tử về cơ bản đều phải được thực hiện dựa vào những nguyên tắc trên 82
2.1.2 Chủ thể thực hiện eKYC
Tại Việt Nam, chủ thể được thực hiện định danh khách hàng theo Luật Phòng, chống rửa tiền năm 2022 bao gồm: (i) Tổ chức tài chính; (ii) Tổ chức, cá nhân kinh doanh ngành, nghề phi tài chính có liên quan 83 Tổ chức tài chính là tổ chức được cấp giấy phép thực hiện một hoặc một số hoạt động như nhận tiền gửi, cho vay, cho thuê tài chính, thanh toán qua tài khoản 84 Như vậy, tổ chức tài chính mà Luật Phòng, chống rửa tiền năm 2022 đề cập đến có thể hiểu là bao gồm ngân hàng, trong đó là các ngân hàng thương mại 85 Bên cạnh đó, Luật này còn quy định trường hợp nhận biết khách hàng thông qua bên thứ ba, theo đó, các ngân hàng thương mại có thể nhận biết khách hàng thông qua bên thứ ba và phải đảm bảo bên thứ ba đáp ứng một số yêu cầu, trong đó có yêu cầu phải là tổ chức tài chính hoặc tổ chức kinh doanh ngành, nghề phi tài chính có liên quan có thiết lập quan hệ với khách hàng, không bao gồm các mối quan hệ đại lý và thuê ngoài 86
Có thể thấy, quy định của Luật Phòng, chống rửa tiền 2022 chỉ đề cập đến hoạt động nhận biết khách hàng (định danh khách hàng) mà không rõ ràng về vấn đề định danh khách hàng truyền thống hay theo phương thức điện tử Và mặc dù, Luật này đề cập đến chủ thể là bên thứ ba giúp các ngân hàng thực hiện định danh khách hàng với những điều kiện tương ứng, nhưng trên thực tế một số công ty kết hợp với ngân hàng thực hiện eKYC hiện
82 Nguyễn Văn Trung, Phạm Ngọc Thanh Hà, Vũ Phan Kim Anh, tlđd [78]
83 Điều 9 Luật Phòng, chống rửa tiền năm 2022
84 Khoản 1 Điều 4 Luật Phòng, chống rửa tiền năm 2022
85 Khoản 2 Điều 4 Luật Các tổ chức tín dụng năm 2010
86 Khoản 1 Điều 14 Luật Phòng, chống rửa tiền năm 2022 nay là các công ty Fintech chưa được quy định địa vị pháp lý rõ ràng Vì vậy quy định chưa thể xác định được các công ty công nghệ tài chính có phải là chủ thể được thực hiện hoạt động định danh hay không và đã đáp ứng các điều kiện theo Luật Phòng, chống rửa tiền hay chưa Khung pháp lý về Fintech hiện nay là chưa đầy đủ và đồng bộ với các hoạt động Fintech trên thực tế Cụ thể, các quy định liên quan đến hoạt động của Fintech về: (i) Bản chất sản phẩm, dịch vụ; (ii) Tiêu chuẩn của sản phẩm, dịch vụ; (iii) Mô hình hoạt động; (iv) Địa vị pháp lý; (v) Điều kiện thành lập và (vi) Lĩnh vực hoạt động của công ty Fintech là chưa rõ ràng 87 Các văn bản pháp lý điều chỉnh về lĩnh vực này nằm rải rác trong nhiều văn bản pháp luật khác nhau 88
Các quy định pháp luật hiện nay chỉ đáp ứng một phần cho lĩnh vực Fintech trong các hoạt động của ngân hàng, chưa đề cập đến các lĩnh vực khác đang trở thành xu hướng của Fintech thế giới, đặc biệt là định danh khách hàng điện tử (eKYC) Các dịch vụ mà Fintech cung cấp trong thực tiễn hiện nay đang phải đối mặt với việc chưa được pháp luật cho phép hoặc chưa được điều chỉnh cụ thể 89 Đối với định danh điện tử, Ngân hàng Nhà nước đã có những bổ sung, sửa đổi khuôn khổ pháp lý hiện hành để tháo gỡ các khúc mắc trong hoạt động của Fintech, bao gồm: Cho phép các tổ chức tín dụng tùy chọn phương án công nghệ để định danh khách hàng từ xa; phối hợp với Bộ Công an để kết nối với cơ sở dữ liệu dân cư phục vụ xác thực khách hàng qua phương tiện điện tử; ban hành tiêu chuẩn đặc tả kỹ thuật vê OR Code 90 Tuy nhiên, nhóm nghiên cứu cho rằng, việc kết nối với cơ sở dữ liệu dân cư, nơi có thông tin hay dữ liệu của toàn thể cá nhân trong nước trong khi khung pháp toàn diện về Fintech, các cơ chế hoạt động và trách nhiệm, quy định quá trình hợp tác với ngân hàng chưa được hoàn thiện là vô cùng rủi ro đối với thông tin của khách hàng
2.1.3 Yêu cầu đối với các chủ thể thực hiện định danh khách hàng điện tử
Hiện nay tại Điều 14a Thông tư 16/2020/TT-NHNN quy định về việc mở tài khoản bằng phương phương thức điện tử và mục 3 Thông tư 06/2023/TT-NHNN (có hiệu lực từ 01/9/2023) quy định về hoạt động cho vay bằng phương thức điện tử, chỉ đề cập đến những
87 Phan Đăng Hải, Nguyễn Kim Anh, “Cơ chế thử nghiệm có kiểm soát và vấn đề hoàn thiện khung pháp lý về Fintech ở Việt Nam”, Tạp chí Ngân hàng, [https://tapchinganhang.gov.vn/co-che-thu-nghiem-co-kiem-soat-va-van-de-hoan- thien-khung-phap-ly-ve-fintech-o-viet-nam.htm] (truy cập ngày 3/8/2023)
Thực trạng áp dụng pháp luật về eKYC tại các ngân hàng thương mại Việt
2.2.1 Thực tiễn áp dụng eKYC Ứng dụng công nghệ đã làm thay đổi nhanh chóng bức tranh dịch vụ tài chính tại các ngân hàng hàng thương mại Việt Nam trong thời gian qua, ví dụ điển hình là phương thức định danh điện tử (eKYC) Tính đến cuối năm 2022, có hơn 11,9 triệu tài khoản thanh toán
(40 ngân hàng triển khai) và 10,8 triệu thẻ (22 ngân hàng) được mở bằng phương thức này đang hoạt động 106
(i) Các công nghệ hiện nay Việt Nam sử dụng vào quy trình eKYC
Công nghệ OCR( Optical Character Recognition)
Nhận dạng ký tự quang học (OCR) đôi khi được gọi là nhận dạng văn bản Công nghệ OCR tách các chữ cái trên hình ảnh, đặt chúng thành các từ và sau đó đặt các từ đó thành câu, do đó cho phép truy cập và chỉnh sửa nội dung gốc, với độ chính xác khoảng 80 - 90% 107 Các dữ liệu này sau đó sẽ được trích xuất thành văn bản Hiện tại, OCR kết hợp với trí thông minh nhân tạo AI triển khai các phương pháp nhận dạng ký tự thông minh (ICR) tiên tiến hơn, như nhận dạng ngôn ngữ hoặc kiểu chữ viết tay, giúp cho các quy trình xác minh giấy tờ được tối ưu hóa, loại bỏ dần nhu cầu nhập dữ liệu thủ công 108
Facematch là công nghệ có khả năng phân tích, so sánh hình chụp chân dung trên các giấy tờ tùy thân như CMND/CCCD, Bằng lái xe, Hộ chiếu… với ảnh/video khuôn mặt thật, nhằm xác thực chủ nhân của các giấy tờ tùy thân đó nhờ được cung cấp những thuật toán học sâu (Deep learning) 109
Biometrics (Công nghệ sinh trắc học)
106 Dũng Nguyễn (2023), “Khai thác dữ liệu: Ngân hàng và fintech đang làm gì với dữ liệu người dùng?”, Kinh tế Sài
Gòn - Tạp chí của UBND TP.HCM, [https://thesaigontimes.vn/khai-thac-du-lieu-ngan-hang-va-fintech-dang-lam-gi- voi-du-lieu-nguoi-dung /] ( truy cập ngày 23/07/2023)
107 “Tìm Hiểu OCR Là Gì? Ưu Nhược Điểm Và Cách Thức Hoạt Động”, [ https://weupgroup.vn/ocr-la-gi/ ] (truy cập ngày 23/07/2023)
108 “What Is Optical Character Recognition (OCR)?”, [https://www.ibm.com/cloud/blog/optical-character- recognition?mhsrc=ibmsearch_a&mhq=ocr] (truy cập ngày 23/07/2023)
109 “FPT.AI Facematch – Giải pháp Xác thực khuôn mặt quan trọng trong quy trình eKYC” FPT.AI,
[https://fpt.ai/vi/fptai-facematch-giai-phap-xac-thuc-khuon-mat-quan-trong-trong-quy-trinh-eKYC] (truy cập ngày 23/07/2023)
Công nghệ sinh trắc học được định nghĩa là phép đo và phân tích các đặc điểm riêng của con người như DNA, dấu vân tay, mẫu giọng nói, phép đo bàn tay, võng mạc mắt và mống mắt 110
Khách hàng có thể quét khuôn mặt, mắt hoặc dấu vân tay của họ sau đó được so sánh với dữ liệu sinh trắc học được lưu giữ trong hồ sơ bởi nền tảng eKYC
Trường hợp khác, dữ liệu sinh trắc quét được sẽ được so sánh với dữ liệu sinh trắc trong ID chính phủ mà khách hàng đã cung cấp 111
Liveness Detection Đây là công nghệ thường được kết hợp với công nghệ Biometrics nhằm xác định khuôn mặt hoặc dấu vân tay là thật và người thực hiện đang có mặt tại thời điểm xác nhận 112
Fraud detection là công nghệ được sử dụng để phát hiện các hoạt động gian lận trực tuyến tiềm ẩn như gian lận trong thanh toán trực tuyến và tạo tài khoản giả mạo
Với các tập dữ liệu được tải lên, công nghệ này sẽ xác thực và làm giàu dữ liệu, thiết kế các tính năng, lựa chọn thuật toán để phát hiện ra các giao dịch, hoạt động xâm phạm của đối tượng gian lận
Mã OTP (One Time Password) là loại mật khẩu chỉ sử dụng một lần và được xem là lớp bảo vệ thứ hai cho dịch vụ ngân hàng điện tử, thanh toán trực tuyến hay e-mail, mạng xã hội
Mã xác thực OTP giúp ngăn chặn, giảm thiểu những rủi ro bị tấn công khi mật khẩu bị lộ hoặc hacker xâm nhập Nó gồm một dãy gồm các ký tự hoặc chữ số được tự động tạo ra gửi đến số điện thoại của bạn Đúng như tên gọi, mã OTP được dùng xác nhận giao dịch một lần duy nhất Đồng thời, hiệu lực của mã OTP chỉ kéo dài trong khoảng 30 giây đến 2 phút và không thể sử dụng cho bất kỳ giao dịch nào khác 113
110 “What is Biometric Technology” BiometricCentral.com, [https://www.biometriccentral.com/what-is-biometric- technology/ ] (truy cập ngày 23/07/2023)
111 Danielle Antosz, “eKYC: Digital verification improves new customer onboarding”, [https://plaid.com/resources/compliance/eKYC/] (truy cập ngày 23/7/2023)
112 “What is Liveness Detection? Types and benefits of Liveness detection”, [https://www.idcentral.io/article/what-is- liveness-detection-types-and-benefits-of-liveness-detection/ ] (truy cập ngày 23/07/2023)
113 “Mã OTP là gì? Làm gì để có mã OTP nhanh chóng”, [https://timo.vn/blogs/timo-debit-atm-napas/ma-otp-la-gi- lam-gi-de-co-otp/] (truy cập ngày 24/7/2023)
Ngoài ra, do không có quy định bắt buộc các tổ chức tín dụng phải theo một quy chuẩn công nghệ nào nên một số ngân hàng có thể chủ động áp dụng những phương pháp để hỗ trợ định danh khách hàng điện tử khác mà ngân hàng thấy hiệu quả Có thể kể đến như VPBank đã kết hợp video call (không yêu cầu gặp mặt trực tiếp khách hàng) cùng với eKYC để nhận diện khách hàng Điều này đem lại hiệu quả trải nghiệm cao cho khách hàng 114
(ii) Về các bên cung cấp công nghệ cho ngân hàng
Pháp luật Việt Nam hiện nay cho phép các tổ chức tín dụng tự chủ động trong việc lựa chọn công nghệ phù hợp để áp dụng, do đó, các bên cung cấp công nghệ cho ngân hàng là khác nhau
Hiện nay, có hai nhóm cung cấp công nghệ eKYC cho các ngân hàng Thứ nhất là công ty thuần về công nghệ Một số ngân hàng nhận hỗ trợ giải pháp công nghệ từ công ty công nghệ như ACB, Tymebank 115 … Thứ hai là công ty công nghệ - tài chính, một số mô hình hợp tác giữa công ty fintech và ngân hàng có thể kể đến như mô hình hợp tác giữa Ngân hàng TMCP Quân đội và Viettel cung cấp dịch vụ ViettelPay, mô hình hợp tác giữa Ngân hàng TMCP Bưu điện Liên Việt với VNPost 116 …
(iii) Về giai đoạn áp dụng eKYC
Việt Nam chỉ đang trong quá trình mới áp dụng eKYC, do đó, eKYC mới chỉ được áp dụng vào một phần rất nhỏ trong các hoạt động của ngân hàng
PHÁP LUẬT NƯỚC NGOÀI VÀ MỘT SỐ KIẾN NGHỊ CHO VIỆT NAM
Kinh nghiệm pháp luật nước ngoài về vấn đề bảo mật thông tin trong hoạt động eKYC
3.1.1 Nguyên tắc giảm thiểu dữ liệu
Nguyên tắc giảm thiểu dữ liệu là một nguyên tắc quan trọng của eKYC giúp khách hàng giảm lượng dữ liệu cần phải cung cấp cho khách hàng, giúp ngân hàng giảm thời gian xác minh khách hàng và cuối cùng là giảm rủi ro rò rỉ thông tin hay gian lận trong quá trình nhận diện khách hàng
Về cơ bản, nguyên tắc giảm thiểu dữ liệu là khách hàng không cần cung cấp quá nhiều thông tin khi ngân hàng thực hiện eKYC để bắt đầu các giao dịch tại ngân hàng 137 mà chỉ cần thông qua một hoặc một vài thông tin có liên kết với các thông tin còn lại, ngân hàng sẽ tự xác nhận được các thông tin cần thiết khác cần thiết để xác lập giao dịch đó thông qua một nguồn thông tin đáng tin cậy – thông thường là nguồn cơ sở dữ liệu quốc gia
Tại Ấn Độ, nguyên tắc giảm thiểu dữ liệu được ứng dụng thành sáng kiến Aadhaar - cho phép xác minh danh tính và địa chỉ của khách hàng bằng phương pháp điện tử thông qua xác thực Aadhaar, làm cho toàn bộ quy trình khi thực hiện sẽ không cần đến giấy tờ 138 Nhóm nghiên cứu phân tích sáng kiến này để làm rõ nguyên tắc giảm thiểu dữ liệu như sau
137 Hiện nay, tại Việt Nam, khi ứng dụng eKYC, mặc dù thủ tục đã đơn giản và giảm bớt một số loại giấy tờ, quy trình rắc rối như khi thực hiện KYC nhưng nhìn chung khách hàng vẫn phải cung cấp rất nhiều thông tin khi tiến hành eKYC như thông tin cá nhân bao gồm: giấy tờ chứng minh cá nhân, dữ liệu sinh trắc học và có khi là cả thông tin tín dụng
138 Nguyễn Văn Trung, Phạm Ngọc Thanh Hà, Vũ Phan Kim Anh (2023), “Hoàn thiện pháp luật về định danh khách hàng điện tử ở Việt Nam- Kinh nghiệm từ một số quốc gia trên thế giới”, Tạp chí Dân chủ và Pháp luật, (376)
Chương trình Aadhaar xác thực qua mã số ID duy nhất có 12 chữ số Mỗi cá nhân sẽ đăng ký một số ID và được liên kết với dữ liệu sinh trắc học (dấu vân tay và quét mống mắt) và dữ liệu cá nhân tối thiểu (bao gồm tên, ngày sinh, giới tính và ảnh kỹ thuật số) Năm 2010, Cơ quan nhận dạng duy nhất của Ấn Độ (UIDAI - the Unique Identification Authority of India) triển khai cơ sở dữ liệu dân cư quốc gia và ban hành ID Aadhaar Aadhaar nhận được sự thu hút và hưởng ứng đông đảo ở Ấn Độ với hơn 1,2 tỷ người đăng ký tham gia chương trình (gần 90% dân số ở Ấn Độ) 139
Năm 2016, Ngân hàng Dự trữ Ấn Độ phê duyệt thông qua Hướng dẫn tổng thể đã sửa đổi các quy tắc KYC để xác minh eKYC, giao dịch tài chính trên chương trình Aadhaar eKYC cho phép các khách hàng cung cấp thông tin cá nhân của mình và thông tin nhân khẩu học dựa trên hệ thống Aadhaar, bao gồm các thông tin nhận dạng như ngày sinh, giới tính, địa chỉ và các nhà cung cấp tài chính có thể xác minh các thông tin đó trong thời gian thực Có thể ước tính chi phí xác minh thông tin khách hàng ở Ấn Độ trung bình giảm từ khoảng $15 xuống còn $0,50 khi giảm thiểu dữ liệu bằng sáng kiến Aadhaar 140
Ngoài ra, nguyên tắc này tạo ra một hệ quả đó là cần quy định quyền truy cập cũng như quyền lưu trữ thông tin, thời gian lưu trữ và phương thức lưu trữ thông tin khách hàng Khách hàng không cần cung cấp quá nhiều thông tin, giấy tờ mà chỉ từ một thông tin hoặc một vài thông tin có liên kết với các thông tin khác, ngân hàng sẽ đối chiếu với nguồn dữ liệu đáng tin cậy đã lưu trữ từ trước nên sẽ không còn tình trạng các ngân hàng tự chủ động trong việc thu thập và lưu trữ dữ liệu của khách hàng
Ví dụ như tại Ấn Độ, phạm vi dữ liệu đã được xác định rõ ràng và việc sử dụng eKYC chỉ được giới hạn trong các mục đích định danh khách hàng Đạo luật Phòng chống rửa tiền
2002 (Đạo luật PML) quy định rõ ràng rằng, để xác định khách hàng là chủ sở hữu thụ hưởng, xác thực hoặc xác minh ngoại tuyến, thông tin sinh trắc học cốt lõi hoặc số Aadhaar của họ sẽ không được lưu trữ Cơ quan thực hiện eKYC (KUA) đã bị cấm lưu trữ số Aadhaar trong cơ sở dữ liệu của họ cho bất kỳ mục đích nào 141 , chỉ số Aadhaar đầy đủ không được lưu trữ hoặc hiển thị ở bất kỳ đâu trong hệ thống và chỉ 04 chữ số cuối của số Aadhaar mới có thể được hiển thị ở bất kỳ nơi nào được yêu cầu Đạo luật Aadhaar năm 2016 cũng bắt
139 Vũ Thị Kim Oanh (2022), Phát triển định danh khách hàng trực tuyến (eKYC) tại Ngân hàng Nông nghiệp và phát triển nông thôn Việt Nam, Luận văn Thạc sĩ, Trường Đại học Ngoại Thương
140 “eKYC use cases in digital financial services”, Báo cáo của Tổ chức Security Workstream [figi.itu.int/wp- content/uploads/2021/05/eKYC-innovations-use-cases-in-digital-financial-services.pdf] (truy cập ngày 20/7/2023)
141 Ngoại trừ trường hợp có sự đồng ý của người giữ số Aadhaar, dữ liệu eKYC của người giữ số Aadhaar nhận được khi xác thực eKYC ở dạng mã hóa và sau đó chia sẻ dữ liệu eKYC với bất kỳ cơ quan nào khác khi nhận được sự đồng ý từ chủ sở hữu số Aadhaar cho mục đích đó Nếu chủ sở hữu số Aadhaar yêu cầu hủy chia sẻ thông tin, KUA sẽ xóa mọi dữ liệu eKYC và không chia sẻ thêm buộc một thực thể yêu cầu không được lưu trữ, xuất bản hoặc chia sẻ thông tin sinh trắc học cốt lõi cho bất kỳ mục đích nào hoặc giữ một bản sao của thông tin này 142 Đạo luật Aadhaar năm 2016 cho phép KUA lưu trữ, với sự đồng ý của người giữ số Aadhaar, dữ liệu eKYC của người giữ số Aadhaar nhận được khi xác thực eKYC ở dạng mã hóa và sau đó chia sẻ dữ liệu eKYC với bất kỳ cơ quan nào khác khi nhận được sự đồng ý từ chủ sở hữu số Aadhaar cho mục đích đó Nếu chủ sở hữu số Aadhaar yêu cầu hủy chia sẻ thông tin, KUA sẽ xóa mọi dữ liệu eKYC và không chia sẻ thêm Hồ sơ eKYC được lưu trữ kỹ thuật số trong Cơ quan đăng ký hồ sơ eKYC trung tâm, được định nghĩa theo Quy tắc 2 (1) của Quy tắc Lưu giữ hồ sơ (Quy tắc PML) để nhận, lưu trữ, bảo vệ và truy xuất hồ sơ eKYC của khách hàng Quy tắc PML quy định rằng, các bản ghi eKYC phải được lưu trữ trong khoảng thời gian mười năm, kể từ ngày ngừng giao dịch giữa khách hàng và đơn vị báo cáo
Tóm lại, vấn đề quyền riêng tư và bảo mật thông tin trong eKYC là một cản trở lớn trong việc thực hiện eKYC Nguyên tắc giảm thiểu dữ liệu trong eKYC là nguyên tắc thiết yếu trong hoạt động này Các quy định pháp luật và các cơ chế về bảo đảm quyền riêng tư và bảo mật thông tin khách hàng vẫn chưa được hoàn thiện
Từ những phân tích về nguyên tắc và kinh nghiệm từ sáng kiến Aadhaar của Ấn Độ, nhóm nghiên cứu đưa ra kiến nghị sau cho Việt Nam
Việt Nam cần tiếp tục đẩy mạnh việc áp dụng nguyên tắc giảm thiểu dữ liệu để ban hành các quy định cần thiết, phù hợp Hiện tại, Việt Nam cũng có một số quy định tiệm cận với nguyên tắc này tại một số văn bản như Luật Giao dịch điện tử, Nghị định 13/2023/NĐ