Lịch sử giao dịch ngân hàng có thể lọt danh mục dữ liệu cá nhân nhạy cảm
Bộ Công an đề xuất bổ sung lịch sử giao dịch ngân hàng vào danh mục dữ liệu cá nhân nhạy cảm, nhằm siết chặt bảo mật và bảo vệ quyền riêng tư của người dân.
Mở rộng danh mục dữ liệu cá nhân nhạy cảm
Bộ Công an đang lấy ý kiến đối với dự thảo Nghị định quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân. Điểm đáng chú ý là lịch sử giao dịch tài khoản ngân hàng, cùng nhiều thông tin khác như đời tư, xu hướng tình dục, tình trạng sức khỏe… sẽ thuộc nhóm 13 loại dữ liệu cá nhân nhạy cảm.
Theo dự thảo, dữ liệu cá nhân nhạy cảm là những thông tin gắn với quyền riêng tư, khi bị xâm phạm có thể ảnh hưởng trực tiếp đến lợi ích hợp pháp của cá nhân và tổ chức. Do đó, dữ liệu này cần được áp dụng cơ chế phân quyền, giới hạn truy cập và các biện pháp bảo mật chặt chẽ.
Danh mục dữ liệu nhạy cảm mới bao gồm: nguồn gốc chủng tộc, quan điểm chính trị, tôn giáo, tín ngưỡng, đời tư, tình trạng sức khỏe, sinh trắc học, di truyền, đời sống tình dục và xu hướng tình dục, vị trí cá nhân qua định vị, thông tin thẻ ngân hàng, lịch sử giao dịch ngân hàng, cùng thông tin tài chính và tín dụng.
Dự thảo cũng yêu cầu mọi bên xử lý dữ liệu cá nhân nhạy cảm phải thông báo cho chủ thể dữ liệu, đồng thời bảo đảm mã hóa, ẩn danh hóa và bảo mật vật lý trong quá trình lưu trữ và chuyển giao.
Siết chặt bảo mật trong lĩnh vực tài chính – ngân hàng
Điều 8 của dự thảo dành riêng quy định về tài chính – ngân hàng và thông tin tín dụng, lĩnh vực thường xuyên xử lý dữ liệu nhạy cảm. Bộ Công an đề xuất, trong vòng 72 giờ kể từ khi phát hiện lộ, mất dữ liệu tài khoản ngân hàng hoặc thông tin tín dụng, đơn vị lưu trữ và khai thác dữ liệu phải thông báo cho người có dữ liệu. Đây là điểm mới so với Nghị định 13/2023, vốn chưa quy định rõ thời hạn thông báo.
Ngoài ra, các tổ chức tài chính và ngân hàng sẽ phải bảo vệ dữ liệu theo tiêu chuẩn quốc tế, thực hiện đánh giá định kỳ mỗi năm một lần và ghi nhật ký toàn bộ quá trình xử lý dữ liệu. Khi thu thập thông tin, đơn vị phải nêu rõ mục đích, nguồn dữ liệu, thời gian lưu trữ, cách rút lại sự đồng ý và cơ chế xóa dữ liệu theo yêu cầu của khách hàng.
Quy định mới được đưa ra trong bối cảnh thời gian gần đây, nhiều vụ việc lộ lọt dữ liệu tín dụng cá nhân đã khiến dư luận lo ngại, đặc biệt sau khi có cảnh báo về dấu hiệu tấn công vào hệ thống Trung tâm Thông tin tín dụng quốc gia (CIC).
Thực trạng mua bán dữ liệu ngân hàng trên “chợ đen”
Bộ Công an cho biết, dữ liệu cá nhân – trong đó có số dư và lịch sử giao dịch ngân hàng – đang bị mua bán công khai trên mạng xã hội, diễn đàn tin tặc và thậm chí được giao dịch qua chính tài khoản ngân hàng với nội dung “mua bán dữ liệu”.
Thông tin bị rò rỉ rất chi tiết, bao gồm họ tên, ngày sinh, căn cước công dân, địa chỉ, số điện thoại, quan hệ thân nhân, chức vụ, thậm chí cả số dư tài khoản ngân hàng. Điều này cho thấy quyền riêng tư của công dân vẫn đối mặt nhiều rủi ro, trong khi nhận thức của một bộ phận cán bộ, công chức và người dân về bảo mật thông tin còn hạn chế.
Luật Bảo vệ dữ liệu cá nhân, được Quốc hội thông qua ngày 26/6/2025 và có hiệu lực từ 1/1/2026, đã bổ sung thêm ba hành vi bị nghiêm cấm gồm: sử dụng dữ liệu cá nhân trái phép, mua bán dữ liệu cá nhân, và chiếm đoạt, cố ý làm lộ dữ liệu cá nhân.
Theo dự thảo, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 – Bộ Công an) sẽ là đơn vị chuyên trách bảo vệ dữ liệu cá nhân, phối hợp với các tổ chức tài chính – ngân hàng để bảo đảm an toàn thông tin cho người dân.