Bảo vệ dữ liệu khách hàng: Vì sao các ngân hàng lúng túng?

ÁNH HỒNG
và 1 tác giả khác

ÁNH HỒNG

LÊ THANH

Nhiều ngân hàng cho biết đang lúng túng khi thực hiện một số quy định tại nghị định 13 về bảo vệ dữ liệu cá nhân của khách hàng, có hiệu lực từ ngày 1-7, trong đó có quy định 'chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình'.

Theo Hiệp hội Ngân hàng (NH), để triển khai hiệu quả nghị định 13, cần có thêm các hướng dẫn để thống nhất cách hiểu và áp dụng cũng như có thời gian chuyển tiếp cho hệ thống NH.

Trong thời gian chuyển tiếp đó, Bộ Công an và NH Nhà nước ban hành thông tư liên bộ để giải thích hoặc có thể vận dụng cho nghị định này.

Khách hàng đồng ý, ngân hàng mới được xử lý dữ liệu?

Những ngày gần đây, nhiều khách hàng dồn dập nhận các email từ NH thông báo về "điều khoản và điều kiện xử lý dữ liệu cá nhân theo nghị định 13 về bảo vệ dữ liệu cá nhân", với nội dung thông báo đều na ná nhau.

Trong đó, các NH cho biết có thể thu thập và xử lý dữ liệu cá nhân của khách hàng theo thông báo, điều khoản và điều kiện này, đồng thời cam kết sẽ bảo vệ dữ liệu cá nhân của khách hàng.

Vì sao các NH lại đồng loạt gửi các thư thông báo này?

Theo tìm hiểu của Tuổi Trẻ, nghị định 13 quy định nghiêm ngặt trách nhiệm của NH trong việc bảo vệ dữ liệu cá nhân, quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.

Đặc biệt, chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình.

Trong khi đó, đại diện CLB Pháp chế thuộc Hiệp hội NH cho biết trong hệ thống văn bản pháp luật lĩnh vực NH, toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản dưới luật.

Mặt khác, đối với hoạt động NH, việc xử lý dữ liệu cá nhân gồm: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa... không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý hoạt động NH và quản lý rủi ro, bảo đảm an toàn an ninh của hệ thống tiền tệ. Do vậy, nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không cần có sự chấp thuận của khách hàng.

Lãnh đạo một NH cổ phần ở Hà Nội cũng cho rằng các NH luôn phân tích thông tin của khách hàng trước khi ra mắt hay cải tiến sản phẩm, dịch vụ nhằm đáp ứng tốt nhất nhu cầu của người dùng. Việc phân tích thông tin theo tệp khách hàng với vài triệu người.

"Nếu thực hiện theo nghị định 13, các NH phải được sự đồng ý của vài triệu khách hàng mới được xử lý, phân tích thông tin là điều không thể. Ngoài việc khó khăn khi liên lạc và nhận được sự đồng ý của cả vài triệu khách hàng, NH còn đứng trước nguy cơ rủi ro lộ bí mật kinh doanh", vị này nói.

Chủ động triển khai các giải pháp công nghệ

Trong bối cảnh các NH phải theo xu hướng NH mở (open banking), kết nối với nhiều đối tác cũng như tạo trải nghiệm thoải mái nhất cho người dùng, việc thực hiện các yêu cầu tại nghị định 13 về bảo vệ dữ liệu cá nhân của các khách hàng sẽ là một thách thức không nhỏ, khi mà bọn tội phạm công nghệ luôn xem NH là miếng mồi ngon.

Trao đổi với Tuổi Trẻ, tổng giám đốc một NH cổ phần tại TP.HCM cho biết NH này đã làm việc với đối tác là IBM nhằm tăng cường bảo vệ dữ liệu cá nhân của khách hàng, phát hiện giao dịch đáng ngờ, cảnh báo khách hàng... Những vấn đề này không thể xử lý bằng tay mà bắt buộc phải có những phương thức ngăn chặn và cảnh báo tự động.

"NH đã triển khai dự án này hai tháng trước dựa trên hệ thống safe payment (kiểm soát giao dịch một cách an toàn) có bổ sung thêm một số vấn đề theo yêu cầu của nghị định 13 và thực tiễn tại Việt Nam", vị này nói.

Với hệ thống mới, NH có thể rà quét tự động để đánh giá và phát hiện các giao dịch đáng ngờ. Hệ thống này cập nhật liên tục các phương thức giao dịch giả mạo, giả mạo định danh... của tội phạm công nghệ không chỉ trong nước mà cả tội phạm nước ngoài.

Theo lãnh đạo của một NH cổ phần, không chỉ nghị định 13 mà tới đây NH còn phải tuân thủ theo nhiều quy định mới liên quan đến phân loại, đánh giá, sắp xếp hệ thống để đảm bảo khóa an toàn và tránh thất thoát dữ liệu ra ngoài. Những quy định này sẽ giúp việc quản lý của NH hiệu quả hơn.

Trên thực tế, các giao dịch bằng giấy tại NH đã giảm, chuyển sang chủ yếu xử lý trên hệ thống giao dịch điện tử và cần hệ thống để quản lý. Trong khi đó, tội phạm ngày càng biến hóa. Ngay cả những quốc gia đi đầu về công nghệ cũng không tránh khỏi tội phạm xâm nhập đánh cắp dữ liệu dù "hàng rào" dựng lên rất cao.

"NH càng tạo thêm nhiều tiện ích, lỗ hổng về bảo mật càng xuất hiện. Nhưng nếu NH đầu tư nghiêm túc ngay từ đầu, tự hệ thống đã có tính bảo mật cao và tội phạm rất khó tấn công sâu vào NH lõi (core banking), cùng lắm chỉ có thể lấy dữ liệu khách hàng chứ khó có thể vào mà sửa số dư như trường hợp báo chí phản ánh những ngày gần đây", vị này nói.

Gần 1.300GB dữ liệu cá nhân bị mua bán trái phép

Phát biểu tại tọa đàm triển khai nghị định 13 về bảo vệ dữ liệu cá nhân vừa được tổ chức cuối tuần trước, trung tá Triệu Mạnh Tùng, phó cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), cho biết nghị định này được xây dựng, tiếp cận theo hướng dữ liệu cá nhân và bảo vệ dữ liệu cá nhân là vấn đề liên quan quyền riêng tư được pháp luật bảo vệ phù hợp tinh thần của hiến pháp.

Theo ông Tùng, hoạt động mua bán và lộ dữ liệu thông tin cá nhân đang diễn ra phổ biến trên mạng.

Nhiều vụ việc có tính chất nghiêm trọng, đáng báo động. Có thể nói riêng về lộ lọt mua bán dữ liệu, như các cơ quan truyền thông đã đưa tin, người ta rất dễ dàng lên mạng mua dữ liệu thông tin, các tệp khách hàng. Thậm chí người bán còn chủ động tìm đến nếu như biết ai có nhu cầu về dữ liệu khách hàng.

Nhưng ở đâu ra dữ liệu này mà bán? Ngoài lý do bị tin tặc tấn công, có nguyên nhân khác là từ nội bộ các NH bán dữ liệu ra ngoài.

"Có hai hình thức, một là ký hợp đồng hợp tác để khai thác dữ liệu nhưng bản chất là mua bán, chuyển giao dữ liệu thô và thu lợi nhuận. Hai là nhân viên, nội bộ nhân viên NH được tiếp cận vào hệ thống công nghệ thông tin lấy dữ liệu ra và bán ra bên ngoài", ông Tùng nói.

Cũng theo ông Tùng, trong 5 năm qua, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức có liên quan đến hoạt động mua bán dữ liệu cá nhân. Số lượng dữ liệu cá nhân bị thu thập rồi mua bán trái phép lên đến gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ và nhạy cảm.

Cảnh báo chiêu trò giả mạo công ty để lừa đảo

Công ty cổ phần MISA, chuyên cung cấp giải pháp chuyển đổi số tài chính - kế toán và quản trị doanh nghiệp, vừa lên tiếng cảnh báo thủ đoạn lừa đảo, chiếm đoạt tài sản thông qua website và ứng dụng di động (App Mobile) mạo danh MISA.

Theo ghi nhận của công ty này, nhiều phản ánh website mạo danh có tên miền là misavnp.com yêu cầu cá nhân tạo tài khoản và tham gia vào hệ thống để dụ dỗ chuyển tiền giao dịch mua hàng trực tuyến để được nhận hoa hồng nhưng thực chất là chuyển tiền vào tài khoản của cá nhân kẻ lừa đảo sau đó không trả lại.

Ngoài ra, những kẻ lừa đảo còn tạo ra ứng dụng di động mang tên "Misa" giả mạo, quảng cáo sai lệch kêu gọi cá nhân bỏ tiền đầu tư vào hình thức có tên "gói dữ liệu" để nhận được mức lợi nhuận cao, thậm chí lên tới 40 - 50%, nhằm chiếm đoạt tài sản.

Đại diện MISA khẳng định địa chỉ website và ứng dụng nêu trên là "hoàn toàn giả mạo, đồng thời cho biết đơn vị này không cung cấp các ứng dụng hay dịch vụ đầu tư vào cổ phiếu, tiền điện tử hay giao dịch tài sản; không liên kết hợp tác với bất kỳ tổ chức hay cá nhân trong nước hay quốc tế nào thực hiện các hoạt động môi giới, phát triển ứng dụng đầu tư sinh lời trực tuyến nào.

Các website có tên miền lợi dụng chữ "misa" tương tự như misavpn.com, misasme.com... nhưng yêu cầu khách hàng phải nạp tiền hay đăng ký tài khoản để xem thông tin đều là mạo danh MISA. (ĐỨC THIỆN)