Cách mạng công nghiệp lần thứ tư đã và đang diễn ra với tốc độ nhanh chóng, tạo ra những thay đổi rõ rệt trong lĩnh vực ngân hàng, đặc biệt làm thay đổi kênh phân phối và các sản phẩm, dịch vụ ngân hàng truyền thống, nổi bật là việc xây dựng và phát triển các dịch vụ ngân hàng điện tử. Việc ứng dụng công nghệ số góp phần giúp các ngân hàng thay đổi dịch vụ, doanh thu và hiệu quả kinh doanh của ngân hàng cũng như đem lại nhiều lợi ích cho khách hàng. Tuy nhiên, xu hướng phát triển này cũng tạo ra không ít thách thức trong quản lí, đặc biệt là trong vấn đề bảo mật thông tin liên quan đến ngân hàng, sự gia tăng rủi ro mất an toàn dữ liệu và xâm phạm quyền riêng tư trong lĩnh vực tài chính.

Với sự phát triển của công nghệ và Internet, các cuộc tấn công mạng vào hệ thống Internet Banking và ngân hàng số ngày càng tinh vi và phức tạp hơn, như tấn công từ chối dịch vụ (DDoS), mã độc tống tiền (ransomware) và xâm phạm dữ liệu khách hàng gây thiệt hại nghiêm trọng về tài chính, uy tín, niềm tin của khách hàng. Tại Việt Nam, hệ thống ngân hàng số đã và đang phải đối mặt với nhiều vụ tấn công mạng hay sự cố bảo mật thông tin đáng lo ngại[1], với nhiều vụ ảnh hưởng trực tiếp đến các tổ chức tài chính, bao gồm cả ngân hàng. Nhận thức được vị trí, tầm quan trọng của hoạt động bảo mật thông tin khách hàng, Luật Các tổ chức tín dụng (TCTD) xác định rõ đây là nghĩa vụ mà TCTD phải triệt để tuân thủ và là một trong những tiêu chí xác định mức độ bảo đảm an toàn trong cung ứng dịch vụ ngân hàng. Trường hợp TCTD không thực hiện nghĩa vụ bảo mật thông tin khách hàng thì có thể bị tạm ngừng hoạt động[2]. Do đó, việc tuân thủ các quy định này không chỉ giúp các ngân hàng bảo vệ tài sản, dữ liệu của ngân hàng mà còn là yêu cầu bắt buộc để tuân thủ các quy định pháp luật về bảo mật và quyền riêng tư, giúp ngân hàng hoạt động thông suốt và tránh phải gánh chịu những chế tài pháp lý. Trước biến đổi nhanh của tình hình thực tế về tính đan xen, phức tạp của các quan hệ liên quan đến lĩnh vực tín dụng, ngân hàng; sự phát triển của công nghệ thông tin; hiệu quả quản trị nội bộ của TCTD và yêu cầu về quản lý nhà nước, sự đồng bộ, thống nhất, khả thi trong thực thi pháp luật về bảo mật dữ liệu và quyền riêng tư trong hoạt động ngân hàng điện tử cần được nghiên cứu hoàn thiện.

Bảo mật (Security - SC) là mối quan tâm quan trọng trong tất cả các hoạt động trực tuyến, đặc biệt với sự phát triển của ngân hàng số, tỷ lệ thuận với nguy cơ tội phạm mạng. Bảo mật liên quan đến nhận thức của công chúng về sự an toàn khi thực hiện giao dịch tài chính và bảo vệ thông tin cá nhân[3]. Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân cũng nhấn mạnh bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn và xử lý vi phạm liên quan đến dữ liệu theo quy định pháp luật.

Trong ngân hàng số, bảo mật dữ liệu cá nhân đóng vai trò thiết yếu, thể hiện qua các khía cạnh sau:

Thứ nhất, bảo vệ dữ liệu khách hàng và tài sản ngân hàng. Ngân hàng quản lý lượng lớn dữ liệu nhạy cảm như thông tin tài khoản, lịch sử tài chính. Việc đảm bảo an toàn dữ liệu giúp ngăn chặn rủi ro rò rỉ, gian lận, bảo vệ tài sản của khách hàng và ngân hàng trước các cuộc tấn công mạng.

Thứ hai, bảo đảm tuân thủ quy định pháp lý. Bảo vệ dữ liệu cá nhân là nền tảng để ngăn chặn thu thập, sử dụng, tiết lộ thông tin trái phép. Điều này giúp ngân hàng tuân thủ pháp luật, tránh chế tài pháp lý và củng cố niềm tin của khách hàng vào hệ thống tài chính.

Thứ ba, thích ứng với công nghệ và chuyển đổi số. Sự phát triển của AI, Blockchain, Cloud Computing mang lại lợi ích nhưng cũng tiềm ẩn nhiều rủi ro bảo mật. Việc bảo vệ dữ liệu giúp ngân hàng vận hành an toàn, phát triển dịch vụ mới và có phản ứng nhanh với các mối đe dọa an ninh mạng.

Thứ tư, xây dựng lòng tin và giữ chân khách hàng. Khách hàng lo ngại về tính an toàn của giao dịch và quyền riêng tư. Khi ngân hàng cam kết bảo vệ dữ liệu thông qua cơ chế đồng thuận, bảo mật danh tính và minh bạch trong sử dụng thông tin, họ sẽ ưu tiên lựa chọn dịch vụ, tạo nền tảng cho sự phát triển bền vững của ngân hàng số.

Nhìn chung, bảo mật dữ liệu khách hàng không chỉ là nghĩa vụ pháp lý mà còn là yếu tố cốt lõi giúp ngân hàng số phát triển mạnh mẽ, bảo đảm lợi ích cho cả tổ chức tín dụng và khách hàng.

Việc áp dụng hệ thống tiêu chuẩn an toàn thông tin (ATTT) trong lĩnh vực ngân hàng ngày càng được các quốc gia, các cơ quan, tổ chức/doanh nghiệp đặc biệt chú trọng. Các hệ thống tiêu chuẩn quốc tế thường xuyên được cập nhật và xây dựng mới nhằm phù hợp với tình hình an toàn mạng ngày càng diễn biến phức tạp. Một số tiêu chuẩn ATTT phổ biến trên thế giới áp dụng cho ngân hàng như sau:

Bộ tiêu chuẩn ISO/IEC 27000 được phát triển bởi Tổ chức Tiêu chuẩn quốc tế (ISO), cung cấp một khung ứng dụng ATTT rộng rãi, được áp dụng cho tất cả các tổ chức với loại hình và quy mô khác nhau. Bộ tiêu chuẩn này được chia thành các tiêu chuẩn nhỏ hơn tùy theo nội dung như: ISO/IEC 27000 cung cấp bức tranh về các tiêu chuẩn tổng quan về việc bảo đảm ATTT; ISO/IEC 27001 giúp xác định các yêu cầu của chương trình ATTT và ISO/IEC 27002 cung cấp định nghĩa các bước hoạt động cần thiết trong một chương trình ATTT[4].

Tháng 2/2014, Viện Tiêu chuẩn và Kỹ thuật quốc gia Mỹ (NIST) đã xuất bản phiên bản đầu tiên của Khung an ninh mạng (Cybersecurity Framework v1.0 - NIST CFS) nhằm hỗ trợ các tổ chức và các nhà quản lý nâng cao an toàn, an ninh và tăng khả năng hồi phục của cơ sở hạ tầng quan trọng trước các cuộc tấn công mạng. NIST CFS được đưa ra dựa trên cơ sở của nhiều tiêu chuẩn bao gồm các hướng dẫn và thực hành[5].

Tiêu chuẩn PCI - DSS được xây dựng bởi Hội đồng Tiêu chuẩn bảo mật thanh toán thẻ (Payment Card Industry Security Standards Council). Hoạt động thanh toán thẻ yêu cầu các quy định khắt khe về bảo mật thông tin và tính tuân thủ cao trong tổ chức. Đây là tiêu chuẩn mở được thành lập bởi các tổ chức cung cấp thẻ thanh toán phổ biến trên thế giới, bao gồm các thành viên ban đầu như: Visa, MasterCard, Americian Express, Discover Financial Services, JCB International[6].

Ngày 3/4/2017, Hiệp hội Viễn thông liên ngân hàng và tài chính quốc tế (SWIFT) đã ban hành Khung tiêu chuẩn bảo mật khách hàng (Customer Security Framework). Đây là khung ATTT áp dụng cho các khách hàng của SWIFT, bao gồm 7 phần và 27 kiểm soát; trong đó, có 16 yêu cầu bắt buộc, 11 yêu cầu mang tính tham vấn. Nội dung 7 phần chính được chia thành 3 lĩnh vực được thể hiện trong Bảng dưới đây[7].

An toàn môi trường công nghệ thông tin	1. Hạn chế truy cập Internet và bảo vệ các hệ thống quan trọng từ môi trường công nghệ thông tin chung
	2. Giảm tấn công mặt ngoài và qua các lỗ hổng bảo mật
	3. An toàn vật lý
Biết và hạn chế truy cập	4. Ngăn chặn thoả hiệp các thông tin xác thực
	5. Quản lý định danh và tách biệt các quyền người dùng
Phát hiện và phản hồi	6. Phát hiện hoạt động bất thường đối với hệ thống giao dịch
	7. Kế hoạch ứng phó sự cố và chia sẻ thông tin

Tại Hoa Kỳ, ngày 7/2/2012, Quy định E (Regulation E) được Cục Bảo vệ tài chính người tiêu dùng (CFPB) ban hành nhằm hướng dẫn thực thi Luật Thanh toán điện tử 1978. Theo đó, Quy định E xây dựng các quy tắc bảo vệ người tiêu dùng trong các giao dịch chuyển tiền điện tử, cung cấp các biện pháp bảo vệ người tiêu dùng bao gồm yêu cầu về tiết lộ thông tin, quyền giải quyết lỗi khi người tiêu dùng chuyển tiền cho người tiêu dùng khác hoặc doanh nghiệp khác ở nước ngoài. Tại Liên minh châu Âu, đã ban hành đạo luật về bảo vệ dữ liệu cá nhân (General Data Protection Regulation - GDPR) trước yêu cầu của sự phát triển của khoa học và công nghệ. GDPR yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này[8].

Chuyển đổi số trong ngành ngân hàng đã và đang diễn ra mạnh mẽ, với sự tăng trưởng nhanh chóng và đa dạng của các hình thức thanh toán không dùng tiền mặt[9]. Tuy nhiên, cùng với sự phát triển của các dịch vụ ngân hàng điện tử, ngành ngân hàng cũng phải đối mặt với những rủi ro, thách thức không nhỏ về an ninh, an toàn thông tin trước nguy cơ bị tấn công mạng, đặc biệt là tình trạng sử dụng công nghệ cao để lừa đảo, chiếm đoạt tiền và tài khoản ngân hàng của người dân có xu hướng gia tăng với nhiều thủ đoạn tinh vi, phức tạp. Điển hình như gần đây, ngày 10-15/9/2025, Trung tâm Thông tin tín dụng quốc gia (CIC) của Việt Nam được cho là đã bị một nhóm tin tặc quốc tế tấn công mạng[10], dẫn đến nguy cơ rò rỉ dữ liệu cá nhân của nhiều người dùng tại Việt Nam, với hơn 160 triệu bản ghi bị đánh cắp. Ngân hàng nhà nước đã cung cấp thông tin rằng, CIC không lưu giữ các thông tin nhạy cảm như số thẻ tín dụng hay mã bảo mật, các cơ quan chức năng vẫn cảnh báo người dân về nguy cơ lừa đảo gia tăng sau sự cố này.

Do đó, hiện nay vấn đề bảo vệ dữ liệu và quyền riêng tư được thể hiện trong nhiều văn bản pháp lý của Việt Nam. Hiến pháp năm 2013 đặt ra nguyên tắc cơ bản về quyền riêng tư và bảo vệ dữ liệu cá nhân của mỗi công dân tại Điều 21:“1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”.Quyền bảo vệ dữ liệu cá nhân còn được thể hiện tại các văn bản pháp lý khác như Bộ luật Dân sự năm 2015: “1. Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ; Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác” (Điều 38).

Luật Bảo vệ quyền lợi người tiêu dùng năm 2023 quy định: “ Người tiêu dùng được bảo đảm an toàn tính mạng, sức khoẻ, danh dự, nhân phẩm, uy tín, tài sản, bảo vệ thông tin, quyền, lợi ích hợp pháp khác khi tham gia giao dịch, sử dụng sản phẩm, hàng hóa, dịch vụ do tổ chức, cá nhân kinh doanh cung cấp” (khoản 1 Điều 4); Luật An toàn thông tin mạng năm 2015 cũng quy định: “Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng” (khoản 1 Điều 16). Quy định này cho thấy, bên cạnh quy định về quyền của người tiêu dùng khi tham gia các giao dịch thì pháp luật cũng đã quy định về trách nhiệm của mỗi cá nhân trong việc bảo vệ thông tin của chính mình.

Về bảo mật dữ liệu khách hàng trong dịch vụ ngân hàng điện tử, theo chỉ đạo của Chính phủ, Ngân hàng nhà nước có thẩm quyền hướng dẫn hoạt động ngân hàng điện tử về quản lý rủi ro, đồng thời có quyền yêu cầu bảo đảm an toàn và bảo mật trong hoạt động ngân hàng điện tử. Thống đốc Ngân hàng nhà nước đã ban hành nhiều văn bản cụ thể, góp phần hình thành khung pháp lý điều chỉnh hoạt động ngân hàng số.

Ngày 29/12/2016, Thống đốc Ngân hàng nhà nước đã ban hành Thông tư số 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet và Thông tư số 35/2018/ TT-NHNN ngày 24/12/2018 sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN. Theo đó, các TCTD phải thực hiện: triển khai phần mềm ứng dụng Internet Banking bảo đảm an toàn, bảo mật (Điều 7, 8);  thông tin cho khách hàng về điều kiện cần thiết về trang thiết bị khi sử dụng dịch vụ, bao gồm thiết bị di động để cài đặt phần mềm (khoản 1 Điều 17); các TCTD hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ Internet Banking cụ thể, không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Internet Banking, phần mềm tạo OTP (khoản 2 Điều 18).

Luật Các TCTD năm 2024 và các văn bản hướng dẫn liên quan quy định các TCTD, chi nhánh ngân hàng nước ngoài phải bảo đảm bí mật thông tin do khách hàng cung cấp, thông tin phát sinh trong quá trình khách hàng đề nghị hoặc được TCTD, chi nhánh ngân hàng nước ngoài cung ứng các nghiệp vụ ngân hàng, sản phẩm, dịch vụ trong hoạt động được phép (Điều 13, Điều 14, Điều 140). Điều này cho thấy, pháp luật Việt Nam đã thừa nhận việc bảo mật thông tin trước khi hình thành mối quan hệ giữa ngân hàng và khách hàng. Theo điểm b khoản 2 Điều 14 Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 của Chính phủ quy định về việc giữ bí mật, cung cấp thông tin khách hàng của TCTD, chi nhánh ngân hàng nước ngoài là bảo đảm an toàn, bí mật thông tin khách hàng trong quá trình cung cấp, quản lý, sử dụng, lưu trữ thông tin khách hàng và nghĩa vụ bảo mật thông tin khách hàng của TCTD không giới hạn về thời gian. Tại khoản 1 Điều 4 Nghị định số 117/2018/NĐ-CP quy định: thông tin khách hàng của TCTD, chi nhánh ngân hàng nước ngoài phải được giữ bí mật và chỉ được cung cấp theo quy định của Luật Các TCTD năm 2010 (sửa đổi, bổ sung năm 2017), nay được thay thế bởi Luật Các TCTD năm 2024.

Mặc dù Luật Ngân hàng nhà nước năm 2010 và Luật Các TCTD năm 2024 đã có quy định việc các TCTD có trách nhiệm cung cấp thông tin liên quan đến hoạt động kinh doanh cho Ngân hàng nhà nước và được Ngân hàng nhà nước cung cấp thông tin của khách hàng có quan hệ tín dụng với TCTD, chi nhánh ngân hàng nước ngoài (Điều 12 Luật Các TCTD năm 2024), nhưng các luật này đều không quy định cụ thể hoặc thống nhất về việc xử lý, quản trị dữ liệu (như việc thu thập, số hóa, bảo đảm chất lượng, lưu trữ dữ liệu…); chưa quy định về nền tảng phát triển, ứng dụng công nghệ cao trong xử lý dữ liệu. Ngoài ra, Nghị định số 117/2018/NĐ-CP hướng dẫn việc cung cấp thông tin liên quan đến khách hàng cho các cơ quan có thẩm quyền chưa đề cập rõ trường hợp quy định về việc chấp thuận - chia sẻ thông tin giữa khách hàng và TCTD..., nên còn khó khăn, thiếu đồng bộ, thống nhất trong việc sử dụng hiệu quả thông tin trong các cơ sở dữ liệu, phục vụ khách hàng.

Tiếp theo, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (Điều 9). Ngân hàng nhà nước cũng ban hành Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng như dịch vụ Internet Banking, Mobile Banking, thanh toán trực tuyến và các dịch vụ trung gian thanh toán khác. Đối tượng áp dụng của Thông tư số 50/2024/TT-NHNN bao gồm các TCTD, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng.

Nhìn chung, có thể thấy, các văn bản pháp lý tại Việt Nam hiện nay đã nhấn mạnh nghĩa vụ bảo mật các thông tin khách hàng khi khách hàng thực hiện các giao dịch trên ngân hàng điện tử (các giao dịch ngân hàng bằng hình thức trực tuyến thông qua Internet). Tuy nhiên, khung pháp lý trong bảo vệ dữ liệu và quyền riêng tư trong ngân hàng điện tử tại Việt Nam vẫn còn một số hạn chế sau:

Thứ nhất, sự thiếu đồng bộ trong hệ thống pháp luật.

Hiện chưa có quy định về chuẩn dữ liệu và chia sẻ dữ liệu giữa các TCTD, dẫn đến việc kết nối dữ liệu còn tự phát, thiếu tính an toàn. Sự phát triển công nghệ nhanh chóng khiến các quy định pháp lý bị chậm so với thực tiễn. Điều này khiến các ngân hàng e ngại trong việc triển khai sản phẩm số mới do lo ngại rủi ro pháp lý và thiếu hành lang pháp lý phù hợp.

Luật Bảo vệ dữ liệu cá nhân năm 2025 (có hiệu lực từ ngày 01/01/2026) đã bổ sung nhiều quy định cụ thể về chuyển giao dữ liệu cá nhân xuyên biên giới, đánh dấu bước tiến quan trọng trong việc hoàn thiện khung pháp lý quốc gia về bảo vệ dữ liệu. Luật đã bổ sung định nghĩa các khái niệm kỹ thuật, điển hình như khử nhận dạng; thiết lập cơ chế cốt lõi là Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới mà bên chuyển giao phải lập; quy định rõ các điều kiện, nguyên tắc, trách nhiệm của bên chuyển giao và bên tiếp nhận dữ liệu, cũng như thẩm quyền của cơ quan quản lý nhà nước trong việc thẩm định; cấp phép và kiểm tra hoạt động chuyển giao dữ liệu xuyên biên giới. Tuy nhiên, trong thực tiễn, tính khả thi và hiệu quả thi hành của các quy định này vẫn phụ thuộc vào việc ban hành các văn bản hướng dẫn chi tiết. Cụ thể, cần có quy định rõ hơn về tiêu chuẩn kỹ thuật đối với hoạt động ẩn danh, giả danh dữ liệu, quy trình thực hiện trên cả phương diện kỹ thuật và hành chính, cũng như cơ chế pháp lý minh bạch để quản lý việc khai thác giá trị kinh tế của dữ liệu cá nhân một cách hợp pháp. Ngoài ra, việc xác định chế tài xử lý vi phạm và hướng dẫn thi hành thống nhất cũng là điều kiện cần thiết để bảo đảm tính răn đe và hiệu quả trong thực thi pháp luật.

Mặc dù Luật Bảo vệ dữ liệu cá nhân năm 2025 đã được ban hành, việc thực thi và kiểm soát vi phạm vẫn đối mặt với ba thách thức lớn. Đầu tiên là khó khăn về phạm vi tài phán, do nhiều hành vi xâm phạm quyền riêng tư, đặc biệt trên mạng xã hội, thường xuất phát từ các tài khoản ẩn danh hoặc các thực thể đăng ký từ nước ngoài, gây cản trở nghiêm trọng cho quá trình truy vết và xử lý. Thách thức thứ hai liên quan đến tính răn đe của chế tài. Dù Luật Bảo vệ dữ liệu cá nhân năm 2025 đã tăng cường mức xử phạt hành chính (bao gồm 5% doanh thu năm liền kề cho một số vi phạm nghiêm trọng và 10 lần khoản thu bất chính cho hành vi mua bán dữ liệu), mức phạt này vẫn thấp hơn đáng kể so với các quy định quốc tế như GDPR (các vi phạm nghiêm trọng nhất là 20 triệu Euro hoặc 4% tổng doanh thu toàn cầu hàng năm của năm tài chính trước đó). Điều này làm giảm hiệu quả răn đe đối với các tập đoàn công nghệ lớn. Thứ ba, sự thiếu hụt các văn bản hướng dẫn chi tiết trong giai đoạn đầu thi hành Luật Bảo vệ dữ liệu cá nhân năm 2025 có thể gây khó khăn cho các cơ quan chức năng trong việc xác định chính xác hành vi vi phạm và áp dụng chế tài phù hợp với từng mức độ.

Chính phủ, các cơ quan quản lý (bao gồm cơ quan chuyên trách về bảo vệ dữ liệu cá nhân) và ngân hàng thương mại cần ưu tiên hoàn thiện hệ thống văn bản dưới luật, quy tắc nội bộ để hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân năm 2025; bảo đảm tính đồng bộ và thống nhất với các luật chuyên ngành khác (như Luật An ninh mạng, Luật An toàn thông tin mạng) nhằm loại bỏ sự chồng chéo và khoảng trống pháp lý trong kỷ nguyên số. Đồng thời, cần khẩn trương ban hành quy định chi tiết về các chế tài (hành chính và dân sự) được quy định trong Luật Bảo vệ dữ liệu cá nhân năm 2025, đặc biệt là phương pháp tính toán cụ thể mức phạt theo tỷ lệ doanh thu hoặc khoản thu bất chính đối với các tổ chức và doanh nghiệp vi phạm. Ngoài ra, cần xây dựng khung quy định chuyên biệt về quản lý dữ liệu giao dịch thanh toán xuyên biên giới, nhằm kiểm soát hiệu quả các rủi ro liên quan đến rửa tiền, trốn thuế và các loại tội phạm mạng khác.

Các ngân hàng cũng cần thiết lập chính sách bảo mật rõ ràng, quy định trách nhiệm của nhân viên đối với thông tin nhạy cảm, bảo vệ dữ liệu và quản lý rủi ro. Chính sách này phải được phổ biến trong toàn tổ chức để nâng cao nhận thức bảo mật. Ngoài ra, cần có quy trình phản ứng nhanh khi xảy ra sự cố bảo mật, bảo đảm đội ngũ chuyên trách sẵn sàng xử lý tình huống khẩn cấp. Kiểm tra, đánh giá bảo mật định kỳ là cần thiết để phát hiện lỗ hổng và điều chỉnh chính sách bảo mật kịp thời. Đồng thời, các ngân hàng cần tuân thủ các tiêu chuẩn quốc tế như ISO 27001 để bảo đảm tính hợp pháp và hiệu quả trong bảo vệ thông tin.

Ngân hàng nhà nước đóng vai trò quan trọng trong việc kiểm tra, đánh giá định kỳ bảo mật của các ngân hàng nhằm phát hiện lỗ hổng và yêu cầu khắc phục. Việc kiểm tra định kỳ giúp ngân hàng nâng cao khả năng phòng ngừa rủi ro, cập nhật biện pháp bảo mật phù hợp với các mối đe dọa mới và cải thiện kế hoạch ứng phó sự cố an ninh mạng.

Để thực hiện hiệu quả, Ngân hàng nhà nước cần: (i) Ban hành tiêu chuẩn bảo mật dành riêng cho các TCTD; (ii) Xây dựng hệ thống đánh giá rủi ro bảo mật định kỳ, thiết lập lịch trình định kỳ cho việc kiểm tra bảo mật; (iii) Mời chuyên gia thực hiện tấn công mô phỏng để xác định lỗ hổng bảo mật; (iv) Đánh giá mã nguồn ứng dụng ngân hàng để phát hiện điểm yếu; (v) Yêu cầu các ngân hàng cập nhật chính sách bảo mật, quy trình xử lý dữ liệu và quyền truy cập dữ liệu theo tiêu chuẩn mới; (vi) Đào tạo nhân viên về các quy trình bảo mật và nhận diện rủi ro bảo mật thông tin.

Kết quả thanh tra, kiểm tra của Ngân hàng nhà nước cần được phân tích, báo cáo chi tiết để xác định vấn đề tồn tại và biện pháp khắc phục. Dựa trên kết quả đánh giá này, các ngân hàng cần nâng cấp công nghệ, cải thiện chính sách bảo mật và đầu tư vào các giải pháp bảo mật hiện đại để bảo đảm an toàn hệ thống./.

 

---