1
© Học viện Ngân hàng
ISSN 3030 - 4199
Tạp chí Kinh tế - Luật & Ngân hàng
Số 276- Năm thứ 27 (4)- Tháng 4. 2025
Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng –
Pháp luật một số quốc gia và kiến nghị hoàn thiện
pháp luật Việt Nam
Ngày nhận: 18/02/2025 Ngày nhận bản sửa: 17/03/2025 Ngày duyệt đăng: 16/04/2025
Tóm tắt: Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng đang trở thành một
vấn đề quan trọng trong bối cảnh số hóa gia tăng rủi ro an ninh mạng.
Nhiều quốc gia đã thiết lập các quy định pháp luật chặt chẽ nhằm bảo vệ
thông tin khách hàng, đảm bảo tính minh bạch và an toàn trong hoạt động tài
chính. Bằng phương pháp tổng hợp tài liệu phân tích thông tin pháp luật,
bài viết phân tích khung pháp bảo vệ dữ liệu nhân trong ngành Ngân
hàng tại Hoa Kỳ, Liên minh Châu Âu (EU) Nhật Bản, từ đó rút ra những
bài học kinh nghiệm cho Việt Nam. Trên cơ sở đó, bài viết đề xuất một số giải
pháp nhằm hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu nhân trong
lĩnh vực ngân hàng, bao gồm việc thống nhất và chuẩn hóa các khái niệm, rà
soát; điều chỉnh các văn bản pháp luật liên quan để đảm bảo sự đồng bộ
Protection of personal data in the banking sector- Legal frameworks of selected countries and
recommendations for improving Vietnamese law
Abstract: The protection of personal data in the banking sector has become a critical issue in the context
of digitalization and increasing cybersecurity risks. Many countries have established strict legal frameworks
to safeguard customer information, ensuring transparency and security in financial activities. Using a
synthesis of legal documents and an analytical approach, this paper examines the legal framework for
personal data protection in the banking sector in the United States, the European Union (EU), and Japan,
drawing relevant lessons for Vietnam. Based on this analysis, the paper proposes several solutions to
improve Vietnam’s legal framework for personal data protection in banking, including standardizing key
concepts, reviewing and harmonizing relevant legal documents to ensure consistency, and enhancing the
responsibilities of state regulatory agencies. Developing a comprehensive legal framework will not only
strengthen data security but also establish a solid foundation for the sustainable growth of the financial
and banking sector in Vietnam.
Keywords: Personal data protection, Personal information, Banking, Legal reform
Doi: 10.59276/JELB.2025.04.2887
Hoang, Trung Hieu
Email: hoangtrunghieu0407@gmail.com
Faculty of Law, Vietnam Youth Academy, Vietnam
Hoàng Trung Hiếu
Khoa Luật, Học viện Thanh thiếu niên Việt Nam
Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng –
Pháp luật một số quốc gia và kiến nghị hoàn thiện pháp luật Việt Nam
2Tạp chí Kinh tế - Luật & Ngân hàng- Số 276- Năm thứ 27 (4)- Tháng 4. 2025
nâng cao trách nhiệm của các quan quản nhà nước. Việc xây dựng một
khung pháp lý toàn diện không chỉ giúp nâng cao mức độ an toàn dữ liệu mà
còn góp phần tạo nền tảng vững chắc cho sự phát triển bền vững của ngành
tài chính- ngân hàng tại Việt Nam.
Từ khóa: Bảo vệ dữ liệu nhân, Thông tin nhân, Ngân hàng, Hoàn thiện
pháp luật
1. Giới thiệu
Hướng dẫn về Bảo vệ Quyền riêng
Luồng dữ liệu nhân xuyên biên giới năm
1980 của tổ chức Hợp tác Phát triển
Kinh tế (OECD) đã định nghĩa dữ liệu
nhân (DLCN) “bất kỳ thông tin nào liên
quan đến một nhân được xác định hoặc
thể được xác định (chủ thể dữ liệu)”
(OECD, 1981). Khái niệm OECD đưa ra
mang tính bao quát nhưng nhấn mạnh vào
yếu tố “liên quan đến nhân”, khái niệm
này phù hợp với nhiều lĩnh vực, bao gồm
ngân hàng- nơi thông tin nhân của khách
hàng yếu tố cùng quan trọng. Trong
đó, ngân hàng không chỉ nắm giữ các thông
tin định danh bản còn cả thông tin tài
chính nhạy cảm (số tài khoản, giao dịch,
lịch sử tín dụng, tổng tài sản,…) ngày
nay cả dữ liệu sinh trắc học (trong các
giao dịch yêu cầu xác thực). thể hiểu,
DLCN trong lĩnh vực ngân hàng các
thông tin dưới dạng hiệu, chữ viết, chữ
số, hình ảnh, âm thanh hoặc dạng tương tự
trên môi trường điện tử, gắn liền với một
khách hàng cụ thể hoặc giúp xác định một
khách hàng cụ thể của ngân hàng. Việc xác
định bảo vệ DLCN trong lĩnh vực ngân
hàng đóng vai trò quan trọng trong việc
đảm bảo quyền riêng tư của khách hàng
tuân thủ các quy định pháp luật về bảo vệ
DLCN.
Hơn thế nữa, ngành tài chính, ngân hàng
nằm trong nhóm thường bị tấn công, rỉ
dữ liệu (Bảo Đăng, 2021). Khảo sát Cost
of Breach của IBM năm 2021 đã đưa ra
chi phí trung bình cho mỗi vụ vi phạm dữ
liệu trong ngành ngân hàng lên tới 5,97
triệu USD vào năm 2021, cho thấy mức độ
nghiêm trọng của tình trạng xâm phạm
nhấn mạnh tầm quan trọng của việc bảo vệ
dữ liệu trong lĩnh vực ngân hàng. Trong
bối cảnh chuyển đổi số diễn ra mạnh mẽ,
việc hoàn thiện khung pháp về bảo vệ
DLCN không chỉ giúp ngân hàng vận hành
một cách minh bạch hơn mà còn góp phần
đảm bảo quyền lợi cá nhân của từng khách
hàng. Hiện nay, các vụ vi phạm bảo mật
ngày càng gia tăng, kéo theo những hình
thức lừa đảo tinh vi như giả mạo ngân hàng
(phishing), chiếm đoạt tài sản hoặc sử dụng
danh tính bị đánh cắp để vay tín dụng trái
phép. Khi DLCN rơi vào tay kẻ gian, chúng
thể thực hiện các giao dịch bất hợp pháp,
gây tổn thất tài chính nghiêm trọng cho nạn
nhân. Do đó, hệ thống pháp luật cần quy
định cụ thể về phạm vi sử dụng DLCN,
yêu cầu ngân hàng minh bạch trong việc
thu thập xử dữ liệu, đồng thời đảm
bảo sự chấp thuận rõ ràng từ khách hàng
trước khi thông tin nhân được sử dụng
cho bất kỳ mục đích nào ngoài giao dịch tài
chính cơ bản.
Nghiên cứu này nhằm phân tích kinh
nghiệm xây dựng pháp luật về bảo vệ
DLCN trong lĩnh vực ngân hàng tại Hoa
Kỳ, Liên minh Châu Âu (EU) và Nhật Bản,
đồng thời đánh giá thực trạng pháp luật Việt
Nam về vấn đề này. Trên cơ sở đó, nghiên
cứu đưa ra các kiến nghị nhằm hoàn thiện
HOÀNG TRUNG HIẾU
3
Số 276- Năm thứ 27 (4)- Tháng 4. 2025- Tạp chí Kinh tế - Luật & Ngân hàng
khung pháp lý về bảo vệ DLCN trong lĩnh
vực ngân hàng tại Việt Nam. Nghiên cứu
sử dụng phương pháp tổng hợp, phân tích,
so sánh đánh giá dựa trên các tài liệu
thứ cấp, bao gồm quy định pháp luật, báo
cáo nghiên cứu các tài liệu học thuật liên
quan. Cách tiếp cận này giúp tác giả xác
định những kinh nghiệm hiệu quả từ các
quốc gia tiên tiến, đồng thời rút ra bài học
cho Việt Nam trong bối cảnh chuyển đổi
số hội nhập quốc tế. Bài viết được chia
thành các phần chính như sau: Mục 2 đưa
ra cơ sở lý thuyết về bảo vệ DLCN; mục 3
sẽ trình bày kinh nghiệm pháp luật về bảo
vệ DLCN trong lĩnh vực ngân hàng của
một số quốc gia trên thế giới; mục 4 phân
tích quy định pháp luật về bảo vệ DLCN
trong lĩnh vực ngân hàng tại Việt Nam
những bài học kinh nghiệm; mục 5 đưa ra
kết luận đề xuất các khuyến nghị nhằm
hoàn thiện chính sách bảo vệ DLCN trong
lĩnh vực ngân hàng tại Việt Nam.
2. Cơ sở lý thuyết
Dưới góc độ ngôn ngữ học, thuật ngữ “dữ
liệu” đề cập đến những thông tin như văn
bản, số liệu, âm thanh, hình ảnh,... được
biểu diễn trong máy tính dưới dạng quy
ước, nhằm tạo sự dễ dàng cho việc lưu trữ,
xử (Nguyễn Như Ý, 1999). Trong khi
đó, thuật ngữ “cá nhân” chỉ một con người
riêng lẻ, phân biệt với tập thể hoặc hội.
Do đó, DLCN dưới góc độ ngôn ngữ thể
được hiểu mọi thông tin liên quan đến
một nhân, được hóa dưới dạng văn
bản, hình ảnh, âm thanh hoặc các tệp tin
kỹ thuật số khác. Cách tiếp cận này nhấn
mạnh vai trò của hình thức biểu diễn dữ
liệu trong việc xác định thông tin nào được
coi là DLCN.
Dưới góc độ kinh tế, DLCN không chỉ
thông tin còn một loại “tài sản số”
giá trị cao. Các tổ chức tài chính trong
bối cảnh kinh tế số sử dụng DLCN để
nhân hóa dịch vụ, phân tích hành vi người
tiêu dùng dự báo xu hướng tài chính.
Nghiên cứu của Schwartz Peifer (2017)
chỉ ra rằng trong nền kinh tế thông tin ngày
nay, phần lớn hoạt động thương mại dữ
liệu EU- Hoa Kỳ liên quan đến dữ liệu
nhân. Các công ty hàng đầu của Hoa Kỳ
phụ thuộc vào việc truy cập sử dụng
thông tin cá nhân của công dân EU để cung
cấp các dịch vụ dựa trên dữ liệu trên lục
địa. Các nhà cung cấp đám mây, cung cấp
quyền truy cập di động phi tập trung vào
sức mạnh điện toán trên toàn thế giới, cũng
truy cập sử dụng dữ liệu nhân của
công dân EU.
Dưới góc độ pháp lý, DLCN được hiểu
bất kỳ thông tin nào thể được thu thập
giúp nhận diện một nhân, trực tiếp
hay gián tiếp. Chủ thể dữ liệu là cá nhân
cuộc sống bị ảnh hưởng trực tiếp nhất bởi
các hoạt động thu thập thông tin. Không
phải mọi hoạt động thu thập thông tin đều
hại, nhưng một số loại thu thập nhất định
thể hại (Solove, 2006). Nhìn chung,
pháp luật về bảo vệ DLCN tập trung vào
việc quy định ràng quyền nghĩa vụ
của cá nhân cũng như các tổ chức thu thập,
xử dữ liệu, đồng thời thiết lập chế
giám sát xử vi phạm khi dữ liệu bị
lạm dụng. Trên cơ sở này, những quy định
cụ thể về bảo vệ DLCN trong lĩnh vực ngân
hàng của một số quốc gia sẽ được làm
trong phần tiếp theo của bài viết.
3. Pháp luật một số quốc gia về bảo vệ
dữ liệu nhân trong lĩnh vực ngân hàng
3.1. Bảo vệ dữ liệu nhân trong lĩnh vực
ngân hàng theo pháp luật Hoa Kỳ
Tại Hoa Kỳ, không một đạo luật chung
điều chỉnh toàn diện việc bảo vệ DLCN,
các quy định này được phân tán trong
Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng –
Pháp luật một số quốc gia và kiến nghị hoàn thiện pháp luật Việt Nam
4Tạp chí Kinh tế - Luật & Ngân hàng- Số 276- Năm thứ 27 (4)- Tháng 4. 2025
nhiều đạo luật tùy theo từng lĩnh vực. Việc
bảo vệ dữ liệu quyền về sự riêng
được dựa trên sự kết hợp giữa luật pháp,
quy định và tự điều chỉnh, thay vì chỉ có sự
can thiệp của nhà nước (Vũ Công Giao &
Trần Như Tuyên, 2020). Trong ngành
tài chính ngân hàng, đạo luật Gramm-
Leach-Bliley Act (GLBA) là văn bản quan
trọng nhất về bảo mật thông tin nhân
của khách hàng. Được ban hành năm 1999,
GLBA yêu cầu các tổ chức tài chính, bao
gồm ngân hàng, áp dụng các biện pháp
bảo mật để bảo vệ dữ liệu nhạy cảm của
khách hàng. Đạo luật này được đặt theo tên
ba nhà lập pháp bảo trợ: Thượng nghị
Phil Gramm, Đại biểu Jim Leach Đại
biểu Thomas Bliley. Thượng viện Hoa Kỳ
đã thông qua GLBA vào tháng 5/1999 với
tỷ lệ 54-44, trong khi Hạ viện phê duyệt
phiên bản riêng vào tháng 7/1999 với số
phiếu 343-86. Sau khi được sửa đổi, dự
luật được cả hai viện thông qua với tỷ lệ
90-8 tại Thượng viện và 362-57 tại Hạ viện
vào ngày 4/11/1999, trước khi Tổng thống
Bill Clinton ban hành vào ngày 12/11
cùng năm. GLBA ra đời trong bối cảnh
chính phủ Hoa Kỳ đẩy mạnh quản doanh
nghiệp vào cuối thập niên 1990, cùng với
các đạo luật quan trọng khác như HIPAA
(1996) Sarbanes-Oxley (2002). Mục
tiêu của GLBA đảm bảo các tổ chức tài
chính chi nhánh của họ bảo vệ tính bảo
mật của thông tin nhận dạng nhân, bất
kể dữ liệu này được lưu trữ dưới dạng giấy
tờ, điện tử hay các hình thức khác.
GLBA yêu cầu các tổ chức tài chính phải
minh bạch trong chính sách bảo mật, bao
gồm việc thu thập, sử dụng chia sẻ
thông tin cá nhân. Khách hàng có quyền từ
chối (opt-out) đối với một số hình thức chia
sẻ dữ liệu. Luật này đặt ra các tiêu chuẩn
nghiêm ngặt về bảo mật thông tin, buộc
các tổ chức tài chính phải bảo vệ dữ liệu
nhạy cảm của khách hàng khỏi truy cập
trái phép. Để tuân thủ GLBA, các công ty
phải thiết lập chính sách quyền riêng tư chi
tiết, nêu cách họ thu thập, sử dụng, chia
sẻ lưu trữ thông tin khách hàng. Người
tiêu dùng quyền quyết định dữ liệu nào
thể được tiết lộ hoặc giữ lại để sử dụng
trong tương lai. Ngoài ra, GLBA yêu cầu
các tổ chức tài chính đánh giá định kỳ hệ
thống bảo mật để đảm bảo tuân thủ các tiêu
chuẩn an toàn thông tin và duy trì hiệu quả
bảo vệ dữ liệu.
Đạo luật về báo cáo tín dụng công bằng (the
Fair Credit Reporting Act- FCRA) được
thông qua vào năm 1970 để giải quyết vấn
đề công bằng, chính xác quyền riêng
của thông tin nhân có trong hồ sơ của các
cơ quan báo cáo tín dụng (Credit Reporting
Agencies- CRAs). Đạo luật giới hạn việc sử
dụng thông tin liên quan đến các khoản tín
dụng nhân, năng lực tín dụng, uy tín tín
dụng, đặc điểm nhân thân nhằm đánh giá
khả năng tài chính, các chi phí sinh hoạt
quyết định khả năng tín dụng, tình trạng việc
làm, các khoản bảo hiểm đang nắm giữ. Đạo
luật cũng cấm việc thu thập các thông tin
trái phép như số thẻ tín dụng, hóa đơn tiêu
dùng. Đạo luật cũng điều chỉnh về thông
tin sẽ được hủy trong trường hợp nhất định,
quy định thêm về việc sử dụng thông tin này
cho mục đích thúc đẩy bán hàng, marketing
(gọi điện, gửi email, gửi tin nhắn…). Cuối
cùng, đạo luật quy định về nghĩa vụ của các
tổ chức tài chính, tổ chức tín dụng khi gặp
tình huống bị lấy cắp giữ liệu, lấy cắp thông
tin tài khoản ngân hàng (Lê Xuân Tùng &
Đào Minh, 2020). Ủy ban Thương mại
Liên bang (FTC) Cục Bảo vệ Tài chính
Người tiêu dùng (CFPB) là hai cơ quan liên
bang chịu trách nhiệm giám sát thực thi
các điều khoản của Luật. FCRA cũng có thể
tìm thấy trong Bộ luật Hoa Kỳ, Tiêu đề 15,
Mục 1681. FCRA xác định rõ: (1) người
tiêu dùng là cá nhân, (2) bên cung cấp thông
tin là những thực thể gửi thông tin tới CRA
HOÀNG TRUNG HIẾU
5
Số 276- Năm thứ 27 (4)- Tháng 4. 2025- Tạp chí Kinh tế - Luật & Ngân hàng
về khả năng tín dụng trong quá trình kinh
doanh thông thường, (3) người sử dụng báo
cáo tín dụng những tổ chức yêu cầu báo
cáo để đánh giá người tiêu dùng (FCRA,
1970). Theo Đạo luật Báo cáo Tín dụng
Công bằng (FCRA), người tiêu dùng
quyền xác minh tính chính xác của báo cáo
khi cần thiết cho mục đích tuyển dụng, nhận
thông báo nếu thông tin trong hồ bị sử
dụng bất lợi khi đăng ký tín dụng hoặc thực
hiện giao dịch khác, tranh chấp yêu cầu
quan tín dụng chỉnh sửa dữ liệu không
chính xác hoặc chưa đầy đủ, cũng như yêu
cầu xóa bỏ thông tin lỗi thời, tiêu cực sau
bảy năm (hoặc 10 năm đối với một số trường
hợp phá sản). Nếu quan tín dụng không
giải quyết thỏa đáng yêu cầu của người tiêu
dùng, họ có thể khiếu nại lên Cục Bảo vệ tài
chính người tiêu dùng (CFPB). Mỗi vi phạm
thể bị phạt từ 100 đến 1.000 đô la, đồng
thời, nếu gây thiệt hại, người vi phạm có thể
phải bồi thường thiệt hại thực tế, thiệt hại
trừng phạt chi phí luật sư. Ngoài ra, các
cáo buộc hình sự có thể được áp dụng nếu ai
đó cố ý sử dụng gian dối để lấy thông tin từ
cơ quan báo cáo tín dụng.
3.2. Bảo vệ dữ liệu nhân trong lĩnh vực
ngân hàng theo pháp luật các quốc gia
Liên minh Châu Âu (EU)
Tại Liên minh Châu Âu, Quy định chung
về bảo vệ dữ liệu (GDPR) thiết lập một
khung pháp lý thống nhất về bảo vệ DLCN
trên toàn khu vực. Theo đó, bất kỳ tổ chức
nào, bao gồm ngân hàng, nếu thu thập xử
dữ liệu của công dân EU đều phải tuân
thủ các tiêu chuẩn bảo mật nghiêm ngặt.
GDPR yêu cầu DLCN chỉ được thu thập
khi sở pháp sự đồng ý ràng
của chủ thể dữ liệu, áp dụng cho cả thông
tin tài chính, địa chỉ, nhân khẩu học dữ
liệu trực tuyến như địa chỉ IP. Một trong
những điểm nổi bật của GDPR quyền
của chủ thể dữ liệu, bao gồm quyền yêu
cầu xóa thông tin nhân không còn cần
thiết (“quyền được lãng quên”), quyền truy
cập để biết dữ liệu nào đang được thu thập
và xử lý, cũng như quyền phản đối việc xử
lý dữ liệu trong một số trường hợp. GDPR
được đánh giá là một bước tiến pháp lí lớn,
tạo ra cơ chế bảo vệ thông tin cá nhân khắt
khe nhất thế giới hiện nay và được áp dụng
cho mọi tổ chức, doanh nghiệp đang xử
DLCN của các công dân trong EU (Trần
Thị Việt Hà, 2024). Theo quy định tại
Khoản 5, Điều 83 về Điều kiện chung để
áp dụng xử phạt hành chính, mức phạt đối
với vi phạm GDPR rất nghiêm khắc, lên
đến 20 triệu euro hoặc 4% tổng doanh thu
toàn cầu, tùy theo mức nào cao hơn, khiến
quy định này trở thành hình mẫu cho nhiều
quốc gia khác (General Data Protection
Regulation (GDPR), 2018).
Bên cạnh đó, Chỉ thị về Dịch vụ thanh toán 2
(PSD2) được ban hành vào năm 2018 nhằm
hiện đại hóa khuôn khổ pháp cho các dịch
vụ thanh toán trong EU. PSD2 yêu cầu các
ngân hàng cung cấp quyền truy cập vào tài
khoản khách hàng cho bên thứ ba thông qua
API mở, với điều kiện được khách hàng cho
phép. Đây bước đột phá trong ngân hàng
mở, tạo điều kiện cho các công ty Fintech
phát triển các dịch vụ tài chính sáng tạo
không cần trở thành ngân hàng truyền
thống. PSD2 cũng đặt ra các tiêu chuẩn bảo
mật nghiêm ngặt, bao gồm xác thực khách
hàng mạnh (SCA), yêu cầu ít nhất hai trong
ba yếu tố xác thực gồm thứ người dùng biết
(mật khẩu), thứ người dùng (thiết bị di
động), thứ người dùng (dấu vân tay,
nhận diện khuôn mặt). PSD2 mối quan
hệ chặt chẽ với GDPR trong việc bảo vệ
quyền riêng tư và dữ liệu nhân trong các
giao dịch tài chính điện tử. Các ngân hàng
tổ chức tài chính phải đầu mạnh vào
công nghệ để đảm bảo bảo mật dữ liệu, phát
triển API an toàn, giám sát giao dịch theo