Từ 1/1/2026, ngân hàng chỉ được chấm điểm, xếp hạng tín dụng khi có sự đồng ý của khách hàng
Từ năm sau, ngân hàng sẽ không được chấm điểm, xếp hạng tín dụng, đánh giá mức độ tín nhiệm khi chưa có sự đồng ý của khách hàng (với tư cách là chủ thể dữ liệu).
Chỉ một ngày nữa, Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, trong bối cảnh vấn đề dữ liệu đang trở thành tâm điểm chú ý của xã hội sau hàng loạt vụ việc liên quan đến thu thập, sử dụng thông tin người dùng, gần đây nhất là những tranh luận xoay quanh các điều khoản mới của Zalo. Nếu với mạng xã hội, câu chuyện dữ liệu gắn với quyền riêng tư cá nhân, thì trong lĩnh vực tài chính - ngân hàng, đây còn là vấn đề sống còn, bởi dữ liệu khách hàng chính là “tài sản nhạy cảm” bậc nhất của hệ thống.
Luật Bảo vệ dữ liệu cá nhân quy định chi tiết trách nhiệm của các tổ chức tài chính, ngân hàng trong việc bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu cá nhân nhạy cảm như thông tin tài khoản, tài chính, tín dụng.
Theo đó, các ngân hàng phải tuân thủ đầy đủ các tiêu chuẩn an toàn, bảo mật trong toàn bộ quá trình thu thập, lưu trữ, xử lý và cung cấp dữ liệu khách hàng, đồng thời chỉ được thu thập những thông tin thực sự cần thiết cho hoạt động nghiệp vụ, từ các nguồn phù hợp với quy định pháp luật.
Đáng chú ý, luật siết chặt việc sử dụng thông tin tín dụng của khách hàng. Các tổ chức tài chính, ngân hàng không được chấm điểm, xếp hạng tín dụng, đánh giá mức độ tín nhiệm khi chưa có sự đồng ý của khách hàng (với tư cách là chủ thể dữ liệu).
Đây là điểm thay đổi quan trọng, buộc các ngân hàng phải rà soát lại toàn bộ quy trình xử lý dữ liệu. Các tổ chức, ngân hàng chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của luật này và các quy định khác của pháp luật có liên quan.
Luật cũng đặt ra nghĩa vụ rất rõ ràng trong trường hợp xảy ra rủi ro. Khi dữ liệu tài khoản, tài chính hoặc thông tin tín dụng của khách hàng bị lộ, mất hoặc bị xâm phạm, ngân hàng phải thông báo cho chủ thể dữ liệu, đồng thời áp dụng các biện pháp ngăn chặn truy cập, sử dụng, chỉnh sửa trái phép và có phương án khôi phục dữ liệu. Điều này cho thấy yêu cầu không chỉ dừng ở “phòng ngừa”, mà còn ở năng lực ứng phó và minh bạch khi sự cố xảy ra.
Không chỉ ngân hàng, Luật Bảo vệ dữ liệu cá nhân còn mở rộng sang nhiều lĩnh vực khác như bảo hiểm, y tế, quảng cáo, dịch vụ số. Với dữ liệu sức khỏe và dữ liệu trong hoạt động kinh doanh bảo hiểm, việc thu thập và xử lý bắt buộc phải có sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp đặc biệt do luật quy định. Việc chia sẻ dữ liệu cho bên thứ ba, kể cả trong nội bộ các tập đoàn hay với đối tác tái bảo hiểm, đều phải được nêu rõ và minh bạch trong hợp đồng với khách hàng.
Một trong những điểm mới mang tính “bước ngoặt” của luật là lần đầu tiên người dân được trao quyền yêu cầu xóa dữ liệu cá nhân của mình. Từ ngày 1/1/2026, nếu dữ liệu không còn cần thiết cho mục đích thu thập ban đầu hoặc khi người dùng rút lại sự đồng ý, cá nhân có quyền yêu cầu tổ chức, doanh nghiệp xóa dữ liệu. Khi đó, việc xóa dữ liệu không còn là “thiện chí” của doanh nghiệp, mà trở thành nghĩa vụ pháp lý của bên kiểm soát và xử lý dữ liệu, trừ những trường hợp luật cho phép tiếp tục lưu trữ.
Những lo ngại về dữ liệu không phải không có cơ sở, nhất là khi thực tế thời gian qua cho thấy tình trạng mua bán dữ liệu cá nhân diễn ra khá tràn lan, trở thành nguồn gốc của hàng loạt vụ lừa đảo. Các dữ liệu bị rò rỉ thường rất chi tiết, từ thông tin định danh, số điện thoại, địa chỉ cho đến số tài khoản ngân hàng, số dư, thậm chí cả thông tin thân nhân. Chính từ những dữ liệu này, các đối tượng lừa đảo đã dựng lên nhiều kịch bản tinh vi, gây thiệt hại nghiêm trọng cho người dân.
Theo các chuyên gia, Luật Bảo vệ dữ liệu cá nhân dù chưa thể chấm dứt ngay tình trạng lừa đảo trực tuyến, nhưng sẽ tạo ra khung pháp lý mạnh hơn để từng bước siết chặt kỷ cương. Trong trường hợp bị tấn công hoặc để xảy ra rò rỉ dữ liệu, doanh nghiệp phải thông báo cho cơ quan chức năng, nếu không sẽ đối mặt với các chế tài nghiêm khắc.
Luật cũng quy định rõ các hành vi bị nghiêm cấm như mua bán dữ liệu cá nhân, sử dụng dữ liệu của người khác để thực hiện hành vi trái pháp luật, cùng với mức xử phạt rất nặng, có thể lên tới hàng tỉ đồng hoặc tính theo doanh thu, thậm chí xử lý hình sự trong những trường hợp nghiêm trọng.
Với hệ thống ngân hàng, nơi niềm tin của khách hàng là yếu tố cốt lõi, Luật Bảo vệ dữ liệu cá nhân không chỉ là một yêu cầu tuân thủ pháp lý, mà còn là “bài kiểm tra” về năng lực quản trị rủi ro và trách nhiệm xã hội. Trước thời điểm luật có hiệu lực và trong bối cảnh dữ liệu đang trở thành vấn đề nóng, việc bảo vệ dữ liệu cá nhân của khách hàng đã là yêu cầu bắt buộc để giữ vững niềm tin và sự an toàn của cả hệ thống tài chính.
Phạt tối đa 3 tỷ đồng đối với các hành vi vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân 2025 quy định: Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng. Cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
