Chậm nhất 72 giờ sau khi phát hiện bị lộ dữ liệu, ngân hàng phải báo cho khách hàng
Dự thảo Nghị định mới yêu cầu ngân hàng, tổ chức tín dụng tuân thủ nghiêm chuẩn quốc tế trong bảo vệ dữ liệu cá nhân.
Bộ Công an cho biết đang xây dựng và lấy ý kiến đóng góp dự thảo Nghị định quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân.
Trong đó, một nội dung mới tại Dự thảo là đưa ra khung pháp lý chặt chẽ hơn cho lĩnh vực tài chính, ngân hàng và thông tin tín dụng rất nhạy cảm.
Bộ Công an đề xuất chậm nhất 72 giờ sau khi phát hiện lộ hoặc mất thông tin liên quan đến tài khoản ngân hàng, tài chính, tín dụng, các tổ chức và cá nhân lưu trữ, khai thác dữ liệu bắt buộc phải thông báo cho “chủ dữ liệu cá nhân”.
Theo dự thảo, các tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, thông tin tín dụng phải có trách nhiệm bảo vệ dữ liệu cá nhân theo các tiêu chuẩn bảo vệ dữ liệu quốc tế, tiêu chuẩn bảo vệ dữ liệu cá nhân và tiêu chuẩn an ninh mạng của Việt Nam. Đồng thời, định kỳ hằng năm phải tiến hành đánh giá mức độ tuân thủ, cũng như ghi lại toàn bộ nhật ký hoạt động xử lý dữ liệu cá nhân.
Ngân hàng phải thông báo cho khách hàng chậm nhất sau 72 giờ phát hiện bị lộ dữ liệu. Ảnh minh họa
Khi xin sự đồng ý của chủ thể dữ liệu, bên kiểm soát hoặc bên vừa kiểm soát vừa xử lý dữ liệu phải nêu rõ:
- Mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm tín dụng, xếp hạng tín dụng, đánh giá thông tin tín dụng hoặc mức độ tín nhiệm (nếu có).
- Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan; thời gian lưu trữ dữ liệu cá nhân.
- Cơ chế, cách thức rút lại sự đồng ý, cùng chính sách xóa hoặc hủy dữ liệu theo quy định.
Dự thảo cũng phân loại dữ liệu cá nhân thành hai nhóm: Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản phản ánh yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong giao dịch, quan hệ xã hội, nhưng không nằm trong danh mục dữ liệu nhạy cảm.
Trong khi đó, dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư, khi bị xâm phạm có thể gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cơ quan, cá nhân, tổ chức. Nhóm này yêu cầu giới hạn truy cập, quy trình xử lý chặt chẽ và biện pháp bảo mật nghiêm ngặt.
Danh mục dữ liệu nhạy cảm bao gồm: Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc; Quan điểm về chính trị, tôn giáo, tín ngưỡng; Dữ liệu tiết lộ về đời tư; Tình trạng sức khỏe; Dữ liệu sinh trắc học, đặc điểm di truyền; Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Vị trí của cá nhân được xác định qua dịch vụ định vị; Danh tính điện tử của cá nhân.
Ngoài ra, các thông tin như tên đăng nhập, mật khẩu tài khoản, dữ liệu thẻ ngân hàng, lịch sử giao dịch tài chính, thông tin tài chính, tín dụng và các thông tin khác liên quan đến hoạt động giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác; Dữ liệu về hoạt động, lịch sử hoạt động của thuê bao viễn thông; Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng… đều được xếp vào nhóm dữ liệu cá nhân nhạy cảm.
