Sáng 23/4, tại Hà Nội, Tạp chí Đầu tư Tài chính - VietnamFinance phối hợp cùng CTCP Đầu tư Thương mại và Phát triển Công nghệ FSI tổ chức Hội thảo: "An toàn dữ liệu tài chính: Lá chắn trong kỷ nguyên AI".
Tham dự hội thảo, luật sư Nguyễn Thị Sen, tới từ Công ty luật SBLAW, người nhiều năm tư vấn về lĩnh vực chuyển đổi số và bảo vệ dữ liệu đã có phần trả lời các câu hỏi đặt ra trong hội thảo.
Câu hỏi: Thưa Luật sư, khi xảy ra sự cố lộ lọt dữ liệu do lỗi của thuật toán AI, trách nhiệm pháp lý sẽ thuộc về ai? Việc bảo vệ quyền lợi người tiêu dùng tài chính đang gặp những rào cản pháp lý nào?
Trả lời: Trong ngành tài chính, bảo mật thông tin khách hàng không chỉ là cam kết dịch vụ mà là nghĩa vụ pháp định tối cao. Theo Điều 98 Luật Các tổ chức tín dụng 2024, ngân hàng có trách nhiệm tuyệt đối trong việc bảo đảm bí mật thông tin tài khoản và giao dịch.
Điều 27 Luật bảo vệ dữ liệu cá nhân năm 2025, cũng quy định về trách nhiệm của tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm sau đây: Thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động tài chính, ngân hàng theo quy định của pháp luật; Không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân; Chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của Luật này và các quy định khác của pháp luật có liên quan; Thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.
Tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng có trách nhiệm tuân thủ quy định của Luật này; áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng phục vụ đánh giá thông tin tín dụng.
Khoản 4 Điều 30 Luật bảo vệ dữ liệu cá nhân: Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp.
- Dưới góc độ pháp lý, hệ thống AI sử dụng, vận hành ngày càng phổ biển, thông qua các hoạt động AI được sử dụng rộng rãi trong các sản phẩm, dịch vụ ngân hàng và thanh toán, đặc biệt ở các khâu tiếp nhận khách hàng, hỗ trợ khách hàng và tự động hóa dịch vụ. Các ứng dụng hướng đến khách hàng bao gồm trợ lý ảo, Chatbot, cố vấn tự động, quyết định tín dụng và bảo hiểm, định giá và đề xuất tiếp thị sản phẩm.
Chúng ta cần làm rõ: Đơn vị nào sở hữu nền tảng AI tài chính, bên nào cung cấp về sản phẩm công nghệ để xác định tư cách chủ thể cũng như quyền và nghĩa vụ của các bên.
Do đó, khi xảy ra sự cố lộ lọt dữ liệu do lỗi thuật toán, ngân hàng, doanh nghiệp kinh doanh dịch vụ tài chính, công ty công nghệ tài chính không thể được miễn trừ trách nhiệm bằng lý do “lỗi công nghệ của bên thứ ba”. Theo Điều 25 Luật Bảo vệ DLCN 2025, ngân hàng với tư cách là Bên kiểm soát dữ liệu phải chịu trách nhiệm khách quan – tức là có nghĩa vụ bồi thường trực tiếp và toàn bộ cho khách hàng trước, sau đó mới thực hiện quyền truy đòi đối với nhà cung cấp công nghệ. Sự can thiệp của AI không làm thay đổi bản chất của trách nhiệm dân sự.
Câu hỏi: Việc bảo vệ quyền lợi người tiêu dùng tài chính đang gặp những rào cản pháp lý nào?
Trả lời: Chúng ta đang đối diện với hai thách thức song hành:
- Thách thức minh bạch: Việc luật hóa 'Quyền được giải thích' (Điều 25 Luật bảo vệ dữ liệu cá nhân năm 2025 buộc ngân hàng phải làm rõ logic của AI khi ra quyết định tài chính. Tuy nhiên, rào cản nằm ở điểm giao thoa giữa quyền được biết của người tiêu dùng và bí mật kinh doanh/an toàn hệ thống của ngân hàng.
- Lỗ hổng nhận thức: Hiện nay, nhiều người tiêu dùng vì tâm lý 'tiện lợi hóa' đã sẵn sàng bỏ qua các cảnh báo, tự cung cấp thông tin nhạy cảm cho các ứng dụng giả mạo. Theo Luật Bảo vệ quyền lợi người tiêu dùng 2023, tổ chức có nghĩa vụ cảnh báo, nhưng nếu rủi ro xuất phát từ sự thiếu hiểu biết và chủ quan của người dùng, việc xác định lỗi và trách nhiệm bồi thường trong các tranh chấp sẽ trở nên vô cùng phức tạp.
Luật bảo vệ dữ liệu cá nhân năm 2025 và Nghị định 356/2025/NĐ-CP cũng quy định cụ thể về việc cá nhân khi phát hiện hành vi vi phạm và có thiệt hại có quyền thực hiện thủ tục thông báo vi phạm tới Cục An ninh mạng A05 để được tiếp nhận và giải quyết.
Câu hỏi: Hiện nay, việc xử phạt trong lĩnh vực bảo vệ dữ liệu tại Việt Nam đang được quy định thế nào?
Trả lời: Quy định xử phạt về bảo vệ dữ liệu tại Việt Nam được quy định như sau:
Dữ liệu tài chính là tài sản quốc gia. Mọi hành vi bị nghiêm cấm như mua bán, trục lợi hoặc lạm dụng dữ liệu quy định tại Điều 8 Luật Dữ liệu cá nhân 2025 như sau:
- Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm;
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
-. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
- Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
Câu hỏi: Hiện nay nhiều ứng dụng tài chính yêu cầu quyền truy cập vào danh bạ, vị trí, thậm chí là cả ảnh cá nhân để 'phục vụ tốt hơn'. Dưới góc độ luật pháp, ranh giới giữa việc 'thu thập dữ liệu phục vụ dịch vụ' và 'xâm phạm đời tư' nằm ở đâu?
Trả lời: Theo quy định về nguyên tắc bảo vệ dữ liệu cá nhân tại Điều 3 Luật bảo vệ dữ liệu cá nhân năm 2025, theo đó:
Việc sử dụng dữ liệu cá nhân phải : (1) Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan; (2). Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật; (3) Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
Do đó để xác định ranh giới giữa dịch vụ và xâm phạm đời tư phải căn cứ vào mục đích của việc yêu cầu Khách hàng cung cấp dữ liệu, dữ liệu đó có được sử dụng vì mục đích để cung cấp dịch vụ hay không? Cần phải làm rõ về mục đích sử dụng, Khách hàng phải có quyền từ chối cung cấp dữ liệu không liên quan mà vẫn được đảm bảo các dịch vụ tài chính cốt lõi.
