Đoàn khảo sát của Ủy ban Quốc phòng, An ninh và Đối ngoại làm việc với Ngân hàng Đầu tư và Phát triển Việt Nam
Sáng 17/7, Đoàn khảo sát của Ủy ban Quốc phòng, An ninh và Đối ngoại do Phó Chủ nhiệm Ủy ban, Trung tướng Nguyễn Minh Đức làm Trưởng đoàn, làm việc với Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) nhằm phục vụ thẩm tra, phối hợp tiếp thu, chỉnh lý dự án Luật An ninh dữ liệu và dự án Luật Định danh và xác thực điện tử.
Theo Báo cáo của BIDV, là ngân hàng thương mại cổ phần lâu đời nhất và hiện có tổng tài sản lớn nhất cả nước, BIDV hiện đang quản lý 26,1 triệu khách hàng. Ngân hàng đã quan tâm xây dựng đầy đủ các quy định, chính sách pháp lý nội bộ về bảo vệ dữ liệu; đồng thời, đã hoàn thành thu thập sự đồng ý của khách hàng và cập nhật hồ sơ đánh giá rủi ro theo Luật Bảo vệ dữ liệu cá nhân.
.jpg)
Ngân hàng cũng đã triển khai truyền thông, đào tạo và tổ chức các cuộc thi nâng cao nhận thức an toàn thông tin cho cán bộ; chỉ định Giám đốc An toàn thông tin (CISO) và bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân. Đặc biệt, bảo đảm tuân thủ yêu cầu dành tối thiểu 15% tổng kinh phí các dự án chuyển đổi số cho công tác an toàn bảo mật.
Về chuẩn hóa cơ sở hạ tầng, Ngân hàng đạt chứng chỉ PCI DSS và tuân thủ các tiêu chuẩn quốc tế. Triển khai nhiều lớp bảo mật (mạng, ứng dụng, kiểm soát truy cập). Dữ liệu quan trọng được mã hóa tại cơ sở dữ liệu (Data At Rest) theo tiêu chuẩn quốc tế. Hệ thống từ cấp độ 3 trở lên đều được đánh giá an toàn bảo mật định kỳ hằng năm.
Góp ý đối với dự án Luật An ninh dữ liệu, đại diện BIDV cho rằng, phạm vi điều chỉnh của dự thảo Luật còn có nhiều điểm giao thoa với Luật An ninh mạng và Luật Dữ liệu. BIDV đề nghịxác định rõ phạm vi điều chỉnh của dự thảo Luật theo hướng chỉ tập trung vào các vấn đề đặc thù về an ninh dữ liệu chưa được quy định trong các luật hiện hành; bổ sung nguyên tắc ưu tiên áp dụng pháp luật chuyên ngành đối với những lĩnh vực đã có quy định riêng, nhất là lĩnh vực ngân hàng, tài chính.
.jpg)
Theo đại diện BIDV, nhiều quy định trong dự thảo Luật đặt ra các nghĩa vụ mới như phân loại dữ liệu, đánh giá rủi ro, xây dựng phương án dự phòng, mua bảo hiểm rủi ro an ninh dữ liệu và thực hiện nhiều thủ tục quản lý khác nhau.
BIDV đề nghị rà soát toàn diện các nghĩa vụ đối với tổ chức, doanh nghiệp nói chung và tổ chức tín dụng nói riêng theo hướng đơn giản hóa thủ tục, hạn chế trùng lặp với các quy định hiện hành; đánh giá kỹ tính khả thi của các nghĩa vụ mới trên thực tiễn, trong đó, cần khuyến khích doanh nghiệp quản lý dữ liệu cấp 3, cấp 4 mua bảo hiểm rủi ro an ninh dữ liệu thay vì bắt buộc thực hiện như phương án trong dự thảo Luật.
Về xử lý vi phạm và chế tài cưỡng chế pháp lý, đại diện BIDV đề nghị quy định mức phạt gắn với mức tổn thất, thiệt hại thực tế và điều chỉnh thành mức phạt "tối đa 5% tổng doanh thu" thay vì quy định từ "1% đến 5% tổng doanh thu" như dự thảo Luật, bởi mức phạt khởi điểm 1% tổng doanh thu có thể cao hơn rất nhiều so với thiệt hại phát sinh.
.jpg)
Đối với dự án Luật Định danh và xác thực điện tử, BIDV đề nghị tiếp tục nghiên cứu, làm rõ vai trò của các tổ chức tín dụng trong việc cung cấp dịch vụ định danh và xác thực điện tử cho khách hàng; không đưa mã giao dịch ngân hàng vào phạm vi điều chỉnh của dự thảo Luật nhằm tránh phát sinh cơ chế quản lý song song, làm tăng chi phí triển khai và ảnh hưởng đến tính ổn định của hệ thống thanh toán.
Ngân hàng cũng kiến nghị bổ sung nguyên tắc bảo đảm cơ chế giám sát, kiểm tra độc lập đối với hoạt động kết nối, chia sẻ, lưu trữ, khai thác và truy vết dữ liệu nhằm phòng ngừa việc lạm dụng quyền truy cập, rò rỉ dữ liệu hoặc sử dụng dữ liệu sai mục đích.
Cùng với đó, tiếp tục rà soát quy định về thời gian lưu trữ danh tính điện tử và dữ liệu danh tính sau khi chấm dứt hiệu lực, bảo đảm thống nhất với Luật Bảo vệ dữ liệu cá nhân, đặc biệt đối với nguyên tắc chỉ lưu trữ dữ liệu trong thời gian phù hợp với mục đích xử lý và bảo đảm quyền của chủ thể dữ liệu.
.jpg)
Theo đại diện BIDV, cần đánh giá đầy đủ ưu điểm, hạn chế của các mô hình định danh số đang được áp dụng trên thế giới, gồm mô hình tập trung, mô hình liên hiệp và mô hình phân tán; từ đó làm rõ cơ sở lựa chọn mô hình được quy định trong dự thảo Luật, bảo đảm tính minh bạch và tạo cơ sở cho việc mở rộng trong tương lai.
Đoàn khảo sát đánh giá cao kết quả triển khai các quy định về bảo đảm an ninh dữ liệu, định danh và xác thực điện tử của BIDV; đề nghị ngân hàng tiếp tục xây dựng khung hệ thống thủ tục, quy trình để tuân thủ các luật hiện hành cũng như hai dự án Luật; làm rõ các nội dung liên quan đến trách nhiệm mua bảo hiểm an ninh dữ liệu, lưu trữ dữ liệu trực tuyến, bảo vệ dữ liệu và quyền riêng tư của cá nhân trên môi trường số…
Phát biểu kết luận cuộc làm việc, Phó Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Nguyễn Minh Đức đánh giá cao việc thực thi pháp luật trong lĩnh vực an ninh dữ liệu, định danh và xác thực điện tử của BIDV; khẳng định các thông tin ngân hàng cung cấp là nguồn tư liệu tham khảo thiết thực phục vụ công tác thẩm tra, phối hợp tiếp thu, chỉnh lý dự án Luật An ninh dữ liệu và dự án Luật Định danh, xác thực điện tử.

Phó Chủ nhiệm Ủy ban Nguyễn Minh Đức cũng đề nghị ngân hàng tiếp tục rà soát, nghiên cứu, tổng hợp những khó khăn trong việc dán nhãn thông tin và kiểm soát luồng dữ liệu tài chính của các tập đoàn, doanh nghiệp lớn theo 5 cấp độ của luật an ninh mạng. Đặc biệt, cung cấp con số ước tính cụ thể (bằng tiền mặt, ví dụ hàng nghìn tỷ đồng) về chi phí đầu tư mở rộng hạ tầng (Big Data, Cloud) để cơ quan làm luật có cơ sở điều chỉnh nhằm tối ưu chi phí tuân thủ khi xây dựng, ban hành hai luật này. Qua đó, đóng góp căn cứ thực tế quan trọng cho Quốc hội trong quá trình xem xét, chỉnh lý các dự thảo Luật vừa bảo đảm quản lý nhà nước, vừa bảo vệ quyền lợi chính đáng và tiết kiệm chi phí cho các doanh nghiệp.

