 |
| Ngân hàng phải thông báo cho khách hàng chậm nhất sau 72 giờ phát hiện bị lộ dữ liệu. |
Theo nội dung dự thảo, các ngân hàng, tổ chức tín dụng và các đơn vị lưu trữ, khai thác dữ liệu tài chính, tín dụng nhạy cảm sẽ phải thông báo kịp thời cho chủ dữ liệu cá nhân trong vòng 72 giờ sau khi phát hiện trường hợp mất mát hay rò rỉ dữ liệu liên quan đến tài khoản ngân hàng, thông tin tín dụng hoặc tài chính.
Ngoài việc tuân thủ các tiêu chuẩn bảo vệ dữ liệu quốc tế, tiêu chuẩn an ninh mạng của Việt Nam, các đơn vị này cũng phải thực hiện đánh giá tuân thủ pháp luật hàng năm và ghi lại toàn bộ nhật ký xử lý dữ liệu cá nhân.
Dự thảo yêu cầu khi thu thập dữ liệu, tổ chức phải minh bạch rõ ràng về mục đích sử dụng, bao gồm hoạt động chấm điểm tín dụng, xếp hạng và đánh giá mức tín nhiệm, nguồn thu thập, các bên được chia sẻ dữ liệu và thời gian lưu trữ. Đồng thời, cơ chế rút lại sự đồng ý và chính sách xóa, hủy dữ liệu cũng phải được công khai.
Về phạm vi dữ liệu, dự thảo phân loại dữ liệu cá nhân thành hai nhóm: dữ liệu cơ bản và dữ liệu nhạy cảm.
Dữ liệu cá nhân cơ bản phản ánh yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong giao dịch, quan hệ xã hội, nhưng không nằm trong danh mục dữ liệu nhạy cảm.
Trong khi đó, nhóm dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư, khi bị xâm phạm có thể gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cơ quan, cá nhân, tổ chức. Nhóm này yêu cầu giới hạn truy cập, quy trình xử lý chặt chẽ và biện pháp bảo mật nghiêm ngặt.
Danh mục dữ liệu nhạy cảm bao gồm: Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc; Quan điểm về chính trị, tôn giáo, tín ngưỡng; Dữ liệu tiết lộ về đời tư; Tình trạng sức khỏe; Dữ liệu sinh trắc học, đặc điểm di truyền; Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Vị trí của cá nhân được xác định qua dịch vụ định vị; Danh tính điện tử của cá nhân.
Ngoài ra, các thông tin như tên đăng nhập, mật khẩu tài khoản, dữ liệu thẻ ngân hàng, lịch sử giao dịch tài chính, thông tin tài chính, tín dụng và các thông tin khác liên quan đến hoạt động giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác; Dữ liệu về hoạt động, lịch sử hoạt động của thuê bao viễn thông; Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng… đều được xếp vào nhóm dữ liệu cá nhân nhạy cảm.
Khôi Nguyên
Bình luận