Pháp luật về định danh khách hàng điện tử ở Việt Nam

Trong bối cảnh số hóa kinh tế-xã hội, tội phạm công nghệ ngày càng tinh vi đang đe dọa ngành ngân hàng – lĩnh vực nắm giữ dữ liệu và nguồn lực tài chính khổng lồ của quốc gia. Nếu bị xâm nhập, hậu quả và tổn thất sẽ vô cùng nghiêm trọng.

Việc cải cách pháp lý và hoàn thiện cơ chế định danh khách hàng điện tử trong hoạt động tài khoản thanh toán trở thành nhiệm vụ cấp thiết. Điều này không chỉ giúp ngân hàng tận dụng xu hướng hiện đại hóa thị trường mà còn phòng ngừa nguy cơ xâm nhập dữ liệu, đảm bảo an toàn thông tin khách hàng.

Trong bài viết này, FPT.AI sẽ cung cấp góc nhìn tổng quan về pháp luật eKYC trong lĩnh vực ngân hàng. Cùng khám phá nhé!

Định danh khách hàng điện tử trong thanh toán ngân hàng là gì?

Định danh khách hàng điện tử (electronic Know Your Customer – eKYC) là quá trình thiết lập mối quan hệ và xác minh danh tính của khách hàng thông qua phương tiện điện tử (điện thoại, máy tính bảng,…) mà không cần gặp mặt trực tiếp. Công nghệ này sử dụng các phương pháp để đọc dữ liệu và trích xuất thông tin cá nhân

• Thu thập đặc điểm sinh trắc học từ xa
• So sánh với nguồn dữ liệu cơ sở (giấy tờ tùy thân, cơ sở dữ liệu dân cư,…)
• Sử dụng video call, công nghệ AI xác thực khuôn mặt
• Nhận diện ký tự quang học (OCR)
• Đối chiếu thông tin sinh trắc học

Về tổng thể, định danh khách hàng điện tử trong thanh toán ngân hàng mang lại hiệu quả đáng kể trong việc thu thập và quản lý dữ liệu khách hàng, bao gồm cả thông tin cá nhân và dữ liệu liên quan đến việc mở và sử dụng tài khoản. Khi phát sinh gian lận thông tin hoặc giao dịch đáng ngờ, hệ thống cho phép ngân hàng và cơ quan chức năng truy xuất dữ liệu một cách nhanh chóng, an toàn và chính xác.

Tính năng này cũng phát huy hiệu quả trong việc phòng chống tội phạm tài chính, khi có hành vi lạm dụng thông tin tài khoản nhằm thu lợi bất chính hoặc thực hiện các hoạt động bất hợp pháp, ngân hàng có thể nhanh chóng truy nguyên đến cá nhân hoặc các bên liên quan đến giao dịch đáng ngờ.

>>> XEM THÊM: Công nghệ nhận diện khuôn mặt là gì? Cách hoạt động, ứng dụng

Định danh khách hàng điện tử đang được quy định như thế nào tại các quốc gia trên thế giới?

Pháp luật về định danh khách hàng trực tuyến tại Liên Minh Châu Âu (EU)

Tại Liên minh châu Âu (EU), khung pháp lý về định danh khách hàng điện tử (eKYC) được thiết lập một cách toàn diện dựa trên bốn trụ cột chính: Quy định 910/2014 về nhận dạng điện tử (eIDAS), Quy định 2016/679 về bảo vệ dữ liệu chung (GDPR), Chỉ thị 2018/1673 về chống rửa tiền (AMLD) và Chỉ thị 2015/2366 về Dịch vụ thanh toán (PSD2).

GDPR áp dụng cho mọi đơn vị xử lý dữ liệu cá nhân của công dân EU bất kể đặt trụ sở ở đâu, trong khi eIDAS đảm bảo tính tương thích xuyên biên giới của các hệ thống định danh điện tử. PSD2 mở rộng đối tượng áp dụng eKYC trong thanh toán và đặt ra ngưỡng 150 EUR cho mỗi giao dịch không cần xác thực mạnh (SCA), đồng thời giới hạn tổng giá trị giao dịch liên tiếp không vượt quá 500 EUR mà không yêu cầu xác thực bổ sung.

EU cũng chú trọng đến việc ứng dụng công nghệ trong xác minh danh tính khách hàng, với Điều 22 GDPR quy định về việc xử lý dữ liệu tự động trong các quyết định có tác động pháp lý, yêu cầu công nghệ nhận dạng sinh trắc học phải đảm bảo quyền của khách hàng và cung cấp cơ chế kiểm tra minh bạch.

Điều 97 PSD2 yêu cầu sử dụng ít nhất hai yếu tố bảo mật khác nhau trong quy trình xác minh danh tính, trong khi Điều 7 eIDAS quy định dịch vụ ký số tiên tiến phải dựa trên chứng chỉ số từ nhà cung cấp dịch vụ tin cậy. Về sử dụng cơ sở dữ liệu quốc gia, Điều 6 GDPR cho phép xử lý dữ liệu cá nhân khi có sự đồng ý hoặc cần thiết để thực hiện hợp đồng, và Điều 13, 14 eIDAS yêu cầu thiết lập cơ sở dữ liệu định danh điện tử quốc gia để tăng cường tính chính xác trong giao dịch điện tử xuyên biên giới.

>>> XEM THÊM: eKYC có an toàn không? Giải pháp chống giả mạo từ FPT.AI

Pháp luật về định danh khách hàng tại Singapore

Tại Singapore, khung pháp lý về định danh khách hàng điện tử được phát triển với mục tiêu cân bằng giữa khuyến khích tăng trưởng Fintech và đảm bảo tính nghiêm ngặt trong quản lý rủi ro.

Năm 2018, Cơ quan Tiền tệ Singapore (Monetary Authority of Singapore – MAS) ban hành Thông tư số AMLD 01/2018 hướng dẫn biện pháp định danh không gặp mặt trực tiếp khách hàng, trong đó nổi bật là việc chính thức công nhận nền tảng MyInfo – hệ thống dữ liệu định danh được Chính phủ xác thực làm nguồn dữ liệu chính thức cho việc xác minh danh tính.

Thông qua MyInfo, người dùng không cần điền biểu mẫu vật lý hay quét tài liệu nhận dạng, thay vào đó thông tin được tự động truy xuất với sự đồng ý của người dùng và hệ thống sẽ gửi cảnh báo khi có bất kỳ dịch vụ điện tử nào sử dụng dữ liệu cá nhân.

Ngoài việc hướng dẫn sử dụng MyInfo, Thông tư của MAS còn đưa ra các biện pháp xác minh không gặp mặt trực tiếp (NFTF) và yêu cầu nghiêm ngặt về đánh giá công nghệ định danh. Cụ thể, hiệu quả của giải pháp công nghệ mới phải được đánh giá độc lập bởi chuyên gia sau 1 năm triển khai và báo cáo đánh giá phải được lưu trữ tối thiểu 5 năm sau khi ngừng sử dụng.

MAS duy trì quyền kiểm tra các báo cáo này để thực hiện chức năng giám sát. Để giảm thiểu rủi ro eKYC, MAS đề xuất các phương pháp bổ sung như thực hiện cuộc gọi video trực tuyến thời gian thực hoặc yêu cầu tài liệu nhận dạng được công chứng, chứng thực, thể hiện cách tiếp cận đa tầng trong việc đảm bảo an toàn cho quá trình định danh điện tử.

>>> XEM NGAY: Facematch AI là gì? Cách thiết lập API Facematch AI

Pháp luật về định danh khách hàng tại Thái Lan

Tại Thái Lan, quá trình phát triển khung pháp lý cho định danh khách hàng điện tử được thực hiện theo phương pháp thử nghiệm có kiểm soát, với Ngân hàng Trung ương Thái Lan (BOT) triển khai Sandbox cho dịch vụ mở tài khoản tiết kiệm và ví điện tử trước khi cho phép áp dụng rộng rãi.

Báo cáo hệ thống thanh toán năm 2019 cho thấy nhiều tổ chức đã thành công trong việc đáp ứng các yêu cầu của Sandbox và được phép cung cấp dịch vụ định danh điện tử cho công chúng. BOT đã chủ động hỗ trợ phát triển eKYC thông qua việc ban hành hướng dẫn sử dụng công nghệ sinh trắc học trong các dịch vụ tài chính, đảm bảo nhà cung cấp dịch vụ áp dụng công nghệ theo cách thức phù hợp, an toàn và tuân thủ tiêu chuẩn quốc tế.

Một thành tựu quan trọng trong hệ sinh thái định danh điện tử của Thái Lan là sự phát triển của nền tảng Định danh số quốc gia (NDID) với sự hỗ trợ của BOT. NDID đóng vai trò nền tảng cơ sở hạ tầng cho việc xác minh và xác thực danh tính số, kết nối các tổ chức bao gồm nhà cung cấp dịch vụ, đơn vị định danh và đơn vị cung cấp thông tin khách hàng.

Nền tảng này đảm bảo hai yếu tố quan trọng: công nghệ xác thực và cơ sở dữ liệu đối chiếu, đồng thời bảo vệ quyền riêng tư khi mọi thông tin chia sẻ đều yêu cầu sự đồng ý của khách hàng. Nhờ quy trình kiểm soát và cấp phép nghiêm ngặt cho các bên tham gia, NDID giúp kiểm soát chặt chẽ các rủi ro về mạo danh, an toàn bảo mật và tuân thủ quy định phòng chống rửa tiền, tài trợ khủng bố.

>>> XEM THÊM: Fraud Detection: Công nghệ giúp eKYC tăng hàng rào bảo mật

Các rủi ro khi triển khai định danh khách hàng điện tử tại Việt Nam

Theo Lực lượng đặc nhiệm tài chính quốc tế (FATF), các giao dịch không gặp mặt trực tiếp được xếp vào nhóm có độ rủi ro cao trong phòng chống rửa tiền và tài trợ khủng bố. Vì vậy, dù thù đẩy tài chính toàn diện, triển khai định danh khách hàng điện tử tại lĩnh vực nhạy cảm như Ngân hàng tại Việt Nam đặt ra nhiều thách thức về quản lý các rủi ro sau:

Rủi ro về mạo danh 

Khác với gặp mặt trực tiếp cho phép kiểm tra bản gốc và quan sát khách hàng, eKYC chỉ làm việc với bản điện tử của giấy tờ. Vì vậy, một người có thể dễ dàng mạo danh (giả làm người khác bằng cách sử dụng CMND/CCCD đánh cắp hoặc làm giả) bằng cách sử dụng các công nghệ tinh vi như Deepfake để vượt qua bước kiểm tra người thật (liveness detection). Trong một số trường hợp cực đoan, tội phạm có thể phẫu thuật thẩm mỹ đẻ thay đổi đặc điểm nhận dạng và qua mặt hệ thống xác thực sinh trắc học.

Rủi ro bảo mật thông tin và quyền riêng tư của khách hàng

Thông tin khách hàng trên môi trường mạng có nguy cơ cao bị rò rỉ hoặc đánh cắp. Hacker và mã độc có thể xâm nhập vào hệ thống định danh để lấy cắp dữ liệu cá nhân nhạy cảm cho các hoạt động bất hợp pháp. Một số ngân hàng còn chia sẻ dữ liệu với nhà mạng viễn thông và đối tác khác mà không được sự đồng ý rõ ràng từ khách hàng. Điều này dẫn đến xâm phạm quyền riêng tư khi thông tin cá nhân bị khai thác cho nhiều mục đích thương mại ngoài dịch vụ ban đầu khách hàng đăng ký sử dụng.

>>> XEM THÊM: Liveness Detection – Chìa khoá của eKYC và sinh trắc học

Rủi ro về rửa tiền, tài trợ khủng bố

Rủi ro rửa tiền và tài trợ khủng bố trong eKYC phát sinh khi tội phạm lợi dụng việc không cần gặp mặt trực tiếp để thực hiện các giao dịch bất hợp pháp. Đối tượng có thể mở tài khoản ngân hàng trực tuyến để đưa tiền phi pháp vào hệ thống tài chính hoặc chuyển tiền hỗ trợ cho các nhóm khủng bố.

Tội phạm trong danh sách đen thường được trang bị công nghệ tiên tiến để vượt qua hệ thống xác thực điện tử, hoặc sử dụng người trung gian và thông tin giả mạo để thực hiện hành vi phạm tội. Nếu ngân hàng không có biện pháp nhận diện hiệu quả và áp dụng hạn mức giao dịch phù hợp, quy trình eKYC có thể vô tình tạo điều kiện thuận lợi cho các hoạt động tài chính bất hợp pháp.

Rủi ro về công nghệ

Các công nghệ được tích hợp trong eKYC, như trí tuệ nhân tạo (AI), học máy (ML), nhận dạng ký tự quang học (OCR), nhận diện khuôn mặt, kiểm tra người thật (Liveness Check) và phát hiện gian lận (Fraud Detection) có độ chính xác khác nhau. Nếu không có quy chuẩn đánh giá nghiêm ngặt, các công nghệ này có thể tạo ra sai sót trong nhận dạng, tạo lỗ hổng cho tội phạm khai thác.

Rủi ro về an ninh mạng, an toàn hệ thống

 Rủi ro an ninh mạng trong định danh khách hàng điện tử liên quan đến việc hệ thống máy chủ, thiết bị di động, mạng và ứng dụng bị xâm nhập bởi hacker và tội phạm công nghệ cao. Các đối tượng này khai thác lỗ hổng trong quy trình định danh, công nghệ và sự thiếu cẩn trọng của khách hàng để thực hiện các hành vi như cài mã độc, đánh cắp mã OTP, giả mạo ngân hàng, và phá hủy cơ sở dữ liệu.

Đây là rủi ro mang tính hệ thống, có thể gây gián đoạn toàn bộ quy trình định danh, dẫn đến so khớp sai lệch, giao dịch không theo thời gian thực, hoặc khiến dữ liệu bị đánh cắp/mã hóa. Theo EU, cơ sở dữ liệu định danh thường là mục tiêu của các cuộc tấn công mạng ở cấp quốc gia. Đặc biệt với eKYC, khi người dùng hoàn toàn tin tưởng vào tương tác trực tuyến, các lỗ hổng bảo mật trở nên nghiêm trọng hơn.

>>> XEM THÊM: Data Leakage là gì? Cách ngăn chặn rò rỉ dữ liệu khi triển khai Generative AI cho doanh nghiệp

Làm sao để quản lý rủi ro do eKYC tại Việt Nam?

Khung pháp lý cho việc định danh khách hàng điện tử (eKYC) trong thanh toán trực tuyến tại Việt Nam đã trải qua một quá trình phát triển không ngừng để giảm thiểu các tác động tiêu cực từ các rủi ro qua Nghị định 87/2019/NĐ-CP, và sau đó cụ thể hóa bằng Thông tư 16/2020/TT-NHNN và Thông tư 17/2021/TT-NHNN như sau:

• Đối với rủi ro mạo danh: Ngân hàng phải triển khai công nghệ đối chiếu chính xác giữa thông tin và dữ liệu sinh trắc học của khách hàng với giấy tờ tùy thân. Hệ thống eKYC phải xác nhận người thực hiện giao dịch chính là chủ tài khoản. Khi phát hiện dấu hiệu mạo danh, phải tự động dừng giao dịch, tạm khóa hoặc phong tỏa tài khoản và xác minh lại. Ngoài ra, để kiểm soát nguồn dữ liệu, NHNN không áp dụng mở tài khoản thanh toán bằng định danh điện tửi với khách hàng là người nước ngoài, người dưới 18 tuổi, người bị mất hoặc hạn chế năng lực hành vi dân sự, người gặp khó khăn trong việc nhận thức, làm chủ hành vi.
• Đối với rủi ro bảo mật thông tin và quyền riêng tư: NHNN yêu cầu các thông tin và dữ liệu phải được lưu trữ an toàn và sao lưu dự phòng.
• Đối với rủi ro rửa tiền và tài trợ khủng bố: Ngân hàng phải đánh giá rủi ro và thiết lập phạm vi sử dụng tài khoản mở qua eKYC cũng như hạn mức giá trị giao dịch (ghi Nợ) phù hợp với từng đối tượng khách hàng.

Giai đoạn gần đây, khung pháp lý tiếp tục được hoàn thiện với việc kết nối Cơ sở dữ liệu quốc gia về dân cư thông qua Đề án 06 và Quyết định 264/QĐ-NHNN, cho phép các ngân hàng khai thác thông tin từ căn cước công dân gắn chip và VNeID.

Song song đó, các quy định về bảo mật dữ liệu được tăng cường với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và Luật Giao dịch điện tử số 20/2023/QH15 sẽ có hiệu lực từ 07/2024. Sự phát triển này phản ánh nỗ lực của Việt Nam trong việc cân bằng giữa đổi mới công nghệ và đảm bảo an toàn, tạo điều kiện thuận lợi cho người dân tiếp cận dịch vụ tài chính sao cho phù hợp với quá trình chuyển đổi số quốc gia.

Hy vọng bài viết đã giúp bạn hiểu rõ hơn về khung pháp lý liên quan đến định danh khách hàng điện tử trong thanh toán trực tuyến tại Việt Nam. Với sự phát triển không ngừng của công nghệ và hoàn thiện khung pháp lý, eKYC hứa hẹn sẽ trở thành nền tảng vững chắc cho sự phát triển của ngân hàng số tại Việt Nam, đáp ứng nhu cầu số hóa trong thời đại 4.0 và bảo vệ an toàn hệ thống tài chính quốc gia.