Trong bối cảnh chuyển đổi số mạnh mẽ của ngành tài chính – ngân hàng toàn cầu, định danh khách hàng điện tử (eKYC) đã trở thành một công nghệ then chốt giúp cải thiện trải nghiệm người dùng và tăng cường bảo mật. Đồng thời với sự phát triển của ngân hàng số, các mối đe dọa an ninh mạng cũng ngày càng tinh vi, đặt ra thách thức lớn cho việc bảo vệ thông tin khách hàng.
Mặc dù eKYC mang lại nhiều lợi ích như tiết kiệm thời gian, giảm chi phí vận hành và mở rộng tiếp cận dịch vụ tài chính, việc xây dựng một khung pháp lý hoàn chỉnh để điều chỉnh công nghệ này vẫn đang là bài toán khó đối với nhiều quốc gia, trong đó có Việt Nam. Bằng cách phân tích so sánh quy định về eKYC giữa Liên minh Châu Âu (EU) và Việt Nam, chúng ta có thể rút ra những bài học quý giá để hoàn thiện khung pháp lý trong nước, đảm bảo cân bằng giữa đổi mới công nghệ và bảo vệ quyền lợi người dùng. Cùng FPT.AI khám phá nhé!
Quy định về eKYC của Liên minh Châu Âu (EU)
EU được đánh giá là một trong những khu vực đi đầu trong việc xây dựng khung pháp lý toàn diện về định danh khách hàng điện tử. Nền tảng cho các quy định này bao gồm năm văn bản pháp lý chính: Quy định eIDAS (910/2014) về nhận dạng điện tử, GDPR (2016/679) về bảo vệ dữ liệu, PSD2 (2015/2366) về dịch vụ thanh toán, AMLD (2018/1673) về chống rửa tiền, và phiên bản cập nhật eIDAS 2.0 (2024/1183).
Về phạm vi áp dụng, quy định về eKYC của EU theo đuổi cách tiếp cận rộng rãi, bao quát tất cả dịch vụ nhận dạng và ký số điện tử trong khu vực. Theo Điều 3 eIDAS, các dịch vụ định danh điện tử phải đảm bảo tính tương thích xuyên biên giới, cho phép công dân một quốc gia thành viên sử dụng ID điện tử của họ để truy cập dịch vụ tại quốc gia khác. Đồng thời, PSD2 mở rộng đối tượng áp dụng cho tất cả nhà cung cấp dịch vụ thanh toán, bao gồm cả các công ty fintech mới nổi.
Trong hoạt động mở tài khoản ngân hàng, EU áp dụng nguyên tắc cân bằng giữa tiện lợi và bảo mật. Điều 24 eIDAS cho phép các tổ chức tài chính sử dụng cơ chế định danh điện tử đã được xác thực để xác minh danh tính khách hàng, giúp giảm thiểu rủi ro gian lận. Về hạn mức giao dịch, Điều 63 PSD2 đưa ra quy định rõ ràng: các giao dịch không cần xác thực mạnh của khách hàng (SCA) bị giới hạn ở mức 150 EUR/lần và tổng không quá 500 EUR cho nhiều giao dịch liên tiếp, nhằm cân bằng giữa thuận tiện và an toàn.
Quy đinh về eKYC của EU cũng đi đầu về công nghệ xác minh danh tính. Điều 97 PSD2 yêu cầu sử dụng ít nhất hai yếu tố bảo mật khác nhau trong quy trình xác thực, có thể là dữ liệu sinh trắc học, mật khẩu hoặc thiết bị vật lý. Đặc biệt, Điều 25 GDPR áp dụng nguyên tắc “Bảo vệ quyền riêng tư theo thiết kế và mặc định”, đảm bảo quyền của người dùng được ưu tiên từ khâu thiết kế hệ thống.
Về sử dụng cơ sở dữ liệu quốc gia, Điều 6 GDPR và Điều 13, 14 eIDAS đã thiết lập một khung pháp lý rõ ràng: cho phép các tổ chức tài chính truy cập dữ liệu từ CSDL quốc gia với điều kiện có sự đồng ý của chủ thể dữ liệu và tuân thủ nghiêm ngặt nguyên tắc bảo vệ quyền riêng tư, minh bạch và bảo mật trong quá trình xử lý.

>>> XEM THÊM: eKYC có an toàn không? Giải pháp chống giả mạo từ FPT.AI
Thực trạng pháp luật về eKYC tại Việt Nam
Khác với EU, khung pháp lý về eKYC tại Việt Nam còn khá mới mẻ và phân tán trong nhiều văn bản khác nhau. Các quy định về eKYC hiện nay chủ yếu tập trung vào hoạt động mở và sử dụng tài khoản thanh toán, được điều chỉnh bởi Nghị định 101/2012/NĐ-CP (sửa đổi bởi Nghị định 80/2016/NĐ-CP), Thông tư 23/2014/TT-NHNN và đặc biệt là Thông tư 16/2020/TT-NHNN.
Về đối tượng áp dụng, Việt Nam hiện đang theo đuổi cách tiếp cận thận trọng hơn so với EU. Thông tư 16/2020/TT-NHNN giới hạn việc mở tài khoản bằng phương thức điện tử chỉ áp dụng cho công dân và tổ chức Việt Nam, loại trừ các đối tượng như người nước ngoài, người chưa đủ 18 tuổi, người bị hạn chế năng lực hành vi dân sự và không áp dụng cho tài khoản thanh toán chung. Sự giới hạn này phản ánh mối quan tâm về khả năng kiểm soát nguồn dữ liệu trong bối cảnh hạ tầng công nghệ thông tin quốc gia còn đang phát triển.
Quy trình mở tài khoản eKYC tại Việt Nam đòi hỏi tuân thủ bốn yêu cầu nghiêm ngặt: sử dụng giải pháp công nghệ để thu thập và đối chiếu thông tin sinh trắc học; xác nhận đồng ý của khách hàng; thiết lập quy trình đánh giá rủi ro; và lưu trữ đầy đủ thông tin để phục vụ kiểm tra, giải quyết tranh chấp. Mặc dù quy định về eKYC này khá chi tiết về quy trình kỹ thuật, các tiêu chuẩn chất lượng và độ tin cậy của hệ thống vẫn chưa được đề cập đầy đủ.
Về hạn mức giao dịch, Thông tư 16/2020/TT-NHNN quy định mức tối đa là 100 triệu đồng/tháng cho mỗi khách hàng, thấp hơn so với chuẩn EU khi quy đổi. Dù vậy, ngân hàng có quyền áp dụng hạn mức cao hơn trong một số trường hợp đặc biệt sau khi thực hiện đánh giá rủi ro.
Liên quan đến bảo mật thông tin, Việt Nam đã xây dựng khung pháp lý dựa trên Điều 14 Luật Các tổ chức tín dụng 2010, Nghị định 117/2018/NĐ-CP, Nghị định 13/2023/NĐ-CP, và Luật Giao dịch điện tử sửa đổi. Các văn bản này yêu cầu tổ chức tín dụng xây dựng quy định nội bộ về bảo mật, lưu trữ và cung cấp thông tin khách hàng, bao gồm quy trình tiếp nhận, xử lý và giám sát. Tuy nhiên, so với GDPR của EU, quy định về eKYC của Việt Nam vẫn chưa đạt được tính hệ thống và toàn diện tương đương.

>>> XEM THÊM: Khám phá Voice Biometrics: Công nghệ xác thực danh tính qua giọng nói
Thách thức trong triển khai quy định về eKYC tại Việt Nam
Mặc dù đã đạt được những tiến bộ đáng kể, việc triển khai eKYC tại Việt Nam vẫn phải đối mặt với bốn thách thức chính. Trước hết, hệ thống quy định pháp luật hiện tại còn thiếu tính toàn diện. Điều 14a của Thông tư 16/2020/TT-NHNN mới chỉ đề cập sơ lược đến một số yêu cầu kỹ thuật, trong khi nhiều vấn đề quan trọng như quyền và nghĩa vụ của các bên, tiêu chuẩn kỹ thuật chi tiết, quy trình định danh chuẩn hóa vẫn chưa được quy định cụ thể.
Thách thức thứ hai liên quan đến bảo mật và rủi ro công nghệ. Sự phát triển nhanh chóng của công nghệ Deepfake và các kỹ thuật giả mạo tiên tiến đặt ra thách thức lớn cho việc xác minh “tính sống” (Liveness Detection) của người dùng. Các tổ chức tài chính Việt Nam phải liên tục cập nhật công nghệ để bắt kịp với các phương thức gian lận ngày càng tinh vi, trong khi khung pháp lý hiện hành chưa có hướng dẫn đầy đủ về tiêu chuẩn an toàn tối thiểu.
Vấn đề quyền riêng tư và nguyên tắc giảm thiểu dữ liệu cũng là một trở ngại lớn. Khác với GDPR của EU, pháp luật Việt Nam chưa có quy định rõ ràng về nguyên tắc thu thập dữ liệu tối thiểu cần thiết, dẫn đến nguy cơ các tổ chức có thể thu thập quá nhiều thông tin cá nhân không cần thiết, làm tăng rủi ro rò rỉ dữ liệu và xâm phạm quyền riêng tư.
Cuối cùng, việc thiếu quy định cụ thể về truy cập và sử dụng cơ sở dữ liệu dân cư quốc gia đang cản trở hiệu quả của quy định về eKYC. Các ngân hàng hiện phải dựa vào nhiều nguồn dữ liệu phân tán với độ tin cậy khác nhau, thay vì có thể kết nối trực tiếp với CSDL quốc gia để xác minh thông tin khách hàng một cách nhanh chóng và chính xác.

>>> XEM THÊM: Fraud Detection: Công nghệ giúp eKYC tăng hàng rào bảo mật
Giải pháp hoàn thiện quy định về eKYC tại Việt Nam
Dựa trên kinh nghiệm của EU và thực trạng tại Việt Nam, có năm giải pháp chính để hoàn thiện khung pháp lý về eKYC. Đầu tiên, Việt Nam cần ban hành một văn bản pháp luật tổng thể quy định rõ về yêu cầu và tiêu chuẩn đối với các tổ chức thực hiện eKYC, tương tự như cách tiếp cận của eIDAS và PSD2. Văn bản này cần làm rõ trách nhiệm, quyền hạn của các bên liên quan, đồng thời thiết lập các tiêu chuẩn kỹ thuật cụ thể cho quy trình định danh điện tử.
Thứ hai, cần có quy định yêu cầu áp dụng công nghệ bảo mật tiên tiến và bảo vệ quyền riêng tư. Việt Nam có thể học hỏi nguyên tắc “Privacy by Design and Default” từ GDPR, đảm bảo quyền riêng tư được ưu tiên từ giai đoạn thiết kế hệ thống. Các quy định cần khuyến khích sử dụng AI, blockchain và xác thực đa yếu tố để tăng cường bảo mật và chống gian lận.
Giải pháp thứ ba là phát triển cơ sở dữ liệu quốc gia về dân cư và xây dựng hành lang pháp lý cho việc truy cập, sử dụng. Việt Nam cần thiết lập một khuôn khổ rõ ràng cho phép các tổ chức tài chính kết nối với CSDL quốc gia, đồng thời quy định cụ thể về bảo mật, quyền truy cập và trách nhiệm giải trình khi sử dụng dữ liệu.
Thứ tư, tăng cường các biện pháp phòng chống gian lận và áp dụng nguyên tắc kiểm tra khách hàng tăng cường (Enhanced Due Diligence). Việt Nam có thể tham khảo Điều 4 AMLD của EU, yêu cầu các tổ chức tài chính thực hiện quy trình kiểm tra khách hàng nghiêm ngặt để nhận diện và đánh giá rủi ro trong giao dịch tài chính, đặc biệt đối với các giao dịch có giá trị lớn hoặc đáng ngờ.
Cuối cùng, nâng cao năng lực của các ngân hàng thông qua đào tạo và phát triển kỹ năng cho nhân viên là giải pháp không thể thiếu. Các chương trình đào tạo cần tập trung vào việc sử dụng công nghệ tiên tiến, tuân thủ quy định pháp lý và xây dựng văn hóa bảo mật trong tổ chức. Chỉ khi đội ngũ nhân sự được trang bị đầy đủ kiến thức và kỹ năng, hệ thống eKYC mới có thể vận hành hiệu quả và an toàn.

Thông qua việc học hỏi kinh nghiệm từ EU và áp dụng phù hợp với điều kiện thực tế của Việt Nam, chúng ta có thể xây dựng một khung pháp lý toàn diện về eKYC, vừa thúc đẩy đổi mới công nghệ vừa bảo vệ quyền lợi người dùng, góp phần vào sự phát triển bền vững của hệ thống tài chính số trong thời đại mới. Hy vọng bài viết đã mang đến cho bạn thông tin bổ ích về quy định về eKYC.
>>> XEM THÊM: