Khung pháp lý phát triển hệ thống kết nối chia sẻ dữ liệu qua giao diện lập trình ứng dụng mở (Open API) trong ngành ngân hàng

Ngành Ngân hàng Việt Nam đã sớm tiếp cận, nghiên cứu và ứng dụng thành quả của cách mạng công nghiệp 4.0 vào chuyển đổi số. Ngay từ năm 2016, NHNN đã xây dựng và trình Thủ tướng Chính phủ phê duyệt Chiến lược phát triển ngành Ngân hàng đến năm 2020 và định hướng đến 2030. NHNN cũng đã chủ động nghiên cứu, xây dựng khung pháp lý thuận lợi cho việc triển khai chuyển đổi số. Một trong những công nghệ đột phá của cách mạng công nghiệp 4.0 là kết nối chia sẻ dữ liệu qua giao diện lập trình ứng dụng mở (Open API). Công nghệ này đã được nhiều ngân hàng Việt Nam nghiên cứu và triển khai vào hoạt động thanh toán, nhận biết khách hàng điện tử, cũng như cung ứng các sản phẩm và dịch vụ tài chính sáng tạo. 

Open Banking – Open API là lĩnh vực mới cả về mặt kỹ thuật và pháp lý ở Việt Nam cũng như trên thế giới. Các thách thức khi triển khai không chỉ nằm ở khía cạnh công nghệ mà còn ở việc thay đổi nhận thức và khung pháp lý. Ngành ngân hàng đã bước đầu triển khai Open API, cho phép các đối tác kết nối, chia sẻ và trao đổi dữ liệu. Tuy nhiên, hiện nay việc phát triển Open API đang diễn ra riêng lẻ tại từng ngân hàng. Mỗi ngân hàng sử dụng một tiêu chuẩn API và tiêu chuẩn an ninh bảo mật khác nhau, dẫn đến thị trường bị phân mảnh. Điều này gây khó khăn cho các công ty Fintech khi hợp tác với ngân hàng, khiến họ tốn nhiều nguồn lực, thời gian và chi phí để điều chỉnh phần mềm cho phù hợp với tiêu chuẩn Open API của từng ngân hàng. Hiện tại, ngành Ngân hàng vẫn chưa có chuẩn chung về hệ thống công nghệ thông tin, lưu trữ thông tin, bảo mật, kết nối, cũng như chưa có hành lang pháp lý và quy định hướng dẫn về tiêu chuẩn kỹ thuật và lộ trình triển khai Open API. 

Trên cơ sở đó, Ngân hàng nhà nước đã công bố dự thảo Thông tư Quy định về triển khai giao diện lập trình ứng dụng mở trong ngành ngân hàng để tạo cơ sở pháp lý rõ ràng, đặc biệt trong việc kết nối và xử lý dữ liệu của khách hàng một cách an toàn.

1. Các quy định chung cung cấp dịch vụ Open API

Các tổ chức tín dụng có trách nhiệm triển khai dịch vụ Open API cho các bên thứ ba nhằm thực hiện kết nối và xử lý dữ liệu theo quy định của Thông tư. Việc cung cấp các hàm Open API phải tuân thủ nghiêm ngặt các tiêu chuẩn kỹ thuật được quy định tại Điều 6 của Thông tư. 

Để đảm bảo tính minh bạch, các tổ chức tín dụng cần công khai thông tin về dịch vụ Open API trên cổng thông tin điện tử chính thức của mình, bao gồm các nội dung thiết yếu sau: 

• Môi trường thử nghiệm (Sandbox): Cung cấp hệ thống cho phép các bên thứ ba thực hiện kết nối và xử lý dữ liệu thử nghiệm thông qua Open API. 

• Tài liệu kỹ thuật tích hợp: Bao gồm đầy đủ tài liệu hướng dẫn quy trình kết nối, sơ đồ luồng xử lý dữ liệu, và thông số kỹ thuật chi tiết cho từng hàm Open API được cung cấp. 

2. Các trách nhiệm chính của Ngân hàng đối với cung cấp dịch vụ Open API

Trong bối cảnh phát triển công nghệ ngân hàng hiện đại, việc triển khai dịch vụ Open API đòi hỏi các tổ chức tín dụng phải đáp ứng những yêu cầu nghiêm ngặt về hạ tầng và an ninh mạng. Theo Dự Thảo Thông Tư, các ngân hàng cần xây dựng một cơ sở hạ tầng công nghệ thông tin toàn diện, đủ khả năng đáp ứng nhu cầu kết nối và xử lý dữ liệu. Đặc biệt, hệ thống thông tin phục vụ dịch vụ Open API phải đạt chuẩn an toàn, an ninh mạng tối thiểu cấp độ 3 theo quy định của Chính phủ, đồng thời tuân thủ các quy định của Ngân hàng Nhà nước về an toàn thông tin trong hoạt động ngân hàng. 

Việc lựa chọn đối tác kết nối cũng được đặt ra những tiêu chuẩn khắt khe. Các tổ chức tín dụng chỉ được phép hợp tác với những đơn vị đáp ứng đầy đủ ba điều kiện cơ bản. Thứ nhất, đối tác phải có hệ thống thông tin đảm bảo an toàn, an ninh mạng tương đương với cấp độ của hệ thống Open API của ngân hàng, không được thấp hơn cấp độ 3. Thứ hai, đối tác phải là đơn vị được cấp mã số thuế và đang hoạt động hợp pháp tại Việt Nam. Cuối cùng, đối tác cần có đội ngũ nhân sự có kinh nghiệm về an ninh thông tin, vận hành, phát triển hệ thống công nghệ thông tin và pháp chế công nghệ thông tin. 

Bảo vệ quyền lợi khách hàng là một trong những ưu tiên hàng đầu trong quá trình triển khai Open API. Các tổ chức tín dụng có nghĩa vụ cung cấp các công cụ cho phép khách hàng tra cứu dữ liệu đã chấp thuận cho bên thứ ba xử lý và có quyền hủy bỏ quyền xử lý dữ liệu của bên thứ ba. Đặc biệt, thời gian xử lý dữ liệu khách hàng được giới hạn không quá 180 ngày kể từ khi được chấp thuận, nhằm đảm bảo tính an toàn và bảo mật thông tin. 

Về mặt kỹ thuật và pháp lý, các tổ chức tín dụng phải chịu trách nhiệm toàn diện trong việc cung cấp giải pháp công nghệ cho việc nhận biết và xác minh thông tin khách hàng khi triển khai dịch vụ Open API. Điều này bao gồm việc chịu trách nhiệm về mọi rủi ro có thể phát sinh trong quá trình thực hiện. Yêu cầu này nhằm đảm bảo tính minh bạch và an toàn trong quá trình trao đổi thông tin giữa các bên tham gia, đồng thời bảo vệ quyền lợi của khách hàng một cách tốt nhất.

3. Các nội dung cần có trong Hợp đồng cung cấp dịch vụ Open API

Việc xây dựng một hợp đồng cung cấp dịch vụ Open API đòi hỏi sự chi tiết và chặt chẽ về mặt pháp lý. Điều khoản về bảo mật thông tin và phạm vi sử dụng dữ liệu là những yếu tố cốt lõi của hợp đồng. Các bên tham gia cần cam kết tuân thủ nghiêm ngặt các quy định về bảo mật, đồng thời đảm bảo việc sử dụng dữ liệu chỉ trong phạm vi đã được thỏa thuận. Điều này không chỉ bảo vệ quyền lợi của khách hàng mà còn đảm bảo tính minh bạch trong hoạt động của các bên. 

Một khía cạnh quan trọng khác của hợp đồng là các quy định về quản lý rủi ro và xử lý sự cố. Hợp đồng cần có điều khoản chi tiết về quy trình thông báo vi phạm an toàn thông tin. Bên cạnh đó, các yêu cầu về cấp độ an toàn hệ thống thông tin cũng cần được quy định rõ ràng, nhằm đảm bảo tính ổn định và an toàn trong quá trình vận hành hệ thống. 

Về mặt thương mại, hợp đồng cần làm rõ các thông tin về sản phẩm dịch vụ và cơ cấu phí. Điều này bao gồm mô tả chi tiết về các dịch vụ được cung cấp, các điều kiện sử dụng dịch vụ, cũng như cách tính và thu phí (nếu có). Việc quy định rõ ràng các yếu tố này giúp tránh những tranh chấp có thể phát sinh trong quá trình thực hiện hợp đồng. 

Cuối cùng, hợp đồng cần có điều khoản chấm dứt rõ ràng, quy định cụ thể các trường hợp và điều kiện chấm dứt hợp đồng, cũng như trách nhiệm của các bên trong quá trình kết thúc hợp tác. Điều này đảm bảo quyền lợi của các bên được bảo vệ khi có nhu cầu chấm dứt hợp đồng, đồng thời tạo cơ sở pháp lý cho việc giải quyết các vấn đề phát sinh trong quá trình chấm dứt hợp đồng. 

Việc phát triển khung pháp lý cho Open API trong ngành ngân hàng Việt Nam là một bước tiến quan trọng trong quá trình chuyển đổi số của hệ thống tài chính. Thông qua việc quy định chi tiết về các yêu cầu kỹ thuật, trách nhiệm của các bên tham gia và các điều khoản bảo mật, khung pháp lý này tạo nền tảng vững chắc cho sự phát triển của hệ sinh thái ngân hàng mở tại Việt Nam. 

Đặc biệt, việc chú trọng đến bảo mật thông tin, quyền lợi khách hàng và các yêu cầu về an toàn hệ thống thể hiện cam kết mạnh mẽ trong việc xây dựng một môi trường ngân hàng số an toàn và đáng tin cậy. Với khung pháp lý này, các tổ chức tín dụng và đối tác công nghệ có thể tự tin phát triển các sản phẩm, dịch vụ sáng tạo, đồng thời đảm bảo tuân thủ các quy định và tiêu chuẩn của ngành. 

Bài viết liên quan:

1/ Khung pháp lý mới về dữ liệu tại Việt Nam

2/ Thông tin của người tiêu dùng theo quy định của luật bảo vệ quyền lợi người tiêu dùng 2023

3/ Đối tượng áp dụng và các nguyên tắc cơ bản của GDPR

Chia sẻ: