Đây là quy định tại Điều 27 của dự thảo Luật Bảo vệ dữ liệu cá nhân do Bộ Công an soạn thảo.
Cụ thể, Điều 27 tại Dự thảo quy định Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng quy định các công ty tài chính, ngân hàng, tín dụng không được mua, bán thông tin tín dụng hoặc chuyển giao trái phép thông tin tín dụng giữa các tổ chức tài chính, tín dụng, thông tin tín dụng; không được gửi, truyền bản rõ dữ liệu về tài chính, tín dụng của chủ thể dữ liệu giữa các tổ chức tài chính, tín dụng, thông tin tín dụng.
Các ngân hàng phải áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn bảo mật về thanh toán, tín dụng theo quy định của pháp luật. Không được sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu.
Bên cạnh đó, các tổ chức tài chính, ngân hàng và tín dụng cũng không được phép gửi hoặc truyền dữ liệu về tài chính, tín dụng của khách hàng giữa các tổ chức này mà không có sự đồng ý của chủ thể dữ liệu.
Các tổ chức này phải tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, cũng như các tiêu chuẩn bảo mật về thanh toán và tín dụng theo quy định của pháp luật. Họ không được sử dụng thông tin tín dụng của khách hàng để chấm điểm tín dụng hoặc đánh giá mức độ tín nhiệm mà không có sự đồng ý của chủ thể dữ liệu.
Kết quả đánh giá thông tin tín dụng chỉ được thể hiện dưới dạng đạt/không đạt, có/không, hoặc thang điểm dựa trên dữ liệu thu thập trực tiếp từ khách hàng. Ngoài ra, các tổ chức này phải thông báo cho khách hàng bất kỳ sự cố hoặc việc mất thông tin tài khoản tài chính.
Ngoài ra, tại Điều 27, Bộ Công an cũng đề xuất cấm các tổ chức kinh doanh dịch vụ thông tin tín dụng, ngân hàng, bảo hiểm, tài chính và trung gian thanh toán cung cấp hoặc chuyển giao trái phép dữ liệu cá nhân cho nhau hoặc cho các tổ chức khác, trừ trường hợp được pháp luật cho phép.
"Dữ liệu cá nhân nhạy cảm" là thông tin mà nếu bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của tổ chức hoặc cá nhân, liên quan đến quyền riêng tư.
Loại dữ liệu này được bảo vệ ở mức cao hơn so với dữ liệu cá nhân thông thường. Bộ Công an cũng liệt kê thông tin như định danh khách hàng, thông tin tài khoản, tiền gửi, tài sản và giao dịch thuộc danh mục dữ liệu cá nhân nhạy cảm.
Tại Nghị định 58/2021, Chính phủ đã quy định một số hành vi bị cấm trong hoạt động cung ứng dịch vụ thông tin tín dụng, bao gồm việc trao đổi thông tin tín dụng sai mục đích, bất hợp pháp hoặc lợi dụng dịch vụ để tư lợi cá nhân, xâm phạm lợi ích của Nhà nước.
Song pháp luật hiện hành chưa có quy định cụ thể về việc cấm mua bán thông tin tín dụng giữa các ngân hàng và tổ chức tài chính.
Bộ Công an nhận định rằng nhiều người dùng chưa có ý thức bảo vệ dữ liệu cá nhân, dẫn đến tình trạng thông tin bị lộ trong quá trình chuyển giao, lưu trữ hoặc trao đổi.
Tình trạng mua bán dữ liệu cá nhân đang diễn ra phổ biến, với các loại dữ liệu thô như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế, thông tin khách hàng điện lực, thuê bao điện thoại, Internet, và thông tin khách hàng trong các lĩnh vực như bất động sản, siêu thị, ôtô, xe máy.
Nhiều loại dữ liệu cá nhân đã qua xử lý, bao gồm thông tin họ tên, ngày sinh, số căn cước, địa chỉ, số điện thoại, số tài khoản ngân hàng, và thông tin về thân nhân, cũng bị lộ lọt trên không gian mạng.
Bộ Công an cho rằng việc thiếu khung pháp lý đã dẫn đến tình trạng các công ty thu thập dữ liệu cá nhân cho phép đối tác thứ ba tiếp cận thông tin mà không có quy định chặt chẽ, dẫn đến việc buôn bán dữ liệu cá nhân một cách có hệ thống.