Bộ Tài chính vừa công bố Dự thảo Thông tư quy định về giao dịch điện tử trên thị trường chứng khoán (TTCK), bổ sung nhiều quy định mới liên quan đến bảo mật dữ liệu, xác thực giao dịch và tuân thủ bản quyền trong hoạt động cung cấp dịch vụ trực tuyến.

Dự thảo tập trung nâng cấp các quy định về cung cấp dịch vụ trực tuyến trong hoạt động kinh doanh chứng khoán, hoạt động trao đổi thông tin điện tử trên TTCK, chế độ báo cáo, công bố thông tin cũng như trách nhiệm của các cơ quan, tổ chức, cá nhân có liên quan.

Theo Dự thảo, nguyên tắc giao dịch điện tử trên TTCK phải bảo đảm chính xác, công bằng, công khai, minh bạch, an toàn, bảo mật và hiệu quả; đồng thời phù hợp với Luật Chứng khoán, Luật Giao dịch điện tử, Luật An ninh mạng cùng các quy định pháp luật liên quan.

Bên cạnh đó, hệ thống giao dịch phải bảo đảm tính bí mật, tính toàn vẹn thông tin khách hàng và duy trì khả năng vận hành liên tục để cung cấp dịch vụ ổn định. Hệ thống chỉ được phép hoạt động khi đáp ứng đầy đủ các yêu cầu về an toàn, bảo mật theo quy định của Thông tư và pháp luật hiện hành.

Dự thảo cũng đề cập cụ thể các hình thức xác thực giao dịch điện tử như mã khóa dùng một lần (OTP), xác thực Fast IDentity Online (FIDO) và xác thực sinh trắc học.

Đáng chú ý, thời hạn truy vấn thông tin khách hàng sau khi được khách hàng chấp thuận được quy định tối đa không quá 180 ngày kể từ thời điểm hệ thống ghi nhận sự đồng ý, trừ trường hợp có thỏa thuận khác giữa hai bên.

Đối với các công ty chứng khoán, Dự thảo yêu cầu toàn bộ thiết bị hạ tầng công nghệ thông tin phục vụ hoạt động chứng khoán phải có bản quyền, nguồn gốc và xuất xứ rõ ràng.

Dự thảo cũng đưa ra quy định xác thực giao dịch theo giá trị tiền rút hoặc chuyển khỏi tài khoản chứng khoán.

Cụ thể, với các giao dịch dưới 10 triệu đồng, nhà đầu tư phải áp dụng ít nhất một trong các hình thức xác thực như mã OTP, xác thực sinh trắc học, xác thực thiết bị sinh trắc học, xác thực FIDO, xác thực hai kênh hoặc chữ ký số. Trong đó, yêu cầu xác thực hai kênh chỉ có hiệu lực tối đa trong vòng 5 phút kể từ thời điểm hệ thống tạo yêu cầu.

Đối với giao dịch từ 10 triệu đồng trở lên, hệ thống phải áp dụng tối thiểu một hình thức xác thực theo quy định tại Điều 9 của Dự thảo. Các phương thức này bao gồm đối chiếu dữ liệu sinh trắc học với thông tin mã hóa từ căn cước công dân hoặc tài khoản định danh điện tử, đồng thời đối chiếu với dữ liệu sinh trắc học đã được thu thập và kiểm tra trước đó. Dự thảo cũng nêu rõ hệ thống có thể khóa chức năng tài khoản nếu người dùng xác thực sai liên tiếp nhiều lần.

Ngoài ra, trong trường hợp thuê chỗ đặt hệ thống giao dịch trực tuyến tại các trung tâm dữ liệu (Data Center), các trung tâm này phải đáp ứng đầy đủ quy định pháp luật Việt Nam về hoạt động Data Center. Hệ thống giao dịch đặt tại đây cũng phải có giải pháp ngăn chặn truy cập trái phép và khai thác dữ liệu bất hợp pháp.

Theo Ủy ban Chứng khoán Nhà nước, sau 8 năm áp dụng, Thông tư 134/2017/TT-BTC đã bộc lộ nhiều điểm không còn phù hợp trong bối cảnh TTCK phát triển nhanh và nhu cầu chuyển đổi số ngày càng mạnh mẽ.

Một số nội dung chưa được quy định đầy đủ gồm định danh và xác minh khách hàng trực tuyến (eKYC), hợp đồng điện tử, các hình thức xác thực tương ứng với từng loại giao dịch, quy định về nhận lệnh của nhà đầu tư nước ngoài cũng như yêu cầu bảo đảm an ninh mạng.

Thông tư 134 trước đó đã được sửa đổi, bổ sung bởi Thông tư 73, song được xây dựng trong bối cảnh công nghệ và thị trường chứng khoán chưa phát triển mạnh như hiện nay. Sự thay đổi nhanh chóng của công nghệ cùng yêu cầu thực tiễn đang đặt ra nhu cầu tiếp tục hoàn thiện khung pháp lý đối với hoạt động giao dịch điện tử trên TTCK.