Hợp đồng giữa Ngân hàng với bên thứ ba khi triển khai Open API có nội dung như thế nào theo Thông tư 64?

Nội dung chính

• Hợp đồng giữa Ngân hàng với bên thứ ba khi triển khai Open API có nội dung như thế nào theo Thông tư 64?
• Ngân hàng có được thu hồi quyền truy cập dữ liệu của bên thứ ba khi có thay đổi theo hợp đồng không?
• Nguyên tắc chung khi triển khai Open API mà Ngân hàng và bên thứ ba cần tuân thủ là gì?

Hợp đồng giữa Ngân hàng với bên thứ ba khi triển khai Open API có nội dung như thế nào theo Thông tư 64?

Căn cứ theo Điều 8 Thông tư 64/2024/TT-NHNN có quy định về hợp đồng giữa Ngân hàng với bên thứ ba như sau:

Theo đó, Ngân hàng phải ký kết hợp đồng với bên thứ ba về việc triển khai Open API, bao gồm tối thiểu các nội dung sau:

(1) Cam kết bảo mật thông tin, trong đó có thỏa thuận về việc bảo đảm an toàn, bảo mật thông tin khi thực hiện xử lý dữ liệu qua Open API do Ngân hàng cung cấp.

(2) Cam kết sử dụng dữ liệu do Ngân hàng cung cấp đúng phạm vi, mục đích.

(3) Bên thứ ba phải thông báo cho Ngân hàng khi phát hiện nhân sự vi phạm quy định về an toàn thông tin mạng khi triển khai Open API.

(4) Thông tin về dịch vụ cung cấp cho khách hàng được triển khai qua Open API.

(5) Thông tin về phí dịch vụ cung cấp cho khách hàng được triển khai qua Open API (nếu có).

(6) Điều khoản về hệ thống thông tin của bên thứ ba kết nối, xử lý dữ liệu qua Open API phải được đánh giá, xác định cấp độ theo quy định của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

(7) Quyền truy cập dữ liệu của bên thứ ba khi triển khai Open API.

(8) Điều khoản chấm dứt hợp đồng.

Hợp đồng giữa Ngân hàng với bên thứ ba khi triển khai Open API có nội dung như thế nào theo Thông tư 64? (Hình từ Internet)

Ngân hàng có được thu hồi quyền truy cập dữ liệu của bên thứ ba khi có thay đổi theo hợp đồng không?

Căn cứ theo khoản 11 Điều 11 Thông tư 64/2024/TT-NHNN có quy định như sau:

Trách nhiệm của Ngân hàng

1. Hoàn thiện cơ sở hạ tầng hệ thống thông tin phục vụ triển khai Open API để sẵn sàng kết nối, xử lý dữ liệu.

2. Xây dựng và hoàn thiện các tài liệu hướng dẫn kết nối, xử lý dữ liệu.

3. Bảo đảm chất lượng dữ liệu trong quá trình triển khai Open API. Thông báo kịp thời cho bên thứ ba khi có sai lệch dữ liệu và phối hợp với bên thứ ba đính chính, hiệu chỉnh kịp thời.

4. Bảo đảm an toàn, an ninh mạng cho hệ thống thông tin triển khai Open API, đáp ứng tối thiểu cấp độ 3 theo quy định của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và tuân thủ quy định của Ngân hàng Nhà nước Việt Nam về an toàn hệ thống thông tin trong hoạt động ngân hàng.

5. Cung cấp công cụ hoặc chức năng cho phép khách hàng thực hiện:

a) Tra cứu các dữ liệu mà khách hàng đồng ý cho bên thứ ba xử lý;

b) Rút lại sự đồng ý của khách hàng theo quy định của pháp luật.

6. Thiết lập thời hạn được thực hiện truy vấn thông tin của khách hàng sau khi được khách hàng đồng ý không quá 180 ngày, trừ trường hợp có thỏa thuận khác giữa khách hàng với Ngân hàng.

7. Cung cấp thông tin tình hình triển khai Open API cho Ngân hàng Nhà nước Việt Nam (thông qua Cục Công nghệ thông tin) khi được yêu cầu.

8. Phối hợp với bên thứ ba theo thỏa thuận và với cơ quan có thẩm quyền để giải quyết vướng mắc, tranh chấp trong quá trình triển khai Open API.

9. Có giải pháp công nghệ giới hạn số lần truy vấn tự động thông tin của khách hàng từ bên thứ ba.

10. Chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý bên thứ ba.

11. Thực hiện cập nhật hoặc thu hồi quyền truy cập dữ liệu của bên thứ ba khi có thay đổi theo hợp đồng.

12. Giám sát hoạt động truy cập:

a) Có hệ thống giám sát để phát hiện và ngăn chặn các hành vi truy cập bất thường hoặc trái phép từ bên thứ ba;

b) Ghi nhật ký toàn bộ việc sử dụng Open API từ bên thứ ba tối thiểu trong vòng 03 tháng và sao lưu tối thiểu 01 năm để phục vụ kiểm tra khi cần thiết.

Như vậy, Ngân hàng có trách nhiệm thực hiện cập nhật hoặc thu hồi quyền truy cập dữ liệu của bên thứ ba khi có thay đổi theo hợp đồng.

Do đó, Ngân hàng sẽ được thu hồi quyền truy cập dữ liệu của bên thứ ba khi có thay đổi theo hợp đồng.

Nguyên tắc chung khi triển khai Open API mà Ngân hàng và bên thứ ba cần tuân thủ là gì?

Căn cứ theo Điều 4 Thông tư 64/2024/TT-NHNN có quy định về nguyên tắc chung khi triển khai Open API như sau:

Theo đó, Ngân hàng, khách hàng và bên thứ ba (sau đây gọi là các bên) khi triển khai Open API phải tuân thủ các yêu cầu chung sau đây:

- Tuân thủ các quy định của pháp luật về giữ bí mật, cung cấp thông tin khách hàng và bảo vệ dữ liệu cá nhân. Việc xử lý dữ liệu cá nhân của khách hàng chỉ phục vụ cho chính khách hàng đó, trừ trường hợp theo quy định của pháp luật.

- Dữ liệu trong quá trình xử lý phải được quản lý, lưu trữ, khai thác, sử dụng đúng mục đích tại hợp đồng giữa các bên và phù hợp với quy định của pháp luật.

- Dữ liệu trong quá trình xử lý phải bảo đảm tính cập nhật và chính xác. Trường hợp có sai lệch phải thực hiện đính chính, hiệu chỉnh kịp thời theo thỏa thuận giữa các bên.