KYC, AML và hàng rào bảo vệ dữ liệu người dùng trên sàn tài sản số

Trước khi giao dịch trên bất kỳ sàn tài sản mã hóa nào, người dùng đều phải trải qua quy trình xác minh danh tính. Đằng sau thao tác tưởng chừng đơn giản đó là một hệ thống nghĩa vụ pháp lý phức tạp liên quan đến phòng chống rửa tiền, bảo vệ dữ liệu cá nhân và giám sát dòng tiền xuyên biên giới. Nghị quyết 05/2025/NQ-CP thiết lập các yêu cầu cao hơn nhiều so với hệ thống ngân hàng truyền thống, đồng thời đặt ra câu hỏi về năng lực bảo vệ thông tin của nhà đầu tư trong bối cảnh các xu hướng mới như DeFi, NFT và stablecoin đang thu hút hàng triệu người tham gia.

Khi thị trường tài sản số Việt Nam bước vào giai đoạn thí điểm, ba trụ cột pháp lý gồm xác minh danh tính khách hàng, phòng chống rửa tiền và bảo vệ dữ liệu cá nhân trở thành hàng rào tối thiểu mà mọi sàn giao dịch muốn được cấp phép bắt buộc phải vượt qua.

Đây không chỉ là yêu cầu nội địa mà còn là điều kiện để Việt Nam thực hiện cam kết quốc tế với Lực lượng đặc nhiệm tài chính FATF, tổ chức liên chính phủ đặt ra chuẩn mực toàn cầu về phòng chống rửa tiền và tài trợ khủng bố.

KYC và AML, tiêu chuẩn cao hơn ngân hàng truyền thống và áp lực thoát khỏi danh sách xám FATF

KYC là viết tắt của Know Your Customer, tạm dịch là biết khách hàng của bạn. Đây là quy trình các tổ chức tài chính phải thực hiện để xác minh danh tính trước khi cung cấp dịch vụ. Trên các sàn tài sản mã hóa, KYC thường bao gồm nộp ảnh căn cước công dân, chụp ảnh selfie kèm giấy tờ và xác minh thông tin cá nhân qua hệ thống tự động. Quy trình này nghe quen thuộc vì ngân hàng cũng làm tương tự. Điểm khác biệt nằm ở ngưỡng kích hoạt.

Quy trình KYC yêu cầu người dùng cung cấp giấy tờ và xác minh danh tính trước khi giao dịch.

Theo tìm hiểu của phóng viên Tạp chí Điện tử và Ứng dụng, Điều 8 Nghị quyết 05/2025 đặt ngưỡng nhận biết khách hàng cho giao dịch không thường xuyên ở mức 1.000 USD, tương đương khoảng 25 triệu đồng theo tỷ giá hiện tại. Ngưỡng này thấp hơn 12 lần so với mức 300 triệu đồng đang áp dụng với ngân hàng truyền thống.

Nói cách khác, sàn tài sản mã hóa bị đặt dưới mức giám sát chặt chẽ hơn ngân hàng thương mại, một quyết định phản ánh trực tiếp yêu cầu kỹ thuật của FATF đối với nhà cung cấp dịch vụ tài sản ảo.

AML là viết tắt của Anti-Money Laundering, phòng chống rửa tiền. Báo cáo của Chainalysis năm 2024 ước tính khoảng 24,2 tỷ USD tài sản mã hóa liên quan đến hoạt động phạm tội trong năm 2023.

Tài sản số từ lâu được các tổ chức tội phạm sử dụng như kênh chuyển tiền xuyên biên giới vì tốc độ nhanh, phí thấp và khó truy vết hơn so với chuyển khoản ngân hàng truyền thống khi không có hệ thống giám sát on-chain.

Việt Nam nằm trong danh sách xám của FATF từ năm 2023 về phòng chống rửa tiền và tài trợ khủng bố. Một trong những lý do quan trọng thúc đẩy ban hành Nghị quyết 05/2025 chính là chứng minh với FATF rằng Việt Nam có khả năng giám sát hiệu quả các giao dịch tài sản ảo.

Nghị quyết 05/2025 yêu cầu sàn tài sản mã hóa phải tuân thủ Luật Phòng, chống rửa tiền năm 2022 và báo cáo định kỳ cho ba cơ quan là Bộ Tài chính, Ngân hàng Nhà nước và Bộ Công an vào ngày 10 hằng tháng, đồng thời thông báo khẩn trong 24 giờ khi phát sinh sự cố bất thường.

Theo ghi nhận của phóng viên, nhà đầu tư nước ngoài muốn giao dịch trên thị trường thí điểm còn bắt buộc phải mở tài khoản thanh toán VND tại ngân hàng trong nước, một cơ chế kiểm soát dòng tiền xuyên biên giới chưa từng có tiền lệ với tài sản mã hóa ở bất kỳ quốc gia nào trong khu vực Đông Nam Á.

Tiến sĩ Cấn Văn Lực, chuyên gia kinh tế trưởng của BIDV, từng nhận định với báo chí rằng việc Việt Nam đưa ra khung pháp lý cho tài sản mã hóa là cần thiết không chỉ để phát triển thị trường mà còn để tránh nguy cơ bị FATF nâng mức cảnh báo, điều có thể ảnh hưởng tiêu cực đến xếp hạng tín nhiệm quốc gia và chi phí vay vốn của doanh nghiệp Việt Nam trên thị trường quốc tế.

Dữ liệu cá nhân người dùng, rủi ro thực chất không kém rủi ro tài chính

Dữ liệu cá nhân trên sàn có nguy cơ bị rò rỉ nếu hệ thống bảo mật không đủ mạnh.

Khi người dùng hoàn thành KYC trên một sàn tài sản mã hóa, họ đã cung cấp một lượng dữ liệu cá nhân đáng kể bao gồm ảnh chân dung, số căn cước công dân, số điện thoại, địa chỉ email, địa chỉ cư trú và thông tin tài khoản ngân hàng liên kết. Điều 15 Nghị quyết 05/2025 yêu cầu toàn bộ dữ liệu này phải được lưu trữ trên máy chủ đặt tại Việt Nam trong ít nhất 10 năm, bao gồm lịch sử giao dịch, địa chỉ ví, lịch sử thiết bị đăng nhập và địa chỉ IP.

Yêu cầu nội địa hóa dữ liệu này là nghiêm ngặt nhất mà ngành tài chính Việt Nam từng áp dụng, căn cứ theo Điều 26 Luật An ninh mạng năm 2018 về nghĩa vụ lưu trữ dữ liệu người dùng Việt Nam trong lãnh thổ Việt Nam. Nhiều sàn tài sản mã hóa hiện đang sử dụng dịch vụ đám mây quốc tế đặt tại Singapore, Hoa Kỳ hoặc Hàn Quốc.

Nếu dữ liệu KYC của người dùng Việt Nam nằm trên máy chủ nước ngoài, đây là vấn đề tuân thủ pháp luật thực chất, không phải lý thuyết. Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, tổ chức thu thập và xử lý dữ liệu phải có sự đồng ý của chủ thể dữ liệu, chỉ thu thập đủ cho mục đích đã tuyên bố và thông báo cho người dùng trong thời gian sớm nhất khi xảy ra rò rỉ.

Vụ rò rỉ dữ liệu của nhà cung cấp ví phần cứng Ledger năm 2020 minh họa rõ loại rủi ro này. Thông tin cá nhân của hơn 270.000 khách hàng bị lộ ra ngoài, tin tặc gửi email giả mạo yêu cầu nhập seed phrase trên website giả để đánh cắp tài sản, một số nạn nhân còn bị đe dọa tống tiền vật lý tại địa chỉ nhà đã bị lộ.

Theo ghi nhận của phóng viên Tạp chí Điện tử và Ứng dụng, khi thị trường tài sản số Việt Nam mở rộng với hàng triệu người dùng mới, rủi ro tương tự hoàn toàn có thể xảy ra nếu các sàn không đầu tư đúng mức vào bảo mật hạ tầng dữ liệu.

Luật sư Trương Thanh Đức, Giám đốc Công ty Luật ANVI, từng trả lời báo chí rằng người dùng Việt Nam hiện gần như không có cơ sở pháp lý để kiện đòi bồi thường khi dữ liệu cá nhân bị rò rỉ từ một sàn tài sản mã hóa chưa được cấp phép, và đây là một trong những lý do quan trọng nhất khiến việc chỉ giao dịch trên các nền tảng được cấp phép trong khuôn khổ thị trường thí điểm là lựa chọn ưu tiên của nhà đầu tư cá nhân.

DeFi, NFT và stablecoin, từ làn sóng đổi mới đến vòng xoáy rủi ro chưa có lưới bảo vệ

Ngoài các sàn giao dịch tập trung, thị trường tài sản số còn chứa đựng một hệ sinh thái các sản phẩm tài chính phi truyền thống mà Nghị quyết 05/2025 chưa điều chỉnh trực tiếp. DeFi, tài chính phi tập trung, cho phép người dùng thực hiện các hoạt động như vay, cho vay, gửi tiết kiệm và giao dịch thông qua hợp đồng thông minh trên blockchain mà không cần trung gian.

Thay vì gửi tiền vào ngân hàng để nhận lãi, người dùng gửi tài sản số vào các giao thức như Aave, Compound hay Lido để nhận lợi nhuận từ phí giao dịch và hoạt động cho vay trong hệ thống.

Sức hút của DeFi đến từ tính tiếp cận. Bất kỳ ai có ví điện tử đều có thể tham gia mà không cần xét duyệt tín dụng, không cần tài khoản ngân hàng và không bị giới hạn giờ giao dịch. Một số giao thức từng đưa ra mức lãi suất hằng năm lên tới 20-30%, cao hơn nhiều lần so với tiết kiệm ngân hàng. Nhưng lợi nhuận cao đi kèm rủi ro cao. DeFi không có cơ chế bảo hiểm tiền gửi, không có tổ chức đứng ra bảo vệ người dùng.

Năm 2022, giao thức Anchor Protocol trên blockchain Terra hứa hẹn lãi suất gần 20% mỗi năm đã sụp đổ khi stablecoin UST mất chốt với USD, xóa sạch khoảng 40 tỷ USD vốn hóa thị trường trong vài ngày và gây thiệt hại trực tiếp cho hàng chục nghìn nhà đầu tư Việt Nam tham gia qua các nhóm đầu tư trực tuyến.

Các sản phẩm DeFi, NFT và stablecoin mang lại lợi nhuận cao nhưng tiềm ẩn rủi ro lớn.

NFT, viết tắt của Non-Fungible Token, là loại tài sản số đại diện cho quyền sở hữu đối với một nội dung cụ thể và không thể thay thế. Năm 2021, tác phẩm kỹ thuật số Everydays: The First 5000 Days của nghệ sĩ Beeple được bán với giá 69 triệu USD tại nhà đấu giá Christie's, châm ngòi cơn sốt NFT toàn cầu. Các bộ sưu tập như Bored Ape Yacht Club hay CryptoPunks đạt giá hàng triệu USD mỗi token.

Tuy nhiên, theo số liệu của DappRadar, khối lượng giao dịch NFT toàn cầu đã giảm hơn 97% từ đỉnh năm 2021 về đến năm 2023. Nhiều người mua NFT ở đỉnh sóng hiện nắm tài sản gần như không có người mua lại, minh chứng điển hình cho rủi ro khi tham gia thị trường mang tính đầu cơ cao mà không hiểu rõ cơ chế tạo giá trị.

Stablecoin là loại tài sản số được thiết kế để giữ giá ổn định, thường neo theo USD. Đây là công cụ quan trọng trong thị trường crypto vì giúp nhà đầu tư giữ tài sản ở trạng thái trung gian giữa các lần giao dịch mà không cần chuyển về tiền pháp định. Hai loại phổ biến nhất là stablecoin bảo chứng bằng tài sản thực như USDT của Tether và USDC của Circle, và stablecoin thuật toán dựa trên cơ chế cung cầu. Loại sau tiềm ẩn rủi ro lớn hơn nhiều, và vụ sụp đổ của UST tháng 5/2022 là bằng chứng.

Khi cơ chế giữ giá của stablecoin thuật toán không còn hoạt động, quá trình mất chốt xảy ra theo hiệu ứng xoáy, giá càng giảm càng kích hoạt lệnh thanh lý dây chuyền và không thể đảo chiều.

Theo tiến sĩ Nguyễn Trí Hiếu, chuyên gia tài chính ngân hàng, DeFi, NFT và stablecoin đang hoạt động hoàn toàn ngoài phạm vi điều chỉnh của Nghị quyết 05/2025, và đây là khoảng trống pháp lý cần được lấp đầy trong Luật Tài sản số đang soạn thảo, bởi hàng triệu người Việt Nam đang tham gia các sản phẩm này mà không có bất kỳ cơ chế bảo vệ nào từ phía Nhà nước.

Những dấu hiệu cảnh báo sớm cần lưu ý khi tham gia các sản phẩm DeFi, NFT hoặc stablecoin thuật toán gồm lợi nhuận cam kết bất thường cao, thiếu thông tin minh bạch về đội ngũ và mã nguồn hợp đồng thông minh chưa được kiểm toán độc lập, tăng trưởng nhanh nhưng không rõ nguồn dòng tiền thực.

Các giao thức uy tín đều công bố mã nguồn mở và có báo cáo kiểm toán bảo mật từ các công ty như CertiK hay Trail of Bits. Thiếu yếu tố này là dấu hiệu rủi ro đáng kể mà nhà đầu tư không nên bỏ qua.

Trong các bài tiếp theo, phóng viên Tạp chí Điện tử và Ứng dụng sẽ tiếp tục phân tích các trò chơi và mô hình lừa đảo phổ biến nhất trong thị trường tài sản số, từ Ponzi biến tướng dưới vỏ bọc blockchain đến các hình thức thao túng tâm lý nhà đầu tư được xây dựng hệ thống.