Nghĩa vụ và Trách nhiệm của Doanh nghiệp Tham gia Sandbox theo Nghị định 94/2025/NĐ-CP
I. Mở đầu
Cơ chế thử nghiệm có kiểm soát (sandbox) là bước tiến quan trọng trong việc khuyến khích đổi mới sáng tạo trong lĩnh vực tài chính – ngân hàng, nhưng đồng thời tiềm ẩn nhiều rủi ro về tài chính, pháp lý, an ninh mạng và quyền lợi người tiêu dùng.
Do đó, Nghị định 94/2025/NĐ-CP không chỉ xác định phạm vi thử nghiệm mà còn đặt ra các nghĩa vụ bắt buộc cho doanh nghiệp tham gia, nhằm cân bằng giữa không gian thử nghiệm linh hoạt và an toàn hệ thống tài chính.
II. Các nghĩa vụ chủ yếu theo Nghị định 94/2025/NĐ-CP
1. Báo cáo định kỳ và đột xuất
Điều 9 khoản 1 Nghị định 94/2025/NĐ-CP quy định:
“Tổ chức tham gia thử nghiệm có trách nhiệm gửi báo cáo định kỳ hằng quý và báo cáo tổng hợp kết quả thử nghiệm cho Ngân hàng Nhà nước; trường hợp có yêu cầu, phải kịp thời cung cấp báo cáo đột xuất.”
Phân tích:
-
Báo cáo định kỳ: bao gồm dữ liệu giao dịch, số lượng khách hàng, sự cố phát sinh, mức độ tuân thủ KYC/AML.
-
Báo cáo đột xuất: trong trường hợp có sự cố an ninh mạng, rủi ro hệ thống, khiếu nại lớn.
-
Đây là cơ chế giám sát near real-time, giúp NHNN kịp thời can thiệp nếu phát sinh rủi ro.
2. Tuân thủ quy định về KYC/AML
Điều 10 Nghị định 94/2025/NĐ-CP quy định:
“Doanh nghiệp phải xây dựng và thực hiện quy trình nhận biết khách hàng (KYC), phòng chống rửa tiền và tài trợ khủng bố theo quy định pháp luật về phòng chống rửa tiền.”
Phân tích:
-
KYC/AML là “xương sống” của giám sát sandbox.
-
Doanh nghiệp phải có hệ thống xác minh danh tính điện tử (e-KYC), tích hợp với CSDL quốc gia.
-
Rủi ro lớn nhất trong fintech chính là dòng tiền bất hợp pháp, nên yêu cầu này vừa bảo vệ hệ thống, vừa tránh Việt Nam bị “gắn cờ” bởi FATF (Lực lượng đặc nhiệm tài chính quốc tế).
3. Chính sách bảo mật và an toàn thông tin
Điều 11 Nghị định 94/2025/NĐ-CP quy định:
“Tổ chức tham gia thử nghiệm phải áp dụng các tiêu chuẩn an toàn thông tin tối thiểu, có chứng nhận ISO 27001, SOC 2 hoặc kết quả kiểm thử xâm nhập (pentest) định kỳ.”
Phân tích:
-
Sandbox là môi trường nhạy cảm, thường xuyên bị tấn công mạng.
-
Việc bắt buộc tiêu chuẩn ISO 27001, SOC 2 đặt Việt Nam ngang chuẩn quốc tế.
-
Báo cáo pentest định kỳ giúp NHNN đánh giá năng lực an ninh mạng của doanh nghiệp.
4. Cơ chế bảo vệ khách hàng
Điều 12 Nghị định 94/2025/NĐ-CP quy định:
“Doanh nghiệp phải có cơ chế giải quyết khiếu nại, bồi thường thiệt hại cho khách hàng trong trường hợp sản phẩm, dịch vụ thử nghiệm phát sinh rủi ro.”
Phân tích:
-
Người dùng sandbox thường là nhóm “thử nghiệm sớm”, dễ gặp rủi ro.
-
Doanh nghiệp buộc phải có quỹ bồi thường hoặc bảo hiểm trách nhiệm để bảo vệ khách hàng.
-
Quy định này học hỏi kinh nghiệm Singapore, nơi yêu cầu ký quỹ hoặc bảo hiểm sandbox.
5. Kế hoạch thoát (Exit Plan)
Điều 14 Nghị định 94/2025/NĐ-CP quy định:
“Tổ chức tham gia thử nghiệm phải xây dựng kế hoạch thoát, trong đó quy định phương án chấm dứt thử nghiệm, hoàn trả tài sản, dữ liệu cho khách hàng, chuyển giao hệ thống khi không tiếp tục hoạt động.”
Phân tích:
-
Exit plan là “lối thoát an toàn” cho cả doanh nghiệp, khách hàng và cơ quan quản lý.
-
Bắt buộc doanh nghiệp dự trù: xử lý hợp đồng dở dang, hoàn trả vốn, đóng tài khoản.
-
Tránh tình trạng “sập sàn fintech” để lại hệ quả cho nhà đầu tư nhỏ lẻ.
III. Trách nhiệm pháp lý
Ngoài nghĩa vụ chuyên môn, doanh nghiệp còn phải chịu trách nhiệm pháp lý:
-
Trách nhiệm hành chính: nếu vi phạm nghĩa vụ báo cáo, AML/KYC, an toàn thông tin.
-
Trách nhiệm dân sự: bồi thường thiệt hại cho khách hàng khi dịch vụ lỗi, lừa đảo.
-
Trách nhiệm hình sự: nếu lợi dụng sandbox để rửa tiền, lừa đảo, chiếm đoạt tài sản.
Điều này nhấn mạnh rằng sandbox không phải “miễn trừ trách nhiệm”, mà là môi trường thử nghiệm có kiểm soát.
IV. Bình luận và kiến nghị
-
Quy định về nghĩa vụ trong Nghị định 94/2025/NĐ-CP tiệm cận chuẩn quốc tế (UK, Singapore).
-
Tuy nhiên, cần có thông tư hướng dẫn chi tiết về:
-
Cấu trúc báo cáo định kỳ (dạng XML/JSON để dễ tích hợp).
-
Mức ký quỹ tối thiểu cho quỹ bồi thường sandbox.
-
Chuẩn an ninh mạng riêng cho fintech trong sandbox.
-
Ngoài ra, NHNN nên công khai danh sách sandbox participants và kết quả thử nghiệm, để nâng cao minh bạch và niềm tin nhà đầu tư.
V. Kết luận
Các nghĩa vụ của doanh nghiệp tham gia sandbox, từ báo cáo, AML/KYC, an toàn thông tin, bảo vệ khách hàng đến exit plan, chính là “hàng rào pháp lý” để sandbox vận hành an toàn, bảo vệ quyền lợi công chúng, đồng thời tạo môi trường cho đổi mới sáng tạo.
Sandbox không phải “vùng miễn luật”, mà là cơ chế pháp lý cân bằng: tạo không gian đổi mới trong sự giám sát của Nhà nước.