Trước khi đọc: Nội dung dưới đây mang tính thông tin tham khảo, không phải tư vấn pháp lý. Việc một mô hình/doanh nghiệp cụ thể có thuộc diện phải cấp phép hay không phụ thuộc vào bản chất hoạt động thực tế và đánh giá của cơ quan quản lý. Hãy tham vấn luật sư cho trường hợp của bạn.
Bài viết này có một quan điểm dứt khoát: "ai giữ tiền của bạn" không phải một chi tiết kỹ thuật — đó là yếu tố định hình hồ sơ rủi ro pháp lý và vận hành của chính bạn. Nói cho dễ hiểu: khi có sự cố, tiền của bạn đang nằm ở đâu — trong túi bạn hay trong tay một bên trung gian — sẽ quyết định bạn dính những nghĩa vụ pháp lý nào. Hiểu được điều này, bạn sẽ ngừng so sánh các giải pháp như thể chúng giống nhau.
Khung pháp luật bạn cần biết — gọi đúng tên văn bản
Thanh toán không dùng tiền mặt tại Việt Nam được điều chỉnh bởi một bộ văn bản cụ thể, không phải "luật chung chung".
- Nghị định 52/2024/NĐ-CP về thanh toán không dùng tiền mặt — ban hành 15/5/2024, hiệu lực 01/7/2024. Quy định về tài khoản thanh toán, dịch vụ thanh toán, dịch vụ trung gian thanh toán, và giám sát hệ thống thanh toán.
- Thông tư 40/2024/TT-NHNN hướng dẫn dịch vụ trung gian thanh toán — hiệu lực từ 17/7/2024, thay Thông tư 39/2014/TT-NHNN.
- Thông tư 17/2024/TT-NHNN về mở và sử dụng tài khoản thanh toán.
"Trung gian thanh toán" — và vì sao việc giữ tiền là lằn ranh
Theo Nghị định 52/2024/NĐ-CP, tổ chức cung ứng dịch vụ trung gian thanh toán là tổ chức (không phải ngân hàng) được Ngân hàng Nhà nước cấp Giấy phép. Các dịch vụ trong nhóm này — như cổng thanh toán điện tử, ví điện tử, hỗ trợ thu hộ/chi hộ (theo Thông tư 40/2024/TT-NHNN) — có điểm chung: tổ chức cung ứng tham gia xử lý, luân chuyển hoặc lưu giữ tiền/lệnh thanh toán của người dùng ở một mức độ nhất định.
Câu hỏi "ai giữ tiền" không phải chuyện quảng cáo. Nó chính là lằn ranh phân định cả khung pháp lý.
Vì sao kiến trúc chỉ đọc định hình rủi ro của bạn
Ở mô hình chỉ đọc, dòng tiền và dòng dữ liệu tách bạch.
| Khía cạnh | Mô hình chỉ đọc |
|---|---|
| Dòng tiền | Khách chuyển thẳng vào tài khoản ngân hàng của người bán; nền tảng không nhận, không giữ, không luân chuyển tiền của khách |
| Dòng dữ liệu | Nền tảng chỉ đọc thông tin giao dịch (qua kết nối ngân hàng có sự đồng ý của chủ tài khoản), khớp đơn, gửi thông báo |
Vì không cầm tiền của người dùng, mô hình này được định vị là khác về bản chất so với "cổng thanh toán" — vốn tham gia xử lý/luân chuyển tiền. Đây là lý do các nhà cung cấp nhóm này nhấn mạnh "tiền vào thẳng tài khoản của bạn, không qua trung gian". Với bạn — người bán — điều này còn có nghĩa: không có rủi ro "số dư treo ở ví bên thứ ba" nếu nhà cung cấp gặp sự cố.
Nói cho cân bằng: ranh giới pháp lý vẫn cần đánh giá theo từng trường hợp cụ thể, và đây không phải kết luận rằng mọi giải pháp chỉ đọc đều "miễn" mọi nghĩa vụ. Cách an toàn cho người bán là: hiểu rõ dòng tiền của giải pháp mình dùng, ưu tiên giải pháp không giữ hộ tiền, và lưu giữ tài liệu chứng minh việc kết nối có sự đồng ý của bạn với ngân hàng.
Bảo vệ dữ liệu cá nhân — quy định đã đổi từ 2026, đừng dùng luật cũ
Việc xử lý dữ liệu (tên người gửi, nội dung giao dịch…) phải tuân thủ pháp luật bảo vệ dữ liệu cá nhân — và khung này vừa thay đổi căn bản.
- Luật Bảo vệ dữ liệu cá nhân 2025 cùng Nghị định 356/2025/NĐ-CP (ban hành 31/12/2025) có hiệu lực từ 01/01/2026.
- Từ 01/01/2026, Nghị định 13/2023/NĐ-CP hết hiệu lực và được thay bởi Nghị định 356/2025/NĐ-CP.
- Nghị định 356/2025/NĐ-CP có quy định bảo vệ dữ liệu theo lĩnh vực, trong đó có tài chính – ngân hàng, cùng các quy định về quyền của chủ thể dữ liệu, cơ chế đồng ý, chuyển dữ liệu, đánh giá tác động và thông báo vi phạm.
Cảnh báo thực tế: nếu bạn gặp một bài viết hay tài liệu vẫn viện dẫn Nghị định 13/2023 như đang còn hiệu lực, hãy coi đó là dấu hiệu nội dung đã cũ. Kể từ 01/01/2026, quy định áp dụng là Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP.
Người bán nên làm gì — một danh sách hành động
- Hiểu dòng tiền: ưu tiên giải pháp để tiền vào thẳng tài khoản ngân hàng của bạn, không qua ví giữ hộ.
- Kiểm soát quyền truy cập: chỉ liên kết khi rõ phạm vi (đọc giao dịch), và có thể ngắt khi cần.
- Tuân thủ luật dữ liệu mới: nếu bạn lưu/xử lý dữ liệu cá nhân của khách, áp dụng Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP.
- Tham vấn chuyên môn: với quy mô lớn hoặc đặc thù, hỏi ý kiến luật sư fintech.
AzoPay tiếp cận thế nào
AzoPay được thiết kế theo mô hình chỉ đọc: tiền đi thẳng từ khách vào tài khoản ngân hàng của người bán; AzoPay không nhận và không giữ tiền của khách. Kết nối chỉ thực hiện sau khi bạn xác thực bằng OTP của ngân hàng; token được mã hóa bằng AES-256-GCM khi lưu trữ. Đây là định hướng tuân thủ — nhưng không thay thế cho việc mỗi doanh nghiệp tự rà soát nghĩa vụ pháp lý của mình.
Câu hỏi cuối cùng trước khi bạn chọn
Khi đặt hai giải pháp cạnh nhau, đừng chỉ hỏi "cái nào nhiều tính năng hơn". Hãy hỏi: "khi có sự cố, tiền của tôi đang nằm ở đâu?". Câu trả lời cho câu hỏi đó nói nhiều về rủi ro của bạn hơn bất kỳ bảng so sánh tính năng nào.
Minh bạch dòng tiền, chủ động dữ liệu. Tìm hiểu cách AzoPay kết nối an toàn với tài khoản của bạn → Dùng thử AzoPay
Đọc tiếp: API ngân hàng và Open Banking
Nguồn tham khảo
- Nghị định 52/2024/NĐ-CP về thanh toán không dùng tiền mặt
- Thông tư 40/2024/TT-NHNN về dịch vụ trung gian thanh toán
- Thông tư 17/2024/TT-NHNN về mở & sử dụng tài khoản thanh toán
- Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân
- Nghị định 13/2023/NĐ-CP hết hiệu lực từ 01/01/2026
Bài viết mang tính thông tin tham khảo, tổng hợp từ các văn bản pháp luật công khai, không phải tư vấn pháp lý. Quy định có thể thay đổi; vui lòng kiểm tra văn bản gốc và tham vấn luật sư cho trường hợp cụ thể. AzoPay là nền tảng xác thực thanh toán tự động, không giữ tiền của khách và không phải cổng thanh toán.