AI càng đi sâu vào doanh nghiệp, câu hỏi pháp lý càng quan trọng: dữ liệu nào được đưa vào AI, ai có quyền truy cập, khách hàng đã đồng ý chưa, nhà cung cấp xử lý dữ liệu ở đâu và ai chịu trách nhiệm nếu AI trả lời sai.
Tại Việt Nam, doanh nghiệp cần đặc biệt chú ý Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Khi dùng AI cho CSKH, HR, marketing, tài chính hoặc phân tích khách hàng, nhiều dữ liệu có thể là dữ liệu cá nhân hoặc dữ liệu nhạy cảm.
Checklist tuân thủ cơ bản
- Lập danh mục dữ liệu cá nhân đang dùng trong các workflow AI.
- Xác định mục đích xử lý dữ liệu và cơ sở đồng ý/pháp lý phù hợp.
- Không đưa dữ liệu nhạy cảm vào công cụ AI chưa được phê duyệt.
- Phân quyền theo vai trò, log truy cập và log output quan trọng.
- Kiểm tra hợp đồng và điều khoản xử lý dữ liệu với nhà cung cấp AI.
AI policy nội bộ là bước cần làm ngay
Doanh nghiệp không cần chờ luật AI riêng mới xây chính sách. Một AI policy 2-4 trang có thể quy định công cụ được dùng, loại dữ liệu cấm nhập, quy trình kiểm duyệt output, người chịu trách nhiệm và cách báo cáo sự cố.
Tham chiếu khung quản trị quốc tế
Các khung như NIST AI Risk Management Framework và OECD AI Principles đều nhấn mạnh quản trị rủi ro, trách nhiệm, minh bạch, dữ liệu đại diện và quyền con người. SME Việt Nam có thể dùng các khung này như checklist thực hành.
Rủi ro pháp lý lớn nhất không phải là dùng AI, mà là dùng AI với dữ liệu nhạy cảm mà không có quy định, phân quyền và log.
Bước tiếp theo
DNAI có thể hỗ trợ doanh nghiệp xây AI policy, đào tạo nhân viên và đánh giá use case qua tư vấn AI Đà Nẵng.
Bản đồ dữ liệu AI doanh nghiệp cần lập
Trước khi nói về luật AI, doanh nghiệp cần biết AI đang chạm vào dữ liệu nào. Hãy lập bản đồ dữ liệu gồm dữ liệu khách hàng, nhân viên, nhà cung cấp, tài chính, hợp đồng, hình ảnh, ghi âm, lịch sử chat và dữ liệu nhạy cảm. Với mỗi nhóm, cần ghi rõ mục đích xử lý, công cụ dùng, người truy cập, thời gian lưu và nhà cung cấp liên quan.
Checklist tuân thủ khi dùng AI
- Có quy định nội bộ về dữ liệu không được đưa vào AI.
- Có danh sách công cụ AI được phê duyệt.
- Có cơ chế consent hoặc căn cứ xử lý phù hợp với dữ liệu cá nhân.
- Có quy trình xử lý yêu cầu rút consent, sửa hoặc xóa dữ liệu nếu áp dụng.
- Có đánh giá rủi ro với use case AI ảnh hưởng đến khách hàng hoặc nhân viên.
- Có kiểm tra nhà cung cấp về lưu trữ, bảo mật và xử lý dữ liệu.
Vai trò của lãnh đạo và phòng ban
Tuân thủ AI không thể giao riêng cho IT. Lãnh đạo cần đặt nguyên tắc, pháp chế/nhân sự kiểm tra dữ liệu cá nhân, IT kiểm soát công cụ, phòng ban chịu trách nhiệm use case và quản lý trực tiếp phê duyệt output rủi ro. Mỗi người phải biết trách nhiệm của mình trước khi AI được scale.
Nội dung này không thay thế tư vấn pháp lý
Các hướng dẫn trong bài mang tính quản trị và vận hành, không phải tư vấn pháp lý chính thức. Với các use case liên quan dữ liệu nhạy cảm, tài chính, tuyển dụng hoặc tự động ra quyết định, doanh nghiệp nên tham khảo chuyên gia pháp lý và cập nhật quy định mới nhất.
DNAI có thể giúp doanh nghiệp chuẩn bị AI policy, đào tạo nhận thức và đánh giá use case rủi ro qua tư vấn AI Đà Nẵng.
