Luật DLCN 2025: các rủi ro pháp lý khi dùng AI

Dùng AI trong kinh doanh? Luật Bảo vệ Dữ liệu Cá nhân mới buộc bạn phải có sự đồng ý, xóa dữ liệu theo yêu cầu và lập hồ sơ khi dùng dịch vụ AI nước ngoài. Checklist các vấn đề tuân thủ .

Công ty bạn có dưới 10 nhân viên? Bạn có đang dùng Gmail cho công việc, lưu CV ứng viên trên Google Drive, hay dùng máy chấm công vân tay?

Nếu có, rất có thể bạn đang nghĩ rằng mình là “doanh nghiệp nhỏ” và sẽ được “miễn trừ” khỏi các quy định phức tạp nhất của Luật Bảo vệ Dữ liệu Cá nhân (Luật DLCN) sắp có hiệu lực vào năm 2026.

Đây là một hiểu lầm chết người.

Sự thật là, chỉ cần bạn vô tình lưu một chiếc CV có ghi tôn giáo, hay dùng máy chấm công vân tay, quyền miễn trừ mà bạn nghĩ mình có thể sẽ tự động bị vô hiệu hóa. Khi đó, công ty của bạn, dù nhỏ đến đâu, cũng sẽ phải đối mặt với những nghĩa vụ tuân thủ nghiêm ngặt không khác gì một tập đoàn lớn, đặc biệt là khi sử dụng các công cụ AI.

Cái bẫy “miễn trừ” này chỉ là một trong nhiều vấn đề pháp lý mà Luật DLCN 2025 mang lại cho các doanh nghiệp đang ứng dụng AI. Bài viết này sẽ phân tích những rủi ro thực tế nhất, từ bài toán unlearning của AI, cho đến việc chuẩn bị hồ sơ khi dùng dịch vụ nước ngoài, và cung cấp một checklist hành động cụ thể để bạn chuẩn bị ngay từ bây giờ.

Xem lại Bài 1: đánh giá tổng quan về việc áp dụng luật DLCN

Bài 2: Quyền lãng quên dưới quy định của Luật DLCN (aka người dùng có quyền gì khi dữ liệu bị rò rỉ)

1. Nguyên tắc vàng: Phải có sự Đồng ý, đặc biệt là với AI

Luật DLCN đặt sự đồng ý rõ ràng (explicit consent) làm nền tảng. Nếu bạn đang đưa hồ sơ ứng viên, đoạn chat của khách hàng, hay bản ghi âm cuộc gọi vào một hệ thống AI để xử lý, bạn bắt buộc phải có được sự đồng ý cụ thể và minh bạch từ họ. Đừng cho rằng dữ liệu đó “công khai” là bạn có thể tự do sử dụng.

Các trường hợp ngoại lệ (ví dụ: để bảo vệ lợi ích hợp pháp) tồn tại nhưng rất hẹp và khó áp dụng cho hầu hết các trường hợp kinh doanh. Hãy mặc định rằng: dùng AI xử lý dữ liệu cá nhân là phải xin phép.

2. Xóa dữ liệu và bài toán Unlearning Của AI

Luật DLCN quy định rõ nghĩa vụ phải xóa dữ liệu cá nhân khi khách hàng yêu cầu, khi mục đích xử lý đã hoàn thành, hoặc khi hết thời hạn lưu trữ.

Nhưng với AI, “xóa” không đơn giản là nhấn nút Delete. Một khi dữ liệu đã được dùng để huấn luyện một mô hình, ảnh hưởng của nó không thể bị loại bỏ một cách triệt để.

Như đã được phân tích khá kỹ ở bài blog trước, các kỹ thuật machine unlearning (lãng quên máy học) có thể giúp, nhưng chúng không hoàn hảo và tốn kém.

Hành động của bạn:

  • Với nhà cung cấp AI: Hợp đồng của bạn phải quy định rõ cách họ sẽ xử lý các yêu cầu xóa dữ liệu của bạn và khách hàng của bạn.
  • Nếu tự xây dựng AI: Phải có sẵn quy trình huấn luyện lại mô hình (retraining) hoặc các quy trình unlearning được ghi nhận bằng văn bản. Quan trọng nhất là phải lưu lại bằng chứng cho các nỗ lực này.

3. Rủi ro trong tuyển dụng và nhân sự

Phòng nhân sự của bạn đang dùng một hệ thống sàng lọc CV (Applicant Tracking System – ATS) bằng AI để xử lý hàng ngàn hồ sơ? Chúc mừng, bạn đang đi đầu về công nghệ. Nhưng đồng thời, bạn cũng có thể đang ngồi trên một “quả bom nổ chậm” pháp lý theo Luật DLCN.

Vấn đề là, công cụ tiện lợi này vừa tạo ra hai rủi ro pháp lý khổng lồ mà các quy trình tuyển dụng thủ công trước đây không gặp phải ở quy mô này.

  • Thứ nhất, bài toán “unlearning” được áp dụng trên quy mô lớn. Luật yêu cầu bạn phải xóa dữ liệu của ứng viên không trúng tuyển. Nhưng khi một mô hình AI đã “học” từ hàng ngàn CV, làm sao để bạn ra lệnh cho nó “quên” đi các kỹ năng, kinh nghiệm, và thông tin của một ứng viên cụ thể? Việc chỉ đơn giản là xóa tệp CV gốc khỏi hệ thống là không đủ. Dữ liệu đó đã trở thành một phần “trí tuệ” của mô hình. Điều này biến mỗi yêu cầu xóa trở thành một thách thức kỹ thuật, đòi hỏi bạn phải có quy trình huấn luyện lại hoặc yêu cầu nhà cung cấp ATS của bạn phải có một giải pháp “unlearning” hiệu quả.
  • Thứ hai, và nguy hiểm hơn, là cái bẫy “dữ liệu nhạy cảm” vô tình. CV là một “mỏ vàng” của các loại dữ liệu nhạy cảm được ứng viên tự nguyện cung cấp: tôn giáo, tình trạng sức khỏe, dân tộc, quan điểm chính trị… Khi hệ thống ATS của bạn tự động quét và lưu trữ hàng loạt các tệp CV này, nó cũng đang âm thầm thu thập và xử lý dữ liệu nhạy cảm trên quy mô lớn.

Đây chính là lúc quyền miễn trừ 5 năm dành cho doanh nghiệp nhỏ của bạn có thể bị vô hiệu hóa. Chỉ cần hệ thống của bạn lưu trữ một chiếc CV có ghi tôn giáo, bạn đã chính thức trở thành một đơn vị xử lý dữ liệu nhạy cảm và phải tuân thủ mọi quy định nghiêm ngặt nhất của luật.

Do đó, bạn cần:

  • Rà soát ngay lập tức hệ thống ATS: Xác định xem nó có đang tự động trích xuất và lưu trữ các thông tin có thể bị coi là nhạy cảm hay không.
  • Tối thiểu hóa dữ liệu (data minimization): Trong các biểu mẫu ứng tuyển trực tuyến, hãy loại bỏ mọi trường thông tin không thực sự cần thiết và có thể bị xem là nhạy cảm.
  • Hợp đồng với nhà cung cấp ATS: Hợp đồng của bạn phải có điều khoản rõ ràng về việc hỗ trợ xóa dữ liệu theo yêu cầu và quy trình xử lý dữ liệu nhạy cảm.
  • Quy trình nội bộ: Thiết lập chính sách mặc định xóa dữ liệu ứng viên không thành công sau một thời gian ngắn. Nếu muốn giữ lại thông tin cho một talent pool, bạn phải có một thỏa thuận đồng ý riêng biệt, rõ ràng và có thời hạn từ ứng viên.

4. Sử dụng công cụ AI nước ngoài? Hãy chuẩn bị hồ sơ

Các hệ thống AI tốt nhất hiện nay đều đặt máy chủ ở nước ngoài. Nếu công ty bạn có thao tác với dữ liệu cá nhân bằng các giải pháp AI này, bạn bắt buộc phải chuẩn bị một Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới và nộp cho Cục An ninh mạng trong vòng 60 ngày kể từ lần chuyển (hoặc sử dụng nền tảng – điểm c khoản 1 Điều 20) đầu tiên.

Hãy nhớ rằng, Cục có quyền tạm dừng việc chuyển dữ liệu. Do đó, việc chuẩn bị sẵn sàng hồ sơ và có sự hợp tác từ nhà cung cấp là cực kỳ quan trọng.

5. Khi AI làm rò rỉ dữ liệu

Nếu một công cụ AI làm lộ hoặc lạm dụng dữ liệu cá nhân, bạn phải thông báo cho Cục An ninh mạng trong vòng 72 giờ. Trong một số trường hợp, bạn còn phải thông báo cho chính những người bị ảnh hưởng.

Thực tế là Luật DLCN chưa có một cơ chế “thông báo và hành động” (notice-and-action) hiệu quả như ở EU. Do đó, doanh nghiệp của bạn nên chuẩn bị sẵn một playbook, quy định rõ quy trình liên hệ trực tiếp với các nền tảng hoặc nhà cung cấp dịch vụ để yêu cầu gỡ bỏ dữ liệu bị rò rỉ.

6. SMB có được “miễn trừ” không?

Luật DLCN có một giai đoạn ân hạn, cho phép các doanh nghiệp nhỏ và startup (SMBs) được lựa chọn không thực hiện một số nghĩa vụ đánh giá trong vòng 5 năm. Về lý thuyết, đây là tin tốt.

Nhưng thực tế thì đây là một “món quà” có thể bị thu hồi bất cứ lúc nào. Sự miễn trừ này sẽ bị vô hiệu hóa ngay lập tức nếu doanh nghiệp của bạn, dù nhỏ đến đâu, rơi vào một trong ba trường hợp: (1) trực tiếp xử lý dữ liệu cá nhân nhạy cảm, (2) xử lý dữ liệu quy mô lớn, hoặc (3) là nhà cung cấp dịch vụ xử lý dữ liệu. Rất nhiều trường hợp sử dụng AI có thể rơi vào một trong ba nhóm này (khoản 2 Điều 38). Đừng chủ quan.

Cái bẫy chết người nằm ở mục (1). Định nghĩa “dữ liệu nhạy cảm” rất rộng, và hành vi “xử lý” còn rộng hơn nữa. Theo luật, “xử lý” bao gồm cả việc lưu trữ. Điều này có nghĩa là:

  • Phòng nhân sự của bạn nhận và lưu một tệp CV có ghi tôn giáo hoặc tình trạng sức khỏe của ứng viên? Bạn đang xử lý dữ liệu nhạy cảm.
  • Hệ thống CRM của bạn lưu thông tin tài khoản ngân hàng của khách hàng để xuất hóa đơn? Bạn đang xử lý dữ liệu nhạy cảm.
  • Công ty bạn dùng máy chấm công bằng vân tay/nhận diện khuôn mặt? Có thể bạn đang xử lý dữ liệu nhạy cảm.

Chỉ cần một trong những kịch bản trên xảy ra, dù chỉ là vô tình, quyền miễn trừ của bạn sẽ không còn. Khi đó, doanh nghiệp của bạn phải tuân thủ mọi quy định nghiêm ngặt nhất của luật, giống như một tập đoàn lớn. Đừng chủ quan, vì rất có thể bạn đã mất quyền miễn trừ mà không hề hay biết.

Important: Checklist cho doanh nghiệp dùng AI

Để tuân thủ Luật DLCN trong kỷ nguyên AI không chỉ là việc xóa vài dòng trong cơ sở dữ liệu. Nó đòi hỏi một một chiến lược chuẩn bị toàn diện, kết hợp giữa quản trị, kỹ thuật và pháp lý. Dưới đây là một playbook/checklist các vấn đề mà bạn nên cân nhắc.

1. Về Quản trị & Thiết kế (Governance & Design)

Đây là bước nền tảng để tránh các vấn đề phát sinh ngay từ đầu.

  • ☐ Lập bản đồ dữ liệu chi tiết, không chỉ là dòng chảy: Phải xác định và ghi lại tất cả những nơi dữ liệu cá nhân có thể tồn tại: từ các bộ sưu tập thô, training set, các vector embedding, bộ nhớ đệm (caches), cho đến các bản ghi hệ thống (logs). Gắn mỗi tài sản dữ liệu với một mục đích, cơ sở pháp lý, và thời hạn lưu trữ cụ thể.
  • ☐ Đánh phiên bản (versioning) cho các bộ dữ liệu: Gán mã định danh (hash/ID) cho từng bản ghi. Đây là một bước kỹ thuật quan trọng, cho phép bạn có khả năng truy vết và xóa bỏ một điểm dữ liệu cụ thể trên mọi hệ thống lưu trữ và kho huấn luyện một cách chính xác.
  • ☐ Ưu tiên dữ liệu đã được phi định danh hoặc dữ liệu tổng hợp (synthetic data): Nơi nào có thể, hãy sử dụng dữ liệu không định danh để giảm thiểu rủi ro ngay từ đầu. Đồng thời, phải kiểm tra để đảm bảo dữ liệu đó không thể bị định danh lại thông qua các cuộc tấn công liên kết (linkage attacks).
2. Về Vận hành & Kỹ thuật (Operations & Tech)

Đây là các hành động cụ thể để thực thi nghĩa vụ xóa.

  • ☐ Lên kế hoạch “unlearning” có cấu trúc hoặc huấn luyện lại (retraining) có kiểm soát: Đối với các mô hình tự xây dựng, phải lựa chọn và τεστ trước các phương pháp gỡ bỏ học máy. Cân nhắc các kiến trúc “chia để trị” (partition-aware training, ví dụ như SISA) để giảm chi phí xóa trong tương lai.
  • ☐ Thực hiện “dọn dẹp” triệt để: Khi có yêu cầu xóa, quy trình phải đảm bảo dữ liệu được gỡ bỏ khỏi tất cả các nơi: dữ liệu huấn luyện, feature stores, các bộ dữ liệu tinh chỉnh (fine-tune sets), bộ dữ liệu đánh giá (eval sets), và cả các bản sao lưu (backups). Ghi lại bằng chứng về việc hoàn thành.
  • ☐ Chạy kiểm tra “hậu xóa” (Post-deletion Probes): Đây là bước đi thể hiện sự thiện chí cao nhất. Sau khi xóa, hãy chủ động dùng các câu lệnh (prompts) nhạy cảm liên quan đến dữ liệu đã xóa để kiểm tra xem mô hình có còn “nhớ” hay tạo ra nội dung liên quan không. Lưu lại kịch bản và kết quả kiểm tra để làm bằng chứng về nỗ lực tuân thủ.
3. Về Hợp đồng & Tuân thủ (Contracts & Compliance)

Đây là lớp phòng thủ pháp lý và quy trình của bạn.

  • ☐ Yêu cầu cam kết bằng hợp đồng từ nhà cung cấp AI: Đừng chỉ tin vào lời quảng cáo. Hợp đồng phải quy định rõ: (1) quy trình hỗ trợ xóa dữ liệu, (2) ranh giới sử dụng dữ liệu rõ ràng, và (3) các bộ lọc an toàn đã được tích hợp để giảm thiểu việc tái tạo nội dung đã xóa. Yêu cầu và lưu trữ các văn bản xác nhận từ nhà cung cấp để phục vụ cho việc kiểm tra.
  • ☐ Xây dựng cổng tiếp nhận yêu cầu tập trung: Thiết lập một kênh duy nhất để người dùng gửi yêu cầu, với quy trình xác minh danh tính, theo dõi trạng thái, và thời hạn xử lý rõ ràng.
  • ☐ Chuẩn bị sẵn hồ sơ chuyển dữ liệu xuyên biên giới: Đối với mọi công cụ AI (huấn luyện, hosting, phân tích) có chuyển dữ liệu ra khỏi Việt Nam, hãy chuẩn bị sẵn hồ sơ đánh giá tác động để nộp cho cơ quan chức năng theo đúng thời hạn.
  • ☐ Mặc định xóa dữ liệu ứng viên không trúng tuyển: Điều chỉnh hệ thống tuyển dụng để tự động xóa dữ liệu ứng viên sau một thời gian nhất định, trừ khi có một thỏa thuận riêng và rõ ràng để đưa họ vào “talent pool” có thời hạn.
  • ☐ Chuẩn bị playbook ứng phó sự cố rò rỉ: Phân công rõ trách nhiệm và các bước hành động để đảm bảo tuân thủ thời hạn thông báo 72 giờ cho cơ quan chức năng và cho người bị ảnh hưởng khi luật yêu cầu.

Kết luận

Việc tuân thủ Luật DLCN trong kỷ nguyên AI không chỉ là việc của phòng IT. Nó là trách nhiệm của cả phòng nhân sự, marketing, chăm sóc khách hàng và quản lý nhà cung cấp. Luật pháp quy định bạn phải có khả năng xóa dữ liệu khi được yêu cầu, phải có sự đồng ý cho hầu hết các hoạt động xử lý, và phải quản lý chặt chẽ các công cụ AI xuyên biên giới.

Các kỹ thuật unlearning dùng cho AI không phải là một cây đũa thần, nên việc chứng minh rằng bạn có quy trình, có hợp đồng, và có những nỗ lực được ghi nhận bằng văn bản sẽ giúp bạn giảm thiểu các rủi ro pháp lý và quản lý.

Tags

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *