Xử lý dữ liệu cá nhân tự động là hoạt động có rủi ro cao, đặt ra nhiều thách thức tuân thủ cho doanh nghiệp về việc ra quyết định tự động và minh bạch thuật toán. Tại DPVN, chúng tôi sẽ phân tích các quy định xử lý dữ liệu tự động, giúp doanh nghiệp của bạn triển khai các hệ thống AI một cách có trách nhiệm và đúng pháp luật.
Xử lý dữ liệu cá nhân tự động là gì theo quy định của pháp luật?
Theo Khoản 13, Điều 2 Nghị định 13/2023/NĐ-CP, xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu bằng phương tiện điện tử nhằm mục đích đánh giá, phân tích, dự đoán các khía cạnh liên quan đến một con người cụ thể như thói quen, sở thích, mức độ tin cậy, hành vi và các trường hợp khác.
Về bản chất, đây là bất kỳ hình thức xử lý nào có sự can thiệp hạn chế hoặc không có sự can thiệp trực tiếp của con người trong quá trình đưa ra kết quả phân tích hoặc quyết định. Hoạt động này thường dựa trên các thuật toán và mô hình học máy (AI/ML) để tìm ra các mẫu hoặc đưa ra dự đoán từ một tập dữ liệu lớn.
Về chuyên môn sâu, khái niệm này bao gồm hai hoạt động chính:
- Lập hồ sơ (Profiling): Quá trình tự động xử lý dữ liệu cá nhân để đánh giá các khía cạnh cá nhân của một con người. Ví dụ, một ngân hàng có thể lập hồ sơ rủi ro tín dụng của khách hàng dựa trên lịch sử giao dịch và thông tin tài chính của họ.
- Ra quyết định tự động (Automated Decision-Making): Quá trình đưa ra quyết định bằng các phương tiện công nghệ mà không có sự tham gia của con người, và quyết định này có thể tạo ra các hậu quả pháp lý hoặc ảnh hưởng đáng kể đến chủ thể dữ liệu. Ví dụ, một hệ thống tự động từ chối một đơn xin vay vốn dựa trên điểm tín dụng đã được tính toán.
Việc pháp luật có một định nghĩa riêng cho hoạt động này cho thấy mức độ quan tâm đặc biệt của nhà làm luật đối với các rủi ro tiềm ẩn mà nó có thể gây ra, chẳng hạn như sự phân biệt đối xử, thiếu minh bạch và khả năng sai sót của thuật toán.
Doanh nghiệp phải tuân thủ những quy định pháp luật nào khi xử lý dữ liệu tự động?
Khi xử lý dữ liệu tự động, doanh nghiệp phải tuân thủ các quy định chung của Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Đặc biệt, doanh nghiệp phải có cơ sở pháp lý rõ ràng (thường là sự đồng ý), thông báo minh bạch cho chủ thể dữ liệu và thực hiện Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) do đây là hoạt động có rủi ro cao.
Mặc dù pháp luật Việt Nam chưa có một chương riêng biệt về xử lý dữ liệu tự động như Điều 22 của GDPR, các nghĩa vụ liên quan được quy định lồng ghép trong các điều khoản khác.
| Nghĩa vụ pháp lý | Yêu cầu cụ thể |
|---|---|
| Cơ sở pháp lý | Phải có sự đồng ý rõ ràng, tự nguyện của chủ thể dữ liệu. Sự đồng ý này phải được thu thập sau khi đã thông báo đầy đủ về bản chất của việc xử lý tự động. |
| Minh bạch | Doanh nghiệp phải thông báo cho chủ thể dữ liệu về việc họ đang bị xử lý dữ liệu tự động, bao gồm (ở mức độ hợp lý) logic hoạt động của thuật toán và các hậu quả tiềm tàng. |
| Đánh giá tác động | Do đây là hoạt động có rủi ro cao, doanh nghiệp bắt buộc phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để phân tích và giảm thiểu các nguy cơ. |
| An toàn và Công bằng | Phải có các biện pháp kỹ thuật để đảm bảo an ninh cho hệ thống và các biện pháp để ngăn chặn sự thiên vị, phân biệt đối xử của thuật toán. |
Doanh nghiệp có những trách nhiệm cụ thể nào khi triển khai hệ thống xử lý dữ liệu tự động?
Trách nhiệm của doanh nghiệp bao trùm cả vòng đời của hệ thống, từ khâu thiết kế, thu thập dữ liệu, đến vận hành và giám sát. Các trách nhiệm chính bao gồm đảm bảo chất lượng dữ liệu đầu vào, kiểm tra và giảm thiểu sự thiên vị của thuật toán, cung cấp cơ chế giải thích và can thiệp cho con người, và đảm bảo an ninh hệ thống.
Việc triển khai một hệ thống AI có trách nhiệm không chỉ là vấn đề của đội ngũ kỹ sư. Nó đòi hỏi một quy trình quản trị chặt chẽ.
Đảm bảo Chất lượng và Tính đại diện của Dữ liệu huấn luyện
Một thuật toán chỉ tốt khi dữ liệu dùng để huấn luyện nó tốt. Nếu dữ liệu đầu vào có sự thiên vị (ví dụ: tập dữ liệu để nhận diện khuôn mặt chủ yếu là nam giới), thì thuật toán sẽ hoạt động kém chính xác với nữ giới. Trách nhiệm của doanh nghiệp là phải đảm bảo tập dữ liệu huấn luyện đầy đủ, chính xác và mang tính đại diện cho nhóm đối tượng mà nó sẽ tác động.
Kiểm tra và Giảm thiểu Thiên vị (Bias) của Thuật toán
Các thuật toán có thể vô tình tạo ra sự phân biệt đối xử.
Ví dụ thực tế: Một hệ thống tuyển dụng tự động được huấn luyện dựa trên dữ liệu lịch sử của công ty, nơi mà các vị trí kỹ thuật chủ yếu do nam giới đảm nhiệm. Thuật toán có thể “”học”” được sự thiên vị này và tự động đánh giá thấp hồ sơ của các ứng viên nữ cho vị trí tương tự, dù họ có đủ năng lực. Doanh nghiệp phải có quy trình kiểm tra (audit) định kỳ để phát hiện và hiệu chỉnh những sự thiên vị này.
Cung cấp sự minh bạch và Quyền được giải thích
Khi một quyết định tự động có ảnh hưởng lớn đến một cá nhân (như từ chối tín dụng, từ chối tuyển dụng), họ có quyền được biết tại sao. Doanh nghiệp phải có khả năng giải thích (ở mức độ hợp lý) các yếu tố chính đã dẫn đến quyết định của thuật toán. Việc sử dụng các mô hình AI “”hộp đen”” (black box) mà không thể giải thích được có thể là một rủi ro pháp lý lớn.
Thiết lập cơ chế “Con người trong vòng lặp” (Human-in-the-Loop)
Đối với các quyết định quan trọng, không nên phụ thuộc hoàn toàn vào máy móc. Doanh nghiệp cần xây dựng một quy trình cho phép con người (một nhân viên có thẩm quyền) xem xét, rà soát và có thể đảo ngược quyết định của hệ thống tự động, đặc biệt là khi có khiếu nại từ chủ thể dữ liệu.
Chủ thể dữ liệu có những quyền đặc thù nào khi bị xử lý dữ liệu tự động?
Mặc dù chưa được quy định thành một điều khoản riêng biệt trong luật Việt Nam, nhưng dựa trên tinh thần của luật và thông lệ quốc tế, chủ thể dữ liệu có quyền không phải chịu một quyết định hoàn toàn dựa trên xử lý tự động nếu nó có ảnh hưởng pháp lý hoặc tương tự. Họ có quyền yêu cầu sự can thiệp của con người, bày tỏ quan điểm và khiếu nại quyết định đó.
Đây là những quyền phái sinh từ các quyền cơ bản như quyền phản đối, quyền khiếu nại. Khi đối mặt với một quyết định tự động, bạn có thể:
- Yêu cầu sự can thiệp của con người: Bạn có quyền yêu cầu một nhân viên có thẩm quyền của công ty xem xét lại trường hợp của bạn.
- Yêu cầu một lời giải thích: Bạn có quyền được biết những yếu tố chính đã dẫn đến quyết định của hệ thống.
- Khiếu nại quyết định: Bạn có quyền đưa ra các lập luận, bằng chứng để phản đối kết quả và yêu cầu một sự đánh giá lại.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Chúng tôi dự báo rằng các tranh chấp liên quan đến quyết định của AI sẽ ngày càng gia tăng. Một vụ việc điển hình ở nước ngoài là một người bị từ chối bảo hiểm tự động vì thuật toán cho rằng khu vực sinh sống của anh ta có rủi ro cao. Anh ta đã khởi kiện thành công khi chứng minh được rằng thuật toán đã sử dụng các dữ liệu lỗi thời và mang tính phân biệt đối xử. Bài học cho các doanh nghiệp Việt Nam là phải chuẩn bị sẵn sàng cho những tình huống tương tự.”
DPVN: Tư Vấn Tuân Thủ Cho Các Hệ Thống AI và Xử Lý Tự Động
Việc ứng dụng AI và xử lý dữ liệu tự động mang lại nhiều lợi ích nhưng cũng đi kèm với những rủi ro pháp lý phức tạp. Việc đảm bảo các hệ thống của bạn công bằng, minh bạch và tuân thủ là một yêu cầu bắt buộc.
Đội ngũ chuyên gia của DPVN có kinh nghiệm tư vấn cho các dự án công nghệ cao. Chúng tôi có thể giúp bạn thực hiện Đánh giá tác động thuật toán, xây dựng quy trình quản trị AI và đảm bảo tuân thủ. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:
Hotline: 0982976486 (Luật sư Nguyễn Lâm Sơn)
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về Xử lý dữ liệu cá nhân tự động
1. Quảng cáo nhắm mục tiêu trên Facebook có phải là xử lý dữ liệu tự động không?
Chắc chắn CÓ. Hệ thống của Facebook tự động phân tích các dữ liệu như sở thích, hành vi, độ tuổi, vị trí của bạn để quyết định hiển thị quảng cáo nào. Đây là một ví dụ điển hình của việc lập hồ sơ (profiling) cho mục đích quảng cáo.
2. Hệ thống gợi ý sản phẩm của Shopee, Tiki có phải là xử lý tự động không?
Có. Các hệ thống này phân tích lịch sử mua hàng và xem sản phẩm của bạn để tự động đưa ra các gợi ý. Tuy nhiên, vì các quyết định này (gợi ý sản phẩm) thường không tạo ra hậu quả pháp lý hoặc ảnh hưởng nghiêm trọng, mức độ rủi ro của nó thấp hơn so với hệ thống chấm điểm tín dụng.
3. Doanh nghiệp có phải công khai toàn bộ thuật toán của mình không?
Không. Việc công khai toàn bộ mã nguồn hoặc thuật toán có thể làm lộ bí mật kinh doanh. Yêu cầu về tính minh bạch chỉ đòi hỏi doanh nghiệp phải giải thích được các yếu tố chính và logic chung mà hệ thống sử dụng để đưa ra quyết định, đủ để chủ thể dữ liệu có thể hiểu và thực hiện quyền khiếu nại của mình.
4. Nếu một quyết định tự động bị sai và gây thiệt hại, ai sẽ chịu trách nhiệm?
Doanh nghiệp triển khai và vận hành hệ thống đó (với vai trò là Bên Kiểm soát Dữ liệu) sẽ chịu trách nhiệm pháp lý cuối cùng, bao gồm cả trách nhiệm bồi thường thiệt hại cho chủ thể dữ liệu.
5. Việc sử dụng ChatGPT để phân tích dữ liệu khách hàng có phải là xử lý tự động không?
Có. Khi bạn đưa dữ liệu cá nhân của khách hàng vào một mô hình ngôn ngữ lớn như ChatGPT để yêu cầu nó tóm tắt, phân tích hay phân loại, đó chính là hành vi xử lý dữ liệu tự động. Doanh nghiệp phải đảm bảo có cơ sở pháp lý để làm việc này và phải chịu trách nhiệm về bảo mật của dữ liệu khi sử dụng các dịch vụ AI của bên thứ ba.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
- Article 22 of GDPR – Automated individual decision-making, including profiling: https://gdpr-info.eu/art-22-gdpr/
- OECD Framework for the Classification of AI systems: https://oecd.ai/en/classification