Các yêu cầu pháp lý về bảo vệ dữ liệu cá nhân khi sử dụng trí tuệ nhân tạo là gì?

Ngày đăng - 19/08/2025

Luật sư Nguyễn Lâm Sơn Tư vấn Luật bảo vệ dữ liệu cá nhân, Tư vấn Nghị định 13/2023/NĐ-CP

Các yêu cầu pháp lý về bảo vệ dữ liệu cá nhân khi sử dụng trí tuệ nhân tạo là một thách thức mới, đòi hỏi doanh nghiệp phải có quy định về AI và minh bạch thuật toán. Tại DPVN, chúng tôi cung cấp giải pháp giúp bạn sử dụng AI xử lý dữ liệu một cách có trách nhiệm, an toàn và tuân thủ các quy định pháp luật.

Tổng quan về các quy định pháp luật Việt Nam liên quan đến bảo vệ dữ liệu cá nhân khi ứng dụng AI là gì?

Khung pháp lý chính được quy định tại Điều 30 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01/01/2026. Đây là lần đầu tiên, pháp luật Việt Nam có một điều khoản riêng biệt, quy định các nguyên tắc và nghĩa vụ cụ thể cho việc xử lý dữ liệu cá nhân trong các hệ thống dữ liệu lớn và trí tuệ nhân tạo (AI).

Sự ra đời của một điều luật chuyên biệt cho AI và dữ liệu lớn là một bước tiến pháp lý quan trọng, cho thấy các nhà làm luật Việt Nam nhận thức rõ những rủi ro và thách thức đặc thù mà các công nghệ mới này mang lại. Trước đây, các hệ thống AI chỉ tuân thủ các quy định chung của Nghị định 13/2023/NĐ-CP. Nay, với Điều 30 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, các doanh nghiệp phát triển và ứng dụng AI sẽ phải đối mặt với các yêu cầu tuân thủ được “may đo” riêng cho mình.

Về chuyên môn sâu, Điều 30 không chỉ là một danh sách các nghĩa vụ. Nó thể hiện một cách tiếp cận quản trị AI dựa trên rủi ro và đạo đức, tương đồng với các xu hướng pháp lý tiên tiến trên thế giới như EU AI Act. Các quy định này tập trung vào việc đảm bảo các hệ thống AI được phát triển và sử dụng một cách công bằng, minh bạch, an toàn và tôn trọng các quyền cơ bản của con người, đặc biệt là quyền riêng tư.

Trách nhiệm của tổ chức, cá nhân khi sử dụng AI xử lý dữ liệu cá nhân theo luật Việt Nam là gì?

Theo Điều 30 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, trách nhiệm cốt lõi của tổ chức, cá nhân bao gồm: (1) Đảm bảo việc xử lý dữ liệu bằng AI phải tuân thủ đúng mục đích và giới hạn cần thiết; (2) Phù hợp với chuẩn mực đạo đức và thuần phong mỹ tục; (3) Tích hợp các biện pháp bảo mật phù hợp; (4) Thực hiện phân loại rủi ro của AI; và (5) Không được sử dụng, phát triển AI để gây tổn hại đến lợi ích quốc gia và quyền của người khác.

Đây là những nghĩa vụ pháp lý nền tảng, đòi hỏi một cách tiếp cận có trách nhiệm trong toàn bộ vòng đời của một hệ thống AI.

1. Tuân thủ Nguyên tắc Giới hạn Mục đích và Tối thiểu hóa Dữ liệu

Các hệ thống AI không được phép thu thập và xử lý dữ liệu một cách bừa bãi. Mọi hoạt động đều phải gắn với một mục đích cụ thể, hợp pháp và chỉ được xử lý lượng dữ liệu tối thiểu cần thiết để đạt được mục đích đó.

2. Phân loại theo Mức độ Rủi ro của AI

Đây là một yêu cầu mới và rất quan trọng. Khoản 4, Điều 30 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định: “Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp”.

Điều này có nghĩa là doanh nghiệp phải tự đánh giá và phân loại các hệ thống AI của mình, ví dụ như:

  • AI Rủi ro cao: Các hệ thống đưa ra các quyết định có ảnh hưởng lớn đến pháp lý hoặc cuộc sống của con người (ví dụ: AI chấm điểm tín dụng, AI chẩn đoán bệnh, AI tuyển dụng).
  • AI Rủi ro thấp: Các hệ thống có tác động ít nghiêm trọng hơn (ví dụ: AI gợi ý sản phẩm, chatbot trả lời câu hỏi chung).

Tùy thuộc vào mức độ rủi ro, doanh nghiệp sẽ phải áp dụng các biện pháp bảo vệ tương xứng.

3. Tích hợp các Biện pháp Bảo mật Phù hợp

Doanh nghiệp phải triển khai các biện pháp kỹ thuật và tổ chức để bảo vệ cả dữ liệu huấn luyện và mô hình AI khỏi các cuộc tấn công, truy cập trái phép.

4. Tuân thủ Chuẩn mực Đạo đức

Đây là một yêu cầu mang tính định tính nhưng rất quan trọng. Nó đòi hỏi các hệ thống AI phải được thiết kế và vận hành một cách công bằng, không phân biệt đối xử và tôn trọng các giá trị văn hóa, xã hội của Việt Nam.

Doanh nghiệp cần làm gì để đảm bảo tính minh bạch của thuật toán và các quyết định tự động?

Để đảm bảo minh bạch, doanh nghiệp phải thông báo cho chủ thể dữ liệu khi họ đang bị xử lý dữ liệu tự động, cung cấp một lời giải thích có ý nghĩa về logic hoạt động của thuật toán và các hậu quả tiềm tàng, đồng thời phải thiết lập một cơ chế cho phép con người can thiệp và xem xét lại các quyết định quan trọng của AI.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một kinh nghiệm thực tế khi tư vấn cho một công ty tài chính sử dụng AI để duyệt hồ sơ vay: họ có một mô hình AI ‘hộp đen’ rất phức tạp. Khi một khách hàng bị từ chối và khiếu nại, họ không thể giải thích được lý do cụ thể. Đây là một rủi ro pháp lý rất lớn. Giải pháp của chúng tôi là yêu cầu họ xây dựng một mô hình ‘có thể giải thích được’ (Explainable AI – XAI) song song, giúp nhân viên có thể truy xuất và giải thích cho khách hàng những yếu tố chính đã dẫn đến quyết định, ví dụ: ‘Hệ thống đã từ chối vì điểm tín dụng của bạn dưới ngưỡng X và tỷ lệ nợ trên thu nhập vượt quá Y’.”

Các hình thức xử phạt vi phạm quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực AI ở Việt Nam là gì?

Do việc sử dụng AI xử lý dữ liệu cá nhân thường được xem là hoạt động có rủi ro cao, các hành vi vi phạm sẽ phải đối mặt với các chế tài xử phạt nghiêm khắc nhất theo pháp luật, bao gồm phạt tiền lên tới 5% tổng doanh thu, trách nhiệm bồi thường thiệt hại cho người bị ảnh hưởng, và nguy cơ bị truy cứu trách nhiệm hình sự.

Việc không tuân thủ các quy định về AI có thể dẫn đến hậu quả pháp lý đa tầng:

  • Xử phạt hành chính: Áp dụng các khung hình phạt cao nhất của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Bồi thường thiệt hại: Nếu một quyết định sai lầm của AI gây ra thiệt hại, doanh nghiệp phải bồi thường.
  • Trách nhiệm hình sự: Nếu việc sử dụng AI dẫn đến các hành vi phạm tội nghiêm trọng.
  • Tổn thất uy tín: Một vụ bê bối liên quan đến AI thiên vị hoặc xâm phạm quyền riêng tư có thể phá hủy lòng tin của công chúng.

DPVN: Dịch Vụ Tư Vấn Tuân Thủ Toàn Diện Cho Ứng Dụng AI

Việc triển khai các ứng dụng AI một cách có trách nhiệm và tuân thủ pháp luật là một thách thức lớn, đòi hỏi sự kết hợp sâu sắc giữa chuyên môn pháp lý, kỹ thuật và đạo đức.

Đội ngũ của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, có kinh nghiệm tư vấn cho các dự án công nghệ cao. Chúng tôi có thể giúp bạn thực hiện Đánh giá Tác động Thuật toán, xây dựng quy trình quản trị AI và đảm bảo tuân thủ. Hãy liên hệ với chúng tôi:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về bảo vệ dữ liệu cá nhân khi sử dụng AI

1. Việc sử dụng ChatGPT để phân tích dữ liệu khách hàng có phải là xử lý dữ liệu bằng AI không?

Chắc chắn CÓ. Khi bạn đưa dữ liệu cá nhân của khách hàng vào một mô hình ngôn ngữ lớn như ChatGPT để yêu cầu nó tóm tắt, phân tích hay phân loại, đó chính là hành vi sử dụng AI xử lý dữ liệu. Bạn phải đảm bảo có cơ sở pháp lý hợp lệ (ví dụ: sự đồng ý của khách hàng) và phải chịu trách nhiệm về bảo mật của dữ liệu khi sử dụng các dịch vụ AI của bên thứ ba.

2. Nếu một quyết định tự động của AI bị sai và gây thiệt hại, ai sẽ chịu trách nhiệm?

Doanh nghiệp triển khai và vận hành hệ thống AI đó (với vai trò là Bên Kiểm soát Dữ liệu) sẽ chịu trách nhiệm pháp lý cuối cùng, bao gồm cả trách nhiệm bồi thường thiệt hại cho chủ thể dữ liệu.

3. Doanh nghiệp có phải công khai toàn bộ thuật toán của mình không?

Không. Việc công khai toàn bộ mã nguồn hoặc thuật toán có thể làm lộ bí mật kinh doanh. Yêu cầu về tính minh bạch chỉ đòi hỏi doanh nghiệp phải giải thích được các yếu tố chính và logic chung mà hệ thống sử dụng để đưa ra quyết định, đủ để chủ thể dữ liệu có thể hiểu và thực hiện quyền khiếu nại của mình.

4. Cập nhật mới nhất trong luật pháp Việt Nam về AI là gì?

Cập nhật lớn và quan trọng nhất chính là sự ra đời của Điều 30 trong Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Đây là lần đầu tiên pháp luật Việt Nam có một điều khoản riêng, đặt ra các nguyên tắc và nghĩa vụ cụ thể cho việc sử dụng AI trong xử lý dữ liệu cá nhân.

5. Làm thế nào để đảm bảo dữ liệu dùng để huấn luyện AI là hợp pháp?

Bạn phải đảm bảo rằng bạn có cơ sở pháp lý hợp lệ cho việc sử dụng bộ dữ liệu đó, thường là sự đồng ý của chủ thể dữ liệu cho mục đích “nghiên cứu và phát triển sản phẩm”. Nếu bạn sử dụng dữ liệu từ bên thứ ba, bạn phải thẩm định để đảm bảo họ đã thu thập dữ liệu đó một cách hợp pháp. Một giải pháp an toàn là sử dụng các kỹ thuật khử nhận dạng dữ liệu trước khi đưa vào huấn luyện.

Nguồn tham khảo:

  1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  4. EU AI Act – The Artificial Intelligence Act: https://artificialintelligenceact.eu/
  5. OECD Framework for the Classification of AI systems: https://oecd.ai/en/classification
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486