Xử lý dữ liệu cá nhân bằng AI tiềm ẩn nhiều rủi ro

Theo bà Nguyễn Lan Phương, Nghị định 13/2023/NĐ-CP là văn bản pháp lý đầu tiên tại Việt Nam chính thức sử dụng khái niệm dữ liệu cá nhân, quy định về nghĩa vụ bảo vệ dữ liệu cá nhân đối với các chủ thể có hoạt động thu thập, xử lý dữ liệu cá nhân. Nghĩa vụ bảo vệ dữ liệu cá nhân bao gồm 3 loại nghĩa vụ về nhân sự, hành chính, kĩ thuật và được xây dựng dựa trên 4 nguyên tắc gồm đồng thuận, tối thiểu, bảo mật và hợp pháp.

Theo đó, chủ thể thu thập, xử lý dữ liệu cá nhân chỉ được thu thập, xử lý dữ liệu cá nhân cho mục đích nhất định khi có sự đồng ý của chủ thể dữ liệu. Khi xử lý dữ liệu cá nhân, chủ thể này phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân và dự báo các rủi ro có khả năng xảy ra, thực hiện biện pháp kĩ thuật từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu và (được khuyến khích) áp dụng các tiêu chuẩn trong ngành để bảo vệ dữ liệu cá nhân.

"Đây là các quy định đáp ứng được thách thức do công nghệ phức tạp như công nghệ AI đặt ra. Bởi hiện nay, chúng ta chưa dự liệu hết các rủi ro khi áp dụng AI để xử lý dữ liệu cá nhân và công nghệ AI phát triển rất nhanh chóng. Vì vậy, quy định nghĩa vụ đánh giá rủi ro và khuyến khích áp dụng tiêu chuẩn công nghệ sẽ bảo đảm hoạt động xử lý dữ liệu cá nhân luôn được thiết kế để bảo đảm quyền riêng tư cá nhân", bà Phương nói.

Cũng theo bà Nguyễn Lan Phương, việc ứng dụng AI trong xử lý dữ liệu cá nhân sẽ tạo ra một số thách thức với chính sách.

"Làm sao để tận dụng AI trong xử lý lượng lớn dữ liệu cá nhân để phát triển kinh tế mà vẫn bảo đảm sự riêng tư, tự do cá nhân? Một số câu hỏi đặt ra như: liệu nguyên tắc đồng thuận và tối thiểu có tạo ra thách thức cho hoạt động tận dụng công nghệ để phát triển kinh tế - xã hội? Nên chăng đặt ra nguyên tắc hợp lý và tương thích. Đó là cho phép sử dụng lại dữ liệu cá nhân vào mục đích khác mục đích ban đầu trong trường hợp không ảnh hưởng đến lợi ích hợp pháp, chính đáng của chủ thể dữ liệu và sử dụng biện pháp bảo mật tương thích để bảo vệ dữ liệu cá nhân. Nguyên tắc này có thể được giải thích cặn kẽ hơn trong nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân", bà Phương chia sẻ.

Liên quan đến hoạt động của doanh nghiệp xử lý dữ liệu cá nhân, ông Nguyễn Quang Đồng - Viện trưởng IPS đặt câu hỏi: "chính sách pháp luật hiện nay về bảo vệ dữ liệu cá nhân đã đáp ứng yêu cầu đặt ra trong bối cảnh AI chưa và doanh nghiệp có vai trò như thế nào trong phát triển chiến lược quản trị dữ liệu?".

Trả lời câu hỏi này, bà Nguyễn Lan Phương cho rằng, với 4 nguyên tắc đồng thuận, tối thiểu, bảo mật và hợp pháp, Nghị định 13/2023/NĐ-CP đảm bảo rằng dữ liệu cá nhân được xử lý mà không xâm phạm đến sự riêng tư cá nhân. Doanh nghiệp trước tiên cần tuân thủ các quy định do Nhà nước đặt ra. Ngoài ra, cần tích cực áp dụng tiêu chuẩn công nghệ để bảo vệ dữ liệu cá nhân. Hiện nay, đã có tiêu chuẩn ISO về trách nhiệm xã hội của doanh nghiệp, doanh nghiệp nên cập nhật và áp dụng tiêu chuẩn này.

Ông Huỳnh Thiên Tứ - Giảng viên Khoa Luật tại Trường Đại học Kinh tế TP Hồ Chí Minh (UEH) cho rằng, ngoài tuân thủ quy định pháp luật, doanh nghiệp có thể tham gia đóng góp ý kiến xây dựng chính sách bảo vệ dữ liệu cá nhân, quản trị dữ liệu.

Nhấn mạnh nội dung phản ứng chính sách cần có để bảo vệ dữ liệu cá nhân trong bối cảnh AI, ông Nhân cho rằng cần có phản ứng chính sách để bảo vệ dữ liệu cá nhân trong bối cảnh AI. Thay vì chỉ tiếp cận từ góc độ đặt ra các chuẩn mực mới cho doanh nghiệp, cần giáo dục để nâng cao nhận thức của người dân - những người sử dụng công nghệ số, giúp họ hiểu ra AI là gì và ảnh hưởng như thế nào đến cuộc sống của họ.

"Chính sách là để tạo ra ranh giới cho sự phát triển của AI. Công nghệ được tạo ra và sử dụng trong sự tôn trọng quyền riêng tư chứ không để công nghệ phát triển tự do và không lường trước rủi ro", ông Tứ nói.