AI bùng nổ, rủi ro rò rỉ dữ liệu nội bộ doanh nghiệp gia tăng

"Có một giai đoạn, người dùng liên tục nhận được các cuộc gọi với lời chào quen thuộc: Em gọi từ công ty chứng khoán..., em bên bảo hiểm..., em hỗ trợ vay vốn... Vậy những dữ liệu đó từ đâu ra?".

Bà Phạm Quỳnh Nhi, cố vấn cấp cao, trưởng bộ phận Luật công nghệ và bảo mật dữ liệu (thị trường Việt Nam và Singapore) của hãng luật quốc tế DS Avocats Vietnam, đã đặt vấn đề như trên tại "Diễn đàn lao động Việt Nam 2026" với chủ đề "Quản lý dữ liệu lao động trong bối cảnh AI", diễn ra mới đây.

Câu trả lời của chính chuyên gia này đã chỉ ra là một thực trạng đáng báo động: nguồn cơn xuất phát từ chính các vụ rò rỉ dữ liệu nội bộ của doanh nghiệp.

Theo bà Nhi, hiện nay không ít công ty vẫn chuyển giao dữ liệu của nhân viên và ứng viên cho bên thứ ba để xử lý các nghiệp vụ như tính lương, cung cấp bảo hiểm hoặc vận hành phần mềm quản trị nhân sự. Quy trình này thường thiếu các cơ chế kiểm soát và cam kết bảo mật chặt chẽ.

"Chỉ cần một mắt xích trong chuỗi cung ứng lỏng lẻo, dữ liệu cá nhân lập tức biến thành "mỏ vàng" cho tin tặc khai thác", bà Nhi nói.

Thực tế cho thấy, nhiều lãnh đạo nhân sự vẫn giữ tâm lý chủ quan với lập luận: "Hợp đồng đã quy định rõ, nếu đối tác làm lộ dữ liệu thì họ phải bồi thường". Tuy nhiên, dưới góc nhìn pháp lý, chuyên gia khẳng định đây là một sự ngộ nhận nguy hiểm.

"Khi sự cố rò rỉ xảy ra, thiệt hại về uy tín thương hiệu, niềm tin của người lao động và các chế tài xử phạt hành chính từ cơ quan quản lý đối với doanh nghiệp chủ quản là không thể đảo ngược, bất chấp các điều khoản đền bù trên giấy tờ với bên thứ ba", bà Nhi khẳng định.

Cơn bão AI càn quét: Cấm đoán là tư duy thất bại

Dẫn câu chuyện về những nguy hiểm có thể xảy ra, bà Quỳnh Nhi cho hay, khi sự cố dữ liệu bị lộ xảy ra, nhà cung cấp dịch vụ chỉ có trách nhiệm báo cáo và bồi thường cho doanh nghiệp theo thỏa thuận dân sự. Còn trước pháp luật về bảo vệ dữ liệu cá nhân, doanh nghiệp với tư cách "bên kiểm soát dữ liệu" mới là chủ thể phải đứng mũi chịu sào: giải trình với cơ quan quản lý, đối mặt với các chế tài xử phạt nghiêm khắc và hứng chịu tổn thất uy tín khó có thể đo đếm.

"Người lao động sẽ không tìm đến nhà cung cấp để đòi lại quyền lợi. Họ sẽ gõ cửa chính doanh nghiệp đã thu thập và quản lý dữ liệu của mình. Và khi niềm tin đối với doanh nghiệp bị đánh cắp, cái giá phải trả luôn lớn hơn rất nhiều so với một khoản tiền bồi thường", bà Nhi nói.

Ở góc nhìn quản trị, bà Nhi cho hay, trước những rủi ro rò rỉ thông tin qua AI, phản ứng đầu tiên của không ít ban điều hành doanh nghiệp là cấm! Chặn hết mọi truy cập vào chatGPT, gemini hay các nền tảng tương tự trên hệ thống mạng nội bộ.

Bà Phạm Quỳnh Nhi, Trưởng bộ phận Luật công nghệ và bảo mật dữ liệu (Việt Nam và Singapore), DS Avocats Vietnam, chia sẻ tại diễn đàn. Ảnh: Quốc Hải

Tuy nhiên, theo các chuyên gia, đây là cách tiếp cận bất khả thi và đi lùi lại thời đại. Xu hướng sử dụng AI là không thể đảo ngược, giống như việc nhân loại đã quen dùng định vị GPS thì không ai muốn quay lại lật từng trang bản đồ giấy.

Doanh nghiệp càng cấm, người lao động càng xài lén. Họ tắt wifi công ty, bật 4G cá nhân lên để dùng.

Khi đó, tình huống còn nguy hiểm hơn khi doanh nghiệp hoàn toàn 'mù' thông tin, không thể kiểm soát được những bí mật kinh doanh hay hồ sơ nhân sự nào đang bị tuồn ra ngoài cho AI 'hấp thụ'.

Thay vì chặn đứng dòng chảy công nghệ, doanh nghiệp bắt buộc phải đi theo nó nhưng bằng một khung quản trị rủi ro chặt chẽ, áp dụng cơ chế 'con người giám sát quy trình'. AI có thể rất mượt mà, đưa ra báo cáo kỷ luật lao động hay tư vấn pháp lý như một chuyên gia cao cấp chỉ trong 3 phút. Nhưng nếu không có con người kiểm tra lại hồ sơ gốc, doanh nghiệp sẽ sập bẫy hiện tượng "ảo tưởng của AI" - khi máy tính tự tin bịa ra các tình tiết không có thật để củng cố cho lập luận của nó, dẫn đến những quyết định sa thải, kỷ luật trái pháp luật.

Ở góc nhìn khác, bà Nguyễn Thúy Hằng, luật sư hợp danh quốc tế, Trưởng bộ phận tư vấn lao động và việc làm tại văn phòng Baker McKenzie Việt Nam, nhấn mạnh một tình huống tưởng như rất bình thường đã cho thấy những rủi ro đáng báo động khi AI được sử dụng thiếu kiểm soát trong hoạt động nhân sự.

Một chuyên viên nhân sự tải hồ sơ kỷ luật của người lao động lên công cụ AI và yêu cầu hệ thống phân tích, đề xuất hướng xử lý. Chỉ sau vài phút, AI tạo ra một bản tư vấn pháp lý được trình bày chuyên nghiệp, lập luận chặt chẽ và đủ sức thuyết phục để được chuyển thẳng đến cấp quản lý phê duyệt mà không ai đối chiếu lại hồ sơ gốc.

Tuy nhiên, khi quyết định kỷ luật được ban hành, người lao động lập tức phản đối. Kiểm tra lại mới phát hiện AI đã tự suy diễn rằng người này từng bị cảnh cáo trước đó nhằm củng cố lập luận cho bản tư vấn. Thông tin này hoàn toàn không tồn tại trong hồ sơ thực tế.

Sự việc không dừng lại ở một sai sót nghiệp vụ. Trong quá trình điều tra, doanh nghiệp phát hiện toàn bộ dữ liệu nhân sự đã được tải lên một nền tảng AI công cộng. Không ai biết dữ liệu hiện được lưu trữ ở đâu, ai có thể tiếp cận, liệu nó có được sử dụng để huấn luyện mô hình hay không, và doanh nghiệp gần như không có khả năng kiểm soát hay xóa bỏ hoàn toàn.

Trong kỷ nguyên số, quản trị dữ liệu và quản trị AI không còn là câu chuyện của bộ phận pháp chế hay công nghệ thông tin. Đó đã trở thành trách nhiệm trực tiếp của bộ phận nhân sự, nơi đang nắm giữ khối tài sản dữ liệu giá trị và nhạy cảm nhất của doanh nghiệp.

Bà Nguyễn Thúy Hằng, Trưởng bộ phận tư vấn lao động và việc làm, Baker McKenzie Việt Nam

Dưới góc nhìn nhân sự, bà Hằng cho rằng, doanh nghiệp đang nắm giữ khối lượng khổng lồ thông tin liên quan đến người lao động: dữ liệu cá nhân, tài chính, hồ sơ nội bộ, thông tin sức khỏe, bảo hiểm và nhiều dữ liệu được chia sẻ cho bên thứ ba. Thực tế cho thấy nhiều doanh nghiệp đang thu thập dữ liệu quá mức cần thiết, lưu trữ dàn trải và thiếu cơ chế kiểm soát rõ ràng.

Tuy nhiên, dưới góc nhìn pháp lý, câu chuyện được đơn giản hóa thành hai câu hỏi cốt lõi: dữ liệu đó có phải dữ liệu cá nhân hay không và nếu có thì thuộc nhóm dữ liệu cá nhân cơ bản hay dữ liệu cá nhân nhạy cảm.

"Đây là yếu tố quyết định mức độ bảo vệ, yêu cầu đồng ý của chủ thể dữ liệu cũng như trách nhiệm pháp lý của doanh nghiệp", bà Hằng đánh giá.

Đáng lưu ý, theo chuyên gia này, phần lớn dữ liệu mà bộ phận nhân sự quản lý đều thuộc nhóm dữ liệu cá nhân nhạy cảm, đòi hỏi tiêu chuẩn bảo vệ nghiêm ngặt hơn rất nhiều.

Bên cạnh rủi ro rò rỉ dữ liệu, một nguy cơ khác thường bị xem nhẹ là 'thiên kiến thuật toán'. Nhiều người cho rằng AI khách quan vì là máy móc, nhưng thực tế AI học từ dữ liệu quá khứ. Nếu dữ liệu đầu vào mang định kiến, AI sẽ tiếp tục tái tạo và khuếch đại những định kiến đó.

Trường hợp nổi tiếng của Amazon là minh chứng rõ ràng. Hệ thống tuyển dụng bằng AI từng phải dừng triển khai sau khi bị phát hiện đánh giá thấp ứng viên nữ vì được huấn luyện trên dữ liệu tuyển dụng lịch sử vốn thiên về nam giới.

Trong lĩnh vực nhân sự, thiên kiến không chỉ là vấn đề kỹ thuật mà còn liên quan trực tiếp đến đạo đức và pháp luật. Những quyết định tuyển dụng, đánh giá hiệu suất hay kỷ luật lao động dựa trên AI đều có thể tác động đến quyền lợi, thu nhập và tương lai nghề nghiệp của con người.

Khi xảy ra sự cố dữ liệu hoặc an ninh mạng, hậu quả thường vượt xa phạm vi công nghệ. Nội bộ doanh nghiệp sẽ đối mặt với sự hoang mang của người lao động, mất niềm tin tổ chức, áp lực từ truyền thông, cơ quan quản lý nhà nước và nguy cơ xử phạt pháp lý. Đây là hiệu ứng dây chuyền có thể gây tổn hại nghiêm trọng đến uy tín doanh nghiệp, điều mà không một gói bảo hiểm an ninh mạng nào có thể khắc phục hoàn toàn.

"Vì vậy, rủi ro lớn nhất không nằm ở bản thân AI, mà nằm ở việc doanh nghiệp chưa nhận thức đầy đủ về những nguy cơ phát sinh từ việc sử dụng AI và xử lý dữ liệu cá nhân. Mỗi lần tải một hồ sơ nhân sự lên nền tảng AI công cộng đều có thể trở thành một điểm rò rỉ dữ liệu tiềm tàng", bà Hằng đánh giá.

Doanh nghiệp bắt buộc phải thay đổi tư duy quản trị tài sản số

Nhiều doanh nghiệp vẫn coi dữ liệu nhân sự chỉ là những tệp tin tài liệu nằm im trong thư mục máy tính. Thực tế, dưới góc nhìn quản trị hiện đại, dữ liệu là một "thực thể sống", vận hành liên tục từ khi sinh ra cho đến khi tiêu hủy.

Theo bà Quỳnh Nhi, nếu không có tư duy kiểm soát toàn bộ vòng đời này, rủi ro rò rỉ thông tin có thể ập đến bất cứ lúc nào.

Thực tế tại nhiều bộ phận nhân sự hiện nay là hội chứng thu thập vô tội vạ. Từ nhóm máu, tôn giáo, thông tin tín dụng ngân hàng cho đến tình trạng hôn nhân... cái gì cũng đòi lưu trữ. Thậm chí, nhiều công ty phỏng vấn xong vẫn giữ khư khư sơ yếu lý lịch của ứng viên đến 10 năm sau chưa xóa. Vì vậy, theo bà Nhi, nguyên tắc vàng hiện nay là 'tối thiểu hóa dữ liệu'.

Doanh nghiệp chỉ được phép thu thập những gì thực sự cần thiết và phục vụ chính xác cho mục đích quản lý lao động đã tuyên bố rõ ràng.

Tiếp đến, tình trạng dữ liệu rải rác mỗi nơi một ít đang diễn ra phổ biến. Trưởng phòng giữ một phần, trợ lý lưu một ít, nhân viên tự ý sao chép tài liệu mật từ hệ thống về email cá nhân, USB, hoặc lưu trữ dữ liệu riêng để "làm việc cho tiện". Khi dữ liệu không được quản lý tập trung và phân quyền nghiêm ngặt theo từng cấp độ, chúng sẽ trở thành những "mồi ngon" dễ xơi nhất cho mã độc.

Và sai lầm sẽ diễn ra từ những bộ "hồ sơ nguyên khối". Theo đó, khi doanh nghiệp có mối quan hệ với các đối tác thứ ba như công ty bảo hiểm, đơn vị tính lương, hay các nền tảng tuyển dụng... chính là "điểm rơi" chí mạng làm lộ lọt thông tin. Trên thực tế, khi bên bảo hiểm chỉ cần họ tên, ngày sinh, giới tính để làm hợp đồng, nhiều quản trị nhân sự tại doanh nghiệp vì "tiện tay" đã quăng nguyên file excel chứa toàn bộ thông tin về mức lương, địa chỉ nhà, lịch sử công tác của nhân viên sang cho đối tác.

"Nếu chẳng may hệ thống của vendor bị tấn công mạng, doanh nghiệp xem như tự mang thông tin bảo mật của nhân viên dâng cho tin tặc", bà Nhi nói.

Cuối cùng là giai đoạn tiêu hủy: Làm sao để doanh nghiệp xóa dữ liệu sao cho đúng luật?. Theo bà Nhi, khi nhân viên nghỉ việc hoặc dữ liệu đã hết thời hạn lưu trữ theo quy định, doanh nghiệp có nghĩa vụ phải chấm dứt vòng đời của khối thông tin đó. Việc xóa dữ liệu phải được thực hiện đồng bộ từ phần mềm chính thức đến các hệ thống sao lưu.

Mẹo pháp lý cho bộ phận quản trị nhân sự, đó là khi người lao động đã nghỉ việc yêu cầu: "Hãy chứng minh công ty đã xóa sạch thông tin của tôi", bộ phận này tuyệt đối không được giải quyết bằng cách mời họ vào phòng, mở máy tính ra xem thư mục trống. Thay vào đó, hãy yêu cầu bộ phận công nghệ thông tin xuất hệ thống nhật ký.

"Đây là chứng cứ pháp lý cao nhất, ghi nhận rõ ràng ngày, giờ, tài khoản vận hành và hành vi xóa tài liệu. Gửi tệp nhật ký này, doanh nghiệp có thể an tâm 100% trước mọi tranh chấp hoặc thanh tra từ cơ quan quản lý", bà Nhi khuyến nghị.

Và khi sự cố thật sự xảy ra, để vận hành trơn tru, chuyên gia này khuyến nghị doanh nghiệp cần trang bị ngay hai công cụ cốt lõi.

Thứ nhất, là ma trận phân nhiệmtrong quản trị dữ liệu. Công cụ này để tránh tình trạng đổ lỗi qua lại, mọi quyết định ứng dụng công nghệ (như triển khai AI) hay xử lý dữ liệu nhân sự đều cần sự vào cuộc đồng bộ của bốn bên.

Bộ phận nhân sự đề xuất nhu cầu, mục đích sử dụng cụ thể, giới hạn phạm vi tác vụ.

Bộ phận công nghệ thông tin kiểm tra hạ tầng kỹ thuật, xác định vị trí máy chủ của công cụ, thiết lập các rào cản ngăn AI thu thập dữ liệu nội bộ để huấn luyện máy học.

Bộ phận pháp chế đánh giá tính hợp pháp đối với luật hiện hành, xây dựng chính sách nội bộ, hoàn thiện báo cáo đánh giá tác động chuyển dữ liệu ra nước ngoài gửi cơ quan chức năng.

Ban giám đốc cân nhắc cán cân giữa rủi ro thương mại và chiến lược phát triển để đưa ra quyết định bấm nút phê duyệt cuối cùng.

Thứ hai, là kế hoạch ứng phó sự cố trong 24 giờ đầu.

Trong kỷ nguyên số, câu hỏi không còn là "Nếu xảy ra tấn công mạng thì phải làm sao?" mà là "khi nào sự cố sẽ xảy ra?". Khi những ông lớn sở hữu hệ thống bảo mật nghìn tỷ như VNDIRECT hay Vietnam Airlines còn có thể bị hacker xuyên thủng, thì không một doanh nghiệp nào được phép chủ quan.

Khi sự cố nổ ra, nếu không có một kịch bản được tập dượt từ trước, các phòng ban sẽ rơi vào tình trạng "gà mắc tóc". 24 giờ đầu tiên chính là thời gian vàng để cứu vãn tình thế..

Giờ đầu tiên là "cô lập sự cố". Ngay khi phát hiện một tài khoản nhân sự nhấp chuột vào đường dẫn dính mã độc, bộ phận công nghệ phải lập tức khóa tài khoản, ngắt kết nối hệ thống để cô lập virus, không cho lây lan sang các email khác. Tuyệt đối không lãng phí thời gian để truy cứu trách nhiệm.

Giờ thứ 3 là "kích hoạt xử lý nội bộ". Bộ phận nhân sự sẽ trấn an tâm lý nhân viên, ổn định vận hành nội bộ để tránh khủng hoảng tin đồn. Trong khi phía bộ phận công nghệ sẽ tiếp tục điều tra sâu nguyên nhân, tiến hành reset và vá lỗ hổng hệ thống. Bộ phận pháp lý sẽ đánh giá tính chất sự cố, chuẩn bị hồ sơ báo cáo cơ quan nhà nước. Cuối cùng là ban lãnh đạo sẽ đưa ra các quyết định điều hành.

Trước 72 giờ là "báo cáo cơ quan chức năng" bằng việc hoàn thiện và gửi báo cáo rò rỉ dữ liệu cá nhân đến Cục An ninh mạng (Bộ Công an) theo đúng thời hạn quy định của pháp luật.