Cần xây dựng thêm Luật Bảo vệ dữ liệu cá nhân để bảo vệ quyền riêng tư thời kỳ AI phát triển mạnh
Đó là những ý kiến được chia sẻ trong buổi Tọa đàm trực tuyến 'Quyền riêng tư thời AI' do Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) tổ chức sáng 15/6.
Sáng ngày 15/6, Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) đã tổ chức tọa đàm trực tuyến "Quyền riêng tư thời AI" nhằm thảo luận về tác động của công nghệ trí tuệ nhân tạo đến quyền riêng tư của cá nhân và chính sách bảo vệ quyền riêng tư tại Việt Nam trước thách thức của trí tuệ nhân tạo.
Trao đổi tại Tọa đàm, ông Trần Hữu Nhân, Kỹ sư dữ liệu và máy học tại Công ty cổ phần One Mount Group nhận định, trí tuệ nhân tạo (AI) là bước tiến công nghệ tiếp theo của lịch sử loài người, sau các sáng chế về máy móc kỹ thuật, mạng internet. AI được hiểu là công nghệ có khả năng mô phỏng hành vi của con người, trong đó dữ liệu chính là ‘trái tim”. AI chỉ hoạt động được khi được cung cấp dữ liệu đầu vào và đây là công cụ phục vụ mục đích của con người.
Chính vì cần dữ liệu đầu vào nên phải thực hiện thu thập dữ liệu, trong đó có dữ liệu cá nhân. Dữ liệu cá nhân của mỗi người được thu thập liên tục thông qua tương tác của cá nhân trên không gian số. Khối dữ liệu này được xử lý để phục vụ cuộc sống con người như tạo ra sự trải nghiệm tiêu dùng, giải trí thoải mái hơn. Tuy nhiên việc thu thập và xử lý dữ liệu cá nhân đến đâu là phù hợp thì cần chính sách và pháp luật.
Bà Nguyễn Lan Phương, cán bộ phân tích chính sách tại Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) đánh giá, Nghị định 13/2023/NĐ-CP là văn bản pháp lý đầu tiên tại Việt Nam chính thức sử dụng khái niệm dữ liệu cá nhân, quy định về nghĩa vụ bảo vệ dữ liệu cá nhân đối với các chủ thể có hoạt động thu thập, xử lý dữ liệu cá nhân.
Nghĩa vụ bảo vệ dữ liệu cá nhân bao gồm 3 loại nghĩa vụ về nhân sự, hành chính, kỹ thuật và được xây dựng dựa trên 4 nguyên tắc gồm đồng thuận, tối thiểu, bảo mật và hợp pháp. Theo đó, chủ thể thu thập, xử lý dữ liệu cá nhận chỉ được thu thập, xử lý dữ liệu cá nhân cho mục đích nhất định khi có sự đồng ý của chủ thể dữ liệu.
Khi xử lý dữ liệu cá nhân, chủ thể này phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân và dự báo các rủi ro có khả năng xảy ra, thực hiện biện pháp kĩ thuật từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu và (được khuyến khích) áp dụng các tiêu chuẩn trong ngành để bảo vệ dữ liệu cá nhân.
Bà Phương đánh giá, đây là các quy định đáp ứng được thách thức do loại công nghệ phức tạp như công nghệ trí tuệ nhân tạo đặt ra. Bởi hiện nay, chúng ta chưa dự liệu hết các rủi ro khi áp dụng AI để xử lý dữ liệu cá nhân và công nghệ này phát triển rất nhanh chóng, nên quy định nghĩa vụ đánh giá rủi ro và khuyến khích áp dụng tiêu chuẩn công nghệ sẽ đảm bảo hoạt động xử lý dữ liệu cá nhân luôn được thiết kế để đảm bảo quyền riêng tư cá nhân.
Ở khía cạnh thứ hai, bà Lan Phương đánh giá sự ứng dụng AI trong xử lý dữ liệu cá nhân sẽ tạo ra một số thách thức với chính sách, ví dụ như làm sao để tận dụng AI trong xử lý lượng lớn dữ liệu cá nhân để phát triển kinh tế mà vẫn đảm bảo sự riêng tư, tự do cá nhân. Nguyên tắc này có thể được giải thích cặn kẽ hơn trong nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân.
Bên cạnh đó, cần hướng dẫn thêm về hoạt động sử dụng dữ liệu cá nhân mới tạo ra từ dữ liệu cá nhân ban đầu và quyền xóa dữ liệu cá nhân. Theo quy định Nghị định 13/2023/NĐ-CP, quyền xóa dữ liệu cá nhân sẽ không được thực hiện trong trường hợp dữ liệu cá nhân phục vụ mục đích nghiên cứu, thống kê theo quy định pháp luật.
Theo Luật Thống kê, hoạt động thống kế ngoài Nhà nước phục vụ hoạt động kinh doanh, nhu cầu hợp pháp và chính đáng khác, không xâm phạm lợi ích quốc gia và lợi ích hợp pháp của cá nhân, tổ chức. Vậy dữ liệu cá nhân mới tạo ra dùng cho mục đích thống kê để ra quyết định kinh doanh của doanh nghiệp, nghiên cứu và thử nghiệm công nghệ mới mà không xâm phạm lợi ích hợp pháp của cá nhân, tổ chức sẽ hợp pháp.
Về vấn đề đạo đức của AI, ông Nguyễn Quang Đồng, Viện trưởng IPS đặt câu hỏi, liệu rằng nên hiểu đạo đức của AI là đạo đức của người sử dụng AI và hiện nay đã có quốc gia nào có bộ quy tắc về đạo đức của AI hay chưa.
Trả lời câu hỏi này, ông Huỳnh Thiên Tử, Giảng viên Khoa Luật tại Trường Đại học Kinh tế Thành phố Hồ Chí Minh (UEH) cho biết, hiện nay, có hai hướng thảo luận về đạo đức của AI.
Hướng thứ nhất là không cần nguyên tắc đạo đức trong lĩnh vực AI, vì các nguyên tắc đạo đức đã tồn tại và được sử dụng lâu đời như công bằng, bình đẳng, tự do, yêu thương sẽ luôn tồn tại và được sử dụng dù cho có AI hay không có trí tuệ nhân tạo. Hướng thứ hai là tạo ra các bộ nguyên tắc đạo đức trong từng ngành nghề có sử dụng AI. Các bộ nguyên tắc này sẽ hướng dẫn cụ thể, đáp ứng theo đặc thù của ngành nghề. Có như vậy, doanh nghiệp sẽ giảm chi phí thiết kế tiêu chuẩn, chính sách nội bộ khi sử dụng AI, vì đã có sẵn bộ quy tắc chung của ngành.
Liên quan đến hoạt động của doanh nghiệp xử lý dữ liệu cá nhân, ông Đồng đặt câu hỏi: chính sách pháp luật hiện nay về bảo vệ dữ liệu cá nhân đã đáp ứng yêu cầu đặt ra trong bối cảnh trí tuệ nhân tạo chưa và doanh nghiệp có vai trò như thế nào trong phát triển chiến lược quản trị dữ liệu?
Trả lời câu hỏi này, bà Phương cho rằng, với 04 nguyên tắc đồng thuận, tối thiểu, bảo mật và hợp pháp, Nghị định 13/2023/NĐ-CP đảm bảo rằng dữ liệu cá nhân được xử lý mà không xâm phạm đến sự riêng tư cá nhân. Doanh nghiệp trước tiên cần tuân thủ các quy định do Nhà nước đặt ra. Ngoài ra, cần tích cực áp dụng tiêu chuẩn công nghệ để bảo vệ dữ liệu cá nhân. Hiện nay, đã có tiêu chuẩn ISO về trách nhiệm xã hội của doanh nghiệp, doanh nghiệp nên cập nhật và áp dụng tiêu chuẩn này. Tuy nhiên bà Phương kết luận rằng sau Nghị định 13/2023/NĐ-CP, vẫn cần xây dựng Luật Bảo vệ dữ liệu cá nhân trong thời gian gần.