English
中文 (中国)
日本語
Trí tuệ nhân tạo (AI) đã và đang trở thành một công cụ được áp dụng ngày càng rộng rãi trong quản trị doanh nghiệp tại Việt Nam. Các ứng dụng phổ biến bao gồm hệ thống tự động hóa quy trình tuyển dụng, phần mềm phân tích hiệu suất lao động, công cụ giám sát hành vi nhân viên cũng như các nền tảng dự đoán năng suất. Việc triển khai các giải pháp này phản ánh nhu cầu tất yếu của doanh nghiệp trong việc tối ưu hóa vận hành, gia tăng hiệu quả và giảm chi phí.
Doanh nghiệp nên xem xét sử dụng dịch vụ pháp lý thuê ngoài của các công ty luật uy tín về bảo mật dữ liệu để nhận được tư vấn chi tiết phù hợp với tình hình thực tế của mình.
Tuy nhiên, song song với lợi ích kinh tế, AI đặt ra những thách thức pháp lý phức tạp liên quan đến quyền riêng tư dữ liệu cá nhân. Điểm đáng chú ý là các hệ thống AI trong môi trường làm việc thường xuyên thu thập và xử lý một lượng lớn thông tin nhạy cảm, bao gồm dữ liệu sinh trắc học (nhận diện khuôn mặt, dấu vân tay), dữ liệu hành vi (thói quen sử dụng máy tính, kiểu gõ phím, chuyển động chuột, thậm chí cả phân tích cảm xúc), dữ liệu định vị (GPS từ thiết bị di động), và hồ sơ hiệu suất (dự đoán năng suất, mức độ gắn kết của nhân viên).
Theo quan điểm pháp lý, các loại dữ liệu này đều thuộc nhóm dữ liệu cá nhân và trong nhiều trường hợp là dữ liệu nhạy cảm theo định nghĩa của pháp luật Việt Nam. Điều này có nghĩa là doanh nghiệp không chỉ phải có cơ sở pháp lý rõ ràng cho việc xử lý mà còn phải áp dụng các biện pháp bảo vệ nghiêm ngặt, từ quy trình thu thập, lưu trữ, cho đến chia sẻ và phân tích. Nếu thiếu cơ chế kiểm soát phù hợp, việc sử dụng AI trong công việc có thể dẫn đến nguy cơ vi phạm quyền riêng tư của người lao động, kéo theo trách nhiệm pháp lý đáng kể đối với doanh nghiệp.
Như vậy, ở cấp độ khởi điểm, AI vừa được nhìn nhận như một động lực đổi mới quan trọng cho hoạt động quản trị, vừa là một lĩnh vực nhạy cảm tiềm ẩn rủi ro cao trong quan hệ lao động. Việc cân bằng giữa hai yếu tố – hiệu quả kinh doanh và bảo vệ dữ liệu cá nhân – trở thành bài toán trọng yếu mà mọi doanh nghiệp tại Việt Nam cần lưu tâm khi triển khai công nghệ này.
Khung pháp lý và nghĩa vụ của doanh nghiệp
Việt Nam hiện đã xây dựng nền tảng pháp lý quan trọng nhằm điều chỉnh hoạt động thu thập, xử lý và khai thác dữ liệu cá nhân, trong đó có việc ứng dụng trí tuệ nhân tạo (AI) trong môi trường làm việc.
Trước mắt, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được coi là văn bản pháp lý trung tâm, đặt ra nguyên tắc xử lý dữ liệu minh bạch, hạn chế mục đích, và yêu cầu có sự đồng ý của chủ thể dữ liệu trước khi khai thác. Tuy nhiên, nghị định này mới chỉ mang tính dưới luật, do vậy việc bảo đảm hiệu lực và tính ổn định trong dài hạn vẫn cần được củng cố.
Bước ngoặt quan trọng là việc Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân 2025, dự kiến có hiệu lực từ ngày 01/01/2026. Luật này mở rộng phạm vi điều chỉnh, quy định chi tiết hơn về quyền của chủ thể dữ liệu như quyền rút lại sự đồng ý, quyền yêu cầu xóa hoặc khử nhận dạng dữ liệu khi không còn cần thiết.
Đồng thời, luật áp đặt nghĩa vụ tuân thủ nghiêm ngặt đối với tổ chức, cá nhân xử lý dữ liệu, kể cả tổ chức nước ngoài nếu tham gia xử lý dữ liệu cá nhân của công dân Việt Nam. Đặc biệt, các quy định liên quan đến việc chuyển giao dữ liệu cá nhân xuyên biên giới thể hiện rõ định hướng quản lý chặt chẽ hơn, nhằm kiểm soát rủi ro rò rỉ dữ liệu trong bối cảnh toàn cầu hóa.
Ngoài ra, Luật 2025 đưa ra cơ chế xử lý vi phạm với mức phạt hành chính ở ngưỡng cao, cùng các biện pháp khắc phục như yêu cầu khôi phục dữ liệu, tạm dừng hoặc chấm dứt hoạt động xử lý. Đáng chú ý, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được hưởng giai đoạn chuyển tiếp trong vòng 5 năm, trừ khi xử lý dữ liệu nhạy cảm hoặc khối lượng lớn dữ liệu, cho phép họ có thời gian thích ứng với khuôn khổ pháp lý mới.
Trong khi đó, các hoạt động xử lý dữ liệu đã được thực hiện hợp pháp theo Nghị định 13 vẫn được tiếp tục mà không cần xin lại sự đồng ý, tạo sự ổn định cho các quy trình hiện tại.
Sự xuất hiện của Luật 2025 cho thấy Việt Nam đang tiến dần tới mô hình quản trị dữ liệu cá nhân tiệm cận với chuẩn mực quốc tế, tạo cơ sở pháp lý vững chắc để xử lý các vấn đề mới nảy sinh từ việc ứng dụng AI trong công việc. Tuy nhiên, sự chuyển tiếp từ nghị định sang luật sẽ đòi hỏi doanh nghiệp và cơ quan quản lý cùng phối hợp chặt chẽ để vừa bảo đảm tính tuân thủ, vừa không làm gián đoạn hoạt động đổi mới công nghệ.
Xem phân tích chi tiết của ASL LAW về các điểm mới đáng chú ý về Luật Bảo vệ dữ liệu cá nhân tại Việt Nam có hiệu lực từ năm 2026 tại đây.
Thách thức trong bối cảnh ứng dụng AI tại nơi làm việc
Việc áp dụng trí tuệ nhân tạo trong môi trường lao động tại Việt Nam mở ra nhiều cơ hội đổi mới, nhưng đồng thời cũng đặt ra những thách thức đáng kể liên quan đến bảo mật dữ liệu cá nhân. Một trong những vấn đề nổi bật là nguy cơ thu thập và xử lý dữ liệu vượt quá phạm vi cần thiết.
Các hệ thống AI, đặc biệt là những công cụ phân tích năng suất, giám sát hành vi hoặc hỗ trợ ra quyết định, thường hoạt động dựa trên cơ sở dữ liệu lớn. Điều này khiến cho khả năng thu thập, lưu trữ và sử dụng thông tin cá nhân của nhân viên, khách hàng hoặc đối tác trở nên khó kiểm soát, dẫn đến nguy cơ vi phạm nguyên tắc tối thiểu hóa dữ liệu theo luật định.
Bên cạnh đó, việc sử dụng AI còn đặt ra thách thức về tính minh bạch. Các mô hình máy học và thuật toán phức tạp thường hoạt động như một “hộp đen”, khiến cho việc giải thích tại sao dữ liệu cá nhân lại được xử lý theo một cách thức nhất định trở nên khó khăn. Trong bối cảnh pháp luật Việt Nam nhấn mạnh đến nguyên tắc đồng ý và quyền được thông tin của chủ thể dữ liệu, vấn đề thiếu minh bạch này có thể tạo ra mâu thuẫn pháp lý, đồng thời ảnh hưởng đến lòng tin của người lao động và xã hội.
Một yếu tố đáng quan ngại khác là nguy cơ rò rỉ và xâm nhập dữ liệu từ bên ngoài. Việc tích hợp các công cụ AI, đặc biệt là các dịch vụ dựa trên nền tảng điện toán đám mây hoặc do tổ chức nước ngoài cung cấp, có thể dẫn đến tình huống dữ liệu cá nhân bị lưu trữ hoặc xử lý ngoài lãnh thổ Việt Nam. Khi đó, việc kiểm soát tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025, vốn đã đặt ra quy định chặt chẽ về chuyển giao dữ liệu xuyên biên giới, sẽ gặp nhiều trở ngại về mặt kỹ thuật và pháp lý.
Không chỉ dừng lại ở khía cạnh công nghệ, thách thức còn xuất phát từ nhận thức và năng lực thực thi. Nhiều doanh nghiệp vừa và nhỏ tại Việt Nam, dù có mong muốn ứng dụng AI để nâng cao hiệu quả công việc, nhưng lại thiếu nguồn lực và chuyên môn để xây dựng cơ chế tuân thủ dữ liệu phù hợp.
Điều này làm gia tăng nguy cơ vi phạm, đặc biệt khi Luật 2025 bắt đầu có hiệu lực với khung chế tài nghiêm khắc. Sự chênh lệch giữa tốc độ phát triển công nghệ và khả năng thích ứng của doanh nghiệp, cơ quan quản lý, thậm chí cả người lao động, sẽ là một trong những thách thức lớn nhất trong giai đoạn tới.
Định hướng và khuyến nghị
Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 sẽ có hiệu lực từ ngày 01/01/2026, cùng với việc các doanh nghiệp tại Việt Nam ngày càng phụ thuộc vào trí tuệ nhân tạo trong vận hành và quản trị, vấn đề đặt ra là cần xây dựng một khuôn khổ ứng xử vừa đáp ứng yêu cầu tuân thủ pháp lý, vừa đảm bảo tính hiệu quả trong hoạt động.
Trước hết, doanh nghiệp cần nhìn nhận việc quản trị dữ liệu không chỉ là một nghĩa vụ pháp lý mà còn là một cấu phần thiết yếu của quản trị rủi ro và phát triển bền vững. Khi các công cụ AI có khả năng xử lý khối lượng lớn dữ liệu nhạy cảm của nhân viên, việc chủ động thiết lập các chuẩn mực bảo mật và minh bạch thông tin sẽ giúp củng cố lòng tin trong nội bộ và tăng cường uy tín đối với thị trường.
Một định hướng quan trọng là áp dụng cơ chế Đánh giá tác động bảo vệ dữ liệu (DPIA) cho mọi hệ thống AI, đặc biệt các công cụ có chức năng giám sát, phân tích hành vi hoặc đưa ra quyết định ảnh hưởng trực tiếp đến người lao động. Đây không chỉ là bước đi phù hợp với yêu cầu của Luật 2025 mà còn giúp doanh nghiệp phát hiện sớm các rủi ro pháp lý tiềm ẩn. Song song, việc chuẩn hóa các biểu mẫu đồng ý của nhân viên, đảm bảo tính cụ thể cho từng mục đích xử lý dữ liệu, sẽ là chìa khóa để tránh vi phạm nguyên tắc đồng thuận.
Về mặt hợp tác với bên thứ ba, các doanh nghiệp cần thiết lập cơ chế hợp đồng và kiểm toán rõ ràng, từ Thỏa thuận Xử lý Dữ liệu (DPA) đến các quy định về lưu trữ, truyền tải dữ liệu xuyên biên giới. Trong bối cảnh Luật 2025 quy định chặt chẽ về chuyển giao dữ liệu ra nước ngoài, việc kiểm soát dòng dữ liệu xuyên biên giới sẽ trở thành thách thức, nhưng đồng thời cũng là phép thử cho năng lực quản trị pháp lý của doanh nghiệp tại Việt Nam.
Cuối cùng, không thể bỏ qua yếu tố nâng cao năng lực nội bộ. Đào tạo về pháp luật dữ liệu cá nhân cho bộ phận nhân sự, công nghệ thông tin và quản lý là một điều kiện tiên quyết để đảm bảo tuân thủ. Song song, cần phát triển văn hóa tổ chức coi trọng quyền riêng tư và bảo mật dữ liệu, thay vì chỉ tiếp cận theo hướng “đối phó” với quy định pháp luật. Đây sẽ là tiền đề để doanh nghiệp tận dụng công nghệ AI một cách hợp pháp, an toàn và bền vững trong dài hạn.
ASL Law là công ty luật độc lập và cung cấp đầy đủ dịch vụ được tín nhiệm cao của Việt Nam gồm các luật sư giàu kinh nghiệm và tài năng. ASL Law được Legal500, Asia Law, WTR và Asia Business Law Journal xếp hạng là Công ty Luật hàng đầu tại Việt Nam. Có trụ sở tại Hà Nội và Thành phố Hồ Chí Minh, mục đích chính của ASL LAW là cung cấp lời tư vấn và giải pháp lý thiết thực, hiệu quả và hợp pháp nhất cho khách hàng trong nước và quốc tế. Nếu cần sự trợ giúp, Quý khách hàng có thể gửi email liên hệ tới [email protected].
Liên hệ với công ty Luật ASL LAW để được tư vấn về Luật sở hữu trí tuệ tại Việt Nam và quốc tế.
BÀI VIẾT HỮU ÍCH LIÊN QUAN
