Trí tuệ nhân tạo (AI) và quyền dữ liệu cá nhân

Sự phát triển của trí tuệ nhân tạo (AI) tác động tới nhiều mặt của đời sống xã hội. Tuy vậy, sự hình thành AI và phát triển của mạng xã hội trong cuộc sống có thể xâm phạm tới quyền riêng tư nói chung và dữ liệu cá nhân nói riêng do lượng lớn dữ liệu mà các công nghệ này sử dụng trực tiếp đến từ thông tin cá nhân của người dùng.

Để ứng phó trước nguy cơ tiềm ẩn từ AI, Việt Nam đã ban hành Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 01/01/2026 (“Luật BVDLCN”). Luật này đặt ra các nguyên tắc cốt lõi trong xử lý dữ liệu cá nhân, thiết lập khung pháp lý thống nhất cho hoạt động thu thập, xử lý, lưu trữ, chia sẻ và chuyển giao dữ liệu cá nhân, đồng thời tăng cường trách nhiệm của các tổ chức, cá nhân trong việc bảo đảm quyền và lợi ích hợp pháp của chủ thể dữ liệu.

Trong phạm vi bài viết này, CDLAF tập trung làm rõ một số vấn đề trọng tâm liên quan đến mối quan hệ giữa việc ứng dụng AI và quyền dữ liệu cá nhân theo quy định của Luật Bảo vệ dữ liệu cá nhân, bao gồm: (i) Nguyên tắc bảo vệ dữ liệu cá nhân trong hệ thống AI theo Luật BVDLCN; (ii) Cụ thể hóa cách thức bảo vệ dữ liệu cá nhân trong hệ thống AI theo Nghị định 356/2025/NĐ-CP; và (iii) Liên hệ giữa Luật BVDLCN và Luật Trí tuệ nhân tạo.

1. Nguyên tắc bảo vệ dữ liệu cá nhân trong hệ thống AI theo Luật BVDLCN

Luật BVDLCN đã xác lập các nguyên tắc nền tảng điều chỉnh mọi hoạt động xử lý dữ liệu cá nhân, bao gồm cả việc xây dựng và sử dụng hệ thống AI. Theo đó, việc thu thập và xử lý dữ liệu cá nhân phải bảo đảm các nguyên tắc cơ bản như:

• Việc xử lý dữ liệu cá nhân trong môi trường AI phải tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan; phù hợp với chuẩn mực đạo đức, thuần phong mỹ tục của Việt Nam;
• Hệ thống và dịch vụ sử dụng AI phải được tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp; phải sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý dữ liệu cá nhân;
• Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp;
• Không sử dụng, phát triển hệ thống AI có sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác.

2. Cụ thể hóa cách thức bảo vệ dữ liệu cá nhân trong hệ thống AI theo Nghị định 356/2025/NĐ-CP

Song song với Luật BVDLCN, Nghị định 356/2025/NĐ-CP đã cụ thể hóa cách thức bảo vệ dữ liệu cá nhân trong quá trình thiết kế, triển khai và vận hành các hệ thống trí tuệ nhân tạo. Theo đó, việc bảo vệ dữ liệu cá nhân trong hệ thống AI không chỉ dừng lại ở khâu thu thập dữ liệu mà phải được bảo đảm xuyên suốt toàn bộ vòng đời xử lý dữ liệu, từ khâu đầu vào, huấn luyện mô hình, vận hành thuật toán cho đến khai thác kết quả đầu ra.

Cụ thể tại Điều 10 Nghị định 356/2025/NĐ-CP quy định như sau:

Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các hệ thống AI và các hệ thống tự động khác nhưng cần bảo đảm tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

Dữ liệu từ kết quả suy luận của AI nếu có thể được sử dụng để xác định hoặc giúp xác định một con người cụ thể thì phải được áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích nguyên tắc hoạt động của thuật toán và ảnh hưởng đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu; đưa ra các lựa chọn để chủ thể dữ liệu có quyền không tham gia.

Các tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong hệ thống AI, gồm:

• Nghiên cứu, xây dựng và triển khai hệ thống đáp ứng các tiêu chuẩn an ninh mạng, tiêu chuẩn bảo vệ dữ liệu toàn diện cho các hệ thống AI, đặc biệt chú trọng các yếu tố: bảo mật thông tin, độ tin cậy của thuật toán, tính ổn định hệ thống và khả năng phòng chống tấn công mạng;
• Thiết lập cơ chế giám sát hoạt động của hệ thống AI trên hai phương diện: giám sát của cơ quan nhà nước có thẩm quyền; trách nhiệm giải trình đối với chủ thể dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.
• Xây dựng cơ chế bảo vệ dữ liệu cá nhân theo tiêu chuẩn phù hợp, phát triển hệ thống giám sát và cảnh báo sớm các nguy cơ an ninh mạng;
• Thiết lập cơ chế kiểm soát, ngăn chặn việc lợi dụng trí tuệ nhân tạo, vũ trụ ảo vào các hoạt động xâm phạm an ninh quốc gia, trật tự an toàn xã hội;
• Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.
• Chủ thể dữ liệu cá nhân phải có quyền chỉnh sửa, ẩn danh, xóa hồ sơ nhận dạng, kể cả khi nền tảng lưu trữ lịch sử hành vi.

3. Liên hệ giữa Luật BVDLCN và Luật Trí tuệ nhân tạo

Cùng với việc ban hành Luật BVDLCN, Luật Trí tuệ nhân tạo (“Luật TTNT”) cũng đã được ban hành và chính thức có hiệu lực từ ngày 01 tháng 03 năm 2026, cho thấy xu hướng quản lý AI của Việt Nam theo hướng tiếp cận dựa trên rủi ro, tương đồng với nhiều mô hình pháp lý quốc tế.

Theo định hướng này, các hệ thống AI được dùng trong các lĩnh vực như tài chính, ngân hàng, hoạt động thông tin tín dụng, quảng cáo với lượng người dùng và dữ liệu cá nhân lớn cần xử lý sẽ có mức độ rủi ro cao về mặt pháp lý – đặc biệt là những hệ thống ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cá nhân như chấm điểm tín dụng, xếp hạng khách hàng, ra quyết định tự động trong cấp tín dụng hoặc phát hiện gian lận – sẽ phải chịu các yêu cầu quản lý chặt chẽ hơn. Trong đó, bảo vệ dữ liệu cá nhân được xác định là một trụ cột quan trọng, gắn liền với yêu cầu minh bạch, giải trình và kiểm soát thuật toán.

Một số điểm giao thoa đáng chú ý giữa Luật BVDLCN và Luật TTNT bao gồm:

Thứ nhất, về nguyên tắc bảo vệ dữ liệu cá nhân và hoạt động trí tuệ nhân tạo

Quy định tại Điều 4 Luật TTNT và Điều 3 Luật BVDLCN, mặc dù 02 văn bản điều chỉnh các lĩnh vực khác nhau, nhưng cùng thể hiện một tinh thần lập pháp thống nhất là lấy con người, quyền con người và lợi ích hợp pháp của cá nhân làm trung tâm trong quá trình phát triển và ứng dụng công nghệ. Theo đó, các nguyên tắc về AI đều nhấn mạnh việc bảo đảm quyền riêng tư, an ninh dữ liệu và trách nhiệm của con người trong kiểm soát hệ thống AI, trong khi các nguyên tắc bảo vệ dữ liệu cá nhân đặt ra yêu cầu tuân thủ pháp luật, bảo đảm tính chính xác, an toàn và sử dụng dữ liệu đúng mục đích. Sự tương đồng này cho thấy việc xử lý và sử dụng dữ liệu cá nhân trong hoạt động AI phải đồng thời đáp ứng cả các nguyên tắc về bảo vệ dữ liệu cá nhân và các nguyên tắc nền tảng của hoạt động AI.

Thứ hai, về nghĩa vụ phân loại mức độ rủi ro

Khoản 4 Điều 30 Luật BVDLCN quy định việc xử lý dữ liệu cá nhân bằng AI phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp. Các mức độ rủi ro cụ thể đã được thể hiện rõ tại Khoản 1 Điều 9 Luật TTNT, gồm:

• Hệ thống AI có rủi ro cao là hệ thống có thể gây thiệt hại đáng kể đến tính mạng, sức khỏe, quyền và lợi ích hợp pháp của tổ chức, cá nhân, lợi ích quốc gia, lợi ích công cộng, an ninh quốc gia;
• Hệ thống AI có rủi ro trung bình là hệ thống có khả năng gây nhầm lẫn, tác động hoặc thao túng người sử dụng do không nhận biết được chủ thể tương tác là hệ thống AI hoặc nội dung do hệ thống tạo ra;
• Hệ thống AI có rủi ro thấp là hệ thống không thuộc trường hợp quy định trên.

Thứ ba, về các hành vi bị nghiêm cấm

Tại Điều 7 Luật TTNT nghiêm cấm hành vi thu thập, xử lý hoặc sử dụng dữ liệu cá nhân để phát triển, huấn luyện, kiểm thử hoặc vận hành hệ thống AI với quy định của bảo vệ dữ liệu cá nhân. Bên cạnh đó, Điều 30 Luật BVDLCN cấm hành vi sử dụng, phát triển hệ thống AI có sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác. Như vậy, cả Luật BVDLCN và Luật TTNT đều cùng hướng tới một tinh thần chung là nghiêm cấm việc sử dụng dữ liệu cá nhân để phục vụ cho hoạt động phát triển, huấn luyện, kiểm thử hoặc vận hành hệ thống trí tuệ nhân tạo khi việc sử dụng đó không tuân thủ quy định của pháp luật. Trong bối cảnh dữ liệu cá nhân là nguồn đầu vào quan trọng của các hệ thống AI, hai điều luật này đã đồng thời thiết lập cơ chế ngăn chặn và kiểm soát cùng một nhóm hành vi, qua đó thể hiện rõ sự giao thoa trong mục tiêu điều chỉnh và phạm vi áp dụng.

Trong bối cảnh cả Luật BVDLCN và Luật trí tuệ nhân tạo đồng thời được áp dụng từ năm 2026, doanh nghiệp cần chủ động chuẩn bị từ sớm nhằm tránh rủi ro tuân thủ mang tính hệ thống. Việc triển khai AI mà không gắn với quản trị dữ liệu cá nhân có thể dẫn đến nguy cơ vi phạm pháp luật trên diện rộng, đặc biệt khi các cơ quan quản lý tăng cường giám sát và yêu cầu giải trình. Do đó, thay vì tiếp cận AI thuần túy như một giải pháp công nghệ, doanh nghiệp cần coi AI là một hoạt động xử lý dữ liệu có rủi ro cao, đòi hỏi sự phối hợp chặt chẽ giữa bộ phận công nghệ, pháp chế và quản trị rủi ro. Cách tiếp cận này không chỉ giúp doanh nghiệp đáp ứng yêu cầu pháp lý mà còn góp phần xây dựng niềm tin của khách hàng và bảo đảm sự phát triển bền vững trong kỷ nguyên số.

Thời gian viết bài: 19/01/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Trách nhiệm kiểm sáot nội bộ và chia sẻ dữ liệu trong tổ chức
• Nhân sự bảo vệ Dữ liệu cá nhân theo Nghị định 356: Tự thực hiện hay Thuê ngoài chuyên nghiệp?
• Các điều kiện để việc chuyển dữ liệu cho đối tác được coi là “hợp lệ”
• Quy định liên quan đến Dữ liệu cá nhân theo Pháp luật Bảo vệ dữ liệu cá nhân hiện hành