Trí tuệ nhân tạo đang nhanh chóng trở thành một thành phần tiêu chuẩn trong vận hành doanh nghiệp tại Việt Nam. Từ hệ thống tuyển dụng tự động đến các nền tảng phân tích hiệu suất lao động, doanh nghiệp đang tích cực ứng dụng công cụ AI nhằm tối ưu hóa hiệu quả và giảm chi phí vận hành. Tuy nhiên, đằng sau lớp vỏ công nghệ là những rủi ro về tuân thủ ngày càng gia tăng: các công cụ này thường xuyên thu thập, xử lý và lưu trữ dữ liệu cá nhân – bao gồm cả thông tin nhạy cảm của người lao động – qua đó kéo theo hàng loạt nghĩa vụ pháp lý nghiêm ngặt theo quy định của pháp luật Việt Nam. 

Với Nghị định số 13/2023/NĐ-CP của Chính phủ ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân (Nghị định 13) hiện đã có hiệu lực, người sử dụng lao động cần đánh giá liệu việc triển khai trí tuệ nhân tạo (AI) của mình có tuân thủ đầy đủ quy định pháp luật hay không. Bài viết này phân tích tác động của AI đối với quyền riêng tư dữ liệu tại nơi làm việc, đồng thời nêu rõ các rủi ro pháp lý và nghĩa vụ kèm theo. 

Những gì AI tại nơi làm việc thực sự theo dõi – và vì sao đây là vấn đề pháp lý 

Nhiều doanh nghiệp đánh giá thấp lượng dữ liệu cá nhân mà các công cụ AI tại nơi làm việc thực sự xử lý. Các hệ thống này thường thu thập: 

• Dữ liệu sinh trắc học (ví dụ: nhận diện khuôn mặt để chấm công) 

• Dữ liệu hành vi (ví dụ: chuyển động chuột, kiểu gõ phím, phân tích cảm xúc) 

• Dữ liệu định vị (ví dụ: GPS từ thiết bị di động) 

• Hồ sơ hiệu suất (ví dụ: phân tích dự đoán về năng suất hoặc mức độ gắn kết) 

Dù những tính năng này có thể mang lại giá trị kinh doanh, chúng thường thuộc nhóm dữ liệu cá nhân nhạy cảm theo quy định pháp luật Việt Nam, đòi hỏi sự đồng ý rõ ràng và biện pháp bảo mật nghiêm ngặt. 

Nghị định 13: Luật bảo vệ dữ liệu cá nhân của Việt Nam quy định gì về dữ liệu nhân sự? 

Nghị định 13/2023/NĐ-CP – văn bản pháp lý toàn diện đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân – đã chính thức có hiệu lực từ ngày 1/7/2023. Nghị định này áp dụng cho mọi tổ chức thu thập hoặc xử lý dữ liệu cá nhân, bao gồm cả trong môi trường lao động. 

Các yêu cầu chính bao gồm: 

• Cơ sở pháp lý hợp lệ: Người sử dụng lao động phải có sự đồng ý rõ ràng, minh bạch từ nhân viên hoặc chứng minh sự cần thiết về mặt hợp đồng/pháp luật. 

• Minh bạch thông tin: Nhân viên phải được thông báo về loại dữ liệu được thu thập, mục đích sử dụng, cách xử lý và bên thứ ba có thể chia sẻ. 

• Quy định về dữ liệu nhạy cảm: Dữ liệu sinh trắc học, sức khỏe, vị trí địa lý và hành vi cần có sự đồng ý riêng biệt, rõ ràng. 

• Quyền của nhân viên: Bao gồm quyền truy cập, chỉnh sửa, xóa và hạn chế việc sử dụng dữ liệu cá nhân. 

Vi phạm các quy định này có thể dẫn đến xử phạt hành chính và tổn hại uy tín doanh nghiệp. 

5 cách phổ biến AI tại nơi làm việc vi phạm luật bảo vệ dữ liệu cá nhân ở Việt Nam 

Doanh nghiệp ứng dụng AI trong quản trị nhân sự, vận hành hoặc giám sát cần lưu ý những vi phạm thường gặp sau: 

1. Sử dụng công cụ của bên thứ ba mà không đánh giá biện pháp bảo mật: Nhiều phần mềm AI dựa trên nền tảng đám mây thu thập dữ liệu nhân viên, nhưng nhà cung cấp có thể không tuân thủ quy định pháp luật Việt Nam. 
2. Giám sát nhân viên mà không có sự đồng ý hợp lệ : Việc lắp đặt camera nhận diện khuôn mặt hoặc phần mềm theo dõi bàn phím mà không có sự đồng thuận rõ ràng từ nhân viên là vi phạm cả luật lao động và luật dữ liệu. 
3. Biểu mẫu đồng ý mập mờ hoặc gộp chung nhiều mục đích: Sự đồng ý phải cụ thể theo từng mục đích. Một ô tích duy nhất cho tất cả mục đích sử dụng dữ liệu không còn hợp lệ. 
4. Lưu trữ dữ liệu nhạy cảm mà không có mã hóa hoặc kiểm soát bảo mật phù hợp: Điều này có thể dẫn đến lộ thông tin về sức khỏe, hành vi hoặc hồ sơ rủi ro của cá nhân. 
5. Thiếu minh bạch về cách AI đưa ra quyết định: Nhân viên cần được biết rõ AI ảnh hưởng thế nào đến việc đánh giá hiệu suất, phân ca làm việc hoặc xử lý kỷ luật. 

Bạn có chịu trách nhiệm pháp lý với hệ thống AI do bên thứ ba xây dựng không? 

Có. Theo Nghị định 13, bên kiểm soát dữ liệu (người sử dụng lao động) vẫn phải chịu trách nhiệm pháp lý đối với việc thu thập và xử lý dữ liệu cá nhân, ngay cả khi các công việc này được thuê ngoài cho nhà cung cấp dịch vụ bên thứ ba hoặc nhà cung cấp dịch vụ AI. Đây là một “điểm mù” quan trọng trong tuân thủ pháp luật đối với nhiều doanh nghiệp đang phụ thuộc vào phần mềm điện toán đám mây, nền tảng tuyển dụng hoặc hệ thống giám sát do các đơn vị bên ngoài phát triển và vận hành. 

Nếu hệ thống AI của nhà cung cấp dịch vụ thay mặt bạn xử lý dữ liệu của người lao động, bạn phải coi nhà cung cấp đó là bên xử lý dữ liệu và chủ động thực hiện các biện pháp bảo đảm tuân thủ, bao gồm: 

• Thực hiện thẩm định (due diligence) về chính sách bảo mật và hồ sơ tuân thủ của họ. 

• Ký kết Thỏa thuận Xử lý Dữ liệu (Data Processing Agreement – DPA) quy định rõ trách nhiệm, mục đích xử lý và nghĩa vụ bảo mật. 

• Đảm bảo việc lưu trữ dữ liệu tại Việt Nam và việc chuyển dữ liệu xuyên biên giới được thực hiện hợp pháp, đặc biệt nếu nhà cung cấp lưu dữ liệu ở nước ngoài. 

• Yêu cầu tiến hành kiểm toán định kỳ hoặc báo cáo thường xuyên để xác nhận việc tuân thủ các yêu cầu bảo vệ dữ liệu của pháp luật Việt Nam. 

• Có được sự đồng ý rõ ràng của người lao động trước khi kích hoạt bất kỳ hệ thống nào của nhà cung cấp có quyền truy cập, phân tích hoặc truyền tải dữ liệu cá nhân. 

Quan trọng là nếu nhà cung cấp không bảo vệ dữ liệu hoặc vi phạm nghĩa vụ về quyền riêng tư, doanh nghiệp của bạn vẫn có thể bị xử lý trách nhiệm trước cơ quan quản lý tại Việt Nam. Việc chỉ dựa vào điều khoản miễn trừ trách nhiệm trong hợp đồng hoặc cam kết của nhà cung cấp là không đủ — người sử dụng lao động phải chủ động quản lý mối quan hệ này thông qua giám sát pháp lý và kiểm soát kỹ thuật. 

Cách sử dụng AI hợp pháp tại nơi làm việc ở Việt Nam 

Để giảm thiểu rủi ro pháp lý, doanh nghiệp triển khai AI trong môi trường lao động cần thực hiện các bước sau: 

• Thực hiện Đánh giá tác động bảo vệ dữ liệu (Data Protection Impact Assessment – DPIA) đối với mọi hệ thống AI xử lý dữ liệu nhạy cảm. 

• Xin ý kiến chấp thuận riêng biệt và rõ ràng cho từng loại dữ liệu. 

• Đào tạo bộ phận nhân sự, công nghệ thông tin và tuân thủ pháp luật về các quy định của Nghị định 13. 

• Lưu trữ dữ liệu của người lao động tại Việt Nam khi pháp luật yêu cầu hoặc áp dụng các giao thức chuyển dữ liệu xuyên biên giới đã được phê duyệt. 

• Kiểm toán tất cả nhà cung cấp dịch vụ AI và công cụ AI để bảo đảm tuân thủ yêu cầu về bảo mật dữ liệu. 

Việc chủ động triển khai các bước này ngay từ bây giờ có thể giúp phòng ngừa tranh chấp, điều tra và xử phạt trong tương lai. 

AI là điều cần thiết nhưng không được vi phạm Quyền riêng tư 

Các công cụ AI trong môi trường làm việc chắc chắn sẽ tiếp tục phát triển và phổ biến. Tuy nhiên, nếu triển khai thiếu cẩn trọng, chúng có thể khiến doanh nghiệp đối mặt với rủi ro pháp lý nghiêm trọng dưới khung pháp lý ngày càng chặt chẽ của Việt Nam. 

Bằng cách lồng ghép quản trị dữ liệu vào chiến lược chuyển đổi số và ưu tiên tuân thủ các quy định về dữ liệu nhân viên, bạn có thể khai thác lợi ích của AI mà vẫn đảm bảo quyền riêng tư và tuân thủ pháp luật. 

Le & Tran được công nhận là một trong những hãng luật hàng đầu tại Việt Nam, nhận được nhiều đánh giá cao từ các ấn phẩm pháp lý uy tín như Chambers, Legal500 và Benchmark Litigation, cũng như được AmCham Việt Nam và Tổng Lãnh sự quán Hoa Kỳ giới thiệu. Đội ngũ Luật sư chuyên về Quyền riêng tư Dữ liệu và Công nghệ của chúng tôi sẽ hỗ trợ các doanh nghiệp đánh giá rủi ro tuân thủ khi sử dụng AI và đảm bảo các chính sách vận hành đáp ứng tiêu chuẩn pháp lý của Việt Nam. Để nhận được tư vấn chuyên sâu, vui lòng liên hệ với chúng tôi qua email info@letranlaw.com.