[68] BẢO VỆ QUYỀN ĐỐI VỚI DỮ LIỆU CÁ NHÂN CỦA CON NGƯỜI TRONG KỶ NGUYÊN TRÍ TUỆ NHÂN TẠO - THỰC TRẠNG VÀ KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VIỆT NAM HIỆN HÀNH

Bài viết này được đăng tại Kỷ yếu Hội thảo Khoa học cho Sinh viên về Luật quốc tế lần thứ ba với chủ đề "Trí tuệ Nhân tạo (AI) và những vấn đề pháp lý" của Khoa Luật Quốc tế - Học viện Ngoại giao năm 2024.

Tác giả: Vương Thị Bảo Ngọc, Đỗ Thu Trang, Lương Khánh Ngọc[1]

Tóm tắt: Cuộc cách mạng 4.0 với động lực cốt lõi là trí tuệ nhân tạo (Artificial Intelligence - AI) đã khiến dữ liệu cá nhân (DLCN) nổi lên như một loại “vàng đen mới" - do lượng lớn dữ liệu mà các công nghệ này sử dụng trực tiếp đến từ thông tin cá nhân của người dùng. Điều này đã đặt ra những thách thức lớn trong vấn đề bảo vệ quyền đối với DLCN. Hành vi sử dụng AI trái phép để thu thập, xử lý dữ liệu đã gây ra những hậu quả nghiêm trọng, xâm phạm trực tiếp quyền đối với DLCN của các chủ thể. Trước tình hình đó, việc đảm bảo quyền này là nhiệm vụ cấp bách và là ưu tiên hàng đầu của các quốc gia trên thế giới. Những năm gần đây, để ứng phó trước nguy cơ tiềm ẩn từ AI, Việt Nam đang nỗ lực xây dựng và hoàn thiện hệ thống pháp luật nhằm bảo vệ quyền đối với DLCN của các chủ thể. Trong phạm vi bài nghiên cứu, nhóm tác giả tiến hành phân tích và so sánh hệ thống pháp luật của Việt Nam với một số mô hình pháp lý trên thế giới. Từ đó rút ra những giá trị tham khảo và kiến nghị hoàn thiện khung pháp lý hiện hành của Việt Nam về vấn đề bảo vệ quyền đối với dữ liệu cá nhân trong kỷ nguyên trí tuệ nhân tạo.

Từ khóa: trí tuệ nhân tạo, dữ liệu cá nhân, bảo vệ quyền đối với dữ liệu cá nhân.

1. Dẫn nhập

Với sự bùng nổ của AI, quyền đối với DLCN ngày càng nhận được sự quan tâm của các nhà lập pháp trên toàn thế giới. Liên minh châu Âu (EU) đã tiên phong trong việc thiết lập các chuẩn mực pháp lý toàn diện về bảo vệ DLCN; còn Hoa Kỳ từ rất sớm đã xây dựng các quy định liên quan đến DLCN thông qua các văn bản pháp luật liên bang với cách tiếp cận theo từng lĩnh vực đặc thù. Bài viết sẽ khái quát quyền đối với DLCN trong kỷ nguyên AI đồng thời phân tích, đối chiếu pháp luật Việt Nam với hai hệ thống pháp luật này. Sau đó, nhóm nghiên cứu sẽ làm rõ hai vấn đề: những bất cập điển hình trong khung pháp lý hiện hành của Việt Nam trước những thách thức từ AI đối với việc bảo vệ quyền của chủ thể DLCN và những giá trị tham khảo cho Việt Nam trong quá trình xây dựng pháp luật bảo vệ DLCN.

2. Khái quát quyền đối với DLCN trong kỷ nguyên AI 

2.1. Khái niệm quyền đối với DLCN

Theo Nghị định 13/2023/NĐ-CP về bảo vệ DLCN, khoản 1 Điều 2 quy định DLCN là “thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.” Gắn liền với DLCN là khái niệm bảo vệ DLCN, được quy định tại khoản 5 Điều 2: “Bảo vệ DLCN là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN theo quy định của pháp luật.” Trong khi đó, EU quy định DLCN là bất kỳ thông tin nào liên quan đến một người cụ thể (chủ thể dữ liệu), giúp xác định hoặc nhận dạng người đó một cách trực tiếp hoặc gián tiếp (nội hàm khoản 1 Điều 4)[2] và quy định bảo vệ DLCN là hoạt động nhằm đảm bảo việc xử lý DLCN được thực hiện một cách minh bạch;[3] DLCN chỉ được sử dụng cho mục đích đã định, được lưu trữ an toàn và không tiết lộ cho bên thứ ba mà không có sự đồng ý.[4] Qua đó, điểm chung về định nghĩa và bảo vệ DLCN trong cả hai hệ thống pháp luật là: DLCN là bất kỳ thông tin nào gắn với một con người cụ thể giúp xác định người đó; bảo vệ DLCN là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN dựa trên các quy định về cơ sở xử lý DLCN.

Bảo vệ DLCN cũng là hoạt động cơ bản nhằm bảo vệ quyền của chủ thể đối với DLCN của mình. Trong khi tầm quan trọng của quyền đối với DLCN (hay còn gọi là quyền bảo vệ DLCN) chưa được xác định cụ thể trong pháp luật Việt Nam, EU đã công nhận quyền đối với DLCN là một trong các quyền cơ bản của con người.[5]

2.2. Khái niệm AI

Khái niệm AI đã được phát triển và mở rộng qua nhiều thập kỷ. Từ định nghĩa ban đầu của nhà khoa học người Anh Alan Turing năm 1950: “AI là hệ thống có khả năng hành động như con người”[6] đến những cách tiếp cận toàn diện hơn của các nhà khoa học Stuart Russel, Peter Norvig: AI bao gồm cả việc mô phỏng quá trình tư duy, tìm kiếm các giải pháp hợp lý…[7]

Tại Việt Nam, AI là lĩnh vực nghiên cứu và phát triển các cơ chế, thuật toán nhằm tạo ra các hệ thống có khả năng thực hiện các nhiệm vụ đòi hỏi trí thông minh (hệ thống AI).[8] Hệ thống AI hiểu đơn giản là sản phẩm cụ thể được xây dựng dựa trên các nghiên cứu về AI. 

Theo Đạo luật Trí tuệ nhân tạo của EU (AIA), hệ thống AI được định nghĩa với những nét tương đồng với Tiêu chuẩn quốc gia TCVN 13902:2023 của Việt Nam. Từ những điều khoản trong AIA, hệ thống AI được phân loại dựa trên các rủi ro tiềm ẩn nhằm thiết lập cơ sở hình thành cơ quan giám sát, quản lý và thực thi AIA của EU.[9] Ý tưởng về sự phân loại AI dựa trên mức độ rủi ro và hình thành cơ quan giám sát độc lập cũng nhận được sự quan tâm của các nhà lập pháp Hoa Kỳ qua những dự luật, phiên thảo luận trong những năm gần đây.[10]

Trên lý thuyết, AI cung cấp những giải pháp hữu hiệu trong việc quản lý và bảo vệ DLCN[11]. Thế nhưng, trên thực tế việc ứng dụng AI vào xử lý DLCN đang đối mặt với nhiều thách thức.[12] Điều này đòi hỏi hệ thống pháp luật cần có những cập nhật để đối phó trước nguy cơ tiềm ẩn của AI gây ra cho chủ thể DLCN.

3. Pháp luật hiện hành của Việt Nam và pháp luật quốc tế về quyền đối với DLCN trong một số vấn đề nổi bật ở kỷ nguyên AI

Trong kỷ nguyên số, quyền của chủ thể dữ liệu đang đối mặt với nhiều thách thức. Sau đây, nhóm tác giả sẽ phân tích khung pháp lý hiện hành của Việt Nam và quốc tế thông qua một số vấn đề nổi bật như: tình trạng DLCN bị xử lý khi chưa có sự đồng ý của chủ thể, tình trạng chủ thể dữ liệu chưa thể xoá DLCN và quyền được yêu cầu bồi thường thiệt hại chưa được đảm bảo.

3.1. Vấn đề bảo đảm quyền đồng ý của chủ thể DLCN

Hiện nay, trên thế giới, việc ứng dụng AI vào xử lý DLCN mang đến nhiều tiêu cực, một trong số đó là thực trạng DLCN của chủ thể bị xử lý mà không có sự đồng ý của chủ thể đó, điển hình thể hiện qua vụ việc Công ty Clearview AI thu thập dữ liệu ảnh khuôn mặt từ Internet trong khi chưa có sự đồng ý từ chủ thể.[13] Điều này đã đặt ra câu hỏi về rủi ro của AI trong việc xử lý DLCN với quyền đối với DLCN nói chung và quyền đồng ý nói riêng, đặc biệt là tại Việt Nam khi số người sử dụng Internet lên đến 78,44 triệu người (tính đến tháng 01 năm 2024).[14]

Tại Việt Nam, khoản 2 Điều 9 Nghị định 13/2023/NĐ-CP đã có quy định về quyền đồng ý của chủ thể DLCN: “Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý DLCN của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.” Ngoài ra, Nghị định cũng đưa ra cơ sở thiết lập sự đồng ý của chủ thể trong quyền đồng ý (khoản 8 Điều 2) và quy định về nội dung thông báo cho chủ thể nhằm đạt được sự đồng ý hợp lệ (Điều 11), nội dung thông báo cho chủ thể dữ liệu về xử lý DLCN (Điều 13). Tuy nhiên, ngay cả khi Nghị định đã được ban hành, thực tiễn vẫn tồn tại nhiều hoạt động xử lý DLCN khi chưa có sự đồng ý của chủ thể. Điều này cho thấy quyền đồng ý chưa được bảo đảm, chủ yếu là do pháp luật chưa ghi nhận các quyền của công dân đối với DLCN và cơ chế thực thi bảo vệ các quyền này còn chưa hoàn thiện.[15]

Các đạo luật Liên bang của Hoa Kỳ đã có quy định về DLCN nói chung và đề cập đến khía cạnh “đồng ý” nói riêng, điển hình như Đạo luật về quyền riêng tư 1974 cấm tiết lộ thông tin về một cá nhân từ hệ thống thông tin mà không có sự đồng ý bằng văn bản của cá nhân đó.[16] Có thể thấy, thời điểm ra đời của các quy định Liên bang về sự đồng ý đối với xử lý DLCN là khá sớm (trước thời điểm AI bùng nổ), và vì vậy, các đạo luật Liên bang này chưa đủ hiệu quả để đối mặt với thực tiễn sử dụng AI xâm phạm quyền đồng ý phức tạp như ngày nay[17] (như hình thức thể hiện sự đồng ý được xác lập của chủ thể dữ liệu chưa được cập nhật,...).

Tại EU, Quy định bảo vệ dữ liệu chung (General Data Protection Regulation - GDPR) tuy không đề cập đến quyền đồng ý rõ ràng nhưng đã tập trung vào việc định nghĩa và xác định tính chất của “sự đồng ý” trên phương diện pháp lý. Cụ thể, khoản 11 Điều 4 GDPR có nội hàm quy định “sự đồng ý” của chủ thể dữ liệu là bất kỳ dấu hiệu nào cho thấy chủ thể dữ liệu, qua mong muốn của mình, thể hiện sự đồng ý với việc xử lý DLCN liên quan đến chủ thể đó bằng một tuyên bố hoặc hành động khẳng định rõ ràng trên cơ sở tự do, tự nguyện, được cung cấp thông tin về việc xử lý DLCN đó. Quy định này đã đặt ra cơ sở cho quyền đồng ý của chủ thể đối với DLCN tại EU: quyền đồng ý đối với các hoạt động liên quan đến DLCN của chủ thể phải hoàn toàn dựa trên cơ sở tự do, tự nguyện, và chủ thể cần phải được cung cấp đầy đủ thông tin trước khi cho phép xử lý DLCN.

Một điều cần lưu ý là, trong phạm vi xử lý DLCN trong AI, “cung cấp đầy đủ thông tin” cần được hiểu là hành động cung cấp thông tin cơ bản về xử lý DLCN, và bao gồm tất cả những thông tin cần thiết có thể ảnh hưởng đến quyết định cho phép xử lý dữ liệu của chủ thể, như việc AI xử lý DLCN đó được phân loại ra sao, loại AI đó có thể có những rủi ro gì đến DLCN và quyền đối với DLCN của chủ thể,...[18]

Theo nghiên cứu do Mạng lưới thực thi quyền riêng tư toàn cầu (The Global Privacy Enforcement Network – GPEN), 59% thiết bị Internet vạn vật (The Internet of Things - IoT),[19] mạng lưới tập hợp các thiết bị thông minh và công nghệ bao gồm cả AI,[20] không cung cấp rõ ràng việc DLCN sẽ được xử lý như thế nào; trong khi đó, hầu hết chủ thể sử dụng thiết bị IoT không có lựa chọn nào khác ngoài việc đồng ý với các chính sách do nhà cung cấp IoT đưa ra, nếu không sẽ không thể sử dụng các thiết bị này.[21] Đây là một hình thức ép buộc đồng ý, khi không cung cấp đầy đủ thông tin khiến cho chủ thể xem xét đồng thuận nhưng lại “ngầm” cho chủ thể thấy hệ quả nếu chủ thể không đưa ra sự đồng ý.[22]

Một vấn đề khác cần quan tâm là vấn đề công nhận quyền đồng ý là một quyền cơ bản của con người. Do Việt Nam vẫn chưa ghi nhận các quyền của công dân đối với DLCN là quyền cơ bản của con người, nên thực tiễn vẫn tồn tại nhiều hoạt động xử lý DLCN trái phép, xâm phạm các quyền của chủ thể đối với DLCN nói chung và quyền đồng ý nói riêng.[23] Tại EU, sự đồng ý đã được công nhận là một khía cạnh thiết yếu thuộc quyền cơ bản của con người trong việc bảo vệ DLCN.[24] Điều đó có nghĩa, việc AI xâm phạm quyền đồng ý của chủ thể là tương tự như xâm phạm các quyền cơ bản khác. Một ví dụ cho sự xâm phạm này có thể kể đến là vụ 17 tác giả kiện OpenAI vì các tác phẩm được đăng ký bản quyền của họ bị khai thác trái phép nhằm đào tạo mô hình AI mà chưa có sự đồng ý từ họ. OpenAI sau đó bị phát hiện đã thu thập hàng loạt DLCN từ nguyên đơn, và bỏ qua quyền đồng ý, quyền riêng tư và quyền sở hữu trí tuệ của họ,[25] đồng nghĩa với việc OpenAI xâm phạm cả ba quyền cơ bản.

Như vậy, có thể thấy, Việt Nam cần giải quyết những vấn đề nêu trên liên quan đến các tiêu chí trong cơ sở của quyền đồng ý và công nhận quyền đối với DLCN nói chung, quyền đồng ý nói riêng là quyền con người. Điều này có thể giúp Việt Nam đối mặt với tác động tiêu cực từ AI và giảm thiểu khả năng quyền đồng ý của chủ thể DLCN bị xâm phạm bởi AI.

3.2. Vấn đề đảm bảo quyền xoá DLCN của chủ thể DLCN

Hiện nay, AI được phát triển dựa trên lượng DLCN khổng lồ.[26] Một mô hình điển hình là LinkedIn được phát triển với DLCN của 930 triệu người dùng với mục đích đào tạo AI nhưng những DLCN được sử dụng trong quá trình đó không thể xóa khỏi cơ sở dữ liệu của AI.[27] Có thể thấy, AI là một thực thể có khả năng lưu trữ thông tin vĩnh viễn và có khả năng truy xuất dữ liệu trong quá khứ một cách dễ dàng, dẫn đến nhu cầu của chủ thể dữ liệu về quyền được xóa dữ liệu.[28] Đến nay, quyền xóa dữ liệu đã trở thành một quyền cơ bản, do các nhà lập pháp coi việc phát triển quyền này như một bước phát triển quyền tự quyết cá nhân trong thời đại bùng nổ AI.[29] Theo đó, một cá nhân có quyền xóa và yêu cầu xóa những DLCN trên cơ sở dữ liệu của AI nếu thông tin đó làm tổn hại đến cá nhân, đã lỗi thời hoặc không còn cần thiết.[30] 

Tại Việt Nam, các quy định về quyền xóa dữ liệu còn sơ khai, thiếu tính thống nhất về thuật ngữ, đồng thời chưa thể hiện rõ cơ chế bảo vệ cũng như ngăn chặn những vi phạm trong bối cảnh của AI.[31] Trước hết, các quy định về quyền xóa dữ liệu còn sơ khai bởi quyền này được quy định rải rác tại một vài văn bản quy phạm pháp luật. Quyền xóa dữ liệu được quy định trực tiếp tại Nghị định 13/2023/NĐ-CP về bảo vệ DLCN tại khoản 5 Điều 9: “Chủ thể dữ liệu được xóa hoặc yêu cầu xóa DLCN của mình, trừ trường hợp luật có quy định khác.” Còn các văn bản trước đó thì chỉ đề cập quyền xóa dữ liệu một cách gián tiếp với những thuật ngữ như “hủy bỏ”, “gỡ bỏ”, “tiêu hủy”. Đầu tiên là sự ghi nhận một cách gián tiếp rằng quyền xóa dữ liệu được coi như một phương thức để bảo vệ đời sống riêng tư tại Điều 21 Hiến pháp năm 2013.[32] Sau đó, Bộ luật Dân sự năm 2015 (BLDS 2015) tiếp tục ghi nhận tại các Điều 32, 34, 38, cho phép chủ thể dữ liệu yêu cầu bên kiểm soát dữ liệu gỡ bỏ, thu hồi, tiêu hủy dữ liệu.[33] Đến năm 2018, quyền xóa dữ liệu tiếp tục được quy định tại Điều 18 Luật an toàn thông tin mạng, cho phép chủ thể hủy bỏ dữ liệu đã được lưu trữ, thu thập.[34] Tới đây, có thể thấy rằng quyền xóa dữ liệu chưa có sự thống nhất về mặt thuật ngữ. Tiếp theo, về cơ chế bảo vệ và thực thi quyền, Nghị định số 13/2023/NĐ-CP yêu cầu bên kiểm soát dữ liệu phải xóa DLCN trong vòng 72 giờ kể từ khi nhận yêu cầu của chủ thể.[35] Tuy nhiên, việc thực thi quy định này chưa có hướng dẫn cụ thể, khiến nhiều tổ chức còn gặp khó khăn trong việc áp dụng và thực thi đúng quy định.[36] 

Pháp luật liên bang Hoa Kỳ chưa có quy định toàn diện về quyền xóa dữ liệu, mà chỉ áp dụng giới hạn trong một số lĩnh vực cụ thể và chưa bao phủ các ứng dụng AI.[37] Theo đó, ba trường hợp quyền xóa dữ liệu được quy định rõ ràng trong pháp luật liên bang Hoa Kỳ bao gồm (i) xóa thông tin tín dụng không chính xác,[38] (ii) xóa DLCN trẻ em theo yêu cầu phụ huynh,[39] và (iii) hủy thông tin nhận dạng cá nhân khi không còn cần thiết.[40] Như vậy, quyền xóa dữ liệu ở Hoa Kỳ dựa trên nguyên tắc  DLCN chỉ nên được lưu trữ khi còn phục vụ mục đích hợp lý và chính đáng, và phải bị xóa khi trở nên lỗi thời hoặc không cần thiết.[41] Hoa Kỳ cũng thành lập các cơ quan giám sát độc lập như Bộ Y Tế và Dịch Vụ Nhân Sinh Hoa Kỳ (HHS) giám sát thực thi Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA),[42] Cục bảo vệ tài chính người tiêu dùng (CFPB) giám sát thực thi Đạo luật báo cáo tín dụng công bằng (FCRA).[43] Tuy nhiên, quyền xóa dữ liệu tại Hoa Kỳ vẫn chưa được điều chỉnh trong AI là bởi các quy định hiện hành không áp dụng trực tiếp cho việc kiểm soát và xóa DLCN do AI thu thập.[44]

Tại EU, các nguyên tắc cơ bản về quyền xóa dữ liệu thể hiện tính minh bạch, công bằng hơn phần lớn các quốc gia.[45] Theo Điều 17 GDPR, DLCN được xử lý trong hệ thống khi có yêu cầu, không có lý do hợp pháp và xác đáng để lưu trữ và truyền tải thông tin cá nhân đó.[46] Dựa trên cơ sở này, quyền xóa dữ liệu ở EU được phát triển thông qua AIA. Theo đó, DLCN được xử lý trong quá trình thử nghiệm bằng các biện pháp kỹ thuật[47] hoặc bằng hệ thống AI trong điều kiện thực tế[48] đều phải được xóa sau khi kết thúc thử nghiệm hoặc khi có yêu cầu của chủ thể dữ liệu. Khoản 10 Điều 26 bổ sung thêm yêu cầu các dữ liệu được xử lý bởi hệ thống AI có rủi ro cao phải được xóa nếu có yêu cầu từ phía cá nhân. Tham chiếu với quy định của Điều 12 GDPR, thủ tục xử lý yêu cầu bao gồm thời hạn, gia hạn thời hạn, bồi thường khi có thiệt hại phát sinh. Bên cạnh đó, EU cũng thiết lập các quy định về cơ quan giám sát việc thực thi với nhiệm vụ tiếp nhận và điều tra các khiếu nại liên quan đến quyền đối với dữ liệu của các chủ thể.[49] Ví dụ, cơ quan giám sát phải can thiệp khi một yêu cầu xóa dữ liệu không được phản hồi. Sau khi điều tra, cơ quan xác định rằng yêu cầu bị bỏ qua do lỗi kỹ thuật trong quá trình chuyển hệ thống quản lý mới và đã tiến hành hòa giải để giải quyết yêu cầu khiếu nại của bên chủ thể dữ liệu đối với bên kiểm soát dữ liệu.[50] 

Như vậy, có thể thấy các quy định pháp luật về quyền xóa dữ liệu đã có những bước tiến để thích nghi trong bối cảnh AI. Nhưng sự phát triển của AI vẫn đang theo chiều hướng khó đoán định,[51] đòi hỏi Việt Nam cũng như các quốc gia khác cần tiếp tục hoàn thiện khung pháp lý cho quyền này. 

3.3. Vấn đề đảm bảo quyền yêu cầu bồi thường thiệt hại của chủ thể DLCN

Từ hai vấn đề đã đề cập ở trên, việc xảy ra thiệt hại thực tế là điều có thể xảy ra. Tuy nhiên việc xác định trách nhiệm bồi thường trước những hành vi xâm phạm DLCN liên quan đến AI hiện nay còn nhiều vướng mắc, chủ yếu do chưa có quy định cụ thể về tư cách pháp lý của AI.[52] Điều này dẫn đến việc quyền của chủ thể dữ liệu chưa được đảm bảo. 

Tại Việt Nam, theo Điều 13 BLDS 2015, khi DLCN bị xâm phạm, nạn nhân có thể yêu cầu người gây thiệt hại phải chịu trách nhiệm bồi thường để khắc phục hậu quả. Quyền yêu cầu bồi thường thiệt hại được ghi nhận trong một số văn bản pháp luật nhưng mang tính khái quát. Cụ thể, Điều 22 Luật Công nghệ Thông tin 2006: “Cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân”. Điều 8 Luật An toàn Thông tin mạng 2015 và Điều 11 Luật Bảo vệ Quyền lợi Người tiêu dùng 2010 quy định trách nhiệm, nghĩa vụ của tổ chức, cá nhân“nếu gây thiệt hại phải bồi thường theo quy định của pháp luật”. Nghị định 13/2023/NĐ-CP ghi nhận tại khoản 10 Điều 9“chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ DLCN của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác”. Đặt trong bối cảnh sự phát triển của AI tạo ra thách thức lớn về xã hội và pháp lý,[53] AI có thể sẽ là đối tượng trực tiếp[54] gây hại cho con người.[55] Những quy định hiện hành chưa bảo đảm quyền được yêu cầu bồi thường thiệt hại của chủ thể. Câu hỏi đặt ra là: Ai sẽ chịu trách nhiệm bồi thường cho những tổn thất này. Như vậy, để giải quyết tranh chấp về quyền yêu cầu bồi thường thiệt hại do những hành vi xâm phạm DLCN liên quan đến AI, việc xác định tư cách pháp lý của AI là cần thiết. 

Pháp luật Hoa Kỳ và EU chưa công nhận AI là chủ thể của pháp luật nhưng đang có những bước tiến nhất định trong việc xem xét xác định tư cách pháp lý của AI trong lĩnh vực dân sự.[56] Việc AI được xác lập tư cách pháp lý sẽ tạo ra cơ chế rõ ràng để giải quyết các vấn đề pháp lý liên quan đến AI (cơ quan tổ chức hợp pháp, có người đại diện về mặt pháp luật, có tài sản để hoạt động và chịu trách nhiệm,...).[57]

Tại Hoa Kỳ, báo cáo “Kế hoạch Chiến lược Nghiên cứu và Phát triển Trí tuệ Nhân tạo Quốc gia”[58] ban hành bởi Ủy ban Công nghệ NSTC không trực tiếp đề xuất công nhận tư cách pháp lý của AI. Tuy nhiên, báo cáo đề cập đến khả năng tuân theo các quy tắc đạo đức, pháp lý của máy móc tự trị: chúng có khả năng thực hiện các quyền và nghĩa vụ đạo đức, pháp lý[59] - một trong những tiêu chí quan trọng trong quá trình xem xét xác định tư cách pháp lý của AI. Tương tự, pháp luật EU dù chưa có văn bản pháp luật chính thức quy định về tư cách pháp lý của AI nhưng đã có tài liệu chính thức đề cập đến khả năng trao cho AI một số quyền, trách nhiệm pháp lý trong lĩnh vực dân sự. Cụ thể, trong Kế hoạch Chiến lược 2016-2020, Ủy ban Châu Âu tuyên bố rằng“họ sẽ khám phá các khung pháp lý cho các hệ thống tự trị, đặc biệt là các quy tắc an toàn, trách nhiệm pháp lý và các điều kiện pháp lý…”.[60] Kế hoạch này đã đề cập đến việc thiết lập khung pháp lý cho hệ thống tự trị, ngụ ý đến việc xác định tư cách pháp lý của AI. Năm 2017, Quốc hội Châu Âu trong Nghị quyết “Quy tắc luật dân sự về Robot” đã đề cập tại điều 59F:“...những robot tự trị tinh vi nhất có thể được thiết lập là có tư cách pháp nhân điện tử, chịu trách nhiệm bồi thường mọi thiệt hại mà chúng có thể gây ra…”.[61] Như vậy, EU không phủ nhận khả năng AI có thể trở thành một chủ thể độc lập của luật dân sự. Năm 2018, Ủy ban EU đã công bố “Trí tuệ nhân tạo: một cách tiếp cận của Châu Âu để thúc đẩy đầu tư và thiết lập các hướng dẫn đạo đức” (Tài liệu IP /18/3362). Tài liệu này đã đề cập: “AI có thể đặt ra những câu hỏi đạo đức và pháp lý mới, liên quan đến trách nhiệm pháp lý…”.[62]

Như vậy vấn đề xác định tư cách pháp lý của AI là cần thiết trong việc giải quyết các tranh chấp liên quan. Hoa Kỳ, EU và các nước trên thế giới đều đang tích cực nghiên cứu về việc xác định tư cách pháp lý cho AI.[63] Việt Nam, với tư cách là một quốc gia đang hội nhập sâu rộng, không nên nằm ngoài quá trình này.

4. Một số giá trị tham khảo cho Việt Nam

Để giải quyết những thách thức từ AI, bảo vệ quyền đối với DLCN, Việt Nam cần có hệ thống pháp luật hoàn thiện, đồng bộ với các chuẩn mực quốc tế. Việc tham khảo kinh nghiệm của các quốc gia đi đầu trong lĩnh vực này sẽ giúp xây dựng một khung pháp lý hiệu quả, bảo vệ tối đa quyền lợi của chủ thể.

Thứ nhất, Việt Nam cần hoàn thiện các quy định liên quan đến cơ sở của quyền đồng ý, đặc biệt lưu ý đến tiêu chí “được cung cấp thông tin” (chủ thể phải được cung cấp đầy đủ các thông tin có thể ảnh hưởng đến quyết định đồng ý hay không đồng ý).

Thứ hai, Việt Nam cần học tập các quốc gia khác trên thế giới sớm nghiên cứu, xây dựng và ban hành khung pháp lý riêng biệt quy định cụ thể những vấn đề liên quan đến quyền đối với DLCN và công nhận quyền đối với DLCN là quyền cơ bản trong kỷ nguyên AI. Tại Việt Nam, quyền đối với DLCN và bảo vệ DLCN mới được quy định trong Nghị định số 13/2023/NĐ-CP, ngoài ra chưa có văn bản quy phạm pháp luật nào quy định cụ thể về vấn đề này, cũng như chưa công nhận các quyền của chủ thể DLCN là quyền cơ bản trong kỷ nguyên AI.[64] 

Thứ ba, Việt Nam cần có sự phân biệt giữa thuật ngữ “DLCN” với “thông tin cá nhân”, “xóa” với “hủy bỏ”.[65] Điều này nhằm tránh nhầm lẫn trong áp dụng pháp luật, đảm bảo tính minh bạch và hiệu quả thực thi.

Thứ tư, Việt Nam cần thiết lập cơ quan giám sát nhằm nâng cao hiệu quả thực thi pháp luật về bảo vệ DLCN. Hiện, cơ quan chuyên trách bảo vệ DLCN là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.[66] Tuy nhiên, hoạt động của cơ quan này vẫn gặp nhiều khó khăn do thiếu sự phối hợp chặt chẽ với các đơn vị chức năng của Bộ Thông tin và Truyền thông và Ngân hàng Nhà nước.[67] Do đó, cần đề xuất thành lập một cơ quan chuyên trách độc lập về bảo vệ DLCN, được tích hợp trong bộ máy nhà nước để đảm bảo sự đồng bộ và hiệu quả trong công tác thực thi pháp luật.

Thứ năm, cần nghiên cứu và ban hành các quy định về phân loại AI và hệ thống AI dựa trên mức độ nguy hiểm theo tham khảo từ các điều khoản về phân loại AI của AIA như đã đề cập ở phần 2 để có những biện pháp phù hợp trước những hành vi xâm phạm DLCN từ chúng. Việc phân loại này không chỉ giúp đảm bảo an toàn thông tin mà còn thúc đẩy ứng dụng AI một cách có trách nhiệm, tuân thủ nguyên tắc tương xứng giữa rủi ro và biện pháp phòng ngừa.[68]

Thứ sáu, cần xúc tiến quá trình xác định tư cách pháp lý của AI. Sự thừa nhận này một mặt tạo ra cơ chế rõ ràng để giải quyết các vấn đề pháp lý liên quan đến AI, một mặt bảo vệ quyền lợi của con người nói chung, của chủ thể DLCN nói riêng trong kỷ nguyên AI.

4. Kết luận

DLCN được xem là một thứ tài sản vô hình thuộc sở hữu của chủ thể nhất định, nhưng trong kỷ nguyên bùng nổ AI, những vấn đề liên quan đến AI xâm phạm quyền của chủ thể đối với DLCN đang diễn ra ngày càng nhức nhối, ảnh hưởng tới quyền lợi hợp pháp của chủ thể đó. Thực trạng đó đang diễn ra phức tạp không chỉ trên thế giới mà còn ngay tại Việt Nam; do đó, Việt Nam cần phải thực hiện các hành động cần thiết, bắt đầu từ việc hoàn thiện khung pháp lý về bảo vệ quyền đối với DLCN liên quan đến AI đến các biện pháp cấp thiết nhằm trực tiếp, quyết liệt và toàn diện bảo vệ quyền của chủ thể DLCN.

DANH MỤC TÀI LIỆU THAM KHẢO

[1] Vương Thị Bảo Ngọc - Sinh viên Khoa Luật quốc tế - Học viện Ngoại giao; Đỗ Thu Trang - Sinh viên Khoa Luật quốc tế - Học viện Ngoại giao; và Lương Khánh Ngọc - Sinh viên Khoa Luật quốc tế - Học viện Ngoại giao.

[2] Phạm Thị Thoa, ‘Quyền đối với DLCN theo quy định của pháp luật Việt Nam’ (Apolat Legal, 2023) <https://apolatlegal.com/vi/blog/quyen-doi-voi-du-lieu-ca-nhan-theo-quy-dinh-cua-phap-luat-viet-nam/> truy cập ngày 17/11/2024.

[3] ‘Data Protection’ (European Data Protection Supervisor, 2024) <https://www.edps.europa.eu/data-protection/data-protection_en> truy cập ngày 21/11/2024.

[4] ‘Personal Data Protection’ (ScienceDirect Topics) <https://www.sciencedirect.com/topics/computer-science/personal-data-protection> truy cập ngày 21/11/2024.

[5] ‘Personal Data Protection’ (European Environment Agency’s home page, 26/5/2023) <https://www.eea.europa.eu/en/about/working-practices/personal-data-protection> truy cập ngày 21/11/2024.

[6] A. M. Turing, Computing Machinery and Intelligence, Vol. 59, No. 236 (Oxford University Press, 10/1950) trang 433-460.

[7] Stuart Russell, Peter Norvig, Artificial Intelligence: A Modern Approach, (Prentice Hall, 1994), trang 7.

[8] Tiêu chuẩn quốc gia TCVN 13902:2023 (ISO/IEC 22989:2022), tiểu mục 3.1 Mục 3.

[9] Đạo luật AI 2024, mục 5.2

[10] ‘U.S. Artificial Intelligence Policy: Legislative and Regulatory Developments’ (Covington & Burling LLP, 20/10/2023) <https://www.cov.com/en/news-and-insights/insights/2023/10/us-artificial-intelligence-policy-legislative-and-regulatory-developments> truy cập ngày 21/11/2024.

[11] Xiao-Ling Jin và các tác giả khác, ‘Application of a Blockchain Platform to Manage and Secure Personal Genomic Data: A Case Study of LifeCODE.ai China’ (2019) <https://pubmed.ncbi.nlm.nih.gov/31507268/> truy cập ngày 21/11/2024.

[12] Lưu Minh Sang, Trần Đức Thành, ‘Trí tuệ nhân tạo và những thách thức pháp lý’ (2020) Tạp chí Khoa học và Công nghệ Việt Nam <https://vjst.vn/vn/tin-tuc/3303/tri-tue-nhan-tao-va-nhung-thach-thuc-phap-ly.aspx> truy cập ngày 21/11/2024.

[13] Hạnh H, ‘Hà Lan Phạt Công Ty AI Mỹ 30,5 Triệu Euro’ (ĐÀI PHÁT THANH VÀ TRUYỀN HÌNH HÀ NỘI, 04/9/2024) <https://hanoionline.vn/ha-lan-phat-cong-ty-ai-my-30-5-trieu-euro-263110.htm> truy cập ngày 21/11/2024.

[14][15] ‘Những Con Số về Digital Tại Việt Nam 2024 Mà Bạn Phải Biết’ (HIỆP HỘI THƯƠNG MẠI ĐIỆN TỬ VIỆT NAM, 29/5/2024) <https://vecom.vn/nhung-con-so-ve-digital-tai-viet-nam-2024-ma-ban-phai-biet> truy cập ngày 21/11/2024.

[16] Đạo luật Quyền riêng tư 1974, mục b Điều 552a.

[17] ‘Data Privacy Laws in the United States (Updated October 2024)’ (Didomi, 10/2024) <https://www.didomi.io/blog/us-data-privacy-laws> truy cập ngày 21/11/2024.

[18][22][23] ‘What Is Data Subject Consent Management?’ (PrivacyEngine Data Protection Software and Consultancy, 22/4/2024) <https://www.privacyengine.io/resources/glossary/data-subject-consent-management/> truy cập ngày 21/11/2024.

[19] ‘IoT Là Gì? - Giải Thích về Internet Vạn Vật - AWS’ (Amazon Web Services, Inc.) <https://aws.amazon.com/vi/what-is/iot/> truy cập ngày 21/11/2024.

[20] ‘Artificial Intelligence in IoT: Enhancing Connectivity and Efficiency’ (Device Authority, 29/8/2023) <https://deviceauthority.com/artificial-intelligence-in-iot-enhancing-connectivity-and-efficiency/> truy cập ngày 21/11/2024.

[21] Khatiwada P và các tác giả khác, ‘A Reference Design Model to Manage Consent in Data Subjects-Centered Internet of Things Devices’ (2024) 5 IoT 100 <https://doi.org/10.3390/iot5010006> truy cập ngày 21/11/2024.

[24] ‘Opinion 15/2011 on the definition of consent’ (European Commission, 13/07/2011) <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf> truy cập ngày 21/11/2024.

[25] ‘Apple Security Feature Reboots Phones After 72 Hours of Inactivity’ (PYMNTS, 15/11/2024) <https://www.pymnts.com/apple/2024/apple-security-feature-reboots-phones-after-72-hours-of-inactivity/> truy cập ngày 21/11/2024.

[26] Zhang D. và các tác giả khác, ‘Right to Be Forgotten in the Era of Large Language Models: Implications, Challenges, and Solutions’ (2024) AI and Ethics.

[27] ‘LinkedIn’s 930 Million Users Unknowingly Train AI, Sparking Data Privacy Concerns’ (PYMNTS, 24/9/2024) <https://www.pymnts.com/artificial-intelligence-2/2024/linkedins-930-million-users-unknowingly-train-ai-sparking-data-privacy-concerns/> truy cập ngày 21/11/2024.

[28] Cécile De Terwangne, ‘Internet Privacy and the Right to Be Forgotten/Right to Oblivion’ (2012) 13 Revista de Internet derecho y politica 31 <https://researchportal.unamur.be/en/publications/internet-privacy-and-the-right-to-be-forgottenright-to-oblivion> truy cập ngày 17/11/2024.

[29][30][42] Huỳnh Thị Nam Hải và Huỳnh Thị Minh Hải, ‘Quyền được lãng quên trên không gian mạng và vấn đề đảm bảo sự cân bằng với quyền tự do ngôn luận’ (2023) Tạp chí Tòa án nhân dân <https://tapchitoaan.vn/quyen-duoc-lang-quen-tren-khong-gian-mang-va-van-de-dam-bao-su-can-bang-voi-quyen-tu-do-ngon-luan8770.html> truy cập ngày 17/11/2023.

[31] Phan Thảo Đan và Đoàn Đức Thắng, ‘Thách thức của trí tuệ nhân tạo với ‘quyền được lãng quên’ và một số khuyến nghị cho pháp luật Việt Nam’ (2023) Tạp chí điện tử Luật sư Việt Nam <https://lsvn.vn/thach-thuc-cua-tri-tue-nhan-tao-voi-quyen-duoc-lang-quen-va-mot-so-khuyen-nghi-cho-phap-luat-viet-nam-1690300752-a133297.html> truy cập ngày 21/11/2024.

[32] Bộ luật Dân sự 2015, Điều 221.

[33] Bộ luật Dân sự 2015, Điều 32, 34, 38.

[34] Luật an toàn thông tin mạng 2015, Điều 18.

[35] Nghị định số 13/2023/NĐ-CP 2023, khoản 5 Điều 16.

[36] Nguyễn Văn Phúc, ‘Bảo vệ DLCN: Quá khó để doanh nghiệp tuân thủ quy định’ (2024) Tạp chí Kinh tế Sài Gòn <https://thesaigontimes.vn/bao-ve-du-lieu-ca-nhan-qua-kho-de-doanh-nghiep-tuan-thu-quy-dinh/> truy cập ngày 21/11/2024.

[37] Lê Xuân Tùng và Đào Bá Minh, ‘Kinh nghiệm của châu Âu và Hoa Kỳ về bảo vệ quyền nhân thân dưới tác động của Cách mạng 4.0 và một số bài học cho Việt Nam’ (2020) Tạp chí Dân chủ & Pháp luật <https://danchuphapluat.vn/kinh-nghiem-cua-chau-au-va-hoa-ky-ve-bao-ve-quyen-nhan-than-duoi-tac-dong-cua-cach-mang-4-0-va-mot-so-bai-hoc-cho-viet-nam> truy cập ngày 21/11/2024.

[38] Đạo luật báo cáo tín dụng công bằng (Fair Credit Reporting Act - FCRA) 1970, 15 U.S.C. § 1681i(a)(5).

[39] Đạo luật Bảo vệ quyền riêng tư trực tuyến của trẻ em (Children’s Online Privacy Protection Act - COPPA) 1998, 16 CFR § 312.6.

[40][45] Đạo luật Bảo vệ quyền riêng tư video (Video Privacy Protection Act - VPPA) 1988, 18 U.S.C. § 2710(e).

[42] ‘Laws & Regulations’ (HHS.gov, 31/3/2021) <https://www.hhs.gov/regulations/index.html> truy cập ngày 21/11/2024.

[43] ‘Consumer Financial Protection Bureau’ (Consumer Financial Protection Bureau) <https://www.consumerfinance.gov/> truy cập ngày 21/11/2024.

[44] ‘What does AI need? A comprehensive federal data privacy and security law’ (IAPP, 12/7/2023) <https://iapp.org/news/a/what-does-ai-need-a-comprehensive-federal-data-privacy-and-security-law/> truy cập ngày 21/11/2024.

[46] Ngô Thị Minh Hương, Phạm Hải Chung, ‘QUYỀN ĐƯỢC LÃNG QUÊN TRONG KỶ NGUYÊN SỐ: THÁCH THỨC CỦA ỨNG DỤNG TRÍ TUỆ NHÂN TẠO’ <https://repository.vnu.edu.vn/bitstream/VNU_123/94766/1/KY-1034.pdf> truy cập ngày 21/11/2024.

[47] Đạo luật AI 2024, điểm f khoản 1 Điều 54.

[48] Đạo luật AI 2024, điểm i khoản 4 Điều 60.

[49] Điều 51 GDPR, Điều 63 AIA.

[50] ‘Cases Studies 2018-2023’ (Data Protection Commission) <https://www.dataprotection.ie/sites/default/files/uploads/2023-09/DPC_CS_2023_EN_Final.pdf?fbclid=IwY2xjawGhOA9leHRuA2FlbQIxMAABHfIV_Yi4AeDEkE87z4t4j_8uS8d9yYY0ddpa_lj0mAYpFoFqRBqIgippYw_aem_BbfvBX7WMs7br8OvMOw-2A> truy cập ngày 21/11/2024.

[51] ‘Công nghệ trí tuệ nhân tạo – Một số vấn đề ảnh hưởng tới xã hội’ (Cục sở hữu trí tuệ, 24/04/2020) <https://ipvietnam.gov.vn/sach-tap-chi/-/asset_publisher/sLWyfypSNz0a/content/cong-nghe-tri-tue-nhan-tao-mot-so-van-e-anh-huong-toi-xa-hoi?inheritRedirect=false> truy cập ngày 21/11/2024.

[52][53][55] Lưu Minh Sang, Trần Đức Thành, ‘Trí tuệ nhân tạo và những thách thức pháp lý’ (2020)  Tạp chí Khoa học và Công nghệ Việt Nam <https://vjst.vn/vn/tin-tuc/3303/tri-tue-nhan-tao-va-nhung-thach-thuc-phap-ly.aspx> truy cập ngày 21/11/2024.

[54] Matjaž Perc, Mahmut Ozer, Janja Hojnik, ‘Social and juristic challenges of artificial intelligence’ (2019) Humanities & Social Sciences Communications <https://doi.org/10.1057/s41599-019-0278-x> truy cập ngày 21/11/2024.

[56] Roman Dremliuga,  Pavel Kuznetcov, Alexey Mamychev, ‘Criteria for Recognition of AI as a Legal Person’ (2019) Journal of Politics and Law  <https://www.ccsenet.org/journal/index.php/jpl/article/view/0/40443> truy cập ngày 21/11/2024.

[57] Giovanni De Gregorio, ‘The rise of digital constitutionalism in the European Union’ (2021) Oxford academic <https://academic.oup.com/icon/article/19/1/41/6224442> truy cập ngày 21/11/2024.

[58] Kế hoạch được xuất bản bởi Văn phòng Điều hành của Tổng thống xác định các biện pháp chính để tối đa hóa lợi ích của công nghệ AI.

[59] ‘Artificial intelligence: Commission outlines a European approach to boost investment and set ethical guidelines’ (European Commission, 25/04/2018) <https://ec.europa.eu/commission/presscorner/detail/en/ip_18_3362> truy cập ngày 21/11/2024.

[60][62] ‘Content and Technology – strategic plan 2016-2020’ (European Commission, 2020)  <https://ec.europa.eu/info/sites/info/files/strategic-plan-2016-2020-dg-cnect_may2016_en.pdf> truy cập ngày 21/11/2024.

[61] ‘European Parliament resolution of 16 February 2017 with recommendations to the Commission on Civil Law Rules on Robotics’ (European Parliament, 2015) <https://www.europarl.europa.eu/doceo/document/TA-8-2017-0051_EN.html?redirect#BKMD-12> truy cập ngày 21/11/2024.

[63] A. Atabekov, O. Yastrebov, ‘Legal Status of Artificial Intelligence Across Countries: Legislation on the Move’ (2018) European Research Studies Journal <https://ersj.eu/journal/1245> truy cập ngày 21/11/2024.

[64] ‘Dữ liệu cá nhân không được mua, bán dưới mọi hình thức’ (Báo Điện tử Chính phủ, 01/10/2024) <https://baochinhphu.vn/du-lieu-ca-nhan-khong-duoc-mua-ban-duoi-moi-hinh-thuc-102241001151734842.htm> truy cập ngày 08/12/2024. 

[65] Lê Anh, ‘HOÀN THIỆN HỆ THỐNG PHÁP LUẬT VỀ BẢO VỆ DLCN’ (Cổng thông tin điện tử Quốc hội Việt Nam, 2024) <https://quochoi.vn/hoatdongcuaquochoi/cackyhopquochoi/quochoikhoaXIII/Pages/danh-sach-ky-hop.aspx?ItemID=85067&CategoryId=0> truy cập ngày 21/11/2024.

[66] Trần Thị Việt Hà, ‘Pháp luật quốc tế về bảo vệ dữ liệu cá nhân và gợi mở cho Việt Nam’ (2024) Tạp chí nghiên cứu, hướng dẫn công tác tổ chức Xây dựng Đảng của Ban tổ chức Trung Ương <https://www.xaydungdang.org.vn/nhan-quyen-va-cuoc-song/phap-luat-quoc-te-ve-bao-ve-du-lieu-ca-nhan-va-goi-mo-cho-viet-nam-21130> truy cập ngày 08/12/2024.

[67] ‘Xây dựng thế trận toàn dân phòng, chống lừa đảo trên không gian mạng’ (Tạp chí An toàn Thông tin, 30/08/2024) <https://antoanthongtin.vn/chinh-sach---chien-luoc/xay-dung-the-tran-toan-dan-phong-chong-lua-dao-tren-khong-gian-mang-110469> truy cập ngày 08/12/2024.

[68] Mahler T. 2022. Giữa quản lý rủi ro và tính tương xứng: cách tiếp cận dựa trên rủi ro trong đề xuất luật trí tuệ nhân tạo của EU. Swedish Law Informatics Res Inst . 2021:246–267.