Xây dựng chính sách sử dụng AI nội bộ: Đừng vội làm cho có

Phản ứng phổ biến của không ít doanh nghiệp trong việc sử dụng AI hiện nay chia làm hai thái cực. Một bên là thả nổi, cho phép nhân sự tự do sử dụng các công cụ AI mà không có định hướng, không kiểm soát dữ liệu đầu vào, không phân định trách nhiệm. Bên kia là đóng băng, lo ngại rủi ro nên cấm đoán, siết chặt đến mức triệt tiêu lợi ích mà AI có thể mang lại. Cả hai đều không phải là chiến lược bền vững.

Dưới góc độ kiểm soát rủi ro doanh nghiệp, trong bối cảnh hiện nay, vấn đề đặt ra cho các doanh nghiệp nên là xây dựng chính sách sử dụng AI nội bộ như thế nào cho đúng và đủ.

Khi AI không còn là công cụ cá nhân, mà là rủi ro cấp doanh nghiệp

Một nhân viên đưa dữ liệu khách hàng vào hệ thống AI của bên thứ ba để nhờ phân tích; bộ phận marketing sử dụng hình ảnh do AI tạo ra mà không kiểm tra nguồn dữ liệu huấn luyện; phòng nhân sự áp dụng AI để sàng lọc hồ sơ ứng viên nhưng không đánh giá nguy cơ thiên lệch… đều có thể chạm tới các vấn đề về bảo vệ dữ liệu cá nhân, quyền sở hữu trí tuệ, trách nhiệm dân sự do sản phẩm gây ra, hay thậm chí là phân biệt đối xử trong bối cảnh pháp luật mới.

Những công việc có AI hỗ trợ như nói trên diễn ra âm thầm và rải rác ở nhiều bộ phận trong doanh nghiệp nhưng hệ quả pháp lý, nếu có, lại không “cá nhân hóa” theo người sử dụng. Trách nhiệm cuối cùng thường được quy về doanh nghiệp với tư cách chủ thể tổ chức hoạt động, quản lý dữ liệu và khai thác kết quả công việc. Vì vậy, việc xây dựng một chính sách AI nội bộ không đơn thuần là một hướng dẫn sử dụng công cụ, mà là một cấu phần của hệ thống quản trị rủi ro tổng thể cần có của doanh nghiệp.

Sai lầm mang tên “những điều không được làm”

Một sai lầm mà nhiều doanh nghiệp thường gặp khi xây dựng chính sách AI, đó là khuynh hướng liệt kê những điều không được làm. Cách tiếp cận này có thể tạo ra cảm giác an toàn ngắn hạn, nhưng lại nhanh chóng lạc hậu trong bối cảnh công nghệ thay đổi liên tục. Thay vì chỉ dừng ở các điều cấm, doanh nghiệp có thể thiết kế chính sách theo mô hình quản trị rủi ro gồm xác định rõ phạm vi áp dụng, phân loại mức độ rủi ro, phân công trách nhiệm, thiết lập quy trình phê duyệt và cơ chế giám sát.

Trước hết, cần xác định AI được hiểu như thế nào trong nội bộ doanh nghiệp, phạm vi áp dụng để xác lập trọng tâm chính sách. Chúng ta cần làm rõ những điểm, như chính sách sử dụng AI chỉ áp dụng với các hệ thống AI do doanh nghiệp tự phát triển, hay bao gồm cả các nền tảng bên thứ ba như OpenAI, Google hay Microsoft; các công cụ tích hợp AI trong phần mềm văn phòng có thuộc phạm vi điều chỉnh?

Tiếp đó, doanh nghiệp cần phân loại hoạt động sử dụng AI theo mức độ rủi ro. Những hoạt động chỉ mang tính hỗ trợ nội bộ, không liên quan đến dữ liệu nhạy cảm và không tạo ra quyết định ảnh hưởng trực tiếp đến cá nhân/tổ chức khác có thể được xếp vào nhóm rủi ro thấp. Ngược lại, các hệ thống AI dùng để chấm điểm tín dụng, tuyển dụng, đánh giá hiệu suất hoặc xử lý dữ liệu cá nhân quy mô lớn cần được coi là rủi ro cao và chịu sự kiểm soát chặt chẽ hơn.

Về vấn đề này, doanh nghiệp cần dựa vào quy định tại Luật AI về phân loại mức độ rủi ro của hệ thống AI(1), đồng thời đối chiếu với hoạt động của mình để có sự phân loại phù hợp. Việc phân tầng rủi ro cho phép doanh nghiệp tránh cách tiếp cận một chính sách cho tất cả, đồng thời tạo không gian linh hoạt cho đổi mới.

Phân loại dữ liệu

Nếu phải chọn một điểm khởi đầu khi xây dựng chính sách sử dụng AI, đó phải là dữ liệu. Thật vậy, AI vận hành trên dữ liệu và tạo ra dữ liệu mới. Mỗi lần nhân viên nhập thông tin vào hệ thống AI bên ngoài, doanh nghiệp thực chất đang thực hiện một hành vi xử lý và chuyển giao dữ liệu.

Chính sách sử dụng AI cần xác định rõ loại dữ liệu nào được phép đưa vào hệ thống AI công cộng, loại nào bị cấm tuyệt đối, và loại nào chỉ được sử dụng khi có phê duyệt đặc biệt. Dữ liệu cá nhân, bí mật kinh doanh, thông tin chưa công bố ra thị trường, tài liệu thuộc diện mật theo quy định nội bộ… là các dữ liệu mà doanh nghiệp đặc biệt cân nhắc khi đưa vào hệ thống AI.

Bên cạnh đó, doanh nghiệp cần đặt ra nghĩa vụ ẩn danh hóa hoặc giả lập dữ liệu khi sử dụng AI cho mục đích thử nghiệm. Việc huấn luyện hoặc tinh chỉnh mô hình nội bộ cũng phải đi kèm đánh giá tác động về bảo vệ dữ liệu và an ninh thông tin.

Phân định trách nhiệm pháp lý

Một điểm dễ bị bỏ qua là mối quan hệ giữa kết quả do AI tạo ra và trách nhiệm của con người. Một trong những nguyên tắc cơ bản trong hoạt động AI là lấy con người làm trung tâm, AI phục vụ con người, không thay thế thẩm quyền và trách nhiệm của con người. Bảo đảm duy trì sự kiểm soát và khả năng can thiệp của con người đối với mọi quyết định và hành vi của hệ thống AI; an toàn hệ thống, an ninh dữ liệu và bảo mật thông tin; khả năng kiểm tra và giám sát quá trình phát triển và vận hành hệ thống AI(2).

Trên cơ sở đó, chính sách nội bộ về sử dụng AI cần khẳng định nguyên tắc AI chỉ là công cụ hỗ trợ, quyết định cuối cùng vẫn thuộc về con người. Điều này không chỉ mang ý nghĩa đạo đức, mà còn là vấn đề phân định trách nhiệm pháp lý. Nếu một báo cáo sai lệch do AI tạo ra được sử dụng để ra quyết định đầu tư, hay một nội dung quảng cáo vi phạm pháp luật được phát hành dựa trên gợi ý của AI, doanh nghiệp không thể viện dẫn lý do “máy làm”.

Vì vậy, cần quy định rõ nghĩa vụ rà soát, kiểm chứng và phê duyệt kết quả do AI tạo ra, đặc biệt trong các hoạt động có ảnh hưởng ra bên ngoài. Cơ chế “human in the loop” được quy định rõ trong chính sách nội bộ còn giúp doanh nghiệp dễ dàng xác định được trách nhiệm nội bộ trong trường hợp có sự số, sai sót từ sản phẩm tạo ra bởi AI.

Ngoài ra, AI đặt ra những câu hỏi mới về quyền tác giả, quyền sở hữu công nghiệp và quyền đối với dữ liệu. Khi một nhân sự sử dụng AI để tạo ra thiết kế, nội dung, phần mềm hay chiến lược kinh doanh, ai là chủ thể có quyền đối với sản phẩm đó? Liệu nhân sự đó có chịu trách nhiệm cho các vấn đề về sở hữu trí tuệ của dữ liệu đầu vào? Điều khoản sử dụng của nền tảng AI có giới hạn gì đối với việc khai thác thương mại… Đây là các vấn đề mà doanh nghiệp cần lưu ý và đưa vào chính sách nội bộ của mình.

Trên thế giới đã tồn tại các tranh chấp về quyền sở hữu trí tuệ liên quan đến dữ liệu được nạp vào AI, điển hình là tranh chấp bản quyền giữa Getty Images và Stability AI(3), đặt ra bài toán tuân thủ cho các doanh nghiệp, trong bối cảnh Luật AI 2025 đề cao tính tuân thủ pháp luật, đặc biệt là quyền sở hữu trí tuệ.

AI không tồn tại tách biệt khỏi các nghĩa vụ pháp lý khác, trái lại, nó giao thoa với pháp luật về bảo vệ dữ liệu cá nhân, an ninh mạng, lao động, sở hữu trí tuệ, cạnh tranh và bảo vệ người tiêu dùng… Chính vì thế, Luật AI 2025 có hiệu lực không nên được nhìn nhận như một mốc thời gian để các doanh nghiệp chạy nước rút trong việc ban hành chính sách sử dụng AI.

Ngược lại, đây là cơ hội để doanh nghiệp tái cấu trúc cách tiếp cận đối với công nghệ mới, kiểm soát rủi ro, bảo vệ tài sản và khai thác tối đa tiềm năng của công nghệ. Xây dựng chính sách AI nội bộ, suy cho cùng, không chỉ là tuân thủ một đạo luật mà là cách doanh nghiệp định hình tương lai của chính mình trong một thế giới đang được lập trình lại từng ngày.

(*) Công ty Luật TNHH HM&P

(1) Điều 9 Luật Trí tuệ nhân tạo 2025.

(2) Khoản 1, 2 điều 4 Luật Trí tuệ nhân tạo 2025.

(3) https://nhandan.vn/toa-an-anh-xet-xu-vu-kien-ban-quyen-giua-getty-images-va-stability-ai-post885733.html, truy cập lần cuối ngày 2-3-2026.

LS. Nguyễn Nhật Dương(*)