Bảo vệ quyền riêng tư trong kỷ nguyên trí tuệ nhân tạo

Ảnh minh họa. Nguồn: tapchitoaan.vn

MỞ ĐẦU

Sự phát triển mạnh mẽ, mang tính bùng nổ của trí tuệ nhân tạo (AI), đặc biệt là các mô hình AI tạo sinh, đang tác động lớn tới mọi mặt của đời sống kinh tế - xã hội. Tuy nhiên, sự vận hành của công nghệ này lại phụ thuộc tất yếu vào một nguồn "nguyên liệu" thiết yếu: dữ liệu và trong đó có dữ liệu cá nhân của con người. Điều này đã và đang làm nảy sinh một mâu thuẫn căn bản giữa nhu cầu khai thác dữ liệu quy mô lớn để huấn luyện thuật toán với một trong những quyền con người cốt lõi là quyền riêng tư và quyền bảo vệ dữ liệu cá nhân.

Thực tiễn cho thấy, các mô hình kinh doanh của nhiều tập đoàn công nghệ lớn, vốn dựa trên việc thu thập và phân tích dữ liệu người dùng, đang đặt ra những thách thức pháp lý và đạo đức chưa từng có. Các hoạt động như "cào" dữ liệu, sự mờ mịt của thuật toán "hộp đen", hay việc tự động "lập hồ sơ" người dùng đang khiến quyền của chủ thể dữ liệu đứng trước nguy cơ bị xâm phạm nghiêm trọng. Do đó, việc nghiên cứu, nhận diện các vấn đề và đề xuất giải pháp nhằm bảo vệ quyền riêng tư của người dùng trong kỷ nguyên AI là một yêu cầu mang tính cấp thiết cả về lý luận và thực tiễn. Mục tiêu của bài viết là hệ thống hóa cơ sở lý luận, nhận diện các biểu hiện vi phạm trong thực trạng, từ đó đề xuất một số kiến nghị mang tính giải pháp.

NỘI DUNG

1. Cơ sở lý luận và khuôn khổ pháp lý về quyền riêng tư trong kỷ nguyên trí tuệ nhân tạo

a) Quyền riêng tư và quyền bảo vệ dữ liệu cá nhân: Tiếp cận từ góc độ quyền con người

Quyền riêng tư là một quyền nhân thân nền tảng, được cộng đồng quốc tế sớm ghi nhận. Điều 12 Tuyên ngôn phổ quát về quyền con người (UDHR 1948) và Điều 17 Công ước quốc tế về các quyền dân sự và chính trị (ICCPR 1966) đều khẳng định: "Không ai phải chịu sự can thiệp một cách tùy tiện hay bất hợp pháp vào đời sống riêng tư...".

Tuy nhiên, trong bối cảnh kỹ thuật số, nội hàm của quyền riêng tư đã có sự dịch chuyển và mở rộng quan trọng. Nó không chỉ đơn thuần là "quyền được để yên" (the right to be let alone) theo quan điểm truyền thống của Warren và Brandeis từ năm 1890, mà đã phát triển thành quyền tự chủ về thông tin[1]. Quyền tự chủ về thông tin lần đầu tiên được Tòa án Hiến pháp Liên bang Đức chính thức hóa trong phán quyết về điều tra dân số năm 1983. Phán quyết này xác định đây là một quyền cơ bản, đảm bảo "khả năng của cá nhân để xác định về nguyên tắc việc tiết lộ và sử dụng dữ liệu cá nhân của họ", đặc biệt là "trong bối cảnh xử lý dữ liệu hiện đại". Về cơ bản, quyền này khẳng định cá nhân có toàn quyền kiểm soát việc thu thập, xử lý và phổ biến thông tin về chính mình[2].

Từ đó, quyền bảo vệ dữ liệu cá nhân xuất hiện như một biểu hiện pháp lý cụ thể và là cơ chế quan trọng nhất để bảo vệ quyền riêng tư trong kỷ nguyên số. Nếu quyền riêng tư là mục đích, thì quyền bảo vệ dữ liệu cá nhân là phương tiện mang tính thủ tục và thực thi. AI, với khả năng thu thập và xử lý dữ liệu ở quy mô chưa từng có, đang trực tiếp thách thức cơ chế bảo vệ này. Bất kỳ sự xâm phạm nào vào dữ liệu cá nhân thông qua các hệ thống AI cũng chính là sự can thiệp trực tiếp vào quyền riêng tư và quyền tự chủ của mỗi cá nhân.

b) Mối quan hệ biện chứng giữa phát triển AI và bảo vệ quyền riêng tư

Mối quan hệ giữa phát triển AI và bảo vệ quyền riêng tư thường bị đặt trong một thế "đối đầu" hay "đánh đổi". Một luận điểm phổ biến cho rằng, để AI thông minh hơn, có khả năng dự đoán chính xác và mang lại nhiều lợi ích hơn, chúng ta buộc phải chấp nhận hy sinh một phần quyền riêng tư. Luận điểm này dựa trên thực tế rằng các mô hình học máy – công nghệ lõi của AI – đòi hỏi khối lượng dữ liệu huấn luyện khổng lồ.

Tuy nhiên, dưới góc độ quyền con người, cách đặt vấn đề "đổi mới hay riêng tư" là một sự ngụy biện nguy hiểm. Quyền riêng tư không phải là một rào cản đối với đổi mới sáng tạo; nó là điều kiện biên và yêu cầu tiên quyết cho sự đổi mới sáng tạo một cách đạo đức và bền vững. Vấn đề không nằm ở bản thân công nghệ AI, mà nằm ở các mô hình kinh doanh dựa trên việc khai thác dữ liệu thiếu kiểm soát, trong đó dữ liệu cá nhân được coi là "nguyên liệu thô" để thu thập, phân tích và chuyển đổi thành các dịch vụ dự đoán được bán cho các công ty khác, tạo ra một mối đe dọa cơ bản đối với xã hội và quyền riêng tư của cá nhân.​

Mối quan hệ biện chứng ở đây là: AI cần dữ liệu để phát triển, nhưng việc khai thác dữ liệu đó không được phép làm xói mòn các quyền cơ bản. Điều này đòi hỏi một sự cân bằng phức tạp, nơi các nguyên tắc bảo vệ dữ liệu như tối thiểu hóa dữ liệu, giới hạn mục đích và sự đồng ý phải được tích hợp vào chính quá trình thiết kế và vận hành AI.

c) Khái quát khuôn khổ pháp lý quốc tế và Việt Nam

Để giải quyết vấn đề trên, các hệ thống pháp luật trên thế giới đã và đang nỗ lực xây dựng các khuôn khổ pháp lý điều chỉnh. Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu (EU)[3] được xem là một hình mẫu pháp lý quan trọng, có sức ảnh hưởng sâu rộng trên toàn cầu. GDPR thiết lập một bộ nguyên tắc chặt chẽ cho hoạt động xử lý dữ liệu cá nhân, trong đó bao gồm các yêu cầu về: tính hợp pháp, công bằng và minh bạch; giới hạn mục đích (chỉ xử lý dữ liệu cho mục đích đã định trước) và tối thiểu hóa dữ liệu.

Nguyên tắc tối thiểu hóa dữ liệu, được ghi nhận cụ thể tại Điều 5 của GDPR, nhấn mạnh rằng dữ liệu cá nhân phải "đầy đủ, phù hợp và chỉ giới hạn ở mức cần thiết" cho mục đích xử lý. Song song đó, GDPR trao cho chủ thể dữ liệu các quyền pháp lý mạnh mẽ, bao gồm quyền truy cập, quyền cải chính (yêu cầu sửa lỗi) và quyền được lãng quên (quyền yêu cầu xóa dữ liệu).

Tiếp nối tinh thần này, Đạo luật AI (AI Act) của EU[4], có hiệu lực từ tháng 8 năm 2024, được ban hành để điều chỉnh riêng các hệ thống AI. Điểm cốt lõi của đạo luật này là cách tiếp cận dựa trên rủi ro. Theo đó, các hệ thống AI được phân loại thành bốn cấp độ: Rủi ro không thể chấp nhận (ví dụ: AI chấm điểm xã hội) sẽ bị cấm hoàn toàn; Rủi ro cao (ví dụ: AI trong tuyển dụng, y tế) phải tuân thủ các nghĩa vụ pháp lý khắt khe về minh bạch, giám sát và đánh giá tác động; Rủi ro hạn chế (ví dụ: chatbot) chịu nghĩa vụ về tính minh bạch (phải thông báo cho người dùng biết họ đang tương tác với AI); Rủi ro tối thiểu (ví dụ: bộ lọc thư rác) sẽ ít chịu sự điều chỉnh.

Cách phân loại này cho phép các nhà lập pháp áp dụng các yêu cầu pháp lý nghiêm ngặt và tương xứng với mức độ nguy cơ mà từng loại hình AI có thể gây ra cho các quyền cơ bản của con người.

Tại Việt Nam, khuôn khổ pháp lý về bảo vệ quyền riêng tư và dữ liệu cá nhân đã từng bước được hình thành và củng cố. Nền tảng pháp lý cao nhất là Hiến pháp năm 2013, tại Điều 21, ghi nhận: "Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình".

Cụ thể hóa Hiến pháp, Bộ luật Dân sự năm 2015 (Điều 38) quy định rõ quyền về đời sống riêng tư, bí mật cá nhân, trong đó việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan phải được người đó đồng ý, trừ trường hợp luật có quy định khác. Bên cạnh đó, các văn bản như Luật An ninh mạng năm 2018 cũng có các điều khoản liên quan đến bảo vệ thông tin cá nhân trên không gian mạng.

Đặc biệt, sự ra đời của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã đánh dấu một bước tiến pháp lý quan trọng, tạo ra một hành lang pháp lý tương đối toàn diện, tiệm cận với các tiêu chuẩn quốc tế như GDPR. Nghị định 13 định nghĩa rõ các khái niệm (dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm), quy định các nguyên tắc xử lý dữ liệu, yêu cầu về sự đồng ý của chủ thể dữ liệu và các biện pháp bảo vệ. Mặc dù Nghị định 13 có những điểm tương đồng với GDPR về yêu cầu đồng ý thông tin rõ ràng và quyền của chủ thể dữ liệu, nhưng cũng tồn tại những khác biệt đáng kể, đặc biệt là yêu cầu về chuyển giao dữ liệu xuyên biên giới, phân loại dữ liệu cá nhân và phạm vi áp dụng. Đây chính là cơ sở pháp lý trực tiếp và quan trọng nhất để xem xét, đánh giá các hoạt động của các công ty AI tại thị trường Việt Nam hiện nay.

2. Nhận diện các thách thức đối với quyền quyền riêng tư từ các ứng dụng trí tuệ nhân tạo

a) Hoạt động thu thập dữ liệu huấn luyện quy mô lớn và vấn đề về cơ sở pháp lý

Các mô hình AI hiện đại, đặc biệt là các mô hình nền tảng, cần một lượng dữ liệu khổng lồ để có thể hoạt động hiệu quả. Để có được nguồn dữ liệu này, các công ty công nghệ thường xuyên sử dụng phương pháp "cào" dữ liệu. Kỹ thuật này về cơ bản là tự động thu thập mọi thông tin công khai từ khắp Internet, bao gồm các trang web, diễn đàn và mạng xã hội[5]. Chính hoạt động thu thập này đang làm phát sinh nhiều vướng mắc pháp lý nghiêm trọng.

Một là, hoạt động này có dấu hiệu vi phạm nguyên tắc giới hạn mục đích. Khi chủ thể dữ liệu công bố thông tin trên không gian mạng (ví dụ: trên blog cá nhân, mạng xã hội), mục đích ban đầu của họ thường là chia sẻ trong một bối cảnh nhất định. Việc các công ty AI tự động thu thập và sử dụng dữ liệu đó cho một mục đích hoàn toàn khác – là huấn luyện mô hình thương mại – mà không có sự cho phép hay thậm chí là thông báo cho chủ thể dữ liệu, là hành vi sử dụng dữ liệu ngoài mục đích ban đầu, vi phạm các quy định pháp luật cơ bản.

Hai là, hành vi này thách thức nguyên tắc về sự đồng ý của chủ thể dữ liệu. Lập luận cho rằng dữ liệu đã "công khai" đồng nghĩa với việc được phép tự do sử dụng cho mọi mục đích là một lập luận thiếu thuyết phục về mặt pháp lý. Sự đồng ý hợp lệ đòi hỏi phải rõ ràng, cụ thể và chủ thể dữ liệu phải được thông tin đầy đủ về mục đích xử lý. Thực tiễn "cào" dữ liệu đã bỏ qua hoàn toàn các yêu cầu này.

b) Sự thiếu minh bạch, giải trình trong vận hành thuật toán

Nhiều hệ thống AI phức tạp hiện nay vận hành như một "hộp đen". Thuật ngữ này dùng để chỉ những hệ thống mà quá trình xử lý và ra quyết định bên trong chúng quá phức tạp (với hàng tỷ phép tính) đến mức ngay cả các kỹ sư tạo ra chúng cũng không thể lý giải đầy đủ, rõ ràng tại sao AI lại đưa ra một kết luận cụ thể (Bathaee, 2018)[6].​

Hệ quả pháp lý của "hộp đen" là rất nghiêm trọng. Giả sử AI được dùng để duyệt hồ sơ xin việc và nó từ chối hồ sơ. Khi chúng ta yêu cầu được biết lý do, câu trả lời có thể chỉ là "vì thuật toán quyết định vậy". Điều này làm cho các nguyên tắc pháp lý về "tính minh bạch" và "trách nhiệm giải trình" trở nên vô hiệu. Người dùng không thể thực thi quyền được giải thích, quyền phản đối, hay khiếu nại một quyết định khi chính quyết định đó là một bí ẩn.

c) AI được trao quyền để lập hồ sơ và ra quyết định tự động xâm phạm quyền con người

Vượt ra ngoài việc xử lý thông tin, AI ngày càng được trao quyền để tự động ra quyết định và thực hiện việc "lập hồ sơ" người dùng. Các thuật toán liên tục phân tích hành vi, sở thích, lịch sử duyệt web, vị trí địa lý và hàng ngàn điểm dữ liệu khác để xây dựng một "chân dung số" chi tiết về mỗi cá nhân. Hồ sơ này sau đó được sử dụng để dự đoán hành vi và đưa ra các quyết định tác động trực tiếp đến họ[7].

Một ví dụ rõ ràng và phổ biến nhất về thực trạng này chính là cách thức vận hành của các mạng xã hội như Facebook, TikTok hay YouTube. Các nền tảng này không chỉ lưu trữ thông tin người dùng chủ động khai báo (như tên, tuổi, nơi ở). Cốt lõi của chúng là các hệ thống AI được thiết kế để theo dõi và phân tích mọi hành vi, tương tác của người dùng: từ việc người dùng "thích" một nội dung, người dùng dừng lại xem một video trong bao lâu, người dùng bình luận gì, tìm kiếm chủ đề gì, hay kết người dùng với ai.

Từ hàng tỷ điểm dữ liệu này, AI sẽ xây dựng nên một "hồ sơ chân dung số"  vô cùng chi tiết. Hồ sơ này không chỉ là dữ liệu thô, mà còn là các suy luận và dự đoán của AI. về sở thích, quan điểm chính trị, thói quen tiêu dùng và thậm chí cả trạng thái tâm lý của người dùng.Sự xâm phạm quyền riêng tư nằm ở hai cấp độ:

Một là, xâm phạm quyền kiểm soát thông tin. Chính "hồ sơ suy luận" này là một loại dữ liệu cá nhân mới được AI tự động tạo ra mà không có sự đồng ý hay cho phép của người dùng. Người dùng không biết chính xác hồ sơ đó ghi gì về mình và người dùng không có quyền kiểm soát hay chỉnh sửa các suy luận mà AI gán cho người dùng.

Hai là, can thiệp vào quyền tự chủ cá nhân. AI sẽ quyết định người dùng sẽ thấy gì trên bảng tin. Bề ngoài, đây là sự "hữu ích". Nhưng về bản chất, đây là một vòng lặp: AI dùng dữ liệu riêng tư của người dùng để lập hồ sơ, rồi dùng hồ sơ đó để quyết định thông tin nào được phép tiếp cận người dùng. Điều này can thiệp một cách tinh vi vào quyền tự do lựa chọn và tiếp nhận thông tin.

3. Một số kiến nghị nhằm tăng cường cơ chế bảo vệ quyền riêng tư trước sự phát triển của AI

a) Hoàn thiện khuôn khổ pháp lý và nâng cao năng lực quản lý nhà nước

Một là, nghiên cứu, hoàn thiện các quy định pháp luật chuyên biệt về AI. Mặc dù Nghị định 13/2023/NĐ-CP là một bước tiến lớn, song văn bản này chủ yếu điều chỉnh hoạt động xử lý dữ liệu cá nhân nói chung. AI có những đặc thù riêng (như vấn đề "hộp đen", "ảo giác", ra quyết định tự động) đòi hỏi phải có các quy định cụ thể hơn. Việt Nam cần nghiên cứu kinh nghiệm quốc tế, đặc biệt là cách tiếp cận dựa trên mức độ rủi ro như Đạo luật AI (AI Act) của Liên minh châu Âu, để tham khảo xây dựng các nghĩa vụ pháp lý tương ứng với từng loại hình AI.

Hai là, tăng cường năng lực thực thi và giám sát cho các cơ quan chuyên trách. Việc bảo vệ dữ liệu không thể chỉ nằm trên văn bản pháp luật. Cần đầu tư, nâng cao năng lực công nghệ và nhân lực cho các cơ quan quản lý nhà nước có thẩm quyền. Các cơ quan này phải đủ khả năng kỹ thuật để "kiểm toán" các thuật toán, đánh giá tác động quyền riêng tư của các hệ thống AI. trước khi chúng được triển khai rộng rãi và xử lý hiệu quả các khiếu nại của người dân.

Ba là, thúc đẩy việc ban hành các tiêu chuẩn kỹ thuật, quy tắc đạo đức AI. Nhà nước cần giữ vai trò chủ đạo trong việc phối hợp với các viện nghiên cứu, hiệp hội ngành nghề để xây dựng và ban hành các bộ tiêu chuẩn quốc gia, các quy tắc đạo đức bắt buộc hoặc mang tính khuyến nghị cho việc phát triển và ứng dụng AI. có trách nhiệm.

b) Nâng cao trách nhiệm của các doanh nghiệp phát triển, ứng dụng AI

Một là, nghiêm túc tuân thủ nguyên tắc "Quyền riêng tư ngay từ khi thiết kế". Điều này có nghĩa là các yếu tố bảo vệ quyền riêng tư phải được tích hợp vào sản phẩm AI ngay từ những giai đoạn đầu tiên của quá trình phát triển sản phẩm, chứ không phải là một tính năng "thêm vào" sau khi đã xảy ra sự cố. Ví dụ, mặc định cài đặt quyền riêng tư của người dùng ở mức cao nhất, thay vì mức chia sẻ công khai.

Hai là, tăng cường tính minh bạch và giải trình của thuật toán. Để khắc phục vấn đề "hộp đen”, các doanh nghiệp phải có nghĩa vụ cung cấp các giải thích rõ ràng, đơn giản, dễ hiểu cho người dùng về cách thức AI xử lý dữ liệu của họ và đưa ra quyết định.

Ba là, phát triển các công cụ kiểm soát trực quan cho người dùng. Doanh nghiệp cần cung cấp cho người dùng các công cụ đơn giản để họ có thể thực sự thực thi các quyền của mình: ví dụ, các cách thức rõ ràng để "truy cập", "chỉnh sửa" hoặc "xóa bỏ" dữ liệu cá nhân, hay "từ chối" việc bị lập hồ sơ cho mục đích quảng cáo.

c) Nâng cao nhận thức, kỹ năng số và vai trò giám sát của xã hội

Một là, đẩy mạnh công tác phổ biến, giáo dục pháp luật và kỹ năng số. Nhà nước và các tổ chức xã hội cần có các chiến dịch nâng cao nhận thức cho người dân về các quyền của họ theo pháp luật  và các rủi ro từ AI. Người dân cần được trang bị các "kỹ năng vệ sinh dữ liệu" cơ bản, biết cách tự bảo vệ mình khi tương tác trên môi trường số.

Hai là, phát huy vai trò giám sát, phản biện của báo chí và các tổ chức xã hội. Các cơ quan báo chí có vai trò quan trọng trong việc điều tra, cảnh báo sớm các mô hình AI có nguy cơ xâm phạm quyền riêng tư. Các tổ chức bảo vệ người tiêu dùng, các hiệp hội nghề nghiệp cần chủ động tham gia vào quá trình phản biện xã hội, góp ý chính sách liên quan đến quản trị AI.

Ba là, nâng cao ý thức chủ động của chính người dùng. Người dùng cần thay đổi tâm lý thụ động, "miễn phí" đổi lấy dữ liệu. Cần hình thành thói quen chủ động đọc các điều khoản dịch vụ (dù rất dài), sử dụng các công cụ quản lý quyền riêng tư mà nền tảng cung cấp và sẵn sàng lên tiếng khiếu nại khi phát hiện quyền của mình bị xâm phạm.

KẾT LUẬN

Sự phát triển của AI đang mang lại những lợi ích lớn, song cũng đặt ra những thách thức trực tiếp đối với các quyền con người cơ bản, đặc biệt là quyền riêng tư và quyền bảo vệ dữ liệu cá nhân.

Bài viết đã hệ thống hóa cơ sở lý luận, cho thấy quyền riêng tư trong kỷ nguyên số đã phát triển thành quyền tự chủ về thông tin. Đồng thời, bài viết đã phân tích, làm rõ thực trạng xâm phạm quyền riêng tư đang diễn ra qua ba biểu hiện chính: Hoạt động thu thập dữ liệu huấn luyện quy mô lớn thiếu cơ sở pháp lý rõ ràng; Sự thiếu minh bạch, giải trình trong vận hành thuật toán "hộp đen" và việc ứng dụng AI để "lập hồ sơ" người dùng, đặc biệt qua các nền tảng mạng xã hội, xâm phạm quyền kiểm soát thông tin và quyền tự chủ cá nhân.

Để giải quyết các vấn đề này, bài viết đã đề xuất nhóm ba giải pháp đồng bộ. Một là, hoàn thiện khuôn khổ pháp lý chuyên biệt về AI và nâng cao năng lực quản lý nhà nước. Hai là, đề cao trách nhiệm của doanh nghiệp trong việc tuân thủ nguyên tắc "quyền riêng tư ngay từ khi thiết kế" và tăng cường tính minh bạch. Ba là, phát huy vai trò giám sát của xã hội và nâng cao nhận thức, kỹ năng số cho chính người dùng.

Việc cân bằng giữa đổi mới công nghệ và bảo vệ quyền con người là một yêu cầu cấp bách. Việt Nam cần chủ động xây dựng một hành lang pháp lý vững chắc và các cơ chế giám sát hiệu quả để đảm bảo rằng AI được phát triển và ứng dụng một cách có trách nhiệm, minh bạch, phục vụ con người và tôn trọng các giá trị nhân văn cốt lõi.