§
Quay lại danh sách
Bảo vệ người tiêu dùng

Trí tuệ nhân tạo và bảo vệ dữ liệu năm 2026

Tác động của Đạo luật AI của EU đối với hệ thống pháp luật Hungary, bảo vệ pháp lý chống lại ra quyết định tự động và lập hồ sơ, cùng mối quan hệ giữa GDPR và trí tuệ nhân tạo.

D

Dr. Nagy Ildikó

Giới thiệu

Sự lan rộng nhanh chóng của ứng dụng trí tuệ nhân tạo (TTNT, tiếng Anh: Artificial Intelligence, AI) đang thay đổi căn bản nhiều lĩnh vực của nền kinh tế, hành chính công và đời sống hàng ngày. Sự chuyển đổi công nghệ này đồng thời đặt ra những thách thức nghiêm trọng về bảo vệ dữ liệu, đòi hỏi nhà lập pháp phải có những phản ứng hiệu quả. Quy định (EU) 2024/1689 của Nghị viện và Hội đồng Châu Âu (sau đây gọi là Đạo luật AI hoặc Quy định TTNT) là đạo luật toàn diện đầu tiên trên thế giới về trí tuệ nhân tạo, có hiệu lực đầy đủ vào năm 2026. Bài viết này phân tích sự tương tác giữa Đạo luật AI và Quy định bảo vệ dữ liệu chung (GDPR), cũng như tác động đến hệ thống pháp luật Hungary.

Khung pháp lý cơ bản của Đạo luật AI

Phương pháp tiếp cận dựa trên rủi ro

Đạo luật AI phân loại hệ thống trí tuệ nhân tạo theo mức độ rủi ro và điều chỉnh các yêu cầu quy định phù hợp:

  1. Hệ thống có rủi ro không thể chấp nhận (bị cấm): Bao gồm hệ thống chấm điểm xã hội, nhận dạng sinh trắc học từ xa theo thời gian thực tại nơi công cộng cho mục đích thực thi pháp luật (về nguyên tắc), và các hệ thống nhằm thao túng tiềm thức. Các hệ thống AI này bị cấm trong EU.

  2. Hệ thống rủi ro cao: Các hệ thống AI ảnh hưởng đến quyền cơ bản, sức khỏe hoặc an toàn của con người. Bao gồm hệ thống đánh giá tín dụng, thuật toán tuyển dụng, hệ thống tư pháp, và hệ thống đánh giá trong các cơ sở giáo dục. Các hệ thống này phải tuân thủ yêu cầu nghiêm ngặt.

  3. Hệ thống rủi ro hạn chế: Phát sinh nghĩa vụ minh bạch (ví dụ: nghĩa vụ thông báo đối với chatbot, nội dung deepfake).

  4. Hệ thống rủi ro tối thiểu: Không yêu cầu quy định đặc biệt (ví dụ: bộ lọc thư rác, AI trong trò chơi điện tử).

Yêu cầu đối với hệ thống AI rủi ro cao

Đạo luật AI áp đặt các nghĩa vụ sau đối với nhà cung cấp hệ thống AI rủi ro cao:

  • Xây dựng và duy trì hệ thống quản lý rủi ro
  • Quản trị và quản lý dữ liệu: Đảm bảo chất lượng dữ liệu huấn luyện, loại bỏ thiên kiến (bias)
  • Chuẩn bị tài liệu kỹ thuật
  • Ghi nhật ký (logging): Ghi nhận tự động hoạt động của hệ thống AI
  • Minh bạch: Thông tin đầy đủ cho người dùng về hoạt động của hệ thống
  • Đảm bảo giám sát của con người (human oversight)
  • Đáp ứng yêu cầu về độ chính xác, tính vững chắc và an ninh mạng

GDPR và trí tuệ nhân tạo

Cấm ra quyết định tự động

Điều 22 GDPR cung cấp bảo vệ cơ bản cho chủ thể dữ liệu trước việc ra quyết định tự động. Theo quy định này, chủ thể dữ liệu có quyền không bị áp dụng quyết định chỉ dựa trên xử lý dữ liệu tự động — bao gồm lập hồ sơ — có hiệu lực pháp lý hoặc ảnh hưởng đáng kể tương tự đối với họ.

Quy định này đặc biệt liên quan trong các tình huống thực tế sau:

  • Đánh giá tín dụng: Khi ngân hàng sử dụng hệ thống dựa trên AI để quyết định chấp thuận hay từ chối đơn vay
  • Đánh giá rủi ro bảo hiểm: Khi công ty bảo hiểm xác định phí bảo hiểm dựa trên thuật toán AI
  • Tuyển dụng: Khi người sử dụng lao động áp dụng hệ thống AI để sàng lọc hồ sơ xin việc và đánh giá sự phù hợp
  • Ra quyết định hành chính: Khi cơ quan hành chính áp dụng hệ thống AI trong quá trình ra quyết định

Ngoại lệ đối với lệnh cấm ra quyết định tự động

Điều 22 khoản (2) GDPR cho phép ba ngoại lệ:

  1. Quyết định là cần thiết cho việc giao kết hoặc thực hiện hợp đồng giữa chủ thể dữ liệu và bên kiểm soát dữ liệu
  2. Quyết định được luật Liên minh hoặc luật quốc gia thành viên cho phép
  3. Quyết định dựa trên sự đồng ý rõ ràng của chủ thể dữ liệu

Trong cả ba trường hợp, bên kiểm soát dữ liệu phải thực hiện các biện pháp thích hợp để bảo vệ quyền, tự do và lợi ích hợp pháp của chủ thể dữ liệu, bao gồm ít nhất quyền yêu cầu sự can thiệp của con người, bày tỏ quan điểm và phản đối quyết định.

Bảo vệ pháp lý chống lại lập hồ sơ

Theo Điều 4 điểm 4 GDPR, lập hồ sơ là bất kỳ hình thức xử lý tự động dữ liệu cá nhân nào nhằm đánh giá các khía cạnh cá nhân nhất định liên quan đến một thể nhân — đặc biệt là phân tích hoặc dự đoán các đặc điểm liên quan đến hiệu suất công việc, tình hình kinh tế, sức khỏe, sở thích cá nhân, mối quan tâm, độ tin cậy, hành vi, vị trí hoặc di chuyển.

Lập hồ sơ không bị cấm chung theo GDPR, nhưng chịu nhiều hạn chế:

  • Minh bạch: Phải thông báo cho chủ thể dữ liệu một cách dễ hiểu về việc lập hồ sơ, bản chất logic được áp dụng, cũng như tầm quan trọng và hậu quả dự kiến của việc xử lý dữ liệu đó (Điều 13–14 GDPR)
  • Quyền phản đối: Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu cá nhân nhằm mục đích lập hồ sơ vào bất kỳ lúc nào vì lý do liên quan đến hoàn cảnh cụ thể của mình (Điều 21 GDPR)
  • Đánh giá tác động bảo vệ dữ liệu: Trong trường hợp lập hồ sơ rủi ro cao, bên kiểm soát dữ liệu phải thực hiện đánh giá tác động bảo vệ dữ liệu (Điều 35 GDPR)

Tương tác giữa Đạo luật AI và GDPR

Chồng chéo và bổ sung

Có nhiều điểm chồng chéo và bổ sung giữa Đạo luật AI và GDPR. Phần mở đầu của Đạo luật AI (đoạn mở đầu 47) quy định rõ ràng rằng quy định này được áp dụng mà không ảnh hưởng đến GDPR, và việc xử lý dữ liệu cá nhân trong quá trình phát triển và áp dụng hệ thống AI vẫn tuân theo các quy tắc GDPR.

Các điểm kết nối quan trọng nhất giữa hai văn bản pháp luật:

Lĩnh vựcGDPRĐạo luật AI
Minh bạchNghĩa vụ thông báo khi ra quyết định tự độngYêu cầu minh bạch cho tất cả hệ thống AI
Giám sát con ngườiQuyền yêu cầu can thiệp của con ngườiBắt buộc giám sát con người đối với hệ thống rủi ro cao
Đánh giá tác độngĐánh giá tác động bảo vệ dữ liệu (DPIA)Đánh giá tác động quyền cơ bản đối với hệ thống rủi ro cao
Chất lượng dữ liệuTuân thủ nguyên tắc chính xác dữ liệuYêu cầu chất lượng dữ liệu huấn luyện

Vấn đề thực thi tại Hungary

Đạo luật AI là quy định EU có hiệu lực trực tiếp, do đó được áp dụng trực tiếp trong hệ thống pháp luật Hungary. Tuy nhiên, đạo luật này để lại không gian cho các quốc gia thành viên trong một số vấn đề, đòi hỏi nhà lập pháp quốc gia phải phản ứng:

  1. Chỉ định cơ quan giám sát quốc gia: Điều 70 Đạo luật AI yêu cầu mỗi quốc gia thành viên chỉ định hoặc thành lập một cơ quan quốc gia chịu trách nhiệm giám sát thị trường hệ thống AI. Tại Hungary, nhiệm vụ này — theo kế hoạch hiện tại — có thể thuộc thẩm quyền của Cơ quan Truyền thông và Viễn thông Quốc gia (NMHH).

  2. Hệ thống chế tài: Theo Điều 99 Đạo luật AI, các tổ chức áp dụng thực tiễn AI bị cấm có thể bị phạt lên đến 35 triệu EUR hoặc 7% doanh thu toàn cầu hàng năm. Vi phạm nghĩa vụ đối với hệ thống AI rủi ro cao, mức phạt tối đa là 15 triệu EUR hoặc 3% doanh thu hàng năm.

  3. Sandbox pháp lý: Đạo luật AI cho phép thành lập các sandbox pháp lý, nơi các giải pháp AI sáng tạo có thể được thử nghiệm trong môi trường kiểm soát. Tại Hungary, điều kiện thành lập và quy chế hoạt động của sandbox cần được quy định bằng văn bản pháp luật riêng.

Tác động thực tế đối với người tiêu dùng

Phương thức thực thi quyền

Người tiêu dùng có thể thực thi quyền liên quan đến việc áp dụng hệ thống AI bằng các cách sau:

  1. Thực hiện quyền chủ thể dữ liệu theo GDPR: Quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền hạn chế xử lý, quyền phản đối
  2. Khiếu nại lên NAIH: Cơ quan Bảo vệ Dữ liệu và Tự do Thông tin Quốc gia có thể tiến hành thủ tục hành chính bảo vệ dữ liệu trong trường hợp vi phạm GDPR
  3. Thực thi quyền tại tòa án: Chủ thể dữ liệu có thể khởi kiện ra tòa dựa trên Luật Thông tin (Luật số CXII năm 2011) và GDPR
  4. Thủ tục bảo vệ người tiêu dùng: Khi việc áp dụng hệ thống AI cũng cấu thành vi phạm bảo vệ người tiêu dùng, cơ quan bảo vệ người tiêu dùng cũng có thể can thiệp

Yêu cầu minh bạch

Từ năm 2026, khi áp dụng hệ thống AI ảnh hưởng đến người tiêu dùng, nhà cung cấp dịch vụ có nghĩa vụ:

  • Thông báo cho người tiêu dùng rằng họ đang tương tác với hệ thống AI (ví dụ: chatbot)
  • Thông báo về việc ra quyết định tự động và bản chất logic được áp dụng
  • Đảm bảo khả năng xem xét lại quyết định bởi con người
  • Ghi nhãn nội dung do AI tạo ra (bảo vệ deepfake)

Vai trò của Cán bộ bảo vệ dữ liệu (DPO) trong kỷ nguyên AI

Theo Điều 37–39 GDPR, một số tổ chức nhất định phải chỉ định cán bộ bảo vệ dữ liệu. Với việc áp dụng rộng rãi hệ thống AI, vai trò của DPO ngày càng quan trọng:

  • Tham gia đánh giá tác động bảo vệ dữ liệu trước khi triển khai hệ thống AI
  • Giám sát liên tục hoạt động của hệ thống AI liên quan đến dữ liệu cá nhân
  • Kiểm tra cơ sở pháp lý xử lý dữ liệu đối với dữ liệu huấn luyện
  • Xử lý yêu cầu của chủ thể dữ liệu trong trường hợp ra quyết định tự động và lập hồ sơ

Tổng kết

Mối quan hệ giữa trí tuệ nhân tạo và bảo vệ dữ liệu đã bước sang chiều kích mới vào năm 2026 với việc Đạo luật AI có hiệu lực đầy đủ. Đối với người tiêu dùng Hungary, việc áp dụng đồng thời Đạo luật AI và GDPR cung cấp sự bảo vệ hiệu quả chống lại việc lạm dụng hệ thống AI. Mặt khác, các doanh nghiệp phải đối mặt với nhiệm vụ chuẩn bị nghiêm túc: phải đáp ứng cả yêu cầu bảo vệ dữ liệu và quy định AI, đòi hỏi đầu tư đáng kể về tổ chức, công nghệ và nguồn nhân lực.

Sự phát triển pháp luật trong lĩnh vực này rất năng động, do đó các doanh nghiệp nên theo dõi liên tục các thay đổi của môi trường pháp lý và khi cần thiết, tham vấn tư vấn pháp lý để đảm bảo việc áp dụng hợp pháp hệ thống AI.

Bài viết này mang tính chất thông tin và không cấu thành tư vấn pháp lý. Đối với các trường hợp cá nhân, chúng tôi khuyến nghị tham khảo ý kiến luật sư chuyên môn.

#trí tuệ nhân tạo #Đạo luật AI #bảo vệ dữ liệu #GDPR
Chia sẻ: