Triển khai AI trong doanh nghiệp Việt 2026 không chỉ là bài toán kỹ thuật — đây còn là bài toán pháp lý. Nghị định 13/2023 về bảo vệ dữ liệu cá nhân, Luật An ninh mạng, và xu hướng EU AI Act đang định hình "luật chơi" mà mọi doanh nghiệp dùng AI phải tuân thủ.
1. Bảo vệ dữ liệu cá nhân (Nghị định 13/2023)
Khi đưa dữ liệu khách hàng vào prompt LLM (đặc biệt API ngoài như OpenAI), bạn có thể đang vi phạm:
- Điều 4: chuyển dữ liệu cá nhân ra nước ngoài cần sự đồng ý.
- Điều 11: phải đảm bảo bên xử lý có cam kết bảo vệ dữ liệu.
Giải pháp: Redact PII trước khi gửi LLM, hoặc dùng model trong nước/on-premise.
2. Audit Log & Traceability
Mọi quyết định của AI ảnh hưởng tới khách hàng phải log lại được: input, output, timestamp, model version.
3. Right to Explanation
Khách hàng có quyền yêu cầu giải thích vì sao AI từ chối dịch vụ (vd: từ chối khoản vay). Cần kiến trúc hỗ trợ explainability.
4. Bias & Fairness Testing
AI có thể discriminate theo giới tính, tuổi, khu vực địa lý. Cần test bias trước khi production và monitor liên tục.
5. Vendor Due Diligence
Kiểm tra vendor AI:
- Chính sách dữ liệu — có lưu prompt? Có train trên dữ liệu khách?
- Certifications — SOC 2, ISO 27001, HIPAA...
- SLA & breach notification
Checklist 10 điểm bắt buộc
- ✅ Có sự đồng ý của data subject trước khi xử lý PII bằng AI.
- ✅ Redact/mask PII trước khi gửi LLM ngoài.
- ✅ Audit log đầy đủ (input, output, model, time).
- ✅ Documented AI decision flow.
- ✅ Bias testing định kỳ.
- ✅ Human-in-the-loop cho high-stakes decision.
- ✅ Vendor agreement có DPA (Data Processing Agreement).
- ✅ Incident response plan cho AI failure.
- ✅ Training nhân viên về AI ethics.
- ✅ AI policy nội bộ ban hành chính thức.
HTGroup Custom Software có service review AI compliance — đặt lịch tư vấn ngay.
