Xử lý dữ liệu cá nhân tự động là gì?

Xử lý dữ liệu cá nhân tự động là gì, một khái niệm quan trọng trong Nghị định 13/2023/NĐ-CP, là hình thức sử dụng phương tiện điện tử để đánh giá, phân tích và dự đoán các khía cạnh của một cá nhân mà doanh nghiệp cần nắm vững để đảm bảo tuân thủ. Để giải quyết các thách thức pháp lý này, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp vận hành an toàn và hiệu quả. Việc hiểu rõ các quy định về hệ thống thuật toán và quy trình tự động hóa sẽ là chìa khóa thành công.

Xử lý dữ liệu cá nhân tự động là gì?

Theo Khoản 13, Điều 2 của Nghị định 13/2023/NĐ-CP, xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể như thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, hoặc năng lực.

Đây là một định nghĩa bao quát, không chỉ dừng lại ở các hệ thống phức tạp mà còn áp dụng cho nhiều hoạt động kinh doanh phổ biến trong thời đại số. Về bản chất, bất kỳ khi nào một hệ thống công nghệ sử dụng thuật toán để đưa ra kết luận hoặc quyết định về một cá nhân mà không có sự can thiệp trực tiếp của con người tại thời điểm ra quyết định, đó được xem là xử lý dữ liệu cá nhân tự động. Các yếu tố cốt lõi của định nghĩa này bao gồm:

• Phương tiện điện tử: Việc xử lý được thực hiện bởi máy tính, phần mềm, hệ thống trí tuệ nhân tạo (AI) hoặc các công cụ kỹ thuật số khác.
• Mục đích: Nhằm đánh giá (scoring), phân tích (analyzing), hoặc dự đoán (predicting) các khía cạnh liên quan đến một cá nhân.
• Phạm vi: Bao gồm nhiều khía cạnh từ hành vi mua sắm, sở thích cá nhân, mức độ tin cậy tài chính cho đến năng lực làm việc.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Nhiều doanh nghiệp lầm tưởng rằng chỉ các công nghệ AI cao siêu mới thuộc phạm vi điều chỉnh. Thực tế, ngay cả một hệ thống tự động lọc hồ sơ ứng viên dựa trên từ khóa hay một thuật toán gợi ý sản phẩm trên trang thương mại điện tử cũng đã cấu thành hành vi xử lý dữ liệu cá nhân tự động và phải tuân thủ các quy định pháp luật liên quan. Dưới đây là các ví dụ điển hình trong hoạt động kinh doanh:

Doanh nghiệp có những nghĩa vụ pháp lý đặc thù nào khi áp dụng xử lý dữ liệu tự động?

Có, các nghĩa vụ pháp lý chính bao gồm đảm bảo tính minh bạch về thuật toán, có được sự đồng ý hợp lệ từ chủ thể dữ liệu, đảm bảo quyền phản đối của họ, và thực hiện trách nhiệm giải trình thông qua việc lập hồ sơ đánh giá tác động.

Việc xử lý dữ liệu tự động mang lại nhiều lợi ích về hiệu quả và tốc độ, nhưng cũng tiềm ẩn rủi ro về tính chính xác, công bằng và quyền riêng tư. Do đó, pháp luật đặt ra các nghĩa vụ chặt chẽ hơn đối với doanh nghiệp áp dụng hình thức này.

Doanh nghiệp có cần sự đồng ý riêng cho việc xử lý tự động không?

Pháp luật không yêu cầu một sự đồng ý riêng biệt, nhưng sự đồng ý phải được thu thập trên cơ sở chủ thể dữ liệu đã được thông báo rõ ràng rằng dữ liệu của họ sẽ được xử lý tự động để ra quyết định.

Theo nguyên tắc tại Điều 11 Nghị định 13/2023/NĐ-CP, sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi họ tự nguyện và biết rõ các nội dung, bao gồm mục đích xử lý. Khi mục đích xử lý bao gồm việc ra quyết định tự động, doanh nghiệp phải thông báo điều này một cách minh bạch. Sự đồng ý phải được thể hiện rõ ràng, không chấp nhận sự im lặng hay không phản hồi (Khoản 6, Điều 11, Nghị định 13).

DPO.VN khuyến nghị doanh nghiệp nên tích hợp thông tin này vào chính sách quyền riêng tư và trong các thông báo tại điểm thu thập dữ liệu. Ví dụ: *Bằng cách tiếp tục, bạn đồng ý rằng chúng tôi có thể sử dụng hệ thống tự động để phân tích sở thích của bạn nhằm cá nhân hóa các đề xuất sản phẩm.*

Doanh nghiệp phải thông báo những gì về thuật toán cho chủ thể dữ liệu?

Doanh nghiệp cần thông báo về sự tồn tại của việc xử lý tự động, logic hoạt động cơ bản của thuật toán, và ý nghĩa cũng như hậu quả dự kiến của việc xử lý đó đối với chủ thể dữ liệu.

Nguyên tắc minh bạch (Khoản 2, Điều 3 Nghị định 13) và quyền được biết (Khoản 1, Điều 9 Nghị định 13) là nền tảng cho nghĩa vụ này. Doanh nghiệp không cần phải tiết lộ toàn bộ mã nguồn hay bí mật kinh doanh của thuật toán, nhưng phải cung cấp đủ thông tin để chủ thể dữ liệu hiểu được quyết định đang được đưa ra như thế nào. Thông tin cần cung cấp bao gồm:

• Xác nhận việc xử lý tự động: Nêu rõ rằng một quyết định hoặc phân tích nào đó được thực hiện bởi hệ thống tự động.
• Logic hoạt động: Giải thích một cách đơn giản các tiêu chí chính mà hệ thống sử dụng để đưa ra quyết định. Ví dụ, một hệ thống chấm điểm tín dụng có thể dựa trên thu nhập, lịch sử tín dụng, và số người phụ thuộc.
• Hậu quả: Cho biết kết quả của việc xử lý tự động có thể là gì, ví dụ như được duyệt vay, nhận được quảng cáo sản phẩm A thay vì sản phẩm B, hoặc hồ sơ được đưa vào vòng phỏng vấn.

Doanh nghiệp cần làm gì để chứng minh sự tuân thủ (trách nhiệm giải trình)?

Doanh nghiệp phải lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, trong đó mô tả rõ ràng các hoạt động xử lý tự động, các rủi ro liên quan và các biện pháp giảm thiểu đã được áp dụng.

Trách nhiệm giải trình là một trong những nguyên tắc bảo vệ dữ liệu cá nhân cốt lõi (Khoản 8, Điều 3, Nghị định 13). Đối với xử lý tự động, việc này càng trở nên quan trọng. Công cụ pháp lý chính để thực hiện trách nhiệm này là hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì, được quy định tại Điều 24 Nghị định 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân. Doanh nghiệp phải lập hồ sơ này từ thời điểm bắt đầu xử lý và nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 60 ngày. Hồ sơ này phải mô tả chi tiết, bao gồm:

• Mục đích và các hoạt động xử lý: Bao gồm cả việc phân tích, dự đoán tự động.
• Đánh giá mức độ ảnh hưởng: Phân tích các hậu quả, thiệt hại không mong muốn có thể xảy ra đối với chủ thể dữ liệu (ví dụ: bị từ chối dịch vụ một cách sai lầm).
• Các biện pháp giảm thiểu rủi ro: Nêu rõ các biện pháp đã áp dụng để bảo vệ dữ liệu, đảm bảo tính chính xác và công bằng của thuật toán.

Chủ thể dữ liệu có những quyền gì khi bị ra quyết định hoàn toàn tự động?

Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu cá nhân của mình cho mục đích ra quyết định tự động và có quyền yêu cầu sự can thiệp của con người để xem xét lại quyết định đó.

Pháp luật Việt Nam bảo vệ mạnh mẽ các quyền của chủ thể dữ liệu cá nhân trước các hệ thống tự động. Quyền quan trọng nhất trong bối cảnh này là quyền phản đối xử lý dữ liệu, được quy định tại Khoản 8, Điều 9 của Nghị định 13/2023/NĐ-CP. Cụ thể:

• Quyền phản đối: Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu của mình nhằm ngăn chặn hoặc hạn chế việc sử dụng cho các mục đích như quảng cáo, tiếp thị. Quyền này cũng có thể được hiểu rộng ra để áp dụng cho việc phản đối các quyết định tự động gây ảnh hưởng đáng kể đến họ.
• Quyền yêu cầu can thiệp của con người: Mặc dù không được nêu một cách rõ ràng như trong GDPR của Châu Âu, tinh thần của pháp luật Việt Nam hướng tới việc bảo vệ quyền và lợi ích hợp pháp của cá nhân. Do đó, khi một quyết định hoàn toàn tự động gây ra hậu quả tiêu cực (ví dụ: từ chối hợp đồng bảo hiểm), chủ thể dữ liệu có quyền khiếu nại (Khoản 9, Điều 9) và yêu cầu một người có thẩm quyền xem xét lại toàn bộ quá trình, thay vì chỉ dựa vào kết quả của máy móc.
• Thời gian phản hồi: Doanh nghiệp phải thực hiện yêu cầu của chủ thể dữ liệu trong vòng 72 giờ sau khi nhận được yêu cầu.

Doanh nghiệp đối mặt với rủi ro nào về sự công bằng và chính xác của thuật toán?

Các rủi ro chính bao gồm việc thuật toán đưa ra quyết định thiếu chính xác do dữ liệu đầu vào sai lệch, hoặc tạo ra sự phân biệt đối xử có hệ thống, dẫn đến thiệt hại cho khách hàng và trách nhiệm bồi thường cho doanh nghiệp.

Một thuật toán chỉ tốt khi dữ liệu dùng để huấn luyện nó tốt. Nếu dữ liệu đầu vào mang sẵn những định kiến hoặc sai sót, hệ thống tự động sẽ khuếch đại những sai lầm đó, dẫn đến các rủi ro nghiêm trọng:

• Rủi ro về tính chính xác: Nguyên tắc tại Khoản 5, Điều 3 Nghị định 13 yêu cầu dữ liệu phải được cập nhật, bổ sung phù hợp. Nếu một ngân hàng sử dụng dữ liệu tín dụng cũ để tự động từ chối một khoản vay, trong khi khách hàng đã cải thiện tình hình tài chính, quyết định này là không chính xác và gây thiệt hại. Doanh nghiệp phải chịu trách nhiệm về các thiệt hại do quá trình xử lý dữ liệu gây ra (Khoản 6, Điều 38 Nghị định 13).
• Rủi ro về phân biệt đối xử (Algorithmic Bias): Đây là một vấn đề lớn trên toàn cầu. Ví dụ, một thuật toán tuyển dụng được huấn luyện chủ yếu từ dữ liệu hồ sơ của nam giới trong quá khứ có thể có xu hướng đánh giá thấp hồ sơ của ứng viên nữ, ngay cả khi họ có năng lực tương đương. Điều này không chỉ phi đạo đức mà còn có thể vi phạm các quy định pháp luật về lao động và bình đẳng giới.
• Rủi ro về danh tiếng: Một khi khách hàng phát hiện ra họ bị đối xử bất công bởi một hệ thống tự động, niềm tin vào thương hiệu sẽ suy giảm nghiêm trọng, gây ra những thiệt hại tài chính và uy tín khó có thể khắc phục.

Quy định về xử lý dữ liệu tự động áp dụng cho Trí tuệ nhân tạo (AI) như thế nào?

Hoàn toàn áp dụng. Việc sử dụng AI để phân tích, dự đoán và ra quyết định về con người chính là hình thức xử lý dữ liệu tự động ở mức độ cao. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 còn có quy định riêng, yêu cầu phân loại AI theo mức độ rủi ro và tuân thủ các chuẩn mực đạo đức.

Trí tuệ nhân tạo (AI) không phải là một vùng xám pháp lý. Định nghĩa về xử lý dữ liệu cá nhân tự động trong Nghị định 13 đã bao hàm các hoạt động của AI. Hơn nữa, nhận thấy tầm quan trọng của công nghệ này, Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực đã dành riêng Điều 30 để quy định về bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo, dữ liệu lớn, và điện toán đám mây. Các yêu cầu chính bao gồm:

• Tuân thủ các nguyên tắc cốt lõi: Việc xử lý dữ liệu bằng AI vẫn phải đảm bảo các nguyên tắc cơ bản như giới hạn mục đích, tối thiểu hóa dữ liệu và có sự đồng ý của chủ thể.
• Phân loại theo mức độ rủi ro: Điều 30.4 của Luật mới yêu cầu việc xử lý dữ liệu bằng AI phải được phân loại theo mức độ rủi ro để có các biện pháp bảo vệ dữ liệu cá nhân phù hợp. Ví dụ, một hệ thống AI chẩn đoán bệnh sẽ có mức độ rủi ro cao hơn nhiều so với một chatbot trả lời câu hỏi thông thường.
• Chuẩn mực đạo đức: Việc xử lý phải phù hợp với chuẩn mực đạo đức và thuần phong mỹ tục của Việt Nam (Khoản 2, Điều 30).
• Cấm các hành vi gây hại: Nghiêm cấm việc phát triển và sử dụng các hệ thống AI có xử lý dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, hoặc xâm phạm đến tính mạng, sức khỏe, tài sản của người khác (Khoản 5, Điều 30).

Việc hiểu và áp dụng đúng các quy định về xử lý dữ liệu cá nhân tự động không chỉ là một nghĩa vụ pháp lý mà còn là một lợi thế cạnh tranh, giúp doanh nghiệp xây dựng niềm tin, nâng cao trải nghiệm khách hàng và phát triển bền vững trong nền kinh tế số.

Các Câu Hỏi Thường Gặp Về Xử Lý Dữ Liệu Cá Nhân Tự Động

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• Vietnamnet: Phân tích các quy định mới về bảo vệ dữ liệu cá nhân.
• Tạp chí An toàn thông tin – Ban Cơ yếu Chính phủ: Các khía cạnh kỹ thuật của xử lý dữ liệu.
• European Commission: Art. 22 GDPR – Automated individual decision-making, including profiling.