Trí tuệ nhân tạo không còn là chuyện tương lai. Nó đang hiện diện trong điện thoại, hộp thư, hồ sơ y tế và cả hệ thống chấm điểm tín dụng cá nhân. Mỗi cú click, mỗi dòng tìm kiếm, mỗi lịch sử mua hàng – tất cả đang được AI tổng hợp lại, mô hình hóa hành vi, rồi đưa ra quyết định: bạn nên mua gì, vay được bao nhiêu, có phù hợp tuyển dụng hay không. Trong nhiều trường hợp, AI biết rõ về con người hơn chính họ tự khai báo.

Vấn đề nằm ở chỗ: dữ liệu ấy đến từ đâu? Ai kiểm chứng đầu vào? Có đúng là bạn đồng ý chia sẻ, hay đó là “sự đồng ý ngầm” được cài trong một điều khoản khó hiểu dài 30 trang mà không ai buồn đọc? Trong khi đó, nhiều thuật toán học máy hiện nay không chỉ học từ dữ liệu trực tiếp, mà còn từ dữ liệu “phái sinh” – nghĩa là suy đoán từ những gì liên quan, có thể chưa từng được bạn cung cấp.

Hệ quả là quyền riêng tư – thứ vốn được coi là căn bản trong xã hội hiện đại – đang bị “xói mòn mềm”. Không còn những vụ đánh cắp dữ liệu ồn ào, mà là sự thu thập âm thầm, liên tục, khó truy vết, khó khiếu nại. AI không tấn công bạn, nhưng lại có thể dự đoán bạn yếu đuối lúc nào, mua sắm khi nào, và dễ bị thuyết phục ra sao.

Trong bối cảnh đó, Việt Nam cần sớm đặt lại câu hỏi lớn về hành lang pháp lý cho dữ liệu cá nhân trong kỷ nguyên AI. Luật An ninh mạng hiện nay chủ yếu bảo vệ hệ thống, nhưng chưa đủ mạnh để bảo vệ con người khỏi việc bị phân tích quá mức. Trong khi đó, Luật Dữ liệu cá nhân đang được xây dựng cũng mới dừng ở yêu cầu đồng thuận – nhưng không làm rõ giới hạn phân tích, trích xuất và tái sử dụng thông tin dưới dạng mô hình.

Đề xuất một số định hướng chính sách căn cơ:

Thứ nhất, phải có khái niệm dữ liệu không được học, tương tự như “no-fly list” trong hàng không. Đây là những dạng thông tin nhạy cảm như tín ngưỡng, di truyền, lịch sử tâm thần, hoặc dữ liệu trẻ em – tuyệt đối không được dùng để huấn luyện AI, trừ khi có giám sát độc lập.

Thứ hai, cần có giấy phép huấn luyện dữ liệu cho mọi mô hình AI hoạt động trên lãnh thổ Việt Nam. Không thể để bất kỳ thuật toán nào cũng được thu thập dữ liệu hàng triệu người mà không thông báo hoặc chịu kiểm toán.

Thứ ba, tạo lập trung tâm xác thực dữ liệu công dân quốc gia, nơi mỗi người có thể kiểm tra dữ liệu của mình đang được lưu trữ, phân tích bởi ai, và được sử dụng vào mục đích gì – tương tự như quy định “quyền được lãng quên” trong GDPR châu Âu.

AI không sai. Nhưng AI chỉ trung lập khi con người kiểm soát được nó. Mọi quốc gia muốn tiến xa trong chuyển đổi số phải bắt đầu từ một câu hỏi rất đơn giản: Dữ liệu của công dân có còn là tài sản riêng, hay đã trở thành nguyên liệu cho thuật toán?