NĐ-13/2023 và AI Pháp lý: Bảy Yêu cầu Tuân thủ Khi Đánh giá Vendor

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của Chính phủ Việt Nam đã thay đổi căn bản cách công ty luật và đơn vị dịch vụ chuyên nghiệp đánh giá nền tảng AI. Trước nghị định, lựa chọn vendor AI chủ yếu là quyết định kỹ thuật và thương mại. Sau nghị định, đây là quyết định có hệ quả pháp lý trực tiếp đối với cả công ty luật lẫn khách hàng của họ. Bài viết này phân tích bảy yêu cầu thực tế khi đánh giá nền tảng AI pháp lý theo khuôn khổ NĐ-13.

Phạm vi áp dụng đối với hành nghề pháp lý

NĐ-13/2023 áp dụng đối với mọi tổ chức xử lý dữ liệu cá nhân của công dân Việt Nam. Đối với công ty luật, phạm vi này bao trùm gần như toàn bộ công việc hằng ngày. Hợp đồng có tên các bên ký kết là dữ liệu cá nhân. Hồ sơ thẩm định nhân sự trong giao dịch M&A là dữ liệu cá nhân. Tài liệu tranh chấp có thông tin nguyên đơn và bị đơn là dữ liệu cá nhân. Các hồ sơ tài chính có dữ liệu sức khoẻ, tài khoản, hoặc số căn cước công dân thuộc loại dữ liệu cá nhân nhạy cảm và chịu các yêu cầu chặt chẽ hơn.

Khi luật sư xử lý các tài liệu này, công ty luật đảm nhận vai trò Bên Xử lý dữ liệu theo nghị định. Khi công ty luật sử dụng nền tảng AI để hỗ trợ phân tích, vendor AI trở thành Bên Xử lý dữ liệu thứ hai trong chuỗi. Cả hai vai trò đều có nghĩa vụ tuân thủ độc lập, và sai sót ở vendor có thể chuyển thành rủi ro pháp lý cho công ty luật theo cơ chế trách nhiệm liên đới. Điều này có nghĩa là việc lựa chọn vendor AI không phải là quyết định mua phần mềm thông thường — nó là quyết định mở rộng nghĩa vụ tuân thủ của công ty.

Yêu cầu thứ nhất: lưu trú dữ liệu trong lãnh thổ Việt Nam

Đối với một số loại dữ liệu cá nhân nhất định và đối với dữ liệu cá nhân nhạy cảm thuộc các nhóm chủ thể được nghị định bảo vệ ở mức cao hơn, NĐ-13 yêu cầu lưu trữ trong lãnh thổ Việt Nam. Một vendor AI có máy chủ chính tại Mỹ hoặc Singapore không đáp ứng được yêu cầu này khi xử lý các loại dữ liệu thuộc phạm vi quy định, ngay cả khi vendor đó cam kết bảo mật ở mức cao. Trong thực tế đánh giá, câu hỏi đầu tiên cần đặt ra là vendor có data center hoặc vùng triển khai trong Việt Nam không, và nếu không thì có hỗ trợ private cloud trên AWS vùng Hà Nội hoặc các nhà cung cấp đám mây có hiện diện tại Việt Nam không. Việc cam kết "máy chủ đặt tại Singapore tuân thủ quy định Việt Nam" không phải là câu trả lời đáp ứng được nghị định trong các tình huống yêu cầu lưu trú thực sự.

Yêu cầu thứ hai: hợp đồng xử lý dữ liệu được soạn cho khuôn khổ Việt Nam

Hợp đồng giữa Bên Xử lý dữ liệu và bên thứ ba cần xác định rõ vai trò, phạm vi xử lý, thời hạn lưu trữ, biện pháp bảo mật, quyền của chủ thể dữ liệu, và quy trình thông báo sự cố. Phần lớn vendor AI quốc tế cung cấp DPA mẫu được soạn theo khuôn khổ GDPR. Các DPA này có nhiều điểm tương đồng với NĐ-13 nhưng không phải bản dịch trực tiếp, và một số yêu cầu cụ thể của nghị định Việt Nam không được phản ánh đầy đủ. Khi đánh giá vendor, công ty luật nên yêu cầu DPA có tham chiếu rõ ràng đến NĐ-13/2023, lý tưởng là bằng tiếng Việt hoặc song ngữ, và cần được review bởi luật sư có chuyên môn về dữ liệu cá nhân trước khi ký.

Yêu cầu thứ ba: cam kết không sử dụng dữ liệu khách hàng để huấn luyện

NĐ-13 quy định Bên Xử lý dữ liệu chỉ được sử dụng dữ liệu cho mục đích đã thoả thuận với chủ thể dữ liệu. Việc dùng dữ liệu để huấn luyện mô hình AI là một mục đích thứ cấp, và trên thực tế gần như không thể có được sự đồng ý rõ ràng từ tất cả chủ thể dữ liệu xuất hiện trong một hồ sơ pháp lý. Vì vậy, vendor AI cần cam kết rằng dữ liệu khách hàng không được sử dụng để huấn luyện các mô hình chia sẻ.

Hai điểm cần kiểm tra cụ thể. Thứ nhất, cam kết phải nằm trong văn bản hợp đồng — không phải chỉ trong chính sách quyền riêng tư mà vendor có thể đơn phương sửa đổi. Thứ hai, vendor cần mô tả được cơ chế kỹ thuật đảm bảo dữ liệu được cô lập khỏi pipeline huấn luyện. Một cam kết hợp đồng không có hệ thống kỹ thuật hỗ trợ là cam kết yếu, và trong trường hợp xảy ra rò rỉ qua quá trình huấn luyện, không có cơ chế phòng vệ thực sự.

Yêu cầu thứ tư: cô lập tenant ở cấp kỹ thuật

Mỗi công ty luật cần có ranh giới kỹ thuật rõ ràng với các khách hàng khác của vendor. Dữ liệu của một công ty không bao giờ được tiếp xúc với dữ liệu của công ty khác, kể cả ở các lớp metadata, embeddings, hay log. Trong kiến trúc multi-tenant, mô hình single-tenant database hoặc dedicated namespace trong hạ tầng dùng chung đều có thể chấp nhận được, miễn là vendor có thể chứng minh ranh giới được duy trì xuyên suốt mọi lớp của hệ thống. Trường hợp không chấp nhận được là khi embeddings hoặc cache được dùng chung — một cấu hình hiếm gặp ở vendor nghiêm túc nhưng đôi khi xuất hiện ở các sản phẩm được xây nhanh trên hạ tầng dùng chung không tách lớp.

Yêu cầu thứ năm: nhật ký kiểm toán đầy đủ và xuất được

NĐ-13 yêu cầu Bên Xử lý dữ liệu duy trì hồ sơ về việc truy cập và xử lý dữ liệu cá nhân, có khả năng cung cấp cho cơ quan quản lý hoặc chủ thể dữ liệu khi được yêu cầu hợp lệ. Đối với hệ thống AI, điều này có nghĩa là mọi truy cập tài liệu, mọi lệnh chạy agent, và mọi thay đổi quyền cần được ghi lại với dấu thời gian và danh tính người thực hiện. Log cần là immutable — không thể chỉnh sửa sau khi ghi — và cần có khả năng xuất ra định dạng có cấu trúc cho phép phân tích và báo cáo. Vendor không có cơ chế xuất log hoặc chỉ cung cấp dashboard nội bộ không đáp ứng được yêu cầu này khi có yêu cầu thực tế từ cơ quan quản lý.

Yêu cầu thứ sáu: quyền của chủ thể dữ liệu

Nghị định trao cho chủ thể dữ liệu — bao gồm cá nhân xuất hiện trong tài liệu pháp lý được xử lý — một số quyền cụ thể: quyền yêu cầu xem dữ liệu, quyền chỉnh sửa, và trong nhiều trường hợp quyền yêu cầu xoá. Vendor AI cần có quy trình rõ ràng để hỗ trợ công ty luật khi nhận yêu cầu từ chủ thể dữ liệu. Đặc biệt quan trọng là khả năng xoá: nếu một mảnh dữ liệu đã được nhúng vào embeddings vector và vendor không có cơ chế xoá ngược, công ty luật không thể thực hiện quyền right-to-erasure được. Trong đánh giá vendor, đây là câu hỏi cần được trả lời trực tiếp và kỹ thuật, không phải bằng những cam kết chung chung.

Yêu cầu thứ bảy: báo cáo sự cố trong khung thời gian quy định

Khi xảy ra sự cố rò rỉ dữ liệu cá nhân, NĐ-13 yêu cầu báo cáo cơ quan có thẩm quyền trong khung thời gian xác định. Vendor cần có quy trình thông báo công ty luật đủ sớm để công ty kịp thực hiện nghĩa vụ báo cáo của mình lên cơ quan nhà nước. Trong thực tế, một SLA notification dưới hai mươi bốn giờ là mức tối thiểu hợp lý. Vendor cam kết "best effort" hoặc không có khung thời gian cụ thể không phải là vendor có thể tin được trong tình huống sự cố nghiêm trọng.

Cách Magic Circle đáp ứng

Magic Circle được thiết kế từ đầu với khuôn khổ NĐ-13 làm yêu cầu nền tảng. Lựa chọn triển khai bao gồm AWS vùng Hà Nội, private cloud trong tenant của khách hàng, và on-prem trong trung tâm dữ liệu của công ty luật tại Việt Nam, tất cả đều đáp ứng yêu cầu lưu trú dữ liệu. Hợp đồng xử lý dữ liệu được soạn song ngữ Việt-Anh với tham chiếu rõ ràng đến NĐ-13/2023. Cam kết không huấn luyện trên dữ liệu khách hàng nằm trong MSA chuẩn và được hỗ trợ bằng cô lập kỹ thuật ở mọi lớp của hệ thống. Mỗi công ty là một tenant riêng với encryption key riêng ở gói Enterprise, và quy trình right-to-erasure được hỗ trợ ở cấp matter và cấp file. SLA thông báo sự cố là mười hai giờ ở gói Enterprise.

Kết luận

Khuôn khổ pháp lý quanh AI đang được định hình nhanh chóng tại Việt Nam, và các công ty luật đi sớm vào lĩnh vực này sẽ phải đưa ra quyết định khi nhiều câu hỏi vẫn còn để mở. Bảy yêu cầu nêu trên không phải là danh sách đầy đủ — nó là sàn tối thiểu mà mọi vendor cần đạt được trước khi đáng để đưa vào đánh giá nghiêm túc. Vendor không đáp ứng được bảy điểm này không phải là vendor không phù hợp cho thị trường Việt Nam — đó là vendor mang đến rủi ro tuân thủ trực tiếp cho công ty luật sử dụng nó.

Liên hệ để nhận checklist tuân thủ NĐ-13 cho AI pháp lý →