Dự thảo Luật Công nghiệp Công nghệ số: Cân nhắc đảm bảo tính khả thi
Để các chính sách của luật phù hợp và có thể đi vào thực tiễn, góp ý Dự thảo Luật Công nghiệp Công nghệ số, chuyên gia cho rằng, cần cân nhắc lại một số quy định để đảm bảo tính khả thi…
Được cho sẽ là hành lang pháp lý đóng vai trò định hình ngành công nghiệp công nghệ số ở Việt Nam, góp phần hoàn thiện hệ thống pháp luật quốc gia, đáp ứng đòi hỏi thực tiễn khi ngày càng có nhiều công nghệ mới xuất hiện,… tuy nhiên, theo chuyên gia, sau khi rà soát phiên bản Dự Thảo 4.0, một số quy định còn chưa được rõ ràng, thiếu hợp lý. Điều này có thể dẫn đến các vấn đề và khó khăn cho các doanh nghiệp khi chuẩn bị kế hoạch tuân thủ trên thực tiễn.
Góp ý quy định liên quan đến trí tuệ nhân tạo (TTNT) tại Dự thảo Luật, bà Nguyễn Huyền Minh – Luật sư cao cấp Công ty Luật TNHH Quốc tế BMVN cho rằng, phạm vi của khái niệm “hệ thống TTNT có rủi ro cao” tại Điều 61 nên được thu hẹp lại.
Theo Luật sư Minh, khoản 1 Điều 61 của Dự Thảo 4.0 quy định: Hệ thống TTNT có khả năng gây ra những rủi ro, tổn hại đến sức khỏe, sự an toàn, quyền và lợi ích hợp pháp của tổ chức, cá nhân; có khả năng tác động cao, phạm vi tác động lớn, số lượng người dùng lớn, lượng tính toán tích lũy sử dụng để huấn luyện lớn là hệ thống TTNT có rủi ro cao trừ trường hợp quy định tại khoản 2 Điều này.
Trong khi khoản 2 Điều 61 của Dự Thảo 4.0 quy định, các trường hợp hệ thống TTNT không phải là có rủi ro cao bao gồm: Nhằm thực hiện một tác vụ trong phạm vi hẹp; Nhằm mục đích cải thiện kết quả hoạt động của con người đã hoàn thành trước đó; Nhằm mục đích phát hiện, khuyến cáo những khác biệt so với kết quả trước đó.
“Như vậy, Dự Thảo 4.0 cũng không đưa ra định nghĩa như thế nào là những rủi ro, tổn hại đến sức khỏe, sự an toàn, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Ngoài ra, cũng không đưa ra giới hạn cụ thể về khả năng tác động, phạm vi tác động, số lượng người dùng và lượng tính toán tích lũy để huấn luyện (chẳng hạn như số lượng người dùng tối thiểu để được xem là "có rủi ro cao").
Có thể nói định nghĩa "hệ thống TTNT có rủi ro cao" hiện còn rất mơ hồ và thiếu rõ ràng, dẫn đến khả năng không thể thực thi”, Luật sư Minh bày tỏ.
Đồng thời cho rằng, cách tiếp cận của Luật Công nghiệp Công nghệ số để xác định các hệ thống TTNT không có rủi ro cao không thống nhất (và đang đi ngược lại) với các tiêu chuẩn quản lý TTNT đã tồn tại và đang được áp dụng trên thế giới. Cụ thể, để phù hợp với sự phát triển của công nghệ trong tương lai, vì vậy, ban soạn thảo nên cân nhắc không nên điều chỉnh các công nghệ một cách cụ thể (ví dụ công nghệ TTNT) mà nên tập trung vào quản lý việc sử dụng các công nghệ đó.
Vị này cũng đề nghị ban soạn thảo, cơ quan thẩm tra xác định rõ ràng các tiêu chí để xác định “hệ thống TTNT có rủi ro cao” (ví dụ, liệt kê những cách sử dụng nào được xem là có rủi ro cao). Và phạm vi của “hệ thống TTNT có rủi ro cao” chỉ nên được hạn chế ở một số hệ thống TTNT nâng cao hoặc tiên tiến (và có thể có ảnh hưởng lớn), ví dụ như hệ thống TTNT tạo sinh (Generative AI).
Đồng thời cần tham khảo quy định quốc tế mang tính tiêu chuẩn - Phụ lục III kèm theo Đạo luật về TTNT của Liên minh Châu Âu, quy định về các lĩnh vực và điều kiện cụ thể để một hệ thống TTNT bị coi là có rủi ro cao.
Cùng với các nội dung đã nêu, góp ý Dự thảo Luật, Luật sư cao cấp Công ty Luật TNHH Quốc tế BMVN cũng cho rằng, các nghĩa vụ áp dụng đối với nhà phát triển, nhà cung cấp hệ thống TTNT tại Điều 62 nên được sửa đổi để phù hợp với thực tiễn.
Cụ thể, theo Luật sư Minh, khoản 1 và khoản 2 Điều 62 áp đặt một số nghĩa vụ sau đây đối với cả “nhà phát triển hệ thống TTNT” và “nhà cung cấp hệ thống trí tuệ nhân tạo”: a - Thực hiện các biện pháp để bảo đảm sự bình đẳng, công bằng, không phân biệt đối xử với người sử dụng; b - Bảo vệ quyền riêng tư, thông tin cá nhân; giải quyết kịp thời các yêu cầu tra cứu, sao chép, chỉnh sửa, bổ sung, xóa thông tin cá nhân theo quy định của pháp luật về bảo vệ dữ liệu cá nhân;
C - Thông báo trước rõ ràng cho người sử dụng nếu hệ thống trí tuệ nhân tạo có rủi ro về an toàn hoặc bảo mật khi quyền riêng tư hoặc quyền và lợi ích liên quan đến thông tin cá nhân bị vi phạm; d - Đánh giá, giải thích các rủi ro an toàn của hệ thống trí tuệ nhân tạo và thiết lập cơ chế giám sát, kiểm toán kỹ thuật theo quy định của pháp luật; đ - Kiểm tra và giám sát thường xuyên các lỗ hổng và rủi ro bảo mật, phải lưu thông tin nhật ký về quá trình phát triển và quản lý hệ thống trí tuệ nhân tạo; e - Thực hiện đánh giá rủi ro an toàn trước khi cung cấp hệ thống trí tuệ nhân tạo;
“Đầu tiên, cần lưu ý rằng các nghĩa vụ này áp dụng cho tất cả các nhà phát triển và cung cấp hệ thống TTNT (cho dù không phải là hệ thống TTNT có rủi ro cao).
Hiện tại, các nghĩa vụ (d)(đ)(e) đặt ra trách nhiệm giám sát nặng nề đối với nhà phát triển hệ thống TTNT. Điều này có thể là không khả thi trên thực tiễn khi gây ra nhiều cản trở hoạt động kinh doanh của họ. Đặc biệt, trong trường hợp các nhà phát triển hệ thống TTNT sử dụng công nghệ có mã nguồn mở, họ sẽ không ở vị trí phù hợp về mặt kỹ thuật để tuân thủ đầy đủ các nghĩa vụ nói trên”, Luật sư Minh góp ý.
Đồng thời cho hay, bên cạnh nghĩa vụ nêu trên liên quan đến dữ liệu/thông tin cá nhân, nhà phát triển hệ thống TTNT còn có nghĩa vụ bảo vệ quyền riêng tư, thông tin cá nhân; giải quyết kịp thời các yêu cầu tra cứu, sao chép, chỉnh sửa, bổ sung, xóa thông tin cá nhân theo quy định của pháp luật về bảo vệ dữ liệu cá nhân (theo điểm b khoản 1 Điều 62). Cả hai nghĩa vụ này đều có nội dung điều chỉnh vấn đề về dữ liệu cá nhân, vốn thuộc phạm vi điều chỉnh của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Các nghĩa vụ này có thể không phù hợp, gây ra mâu thuẫn với quy định hiện hành.
Về những nội dung chính sách tại Điều 62, vị này cũng đề nghị, ban soạn thảo, cơ quan thẩm tra sửa đổi theo hướng như sau: Loại bỏ các trách nhiệm liên quan đến dữ liệu cá nhân để tránh tình trạng trùng lặp, mâu thuẫn với quy định hiện hành tại Nghị định 13/2023/NĐ-CP, cụ thể là nghĩa vụ tại điểm b, điểm c khoản 1 Điều 62;
Nghiên cứu tính khả thi của việc áp đặt các nghĩa vụ giám sát, theo dõi hệ thống đối với từng loại hình doanh nghiệp phát triển hệ thống TTNT; Đặt ra các trường hợp miễn trách nhiệm đối với một số nhà phát triển hệ thống TTNT nhất định, ví dụ như nhà phát triển sử dụng công nghệ mã nguồn mở;
Quy định rõ hơn đối với nghĩa vụ xử lý yêu cầu của người sử dụng, chẳng hạn như nhà cung cấp hệ thống TTNT có quyền xác định các cơ sở hợp lý để từ chối xử lý yêu cầu.