MKLaw tư vấn: Thu thập dữ liệu huấn luyện AI trái phép bị xử phạt thế nào theo Dự thảo mới?

By:
On:
In: TƯ VẤN PHÁP LUẬT
With: 0 Comments

Trong kỷ nguyên trí tuệ nhân tạo (AI), dữ liệu được ví như “dầu mỏ” mới. Tuy nhiên, việc thu thập dữ liệu để huấn luyện AI nếu thực hiện trái phép có thể đối mặt với những chế tài cực kỳ nghiêm khắc theo dự thảo quy định mới về an ninh mạng và bảo vệ dữ liệu cá nhân năm 2026.

Dưới đây là tổng hợp các quy định quan trọng mà doanh nghiệp công nghệ và cá nhân cần lưu ý để tránh rủi ro pháp lý.

1. Mức xử phạt hành chính đối với hành vi vi phạm

Theo Điều 65 Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân, các hành vi vi phạm về thu thập, chuyển giao, mua bán dữ liệu để phát triển AI sẽ bị xử lý như sau:

Hình thức phạt tiền

Phạt từ 50.000.000đ – 70.000.000đ đối với các hành vi:

  • Chuyển giao dữ liệu cá nhân không thuộc các trường hợp được pháp luật quy định cho phép chuyển giao hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân;
  • Mua, bán trái phép dữ liệu cá nhân nhưng chưa đến mức truy cứu trách nhiệm hình sự;
  • Thiết lập các hệ thống phần mềm, biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân.
  • Thu thập, xử lý hoặc sử dụng dữ liệu để phát triển, huấn luyện, kiểm thử hoặc vận hành hệ thống trí tuệ nhân tạo trái với quy định của pháp luật về dữ liệu, bảo vệ dữ liệu cá nhân.

Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với các quy định nêu trên.

Hình thức xử phạt bổ sung:

  • Tước quyền sử dụng giấy phép kinh doanh ngành nghề có vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm;
  • Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm;
  • Đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm.

Biện pháp khắc phục hậu quả:

  • Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm.
  • Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm.
  • Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định.

2. Chính sách của Nhà nước về an ninh mạng

Theo Điều 3 Luật An ninh mạng 2025, số 116/2025/QH15 quy định chính sách của Nhà nước về an ninh mạng như sau:

  • Xây dựng không gian mạng lành mạnh, không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
  • Ưu tiên bảo vệ an ninh mạng trong các lĩnh vực quốc phòng, an ninh, cơ yếu, phát triển kinh tế – xã hội, khoa học, công nghệ và đối ngoại.
  • Ưu tiên bố trí nguồn lực xây dựng, phát triển lực lượng chuyên trách bảo vệ an ninh mạng, bảo đảm nguồn nhân lực chất lượng cao phục vụ bảo vệ an ninh mạng; nâng cao năng lực cho lực lượng bảo vệ an ninh mạng và tổ chức, cá nhân tham gia bảo vệ an ninh mạng; ưu tiên đầu tư cho hoạt động nghiên cứu, phát triển khoa học, công nghệ hiện đại phục vụ bảo vệ an ninh mạng; có cơ chế đặc thù, chính sách ưu đãi để huy động, thu hút, đào tạo và sử dụng nhân tài trong lĩnh vực an ninh mạng.
  • Đẩy mạnh liên kết, đầu tư theo phương thức đối tác công tư trong bảo vệ an ninh mạng; khuyến khích, tạo điều kiện để cơ quan, tổ chức, cá nhân tham gia bảo vệ an ninh mạng, xử lý các nguy cơ đe dọa an ninh mạng; nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng; sử dụng sản phẩm, dịch vụ an ninh mạng của Việt Nam.
  • Mở rộng hợp tác quốc tế về an ninh mạng để tăng cường khả năng bảo vệ an ninh mạng; phòng, chống tội phạm mạng và các mối đe dọa về an ninh mạng xuyên quốc gia; tiếp thu công nghệ hiện đại nhằm nâng cao năng lực tự chủ an ninh mạng quốc gia.

3. Trách nhiệm của doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng

Theo khoản 2 Điều 29 Luật An ninh mạng 2025, số 116/2025/QH15, doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng có trách nhiệm sau đây:

  • Thực hiện đúng giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng; tuân thủ quy định của pháp luật về an ninh mạng và quy định khác của pháp luật có liên quan;
  • Bảo đảm về chất lượng sản phẩm, dịch vụ an ninh mạng đúng với tiêu chuẩn công bố áp dụng, quy chuẩn kỹ thuật tương ứng theo quy định của pháp luật về chất lượng sản phẩm, hàng hóa, pháp luật về tiêu chuẩn và quy chuẩn kỹ thuật trước khi lưu thông trên thị trường;
  • Lập, lưu giữ và bảo mật thông tin của khách hàng, quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ của sản phẩm, hoạt động cung cấp dịch vụ theo quy định của pháp luật;
  • Từ chối cung cấp sản phẩm, dịch vụ an ninh mạng khi phát hiện tổ chức, cá nhân vi phạm pháp luật về sử dụng sản phẩm, dịch vụ an ninh mạng, vi phạm cam kết đã thỏa thuận về sử dụng sản phẩm, dịch vụ do doanh nghiệp cung cấp;
  • Phối hợp, tạo điều kiện, thực hiện yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng để thực hiện các biện pháp bảo vệ an ninh mạng.
  • Lưu ý: Doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng phải có giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng.

4. Lời khuyên pháp lý từ MKLaw

Việc huấn luyện AI đòi hỏi khối lượng dữ liệu khổng lồ, nhưng ranh giới giữa “thu thập dữ liệu công khai” và “xâm phạm dữ liệu cá nhân” là rất mong manh. Doanh nghiệp cần:

  • Xây dựng quy trình đánh giá tác động bảo vệ dữ liệu cá nhân (DPIA) trước khi triển khai dự án AI.
  • Rà soát lại nguồn gốc dữ liệu đầu vào (Dataset) để đảm bảo có sự đồng ý của chủ thể dữ liệu.
  • Chủ động cập nhật các quy định mới nhất từ Dự thảo Nghị định để điều chỉnh kỹ thuật kịp thời.

MKLaw – Hành lang pháp lý vững chắc cho kỷ nguyên số!

Leave a Reply

Your email address will not be published. Required fields are marked *