intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bồi thường thiệt hại đối với xâm phạm dữ liệu cá nhân từ trí tuệ nhân tạo

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:17

Thêm vào BST
Báo xấu
3
lượt xem 2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết "Bồi thường thiệt hại đối với xâm phạm dữ liệu cá nhân từ trí tuệ nhân tạo" phân tích, làm rõ về các hành vi xâm phạm dữ liệu cá nhân từ AI và xác định trách nhiệm bồi thường thiệt hại nhằm khắc phục những tổn thất từ việc xâm phạm này. Từ đó, bài viết đưa ra những kết luận và kiến nghị nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bồi thường thiệt hại đối với xâm phạm dữ liệu cá nhân từ trí tuệ nhân tạo

  1. BỒI THƯỜNG THIỆT HẠI ĐỐI VỚI XÂM PHẠM DỮ LIỆU CÁ NHÂN TỪ TRÍ TUỆ NHÂN TẠO ThS. Nguyễn Thuỳ Dung Trường Kinh tế, Luật và Quản lý Nhà nước, Đại học Kinh tế TP.HCM Tóm tắt: Trong bối cảnh chuyển đổi số mạnh mẽ diễn ra tại Việt Nam và thế giới, dữ liệu cá nhân (DLCN) được xem là một loại tài sản có giá trị, và thường xuyên bị xâm phạm nhằm khai thác những giá trị kinh tế của chúng. Bên cạnh đó, sự phát triển không ngừng của trí tuệ nhân tạo (AI) đã thúc đẩy cho việc tiếp cận và sử dụng DLCN liên tục, điều này gây ra không ít những thiệt hại cho chủ DLCN. Bài viết phân tích, làm rõ về các hành vi xâm phạm DLCN từ AI và xác định trách nhiệm bồi thường thiệt hại nhằm khắc phục những tổn thất từ việc xâm phạm này. Từ đó, bài viết đưa ra những kết luận và kiến nghị nhằm hoàn thiện hệ thống pháp luật về bảo vệ DLCN. Abstract: In the context of strong digital transformation in Vietnam and worldwide, personal data is considered one valuable asset, and it is often violated to exploit its economic value. Besides, the amazing development of artificial intelligence (AI) has promoted the continuous access and illegal use of personal data, which can cause much damage to personal data owners. The paper discusses and clarifies the acts of infringement of personal data by AI and determines the liability for compensation to overcome losses from this infringement. From there, the article provides conclusions and recommendations to improve the legal system on civil rights protection. Từ khoá: Dữ liệu cá nhân (personal information), Trí tuệ nhân tạo (artificial intelligence), bồi thường thiệt hại (compensation) 1. Khái quát về dữ liệu cá nhân và trách nhiệm bồi thường thiệt hại đối với xâm phạm dữ liệu cá nhân từ AI 1.1. Khái quát về hành vi xâm phạm dữ liệu cá nhân từ AI 269
  2. Theo định nghĩa tại Điều 4.1 Quy định chung về bảo mật thông tin mà Liên minh châu Âu ban hành vào năm 2016, dữ liệu cá nhân (DLCN) được hiểu là những thông tin gắn liền với một cá nhân được nhận dạng (thông tin cụ thể như họ tên, dữ liệu vị trí) hoặc có thể nhận dạng được (các thông tin dẫn đến việc nhận dạng cá nhân) Dưới góc độ pháp lý tại Việt Nam, DLCN là các thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Với khái niệm này, tất cả các thông tin mang tính đặc trưng riêng của mỗi cá nhân hoặc những thông tin có khả năng tạo ra định dạng một cá nhân cụ thể đều có thể được coi là dữ liệu cá nhân. Và đây cũng là khái niệm tương đối đầy đủ, tiệm cận với các khái niệm được ghi nhận trong các văn bản pháp lý của một số quốc gia trên thế giới. DLCN mang một số đặc điểm cơ bản sau: Tính cá biệt (nhân thân): các thông tin này gắn chặt và riêng biệt với từng cá nhân cụ thể Tính xác thực của nội dung thông tin: các thông tin khi liên kết với nhau thì có thể giúp nhận diện, xác thực một con người cụ thể nào đó. Tính đa dạng về nội dung và hình thức thể hiện: các thông tin được thể hiện bằng nhiều hình thức khác nhau (hình ảnh, chữ viết, số liệu, tranh, ảnh,…), và phủ rộng ở các lĩnh vực khác nhau (dân sự, đời sống xã hội, hình sự, hành chính, an ninh, viễn thông,…) Theo nghị định 13/2023 thì DLCN bao gồm DLCN cơ bản và DLCN nhạy cảm. (i) DLCN cơ bản là những thông tin cơ bản nhất của một cá nhân, như họ tên, ngày sinh, giới tính, quốc tịch, hình ảnh cá nhân,… trong khi (ii) DLCN nhạy cảm là những thông tin gắn với quyền riêng tư của mỗi cá nhân, có khả năng ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân đó, như quan điểm chính trị, tôn giáo, chủng tộc, xu hướng tình dục, thông tin về bí mật gia đình, dữ liệu tội phạm hay dữ liệu về vị trí,… Tuy nhiên, không phải tất cả các thông tin đều được xác định là DLCN và tuân thủ quy định bảo mật. Các thông tin được định nghĩa là DLCN cần đáp ứng được điều kiện đó là các thông tin liên quan đến một thể nhân nào đó, đồng thời, những thông tin này giúp nhận dạng một cá nhân cụ thể một cách trực tiếp hay gián tiếp. Chẳng hạn như thông tin về điều kiện khí tượng 270
  3. trên đỉnh Fansipan không phải là DLCN vì không gắn với cá nhân cụ thể nào, đây chỉ là những thông tin phản ánh sự thật khách quan gắn với địa điểm địa lý cụ thể mà thôi. Theo đó, các nguyên tắc bảo vệ DLCN không được áp dụng đối với những thông tin không được xác định là DLCN, cũng như không được áp dụng với những thông tin ẩn danh (anonymuos information), tức là các thông tin mà các chủ thể dữ liệu không thể hoặc không còn có thể nhận dạng được. Ví dụ như các thông tin trong bản án, án lệ đã được xử lý để công bố trên các nguồn dữ liệu mở; hay các tình huống tranh chấp đã được xử lý để ứng dụng vào nội dung các bài giảng trên giảng đường. Xét về mặt vật quyền, DLCN được xem là tài sản gắn liền với mỗi cá nhân. Trong nhiều trường hợp, tài sản này có khả năng phát sinh giá trị kinh tế lớn, nhất là các thông tin cá nhân của những người nổi tiếng. Do đó, việc xâm phạm DLCN trong thời đại số hiện nay mang tính phổ biến trên phạm vi toàn cầu. Với định nghĩa về đối tượng như trên, thì xâm phạm DLCN được xem là sự tác động đến đối tượng là DLCN trái với nguyên tắc bảo vệ dữ liệu cá nhân. Cụ thể, đó là những hành vi tiếp cận, thu thập, xử lý, lưu trữ hay sử dụng, DLCN một cách bất hợp pháp hoặc trái với ý muốn của chủ sở hữu DLCN. Cụ thể, điều 8 Nghị định 13/2023 liệt kê những hành vi bị nghiêm cấm đối với DLCN như (1) xử lý DLCN trái với quy định về bảo vệ DLCN, (2) xử lý DLCN để tạo ra các thông tin gây ảnh hưởng đến quyền và lợi ích của Nhà nước, xã hội, tổ chức, cá nhân khác, (3) cản trở, chống phá hoạt động bảo vệ DLCN của nhà nước. Với quy định trên, các hành vi xâm phạm gần như bao trùm các hoạt động trái với những chính sách của việc bảo hộ DLCN. Tại Điều 4.12 GDPR 2016 của EU, “xâm phạm DLCN có nghĩa là sự xâm phạm bảo mật dẫn đến việc một cách vô tình hoặc bất chính phá hủy, làm mất, thay đổi, tiết lộ hoặc truy cập trái phép vào DLCN đang được truyền đi hoặc được lưu trữ hoặc được xử lý”. Định nghĩa này có phạm vi bao quát rất rộng, bao gồm tất cả các hành vi có khả năng xâm hại đến DLCN. Trí tuệ nhân tạo (Artificial Intelligence – AI) là thường được hiểu rằng là những thực thể máy móc được lập trình, có thể mô phỏng suy nghĩ và hành động như một con người. Sau hơn 50 năm được khai sinh, AI xuất hiện thường xuyên hơn và đóng vai trò ngày càng quan trọng trong mọi lĩnh vực của đời sống con người, từ các thiết bị công nghệ đến phần mềm 271
  4. nhận diện, thương mại điện tử, hay các lĩnh vực cần nhiều tính sáng tạo, vốn dĩ là phạm trù riêng có của con người, như văn học, mỹ thuật, pháp lý, chăm sóc sức khoẻ con người hay điều trị bệnh tật,… Về bản chất, AI chỉ là một chương trình máy tính. AI có thể được cài đặt trong những thực thể thông minh (gọi là thực thể AI), như robot, thiết bị dò đường hay xe ôtô tự lái,... Tuy nhiên AI có khả năng phân tích và xử lý khối lượng dữ liệu khổng lồ mà chúng thu thập được từ internet qua quá trình “học máy” (machine learning). Đây là chức năng mà AI được lập trình bởi các lập trình viên (programmers), hay nói cách khác, AI chính là sản phẩm sáng tạo của con người. Con người đã sinh ra và “huấn luyện” AI, khiến chúng trở nên thông minh và độc lập hơn trong việc tiếp cận trí thức và đưa ra các sản phẩm khác. Hiện tại, AI được chia làm 2 dạng chính: 1) AI hoạt động dựa trên sự hỗ trợ, vận hành của con người. Người này có thể là chủ sở hữu hoặc người sử dụng AI. Trong trường hợp này, AI được xem là công cụ hỗ trợ cho quá trình tiếp cận thông tin của người sử dụng. 2) AI hoạt động hoàn toàn độc lập, hay nói cách khác, qua quá trình học máy, AI đã phát triển đến mức không cần sự can thiệp, hỗ trợ của con người. Việc tiếp cận các thông tin từ internet diễn ra liên tục và nhanh chóng mà bản thân lập trình viên cũng không lường trước hoặc kiểm soát đầy đủ. Từ đó dẫn đến nhu cầu về việc xem xét AI như là một thực thể pháp lý, có tư cách pháp lý và chịu trách nhiệm cho hành vi xâm phạm DLCN của mình. Theo đó, cơ chế “học máy” từ nguồn học liệu mở có thể khiến AI có khả năng tiếp cận với nguồn DLCN khổng lồ trên không gian số. Điều này làm tăng nguy cơ xâm phạm DLCN một cách bất hợp pháp và gây ra những thiệt hại không nhỏ cho các chủ thể dữ liệu. Vậy, xâm phạm DLCN từ AI được hiểu là các hành vi tiếp cận, thu thập, xử lý, phát tán DLCN của AI trái với các nguyên tắc bảo vệ DLCN. Trên thực tế, các hành vi xâm phạm DLCN từ AI đã, đang và sẽ diễn ra vô cùng đa dạng, phức tạp, với nhiều mục đích khác nhau. Có thể điểm qua vài mục đích của việc xâm phạm DLCN như sau: Thứ nhất, biến DLCN trở thành tài sản trong giao dịch dân sự. Cơ chế học máy giúp tốc độ xử lý thông tin của AI trở nên nhanh chóng và phủ rộng các lĩnh vực, ngôn ngữ. Điều này làm tăng nguy cơ, rủi ro cho cá nhân khi trở thành đối tượng của những cuộc gọi quấy rầy, làm 272
  5. phiền từ công ty quảng cáo, hay nguy cơ bị lừa đảo, chiếm đoạt tài sản cá nhân. Theo thống kê trong Quý II năm 2017 của Công ty Kaspersky Lab, Việt Nam trở thành quốc gia có nguồn thư rác đứng đầu thế giới (12,37%), vượt qua Hoa Kỳ (10,1%) và Trung Quốc (8,96%). Thứ hai, trục lợi từ DLCN của người nổi tiếng, giàu có, hay những người dễ bị tổn thương trong xã hội như trẻ em, người mắc bệnh hiểm nghèo,… Đây là nhóm người có khả năng gây ảnh hưởng lớn trong cộng đồng, nhất là khi mạng xã hội trở nên phổ biến trên toàn thế giới như hiện nay. Bất kỳ hành động hay thông tin đời tư nào của nhóm người này cũng có thể trở thành hình mẫu cho giới trẻ noi theo, và thu hút sự chú ý của nhiều người. Bên cạnh đó, việc thu thập, xuyên tạc và truyền bá thông tin riêng tư của những người này có thể gây ảnh hưởng lớn đến họ, hạ thấp uy tín, danh dự, nhân phẩm của nạn nhân. Đồng thời, thông tin về hoàn cảnh khó khăn nào đó có thể khiến người khác đồng cảm và chia sẻ lợi ích kinh tế không toan tính. Đây chính là những chiếc bẫy lòng tốt mà nhiều phi vụ lừa đảo đã sử dụng. Ví dụ như (i) việc phần mềm ChatGPT tổng hợp thông tin, trích dẫn thông tin về ca sĩ Micheal Jackson như màu da, lịch sử phẫu thuật thẩm mỹ, tình trạng nhân thân hay thông tin số định danh, số tài khoản của ca sĩ. Hay (ii) việc Trợ lý ảo Siri truy xuất thông tin về những thông tin đời tư và lý lịch tư pháp của bà Nguyễn Phương Hằng khi được người sử dụng Iphone đề nghị. 1.2. Trách nhiệm bồi thường thiệt hại đối với xâm phạm dữ liệu cá nhân từ AI 1.2.1. Xác định thiệt hại do xâm phạm dữ liệu cá nhân từ AI Thiệt hại được hiểu là những tổn thất thực tế xảy ra với các chủ thể trong xã hội, thông thường xuất phát từ những hành vi trái pháp luật. Dựa vào nguồn gốc của thiệt hại, có hai loại là (i) thiệt hại trong hợp đồng, và (ii) thiệt hại ngoài hợp đồng. Đối với hành vi xâm phạm DLCN từ AI và có phát sinh thiệt hại, thì đây được xác định là thiệt hại ngoài hợp đồng. Vì trong trường hợp này, giữa AI hoặc chủ sở hữu AI và chủ thể dữ liệu không có sự thoả thuận về việc xử lý dữ liệu này. Những thiệt hại phát sinh do hành vi xâm phạm DLCN từ AI bao gồm hai loại cơ bản sau: 1) Thiệt hại về vật chất: là những tổn hại vật chất thực tế, tính được bằng tiền do bên vi phạm DLCN gây ra, bao gồm tổn thất về tài sản, chi phí hợp lý để ngăn chặn, hạn chế, khắc phục thiệt hại, thu nhập thực tế bị mất hoặc bị giảm sút. Theo Điều 589 BLDS 2015, thiệt hại do tài sản bị xâm phạm bao gồm (i) tài sản bị mất, bị huỷ hoại hoặc hư hỏng; (ii) lợi ích gắn liền với việc sử dụng, khai thác tài sản bị mất, bị giảm sút; (iii) chi 273
  6. phí hợp lý để ngăn chặn, hạn chế và khác phục thiệt hại. Trong trường hợp của DLCN, thiệt hại về vật chất được xem là những chi phí để chủ thể dữ liệu bảo mật thông tin của mình, hoặc những thu nhập, lợi nhuận, cơ hội kinh doanh từ DLCN đó. Ví dụ: Sau khi bị tung tin đồn “bay lắc”, MC Trấn Thành đã gặp nhiều rắc rối, thiệt hại, như một số hợp đồng đang trong quá trình thương lượng phải tạm ngừng; một số nhãn hàng mà anh đang hợp tác, làm đại diện yêu cầu anh làm cam kết sự việc là không có thật để tránh ảnh hưởng đến thương hiệu của họ. Ngoài ra, vào tháng 3/2023, Cảnh sát Châu Âu Europol đã chỉ ra việc các mô hình như ChatGPT được huấn luyện và phác thảo một kịch bản lừa người khác chuyển tiền bằng những email. 2) (2) Thiệt hại về tinh thần: là những tổn thất về danh dự, nhân phẩm, uy tín, danh tiếng và những tổn thất khác về tinh thần gây ra cho chủ thể DLCN. Theo Điều 592.1 BLDS 2015, thiệt hại do danh dự, nhân phẩm, uy tín bị xâm phạm bao gồm: (i) chi phí hợp lý để hạn chế, khắc phục thiệt hại; (ii) thu nhập thực tế bị mất hoặc giảm sút; (iii) thiệt hại khác. Ví dụ: Với công cụ Deepfake, các đối tượng sử dụng AI để làm những đoạn video giả người thân, bạn bè từ những hình ảnh của họ, nhằm mục đích thực hiện các cuộc gọi trực tuyến lừa đảo. Điều này khiến danh dự, danh tiếng, uy tín của con người trở nên mong manh, dễ bị tổn thương, xâm hại hơn bao giờ hết. Việc xác định thiệt hại luôn là thách thức pháp lý đối với người yêu cầu BTTH. Nếu thiệt hại về vật chất có thể được chứng minh dễ dàng dựa trên những chứng từ thu chi cụ thể, thì thiệt hại về tinh thần lại mang tính trừu tượng và định hướng nhiều hơn. Tuy nhiên, để có thể yêu cầu việc bù đắp thiệt hại từ chủ thể xâm phạm, nghĩa vụ chứng minh thiệt hại và đưa ra mức yêu cầu BTTH là trách nhiệm bắt buộc của chủ thể bị thiệt hại, trong trường hợp này là chủ thể có DLCN bị xâm hại 1.2.2. Nguyên tắc bồi thường thiệt hại do xâm phạm dữ liệu cá nhân từ AI Pháp luật về dân sự đã nêu lên những nguyên tắc cơ bản trong việc bồi thường thiệt hại nói chung như sau: 1) Tôn trọng quyền tự định đoạt của các chủ thể liên quan. 274
  7. Quyền tự định đoạt xuất phát từ quyền tự do, tự nguyện lựa chọn và thoả thuận thực hiện hành vi mà pháp luật về dân sự đã quy định. Có nghĩa là, khi giải quyết tranh chấp về quyền và lợi ích hợp pháp giữa các chủ thể trong quan hệ pháp luật dân sự, những lựa chọn được nêu trong các quy phạm pháp luật chỉ mang tính định hướng, tham khảo và được áp dụng trong trường hợp các bên không có thoả thuận gì khác. Còn trong trường hợp các bên đã thể hiện ý chí của mình thông qua việc thoả thuận với nhau, hệ thống pháp luật sẽ tôn trọng những ý kiến trên, miễn sao nội dung các thoả thuận đó không vi phạm những điều cấm của pháp luật. Trong vấn đề BTTH, quyền tự định đoạt được thể hiện bằng cơ chế chứng minh. Khi chủ thể có DLCN bị xâm phạm chứng minh được có những thiệt hại xảy ra dựa trên những chứng cứ hợp pháp, yêu cầu của họ được chấp nhận ngay cả khi pháp luật chưa dự liệu hoặc quy định của pháp luật không còn phù hợp nữa. 2) Bồi thường thiệt hại thực tế toàn bộ và kịp thời. Khi tiến hành BTTH, cần bồi thường toàn bộ thiệt hại để khắc phục lại tình trạng ban đầu trước khi có hành vi xâm phạm xảy ra. Đồng thời, việc bồi thường được tiến hành một cách nhanh chóng, kịp thời, ngay sau khi có thiệt hại xảy ra nhằm khắc phục tổn thất cho người bị xâm phạm. Nếu việc bồi thường không diễn ra kịp thời, những cơ hội để phát triển, kinh doanh có thể bị vụt qua, cũng như giá trị của khoản bồi thường không còn tương xứng với giá trị thiệt hại đã lượng ra trước đó. Việc BTTH được xác định dựa trên toàn bộ giá trị thiệt hại thực tế có thể giúp đảm bảo được mục tiêu về (i) bảo vệ lợi ích chính đáng của người bị thiệt hại, (ii) sự trừng trị thích đáng cho hành vi vi phạm, và (iii) giáo dục, tuyên truyền, răn đe, cảnh báo đối với những sự việc tương tự có thể diễn ra trong tương lai. 3) Nguyên tắc ngăn chặn, hạn chế thiệt hại. Hành vi gây thiệt hại và những thiệt hại xảy ra có thể nằm ngoài mong muốn của các chủ thể DLCN và xã hội. Do đó, khi xảy ra thiệt hại trên thực tế, việc ngăn chặn hay hạn chế tối đa giá trị thiệt hại được xem là trách nhiệm, thể hiện sự “thiện chí” của các bên. Vì vậy, trách nhiệm hạn chế thiệt hại không chỉ là của riêng bên gây thiệt hại, mà còn là trách nhiệm chung của bên bị thiệt hại. Điều này có thể giúp mang lại lợi ích cho các bên, và cả lợi ích xã hội nói chung. 275
  8. Trong trường hợp xâm phạm DLCN từ AI, trước tiên, chủ thể DLCN cần có ý thức thiết lập hệ thống bảo mật, bảo vệ những DLCN của mình. Vì AI là chương trình máy tính, với các câu lệnh được lập trình sẵn, sẽ rất khó điều chỉnh theo các phạm trù đạo đức như con người tự nhiên được. Do đó, các biện pháp ngăn chặn hành vi xâm hại nhằm hạn chế các thiệt hại xảy ra cần xuất phát từ 2 phía: AI (chính xác là chủ sở hữu hay người lập trình ra AI) và chủ thể DLCN. Thậm chí có quan điểm cho rằng: trong trường hợp chủ thể DLCN không áp dụng các biện pháp cần thiết, hợp lý để ngăn chặn sự xâm hại và hạn chế thiệt hại cho chính mình, thì họ có thể sẽ không được bồi thường, vì rất khó chứng minh lỗi thuộc về bên xâm phạm. Ví dụ như khi chủ thể DLCN chủ động hay cố tình đăng tải, loan báo các thông tin cá nhân của họ (như quan điểm, số điện thoại, nhóm máu,) trên một trang mạng xã hội nào đó với mong muốn nhiều chủ thể tiếp cận được với những thông tin trên. 1.2.3. Căn cứ phát sinh trách nhiệm bồi thường thiệt hại do xâm phạm dữ liệu cá nhân từ AI Pháp luật dân sự quy định về căn cứ phát sinh trách nhiệm BTTH do xâm phạm DLCN từ AI là (i) có hành vi xâm phạm DLCN, (ii) có thiệt hại xảy ra, và (iii) có mối quan hệ nhân quả giữa hành vi xâm hại và thiệt hại xảy ra. 1) Có hành vi xâm phạm DLCN từ AI. Về mặt lý luận, BTTH là trách nhiệm pháp lý dân sự, vì vậy, hành vi xâm phạm DLCN là căn cứ bắt buộc phải có để phát sinh trách nhiệm BTTH. Cơ sở của việc xác định trách nhiệm pháp lý là có hành vi vi phạm pháp luật, hay nói cách khác, việc xâm phạm DLCN là hành vi trái pháp luật. Trong trường hợp của trí tuệ nhân tạo, AI là những chương trình máy tính được lập trình sẵn với các câu lệnh được lập trình viên viết ra. Dựa trên nguyên tắc học máy (learning machine), AI tiến dần đến việc tự truy cập, tự tiếp cận các thông tin trên môi trường số, và xử lý dữ liệu theo định hướng của người sử dụng. Ví dụ như cách thức hoạt động của ChatGPT, khi người sử dụng hỏi về thông tin của một cá nhân nào đó, ChatGPT sẽ truy xuất các dữ liệu số liên quan đến cá nhân đấy trong khoảng thời gian rất nhanh. Nguồn dữ liệu đến từ khắp mọi nơi trên không gian mạng, với rất nhiều ngôn ngữ và độ chính xác. ChatGPT hay bất cứ phần mềm nào cũng có thể dẫn thông tin chính thống hay phi chính thống, đã được kiểm chứng hoặc 276
  9. chưa để minh hoạ cho yêu cầu của người sử dụng. Trong rất nhiều trường hợp, ChatGPT không dẫn nguồn thông tin. Điều này có thể khiến độ tin cậy của thông tin trở nên không chắc chắn. Tuy nhiên, vì AI chỉ là chương trình máy tính, nên chúng không phải là chủ thể pháp lý. Do đó, AI không bị xem là chủ thể thực hiện hành vi vi phạm pháp luật, thay vào đó, AI có thể được xem là phương tiện, công cụ hỗ trợ cho một chủ thể khác thực hiện hành vi trái pháp luật. Thế nhưng trong thực tế, cùng với sự phát triển vượt bậc của khoa học công nghệ, AI ngày càng thông minh và dần “tự chủ” trong các quyết định truy cập và xử lý DLCN. Đây thực sự là thách thức rất cấp bách đối với hệ thống lý luận pháp lý hiện đại. 2) Có thiệt hại xảy ra Thiệt hại là điều kiện cần phải có để phát sinh trách nhiệm BTTH do xâm phạm DLCN. Theo đó, dù có hành vi xâm phạm DLCN nhưng không phát sinh thiệt hại, cũng sẽ không dẫn đến trách nhiệm BTTH. Như đã phân tích ở trên, mục đích của trách nhiệm BTTH là bù đắp tổn thất mà chủ thể quyền phải chịu. Tổn thất có thể là thiệt hại về vật chất hoặc tinh thần, như những sự giảm sút cơ hội kinh doanh từ các thông tin cá nhân thất thiệt được lan truyền, hay những tổn thất về sức khoẻ, uy tín, danh dự của chủ thể DLCN. 3) Mối quan hệ nhân quả giữa hành vi xâm phạm DLCN từ AI và thiệt hại xảy ra Mối quan hệ nhân quả là cơ sở để chấp nhận hay không chấp nhận một thiệt hại cụ thể khi trách nhiệm bồi thường đã phát sinh. Thiệt hại xảy ra phải là kết quả tất yếu của những hành vi xâm phạm DLCN. Đây là nội dung cơ bản và quan trọng trong việc yêu cầu BTTH, vì thiệt hại có thể xuất phát từ nhiều nguyên nhân khác nhau, có những nguyên nhân chính, nhưng cũng có những nguyên nhân phụ, và chỉ tác động một cách gián tiếp đến hậu quả. Chẳng hạn như AI tiếp cận và dẫn chiếu, xử lý những thông tin liên quan đến nhóm máu, nhưng hậu quả lại là uy tín, danh dự của chủ thể DLCN do hành vi vi phạm pháp luật hình sự gây ra, thì không thể truy cứu trách nhiệm của AI hay chủ sở hữu AI được. 277
  10. 2. Bất cập từ thực tiễn áp dụng pháp luật về trách nhiệm bồi thường thiệt hại đối với xâm phạm dữ liệu cá nhân từ AI tại Việt Nam hiện nay 2.1. Trên không gian số, dữ liệu cá nhân rất dễ bị xâm phạm. Trên không gian số, DLCN được thể hiện dưới dạng điện tử, từ thông tin cơ bản (họ tên, hình ảnh, địa chỉ, số điện thoại, ) đến thông tin nhạy cảm (lý lịch tư pháp, tôn giáo, xu hướng tình dục,…). Theo lý thuyết về tài sản, thì đây là những tài sản ở dạng vô hình, với đặc điểm cơ bản là không có hình dạng xác định, không thể nắm giữ, quản lý như với tài sản hữu hình được, nhưng lại rất dễ bị lan truyền, chiếm hữu và sử dụng bất hợp pháp. Điều này khiến việc chiếm hữu DLCN của chủ thể DLCN chỉ mang tính tương đối. Ngoài ra, cũng như các loại tài sản vô hình khác, DLCN bị lưu trữ “vô thời hạn” trên không gian số. Dưới sự hỗ trợ của điện toán đám mây, chỉ cần thông tin được định hình dưới dạng vật chất cụ thể trên bất kỳ trang mạng nào, thì thông tin vẫn nguyên vẹn tồn tại ở đó “mãi mãi”. Khác với trí nhớ ngắn hạn và hữu hạn của con người, AI, với sự hỗ trợ của học máy và internet, có thể “xới tung” mọi ngóc ngách của không gian mạng để tìm kiếm dữ liệu phù hợp. Chính điều này khiến sự xâm phạm DLCN từ AI trở nên phổ biến và thường xuyên hơn. 2.2. Xung đột pháp lý giữa quyền tự do tiếp cận thông tin và quyền được lãng quên. Quyền tự do tiếp cận thông tin là quyền cơ bản trong nhóm quyền con người. Về bản chất của sự phát triển, con người buộc phải học hỏi lẫn nhau, vì vậy, tri thức nhân loại mang “tính công” và có tính “phái sinh”. Điều đó có nghĩa là con người có quyền tiếp cận với những tri thức chung để sáng tạo ra những nội dung mới, phục vụ cho sự phát triển của xã hội loài người. Trong số những thông tin mà con người tiếp cận, có những thông tin liên quan đến DLCN hay dữ liệu phi cá nhân. Sau đó, con người có xu hướng tiếp tục phát triển không ngừng những thông tin này thành những tri thức mới. Điển hình, trong lĩnh vực pháp lý, đó là nội dung của những tình huống tranh chấp (tên, bối cảnh hay nội dung hành vi vi phạm pháp luật). Hay tiểu sử của một tác giả nào đó được sử dụng để minh hoạ cho một nội dung cụ thể trong giảng dạy. 278
  11. Tuy nhiên, cũng cần hiểu rằng quyền tự do tiếp cận thông tin không phải là quyền tuyệt đối. Điều này có nghĩa là các chủ thể trong xã hội chỉ có quyền tiếp cận những thông tin trong phạm vi được phép theo quy định của pháp luật. Việc tạo ra những ranh giới giúp cho việc tiếp cận các thông tin mang tính bảo mật hay “nhạy cảm” trở nên khó khăn hơn, phần nào giúp bảo vệ quyền và lợi ích hợp pháp của các chủ thể dữ liệu. Xét về khía cạnh DLCN, các quy định liên quan đến bảo vệ dữ liệu cá nhân sẽ là lằn ranh để nhắc nhở các chủ thể trong xã hội không được vượt qua, nhằm tránh xung đột với quyền bất khả xâm phạm về hình ảnh, hay quyền bảo vệ danh dự, nhân phẩm của cá nhân. Quyền được lãng quên (Right to Be Forgotten) được hiểu là quyền của một cá nhân trong việc xoá thông tin, xoá đường link, giới hạn việc truy cập, hay thay thế những thông tin quá khứ của cá nhân đó trên internet, mà những thông tin này có khả năng gây hiểu lầm, đáng xấu hổ, không liên quan hoặc đã bị lỗi thời. Đây là một quyền con người mới xuất hiện thời gian gần đây, trước sự ảnh hưởng ngày càng nhiều của công nghệ và internet đến đời sống của con người nói chung. Trên không gian số, các thông tin cá nhân (personal information) của một con người dễ dàng bị lưu dấu (digital footprint) với thời gian lưu trữ không giới hạn, và phương thức tiếp cận cực kỳ dễ dàng. Xung đột pháp lý giữa 2 quyền này được thể hiện khá rõ ở phương thức học máy của AI. Như đã phân tích ở trên, khả năng tiếp cận với các thông tin số của AI gần như vô tận. Chỉ cần đã được lưu dấu trên không gian số, thì trải qua thời gian bao lâu, AI hoàn toàn có thể truy xuất và xử lý các thông tin này với tốc độ cực nhanh. Chính vì lý do này đã dẫn đến nhu cầu của việc xuất hiện quyền được bảo vệ DLCN (the right to personal data). Từ đó, hệ thống quy phạm pháp luật liên quan đến bảo vệ dữ liệu cá nhân đã được thông qua và áp dụng tại nhiều quốc gia trên thế giới. Ví dụ như phân định đâu là DLCN và chịu sự chi phối của các quy định pháp luật này? Phạm vi quyền và nghĩa vụ của chủ thể DLCN và các chủ thể liên quan là gì? 2.3. Khó xác định chủ thể chịu trách nhiệm BTTH Có thể nhận ra một cách dễ dàng rằng, đối tượng xâm phạm đến dữ liệu cá nhân là AI, nhưng chủ thể phải chịu trách nhiệm BTTH khi có xâm phạm DLCN lại khó xác định. Vấn đề được xác định là do AI là chương trình máy tính, nên không có tư cách chủ thể pháp lý. Đấy cũng là 279
  12. lý do mà hầu hết hệ thống pháp luật trên thế giới chưa ghi nhận AI là chủ thể phải chịu trách nhiệm BTTH do xâm phạm DLCN. Theo đó, dựa vào chức năng của AI trong quá trình khai thác, sử dụng DLCN, có thể xem xét vai trò của AI dưới những khía cạnh sau, từ đó gợi ý đến tư cách pháp lý của các chủ thể liên quan: 1) AI được sử dụng như là một công cụ hỗ trợ cho quá trình tìm kiếm, xử lý DLCN: AI chỉ được xem là một loại tài sản hoạt động theo chỉ dẫn của chủ thể khác. Theo đó, ý chí tiếp cận, sử dụng DLCN là của chủ sở hữu hoặc người sử dụng AI. Trong trường hợp này, nếu có thiệt hại xảy ra, theo quy định tại Điều 584.3 BLDS 2015, chủ sở hữu hoặc chủ thể đang chiếm hữu, sử dụng AI phải gánh trách nhiệm BTTH. 2) Mặt khác, nếu AI thông minh đến mức có khả năng tự đưa ra quyết định tiếp cận, sử dụng các DLCN khi chưa được cho phép, việc truy cứu trách nhiệm sẽ khó khăn hơn rất nhiều. Theo quan điểm pháp lý truyền thống, do không được thừa nhận là có tư cách pháp lý, nên AI không thể là chủ thể chịu trách nhiệm pháp lý được. Trong trường hợp này, vai trò của các chủ thể liên quan được đưa ra cân nhắc trong việc xác định trách nhiệm BTTH. Cụ thể: (i) quy trách nhiệm cho người lập trình (programmers) về việc phải có trách nhiệm trong việc tạo ra các rào cản kỹ thuật để hạn chế việc xâm hại DLCN; hoặc (ii) quy trách nhiệm cho người sử dụng (users) về những câu lệnh họ đã thực hiện để định hướng nguồn thông tin mà AI tiếp cận. 3. Kết luận và khuyến nghị Với sự phát triển nhanh chóng của khoa học kỹ thuật, những chương trình máy tính đang dần trở nên thông minh và tự chủ hơn. Những thông tin mang tính cá nhân là một trong những nguồn học liệu cơ bản và liên tục trong quá trình học máy của AI. DLCN được xem là một loại tài sản có giá trị, việc xâm phạm đến DLCN từ AI lại diễn ra dễ dàng, thường xuyên, khiến những thiệt hại có thể xảy ra đối với chủ thể DLCN ngày càng phổ biến hơn. Nhu cầu bù đắp thiệt hại và răn đe các hành vi xâm phạm rất thực tế, tuy nhiên việc xác định chủ thể chịu trách nhiệm BTTH cũng như xác định mức BTTH còn một số vướng mắc về mặt lý luận pháp lý lẫn thực tiễn. Từ đó, tác giả đưa ra một số khuyến nghị sau: 3.1. Thừa nhận tư cách pháp lý của AI và các thực thể mang AI thuộc nhóm “tự vận hành” 280
  13. ệ thống pháp lý hiện đại ghi nhận chủ thể pháp luật bao gồm (i) cá nhân (natural human) và (ii) pháp nhân (juridical persons). Trong đó, cá nhân được nhà nước trao cho đầy đủ các quyền và nghĩa vụ pháp lý. Còn pháp nhân (thực thể nhân tạo) sẽ có quyền và nghĩa vụ pháp lý bị hạn chế hơn so với chủ thể là cá nhân, nói cách khác, Nhà nước trao quyền cho pháp nhân dựa trên các quy định pháp luật, và chỉ đơn giản là vì luật chọn loại chủ thể đó để cấp quyền. Cũng cần hiểu rằng, quyền và nghĩa vụ của các chủ thể trong một hệ thống pháp luật không nhất thiết phải giống nhau hoàn toàn. Ngay cả với thể nhân, cuộc đấu tranh vì quyền bình đẳng của phụ nữ, hoặc giữa các dân tộc thiểu số, hay các xung đột sắc tộc, tôn giáo đã phản ánh sự thật này. Ngoài ra, các hình thức thể hiện của các thực thể nhân tạo (truly non-human entities) rất đa dạng, không chỉ dừng ở các tổ chức kinh doanh (doanh nghiệp, các quỹ đầu tư,…) hay tổ chức kinh tế, chính trị, xã hội; mà pháp nhân còn có thể là những ngôi đền ở Ấn Độ, hay dòng sông Whanganui ở New Zealand. Trong những trường hợp này, theo lý thuyết về tư cách pháp nhân, thông thường việc đảm bảo trách nhiệm dân sự có thể được quy cho người sử dụng, chủ sở hữu hay lập trình viên (chủ thể viết ra AI). Nói cách khác, nếu thừa nhận tư cách pháp nhân cho AI, cần xét đến các nghĩa vụ đi kèm. Cụ thể, trách nhiệm dân sự thường gắn với nghĩa vụ bồi thường thiệt hại, và điều này chỉ được thực hiện nếu chủ thể vi phạm có khả năng sở hữu tài sản. Một biện pháp hiệu quả để có thể giải quyết tình huống trên là có sự đảm bảo của quỹ chung (central fund – quỹ này hoạt động như Vốn điều lệ trong các loại hình công ty) hoặc có sự tham gia của khoản bảo hiểm dân sự bắt buộc (compulsory insurance). Hơn nữa, những biện pháp chế tài khác có thể được áp dụng tương tự như chế tài hành chính hay hình sự như là (i) lập trình lại (reprogramming), hoặc (ii) phá huỷ (destruction). Vì những lý do trên, việc thừa nhận AI là một thực thể pháp lý độc lập ở dạng pháp nhân là có cơ sở. 3.2. Xác định trách nhiệm pháp lý khi có hành vi xâm phạm dữ liệu cá nhân từ AI: Từ việc xác định cụ thể tư cách pháp lý của AI, có thể giúp xác định chủ thể chịu trách nhiệm pháp lý khi có hành vi xâm phạm DLCN từ AI như sau: 1) Trong trường hợp thừa nhận tư cách pháp nhân cho AI “tự vận hành”: xác định chủ thể chịu trách nhiệm BTTH là chính AI, thông qua hành vi của những người đại diện của AI (đại diện theo pháp luật, đại diện theo uỷ quyền,). Tài sản để thực hiện nghĩa vụ 281
  14. BTTH được sử dụng từ quỹ chung hoặc bảo hiểm dân sự bắt buộc như đã phân tích ở trên. 2) Trong trường hợp không thừa nhận tư cách pháp nhân cho AI: với quan điểm cho rằng AI chỉ là một loại tài sản hay công cụ hỗ trợ cho quá trình tìm kiếm, xử lý DLCN, khi có thiệt hại diễn ra, chủ thể DLCN có thể yêu cầu những chủ thể liên quan đến AI phải chịu trách nhiệm pháp lý do sự xâm phạm DLCN từ AI. Cụ thể, tuỳ theo từng giai đoạn, mục đích sử dụng AI để (i) lập trình viên ra AI, (ii) chủ sở hữu AI, hay (iii) người sử dụng AI, hoặc các chủ thể này liên đới chịu trách nhiệm BTTH đó. 3.3. Áp dụng mức BTTH mang tính “trừng phạt” Dữ liệu số nói chung, DLCN nói riêng được coi là một loại tài sản có giá trị kinh tế không hề nhỏ, nhất là các thông tin cá nhân mang tính nhạy cảm của những người nổi tiếng. Chính điều này khiến chúng dễ bị xâm phạm hơn trên không gian số. Nguyên tắc BTTH hiện hữu chỉ thừa nhận việc BTTH toàn bộ, có nghĩa là bù đắp những tổn thất thực tế gây ra bởi hành vi xâm phạm từ AI. Mặt tích cực của nguyên tắc này là bồi hoàn toàn bộ những thiệt hại đã xảy ra. Tuy nhiên, nếu xét trên khía cạnh chức năng cảnh báo, giáo dục của pháp luật, thì mức phạt và BTTH cần cao hơn nhiều lần (ví dụ như gấp 10 lần) so với thiệt hại thực tế, mới đủ sức răn đe các chủ thể khác được. Thông thường một chương trình AI có giá trị kinh tế cao, vì vậy, lập trình viên không ngại sử dụng các thuật toán để mở rộng phạm vi tiếp cận thông tin trên môi trường số, nhằm tăng khả năng hữu dụng của AI. Do đó, nếu đánh đổi một giá trị bồi thường không đáng kể (so với giá trị đầu tư) với việc tiếp cận các thông tin có khả năng tạo ra những giá trị kinh tế lớn, ắt hẳn chủ thể xâm phạm sẵn sàng thực hiện ngay. Điều này diễn ra dễ dàng hơn với máy móc, khi chúng không bị tác động bởi các yếu tố về đạo đức, tình cảm. 3.4. Áp dụng công nghệ vào việc lưu trữ, sử dụng và bảo vệ DLCN Theo lý thuyết về bảo vệ quyền sở hữu, bản thân chủ sở hữu tài sản cũng cần có trách nhiệm trong việc bảo vệ tài sản của chính mình. Đối với DLCN, tác giả kiến nghị một số biện pháp kỹ thuật nhằm bảo vệ và hạn chế sự xâm phạm từ bên ngoài như sau: 282
  15. Pháp điển hoá việc áp dụng biện pháp Mã hoá đầu cuối (encryption at the user end by default) , tức là chỉ người gửi (lưu trữ thông tin) và người nhận (người tiếp cận thông tin) mới mở được thông tin. Điều này có thể hạn chế việc truy cập, xử lý và trao đổi thông tin bất hợp pháp. Biện pháp này đã được một số công ty có tính bảo mật cao (như bảo hiểm) áp dụng trong các thông báo, thư từ giao dịch giữa họ và khách hàng. Quy định này nên được áp dụng rộng rãi và bắt buộc, nhất là đối với các doanh nghiệp cung cấp dịch vụ trung gian. Ban hành quy định về việc xác định các thông tin thuộc nhóm “Thông tin được lãng quên”, tương tự như chữ C (©) - copyrighted, thể hiện một tác phẩm nào đó đã có bản quyền; hay chữ R (®) – registered, thể hiện một đối tượng tài sản trí tuệ nào đó đã được đăng ký bảo hộ. Từ đó, AI khi gặp những rào cản về những cảnh báo như thế này sẽ tránh tiếp cận và trích xuất thông tin. Yêu cầu các doanh nghiệp cung cấp dịch vụ trung gian áp dụng bộ lọc các dữ liệu nhạy cảm và hạn chế việc truy cập, hay xử lý nghiêm các tài khoản, chủ thể có hành vi cố tình xâm phạm các thông tin về DLCN này. DANH MỤC TÀI LIỆU THAM KHẢO Hiến pháp 2013 Bộ Luật dân sự 2015 Nghị định 12/2023 về Bảo vệ dữ liệu cá nhân Quy định chung về bảo mật thông tin (General Data Protection Rules) của Liên minh Châu Âu 2016 – GDPR 2016 Shiromani Gurdwara Prabandhak Committee, Amritsar v Shri Somnath Dass AIR 2000 SC 1421 (Supreme Court of India) Te Awa Tupua (Whanganui River Claims Settlement) Act 2017 (New Zealand) Te Urewera Act 2014 (New Zealand) Dimitra Kamarinou, Christopher Millard, and Jatinder Singh (2016), Machine Learning with Personal Data, Queen Mary University of London, p.45 Huỳnh Thiên Tứ (2022), Vật quyền dữ liệu số, Tạp chí Nghiên cứu lập pháp số 14 (462) 283
  16. Hồ Tú Bảo (2019), Trí tuệ nhân tạo và chặng đường 50 năm, Hà Nội Lê Thị Diễm Hàng, Ngô Hà Chi, Nguyễn Hà Giang, Trần Mai Huyền (2022), Nhận diện cơ bản về thông tin cá nhân và hành vi xâm phạm thông tin các nhân, Tạp chí Toà án nhân dân số ngày 01/03/2022 https://tapchitoaan.vn/nhan-dien-co-ban-ve-thong-tin-ca-nhan-va-hanh-vi-xam-pham-thong- tin-ca-nhan5893.html Nguyễn Phương Thảo (2022), Trách nhiệm bồi thường thiệt hại do xâm phạm quyền tác giả theo pháp luật Việt Nam, Luận án TS, ĐH Luật TpHCM, tr.17 Nguyễn Thị Kim Ngân (2019), Pháp luật của một số quốc gia Đông Nam Á về bảo vệ dữ liệu cá nhân và các gợi ý cho Việt Nam, Tạp chí Nghiên cứu lập pháp số 07 (383)-2019 Nguyễn Thùy Dung (2021), Bảo hộ tác phẩm từ AI – Thách thức và xu hướng mới tại Việt Nam trong kỷ nguyên số, NXB Kinh tế, TpHCM Michael J. Kelly, David Satola (2017), The right to be forgotten, University of Illinois, Law Review, vol.1, p.3 JJ Bryson, ME Diamantis, and TD Grant (2017), ‘Of, for, and by the People: The Legal Lacuna of Synthetic Persons’, Artificial Intelligence and Law 280 Simon Chesterman (2020), Artificial Intelligence And the Limits of Legal Personality, NUS, Singapore. W Kuan Hon Christopher Millard Ian Walden (2011), The Problem of 'Personal Data' in Cloud Computing - What Information is Regulated? The Cloud of Unknowing, part 1, Queen Mary University of London, p.45 Ngọc Mai (2020), Nghệ sĩ mạnh tay trước tin đồn thất thiệt, Báo Pháp luật Việt Nam, số ngày 06/06/2020 https://baophapluat.vn/nghe-si-manh-tay-truoc-tin-don-that-thiet-post349323.html Du Lam (2023), Trí tuệ nhân tạo đang bị lợi dụng cho tấn công mạng, tin sai sự thật, Báo VietnamNet số ngày 23/07/2023 https://vietnamnet.vn/tri-tue-nhan-tao-dang-bi-loi-dung-cho-tan-cong-mang-tin-sai-su-that- 2168112.html 284
  17. Bài 2: Lừa đảo tinh vi bằng cuộc gọi video Deepfake, báo Công an Tp.HCM số ngày 31/07/2023 https://congan.com.vn/vu-an/canh-giac/bai-2-lua-dao-cuoc-goi-video-deepfake_150557.html 285
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
4=>1