Hướng dẫn, không thuật ngữ pháp lý rối rắm

AI và LPD/nLPD tại Thụy Sĩ: điều này có ý nghĩa gì

Một góc nhìn rõ ràng về việc Luật bảo vệ dữ liệu mới thay đổi điều gì cho các dự án AI của bạn, và cách chúng tôi xây dựng trong khi tôn trọng nơi cư trú của dữ liệu. Lưu ý quan trọng: chúng tôi không đưa ra tư vấn pháp lý.

Lưu trữ tại châu ÂuMã nguồn mởCó thể truy vết

14'082+ trang web được tạo trong 30 ngày qua

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Lưu trữ tại châu Âu
Mã nguồn mở
Có thể truy vết

Kể từ ngày 1 tháng 9 năm 2023, Luật Bảo vệ Dữ liệu mới (nLPD) đã có hiệu lực tại Thụy Sĩ. Luật này không đề cập trực tiếp đến trí tuệ nhân tạo, và đó là điều có chủ đích: luật được soạn thảo theo hướng trung lập về công nghệ. Hệ quả trực tiếp: bất kỳ hệ thống AI nào xử lý dữ liệu cá nhân của thể nhân đều phải tuân theo nLPD, không có ngoại lệ. Hướng dẫn này giải thích điều đó có nghĩa gì trong thực tế đối với một doanh nghiệp Thụy Sĩ đang triển khai hoặc có kế hoạch triển khai các công cụ AI, dù là chatbot nội bộ, công cụ tuyển dụng tự động, công cụ đề xuất hay giải pháp phân tích khách hàng.

14'082+
trang web được tạo trong 30 ngày qua
16
ngôn ngữ
100%
lưu trữ EU
0
US cloud

Những điểm chính cần biết

Điều cốt yếu, giải thích đơn giản.

Nơi cư trú của dữ liệu

Nơi dữ liệu của bạn được lưu trữ và xử lý là quan trọng. Chúng tôi xây dựng với hạ tầng lưu trữ tại châu Âu và các mô hình mã nguồn mở.

Tối thiểu hóa

Chỉ xử lý những dữ liệu cần thiết: một nguyên tắc đơn giản giúp giảm rủi ro.

Minh bạch và truy vết

Biết AI làm gì với dữ liệu của bạn, với các quy trình xử lý được ghi nhật ký và có thể kiểm toán.

Bên xử lý thuê ngoài

Chọn các nhà cung cấp không phơi bày dữ liệu của bạn cho các đám mây bên thứ ba không kiểm soát được.

nLPD và AI: nguyên tắc trung lập công nghệ

Cơ quan Bảo vệ Dữ liệu và Thông tin Liên bang (PFPDT) đã xác nhận lập trường của mình vào tháng 11 năm 2023: luật bảo vệ dữ liệu hiện hành áp dụng trực tiếp cho AI. Thụy Sĩ không có luật riêng về trí tuệ nhân tạo, khác với Liên minh Châu Âu và AI Act của họ. Nhà lập pháp Thụy Sĩ đã chủ ý lựa chọn cách tiếp cận dựa trên trung lập công nghệ: các quy tắc hiện có (nLPD, Luật Nghĩa vụ, LRFP) áp dụng cho mọi công nghệ, bao gồm cả AI. Điều này có nghĩa là hệ thống CRM tích hợp AI, công cụ phân tích dự đoán hay trợ lý hội thoại nội bộ của bạn đều nằm trong phạm vi áp dụng của nLPD ngay khi chúng xử lý dữ liệu liên quan đến một người có thể nhận dạng được.

  • Chưa có luật AI riêng tại Thụy Sĩ: nLPD đóng vai trò khung pháp lý chính
  • Trung lập công nghệ: văn bản pháp luật không đề cập AI nhưng áp dụng đầy đủ cho AI
  • PFPDT đã chính thức xác nhận cách giải thích này vào tháng 11 năm 2023
  • Công ước khung của Hội đồng Châu Âu về AI (được Thụy Sĩ ký ngày 27 tháng 3 năm 2025) sẽ củng cố thêm cơ chế này vào giai đoạn 2026-2027
  • AI Act châu Âu có thể áp dụng gián tiếp cho các doanh nghiệp Thụy Sĩ xử lý dữ liệu của cư dân EU

Năm nghĩa vụ cơ bản đối với mọi ứng dụng AI

Bất kể tính chất của hệ thống AI được triển khai là gì, năm nguyên tắc của nLPD đều ràng buộc tổ chức chịu trách nhiệm xử lý dữ liệu.

  • Minh bạch: các cá nhân liên quan phải biết rằng một hệ thống AI đang xử lý dữ liệu của họ, vì mục đích gì và trên cơ sở nào. Việc cố tình che giấu thông tin là vi phạm.
  • Mục đích xác định: dữ liệu thu thập cho một mục đích cụ thể không thể tự do tái sử dụng để huấn luyện hoặc cải thiện mô hình AI mà không có cơ sở pháp lý riêng.
  • Tối thiểu hóa: một hệ thống AI chỉ được xử lý dữ liệu thực sự cần thiết cho mục tiêu đề ra. Tập hợp dữ liệu phòng hờ là vi phạm nguyên tắc này.
  • Chính xác: dữ liệu cung cấp cho hệ thống AI phải được cập nhật thường xuyên. Quyết định tự động dựa trên dữ liệu lỗi thời sẽ khiến doanh nghiệp phải chịu trách nhiệm pháp lý.
  • Bảo mật và truy xuất nguồn gốc: các hoạt động xử lý AI phải được ghi nhật ký và quyền truy cập phải được kiểm soát. Trong trường hợp vi phạm dữ liệu, nLPD yêu cầu thông báo cho cơ quan có thẩm quyền mà không được chậm trễ không hợp lý (so với 72 giờ theo RGPD/GDPR).

Quyết định tự động và quyền phản đối: người dùng của bạn có thể yêu cầu gì

nLPD trao cho các cá nhân liên quan quyền phản đối các quyết định được đưa ra chỉ dựa trên xử lý tự động, khi những quyết định đó có hiệu lực pháp lý hoặc ảnh hưởng đáng kể tương tự đối với họ. Cụ thể: nếu công cụ AI của bạn tự động từ chối một ứng viên, ấn định mức phí bảo hiểm hoặc từ chối khoản tín dụng mà không có sự can thiệp của con người, cá nhân liên quan có thể yêu cầu một người thực sự xem xét lại quyết định đó. PFPDT diễn đạt điều này theo nghĩa quyền tự quyết kỹ thuật số cao: các doanh nghiệp phải trao cho cá nhân liên quan phương tiện để hiểu và, khi cần thiết, để phản đối các quyết định tự động ảnh hưởng đến họ. Quyền phản đối này không phải là tùy chọn: nó phải được vận hành trước khi triển khai hệ thống, không phải sau đó.

  • Quyền phản đối các quyết định tự động có hiệu lực pháp lý hoặc đáng kể
  • Nghĩa vụ cung cấp cơ chế xem xét lại bởi con người theo yêu cầu
  • Tính minh bạch về cách thức hoạt động của thuật toán là điều kiện tiên quyết cho quyền này
  • Các lĩnh vực đặc biệt nhạy cảm: nhân sự (sàng lọc hồ sơ), bảo hiểm (định giá), ngân hàng (chấm điểm tín dụng), thương mại điện tử (cá nhân hóa có tính phân biệt)

Khi nào Đánh giá Tác động Bảo vệ Dữ liệu (AIPD) là bắt buộc?

nLPD đưa ra nghĩa vụ thực hiện Đánh giá Tác động Bảo vệ Dữ liệu (AIPD, hay DPIA trong tiếng Anh) trước bất kỳ quá trình xử lý nào có thể gây ra rủi ro cao đối với các quyền và tự do cơ bản của cá nhân liên quan. Đối với các hệ thống AI, ngưỡng rủi ro cao thường nhanh chóng đạt đến. AIPD là bắt buộc đặc biệt khi: việc xử lý liên quan đến dữ liệu nhạy cảm ở quy mô lớn (sức khỏe, quan điểm chính trị, dữ liệu sinh trắc học), hệ thống thực hiện lập hồ sơ mở rộng về cá nhân, các quyết định tự động có hiệu lực pháp lý hoặc kinh tế đáng kể, hoặc việc xử lý liên quan đến giám sát có hệ thống trong không gian công cộng. AIPD phải được thực hiện trước khi ra mắt, được ghi lại và cập nhật nếu hệ thống thay đổi. Nếu phân tích cho thấy rủi ro tồn dư cao chưa được giảm thiểu, có thể tham vấn PFPDT.

  • Xử lý dữ liệu nhạy cảm ở quy mô lớn: AIPD bắt buộc
  • Lập hồ sơ mở rộng hoặc chấm điểm tự động: AIPD bắt buộc
  • Quyết định tự động có hiệu lực pháp lý hoặc kinh tế đáng kể: AIPD bắt buộc
  • Giám sát có hệ thống các không gian công cộng: AIPD bắt buộc
  • AIPD phải được thực hiện trước khi triển khai, không phải sau sự cố
  • Có thể tham vấn PFPDT nếu còn tồn tại rủi ro tồn dư cao

Các thực hành AI bị nLPD cấm

Mặc dù nLPD không lập danh sách đầy đủ các ứng dụng AI bị cấm, một số thực hành rõ ràng không tương thích với các quyền cơ bản mà luật này bảo vệ, cũng như với lập trường của PFPDT.

  • Nhận dạng khuôn mặt thời gian thực ở quy mô lớn trong các không gian công cộng: không tương thích với nLPD và các quyền cơ bản
  • Hệ thống chấm điểm xã hội (social scoring) đánh giá có hệ thống các cá nhân dựa trên toàn bộ hành vi của họ: không tương thích với quyền tự quyết thông tin được bảo vệ bởi LPD
  • Thu thập và xử lý dữ liệu sinh trắc học mà không có cơ sở pháp lý vững chắc và không có mục đích hợp lệ được ghi lại
  • Huấn luyện mô hình AI bằng dữ liệu cá nhân bị chuyển dùng khỏi mục đích ban đầu mà không có cơ sở pháp lý riêng
  • Xử lý dữ liệu nhạy cảm (sức khỏe, nguồn gốc chủng tộc, quan điểm chính trị) mà không có sự đồng ý rõ ràng hoặc không có cơ sở pháp lý được thừa nhận khác

Huấn luyện mô hình AI bằng dữ liệu nội bộ: nLPD quy định gì

Một trong những trường hợp phổ biến nhất trong doanh nghiệp: sử dụng dữ liệu nội bộ (email, hồ sơ nhân sự, lịch sử khách hàng, hợp đồng) để huấn luyện hoặc tinh chỉnh mô hình AI. nLPD áp đặt một số biện pháp bảo vệ. Đầu tiên là mục đích: dữ liệu thu thập để quản lý hợp đồng khách hàng không thể được tái sử dụng để huấn luyện mô hình AI mà không có cơ sở pháp lý riêng. Tiếp theo là vị trí lưu trữ: nếu mô hình được lưu trữ bởi nhà cung cấp ngoài Thụy Sĩ hoặc ngoài EEE, việc truyền dữ liệu quốc tế xảy ra, phải tuân theo các đảm bảo phù hợp của nLPD. Cuối cùng là sự thiếu minh bạch của các mô hình: một khi đã được huấn luyện, rất khó đảm bảo rằng không có dữ liệu cá nhân nào có thể bị trích xuất hoặc suy luận ra. Kiến trúc có chủ quyền, với mô hình được triển khai trên cơ sở hạ tầng châu Âu hoặc trên máy chủ của chính bạn, là giải pháp mạnh mẽ nhất cho vấn đề này.

  • Xác minh cơ sở pháp lý trước bất kỳ việc tái sử dụng dữ liệu nội bộ nào cho AI
  • Ghi lại mục đích huấn luyện và đảm bảo tính tương thích với việc thu thập ban đầu
  • Xác định xem có xảy ra truyền dữ liệu quốc tế không (nhà cung cấp Mỹ, đám mây ngoài EEE) và thiết lập các đảm bảo phù hợp
  • Phân loại dữ liệu của bạn (công khai, nội bộ, bí mật, nhạy cảm) trước khi quyết định loại nào có thể cung cấp cho mô hình
  • Ưu tiên các mô hình mã nguồn mở được triển khai trên cơ sở hạ tầng châu Âu để tránh hiệu lực ngoài lãnh thổ
  • Ghi lại các quyết định kiến trúc trong sổ đăng ký xử lý

Chế tài nLPD: trách nhiệm cá nhân và mức phạt

Một điểm thường bị đánh giá thấp: khác với RGPD/GDPR xử phạt doanh nghiệp, nLPD trước tiên xử phạt các thể nhân. Chính các nhà lãnh đạo, giám đốc công nghệ thông tin và một số nhân viên có thể bị truy tố và kết án phạt tiền cá nhân. Mức phạt tối đa là 250'000 CHF cho mỗi vi phạm. Các vi phạm có nguy cơ cao nhất liên quan đến: không thực hiện nghĩa vụ thông báo, không thông báo vi phạm dữ liệu cho cơ quan có thẩm quyền, hoặc vi phạm các nghĩa vụ liên quan đến quyết định cá nhân tự động. Chế tài không tự động: phải có khiếu nại được nộp. Nhưng rủi ro về uy tín, trong trường hợp có thủ tục công khai, có thể còn lớn hơn bản thân khoản phạt.

  • Phạt tối đa: 250'000 CHF cho mỗi vi phạm (phạt cá nhân, không phải doanh nghiệp)
  • Người có nguy cơ: lãnh đạo, giám đốc IT, DPO, nhân viên liên quan
  • Vi phạm bị xử phạt thường xuyên nhất: thiếu thông tin, không thông báo vi phạm, vi phạm các quy tắc về quyết định tự động
  • Không có phạt tự động: cần có khiếu nại (khác với RGPD/GDPR)
  • Rủi ro uy tín có thể còn lớn hơn bản thân khoản phạt

LPD so với RGPD: những khác biệt chính cho các dự án AI

Nhiều doanh nghiệp Thụy Sĩ cũng xử lý dữ liệu của cư dân châu Âu và do đó phải tuân theo RGPD/GDPR song song với nLPD. Hai khung pháp lý này tương đồng ở những điểm thiết yếu nhưng khác nhau ở một số điểm quan trọng. Dưới đây là những khác biệt đáng kể nhất cho một dự án AI.

  • Chế tài: RGPD/GDPR nhắm vào doanh nghiệp (tới 4% doanh thu toàn cầu), nLPD nhắm vào thể nhân (tối đa 250'000 CHF)
  • DPO: bắt buộc trong một số trường hợp theo RGPD/GDPR, được khuyến nghị nhưng không bắt buộc theo nLPD
  • Thông báo vi phạm: 72 giờ theo RGPD/GDPR, không chậm trễ không hợp lý theo nLPD (linh hoạt hơn nhưng cũng mơ hồ hơn)
  • Sự đồng ý: nLPD không yêu cầu sự đồng ý rõ ràng như cơ sở pháp lý duy nhất, khác với RGPD/GDPR vốn coi đó là nền tảng trung tâm
  • Phạm vi ngoài lãnh thổ: RGPD/GDPR áp dụng ngay khi có cư dân EU liên quan, dù doanh nghiệp ở Thụy Sĩ
  • AI Act EU: không áp dụng trực tiếp tại Thụy Sĩ, nhưng doanh nghiệp Thụy Sĩ kinh doanh ở EU có thể bị ràng buộc

Triển vọng quy định 2025-2027: những gì đang đến

Khung pháp lý của Thụy Sĩ về AI đang chuyển động. Các doanh nghiệp triển khai hệ thống AI cần dự đoán một số thay đổi.

  • Công ước của Hội đồng Châu Âu về AI (CETS 225): Thụy Sĩ đã ký ngày 27 tháng 3 năm 2025. Việc phê chuẩn sẽ tạo ra các nghĩa vụ bổ sung, đặc biệt liên quan đến các hệ thống AI rủi ro cao và giám sát của cơ quan có thẩm quyền
  • AI Act EU có hiệu lực dần dần đến năm 2026: các doanh nghiệp Thụy Sĩ hoạt động trên thị trường EU có thể bị ảnh hưởng, đặc biệt đối với hệ thống AI rủi ro cao (nhân sự, tín dụng, y tế, cơ sở hạ tầng quan trọng)
  • Khả năng sửa đổi nLPD: Hội đồng Liên bang đang theo dõi sự phát triển của châu Âu và một sự điều chỉnh có thể xảy ra vào khoảng 2026-2027
  • Sắc lệnh liên bang về việc sử dụng AI trong hành chính: đang được tham vấn, có thể truyền cảm hứng cho các tiêu chuẩn ngành tư nhân
  • PFPDT ngày càng có nhiều tiếng nói: nhiều lập trường theo ngành hơn về các ứng dụng AI cụ thể (chatbot, lập hồ sơ, AI tạo sinh)

Danh sách kiểm tra: mười hành động cụ thể để có AI tuân thủ nLPD

Đây là điểm khởi đầu thực tế cho các doanh nghiệp đang triển khai hoặc có kế hoạch triển khai công cụ AI. Danh sách này không phải là tư vấn pháp lý: hãy tham khảo luật sư chuyên ngành cho tình huống cụ thể của bạn.

  • 1. Lập bản đồ: liệt kê tất cả các công cụ AI được sử dụng trong tổ chức của bạn và xác định công cụ nào xử lý dữ liệu cá nhân
  • 2. Phân loại dữ liệu: phân biệt dữ liệu công khai, nội bộ, bí mật và nhạy cảm trước khi quyết định loại nào có thể cung cấp cho mô hình
  • 3. Ghi lại mục đích: đối với mỗi hoạt động xử lý AI, ghi lại mục đích cụ thể trong sổ đăng ký hoạt động xử lý của bạn
  • 4. Đánh giá rủi ro: xác định xem việc xử lý có cần AIPD không (dữ liệu nhạy cảm, lập hồ sơ, quyết định tự động có tác động)
  • 5. Thông báo: đảm bảo rằng các thông báo thông tin (chính sách bảo mật, thông báo xử lý) đề cập rõ ràng đến các ứng dụng AI
  • 6. Cung cấp cơ chế phản đối: thiết lập cơ chế khiếu nại con người vận hành được cho mọi quyết định tự động đáng kể
  • 7. Kiểm soát nhà thầu phụ: xác minh các đảm bảo do nhà cung cấp AI của bạn cung cấp (vị trí, truyền dữ liệu, chứng nhận)
  • 8. Đào tạo đội ngũ: nâng cao nhận thức cho nhân viên về các nghĩa vụ nLPD trong bối cảnh AI, đặc biệt là các nhóm nhân sự, tiếp thị và IT
  • 9. Kiểm tra và kiểm toán: lên kế hoạch kiểm toán thường xuyên các hệ thống AI để kiểm tra sự tuân thủ và tránh thiên vị phân biệt đối xử
  • 10. Duy trì hồ sơ sống: cập nhật tài liệu mỗi khi hệ thống AI hoặc quy định thay đổi

nLPD so với RGPD: những khác biệt thiết yếu cho các dự án AI của bạn

Hầu hết các doanh nghiệp Thụy Sĩ phải đồng thời đáp ứng cả hai khung pháp lý. Dưới đây là những khác biệt quan trọng nhất cần biết để cơ cấu các dự án AI của bạn.

Tiêu chínLPD (Thụy Sĩ)RGPD (EU)
Ngày có hiệu lực1 tháng 9 năm 202325 tháng 5 năm 2018
Chế tàiTối đa 250'000 CHF, phạt cá nhânTới 4% doanh thu toàn cầu, phạt doanh nghiệp
DPO (người phụ trách bảo vệ dữ liệu)Được khuyến nghị, không bắt buộc với doanh nghiệp vừa và nhỏBắt buộc trong một số trường hợp
Thời hạn thông báo vi phạmKhông chậm trễ không hợp lý (linh hoạt hơn)Tối đa 72 giờ
Sự đồng ý như cơ sở pháp lýMột trong nhiều cơ sở (linh hoạt hơn)Trung tâm nhưng có khuôn khổ ràng buộc
AIPD bắt buộcCó, với các hoạt động xử lý rủi ro caoCó, với các hoạt động xử lý rủi ro cao
Phạm vi ngoài lãnh thổÁp dụng nếu doanh nghiệp xử lý dữ liệu của người ở Thụy SĩÁp dụng ngay khi có cư dân EU liên quan
Luật AI riêngKhông có (trung lập công nghệ)AI Act có hiệu lực dần dần đến năm 2026

Vai trò của chúng tôi

Chúng tôi xây dựng trong khi tôn trọng dữ liệu của bạn

Chúng tôi không làm về pháp lý, nhưng chúng tôi xây dựng AI theo cách tôn trọng nơi cư trú và sự bảo mật của dữ liệu của bạn.

Lưu trữ tại châu Âu

Hạ tầng tại châu Âu (Hetzner), không dùng đám mây của Mỹ.

Mã nguồn mở

Các mô hình mã nguồn mở trên hạ tầng của chúng tôi, dữ liệu của bạn không được dùng để huấn luyện mô hình.

Có thể truy vết

Các quy trình xử lý được ghi nhật ký và có thể kiểm toán.

Bối cảnh địa phương Thụy Sĩ

Thụy Sĩ có một cơ quan độc lập chuyên trách: Cơ quan Bảo vệ Dữ liệu và Thông tin Liên bang (PFPDT), đặt tại Bern, ban hành các khuyến nghị và có thể mở các cuộc điều tra sơ bộ.
Các bang Vaud, Genève, Fribourg và Neuchâtel có luật bảo vệ dữ liệu riêng của bang, áp dụng cho các thực thể công cộng cấp bang. Đối với các doanh nghiệp tư nhân, nLPD liên bang là văn bản có hiệu lực cao hơn.
Vùng Romandie của Thụy Sĩ có một số nhà cung cấp chuyên về tuân thủ nLPD và AI: các công ty luật chuyên ngành (đặc biệt tại Genève và Lausanne), tư vấn bảo vệ dữ liệu và nhà cung cấp công nghệ tích hợp tuân thủ ngay từ thiết kế.
Lĩnh vực tài chính Thụy Sĩ (ngân hàng, bảo hiểm, quản lý tài sản) đặc biệt chịu các nghĩa vụ nLPD trong bối cảnh AI, do tính chất nhạy cảm của dữ liệu được xử lý và tần suất quyết định tự động cao (chấm điểm, phát hiện gian lận, tư vấn tự động).
Công ước khung của Hội đồng Châu Âu về AI (được Thụy Sĩ ký ngày 27 tháng 3 năm 2025) là hiệp ước quốc tế ràng buộc pháp lý đầu tiên về AI. Việc phê chuẩn của Nghị viện Thụy Sĩ sẽ tạo ra các nghĩa vụ chính thức bổ sung.

Câu hỏi thường gặp

LPD có áp dụng cho các công cụ AI như ChatGPT hoặc Copilot được sử dụng trong doanh nghiệp không?

Có. Ngay khi các công cụ này xử lý dữ liệu cá nhân của thể nhân có thể nhận dạng được (tên, email, thông tin về nhân viên hoặc khách hàng), nLPD áp dụng. Doanh nghiệp sử dụng các công cụ này chịu trách nhiệm về việc xử lý. Doanh nghiệp phải đảm bảo mục đích được ghi lại, người liên quan được thông báo và dữ liệu không bị tái sử dụng cho các mục đích không được nhà cung cấp dự kiến. Cần phải kiểm tra các điều khoản hợp đồng của nhà cung cấp, đặc biệt về vị trí lưu trữ dữ liệu và việc tái sử dụng để huấn luyện mô hình.

Doanh nghiệp của tôi có phải chỉ định người phụ trách bảo vệ dữ liệu (DPO) để sử dụng AI không?

nLPD không bắt buộc DPO trong các điều kiện tương tự như RGPD/GDPR. Tuy nhiên, việc chỉ định hoặc ủy nhiệm một người phụ trách bảo vệ dữ liệu được khuyến nghị mạnh mẽ khi doanh nghiệp của bạn triển khai các hệ thống AI xử lý dữ liệu cá nhân ở quy mô lớn hoặc dữ liệu nhạy cảm. Người phụ trách này có thể là nội bộ hoặc bên ngoài (cố vấn pháp lý, chuyên gia tư vấn). Vai trò của họ: giám sát sự tuân thủ, thực hiện các AIPD, xử lý các yêu cầu từ cá nhân liên quan và duy trì liên lạc với PFPDT khi cần thiết.

AIPD là gì và trong trường hợp nào nó bắt buộc cho một dự án AI?

Đánh giá Tác động Bảo vệ Dữ liệu (AIPD) là đánh giá được ghi lại về các rủi ro mà một hoạt động xử lý dữ liệu gây ra đối với các quyền và tự do của cá nhân liên quan. Nó bắt buộc theo nLPD khi việc xử lý có thể gây ra rủi ro cao: xử lý dữ liệu nhạy cảm ở quy mô lớn, lập hồ sơ mở rộng, quyết định tự động có hiệu lực đáng kể, hoặc giám sát có hệ thống. Đối với hầu hết các dự án AI tham vọng trong doanh nghiệp (AI nhân sự, chấm điểm khách hàng, phân tích hành vi), AIPD là cần thiết. Nó phải được thực hiện trước khi triển khai.

Có thể huấn luyện mô hình AI bằng dữ liệu khách hàng hoặc nhân viên của doanh nghiệp không?

Có, nhưng phải có điều kiện. Trước tiên cần có cơ sở pháp lý hợp lệ cho hoạt động xử lý mới này (việc thu thập dữ liệu ban đầu là không đủ nếu mục đích khác nhau). Các cá nhân liên quan phải được thông báo về việc sử dụng này. Nếu dữ liệu nhạy cảm, cần có sự đồng ý rõ ràng hoặc cơ sở pháp lý mạnh khác. Vị trí lưu trữ mô hình rất quyết định: mô hình được lưu trữ trên máy chủ ngoài Thụy Sĩ hoặc ngoài EEE liên quan đến việc truyền dữ liệu quốc tế, phải tuân theo các đảm bảo bổ sung. Việc ghi lại các quyết định này trong sổ đăng ký xử lý của bạn là không thể thiếu.

Những thực hành AI nào bị nLPD cấm?

nLPD không lập danh sách đầy đủ nhưng PFPDT đã làm rõ rằng một số ứng dụng không tương thích với các quyền cơ bản mà nó bảo vệ: nhận dạng khuôn mặt phổ biến thời gian thực trong các không gian công cộng, hệ thống chấm điểm xã hội (social scoring) đánh giá có hệ thống hành vi của cá nhân, và bất kỳ việc thu thập hoặc xử lý dữ liệu sinh trắc học hoặc nhạy cảm nào mà không có cơ sở pháp lý vững chắc. AI Act của EU, vốn cấm rõ ràng một số thực hành này, có thể áp dụng gián tiếp cho các doanh nghiệp Thụy Sĩ xử lý dữ liệu của cư dân EU.

Chế tài vi phạm nLPD trong bối cảnh AI là gì?

nLPD xử phạt thể nhân, không phải trực tiếp doanh nghiệp. Tiền phạt có thể lên đến 250'000 CHF cho mỗi vi phạm. Các lãnh đạo, giám đốc công nghệ thông tin và nhân viên liên quan có nguy cơ bị xử phạt cá nhân. Các vi phạm dễ bị xử phạt nhất: không thông báo cho cá nhân liên quan, không thông báo vi phạm dữ liệu, hoặc vi phạm các quy tắc về quyết định cá nhân tự động. Phải có khiếu nại được nộp để kích hoạt thủ tục. Rủi ro uy tín thường đáng lo ngại hơn bản thân khoản phạt.

nLPD và RGPD/GDPR có đồng thời áp dụng cho doanh nghiệp Thụy Sĩ của tôi không?

Điều đó tùy thuộc vào hoạt động của bạn. Nếu bạn xử lý dữ liệu của cư dân EU (khách hàng, đối tác, khách hàng tiềm năng), RGPD/GDPR áp dụng cho các hoạt động xử lý đó, dù doanh nghiệp của bạn ở Thụy Sĩ hay không. nLPD áp dụng cho tất cả các hoạt động xử lý dữ liệu của người ở Thụy Sĩ. Trong thực tế, nhiều doanh nghiệp Thụy Sĩ phải tuân thủ cả hai khung pháp lý. Tin tốt: cả hai phần lớn đồng nhất và một chính sách tuân thủ được xây dựng tốt bao phủ cả hai, miễn là tính đến một số khác biệt (chế tài, DPO, thời hạn thông báo).

AI Act châu Âu có liên quan đến các doanh nghiệp có trụ sở tại Thụy Sĩ không?

AI Act của EU không áp dụng trực tiếp tại Thụy Sĩ, vốn không phải thành viên EU. Tuy nhiên, nếu doanh nghiệp của bạn đưa các hệ thống AI ra thị trường châu Âu, hoặc nếu hệ thống của bạn tạo ra ảnh hưởng đối với người ở EU, các quy tắc của AI Act có thể liên quan đến bạn. Ngoài ra, Thụy Sĩ đã ký Công ước của Hội đồng Châu Âu về AI (tháng 3 năm 2025), việc phê chuẩn sẽ đưa ra các nghĩa vụ bổ sung, đặc biệt đối với các hệ thống AI rủi ro cao.

Làm thế nào để chọn nhà cung cấp AI tuân thủ nLPD?

Ba tiêu chí chính: vị trí lưu trữ dữ liệu (ưu tiên máy chủ ở Thụy Sĩ hoặc EU/EEE để tránh truyền dữ liệu quốc tế không được kiểm soát), chính sách tái sử dụng dữ liệu (nhà cung cấp có sử dụng dữ liệu của bạn để huấn luyện mô hình không? Nếu có, trên cơ sở pháp lý nào?), và tính minh bạch hợp đồng (nhà cung cấp có thể cung cấp sổ đăng ký nhà thầu phụ, DPA, đảm bảo bảo mật được ghi lại không?). Các mô hình mã nguồn mở được triển khai trên cơ sở hạ tầng của bạn hoặc cơ sở hạ tầng châu Âu thường đáp ứng tốt nhất cả ba tiêu chí này.

nLPD có áp dụng cho các mô hình AI mã nguồn mở được triển khai nội bộ không?

Có. nLPD áp dụng cho người phụ trách xử lý, tức là doanh nghiệp của bạn, bất kể tính chất của mô hình (mã nguồn mở hay độc quyền, được lưu trữ nội bộ hay bởi bên thứ ba). Nếu mô hình mã nguồn mở của bạn xử lý dữ liệu cá nhân, tất cả các nghĩa vụ của nLPD áp dụng: thông báo, tối thiểu hóa, bảo mật, AIPD nếu rủi ro cao, v.v. Lợi thế của mã nguồn mở được triển khai nội bộ chính xác là cho bạn toàn quyền kiểm soát dữ liệu và loại bỏ rủi ro truyền dữ liệu không mong muốn cho bên thứ ba.

Một dự án AI tôn trọng dữ liệu của bạn?

Hãy trao đổi về trường hợp của bạn. Chúng tôi xây dựng trong sự tôn trọng nơi cư trú của dữ liệu.

Yeu Cau Demo Tuy Chinh

Hay cho chung toi biet ve nhom cua ban va chung toi se lien he trong vong 24 gio.

Chung toi se khong bao gio chia se thong tin cua ban. Mong doi phan hoi trong vong 24 gio.

AI và LPD/nLPD tại Thụy Sĩ | Điều này có ý nghĩa gì (hướng dẫn)