LPD có áp dụng cho các công cụ AI như ChatGPT hoặc Copilot được sử dụng trong doanh nghiệp không?
Có. Ngay khi các công cụ này xử lý dữ liệu cá nhân của thể nhân có thể nhận dạng được (tên, email, thông tin về nhân viên hoặc khách hàng), nLPD áp dụng. Doanh nghiệp sử dụng các công cụ này chịu trách nhiệm về việc xử lý. Doanh nghiệp phải đảm bảo mục đích được ghi lại, người liên quan được thông báo và dữ liệu không bị tái sử dụng cho các mục đích không được nhà cung cấp dự kiến. Cần phải kiểm tra các điều khoản hợp đồng của nhà cung cấp, đặc biệt về vị trí lưu trữ dữ liệu và việc tái sử dụng để huấn luyện mô hình.
Doanh nghiệp của tôi có phải chỉ định người phụ trách bảo vệ dữ liệu (DPO) để sử dụng AI không?
nLPD không bắt buộc DPO trong các điều kiện tương tự như RGPD/GDPR. Tuy nhiên, việc chỉ định hoặc ủy nhiệm một người phụ trách bảo vệ dữ liệu được khuyến nghị mạnh mẽ khi doanh nghiệp của bạn triển khai các hệ thống AI xử lý dữ liệu cá nhân ở quy mô lớn hoặc dữ liệu nhạy cảm. Người phụ trách này có thể là nội bộ hoặc bên ngoài (cố vấn pháp lý, chuyên gia tư vấn). Vai trò của họ: giám sát sự tuân thủ, thực hiện các AIPD, xử lý các yêu cầu từ cá nhân liên quan và duy trì liên lạc với PFPDT khi cần thiết.
AIPD là gì và trong trường hợp nào nó bắt buộc cho một dự án AI?
Đánh giá Tác động Bảo vệ Dữ liệu (AIPD) là đánh giá được ghi lại về các rủi ro mà một hoạt động xử lý dữ liệu gây ra đối với các quyền và tự do của cá nhân liên quan. Nó bắt buộc theo nLPD khi việc xử lý có thể gây ra rủi ro cao: xử lý dữ liệu nhạy cảm ở quy mô lớn, lập hồ sơ mở rộng, quyết định tự động có hiệu lực đáng kể, hoặc giám sát có hệ thống. Đối với hầu hết các dự án AI tham vọng trong doanh nghiệp (AI nhân sự, chấm điểm khách hàng, phân tích hành vi), AIPD là cần thiết. Nó phải được thực hiện trước khi triển khai.
Có thể huấn luyện mô hình AI bằng dữ liệu khách hàng hoặc nhân viên của doanh nghiệp không?
Có, nhưng phải có điều kiện. Trước tiên cần có cơ sở pháp lý hợp lệ cho hoạt động xử lý mới này (việc thu thập dữ liệu ban đầu là không đủ nếu mục đích khác nhau). Các cá nhân liên quan phải được thông báo về việc sử dụng này. Nếu dữ liệu nhạy cảm, cần có sự đồng ý rõ ràng hoặc cơ sở pháp lý mạnh khác. Vị trí lưu trữ mô hình rất quyết định: mô hình được lưu trữ trên máy chủ ngoài Thụy Sĩ hoặc ngoài EEE liên quan đến việc truyền dữ liệu quốc tế, phải tuân theo các đảm bảo bổ sung. Việc ghi lại các quyết định này trong sổ đăng ký xử lý của bạn là không thể thiếu.
Những thực hành AI nào bị nLPD cấm?
nLPD không lập danh sách đầy đủ nhưng PFPDT đã làm rõ rằng một số ứng dụng không tương thích với các quyền cơ bản mà nó bảo vệ: nhận dạng khuôn mặt phổ biến thời gian thực trong các không gian công cộng, hệ thống chấm điểm xã hội (social scoring) đánh giá có hệ thống hành vi của cá nhân, và bất kỳ việc thu thập hoặc xử lý dữ liệu sinh trắc học hoặc nhạy cảm nào mà không có cơ sở pháp lý vững chắc. AI Act của EU, vốn cấm rõ ràng một số thực hành này, có thể áp dụng gián tiếp cho các doanh nghiệp Thụy Sĩ xử lý dữ liệu của cư dân EU.
Chế tài vi phạm nLPD trong bối cảnh AI là gì?
nLPD xử phạt thể nhân, không phải trực tiếp doanh nghiệp. Tiền phạt có thể lên đến 250'000 CHF cho mỗi vi phạm. Các lãnh đạo, giám đốc công nghệ thông tin và nhân viên liên quan có nguy cơ bị xử phạt cá nhân. Các vi phạm dễ bị xử phạt nhất: không thông báo cho cá nhân liên quan, không thông báo vi phạm dữ liệu, hoặc vi phạm các quy tắc về quyết định cá nhân tự động. Phải có khiếu nại được nộp để kích hoạt thủ tục. Rủi ro uy tín thường đáng lo ngại hơn bản thân khoản phạt.
nLPD và RGPD/GDPR có đồng thời áp dụng cho doanh nghiệp Thụy Sĩ của tôi không?
Điều đó tùy thuộc vào hoạt động của bạn. Nếu bạn xử lý dữ liệu của cư dân EU (khách hàng, đối tác, khách hàng tiềm năng), RGPD/GDPR áp dụng cho các hoạt động xử lý đó, dù doanh nghiệp của bạn ở Thụy Sĩ hay không. nLPD áp dụng cho tất cả các hoạt động xử lý dữ liệu của người ở Thụy Sĩ. Trong thực tế, nhiều doanh nghiệp Thụy Sĩ phải tuân thủ cả hai khung pháp lý. Tin tốt: cả hai phần lớn đồng nhất và một chính sách tuân thủ được xây dựng tốt bao phủ cả hai, miễn là tính đến một số khác biệt (chế tài, DPO, thời hạn thông báo).
AI Act châu Âu có liên quan đến các doanh nghiệp có trụ sở tại Thụy Sĩ không?
AI Act của EU không áp dụng trực tiếp tại Thụy Sĩ, vốn không phải thành viên EU. Tuy nhiên, nếu doanh nghiệp của bạn đưa các hệ thống AI ra thị trường châu Âu, hoặc nếu hệ thống của bạn tạo ra ảnh hưởng đối với người ở EU, các quy tắc của AI Act có thể liên quan đến bạn. Ngoài ra, Thụy Sĩ đã ký Công ước của Hội đồng Châu Âu về AI (tháng 3 năm 2025), việc phê chuẩn sẽ đưa ra các nghĩa vụ bổ sung, đặc biệt đối với các hệ thống AI rủi ro cao.
Làm thế nào để chọn nhà cung cấp AI tuân thủ nLPD?
Ba tiêu chí chính: vị trí lưu trữ dữ liệu (ưu tiên máy chủ ở Thụy Sĩ hoặc EU/EEE để tránh truyền dữ liệu quốc tế không được kiểm soát), chính sách tái sử dụng dữ liệu (nhà cung cấp có sử dụng dữ liệu của bạn để huấn luyện mô hình không? Nếu có, trên cơ sở pháp lý nào?), và tính minh bạch hợp đồng (nhà cung cấp có thể cung cấp sổ đăng ký nhà thầu phụ, DPA, đảm bảo bảo mật được ghi lại không?). Các mô hình mã nguồn mở được triển khai trên cơ sở hạ tầng của bạn hoặc cơ sở hạ tầng châu Âu thường đáp ứng tốt nhất cả ba tiêu chí này.
nLPD có áp dụng cho các mô hình AI mã nguồn mở được triển khai nội bộ không?
Có. nLPD áp dụng cho người phụ trách xử lý, tức là doanh nghiệp của bạn, bất kể tính chất của mô hình (mã nguồn mở hay độc quyền, được lưu trữ nội bộ hay bởi bên thứ ba). Nếu mô hình mã nguồn mở của bạn xử lý dữ liệu cá nhân, tất cả các nghĩa vụ của nLPD áp dụng: thông báo, tối thiểu hóa, bảo mật, AIPD nếu rủi ro cao, v.v. Lợi thế của mã nguồn mở được triển khai nội bộ chính xác là cho bạn toàn quyền kiểm soát dữ liệu và loại bỏ rủi ro truyền dữ liệu không mong muốn cho bên thứ ba.