Dùng AI tạo sinh trong công việc: Tiện lợi nhưng phải kiểm soát dữ liệu đầu vào

AI tạo sinh mang lại hiệu quả lớn trong công việc, nhưng doanh nghiệp cần kiểm soát dữ liệu đầu vào, file tải lên, quyền truy cập và quy trình sử dụng để hạn chế rủi ro lộ dữ liệu.

AI tạo sinh trong doanh nghiệp cần kiểm soát dữ liệu đầu vào

AI tạo sinh đang đi vào công việc hằng ngày rất nhanh. Nhân sự có thể dùng AI để tóm tắt tài liệu, viết email, phân tích bảng dữ liệu, dịch hợp đồng, soạn nội dung marketing, gợi ý mã nguồn hoặc chuẩn bị báo cáo. Với nhiều tác vụ, AI giúp tiết kiệm thời gian rõ rệt và giảm đáng kể khối lượng thao tác thủ công.

Nhưng cũng chính vì quá tiện, AI tạo sinh dễ trở thành nơi người dùng đưa vào đủ loại dữ liệu mà không suy nghĩ kỹ: hợp đồng khách hàng, danh sách nhân sự, báo giá, dữ liệu giao dịch, biên bản họp, nội dung khiếu nại, hồ sơ pháp lý hoặc thông tin định danh cá nhân. Khi dữ liệu được nhập vào một công cụ bên ngoài, doanh nghiệp cần trả lời được các câu hỏi cơ bản: dữ liệu đi đâu, được xử lý thế nào, có được lưu lại không, ai có quyền truy cập và có được dùng để cải thiện mô hình hay không.

Vấn đề không nằm ở việc doanh nghiệp có nên dùng AI hay không. AI là công cụ rất hữu ích nếu được quản trị đúng cách. Vấn đề nằm ở chỗ doanh nghiệp phải kiểm soát dữ liệu đầu vào, phân loại trường hợp sử dụng và hướng dẫn nhân sự sử dụng AI trong ranh giới an toàn.

1. Prompt cũng có thể là dữ liệu nhạy cảm

Khi nói đến bảo vệ dữ liệu, nhiều người thường nghĩ đến file PDF, bảng Excel, ảnh chụp giấy tờ hoặc cơ sở dữ liệu khách hàng. Nhưng với AI tạo sinh, prompt cũng có thể chứa dữ liệu nhạy cảm.

Một prompt tưởng như bình thường có thể bao gồm tên khách hàng, tình trạng giao dịch, số hợp đồng, mã nhân viên, mức lương, thông tin sức khỏe, chiến lược kinh doanh hoặc mô tả sự cố nội bộ. Người dùng có thể không tải file lên, nhưng chỉ cần copy một đoạn văn bản vào ô chat, dữ liệu đó đã rời khỏi môi trường làm việc quen thuộc.

Rủi ro càng tăng khi nhân sự sử dụng tài khoản cá nhân, công cụ miễn phí hoặc dịch vụ chưa được doanh nghiệp phê duyệt. Trong trường hợp này, doanh nghiệp khó biết dữ liệu đã được đưa vào nền tảng nào, theo điều khoản nào, được lưu bao lâu và có thể được truy xuất lại bởi ai.

Vì vậy, khi xây dựng chính sách sử dụng AI, doanh nghiệp không nên chỉ quản lý "file tải lên". Cần xem cả prompt, đoạn văn bản copy vào, ảnh chụp màn hình, nội dung cuộc họp, bản ghi âm và đầu ra của AI là một phần trong vòng đời xử lý dữ liệu.

2. Những tình huống dễ làm lộ dữ liệu khi dùng AI

Rủi ro dữ liệu khi dùng AI thường không đến từ hành vi cố ý. Phần lớn bắt đầu từ các thao tác nhỏ, lặp lại trong công việc hằng ngày.

Một nhân sự kinh doanh có thể đưa email khách hàng vào AI để nhờ viết lại câu trả lời lịch sự hơn. Một nhân sự nhân sự có thể đưa bảng đánh giá ứng viên vào AI để nhờ tóm tắt điểm mạnh, điểm yếu. Một nhân sự pháp chế có thể đưa điều khoản hợp đồng thật vào AI để nhờ diễn giải rủi ro. Một nhân sự chăm sóc khách hàng có thể đưa nội dung khiếu nại có tên, số điện thoại và mã đơn hàng vào AI để nhờ soạn phản hồi.

Các thao tác này đều có mục đích hợp lý: làm nhanh hơn, viết rõ hơn, phân tích tốt hơn. Nhưng nếu không ẩn danh dữ liệu và không dùng công cụ được phê duyệt, doanh nghiệp có thể vô tình đưa dữ liệu cá nhân, dữ liệu khách hàng hoặc thông tin nội bộ ra ngoài.

Một số tình huống cần đặc biệt lưu ý gồm:

  • Tải hợp đồng, hồ sơ pháp lý, tài liệu đấu thầu hoặc báo giá lên công cụ AI công khai.
  • Copy dữ liệu khách hàng, số điện thoại, email, địa chỉ, mã đơn hàng hoặc nội dung khiếu nại vào prompt.
  • Đưa bảng lương, đánh giá hiệu suất, hồ sơ ứng viên hoặc thông tin nhân sự vào AI để phân tích.
  • Dùng AI để tóm tắt biên bản họp có chiến lược kinh doanh, kế hoạch sản phẩm hoặc thông tin tài chính.
  • Nhập mã nguồn, cấu hình hệ thống, khóa truy cập, log lỗi hoặc dữ liệu vận hành vào công cụ chưa được kiểm soát.
  • Dùng tài khoản cá nhân thay cho tài khoản doanh nghiệp, khiến dữ liệu nằm ngoài cơ chế quản trị nội bộ.

Điểm chung của các tình huống này là người dùng thường không có ý định làm lộ dữ liệu. Họ chỉ đang tìm một cách làm nhanh. Vì vậy, giải pháp không nên chỉ là cấm đoán, mà cần hướng dẫn rõ ràng công cụ nào được dùng, dữ liệu nào được phép đưa vào và dữ liệu nào tuyệt đối không được nhập.

3. Doanh nghiệp cần phân loại dữ liệu trước khi cho phép dùng AI

Muốn dùng AI an toàn, doanh nghiệp cần bắt đầu từ phân loại dữ liệu. Nếu nhân sự không biết dữ liệu nào là nhạy cảm, họ sẽ rất khó tự quyết định dữ liệu nào có thể đưa vào AI.

Doanh nghiệp có thể chia dữ liệu thành các nhóm thực tế, dễ hiểu:

  • Dữ liệu công khai: thông tin đã được công bố rộng rãi như nội dung website, brochure, thông tin tuyển dụng hoặc tài liệu truyền thông đã được duyệt.
  • Dữ liệu nội bộ thông thường: quy trình, biểu mẫu, tài liệu đào tạo hoặc nội dung vận hành không chứa thông tin khách hàng, nhân sự hay bí mật kinh doanh quan trọng.
  • Dữ liệu hạn chế: thông tin khách hàng, đối tác, hợp đồng, kế hoạch kinh doanh, báo cáo nội bộ, dữ liệu giao dịch hoặc tài liệu chưa công bố.
  • Dữ liệu nhạy cảm: giấy tờ định danh, dữ liệu tài chính cá nhân, dữ liệu sức khỏe, dữ liệu sinh trắc học, bảng lương, hồ sơ kỷ luật, tài khoản truy cập, khóa API hoặc bí mật thương mại.

Với từng nhóm, doanh nghiệp cần quy định rõ mức độ được phép sử dụng AI. Ví dụ, dữ liệu công khai có thể dùng để tạo nháp nội dung truyền thông. Dữ liệu nội bộ thông thường có thể dùng trong công cụ AI doanh nghiệp đã phê duyệt. Dữ liệu hạn chế cần được ẩn danh hoặc xin phê duyệt trước khi xử lý. Dữ liệu nhạy cảm không nên đưa vào công cụ AI công khai nếu chưa có đánh giá rủi ro và biện pháp bảo vệ phù hợp.

Cách phân loại càng gần với tình huống thực tế, nhân sự càng dễ làm đúng. Một chính sách dài nhưng khó hiểu sẽ ít hiệu quả hơn một bảng hướng dẫn ngắn, có ví dụ rõ ràng và được nhắc lại trong đào tạo định kỳ.

4. Không phải công cụ AI nào cũng có cùng mức rủi ro

Doanh nghiệp cũng cần phân biệt các loại công cụ AI đang được sử dụng. Một công cụ AI công khai miễn phí, một tài khoản cá nhân trả phí và một phiên bản doanh nghiệp có điều khoản bảo mật riêng không nên được xem là giống nhau.

Khi đánh giá một công cụ AI, doanh nghiệp nên xem xét các yếu tố sau:

  • Dữ liệu đầu vào có được lưu lại hay không.
  • Dữ liệu có được dùng để huấn luyện hoặc cải thiện mô hình hay không.
  • Có thể tắt lịch sử hội thoại, kiểm soát lưu trữ hoặc xóa dữ liệu hay không.
  • Công cụ có hỗ trợ tài khoản doanh nghiệp, phân quyền, ghi log và quản trị người dùng hay không.
  • Dữ liệu được xử lý ở khu vực nào và có phát sinh chuyển dữ liệu ra nước ngoài hay không.
  • Nhà cung cấp có chính sách bảo mật, điều khoản xử lý dữ liệu và cam kết an toàn thông tin rõ ràng hay không.
  • Doanh nghiệp có thể kiểm soát quyền truy cập, thu hồi tài khoản và rà soát lịch sử sử dụng hay không.

Nếu doanh nghiệp chưa đánh giá các yếu tố này, việc cho phép nhân sự tự do chọn công cụ AI theo kết quả tìm kiếm đầu tiên sẽ tạo ra rủi ro lớn. Khi đó, dữ liệu có thể bị phân tán qua nhiều nền tảng, nhiều tài khoản cá nhân và nhiều điều khoản xử lý khác nhau.

Một hướng thực tế hơn là doanh nghiệp lập danh sách công cụ được phép sử dụng, công cụ cần phê duyệt trước và công cụ không được sử dụng cho dữ liệu công việc. Danh sách này nên được cập nhật định kỳ vì sản phẩm AI thay đổi rất nhanh.

5. Nguyên tắc sử dụng AI an toàn cho nhân sự

Chính sách AI không nên chỉ nằm trong tài liệu pháp lý hoặc quy định nội bộ. Nhân sự cần các nguyên tắc đủ ngắn để nhớ và đủ cụ thể để áp dụng.

Một bộ nguyên tắc cơ bản có thể gồm:

  • Không nhập dữ liệu cá nhân, dữ liệu khách hàng, dữ liệu nhân sự hoặc thông tin mật vào công cụ AI công khai nếu chưa được phê duyệt.
  • Trước khi dùng AI, hãy loại bỏ tên riêng, số điện thoại, email, địa chỉ, số giấy tờ, mã khách hàng, mã đơn hàng và các dấu hiệu nhận diện trực tiếp.
  • Không tải hợp đồng, bảng lương, hồ sơ pháp lý, hồ sơ y tế, tài liệu tài chính hoặc file nội bộ quan trọng lên công cụ AI chưa được đánh giá.
  • Không đưa mật khẩu, khóa API, mã xác thực, cấu hình hệ thống hoặc log chứa dữ liệu nhạy cảm vào AI.
  • Chỉ sử dụng tài khoản và công cụ được doanh nghiệp khuyến nghị cho công việc.
  • Luôn kiểm tra lại đầu ra của AI trước khi sử dụng, đặc biệt với nội dung pháp lý, tài chính, kỹ thuật hoặc nội dung gửi cho khách hàng.
  • Báo cáo ngay cho bộ phận phụ trách nếu đã vô tình nhập dữ liệu nhạy cảm vào công cụ không phù hợp.

Điểm quan trọng là nhân sự cần hiểu lý do phía sau các nguyên tắc này. Nếu chỉ nói "không được dùng", người dùng có thể tìm cách làm ngoài quy trình. Nếu giải thích rõ rủi ro và cung cấp lựa chọn thay thế an toàn hơn, doanh nghiệp có cơ hội hình thành thói quen tốt.

6. Doanh nghiệp nên bắt đầu từ đâu?

Doanh nghiệp không cần chờ đến khi có một chiến lược AI hoàn chỉnh mới bắt đầu quản trị rủi ro. Có thể bắt đầu từ những việc nhỏ nhưng tạo hiệu quả rõ ràng.

Trước hết, hãy khảo sát nhanh nhân sự đang dùng công cụ AI nào, dùng cho mục đích gì và có tải file công việc lên hay không. Kết quả khảo sát sẽ giúp doanh nghiệp nhìn thấy mức độ sử dụng thực tế thay vì chỉ dựa trên giả định.

Tiếp theo, doanh nghiệp nên ban hành một hướng dẫn ngắn về sử dụng AI trong công việc. Hướng dẫn này cần nêu rõ dữ liệu nào được phép đưa vào, dữ liệu nào cần ẩn danh, dữ liệu nào không được đưa vào và công cụ nào được khuyến nghị.

Sau đó, doanh nghiệp cần rà soát các quy trình có khả năng dùng AI nhiều như marketing, bán hàng, chăm sóc khách hàng, nhân sự, pháp chế, tài chính, công nghệ thông tin và vận hành. Mỗi bộ phận có loại dữ liệu và tình huống sử dụng khác nhau, nên không thể dùng một câu trả lời chung cho mọi trường hợp.

Một số việc nên ưu tiên gồm:

  • Lập danh mục công cụ AI đang được sử dụng trong doanh nghiệp.
  • Phân loại dữ liệu theo mức độ nhạy cảm và mức độ được phép dùng với AI.
  • Ban hành quy định ngắn về prompt, file tải lên, tài khoản sử dụng và phê duyệt công cụ mới.
  • Đào tạo nhân sự bằng tình huống thực tế thay vì chỉ phổ biến quy định chung.
  • Thiết lập đầu mối tiếp nhận câu hỏi và xử lý trường hợp nhập nhầm dữ liệu vào công cụ AI.
  • Rà soát hợp đồng, điều khoản bảo mật và cơ chế xử lý dữ liệu của nhà cung cấp AI được chọn.
  • Kiểm tra định kỳ việc sử dụng AI và cập nhật danh sách công cụ được phép.

AI tạo sinh sẽ tiếp tục là công cụ quan trọng trong vận hành doanh nghiệp. Cấm tuyệt đối thường không thực tế, nhưng sử dụng không kiểm soát cũng không an toàn. Cách tiếp cận phù hợp là cho phép dùng AI trong ranh giới rõ ràng: đúng công cụ, đúng loại dữ liệu, đúng mục đích và có trách nhiệm kiểm tra lại kết quả.

Từ góc nhìn bảo vệ dữ liệu cá nhân, doanh nghiệp cần xem AI như một hoạt động xử lý dữ liệu có rủi ro riêng. Prompt, file đính kèm, lịch sử hội thoại và đầu ra đều có thể chứa dữ liệu cần bảo vệ. Quản trị AI vì vậy không chỉ là việc của bộ phận công nghệ, mà còn liên quan đến pháp chế, nhân sự, vận hành, bảo mật thông tin và lãnh đạo doanh nghiệp.

VNDX khuyến nghị doanh nghiệp bắt đầu bằng việc rà soát thực trạng sử dụng AI, phân loại dữ liệu, xây dựng quy định nội bộ và đào tạo nhân sự bằng các tình huống gần với công việc hằng ngày. Khi nhân sự biết cách dùng AI an toàn, doanh nghiệp vừa tận dụng được năng suất mới, vừa giảm nguy cơ lộ lọt thông tin và rủi ro tuân thủ trong môi trường số.