Châu Âu hay không, đảm bảo doanh nghiệp AI của bạn tuân thủ theo luật dữ liệu của EU

Khi chúng ta bước vào một thời đại mới được định nghĩa bởi trí tuệ nhân tạo và học máy, cơ sở vững chắc của nhiều công nghệ hiện đại đang được các nhà lập pháp xem xét kỹ lưỡng. Cơ sở đó? Dữ liệu.

Dữ liệu là yếu tố cần thiết cho việc hoàn thiện hầu hết các công nghệ tiên tiến, và nó sẽ chỉ trở nên quan trọng hơn trong tương lai khi chúng ta phát triển các mô hình AI và ML phức tạp hơn, được thúc đẩy bởi các bộ dữ liệu chất lượng cao.

Tuy nhiên, có các quy định nghiêm ngặt về cách dữ liệu có thể được sử dụng, đặc biệt là trong EU. Nghị định Bảo vệ Dữ liệu Chung của EU (GDPR) yêu cầu các doanh nghiệp cần có sự đồng ý để lưu trữ dữ liệu cá nhân để bảo vệ quyền riêng tư của công dân trực tuyến và ngoại tuyến.

Những quy định này ảnh hưởng đến các công ty AI trên toàn thế giới, vì chúng hạn chế cách dữ liệu được chuyển ra khỏi khối - đến máy chủ ở Mỹ, ví dụ. Phụ thuộc vào dịch vụ đám mây trong ngăn xếp công nghệ của bạn? Điều đó có nghĩa là luật lệ có thể ảnh hưởng đến bạn.

Tuân thủ các quy định này không phải là điều dễ dàng. Chính các tòa án của EU liên tục đặt dấu chấm hỏi về tính hợp pháp của khung chuyển dữ liệu EU-Mỹ được cho là tuân theo GDPR, và một giải pháp mới vẫn còn xa. Vì vậy, quan trọng nhất là tất cả các doanh nghiệp AI, ở bất cứ nơi nào trên thế giới, đều cần theo dõi tình hình một cách cẩn thận.

Quyền riêng tư đang rơi vào tình trạng tả tơi

Vấn đề chính đối với các công ty phần mềm quốc tế là chuyển dữ liệu từ EU sang Mỹ và ngược lại. Mỹ là đối tác thương mại lớn thứ hai của EU, và nhiều công ty công nghệ lớn nhất thế giới có trụ sở ở đó, nên việc sử dụng dịch vụ của họ với trung tâm dữ liệu đặt tại Mỹ thường không tránh khỏi việc di chuyển dữ liệu qua biên giới.

Trước đó, điều này được quản lý bởi khung chuyển dữ liệu EU-Mỹ mang tên 'Privacy Shield' được đồng thuận giữa hai cường quốc. Sau đó, vào năm 2020, điều này bị hủy bỏ bởi Tòa án Chất lượng Châu Âu, với lý do là luật an ninh quốc gia của Mỹ có nguy cơ vi phạm quyền riêng tư dữ liệu của công dân EU.

Kể từ khi ECJ đưa ra quyết định này, việc chuyển dữ liệu đã được phép bằng cách sử dụng 'Standard Contractual Clauses', nhưng điều này cũng không dễ dàng hơn nhiều. Amazon và Meta đã bị liên quan đến tranh chấp pháp lý về cách thuật toán của họ hoạt động trong ranh giới của luật EU. Thực tế, Meta thậm chí đã đe dọa rút khỏi toàn bộ châu Âu để tránh phải đối mặt với hành động pháp lý của EU. Trong khi đó, Cơ quan Bảo vệ Dữ liệu Áo đã quyết định rằng thậm chí việc sử dụng Google Analytics để theo dõi số lượng truy cập trang web của bạn là bất hợp pháp theo GDPR, đặt ra tiền lệ cho các quốc gia khác thuộc EU.

Điều này đặt các công ty vào tình thế khó khăn. Ngay cả khi bạn không muốn kinh doanh ở châu Âu, điều đó không có nghĩa là bạn sẽ có thể tránh khỏi sự can thiệp của luật pháp EU. Hãy nói rằng một doanh nghiệp sử dụng một bộ dữ liệu chứa thông tin từ một người phản đối từ Tây Ban Nha để phát triển một sản phẩm mới; toàn bộ quá trình sản xuất có thể rơi vào tình trạng mất kiểm soát nếu doanh nghiệp đó không tuân theo GDPR. Nhưng làm thế nào bạn có thể thực hiện điều này?

Sự giúp đỡ đang đến - cuối cùng

May mắn thay, doanh nghiệp có thể không bao giờ bị mắc kẹt trong rừng lẫn luật lệ này mãi mãi. Hi vọng đã đến dưới hình thức Khuôn khổ Quyền riêng tư Dữ liệu Châu Âu-Mỹ, kết quả của hơn một năm đàm phán và ngoại giao nền nhưng vẫn còn xa để được thông qua.

Theo tuyên bố chung được công bố vào thời điểm đó, nó sẽ “tạo nên cơ sở bền vững cho luồng dữ liệu châu Âu-Mỹ, quan trọng để bảo vệ quyền công dân và khuyến khích thương mại châu Âu-Mỹ trong tất cả các lĩnh vực kinh tế, bao gồm cả doanh nghiệp nhỏ và vừa.”

Cho đến khi mọi thứ được giải quyết, doanh nghiệp sẽ phải chịu sự không rõ ràng trong nhiều tháng tới, làm cho việc kế hoạch cho tương lai trở nên khó khăn hơn, vì vậy hãy tìm kiếm sự tư vấn và kiểm tra mọi quy trình có thể gây nguy hiểm. Bạn sử dụng nguồn dữ liệu nào? Bạn phụ thuộc vào các dịch vụ đám mây nào? Khách hàng của bạn đều đặt ở đâu? Trong khi khu vực mơ hồ này của luật quốc tế vẫn còn đó, việc trả lời chặt chẽ mọi câu hỏi này là rất quan trọng.

Đe dọa về pháp lý cho AI

Và còn một lý do hấp dẫn hơn nữa cho các doanh nghiệp AI phải nắm bắt luật lệ EU ngay bây giờ... còn nhiều hơn nữa đang đến. Theo đề xuất khung pháp lý được đặt ra năm ngoái, EU đã nói rằng quy định mới về AI (hoàn toàn riêng biệt với GDPR) “có thể có hiệu lực vào nửa sau năm 2022 trong giai đoạn chuyển giao.”

Quy định đề xuất sẽ áp dụng một phương pháp dựa trên rủi ro. Trong một số trường hợp rủi ro cao - như các dịch vụ hỗ trợ cơ sở hạ tầng quan trọng - hệ thống AI sẽ phải tuân thủ các nghĩa vụ nghiêm ngặt trước khi có thể sử dụng tại EU. Các nghĩa vụ này có thể bao gồm các biện pháp giám sát của con người để đảm bảo tính minh bạch, các giao thức đánh giá rủi ro và các quy trình tuân thủ chi tiết. Vi phạm chúng sẽ bị phạt mạng lớn.

Những quyết định mà các hệ thống được động viên bằng trí tuệ nhân tạo có thể đưa ra, đặc biệt là trong ngành y tế, có khả năng thay đổi cuộc sống nên là rất quan trọng rằng các doanh nghiệp trong danh mục nói trên phải giữ cảnh báo, đảm bảo rằng các quy trình là minh bạch và tập trung vào nơi dữ liệu được lưu trữ hoặc chuyển giao.

Trong khi đó, doanh nghiệp phải tích cực tiếp cận với dữ liệu để tránh vi phạm luật pháp của EU. Mọi doanh nghiệp đều muốn phát triển và đến một thời điểm nào đó điều đó có nghĩa là làm việc trong, hoặc với, EU và dân số rộng lớn của nó. Và không ai muốn phải trả tiền cho một khoản phạt có thể tránh được, đặc biệt khi bạn muốn tập trung vào sự đổi mới và mở rộng như một tổ chức. Điều này hoàn toàn quan trọng khiến doanh nghiệp chặt chẽ hơn các hoạt động của họ, kiểm tra kỹ lưỡng rằng bộ dữ liệu của họ tuân thủ luật pháp EU và sẵn sàng cho các quy định thêm.