Danh mục
|
Tổng đài trực tuyến 19006192
|
Gói dịch vụ & Giá
|
English
Dự thảo Tài chính-Ngân hàng , Khoa học-Công nghệ
Tìm nâng cao
Văn bản Tin tức Hỏi đáp Bản án
  • Tổng quan
  • Nội dung
  • Tải về
Lưu
Đây là tiện ích dành cho tài khoản Tiêu chuẩn hoặc Nâng cao Vui lòng Đăng nhập tài khoản để xem chi tiết.
Theo dõi VB
Đây là tiện ích dành cho tài khoản Tiêu chuẩn hoặc Nâng cao Vui lòng Đăng nhập tài khoản để xem chi tiết.
Ghi chú
Báo lỗi
In

Dự thảo Thông tư Quy định về an toàn, quản lý rủi ro và điều kiện triển khai trí tuệ nhân tạo trong ngành Ngân hàng

Ngày cập nhật: Thứ Ba, 24/02/2026 14:08 (GMT+7)
Lĩnh vực: Tài chính-Ngân hàng, Khoa học-Công nghệ Loại dự thảo: Thông tư
Cơ quan chủ trì dự thảo: Đang cập nhật Trạng thái: Chưa thông qua

Phạm vi điều chỉnh

Dự thảo Thông tư Quy định về an toàn, quản lý rủi ro và điều kiện triển khai đối với việc ứng dụng trí tuệ nhân tạo trong ngành Ngân hàng

Tải Dự thảo Thông tư

Tải văn bản tiếng Việt (.doc) Tải Dự thảo Thông tư DOC (Bản Word)

Đây là tiện ích dành cho tài khoản thành viên. Vui lòng Đăng nhập để xem chi tiết. Nếu chưa có tài khoản, Đăng ký tại đây!

Tình trạng hiệu lực: Đã biết
Tình trạng hiệu lực: Đã biết

NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM

_______

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
__________________

Số:      /2026/TT-NHNN

Hà Nội, ngày        tháng      năm 2026

 

DỰ THẢO

 

 

 

THÔNG TƯ
Quy định về an toàn, quản lý rủi ro và điều kiện triển khai đối với việc ứng dụng trí tuệ nhân tạo trong ngành Ngân hàng
_______________________

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12;

Căn cứ Luật Các tổ chức tín dụng số 32/2024/QH15 được sửa đổi, bổ sung bởi Luật số 96/2025/QH15;

Căn cứ Luật Trí tuệ nhân tạo số 134/2025/QH15;

Căn cứ Nghị định số ... quy định chi tiết một số điều và biện pháp để tổ chức, hướng dẫn thi hành Luật Trí tuệ nhân tạo;

Căn cứ Nghị định số 26/2025/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về an toàn, quản lý rủi ro và điều kiện triển khai đối với việc ứng dụng trí tuệ nhân tạo trong ngành Ngân hàng.

 

Chương I
QUY ĐỊNH CHUNG

 

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh

a) Thông tư này quy định về an toàn, quản lý rủi ro và điều kiện ứng dụng trí tuệ nhân tạo trong các hoạt động nghiệp vụ ngành ngân hàng cung cấp dịch vụ cho khách hàng (gọi tắt là hoạt động nghiệp vụ), bao gồm:

(i) Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

(ii) Hoạt động cung ứng dịch vụ trung gian thanh toán;

(iii) Hoạt động thông tin tín dụng;

b) Khuyến khích áp dụng các quy định tại Thông tư này đối với việc ứng dụng trí tuệ nhân tạo cho các hoạt động quản trị, điều hành nội bộ.

2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng, Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam, Bảo hiểm tiền gửi Việt Nam (sau đây gọi chung là đơn vị).

Điều 2. Giải thích từ ngữ và thuật ngữ

1. Vòng đời hệ thống trí tuệ nhân tạo là chuỗi các giai đoạn liên tiếp và lặp lại trong quá trình tồn tại của một hệ thống trí tuệ nhân tạo, bao gồm các giai đoạn: thiết kế, phát triển, kiểm thử, triển khai, vận hành và ngừng sử dụng hệ thống.

2. Trích xuất mô hình (model extraction) là hành vi khai thác giao diện, kết quả đầu ra hoặc cơ chế tương tác của hệ thống trí tuệ nhân tạo để suy luận, sao chép trái phép cấu trúc, tham số hoặc logic hoạt động của mô hình.

3. Đầu độc dữ liệu (data poisoning) là hành vi can thiệp trái phép vào dữ liệu huấn luyện, kiểm thử hoặc dữ liệu vận hành của hệ thống trí tuệ nhân tạo nhằm làm suy giảm chất lượng, độ tin cậy hoặc gây sai lệch kết quả của hệ thống.

4. Tấn công đối kháng (adversarial attacks) là hành vi cố ý tạo hoặc thao túng dữ liệu đầu vào nhằm làm cho hệ thống trí tuệ nhân tạo đưa ra kết quả sai lệch, không chính xác hoặc không phù hợp với mục đích thiết kế ban đầu.

5. Tấn công tiêm lệnh (prompt injection) là hành vi chèn, thao túng nội dung đầu vào đối với hệ thống trí tuệ nhân tạo sử dụng mô hình ngôn ngữ hoặc cơ chế sinh nội dung, nhằm vượt qua các ràng buộc kiểm soát, làm sai lệch hành vi hoặc kết quả của hệ thống.

6. Trôi mô hình (Model Drift) là hiện tượng hiệu năng của mô hình trí tuệ nhân tạo bị suy giảm theo thời gian do sự thay đổi trong mối quan hệ giữa các biến dữ liệu đầu vào và kết quả đầu ra dự báo so với giai đoạn huấn luyện ban đầu.

7. Trôi dữ liệu (Data Drift) là hiện tượng phân phối thống kê hoặc đặc tính của dữ liệu đầu vào, dữ liệu vận hành thực tế thay đổi so với dữ liệu đã được sử dụng để huấn luyện hoặc kiểm thử mô hình, dẫn đến nguy cơ sai lệch trong kết quả xử lý

8. Khả năng giải thích (Explainability) là khả năng cung cấp các thông tin, lý luận hoặc bằng chứng giúp con người hiểu được nguyên nhân hoặc các yếu tố ảnh hưởng dẫn đến kết quả hoặc quyết định cụ thể của hệ thống trí tuệ nhân tạo.

9. Cấp có thẩm quyền là Hội đồng quản trị, Hội đồng thành viên (sau đây gọi chung là Hội đồng quản trị) hoặc người đại diện theo pháp luật của tổ chức hoặc người đại diện theo ủy quyền của tổ chức (sau đây gọi chung là người đại diện hợp pháp) hoặc người được Hội đồng quản trị, người đại diện hợp pháp phân cấp, ủy quyền bằng văn bản để thực hiện một hoặc một số chức năng, nhiệm vụ của tổ chức.

Điều 3. Nguyên tắc ứng dụng trí tuệ nhân tạo trong ngành ngân hàng

1.  Việc ứng dụng trí tuệ nhân tạo trong ngành ngân hàng phải tuân thủ quy định của pháp luật về trí tuệ nhân tạo, pháp luật về an toàn thông tin mạng, an ninh mạng và các quy định về quản lý rủi ro của Ngân hàng Nhà nước.

2. Việc ứng dụng trí tuệ nhân tạo thực hiện theo cách tiếp cận dựa trên rủi ro, căn cứ theo kết quả đánh giá mức độ ảnh hưởng đối với các hoạt động nghiệp vụ, quyền lợi của khách hàng và hoạt động an toàn của các hệ thống thông tin.

3. Trí tuệ nhân tạo không thay thế thẩm quyền và trách nhiệm của con người. Đơn vị chịu trách nhiệm cuối cùng trước pháp luật và khách hàng đối với mọi quyết định, kết quả do hệ thống trí tuệ nhân tạo đưa ra hoặc hỗ trợ đưa ra. Đơn vị không được viện dẫn các lý do liên quan đến đặc tính kỹ thuật, tính tự chủ của hệ thống trí tuệ nhân tạo hoặc kết quả do bên thứ ba cung cấp để từ chối, miễn trừ hoặc giảm nhẹ trách nhiệm pháp lý, trách nhiệm quản lý và trách nhiệm bồi thường thiệt hại.

4. Hệ thống trí tuệ nhân tạo phải được thiết kế, triển khai và vận hành an toàn, tin cậy, bảo đảm an toàn hệ thống thông tin, an toàn dữ liệu và tính liên tục trong hoạt động ngân hàng.

5. Hệ thống trí tuệ nhân tạo phải được thiết kế bảo đảm khả năng giám sát và can thiệp của con người đối với hệ thống trong quá trình sử dụng, phù hợp với mức độ rủi ro của hệ thống trí tuệ nhân tạo.

 

CHƯƠNG II
YÊU CẦU BẢO ĐẢM AN TOÀN
TRONG ỨNG DỤNG TRÍ TUỆ NHÂN TẠO

 

Điều 4. Bảo đảm an toàn hệ thống trí tuệ nhân tạo

1. Hệ thống trí tuệ nhân tạo phải tuân thủ các quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.

2. Hệ thống trí tuệ nhân tạo phải được kiểm tra, đánh giá an toàn thông tin trước khi đưa vào vận hành chính thức và định kỳ, phù hợp với hình thức triển khai tự phát triển hoặc thuê ngoài, mức độ an toàn của hệ thống thông tin, mức độ rủi ro và đặc điểm kỹ thuật của hệ thống, bao gồm:

a) Các kịch bản tấn công đặc thù đối với hệ thống trí tuệ nhân tạo như: tấn công đối kháng (adversarial attacks); tấn công vi phạm quyền riêng tư dữ liệu (privacy leakage); tấn công tiêm lệnh (prompt injection); trích xuất mô hình (model extraction) và đầu độc dữ liệu (data poisoning);

b) Đối với các hệ thống trí tuệ nhân tạo rủi ro cao, áp dụng các biện pháp phòng, chống các rủi ro, lỗ hổng, tấn công mạng được công bố bởi tổ chức OWASP (như OWASP Machine Learning Security Top 10 đối với hệ thống học máy, OWASP Top 10 for LLM Applications đối với hệ thống sử dụng mô hình ngôn ngữ lớn);

c) Kết quả kiểm tra, đánh giá an toàn thông tin và các biện pháp khắc phục phải được lập thành hồ sơ, lưu trữ phục vụ công tác quản lý, kiểm tra, thanh tra theo quy định.

3. Đơn vị phải thiết lập cơ chế giám sát liên tục hiệu năng và hành vi của hệ thống trí tuệ nhân tạo bao gồm tối thiểu việc phát hiện sai lệch đầu ra, suy giảm chất lượng, thiên lệch, sử dụng sai mục đích, nhằm phát hiện kịp thời và xử lý các bất thường, sai lệch trong quá trình vận hành.

Điều 5. Quản lý an toàn dữ liệu

1. Đơn vị phải tuân thủ đầy đủ quy định của pháp luật về dữ liệu và bảo vệ dự liệu cá nhân trong quá trình xử lý dữ liệu phục vụ hệ thống trí tuệ nhân tạo.

2. Dữ liệu sử dụng để huấn luyện, kiểm thử và vận hành hệ thống trí tuệ nhân tạo phải đảm bảo các yêu cầu:

a) Đầy đủ, chính xác và đại diện cho đối tượng, phạm vi mà hệ thống phục vụ;

b) Được cập nhật phù hợp với đặc điểm nghiệp vụ và chu kỳ thay đổi của dữ liệu;

c) Có nguồn gốc rõ ràng, hợp pháp và được lưu thông tin về nguồn gốc; trường hợp sử dụng dữ liệu từ bên thứ ba, đơn vị phải yêu cầu bên thứ ba cam kết và cung cấp thông tin về nguồn gốc, phạm vi và quyền sử dụng dữ liệu.

d) Trường hợp sử dụng dữ liệu được tạo ra nhân tạo mô phỏng các đặc điểm của dữ liệu thực tế (synthetic data), đơn vị phải đánh giá rủi ro suy giảm chất lượng mô hình và bảo đảm duy trì tỷ lệ dữ liệu thực tế hợp lý để tránh rủi ro hệ thống bị sai lệch theo thời gian.

3. Đơn vị phải thiết lập quy trình kiểm soát chất lượng dữ liệu phục vụ hệ thống trí tuệ nhân tạo, bao gồm tối thiểu các nội dung sau:

a) Ban hành quy định, chính sách về quản lý chất lượng dữ liệu;

b) Phát hiện và xử lý dữ liệu lỗi, dữ liệu bị sai lệch, bị thao túng hoặc bị đầu độc;

c) Giám sát hiện tượng trôi dữ liệu và thực hiện các biện pháp cập nhật dữ liệu, hiệu chỉnh hoặc huấn luyện lại mô hình nếu cần thiết.

Điều 6. Quản lý thay đổi hệ thống trí tuệ nhân tạo

1. Đơn vị phải áp dụng quy trình quản lý phiên bản đối với mô hình trí tuệ nhân tạo, bao gồm:

a) Trường hợp mô hình do đơn vị trực tiếp quản lý, đối với các hệ thống trí tuệ nhân tạo rủi ro cao hoặc hệ thống trí tuệ nhân tạo tự động đưa ra quyết định, đơn vị phải lưu trữ các phiên bản mô hình tối thiểu 05 năm kể từ ngày hệ thống ngừng cung cấp hoặc ngừng sử dụng.

b) Trường hợp sử dụng mô hình trí tuệ nhân tạo do bên thứ ba cung cấp thông qua dịch vụ nền tảng hoặc giao diện lập trình ứng dụng (API), đơn vị phải lưu trữ thông tin về phiên bản mô hình, thời điểm thay đổi, phạm vi ảnh hưởng và thực hiện đánh giá tác động, phương án dự phòng khi nhà cung cấp cập nhật, thay đổi hoặc ngừng cung cấp mô hình;

c) Thiết lập và duy trì nhật ký thay đổi để ghi nhận đầy đủ thông tin về từng phiên bản.

2. Mọi thay đổi đáng kể về mục đích sử dụng, môi trường vận hành hoặc cấu trúc mô hình đều phải được quản lý thông qua quy trình quản lý sự thay đổi, bao gồm việc đánh giá lại tác động và cập nhật tài liệu hướng dẫn trước khi áp dụng.

Điều 7. Quản lý và xử lý sự cố đối với hệ thống trí tuệ nhân tạo

1. Đơn vị xây dựng và ban hành quy trình xử lý sự cố hệ thống trí tuệ nhân tạo gắn với quy trình xử lý sự cố công nghệ thông tin, bao gồm các loại sự cố đặc thù của hệ thống trí tuệ nhân tạo và phương án xử lý nghiệp vụ khi hệ thống trí tuệ nhân tạo gặp sự cố.

2. Khi xảy ra sự cố nghiêm trọng đối với hệ thống trí tuệ nhân tạo, đơn vị phải:

a) Triển khai ngay biện pháp khắc phục, hạn chế thiệt hại;

b) Báo cáo cho cơ quan quản lý nhà nước có thẩm quyền trong thời hạn theo quy định của pháp luật;

c) Thông báo cho khách hàng bị ảnh hưởng theo quy định pháp luật về bảo vệ dữ liệu cá nhân (nếu có);

d) Lập báo cáo chi tiết về nguyên nhân, thiệt hại và biện pháp khắc phục.

3. Đơn vị phải lưu trữ đầy đủ hồ sơ, tài liệu liên quan đến sự cố để phục vụ kiểm tra, điều tra khi cần thiết.

4. Sau khi xử lý sự cố nghiêm trọng, đơn vị phải tổ chức đánh giá lại mức độ rủi ro của hệ thống trí tuệ nhân tạo; trường hợp cần thiết, thực hiện phân loại lại rủi ro, điều chỉnh biện pháp kiểm soát hoặc tạm dừng đưa hệ thống vào sử dụng để ngăn ngừa tái diễn sự cố.

Điều 8. Ghi nhật ký và lưu trữ dữ liệu vận hành hệ thống trí tuệ nhân tạo

1. Hệ thống trí tuệ nhân tạo phải được cấu hình để ghi nhật ký các sự kiện trong quá trình vận hành, tối thiểu bao gồm:

a) Thời gian, hệ thống, người dùng thực hiện các giao dịch hoặc tác vụ.

b) Dữ liệu đầu vào và kết quả đầu ra của hệ thống, kèm theo thông tin về phiên bản mô hình, cấu hình hoặc câu lệnh (nếu có).

c) Các trường hợp kết quả nằm ngoài phạm vi hoạt động dự định hoặc có độ tin cậy thấp.

d) Các sự kiện liên quan đến lỗi của hệ thống hoặc cảnh báo sự cố an toàn thông tin.

2. Thời gian lưu trữ nhật ký hoạt động của hệ thống trí tuệ nhân tạo phù hợp với mức độ rủi ro, mục đích sử dụng của hệ thống, tối thiểu đáp ứng theo quy định về lưu trữ nhật ký của hệ thống thông tin theo cấp độ an toàn hệ thống thông tin.

Điều 9. Cung cấp thông tin và hỗ trợ người sử dụng nội bộ

1. Đơn vị cung cấp đầy đủ, rõ ràng thông tin cho người sử dụng nội bộ hệ thống trí tuệ nhân tạo, bao gồm:

a) Mục đích sử dụng, phạm vi áp dụng, vai trò của hệ thống trong việc hỗ trợ hoặc đưa ra quyết định, khả năng và các giới hạn của hệ thống trí tuệ nhân tạo;

b) Hướng dẫn sử dụng hệ thống và các khuyến nghị về việc diễn giải, sử dụng kết quả đầu ra của hệ thống; bao gồm cảnh báo về nguy cơ sai lệch hoặc sử dụng ngoài mục đích thiết kế.

c) Quy trình và cách thức yêu cầu sự can thiệp của con người khi phát hiện bất thường hoặc rủi ro hoặc sự cố trong quá trình vận hành.

2. Đơn vị phải thiết lập kênh tiếp nhận và xử lý phản hồi từ người sử dụng nội bộ và các đơn vị liên quan về các sự cố, hành vi bất thường, tác động bất lợi hoặc kết quả sai lệch phát sinh trong quá trình vận hành hệ thống trí tuệ nhân tạo, làm cơ sở cho việc điều chỉnh mô hình, quy trình hoặc biện pháp kiểm soát rủi ro.

 

CHƯƠNG III
QUẢN LÝ RỦI RO TRONG ỨNG DỤNG TRÍ TUỆ NHÂN TẠO

 

Điều 10. Phân loại hệ thống trí tuệ nhân tạo theo mức độ rủi ro

1. Trước khi triển khai hệ thống trí tuệ nhân tạo, đơn vị phải thực hiện phân loại hệ thống trí tuệ nhân tạo theo mức độ rủi ro cao, trung bình, thấp theo quy định của pháp luật về trí tuệ nhân tạo.

2. Việc phân loại hệ thống trí tuệ nhân tạo phải được thực hiện bởi bộ phận có thẩm quyền và được phê duyệt bởi người đại diện hợp pháp của đơn vị. Kết quả phân loại là căn cứ để xác định mức độ quản lý, giám sát và biện pháp kiểm soát rủi ro tương ứng.

3. Đơn vị phải lập danh mục và cập nhật kết quả phân loại rủi ro định kỳ hằng năm.

Điều 11. Kiểm soát của con người đối với hệ thống trí tuệ nhân tạo

1. Đơn vị phải thiết lập cơ chế giám sát và can thiệp của con người phù hợp với mức độ rủi ro của hệ thống trí tuệ nhân tạo, bảo đảm:

(i) Đối với hệ thống trí tuệ nhân tạo rủi ro cao (ngoại trừ quyết định trong các nghiệp vụ ngăn chặn và phát hiện gian lận, rửa tiền, tài trợ khủng bố; phát hiện và ngăn chặn tấn công mạng): việc thực hiện quyết định do hệ thống trí tuệ nhân tạo đề xuất phải được xem xét và phê duyệt bởi cấp có thẩm quyền, không cho phép tự động hóa đối với quyết định này;

(ii) Đối với hệ thống trí tuệ nhân tạo rủi ro trung bình: việc tự động hóa thực hiện quyết định do hệ thống trí tuệ nhân tạo đề xuất chỉ được thực hiện khi đơn vị đã xác định rõ ngưỡng rủi ro, tiêu chí cảnh báo và quy trình can thiệp của con người; kết quả vận hành của hệ thống phải được rà soát định kỳ bởi cấp có thẩm quyền;

(iii) Đối với hệ thống trí tuệ nhân tạo rủi ro thấp: có thể cho phép tự động hóa thực hiện quyết định do hệ thống trí tuệ nhân tạo đề xuất nhưng phải có cơ chế giám sát mẫu, phát hiện bất thường và khả năng can thiệp kịp thời.

(iv) Đối với các hệ thống trí tuệ nhân tạo được sử dụng cho các nghiệp vụ như phát hiện và phòng ngừa gian lận, rửa tiền, tài trợ khủng bố; phát hiện và ngăn chặn tấn công mạng hoặc tương tự, các đơn vị được áp dụng nguyên tắc hậu kiểm.

2. Quyền can thiệp và trách nhiệm của con người

a) Bộ phận thực hiện giám sát hệ thống trí tuệ nhân tạo phải có đầy đủ quyền hạn và năng lực để:

(i) Ghi đè, điều chỉnh hoặc tạm dừng quyết định của hệ thống trí tuệ nhân tạo khi phát hiện bất thường;

(ii) Can thiệp trong các tình huống cần thiết nhằm bảo đảm an toàn hoạt động nghiệp vụ, quyền lợi của khách hàng và hoạt động của các hệ thống thông tin.

b) Mọi hoạt động can thiệp, điều chỉnh hoặc ghi đè quyết định của hệ thống trí tuệ nhân tạo phải được ghi nhận đầy đủ, bao gồm tối thiểu: thời gian thực hiện, người thực hiện, lý do can thiệp và trách nhiệm liên quan.

3. Nhân sự tham gia giám sát, kiểm soát và can thiệp đối với hệ thống trí tuệ nhân tạo phải được đào tạo và có năng lực phù hợp để giám sát, phát hiện sai lệch, thực hiện hoặc kích hoạt các biện pháp can thiệp, xử lý kịp thời khi hệ thống trí tuệ nhân tạo hoạt động sai lệch. Việc phân tích chuyên sâu và giải thích kết quả của hệ thống trí tuệ nhân tạo được thực hiện bởi bộ phận chức năng hoặc chuyên gia có năng lực phù hợp theo quy định nội bộ của đơn vị. .

Điều 12. Đánh giá tác động đối với hệ thống trí tuệ nhân tạo rủi ro cao

1. Đối với hệ thống trí tuệ nhân tạo có mức độ rủi ro cao, đơn vị phải thực hiện đánh giá tác động của hệ thống trí tuệ nhân tạo trước khi triển khai, bao gồm tối thiểu các nội dung sau:

a) Mô tả mục đích, phạm vi và nguyên lý hoạt động của hệ thống;

b) Phân tích rủi ro tiềm ẩn đối với hoạt động nghiệp vụ, quyền lợi của khách hàng và các bên liên quan;

c) Đánh giá tác động đối với quyền riêng tư và việc bảo vệ dữ liệu cá nhân theo quy định của pháp luật;

d) Xác định các biện pháp kiểm soát và giảm thiểu rủi ro;

đ) Xây dựng kế hoạch giám sát và phương án ứng phó sự cố trong quá trình vận hành.

2. Kết quả đánh giá tác động phải được lập thành hồ sơ, phê duyệt bởi cấp có thẩm quyền; được lưu trữ, rà soát và cập nhật khi có sự thay đổi về chức năng, phạm vi xử lý dữ liệu hoặc điều kiện vận hành của hệ thống trí tuệ nhân tạo.

Điều 13. Trách nhiệm quản lý rủi ro trong ứng dụng trí tuệ nhân tạo

1. Hội đồng quản trị chịu trách nhiệm cao nhất về việc ứng dụng trí tuệ nhân tạo tại đơn vị, bao gồm:

a) Phê duyệt chiến lược, định hướng ứng dụng trí tuệ nhân tạo phù hợp với chiến lược kinh doanh và chính sách quản lý rủi ro của đơn vị;

b) Phê duyệt khung quản lý rủi ro trí tuệ nhân tạo và các chính sách quan trọng liên quan;

c) Xác định rõ vai trò, trách nhiệm của các cá nhân, bộ phận chức năng trong quản lý trí tuệ nhân tạo và thiết lập cơ chế phối hợp giữa các bộ phận liên quan;

d) Phân bổ nguồn lực đầy đủ cho việc triển khai, vận hành và quản lý rủi ro trí tuệ nhân tạo;

đ) Giám sát việc thực hiện chiến lược và quản lý rủi ro trí tuệ nhân tạo của đơn vị.

2. Đối với hệ thống trí tuệ nhân tạo rủi ro cao, Hội đồng quản trị phải phê duyệt chủ trương triển khai và việc áp dụng khung quản lý rủi ro đối với ứng dụng trí tuệ nhân tạo, bảo đảm phù hợp với chiến lược, định hướng ứng dụng trí tuệ nhân tạo và chính sách quản lý rủi ro của đơn vị theo quy định tại khoản 1 Điều này.

Việc phê duyệt chi tiết về kỹ thuật, triển khai và vận hành hệ thống trí tuệ nhân tạo được thực hiện theo phân cấp, ủy quyền nội bộ của đơn vị. Định kỳ hoặc khi có thay đổi trọng yếu, Hội đồng quản trị nhận báo cáo về tình hình vận hành, rủi ro của các hệ thống này.

3. Trách nhiệm quản lý rủi ro trong ứng dụng trí tuệ nhân tạo của chi nhánh ngân hàng nước ngoài thực hiện theo quy định của ngân hàng mẹ.

Điều 14. Khung quản lý rủi ro đối với ứng dụng trí tuệ nhân tạo

1.  Đơn vị phải xây dựng, ban hành và tổ chức thực hiện khung quản lý rủi ro đối với ứng dụng trí tuệ nhân tạo, được tích hợp vào chính sách quản lý rủi ro tổng thể của đơn vị, bảo đảm thống nhất, không tách rời khỏi hệ thống kiểm soát nội bộ chung của đơn vị.

2. Đơn vị phải áp dụng mô hình ba tuyến bảo vệ trong quản lý rủi ro trí tuệ nhân tạo theo quy định về hệ thống kiểm soát nội bộ do Thống đốc Ngân hàng Nhà nước ban hành.

3. Các loại rủi ro đối với ứng dụng trí tuệ nhân tạo phải được quản lý bao gồm tối thiểu:

a) Rủi ro mô hình trí tuệ nhân tạo;

b) Rủi ro chất lượng dữ liệu;

c) Rủi ro an ninh mạng;

d) Rủi ro tuân thủ pháp luật;

đ) Rủi ro đạo đức và nguy cơ phân biệt đối xử;

e) Rủi ro từ bên thứ ba;

g) Rủi ro chuỗi cung ứng;

h) Rủi ro danh tiếng.

Điều 15. Quản lý vòng đời hệ thống trí tuệ nhân tạo

1. Đơn vị phải thiết lập, thực hiện và duy trì quản lý rủi ro đối với hệ thống trí tuệ nhân tạo dưới dạng một quy trình liên tục và lặp lại trong suốt vòng đời của hệ thống trong phạm vi trách nhiệm và khả năng kiểm soát của đơn vị, bao gồm từ giai đoạn thiết kế, phát triển, kiểm thử, triển khai, vận hành đến khi ngừng sử dụng.

2. Trong giai đoạn thiết kế và phát triển hệ thống trí tuệ nhân tạo, đơn vị phải:

a) Nhận diện, phân tích các rủi ro đã biết và có thể lường trước đối với hoạt động nghiệp vụ, quyền lợi của khách hàng, an toàn thông tin và an ninh mạng trước khi phát triển;

b) Thực hiện quản trị dữ liệu huấn luyện, bảo đảm chất lượng, tính đại diện, tính toàn vẹn và kiểm soát nguy cơ sai lệch;

c) Tích hợp các yêu cầu về an toàn thông tin, an ninh mạng và cơ chế giám sát của con người ngay từ khâu thiết kế hệ thống.

3. Giai đoạn kiểm thử:

a) Trước khi triển khai, hệ thống trí tuệ nhân tạo phải trải qua quá trình kiểm thử nghiêm ngặt trước khi đưa vào sử dụng. Việc kiểm thử phải bao gồm cả các kịch bản sử dụng sai mục đích có thể lường trước.

b) Thực hiện kiểm thử đối kháng đối với hệ thống trí tuệ nhân tạo rủi ro cao để đánh giá khả năng chống chịu của mô hình trước các nỗ lực tấn công hoặc thao túng dữ liệu đầu vào.

4. Giai đoạn triển khai và vận hành:

a) Thiết lập hệ thống giám sát chủ động để thu thập và phân tích dữ liệu về hiệu suất thực tế của hệ thống trí tuệ nhân tạo. Phải phát hiện kịp thời các hiện tượng trôi mô hình (model drift) hoặc hiện tượng trôi dữ liệu (data drift) hoặc các hành vi bất thường cho thấy hệ thống đang hoạt động sai lệch so với thiết kế ban đầu;

b) Xây dựng quy trình báo cáo và xử lý ngay các sự cố nghiêm trọng (như vi phạm an ninh mạng, sai sót trong quyết định hàng loạt). Các sự cố nghiêm trọng phải được báo cáo cho cơ quan quản lý trong thời hạn quy định.

c) Xây dựng quy trình bảo trì và cập nhật hệ thống. Trong quá trình bảo trì, cập nhật hệ thống (bao gồm việc huấn luyện lại mô hình trí tuệ nhân tạo) làm thay đổi mục đích sử dụng, cấu trúc mô hình hoặc thuật toán cốt lõi, đơn vị phải thực hiện lại quy trình đánh giá rủi ro; kiểm tra, đánh giá mô hình trí tuệ nhân tạo và kiểm tra đánh giá an toàn thông tin tương tự như triển khai mới để bảo đảm bản cập nhật không gây ra các tác động tiêu cực.

5. Giai đoạn ngừng hoạt động:

Khi hệ thống trí tuệ nhân tạo không còn sử dụng hoặc rủi ro vượt quá mức chấp nhận, đơn vị phải xây dựng kế hoạch và thực hiện quy trình ngừng hoạt động an toàn, bao gồm việc xóa hoặc vô hiệu hóa an toàn dữ liệu, mô hình, cấu hình và các thành phần liên quan thuộc phạm vi quản lý, kiểm soát của đơn vị nhằm ngăn chặn rò rỉ dữ liệu hoặc khôi phục trái phép; đồng thời lưu trữ hồ sơ cần thiết phục vụ công tác kiểm toán theo quy định của pháp luật. Đối với dữ liệu huấn luyện và tham số mô hình do bên thứ ba quản lý, đơn vị phải có cơ chế phối hợp, yêu cầu và lưu giữ bằng chứng về việc xử lý phù hợp theo thỏa thuận hợp đồng.

Điều 16. Quản lý rủi ro mô hình trí tuệ nhân tạo

1. Thực hiện kiểm tra, đánh giá mô hình trí tuệ nhân tạo trong các trường hợp sau:

a) Trước khi đưa vào vận hành lần đầu;

b) Định kỳ tối thiểu hằng năm trong quá trình vận hành;

c) Đột xuất khi có thay đổi đáng kể về mô hình, dữ liệu hoặc điều kiện vận hành.

2. Việc kiểm tra, đánh giá mô hình trí tuệ nhân tạo phải bao gồm tối thiểu các nội dung sau:

a) Đối với mô hình trí tuệ nhân tạo do đơn vị trực tiếp quản lý:

(i) Sự phù hợp của dữ liệu huấn luyện và dữ liệu kiểm thử;

(ii) Tính hợp lý của thuật toán và kiến trúc mô hình;

(iii) Hiệu năng và độ chính xác của mô hình;

(iv) Khả năng giải thích về logic vận hành, cơ chế ra quyết định và mức độ ảnh hưởng của các yếu tố đầu vào chính đối với kết quả của mô hình;

(v) Tính công bằng và kiểm soát nguy cơ thiên lệch;

(vi) Độ ổn định và khả năng chống chịu của mô hình trong các điều kiện vận hành.

b) Đối với mô hình trí tuệ nhân tạo do bên thứ ba cung cấp dưới dạng dịch vụ thông qua nền tảng hoặc giao diện lập trình ứng dụng:

(i) Mục đích sử dụng, phạm vi triển khai và mức độ rủi ro của hệ thống;

(ii) Kết quả kiểm thử hộp đen (Black-box testing) thực tế trên tập dữ liệu của đơn vị;

(iii) Kết quả đầu ra của mô hình trong điều kiện vận hành thực tế;

(iv) Tài liệu, thông tin, báo cáo hoặc cam kết do nhà cung cấp công bố;

(v) Các biện pháp kiểm soát, giám sát và can thiệp của con người trong quá trình sử dụng.

3. Thiết lập cơ chế giám sát liên tục hiệu năng của mô hình trí tuệ nhân tạo, bao gồm:

a) Phát hiện kịp thời các dấu hiệu suy giảm chất lượng mô hình;

b) So sánh định kỳ giữa kết quả dự đoán của mô hình và kết quả thực tế;

c) Thiết lập ngưỡng cảnh báo và biện pháp can thiệp khi phát hiện bất thường.

4. Kết quả kiểm tra, đánh giá và giám sát phải được báo cáo đến cấp có thẩm quyền của đơn vị.

Điều 17. Quản lý rủi ro đối với việc thuê ngoài phát triển, triển khai và vận hành hệ thống trí tuệ nhân tạo

1. Phạm vi và nguyên tắc chung về thuê ngoài hệ thống trí tuệ nhân tạo

a) Đơn vị được phép thuê ngoài việc phát triển, triển khai hoặc vận hành hệ thống trí tuệ nhân tạo cho tổ chức bên ngoài theo quy định của pháp luật và quy định tại Thông tư này;

b) Việc thuê ngoài không làm thay đổi trách nhiệm của đơn vị đối với việc bảo đảm an toàn hoạt động nghiệp vụ, bảo vệ quyền lợi của khách hàng, việc tuân thủ pháp luật về an toàn thông tin, an ninh mạng, bảo vệ dữ liệu cá nhân và quản lý rủi ro.

2. Yêu cầu đối với việc thuê ngoài hệ thống trí tuệ nhân tạo:

a) Khi sử dụng giải pháp trí tuệ nhân tạo do bên thứ ba cung cấp, đơn vị phải thực hiện đánh giá rủi ro khi sử dụng dịch vụ bên thứ ba theo quy định của pháp luật và xác định các tiêu chí lựa chọn bên thứ ba tối thiểu bao gồm:

(i) Năng lực kỹ thuật, kinh nghiệm và uy tín của bên thứ ba;

(ii) Khả năng tuân thủ các quy định pháp luật Việt Nam về an toàn thông tin, an ninh mạng và bảo vệ dữ liệu cá nhân;

(iii) Phương án dự phòng và năng lực hỗ trợ khi có sự cố;

(iv) Các chứng nhận về an toàn thông tin, an ninh mạng và bảo vệ dữ liệu cá nhân trong trường hợp triển khai hệ thống trí tuệ nhân tạo rủi ro cao.

b) Đơn vị phải xây dựng và ban hành hướng dẫn thực hiện quản lý rủi ro đối với hoạt động thuê ngoài hệ thống trí tuệ nhân tạo, trong đó xác định rõ:

(i) Phạm vi công việc được thuê ngoài;

(ii) Yêu cầu về an toàn, bảo mật, chất lượng và kiểm soát rủi ro;

(iii) Cơ chế phối hợp, giám sát và báo cáo.

3. Yêu cầu về hợp đồng thuê ngoài hệ thống trí tuệ nhân tạo

a) Tuân thủ yêu cầu về Hợp đồng sử dụng dịch vụ công nghệ thông tin với bên thứ ba theo quy định của Thống đốc Ngân hàng Nhà nước;

b) Bên thứ ba phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do tổ chức kiểm toán độc lập thực hiện hằng năm trong thời gian thực hiện hợp đồng.

c) Bên thứ ba phải cung cấp thông tin hoặc báo cáo kết quả kiểm tra, đánh giá chất lượng mô hình trí tuệ nhân tạo hằng năm.

d) Bên thứ ba phải cung cấp công cụ giám sát liên tục hiệu năng của mô hình trí tuệ nhân tạo.

đ) Bên thứ ba có trách nhiệm cung cấp thông tin về đặc tính kỹ thuật, giới hạn mô hình, cơ chế cập nhật và các biện pháp bảo mật liên quan để đơn vị thực hiện đánh giá rủi ro và quản trị vận hành;

e) Bên thứ ba cam kết bảo đảm tính liên tục trong hoạt động cung cấp dịch vụ, có phương án dự phòng và giai đoạn chuyển tiếp phù hợp khi ngừng hỗ trợ hoặc có thay đổi trọng yếu về mô hình;

g) Bên thứ ba phải hỗ trợ, hợp tác điều tra trong trường hợp có yêu cầu từ các cơ quan nhà nước có thẩm quyền của Việt Nam theo quy định của pháp luật.

4. Giám sát hoạt động thuê ngoài

a) Đơn vị phải thiết lập và duy trì cơ chế giám sát thường xuyên đối với hoạt động của bên nhận thuê ngoài trong suốt thời gian hợp tác, bảo đảm việc phát triển, triển khai và vận hành hệ thống trí tuệ nhân tạo phù hợp với chính sách, quy trình và hợp đồng đã ký kết.

b) Đối với các hệ thống trí tuệ nhân tạo có mức độ rủi ro cao, đơn vị phải:

(i) Xem xét, phê duyệt kế hoạch phát triển, triển khai và vận hành hệ thống;

(ii) Yêu cầu bên nhận thuê ngoài cung cấp đầy đủ thông tin, tài liệu phục vụ công tác kiểm tra, đánh giá, giám sát và kiểm toán;

(iii) Thiết lập quy trình và biện pháp xử lý khi phát hiện sai sót, vi phạm hoặc sự cố.

c) Đơn vị phải thực hiện kiểm tra, đánh giá toàn diện hoạt động thuê ngoài hệ thống trí tuệ nhân tạo theo định kỳ hoặc khi có dấu hiệu rủi ro gia tăng.

d) Đơn vị và bên thứ ba phải phối hợp thiết lập các biện pháp phòng ngừa nhằm hạn chế rủi ro lan truyền, rủi ro hệ thống và các rủi ro phát sinh từ việc vận hành hệ thống trí tuệ nhân tạo.

đ) Đơn vị phải đánh giá và quản lý rủi ro phát sinh từ việc phụ thuộc vào một nền tảng trí tuệ nhân tạo, bao gồm rủi ro gián đoạn dịch vụ, rủi ro lan truyền và rủi ro hệ thống khi nhà cung cấp gặp sự cố.

e) Trường hợp hệ thống trí tuệ nhân tạo do thuê ngoài gây thiệt hại cho khách hàng hoặc bên liên quan, đơn vị phải:

(i) Kịp thời thực hiện các biện pháp khắc phục, bảo vệ quyền lợi của khách hàng;

(ii) Tổ chức tiếp nhận, xử lý khiếu nại và bồi thường thiệt hại theo quy định của pháp luật và thỏa thuận hợp đồng.

Điều 18. Quản lý rủi ro chuỗi cung ứng hệ thống trí tuệ nhân tạo

1. Đơn vị phải thiết lập quy trình kiểm tra an toàn thông tin đối với các thư viện phần mềm, bộ dữ liệu và các mô hình trí tuệ nhân tạo được huấn luyện sẵn (pre-trained models) có nguồn gốc từ bên thứ ba hoặc mã nguồn mở trước khi tích hợp và trong suốt vòng đời sử dụng hệ thống, bảo đảm các thành phần này không chứa mã độc hoặc lỗ hổng bảo mật.

2. Đơn vị phải xây dựng và duy trì danh mục chi tiết các thành phần phần mềm của hệ thống trí tuệ nhân tạo, bao gồm các thư viện trí tuệ nhân tạo, phiên bản mô hình và các thành phần phụ thuộc đang sử dụng để phục vụ việc truy vết và ứng phó kịp thời đối với các rủi ro, sự cố an toàn thông tin.

3. Đối với các mô hình trí tuệ nhân tạo được chuyển giao từ bên thứ ba hoặc tải về từ các kho mã nguồn mở, đơn vị phải áp dụng các biện pháp kỹ thuật để xác minh tính toàn vẹn, nguồn gốc bảo đảm mô hình không bị can thiệp hoặc bị thay đổi trái phép trong quá trình chuyển giao.

4. Đơn vị phải cập nhật thường xuyên thông tin về các lỗ hổng bảo mật, cảnh báo an ninh và khuyến nghị từ nhà cung cấp liên quan đến các nền tảng, thư viện trí tuệ nhân tạo đang sử dụng; thực hiện đánh giá rủi ro và áp dụng kịp thời các biện pháp khắc phục phù hợp với mức độ rủi ro.

5. Đơn vị phải thực hiện kiểm toán hoặc đánh giá định kỳ quản lý rủi ro chuỗi cung ứng hệ thống trí tuệ nhân tạo phù hợp với mức độ rủi ro của hệ thống, tối thiểu hằng năm với hệ thống trí tuệ nhân tạo rủi ro cao.

CHƯƠNG IV
ĐIỀU KIỆN TRIỂN KHAI ỨNG DỤNG TRÍ TUỆ NHÂN TẠO

 

Điều 19. Điều kiện trước khi đưa hệ thống trí tuệ nhân tạo vào vận hành

1. Trước khi đưa hệ thống trí tuệ nhân tạo vào vận hành chính thức, đơn vị phải tuân thủ các quy định của pháp luật về trí tuệ nhân tạo và hoàn thành hồ sơ liên quan đến hệ thống trí tuệ nhân tạo được phê duyệt bởi cấp có thẩm quyền, bao gồm:

a) Hồ sơ phân loại rủi ro theo quy định của pháp luật về trí tuệ nhân tạo;

b) Kết quả kiểm tra, đánh giá an toàn thông tin;

c) Đánh giá tác động của hệ thống trí tuệ nhân tạo có mức độ rủi ro cao theo quy định tại Điều 12 Thông tư này;

d) Kế hoạch vận hành an toàn, bao gồm giám sát, bảo đảm hoạt động liên tục và ứng phó sự cố;

đ) Điều kiện dừng và khôi phục hệ thống.

2. Đơn vị phải thiết lập các tiêu chí cụ thể cần đáp ứng để triển khai đưa hệ thống trí tuệ nhân tạo vào vận hành, tối thiểu bao gồm: (i) Chỉ số về độ chính xác, độ tin cậy của mô hình trí tuệ nhân tạo; (ii) Chỉ số về hiệu năng của hệ thống; (iii) Kết quả kiểm tra, đánh giá an toàn thông tin.

3. Đơn vị phải xây dựng kế hoạch triển khai chi tiết, bao gồm lộ trình, phương án chuyển đổi dữ liệu, phương án phục hồi (rollback) khi gặp sự cố và đánh giá tác động của việc triển khai đến các hệ thống hiện có.

Điều 20. Yêu cầu về nguồn nhân lực triển khai và quản lý hệ thống trí tuệ nhân tạo

1. Trường hợp hệ thống trí tuệ nhân tạo do đơn vị trực tiếp quản lý, đơn vị phải bảo đảm có đội ngũ nhân sự với số lượng, trình độ chuyên môn và kinh nghiệm phù hợp để thực hiện các nhiệm vụ:

a) Phát triển, triển khai và bảo trì hệ thống trí tuệ nhân tạo;

b) Vận hành, giám sát hệ thống trí tuệ nhân tạo;

c) Quản lý rủi ro, kiểm tra, đánh giá mô hình trí tuệ nhân tạo;

d) Kiểm toán, kiểm tra hệ thống trí tuệ nhân tạo.

2. Trường hợp đơn vị thuê ngoài phát triển, triển khai hoặc vận hành hệ thống trí tuệ nhân tạo, đơn vị có trách nhiệm quản lý, giám sát và đánh giá năng lực của bên cung cấp dịch vụ nhằm bảo đảm đáp ứng yêu cầu an toàn, quản lý rủi ro và vận hành hệ thống trí tuệ nhân tạo.

3. Đơn vị phải xây dựng và triển khai chương trình đào tạo, nâng cao năng lực cho cán bộ, nhân viên liên quan về:

a) Kiến thức cơ bản và ứng dụng của trí tuệ nhân tạo trong hoạt động ngân hàng;

b) Quản lý rủi ro trí tuệ nhân tạo và các phương pháp đánh giá, kiểm soát rủi ro;

c) Đạo đức trí tuệ nhân tạo, bảo vệ dữ liệu cá nhân và quyền riêng tư;

d) An toàn thông tin, an ninh mạng và các quy định pháp luật liên quan.

4. Đơn vị phải định kỳ tối thiểu hằng năm đánh giá và cập nhật năng lực của đội ngũ nhân sự làm việc với trí tuệ nhân tạo, bảo đảm đáp ứng yêu cầu về quy mô và mức độ phức tạp của các hệ thống trí tuệ nhân tạo đang triển khai.

 

CHƯƠNG V
BẢO VỆ QUYỀN LỢI CỦA KHÁCH HÀNG

 

Điều 21. Cung cấp thông tin và hỗ trợ khách hàng

1. Khi triển khai các hệ thống trí tuệ nhân tạo tương tác trực tiếp với khách hàng (như chatbot, trợ lý ảo, tổng đài tự động), đơn vị phải thông báo cho khách hàng biết việc đang tương tác với hệ thống trí tuệ nhân tạo ngay từ khi bắt đầu phiên làm việc hoặc hội thoại. Trường hợp đơn vị sử dụng hệ thống trí tuệ nhân tạo để tạo ra hình ảnh, âm thanh, video hoặc nội dung khác có thể gây nhầm lẫn với nội dung do con người tạo ra, đơn vị phải công bố rõ ràng rằng nội dung đó được tạo ra bởi trí tuệ nhân tạo. Đơn vị có trách nhiệm cung cấp thông tin hướng dẫn sử dụng và nêu rõ các giới hạn của hệ thống trí tuệ nhân tạo để khách hàng sử dụng đúng mục đích và phù hợp.

2. Trường hợp đơn vị sử dụng hệ thống trí tuệ nhân tạo để nhận diện cảm xúc hoặc phân loại sinh trắc học, đơn vị chỉ được thực hiện khi có mục đích cụ thể, cơ sở pháp lý hợp lệ và phải thông báo cho khách hàng biết về hoạt động của hệ thống đó trước khi xử lý dữ liệu. Việc xử lý dữ liệu trong các trường hợp này phải xác định rõ phạm vi sử dụng, thời gian lưu trữ, biện pháp bảo vệ dữ liệu và tuân thủ đầy đủ các quy định của pháp luật về bảo vệ dữ liệu, bảo vệ dữ liệu cá nhân.

3. Đơn vị phải bảo đảm khách hàng có quyền yêu cầu xem xét lại bởi con người đối với các quyết định được đưa ra hoàn toàn tự động bởi hệ thống trí tuệ nhân tạo theo quy định của pháp luật và quy định nội bộ của Đơn vị.

4. Đơn vị phải thiết lập bộ phận và quy trình tiếp nhận, xử lý khiếu nại liên quan đến việc sử dụng hệ thống trí tuệ nhân tạo; trong đó bảo đảm việc rà soát, đánh giá lại bởi con người đối với các quyết định tự động bị khiếu nại và sử dụng kết quả rà soát của con người làm căn cứ cuối cùng để giải quyết khiếu nại.

5. Đối với các quyết định của hệ thống trí tuệ nhân tạo ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của khách hàng, đơn vị phải cung cấp cho khách hàng thông tin giải thích về các yếu tố chính dẫn đến quyết định đó, trong phạm vi phù hợp với mục đích sử dụng, mức độ rủi ro và đặc điểm của hệ thống. Việc cung cấp thông tin giải thích không được làm lộ mã nguồn, thuật toán chi tiết, bộ tham số hoặc thông tin thuộc bí mật kinh doanh, bí mật công nghệ.

6. Đơn vị phải tuân thủ quy định pháp luật về bảo vệ dữ liệu cá nhân, bảo vệ quyền sở hữu trí tuệ khi sử dụng dữ liệu của khách hàng để huấn luyện, kiểm thử hoặc vận hành hệ thống trí tuệ nhân tạo. Không được sử dụng dữ liệu cá nhân của khách hàng để huấn luyện mô hình trí tuệ nhân tạo công cộng hoặc chia sẻ cho bên thứ ba khi chưa có sự đồng ý của khách hàng hoặc chưa được pháp luật cho phép.

Điều 22. Không phân biệt đối xử và bảo vệ nhóm khách hàng yếu thế

1. Đơn vị phải áp dụng các biện pháp kiểm soát phù hợp nhằm phòng ngừa, phát hiện và xử lý việc hệ thống trí tuệ nhân tạo tạo ra kết quả thiên lệch, phân biệt đối xử (đặc biệt với nhóm khách hàng yếu thế và dễ bị tổn thương) hoặc gây bất lợi không hợp lý cho khách hàng trong việc tiếp cận và sử dụng dịch vụ.

2. Đơn vị không được sử dụng hệ thống trí tuệ nhân tạo khai thác các điểm yếu của con người hoặc nhóm người cụ thể do vượt quá khả năng nhận thức của con người hoặc do tuổi tác, khuyết tật hoặc tình trạng kinh tế - xã hội khó khăn để đề xuất họ đưa ra các quyết định sử dụng sản phẩm hoặc dịch vụ tài chính có mức độ rủi ro cao hoặc không phù hợp, gây thiệt hại về tài chính.

3. Đối với hệ thống trí tuệ nhân tạo mà kết quả đầu ra được sử dụng để quyết định hoặc ảnh hưởng trực tiếp đến quyền tiếp cận các sản phẩm, dịch vụ tài chính của khách hàng, đơn vị phải thực hiện biện pháp kiểm tra, giám sát nhằm để phát hiện và ngăn chặn các định kiến trong dữ liệu, mô hình hoặc thuật toán có thể dẫn đến phân biệt đối xử đối với khách hàng dựa trên giới tính, dân tộc, tôn giáo, địa vị xã hội, tình trạng khuyết tật hoặc các đặc điểm khác được pháp luật bảo vệ.

 

CHƯƠNG VI
ĐIỀU KHOẢN THI HÀNH

 

Điều 23. Chế độ báo cáo

Đơn vị có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) các nội dung sau:

1. Báo cáo sự cố nghiêm trọng trong vòng 24 giờ kể từ thời điểm sự cố được phát hiện và Báo cáo hoàn thành khắc phục sự cố trong vòng 05 ngày làm việc sau khi hoàn thành khắc phục sự cố.

2. Báo cáo đột xuất theo yêu cầu của Ngân hàng Nhà nước.

Điều 24. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

1. Cục Công nghệ thông tin có trách nhiệm theo dõi, kiểm tra và phối hợp với các đơn vị liên quan để xử lý những vướng mắc phát sinh trong quá trình thực hiện Thông tư này.

2. Thanh tra Ngân hàng Nhà nước có trách nhiệm thanh tra việc thực hiện Thông tư này tại các đơn vị và xử lý vi phạm hành chính đối với hành vi vi phạm Thông tư này theo quy định của pháp luật.

3. Ngân hàng Nhà nước Khu vực có trách nhiệm thanh tra việc thực hiện Thông tư này tại các đơn vị trên địa bàn và xử lý vi phạm hành chính đối với hành vi vi phạm Thông tư này theo quy định của pháp luật.

Điều 25. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 03 năm 2026.

2. Quy định tại điểm b khoản 2 Điều 4 Thông tư này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2027.

Điều 26. Quy định chuyển tiếp

Các hệ thống trí tuệ nhân tạo được triển khai trước ngày Thông tư này có hiệu lực thi hành thì phải tuân thủ các quy định tại Thông tư này kể từ ngày 01 tháng 09 năm 2027.

Điều 27. Tổ chức thực hiện

Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước Khu vực, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng, Công ty Cổ phần Thanh toán Quốc gia Việt Nam, Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam, Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam có trách nhiệm tổ chức thực hiện Thông tư này./.

 

Nơi nhận:
- Như Điều xx;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Cổng TTĐT NHNN;
- Công báo;
- Lưu VT, CNTT.

THỐNG ĐỐC

 

 

 

Dự thảo Thông tư Quy định về an toàn, quản lý rủi ro và điều kiện triển khai đối với việc ứng dụng trí tuệ nhân tạo trong ngành Ngân hàng

Bạn chưa Đăng nhập thành viên.

Đây là tiện ích dành cho tài khoản thành viên. Vui lòng Đăng nhập để xem chi tiết. Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!

* Lưu ý: Để đọc được văn bản tải trên Luatvietnam.vn, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.
CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN
Yêu cầu hỗ trợYêu cầu hỗ trợ
Chú thích màu chỉ dẫn
Chú thích màu chỉ dẫn:
Các nội dung của VB này được VB khác thay đổi, hướng dẫn sẽ được làm nổi bật bằng các màu sắc:
Sửa đổi, bổ sung, đính chính
Thay thế
Hướng dẫn
Bãi bỏ
Bãi bỏ cụm từ
Bình luận
Click vào nội dung được bôi màu để xem chi tiết.
×