Doanh nghiệp trí tuệ nhân tạo không được thu thập dữ liệu cá nhân vượt quá mục đích

Theo khoản 1 Điều 30 Luật Bảo vệ dữ liệu cá nhân 2025, số 91/2025/QH15:

“Dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.”

Bên cạnh đó, doanh nghiệp không được thu thập hoặc xử lý vượt quá mục đích đã công bố hoặc thỏa thuận với người dùng.

Khoản 2 Điều 30 Luật Bảo vệ dữ liệu cá nhân 2025 còn quy định hoạt động xử lý phải phù hợp với quy định của pháp luật Việt Nam; phù hợp với thuần phong mỹ tục, chuẩn mực đạo đức. Không được phát triển các hệ thống dùng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh, tính mạng, danh dự, nhân phẩm (khoản 5 Điều 30).

Bên cạnh đó, khoản 3 Điều 30, hệ thống công nghệ xử lý dữ liệu cá nhân cần tích hợp các biện pháp bảo mật dữ liệu phù hợp; Sử dụng phương thức xác thực và định danh phù hợp; Thiết lập phân quyền truy cập khi xử lý dữ liệu cá nhân.

Luật yêu cầu doanh nghiệp khi xử lý dữ liệu bằng AI phải phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp (theo khoản 4 Điều 30).