Chuyên môn · Dùng AI có trách nhiệm

Lập nguyên tắc dùng AI nội bộ

Một bộ nguyên tắc dùng AI không phải giấy tờ hình thức: đó là cách Anh Chị giữ chất lượng ổn định khi cả đội đều dùng AI cho việc công ty.

Chốt nhanh

Một bộ nguyên tắc dùng AI nội bộ cần trả lời rõ bốn câu: ai được dùng công cụ nào, dữ liệu nào tuyệt đối không đưa vào, khi nào bắt buộc người rà soát, và ai chịu trách nhiệm thực thi. Không có khung này, rủi ro rò rỉ dữ liệu và lệch bản sắc thương hiệu tăng dần mà không ai nhìn thấy. Sinh Vũ khuyến nghị lập khung sớm, kể cả khi đội ngũ còn nhỏ, và rà lại định kỳ vì công cụ lẫn quy định thay đổi liên tục.

Nhìn nhanh
Hợp với
đã có người trong đội bắt đầu dùng AI cho việc công tyquy mô lớn nhiều phòng ban cần kiểm soát tập trungngành chịu quy định chặt cần khung rõ trước khi scale
Không hợp
viết chính sách một lần rồi cất tủ không cập nhậtchỉ cấm chung chung không phân loại dữ liệu cụ thểbỏ bước người rà soát cho nội dung khách-facing
Ngành hay dùng
tài chínhy tếpháp lýcông nghệ

Khi một thành viên trong đội bắt đầu dùng AI cho việc công ty mà không có khung nào, công ty đó đang vận hành trên sự tin tưởng ngầm. Đôi khi điều đó ổn. Nhưng khi đội lớn dần, khi dữ liệu nhạy cảm hơn, khi nội dung ra ngoài nhanh hơn, sự tin tưởng ngầm không còn đủ. Một bộ nguyên tắc dùng AI nội bộ (acceptable use policy, tức chính sách dùng AI được chấp thuận) là cách Anh Chị đặt ranh giới rõ trước khi sự cố xảy ra.

Bốn câu hỏi một bộ nguyên tắc phải trả lời

Không cần tài liệu dài. Cần tài liệu trả lời đủ bốn câu này:

  • Ai được dùng công cụ nào. Không phải mọi công cụ đều phù hợp cho mọi vị trí. Người xử lý dữ liệu khách hàng cần biết công cụ nào được duyệt và công cụ nào chưa.
  • Dữ liệu nào tuyệt đối không đưa vào. Thông tin khách hàng, hợp đồng, dữ liệu nhân sự, chiến lược chưa công bố là những loại phổ biến nhất cần liệt kê tường minh. Cấm chung chung mà không phân loại, nhân viên không biết ranh giới thật.
  • Khi nào bắt buộc người rà soát. Nội dung đến tay khách, thông báo chính thức, quyết định ảnh hưởng tới cá nhân: những điểm này cần người kiểm tra về độ chính xác, thiên lệch và tính phù hợp trước khi phát hành.
  • Ai chịu trách nhiệm thực thi. Nếu không có tên người cụ thể, chính sách sẽ không ai cập nhật và không ai thực thi khi có vấn đề.

Phân loại dữ liệu: phần nhiều người bỏ qua

Đây là điểm yếu phổ biến nhất: chính sách cấm chung, nhưng không chỉ rõ cái gì là nhạy cảm. Kết quả là mỗi người tự phán đoán và phán đoán không đồng nhất.

Cách đơn giản nhất là chia hai cột: dữ liệu được phép đưa vào AI và dữ liệu không được phép. Tiêu chí phân loại thực tế là hậu quả nếu dữ liệu đó lọt ra ngoài tổ chức. Một nội dung đã đăng công khai thường được. Tên và thông tin liên lạc của khách hàng thường không được. Anh Chị không cần sơ đồ bảo mật phức tạp để bắt đầu: một danh sách rõ ràng đủ để đội biết và thực hành.

Điểm bắt buộc người rà soát

AI tạo ra nội dung nhanh, nhưng tốc độ đó cũng là rủi ro nếu không có bước dừng. Các khung quản trị AI như NIST AI RMF và hướng dẫn của OECD đều nhấn mạnh: đầu ra dùng cho quyết định hệ trọng hoặc nội dung ra ngoài phải có người rà soát về độ chính xác, thiên lệch và khả năng giải thích.

Trong thực tế, Anh Chị cần định rõ ít nhất ba loại điểm dừng:

  • Nội dung đến tay khách hàng, dù là email, tài liệu hay bài đăng mạng xã hội.
  • Thông báo chính thức ra ngoài tổ chức.
  • Quyết định ảnh hưởng đến cá nhân, dù là khách hay nhân viên.

Điểm dừng không có nghĩa là phê duyệt qua nhiều tầng. Đôi khi một người rà soát mười phút là đủ. Quan trọng là điểm dừng đó có tồn tại và có người thực sự chịu trách nhiệm cho nó.

Lập khung sớm, gọn. Đội nhỏ: một tài liệu nửa trang đến một trang, chốt bốn câu hỏi ở trên, đủ để bắt đầu. Đội lớn hoặc ngành chịu quản lý chặt: cần thêm người chủ trì rõ, quy trình duyệt công cụ mới và lịch rà soát định kỳ theo quý. Không cần chờ đội đủ lớn mới lập khung: nguy cơ cao nhất thường xảy ra ở giai đoạn tăng trưởng nhanh, khi mọi người dùng công cụ mới trước khi có ai kịp đặt câu hỏi.

Chính sách phải sống, không phải đóng khung một lần

Công cụ AI thay đổi nhanh. Quy định như EU AI Act đang siết dần. Một chính sách viết năm ngoái có thể đã thiếu so với thực tế hôm nay. Đây là lý do bộ nguyên tắc cần có lịch rà soát định kỳ được ghi rõ trong tài liệu, không phải chờ khi có sự cố mới mở ra xem lại.

Rà soát định kỳ cũng là cơ hội để cập nhật danh sách công cụ được duyệt, điều chỉnh phân loại dữ liệu khi doanh nghiệp thay đổi, và nhắc lại với đội ngũ về ranh giới. Thói quen rà soát định kỳ quan trọng hơn sự hoàn hảo của bản đầu tiên.

Góc nhìn của Sinh Vũ

Sinh Vũ vận hành theo triết lý mọi việc đều có người gác đầu ra. Với chúng tôi, nguyên tắc dùng AI nội bộ không phải thủ tục hành chính mà là cách giữ chất lượng ổn định khi quy mô tăng. Khi làm việc với khách, thay vì áp một mẫu chính sách sẵn, Sinh Vũ điều phối buổi làm việc để chính đội ngũ khách cùng nhau chốt bộ nguyên tắc họ tin và sẽ thực thi. Phân loại dữ liệu, điểm bắt buộc người rà soát, người chịu trách nhiệm: những quyết định này thuộc về Anh Chị, không phải về chúng tôi. Chúng tôi đặt câu hỏi khó và giữ trung lập.

Trách nhiệm giải trình là nền của AI đáng tin: phải có cơ chế trách nhiệm và giám sát rõ, và biện pháp khắc phục khi có sai sót.

OECD AI Principles, nguyên tắc trách nhiệm giải trình, dẫn lại từ NIST AI RMF

Nguồn tham khảo

Datapath, AI Acceptable Use and Governance Policy for Businesses. AWS, Responsible AI Policy. OECD AI Principles (nguyên tắc trách nhiệm giải trình). NIST AI Risk Management Framework (AI RMF 1.0).

Câu hỏi thường gặp

Công ty nhỏ, chỉ có vài người, có cần viết nguyên tắc dùng AI không?

Cần, và càng sớm càng tốt. Khi đội nhỏ, mỗi người có thói quen riêng và ranh giới dữ liệu thường không được nói ra. Một tài liệu ngắn, nửa trang đến một trang, chốt rõ dữ liệu nào không được nhập vào AI và ai rà soát nội dung ra ngoài là đủ để bắt đầu. Đơn giản nhưng phải có và phải được đội đọc, không phải cất tủ.

Phân loại dữ liệu cụ thể thì nên chia theo tiêu chí nào?

Tiêu chí thực tế nhất là hậu quả nếu dữ liệu đó lọt ra ngoài. Dữ liệu khách hàng, hợp đồng, thông tin nhân sự, và chiến lược chưa công bố thường thuộc nhóm cấm tuyệt đối đưa vào công cụ AI bên ngoài. Dữ liệu công khai hoặc nội dung đã phát hành thường cho phép. Anh Chị không cần sơ đồ phức tạp: một danh sách hai cột ghi rõ được nhập và không được nhập là đủ để đội biết ranh giới.

← Về AI thương hiệu
{INJ}