Một bộ nguyên tắc dùng AI không phải giấy tờ hình thức: đó là cách Anh Chị giữ chất lượng ổn định khi cả đội đều dùng AI cho việc công ty.
Một bộ nguyên tắc dùng AI nội bộ cần trả lời rõ bốn câu: ai được dùng công cụ nào, dữ liệu nào tuyệt đối không đưa vào, khi nào bắt buộc người rà soát, và ai chịu trách nhiệm thực thi. Không có khung này, rủi ro rò rỉ dữ liệu và lệch bản sắc thương hiệu tăng dần mà không ai nhìn thấy. Sinh Vũ khuyến nghị lập khung sớm, kể cả khi đội ngũ còn nhỏ, và rà lại định kỳ vì công cụ lẫn quy định thay đổi liên tục.
Khi một thành viên trong đội bắt đầu dùng AI cho việc công ty mà không có khung nào, công ty đó đang vận hành trên sự tin tưởng ngầm. Đôi khi điều đó ổn. Nhưng khi đội lớn dần, khi dữ liệu nhạy cảm hơn, khi nội dung ra ngoài nhanh hơn, sự tin tưởng ngầm không còn đủ. Một bộ nguyên tắc dùng AI nội bộ (acceptable use policy, tức chính sách dùng AI được chấp thuận) là cách Anh Chị đặt ranh giới rõ trước khi sự cố xảy ra.
Không cần tài liệu dài. Cần tài liệu trả lời đủ bốn câu này:
Đây là điểm yếu phổ biến nhất: chính sách cấm chung, nhưng không chỉ rõ cái gì là nhạy cảm. Kết quả là mỗi người tự phán đoán và phán đoán không đồng nhất.
Cách đơn giản nhất là chia hai cột: dữ liệu được phép đưa vào AI và dữ liệu không được phép. Tiêu chí phân loại thực tế là hậu quả nếu dữ liệu đó lọt ra ngoài tổ chức. Một nội dung đã đăng công khai thường được. Tên và thông tin liên lạc của khách hàng thường không được. Anh Chị không cần sơ đồ bảo mật phức tạp để bắt đầu: một danh sách rõ ràng đủ để đội biết và thực hành.
AI tạo ra nội dung nhanh, nhưng tốc độ đó cũng là rủi ro nếu không có bước dừng. Các khung quản trị AI như NIST AI RMF và hướng dẫn của OECD đều nhấn mạnh: đầu ra dùng cho quyết định hệ trọng hoặc nội dung ra ngoài phải có người rà soát về độ chính xác, thiên lệch và khả năng giải thích.
Trong thực tế, Anh Chị cần định rõ ít nhất ba loại điểm dừng:
Điểm dừng không có nghĩa là phê duyệt qua nhiều tầng. Đôi khi một người rà soát mười phút là đủ. Quan trọng là điểm dừng đó có tồn tại và có người thực sự chịu trách nhiệm cho nó.
Công cụ AI thay đổi nhanh. Quy định như EU AI Act đang siết dần. Một chính sách viết năm ngoái có thể đã thiếu so với thực tế hôm nay. Đây là lý do bộ nguyên tắc cần có lịch rà soát định kỳ được ghi rõ trong tài liệu, không phải chờ khi có sự cố mới mở ra xem lại.
Rà soát định kỳ cũng là cơ hội để cập nhật danh sách công cụ được duyệt, điều chỉnh phân loại dữ liệu khi doanh nghiệp thay đổi, và nhắc lại với đội ngũ về ranh giới. Thói quen rà soát định kỳ quan trọng hơn sự hoàn hảo của bản đầu tiên.
Sinh Vũ vận hành theo triết lý mọi việc đều có người gác đầu ra. Với chúng tôi, nguyên tắc dùng AI nội bộ không phải thủ tục hành chính mà là cách giữ chất lượng ổn định khi quy mô tăng. Khi làm việc với khách, thay vì áp một mẫu chính sách sẵn, Sinh Vũ điều phối buổi làm việc để chính đội ngũ khách cùng nhau chốt bộ nguyên tắc họ tin và sẽ thực thi. Phân loại dữ liệu, điểm bắt buộc người rà soát, người chịu trách nhiệm: những quyết định này thuộc về Anh Chị, không phải về chúng tôi. Chúng tôi đặt câu hỏi khó và giữ trung lập.
Trách nhiệm giải trình là nền của AI đáng tin: phải có cơ chế trách nhiệm và giám sát rõ, và biện pháp khắc phục khi có sai sót.
OECD AI Principles, nguyên tắc trách nhiệm giải trình, dẫn lại từ NIST AI RMF
Datapath, AI Acceptable Use and Governance Policy for Businesses. AWS, Responsible AI Policy. OECD AI Principles (nguyên tắc trách nhiệm giải trình). NIST AI Risk Management Framework (AI RMF 1.0).
Cần, và càng sớm càng tốt. Khi đội nhỏ, mỗi người có thói quen riêng và ranh giới dữ liệu thường không được nói ra. Một tài liệu ngắn, nửa trang đến một trang, chốt rõ dữ liệu nào không được nhập vào AI và ai rà soát nội dung ra ngoài là đủ để bắt đầu. Đơn giản nhưng phải có và phải được đội đọc, không phải cất tủ.
Tiêu chí thực tế nhất là hậu quả nếu dữ liệu đó lọt ra ngoài. Dữ liệu khách hàng, hợp đồng, thông tin nhân sự, và chiến lược chưa công bố thường thuộc nhóm cấm tuyệt đối đưa vào công cụ AI bên ngoài. Dữ liệu công khai hoặc nội dung đã phát hành thường cho phép. Anh Chị không cần sơ đồ phức tạp: một danh sách hai cột ghi rõ được nhập và không được nhập là đủ để đội biết ranh giới.