Hiện tượng AI “ngầm” hay còn gọi là shadow AI đang ngày càng lan rộng trong các doanh nghiệp trên toàn cầu, đặc biệt là trong các ngành ngân hàng và viễn thông. Theo một khảo sát gần đây của BCG thực hiện trên hơn 10.600 nhân viên tại 11 quốc gia, hơn một nửa (54%) số người được hỏi cho biết họ sẽ sử dụng các công cụ AI ngay cả khi không được phép hoặc không có sự hỗ trợ chính thức từ công ty.

Nhóm tuổi Gen Z và Millennials là những người dẫn đầu xu hướng “vượt rào” này, với 62% chấp nhận tự sử dụng AI bên ngoài hệ sinh thái của doanh nghiệp, cao hơn 19 điểm phần trăm so với các nhóm tuổi khác. Điều này đặt ra những thách thức lớn cho các tổ chức, đặc biệt là về quản lý rủi ro và tuân thủ quy định.

Các ngành như ngân hàng và viễn thông đặc biệt dễ bị tổn thương do phải quản lý dữ liệu nhạy cảm, hạ tầng on-premise lạc hậu và chính sách siết chặt quá mức. Đáng chú ý, việc sử dụng AI không được phê duyệt đã tăng trưởng 250% chỉ trong năm qua tại các ngành này.

Về rủi ro pháp lý và tuân thủ, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tại Việt Nam đã tạo ra khung pháp lý chặt chẽ. Đặc biệt, việc chuyển dữ liệu cá nhân ra nước ngoài thông qua các công cụ AI không được kiểm soát có thể kích hoạt các điều khoản xử phạt nghiêm khắc nhất của nghị định này.

Để giải quyết vấn đề này, các tổ chức cần chuyển từ tư duy “cấm đoán” sang “quản lý thông minh” để kiểm soát rủi ro mà vẫn tận dụng được tiềm năng của công nghệ. Điều này đòi hỏi sự kết hợp khéo léo giữa chính sách thông minh, công nghệ phù hợp và văn hóa tổ chức mở.

Một số giải pháp toàn diện có thể được áp dụng để quản lý shadow AI, bao gồm xây dựng khung chính sách “mở nhưng có lan can”, triển khai hạ tầng AI nội bộ tiện lợi và xây dựng văn hóa minh bạch và đào tạo liên tục. Bên cạnh đó, công nghệ hỗ trợ như Data Loss Prevention (DLP) cho AI và SIEM tích hợp AI cũng cần được nâng cấp để phát hiện và ngăn chặn việc sử dụng AI không được phê duyệt.

Chiến lược triển khai cần được thực hiện theo các giai đoạn, bao gồm đánh giá và lập kế hoạch, triển khai hạ tầng, đào tạo và triển khai. Tóm lại, việc quản lý shadow AI đòi hỏi sự kết hợp giữa chính sách thông minh, công nghệ phù hợp và văn hóa tổ chức mở.

Doanh nghiệp nên bắt đầu từ việc xây dựng chính sách rõ ràng, đầu tư vào hạ tầng AI an toàn, và quan trọng nhất là nuôi dưỡng văn hóa minh bạch – nơi nhân viên cảm thấy được hỗ trợ thay vì bị trừng phạt khi sử dụng AI một cách có trách nhiệm. Bằng cách áp dụng các giải pháp này, các tổ chức có thể tận dụng được tiềm năng của AI trong khi vẫn đảm bảo được sự tuân thủ và quản lý rủi ro.

BCG và các chuyên gia trong ngành đang tích cực nghiên cứu và phát triển các giải pháp để hỗ trợ doanh nghiệp trong việc quản lý shadow AI. Thông tin chi tiết về các giải pháp này có thể được tìm thấy trên trang web của BCG và các nguồn tin cậy khác.

Ủy ban châu Âu (EC) đã chính thức ban hành hướng dẫn chi tiết về quy định đối với các nhà cung cấp mô hình có khả năng sinh ngôn ngữ (GPAI) được huấn luyện với khối lượng tính toán lớn. Đây là một phần quan trọng trong chiến lược quản lý công nghệ cao của Liên minh châu Âu (EU), nhằm tạo ra một hành lang pháp lý cho sự phát triển của trí tuệ nhân tạo (AI) trong khu vực.

Theo hướng dẫn mới, các nhà cung cấp GPAI phải công khai thông tin rõ ràng về dữ liệu huấn luyện và tuân thủ nghiêm các quy định về bản quyền. Để đảm bảo tính minh bạch, một biểu mẫu chuẩn đã được công bố, giúp các nhà phát triển tóm tắt dữ liệu đào tạo và hỗ trợ cơ quan chức năng đánh giá mức độ minh bạch và rủi ro của từng mô hình AI.

EC cũng công nhận một Bộ quy tắc thực hành tự nguyện do nhóm chuyên gia độc lập xây dựng, phù hợp với yêu cầu của Đạo luật AI. Các nhà cung cấp AI ký kết và tuân thủ bộ quy tắc này sẽ được giảm nhẹ một số thủ tục hành chính và hưởng lợi từ sự rõ ràng trong khung pháp lý.

Các quy định mới sẽ bắt đầu có hiệu lực từ ngày 2/8/2025 đối với tất cả các mô hình GPAI mới đưa vào thị trường EU. Đối với các mô hình đã ra mắt trước thời điểm này, hạn cuối để cập nhật và bảo đảm tuân thủ là ngày 2/8/2027. Ngoài ra, các mô hình AI được đánh giá là tiên tiến hoặc có nguy cơ gây rủi ro hệ thống cao sẽ phải tuân thủ các yêu cầu bổ sung, bao gồm thông báo trước với EC, thiết lập cơ chế bảo mật, giám sát hậu kiểm và bảo đảm an toàn kỹ thuật.

Việc chính thức đưa các quy định GPAI vào thực thi đánh dấu một bước tiến lớn trong chiến lược quản lý công nghệ cao của EU. Không chỉ tạo hành lang pháp lý cho phát triển AI trong khu vực, động thái này còn góp phần định hình các tiêu chuẩn toàn cầu, hướng tới một hệ sinh thái công nghệ vì con người, bảo vệ quyền sở hữu trí tuệ và hạn chế các rủi ro xã hội do AI gây ra.

Đạo luật AI của EU được triển khai theo từng giai đoạn, bắt đầu có hiệu lực từ ngày 2/8/2024. Phần lớn các quy định sẽ được áp dụng từ ngày 2/8/2026. Tuy nhiên, một số điều khoản nghiêm ngặt đã được thực thi sớm từ ngày 2/2 năm nay, bao gồm lệnh cấm các hệ thống AI bị đánh giá là có rủi ro không thể chấp nhận.

Việc AI Act có hiệu lực là một bước tiến quan trọng, thể hiện quyết tâm của EU trong việc định hình một tương lai AI minh bạch, an toàn và có lợi cho tất cả mọi người. Đây không chỉ là một cột mốc quan trọng đối với châu Âu mà còn là một hình mẫu cho các quốc gia khác trên thế giới trong việc xây dựng khuôn khổ pháp lý cho lĩnh vực AI.