Asklaw tuân thủ Luật AI 2026 và Luật Bảo vệ Dữ liệu Cá nhân 2026

Trả lời nhanh: Từ năm 2026, Việt Nam có 2 văn bản pháp luật mới ảnh hưởng đến mọi sản phẩm AI: Luật AI 2026 và Luật Bảo vệ Dữ liệu Cá nhân (PDP) 2026. Luật PDP 2026 nâng cấp từ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Asklaw thiết kế tuân thủ 5 nghĩa vụ trọng yếu từ Day-1, không retrofit: (1) nhãn "Tạo bởi AI" trên mọi output, (2) audit log lưu tối thiểu 12 tháng, (3) DPO (Data Protection Officer) tại Việt Nam, (4) data minimization, (5) quyền xóa và xuất dữ liệu của người dùng. Đây là cam kết bảo đảm tuân thủ Luật An toàn thông tin mạng 86/2015/QH13, Luật AI 2026 và Luật PDP 2026.

1. Bức tranh tuân thủ pháp lý 2026

Năm 2026 đánh dấu chu kỳ ràng buộc pháp lý mới đối với sản phẩm AI tại Việt Nam:

• Luật AI 2026: Có hiệu lực trong năm 2026 (giai đoạn quy định không có thời gian ân hạn — bắt buộc tuân thủ Day-1)
• Luật PDP 2026: Có hiệu lực trong năm 2026, nâng cấp khung pháp lý từ Nghị định 13/2023/NĐ-CP
• Luật An toàn thông tin mạng 86/2015/QH13: Vẫn áp dụng song hành với 2 luật trên

Đối với một công cụ tra cứu pháp lý AI có dữ liệu cá nhân của người dùng, không tuân thủ là rủi ro hành chính và pháp lý nghiêm trọng. Asklaw lựa chọn thiết kế tuân thủ ngay từ kiến trúc nền tảng.

2. Nghĩa vụ 1 — Nhãn "Tạo bởi AI"

Luật AI 2026 yêu cầu mọi nội dung do AI sinh ra phải được gắn nhãn rõ ràng, để người dùng biết nội dung không phải do con người tạo ra. Mục đích là chống nhập nhằng giữa tư vấn của luật sư có chứng chỉ hành nghề và output AI.

Trên Asklaw, mọi câu trả lời ở chế độ Ask, Shortcut và Doc Pack đều hiển thị:

• Nhãn "AI-generated" trên giao diện
• Disclaimer rõ ràng rằng Asklaw không tạo lập quan hệ luật sư – khách hàng
• Tham chiếu Luật Luật sư 65/2006/QH11 (sửa đổi bởi 20/2012/QH13) để người dùng phân biệt vai trò công cụ AI và vai trò luật sư

Nhãn AI hiển thị cố định, không thể tắt bằng tham số người dùng.

3. Nghĩa vụ 2 — Audit log 12 tháng

Luật AI 2026 yêu cầu nhà cung cấp AI phải lưu nhật ký truy vấn và output trong thời gian tối thiểu để phục vụ truy nguyên khi có yêu cầu của cơ quan có thẩm quyền.

Asklaw áp dụng chính sách lưu audit log tối thiểu 12 tháng, bao gồm:

• Thời điểm truy vấn
• ID ẩn danh của người dùng (không phải nội dung định danh)
• Nội dung câu hỏi (theo cấu hình bảo mật của người dùng)
• Danh sách Điều/Khoản được trích dẫn
• Phiên bản mô hình và phiên bản pipeline P-E-V tại thời điểm trả lời

Audit log được lưu mã hóa, chỉ DPO và đội bảo mật nội bộ có quyền truy cập theo quy trình kiểm soát.

4. Nghĩa vụ 3 — DPO (Data Protection Officer)

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (tiền thân của Luật PDP 2026) quy định nhiệm vụ chỉ định Data Protection Officer (DPO) cho các tổ chức xử lý dữ liệu cá nhân ở quy mô đáng kể.

Asklaw chỉ định DPO tại Việt Nam, có địa chỉ liên hệ công khai trên trang /privacy. DPO có vai trò:

• Tiếp nhận yêu cầu của người dùng về quyền dữ liệu cá nhân (xem, xóa, xuất, sửa)
• Đối chiếu chính sách nội bộ của Asklaw với quy định của Luật PDP 2026
• Là đầu mối làm việc với cơ quan có thẩm quyền khi có yêu cầu

5. Nghĩa vụ 4 — Data minimization

Luật PDP 2026 quy định nguyên tắc tối thiểu hóa dữ liệu: nhà cung cấp chỉ thu thập dữ liệu cá nhân thực sự cần thiết cho mục đích đã công bố.

Asklaw áp dụng nguyên tắc này như sau:

• Chỉ thu thập dữ liệu cá nhân tối thiểu để vận hành tài khoản: email và mật khẩu mã hóa
• Câu hỏi pháp lý KHÔNG bắt buộc gắn với danh tính thật. Người dùng có thể đặt câu hỏi mà không cung cấp thông tin định danh
• Asklaw KHÔNG thu thập dữ liệu cá nhân nhạy cảm trừ khi người dùng chủ động cung cấp trong nội dung câu hỏi

Người dùng kiểm soát phạm vi dữ liệu chia sẻ với Asklaw.

6. Nghĩa vụ 5 — Quyền xóa và xuất dữ liệu

Luật PDP 2026 quy định 4 quyền cơ bản của chủ thể dữ liệu: quyền được biết, quyền xem, quyền sửa, quyền xóa, và quyền xuất dữ liệu.

Asklaw triển khai các quyền này qua trang /account/privacy:

• Quyền xem: Xem toàn bộ dữ liệu cá nhân và lịch sử truy vấn liên kết với tài khoản
• Quyền xuất: Tải xuống bản sao dữ liệu định dạng JSON
• Quyền xóa: Yêu cầu xóa tài khoản và toàn bộ dữ liệu liên kết (lịch sử truy vấn và audit log nội bộ được xóa theo lịch tuân thủ, không quá thời hạn quy định)
• Quyền sửa: Sửa thông tin tài khoản trực tiếp trên giao diện

Mọi yêu cầu được xử lý trong thời gian quy định của Luật PDP 2026.

7. So sánh rủi ro — Asklaw vs LLM công cộng cho câu hỏi pháp lý Việt Nam

Nhiều người dùng đặt câu hỏi pháp lý Việt Nam vào ChatGPT, Gemini, hoặc các LLM công cộng khác. Cách dùng này có 3 rủi ro tuân thủ:

• Không có DPO tại Việt Nam: Yêu cầu xóa dữ liệu khó thực hiện theo Luật PDP 2026
• Dữ liệu có thể được xử lý ở nước ngoài: Việc chuyển dữ liệu cá nhân ra ngoài lãnh thổ phải tuân theo quy định cụ thể của Luật PDP 2026
• Không có audit log truy nguyên đến Điều/Khoản gốc: Output không tuân thủ yêu cầu của Luật AI 2026 về tính truy nguyên

Asklaw được thiết kế để giải quyết cả 3 điểm này theo khung pháp luật Việt Nam.

8. Cam kết minh bạch và cập nhật

Asklaw cam kết:

• Công khai chính sách bảo mật và DPO contact trên trang /privacy
• Cập nhật chính sách khi Luật AI 2026 và Luật PDP 2026 có hướng dẫn chi tiết mới
• Báo cáo minh bạch nội bộ và cơ chế kiểm soát theo định kỳ trên trang /transparency

Người dùng có thể tham khảo trực tiếp các văn bản pháp luật áp dụng tại vbpl.moj.gov.vn và đối chiếu với cách Asklaw triển khai.

Bài viết KHÔNG tạo lập quan hệ luật sư – khách hàng. Tham chiếu Luật Luật sư 65/2006/QH11 (sửa đổi bởi 20/2012/QH13), Luật AI 2026 và Luật PDP 2026 (Nghị định 13/2023/NĐ-CP). Asklaw là công cụ tra cứu pháp lý hỗ trợ bởi AI; mọi quyết định pháp lý nên tham vấn luật sư có chứng chỉ hành nghề.