Ngân hàng Nhà nước đề xuất quy định an toàn AI trong ngành ngân hàng
Quy định an toàn AI trong ngân hàng được đề xuất

Ngân hàng Nhà nước đề xuất quy định an toàn AI trong ngành ngân hàng

Ngân hàng Nhà nước Việt Nam vừa công bố Dự thảo Thông tư quy định về an toàn, quản lý rủi ro và điều kiện triển khai ứng dụng trí tuệ nhân tạo (AI) trong ngành ngân hàng. Động thái này nhằm thiết lập một khung pháp lý thống nhất, đảm bảo việc ứng dụng công nghệ tiên tiến này diễn ra một cách minh bạch và hiệu quả.

Ứng dụng AI và những rủi ro tiềm ẩn

Trong thời gian gần đây, các tổ chức tín dụng và ngân hàng đã tích cực đẩy mạnh việc ứng dụng AI vào nhiều nghiệp vụ quan trọng. Các lĩnh vực áp dụng bao gồm:

  • Chấm điểm tín dụng (Credit Scoring)
  • Thẩm định cho vay
  • Phát hiện gian lận trong thanh toán
  • Tư vấn tự động thông qua chatbot
  • Xác thực khách hàng điện tử (eKYC)

Tuy nhiên, việc triển khai AI cũng đặt ra không ít thách thức và rủi ro. Các vấn đề nổi cộm bao gồm an ninh và an toàn hệ thống thông tin, nguy cơ từ các mô hình thuật toán có thể dẫn đến sai lệch hoặc thiên lệch trong dữ liệu đầu ra. Đặc biệt, việc xâm phạm quyền riêng tư dữ liệu khách hàng có thể ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của các tổ chức và cá nhân liên quan.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Nhu cầu cấp thiết của khung pháp lý

Việc xây dựng Thông tư này là cần thiết để thiết lập các yêu cầu tối thiểu về an toàn, quản lý rủi ro và điều kiện triển khai đối với ứng dụng AI trong hoạt động ngân hàng. Khung pháp lý này sẽ đóng vai trò làm cơ sở thống nhất cho các tổ chức tín dụng trong quá trình triển khai, đồng thời hỗ trợ cơ quan quản lý trong công tác giám sát. Mục tiêu cuối cùng là thúc đẩy việc ứng dụng AI một cách an toàn và bền vững trong ngành.

Ngoài ra, Thông tư sẽ giúp kiểm soát và giảm thiểu rủi ro phát sinh từ các ứng dụng AI trong các hoạt động nghiệp vụ ngân hàng, như chấm điểm tín dụng, thẩm định cho vay, eKYC, phát hiện gian lận, và tư vấn hỗ trợ ra quyết định. Điều này góp phần bảo đảm an toàn hoạt động ngân hàng và bảo vệ quyền lợi hợp pháp của các bên liên quan.

Yêu cầu cụ thể trong dự thảo

Dự thảo Thông tư quy định rằng, trước khi đưa hệ thống AI vào vận hành chính thức, các đơn vị phải tuân thủ đầy đủ quy định của pháp luật về trí tuệ nhân tạo và hoàn thành hồ sơ được phê duyệt theo thẩm quyền. Các tài liệu bắt buộc bao gồm:

  1. Hồ sơ phân loại rủi ro
  2. Kết quả kiểm tra, đánh giá an toàn thông tin
  3. Đánh giá tác động đối với hệ thống rủi ro cao
  4. Kế hoạch vận hành an toàn và điều kiện dừng, khôi phục hệ thống

Đồng thời, các đơn vị phải thiết lập các tiêu chí triển khai cụ thể, như độ chính xác, độ tin cậy, hiệu năng, và kết quả đánh giá an toàn thông tin. Họ cũng cần xây dựng kế hoạch triển khai chi tiết, bao gồm phương án chuyển đổi dữ liệu và phục hồi khi xảy ra sự cố.

Minh bạch thông tin và bảo vệ khách hàng

Dự thảo Thông tư nhấn mạnh các yêu cầu về minh bạch thông tin khi triển khai hệ thống AI tương tác với khách hàng. Cụ thể, các đơn vị phải đảm bảo quyền được xem xét lại bởi con người đối với các quyết định được đưa ra hoàn toàn tự động. Họ cũng phải thiết lập cơ chế tiếp nhận, xử lý khiếu nại và cung cấp thông tin giải thích phù hợp cho các quyết định của hệ thống AI.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Khi triển khai các hệ thống AI tương tác trực tiếp với khách hàng, như chatbot, trợ lý ảo, hoặc tổng đài tự động, đơn vị phải thông báo cho khách hàng biết việc đang tương tác với hệ thống AI ngay từ khi bắt đầu phiên làm việc. Trong trường hợp sử dụng AI để tạo ra hình ảnh, âm thanh, video hoặc nội dung khác có thể gây nhầm lẫn, đơn vị phải công bố rõ ràng rằng nội dung đó được tạo ra bởi trí tuệ nhân tạo.

Đơn vị cũng có trách nhiệm cung cấp thông tin hướng dẫn sử dụng và nêu rõ các giới hạn của hệ thống AI để khách hàng sử dụng đúng mục đích và phù hợp.

Quy định về nhận diện cảm xúc và sinh trắc học

Đối với việc sử dụng hệ thống AI để nhận diện cảm xúc hoặc phân loại sinh trắc học, dự thảo Thông tư quy định rằng đơn vị chỉ được thực hiện khi có mục đích cụ thể, cơ sở pháp lý hợp lệ và phải thông báo cho khách hàng biết về hoạt động của hệ thống đó trước khi xử lý dữ liệu.

Việc xử lý dữ liệu trong các trường hợp này phải xác định rõ phạm vi sử dụng, thời gian lưu trữ, biện pháp bảo vệ dữ liệu và tuân thủ đầy đủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân. Những quy định này nhằm đảm bảo sự cân bằng giữa ứng dụng công nghệ và bảo vệ quyền riêng tư của người dùng.