Hồ sơ hợp đồng
Script_AI_Legal_DMS.pdf
application/pdf • Cập nhật 09/05/2026 01:42
Số từ trích xuất
2884
Phát hiện
2
Điều khoản thiếu
3
Người phụ trách
Nội dung trích xuất
KỊCH BẢN PHÁT BIỂU SAU PHÂN LUẬT SƯ (60 PHÚT)
I. MỞ ĐẦU - TỪ KHUNG PHÁP LÝ ĐẾN TRIỂN KHAI
Sau phần trình bày của luật sư, chúng ta thấy việc số hóá hồ sơ và ứng dụng trí tuệ nhân tạo
(AI) vào quản trị pháp lý doanh nghiệp không phải là chuyện "được hay không được". Pháp
luật Việt Nam hiện hành thừa nhận giá trị của thông điệp dữ liệu và hợp đồng điện tử, bảo
vệ dữ liệu số và dữ liệu cá nhân, đồng thời đặt ra yêu cầu quản trị rủi ro và trách nhiệm
trong việc xử lý dữ liệu. Vì vậy câu hỏi quan trọng nhất là: doanh nghiệp sẽ triển khai AI và
hệ thống quản lý tài liệu (Document Management System - DMS) như thế nào để vừa tuân
thủ pháp luật, vừa vận hành hiệu quả.
II. VÌ SAO DOANH NGHIỆP CẦN AI LEGAL/DMS?
1. Hợp đồng và hồ sơ phân tán: nhiều doanh nghiệp lưu trữ hợp đồng, văn bản pháp lý rải
rác ở email, mạng xã hội, ổ cứng cá nhân. Khi xảy ra tranh chấp hoặc cần tra cứu, rất khó xác
định bản cuối cùng, ai đã phê duyệt, điều khoản nào được thay đổi.
2. Không có cảnh báo: doanh nghiệp thường quên thời hạn thanh toán, ngày hết hạn hợp
đồng hoặc điều khoản phải gia hạn. Việc kiểm tra thủ công gây tốn thời gian và dễ sót.
3. Dữ liệu nội bộ bị chia sẻ tùy tiện: nhân viên có thể gửi bản hợp đồng có chứa thông tin cá
nhân hoặc bí mật kinh doanh lên các công cụ AI công cộng mà không có phân quyền và kiểm
soát.
4. Quy trình phê duyệt không rõ ràng: nhiều doanh nghiệp chưa có quy trình chuẩn để
phòng pháp chế rà soát, kế toán xác nhận và ban giám đốc phê duyệt trước khi ký hợp đồng.
5. Thiếu thống kê tổng thể: lãnh đạo không có bảng điều khiển (dashboard) để biết đang có
bao nhiêu hợp đồng đang hiệu lực, bao nhiêu nghĩa vụ cần thực hiện, rủi ro pháp lý ở đâu.
AI Legal và DMS được thiết kế để giải quyết những nỗi đau này bằng cách tự động hóa việc
lưu trữ, phân loại, tìm kiếm, tóm tắt và cảnh báo, đồng thời luôn ghi nhận lịch sử xử lý.
III. CƠ SỞ PHÁP LÝ ĐỂ SỐ HÓÁ VÀ DÙNG AI TRONG QUẢN TRỊ PHÁP LÝ
1. Hồ sơ điện tử và hợp đồng điện tử
Luật Giao dịch điện tử 2023 quy định thông điệp dữ liệu - tức thông tin được tạo, gửi, nhận
và lưu trữ bằng phương tiện điện tử - có giá trị pháp lý tương đương văn bản nếu thông tin
có thể truy cập và sử dụng để tham chiếu. Như vậy, hợp đồng lao động, hợp đồng xây dựng,
tín dụng... có thể được lập dưới dạng hợp đồng điện tử nếu đáp ứng hai điều kiện: (i) nội
dung có thể truy cập được và (ii) có thể tham chiếu lại khi cần. Luật cũng công nhận giá trị
pháp lý của thông điệp dữ liệu trong trường hợp pháp luật yêu cầu văn bản phải được
chứng thực hoặc công chứng, tạo tiền đề cho việc số hoá nhiều giao dịch trước đây chỉ thực
hiện trên giấy.
2. Dữ liệu số và quản trị rủi ro
Luật Dữ liệu 2024 (số 60/2024/QH15, hiệu lực từ 01/7/2025) điều chỉnh việc xây dựng,
phát triển, quản trị, xử lý và sử dụng dữ liệu số. Luật yêu cầu cơ quan, tổ chức phải xác định
và quản lý các rủi ro phát sinh trong xử lý dữ liệu, bao gồm rủi ro quyền riêng tư, rủi ro an
ninh mạng, rủi ro nhận dạng và quản lý truy cập, và các rủi ro khác như rủi ro chia sẻ và rủi
ro chất lượng dữ liệu. Một số biện pháp phòng ngừa rủi ro được khuyến nghị gồm: sao lưu
dữ liệu thường xuyên, bảo trì và nâng cấp hệ thống, phân cấp chặt chẽ quyền truy cập, sử
dụng hệ thống giám sát và phát hiện xâm nhập, đánh giá rủi ro định kỳ và đào tạo người sử
dụng. Đây là cơ sở pháp lý để doanh nghiệp triển khai hệ thống AI/DMS với phân quyền, lưu
vết, backup và quy trình xử lý sự cố.
3. Luật Bảo vệ dữ liệu cá nhân 2025 (số 91/2025/QH15)
Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ 01/01/2026, quy định dữ liệu cá nhân là bí mật
Nhà nước, việc xử lý phải tuân thủ nguyên tắc người dùng biết và đồng ý. Điều 7 của luật liệt
kê các hành vi bị nghiêm cấm như xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, cản trở
hoạt động bảo vệ dữ liệu cá nhân, lợi dụng việc bảo vệ dữ liệu để vi phạm pháp luật, xử lý dữ
liệu cá nhân trái quy định, sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái
pháp luật, mua bán dữ liệu cá nhân trừ trường hợp luật quy định khác. Luật yêu cầu sự đồng
ý của chủ thể dữ liệu phải rõ ràng; chủ thể có quyền rút lại sự đồng ý, yêu cầu hạn chế xử lý
hoặc yêu cầu xóa, hủy dữ liệu. Luật cũng quy định dữ liệu cá nhân là bí mật Nhà nước phải
được mã hoá; cơ quan, tổ chức, cá nhân quyết định việc mã hóa và giải mã phù hợp với hoạt
động xử lý. Trong lĩnh vực tài chính - ngân hàng, các tổ chức phải tuân thủ tiêu chuẩn an
toàn, bảo mật khi xử lý dữ liệu nhạy cảm như thông tin tài khoản, lịch sử giao dịch; không
được sử dụng dữ liệu tín dụng để chấm điểm tín dụng khi chưa có sự đồng ý của chủ thể. Các
nhà cung cấp mạng xã hội, dịch vụ truyền thông trực tuyến phải thông báo rõ dữ liệu thu
thập, không thu thập ngoài phạm vi thỏa thuận, cung cấp lựa chọn "không theo dõi" và
không nghe lén, ghi âm khi không có sự đồng ý. Nếu xảy ra vi phạm, bên kiểm soát dữ liệu và
bên xử lý dữ liệu phải thông báo cho Bộ Công an trong vòng 72 giờ theo quy định của luật.
4. Nghị định số 356/2025/NĐ-CP
Nghị định 356/2025/NĐ-CP (hiệu lực từ 01/01/2026) hướng dẫn chi tiết Luật Bảo vệ dữ
liệu cá nhân và thay thế Nghị định 13/2023/NĐ-CP. Một số nội dung đáng chú ý:
• Phạm vi áp dụng: nghị định áp dụng cho mọi cơ quan, tổ chức, cá nhân Việt Nam và nước
ngoài xử lý dữ liệu cá nhân tại Việt Nam; từ hộ kinh doanh nhỏ đến tập đoàn đa quốc gia đều
phải tuân thủ.
• Phân loại dữ liệu: doanh nghiệp phải phân loại dữ liệu cơ bản (họ tên, ngày sinh, giới tính,
số điện thoại, tình trạng hôn nhân...) và dữ liệu nhạy cảm như quan điểm chính trị, tôn giáo,
dữ liệu sức khỏe, sinh trắc học, thông tin ngân hàng, lịch sử giao dịch... Khi xử lý dữ liệu
nhạy cảm, doanh nghiệp bắt buộc có biện pháp bảo mật và phân quyền riêng biệt.
• Hai hồ sơ bắt buộc: doanh nghiệp phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
(DPIA) trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu và hồ sơ đánh giá tác động chuyển
dữ liệu ra nước ngoài nếu sử dụng máy chủ ở nước ngoài; hồ sơ phải cập nhật định kỳ 6
tháng.
• Nhân sự bảo vệ dữ liệu (DPO): doanh nghiệp phải chỉ định bộ phận hoặc nhân sự bảo vệ
dữ liệu cá nhân với trình độ từ cao đẳng trở lên, có kiến thức pháp lý và công nghệ; có ít
nhất hai năm kinh nghiệm liên quan. Nếu không có nhân sự chuyên trách, doanh nghiệp có
thể thuê ngoài dịch vụ bảo vệ dữ liệu.
• Điều kiện kinh doanh dịch vụ xử lý dữ liệu: tổ chức cung cấp dịch vụ xử lý dữ liệu như
chấm điểm tín dụng, phân tích dữ liệu, nền tảng định vị... phải xin giấy chứng nhận đủ điều
kiện kinh doanh tại Bộ Công an; phải đáp ứng yêu cầu về nhân sự, hạ tầng và để án kinh
doanh.
• Ưu đãi cho doanh nghiệp nhỏ: nghị định cho phép doanh nghiệp siêu nhỏ, hộ kinh doanh,
start-up hoãn thực hiện một số quy định (ví dụ: bổ nhiệm DPO) trong 5 năm đầu, trừ khi
kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm quy mô lớn.
• Mở rộng định nghĩa dữ liệu: nghị định bổ sung một số thông tin như dữ liệu về vợ/chồng
và dữ liệu theo dõi hành vi sử dụng viễn thông, mạng xã hội, dữ liệu về lịch sử giao dịch
ngân hàng... vào danh mục dữ liệu cá nhân cơ bản và nhạy cảm. Trong lĩnh vực ngân hàng,
dữ liệu nhạy cảm bao gồm tên đăng nhập, mật khẩu, thông tin thẻ, lịch sử giao dịch và các
thông tin tài chính khác.
• Thời hạn xử lý yêu cầu của chủ thể dữ liệu: bên kiểm soát dữ liệu phải phản hồi yêu cầu
của chủ thể trong vòng 2 ngày làm việc và thực hiện yêu cầu trong các thời hạn khác nhau:
15 ngày cho việc rút lại sự đồng ý hoặc hạn chế xử lý; 20 ngày nếu có bên thứ ba liên quan;
10 ngày đối với yêu cầu xem, chỉnh sửa dữ liệu; 20 ngày đối với yêu cầu xóa dữ liệu.
• Bảo vệ dữ liệu trong AI, blockchain, cloud và big data: nghị định yêu cầu bên kiểm soát dữ
liệu phải thông báo cho chủ thể dữ liệu khi sử dụng hệ thống AI để xử lý tự động, giải thích
nguyên tắc hoạt động thuật toán và cho phép chủ thể chọn không tham gia. Với blockchain,
không lưu trữ trực tiếp dữ liệu cá nhân mà chỉ lưu giá trị băm hoặc dữ liệu đã được khử
định danh. Với điện toán đám mây (cloud), phải quy định rõ trách nhiệm giữa bên thuê và
bên cung cấp dịch vụ; với dữ liệu lớn (big data), chỉ thu thập, xử lý, lưu trữ đúng phạm vi, có
biện pháp xác thực mạnh, mã hóa và giám sát liên tục. Sự đồng ý của chủ thể dữ liệu phải rõ
ràng cho từng mục đích, không được ngầm hiểu; bên kiểm soát phải lưu trữ bằng chứng về
sự đồng ý và chịu trách nhiệm chứng minh.
5. Luật Trí tuệ nhân tạo, Công nghiệp công nghệ số, đổi mới sáng tạo và chuyển đổi số
Luật Trí tuệ nhân tạo 2025 (hiệu lực 01/03/2026) yêu cầu ứng dụng AI phải tuân thủ
nguyên tắc quản lý rủi ro và phù hợp với pháp luật chuyên ngành. Luật Công nghiệp công
nghệ số 2025, Luật Khoa học, công nghệ và đổi mới sáng tạo 2025 và Luật Chuyển đổi số
2025 đều khuyến khích phát triển công nghệ số, trí tuệ nhân tạo, điện toán đám mây và
blockchain đồng thời yêu cầu bảo đảm an toàn, bảo mật và trách nhiệm của tổ chức cung cấp
dịch vụ.
IV. MÔ HÌNH TRIỂN KHAI - NĂM LỚP TUÂN THỦ
1. Phân loại dữ liệu: trước khi đưa hồ sơ vào hệ thống AI/DMS, doanh nghiệp cần phân loại
dữ liệu công khai, dữ liệu nội bộ, dữ liệu mật, dữ liệu cá nhân, dữ liệu nhạy cảm, dữ liệu hợp
đồng, dữ liệu tài chính...; dữ liệu nhạy cảm phải có biện pháp bảo vệ đặc biệt theo Nghị định
356.
2. Phân quyền truy cập: hệ thống phải phân quyền theo vai trò - nhân viên kinh doanh xem
được hợp đồng của khách hàng mình; phòng pháp chế rà soát nội dung; kế toán kiểm tra
điều khoản thanh toán; ban giám đốc duyệt và xem báo cáo. Phân quyền chặt chẽ là yêu cầu
của Luật Dữ liệu và Nghị định 356 trong việc quản lý rủi ro về quyền riêng tư và quản lý truy
cập.
3. Lưu vết và chứng minh lịch sử xử lý: DMS phải ghi nhận ai upload, ai xem, ai chỉnh sửa, ai
phê duyệt, phiên bản nào là bản cuối. Khi có tranh chấp hoặc kiểm tra nội bộ, doanh nghiệp
có thể chứng minh tính toàn vẹn và nguồn gốc của thông điệp dữ liệu như Luật Giao dịch
điện tử yêu cầu.
4. AI chỉ hỗ trợ, không thay thế quyết định pháp lý: hệ thống AI có thể tóm tắt hợp đồng,
trích xuất điều khoản, cảnh báo thiếu điều khoản bảo mật hay tranh chấp, nhưng kết quả AI
cần được người có thẩm quyền kiểm tra và quyết định. Luật Trí tuệ nhân tạo quy định ứng
dụng AI phải quản lý rủi ro và không thay thế tư vấn pháp lý của con người.
5. An ninh mạng và xử lý sự cố: doanh nghiệp phải sao lưu dữ liệu, bảo trì, phân cấp quyền
truy cập, sử dụng công cụ giám sát và đánh giá rủi ro định kỳ, đồng thời có kế hoạch xử lý sự
cố theo khuyến nghị của Luật Dữ liệu và Nghị định 356. Nếu xảy ra vi phạm dữ liệu cá nhân,
doanh nghiệp phải thông báo cho Bộ Công an trong vòng 72 giờ theo Luật Bảo vệ dữ liệu cá
nhân.
V. HỆ THỐNG AI LEGAL/DMS ĐẾ TUÂN THỦ PHÁP LUẬT
Khi đã xây dựng được năm lớp tuân thủ trên, doanh nghiệp có thể triển khai hệ thống AI
Legal/DMS theo mô hình:
1. Tầng dữ liệu: tập hợp và phân loại hồ sơ pháp lý: hợp đồng, giấy phép, hồ sơ nhân sự, hồ
sơ khách hàng, văn bản nội bộ.
2. Tầng DMS: lưu trữ tập trung, gắn metadata, phân quyền, quản lý phiên bản, lưu lịch sử xử
lý, tạo nền tảng để đáp ứng yêu cầu truy xuất và chứng minh nguồn gốc.
3. Tầng AI: cung cấp tính năng đọc hồ sơ (OCR), tóm tắt hợp đồng, trích xuất thông tin (bên,
đối tượng, giá trị, thời hạn, điều khoản phạ....), tìm kiếm ngữ nghĩa ("Hợp đồng thuê mặt
bằng sắp hết hạn trong 60 ngày tới"), cảnh báo điều khoản thiếu, hô trợ tạo mẫu văn bản,
email nhắc nhở, checklist tuân thủ. AI chỉ hoạt động trong phạm vi dữ liệu nội bộ và theo
phân quyền; kết quả được hiển thị rõ ràng để người có trách nhiệm phê duyệt.
4. Tầng quy trình: mô tả quy trình phê duyệt hợp đồng: nhân viên kinh doanh khởi tạo,
phòng pháp chế rà soát, kế toán kiểm tra, ban giám đốc phê duyệt, ký số, lưu bản cuối. Quy
trình có thể tùy chỉnh theo từng doanh nghiệp nhưng phải có phân quyền, lưu vết và tuân
thủ.
5. Tầng báo cáo: cung cấp dashboard để lãnh đạo nắm được tổng số hợp đồng, hợp đồng sắp
hết hạn, nghĩa vụ sắp tới, rủi ro (hợp đồng thiếu điều khoản, chưa đủ chữ ký), trạng thái xử
lý, và cảnh báo về dữ liệu cá nhân.
VI. KẾT LUẬN
Ứng dụng AI vào quản trị pháp lý không phải là dùng chatbot để thay luật sư. Giá trị thực sự
của AI Legal và DMS nằm ở việc xây dựng một hệ thống lưu trữ, phân loại, tìm kiếm, tóm tắt,
cảnh báo và báo cáo hợp đồng, hồ sơ và dữ liệu pháp lý với phân quyền, lưu vết và kiểm soát
rủi ro. Các luật và nghị định mới - đặc biệt là Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định
356/2025/NĐ-CP - đưa ra những yêu cầu cụ thể về phân loại dữ liệu, hồ sơ đánh giá tác
động, nhân sự bảo vệ dữ liệu, thời hạn xử lý yêu cầu của chủ thể, dữ liệu trong AI và công
nghệ mới. Doanh nghiệp triển khai AI Legal/DMS cần tuân thủ những quy định này và coi đó
là cơ hội để xây dựng hệ thống quản trị dữ liệu và pháp lý bền vững.
Chúng ta sẽ tiếp tục thảo luận sâu hơn và trao đổi với quý doanh nghiệp để thiết kế lộ trình
triển khai phù hợp, bao gồm đánh giá quy trình hiện tại, chuẩn hóa dữ liệu, lựa chọn giải
pháp DMS và AI, đào tạo nhân sự và thiết lập cơ chế tuân thủ. Như vậy, AI sẽ trở thành trợ
thủ đắc lực giúp doanh nghiệp giảm rủi ro, giảm chi phí và tăng tốc xử lý hợp đồng, thay vì là
nguồn gốc rủi ro mới.
I. MỞ ĐẦU - TỪ KHUNG PHÁP LÝ ĐẾN TRIỂN KHAI
Sau phần trình bày của luật sư, chúng ta thấy việc số hóá hồ sơ và ứng dụng trí tuệ nhân tạo
(AI) vào quản trị pháp lý doanh nghiệp không phải là chuyện "được hay không được". Pháp
luật Việt Nam hiện hành thừa nhận giá trị của thông điệp dữ liệu và hợp đồng điện tử, bảo
vệ dữ liệu số và dữ liệu cá nhân, đồng thời đặt ra yêu cầu quản trị rủi ro và trách nhiệm
trong việc xử lý dữ liệu. Vì vậy câu hỏi quan trọng nhất là: doanh nghiệp sẽ triển khai AI và
hệ thống quản lý tài liệu (Document Management System - DMS) như thế nào để vừa tuân
thủ pháp luật, vừa vận hành hiệu quả.
II. VÌ SAO DOANH NGHIỆP CẦN AI LEGAL/DMS?
1. Hợp đồng và hồ sơ phân tán: nhiều doanh nghiệp lưu trữ hợp đồng, văn bản pháp lý rải
rác ở email, mạng xã hội, ổ cứng cá nhân. Khi xảy ra tranh chấp hoặc cần tra cứu, rất khó xác
định bản cuối cùng, ai đã phê duyệt, điều khoản nào được thay đổi.
2. Không có cảnh báo: doanh nghiệp thường quên thời hạn thanh toán, ngày hết hạn hợp
đồng hoặc điều khoản phải gia hạn. Việc kiểm tra thủ công gây tốn thời gian và dễ sót.
3. Dữ liệu nội bộ bị chia sẻ tùy tiện: nhân viên có thể gửi bản hợp đồng có chứa thông tin cá
nhân hoặc bí mật kinh doanh lên các công cụ AI công cộng mà không có phân quyền và kiểm
soát.
4. Quy trình phê duyệt không rõ ràng: nhiều doanh nghiệp chưa có quy trình chuẩn để
phòng pháp chế rà soát, kế toán xác nhận và ban giám đốc phê duyệt trước khi ký hợp đồng.
5. Thiếu thống kê tổng thể: lãnh đạo không có bảng điều khiển (dashboard) để biết đang có
bao nhiêu hợp đồng đang hiệu lực, bao nhiêu nghĩa vụ cần thực hiện, rủi ro pháp lý ở đâu.
AI Legal và DMS được thiết kế để giải quyết những nỗi đau này bằng cách tự động hóa việc
lưu trữ, phân loại, tìm kiếm, tóm tắt và cảnh báo, đồng thời luôn ghi nhận lịch sử xử lý.
III. CƠ SỞ PHÁP LÝ ĐỂ SỐ HÓÁ VÀ DÙNG AI TRONG QUẢN TRỊ PHÁP LÝ
1. Hồ sơ điện tử và hợp đồng điện tử
Luật Giao dịch điện tử 2023 quy định thông điệp dữ liệu - tức thông tin được tạo, gửi, nhận
và lưu trữ bằng phương tiện điện tử - có giá trị pháp lý tương đương văn bản nếu thông tin
có thể truy cập và sử dụng để tham chiếu. Như vậy, hợp đồng lao động, hợp đồng xây dựng,
tín dụng... có thể được lập dưới dạng hợp đồng điện tử nếu đáp ứng hai điều kiện: (i) nội
dung có thể truy cập được và (ii) có thể tham chiếu lại khi cần. Luật cũng công nhận giá trị
pháp lý của thông điệp dữ liệu trong trường hợp pháp luật yêu cầu văn bản phải được
chứng thực hoặc công chứng, tạo tiền đề cho việc số hoá nhiều giao dịch trước đây chỉ thực
hiện trên giấy.
2. Dữ liệu số và quản trị rủi ro
Luật Dữ liệu 2024 (số 60/2024/QH15, hiệu lực từ 01/7/2025) điều chỉnh việc xây dựng,
phát triển, quản trị, xử lý và sử dụng dữ liệu số. Luật yêu cầu cơ quan, tổ chức phải xác định
và quản lý các rủi ro phát sinh trong xử lý dữ liệu, bao gồm rủi ro quyền riêng tư, rủi ro an
ninh mạng, rủi ro nhận dạng và quản lý truy cập, và các rủi ro khác như rủi ro chia sẻ và rủi
ro chất lượng dữ liệu. Một số biện pháp phòng ngừa rủi ro được khuyến nghị gồm: sao lưu
dữ liệu thường xuyên, bảo trì và nâng cấp hệ thống, phân cấp chặt chẽ quyền truy cập, sử
dụng hệ thống giám sát và phát hiện xâm nhập, đánh giá rủi ro định kỳ và đào tạo người sử
dụng. Đây là cơ sở pháp lý để doanh nghiệp triển khai hệ thống AI/DMS với phân quyền, lưu
vết, backup và quy trình xử lý sự cố.
3. Luật Bảo vệ dữ liệu cá nhân 2025 (số 91/2025/QH15)
Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ 01/01/2026, quy định dữ liệu cá nhân là bí mật
Nhà nước, việc xử lý phải tuân thủ nguyên tắc người dùng biết và đồng ý. Điều 7 của luật liệt
kê các hành vi bị nghiêm cấm như xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, cản trở
hoạt động bảo vệ dữ liệu cá nhân, lợi dụng việc bảo vệ dữ liệu để vi phạm pháp luật, xử lý dữ
liệu cá nhân trái quy định, sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái
pháp luật, mua bán dữ liệu cá nhân trừ trường hợp luật quy định khác. Luật yêu cầu sự đồng
ý của chủ thể dữ liệu phải rõ ràng; chủ thể có quyền rút lại sự đồng ý, yêu cầu hạn chế xử lý
hoặc yêu cầu xóa, hủy dữ liệu. Luật cũng quy định dữ liệu cá nhân là bí mật Nhà nước phải
được mã hoá; cơ quan, tổ chức, cá nhân quyết định việc mã hóa và giải mã phù hợp với hoạt
động xử lý. Trong lĩnh vực tài chính - ngân hàng, các tổ chức phải tuân thủ tiêu chuẩn an
toàn, bảo mật khi xử lý dữ liệu nhạy cảm như thông tin tài khoản, lịch sử giao dịch; không
được sử dụng dữ liệu tín dụng để chấm điểm tín dụng khi chưa có sự đồng ý của chủ thể. Các
nhà cung cấp mạng xã hội, dịch vụ truyền thông trực tuyến phải thông báo rõ dữ liệu thu
thập, không thu thập ngoài phạm vi thỏa thuận, cung cấp lựa chọn "không theo dõi" và
không nghe lén, ghi âm khi không có sự đồng ý. Nếu xảy ra vi phạm, bên kiểm soát dữ liệu và
bên xử lý dữ liệu phải thông báo cho Bộ Công an trong vòng 72 giờ theo quy định của luật.
4. Nghị định số 356/2025/NĐ-CP
Nghị định 356/2025/NĐ-CP (hiệu lực từ 01/01/2026) hướng dẫn chi tiết Luật Bảo vệ dữ
liệu cá nhân và thay thế Nghị định 13/2023/NĐ-CP. Một số nội dung đáng chú ý:
• Phạm vi áp dụng: nghị định áp dụng cho mọi cơ quan, tổ chức, cá nhân Việt Nam và nước
ngoài xử lý dữ liệu cá nhân tại Việt Nam; từ hộ kinh doanh nhỏ đến tập đoàn đa quốc gia đều
phải tuân thủ.
• Phân loại dữ liệu: doanh nghiệp phải phân loại dữ liệu cơ bản (họ tên, ngày sinh, giới tính,
số điện thoại, tình trạng hôn nhân...) và dữ liệu nhạy cảm như quan điểm chính trị, tôn giáo,
dữ liệu sức khỏe, sinh trắc học, thông tin ngân hàng, lịch sử giao dịch... Khi xử lý dữ liệu
nhạy cảm, doanh nghiệp bắt buộc có biện pháp bảo mật và phân quyền riêng biệt.
• Hai hồ sơ bắt buộc: doanh nghiệp phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
(DPIA) trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu và hồ sơ đánh giá tác động chuyển
dữ liệu ra nước ngoài nếu sử dụng máy chủ ở nước ngoài; hồ sơ phải cập nhật định kỳ 6
tháng.
• Nhân sự bảo vệ dữ liệu (DPO): doanh nghiệp phải chỉ định bộ phận hoặc nhân sự bảo vệ
dữ liệu cá nhân với trình độ từ cao đẳng trở lên, có kiến thức pháp lý và công nghệ; có ít
nhất hai năm kinh nghiệm liên quan. Nếu không có nhân sự chuyên trách, doanh nghiệp có
thể thuê ngoài dịch vụ bảo vệ dữ liệu.
• Điều kiện kinh doanh dịch vụ xử lý dữ liệu: tổ chức cung cấp dịch vụ xử lý dữ liệu như
chấm điểm tín dụng, phân tích dữ liệu, nền tảng định vị... phải xin giấy chứng nhận đủ điều
kiện kinh doanh tại Bộ Công an; phải đáp ứng yêu cầu về nhân sự, hạ tầng và để án kinh
doanh.
• Ưu đãi cho doanh nghiệp nhỏ: nghị định cho phép doanh nghiệp siêu nhỏ, hộ kinh doanh,
start-up hoãn thực hiện một số quy định (ví dụ: bổ nhiệm DPO) trong 5 năm đầu, trừ khi
kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm quy mô lớn.
• Mở rộng định nghĩa dữ liệu: nghị định bổ sung một số thông tin như dữ liệu về vợ/chồng
và dữ liệu theo dõi hành vi sử dụng viễn thông, mạng xã hội, dữ liệu về lịch sử giao dịch
ngân hàng... vào danh mục dữ liệu cá nhân cơ bản và nhạy cảm. Trong lĩnh vực ngân hàng,
dữ liệu nhạy cảm bao gồm tên đăng nhập, mật khẩu, thông tin thẻ, lịch sử giao dịch và các
thông tin tài chính khác.
• Thời hạn xử lý yêu cầu của chủ thể dữ liệu: bên kiểm soát dữ liệu phải phản hồi yêu cầu
của chủ thể trong vòng 2 ngày làm việc và thực hiện yêu cầu trong các thời hạn khác nhau:
15 ngày cho việc rút lại sự đồng ý hoặc hạn chế xử lý; 20 ngày nếu có bên thứ ba liên quan;
10 ngày đối với yêu cầu xem, chỉnh sửa dữ liệu; 20 ngày đối với yêu cầu xóa dữ liệu.
• Bảo vệ dữ liệu trong AI, blockchain, cloud và big data: nghị định yêu cầu bên kiểm soát dữ
liệu phải thông báo cho chủ thể dữ liệu khi sử dụng hệ thống AI để xử lý tự động, giải thích
nguyên tắc hoạt động thuật toán và cho phép chủ thể chọn không tham gia. Với blockchain,
không lưu trữ trực tiếp dữ liệu cá nhân mà chỉ lưu giá trị băm hoặc dữ liệu đã được khử
định danh. Với điện toán đám mây (cloud), phải quy định rõ trách nhiệm giữa bên thuê và
bên cung cấp dịch vụ; với dữ liệu lớn (big data), chỉ thu thập, xử lý, lưu trữ đúng phạm vi, có
biện pháp xác thực mạnh, mã hóa và giám sát liên tục. Sự đồng ý của chủ thể dữ liệu phải rõ
ràng cho từng mục đích, không được ngầm hiểu; bên kiểm soát phải lưu trữ bằng chứng về
sự đồng ý và chịu trách nhiệm chứng minh.
5. Luật Trí tuệ nhân tạo, Công nghiệp công nghệ số, đổi mới sáng tạo và chuyển đổi số
Luật Trí tuệ nhân tạo 2025 (hiệu lực 01/03/2026) yêu cầu ứng dụng AI phải tuân thủ
nguyên tắc quản lý rủi ro và phù hợp với pháp luật chuyên ngành. Luật Công nghiệp công
nghệ số 2025, Luật Khoa học, công nghệ và đổi mới sáng tạo 2025 và Luật Chuyển đổi số
2025 đều khuyến khích phát triển công nghệ số, trí tuệ nhân tạo, điện toán đám mây và
blockchain đồng thời yêu cầu bảo đảm an toàn, bảo mật và trách nhiệm của tổ chức cung cấp
dịch vụ.
IV. MÔ HÌNH TRIỂN KHAI - NĂM LỚP TUÂN THỦ
1. Phân loại dữ liệu: trước khi đưa hồ sơ vào hệ thống AI/DMS, doanh nghiệp cần phân loại
dữ liệu công khai, dữ liệu nội bộ, dữ liệu mật, dữ liệu cá nhân, dữ liệu nhạy cảm, dữ liệu hợp
đồng, dữ liệu tài chính...; dữ liệu nhạy cảm phải có biện pháp bảo vệ đặc biệt theo Nghị định
356.
2. Phân quyền truy cập: hệ thống phải phân quyền theo vai trò - nhân viên kinh doanh xem
được hợp đồng của khách hàng mình; phòng pháp chế rà soát nội dung; kế toán kiểm tra
điều khoản thanh toán; ban giám đốc duyệt và xem báo cáo. Phân quyền chặt chẽ là yêu cầu
của Luật Dữ liệu và Nghị định 356 trong việc quản lý rủi ro về quyền riêng tư và quản lý truy
cập.
3. Lưu vết và chứng minh lịch sử xử lý: DMS phải ghi nhận ai upload, ai xem, ai chỉnh sửa, ai
phê duyệt, phiên bản nào là bản cuối. Khi có tranh chấp hoặc kiểm tra nội bộ, doanh nghiệp
có thể chứng minh tính toàn vẹn và nguồn gốc của thông điệp dữ liệu như Luật Giao dịch
điện tử yêu cầu.
4. AI chỉ hỗ trợ, không thay thế quyết định pháp lý: hệ thống AI có thể tóm tắt hợp đồng,
trích xuất điều khoản, cảnh báo thiếu điều khoản bảo mật hay tranh chấp, nhưng kết quả AI
cần được người có thẩm quyền kiểm tra và quyết định. Luật Trí tuệ nhân tạo quy định ứng
dụng AI phải quản lý rủi ro và không thay thế tư vấn pháp lý của con người.
5. An ninh mạng và xử lý sự cố: doanh nghiệp phải sao lưu dữ liệu, bảo trì, phân cấp quyền
truy cập, sử dụng công cụ giám sát và đánh giá rủi ro định kỳ, đồng thời có kế hoạch xử lý sự
cố theo khuyến nghị của Luật Dữ liệu và Nghị định 356. Nếu xảy ra vi phạm dữ liệu cá nhân,
doanh nghiệp phải thông báo cho Bộ Công an trong vòng 72 giờ theo Luật Bảo vệ dữ liệu cá
nhân.
V. HỆ THỐNG AI LEGAL/DMS ĐẾ TUÂN THỦ PHÁP LUẬT
Khi đã xây dựng được năm lớp tuân thủ trên, doanh nghiệp có thể triển khai hệ thống AI
Legal/DMS theo mô hình:
1. Tầng dữ liệu: tập hợp và phân loại hồ sơ pháp lý: hợp đồng, giấy phép, hồ sơ nhân sự, hồ
sơ khách hàng, văn bản nội bộ.
2. Tầng DMS: lưu trữ tập trung, gắn metadata, phân quyền, quản lý phiên bản, lưu lịch sử xử
lý, tạo nền tảng để đáp ứng yêu cầu truy xuất và chứng minh nguồn gốc.
3. Tầng AI: cung cấp tính năng đọc hồ sơ (OCR), tóm tắt hợp đồng, trích xuất thông tin (bên,
đối tượng, giá trị, thời hạn, điều khoản phạ....), tìm kiếm ngữ nghĩa ("Hợp đồng thuê mặt
bằng sắp hết hạn trong 60 ngày tới"), cảnh báo điều khoản thiếu, hô trợ tạo mẫu văn bản,
email nhắc nhở, checklist tuân thủ. AI chỉ hoạt động trong phạm vi dữ liệu nội bộ và theo
phân quyền; kết quả được hiển thị rõ ràng để người có trách nhiệm phê duyệt.
4. Tầng quy trình: mô tả quy trình phê duyệt hợp đồng: nhân viên kinh doanh khởi tạo,
phòng pháp chế rà soát, kế toán kiểm tra, ban giám đốc phê duyệt, ký số, lưu bản cuối. Quy
trình có thể tùy chỉnh theo từng doanh nghiệp nhưng phải có phân quyền, lưu vết và tuân
thủ.
5. Tầng báo cáo: cung cấp dashboard để lãnh đạo nắm được tổng số hợp đồng, hợp đồng sắp
hết hạn, nghĩa vụ sắp tới, rủi ro (hợp đồng thiếu điều khoản, chưa đủ chữ ký), trạng thái xử
lý, và cảnh báo về dữ liệu cá nhân.
VI. KẾT LUẬN
Ứng dụng AI vào quản trị pháp lý không phải là dùng chatbot để thay luật sư. Giá trị thực sự
của AI Legal và DMS nằm ở việc xây dựng một hệ thống lưu trữ, phân loại, tìm kiếm, tóm tắt,
cảnh báo và báo cáo hợp đồng, hồ sơ và dữ liệu pháp lý với phân quyền, lưu vết và kiểm soát
rủi ro. Các luật và nghị định mới - đặc biệt là Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định
356/2025/NĐ-CP - đưa ra những yêu cầu cụ thể về phân loại dữ liệu, hồ sơ đánh giá tác
động, nhân sự bảo vệ dữ liệu, thời hạn xử lý yêu cầu của chủ thể, dữ liệu trong AI và công
nghệ mới. Doanh nghiệp triển khai AI Legal/DMS cần tuân thủ những quy định này và coi đó
là cơ hội để xây dựng hệ thống quản trị dữ liệu và pháp lý bền vững.
Chúng ta sẽ tiếp tục thảo luận sâu hơn và trao đổi với quý doanh nghiệp để thiết kế lộ trình
triển khai phù hợp, bao gồm đánh giá quy trình hiện tại, chuẩn hóa dữ liệu, lựa chọn giải
pháp DMS và AI, đào tạo nhân sự và thiết lập cơ chế tuân thủ. Như vậy, AI sẽ trở thành trợ
thủ đắc lực giúp doanh nghiệp giảm rủi ro, giảm chi phí và tăng tốc xử lý hợp đồng, thay vì là
nguồn gốc rủi ro mới.
Tóm tắt legal review
Mở cockpit chi tiếtTóm tắt điều hành
Hợp đồng dịch vụ liên quan đến việc triển khai hệ thống AI Legal/DMS cần được rà soát kỹ lưỡng để đảm bảo tuân thủ pháp luật và giảm thiểu rủi ro pháp lý.
Điểm tổng
An toàn (22%)
Tài chính
0/40
Vận hành
3/30
Pháp lý
19/30
Cam đoan/bảo đảm thiếu giới hạn phạm vi
Toàn văn hợp đồng • Reps & warranties
“KỊCH BẢN PHÁT BIỂU SAU PHÂN LUẬT SƯ (60 PHÚT) I. MỞ ĐẦU - TỪ KHUNG PHÁP LÝ ĐẾN TRIỂN KHAI Sau phần trình bày của luật sư, chúng ta thấy việc số hóá hồ sơ và ứng dụng trí tuệ nhân tạo (AI) vào quản trị pháp lý doanh nghiệp không phải là chu…”
Các cam đoan/bảo đảm có thể đang ở phạm vi rộng nhưng chưa thấy giới hạn về knowledge qualifier, materiality hoặc survival period.
Quản lý dữ liệu cá nhân
I. MỞ ĐẦU - TỪ KHUNG PHÁP LÝ ĐẾN TRIỂN KHAI •
“Pháp luật Việt Nam hiện hành thừa nhận giá trị của thông điệp dữ liệu và hợp đồng điện tử, bảo vệ dữ liệu số và dữ liệu cá nhân.”
Thiếu quy định cụ thể về cách thức xử lý và bảo vệ dữ liệu cá nhân có thể dẫn đến vi phạm pháp luật.
Rủi ro pháp lý cao nếu không tuân thủ các quy định về bảo vệ dữ liệu cá nhân.