Khi tài sản trí tuệ chuyển sang môi trường số, ranh giới bảo vệ không còn nằm ở không gian vật lý mà phụ thuộc vào khả năng kiểm soát truy cập và dữ liệu. Trao đổi với phóng viên, ông Nguyễn Đức Dũng, CEO Techcity, cho rằng năng lực bảo vệ tài sản số đang trở thành yếu tố cạnh tranh cốt lõi của doanh nghiệp.
Phóng viên: Thưa ông Nguyễn Đức Dũng, khi tài sản trí tuệ chuyển từ dạng vật lý (bằng sáng chế, giấy tờ) sang tài sản số như source code (mã nguồn), AI model (mô hình trí tuệ nhân tạo), database (nền tảng dữ liệu)… thì ranh giới bảo vệ đã thay đổi như thế nào?
Ông Nguyễn Đức Dũng: Khi tài sản trí tuệ còn ở dạng vật lý, ranh giới bảo vệ tương đối rõ: tài liệu được lưu trong tủ hồ sơ, bản thiết kế nằm trong phạm vi kiểm soát hữu hình, ai tiếp cận được thường có thể xác định. Nhưng khi chuyển sang dạng số, ranh giới đó gần như không còn nằm ở “không gian vật lý” nữa, mà chuyển sang “không gian truy cập”. Nói cách khác, vấn đề không còn là ai cầm được tài liệu, mà là ai có quyền truy cập, sao chép, tải xuống, chia sẻ hoặc đưa dữ liệu ra khỏi hệ thống.
Một bộ source code, một mô hình AI hay một cơ sở dữ liệu có thể bị sao chép gần như ngay lập tức, không để lại dấu vết dễ nhận biết như việc thất lạc tài liệu giấy. Vì vậy, ranh giới bảo vệ hiện nay không còn là cánh cửa hay két sắt, mà là hạ tầng bảo mật số, bao gồm phân quyền, giám sát truy cập, mã hóa dữ liệu và kiểm soát hành vi người dùng.
Một ví dụ rất điển hình là vụ án Waymo – Anthony Levandowski. Theo Bộ Tư pháp Mỹ, Levandowski đã nhận tội liên quan đến hành vi đánh cắp bí mật thương mại từ chương trình xe tự lái của Google/Waymo; bản chất vụ việc không phải là lấy đi một hồ sơ giấy, mà là tiếp cận và sử dụng thông tin kỹ thuật số có giá trị rất cao. Vụ này cho thấy khi IP (Intellectual Property - Sở hữu trí tuệ) nằm ở dạng dữ liệu kỹ thuật, chỉ cần hành vi sao chép số là đã có thể tạo ra thiệt hại ở quy mô rất lớn.
Ông Nguyễn Đức Dũng, CEO Techcity.
Ông Nguyễn Đức Dũng, CEO Techcity.
Phóng viên: Vậy theo ông, vì sao trong môi trường số, một sản phẩm đang phát triển cũng có thể bị “đánh cắp” và thậm chí bị đăng ký bản quyền trước chính chủ sở hữu?
Ông Nguyễn Đức Dũng: Trong môi trường số, một sản phẩm không cần hoàn thiện 100% mới có giá trị. Chỉ cần một phần source code, một ý tưởng kiến trúc hệ thống, một bộ dữ liệu huấn luyện, hay một mô hình vận hành là đã có thể bị sao chép, chỉnh sửa và phát triển tiếp theo hướng thương mại hóa. Đây là điểm khác biệt rất lớn so với tài sản vật lý. Nguy hiểm hơn, quá trình phát triển sản phẩm số thường có nhiều bên cùng tham gia: đội ngũ kỹ thuật, đơn vị thuê ngoài, đối tác tích hợp, nhà cung cấp hạ tầng…
Nếu không có cơ chế kiểm soát và xác lập quyền sở hữu rõ ràng ngay từ đầu, một bên có thể tiếp cận tài sản đang hình thành, sau đó tìm cách đăng ký quyền sở hữu trước, hoặc công bố sản phẩm ra thị trường sớm hơn. Khi đó, chủ sở hữu thật sự không chỉ bị mất lợi thế cạnh tranh mà còn có thể rơi vào thế phải chứng minh ngược lại rằng đó là tài sản của mình.
Nếu không có cơ chế kiểm soát và xác lập quyền sở hữu rõ ràng ngay từ đầu, một bên có thể tiếp cận tài sản đang hình thành, sau đó tìm cách đăng ký quyền sở hữu trước, hoặc công bố sản phẩm ra thị trường sớm hơn. Khi đó, chủ sở hữu thật sự không chỉ bị mất lợi thế cạnh tranh mà còn có thể rơi vào thế phải chứng minh ngược lại rằng đó là tài sản của mình.
Phóng viên: Nội bộ tổ chức, từ developer (lập trình viên/nhà phát triển phần mềm), quản lý dữ liệu đến đối tác đóng vai trò gì trong các vụ rò rỉ, và vì sao đây lại là mắt xích rủi ro lớn nhất, thưa ông?
Ông Nguyễn Đức Dũng: Trong phần lớn các vụ rò rỉ tài sản số, yếu tố nội bộ luôn là một mắt xích rất quan trọng. Lý do rất đơn giản: người trong nội bộ là những người có quyền truy cập hợp lệ, hiểu cấu trúc hệ thống, biết dữ liệu nào có giá trị và biết cách lấy dữ liệu ra mà không gây nghi ngờ ngay lập tức.
Rủi ro này không chỉ đến từ hành vi cố ý, mà còn đến từ sự bất cẩn trong công việc hằng ngày. Một lập trình viên có thể sao chép mã nguồn để làm việc ngoài giờ trên máy cá nhân, một nhân sự dữ liệu có thể tải xuống file phục vụ báo cáo, hay một đối tác triển khai có thể được cấp quyền quá rộng so với nhu cầu thực tế. Chính vì các hành vi đó diễn ra trong “vùng hợp lệ”, nên chúng khó bị phát hiện hơn nhiều so với tấn công từ bên ngoài.
Có thể nói, hacker bên ngoài thường phải tìm cách vượt qua hàng rào, còn rủi ro nội bộ là những người đã ở sẵn bên trong hàng rào. Đó là lý do vì sao đây luôn là mắt xích rủi ro lớn nhất.
Vụ Tesla năm 2023 là một minh họa rõ. Báo cáo gửi bang Maine nêu tổng cộng hơn 75 nghìn người bị ảnh hưởng và mô tả nguyên nhân là “insider wrongdoing”. Nói cách khác, đây không phải mô hình hacker phá từ ngoài vào, mà là sự cố bắt nguồn từ người bên trong.
Một thí dụ kinh điển khác là vụ Coca-Cola năm 2006. Theo hồ sơ DOJ, một nhân sự nội bộ cùng đồng phạm đã tìm cách bán bí mật thương mại của Coca-Cola cho Pepsi; sau đó Pepsi báo lại cho Coca-Cola và FBI, dẫn tới điều tra và kết án hình sự. Đây là minh chứng rất rõ rằng mối nguy lớn nhất đôi khi không đến từ “đối thủ vô danh ngoài Internet”, mà đến từ người đã có mặt sẵn trong hệ thống và hiểu giá trị của thông tin mình đang nắm giữ.
Ông Nguyễn Đức Dũng, CEO Techcity chia sẻ tại Hội thảo.
Ông Nguyễn Đức Dũng, CEO Techcity chia sẻ tại Hội thảo.
Ông Nguyễn Đức Dũng, CEO Techcity chia sẻ tại Hội thảo.
Ông Nguyễn Đức Dũng, CEO Techcity chia sẻ tại Hội thảo.
Có thể nói, hacker bên ngoài thường phải tìm cách vượt qua hàng rào, còn rủi ro nội bộ là những người đã ở sẵn bên trong hàng rào.
Đó là lý do vì sao đây luôn là mắt xích rủi ro lớn nhất.
Phóng viên: Theo ông, sự bùng nổ của AI (trí tuệ nhân tạo) và các công cụ như ChatGPT đang vô tình làm gia tăng nguy cơ lộ dữ liệu bản quyền như thế nào trong thói quen làm việc hàng ngày?
Ông Nguyễn Đức Dũng: Điểm đáng chú ý là AI đang trở thành công cụ làm việc hằng ngày, từ lập trình, viết nội dung, phân tích dữ liệu đến hỗ trợ vận hành. Điều này mang lại năng suất rất lớn, nhưng cũng làm xuất hiện một dạng rủi ro mới: rò rỉ tài sản trí tuệ theo cách rất vô thức. Ví dụ, nhân sự có thể dán một đoạn source code nội bộ vào công cụ AI để nhờ sửa lỗi, tải một tài liệu chưa công bố để nhờ tóm tắt, hoặc đưa dữ liệu khách hàng vào hệ thống để phân tích nhanh.
Trong suy nghĩ của nhiều người, đó chỉ là thao tác kỹ thuật để tăng hiệu quả công việc. Nhưng về bản chất, họ đang đưa tài sản trí tuệ hoặc dữ liệu nhạy cảm ra ngoài phạm vi kiểm soát của doanh nghiệp. Rủi ro lớn nhất ở đây là tính “vô thức” và “thường nhật”. Nó không giống một cuộc tấn công có chủ đích, mà là sự rò rỉ từng phần, lặp đi lặp lại, qua các thao tác tưởng như rất bình thường. Nếu doanh nghiệp không có chính sách AI nội bộ rõ ràng, không phân loại dữ liệu được phép sử dụng với AI, và không kiểm soát công cụ đang dùng, nguy cơ lộ dữ liệu bản quyền sẽ tăng lên rất nhanh.
Sự cố Samsung năm 2023 là ví dụ điển hình. Bloomberg và CIO Dive đều đưa tin rằng Samsung đã phát hiện nhân viên tải dữ liệu nhạy cảm, trong đó có mã nguồn và thông tin liên quan công việc kỹ thuật, lên ChatGPT; sau đó công ty phải siết hoặc cấm việc dùng các công cụ AI tạo sinh trong nội bộ. Đây là trường hợp rất đáng chú ý vì nó cho thấy rò rỉ IP qua AI không phải kịch bản giả định, mà đã xảy ra ở một tập đoàn công nghệ lớn.
Nếu doanh nghiệp không có chính sách AI nội bộ rõ ràng, không phân loại dữ liệu được phép sử dụng với AI, và không kiểm soát công cụ đang dùng, nguy cơ lộ dữ liệu bản quyền sẽ tăng lên rất nhanh.
Phóng viên: Theo ông, trong bối cảnh mà chúng ta phân tích ở trên, liệu việc “sáng tạo công nghệ” có còn đủ, hay “năng lực bảo vệ tài sản số” mới là lợi thế cạnh tranh cốt lõi của tổ chức?
Ông Nguyễn Đức Dũng: Sáng tạo công nghệ vẫn luôn là điều kiện tiên quyết, bởi không có sáng tạo thì không có sản phẩm, không có đổi mới, không có khác biệt. Tuy nhiên, trong bối cảnh hiện nay, chỉ sáng tạo thôi là chưa đủ. Một tổ chức có thể tạo ra công nghệ rất tốt, nhưng nếu không bảo vệ được tài sản số của mình thì lợi thế đó có thể bị triệt tiêu rất nhanh.
Trên thực tế, khoảng cách giữa “người sáng tạo ra đầu tiên” và “người thương mại hóa tốt hơn” ngày càng ngắn. Nếu công nghệ bị sao chép, dữ liệu bị rò rỉ, mô hình bị lấy cắp hoặc mã nguồn bị nhân bản, thì lợi thế sáng tạo ban đầu có thể biến mất chỉ trong thời gian ngắn.
Vì vậy, ở góc độ quản trị hiện đại, tôi cho rằng năng lực cạnh tranh cốt lõi không chỉ nằm ở khả năng sáng tạo ra công nghệ, mà còn nằm ở khả năng bảo vệ, kiểm soát và duy trì độc quyền khai thác tài sản số đó. Tổ chức nào bảo vệ tốt hơn, tổ chức đó có cơ hội giữ được lợi thế lâu dài hơn.
Vụ Waymo-Levandowski cho thấy ngay cả ở lĩnh vực công nghệ cao, nơi giá trị nằm ở tri thức kỹ thuật và tốc độ đổi mới, việc đánh cắp bí mật thương mại có thể tác động trực tiếp đến lợi thế cạnh tranh của doanh nghiệp. Còn vụ Samsung-ChatGPT lại cho thấy nếu không kiểm soát tốt khâu bảo vệ, thì chính công cụ hỗ trợ đổi mới cũng có thể trở thành kênh làm suy yếu thành quả đổi mới đó.
Hai sự kiện này phản ánh rất rõ rằng trong thời đại AI và cloud, năng lực bảo vệ tài sản số đã trở thành một phần không thể tách rời của năng lực cạnh tranh.
Phóng viên: Theo ông, doanh nghiệp cần kết hợp những yếu tố nào, từ kiểm soát truy cập, audit log (nhật ký kiểm toán), chính sách AI nội bộ đến NDA (Non-Disclosure Agreement - Thỏa thuận bảo mật thông tin) và pháp lý để xây dựng một hệ thống bảo hộ sở hữu trí tuệ thực sự hiệu quả?
Ông Nguyễn Đức Dũng: Để bảo hộ sở hữu trí tuệ hiệu quả trong môi trường số, doanh nghiệp cần nhìn đây là một hệ thống tổng thể, chứ không phải một biện pháp riêng lẻ. Không thể chỉ dựa vào pháp lý mà thiếu kỹ thuật, cũng không thể chỉ đầu tư công nghệ mà bỏ qua quy trình và con người.
Theo đó, thứ nhất là kiểm soát truy cập, tức mỗi cá nhân chỉ được tiếp cận đúng phần dữ liệu, mã nguồn hoặc tài nguyên cần thiết cho công việc của mình. Quyền truy cập phải được phân tách rõ, tránh cấp quyền rộng hoặc dùng chung tài khoản.
Hai là, cần audit log và giám sát, để biết ai đã truy cập gì, tải gì, chỉnh sửa gì, chia sẻ gì, vào thời điểm nào. Không có log thì gần như không thể điều tra khi xảy ra sự cố, cũng không thể phát hiện sớm các hành vi bất thường.
Ba là về chính sách AI nội bộ, đây là yếu tố rất mới nhưng cực kỳ quan trọng. Doanh nghiệp cần quy định rõ dữ liệu nào được phép đưa vào công cụ AI, dữ liệu nào tuyệt đối không được sử dụng, công cụ nào được phê duyệt, và ai chịu trách nhiệm giám sát việc sử dụng đó.
Bốn là ràng buộc pháp lý và hợp đồng, bao gồm NDA với nhân sự, đối tác, nhà thầu, cùng với các điều khoản xác lập rõ quyền sở hữu đối với mã nguồn, dữ liệu, tài liệu thiết kế, sản phẩm trung gian và kết quả nghiên cứu phát sinh trong quá trình hợp tác.
Cuối cùng là ý thức bảo mật trong toàn tổ chức. Công nghệ có thể tạo lớp phòng thủ, nhưng con người mới là yếu tố quyết định việc lớp phòng thủ đó có hiệu quả hay không. Khi doanh nghiệp kết hợp được cả kỹ thuật, quy trình, pháp lý và văn hóa bảo mật, lúc đó hệ thống bảo hộ sở hữu trí tuệ mới thực sự có giá trị bền vững.
Thực tế cho thấy khi thiếu một mắt xích, toàn bộ hệ thống sẽ yếu đi. Samsung có bài học về chính sách AI nội bộ sau sự cố lộ mã nguồn; Tesla cho thấy nếu không kiểm soát tốt người trong cuộc và khả năng giám sát hành vi nội bộ thì rủi ro là rất lớn; còn vụ Coca-Cola là thí dụ cho thấy NDA, kiểm soát nội bộ và khả năng phản ứng pháp lý nhanh có ý nghĩa quyết định khi sự cố xảy ra. Nói ngắn gọn, doanh nghiệp phải kết hợp được kỹ thuật, quy trình, pháp lý và con người thì mới có thể xây dựng một cơ chế bảo hộ IP thực sự hiệu quả.
Xin cảm ơn ông Nguyễn Đức Dũng!
Ngày xuất bản: 13/4/2026
Chỉ đạo sản xuất: Nguyễn Ngọc Thanh
Tổ chức thực hiện: Hoàng Nhật-Nam Đông
Nội dung: Thảo Lê-Thiên Lam
Trình bày: Thùy Lâm
