Doanh nghiệp của bạn đã chọn Microsoft Copilot. Tuy nhiên, để viết một email tế nhị, chuẩn bị bài thuyết trình hay tóm tắt một tài liệu, bạn vẫn tiếp tục sử dụng Trò chuyệnGPT. Hoặc có thể bạn thích Claude để viết những văn bản tự nhiên hơn hoặc thậm chí là Song Tử vì bạn làm việc trong hệ sinh thái Google. Phản xạ này đã trở nên phổ biến ở nhiều tổ chức. Đến mức một thuật ngữ đã được thiết lập giữa các chuyên gia: THE “AI bóng tối”hoặc sử dụng các công cụ trí tuệ nhân tạo không được nhà tuyển dụng xác nhận.
Thoạt nhìn, rủi ro có vẻ hạn chế. Xét cho cùng, việc yêu cầu AI viết lại một bức thư hoặc tóm tắt một cuộc họp không phải là bất hợp pháp. Nhưng tình hình sẽ thay đổi khi thông tin chuyên môn được nhập vào các công cụ này. Hợp đồng khách hàng, Dữ liệu nhân sự, báo cáo nội bộ, tài liệu chiến lược hoặc mã máy tính sau đó có thể được tìm thấy trong các dịch vụ bên ngoài hệ thống thông tin của công ty. Một thực tiễn có thể đặt ra câu hỏi về tính bảo mật, an ninh mạngbảo vệ dữ liệu cá nhân và, trong một số trường hợp, dẫn đến các biện pháp kỷ luật.
Vì sao “Shadow AI” bùng nổ trong doanh nghiệp?
Hiện tượng này còn lâu mới đến mức cận biên. Theo một nghiên cứu của Microsoft Pháp được công bố vào năm 2026, 61% nhân viên sử dụng AI trong kinh doanh sử dụng các công cụ sáng tạo thông qua tài khoản cá nhân ít nhất một lần một tuần, ngoài các giải pháp được chủ lao động chính thức triển khai. Nicolas Gaudemet, Giám đốc AI của một điểmmột công ty tư vấn và chuyển đổi kỹ thuật số của Pháp, xác nhận xu hướng này. “Có gần 50% người Pháp sử dụng ChatGPT mỗi tháng. Rõ ràng những người Pháp này cũng làm việc. Họ đang ở trong công ty và thỉnh thoảng sẽ kết nối với ChatGPT vì những mục đích nhất định”anh ấy quan sát.
Hiện tượng này không chỉ giới hạn ở OpenAI. “ Song Tử cũng được hưởng lợi từ tỷ lệ thâm nhập cao vì nó đang dần được tích hợp vào các công cụ của Google. Trong số các nhà phát triển, Claude hoặc Codex cũng đang được áp dụng mạnh mẽ”anh ấy nhấn mạnh. Đối với Jean-Noël Chaintreuil, chuyên gia về AI ứng dụng vào nguồn nhân lực, sự nhiệt tình này thường phản ánh khoảng cách giữa nhu cầu của nhân viên và các công cụ có sẵn cho họ. “Khi một nhân viên bỏ qua công cụ nội bộ, hầu như luôn luôn là do giải pháp chính thức làm chậm nó. Chúng ta trừng phạt triệu chứng trong khi tin rằng chúng ta đang điều trị nguyên nhân. »
Tại sao các công ty thường áp đặt Microsoft Copilot?
Nếu Microsoft Copilot được thành lập ở nhiều tổ chức thì không phải ngẫu nhiên. “Microsoft đã có mặt rất nhiều trong các doanh nghiệp với bộ Office. Phi công phụ là một lối vào tự nhiên vì nó được neo trong email, cuộc họp hoặc không gian SharePoint »Nicolas Gaudemet giải thích. Các công ty khác chọn cách tiếp cận khác bằng cách phát triển nền tảng bảo mật của riêng họ.
Tại Onepoint, điều này dẫn đến việc tạo ra Neo, một môi trường AI được hàng nghìn nhân viên sử dụng trong nội bộ và cũng có thể chuyên biệt cho các chức năng hoặc khách hàng cụ thể. Mục tiêu là cho phép truy cập vào nhiều mô hình AI đồng thời duy trì quyền kiểm soát dữ liệu của công ty. Một số công ty thậm chí còn đi xa hơn khi đàm phán trực tiếp giấy phép ChatGPT Enterprise hoặc Gemini Enterprise để cung cấp các chức năng tương tự như các phiên bản công khai đồng thời được hưởng lợi từ các đảm bảo hợp đồng được tăng cường.
Nhân viên có thể bị xử phạt vì sử dụng AI trái phép không?
Có, nhưng câu trả lời phần lớn phụ thuộc vào khuôn khổ mà công ty đưa ra. Việc sử dụng ChatGPT, Claude hoặc Gemini không bị pháp luật cấm. Mặt khác, một công ty hoàn toàn có thể hạn chế hoặc điều chỉnh việc sử dụng chúng thông qua điều lệ CNTT, bản ghi nhớ dịch vụ hoặc các quy định nội bộ của công ty. “Việc xử phạt giả định trước một quy tắc rõ ràng, được biết đến và có thể thực thi được. Nếu điều lệ CNTT hoặc bản ghi nhớ dịch vụ cấm rõ ràng những việc sử dụng này, hành vi vi phạm có thể biện minh cho việc trừng phạt”Jean-Noël Chaintreuil nhớ lại.
Trên thực tế, nhân viên thường sẽ không bị xử phạt vì họ đã sử dụng ChatGPT, Claude hoặc Gemini. Khó khăn xuất hiện khi việc sử dụng này đi kèm với việc vi phạm nghĩa vụ nghề nghiệp. Cụ thể, người sử dụng lao động có thể viện dẫn việc không tuân thủ điều lệ CNTT hoặc chính sách nội bộ liên quan đến trí tuệ nhân tạo. Nó cũng có thể dựa vào nghĩa vụ trung thànhquy định tại điều L.1222-1 của Bộ luật Lao động, trong đó yêu cầu người lao động phải hành động có thiện chí và bảo vệ lợi ích của công ty.
Các biện pháp xử phạt có thể từ cảnh cáo đơn giản đến cảnh cáo hoặc thậm chí kỷ luật sa thải. Trong những trường hợp nghiêm trọng nhất, có thể xem xét sa thải, đặc biệt nếu việc sử dụng AI dẫn đến rò rỉ thông tin bí mật hoặc vi phạm nghĩa vụ bảo mật của công ty. Tuy nhiên, cho đến nay vẫn chưa có không có tài liệu tham khảo án lệ Pháp đặc biệt liên quan đến việc sa thải một nhân viên vì sử dụng trái phép trí tuệ nhân tạo sáng tạo. Do đó, mọi biện pháp trừng phạt đều dựa trên việc áp dụng luật lao động truyền thống, nghĩa vụ bảo mật và các quy định nội bộ của công ty.
Những rủi ro đối với dữ liệu của công ty là gì?
Đối với các chuyên gia, mối nguy hiểm chính không nằm ở công cụ mà nằm ở thông tin được giao phó cho nó. “Rủi ro phụ thuộc ít vào công cụ hơn là vào những gì chúng ta đưa vào nó”tóm tắt Jean-Noël Chaintreuil, trước khi tiếp tục: “Một nhân viên yêu cầu ChatGPT viết lại một email vô hại thì chẳng làm được gì nhiều. Chính nhân viên đó đã dính vào hợp đồng khách hàng, tệp bảng lương hoặc mã độc quyền trong một AI chính thống sẽ vạch trần công ty của anh ta và bộc lộ bản thân anh ta. »
Hợp đồng thương mại, dữ liệu tài chính, chiến lược công ty, tài liệu bí mật hoặc thậm chí mã nguồn có thể mất một phần khả năng bảo vệ khi chúng được truyền tới các dịch vụ bên ngoài. Nicolas Gaudemet cũng nhấn mạnh vào sự khác biệt giữa giải pháp tiêu dùng và công cụ được triển khai trong doanh nghiệp. “Các công cụ dành cho người tiêu dùng có mức độ bảo mật dành cho người tiêu dùng. Đây không phải là mức độ bảo mật mà chúng tôi yêu cầu đối với dữ liệu nhạy cảm của công ty hoặc khách hàng”anh ấy nhấn mạnh.
Những rủi ro liên quan đến GDPR và bí mật thương mại là gì?
Các vấn đề không chỉ liên quan đến bảo mật CNTT. Khi nhân viên nhập dữ liệu cá nhân liên quan đến khách hàng, ứng viên hoặc cộng tác viên khác vào AI, anh ta có thể tạo nguy cơ không tuân thủ Tại GDPR. “Truyền dữ liệu cá nhân đến một công cụ không được kiểm soát, không có cơ sở pháp lý hoặc không có sự giám sát việc truyền tải, có thể cấu thành hành vi vi phạm”Jean-Noël Chaintreuil nhớ lại.
Các hình phạt mà công ty phải gánh chịu có thể rất đáng kể. GDPR quy định mức phạt lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm. Nicolas Gaudemet cũng chỉ ra rằng một số dữ liệu cá nhân nhất định phải chịu những hạn chế nghiêm ngặt về mặt địa lý. “Ngoài ra còn có một khía cạnh về lãnh thổ. Dữ liệu cá nhân phải được xử lý ở Châu Âu, việc chuyển sang Hoa Kỳ yêu cầu phân tích tác động »anh ấy nhấn mạnh.
Việc sử dụng AI công cộng cũng có thể gây ra vấn đề liên quan đến bí mật thương mại. Kể từ luật ngày 30 tháng 7 năm 2018, các công ty phải chứng minh rằng họ đã thực hiện các biện pháp hợp lý để bảo vệ thông tin chiến lược của mình. “Đưa một kế hoạch chiến lược vào AI công cộng hoàn toàn trái ngược với một biện pháp hợp lý”tóm tắt Jean-Noël Chaintreuil.
Các công ty có thể phát hiện những cách sử dụng này không?
Nhiều nhân viên cho rằng việc sử dụng ChatGPT hoặc Claude một cách kín đáo sẽ không được chú ý. Điều này không phải luôn luôn như vậy. “Các Phòng Hệ thống Thông tin có các công cụ cho phép họ biết khi nào các kết nối được thực hiện với các dịch vụ của công ty. Họ có thể đo lường việc nhân viên sử dụng một số AI nhất định trên thị trường”Nicolas Gaudemet giải thích.
Một số công ty chọn chặn hoàn toàn quyền truy cập vào các dịch vụ này. Những người khác giám sát luồng mạng hoặc triển khai các công cụ ngăn ngừa mất dữ liệu. Nhưng đối với các chuyên gia, chỉ giám sát thôi là chưa đủ. “Bạn chặn một miền, nhân viên sẽ chuyển sang điện thoại cá nhân của họ. Đòn bẩy thực sự là sự thay thế đáng tin cậy. Mọi người làm việc xung quanh những gì làm họ chậm lại, chứ không phải những gì giúp ích cho họ.”Jean-Noël Chaintreuil kết luận.
