Gen AI đang làm giảm chi phí của các hành động pháp lý — doanh nghiệp cần chuẩn bị

• AI đang giúp khách hàng, nhân viên, đối thủ cạnh tranh và cơ quan quản lý dễ dàng và rẻ hơn trong việc thực hiện hành động pháp lý
• Rủi ro pháp lý trong tương lai sẽ xuất hiện dưới dạng các cuộc điều tra pháp lý tương tự như các cuộc tấn công phishing trên internet, được sản xuất hàng loạt thay vì mang tính cá biệt và do nhiều tác nhân khởi xướng
• Khi được tổ chức, chúng có thể diễn ra theo cách làm tê liệt mục tiêu bằng dòng lưu lượng đổ vào như một cuộc tấn công DDoS
• Doanh nghiệp cần tham khảo các biện pháp ứng phó của an ninh mạng để nhanh chóng xây dựng chiến lược xác định lỗ hổng, phân tích tác động, giảm thiểu rủi ro và truyền thông với các bên liên quan

Khả năng thay đổi mang tính cách mạng của dịch vụ pháp lý

• Năm ngoái, Bộ Tài chính Mỹ đã đề xuất một dự luật mở rộng công bố thông tin về tiền mã hóa nhằm ngăn chặn trốn thuế
• Ngành công nghiệp tiền mã hóa đã phản đối mạnh mẽ, cho rằng các nghĩa vụ này quá rộng
• Cộng đồng nhà phát triển/luật sư mang tên "LexPunk Army", nơi cung cấp hỗ trợ pháp lý cho ngành tài chính phi tập trung, đã công bố một bot AI cho phép bất kỳ ai cũng có thể gửi ý kiến về dự thảo quy định
• Nhờ bot này, việc gửi ý kiến đúng định dạng trở nên dễ dàng, làn sóng gửi ý kiến hàng loạt đã làm chậm động thái của Bộ Tài chính và đặt nền tảng cho các phản đối pháp lý trong tương lai
• Thông thường số lượng ý kiến về một quy định mới chỉ khoảng 3, nhưng dự thảo này đã nhận tới 120.000 ý kiến
• Quy định cuối cùng đã được nới lỏng đáng kể, và Blockchain Association đánh giá đây là kết quả phản ánh tiếng nói mạnh mẽ của ngành và cộng đồng
• Điều này đặt ra câu hỏi liệu đây chỉ là chiến thắng nhất thời của một nhóm nhỏ am hiểu công nghệ và pháp luật, hay sẽ gây ra sự xáo trộn rộng khắp trong cách cá nhân và doanh nghiệp sử dụng pháp luật
• Chúng tôi tin là vế sau, và xem đây là ví dụ điển hình về việc công nghệ khuếch đại mang tính cách mạng các dịch vụ và quy trình pháp lý, đồng thời tạo ra cả cơ hội lẫn thách thức cho chính phủ và doanh nghiệp

Tình hình thế giới bất ổn

• Không chỉ pháp luật được số hóa mà cục diện thế giới cũng đang thay đổi
• Hiện nay, thế giới đang ở trong tình trạng mức độ phơi nhiễm pháp lý nói chung tăng lên do bất ổn địa chính trị và sự suy yếu của pháp quyền
• Những cơ chế pháp lý truyền thống từng điều chỉnh hành vi doanh nghiệp đang sụp đổ
  • Quy trình giải quyết tranh chấp của WTO đã bị vô hiệu hóa
  • Chiến tranh mới đồng nghĩa với các lệnh trừng phạt mới
  • Các quốc gia đang áp dụng quy định riêng, tạo ra những bộ quy tắc phức tạp cần tuân thủ
  • Các chính trị gia đe dọa truy tố đối thủ và phản đối kết quả bầu cử tại những khu vực tài phán vốn trước đây được xem là tự do và công bằng
• Sự hỗn loạn này tạo ra rủi ro pháp lý mới cho các doanh nghiệp toàn cầu
• Theo khảo sát năm 2022, 99% phụ trách pháp lý nội bộ cho biết các vấn đề pháp lý đã tăng lên đáng kể và trở nên phức tạp hơn
• Hành động pháp lý có thể được khởi xướng bởi các chủ thể theo đuổi lợi ích kinh tế hoặc chính trị như đối thủ cạnh tranh, nhân viên, khách hàng và cơ quan quản lý nhà nước

Chi phí pháp lý đang giảm

• Doanh nghiệp chi hàng trăm triệu USD mỗi năm cho dịch vụ pháp lý
• Những doanh nghiệp trả hàng nghìn USD mỗi giờ cho luật sư có thể không cảm nhận được chi phí pháp lý đang giảm, nhưng một thay đổi căn bản được dự báo sẽ diễn ra
• Xét trường hợp gửi ý kiến đối với đề xuất quy định tiền mã hóa dài khoảng 100.000 từ của Bộ Tài chính,
  • Nếu một người bình thường đọc 225 từ mỗi phút, chỉ riêng việc đọc dự luật đã mất 8 giờ
  • Việc soạn phản hồi cho nó có thể mất thêm 2 giờ
  • Đây còn chưa tính thời gian phân tích, chỉ xét thời gian cần để hiểu và viết phản hồi
  • Áp dụng mức phí doanh nghiệp trung bình 500 USD/giờ thì 10 giờ sẽ tốn 5.000 USD
  • Nếu luật sư đắt hơn thực hiện công việc ở phạm vi rộng hơn thì chi phí có thể lớn hơn rất nhiều
• Tuy nhiên, khi đưa dự thảo quy định này vào mô hình ngôn ngữ lớn (LLM), nó đã tạo ra bản tóm tắt ngắn gọn, dễ hiểu chỉ trong vài phút
• Khi giao cho LLM các vai trò khác nhau như môi giới Bitcoin hay người mua Bitcoin, nó giải thích vì sao mỗi bên cần quan tâm đến quy định này và soạn sẵn ý kiến có thể gửi đi
  • Về thực tế, việc này hầu như không tốn thời gian và chi phí
• Nhưng nếu các công cụ như vậy bị lạm dụng để chống lại doanh nghiệp thì sao?
  • Nếu một đối thủ cảm thấy bị đe dọa ở thị trường mới mà bạn tham gia dùng công cụ AI quét thông tin công khai của công ty để khởi kiện hàng trăm vụ vi phạm bản quyền, xâm phạm sở hữu trí tuệ và chiếm đoạt bí mật thương mại thì sao?
  • Nếu bạn điều hành một nhà hàng nhỏ hay quán cà phê, và mọi điện thoại thông minh bước vào cửa hàng đều có thể ghi lại hành vi của nhân viên để khởi kiện cáo buộc phân biệt đối xử chỉ bằng vài cú nhấp chuột thì sao?
  • Nếu một khách hàng bất mãn chỉ cần bấm vài nút trên nền tảng là có thể gửi khiếu nại để đòi bồi thường nhiều hơn và khiến bạn tốn phí luật sư còn nhiều hơn cả mức dàn xếp thì sao?
• Doanh nghiệp thường thoát bị trừng phạt dù có hành vi trái luật vì chi phí ứng phó pháp lý quá cao
• Nhân viên, khách hàng và đối thủ thường thận trọng vì tranh chấp pháp lý tiêu tốn thời gian, tiền bạc và sự chú ý
• Nhưng khi hành động pháp lý trở nên dễ dàng hơn rất nhiều, nhiều vụ kiện hơn sẽ được đưa ra
• Điều này san phẳng sân chơi cạnh tranh bằng cách loại bỏ lợi thế bất đối xứng của các doanh nghiệp có nguồn lực và chuyên môn pháp lý dồi dào
• Trong một số trường hợp, nó góp phần thực thi công lý; trong những trường hợp khác, nó khuyến khích các cuộc tấn công bất công
• Dù thế nào đi nữa, nó cũng mở ra một thế giới rủi ro pháp lý mới cho doanh nghiệp

Một rủi ro mạng mới

• Rủi ro pháp lý có thể còn xa lạ, nhưng lĩnh vực an ninh mạng đã đối phó với rủi ro quy mô lớn suốt nhiều thập kỷ và mang lại những bài học hữu ích để ứng phó với làn sóng hành động pháp lý sắp tới
• Hãy tưởng tượng hàng trăm công ty chia sẻ dữ liệu về các loại hành động pháp lý mà họ đối mặt và các động cơ công nghệ tạo ra chúng, hoặc cùng đầu tư vào công nghệ để chia sẻ và giảm thiểu lỗ hổng
  • Điều này là bình thường trong lĩnh vực an ninh mạng
  • Từ CVE(Common Vulnerabilities and Exposures) đến NVD(National Vulnerability Database), chính phủ, doanh nghiệp, giới học thuật và các thợ săn bug bounty đều đã nhận ra tầm quan trọng của chia sẻ thông tin
• Tuy nhiên, rất khó để CEO hay người phụ trách pháp lý cho rằng chia sẻ lỗ hổng và mức độ phơi nhiễm pháp lý của công ty là một ý tưởng hay
  • Họ sẽ lập tức phản đối với lý do đặc quyền luật sư-khách hàng, bảo mật và vi phạm luật chống độc quyền
  • Đó là cách tính toán dựa trên cấu trúc rủi ro pháp lý quen thuộc: một hành động pháp lý cụ thể do một tác nhân cụ thể gây ra
• Nhưng rủi ro pháp lý trong tương lai sẽ mang dạng các cuộc điều tra pháp lý tương tự các cuộc tấn công phishing trên internet
  • Chúng sẽ được sản xuất hàng loạt thay vì mang tính cá biệt và do nhiều tác nhân khởi xướng
  • Khi được tổ chức, chúng có thể diễn ra như một cuộc tấn công DDoS, làm tê liệt mục tiêu bằng dòng lưu lượng đổ vào
  • Điều này tương tự nỗ lực làm quá tải Bộ Tài chính bằng làn sóng ý kiến gửi tới
• Các cuộc tấn công DDoS từng bị xem là phiền toái nhỏ rồi đột nhiên trở nên nghiêm trọng
  • Cũng như các yêu cầu gửi tới máy chủ là một phần của internet, việc góp ý về dự thảo quy định hay gửi khiếu nại khách hàng cũng chỉ là một phần của luật hành chính và thực thi quyền người tiêu dùng
  • Nhưng khi quá nhiều yêu cầu ập đến cùng lúc, hệ thống sẽ bị tê liệt
• Trong an ninh mạng, nhận thức cơ bản là sự bất ổn mạng có hại cho tất cả mọi người ngoại trừ tội phạm và các thế lực thù địch
  • Doanh nghiệp cũng có thể bị quy trách nhiệm vì không bảo vệ được chính mình và dữ liệu nhạy cảm của khách hàng, nhưng trong hầu hết trường hợp họ vẫn được xem là nạn nhân
  • Các cuộc tấn công Petya(2016) và NotPetya(2017) đã khai thác cùng một lỗ hổng để mã hóa tệp của người dùng, nhưng mục đích lại khác nhau
    • Petya là ransomware do tội phạm phát tán, nạn nhân phải trả tiền mới có thể lấy lại dữ liệu
    • NotPetya được cho là do Nga phát tán với mục đích phá hủy dữ liệu
    • Trong cả hai trường hợp, các doanh nghiệp bị ảnh hưởng như Maersk đều được xem là nạn nhân
• Liệu có thể khẳng định rằng các tác nhân quốc gia như Nga sẽ không thực hiện các cuộc tấn công tương tự vào hệ thống pháp lý thông qua doanh nghiệp hoặc các hệ thống pháp lý vốn đã quá tải?
  • Triều Tiên, Nga và Iran từ lâu đã chỉ trích nạn phân biệt chủng tộc và khả năng tiếp cận công lý bất bình đẳng tại Mỹ
  • Họ cũng có thể khiến Mỹ bối rối và làm suy giảm niềm tin vào các doanh nghiệp lớn bằng cách cung cấp dịch vụ kiện tụng dùng AI cho khách hàng khó chịu hoặc đối thủ cạnh tranh
• Những kẻ đòi tiền chuộc bị hạn chế bởi rủi ro bị trừng phạt, nhưng theo đuổi chiến lược pháp lý mang tính tấn công lại là hợp pháp
  • Thậm chí còn dễ tự thuyết phục rằng cuộc tấn công đó là cách hiệu quả để thực thi công lý và khắc phục mất cân bằng quyền lực
• Khi đe dọa pháp lý gia tăng, sẽ ngày càng khó xác định ai đang nhắm đến tiền bạc và ai có ý đồ khiến bạn phải trải qua thủ tục khám phá chứng cứ đầy đau đớn và bẽ mặt mà họ không phải bỏ nhiều chi phí
  • Trong bối cảnh khó phân biệt thông tin với nhiễu loạn, sẽ cần những kỹ thuật mới để lọc rủi ro pháp lý
  • Việc dùng AI chống lại AI sẽ là hệ quả tự nhiên

Tấm lá chắn pháp lý mới

• Hiện nay doanh nghiệp xử lý các rủi ro pháp lý nghiêm trọng ở cấp hội đồng quản trị, và chỉ khi các hành động pháp lý hay sự vụ đạt ngưỡng trọng yếu thì chúng mới xuất hiện trên radar rủi ro doanh nghiệp
  • Nhưng đó không phải cách lọc phù hợp đối với rủi ro pháp lý trong tương lai
• Để chuẩn bị cho thực tế mới này, cần tham khảo cách ứng phó của an ninh mạng
  • Cần nhanh chóng xác định lỗ hổng, các mối đe dọa mới nổi và tác động tiềm tàng, biện pháp giảm thiểu rủi ro và chiến lược truyền thông với các bên liên quan trong và ngoài doanh nghiệp
  • Hãng luật DLA Piper đang cùng doanh nghiệp thực hiện các bài tập "red team pháp lý" để xác định lỗ hổng
• Trước hết, hãy xây dựng cách tiếp cận và chiến lược cốt lõi
  • Điều này có thể giúp quyết định các khoản đầu tư công nghệ để ứng phó với rủi ro pháp lý gia tăng
  • Dĩ nhiên, cách cũ là tăng nhân lực — tuyển thêm luật sư nội bộ hoặc thuê ngoài cho hãng luật — vẫn sẽ còn hiệu quả trong một thời gian
• Tiếp theo, đội ngũ chiến lược doanh nghiệp và pháp chế cần phối hợp để phân tích tình hình hiện tại
  • Các thị trường trọng điểm là đâu? Đối thủ nào sẵn sàng làm mọi cách để giành thị phần?
  • Doanh nghiệp đang phơi nhiễm trước những hệ thống pháp luật nào, và chúng sẽ vận hành ra sao nếu bị tấn công pháp lý hàng loạt bằng AI?
  • Có nơi nào nên rút lui không? Những biện pháp giảm thiểu nào có thể áp dụng ngay từ bây giờ để giảm mức độ dễ tổn thương?
• Việc theo dõi xu hướng toàn cầu cũng rất quan trọng
  • Hiện chưa có hệ thống CVE cho rủi ro pháp lý, nhưng dữ liệu rất dồi dào nhờ số hóa hoạt động pháp lý và các nỗ lực minh bạch hóa hệ thống tư pháp
  • Kết hợp dữ liệu đó với dữ liệu rủi ro pháp lý hiện có sẽ là một điểm khởi đầu rất tốt
• Khi đã xác định được rủi ro, hãy lập đội ứng phó và thiết kế hệ thống, quy trình phản ứng
  • Hãy xem xét các khung thực hành tốt về an ninh mạng như NIST CSF 2.0 và trao đổi với đội an ninh mạng nội bộ
  • Người phụ trách pháp lý có thể học được rất nhiều từ cách CISO vận hành SOC
• Hãy tìm kiếm các đối tác bên ngoài sẵn sàng hợp tác
  • Có thể cùng hiệp hội ngành, đối tác và một số cơ quan chính phủ xây dựng các biện pháp ứng phó toàn diện cho từng loại tấn công cụ thể
  • Các đợt tấn công bằng yêu sách sở hữu trí tuệ thiếu thận trọng có thể trở thành cơ sở vận động cho hỗ trợ từ phía cơ quan quản lý hoặc lập pháp
• Cuối cùng, xin nhấn mạnh một lưu ý: đừng đánh giá thấp rủi ro này
  • Nhờ công nghệ, Bộ Tài chính đã phải xử lý 120.000 ý kiến
  • "Hãy chuẩn bị trước khi cơn lũ pháp lý ập đến"