Biên bản kiểm toán số 07/2025

Tòa văn phòng hạng A tại Hà Nội sau 18 tháng vận hành ghi nhận 2,4 triệu điểm dữ liệu BMS mỗi ngày. Tỷ lệ khiếu nại về nhiệt độ và chất lượng không khí tăng 37% so với tháng thứ 6. Đây là tình huống giả định nhằm phân tích các vấn đề kỹ thuật và đạo đức dữ liệu.

Dữ liệu nào đang bị thu thập mà không được phép?

Hệ thống thu thập dữ liệu theo dõi Wi-Fi kết hợp check-in thang máy tại lớp edge mà không có cơ chế đồng ý động. Siêu dữ liệu phản hồi từ người sử dụng (nhiệt độ cảm nhận, yêu cầu điều chỉnh) bị loại bỏ ngay tại gateway trước khi truyền sang lớp fog. Theo mô hình ba lớp, lớp edge chỉ giữ lại giá trị cảm biến thô và địa chỉ MAC; phản hồi của người sử dụng bị coi là “tải trọng không thiết yếu” và bị loại bỏ. Hậu quả là tập dữ liệu trên đám mây có entropy thấp hơn 2,1 bit so với mức cần thiết để tái tạo phân bố PMV thực tế, vi phạm nguyên tắc giảm thiểu dữ liệu theo TCVN ISO/IEC 27701.

Tại sao lớp edge lại quyết định quyền con người thay vì người sử dụng?

Lớp edge vận hành thuật toán lọc tĩnh với ngưỡng cố định (nhiệt độ 22–26 °C, CO₂ < 1000 ppm) mà không có cơ chế ghi đè từ người sử dụng. Khi phản hồi của người sử dụng bị lược bỏ tại điểm thu thập, quyền điều chỉnh môi trường bị chuyển giao hoàn toàn cho nhà vận hành. Điều này tạo ra tình trạng quyền kiểm soát môi trường sống bị chuyển dịch từ cá nhân sang hệ thống mà không có hợp đồng ủy quyền rõ ràng, trái với yêu cầu bảo vệ quyền lợi người sử dụng theo ISO 52120:2021, điều 5.3.2.

Mô hình dự báo well-being hiện tại sai lệch bao nhiêu so với dữ liệu sinh học thực tế?

Thuật toán phát hiện bất thường hiện tại sử dụng ngưỡng tĩnh trên nhiệt độ và CO₂. Khi so sánh với mô hình thích ứng dựa trên chỉ số PMV/PPD kết hợp nhịp tim và biến thiên nhịp tim (HRV), cây lỗi phân rã cho thấy 68% các trường hợp “bất thường không được phát hiện” xuất phát từ nút “ngưỡng tĩnh ghi đè sinh lý người sử dụng”. Entropy của tập dữ liệu chỉ đạt 3,7 bit, thấp hơn ngưỡng 5,2 bit cần thiết để phân biệt trạng thái thoải mái nhiệt thực tế theo ASHRAE 55-2020. Sai lệch này trực tiếp giải thích mức tăng 37% khiếu nại.

Chi phí tuân thủ đạo đức dữ liệu có thực sự cao hơn chi phí khiếu nại?

Vận hành viên hiện đang “lách” yêu cầu bảo mật vi sai (ε ≤ 1,2) khi kết hợp theo dõi Wi-Fi với check-in thang máy, tạo rủi ro tái định danh với xác suất > 0,67 trên tập dữ liệu 1.200 người dùng sau 90 ngày. Chi phí triển khai ε ≤ 1,2 và bổ sung siêu dữ liệu phản hồi tại lớp edge ước tính thấp hơn chi phí xử lý khiếu nại và tổn thất năng suất đã ghi nhận sau 18 tháng.

Kết luận – Các điều khoản kỹ thuật bắt buộc phải thay đổi trong hợp đồng vận hành

1. Lớp edge phải ghi lại và truyền siêu dữ liệu phản hồi người sử dụng với định dạng JSON schema chuẩn, entropy mục tiêu ≥ 5,2 bit.
2. Thuật toán phát hiện bất thường phải chuyển sang mô hình thích ứng kết hợp PMV/PPD và dữ liệu thiết bị đeo (nhịp tim/HRV) kèm cơ chế audit trail.
3. Kết hợp dữ liệu theo dõi Wi-Fi và thang máy chỉ được thực hiện sau khi áp dụng bảo mật vi sai ε ≤ 1,2 và được xác nhận bởi bên thứ ba độc lập.
4. Hợp đồng vận hành phải bổ sung điều khoản “quyền ghi đè của chủ thể dữ liệu” cho phép người sử dụng điều chỉnh ngưỡng cá nhân tại lớp edge.