Luật Trí tuệ nhân tạo 2025 – Tác động và lộ trình tuân thủ cho doanh nghiệp

1. Bối cảnh và các khái niệm chính của Luật Trí tuệ Nhân tạo 2025

Ngày 10 tháng 12 năm 2025, Quốc hội Việt Nam đã chính thức thông qua Luật Trí tuệ nhân tạo (Luật TTNT), đạo luật toàn diện đầu tiên của Việt Nam về lĩnh vực này. Với hiệu lực thi hành từ ngày 01/03/2026, đạo luật này không chỉ đơn thuần thiết lập một khuôn khổ pháp lý mà còn là một tuyên bố chiến lược, khẳng định quyết tâm của Việt Nam trong việc làm chủ công nghệ và xây dựng chủ quyền số (digital sovereignty). Đây là một bước ngoặt, định vị AI là một trong ba trụ cột chiến lược—cùng với dữ liệu và hạ tầng số—để thúc đẩy đổi mới sáng tạo, nâng cao năng lực cạnh tranh quốc gia và đảm bảo tự chủ công nghệ trong kỷ nguyên mới. 

Để phân tích hiệu quả các quy định của luật, việc nắm vững các định nghĩa pháp lý cốt lõi tại Điều 3 là điều cần thiết: 

2. Các nguyên tắc vận hành cốt lõi và những hành vi bị nghiêm cấm

Luật TTNT thiết lập một bộ “giới hạn” pháp lý nhằm đảm bảo mọi hoạt động AI tại Việt Nam đều tuân thủ các giá trị cốt lõi. Việc thấu hiểu và tích hợp các nguyên tắc này vào chiến lược kinh doanh không chỉ là yêu cầu tuân thủ mà còn là nền tảng để xây dựng văn hóa AI có trách nhiệm và bền vững trong doanh nghiệp. 

Các nguyên tắc nền tảng  

Điều 4 của luật quy định bốn nguyên tắc nền tảng, định hướng mọi hoạt động liên quan đến AI: 

• Lấy con người làm trung tâm: Nguyên tắc này khẳng định AI là công cụ phục vụ con người, phải đảm bảo quyền con người, quyền riêng tư, an ninh quốc gia và tuân thủ pháp luật. Điều này đòi hỏi doanh nghiệp phải đặt việc bảo vệ khách hàng làm trọng tâm trong mọi thiết kế và triển khai AI, đảm bảo mọi ứng dụng đều tôn trọng tối đa đối với khách hàng, nhân viên và cộng đồng. 
• AI không thay thế thẩm quyền và trách nhiệm của con người: Con người phải luôn giữ quyền kiểm soát cuối cùng và khả năng can thiệp vào các quyết định do AI đưa ra. Chiến lược kinh doanh phải tích hợp cơ chế “con người trong vòng lặp” (human-in-the-loop), đặc biệt đối với các quyết định quan trọng, để đảm bảo trách nhiệm giải trình không bị chuyển giao cho máy móc. 
• Công bằng, minh bạch và không thiên lệch: Các tổ chức phải có trách nhiệm chủ động phát hiện, ngăn chặn các sai lệch và phân biệt đối xử trong các mô hình AI. Nếu không được quản lý chặt chẽ, các thuật toán có thể tái tạo hoặc khuếch đại các định kiến có sẵn trong dữ liệu huấn luyện, dẫn đến các quyết định thiếu công bằng, gây tổn hại danh tiếng và tiềm ẩn rủi ro pháp lý. 
• Phát triển bền vững: Luật khuyến khích phát triển AI theo hướng “xanh”, tiết kiệm năng lượng và giảm thiểu tác động tiêu cực đến môi trường. Đây là một yếu tố quan trọng mà doanh nghiệp cần cân nhắc tích hợp vào chiến lược phát triển bền vững (ESG) của mình. 

Các hành vi bị nghiêm cấm 

Điều 7 của luật liệt kê một danh mục các hành vi bị nghiêm cấm tuyệt đối để bảo vệ an toàn xã hội và quyền lợi của các cá nhân, tổ chức: 

• Lợi dụng hoặc chiếm đoạt hệ thống AI để xâm phạm quyền và lợi ích hợp pháp của tổ chức, cá nhân. 
• Phát triển hoặc sử dụng AI nhằm mục đích lừa dối, thao túng nhận thức hoặc gây tổn hại nghiêm trọng đến con người và xã hội (ví dụ: tạo ra deepfake để lừa đảo hoặc gây hoang mang dư luận). 
• Lợi dụng các điểm yếu của các nhóm dễ bị tổn thương như trẻ em, người già, người khuyết tật. 
• Thu thập, sử dụng dữ liệu để huấn luyện hoặc vận hành AI trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân, sở hữu trí tuệ và an ninh mạng. 
• Cản trở cơ chế kiểm soát của con người đối với hệ thống AI hoặc che giấu các thông tin bắt buộc phải minh bạch. 

Các nguyên tắc vĩ mô và những hành vi bị cấm này được cụ thể hóa thành một khung pháp lý thực tiễn, phân cấp nghĩa vụ dựa trên mức độ rủi ro mà một hệ thống AI có thể gây ra. 

3. Phân tích khung quản lý theo mức độ rủi ro

Trụ cột trung tâm của Luật TTNT là mô hình phân loại dựa trên rủi ro, một cách tiếp cận lấy cảm hứng từ tiêu chuẩn của các đạo luật quốc tế hàng đầu như Đạo luật trí tuệ nhân tạo của Liên Minh Châu Âu (EU AI Act). Nguyên tắc của mô hình phân loại này dựa trên quan điểm rằng nghĩa vụ tuân thủ của doanh nghiệp sẽ tỷ lệ thuận với mức độ rủi ro tiềm tàng mà hệ thống AI của họ có thể gây ra cho cá nhân và xã hội. Điều này cho phép cơ quan quản lý tập trung nguồn lực giám sát vào các lĩnh vực có tác động lớn nhất, đồng thời tạo không gian linh hoạt cho các đổi mới sáng tạo có rủi ro thấp. 

3.1. Nghĩa vụ quản lý nghiêm ngặt đối với hệ thống AI rủi ro cao 

Đối với các hệ thống được phân loại là rủi ro cao, cả nhà cung cấp và bên triển khai đều phải tuân thủ một loạt các nghĩa vụ quản lý nghiêm ngặt trước và trong suốt quá trình vận hành: 

• Đánh giá sự phù hợp: Trước khi đưa ra thị trường, hệ thống phải được đánh giá sự phù hợp theo các tiêu chuẩn, quy chuẩn kỹ thuật do cơ quan nhà nước ban hành. Đặc biệt, một số hệ thống trong danh mục do Thủ tướng quy định sẽ bắt buộc phải được một tổ chức đánh giá sự phù hợp chứng nhận trước khi vận hành. 
• Quản lý rủi ro và quản trị dữ liệu: Phải thiết lập và duy trì một cơ chế quản lý rủi ro xuyên suốt vòng đời của hệ thống. Đồng thời, phải có quy trình quản trị chặt chẽ đối với dữ liệu dùng để huấn luyện, kiểm thử và xác thực mô hình để đảm bảo chất lượng và giảm thiểu thiên lệch. 
• Lưu trữ hồ sơ và nhật ký hoạt động: Bắt buộc phải lưu trữ hồ sơ kỹ thuật chi tiết của hệ thống và duy trì nhật ký hoạt động (logs) tự động. Các hồ sơ này phải sẵn sàng để cung cấp cho cơ quan chức năng khi có yêu cầu giám sát, hậu kiểm. 
• Giám sát và can thiệp của con người: Hệ thống phải được thiết kế để đảm bảo khả năng giám sát, can thiệp và kiểm soát hiệu quả của con người. Con người phải có khả năng vô hiệu hóa hoặc tạm dừng hệ thống trong trường hợp phát hiện rủi ro. 
• Yêu cầu đối với Nhà cung cấp nước ngoài: Nhà cung cấp nước ngoài đưa hệ thống AI rủi ro cao vào thị trường Việt Nam phải có đầu mối liên hệ hợp pháp tại Việt Nam. Đối với các hệ thống thuộc diện bắt buộc chứng nhận, nhà cung cấp nước ngoài phải có hiện diện thương mại hoặc một đại diện được ủy quyền tại Việt Nam. 

3.2. Yêu cầu đối với Hệ thống rủi ro trung bình và thấp 

So với hệ thống AI rủi ro cao, các nghĩa vụ đối với hai nhóm này đơn giản hơn đáng kể: 

• Hệ thống rủi ro trung bình: Nghĩa vụ chính là đảm bảo minh bạch. Người dùng phải được thông báo rằng họ đang tương tác với AI hoặc nội dung họ tiếp xúc được tạo ra bởi AI. Ngoài ra, nhà cung cấp và bên triển khai phải có trách nhiệm giải trình khi có yêu cầu từ cơ quan nhà nước. 
• Hệ thống rủi ro thấp: Nghĩa vụ tuân thủ ở mức tối thiểu, chủ yếu tập trung vào trách nhiệm giải trình chung khi có yêu cầu. 

Các nghĩa vụ dựa trên rủi ro này được áp dụng một cách linh hoạt cho từng bên liên quan trong vòng đời AI, từ đó hình thành một chuỗi trách nhiệm rõ ràng từ khâu phát triển đến khi triển khai. 

4. Trách nhiệm theo chuỗi giá trị AI: Từ Nhà phát triển đến Bên triển khai

Luật TTNT áp dụng một mô hình trách nhiệm theo vai trò, một cách tiếp cận chiến lược nhằm phân bổ nghĩa vụ pháp lý một cách rõ ràng và hợp lý. Theo đó, trách nhiệm của một công ty không chỉ phụ thuộc vào mức độ rủi ro của hệ thống AI mà còn phụ thuộc vào chức năng cụ thể của họ trong chuỗi giá trị: là nhà phát triển (thiết kế, huấn luyện), nhà cung cấp (đưa ra thị trường), hay bên triển khai (sử dụng trong hoạt động chuyên nghiệp). 

4.1. Minh bạch và gắn nhãn 

Một trong những yêu cầu xuyên suốt và quan trọng nhất của luật là tính minh bạch, được quy định tại Điều 11. Yêu cầu này nhằm đảm bảo người dùng có đủ thông tin để đưa ra quyết định và bảo vệ họ khỏi sự thao túng hoặc nhầm lẫn. 

• Nhận biết tương tác với AI: Nhà cung cấp và bên triển khai phải đảm bảo người sử dụng nhận biết được khi họ đang tương tác với một hệ thống AI, thay vì một con người. 
• Gắn nhãn nội dung do AI tạo ra: Đây là một quy định mang tính đột phá nhằm chống lại tin giả và deepfake. Tất cả các nội dung âm thanh, hình ảnh, video do hệ thống TTNT tạo ra bắt buộc phải được gắn dấu hiệu nhận biết ở định dạng máy đọc (machine-readable format)—một tiêu chuẩn kỹ thuật cho phép các nền tảng và công cụ khác có thể tự động xác định và xử lý nguồn gốc của nội dung, hỗ trợ việc lọc và xác thực trên quy mô lớn. Khi các nội dung này được cung cấp ra công chúng và có khả năng gây nhầm lẫn, bên triển khai phải thông báo và gắn nhãn rõ ràng để phân biệt với nội dung thật. 

4.2. Báo cáo sự cố và trách nhiệm bồi thường thiệt hại 

Luật thiết lập một cơ chế rõ ràng để quản lý sự cố và xác định trách nhiệm khi có thiệt hại xảy ra. 

• Báo cáo sự cố: Khi xảy ra sự cố nghiêm trọng, các bên liên quan (nhà phát triển, nhà cung cấp, bên triển khai) phải nhanh chóng khắc phục và báo cáo cho cơ quan có thẩm quyền thông qua Cổng thông tin điện tử một cửa về trí tuệ nhân tạo (Điều 12). Cơ chế này giúp cơ quan quản lý giám sát tình hình, đưa ra cảnh báo và yêu cầu các biện pháp cần thiết như tạm dừng hoặc thu hồi hệ thống. 
• Trách nhiệm bồi thường thiệt hại: Đối với các hệ thống AI rủi ro cao, bên triển khai là đầu mối chịu trách nhiệm bồi thường chính cho người bị thiệt hại, ngay cả khi hệ thống được vận hành đúng quy định. Tuy nhiên, luật cũng thiết lập một cơ chế cho phép bên triển khai yêu cầu nhà cung cấp, nhà phát triển hoặc các bên liên quan khác hoàn trả khoản tiền bồi thường này nếu có thỏa thuận trước giữa các bên. Mô hình này tạo ra một sự dịch chuyển rủi ro chiến lược, đòi hỏi các bên triển khai phải tiến hành thẩm định (due diligence) một cách nghiêm ngặt đối với các nhà cung cấp AI của mình. Việc lựa chọn và mua sắm hệ thống AI giờ đây không chỉ là một quyết định công nghệ thông tin, mà còn là một chức năng quản trị rủi ro trọng yếu, cần sự giám sát chặt chẽ từ cả bộ phận pháp lý và kỹ thuật. 

Việc hiểu rõ các nghĩa vụ pháp lý này là bước đầu tiên. Bước tiếp theo và quan trọng hơn là xây dựng một lộ trình hành động cụ thể để đưa tổ chức vào trạng thái tuân thủ toàn diện. 

5. Lộ trình tuân thủ chiến lược cho doanh nghiệp

Giai đoạn 1: Hành động ngay lập tức (Trước 01/03/2026) 

Đây là giai đoạn chuẩn bị nền tảng. Các hành động sau cần được ưu tiên thực hiện trước khi luật có hiệu lực: 

• Thành lập đội ngũ phụ trách tuân thủ AI: Xây dựng một nhóm liên chức năng (bao gồm pháp lý, công nghệ, quản trị rủi ro, kinh doanh) chịu trách nhiệm giám sát, lập kế hoạch và triển khai việc tuân thủ luật trong toàn tổ chức. 
• Kiểm kê và sơ đồ hóa các Hệ thống AI: Rà soát, xác định và lập một danh mục chi tiết tất cả các hệ thống AI đang được sử dụng, phát triển hoặc mua sắm trong toàn tổ chức. Ghi lại mục đích, nguồn dữ liệu, nhà cung cấp và phạm vi ảnh hưởng của từng hệ thống. 
• Tiến hành phân loại rủi ro sơ bộ: Dựa trên danh mục đã kiểm kê, tiến hành sàng lọc và phân loại các hệ thống AI vào các nhóm rủi ro cao, trung bình, hoặc thấp theo định nghĩa của luật. Bước này giúp xác định phạm vi và mức độ ưu tiên cho các nỗ lực tuân thủ. 
• Rà soát Quy trình quản trị dữ liệu: Đánh giá các chính sách và hoạt động quản trị dữ liệu hiện tại, đặc biệt là dữ liệu dùng để huấn luyện AI. Đảm bảo quy trình này tuân thủ song song với cả Luật TTNT và các quy định về bảo vệ dữ liệu cá nhân. 

Giai đoạn 2: Lộ trình trong Giai đoạn chuyển tiếp (Từ 01/03/2026) 

Điều 35 của luật quy định một giai đoạn chuyển tiếp để các hệ thống AI đã hoạt động trước ngày luật có hiệu lực có thời gian thích ứng. Doanh nghiệp cần nắm rõ các mốc thời gian quan trọng: 

• Trước ngày 01/03/2027 (12 tháng): Hạn chót để các hệ thống AI thông thường hoàn thành nghĩa vụ tuân thủ. 
• Trước ngày 01/09/2027 (18 tháng): Hạn chót cho các hệ thống AI trong các lĩnh vực nhạy cảm như y tế, giáo dục và tài chính. 

Các hành động cốt lõi trong giai đoạn này bao gồm: 

• Hoàn tất phân loại và thực hiện thông báo: Đối với các hệ thống được xác định là rủi ro trung bình và cao, doanh nghiệp phải hoàn thiện hồ sơ phân loại và thực hiện thông báo chính thức cho Bộ Khoa học và Công nghệ thông qua Cổng thông tin điện tử một cửa về trí tuệ nhân tạo. 
• Triển khai Kế hoạch quản lý cho Hệ thống rủi ro cao: Thực thi các bước cần thiết như tiến hành đánh giá sự phù hợp (tự đánh giá hoặc thông qua tổ chức chứng nhận), thiết lập quy trình giám sát và can thiệp của con người, xây dựng hệ thống lưu trữ hồ sơ kỹ thuật và nhật ký hoạt động theo yêu cầu của luật. 
• Cập nhật Cơ chế minh bạch và gắn nhãn: Triển khai các giải pháp kỹ thuật cần thiết để gắn nhãn định dạng máy đọc cho nội dung do AI tạo ra. Cập nhật giao diện người dùng và các kênh giao tiếp để thông báo rõ ràng khi người dùng tương tác với hệ thống AI. 

Giai đoạn 3: Quản trị bền vững và tận dụng cơ hội 

Sau khi đã đạt được tuân thủ cơ bản, doanh nghiệp nên chuyển sang giai đoạn quản trị bền vững và khai thác các cơ hội chiến lược từ luật: 

• Xây dựng Khung quản trị AI nội bộ: Tích hợp các nguyên tắc của luật vào chính sách, quy trình và văn hóa của công ty. Thiết lập một hội đồng hoặc ủy ban đạo đức AI để giám sát các dự án mới và đảm bảo phát triển AI có trách nhiệm. 
• Theo dõi các Nghị định hướng dẫn và Quy chuẩn kỹ thuật: Luật TTNT là luật khung. Các quy định chi tiết sẽ được ban hành thông qua các nghị định và quy chuẩn kỹ thuật. Doanh nghiệp cần chủ động theo dõi và cập nhật để đảm bảo tuân thủ liên tục. 
• Đánh giá cơ hội từ chính sách ưu đãi: Phân tích khả năng tiếp cận các chính sách ưu đãi của Nhà nước, bao gồm ưu đãi về thuế, tín dụng, và đầu tư. Chủ động tìm hiểu cơ hội tham gia cơ chế thử nghiệm có kiểm soát (sandbox) cho các công nghệ mới và khả năng nhận tài trợ từ Quỹ Phát triển Trí tuệ Nhân tạo Quốc gia. 

Luật Trí tuệ nhân tạo 2025 vừa là một thách thức về tuân thủ, vừa là một cơ hội chiến lược để các doanh nghiệp tiên phong xây dựng lòng tin và khẳng định vị thế dẫn đầu. Việc tuân thủ không phải là đích đến, mà là nền tảng. Cơ hội thực sự nằm ở việc tận dụng khuôn khổ pháp lý này để xây dựng AI đáng tin cậy (Trustworthy AI) như một lợi thế cạnh tranh cốt lõi, không chỉ tại thị trường trong nước mà còn trên trường quốc tế. Bằng cách tiếp cận chủ động, các nhà lãnh đạo sẽ biến nghĩa vụ pháp lý thành động lực cho sự đổi mới và tăng trưởng bền vững. 

Ngày viết bài: 20/12/2025

Chia sẻ: