Luật Trí tuệ nhân tạo dựng “hàng rào bảo vệ” theo mức rủi ro

<p style="text-align: justify;">Luật Trí tuệ nhân tạo thiết lập cơ chế quản lý theo ba mức rủi ro, từ đó xác định nghĩa vụ khác nhau đối với nhà cung cấp, đơn vị triển khai và người sử dụng. Cách phân loại này được kỳ vọng vừa kiểm soát những ứng dụng có thể ảnh hưởng lớn đến con người, vừa tránh tạo thêm rào cản cho đổi mới sáng tạo.</p>

Có hiệu lực từ ngày 01/3/2026, Luật Trí tuệ nhân tạo đánh dấu lần đầu Việt Nam có một khung pháp lý riêng điều chỉnh hoạt động nghiên cứu, phát triển, cung cấp, triển khai và sử dụng AI. Một trong những nội dung trọng tâm của Luật là phân loại các hệ thống theo mức độ rủi ro, thay vì đặt cùng một nhóm điều kiện, thủ tục đối với mọi sản phẩm và ứng dụng.

Cách tiếp cận này xuất phát từ thực tế AI được sử dụng trong nhiều lĩnh vực với phạm vi ảnh hưởng rất khác nhau. Một công cụ hỗ trợ soạn thảo văn bản, tìm kiếm hoặc gợi ý nội dung không thể chịu yêu cầu kiểm soát giống AI dùng để chẩn đoán bệnh, xét duyệt tín dụng, tuyển dụng lao động, đánh giá kết quả học tập hay điều khiển phương tiện giao thông.

img

Một trong những nội dung cốt lõi của Luật trí tuệ nhân tạo là quản lý hệ thống AI theo mức độ rủi ro. Ảnh minh hoạ.

Theo Luật Trí tuệ nhân tạo, các hệ thống AI được chia thành ba nhóm: rủi ro cao, trung bình và thấp. 

Nhóm rủi ro cao gồm những hệ thống có khả năng gây thiệt hại đáng kể đến tính mạng, sức khỏe, quyền và lợi ích hợp pháp của tổ chức, cá nhân; lợi ích quốc gia, lợi ích công cộng hoặc an ninh quốc gia. Nhóm rủi ro trung bình là các hệ thống có thể gây nhầm lẫn, tác động hoặc thao túng người dùng do họ không nhận biết đang tương tác với AI hoặc không biết nội dung được tạo ra bằng công nghệ này. Những trường hợp không thuộc hai nhóm trên được xác định là rủi ro thấp.

Việc phân loại không chỉ căn cứ vào tên gọi hoặc công nghệ được sử dụng, mà còn phải xem xét mục đích, lĩnh vực triển khai, phạm vi ảnh hưởng, số lượng người dùng, mức độ tự động hóa và khả năng tác động đến quyền con người, an toàn xã hội. Do đó, cùng một công nghệ nhưng được đưa vào những lĩnh vực, quy mô và hoàn cảnh khác nhau có thể chịu yêu cầu tuân thủ khác nhau.

Đối với nhóm rủi ro cao, Luật đặt ra nghĩa vụ nghiêm ngặt nhất. Sản phẩm phải được đánh giá sự phù hợp trước khi đưa vào sử dụng hoặc khi có thay đổi đáng kể. Nhà cung cấp có trách nhiệm xây dựng cơ chế kiểm soát nguy cơ, bảo đảm chất lượng dữ liệu, lập và lưu giữ hồ sơ kỹ thuật, nhật ký hoạt động, đồng thời duy trì khả năng giám sát và can thiệp của con người.

Đơn vị triển khai phải vận hành đúng mục đích, phạm vi và mức độ đã được xác định; bảo đảm an toàn dữ liệu, theo dõi quá trình hoạt động và xử lý kịp thời sự cố. Người sử dụng cũng phải tuân thủ hướng dẫn kỹ thuật, không can thiệp trái phép làm thay đổi chức năng và thông báo khi phát hiện dấu hiệu bất thường.

Với nhóm trung bình, trọng tâm là minh bạch. Người dùng phải được thông báo khi đang tương tác với AI hoặc tiếp nhận nội dung do AI tạo ra. Nhà cung cấp và đơn vị triển khai có trách nhiệm giải trình về mục đích sử dụng, cách thức vận hành, dữ liệu đầu vào chủ yếu và biện pháp kiểm soát khi cơ quan có thẩm quyền yêu cầu hoặc khi xuất hiện sự cố.

Các ứng dụng rủi ro thấp được áp dụng cơ chế nhẹ hơn, chủ yếu được theo dõi, kiểm tra khi có dấu hiệu vi phạm, phát sinh sự cố hoặc ảnh hưởng đến quyền, lợi ích hợp pháp của tổ chức, cá nhân. Cách thiết kế này giúp những ứng dụng thông thường tiếp tục được nghiên cứu, phát triển mà không phải chịu thêm thủ tục không cần thiết.

img

Robot AI hỗ trợ người dân giải quyết thủ tục hành chính.

Ông Lê Thanh Hưng, chuyên gia phát triển cộng đồng tại Hiệp hội mã nguồn mở châu Á, nhận định cơ chế phân loại sẽ buộc doanh nghiệp và nhà phát triển rà soát kỹ hơn sản phẩm, nguồn dữ liệu cũng như toàn bộ quy trình vận hành. Khi Luật có hiệu lực, doanh nghiệp phải xác định rõ mức độ tác động, cách thức thu thập và xử lý dữ liệu, khả năng ảnh hưởng đến người dùng và trách nhiệm khi xảy ra sự cố.

Theo ông Lê Thanh Hưng, các yêu cầu mới có thể làm tăng chi phí tuân thủ ban đầu, nhất là đối với doanh nghiệp khởi nghiệp và những đơn vị có nguồn lực hạn chế. Tuy nhiên, sự kiểm soát là cần thiết đối với các ứng dụng có khả năng gây hậu quả lớn, bởi rò rỉ dữ liệu hoặc quyết định sai lệch từ thuật toán có thể gây thiệt hại cho doanh nghiệp, người sử dụng và xã hội.

Từ góc độ doanh nghiệp, điều được quan tâm không chỉ là sản phẩm có bị xếp vào nhóm rủi ro cao hay không, mà còn là quy trình đánh giá sẽ được thực hiện ra sao. AI có chu kỳ phát triển nhanh, nên thủ tục thiếu rõ ràng hoặc kéo dài có thể ảnh hưởng đến tiến độ đưa sản phẩm vào thực tế. Ngược lại, quy trình minh bạch, xác định cụ thể trách nhiệm và thời hạn xử lý sẽ giúp doanh nghiệp chủ động chuẩn bị phương án tuân thủ.

Do đó, cơ chế đánh giá cần thuận lợi, hạn chế phát sinh thủ tục không cần thiết và có khả năng điều chỉnh theo sự phát triển của công nghệ. Yêu cầu đặt ra là tìm được điểm cân bằng giữa kiểm soát nguy cơ, bảo vệ quyền lợi người dùng và duy trì động lực đổi mới sáng tạo.

Quản lý AI theo rủi ro không đồng nghĩa với siết chặt mọi ứng dụng công nghệ. Tinh thần xuyên suốt của Luật trí tuệ nhân tạo là nguy cơ đến đâu, trách nhiệm đến đó. AI càng tham gia sâu vào những quyết định ảnh hưởng đến sức khỏe, tài sản và quyền lợi của con người, yêu cầu về minh bạch, giải trình và giám sát càng phải được đặt ở mức cao hơn.