Khung pháp lý AI: EU AI Act, NIST AI RMF, OECD và bối cảnh Việt Nam
So sánh các khung pháp lý và quản trị AI lớn trên thế giới — Đạo luật AI của EU, NIST AI RMF của Hoa Kỳ, Nguyên tắc AI OECD — đặt cạnh bối cảnh Việt Nam với Luật Trí tuệ nhân tạo 2025, Nghị định 13/2023 và Luật Bảo vệ dữ liệu cá nhân 2025, kèm phân tích các hướng tiếp cận khác nhau.
Khung pháp lý AI
Khi AI lan rộng vào kinh tế và đời sống, các quốc gia và tổ chức quốc tế xây dựng khung pháp lý để cân bằng giữa thúc đẩy đổi mới và bảo vệ con người. Các khung này khác nhau căn bản về tính ràng buộc, phạm vi và triết lý — từ luật cứng có chế tài đến hướng dẫn tự nguyện. Bài viết trình bày các khung lớn nhất một cách trung lập và đặt chúng cạnh bối cảnh Việt Nam.
1. Đạo luật AI của Liên minh châu Âu (EU AI Act)
EU AI Act là đạo luật toàn diện đầu tiên trên thế giới điều chỉnh AI, dựa trên cách tiếp cận phân tầng theo rủi ro:
- Rủi ro không thể chấp nhận (unacceptable): bị cấm — ví dụ chấm điểm xã hội của nhà nước, một số hình thức nhận dạng sinh trắc thời gian thực.
- Rủi ro cao (high-risk): chịu nghĩa vụ nghiêm ngặt về quản lý rủi ro, chất lượng dữ liệu, tài liệu, giám sát con người — ví dụ AI trong tuyển dụng, tín dụng, y tế, tư pháp.
- Rủi ro hạn chế (limited): nghĩa vụ minh bạch, như thông báo người dùng đang tương tác với AI hoặc gắn nhãn nội dung tổng hợp.
- Rủi ro tối thiểu (minimal): hầu như không bị ràng buộc.
Mốc thời gian thực thi: Nghĩa vụ đối với nhà cung cấp mô hình AI đa dụng (GPAI — General-Purpose AI) có hiệu lực từ 2/8/2025, nhưng quyền giám sát và thực thi của Ủy ban châu Âu chỉ bắt đầu được áp dụng từ 2/8/2026 (giai đoạn điều chỉnh một năm). Các mô hình GPAI phát hành trước 2/8/2025 phải tuân thủ trước 2/8/2027. Một Bộ quy tắc thực hành GPAI (Code of Practice) được nhóm chuyên gia độc lập hoàn thiện tháng 7/2025, mang tính tự nguyện nhưng tạo “giả định tuân thủ” cho bên ký kết.
EU AI Act có chế tài tài chính đáng kể và áp dụng ngoài lãnh thổ (extraterritorial) — tức ràng buộc cả nhà cung cấp ngoài EU nếu sản phẩm tác động đến người dùng trong EU.
2. NIST AI RMF (Hoa Kỳ)
Khác với EU, Hoa Kỳ chọn cách tiếp cận tự nguyện, dựa trên rủi ro. AI Risk Management Framework (AI RMF 1.0) do Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) công bố tháng 1/2023, tổ chức quanh bốn chức năng cốt lõi:
- GOVERN (Quản trị): xây dựng văn hóa và chính sách quản lý rủi ro AI.
- MAP (Lập bản đồ): nhận diện bối cảnh và rủi ro.
- MEASURE (Đo lường): phân tích, đánh giá, theo dõi rủi ro.
- MANAGE (Quản lý): ưu tiên và xử lý rủi ro.
Tháng 7/2024, NIST bổ sung Generative AI Profile (NIST-AI-600-1) — hồ sơ chuyên biệt cho AI sinh, xác định 12 nhóm rủi ro đặc thù (ảo giác, đầu độc dữ liệu, tiêm lệnh/prompt injection, vấn đề sở hữu trí tuệ, quá phụ thuộc…) kèm danh mục hơn 400 hành động giảm thiểu, sắp xếp theo bốn chức năng nêu trên.
Đặc điểm: NIST AI RMF không phải luật, không có chế tài, nhưng được áp dụng rộng rãi như chuẩn tham chiếu thực hành tốt và là một trong những khung quản trị tự nguyện có ảnh hưởng nhất thế giới.
3. Nguyên tắc AI OECD
Nguyên tắc AI OECD, thông qua lần đầu tháng 5/2019, là tiêu chuẩn liên chính phủ đầu tiên về AI và được cập nhật tháng 5/2024 để bao quát AI sinh và mô hình nền tảng. Toàn bộ 36 nước thành viên OECD cùng nhiều nước ngoài khối đã tán thành. Đây là nguyên tắc không ràng buộc, để mỗi chính phủ tự điều chỉnh trong luật quốc gia.
Năm giá trị cốt lõi: (1) tăng trưởng bao trùm và phát triển bền vững; (2) giá trị lấy con người làm trung tâm và sự công bằng; (3) minh bạch và khả năng giải thích; (4) độ bền vững, an ninh và an toàn; (5) trách nhiệm giải trình. Bản 2024 nhấn mạnh hơn về quản lý rủi ro, thông tin sai lệch, toàn vẹn thông tin và quản trị có khả năng tương tác (interoperable governance). Nguyên tắc OECD cũng là nền tảng cho các nguyên tắc AI của G20.
4. Bối cảnh Việt Nam
Việt Nam đã chuyển nhanh từ hướng dẫn mềm sang luật cứng trong giai đoạn 2023–2026.
Luật Trí tuệ nhân tạo 2025
Quốc hội đã ban hành Luật Trí tuệ nhân tạo số 134/2025/QH15, có hiệu lực từ 1/3/2026. Đây là luật đầu tiên của Việt Nam điều chỉnh toàn diện việc phát triển, ứng dụng và quản trị AI. Điểm cốt lõi là cơ chế quản lý theo rủi ro, phân loại hệ thống AI thành ba mức: cao, trung bình, thấp — tương đồng về tinh thần với cách phân tầng của EU, song được thiết kế nhằm cân bằng giữa quản lý và thúc đẩy đổi mới sáng tạo. Các nghị định hướng dẫn cụ thể hóa luật đang được xây dựng để tạo thuận lợi cho chủ thể tham gia hoạt động AI.
Bảo vệ dữ liệu cá nhân: từ Nghị định 13/2023 đến Luật 2025
Bảo vệ dữ liệu cá nhân là nền tảng pháp lý gắn chặt với AI vì AI vận hành trên dữ liệu.
- Nghị định 13/2023/NĐ-CP (ban hành 17/4/2023, hiệu lực 1/7/2023) là văn bản đầu tiên quy định chi tiết về nghĩa vụ bảo vệ dữ liệu cá nhân và an ninh mạng trong xử lý dữ liệu.
- Luật Bảo vệ dữ liệu cá nhân 2025 là luật đầu tiên về lĩnh vực này, được nâng cấp từ cấp nghị định lên cấp luật — phạm vi rộng hơn, chế tài nghiêm hơn và có cơ chế giám sát độc lập. Nghị định 13/2023 hết hiệu lực từ 1/1/2026. Chính phủ ban hành Nghị định 356/2025/NĐ-CP để hướng dẫn Luật mới. Định nghĩa “dữ liệu cá nhân” cũng được mở rộng: từ “thông tin dưới dạng ký hiệu, chữ viết… trong môi trường điện tử” sang “dữ liệu số hoặc thông tin ở dạng khác giúp xác định một con người cụ thể”.
5. So sánh các hướng tiếp cận
| Khung | Tính ràng buộc | Cách tiếp cận | Phạm vi |
|---|---|---|---|
| EU AI Act | Luật cứng, có chế tài | Phân tầng theo rủi ro (4 mức) | Áp dụng ngoài lãnh thổ |
| NIST AI RMF | Tự nguyện | Bốn chức năng quản trị rủi ro | Tham chiếu thực hành |
| OECD | Không ràng buộc | Năm giá trị nguyên tắc | Liên chính phủ |
| Việt Nam (Luật AI 2025) | Luật cứng | Phân tầng theo rủi ro (3 mức) | Quốc gia |
Góc nhìn đa chiều về các đánh đổi:
- Luật cứng (EU, Việt Nam) đối lại hướng dẫn mềm (NIST, OECD): Luật cứng tạo nghĩa vụ rõ ràng và bảo vệ người dân mạnh hơn, nhưng có thể tăng chi phí tuân thủ và gây lo ngại về kìm hãm đổi mới đối với doanh nghiệp nhỏ. Hướng dẫn mềm linh hoạt và thích ứng nhanh với công nghệ thay đổi, nhưng phụ thuộc vào thiện chí tự nguyện và khó cưỡng chế.
- Hài hòa hóa quốc tế: Việc nhiều khung cùng dùng cách phân tầng theo rủi ro tạo điểm chung thuận lợi cho doanh nghiệp đa quốc gia, song khác biệt chi tiết (định nghĩa, ngưỡng, nghĩa vụ) vẫn buộc tổ chức phải tuân thủ nhiều chuẩn cùng lúc.
- Cân bằng đổi mới và bảo vệ: Không có lời giải tối ưu duy nhất. Mỗi khu vực pháp lý chọn điểm cân bằng riêng phù hợp với ưu tiên kinh tế, văn hóa và năng lực thực thi của mình.
Kết luận
Khung pháp lý AI toàn cầu năm 2026 đang định hình quanh một mẫu số chung — quản lý theo rủi ro, lấy con người làm trung tâm — nhưng phân hóa về mức độ ràng buộc và chi tiết thực thi. Việt Nam, với Luật Trí tuệ nhân tạo 2025 và Luật Bảo vệ dữ liệu cá nhân 2025, đã bước vào nhóm quốc gia có khung pháp lý AI cấp luật, theo sát xu hướng quốc tế đồng thời giữ định hướng thúc đẩy đổi mới. Doanh nghiệp và nhà phát triển nên theo dõi sát các nghị định hướng dẫn để bảo đảm tuân thủ.
Nguồn tham khảo
- Implementation Timeline — EU Artificial Intelligence Act
- Enforcement of Chapter V under the EU AI Act
- AI Risk Management Framework — NIST
- NIST releases its Generative AI Profile — DLA Piper
- AI Principles Overview — OECD.AI
- Evolving with innovation: The 2024 OECD AI Principles update — OECD.AI
- Luật Trí tuệ nhân tạo 2025 số 134/2025/QH15 — Thư viện Pháp luật
- Luật Trí tuệ nhân tạo — bước tiến về quản lý, phát triển AI cho Việt Nam — VnExpress
- Bản so sánh Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 13/2023/NĐ-CP — LuatVietnam
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân — KPMG Việt Nam