Toàn cảnh khung pháp lý về lĩnh vực công nghệ thông tin tại Việt Nam giai đoạn 2024 - 2026 và lưu ý dành cho doanh nghiệp có vốn đầu tư nước ngoài (Phần 3/3)

5. Trí tuệ nhân tạo: Khung quản lý chuyên biệt với phân loại theo rủi ro

5.1. Tổng quan

Luật Trí tuệ nhân tạo số 134/2025/QH15 (“Luật TTNT”) được Quốc hội khoá XV, Kỳ họp thứ 10 thông qua ngày 10/12/2025 với tỷ lệ tán thành 90,70% (429/434 đại biểu) . Luật có hiệu lực từ ngày 01/3/2026. Nghị định 142/2026/NĐ-CP quy định chi tiết và biện pháp thi hành Luật TTNT có hiệu lực từ ngày 01/5/2026 . Với việc ban hành cả luật và nghị định hướng dẫn trong vòng năm tháng, Việt Nam trở thành một trong số ít quốc gia có khung pháp lý chuyên ngành toàn diện về AI. EU mất nhiều năm hơn để thông qua AI Act; Việt Nam đi sau về thời điểm khởi đầu nhưng triển khai nhanh hơn.

5.2. Phạm vi và định nghĩa

Khoản 1 Điều 3 Luật TTNT định nghĩa trí tuệ nhân tạo là “việc thực hiện bằng điện tử các năng lực trí tuệ của con người, bao gồm học tập, suy luận, nhận thức, phán đoán và hiểu ngôn ngữ tự nhiên”. Định nghĩa rộng này bao trùm cả AI truyền thống, học máy (machine learning), AI tạo sinh (generative AI), và các loại AI khác. Phạm vi điều chỉnh không giới hạn ở nhà cung cấp tại Việt Nam mà bao gồm mọi chủ thể đưa hệ thống AI ra thị trường hoặc cung cấp dịch vụ AI cho người dùng tại Việt Nam.

5.3. Phân loại hệ thống AI theo mức độ rủi ro

Điều 9 Luật TTNT phân loại hệ thống AI thành ba mức rủi ro dựa trên tiêu chí tác động đến quyền con người, an toàn, an ninh quốc gia, lĩnh vực sử dụng, phạm vi người dùng, và quy mô ảnh hưởng :

Rủi ro cao: hệ thống có thể gây thiệt hại đáng kể đến tính mạng, sức khoẻ, quyền và lợi ích hợp pháp của tổ chức, cá nhân, lợi ích quốc gia, lợi ích công cộng, an ninh quốc gia. Các hệ thống thuộc lĩnh vực thiết yếu (y tế, giáo dục, tư pháp, hạ tầng quan trọng) hoặc tác động lớn đến quyền cơ bản thường được phân vào nhóm này.

Rủi ro trung bình: hệ thống có khả năng gây nhầm lẫn, tác động hoặc thao túng người sử dụng do không nhận biết được chủ thể tương tác là hệ thống AI hoặc nội dung do hệ thống tạo ra. Phần lớn các sản phẩm AI tạo sinh (chatbot, AI tạo ảnh, AI tạo nội dung) thuộc nhóm này.

Rủi ro thấp: hệ thống không thuộc hai trường hợp trên.

Nhà cung cấp tự phân loại hệ thống AI trước khi đưa vào sử dụng. Hệ thống được phân loại là rủi ro trung bình hoặc rủi ro cao phải có hồ sơ phân loại kèm theo. Việc tự phân loại không loại trừ trách nhiệm phân loại đúng; nếu cơ quan có thẩm quyền xác định phân loại của doanh nghiệp là thấp hơn thực tế, doanh nghiệp chịu trách nhiệm về hậu quả.

5.4. Nghĩa vụ với từng nhóm rủi ro

Hệ thống rủi ro cao chịu nghĩa vụ nặng nhất: (i) đánh giá sự phù hợp trước khi đưa vào sử dụng; (ii) duy trì hồ sơ kỹ thuật mô tả thiết kế, dữ liệu huấn luyện, và phương pháp đánh giá; (iii) duy trì nhật ký vận hành (logging) để có thể truy vết quyết định của hệ thống; (iv) bảo đảm khả năng can thiệp của con người (human oversight) đối với các quyết định của hệ thống; (v) đăng ký vào Cơ sở dữ liệu quốc gia về hệ thống AI theo Nghị định 142/2026/NĐ-CP.

Hệ thống rủi ro trung bình chịu nghĩa vụ minh bạch là chủ yếu: phải thông báo rõ cho người dùng khi đang tương tác với hệ thống AI; phải gắn nhãn nhận biết với nội dung do AI tạo ra hoặc chỉnh sửa có khả năng gây nhầm lẫn về tính xác thực . Yêu cầu gắn nhãn nội dung do AI tạo ra có hiệu lực từ ngày 01/5/2026 cùng với Nghị định 142/2026/NĐ-CP và áp dụng cho mọi nhà cung cấp dịch vụ AI tạo sinh tại Việt Nam.

Hệ thống rủi ro thấp chỉ chịu nghĩa vụ chung về bảo đảm an toàn, không gây hại, và tuân thủ các quy định pháp luật khác (đặc biệt là pháp luật về bảo vệ dữ liệu cá nhân).

5.5. Nguyên tắc trục: AI phục vụ con người

Luật TTNT đặt ra nguyên tắc cơ bản rằng AI phục vụ con người, không thay thế thẩm quyền và trách nhiệm của con người, và phải bảo đảm khả năng kiểm soát và can thiệp của con người đối với mọi quyết định của hệ thống. Các quyết định có hệ quả pháp lý quan trọng (chẩn đoán y tế, tuyển dụng, tín dụng, tư pháp) không được giao cho AI quyết định độc lập.

5.6. Nghị định 142/2026/NĐ-CP: 4 (bốn) cơ chế triển khai

Thứ nhất, Cổng thông tin điện tử một cửa về AI. Nghị định 142/2026/NĐ-CP quy định cơ chế vận hành Cổng thông tin một cửa, nơi nhà cung cấp đăng ký, thông báo, và nộp hồ sơ phân loại hệ thống AI. Đây là kênh chính thức duy nhất; các giao dịch ngoài Cổng không có giá trị pháp lý.

Thứ hai, Cơ sở dữ liệu quốc gia về hệ thống AI. Toàn bộ hệ thống AI rủi ro trung bình và rủi ro cao đang cung cấp tại thị trường Việt Nam phải được ghi nhận vào CSDL quốc gia. CSDL này phục vụ mục đích quản lý nhà nước và một phần có thể được công khai để người dùng tra cứu.

Thứ ba, gắn nhãn nội dung do AI tạo ra. Quy định chi tiết về cách thức thông báo và gắn nhãn nội dung AI tạo sinh (định dạng nhãn, thông tin bắt buộc thể hiện, vị trí trên sản phẩm) được nêu trong các Điều cụ thể của Nghị định.

Thứ tư, cơ chế kiểm thử có kiểm soát (regulatory sandbox). Nghị định 142/2026/NĐ-CP đặt nền cho cơ chế cho phép thử nghiệm các hệ thống AI mới trong môi trường được giám sát, với các điều kiện và giới hạn cụ thể. Đây là cơ hội cho FIE muốn triển khai sản phẩm AI mới mà chưa rõ phân loại rủi ro.

5.7. Tác động với FIE

Luật TTNT có hiệu lực với mọi FIE cung cấp sản phẩm hoặc dịch vụ có yếu tố AI cho người dùng tại Việt Nam, không phụ thuộc vào nơi đặt cơ sở hạ tầng AI. Bốn nhóm FIE chịu tác động trực tiếp nhất:

(i) Nhà cung cấp dịch vụ AI tạo sinh quy mô lớn (chatbot, AI tạo nội dung, AI hỗ trợ lập trình) phục vụ thị trường Việt Nam. Phần lớn các dịch vụ này thuộc nhóm rủi ro trung bình và chịu nghĩa vụ minh bạch + gắn nhãn.

(ii) Doanh nghiệp triển khai hệ thống AI nội bộ tác động đến quyết định nhân sự (sàng lọc CV, đánh giá hiệu suất, quyết định tuyển dụng), quyết định tín dụng, hoặc quyết định khác có hệ quả pháp lý đối với cá nhân. Các hệ thống này có khả năng cao thuộc nhóm rủi ro cao và chịu nghĩa vụ đầy đủ.

(iii) Doanh nghiệp cung cấp sản phẩm có chức năng AI nhúng (xe điện có lái xe tự động, thiết bị y tế có AI hỗ trợ chẩn đoán). Phân loại rủi ro phụ thuộc lĩnh vực và mức độ tác động cụ thể.

(iv) Doanh nghiệp sử dụng AI để xử lý dữ liệu cá nhân. Khi này, đồng thời chịu sự điều chỉnh của Luật TTNT và Luật Bảo vệ dữ liệu cá nhân; nghĩa vụ chồng lấn cần được tích hợp trong một chương trình tuân thủ duy nhất, không xử lý hai chiều tách rời.

5.8. Khuyến nghị hành động

Có 5 việc cụ thể được khuyến nghị như sau:

Thứ nhất, lập danh mục toàn bộ hệ thống AI doanh nghiệp đang phát triển, sử dụng, hoặc tích hợp vào sản phẩm cung cấp tại Việt Nam. Danh mục này nên bao gồm cả các hệ thống AI mua từ bên thứ ba, không chỉ AI tự phát triển.

Thứ hai, thực hiện đánh giá phân loại rủi ro cho từng hệ thống theo tiêu chí Điều 9 Luật TTNT và Nghị định 142/2026. Khi không chắc chắn, nên phân loại cao hơn thay vì thấp hơn; chi phí tuân thủ vượt mức yêu cầu thấp hơn nhiều so với rủi ro vi phạm.

Thứ ba, với hệ thống rủi ro cao, chuẩn bị hồ sơ kỹ thuật, quy trình đánh giá sự phù hợp, cơ chế nhật ký vận hành, và kế hoạch can thiệp của con người. Đăng ký vào CSDL quốc gia ngay khi Cổng thông tin một cửa hoạt động.

Thứ tư, với hệ thống AI tạo sinh thuộc rủi ro trung bình, thiết lập cơ chế thông báo người dùng và gắn nhãn nội dung trước ngày 01/5/2026. Cần phối hợp giữa đội ngũ sản phẩm và pháp lý để bảo đảm thiết kế đáp ứng yêu cầu kỹ thuật của Nghị định 142/2026.

Thứ năm, rà soát điều khoản hợp đồng với nhà cung cấp AI bên thứ ba (các nhà cung cấp lớn như OpenAI, Anthropic, Google, Microsoft) để xác định ai chịu trách nhiệm về tuân thủ Luật TTNT khi triển khai sản phẩm tích hợp tại Việt Nam. Trong nhiều trường hợp, FIE triển khai sản phẩm là “nhà cung cấp” theo Luật TTNT, không phải nhà phát triển model gốc.

6. Bảo vệ dữ liệu cá nhân: Chuyển từ nghị định sang luật, chế tài tăng mạnh

6.1. Tổng quan

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (“Luật BVDLCN”) được Quốc hội khoá XV, Kỳ họp thứ 9 thông qua ngày 26/6/2025, có hiệu lực từ ngày 01/01/2026. Nghị định 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật. Khung này nâng cấp Nghị định 13/2023/NĐ-CP (vốn là văn bản cấp nghị định) thành đạo luật chính thức, đồng thời bổ sung nhiều nội dung mới. Việc chuyển từ nghị định sang luật có ý nghĩa pháp lý quan trọng: các quy định về bảo vệ dữ liệu cá nhân giờ đây có giá trị pháp lý cao hơn các quy định nghị định khác có thể xung đột, và việc sửa đổi yêu cầu thủ tục lập pháp đầy đủ.

6.2. 5 (năm) nội dung trọng yếu

Thứ nhất, phân loại dữ liệu cá nhân. Luật BVDLCN chia dữ liệu cá nhân thành hai nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Chính phủ được giao quy định chi tiết để có thể điều chỉnh linh hoạt theo từng giai đoạn và bối cảnh. Hoạt động xử lý dữ liệu cá nhân nhạy cảm chịu nghĩa vụ tuân thủ cao hơn, bao gồm yêu cầu lập đánh giá tác động.

Thứ hai, quyền của chủ thể dữ liệu. Luật xác lập rõ quyền của người dân đối với dữ liệu cá nhân của mình: quyền được biết, quyền đồng ý, quyền truy cập, quyền chỉnh sửa và yêu cầu xóa dữ liệu. So với Nghị định 13/2023, các quyền này được trình bày cô đọng hơn và có cơ chế thực thi rõ hơn. Luật cũng đặt ra một số hạn chế đáng chú ý: nhà cung cấp mạng xã hội và dịch vụ truyền thông trực tuyến không được yêu cầu giấy tờ tuỳ thân làm phương thức xác thực tài khoản, và phải cung cấp cho người dùng tuỳ chọn từ chối thu thập dữ liệu qua cookie và tuỳ chọn “không theo dõi” (do not track).

Thứ ba, chuyển dữ liệu cá nhân xuyên biên giới. Đây là điểm thực tế nhất với FIE. Luật BVDLCN duy trì cách tiếp cận của Nghị định 13/2023: doanh nghiệp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài phải lập hồ sơ đánh giá tác động chuyển dữ liệu, gửi tới Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an. Hồ sơ phải nộp trong thời hạn quy định kể từ ngày bắt đầu xử lý dữ liệu, và phải cập nhật khi có thay đổi quan trọng.

Thứ tư, chế tài tài chính. Đây là thay đổi đáng chú ý nhất. Mức phạt tiền tối đa đối với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. Đối với hành vi mua, bán dữ liệu cá nhân, mức phạt tối đa là 10 lần khoản thu có được từ hành vi vi phạm. Cá nhân chịu mức phạt bằng một phần hai mức phạt áp dụng cho tổ chức. Cơ chế phạt theo tỷ lệ doanh thu là điểm mới, vượt ra ngoài khuôn khổ phạt tiền cố định trong Luật Xử lý vi phạm hành chính trước đây, và tạo ra rủi ro tài chính có ý nghĩa thực sự với tập đoàn đa quốc gia. Đây là lần đầu tiên một văn bản luật của Việt Nam áp dụng cơ chế phạt theo tỷ lệ doanh thu cho lĩnh vực dữ liệu cá nhân.

Thứ năm, trách nhiệm chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân (DPO). Luật và Nghị định 356/2025 quy định nghĩa vụ chỉ định bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu cá nhân, đặc biệt với tổ chức xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu của số lượng chủ thể lớn. Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được phép lựa chọn có hoặc không thực hiện đánh giá tác động xử lý dữ liệu cá nhân trong 5 năm kể từ ngày Luật có hiệu lực, trừ trường hợp trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc dữ liệu của số lượng lớn chủ thể.

6.3. Tác động với FIE

Mức chế tài 5% doanh thu năm trước liền kề thay đổi tính chất của rủi ro tuân thủ. Với một tập đoàn đa quốc gia có doanh thu toàn cầu hàng tỷ USD, một vi phạm về chuyển dữ liệu cá nhân xuyên biên giới có thể dẫn đến mức phạt tính bằng hàng chục triệu USD, nhiều lần vượt chi phí xây dựng và vận hành chương trình tuân thủ. Đây không còn là vấn đề có thể xếp xuống dưới các ưu tiên kinh doanh khác.

Vấn đề thực hành phổ biến nhất tại FIE là dữ liệu cá nhân của nhân viên và khách hàng Việt Nam được chuyển ra hệ thống HR, CRM, ERP đặt ở trụ sở chính hoặc trung tâm dữ liệu khu vực. Mỗi luồng chuyển dữ liệu như vậy đều thuộc phạm vi điều chỉnh và đều cần được đánh giá, lập hồ sơ, và nộp cho A05. Các luồng nhỏ, không thường xuyên, hoặc đã tồn tại từ trước Luật cũng không được miễn. Quy định không có ngưỡng tối thiểu về số lượng dữ liệu hoặc tần suất chuyển; nguyên tắc là mọi chuyển dữ liệu cá nhân xuyên biên giới đều thuộc phạm vi báo cáo.

Một vấn đề kỹ thuật cần lưu ý: việc truy cập dữ liệu cá nhân của người Việt từ ngoài Việt Nam (ví dụ, nhân viên ở Singapore truy cập hệ thống đặt tại Việt Nam) có thể được coi là chuyển dữ liệu xuyên biên giới theo cách giải thích chặt chẽ. FIE có hoạt động khu vực cần đánh giá rủi ro này cẩn thận.

6.4. Khuyến nghị hành động

Có 06 (sáu) khuyến nghị cụ thể, sắp theo thứ tự ưu tiên như sau:

1. Lập bản đồ luồng dữ liệu (data flow mapping) toàn diện, xác định mọi điểm dữ liệu cá nhân của người Việt được thu thập, lưu trữ, xử lý, và chuyển giao, đặc biệt các luồng xuyên biên giới (nội bộ tập đoàn và với bên thứ ba).
2. Lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới cho từng luồng theo mẫu của A05; nộp đúng thời hạn và cập nhật khi có thay đổi quan trọng.
3. Rà soát và cập nhật chính sách bảo mật, mẫu đồng ý của chủ thể dữ liệu, hợp đồng với bên xử lý dữ liệu (data processor) và bên kiểm soát dữ liệu chung (joint controller) để phù hợp với quy định mới.
4. Chỉ định bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu cá nhân theo quy định. Với FIE có quy mô lớn, đây nên là DPO toàn thời gian; với quy mô nhỏ hơn, có thể là người kiêm nhiệm với điều kiện không có xung đột lợi ích.
5. Xây dựng quy trình xử lý yêu cầu thực hiện quyền của chủ thể dữ liệu (truy cập, chỉnh sửa, xoá) trong thời hạn quy định.
6. Đào tạo nhân viên, đặc biệt nhân sự HR, marketing, sales, và IT, về quy định mới. Phần lớn vi phạm dữ liệu cá nhân tại Việt Nam đến nay xuất phát từ hành vi của nhân viên không nắm rõ quy định, không phải từ chính sách doanh nghiệp.

Kết luận: 8 (tám) công việc cần lưu ý thực hiện trước ngày 01/7/2026

Khung pháp lý công nghệ thông tin tại Việt Nam đã chuyển từ trạng thái rời rạc, hướng dẫn cấp nghị định là chủ đạo, sang trạng thái có hệ thống luật chuyên ngành tương đối hoàn chỉnh. Đối với FIE, sự dịch chuyển này có cả cơ hội (mở cửa thị trường dịch vụ số, ưu đãi cho bán dẫn và AI) và rủi ro (chế tài tài chính theo tỷ lệ doanh thu, nghĩa vụ tuân thủ lan rộng, khung AI mới với nghĩa vụ phân loại rủi ro, hợp nhất Luật ANM và Luật ATTTM thành một khuôn khổ thống nhất).

Đáng chú ý là tốc độ ban hành. Trong vòng 30 tháng, Việt Nam đã thông qua tám đạo luật chuyên ngành và bốn nghị định cốt yếu (chưa kể các dự thảo nghị định đang trong giai đoạn lấy ý kiến). Riêng Kỳ họp thứ 10 Quốc hội khoá XV (tháng 10 - 12/2025) đã thông qua đồng thời ba đạo luật quan trọng cho lĩnh vực này: Luật Trí tuệ nhân tạo, Luật An ninh mạng, và Luật Thương mại điện tử; tất cả đều được thông qua trong ngày 10/12/2025. Tốc độ này có hai hệ quả thực tiễn: (i) doanh nghiệp khó duy trì trạng thái tuân thủ chỉ bằng cách phản ứng với từng văn bản mới, mà cần xây dựng cơ chế theo dõi và cập nhật liên tục; (ii) các văn bản hướng dẫn chi tiết (nghị định, thông tư, quyết định) sẽ tiếp tục được ban hành trong 12–24 tháng tới, và một số điểm sẽ chỉ rõ qua thực tiễn áp dụng.

Rủi ro phổ biến nhất không phải là không biết quy định, mà là biết nhưng để việc tuân thủ trở thành vấn đề phụ. Khi chế tài đã tính bằng tỷ lệ doanh thu, đó là một lựa chọn rủi ro cao. Với khung mới về AI, ANM, và TMĐT cùng có hiệu lực trong nửa đầu năm 2026, thêm một lý do nữa: việc khắc phục sau khi đã triển khai sản phẩm thường tốn kém gấp nhiều lần việc thiết kế đúng từ đầu.

Tuyên bố miễn trừ: Bài viết được chuẩn bị trên cơ sở các văn bản pháp luật có hiệu lực hoặc đã ban hành tính đến ngày 30/5/2026 và không phải là ý kiến tư vấn pháp lý cho bất kỳ tình huống cụ thể nào. Doanh nghiệp cần tham vấn luật sư khi áp dụng vào trường hợp cụ thể của mình.