Doanh nghiệp toàn cầu “trước giờ G” của đạo luật AI
Ngày 2/8 là thời điểm hầu hết quy định cốt lõi trong Đạo luật AI của Liên minh châu Âu (EU) chính thức áp dụng với cơ chế giám sát và thực thi trên toàn EU, gây ảnh hưởng tới doanh nghiệp (DN) nơi đây và thế giới. Như cách Quy định Bảo vệ Dữ liệu chung (GDPR) từng thay đổi cách DN toàn cầu quản lý dữ liệu cá nhân, Đạo luật được dự báo sẽ trở thành chuẩn mực quốc tế mới trong quản trị AI.
EU muốn trở thành người viết luật cho kỷ nguyên AI
Trên đường đua thế giới, Mỹ đang dẫn đầu về sự đổi mới trong công nghệ AI, với những cái tên như OpenAI, Google hay Anthropic. Còn Trung Quốc nổi bật với chiến lược phát triển ở quy mô quốc gia và sự hỗ trợ mạnh mẽ từ nhà nước. Giữa bối cảnh này, EU chọn một con đường khác: xây dựng bộ quy tắc pháp lý toàn diện đầu tiên trên thế giới, để trở thành người viết luật chơi cho kỷ nguyên AI. Khi hầu hết quy định quan trọng được thực thi từ tháng 8/2026, DN toàn cầu sẽ đối mặt với một hiện thực mới, nơi AI không chỉ còn là chuyện về đổi mới sáng tạo, mà gồm cả trách nhiệm, sự minh bạch và nghĩa vụ pháp lý hiện hữu.
Một điểm đặc biệt của Đạo luật là cách tiếp cận dựa trên mức rủi ro. Thay vì quản lý mọi hệ thống AI theo cùng một cách, EU phân chúng thành 4 cấp khác nhau. Ứng dụng nguy cơ thấp như bộ lọc thư rác hay hệ thống đề xuất nội dung chịu ít yêu cầu hơn. Ngược lại, hệ thống có thể ảnh hưởng đến quyền con người, việc làm, giáo dục, tín dụng, an ninh hoặc sức khỏe sẽ bị giám sát chặt hơn.
Theo dự thảo hướng dẫn mới nhất của Ủy ban châu Âu (EC), các hệ thống AI dùng trong tuyển dụng nhân sự, đánh giá năng lực lao động, chấm điểm tín dụng, giáo dục, quản lý biên giới hoặc một số lĩnh vực chăm sóc sức khỏe có thể được xếp vào nhóm rủi ro cao. Đây là điểm nhiều DN ngoài EU thường bỏ qua, vì nghĩ mình chỉ là công ty phần mềm hoặc nhà cung cấp giải pháp AI thông thường. Nếu sản phẩm của DN được dùng trong lĩnh vực thuộc danh mục rủi ro cao, DN có thể phải tuân thủ nghĩa vụ nghiêm ngặt hơn rất nhiều.
Trách nhiệm không chỉ thuộc về DN phát triển
Một trong các mục tiêu lớn của Đạo luật là tăng tính minh bạch. Từ tháng 8/2025, DN cung cấp mô hình AI đa năng đã phải thực hiện nghĩa vụ về tài liệu kỹ thuật, công bố thông tin đào tạo mô hình và tuân thủ quy định bản quyền. Theo EC, các quy định nhằm tạo ra môi trường AI “minh bạch, an toàn và có trách nhiệm hơn”.
Với DN, điều này đồng nghĩa không thể chỉ tung ra mô hình AI rồi từ chối giải thích cách hoạt động. Các nhà quản lý muốn biết mô hình được huấn luyện bằng dữ liệu gì, rủi ro được đánh giá thế nào, DN có cơ chế xử lý sự cố không và hệ thống có cách bảo vệ chống lạm dụng hay không. Các yêu cầu này đặc biệt quan trọng với DN phát triển mô hình nền tảng hoặc triển khai hệ thống AI quy mô lớn.
Ngoài ra, nhiều DN hiện sử dụng mô hình AI của bên thứ ba thay vì tự xây dựng. Ví dụ, một DN nhân sự tại Việt Nam có thể sử dụng API của OpenAI để tạo công cụ sàng lọc hồ sơ ứng viên. Với Đạo luật, trách nhiệm pháp lý không chỉ thuộc về nhà phát triển mô hình nền tảng mà còn có thể thuộc về nơi triển khai hệ thống. Nói cách khác, DN sử dụng AI cũng có thể trở thành đối tượng chịu sự điều chỉnh và phải chịu trách nhiệm với cách AI được sử dụng trong hoạt động kinh doanh của mình, dù trước đây có thể đã xem nó như công cụ mua bên ngoài.
Một yêu cầu khác cũng thu hút sự chú ý là nghĩa vụ minh bạch với nội dung do AI tạo ra. Các quy định về minh bạch trong Điều 50 của Đạo luật yêu cầu người dùng phải được thông báo khi đang tương tác với AI trong nhiều trường hợp nhất định. Nội dung tạo bởi AI, nhất là hình ảnh, âm thanh hay video có thể gây nhầm lẫn, phải được gắn nhãn phù hợp. Điều này có thể buộc DN truyền thông, nền tảng số và công ty công nghệ đầu tư thêm vào hệ thống nhận diện và đánh dấu nội dung AI.
Đạo luật đi kèm chế tài nghiêm khắc và tùy mức độ vi phạm, DN có thể chịu phạt hàng chục triệu Euro hoặc một tỷ lệ đáng kể trên doanh thu toàn cầu.
Chi phí tuân thủ sẽ tăng
Giống như GDPR, Đạo luật sẽ tạo ra một ngành công nghiệp tuân thủ mới và DN sẽ phải đầu tư cho kiểm toán AI, quản trị dữ liệu, đánh giá rủi ro, tài liệu kỹ thuật, giám sát vòng đời hệ thống... Theo nhiều chuyên gia, DN sẽ cần xây dựng mô hình quản trị AI như cách xây hệ thống quản trị dữ liệu sau khi GDPR có hiệu lực. Với DN lớn, đây là khoản đầu tư đáng kể nhưng có thể chấp nhận được, nhưng với các startup, DN vừa và nhỏ, chi phí tuân thủ có thể trở thành rào cản lớn.
Vì giống như GDPR, Đạo luật đi kèm chế tài nghiêm khắc và tùy mức độ vi phạm, DN có thể chịu phạt hàng chục triệu Euro hoặc một tỷ lệ đáng kể trên doanh thu toàn cầu. Các hành vi bị cấm hoàn toàn như một số hình thức thao túng hành vi, chấm điểm xã hội hoặc sử dụng dữ liệu sinh trắc học trái phép có thể bị xử lý ở mức cao nhất. Với các tập đoàn công nghệ đa quốc gia, đây không chỉ là vấn đề tài chính mà còn là rủi ro về uy tín.
Hơn nữa, một trong các nguyên tắc cốt lõi của Đạo luật là áp dụng theo thị trường, chứ không chỉ theo lãnh thổ. Nếu DN tại Mỹ, Singapore hay Nhật Bản cung cấp hệ thống cho khách hàng tại EU hoặc kết quả đầu ra của hệ thống sử dụng trong EU, DN đó vẫn có thể phải tuân thủ quy định liên quan. Điều này khiến Đạo luật trở thành một khuôn khổ pháp lý có phạm vi ảnh hưởng toàn cầu, giống GDPR.
Với DN Việt, Đạo luật không phải chuyện xa vời. Các DN đang xuất khẩu phần mềm sang EU, DN sử dụng AI trong tuyển dụng, chăm sóc khách hàng hoặc phân tích dữ liệu đều có khả năng chịu tác động gián tiếp. Trong ngắn hạn, DN cần thực hiện 3 bước cơ bản: rà soát toàn bộ hệ thống AI đang sử dụng, xác định mức độ rủi ro (1), xây dựng cơ chế quản trị AI nội bộ, có đánh giá rủi ro, kiểm soát dữ liệu, giám sát vận hành (2), chuẩn bị tài liệu kỹ thuật, quy trình minh bạch để sẵn sàng đáp ứng yêu cầu của khách hàng hoặc cơ quan quản lý tại châu Âu (3).