Luật Trí tuệ nhân tạo (AI) chính thức có hiệu lực từ ngày 1 tháng 3 năm 2026. Gần hai tháng trôi qua — và hầu hết các tổ chức tại Việt Nam vẫn chưa bắt đầu đánh giá sự phù hợp (conformity assessment) cho hệ thống AI của mình. Đó không phải vì họ không quan tâm. Mà vì họ không biết bắt đầu từ đâu. Bài viết này giải quyết vấn đề đó — tập trung vào những gì doanh nghiệp Việt Nam THỰC SỰ cần làm để tuân thủ Luật AI, với các bước cụ thể, thứ tự ưu tiên, và khung thời gian thực tế.

Bước 1 — Phân loại hệ thống AI theo mức độ rủi ro

Đây là bước nền tảng. Không phân loại thì không thể biết mình cần làm gì tiếp theo. Luật AI phân loại rủi ro thành ba mức: Cao: Hệ thống có thể gây thiệt hại đáng kể đến tính mạng, sức khỏe, quyền con người, an ninh quốc gia. Danh mục cụ thể do Thủ tướng ban hành. Trung bình: Không thuộc nhóm cao, nhưng có khả năng gây thiệt hại đáng kể đến quyền và lợi ích hợp pháp của tổ chức, cá nhân. Thấp: Các hệ thống còn lại — thường là AI nội bộ, tự động hóa đơn giản. Thực tế tại Việt Nam, nhiều tổ chức đã triển khai AI trước ngày 1/3/2026 mà chưa phân loại. Điều này có nghĩa: họ đang vận hành hệ thống AI — có thể là rủi ro cao — mà không có bất kỳ hồ sơ pháp lý nào. Nguyên tắc phân loại dựa trên:
  • Mức độ tác động: thiệt hại tiềm tàng đến tính mạng, sức khỏe, tài sản, quyền con người, an ninh quốc gia
  • Mức độ tự động: hệ thống tự ra quyết định đến đâu — hay con người vẫn kiểm soát
  • Phạm vi ứng dụng: bao nhiêu người bị ảnh hưởng
  • Khả năng giám sát và can thiệp của con người
Luật yêu cầu nhà cung cấp phân loại trước khi đưa hệ thống vào sử dụng. Đối với các hệ thống đã triển khai trước ngày 1/3/2026 — đây là công việc cần làm NGAY.

Bước 2 — Đánh giá sự phù hợp đối với hệ thống AI rủi ro cao

Đây là nghĩa vụ bắt buộc — và là nơi mà hầu hết các tổ chức Việt Nam đang bỏ ngỏ. Theo Điều 13 Luật AI, hệ thống AI rủi ro cao phải trải qua đánh giá sự phù hợp với các yêu cầu tại Điều 14 — bao gồm an toàn, quản lý rủi ro, quản trị dữ liệu, minh bạch, và giám sát con người. Nghị định hướng dẫn (dự thảo ban hành tháng 3/2026) quy định hai hình thức: Tự đánh giá: Áp dụng với hầu hết hệ thống rủi ro cao. Nhà cung cấp tự thực hiện, tự chịu trách nhiệm pháp lý. Đây là lựa chọn phổ biến — nhưng không có nghĩa là “đánh giá qua loa.” Hồ sơ kỹ thuật phải đầy đủ, có thể kiểm tra được. Đánh giá bởi tổ chức được chỉ định: Bắt buộc đối với một số hệ thống trong danh mục do Thủ tướng ban hành — đặc biệt các hệ thống liên quan đến an ninh quốc gia, dữ liệu sinh trắc học nhạy cảm.

Bước 3 — Xây dựng hồ sơ kỹ thuật theo Điều 14

Điều 14 là cốt lõi của toàn bộ khung tuân thủ. Các yêu cầu bao gồm: An toàn hệ thống: Hệ thống AI phải được thiết kế và phát triển để duy trì sự an toàn trong suốt vòng đời. Điều này bao gồm cả an ninh mạng — không chỉ lỗi phần mềm thông thường. Quản lý rủi ro liên tục: Không phải đánh giá một lần. Hệ thống quản lý rủi ro phải duy trì xuyên suốt — phát hiện rủi ro mới khi hệ thống thay đổi, tích hợp với hệ thống khác, hoặc ngữ cảnh vận hành thay đổi. Quản trị dữ liệu: Dữ liệu huấn luyện, dữ liệu đầu vào, dữ liệu đầu ra phải có quy trình quản lý rõ ràng. Yêu cầu này giao với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân — tức AI và PDPL không tách rời. Minh bạch: Người bị ảnh hưởng bởi quyết định của AI phải biết mình đang tương tác với AI — và có quyền yêu cầu giải thích. Giám sát con người: Con người phải có khả năng giám sát, can thiệp, và dừng hệ thống khi cần.

Khoảng trống lớn nhất: Hồ sơ kỹ thuật không tồn tại

Thực tế tại hầu hết tổ chức Việt Nam: hồ sơ kỹ thuật theo Điều 14 gần như không tồn tại. Model card? Không có. Tài liệu về dữ liệu huấn luyện? Không rõ. Đánh giá thiên lệch thuật toán? Chưa từng làm. Đánh giá tác động rủi ro trước khi triển khai? Thường bỏ qua. Đây là lý do việc tuân thủ Luật AI mất thời gian — không phải vì quy trình phức tạp, mà vì tài liệu không có sẵn. Xây dựng hồ sơ kỹ thuật từ đầu cho một hệ thống AI phức tạp mất 2–4 tháng với đội ngũ có kinh nghiệm. Tin tốt: Nghị định quy định rõ không bắt buộc tiết lộ mã nguồn, bộ tham số mô hình, thuật toán chi tiết, dữ liệu huấn luyện thô, hoặc bí mật kinh doanh, bí mật công nghệ. Hồ sơ kỹ thuật tập trung vào mô tả chức năng, quy trình kiểm thử, biện pháp quản lý rủi ro — không phải “bí mật công thức” của mô hình.

Khi nào phải thông báo cho cơ quan chức năng

Luật quy định nghĩa vụ thông báo ở nhiều điểm: Phân loại rủi ro: Thông báo kết quả phân loại cho Bộ Khoa học và Công nghệ qua Cổng thông tin điện tử một cửa về AI — trước khi đưa hệ thống vào sử dụng. Thay đổi làm tăng rủi ro: Khi hệ thống có thay đổi đáng kể về chức năng, mục đích sử dụng, hoặc tích hợp với hệ thống khác làm phát sinh rủi ro mới hoặc rủi ro cao hơn — thông báo trong 5 ngày làm việc kể từ khi hoàn thành rà soát, theo Nghị định hướng dẫn. Sự cố nghiêm trọng: Khi hệ thống phát hiện có nguy cơ gây thiệt hại nghiêm trọng — phải thông báo ngay cho cơ quan nhà nước có thẩm quyền.

Bắt đầu từ đâu — khung thời gian thực tế

Với hệ thống AI đã triển khai trước ngày 1/3/2026, đây là khung thời gian hợp lý: Tuần 1–2: Kiểm kê tất cả hệ thống AI đang vận hành. Không cần chi tiết — chỉ cần biết: hệ thống nào, dùng để làm gì, ai bị ảnh hưởng. Tuần 3–4: Phân loại sơ bộ từng hệ thống theo ba mức rủi ro. Tập trung vào nhóm có thể là “cao” — đây là ưu tiên số một. Tháng 2–3: Bắt đầu xây dựng hồ sơ kỹ thuật cho hệ thống rủi ro cao. Nếu chưa có kinh nghiệm, thuê tư vấn chuyên sâu về AI compliance. Liên tục: Thiết lập quy trình rà soát định kỳ — khi hệ thống thay đổi, tích hợp mới, hoặc ngữ cảnh sử dụng thay đổi.

Điều gì xảy ra nếu không tuân thủ

Luật AI có hiệu lực — đây không còn là cảnh báo. Đối với hệ thống AI rủi ro cao chưa qua đánh giá sự phù hợp:
  • Rủi ro pháp lý khi cơ quan kiểm tra, giám sát vào cuộc
  • Không thể cung cấp bằng chứng tuân thủ khi có sự cố — tức trách nhiệm pháp lý tăng gấp đôi
  • Trong các lĩnh vực được quản lý chuyên ngành (y tế, tài chính, giao thông), không tuân thủ Luật AI có thể dẫn đến vi phạm phối hợp với quy định của ngành
Đặc biệt: khi Chính phủ hoàn tất ban hành Danh mục hệ thống AI rủi ro cao phải chứng nhận sự phù hợp — đây sẽ là điểm nóng thực thi đầu tiên.

Evvo Labs — hỗ trợ tuân thủ Luật AI

Tại Evvo Labs, chúng tôi hỗ trợ tổ chức Việt Nam trong quá trình tuân thủ Luật AI — từ kiểm kê hệ thống, phân loại rủi ro, xây dựng hồ sơ kỹ thuật, đến đánh giá sự phù hợp cho hệ thống rủi ro cao. Chúng tôi hiểu rằng việc tuân thủ Luật AI không chỉ là nghĩa vụ pháp lý — mà là cách để tổ chức của bạn xây dựng niềm tin với khách hàng, đối tác, và cơ quan quản lý khi triển khai AI. Nếu tổ chức của bạn đang triển khai hoặc chuẩn bị triển khai hệ thống AI — đây là lúc để bắt đầu.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001