(KTSG) - LTS: Trong bối cảnh Quốc hội vừa thông qua Luật Trí tuệ nhân tạo (AI) vào ngày 10-12-2025, luật sư Trịnh Ngọc Nam(*) đã có bài phân tích chuyên sâu về khung pháp lý AI đầu tiên của Việt Nam và những hệ quả đối với nền kinh tế số. Bài viết kết hợp góc nhìn pháp lý với thực tiễn kỹ thuật, đồng thời có tham chiếu kinh nghiệm lập pháp từ Hàn Quốc và Liên minh châu Âu. Kinh tế Sài Gòn xin lược đăng, giới thiệu đến quý độc giả của báo.
Việc Quốc hội thông qua Luật AI vào tháng 12-2025 đánh dấu bước ngoặt lịch sử trong chiến lược quản trị số quốc gia, đưa Việt Nam vào nhóm các quốc gia tiên phong trên thế giới có khung pháp lý toàn diện về AI. Tuy nhiên, đằng sau sự kiến tạo hành lang pháp lý, vừa thúc đẩy đổi mới sáng tạo vừa kiểm soát rủi ro, đạo luật này đang đối mặt với những thách thức về cấu trúc, có thể làm ảnh hưởng đến tương lai của hệ sinh thái AI Việt Nam.
Bối cảnh ra đời và vị thế quốc tế
Luật AI Việt Nam 2025 vừa được Quốc hội thông qua ngày 10-12-2025 trong bối cảnh cuộc đua lập pháp về AI đang diễn ra sôi động trên toàn cầu. Là một trong những văn bản luật toàn diện đầu tiên trên thế giới về lĩnh vực này, được ra mắt ngay sau Đạo luật AI của Liên minh châu Âu (EU AI Act) và song hành với các nỗ lực lập pháp tại Hàn Quốc, đạo luật này thể hiện quyết tâm của Việt Nam trong việc không đứng ngoài xu thế quản trị công nghệ toàn cầu.
Cấu trúc của luật được xây dựng dựa trên nguyên tắc quản lý rủi ro, một phương pháp luận chịu ảnh hưởng sâu sắc từ cách tiếp cận của EU. Phạm vi điều chỉnh bao trùm rộng, từ nhà phát triển, nhà cung cấp, bên triển khai đến người sử dụng, áp dụng cho cả các tổ chức trong và ngoài nước hoạt động tại Việt Nam. Đây là một bước đi mạnh mẽ nhằm khẳng định chủ quyền số quốc gia trong kỷ nguyên AI.
Những điểm sáng trong thiết kế pháp lý
Luật đã thiết lập một khung phân loại rủi ro ba cấp độ tương đối rõ ràng. Hệ thống rủi ro cao được định nghĩa là những hệ thống có thể gây thiệt hại đáng kể đến tính mạng, sức khỏe, quyền con người hoặc hạ tầng quan trọng. Hệ thống rủi ro trung bình tập trung vào các công nghệ có khả năng gây nhầm lẫn hoặc thao túng như Deepfakes và Chatbot. Còn lại là các hệ thống rủi ro thấp với yêu cầu tuân thủ nhẹ nhàng hơn (điều 9).
Hệ quả là các startup AI Việt Nam sẽ luôn hoạt động dưới “lưỡi gươm Damocles” - có thể bị kiện bất cứ lúc nào nếu sản phẩm quá thành công và đe dọa thị phần của doanh nghiệp nội dung truyền thống.
Việc quy định rõ trách nhiệm của các chủ thể trong chuỗi giá trị AI cũng là một điểm tích cực. Luật phân định trách nhiệm giữa nhà phát triển, nhà cung cấp và bên triển khai, tạo cơ sở để quy kết trách nhiệm khi xảy ra sự cố. Các yêu cầu về minh bạch, khả năng giải trình và cơ chế can thiệp của con người đều thể hiện tinh thần bảo vệ quyền lợi người dùng cuối.
Vùng xám pháp lý: khi định nghĩa chưa chính xác
Tuy nhiên, khi đối chiếu với các học thuyết pháp lý hiện đại và thực tiễn kỹ thuật của các mô hình AI, đặc biệt là các mô hình ngôn ngữ lớn (LLM), luật đã bộc lộ những khiếm khuyết đáng lo ngại. Vấn đề đầu tiên nằm ở sự thiếu chính xác trong các định nghĩa cơ bản.
Điều 3 của luật định nghĩa hệ thống AI theo hướng nhân hóa, sử dụng các thuật ngữ như “nhận thức”, “hiểu” và “phán đoán”. Các chuyên gia kỹ thuật và pháp lý đã chỉ ra rằng cách tiếp cận này dựa trên sự nhân hóa thay vì tính hợp lý kỹ thuật, dẫn đến sự sai lệch về bản chất pháp lý. AI, đặc biệt là các mô hình học máy và học sâu, hoạt động dựa trên các tương quan thống kê, không phải là sự “hiểu” hay “phán đoán” theo nghĩa nhận thức luận của con người.
Việc luật hóa khái niệm máy móc có “nhận thức” có thể dẫn đến sự phức tạp trong việc quy kết trách nhiệm pháp lý. Nếu một hệ thống có “nhận thức”, liệu nó có ý định phạm tội (mens rea) hay không? Sự mơ hồ này tạo kẽ hở để các nhà phát triển lẩn tránh trách nhiệm đằng sau sự tự chủ của thuật toán, một vấn đề mà các nhà lập pháp chắc chắn không mong muốn.
Hơn nữa, định nghĩa về hệ thống AI bao gồm khả năng “tự thích nghi sau khi được triển khai”. Điều này chính xác về mặt kỹ thuật đối với các hệ thống học tăng cường hoặc học trực tuyến, nhưng có nguy cơ loại trừ các hệ thống AI tĩnh đã được huấn luyện xong và đóng gói. Các hệ thống tĩnh này, như thuật toán chấm điểm tín dụng hoặc sàng lọc hồ sơ tuyển dụng, vẫn có khả năng gây ra tác động phân biệt đối xử nhưng có thể lọt lưới quy định nếu cơ quan quản lý giải thích thuật ngữ một cách cứng nhắc.
Rủi ro không nằm ở bản thân công nghệ, mà ở ngữ cảnh sử dụng
Sự phân loại rủi ro ba cấp độ, dù cố gắng tạo ra sự rõ ràng, lại gặp phải vấn đề về tính “bao quát ngang” so với tính “đặc thù ngữ cảnh”. Các nhà thực hành lập pháp quốc tế đã chỉ ra rằng một hệ thống quy định theo chiều ngang thường dẫn đến tình trạng over-regulation hoặc “quét diện rộng”. Rủi ro của một hệ thống AI không nằm ở bản thân công nghệ, mà ở ngữ cảnh sử dụng.
Một thuật toán nhận diện khuôn mặt dùng để mở khóa điện thoại (rủi ro thấp) khác hoàn toàn với cùng thuật toán đó dùng để giám sát công dân (rủi ro cao). Tuy nhiên, cách diễn đạt của luật có xu hướng gán nhãn rủi ro dựa trên lĩnh vực một cách tĩnh tại, thiếu cơ chế linh hoạt để đánh giá mức độ tác động thực tế.
Thuật ngữ “rủi ro cao” dựa trên khả năng gây hại cũng đặt ra nhiều câu hỏi. Cụm từ “có thể gây thiệt hại” trong điều 9 là quá rộng vì hầu như mọi phần mềm đều có thể gây hại nếu gặp lỗi nghiêm trọng. Luật thiếu một ngưỡng định lượng về xác suất xảy ra rủi ro hoặc quy mô tác động. Sự mơ hồ này buộc các doanh nghiệp phải áp dụng biện pháp phòng ngừa tối đa cho mọi hệ thống để tránh rủi ro pháp lý, dẫn đến chi phí tuân thủ tăng vọt.
Bẫy bản quyền: ngoại lệ TDM “mở mà đóng”
Khoản 3 điều 7 Luật AI nghiêm cấm thu thập, xử lý dữ liệu trái với quy định về sở hữu trí tuệ (SHTT), tạo ra liên kết cứng tới Luật SHTT. Luật SHTT sửa đổi 2025 có bổ sung ngoại lệ cho phép sử dụng dữ liệu đã công bố hợp pháp để huấn luyện AI - thoạt nhìn là bước tiến lớn khi Việt Nam công nhận ngoại lệ “khai phá văn bản và dữ liệu” (TDM). Tuy nhiên, điều kiện đi kèm “không ảnh hưởng bất hợp lý đến quyền và lợi ích hợp pháp của chủ sở hữu” lại chứa đựng cái bẫy pháp lý: với AI tạo sinh thương mại, đầu ra thường cạnh tranh trực tiếp với tác phẩm gốc của con người, khiến chủ sở hữu quyền hoàn toàn có thể lập luận việc huấn luyện AI đã gây “ảnh hưởng bất hợp lý” đến thị trường của họ. Hệ quả là các startup AI Việt Nam sẽ luôn hoạt động dưới “lưỡi gươm Damocles” - có thể bị kiện bất cứ lúc nào nếu sản phẩm quá thành công và đe dọa thị phần của doanh nghiệp nội dung truyền thống. Điều này vô hình trung củng cố vị thế độc quyền của các Big Tech nước ngoài, những đơn vị đã huấn luyện mô hình tại các tài phán cho phép TDM rộng rãi và có đủ tiềm lực tài chính để giải quyết các vụ kiện bản quyền.
Nghịch lý của dữ liệu “sạch” và quyền riêng tư
Điều 14 yêu cầu nhà cung cấp AI rủi ro cao phải “quản trị dữ liệu bảo đảm chất lượng” - một yêu cầu xung đột trực diện với thực tế hỗn độn của dữ liệu lớn. Vấn đề đầu tiên nằm ở “dữ liệu suy luận” (inferred data): AI thường tự tạo ra những thông tin nhạy cảm về xu hướng chính trị, tình trạng sức khỏe hoặc tính cách người dùng, được phỏng đoán từ những dữ liệu hành vi tưởng chừng vô thưởng vô phạt. Luật chưa làm rõ liệu việc tạo ra dữ liệu suy luận này có vi phạm quy định về thu thập dữ liệu trái phép hay không - nếu áp dụng nghiêm ngặt, hầu hết các hệ thống phân tích khách hàng hiện nay đều có nguy cơ vi phạm. Vấn đề thứ hai nghiêm trọng hơn: tính bất khả thi của “quyền được lãng quên”. Các nghiên cứu về Machine Unlearning chỉ ra rằng việc xóa hoàn toàn ảnh hưởng của một điểm dữ liệu cụ thể khỏi mô hình đã huấn luyện là cực kỳ khó khăn, tốn kém và thường làm giảm hiệu suất mô hình. Trong khi đó, luật yêu cầu tuân thủ pháp luật về bảo vệ dữ liệu cá nhân, bao gồm quyền yêu cầu xóa dữ liệu. Sự mâu thuẫn giữa quyền pháp lý và thực tế kỹ thuật này tạo ra rủi ro pháp lý thường trực cho mọi doanh nghiệp AI.
Nút thắt cổ chai trong đánh giá sự phù hợp
Điều 13 bắt buộc các hệ thống AI rủi ro cao phải được “đánh giá sự phù hợp” trước khi đưa vào sử dụng - một yêu cầu hợp lý về mặt nguyên tắc nhưng đặt ra gánh nặng tuân thủ nặng nề có thể bóp nghẹt sự đổi mới. Hiệu quả của quy định này phụ thuộc hoàn toàn vào năng lực của các tổ chức đánh giá, trong khi Việt Nam hiện chưa có hệ sinh thái các tổ chức kiểm định đủ năng lực kỹ thuật chuyên sâu về AI. Nguy cơ xảy ra tình trạng tắc nghẽn, nơi hàng ngàn sản phẩm AI phải xếp hàng chờ kiểm định và làm chậm thời gian đưa sản phẩm ra thị trường, là rất cao. Nghiêm trọng hơn là vấn đề về bản chất động của AI: một chứng nhận “phù hợp” tại thời điểm T0 có thể trở nên vô nghĩa tại thời điểm T1 sau khi mô hình tự cập nhật với dữ liệu mới. Luật yêu cầu đánh giá lại khi có “thay đổi đáng kể”, nhưng định nghĩa thế nào là “đáng kể” trong một mạng nơ-ron có hàng tỉ tham số vẫn là câu hỏi kỹ thuật chưa có lời giải thấu đáo.
AI tạo sinh và Agentic AI: những thách thức chưa được giải đáp
Việc xếp loại các hệ thống “có khả năng gây nhầm lẫn” hoặc “thao túng” vào nhóm rủi ro trung bình là nỗ lực nhằm kiểm soát AI tạo sinh. Tuy nhiên, ngưỡng của sự thao túng mang tính chủ quan cao. Các thuật toán gợi ý trên mạng xã hội hoặc sàn thương mại điện tử về bản chất được thiết kế để thao túng hành vi người dùng nhằm tối đa hóa tương tác. Theo cách hiểu khắt khe của luật, tất cả thuật toán này đều có thể bị coi là rủi ro trung bình hoặc thậm chí bị cấm (điều 7), tạo ra sự bất định cho toàn bộ ngành công nghiệp quảng cáo số và thương mại điện tử.
Về yêu cầu minh bạch, nhà cung cấp AI rủi ro trung bình phải giải trình về nguyên lý hoạt động (điều 15). Đối với các mô hình ngôn ngữ lớn với hàng tỉ tham số, việc giải trình nguyên lý hoạt động một cách minh bạch cho cơ quan quản lý là một thách thức kỹ thuật chưa có lời giải. Bản chất “hộp đen” của các mạng nơ-ron sâu khiến ngay cả các nhà phát triển cũng không thể giải thích đầy đủ tại sao mô hình đưa ra một kết quả cụ thể.
Một xu hướng công nghệ quan trọng mà luật dường như chưa lường trước là sự trỗi dậy của Agentic AI - các hệ thống AI có khả năng hành động tự chủ để đạt mục tiêu. Nếu một AI Agent được triển khai để tối ưu hóa chuỗi cung ứng tự ý thực hiện các hành vi thao túng giá hoặc đặt hàng sai lệch gây thiệt hại lớn, ai sẽ chịu trách nhiệm? Nhà cung cấp hay bên triển khai? Luật hiện tại dường như áp dụng mô hình trách nhiệm tĩnh, chưa tính đến các hành vi “nổi sinh” của các hệ thống đa tác nhân.
Ảo tưởng về “sự can thiệp của con người” (điều 4)
Yêu cầu con người phải có khả năng can thiệp vào mọi quyết định của hệ thống AI là một nguyên tắc đẹp về mặt lý thuyết nhưng phi thực tế trong nhiều ứng dụng. Các hệ thống AI hoạt động ở tốc độ cao như giao dịch tần suất cao hoặc an ninh mạng đưa ra hàng triệu quyết định mỗi giây, không thể có sự can thiệp của con người cho từng quyết định.
Hơn nữa, hiện tượng “thiên kiến tự động hóa” (automation bias) khiến con người thường có xu hướng chấp nhận đề xuất của AI mà không phản biện. Quy định này có thể biến con người thành những “con rối” pháp lý - chịu trách nhiệm cho lỗi của máy móc mà họ không thực sự hiểu hoặc kiểm soát được.
Vấn đề ảo giác (hallucination) của AI tạo sinh cũng đặt ra câu hỏi lớn về trách nhiệm pháp lý. AI tạo sinh thường xuyên tạo ra thông tin sai lệch nhưng nghe có vẻ thuyết phục. Nếu định nghĩa sự cố bao gồm cả việc gây thiệt hại về “uy tín”, mọi trường hợp chatbot đưa ra thông tin sai đều có thể coi là sự cố, dẫn đến sự quá tải cho hệ thống báo cáo và tạo ra rủi ro pháp lý vô hạn cho các nhà cung cấp.
Hệ quả kinh tế - xã hội: cái chết của startup AI?
Các yêu cầu về đánh giá rủi ro, chứng nhận hợp quy, gắn nhãn dữ liệu, và duy trì cơ chế giải trình là những chi phí cố định cao. Những chi phí này có tính chất lũy thoái, đè nặng lên các startup nhỏ hơn là các tập đoàn lớn. Hệ quả dự kiến là sự sụt giảm số lượng các startup AI mới, hoặc các startup sẽ chuyển hướng sang các ứng dụng rủi ro thấp, ít giá trị gia tăng để tránh gánh nặng pháp lý.
Do các quy định cấm đoán nghiêm ngặt về dữ liệu và thiếu ngoại lệ bản quyền rõ ràng, các công ty Việt Nam sẽ thấy việc tự huấn luyện các mô hình nền tảng là quá rủi ro về mặt pháp lý. Thay vào đó, họ sẽ buộc phải mua hoặc thuê lại các mô hình từ các gã khổng lồ công nghệ nước ngoài - những đơn vị đã “hấp thụ” rủi ro pháp lý tại các tài phán cho phép TDM rộng rãi. Điều này làm sâu sắc thêm sự phụ thuộc công nghệ của Việt Nam và cản trở mục tiêu “Chủ quyền AI” mà Chính phủ đề ra.
Nếu luật được thực thi quá cứng nhắc, dòng vốn đầu tư mạo hiểm cho AI có thể chuyển dịch sang các quốc gia Đông Nam Á khác có khung pháp lý thông thoáng hơn như Singapore hoặc Malaysia, nơi có các cơ chế sandbox linh hoạt hơn. Hiện tượng kinh doanh chênh lệch quy định (regulatory arbitrage) này có thể dẫn đến tình trạng chảy máu chất xám và vốn đầu tư.
Về mặt xã hội, việc dán nhãn và chứng nhận hợp quy có thể tạo ra cảm giác an toàn giả tạo. Người dùng có thể tin tưởng tuyệt đối vào một hệ thống AI “đã được chứng nhận”, trong khi thực tế chứng nhận đó không đảm bảo hệ thống không mắc lỗi. Các quy định chặt chẽ cũng có thể làm tăng chi phí dịch vụ AI, khiến các công nghệ tiên tiến trở nên đắt đỏ và khó tiếp cận đối với người thu nhập thấp, đi ngược lại mục tiêu “bao trùm” của luật.
Kiến nghị điều chỉnh: hướng đến khung pháp lý cân bằng
Để Luật AI thực sự trở thành động lực phát triển, cần thực hiện các điều chỉnh chiến lược. Trước hết, Chính phủ cần khẩn trương ban hành nghị định hướng dẫn hoặc sửa đổi Luật SHTT để bổ sung ngoại lệ cho phép sử dụng tác phẩm hợp pháp để huấn luyện AI mà không cần xin phép, miễn là không cạnh tranh trực tiếp với tác phẩm gốc. Đây là điều kiện tiên quyết để cứu vãn ngành công nghiệp mô hình ngôn ngữ lớn (LLM) nội địa.
Thứ hai, cần chuyển đổi sang khung “tác động cao” linh hoạt. Thay vì danh sách cứng nhắc các hệ thống rủi ro cao, cần chuyển sang cơ chế đánh giá dựa trên bối cảnh cụ thể, loại trừ các hệ thống sử dụng nội bộ doanh nghiệp hoặc các hệ thống gợi ý rủi ro thấp khỏi gánh nặng tuân thủ.
Thứ ba, cần định nghĩa lại “sự kiểm soát của con người” một cách thực tế hơn. Thay vì yêu cầu can thiệp thời gian thực, luật nên chấp nhận cơ chế “giám sát có ý nghĩa” bao gồm kiểm toán hậu kiểm, khả năng ghi nhận lại quy trình, và quyền phủ quyết trong các tình huống cụ thể.
Thứ tư, cần thiết lập cơ chế thử nghiệm có kiểm soát (sandbox) chuyên biệt cho AI tạo sinh và AI tác nhân. Trong môi trường này, các doanh nghiệp được phép thử nghiệm các mô hình trách nhiệm và công nghệ mới mà không lo sợ bị xử phạt ngay lập tức, từ đó hình thành văn hóa “tuân thủ từ thiết kế” thay vì “tuân thủ vì sợ hãi”.
Cuối cùng, cần thiết lập chế độ miễn trừ trách nhiệm một phần (safe harbor) cho các nhà cung cấp đã thực hiện đầy đủ các biện pháp minh bạch và giảm thiểu rủi ro tốt nhất nhưng vẫn gặp phải các lỗi ngẫu nhiên của AI như hiện tượng ảo giác. Trách nhiệm tuyệt đối đối với ảo giác sẽ khiến ngành công nghiệp này không thể bảo hiểm và không thể tồn tại về mặt thương mại.
Luật AI 2025 của Việt Nam là một nỗ lực lập pháp đầy tham vọng, thể hiện sự nhạy bén của Nhà nước trước làn sóng công nghệ thứ tư. Tuy nhiên, trong nỗ lực đón đầu xu thế, luật đã du nhập nhiều khái niệm quản lý của châu Âu mà chưa có sự điều chỉnh thích đáng với thực tiễn kỹ thuật và năng lực của hệ sinh thái trong nước. Nếu không có các văn bản hướng dẫn thi hành theo hướng cởi mở, đặc biệt là về vấn đề bản quyền dữ liệu và phân loại rủi ro, luật có nguy cơ biến Việt Nam thành một thị trường tiêu thụ công nghệ ngoại nhập thay vì một trung tâm sáng tạo.
Tương lai của nền kinh tế số Việt Nam phụ thuộc vào việc liệu các nhà làm luật có dũng cảm điều chỉnh các quy định này để chấp nhận sự không chắc chắn vốn có của AI, hay sẽ kìm hãm nó trong chiếc áo giáp quản lý quá chật chội. Câu trả lời cho câu hỏi này sẽ quyết định liệu Việt Nam sẽ là người chơi hay khán giả trong cuộc cách mạng AI toàn cầu.
Bài viết phản ánh quan điểm phân tích độc lập dựa trên nghiên cứu pháp lý và kỹ thuật về Luật Trí tuệ nhân tạo Việt Nam 2025.
(*) Công tác tại FPT Software Korea, nghiên cứu sinh tại Đại học Quốc gia Seoul, Hàn Quốc.
