thumbnail phan loai rui ro he thong ai quy dinh moi tu 2026

Phân loại rủi ro hệ thống AI: Quy định mới từ 2026

By: admin created 13/06/2026

Từ ngày 01/03/2026, Luật Trí tuệ nhân tạo số 134/2025/QH15 chính thức có hiệu lực, đặt ra khung pháp lý chuyên ngành đầu tiên về phát triển, cung cấp, triển khai và sử dụng hệ thống trí tuệ nhân tạo tại Việt Nam. Một trong những nội dung quan trọng của khung pháp lý mới là yêu cầu phân loại rủi ro hệ thống AI.

Việc phân loại rủi ro giúp doanh nghiệp xác định hệ thống AI của mình thuộc nhóm nào, cần đáp ứng nghĩa vụ gì, có phải thông báo kết quả phân loại hay không và cần áp dụng biện pháp kiểm soát nào trước khi đưa hệ thống ra thị trường hoặc đưa vào sử dụng.

Đối với doanh nghiệp phát triển, cung cấp hoặc ứng dụng AI trong các lĩnh vực như tài chính, y tế, giáo dục, tuyển dụng, thương mại điện tử, chăm sóc khách hàng, phân tích dữ liệu hoặc nhận diện sinh trắc học, việc hiểu đúng quy định về phân loại rủi ro hệ thống AI là bước cần thiết để giảm thiểu rủi ro pháp lý và bảo đảm hoạt động công nghệ theo hướng an toàn, minh bạch và có trách nhiệm.

Tổng quan Luật Trí tuệ nhân tạo 2025 và bối cảnh áp dụng

Phân loại rủi ro hệ thống AI là gì?

Phân loại rủi ro hệ thống AI là quá trình đánh giá hệ thống trí tuệ nhân tạo dựa trên mục đích sử dụng, tính năng, mức độ tự chủ, lĩnh vực áp dụng, nhóm người bị ảnh hưởng và khả năng gây tác động đến quyền, lợi ích hợp pháp của cá nhân, tổ chức hoặc lợi ích công cộng.

Không phải mọi hệ thống AI đều có cùng mức độ rủi ro. Một công cụ lọc thư rác, chatbot hỗ trợ thông tin cơ bản hoặc hệ thống đề xuất nội dung giải trí thường có mức độ rủi ro khác với AI được sử dụng trong chẩn đoán y tế, chấm điểm tín dụng, tuyển dụng, sinh trắc học hoặc hạ tầng thiết yếu.

Vì vậy, việc phân loại rủi ro không chỉ là thủ tục hành chính. Đây còn là bước quan trọng để doanh nghiệp xác định cách thiết kế, kiểm thử, giám sát và vận hành hệ thống AI một cách phù hợp.

Cơ sở pháp lý về phân loại rủi ro hệ thống AI

Khung pháp lý chính về phân loại rủi ro hệ thống AI bao gồm:

  • Luật Trí tuệ nhân tạo số 134/2025/QH15, có hiệu lực từ ngày 01/03/2026;
  • Nghị định 142/2026/NĐ-CP, quy định chi tiết một số điều và biện pháp thi hành Luật Trí tuệ nhân tạo;
  • Các quy định pháp luật chuyên ngành liên quan đến dữ liệu cá nhân, an toàn thông tin mạng, an ninh mạng, sở hữu trí tuệ, bảo vệ người tiêu dùng, lao động, y tế, tài chính, giáo dục và các lĩnh vực có sử dụng AI.

Theo khung pháp lý mới, hệ thống AI được tiếp cận theo nguyên tắc quản lý dựa trên rủi ro. Hệ thống có mức độ rủi ro càng cao thì yêu cầu kiểm soát, minh bạch, đánh giá và giám sát càng chặt chẽ.

Các nhóm rủi ro của hệ thống AI

Theo Nghị định 142/2026/NĐ-CP, hệ thống AI được phân loại theo mức độ rủi ro. Về cơ bản, doanh nghiệp cần lưu ý ba nhóm chính: rủi ro cao, rủi ro trung bình và rủi ro thấp.

1. Hệ thống AI rủi ro cao

Hệ thống AI rủi ro cao là nhóm cần được kiểm soát chặt chẽ nhất. Đây thường là các hệ thống có khả năng tác động đáng kể đến tính mạng, sức khỏe, quyền con người, quyền công dân, an ninh, trật tự, an toàn xã hội hoặc các lợi ích quan trọng khác.

Các hệ thống AI trong lĩnh vực y tế, tín dụng, tuyển dụng, giáo dục, sinh trắc học, hạ tầng thiết yếu hoặc dịch vụ công có thể thuộc nhóm cần đánh giá và kiểm soát chặt hơn, tùy theo danh mục và tiêu chí pháp luật áp dụng.

Ví dụ, một hệ thống AI hỗ trợ chẩn đoán bệnh, đánh giá hồ sơ vay vốn, sàng lọc ứng viên tuyển dụng hoặc nhận diện sinh trắc học trong bối cảnh nhạy cảm có thể tạo ra tác động lớn đến cá nhân. Do đó, doanh nghiệp cần đặc biệt lưu ý đến tính chính xác, minh bạch, giám sát của con người, chất lượng dữ liệu và cơ chế khiếu nại hoặc giải trình.

2. Hệ thống AI rủi ro trung bình

Hệ thống AI rủi ro trung bình là nhóm có thể tạo ra ảnh hưởng nhất định đến người dùng hoặc xã hội, nhưng mức độ tác động thường thấp hơn so với nhóm rủi ro cao.

Nhóm này có thể bao gồm một số hệ thống tương tác trực tiếp với người dùng, hệ thống tạo nội dung tự động, chatbot, trợ lý ảo, công cụ tạo hình ảnh, âm thanh, video hoặc hệ thống AI có khả năng khiến người dùng nhầm lẫn nếu không được thông báo rõ.

Đối với nhóm này, doanh nghiệp cần chú ý nghĩa vụ minh bạch. Người dùng nên được biết khi họ đang tương tác với hệ thống AI hoặc khi nội dung được tạo ra, chỉnh sửa hoặc giả lập bằng AI trong các trường hợp pháp luật yêu cầu gắn nhãn hoặc thông báo.

3. Hệ thống AI rủi ro thấp

Hệ thống AI rủi ro thấp là các hệ thống không thuộc nhóm rủi ro cao hoặc rủi ro trung bình. Đây thường là các công cụ hỗ trợ kỹ thuật, tự động hóa đơn giản hoặc hệ thống có tác động hạn chế đến quyền và lợi ích của cá nhân, tổ chức.

Ví dụ, bộ lọc thư rác, công cụ gợi ý nội dung giải trí cơ bản, hệ thống sắp xếp dữ liệu nội bộ hoặc công cụ hỗ trợ thao tác văn phòng có thể thuộc nhóm rủi ro thấp, tùy theo cách sử dụng thực tế.

Dù thủ tục đối với nhóm rủi ro thấp có thể nhẹ hơn, doanh nghiệp vẫn nên bảo đảm an toàn thông tin, bảo vệ dữ liệu cá nhân và minh bạch với người dùng khi cần thiết.

Chi tiết 3 mức độ phân loại rủi ro hệ thống AI theo Điều 9

Nghĩa vụ tự phân loại của nhà cung cấp

Nhà cung cấp hệ thống AI có trách nhiệm tự đánh giá và phân loại rủi ro của hệ thống trước khi đưa vào sử dụng hoặc cung cấp ra thị trường. Đây là bước quan trọng vì nhà cung cấp thường là chủ thể hiểu rõ nhất về mục đích thiết kế, dữ liệu đầu vào, mô hình vận hành, giới hạn kỹ thuật và rủi ro của hệ thống.

Việc tự phân loại cần dựa trên căn cứ rõ ràng, có hồ sơ lưu giữ và có khả năng giải trình. Doanh nghiệp không nên phân loại hệ thống AI một cách hình thức hoặc chỉ dựa trên tên gọi sản phẩm. Cần đánh giá thực chất hệ thống được dùng để làm gì, ảnh hưởng đến ai, có mức độ tự động hóa như thế nào và nếu sai lệch thì hậu quả có thể là gì.

Đối với hệ thống AI rủi ro trung bình và rủi ro cao, doanh nghiệp cần lưu ý nghĩa vụ thông báo kết quả phân loại theo quy định.

Thủ tục thông báo kết quả phân loại rủi ro

Đối với hệ thống AI thuộc nhóm rủi ro trung bình hoặc rủi ro cao, nhà cung cấp cần thực hiện thông báo kết quả phân loại trước khi đưa hệ thống vào sử dụng theo quy định của Nghị định 142/2026/NĐ-CP.

Hồ sơ thông báo thường cần thể hiện các thông tin chính như:

  • Thông tin về hệ thống AI;
  • Thông tin về nhà cung cấp;
  • Mục đích sử dụng của hệ thống;
  • Phạm vi triển khai;
  • Dữ liệu đầu vào;
  • Mức độ rủi ro được phân loại;
  • Biện pháp quản lý và giảm thiểu rủi ro.

Việc thông báo được thực hiện thông qua Cổng thông tin điện tử một cửa về trí tuệ nhân tạo hoặc phương thức theo quy định pháp luật. Sau khi thông báo, doanh nghiệp cần lưu giữ hồ sơ và cập nhật khi có thay đổi làm ảnh hưởng đến kết quả phân loại.

Quy trình lập hồ sơ và thông báo kết quả phân loại AI (Điều 10)

Vai trò của bên triển khai hệ thống AI

Bên triển khai là tổ chức, cá nhân sử dụng hệ thống AI do nhà cung cấp phát triển hoặc cung cấp. Trong nhiều trường hợp, bên triển khai có thể kế thừa kết quả phân loại từ nhà cung cấp nếu sử dụng hệ thống đúng mục đích, đúng phạm vi và không làm thay đổi bản chất kỹ thuật hoặc mức độ rủi ro.

Tuy nhiên, nếu bên triển khai sửa đổi, tích hợp thêm tính năng, thay đổi mục đích sử dụng hoặc triển khai hệ thống trong bối cảnh mới làm phát sinh rủi ro khác với phân loại ban đầu, bên triển khai cần phối hợp với nhà cung cấp để rà soát, phân loại lại và thực hiện nghĩa vụ thông báo nếu pháp luật yêu cầu.

Ví dụ, một chatbot ban đầu chỉ dùng để trả lời câu hỏi thường gặp có thể có mức độ rủi ro thấp hoặc trung bình. Nhưng nếu doanh nghiệp tích hợp chatbot đó vào quy trình tư vấn tài chính, tư vấn y tế hoặc ra quyết định ảnh hưởng trực tiếp đến quyền lợi của người dùng, mức độ rủi ro có thể thay đổi và cần được đánh giá lại.

Nghĩa vụ minh bạch và gắn nhãn nội dung AI

Không phải mọi hệ thống AI đều phải “dán nhãn an toàn”. Tuy nhiên, pháp luật có đặt ra nghĩa vụ minh bạch và gắn nhãn trong một số trường hợp nhất định, đặc biệt đối với nội dung do AI tạo ra hoặc chỉnh sửa có khả năng gây nhầm lẫn về tính xác thực.

Doanh nghiệp cần lưu ý nghĩa vụ gắn nhãn hoặc thông báo khi hệ thống AI tạo ra nội dung giả lập hình ảnh, giọng nói, video, sự kiện hoặc thông tin có thể khiến người dùng hiểu nhầm đó là nội dung thật. Điều này đặc biệt quan trọng đối với deepfake, nội dung tổng hợp, quảng cáo, truyền thông, mạng xã hội và các sản phẩm sáng tạo nội dung bằng AI.

Một số trường hợp sử dụng AI mang tính kỹ thuật, nội bộ, nghiên cứu, chỉnh sửa không đáng kể hoặc không công khai có thể có cơ chế xử lý khác theo quy định. Vì vậy, doanh nghiệp cần đánh giá từng trường hợp cụ thể thay vì áp dụng một cách máy móc.

Một số hành vi bị nghiêm cấm trong lĩnh vực AI

Luật Trí tuệ nhân tạo đặt ra các hành vi bị nghiêm cấm nhằm ngăn chặn việc lạm dụng AI gây hại cho cá nhân, tổ chức và xã hội. Doanh nghiệp cần đặc biệt tránh các hành vi như:

  • Phát triển, cung cấp hoặc sử dụng hệ thống AI nhằm xâm phạm an ninh quốc gia, trật tự, an toàn xã hội;
  • Sử dụng AI để thao túng hành vi, nhận thức hoặc gây tổn hại đến quyền và lợi ích hợp pháp của cá nhân, tổ chức;
  • Lạm dụng AI để tạo, phát tán nội dung giả mạo, sai sự thật, lừa đảo hoặc xâm phạm danh dự, uy tín, nhân phẩm của người khác;
  • Sử dụng AI để thu thập, xử lý dữ liệu cá nhân trái pháp luật;
  • Cố ý che giấu, khai báo sai hoặc phân loại sai mức độ rủi ro của hệ thống AI;
  • Sử dụng AI để thực hiện hành vi vi phạm pháp luật khác.

Khi xây dựng bài truyền thông hoặc tài liệu nội bộ, doanh nghiệp nên trình bày các hành vi bị cấm theo hướng trung lập, chính xác và tránh diễn giải quá rộng. Việc xác định chế tài cụ thể cần căn cứ vào hành vi, hậu quả và quy định pháp luật áp dụng tại thời điểm xử lý.

Rủi ro nếu phân loại sai hệ thống AI

Việc phân loại sai hệ thống AI có thể khiến doanh nghiệp áp dụng thiếu biện pháp kiểm soát, không thực hiện thông báo khi cần thiết hoặc không chuẩn bị đầy đủ hồ sơ giải trình. Điều này có thể dẫn đến rủi ro pháp lý, rủi ro vận hành và rủi ro uy tín.

Tùy tính chất, mức độ và hậu quả của hành vi vi phạm, doanh nghiệp có thể bị yêu cầu khắc phục, điều chỉnh hệ thống, hạn chế cung cấp hoặc sử dụng hệ thống trong trường hợp luật định, xử phạt vi phạm hành chính hoặc chịu trách nhiệm khác theo quy định pháp luật.

Ngoài ra, nếu hệ thống AI gây thiệt hại cho người dùng, khách hàng hoặc bên thứ ba, doanh nghiệp có thể phải đối mặt với khiếu nại, tranh chấp hợp đồng, yêu cầu bồi thường hoặc ảnh hưởng tiêu cực đến thương hiệu.

Checklist tuân thủ cho doanh nghiệp

Doanh nghiệp phát triển hoặc sử dụng hệ thống AI có thể bắt đầu bằng các bước sau:

  1. Lập danh mục các hệ thống AI đang phát triển, cung cấp hoặc sử dụng.
  2. Xác định vai trò của doanh nghiệp là nhà cung cấp, bên triển khai, bên nhập khẩu, bên phân phối hoặc người sử dụng.
  3. Đánh giá mục đích sử dụng, nhóm người dùng bị ảnh hưởng và lĩnh vực triển khai.
  4. Rà soát dữ liệu đầu vào, dữ liệu huấn luyện và dữ liệu vận hành.
  5. Đánh giá mức độ tác động đến quyền, lợi ích hợp pháp của cá nhân, tổ chức và lợi ích công cộng.
  6. Phân loại hệ thống AI theo nhóm rủi ro phù hợp.
  7. Chuẩn bị hồ sơ thông báo nếu hệ thống thuộc nhóm rủi ro trung bình hoặc rủi ro cao.
  8. Thiết lập cơ chế giám sát của con người đối với các hệ thống có tác động đáng kể.
  9. Cập nhật chính sách minh bạch, điều khoản sử dụng và cảnh báo cho người dùng.
  10. Rà soát định kỳ khi hệ thống được cập nhật, tích hợp thêm tính năng hoặc thay đổi mục đích sử dụng.
    Thiet ke chua co ten 1 1

    Phân loại rủi ro hệ thống AI là một trong những nghĩa vụ quan trọng trong khung pháp lý về trí tuệ nhân tạo tại Việt Nam từ năm 2026. Việc phân loại đúng giúp doanh nghiệp xác định nghĩa vụ thông báo, áp dụng biện pháp kiểm soát phù hợp và giảm thiểu rủi ro pháp lý khi đưa hệ thống AI vào sử dụng.

    Doanh nghiệp phát triển, cung cấp hoặc triển khai AI nên chủ động rà soát hệ thống, chuẩn bị hồ sơ phân loại và cập nhật quy trình vận hành để bảo đảm tuân thủ pháp luật.

    Liên hệ Global Vietnam Lawyers để được tư vấn phân loại rủi ro hệ thống AI, chuẩn bị hồ sơ thông báo và xây dựng lộ trình tuân thủ phù hợp cho doanh nghiệp của bạn.