Việt Nam chính thức có Luật Trí tuệ Nhân tạo (Hiệu lực từ 01/03/2026)

Luật Trí tuệ nhân tạo (Luật số 134/2025/QH15) đã chính thức được Quốc hội khóa XV thông qua vào ngày 10/12/2025. Từ thời điểm này, AI không còn được nhìn nhận đơn thuần như một công cụ công nghệ, mà trở thành đối tượng điều chỉnh trực tiếp của pháp luật.

Kể từ 01/03/2026, “vùng xám” pháp lý bao quanh việc phát triển và vận hành AI tại Việt Nam chính thức khép lại. Mọi doanh nghiệp phát triển, tích hợp hoặc sử dụng hệ thống AI sẽ bước vào một sân chơi pháp lý mới, nơi quyền tự do đổi mới công nghệ song hành với những nghĩa vụ kiểm soát rủi ro ngày càng chặt chẽ.

Trong bối cảnh đó, không tuân thủ không còn là một rủi ro tiềm ẩn, mà trở thành rủi ro pháp lý hiện hữu, có thể dẫn tới đình chỉ hoạt động, chế tài tài chính và tranh chấp trách nhiệm trên thực tế.

Phạm vi điều chỉnh và Hiệu lực thi hành Luật Trí tuệ nhân tạo 2025

Khác với các quy định rải rác trước đây trong Luật Giao dịch điện tử hay Luật Công nghệ thông tin, Luật Trí tuệ nhân tạo 2025 là văn bản luật chuyên ngành đầu tiên điều chỉnh trực tiếp và toàn diện về AI tại Việt Nam.

>>> Xem thêm: Toàn văn Luật số 134/2025/QH15 của Quốc hội: Luật Trí tuệ nhân tạo

Tuy nhiên, điểm mấu chốt của Luật AI không chỉ nằm ở phạm vi điều chỉnh rộng, mà ở cách Luật Trí tuệ nhân tạo xác lập trách nhiệm pháp lý xuyên suốt toàn bộ vòng đời của hệ thống AI. Điều này đồng nghĩa với việc, doanh nghiệp không còn có thể đứng ngoài nghĩa vụ tuân thủ với lý do chỉ là bên tích hợp, bên sử dụng lại, hoặc vận hành AI do bên thứ ba phát triển.

Theo đó, phạm vi điều chỉnh của Luật Trí tuệ nhân tạo bao trùm toàn bộ vòng đời của hệ thống AI, từ:

• • Nghiên cứu – phát triển (R&D),

  • Thu thập và huấn luyện dữ liệu,

  • Thử nghiệm, thương mại hóa,

  • Cho đến giai đoạn triển khai và sử dụng thực tế.

Cách tiếp cận này cho thấy sự dịch chuyển rõ rệt trong tư duy lập pháp: từ quản lý công nghệ sang quản lý rủi ro do công nghệ tạo ra. Mỗi khâu trong vòng đời AI đều có thể trở thành căn cứ xác lập trách nhiệm nếu phát sinh hậu quả pháp lý trên thực tế.

Mốc thời gian “vàng” của Luật Trí tuệ nhân tạo 2025 là ngày 01/03/2026 – thời điểm các quy định bắt đầu có hiệu lực thi hành. Điều này đồng nghĩa với việc doanh nghiệp chỉ còn chưa đầy 60 ngày để:

• • Rà soát toàn bộ hệ thống AI đang vận hành,

  • Đánh giá mức độ rủi ro,

  • Chuẩn bị hồ sơ tuân thủ theo chuẩn mới.

Việc ban hành luật nhằm giải quyết khoảng trống pháp lý khi các quy định cũ (Luật Giao dịch điện tử, Luật Công nghệ thông tin) chưa bao quát hết tốc độ phát triển của AI tạo sinh (Generative AI).

Phân loại AI theo mức độ rủi ro (Risk-based Approach)

Mặc dù Luật Trí tuệ nhân tạo không sử dụng trực tiếp thuật ngữ “Risk-based Approach”, nhưng có thể thấy rõ cách tiếp cận quản lý dựa trên mức độ rủi ro xuyên suốt Chương II của Luật, với cấu trúc và logic tương đồng với các chuẩn mực quốc tế, đặc biệt là EU AI Act.

Trên cơ sở các quy định về hành vi bị cấm, nghĩa vụ quản lý và mức độ can thiệp của Nhà nước, hệ thống AI trong thực tiễn có thể được phân nhóm quản lý theo mức độ rủi ro để phục vụ mục đích tuân thủ pháp luật.

   🔴 Nhóm cấm tuyệt đối (Điều 7 Luật Trí tuệ nhân tạo 2025)  

Luật Trí tuệ nhân tạo không tiếp cận theo cách “cấm theo mô hình AI”, mà xác lập ranh giới pháp lý dựa trên hành vi sử dụng AI và hệ quả gây ra đối với xã hội, con người và trật tự pháp luật.

Theo Điều 7 Luật Trí tuệ nhân tạo, các hành vi sau đây bị nghiêm cấm:

• • Lợi dụng AI để vi phạm pháp luật, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân;

  • Phát triển, cung cấp hoặc sử dụng AI nhằm lừa dối, thao túng nhận thức con người, bao gồm việc tạo, chỉnh sửa và phát tán nội dung AI gây hiểu nhầm hoặc gây hại (như deepfake phục vụ mục đích xấu);

  • Lợi dụng hệ thống AI để tác động, gây ảnh hưởng tiêu cực đến nhóm người dễ bị tổn thương, như trẻ em, người cao tuổi, người khuyết tật;

  • Thu thập, khai thác, xử lý dữ liệu trái phép thông qua AI, đặc biệt là dữ liệu cá nhân, dữ liệu nhạy cảm;

  • Thiết kế hoặc vận hành AI theo cách làm suy giảm, vô hiệu hóa khả năng kiểm soát của con người đối với hệ thống và quyết định do AI tạo ra.

Điểm cốt lõi của Điều 7 nằm ở chỗ: AI bị cấm không phải vì bản thân công nghệ, mà vì cách con người sử dụng công nghệ đó. Mọi hệ thống AI, dù đơn giản hay phức tạp, đều có thể trở thành đối tượng bị cấm nếu bị triển khai vượt qua các “lằn ranh đỏ” nêu trên.

   🟠 Nhóm rủi ro cao (Điều 9 Luật Trí tuệ nhân tạo 2025)

Khác với cách tiếp cận liệt kê cứng từng lĩnh vực, Điều 9 Luật Trí tuệ nhân tạo quy định cơ chế phân loại AI theo mức độ rủi ro dựa trên tiêu chí định tính, thay vì gắn nhãn sẵn cho từng loại hình công nghệ ngay trong luật.

Theo Điều 9 Luật AI, một hệ thống AI được xem xét là rủi ro cao khi việc triển khai hoặc vận hành có khả năng tác động đáng kể đến quyền con người, an toàn, sức khỏe, tài sản hoặc trật tự xã hội. Luật không đưa ra danh sách khép kín các lĩnh vực, mà để ngỏ không gian điều chỉnh nhằm thích ứng với sự phát triển nhanh của công nghệ.

Điểm then chốt nằm ở thẩm quyền xác định danh mục cụ thể. Theo Khoản 4 Điều 14 Luật Trí tuệ nhân tạo, Thủ tướng Chính phủ có thẩm quyền ban hành Danh mục hệ thống AI rủi ro cao thông qua văn bản dưới luật. Điều này đồng nghĩa:

• • Các ví dụ thường được nhắc tới trong thực tiễn như AI trong y tế, giao thông tự động, tuyển dụng, tài chính… chỉ có giá trị minh họa về mặt rủi ro,

  • Danh mục chính thức, có hiệu lực bắt buộc tuân thủ, sẽ không nằm trong Điều 9 của Luật, mà nằm trong Quyết định của Thủ tướng ban hành sau khi Luật có hiệu lực.

Cách thiết kế này cho phép pháp luật linh hoạt cập nhật danh mục AI rủi ro cao theo diễn biến thực tế, tránh tình trạng luật vừa ban hành đã lạc hậu trước công nghệ mới.

Về nghĩa vụ tuân thủ, chỉ khi một hệ thống AI được xếp vào Danh mục rủi ro cao theo văn bản có thẩm quyền, nhà cung cấp và bên triển khai mới phải thực hiện các yêu cầu tăng cường như:

• • đánh giá tác động,

  • quản trị rủi ro,

  • và chịu cơ chế giám sát chuyên sâu theo quy định.

   🟢 Nhóm rủi ro thấp/tối thiểu:

Luật Trí tuệ nhân tạo quy định: đối với các hệ thống AI không thuộc danh mục rủi ro cao, nghĩa vụ pháp lý được thiết kế nhẹ hơn, tập trung chủ yếu vào minh bạch và thông tin cho người sử dụng.

Theo đó, doanh nghiệp cần bảo đảm người dùng được biết rõ họ đang tương tác với hệ thống AI, đặc biệt trong các trường hợp AI tham gia giao tiếp, hỗ trợ hoặc tạo nội dung, nhưng không đặt ra cơ chế kiểm soát nặng tương tự nhóm rủi ro cao.

Tác động đến Sở hữu trí tuệ: “Điểm nóng” dữ liệu và quyền tác giả

Đây là nội dung chuyên môn quan trọng nhất mà Luật Trí tuệ nhân tạo 2025 làm rõ, giải quyết các tranh chấp về bản quyền đang ngày càng gia tăng.

Dữ liệu huấn luyện AI: Nghĩa vụ quản trị và ranh giới minh bạch

Theo Điều 14, nhà cung cấp hệ thống AI rủi ro cao có trách nhiệm:

• • Thiết lập quy trình quản lý dữ liệu đầu vào;

  • Có khả năng giải trình về loại dữ liệu đầu vào chủ yếu được sử dụng để huấn luyện và vận hành hệ thống;

  • Đồng thời, luật ghi nhận rõ ràng nguyên tắc bảo vệ bí mật kinh doanh, theo đó cơ quan quản lý không được yêu cầu tiết lộ thông tin thuộc bí mật thương mại của doanh nghiệp.

Cách tiếp cận này cho thấy Luật AI Việt Nam lựa chọn điểm cân bằng giữa hai mục tiêu:

• • một mặt, đảm bảo khả năng kiểm soát rủi ro và truy xuất trách nhiệm khi AI gây tác động tiêu cực;

  • mặt khác, không bóp nghẹt đổi mới sáng tạo bằng các yêu cầu minh bạch mang tính “lột trần công nghệ”.

Ở góc độ sở hữu trí tuệ, rủi ro pháp lý liên quan đến dữ liệu huấn luyện AI không chỉ nằm trong Luật Trí tuệ nhân tạo, mà còn chịu tác động trực tiếp từ Luật Sở hữu trí tuệ sửa đổi (có hiệu lực từ năm 2026). Theo đó, pháp luật Việt Nam đã tiếp cận theo hướng cho phép sử dụng tác phẩm đã công bố để huấn luyện AI trong một số trường hợp nhất định (ngoại lệ Text and Data Mining), miễn là việc sử dụng này không gây ảnh hưởng bất hợp lý đến quyền và lợi ích hợp pháp của tác giả, chủ sở hữu quyền.

Điều này đồng nghĩa: rủi ro pháp lý không nằm ở việc “có xin phép hay không” một cách máy móc, mà nằm ở cách doanh nghiệp quản trị dữ liệu, phạm vi sử dụng và khả năng chứng minh tính hợp pháp khi bị yêu cầu giải trình.

Định danh chủ thể: AI là công cụ, không phải Tác giả

Luật Trí tuệ nhân tạo 2025 giữ vững nguyên tắc cốt lõi của Bộ luật Dân sự: Chủ thể quyền phải là con người (thể nhân).

a. Với Sáng chế/Bản quyền

Luật Trí tuệ nhân tạo 2025 đã chấm dứt các tranh cãi về tư cách pháp lý của AI bằng việc khẳng định AI chỉ là công cụ phục vụ con người, không có tư cách pháp lý độc lập. Do đó, AI không được đứng tên là “Tác giả” hay “Nhà sáng chế”. Quyền tài sản thuộc về tổ chức/cá nhân đầu tư, nhưng quyền nhân thân gắn liền với con người sáng tạo.

Nguyên tắc cơ bản: “Trí tuệ nhân tạo phục vụ con người, không thay thế thẩm quyền và trách nhiệm của con người”.

b. Cơ chế Sandbox

Luật Trí tuệ nhân tạo mở ra cơ chế thử nghiệm có kiểm soát (Sandbox) cho các sáng chế AI. Trong môi trường này, các giải pháp được hưởng ngoại lệ về bảo mật để phục vụ việc nộp đơn đăng ký sáng chế sau này mà không mất tính mới.

Luật AI dành riêng Điều 21 để quy định về cơ chế này, tạo ra một hành lang pháp lý linh hoạt chưa từng có cho công nghệ AI.

>>> Xem thêm: AI Sáng Chế Việt Nam 4.0: Tương Lai Ngành Luật Sáng Chế và Ứng Dụng Generative AI

“Watermark” và nghĩa vụ minh bạch nội dung AI: Dấu chấm hết cho Deepfake và Content bẩn

Một trong những điểm thực tiễn và có tác động trực tiếp nhất của Luật Trí tuệ nhân tạo nằm ở Điều 11 – Trách nhiệm minh bạch, thay vì tiếp cận bằng các biện pháp cấm đoán tuyệt đối.

Theo đó, Luật AI đặt ra nghĩa vụ minh bạch bắt buộc đối với nội dung do AI tạo ra hoặc can thiệp chỉnh sửa, đặc biệt là trong bối cảnh Deepfake ngày càng bị lạm dụng:

• • Khoản 2 Điều 11 Luật trí tuệ nhân tạo yêu cầu nhà cung cấp hệ thống AI phải bảo đảm các nội dung âm thanh, hình ảnh, video do AI tạo ra được đánh dấu nhận diện ở định dạng máy đọc được (machine-readable format), nhằm cho phép hệ thống và cơ quan quản lý kỹ thuật truy xuất, phân biệt nội dung AI với nội dung do con người tạo ra.

  • Khoản 4 Điều 11 Luật trí tuệ nhân tạo đặt nghĩa vụ lên bên triển khai và sử dụng AI, theo đó phải thông báo rõ ràng cho người tiếp nhận nội dung trong trường hợp AI được sử dụng để mô phỏng con người hoặc sự kiện có thật, nhằm tránh gây hiểu nhầm, đánh lừa nhận thức hoặc thao túng dư luận.

Về mặt thực tiễn, quy định này buộc các agency quảng cáo, đơn vị truyền thông, báo chí và nhà sản xuất nội dung số phải rà soát lại toàn bộ quy trình sử dụng Generative AI. Việc phát hành nội dung AI “trá hình” người thật hoặc sự kiện thật mà không thực hiện nghĩa vụ đánh dấu và thông báo sẽ không còn là vấn đề đạo đức nghề nghiệp, mà trở thành rủi ro vi phạm pháp luật, kéo theo nguy cơ bị xử phạt và buộc gỡ bỏ nội dung.

Nguyên tắc kiểm soát của con người trong Luật Trí tuệ nhân tạo

Luật Trí tuệ nhân tạo không thiết lập một điều khoản độc lập mang tên “Human-in-the-loop” như EU AI Act, nhưng nguyên tắc con người giữ quyền kiểm soát tối hậu đối với hệ thống AI lại xuyên suốt toàn bộ cấu trúc của Luật.

Ở cấp độ nền tảng, Điều 4 Luật AI (Nguyên tắc chung) xác lập yêu cầu rằng việc phát triển, triển khai và sử dụng AI phải bảo đảm vai trò kiểm soát, can thiệp và chịu trách nhiệm của con người, đặc biệt trong các trường hợp hệ thống AI tác động đến quyền, lợi ích hợp pháp của cá nhân và tổ chức.

Nguyên tắc này được cụ thể hóa rõ hơn tại Điều 14 Luật Trí tuệ nhân tạo, thông qua các yêu cầu về thiết kế và vận hành hệ thống AI rủi ro cao. Theo đó, hệ thống AI không được vận hành như một “hộp đen” tự quyết, mà phải được thiết kế để:

• • cho phép con người giám sát,

  • can thiệp kịp thời,

  • và đưa ra quyết định cuối cùng trong những tình huống có nguy cơ gây hậu quả nghiêm trọng.

Cách tiếp cận này phản ánh quan điểm nhất quán của Luật AI Việt Nam: tự động hóa không đồng nghĩa với chuyển giao trách nhiệm. AI được thừa nhận là công cụ hỗ trợ ra quyết định, nhưng không phải là chủ thể gánh chịu trách nhiệm pháp lý.

Do đó, khi hệ thống AI gây thiệt hại – chẳng hạn tư vấn đầu tư sai, chẩn đoán y tế không chính xác hoặc ra quyết định tài chính gây tổn thất – chủ thể chịu trách nhiệm pháp lý vẫn là tổ chức hoặc cá nhân triển khai và vận hành hệ thống, căn cứ theo vai trò kiểm soát và nghĩa vụ quản trị đã được Luật đặt ra.

Từ thời điểm Luật Trí tuệ nhân tạo có hiệu lực (01/03/2026), các tuyên bố miễn trừ trách nhiệm mang tính chung chung như “lỗi thuật toán” hoặc “kết quả do AI tạo ra nằm ngoài kiểm soát của chúng tôi” sẽ không còn giá trị như một cơ chế né tránh trách nhiệm. Luật AI vì vậy đánh dấu sự chuyển dịch rõ ràng từ tư duy AI tự chịu trách nhiệm sang mô hình trách nhiệm gắn chặt với con người và tổ chức đứng sau công nghệ.

Lời khuyên cho Doanh nghiệp

Từ thời điểm Luật Trí tuệ nhân tạo 2025 có hiệu lực, mọi hệ thống AI đang vận hành trong doanh nghiệp đều có thể trở thành đối tượng rà soát pháp lý. Việc chậm chuẩn bị không chỉ dẫn đến nguy cơ vi phạm, mà còn khiến doanh nghiệp đánh mất quyền kiểm soát rủi ro ngay trên chính hệ thống của mình.

Do đó, trong giai đoạn chuyển tiếp này, doanh nghiệp không có nhiều lựa chọn ngoài việc hành động sớm:

1. 1. Audit (Kiểm toán) toàn bộ công cụ AI: Rà soát xem công ty đang dùng AI ở khâu nào? Có thuộc nhóm “Rủi ro cao” hay không?

   2. Thiết lập quy trình giám sát: Đảm bảo luôn có con người phê duyệt cuối cùng cho các quyết định quan trọng của AI.

   3. Tư vấn pháp lý chuyên sâu: Đặc biệt là các doanh nghiệp công nghệ (Tech startup), cần rà soát lại Điều khoản sử dụng (Terms of Use) và Chính sách quyền riêng tư để tương thích với Luật mới.