Pháp Luật Về TTNT Tại Việt Nam Tiếp Tục Được Hoàn Thiện: Những Điểm Đáng Chú Ý Từ Nghị Định 142

Ngày 30 tháng 4 năm 2026, Chính phủ đã ban hành Nghị định số 142/2026/NĐ-CP (Nghị Định 142) quy định chi tiết một số điều và biện pháp thi hành Luật Trí tuệ Nhân tạo (Luật TTNT), có hiệu lực thi hành từ ngày 1 tháng 5 năm 2026. 

Nghị Định 142 cụ thể hóa một số nội dung quan trọng của Luật TTNT, qua đó tạo cơ sở rõ ràng hơn để các tổ chức và doanh nghiệp đánh giá các nghĩa vụ tuân thủ của mình trong quá trình nghiên cứu, phát triển, cung cấp, triển khai hoặc sử dụng các hệ thống trí tuệ nhân tạo (TTNT) tại Việt Nam.

Trong bản cập nhật pháp lý này, chúng tôi điểm qua một số quy định đáng chú ý của Nghị Định 142.

1. Tiêu chí xác định hệ thống TTNT có rủi ro cao và rủi ro trung bình

Nghị Định 142 làm rõ các tiêu chí xác định hệ thống TTNT có rủi ro cao. Theo đó, hệ thống TTNT được xác định là có rủi ro cao khi đáp ứng một hoặc nhiều tiêu chí sau đây:

(i) Mức độ tác động: Mức độ có thể gây thiệt hại đối với tính mạng, sức khỏe, tài sản, quyền con người, lợi ích quốc gia, lợi ích công cộng hoặc an ninh quốc gia; mức độ tự động của hệ thống; mức độ hỗ trợ ra quyết định cuối cùng; khả năng giám sát và can thiệp của con người trong thực thi hành động;

(ii) Lĩnh vực sử dụng: Triển khai trong lĩnh vực thiết yếu (bao gồm lĩnh vực y tế và lĩnh vực giáo dục) hoặc các lĩnh vực liên quan trực tiếp đến lợi ích công cộng; và/hoặc

(iii) Phạm vi người sử dụng và quy mô ảnh hưởng: Phạm vi người sử dụng, quy mô đối tượng chịu tác động hoặc mức độ kết nối với hệ thống hạ tầng kỹ thuật quan trọng.

Ngay cả khi đáp ứng các tiêu chí nêu trên, hệ thống TTNT có thể thuộc trường hợp được không phân loại là hệ thống có rủi ro cao nếu hệ thống đó:

(i) chỉ thực hiện các tác vụ thu thập, xử lý, chuẩn hóa, phân loại, dịch thuật hoặc cải thiện chất lượng dữ liệu; không trực tiếp tạo lập quyết định làm ảnh hưởng đến quyền và lợi ích hợp pháp của tổ chức, cá nhân;

(ii) có cơ chế kỹ thuật và quy trình vận hành bảo đảm sự giám sát thực chất của con người, theo đó người có thẩm quyền có khả năng xem xét độc lập, can thiệp, từ chối hoặc thay đổi quyết định của hệ thống trước khi quyết định đó có hiệu lực;

(iii) chỉ sử dụng phục vụ hoạt động quản trị, vận hành nội bộ của tổ chức, doanh nghiệp; không trực tiếp tác động đến quyền, nghĩa vụ pháp lý hoặc lợi ích hợp pháp của tổ chức, cá nhân bên ngoài tổ chức; hoặc

(iv) chỉ thực hiện chức năng phân tích, dự báo, đánh giá, khuyến nghị mang tính tham khảo; nhà cung cấp và bên triển khai không được sử dụng kết quả đầu ra làm căn cứ duy nhất để ra quyết định cuối cùng.

Bên cạnh đó, Nghị Định 142 quy định một hệ thống TTNT được phân loại là có rủi ro trung bình nếu hệ thống đó không thuộc Danh mục hệ thống TTNT có rủi ro cao do Thủ tướng Chính phủ ban hành và có khả năng gây nhầm lẫn, tác động hoặc thao túng người sử dụng do người sử dụng không nhận biết được chủ thể tương tác là hệ thống TTNT hoặc nội dung do hệ thống tạo ra.

Tuy nhiên, một số hệ thống TTNT không phân loại là hệ thống có rủi ro trung bình, bao gồm các trường hợp hệ thống:

(i) chỉ hỗ trợ chỉnh sửa kỹ thuật nhằm cải thiện hình thức nội dung, không tạo nội dung mới và không thay đổi danh tính của chủ thể;

(ii) hỗ trợ công việc văn phòng mà người sử dụng có thể nhận biết rõ ràng bản chất chức năng là công cụ TTNT thông qua bối cảnh sử dụng và không có chức năng mô phỏng, giả lập có khả năng gây nhầm lẫn về danh tính, tính xác thực của sự kiện;

(iii) không tương tác, cung cấp trực tiếp dịch vụ hoặc nội dung ra công chúng bao gồm cả trường hợp không phát hành ra công chúng thông qua bên thứ ba, nền tảng trung gian;

(iv) được sử dụng trong hoạt động nghệ thuật, điện ảnh, trò chơi điện tử hoặc hoạt động sáng tạo khác; bối cảnh công bố thể hiện rõ nội dung mang tính hư cấu; hoặc

(v) chỉ thực hiện xử lý, phân tích dữ liệu hoặc tối ưu vận hành trong hệ thống kỹ thuật; không tương tác trực tiếp với người sử dụng, không tạo nội dung cung cấp ra công chúng và không trực tiếp tương tác với môi trường vật lý như chức năng điều khiển chính của hệ thống. 

2. Hồ sơ phân loại rủi ro và thủ tục thông báo kết quả phân loại

Nhà cung cấp phải lập hồ sơ phân loại rủi ro trước khi đưa hệ thống TTNT có rủi ro cao hoặc trung bình vào sử dụng. Hồ sơ này phải bao gồm: 

(i) thông tin nhận diện hệ thống; 

(ii) mô tả hệ thống và bối cảnh sử dụng; 

(iii) mô tả khái quát loại dữ liệu đầu vào chủ yếu được sử dụng để vận hành hệ thống; và 

(iv) nội dung quản lý rủi ro.

Nghị Định 142 cho phép nhà cung cấp sử dụng tài liệu mô tả kỹ thuật mô hình hoặc tài liệu kỹ thuật tương đương được lập theo tiêu chuẩn quốc tế để đáp ứng các thành phần hồ sơ, với điều kiện các tài liệu đó đáp ứng đầy đủ các nội dung thông tin theo quy định của Nghị Định 142. Ngoài ra, trong trường hợp hệ thống TTNT có sử dụng dữ liệu cá nhân, nhà cung cấp được sử dụng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của pháp luật về bảo vệ dữ liệu cá nhân để thay thế hoặc tích hợp làm thành phần của hồ sơ phân loại rủi ro, nhằm giảm thiểu chi phí tuân thủ hành chính.

Đối với các hệ thống TTNT có rủi ro cao và rủi ro trung bình, nhà cung cấp phải thông báo kết quả phân loại rủi ro cho Bộ Khoa học và Công nghệ thông qua Cổng thông tin điện tử một cửa về TTNT (Cổng Thông Tin) trước khi đưa hệ thống vào sử dụng theo một trong các hình thức sau đây:

(i) kê khai trực tiếp theo biểu mẫu điện tử trên Cổng Thông Tin; hoặc

(ii) gửi thông tin tự động thông qua giao diện lập trình ứng dụng hoặc phương thức điện tử phù hợp khác theo quy định của pháp luật.

Sau khi hoàn tất việc thông báo, hệ thống sẽ tự động ghi nhận thông tin, cấp mã định danh hệ thống TTNT và gửi xác nhận điện tử cho nhà cung cấp.

3. Nghĩa vụ minh bạch, đánh dấu kỹ thuật và gắn nhãn

Nghị Định 142 quy định nhà cung cấp và bên triển khai phải thực hiện các nghĩa vụ minh bạch đối với hệ thống TTNT và nội dung do TTNT tạo ra, bao gồm:

(i) thông báo, đánh dấu kỹ thuật và gắn nhãn hiển thị đối với hệ thống TTNT và nội dung do hệ thống tạo ra;

(ii) cung cấp thông tin về mục đích sử dụng, phạm vi áp dụng, điều kiện sử dụng và các hạn chế của hệ thống trí tuệ nhân tạo; và

(iii) lưu trữ thông tin, tài liệu phục vụ việc kiểm tra và giám sát.

Đối với nội dung đầu ra là âm thanh, hình ảnh hoặc video, nhà cung cấp phải áp dụng các giải pháp kỹ thuật để đánh dấu nội dung ở định dạng máy đọc, bao gồm, bên cạnh những biện pháp khác, tích hợp dấu hiệu nhận biết vào cấu trúc tệp tin hoặc siêu dữ liệu của tệp tin, sử dụng chữ ký số, chữ ký điện tử hoặc các giải pháp kỹ thuật tương đương. Bên triển khai cũng phải gắn nhãn dễ nhận biết đối với âm thanh, hình ảnh hoặc video được tạo ra hoặc chỉnh sửa bằng hệ thống TTNT trong trường hợp mô phỏng hoặc giả lập ngoại hình, giọng nói của người thật hoặc tái hiện sự kiện thực tế để phân biệt với nội dung thật, trừ trường hợp pháp luật có quy định khác.

Trường hợp hệ thống TTNT được cung cấp dưới dạng mã nguồn mở hoặc cung cấp miễn phí, nhà cung cấp được coi là đã thực hiện nghĩa vụ đánh dấu kỹ thuật nếu đã tích hợp sẵn chức năng đánh dấu kỹ thuật hoặc công bố công khai công cụ, cấu hình tiêu chuẩn, giao diện lập trình ứng dụng hoặc tài liệu kỹ thuật cho phép bên triển khai cấu hình và vận hành chức năng đánh dấu.

Ngoài các trường hợp nêu trên, nghĩa vụ gắn nhãn không áp dụng đối với bên triển khai trong các trường hợp sau:

(i) nội dung được chỉnh sửa kỹ thuật nhằm cải thiện chất lượng âm thanh, hình ảnh hoặc video mà không làm thay đổi bản chất hoặc ngữ cảnh chính của nội dung;

(ii) văn bản được xử lý bằng công cụ hỗ trợ sửa lỗi chính tả, ngữ pháp, tóm tắt, diễn giải hoặc dịch thuật mà không làm sai lệch nội dung cơ bản của văn bản gốc;

(iii) nội dung được sử dụng trong phạm vi nội bộ của cơ quan, tổ chức, doanh nghiệp và không được cung cấp ra công cộng; hoặc

(iv) nội dung được tạo ra trong quá trình nghiên cứu, phát triển hoặc thử nghiệm trong môi trường kiểm soát và không được cung cấp ra công cộng.

4. Báo cáo và xử lý sự cố nghiêm trọng

Nghị Định 142 quy định các trường hợp được xem là sự cố nghiêm trọng của hệ thống TTNT, bao gồm các sự cố gây ra:

(i) thiệt hại về tính mạng hoặc tổn hại nghiêm trọng đến sức khỏe của con người;

(ii) thiệt hại đáng kể về tài sản hoặc ảnh hưởng nghiêm trọng đến hoạt động của tổ chức;

(iii) xâm phạm nghiêm trọng quyền con người, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; hoặc

(iv) gây gián đoạn nghiêm trọng việc cung cấp dịch vụ công, dịch vụ thiết yếu theo quy định của pháp luật hoặc ảnh hưởng đến an ninh quốc gia, trật tự, an toàn xã hội.

Khi xảy ra sự cố nghiêm trọng, tùy theo vai trò của mình, các chủ thể liên quan có trách nhiệm ghi nhận sự cố, thực hiện các biện pháp để hạn chế hậu quả, áp dụng các biện pháp kỹ thuật để ngăn chặn và khắc phục hậu quả của sự cố cũng như phối hợp cung cấp thông tin cần thiết phục vụ quá trình xử lý sự cố.

Ngoài ra, nhà cung cấp hoặc bên triển khai phải nộp báo cáo sơ bộ sự cố nghiêm trọng thông qua Cổng Thông Tin trong thời hạn:

(i) bảy mươi hai (72) giờ kể từ thời điểm xác nhận sự cố đối với các sự cố nghiêm trọng có tính khẩn cấp và trường hợp không thể kiểm soát; hoặc

(ii) năm (5) ngày làm việc kể từ thời điểm xác nhận sự cố đối với các sự cố nghiêm trọng còn lại.

Nhà cung cấp và bên triển khai cũng phải duy trì, lưu giữ nhật ký hệ thống, dữ liệu và thông tin liên quan đến sự cố, đồng thời gửi báo cáo chính thức về kết quả khắc phục sự cố trong thời hạn mười lăm (15) ngày kể từ ngày nộp báo cáo sơ bộ.

5. Cơ chế thử nghiệm có kiểm soát đối với hệ thống TTNT

Hoạt động nghiên cứu, phát triển hoặc thử nghiệm hệ thống TTNT trong môi trường mô phỏng, môi trường khép kín hoặc thử nghiệm nội bộ không thuộc phạm vi áp dụng của cơ chế thử nghiệm có kiểm soát nếu không có người tham gia thử nghiệm thực tế và không tạo tác động ra bên ngoài tổ chức.

Cơ chế thử nghiệm có kiểm soát được phân thành ba (3) cấp độ dựa trên các yếu tố bao gồm:

(i) mức độ rủi ro của hệ thống TTNT;

(ii) tính chất của dữ liệu được sử dụng, bao gồm dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm, dữ liệu cá nhân của trẻ em hoặc dữ liệu thuộc danh mục hạn chế;

(iii) phạm vi và quy mô triển khai thử nghiệm; và

(iv) mức độ tác động đối với an ninh quốc gia, trật tự, an toàn xã hội và quyền, lợi ích hợp pháp của tổ chức, cá nhân.

Để tham gia cơ chế thử nghiệm có kiểm soát, tổ chức hoặc cá nhân phải nộp hồ sơ đăng ký bằng phương thức điện tử thông qua Cổng Dịch vụ công Quốc gia và được cấp Giấy Xác nhận Tham gia Thử nghiệm Có Kiểm soát.

Trong thời gian thử nghiệm, các chủ thể tham gia thử nghiệm phải tuân thủ nghĩa vụ báo cáo định kỳ và nghĩa vụ báo cáo đột xuất trong trường hợp xảy ra sự cố nghiêm trọng hoặc vượt quá giới hạn thử nghiệm đã được phê duyệt.

Chậm nhất mười lăm (15) ngày trước khi kết thúc thời hạn thử nghiệm, các chủ thể tham gia thử nghiệm phải nộp báo cáo tổng kết kết quả thử nghiệm. Sau khi hoàn thành thử nghiệm, các chủ thể này có thể tiếp tục vận hành hệ thống TTNT trong thời gian chuyển tiếp tối đa mười hai (12) tháng trong phạm vi và điều kiện được xác định trong Giấy Xác nhận Tham gia Thử nghiệm Có Kiểm soát.

Tóm lại, Nghị Định 142 đóng vai trò quan trọng trong việc triển khai trên thực tế các quy định của Luật TTNT, đặc biệt thông qua việc cụ thể hóa các nghĩa vụ tuân thủ áp dụng đối với các tổ chức và doanh nghiệp tham gia phát triển, cung cấp, triển khai hoặc sử dụng các hệ thống TTNT tại Việt Nam. Doanh nghiệp được khuyến nghị chủ động rà soát các hệ thống TTNT hiện có, đánh giá mức độ rủi ro tương ứng, chuẩn bị các hồ sơ và quy trình tuân thủ nội bộ cần thiết, đồng thời tiếp tục theo dõi các hướng dẫn kỹ thuật và Danh mục hệ thống TTNT có rủi ro cao dự kiến sẽ được cơ quan nhà nước có thẩm quyền ban hành trong thời gian tới. 

Tải bản tin về máy tại đây: Cập Nhật Pháp Lý - Pháp Luật Về TTNT Tại Việt Nam Tiếp Tục Được Hoàn Thiện: Những Điểm Đáng Chú Ý Từ Nghị Định 142

Bài viết này chỉ cung cấp một bản tóm tắt về chủ đề được đề cập, mà không có bất kỳ nghĩa vụ nào do Công Ty Luật Frasers chịu trách nhiệm. 

Bản tóm tắt không nhằm mục đích cũng như không nên dựa vào nó để thay thế cho lời khuyên pháp lý.

© Bản quyền của ấn phẩm này thuộc về Công Ty Luật Frasers.