Bức tranh pháp lý toàn cầu về quản trị AI

Châu Âu tiên phong trong quản trị rủi ro

Liên minh châu Âu (EU) chính thức bước vào kỷ nguyên quản trị AI với AI Act, đạo luật toàn diện đầu tiên trên thế giới về AI, chính thức có hiệu lực từ ngày 2/2/2025. Đây được xem là “bước ngoặt pháp lý” khi EU không chỉ dừng ở các khuyến nghị chính sách, mà còn áp đặt các nghĩa vụ ràng buộc với doanh nghiệp và tổ chức.

Đạo luật quy định rõ những lĩnh vực AI bị cấm tuyệt đối, chẳng hạn như việc sử dụng công nghệ AI để giám sát xã hội trên diện rộng, phân loại công dân theo đặc điểm sinh học – xã hội… Bên cạnh đó, luật cũng đặt ra yêu cầu nâng cao kiến thức và kỹ năng về AI cho toàn dân, nhằm giúp xã hội hiểu đúng, sử dụng an toàn và khai thác hiệu quả công nghệ mới này.

Đến ngày 2/8/2025, nghĩa vụ mới dành cho các mô hình mục đích chung (General Purpose AI – GPAI) bắt đầu có hiệu lực. Đây là lần đầu tiên các “mô hình nền tảng” như GPT, Claude hay Llama, bị đặt dưới khuôn khổ pháp lý cụ thể. Theo đó, các công ty phát triển AI phải công bố thông tin về dữ liệu huấn luyện, mô tả rõ năng lực hệ thống, đồng thời tiến hành đánh giá rủi ro độc lập để đảm bảo tính an toàn và minh bạch.

Nhiều học giả và chuyên gia chính sách đánh giá bước đi này giúp EU trở thành “người đặt chuẩn” toàn cầu, bởi những gì EU áp đặt có thể buộc các tập đoàn công nghệ xuyên quốc gia phải tuân thủ trên phạm vi toàn cầu. Đây là hiện tượng thường được gọi là “Hiệu ứng Brussels”, tức luật của EU có sức lan tỏa vượt khỏi biên giới châu Âu. Tuy nhiên, câu hỏi lớn vẫn còn bỏ ngỏ: liệu những rào cản pháp lý này có khiến châu Âu mất lợi thế cạnh tranh trong cuộc đua AI toàn cầu?

Mỹ với “50 đạo luật AI”

Trái ngược với EU, Mỹ chưa có một đạo luật AI thống nhất ở cấp liên bang. Thay vào đó, trách nhiệm xây dựng khung pháp lý được “phân quyền” cho từng bang. Điều này tạo ra một bức tranh đa dạng nhưng cũng không kém phần phức tạp. Tính đến tháng 7/2025, 38 bang đã ban hành gần 100 văn bản pháp lý liên quan đến AI, trải rộng từ quản lý nội dung giả mạo (deepfake), ứng dụng AI trong tuyển dụng, cho đến trách nhiệm pháp lý khi AI được sử dụng trong khu vực công.

Cụ thể, bang California yêu cầu các nền tảng mạng xã hội gắn nhãn bắt buộc với nội dung do AI tạo ra nhằm ngăn ngừa tin giả trong bầu cử. Trong khi đó, bang New York lại tập trung vào khía cạnh lao động, quy định các công ty sử dụng AI trong tuyển dụng phải bảo đảm công cụ không thiên vị về giới tính hay chủng tộc. Một số bang khác như Texas và Florida đặt trọng tâm vào việc kiểm soát deepfake trong lĩnh vực chính trị và giải trí.

Các chuyên gia nhận định, mô hình “phân mảnh” này mang đến cả thuận lợi lẫn thách thức. Ưu điểm của mô hình này là cho phép các bang thử nghiệm những quy tắc quản trị khác nhau, qua đó tạo nên “phòng thí nghiệm pháp lý” giúp tìm ra những cách tiếp cận hiệu quả trước khi mở rộng ra toàn quốc. Tuy nhiên, đối với doanh nghiệp, đặc biệt là các tập đoàn công nghệ hoạt động trên phạm vi liên bang, việc phải đồng thời tuân thủ hàng chục bộ luật khác nhau đồng nghĩa với việc chi phí tuân thủ tăng cao và nguy cơ xung đột pháp lý.

Một số ý kiến khác cho rằng, cách tiếp cận “50 đạo luật AI” của Mỹ phản ánh đặc trưng pháp lý lâu đời của nước này: ưu tiên thị trường tự do và quyền tự quyết của từng bang, thay vì áp đặt một khuôn khổ chung. Cách tiếp cận này giúp các bang linh hoạt hơn trong thử nghiệm và quản lý công nghệ mới, song cũng đặt ra thách thức về tính nhất quán. Câu hỏi được đặt ra là: liệu Mỹ có nên tiến tới một bộ luật liên bang thống nhất để vừa giảm gánh nặng cho doanh nghiệp, vừa củng cố niềm tin của công chúng trong bối cảnh AI đang trở thành một phần không thể thiếu trong nhiều lĩnh vực đời sống xã hội?

Châu Á cân bằng giữa phát triển và kiểm soát rủi ro

Năm 2025, bức tranh quản trị AI tại châu Á xuất hiện nhiều điểm nhấn mới, trong đó nổi bật là Hàn Quốc và Nhật Bản. Ngày 21/1/2025, Hàn Quốc đã thông qua AI Framework Act, dự kiến có hiệu lực từ đầu năm 2026. Đây được coi là đạo luật AI toàn diện đầu tiên ở châu Á, đặt mục tiêu xây dựng “xã hội AI đáng tin cậy” nhưng vẫn khuyến khích đổi mới sáng tạo. Đạo luật đưa ra các cơ chế phân loại mức rủi ro, quy định trách nhiệm minh bạch của doanh nghiệp, đồng thời dành không gian cho thử nghiệm công nghệ trong các “khu vực sandbox”. Cách tiếp cận này phản ánh tham vọng của Hàn Quốc trở thành trung tâm công nghệ AI trong khu vực, vừa kiểm soát rủi ro nhưng cũng tạo lợi thế cạnh tranh quốc tế.

Nhật Bản cũng đã thông qua Luật quản trị AI vào tháng 6/2025. Khác với đạo luật của châu Âu vốn thiên về hạn chế, đạo luật này nhấn mạnh nguyên tắc khuyến khích phát triển và giám sát linh hoạt. Chính phủ Nhật Bản coi AI là hạ tầng thiết yếu để giải quyết các thách thức nhân khẩu học và năng suất, do đó luật chủ yếu đặt ra chuẩn mực đạo đức, trách nhiệm xã hội và các hướng dẫn sử dụng an toàn. Mô hình này được giới chuyên gia đánh giá là “cởi mở hơn”, nhằm tạo điều kiện để các tập đoàn công nghệ nội địa bứt phá trong cạnh tranh toàn cầu.

Trong khi đó, Ấn Độ đang trong quá trình hoàn thiện bộ quy tắc DPDP (Digital Personal Data Protection) Rules 2025. Dự thảo quy tắc này nhằm bổ sung và làm rõ các điều khoản của Đạo luật bảo vệ dữ liệu cá nhân (DPDPA) năm 2023. Đây được xem là nền tảng pháp lý quan trọng chi phối cách các hệ thống AI được huấn luyện và sử dụng tại quốc gia hơn 1,4 tỷ dân này. Các quy tắc này nhấn mạnh đến quyền kiểm soát dữ liệu của cá nhân, trách nhiệm minh bạch của doanh nghiệp và nghĩa vụ thông báo khi dữ liệu bị khai thác cho mục đích AI. Với tốc độ tăng trưởng nhanh của ngành công nghệ số, Ấn Độ được kỳ vọng sẽ xây dựng một mô hình quản trị AI mang tính cân bằng giữa bảo vệ quyền riêng tư và thúc đẩy kinh tế số.

Trái ngược với xu hướng “thân thiện đổi mới” của Hàn Quốc, Nhật Bản hay Ấn Độ, Trung Quốc tiếp tục theo đuổi cách tiếp cận kiểm soát chặt chẽ. Ngày 25/4/2025, Trung Quốc đã ban hành ba tiêu chuẩn quốc gia mới về an ninh đối với AI tạo sinh (Generative AI), nhằm siết chặt kiểm soát từ khâu dữ liệu cho đến quá trình cung cấp dịch vụ.

Ba bộ tiêu chuẩn này bao gồm: quy định về an toàn trong việc gắn nhãn dữ liệu huấn luyện (Data Annotation Security Specification), yêu cầu bảo đảm an toàn cho dữ liệu tiền huấn luyện và tinh chỉnh (Security Specification for Pre-training and Fine-tuning Data), cũng như các tiêu chuẩn cơ bản về an ninh cho dịch vụ AI sinh (Basic Security Requirements for Generative AI Services), nhấn mạnh đến việc bảo vệ dữ liệu người dùng và an toàn hệ thống. Các tiêu chuẩn này sẽ có hiệu lực từ 1/11/2025. Giới quan sát cho rằng, mục tiêu của Trung Quốc không chỉ là kiểm soát rủi ro xã hội mà còn nhằm duy trì sự ổn định chính trị, một điểm đặc trưng trong chính sách công nghệ của nước này.

Sự khác biệt giữa các mô hình quản trị AI từ khung pháp lý thống nhất của EU, cách tiếp cận phân mảnh nhưng linh hoạt ở Mỹ, đến mô hình “thân thiện đổi mới” của Nhật Bản, Hàn Quốc hay quy định chặt chẽ tại Trung Quốc, cho thấy AI thoát khỏi “vùng thử nghiệm” để bước vào trật tự pháp lý toàn cầu, nơi công nghệ được đặt dưới sự giám sát của luật pháp và trách nhiệm xã hội.

Trong bối cảnh thế giới đang hình thành một khuôn khổ pháp lý mới cho AI, nhiều quốc gia trong đó có Việt Nam, đang đứng trước yêu cầu cấp bách xác định con đường trong quản trị AI. Vấn đề được đặt ra hiện nay không còn dừng lại ở việc “có cần luật AI hay không”, mà chuyển sang câu hỏi cốt lõi là “luật AI sẽ được xây dựng như thế nào để vừa khuyến khích đổi mới, nhưng vẫn bảo đảm an toàn, quyền riêng tư và quyền lợi của người dân?”. Đây không chỉ là thách thức pháp lý mà còn là lựa chọn mang tính chiến lược, ảnh hưởng trực tiếp đến khả năng cạnh tranh và hội nhập của mỗi nền kinh tế trong chuỗi giá trị toàn cầu của kỷ nguyên số.