( Bài viết của Luật sư Vũ Ngọc Dũng - Công ty Luật 911 )

KIỂM SOÁT RỦI RO TRÍ TUỆ NHÂN TẠO TRONG SUỐT VÒNG ĐỜi HỆ THỐNG: YÊU CẦU TỪ  THỰC TIỄN VÀ PHÁP LÝ VIỆT NAM

I. Mở đầu

Trong kỷ nguyên số công nghệ số, trí tuệ nhân tạo (Artificial Intelligence - AI) không chỉ còn là xu hướng mà đã trở thành trụ cột trong nhiều ngành nghề quan trọng: tài chính, y tế, giao thông, giáo dục, tư pháp, quản trị nhà nước. Tuy nhiên, sự lan rộng của AI đã gây ra nhiều quan ngại về mặt đạo đức, rủi ro và trách nhiệm pháp lý.

Trong bài viết này, tác giả phân tích tại sao việc kiểm soát rủi ro AI trong suốt vòng đời hệ thống là yêu cầu bắt buộc trong bối cảnh AI phát triển nhanh và khó dự đoán. Tác giả đồng thời so chiếu với quy định tại Luật Trí tuệ nhân tạo châu Âu - AI Act (2024), các quy định trong Dự thảo Luật Công nghiệp Công nghệ số Việt Nam, và đề xuất chính sách đồng bộ.

II. Bản chất rủi ro AI thay đổi theo vòng đời

1. AI không phải hệ thống tĩnh Khác với phần mềm truyền thống, AI được thiết kế để "tự học" và có thể tái huấn luyện theo dữ liệu mới. Hậu quả:

• AI có thể tự điều chỉnh hành vi theo thời gian, đồng nghĩa với nguy cơ rủi ro mới xuất hiện sau khi triển khai.

• Một hệ thống AI ban đầu có thể "an toàn", nhưng về sau dễ dẫn tới sai lệch, sai sót nghiêm trọng.

2. Rủi ro theo giai đoạn vòng đời AI hoạt động theo chu trình: Thiết kế → Huấn luyện → Triển khai → Vận hành → Loại bỏ. Mỗi giai đoạn mang đặc thùng rủi ro:

• Thiết kế: sai định nghĩa mục tiêu; hiểu sai yêu cầu.

• Huấn luyện: bias dữ liệu, đào tạo lệch, thiếu minh bạch.

• Triển khai: môi trường thực thiếu an toàn; đối tượng sử dụng sai chức năng.

• Vận hành: lỗi cập nhật; mất khả năng giải thích; AI "hành xử khác thường" (model drift).

Vì vậy, kiểm soát rủi ro AI không thể chỉ là bước tiên, mà phải là quy trình xuyên suốt vòng đời.

III. Quy định về kiểm soát rủi ro AI trong pháp luật quốc tế

1. Luật Trí tuệ nhân tạo châu Âu (AI Act, 2024) Luật AI Act được Nghiệp viện châu Âu thông qua tháng 3/2024, quy định:

“High-risk AI systems shall be subject to risk management systems throughout their lifecycle, including post-market monitoring and human oversight” (Article 9, AI Act).

• Nghĩa là các hệ thống AI nguy cơ cao phải đặt dưới cơ chế đánh giá rủi ro toàn vòng đời.

• Có nghiĩa vụ giám sát người (human-in-the-loop), kiểm định trước khi tung ra thị trường, và báo cáo sự cố.

2. OECD AI Principles Khuyến nghị OECD 2019 về AI:

• Bảo đảm tính đáng tin, trách nhiệm và minh bạch.

• Thiết lập cơ chế giám sát, phản hồi, kiểm tra độ an toàn AI sau khi áp dụng.

3. Singapore Model AI Governance Framework

• Đòi hỏi "Lifecycle Risk Assessment" đối với mọ i AI.

• Có checklist kiểm soát 7 giai đoạn: tiếp cận, thu thập dữ liệu, huấn luyện, kiểm định, triển khai, vận hành, rút lui.

IV. Tình hình pháp lý tại Việt Nam và những lỗ hủng cần bù đắp

Hiện nay, Việt Nam chưa có đạo luật chuyên biệt về AI. Tuy nhiên, trong Dự thảo Luật Công nghiệp Công nghệ số (2025), Điều 49 quy định:

"Chính phủ quy định các biện pháp kiểm soát rủi ro, trách nhiệm đạo đức, giám sát và đánh giá hệ thống AI trong suốt vòng đời hệ thống".

=> Câu chế "trong suốt vòng đời" đã bắt đầu ghi nhận đúng tinh thần quốc tế, nhưng cần chi tiết hóa bằng nghị định/dẫn chiế và thiết lập cơ chế giám sát thực thi (có thể giao cho Bộ TTTT hoặc Bộ KHÀCN).

V. Kiến nghị chính sách và đề xuất pháp lý

1. Ban hành Nghị định hướng dẫn Điều 49 Luật Công nghệ số, trong đó quy định cấu trúc:

• Hệ thống AI nguy cơ cao;

• Cơ chế đánh giá nguy cơ, giám sát trong toàn vòng đời;

• Nghĩa vụ minh bạch, truy vết, giải thích.

2. Thiết lập Trung tâm đánh giá rủi ro AI để hỗ trợ doanh nghiệp, tương đương với AI Verify của Singapore.

3. Yêu cầu công bố khai báo mô hình AI nguy cơ cao, đăng ký trước khi triển khai cho công chức, y tế, tài chính...

4. Bổ sung quy định vào Luật An toàn thông tin mạng và Luật An ninh mạng để xử lý các nguy cơ AI gây thiệt hại cho hệ thống quốc gia.

5. Thí điểm triển khai AI sandbox cho doanh nghiệp theo m