Luật AI Việt Nam 2026 — Checklist 10 điểm doanh nghiệp cần chuẩn bị

Bộ Khoa học và Công nghệ đang hoàn thiện nghị định hướng dẫn thi hành Luật Trí tuệ nhân tạo Việt Nam, dự kiến áp dụng từ tháng 3 năm 2026 (theo Mstar Corp dẫn nguồn). Cùng với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã có hiệu lực, doanh nghiệp triển khai AI tại Việt Nam cần đáp ứng đồng thời hai yêu cầu: minh bạch trong sử dụng AI và tiêu chuẩn cao về quyền riêng tư.

Số liệu nền cho thấy hạ tầng số quốc gia đã sẵn sàng đáp ứng quy mô lớn: 29.498 triệu chứng thư chữ ký số đã cấp (42,63 phần trăm dân số trưởng thành), 4.369 tỷ giao dịch qua nền tảng tích hợp dữ liệu quốc gia NDXP, tỷ lệ hồ sơ trực tuyến toàn trình tháng 4/2026 đạt 46,1 phần trăm.

Khung pháp lý cốt lõi — ba tầng

Tầng một: Luật Trí tuệ nhân tạo Việt Nam (sắp có hiệu lực). Yêu cầu minh bạch khi sử dụng AI, quản lý rủi ro theo mức độ tác động, tiêu chuẩn an toàn và đạo đức AI.

Tầng hai: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Yêu cầu sự đồng ý của chủ thể dữ liệu, đánh giá tác động bảo vệ dữ liệu cá nhân, lưu trữ dữ liệu nhạy cảm trong nước.

Tầng ba: Danh mục bộ dữ liệu phục vụ phát triển AI sắp được công bố. Đây là khung tham chiếu để doanh nghiệp xác định dữ liệu nào có thể dùng huấn luyện AI và điều kiện đi kèm.

Checklist 10 điểm chuẩn bị compliance

1. Inventory toàn bộ ứng dụng AI hiện tại trong doanh nghiệp, bao gồm cả các dịch vụ SaaS bên thứ ba có tích hợp AI (chatbot, document processing, recommendation engine, marketing automation).
2. Phân loại các use case AI theo mức rủi ro — từ low-impact (gợi ý nội dung) đến high-stakes (quyết định cho vay, chẩn đoán y tế). Use case rủi ro cao cần kiểm soát chặt hơn.
3. Đánh dấu rõ ràng cho người dùng cuối khi họ đang tương tác với AI — không phải con người. Đây là yêu cầu minh bạch cốt lõi của Luật AI.
4. Map dữ liệu huấn luyện và inference với các trường dữ liệu cá nhân để tuân thủ Nghị định 13. Có cơ chế đồng ý, rút lại đồng ý, quyền truy cập của chủ thể dữ liệu.
5. Triển khai audit trail cho các quyết định AI quan trọng — log đầu vào, mô hình version, kết quả, người phê duyệt cuối. Có khả năng giải thích quyết định khi được yêu cầu.
6. Cân nhắc hạ tầng AI on-premise hoặc private cloud cho workload xử lý dữ liệu nhạy cảm — giảm rủi ro pháp lý và tăng kiểm soát. Tham khảo bài Repatriation 2026 cho phân tích chi tiết.
7. Ban hành chính sách sử dụng AI nội bộ — hướng dẫn nhân viên dùng các công cụ AI (ChatGPT, Copilot, Gemini), quy định loại dữ liệu nào được phép nhập vào, loại nào không.
8. Đào tạo nhân viên về AI ethics và data privacy. Bao gồm cả cấp lãnh đạo — cam kết của ban điều hành là yếu tố quyết định compliance bền vững.
9. Phân vai trò Data Protection Officer (DPO) và AI Compliance Officer. Hai vai trò có thể kiêm nhiệm tại doanh nghiệp vừa, nhưng cần được phân công rõ ràng và có thẩm quyền độc lập.
10. Rà soát hợp đồng với vendor AI và các nhà cung cấp dịch vụ xử lý dữ liệu. Cần có Data Processing Agreement (DPA), điều khoản chuyển dữ liệu xuyên biên giới (Standard Contractual Clauses), và quyền audit.

Lộ trình chuẩn bị

Quý 2 năm 2026: Gap assessment toàn diện theo 10 điểm trên (1–2 tháng). Đầu ra: ma trận compliance hiện tại với các khoảng cách rõ ràng.

Quý 3 năm 2026: Khắc phục các khoảng cách ưu tiên một đến năm (yêu cầu kỹ thuật và quản trị cốt lõi). Đầu ra: hệ thống đáp ứng yêu cầu tối thiểu của Luật AI và Nghị định 13.

Quý 4 năm 2026 trở đi: Hoàn thiện điểm sáu đến mười (chính sách, đào tạo, hợp đồng), thiết lập continuous monitoring. Đầu ra: chương trình compliance bền vững có thể duy trì khi quy định phát triển thêm.

Lời kết

Luật AI Việt Nam 2026 không phải barrier — đó là khung giúp doanh nghiệp triển khai AI một cách bền vững và đáng tin cậy. Doanh nghiệp chuẩn bị sớm sẽ tránh chi phí khắc phục cao về sau và xây dựng được lợi thế cạnh tranh dựa trên niềm tin của khách hàng và đối tác.