Hai văn bản, hai mục tiêu khác nhau

EU AI Act (Regulation 2024/1689, có hiệu lực từ tháng 8/2024) là luật bắt buộc của Liên minh châu Âu, quy định cách phát triển và triển khai AI trong thị trường EU. Luật này có phạm vi áp dụng extraterritorial: nhà cung cấp AI ở bất kỳ đâu trên thế giới, nếu sản phẩm của họ được sử dụng trong EU, đều phải tuân thủ.

ISO 42001:2023 là tiêu chuẩn quản lý tự nguyện, cung cấp framework để quản trị AI có trách nhiệm. Không bắt buộc theo luật, nhưng đang được sử dụng như bằng chứng compliance trong nhiều bối cảnh thực tế.

Hai văn bản này không thay thế nhau. EU AI Act là pháp luật cần tuân thủ. ISO 42001 là framework giúp xây dựng systems và processes để quản trị AI, đồng thời tạo ra documentation có thể dùng làm bằng chứng compliance khi cần.

Nguồn: EU AI Act | ISO 42001


EU AI Act áp dụng cho công ty Việt Nam khi nào

EU AI Act Article 2 xác định phạm vi áp dụng gồm:

  • Providers đặt tại EU hoặc ngoài EU nhưng đưa AI systems hoặc AI models ra thị trường EU.
  • Deployers (tổ chức sử dụng AI) đặt tại EU.
  • Providers và deployers bên ngoài EU nếu output của AI system được sử dụng tại EU.

Với công ty Việt Nam, dòng thứ ba là điểm cần đọc kỹ nhất. Không cần có văn phòng tại EU. Có người dùng hoặc khách hàng tại EU đang dùng AI system của bạn là đủ để nằm trong phạm vi.

Công ty Việt Nam thuộc phạm vi EU AI Act khi:

  • Xây AI product (SaaS, API) được bán hoặc sử dụng bởi khách hàng EU.
  • Xây AI model hoặc component được nhúng vào sản phẩm của công ty EU.
  • Cung cấp AI-powered services cho end-users tại EU.

Công ty Việt Nam không thuộc phạm vi khi:

  • Chỉ dùng AI nội bộ, không cung cấp AI system cho EU.
  • Nghiên cứu và phát triển thuần túy, không triển khai cho EU market.

Risk tiers trong EU AI Act và ý nghĩa thực tế

EU AI Act phân loại AI systems theo 4 mức rủi ro, và mức phân loại xác định trực tiếp nghĩa vụ pháp lý cụ thể.

Unacceptable risk (cấm hoàn toàn): social scoring by governments, giám sát sinh trắc học từ xa theo thời gian thực tại không gian công cộng (với một số ngoại lệ rất hạn chế), AI khai thác điểm yếu tâm lý, AI thao túng hành vi dưới ngưỡng nhận thức của người dùng.

High risk (yêu cầu nghiêm ngặt nhất): Annex III liệt kê cụ thể các danh mục: AI trong tuyển dụng (CV screening, đánh giá hiệu suất), AI trong giáo dục (chấm điểm thi, quyết định tuyển sinh), AI trong tín dụng (đánh giá creditworthiness), AI trong y tế (medical devices, phân loại bệnh nhân), AI trong pháp luật và cảnh sát, phân loại sinh trắc học.

Limited risk (yêu cầu transparency): chatbots phải thông báo người dùng đang tương tác với AI; deepfakes phải được gắn nhãn rõ ràng.

Minimal risk (không có yêu cầu cụ thể): spam filters, AI trong game, recommendation systems thông thường.

High-risk AI systems phải đáp ứng đồng thời nhiều yêu cầu: đăng ký vào EU database, có technical documentation đầy đủ, có conformity assessment trước khi đưa ra thị trường, duy trì logs trong suốt vòng đời sản phẩm, và có human oversight mechanism.

Nguồn: EU AI Act Annex III


Timeline thực thi EU AI Act

MốcNội dung
2/8/2024Regulation có hiệu lực
2/2/2025Prohibited AI systems (Tier 1) có hiệu lực
2/8/2025General-purpose AI model rules có hiệu lực
2/8/2026High-risk AI systems (Annex III) phải tuân thủ đầy đủ
2/8/2027Một số hệ thống AI trong sản phẩm an toàn hiện có

Deadline tháng 8/2026 là mốc áp dụng cho phần lớn AI startups đang build sản phẩm cho EU market.


ISO 42001 hỗ trợ EU AI Act như thế nào

ISO 42001 không phải "EU AI Act compliance certificate." Không có tổ chức nào cấp chứng chỉ gọi là "EU AI Act compliant" vì đây là nghĩa vụ pháp lý được đánh giá bởi conformity assessment bodies theo từng trường hợp cụ thể.

Overlap giữa hai văn bản khá trực tiếp:

Yêu cầu EU AI ActControl tương đương ISO 42001
Risk management systemClause 6.1 và A.5 (AI impact assessment)
Technical documentationA.8 (documentation requirements)
Data governanceA.7 (data for AI systems)
Human oversightA.9 (use of AI systems)
Incident loggingA.6 và internal audit controls
Transparency với usersA.8 (information for interested parties)

Khi high-risk AI providers phải chứng minh compliance với EU AI Act, ISO 42001 certificate và documented controls là bằng chứng có thể xuất trình cho conformity assessment bodies. Không phải bằng chứng đủ bởi mình, nhưng giảm đáng kể khối lượng cần chứng minh thêm. Một conformity assessment body nhìn vào ISO 42001-certified organization sẽ thấy rằng risk management, documentation, và governance processes đã có structure.


GPAI Models

EU AI Act có một mảng riêng cho GPAI (General-Purpose AI Models, tức các foundation models như GPT, Llama). Công ty Việt Nam phát triển và cung cấp foundation model hoặc fine-tuned model cho EU market nằm trong phần này:

  • GPAI providers phải duy trì technical documentation và hợp tác với downstream providers sử dụng model của họ.
  • Systemic risk GPAI, tức models vượt ngưỡng compute 10^25 FLOPs, có yêu cầu bổ sung về adversarial testing và incident reporting.

Ngưỡng 10^25 FLOPs hiện tại chỉ áp dụng cho một số ít model lớn nhất trên thế giới. Với phần lớn AI startups Việt Nam, phần GPAI không áp dụng trong giai đoạn này.


Các bước chuẩn bị

  1. Xác định AI system của bạn có trong phạm vi EU AI Act không: sản phẩm có được dùng tại EU không? Nếu có, không có ngoại lệ theo địa lý cho nhà cung cấp.

  2. Phân loại risk tier: system thuộc high risk, limited risk, hay minimal risk? Đọc Annex III của EU AI Act. Sản phẩm liên quan đến tuyển dụng, tín dụng, giáo dục, hay y tế nhiều khả năng là high risk.

  3. Nếu high risk, bắt đầu technical documentation và risk management documentation ngay. Conformity assessment cần thời gian chuẩn bị và deadline 8/2026 áp dụng đầy đủ.

  4. Xem xét ISO 42001 như governance framework chạy song song: vừa tổ chức nội bộ AI governance, vừa cung cấp evidence structure có thể dùng cho EU AI Act compliance.

  5. Theo dõi các guidance documents từ European AI Office (thành lập 2024) khi họ publish hướng dẫn cụ thể hơn cho từng Annex III category. Văn bản luật chính còn nhiều chỗ chưa chi tiết hóa.

Nguồn: European AI Office

Thẻ:
ISO 42001EU AI ActAI GovernanceVietnamStartup