AI Governance

Quản trị AI — Luật chơi cho trí tuệ nhân tạo

Trung bìnhai-safety

Dự đoán

1Dự đoán1/8

Công ty bạn muốn dùng ChatGPT để xử lý dữ liệu khách hàng. Ai là người phải 'OK' quyết định này?

2Phép so sánh2/8

Quản trị AI giống luật giao thông — không ngăn bạn lái xe, mà đảm bảo không ai đâm ai, không ai vi phạm, và khi có tai nạn thì có bảo hiểm để xử lý. Biển báo, bằng lái, đăng kiểm, CSGT, bảo hiểm — mỗi thành phần đều có lý do của nó.

Luật giao thông

• Biển báo, đèn giao thông
• Bằng lái — chứng nhận được phép lái
• Đăng kiểm — xe an toàn không
• CSGT — phát hiện vi phạm
• Bảo hiểm — ai đền khi có tai nạn

Quản trị AI

• Guardrails, policy sử dụng AI
• Impact assessment — được phép triển khai không
• Audit định kỳ — model có an toàn không
• Monitoring dashboard — phát hiện sự cố
• Hợp đồng + bảo hiểm trách nhiệm khi AI gây hại

Cái gốc của quản trị AI

Không phải để cấm AI. Là để AI chạy an toàn, có người chịu trách nhiệm rõ ràng khi có sự cố, và khách hàng tin tưởng sử dụng.

3Ba ô tương tác3/8

Hình minh họa

Bốn tầng quy định chồng lên doanh nghiệp của bạn

Khi công ty triển khai AI, bốn lớp quy định xếp chồng: quốc tế → quốc gia → ngành → nội bộ. Mỗi lớp thêm một lớp ràng buộc. Click vào từng tầng để xem các quy định nổi bật.

Quốc tế

Hiệu lực xuyên biên giới — áp dụng cho công ty xuất khẩu dịch vụ AI

EU AI Act (2024)
Luật AI toàn diện đầu tiên thế giới. Phân 4 mức rủi ro, phạt tới 7% doanh thu toàn cầu.
OECD AI Principles
5 nguyên tắc do 46 quốc gia ký: bao trùm, giá trị con người, minh bạch, vững vàng, trách nhiệm.
ISO/IEC 42001:2023
Tiêu chuẩn quốc tế đầu tiên về AI Management System — đối tác quốc tế hay yêu cầu.
NIST AI RMF (Mỹ)
Khung quản lý rủi ro tự nguyện nhưng bắt buộc với nhà thầu liên bang Hoa Kỳ.

Xếp use case AI vào 4 mức rủi ro EU AI Act

EU AI Act phân 4 mức: Minimal (tự do) → Limited (cần minh bạch) → High (quy định nghiêm) → Unacceptable (bị cấm). Hãy kéo từng use case vào mức bạn nghĩ đúng. Mỗi mức kéo được nhiều mục.

Kéo mỗi use case vào đúng mức rủi ro theo EU AI Act.

Lọc email spam nội bộ

Chatbot trả lời FAQ sản phẩm

AI sàng lọc CV tuyển dụng

Chấm điểm duyệt vay ngân hàng

AI hỗ trợ chẩn đoán hình ảnh y khoa

Chấm điểm xã hội công dân

AI nhận diện cảm xúc nhân viên tại nơi làm

Gợi ý sản phẩm trên website

Minimal — tự do

Limited — cần minh bạch

High — quy định nghiêm ngặt

Unacceptable — bị cấm

Minimal: không ảnh hưởng tới quyền/cơ hội cá nhân. Tự do phát triển.

Limited: cần ghi nhãn "có AI tham gia". Ví dụ chatbot, deepfake.

High: ảnh hưởng tới quyền/cơ hội. Cần impact assessment + human oversight.

Unacceptable: vi phạm giá trị con người. BỊ CẤM — không có ngoại lệ.

Tự dựng chính sách AI cho công ty — đo điểm tuân thủ

Chọn các thành phần bạn muốn đưa vào chính sách AI của công ty. Mỗi lựa chọn nâng điểm tuân thủ. Điểm 80+ thường đủ cho due diligence với đối tác quốc tế.

Điểm tuân thủ0/100

Thiếu — gần như không có governance

4Khoảnh khắc Aha4/8

Quản trị AI không phải là cái phanh ngăn công ty chạy nhanh. Nó là cái vô lăng giúp công ty chạy nhanh mà không đâm vào ai. Công ty có governance tốt triển khai AI nhanh hơn, an toàn hơn, và ít khủng hoảng truyền thông hơn công ty không có.

5Thử thách nhanh5/8

Startup Việt Nam muốn xuất khẩu sản phẩm AI y tế sang EU. Ngoài chất lượng sản phẩm, họ cần gì?

Nền tảng giáo dục dùng AI gợi ý nội dung, muốn thu thập dữ liệu học tập của học sinh dưới 16 tuổi. Vấn đề pháp lý?

6Khung kiến thức6/8

Giải thích

Bốn khung pháp lý quan trọng nhất để biết

EU AI Act (2024)

Luật AI toàn diện đầu tiên thế giới. Phân 4 mức rủi ro. Phạt tới 7% doanh thu toàn cầu. Ảnh hưởng mọi công ty bán dịch vụ AI vào thị trường EU.

NIST AI RMF (Mỹ, 2023)

Khung quản lý rủi ro tự nguyện 4 chức năng: GOVERN - MAP - MEASURE - MANAGE. Rất chi tiết kỹ thuật, bắt buộc với nhà thầu liên bang Hoa Kỳ.

ISO/IEC 42001:2023

Tiêu chuẩn quốc tế đầu tiên về AI Management System — chứng nhận tự nguyện. Đối tác quốc tế ngày càng yêu cầu trong đấu thầu lớn.

NĐ 13/2023/NĐ-CP (Việt Nam)

Bảo vệ dữ liệu cá nhân — phiên bản GDPR Việt Nam. AI xử lý dữ liệu phải xin đồng ý, cho phép rút lại. Vi phạm phạt tới 100 triệu VND cho cá nhân.

Ma trận 4 mức rủi ro EU AI Act

UnacceptablePhạt tới 7% doanh thu toàn cầu

Ví dụ: Social scoring nhà nước, nhận diện cảm xúc nơi làm việc, real-time biometric công cộng

Yêu cầu: BỊ CẤM HOÀN TOÀN

HighPhạt tới 3% doanh thu toàn cầu

Ví dụ: Tuyển dụng, tín dụng, y tế, giáo dục, tư pháp, hạ tầng quan trọng

Yêu cầu: Impact assessment + human oversight + kiểm toán + CE marking

LimitedPhạt tới 1,5% doanh thu toàn cầu

Ví dụ: Chatbot, deepfake, nội dung do AI tạo

Yêu cầu: Ghi nhãn rõ 'có AI tham gia' / 'nội dung do AI tạo'

MinimalKhông phạt — khuyến khích best practices

Ví dụ: Lọc spam, AI game, gợi ý sản phẩm

Yêu cầu: Tự do — không yêu cầu đặc biệt

Năm trụ cột quản trị AI doanh nghiệp

Khung do nhiều công ty lớn (Microsoft, Google, IBM) dùng chung. Mỗi trụ cột là một việc phải làm, không thể bỏ.

Dữ liệu

Nguồn gốc rõ ràng, tuân thủ NĐ 13, xin đồng ý, cho phép xoá.

Mô hình

Model card công khai, đánh giá bias, kiểm toán định kỳ.

Triển khai

Impact assessment trước go-live, ghi nhãn rõ 'AI tạo ra', phê duyệt 2 cấp.

Giám sát

Dashboard drift, fairness metric theo nhóm, báo cáo hàng quý cho lãnh đạo.

Sự cố

Kill-switch, quy trình T+1h/T+24h/T+72h, kênh khiếu nại cho khách hàng.

Cây quyết định: công ty tôi có được dùng AI cho tác vụ này không?

Bốn câu hỏi đi lần lượt. Click từng tab để đi qua từng bước.

Tác vụ có nằm trong danh sách bị cấm của EU AI Act không? (social scoring, nhận diện cảm xúc nhân viên, thao túng hành vi...)

Nếu CÓ:

Dừng ngay. Không có cách triển khai hợp pháp ở EU và nhiều thị trường khác. Tìm giải pháp thay thế.

Nếu KHÔNG:

Sang bước 2.

Việt Nam năm 2026: giữa hai thế giới

So sánh tình hình pháp lý AI tại Việt Nam hôm nay với dự kiến vài năm tới.

Hiện tại (2026): chưa có luật AI riêng. Doanh nghiệp dựa vào:

NĐ 13/2023 — bảo vệ dữ liệu cá nhân
Luật An ninh mạng (2018) — lưu trữ trong nước
QĐ 127/QĐ-TTg (2021) — chiến lược AI đến 2030
Quy định theo ngành (ngân hàng, y tế, bảo hiểm)

Doanh nghiệp xuất khẩu sang EU đã phải tuân thủ EU AI Act dù Việt Nam chưa buộc.

Đào sâu thêm (tuỳ chọn)

7Tóm tắt7/8

Ghi nhớ về quản trị AI

Quản trị AI = luật giao thông cho AI: không cấm, đảm bảo an toàn và trách nhiệm.
4 tầng quy định chồng lên công ty: quốc tế → quốc gia → ngành → nội bộ. Mỗi tầng thêm ràng buộc.
EU AI Act phân 4 mức rủi ro: Minimal → Limited → High → Unacceptable. Biết use case của bạn ở mức nào.
Việt Nam: NĐ 13 bảo vệ dữ liệu, QĐ 127 chiến lược AI, Luật An ninh mạng. Đang soạn luật AI riêng.
5 trụ cột doanh nghiệp: Dữ liệu — Mô hình — Triển khai — Giám sát — Sự cố.
Chủ động tuân thủ TRƯỚC khi bắt buộc = lợi thế cạnh tranh, không chỉ là chi phí.

8Kiểm tra8/8

Kiểm tra hiểu biết

Câu 1/8

Ngân hàng ABC muốn dùng AI chấm điểm tín dụng. Theo khung EU AI Act, đây là mức rủi ro nào?

Chủ đề liên quan

Bias & Fairness — Thiên kiến & Công bằng trong AI AI Alignment — Căn chỉnh AI — Dạy AI hiểu con người Explainability (XAI) — Giải thích được — AI trong suốt