Luật 134/2025/QH15 dưới góc nhìn lập trình viên
Cập nhật: 2026-05-02. Tóm tắt Luật Trí tuệ nhân tạo của Việt Nam đối chiếu với từng API trong nom.compliance.
Đây không phải tóm tắt pháp lý chính thức. Đây là cách một lập trình viên đang phát hành nom-vn cho thị trường Việt Nam đọc luật để biết phần nào là code phải viết, phần nào là quy trình tổ chức.
Khung thời gian
| Mốc | Ngày | Nghĩa |
|---|---|---|
| Quốc hội thông qua | 2025-12-10 | Luật số 134/2025/QH15 ký bởi Trần Thanh Mẫn |
| Hiệu lực | 2026-03-01 | Mọi hệ thống mới phải tuân thủ ngay |
| Hạn cho lĩnh vực khác | 2027-03-01 | 12 tháng chuyển tiếp cho hệ thống đã hoạt động |
| Hạn cho y tế / giáo dục / tài chính | 2027-09-01 | 18 tháng chuyển tiếp |
Cấu trúc luật — 8 chương / 35 điều
| Chương | Điều | Tóm tắt | Module nom.compliance |
|---|---|---|---|
| I. Quy định chung | 1-8 | Phạm vi, định nghĩa, nguyên tắc, hành vi cấm, Cổng thông tin và Cơ sở dữ liệu quốc gia | nom.compliance.types định nghĩa AI / Nhà cung cấp / Bên triển khai / Bên bị ảnh hưởng |
| II. Phân loại và quản lý rủi ro | 9-15 | 3 mức rủi ro; minh bạch; sự cố; đánh giá phù hợp; nghĩa vụ rủi ro cao | risk/ transparency/ incident/ wrappers/ audit/ |
| III. Hạ tầng và chủ quyền | 16-18 | Hạ tầng AI quốc gia, dữ liệu, làm chủ công nghệ lõi | (không có nghĩa vụ trực tiếp với bên triển khai) |
| IV. Ứng dụng và hệ sinh thái | 19-25 | Chiến lược quốc gia, sandbox, Quỹ AI, nhân lực, công cụ miễn phí cho doanh nghiệp vừa và nhỏ Đ25.1 | dossier/conformity.py bản tối thiểu cho doanh nghiệp vừa và nhỏ |
| V. Đạo đức | 26-27 | Khung đạo đức và đánh giá tác động AI nhà nước | dossier/impact.py bản tối thiểu |
| VI. Thanh tra và xử lý vi phạm | 28-29 | Bằng chứng thanh tra; bồi thường theo trách nhiệm nghiêm ngặt | audit.export() |
| VII. Quản lý nhà nước | 30-32 | Phân công Bộ Khoa học và Công nghệ, hợp tác quốc tế | (quy trình) |
| VIII. Thi hành | 33-35 | Hiệu lực và chuyển tiếp | (lịch trình) |
3 mức rủi ro (Đ9.1)
| Mức | Điều | Mô tả luật | Ví dụ thực tế |
|---|---|---|---|
| Cao | Đ9.1.a | Có thể gây thiệt hại đáng kể đến tính mạng, sức khoẻ, quyền và lợi ích hợp pháp, lợi ích quốc gia, lợi ích công cộng, an ninh quốc gia | Hệ thống chẩn đoán y khoa tự động; AI duyệt khoản vay tự động; AI phục vụ dịch vụ công đại chúng |
| Trung bình | Đ9.1.b | Có khả năng gây nhầm lẫn, tác động hoặc thao túng người sử dụng do không nhận biết được chủ thể tương tác là AI hoặc nội dung do AI tạo ra | Trợ lý ảo không khai báo; deepfake; AI tư vấn cho người dùng đại chúng |
| Thấp | Đ9.1.c | Không thuộc 2 nhóm trên | Công cụ tự động hoá nội bộ văn phòng; trợ lý cá nhân |
nom.compliance.RiskClassifier đáp ứng tiêu chí Đ9.2 (tác động + lĩnh vực + phạm vi + quy mô) qua 9 quy tắc kèm trích dẫn điều luật.
6 nhóm hành vi cấm (Đ7)
# Khi RiskClassifier.classify() trả về tier=HIGH với fired_rule_id chứa
# "vulnerable", bạn đã ở vùng tiệm cận Đ7.2.c. Đó là tín hiệu để dừng
# triển khai và rà soát lại phạm vi hệ thống — không phải chỉ phát hành
# hồ sơ rủi ro cao.| Đ7 khoản | Hành vi cấm |
|---|---|
| 7.1 | Lợi dụng AI thực hiện hành vi vi phạm pháp luật, xâm phạm quyền và lợi ích hợp pháp |
| 7.2.b | Dùng yếu tố giả mạo / mô phỏng người, sự kiện thật để lừa dối hoặc thao túng nhận thức |
| 7.2.c | Lợi dụng điểm yếu của nhóm dễ bị tổn thương (trẻ em, người cao tuổi, người khuyết tật, dân tộc thiểu số, người mất hoặc hạn chế năng lực hành vi dân sự) |
| 7.2.d | Tạo hoặc phổ biến nội dung giả mạo có khả năng gây nguy hại đến an ninh quốc gia |
| 7.3 | Thu thập, xử lý, sử dụng dữ liệu trái pháp luật về dữ liệu, bảo vệ dữ liệu cá nhân, an ninh mạng, sở hữu trí tuệ |
| 7.4 | Cản trở, vô hiệu hoá cơ chế giám sát, can thiệp, kiểm soát của con người |
Nghĩa vụ của nhà cung cấp hệ thống rủi ro cao (Đ14.1)
Đây là phần quan trọng nhất:
| Đ14.1 | Nghĩa vụ | API tương ứng |
|---|---|---|
| (a) Quản lý rủi ro | Lập và duy trì biện pháp; rà soát khi có thay đổi | RiskClassifier() chạy lại khi mô tả hệ thống thay đổi |
| (b) Quản trị dữ liệu | Huấn luyện / kiểm thử / vận hành | Trường data_governance_notes trong TechnicalDossier |
| (c) Hồ sơ kỹ thuật và nhật ký hoạt động | Lập, cập nhật, lưu giữ | AuditLog + TechnicalDossier |
| (d) Giám sát và can thiệp của con người | Thiết kế hệ thống đảm bảo | Trường human_oversight_design trong hồ sơ |
| (đ) Minh bạch và xử lý sự cố | Theo Đ11 và Đ12 | transparency/ + incident/ |
| (e) Trách nhiệm giải trình | Trước cơ quan nhà nước, người dùng, người bị ảnh hưởng. Không bao gồm: mã nguồn, thuật toán chi tiết, bộ tham số, bí mật kinh doanh | Khuôn mẫu technical_dossier.*.md.j2 có sẵn mục loại trừ |
| (g) Phối hợp | Trong thanh tra, kiểm tra, hậu kiểm | (quy trình) |
Đ11 minh bạch — 4 trường hợp dùng
| Đ11 khoản | Nghĩa vụ | API |
|---|---|---|
| 11.1 | Người dùng nhận biết đang tương tác với AI | interaction_notice() |
| 11.2 | Audio / hình ảnh / video do AI tạo phải đánh dấu định dạng máy đọc được | mark_image() + write_sidecar() |
| 11.3 | Bên triển khai thông báo khi cung cấp công khai nội dung AI sinh hoặc chỉnh sửa | (quy trình — sao chép kết quả mark_text_html()) |
| 11.4 | Deepfake (mô phỏng người hoặc sự kiện thật) phải gắn nhãn rõ ràng | mark_image(..., is_synthetic=True) |
Đ28.3 — bằng chứng nộp khi thanh tra
"Trong quá trình thanh tra, kiểm tra, tổ chức, cá nhân liên quan có nghĩa vụ cung cấp hồ sơ kỹ thuật, nhật ký lưu vết, dữ liệu huấn luyện và thông tin cần thiết khác để xác định nguyên nhân vi phạm, sự cố hoặc phân định trách nhiệm; việc cung cấp thông tin phải tuân thủ quy định của pháp luật về bảo vệ bí mật nhà nước, dữ liệu, bảo vệ dữ liệu cá nhân và sở hữu trí tuệ."
audit.verify().raise_if_tampered() # đảm bảo nhật ký không bị sửa
audit.export("for_inspector.jsonl", # nhật ký lưu vết → tệp
since=since_iso, until=until_iso)
TechnicalDossier.from_pipeline(...).write("technical_dossier.md")Đó là 3 lệnh, ra đủ 3 thành phần Đ28.3 yêu cầu.
Đ29 trách nhiệm nghiêm ngặt — điều cần biết
Nếu hệ thống AI rủi ro cao được quản lý, vận hành và sử dụng đúng quy định nhưng vẫn phát sinh thiệt hại, bên triển khai phải chịu trách nhiệm bồi thường cho người bị thiệt hại. Sau khi bồi thường, bên triển khai có thể yêu cầu nhà cung cấp / nhà phát triển hoàn trả nếu có thoả thuận.
Hệ quả thực tế:
- Bên triển khai buộc phải giữ nhật ký kiểm toán đủ để chứng minh "đã quản lý đúng" khi cần đối chứng.
- Nhà cung cấp buộc phải ghi rõ phạm vi vận hành để giới hạn rủi ro bị truy đòi (tài liệu phòng vệ).
- Cả 2 bên đều cần
AuditLogvà hồ sơ —nom.compliancephục vụ cả hai.
Miễn trừ: Đ29.3 — lỗi cố ý của người bị thiệt hại; bất khả kháng hoặc tình thế cấp thiết.
Còn chờ nghị định nào?
Tính tới 2026-05-02, các nghị định, quyết định của Thủ tướng, quy định của Bộ Khoa học và Công nghệ sau chưa ban hành:
| Trích dẫn | Nội dung chờ | Tác động đến nom.compliance |
|---|---|---|
| Đ8.4 | Cơ chế Cổng thông tin một cửa và CSDL quốc gia AI | nom.compliance.registry v0.4 sẽ phát hành khi Cổng có API |
| Đ9.3 | Chi tiết phân loại rủi ro | Có thể tinh chỉnh bảng quy tắc; cấu trúc không đổi |
| Đ10.7 | Nội dung và thủ tục thông báo | Bộ chuyển từ ClassificationDossier sang định dạng chính thức |
| Đ11.6 | Định dạng đánh dấu nội dung AI | Bộ chuyển từ chuẩn C2PA sang định dạng chính thức |
| Đ12.5 | Chi tiết báo cáo sự cố | Bộ chuyển incident_report_dict() sang API Cổng |
| Đ13.4 | Danh mục hệ thống bắt buộc chứng nhận (Thủ tướng ban hành) | ConformityPackage bản tối thiểu → bản đầy đủ khi Danh mục ra |
| Đ13.6 | Quy trình đánh giá sự phù hợp | — |
| Đ14.7 | Chi tiết quản lý hệ thống rủi ro cao | — |
| Đ27.5 | Quy trình đánh giá tác động AI nhà nước | ImpactAssessment bản tối thiểu → bản đầy đủ |
| Đ29.5 | Khung xử phạt hành chính | (pháp lý — không phải code) |
| Đ31 | An ninh thông tin trong cung cấp dữ liệu | (quy trình) |
nom.compliance được thiết kế để đón các nghị định này khi ban hành, không phải viết lại. Định dạng cũ vẫn đọc được; định dạng mới có bộ chuyển.
Câu hỏi thường gặp
1. Tôi có cần module này nếu hệ thống của tôi rủi ro thấp không? Có — Đ11.1 và Đ7.3 vẫn áp dụng. RiskClassifier xác nhận hệ thống ở mức rủi ro thấp và liệt kê các điều luật bắt buộc.
2. Nhà cung cấp nước ngoài có dùng được không? Có. Đ14.6 yêu cầu đầu mối pháp lý tại Việt Nam; module này không thay thế nghĩa vụ pháp lý đó nhưng sinh đầy đủ tài liệu kỹ thuật. Tham khảo luật sư công nghệ Việt Nam để dựng cấu trúc pháp nhân.
3. AuditLog có lưu nội dung câu hỏi và câu trả lời không? Mặc định chỉ lưu bản băm (giảm thiểu dữ liệu cá nhân). AuditedLLM(..., store_raw=True) dành cho ngành có yêu cầu lưu trữ (ngân hàng 7 năm).
4. Module này có thay thế tư vấn pháp lý không? Không. Đây là công cụ kỹ thuật. Trách nhiệm pháp lý cuối cùng (chữ ký vào hồ sơ Đ10.3, định nghĩa "rủi ro cao" cho ngành cụ thể, ranh giới Đ7.3 cho dữ liệu cá nhân) phải có luật sư rà soát.
Trích dẫn
Toàn văn luật: tải PDF từ https://datafiles.chinhphu.vn/cpp/files/vbpq/2026/01/luat134.signed.pdf (20 trang scan, 35 điều). Bản tiếng Anh đối chiếu: thư viện english.luatvietnam.vn.
Khi viết bài blog, bài báo, bài phát biểu có trích Luật 134/2025/QH15, vui lòng dẫn nguồn là Quốc hội nước Cộng hoà Xã hội Chủ nghĩa Việt Nam khoá XV; nom.compliance chỉ là công cụ đối chiếu kỹ thuật.