Làm thế nào EU AI Act thực sự ảnh hưởng đến doanh nghiệp của bạn?

Khi các quy định mới có hiệu lực, đây là những gì các công ty thực sự cần biết về việc tuân thủ

Ngày 2 tháng 2 năm 2025 đánh dấu cột mốc quan trọng đầu tiên trong việc triển khai Luật AI của Liên minh Châu Âu, với các quy định cấm các hành vi AI bị cấm và yêu cầu các tổ chức phải đảm bảo nhân viên của họ có đủ kiến thức, kỹ năng và hiểu biết về cách AI hoạt động, rủi ro và lợi ích của nó (năng lực AI). Hiện tại, ngày 2 tháng 8 năm 2025 đại diện cho một điểm quan trọng khác, khi các nghĩa vụ đối với các mô hình AI đa năng đã bắt đầu.

Luật AI áp dụng cho những người bán, nhập khẩu hoặc cung cấp các hệ thống AI hoặc mô hình AI đa năng ở EU, cho dù họ có trụ sở tại EU hay không. Nó cũng áp dụng cho các công ty có trụ sở tại EU sử dụng các hệ thống AI hoặc mô hình.

Mặc dù các công ty thực sự quan tâm đến tuân thủ AI, nhưng thực tế đối với hầu hết các doanh nghiệp sẽ ít bi thảm hơn so với các quy định có thể nhìn thấy tại đầu tiên.

Là người điều hành một công ty toàn cầu sử dụng AI rộng rãi trong nền tảng quản lý tài liệu của chúng tôi, tôi đã phải điều hướng quy định này trực tiếp. Sự thật là, đối với đa số các doanh nghiệp, Luật AI dễ quản lý hơn so với vẻ ngoài ban đầu — tương tự như GDPR dường như áp đảo từ góc độ của Mỹ nhưng đã chứng minh là có thể làm việc khi bạn hiểu các nguyên tắc.

Nhưng không giống như ngày triển khai GDPR duy nhất, Luật AI được triển khai theo giai đoạn. Với mức phạt lên đến 35 triệu euro hoặc 7% doanh thu toàn cầu, và một đợt thực thi quan trọng vừa qua và một hạn chót quan trọng khác phía trước, việc có chiến lược tuân thủ đúng là điều cần thiết.

Điểm chúng ta đang ở trên Đường thời gian

Tính đến tháng 8 năm 2025, các nghĩa vụ đối với Mô hình AI Đa năng (GPAI) hiện đã có hiệu lực — và điều này ảnh hưởng đến nhiều công ty hơn so với hầu hết mọi người nhận ra. Nếu bạn đang sử dụng các mô hình nền tảng như GPT-5, Claude hoặc Llama trong sản phẩm của mình, bạn có thể继承 nghĩa vụ tuân thủ ngay cả khi bạn coi mình chỉ là “người dùng” của mô hình.

Các nghĩa vụ bao gồm chứng minh tuân thủ luật bản quyền trong dữ liệu đào tạo, thực hiện kiểm tra đối thủ để tìm ra các lỗ hổng bảo mật, triển khai các biện pháp bảo mật mạnh mẽ và cung cấp tài liệu kỹ thuật chi tiết về khả năng và hạn chế của mô hình.

Nhiều công ty SaaS cho rằng họ được miễn vì họ không phát triển mô hình từ đầu. Nhưng nếu bạn đang tinh chỉnh hoặc sửa đổi mô hình theo cách khác, bạn có thể thấy mình phải tuân thủ các nghĩa vụ của GPAI. Đường ranh giữa “sử dụng” và “cung cấp” hệ thống AI được thiết kế rộng rãi trong quy định.

Ngày 2 tháng 8 năm 2026 là cột mốc quan trọng để theo dõi. Vào ngày này, các hệ thống AI được phân loại là “nguy cơ cao” phải đáp ứng các yêu cầu tuân thủ toàn diện. Phạm vi rộng hơn so với nhiều doanh nghiệp dự đoán, và các nghĩa vụ là đáng kể.

Các phân loại nguy cơ cao bao gồm các hệ thống được sử dụng cho việc tuyển dụng và thuê, đánh giá tín dụng và quyết định tài chính, đánh giá giáo dục, chẩn đoán y tế, cơ sở hạ tầng quan trọng và các ứng dụng thực thi pháp luật. Nếu công cụ AI của bạn giúp xác định ai được thuê, được chấp thuận cho vay, được chấp nhận vào chương trình hoặc được chẩn đoán với các tình trạng, bạn có thể nằm trong phạm vi.

Có một gánh nặng đi kèm với điều này. Bạn sẽ cần các hệ thống quản lý rủi ro toàn diện với giám sát liên tục, tài liệu kỹ thuật chứng minh sự an toàn và tin cậy của hệ thống, tiêu chuẩn chất lượng dữ liệu với bằng chứng kiểm toán về tính toàn vẹn của dữ liệu đào tạo, đăng tự động tất cả các quyết định và hoạt động của hệ thống, giám sát của con người có ý nghĩa với khả năng can thiệp vào thời gian thực và đánh dấu CE với đánh giá phù hợp của bên thứ ba.

Điều này không chỉ là thêm một tuyên bố trên trang web của bạn. Các hệ thống nguy cơ cao yêu cầu loại hệ thống quản lý chất lượng thường thấy trong sản xuất thiết bị y tế hoặc hệ thống an toàn ô tô.

Hiểu các loại rủi ro

Luật AI hoạt động trên một phương pháp dựa trên rủi ro bốn cấp, tinh vi hơn so với nhiều người nhận ra.

• Rủi ro không thể chấp nhận được (Bị cấm): Các ứng dụng AI này bị cấm hoàn toàn – hệ thống đánh giá xã hội, AI thao túng nhắm vào các nhóm dễ bị tổn thương, nhận dạng sinh trắc học thời gian thực trong không gian công cộng (với một số trường hợp ngoại lệ cho thực thi pháp luật), và nhận dạng cảm xúc trong nơi làm việc hoặc trường học.
• Nguy cơ cao (Được quản lý chặt chẽ, nhưng được phép): Đây là nơi nhiều doanh nghiệp bị bất ngờ. Như đã đề cập ở trên, các ứng dụng nguy cơ cao bao gồm công cụ sàng lọc hồ sơ, hệ thống đánh giá tín dụng và cấp tín dụng, thiết bị chẩn đoán y tế, hệ thống an toàn trong giao thông (xe tự hành, quản lý giao thông), công cụ đánh giá giáo dục, ứng dụng thực thi pháp luật và quản lý cơ sở hạ tầng quan trọng.
• Rủi ro hạn chế (Yêu cầu minh bạch): các hệ thống này chủ yếu liên quan đến AI tương tác trực tiếp với con người hoặc tạo ra nội dung có thể bị nhầm lẫn với vật liệu được tạo bởi con người. Điều này bao gồm các rô-bốt trò chuyện, trợ lý ảo và hệ thống AI tạo ra phương tiện tổng hợp như deepfakes hoặc hình ảnh và video được thao túng. Đối với các ứng dụng này, yêu cầu quy định chính là minh bạch – người dùng phải được thông báo rõ ràng khi họ đang tương tác với một hệ thống AI chứ không phải con người, hoặc khi nội dung đã được tạo ra một cách giả tạo.
• Rủi ro tối thiểu:Hầu hết các ứng dụng AI thuộc vào loại rủi ro tối thiểu này, bao gồm các hệ thống đặt ra ít nguy cơ cho các quyền cơ bản hoặc an toàn. Những điều này bao gồm các công cụ kinh doanh phổ biến như bộ lọc spam, hệ thống quản lý hàng tồn kho, nền tảng phân tích cơ bản, động cơ đề xuất cho nội dung hoặc sản phẩm và định tuyến dịch vụ khách hàng tự động. Đối với các hệ thống rủi ro tối thiểu, không có nghĩa vụ quy định cụ thể nào dưới Luật AI ngoài các yêu cầu chung như năng lực AI cho nhân viên.

Nếu bạn thuộc vào loại “Không thể chấp nhận được hoặc Nguy cơ cao”, sự minh bạch alone không đủ. Nếu bạn thuộc bất kỳ nơi nào khác, các yêu cầu tuân thủ là có thể quản lý.

Hiệu ứng gợn của Mô hình nền tảng

Hạn chót GPAI tháng 8 năm 2025 vừa qua xứng đáng được chú ý đặc biệt vì nó tạo ra một hiệu ứng gợn trong toàn bộ hệ sinh thái AI. Các nhà cung cấp mô hình nền tảng như OpenAI, Anthropic và Meta đã phải triển khai các biện pháp tuân thủ mới, và các yêu cầu đó chảy xuống cho khách hàng doanh nghiệp của họ.

Nếu bạn đang xây dựng trên các mô hình này, bạn sẽ cần hiểu tư thế tuân thủ của nhà cung cấp và cách nó ảnh hưởng đến các nghĩa vụ của bạn. Một số nhà cung cấp mô hình có thể hạn chế các trường hợp sử dụng nhất định, những người khác có thể chuyển chi phí tuân thủ dưới dạng giá cao hơn hoặc các cấp dịch vụ mới.

Các công ty nên kiểm toán chuỗi cung ứng AI của họ ngay bây giờ nếu họ chưa làm như vậy. Tài liệu các mô hình bạn đang sử dụng, cách bạn tùy chỉnh chúng và dữ liệu nào chảy qua chúng. Hàng tồn kho này sẽ rất quan trọng để hiểu các nghĩa vụ GPAI hiện tại của bạn và chuẩn bị cho các yêu cầu hệ thống nguy cơ cao năm 2026.

Đi trước đường cong

Luật AI đại diện cho quy định AI toàn diện đầu tiên trên thế giới, và chúng ta hiện đang ở giữa việc triển khai theo giai đoạn của nó. Với các nghĩa vụ GPAI hiện đã có hiệu lực và hạn chót hệ thống nguy cơ cao lớn tiếp theo vào tháng 8 năm 2026, các công ty coi GDPR là một gánh nặng đã bỏ lỡ cơ hội để biến quyền riêng tư thành một yếu tố khác biệt. Đừng lặp lại sai lầm đó với quản lý AI.

Các doanh nghiệp sẽ gặp khó khăn nhất là những doanh nghiệp bị bắt gặp không chuẩn bị khi việc thực thi tăng cường. Những người xây dựng có trách nhiệm ngày nay sẽ thấy rằng việc tuân thủ nâng cao hơn là cản trở chiến lược AI của họ. Vẫn còn thời gian để đi trước đường cong — nhưng cửa sổ đang đóng nhanh.