Việc nỗ lực hiểu rõ những khác biệt giữa các khuôn khổ tự nguyện và bắt buộc là yếu tố then chốt đối với bất kỳ doanh nghiệp AI nào tại Đông Nam Á.
Khi doanh nghiệp phát triển hoặc triển khai các hệ thống trí tuệ nhân tạo (AI) tại Đông Nam Á, có hàng loạt “khung quản trị AI” và được khuyến nghị tuân thủ. Tuy nhiên, không phải tất cả các quy định này đều có giá trị pháp lý như nhau.
Phần lớn các khung quản trị hiện nay mang tính tự nguyện và không đi kèm chế tài xử phạt. Ngược lại, một số quy định bắt buộc có thể dẫn tới các khoản phạt rất lớn nếu doanh nghiệp vi phạm.
Những quy định bắt buộc này bao gồm các luật bảo vệ dữ liệu cá nhân hiện hành, các đạo luật AI mới được ban hành cũng như những quy định chuyên ngành mà doanh nghiệp đáng lẽ đã phải tuân thủ từ trước.
Đối với các giám đốc công nghệ (CTO), việc phân biệt rõ đâu là quy định tự nguyện và đâu là quy định bắt buộc có ý nghĩa đặc biệt quan trọng. Sự nhầm lẫn giữa hai nhóm quy định này có thể khiến các doanh nghiệp, đặc biệt là startup, lãng phí thời gian và nguồn lực vốn đã hạn chế.
Điều quan trọng đối với các nhà phát triển AI là phải hiểu rõ các quy định thực sự yêu cầu điều gì để có thể chủ động đáp ứng. Nhiều đạo luật AI trên thế giới, trong đó có Đạo luật AI của Liên minh châu Âu (EU AI Act) và Luật AI của Việt Nam, đều áp dụng phương pháp phân loại theo mức độ rủi ro.
Các quy định này có phạm vi áp dụng rộng, không chỉ với các tổ chức trong nước mà còn đối với các doanh nghiệp nước ngoài có hoạt động liên quan đến AI.
Nếu sản phẩm liên quan đến tuyển dụng, chấm điểm tín dụng, y tế, giáo dục hoặc các dịch vụ công thiết yếu, doanh nghiệp nên mặc định xem đó là hệ thống AI rủi ro cao.
Quy định số 2024/1689 của EU là văn bản pháp lý mang tính bắt buộc, không chỉ áp dụng đối với doanh nghiệp trong khối mà còn với bất kỳ tổ chức nào bên ngoài EU nếu đầu ra của hệ thống AI được sử dụng tại thị trường này. Điều đó đồng nghĩa với việc một công ty đặt trụ sở tại Jakarta nhưng có khách hàng sử dụng sản phẩm tại Berlin vẫn phải tuân thủ đầy đủ các yêu cầu của EU AI Act.
Mức xử phạt cũng rất nghiêm khắc. Các hành vi sử dụng AI thuộc nhóm bị cấm có thể bị phạt tới 35 triệu euro hoặc 7% doanh thu toàn cầu. Đối với các vi phạm liên quan đến hệ thống AI rủi ro cao, mức phạt có thể lên tới 15 triệu euro hoặc 3% doanh thu toàn cầu.
Trong khi đó, một trong những thay đổi pháp lý đáng chú ý nhưng chưa được nhiều doanh nghiệp AI trong khu vực quan tâm là Luật Trí tuệ nhân tạo của Việt Nam.
Cấu trúc của luật có nhiều điểm tương đồng với EU AI Act khi chia các hệ thống AI thành ba nhóm: bị cấm, rủi ro cao, rủi ro trung bình và rủi ro thấp. Đồng thời, luật cũng quy định riêng trách nhiệm của bên phát triển và bên triển khai đối với các hệ thống thuộc nhóm rủi ro cao.
Giới quan sát cho rằng, với các doanh nghiệp đang cung cấp sản phẩm hoặc dịch vụ AI tại Việt Nam, đây là một trong những khung pháp lý đầu tiên cần đặc biệt lưu ý.
Trên thực tế, ngay cả khi chưa có luật AI riêng, doanh nghiệp vẫn có thể chịu sự điều chỉnh của pháp luật nếu hệ thống AI xử lý dữ liệu cá nhân.
Các quy định bảo vệ dữ liệu tại Singapore, Malaysia, Thái Lan và Việt Nam đều đi kèm chế tài xử phạt và áp dụng trực tiếp đối với các hệ thống AI sử dụng dữ liệu nhận dạng cá nhân.
Nếu mô hình AI được huấn luyện trên dữ liệu cá nhân hoặc đưa ra quyết định liên quan tới các cá nhân cụ thể, doanh nghiệp sẽ phải đối mặt với những rủi ro pháp lý đáng kể.
Giới chuyên gia nhận định, phần lớn các khung quản trị AI hiện nay vẫn mang tính tự nguyện. Tuy nhiên, điều đó không đồng nghĩa doanh nghiệp có thể bỏ qua.
Trên thực tế, nhiều ngân hàng, cơ quan chính phủ hoặc khách hàng doanh nghiệp lớn đã bắt đầu yêu cầu nhà cung cấp chứng minh hệ thống AI của mình tuân thủ các tiêu chuẩn quản trị quốc tế ngay cả khi chưa có quy định pháp luật bắt buộc.
Quan trọng hơn, các tiêu chuẩn tự nguyện ngày nay hoàn toàn có thể trở thành quy định bắt buộc trong tương lai.
Một điểm mà nhiều startup AI thường bỏ qua là trách nhiệm tuân thủ thuộc về đơn vị phát triển sản phẩm cuối cùng chứ không phải nhà cung cấp mô hình nền tảng.
Ví dụ, nếu một doanh nghiệp xây dựng công cụ tuyển dụng dựa trên ChatGPT, trách nhiệm tuân thủ quy định sẽ thuộc về doanh nghiệp đó chứ không phải OpenAI.
Theo EU AI Act, Luật AI của Việt Nam và các dự thảo luật đang được xây dựng tại Indonesia hay Thái Lan, hệ thống AI rủi ro cao phải duy trì quy trình quản lý rủi ro trong toàn bộ vòng đời sản phẩm.
Doanh nghiệp cũng phải lưu trữ hồ sơ quản trị dữ liệu, chứng minh dữ liệu huấn luyện phù hợp và đã được kiểm tra thiên lệch; xây dựng tài liệu kỹ thuật để phục vụ đánh giá độc lập; duy trì hệ thống ghi nhật ký hoạt động trong tối thiểu 6 tháng; thiết lập cơ chế giám sát của con người và triển khai cơ chế theo dõi sau khi sản phẩm được đưa ra thị trường.
Đây là những yêu cầu cần được tích hợp ngay từ giai đoạn thiết kế sản phẩm thay vì bổ sung sau khi triển khai.
Theo Vicky Feliren, nhà khoa học ứng dụng và học viên cao học tại Đại học Monash (Indonesia), các công ty AI tại Đông Nam Á nên ưu tiên bốn bước.
Thứ nhất, rà soát toàn bộ danh mục sản phẩm AI và xác định mức độ rủi ro theo các quy định hiện hành. Những sản phẩm liên quan đến tuyển dụng, tín dụng, sinh trắc học, y tế, giáo dục hoặc dịch vụ công cần được xem là rủi ro cao.
Thứ hai, nếu sản phẩm có khả năng được sử dụng tại châu Âu, doanh nghiệp nên lấy EU AI Act làm chuẩn tuân thủ tối thiểu vì đây hiện là khung pháp lý nghiêm ngặt nhất.
Thứ ba, sử dụng các tiêu chuẩn như NIST AI RMF của Mỹ hoặc ISO/IEC 42001 làm khuôn khổ xây dựng tài liệu và quản trị nội bộ.
Thứ tư, bắt đầu xây dựng hồ sơ kiểm toán ngay từ bây giờ, bao gồm nhật ký rủi ro, nguồn gốc dữ liệu huấn luyện, kết quả kiểm thử thiên lệch và cơ chế giám sát của con người.
