Trên bình diện quốc tế đang hình thành hai xu hướng quản trị AI chủ đạo. Một xu hướng tập trung vào việc xây dựng các chuẩn mực quản trị mang tính tự nguyện, tiêu biểu là Khung hệ thống quản lý Trí tuệ nhân tạo theo ISO/IEC 42001:2023 do Tổ chức Tiêu chuẩn hóa Quốc tế ISO (International Organization for Standardization) ban hành nhằm nâng cao năng lực quản trị nội tại của tổ chức. Xu hướng thứ hai tiếp cận quản lý AI thông qua công cụ pháp lý mang tính ràng buộc cao, điển hình là Liên minh Châu Âu (European Union), với trọng tâm là kiểm soát rủi ro và bảo vệ quyền, lợi ích hợp pháp của xã hội.

Việc nghiên cứu, so sánh hai cách tiếp cận này có ý nghĩa quan trọng trong công tác tham mưu chính sách, giúp làm rõ sự khác biệt giữa quản trị AI theo mô hình hệ thống quản lý và quản lý AI theo mô hình pháp lý. Trên cơ sở đó, báo cáo tập trung phân tích đặc điểm, ưu điểm và hạn chế của từng cách tiếp cận, đồng thời rút ra các hàm ý và kiến nghị chính sách nhằm phục vụ quá trình xây dựng và hoàn thiện Khung quản trị Trí tuệ nhân tạo phù hợp với điều kiện phát triển và năng lực thực thi của Việt Nam trong giai đoạn tới.

1. Tổng quan khung ISO/IEC 42001:2023 và cách tiếp cận quản trị AI của EU

ISO/IEC 42001:2023 được thiết kế theo mô hình tiêu chuẩn hệ thống quản lý, tương tự các tiêu chuẩn ISO phổ biến khác. Trọng tâm của tiêu chuẩn không nằm ở việc quy định chi tiết từng thuật toán hay từng ứng dụng AI cụ thể, mà đặt yêu cầu đối với tổ chức phải xây dựng và vận hành một hệ thống quản trị AI toàn diện. Hệ thống này bao gồm chính sách AI, cơ cấu tổ chức và phân công trách nhiệm, quy trình đánh giá rủi ro và đánh giá tác động của hệ thống AI, cơ chế quản lý vòng đời AI cũng như hoạt động giám sát, đánh giá và cải tiến liên tục.

Cách tiếp cận của ISO/IEC 42001 mang tính phòng ngừa và linh hoạt, cho phép tổ chức chủ động lựa chọn các biện pháp kiểm soát phù hợp với bối cảnh hoạt động, mức độ sử dụng AI và nguồn lực sẵn có, đồng thời phải giải trình rõ ràng về các lựa chọn đó. Tiêu chuẩn này hướng tới việc xây dựng năng lực quản trị AI bền vững ở cấp tổ chức, coi quản trị AI là một quá trình liên tục chứ không phải một thủ tục mang tính hình thức.

Ngược lại, EU AI Act được xây dựng như một công cụ pháp lý nhằm kiểm soát các rủi ro của AI đối với xã hội và quyền cơ bản. Khung pháp lý này phân loại các hệ thống AI theo mức độ rủi ro và áp đặt các nghĩa vụ pháp lý tương ứng. Đối với các hệ thống AI rủi ro cao, EU AI Act yêu cầu phải đáp ứng đầy đủ các điều kiện về quản lý rủi ro, chất lượng dữ liệu, tài liệu kỹ thuật, giám sát của con người, độ chính xác, an toàn, an ninh mạng cũng như giám sát hậu thị trường và báo cáo sự cố. Việc không tuân thủ các nghĩa vụ này có thể dẫn đến các chế tài nghiêm khắc.

Như vậy, trong khi ISO/IEC 42001 tập trung vào năng lực quản trị nội tại của tổ chức, EU AI Act tập trung vào việc bảo đảm rằng các hệ thống AI được đưa ra thị trường không gây phương hại đến lợi ích công cộng và trật tự pháp lý của EU.

Hình 1: Hai cách tiếp cận khác nhau để quản trị Trí tuệ nhân tạo theo ISO/IEC 42001:2023 và EU AI Act

Hình vẽ thể hiện hai cách tiếp cận khác nhau nhưng bổ trợ lẫn nhau trong quản trị Trí tuệ nhân tạo:

Khung quản trị nội bộ theo tiêu chuẩn ISO/IEC 42001:2023 như một hệ thống quản trị AI cấp tổ chức. Trung tâm của khối này là chu trình quản lý liên tục gồm lập kế hoạch, triển khai, đánh giá và cải tiến, gắn với yếu tố đạo đức AI. Cách thể hiện bằng vòng tròn cho thấy quản trị AI không phải là hoạt động một lần, mà là quá trình lặp lại, cải tiến liên tục, tương tự các hệ thống quản lý ISO khác.

Cách tiếp cận quản lý bằng pháp luật của Liên minh Châu Âu (EU AI Act) như một khung quản lý pháp lý mang tính bắt buộc. Hình tháp rủi ro cho thấy cách EU phân loại AI theo các mức độ rủi ro khác nhau, từ rủi ro thấp đến rủi ro rất cao. Cách thể hiện này nhấn mạnh triết lý cốt lõi của EU là không quản lý đồng loạt mọi AI, mà tập trung siết chặt các hệ thống AI có nguy cơ gây tác động nghiêm trọng đến xã hội, quyền con người và an toàn cộng đồng.

Thông điệp xuyên suốt của hình là “Quản trị AI theo chuẩn hệ thống đóng vai trò nền tảng, còn khung pháp lý dựa trên rủi ro là lớp kiểm soát bên ngoài nhằm bảo vệ lợi ích công cộng”.

2. Đánh giá so sánh dưới góc độ tham mưu chính sách

Xét về bản chất công cụ chính sách, ISO/IEC 42001 là một chuẩn mực kỹ thuật mang tính tự nguyện, có vai trò định hướng và nâng cao năng lực quản trị. EU AI Act là một công cụ pháp lý mang tính cưỡng chế, gắn với quyền lực quản lý nhà nước và cơ chế xử phạt. Hai công cụ này phục vụ những mục tiêu khác nhau nhưng có thể bổ trợ cho nhau trong thực tiễn.

Về phạm vi điều chỉnh, ISO/IEC 42001 áp dụng cho toàn bộ hoạt động AI của tổ chức, không phân biệt mức độ rủi ro của từng hệ thống AI cụ thể. Trong khi đó, EU AI Act chỉ tập trung điều chỉnh chặt chẽ đối với các hệ thống AI được xác định là rủi ro cao, song lại có hiệu lực pháp lý trực tiếp và bắt buộc đối với các chủ thể thuộc phạm vi điều chỉnh.

Về mức độ linh hoạt chính sách, ISO/IEC 42001 cho phép tổ chức linh hoạt trong lựa chọn biện pháp kiểm soát, miễn là bảo đảm có cơ chế đánh giá, giám sát và giải trình. EU AI Act có mức độ linh hoạt thấp hơn do các nghĩa vụ pháp lý được quy định tương đối chi tiết và áp dụng thống nhất trong toàn EU.

Từ góc độ tham mưu chính sách, có thể thấy rằng cách tiếp cận theo hệ thống quản lý của ISO phù hợp với giai đoạn xây dựng nền tảng và năng lực quản trị AI, trong khi cách tiếp cận pháp lý của EU phù hợp với giai đoạn kiểm soát rủi ro ở mức cao khi AI đã được triển khai rộng rãi và có tác động xã hội sâu rộng.

3. Nhận định và hàm ý chính sách

Việc so sánh hai khung quản trị cho thấy ISO/IEC 42001 và EU AI Act không phải là hai mô hình đối lập mà là hai lớp quản trị bổ trợ cho nhau. ISO/IEC 42001 có thể được xem là hạ tầng quản trị nội bộ, giúp tổ chức hình thành văn hóa quản trị AI, quy trình kiểm soát rủi ro và cơ chế cải tiến liên tục. Trên nền tảng đó, các yêu cầu pháp lý như EU AI Act có thể được triển khai hiệu quả hơn và ít gây xáo trộn hơn cho hoạt động của tổ chức.

Đối với công tác hoạch định chính sách, cách tiếp cận kết hợp giữa chuẩn quản trị và quy định pháp lý cho phép Nhà nước vừa thúc đẩy đổi mới sáng tạo, vừa bảo đảm kiểm soát rủi ro. Trong bối cảnh năng lực quản trị AI của nhiều tổ chức còn đang trong quá trình hình thành, việc ưu tiên xây dựng chuẩn mực quản trị linh hoạt có thể đóng vai trò như một bước đệm quan trọng trước khi áp dụng các yêu cầu pháp lý chặt chẽ.

4. Hàm ý chính sách cho Việt Nam trong xây dựng và triển khai khung quản trị Trí tuệ nhân tạo

Từ việc phân tích và so sánh khung ISO/IEC 42001:2023 với cách tiếp cận quản lý AI của Liên minh Châu Âu, có thể rút ra một số hàm ý chính sách quan trọng đối với Việt Nam trong quá trình xây dựng và hoàn thiện Khung quản trị Trí tuệ nhân tạo.

Trước hết, Việt Nam cần tiếp cận quản trị AI theo lộ trình hai tầng, trong đó ưu tiên xây dựng nền tảng quản trị nội bộ trước khi áp dụng các yêu cầu pháp lý mang tính cưỡng chế cao. Trong bối cảnh năng lực quản trị AI của đa số cơ quan, tổ chức và doanh nghiệp trong nước còn đang ở giai đoạn hình thành, việc áp dụng ngay một mô hình quản lý cứng tương tự EU AI Act có thể tạo ra gánh nặng tuân thủ lớn và làm chậm quá trình đổi mới sáng tạo. Do đó, việc tham chiếu và từng bước phổ biến mô hình hệ thống quản lý AI theo ISO/IEC 42001 nên được coi là bước đi phù hợp, nhằm hình thành năng lực quản trị AI có hệ thống, bền vững và có khả năng thích ứng.

Thứ hai, cần coi ISO/IEC 42001 là một chuẩn tham chiếu quan trọng trong quá trình xây dựng chính sách, tiêu chuẩn và hướng dẫn kỹ thuật về AI tại Việt Nam. Việc lồng ghép các nguyên tắc và cấu trúc của hệ thống quản lý AI vào các văn bản quy phạm pháp luật, tiêu chuẩn quốc gia hoặc hướng dẫn áp dụng sẽ giúp thống nhất cách hiểu và cách triển khai quản trị AI giữa các cơ quan nhà nước và khu vực tư nhân. Cách tiếp cận này cho phép Nhà nước đóng vai trò kiến tạo, định hướng thay vì can thiệp quá sâu vào chi tiết kỹ thuật của từng hệ thống AI cụ thể.

Thứ ba, đối với các lĩnh vực có mức độ rủi ro cao như hành chính công, tài chính – ngân hàng, y tế, giao thông, an ninh – trật tự và các hệ thống ra quyết định ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của người dân, Việt Nam cần từng bước tiếp cận logic quản lý dựa trên rủi ro tương tự EU AI Act. Tuy nhiên, việc áp dụng nên được thực hiện theo hướng chọn lọc, tập trung vào các yêu cầu cốt lõi như đánh giá rủi ro, đánh giá tác động, trách nhiệm giải trình, giám sát của con người và cơ chế hậu kiểm, thay vì sao chép toàn bộ mô hình pháp lý của EU trong giai đoạn đầu.

Thứ tư, cần phân định rõ ràng giữa quản trị AI ở cấp tổ chức và quản lý AI ở cấp nhà nước. Quản trị AI ở cấp tổ chức nên được khuyến khích thực hiện thông qua các chuẩn mực quản lý như ISO/IEC 42001, gắn với trách nhiệm của người đứng đầu và hệ thống kiểm soát nội bộ. Quản lý AI ở cấp nhà nước nên tập trung vào việc thiết lập các “lằn ranh đỏ” đối với những ứng dụng AI có nguy cơ gây tác động tiêu cực nghiêm trọng đến xã hội, đồng thời xây dựng cơ chế giám sát, thanh tra và xử lý vi phạm phù hợp với năng lực thực thi của bộ máy quản lý.

Thứ năm, trong bối cảnh Việt Nam đang đẩy mạnh chuyển đổi số và xây dựng chính phủ số, việc áp dụng khung quản trị AI theo mô hình hệ thống quản lý cần được triển khai thí điểm trước trong khu vực công. Các bộ, ngành, địa phương có mức độ ứng dụng AI cao nên được lựa chọn làm đơn vị tiên phong, từ đó hình thành các mô hình thực tiễn về quản trị AI, làm cơ sở tổng kết, hoàn thiện chính sách và nhân rộng trong toàn hệ thống.

Cuối cùng, từ góc độ hội nhập quốc tế, việc tham chiếu và từng bước hài hòa với các chuẩn mực quốc tế như ISO/IEC 42001, đồng thời theo dõi sát diễn biến thực thi EU AI Act, sẽ giúp Việt Nam tránh nguy cơ bị động trong tương lai. Khi AI trở thành yếu tố ngày càng quan trọng trong thương mại, đầu tư và chuỗi cung ứng toàn cầu, năng lực quản trị AI theo chuẩn mực quốc tế sẽ là điều kiện cần để doanh nghiệp và cơ quan Việt Nam tham gia sâu hơn vào các thị trường có yêu cầu cao về tuân thủ.

Tổng hợp các hàm ý trên cho thấy, đối với Việt Nam, quản trị AI không nên được tiếp cận thuần túy như một vấn đề pháp lý, mà cần được nhìn nhận như một quá trình xây dựng năng lực quản trị dài hạn. Trong quá trình đó, mô hình hệ thống quản lý AI theo ISO/IEC 42001 có thể đóng vai trò nền tảng, còn các yêu cầu pháp lý theo hướng EU chỉ nên được áp dụng có chọn lọc, theo lộ trình, gắn với mức độ rủi ro và năng lực thực thi thực tế của quốc gia.

Kết luận

Quản trị Trí tuệ nhân tạo đang trở thành nội dung trung tâm trong chính sách khoa học, công nghệ và chuyển đổi số. So sánh khung ISO/IEC 42001:2023 với cách tiếp cận của Liên minh Châu Âu cho thấy quản trị AI hiệu quả không chỉ dựa vào công cụ pháp lý, mà cần được xây dựng trên nền tảng năng lực quản trị nội tại của tổ chức. ISO/IEC 42001 thể hiện vai trò quan trọng trong việc hình thành hệ thống quản trị AI linh hoạt, có khả năng nhận diện rủi ro, đánh giá tác động và cải tiến liên tục. Trong khi đó, mô hình quản lý của EU nhấn mạnh vai trò can thiệp của Nhà nước nhằm kiểm soát các hệ thống AI có rủi ro cao và tác động xã hội lớn. Đối với Việt Nam, hàm ý quan trọng là cần tiếp cận quản trị AI theo lộ trình, kết hợp chuẩn mực quản trị tự nguyện với quy định pháp lý dựa trên rủi ro. Việc ưu tiên xây dựng nền tảng quản trị theo chuẩn mực quốc tế sẽ tạo điều kiện để từng bước hoàn thiện khung pháp lý khả thi, hiệu quả và phù hợp với năng lực thực thi trong giai đoạn tới.

Trần Chí Nam