Tiếng Việt

NEED-TO-KNOW LEGAL ISSUES IN PERSONAL DATA PROTECTION

NEED-TO-KNOW LEGAL ISSUES IN PERSONAL DATA PROTECTION

by | Mar 30, 2026 | Company, EN, Legal Guidance

NEED-TO-KNOW
LEGAL ISSUES IN PERSONAL DATA PROTECTION

1. OVERVIEW

  • Promulgation and Entry into Force: The Law on Personal Data Protection (Law No. 91/2025/QH15) was ratified by the National Assembly on June 26, 2025. To provide further details, the Government issued Decree No. 356/2025/ND-CP on December 31, 2025. Both legal documents officially come into force as of January 1, 2026. From this date, Decree No. 13/2023/ND-CP shall cease to have effect.
  • Scope and Regulated Entities: The Law applies to Vietnamese agencies, organizations, and individuals; foreign agencies, organizations, and individuals in Vietnam; and foreign entities directly participating in or involved in the processing of personal data of Vietnamese citizens and persons of Vietnamese origin without determined nationality residing in Vietnam who have been issued with identification certificates.
  • Transitional Provisions: Personal data processing activities conducted with the consent of data subjects or under agreements as prescribed in Decree No. 13/2023/ND-CP before the effective date of this Law shall continue to be carried out without the need to obtain new consent. Dossiers for impact assessment of personal data processing and cross-border transfer received by authorities before the effective date continue to be used, however, any updates made after the effective date must comply with the new Law. Notably, small-sized enterprises and startups may choose whether or not to implement regulations on preparing impact assessment dossiers and designating personal data protection personnel within 5 years from the effective date. This exemption does not apply if the entity provides personal data processing services, directly processes sensitive personal data, or reaches a processing scale of 100,000 or more personal data subject matters. Household businesses and micro-enterprises are also eligible for these exceptions under similar conditions.

 2. KEY ISSUES TO NOTE

Firstly, Classification and Principles of Personal Data Processing

  • Main Content: Personal data is categorized into two groups: Basic personal data (including surname, middle name, and given name, date of birth, place of residence, phone number, images of the individual, etc.). Sensitive personal data (including opinions on religion, health status biometric data and genetic characteristics, financial, banking, and credit information, location data, etc.). The collection and processing of personal data must be conducted with the consent of the personal data subject matter, except for specific cases such as protecting the life and health of the data subject or others in urgent cases or responding to emergencies.
  • Legal Basis: Article 2, Article 9 and Article 19 of the Law on Personal Data Protection 2025; Article 3, Article 4, and Article 5 of Decree No. 356/2025/ND-CP.
  • Conditions, Procedures and Obligations: In the course of processing sensitive personal data, agencies and organizations must establish regulations on access authorization and restriction, processing procedures, and confidentiality measures. Personal data controlling parties and personal data processing and controlling parties must develop clear procedures and forms for the exercise of the rights of the personal data subject matter (such as the right to withdraw consent or request data deletion). Response and implementation timelines are strictly regulated: authorities/organizations must respond within 02 working days and complete the implementation within 10 to 30 days depending on the type of request (e.g., 10 days for modification, 15 days for cessation of processing, and 20 days for deletion).
  • Relevant Entities: All individuals, enterprises, and organizations participating in or involved in the collection and storage of customer or employee information.

Secondly, Preparation of Impact Assessment Dossiers for Personal Data Processing and Cross-border Transfer

  • Main Content: The personal data controlling party, personal data processing and controlling party, and personal data processing party are mandatory to prepare impact assessment dossiers when performing personal data processing or cross-border personal data transfer. This includes activities such as transferring personal data collected and stored in Vietnam to server systems or cloud computing services located outside the territory of Vietnam.
  • Legal Basis: Articles 20, 21 and 22 of the Law on Personal Data Protection 2025; Articles 17 to 20 of Decree No. 356/2025/ND-CP.
  • Conditions, Procedures and Obligations: Relevant entities must prepare and send 01 original complete dossier to the personal data protection authority (Ministry of Public Security) within 60 days from the date of commencement of personal data processing or cross-border transfer. Dossiers must be updated biannually (every 6 months) if there are changes to the purposes of transfer/processing or changes in the parties involved. Immediate updates must be performed within 10 days in cases of reorganization, operational termination, or when new business services concerning personal data processing arise.
  • Relevant Entities: Personal data controlling and processing parties, especially foreign entities, and organizations utilizing international software solutions or cross-border cloud platforms.

Thirdly, Assignment of Forces, Units, and Personnel for Personal Data Protection

  • Main Content: Agencies and organizations are responsible for designating personal data protection units or personnel with adequate capacity or hiring independent personal data protection service providers.
  • Legal Basis: Article 33 of the Law on Personal Data Protection 2025; Articles 13 to 16 of Decree No. 356/2025/ND-CP
  • Conditions, Procedures and Obligations: Designated personnel must hold at least a college-level degree or higher and have at least 02 years of working experience (or 03 years in the case of individuals providing hired services) related to fields such as legal affairs, information technology, risk management, or compliance control. These individuals must have received training and advanced training in legal knowledge and professional skills relating to personal data protection. The designation of personnel or units must be formalized through an official written document of the relevant agency or organization.
  • Relevant Entities: All agencies, organizations, and enterprises are generally required to comply. However, small-sized enterprises, startups, household businesses, and micro-enterprises are eligible for an exception and may choose whether or not to implement these personnel regulations within 05 years from the effective date of the Law. This exemption does not apply if the entity provides personal data processing services, directly processes sensitive personal data, or reaches a processing scale of 100,000 or more personal data subject matters.

Fourthly, Notification of Incidents and Violations of Personal Data Protection

  • Main Content: Whenever violations against personal data protection regulations are detected that may harm national defense, security, social order, and safety or infringe on the life, health, honor, dignity, and property of personal data subject matters, organizations and individuals must issue notices to the competent authorities.
  • Legal Basis: Article 23 of the Law on Personal Data Protection 2025; Articles 8, 28, and 29 of Decree No. 356/2025/ND-CP.
  • Conditions, Procedures and Obligations: The notification to the personal data protection authority (Ministry of Public Security) must be issued within 72 hours from the detection of such violations. The personal data controlling party or personal data processing and controlling party must prepare a written confirmation of violations, implement measures to remedy consequences, and cooperate with the personal data protection authority in handling the violation.
    Special Note: For organizations operating in finance, banking, and credit information activities, or when a violation incident involves personal location data or biometric data, the organization is mandatory to notify both the personal data protection authority and the affected personal data subject matter within no more than 72 hours from the time the violation is detected.
  • Relevant Entities: Entities engaged in large-scale personal data collection, providers of platform application services providing personal location data, banks, credit institutions, securities institutions, and insurers.

Fifthly, Business of Providing Personal Data Processing Services

  • Main Content: Activities such as services for analysis and utilization of personal data; services for scoring, rating, and assessing the creditworthiness of personal data subject matters; and providing/operating automated systems and software to process personal data on behalf of the personal data controlling party (e.g., SaaS, cloud computing) have officially become business lines for personal data processing services.
  • Legal Basis: Articles 21 to 27 of Decree No. 356/2025/ND-CP
  • Conditions, Procedures and Obligations: Organizations wishing to conduct business in this field are mandatory to obtain a Certificate of eligibility for providing personal data processing services issued by the Ministry of Public Security. Business conditions include: the head responsible for professional matters related to personal data processing must be a Vietnamese citizen permanently residing in Vietnam; having at least 03 personnel satisfying the statutory competency conditions for personal data protection; meeting standards for infrastructure, equipment systems, facilities, and technology suitable for the processing services. The application dossier includes: An application (Form No. 04), a business proposal, and relevant personnel dossiers (diplomas and documents proving qualifications).
  • Relevant Entities: Digital technology enterprises, tech companies (AI, Big Data, Blockchain, Cloud), data analysis centers, and organizations providing enterprise software services or behavioral advertising.

In summary, to ensure compliance, relevant organizations and individuals may need to perform the following:

  • Review and classify personal data: Clearly distinguish between basic personal data and sensitive personal data within current storage systems.
  • Standardize procedures and forms: Update internal regulations and contracts; establish lawful methods to obtain consent from personal data subject matters and develop mechanisms to facilitate the exercise of their rights.
  • Designate specialized personnel or units: Issue decisions to appoint personal data protection personnel or a personal data protection unit satisfying the statutory competency conditions or enter into contracts with independent personal data protection service providers.
  • Complete Impact Assessment Dossiers (DPIA/TIA): Prepare and submit dossiers for personal data processing impact assessment and/or cross-border personal data transfer impact assessment to the personal data protection authority (Ministry of Public Security) no later than 60 days from the date of commencement of processing or transfer.
  • Establish incident response procedures: Ensure the internal capability to record and notify the competent authorities within 72 hours from the detection of personal data leaks or violations.
  • Apply for a Certificate of Eligibility: For entities engaged in the business of providing personal data processing services, prepare qualified personnel and infrastructure, and develop a business proposal to apply for a Certificate of eligibility for providing personal data processing services issued by the Ministry of Public Security.

 

MỘT SỐ VẤN ĐỀ PHÁP LÝ CẦN BIẾT VỀ DỮ LIỆU CÁ NHÂN

MỘT SỐ VẤN ĐỀ PHÁP LÝ CẦN BIẾT VỀ DỮ LIỆU CÁ NHÂN

by | Mar 30, 2026 | Doanh nghiệp, Hướng dẫn pháp lý, VN

MỘT SỐ VẤN ĐỀ PHÁP LÝ CẦN BIẾT
VỀ DỮ LIỆU CÁ NHÂN

1. TỔNG QUAN

  • Thời điểm ban hành và hiệu lực: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được Quốc hội ban hành ngày 26/06/2025, Nghị định 356/2025/NĐ-CP được Chính phủ ban hành ngày 31/12/2025 quy định chi tiết Luật này. Cả hai văn bản chính thức có hiệu lực thi hành kể từ ngày 01/01/2026. Nghị định 13/2023/NĐ-CP hết hiệu lực từ ngày này.
  • Phạm vi điều chỉnh: Áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam; tổ chức, cá nhân nước ngoài tại Việt Nam; và tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến xử lý DLCN của công dân Việt Nam, người gốc Việt Nam chưa xác định quốc tịch đang sinh sống tại Việt Nam đã có giấy chứng nhận căn cước.
  • Điều khoản chuyển tiếp: Các hoạt động xử lý DLCN đã được chủ thể đồng ý theo Nghị định 13/2023/NĐ-CP trước ngày 01/01/2026 thì được tiếp tục thực hiện mà không phải xin đồng ý lại. Các hồ sơ đánh giá tác động đã nộp trước đây tiếp tục được sử dụng và việc cập nhật sẽ thực hiện theo Luật mới. Đặc biệt, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được miễn thực hiện quy định lập hồ sơ đánh giá tác động và chỉ định nhân sự bảo vệ DLCN trong 5 năm (trừ khi kinh doanh dịch vụ xử lý DLCN, xử lý DLCN nhạy cảm hoặc đạt quy mô từ 100.000 chủ thể dữ liệu); hộ kinh doanh, doanh nghiệp siêu nhỏ cũng được áp dụng ngoại lệ này.

2. MỘT SỐ VẤN ĐỀ CẦN BIẾT

Một là, Phân loại và nguyên tắc xử lý dữ liệu cá nhân:

  • Nội dung chính: DLCN được chia thành hai nhóm là DLCN cơ bản (họ tên, ngày sinh, nơi ở, SĐT, hình ảnh…) và DLCN nhạy cảm (quan điểm tôn giáo, tình trạng sức khỏe, dữ liệu sinh trắc học, thông tin tài chính/ngân hàng, vị trí định vị…). Việc thu thập, xử lý DLCN bắt buộc phải có sự đồng ý của chủ thể dữ liệu, trừ các trường hợp ngoại lệ để bảo vệ tính mạng, sức khỏe hoặc giải quyết tình trạng khẩn cấp.
  • Căn cứ pháp lý: Điều 2, Điều 9, Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025; Điều 3, Điều 4, Điều 5 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Trong quá trình xử lý DLCN nhạy cảm, cơ quan/tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật. Doanh nghiệp phải xây dựng quy trình, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu (như quyền rút lại sự đồng ý, quyền xóa dữ liệu), với thời hạn phản hồi quy định nghiêm ngặt từ 02 ngày làm việc và thực hiện từ 10 – 30 ngày tùy yêu cầu.
  • Đối tượng liên quan: Tất cả các cá nhân, doanh nghiệp, tổ chức có hoạt động thu thập, lưu trữ thông tin khách hàng, người lao động.

Hai là, Lập hồ sơ đánh giá tác động xử lý và chuyển dữ liệu cá nhân xuyên biên giới:

    • Nội dung chính: Bên kiểm soát, bên xử lý DLCN bắt buộc phải lập hồ sơ đánh giá tác động khi xử lý DLCN hoặc chuyển DLCN ra nước ngoài (chẳng hạn như lưu trữ trên máy chủ hoặc dịch vụ điện toán đám mây đặt ngoài lãnh thổ Việt Nam).
    • Căn cứ pháp lý: Điều 20, Điều 21, Điều 22 Luật Bảo vệ DLCN 2025; Điều 17 đến Điều 20 Nghị định 356/2025/NĐ-CP.
    • Điều kiện, thủ tục, nghĩa vụ: Doanh nghiệp phải lập và gửi 01 bản chính hồ sơ cho cơ quan chuyên trách (Bộ Công an) trong thời gian 60 ngày kể từ ngày đầu tiên xử lý hoặc chuyển DLCN. Hồ sơ phải được cập nhật định kỳ 06 tháng/lần, hoặc cập nhật ngay trong vòng 10 ngày nếu có thay đổi về tổ chức, dịch vụ kinh doanh.
    • Đối tượng liên quan: Các bên kiểm soát và xử lý DLCN, đặc biệt là các doanh nghiệp có yếu tố nước ngoài, các tổ chức sử dụng giải pháp phần mềm/đám mây quốc tế.

Ba là, Bố trí Lực lượng, bộ phận, nhân sự bảo vệ dữ liệu cá nhân:

  • Nội dung chính: Các cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự chuyên trách đủ điều kiện năng lực, hoặc tiến hành thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN độc lập.
  • Căn cứ pháp lý: Điều 33 Luật Bảo vệ DLCN 2025; Điều 13 đến Điều 16 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Nhân sự được chỉ định phải có trình độ từ cao đẳng trở lên, có ít nhất 02 năm kinh nghiệm (hoặc 03 năm đối với dịch vụ thuê ngoài) liên quan đến pháp chế, CNTT, quản trị rủi ro hoặc kiểm soát tuân thủ, và đã được đào tạo kiến thức pháp luật chuyên môn. Việc phân công, chỉ định nhân sự/bộ phận này phải được thực hiện bằng văn bản chính thức.
  • Đối tượng liên quan: Mọi cơ quan, tổ chức, doanh nghiệp (trừ một số doanh nghiệp nhỏ/khởi nghiệp, hộ kinh doanh được miễn trừ trong 5 năm đầu theo quy định tại Điều 41 Nghị định 356/2025/NĐ-CP).

Bốn là, Thông báo sự cố và vi phạm bảo vệ dữ liệu cá nhân:

  • Nội dung chính: Bất cứ khi nào phát hiện vi phạm quy định về bảo vệ DLCN có nguy cơ gây tổn hại đến an ninh, trật tự xã hội hoặc quyền, lợi ích, tài sản của cá nhân, doanh nghiệp phải lập tức báo cáo cơ quan chuyên trách.
  • Căn cứ pháp lý: Điều 23 Luật Bảo vệ DLCN 2025; Điều 8, Điều 28, Điều 29 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Việc thông báo cho Bộ Công an phải thực hiện chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm, đồng thời phải lập biên bản xác nhận vi phạm và khắc phục hậu quả. Đặc biệt lưu ý, đối với lĩnh vực tài chính, ngân hàng, hoặc khi xảy ra sự cố liên quan đến dữ liệu vị trí, sinh trắc học, tổ chức bắt buộc phải thông báo cho cả chủ thể dữ liệu bị ảnh hưởng trong thời hạn tối đa 72 giờ.
  • Đối tượng liên quan: Các công ty thu thập DLCN lớn, ứng dụng định vị, các ngân hàng, tổ chức tín dụng, công ty chứng khoán, bảo hiểm.

Năm là, Kinh doanh dịch vụ xử lý dữ liệu cá nhân:

  • Nội dung chính: Các hoạt động như phân tích, khai thác dữ liệu; chấm điểm, xếp hạng tín nhiệm; cung cấp hệ thống lưu trữ/xử lý tự động thay mặt bên kiểm soát (SaaS, cloud) chính thức trở thành ngành, nghề kinh doanh dịch vụ xử lý DLCN.
  • Căn cứ pháp lý: Điều 21 đến Điều 27 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Tổ chức muốn kinh doanh mảng này bắt buộc phải xin “Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý DLCN” do Bộ Công an cấp. Điều kiện kinh doanh bao gồm: Người đứng đầu phụ trách chuyên môn phải là công dân Việt Nam, thường trú tại Việt Nam; có tối thiểu 03 nhân sự chuyên trách về DLCN; đáp ứng tiêu chuẩn hạ tầng, cơ sở vật chất,. Hồ sơ đề nghị cấp phép bao gồm Đơn đề nghị, Đề án kinh doanh và hồ sơ nhân sự liên quan.
  • Đối tượng liên quan: Doanh nghiệp IT, công ty công nghệ (AI, Big Data, Blockchain, Cloud), các trung tâm phân tích dữ liệu và các tổ chức cung cấp dịch vụ phần mềm doanh nghiệp, marketing hành vi.

Tóm lại, để đảm bảo tuân thủ, các cá nhân tổ chức liên quan có thể cần thực hiện:

  • Rà soát, phân loại DLCN: Phân tách rõ DLCN cơ bản và nhạy cảm trong hệ thống lưu trữ hiện tại.
  • Chuẩn hóa quy trình, biểu mẫu: Cập nhật quy chế nội bộ, hợp đồng, thiết lập phương thức hợp pháp để xin ý kiến “đồng ý” từ chủ thể và xây dựng cơ chế đáp ứng các quyền của họ.
  • Ra quyết định bổ nhiệm nhân sự chuyên trách/bộ phận bảo vệ DLCN đủ tiêu chuẩn theo luật định, hoặc tiến hành ký hợp đồng thuê dịch vụ ngoài.
  • Hoàn thiện Hồ sơ Đánh giá tác động (DPIA/TIA): Lập và gửi các hồ sơ đánh giá tác động xử lý/chuyển dữ liệu xuyên biên giới lên cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất là 60 ngày kể từ ngày bắt đầu xử lý.
  • Thiết lập quy trình phản ứng sự cố, đảm bảo khả năng báo cáo cơ quan chức năng trong vòng 72 giờ khi xảy ra lộ lọt dữ liệu.
  • Xin cấp Giấy chứng nhận đủ điều kiện: Nếu hoạt động trong lĩnh vực kinh doanh dịch vụ xử lý DLCN, cần chuẩn bị nhân lực, hạ tầng và xây dựng Đề án để xin cấp Giấy chứng nhận tại Bộ Công an.

 

 

NEED-TO-KNOW LEGAL ISSUES IN ARTIFICIAL INTELLIGENCE

NEED-TO-KNOW LEGAL ISSUES IN ARTIFICIAL INTELLIGENCE

by | Mar 30, 2026 | Company, EN, Legal Guidance

NEED-TO-KNOW
LEGAL ISSUED IN ARTIFICIAL INTELLIGENCE

1. OVERVIEW

  • Date of promulgation: The Law on Artificial Intelligence (Law No. 134/2025/QH15) was ratified by the National Assembly on December 10, 2025, and officially comes into force from March 01, 2026.
  • Scope of regulation: The Law regulates the research, development, provision, deployment, and use of artificial intelligence (hereinafter referred to as “AI”) systems; the rights and obligations of relevant organizations and individuals; and the state management of AI activities in Vietnam. The Law applies to Vietnamese authorities, organizations, and individuals, as well as foreign entities participating in AI activities in Vietnam. It does not apply to AI activities serving only national defense, security, and cipher activities.
  • Transitional provisions: For AI systems put into operation before March 01, 2026, providers and deployers are responsible for fulfilling compliance obligations within the following time limits from the effective date of the Law: 18 months for AI systems in the fields of health, education, and finance; 12 months for other AI systems. During these periods, the systems may continue to operate unless state management authorities determine a risk of causing serious damage and request the suspension or termination of operations.

2. KEY ISSUES TO NOTE

Firstly, Risk-based Classification and Management

  • Main Content and Legal Basis: According to Article 9, AI systems are classified into three risk levels: high, medium, and low. High-risk AI systems are those that cause or pose a risk of significant harm to life, health, legitimate rights and interests of organizations and individuals, national interests, public interests, or national security.
  • Conditions, Procedures and Obligations: Pursuant to Article 10 and Article 14, providers must self-classify AI systems before putting them into operation. For medium-risk and high-risk systems, providers must prepare classification dossiers and notify the classification results to the Ministry of Science and Technology via the single-window website on AI before operation. Specifically, high-risk AI systems must undergo conformity evaluation before operation; establish and maintain risk management measures; archive technical dossiers and activity logs; and ensure human oversight and intervention capabilities. Foreign providers with high-risk AI systems provided in Vietnam must have a legal contact point; in cases where the system is subject to mandatory conformity certification, they must have a commercial presence or an authorized representative in Vietnam.
  • Relevant Entities: Enterprises and organizations acting as providers (those who provide systems to the market) and deployers (those using systems to provide services) need to prioritize these regulations to perform classification and maintain continuous system conformity.

Secondly, Transparency Obligations and Prohibited Activities

  • Main Content and Legal Basis: Detailed provisions are set out in Article 11 regarding transparency responsibility and Article 7 regarding prohibited activities in AI activities.
  • Conditions, Procedures and Obligations: Providers must ensure that AI systems interacting directly with humans are designed and operated so that users can recognize when they are interacting with the systems. Audio, images, and videos generated or edited by AI systems to simulate or imitate the appearance or voice of real persons (such as deepfakes) or reenact actual events must be marked in a machine-readable format and labeled clearly to distinguish them from human-made content and avoid confusion. Simultaneously, the Law strictly prohibits developing, providing, deploying, or using AI systems to deceive or manipulate human perception and behaviors; exploiting the vulnerabilities of vulnerable groups (including children, the elderly, persons with disabilities, etc.). It is also prohibited to collect, handle, or use data to train AI systems against the laws on protection of personal data or to conceal information that must be disclosed, transparent, or explained.
  • Relevant Entities: Developers, digital content solution providers, and application platforms directly interacting with users need to establish notification labeling features and automated content moderation systems.

Thirdly, AI Regulatory Sandbox

  • Main Content and Legal Basis: Article 21 regulates the AI regulatory sandbox to encourage innovation.
  • Conditions, Procedures and Obligations: The sandbox is conducted under the supervision of competent state authorities, which are responsible for receiving and appraising dossiers in accordance with fast appraisal and response procedures. Authorities have the power to decide on the suspension or termination of the sandbox if risks to security, rights, or legitimate interests of organizations and individuals are detected. The results from the sandbox serve as a critical basis for the State to consider the recognition of conformity evaluation results, or the exemption, reduction, or adjustment of obligations prescribed in the Law.
  • Relevant Entities: Digital technology enterprises and startups developing new AI products and services that require a controlled, real-world environment for research, production, and commercialization.

Fourthly, Incident Management

  • Main Content and Legal Basis: Article 12 stipulates the responsibilities for reporting and handling serious incidents, which are events occurring during the operation of an AI system that cause or pose a risk of significant harm to life, health, human rights, property, cybersecurity, etc.
  • Conditions, Procedures and Obligations: When a serious incident occurs, developers and providers must promptly apply technical measures to fix, suspend, or recall the system, and notify competent authorities. Deployers and users are obligated to promptly record and notify incidents and cooperate in the fixing process. The entire process of reporting and handling incidents must be conducted via the single-window website on AI.
  • Relevant Entities: Developers, providers, deployers, and users all bear responsibilities for ensuring security and reliability, with specific obligations assigned to each entity based on the level of incident response.

In summary, to ensure compliance, relevant organizations and individuals may need to perform the following:

  • Review, evaluate, and self-classify the risk levels (high, medium, and low) for AI systems currently under development or being provided to the market.
  • Prepare notification procedures for medium-risk and high-risk AI systems; conduct conformity evaluation for high-risk AI systems.
  • Implement labeling mechanisms and mark content in a machine-readable format for AI-generated outputs to fulfill transparency responsibilities.
  • Establish adjustment plans for existing AI systems within the transitional period (12 to 18 months starting from March 01, 2026).
  • Develop internal procedures for archiving technical dossiers and activity logs, data management, and establishing incident response scenarios and online reporting via the single-window website on AI when serious incidents occur.

 

 

 

 

 

MỘT SỐ VẤN ĐỀ PHÁP LÝ CẦN BIẾT VỀ TRÍ TUỆ NHÂN TẠO

MỘT SỐ VẤN ĐỀ PHÁP LÝ CẦN BIẾT VỀ TRÍ TUỆ NHÂN TẠO

by | Mar 30, 2026 | Doanh nghiệp, Hướng dẫn pháp lý, VN

MỘT SỐ VẤN ĐỀ PHÁP LÝ CẦN BIẾT 
VỀ TRÍ TUỆ NHÂN TẠO

1. TỔNG QUAN

  • Thời điểm ban hành và hiệu lực: Luật Trí tuệ nhân tạo (Luật số: 134/2025/QH15) được Quốc hội thông qua ngày 10/12/2025 và chính thức có hiệu lực thi hành từ ngày 01/3/2026.
  • Phạm vi điều chỉnh: Luật quy định về nghiên cứu, phát triển, cung cấp, triển khai và sử dụng hệ thống trí tuệ nhân tạo (TTNT); quyền, nghĩa vụ của các tổ chức, cá nhân có liên quan và công tác quản lý nhà nước đối với hoạt động TTNT tại Việt Nam. Luật áp dụng cho các cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài tham gia hoạt động TTNT tại Việt Nam, không áp dụng cho hoạt động TTNT phục vụ mục đích quốc phòng, an ninh, cơ yếu.
  • Điều khoản chuyển tiếp: Đối với các hệ thống TTNT đã được đưa vào hoạt động trước ngày 01/3/2026, nhà cung cấp và bên triển khai có trách nhiệm thực hiện nghĩa vụ tuân thủ trong thời hạn 18 tháng (đối với lĩnh vực y tế, giáo dục, tài chính) hoặc 12 tháng (đối với các hệ thống khác) kể từ ngày Luật có hiệu lực. Trong thời hạn này, hệ thống tiếp tục được hoạt động trừ khi cơ quan quản lý xác định có nguy cơ gây thiệt hại nghiêm trọng và yêu cầu tạm dừng hoặc chấm dứt hoạt động.

 2. MỘT SỐ VẤN ĐỀ CẦN BIẾT

Một là, Phân loại và quản lý rủi ro:

  • Nội dung chính và căn cứ pháp lý: Theo Điều 9, hệ thống TTNT được phân loại thành 3 mức độ rủi ro: cao, trung bình và thấp,. Hệ thống rủi ro cao là hệ thống có thể gây thiệt hại đáng kể đến tính mạng, sức khỏe, quyền và lợi ích hợp pháp, an ninh quốc gia.
  • Điều kiện, thủ tục, nghĩa vụ: Căn cứ Điều 10 và Điều 14, nhà cung cấp phải tự phân loại hệ thống trước khi đưa vào sử dụng. Đối với hệ thống rủi ro trung bình và cao, nhà cung cấp phải có hồ sơ phân loại và thông báo kết quả cho Bộ Khoa học và Công nghệ qua Cổng thông tin điện tử một cửa trước khi sử dụng. Riêng hệ thống rủi ro cao phải được đánh giá sự phù hợp trước khi sử dụng; thiết lập biện pháp quản lý rủi ro; lưu giữ hồ sơ kỹ thuật, nhật ký hoạt động; bảo đảm khả năng can thiệp của con người. Đối với nhà cung cấp nước ngoài có hệ thống rủi ro cao bắt buộc phải có đầu mối liên hệ hợp pháp, hiện diện thương mại hoặc đại diện được ủy quyền tại Việt Nam.
  • Đối tượng liên quan: Doanh nghiệp, tổ chức là nhà cung cấp (đưa hệ thống ra thị trường) và bên triển khai (sử dụng hệ thống để cung cấp dịch vụ) cần lưu tâm để thực hiện phân loại và duy trì sự phù hợp hệ thống.

Hai là, Nghĩa vụ minh bạch và hành vi bị cấm:

  • Nội dung chính và căn cứ pháp lý: Quy định chi tiết tại Điều 11 về trách nhiệm minh bạch và Điều 7 về các hành vi bị nghiêm cấm trong hoạt động TTNT.
  • Điều kiện, thủ tục, nghĩa vụ: Nhà cung cấp phải bảo đảm hệ thống được thiết kế để người sử dụng nhận biết họ đang tương tác với TTNT. Các nội dung âm thanh, hình ảnh, video do TTNT tạo ra hoặc chỉnh sửa nhằm mô phỏng, giả lập người thật hoặc sự kiện thật (như deepfake) phải được đánh dấu ở định dạng máy đọc và gắn nhãn dễ nhận biết để tránh gây nhầm lẫn,. Đồng thời, pháp luật nghiêm cấm việc lợi dụng TTNT để lừa dối, thao túng hành vi; lợi dụng nhóm người dễ bị tổn thương (trẻ em, người cao tuổi, người khuyết tật,…); thu thập dữ liệu huấn luyện trái phép; hoặc che giấu thông tin bắt buộc phải minh bạch.
  • Đối tượng liên quan: Các nhà phát triển, nhà cung cấp giải pháp nội dung số và các nền tảng ứng dụng trực tiếp tương tác với người dùng cần thiết lập tính năng dán nhãn thông báo và kiểm duyệt nội dung tự động.

Ba là, Cơ chế thử nghiệm (sandbox):

  • Nội dung chính và căn cứ pháp lý: Điều 21 quy định về cơ chế thử nghiệm có kiểm soát (sandbox) đối với TTNT để khuyến khích đổi mới sáng tạo.
  • Điều kiện, thủ tục, nghĩa vụ: Việc thử nghiệm được đặt dưới sự giám sát của cơ quan nhà nước có thẩm quyền; cơ quan này có quyền thẩm định hồ sơ, quy trình phản hồi nhanh và quyết định tạm dừng nếu có rủi ro. Kết quả thử nghiệm là căn cứ quan trọng để nhà nước xem xét công nhận kết quả đánh giá sự phù hợp, hoặc miễn, giảm, điều chỉnh các nghĩa vụ tuân thủ tương ứng của Luật này.
  • Đối tượng liên quan: Các doanh nghiệp công nghệ, doanh nghiệp khởi nghiệp đổi mới sáng tạo đang phát triển các sản phẩm TTNT mới, cần môi trường thực tế để đánh giá rủi ro trước khi thương mại hóa.

Bốn là, Quản lý sự cố:

  • Nội dung chính và căn cứ pháp lý: Điều 12 quy định trách nhiệm báo cáo và xử lý khi có sự cố nghiêm trọng, là các sự kiện gây ra hoặc có nguy cơ gây thiệt hại đáng kể đến sức khỏe, quyền con người, an ninh mạng, tài sản,… do hoạt động của TTNT.
  • Điều kiện, thủ tục, nghĩa vụ: Khi xảy ra sự cố nghiêm trọng, nhà phát triển và nhà cung cấp phải khẩn trương áp dụng biện pháp kỹ thuật để khắc phục, tạm dừng hoặc thu hồi hệ thống, và thông báo cho cơ quan có thẩm quyền. Bên triển khai và người sử dụng có nghĩa vụ ghi nhận, báo cáo sự cố và phối hợp khắc phục. Toàn bộ quá trình báo cáo và xử lý sự cố phải thực hiện qua Cổng thông tin điện tử một cửa về TTNT.
  • Đối tượng liên quan: Nhà phát triển, nhà cung cấp, bên triển khai và người sử dụng đều có trách nhiệm liên đới theo từng cấp độ ứng phó sự cố.

Tóm lại, Để đảm bảo tuân thủ, các cá nhân tổ chức liên quan có thể cần thực hiện:

  • Rà soát, đánh giá và tự phân loại mức độ rủi ro (cao, trung bình, thấp) đối với các hệ thống TTNT đang phát triển hoặc kinh doanh.
  • Chuẩn bị thủ tục thông báo đối với hệ thống rủi ro trung bình và cao; tiến hành kiểm định/đánh giá sự phù hợp cho hệ thống rủi ro cao.
  • Bổ sung cơ chế gắn nhãn, đánh dấu định dạng máy đọc trên các nội dung do TTNT tạo ra để tuân thủ nghĩa vụ minh bạch.
  • Lập kế hoạch điều chỉnh hệ thống hiện hữu trong thời hạn chuyển tiếp (12 – 18 tháng kể từ 01/3/2026).
  • Xây dựng quy trình nội bộ về lưu trữ hồ sơ, quản lý dữ liệu và kịch bản ứng phó, báo cáo trực tuyến khi có sự cố nghiêm trọng xảy ra. 

 

Translate »