Pháp lý AI Chủ quyền dữ liệu EU AI Act

EU hoãn quy định AI rủi ro cao tới 12/2027 (Digital Omnibus): doanh nghiệp Việt đừng ngủ quên

Cờ Liên minh châu Âu tung bay trên nền trời xanh

Ngày 29/6/2026, Hội đồng EU chốt gói "Digital Omnibus on AI" — hoãn nghĩa vụ tuân thủ với hệ thống AI rủi ro cao thuộc Annex III từ 02/8/2026 sang 02/12/2027 (loại nhúng trong sản phẩm sang 02/8/2028). Việc bị hoãn là nghĩa vụ Annex III, KHÔNG phải toàn bộ đạo luật: lệnh cấm "hành vi AI bị cấm" (Điều 5, từ 02/2/2025) và nghĩa vụ mô hình GPAI (từ 02/8/2025) vẫn giữ nguyên, và khung phạt tới 35 triệu EUR hoặc 7% doanh thu toàn cầu vẫn còn nguyên.

Tóm tắt nhanh

  • Hoãn cái gì: nghĩa vụ với AI rủi ro cao (Annex III) — từ 02/8/2026 sang 02/12/2027 (nhúng trong sản phẩm: 02/8/2028).
  • Ai chốt, khi nào: Nghị viện châu Âu thông qua 16/6/2026 (423/57/174); Hội đồng EU chốt 29/6/2026. Ràng buộc sau khi đăng Công báo EU.
  • KHÔNG hoãn: lệnh cấm Điều 5 (từ 02/2/2025) và nghĩa vụ mô hình GPAI (từ 02/8/2025).
  • Phạt vẫn nguyên: tới 35 triệu EUR hoặc 7% doanh thu toàn cầu (SME lấy số thấp hơn).
  • Doanh nghiệp Việt: có tính ngoài lãnh thổ — nếu đầu ra AI dùng trong EU thì vào phạm vi. AI nội bộ (on-premise) vẫn là hướng an toàn nhất.

Chuyện gì vừa xảy ra ở EU?

Câu trả lời ngắn: EU vừa hoãn thời điểm áp dụng nghĩa vụ với nhóm hệ thống AI "rủi ro cao" (high-risk) thuộc Phụ lục III (Annex III) của Đạo luật AI châu Âu — từ 02/8/2026 sang 02/12/2027 đối với hệ thống độc lập, và tới 02/8/2028 với hệ thống AI nhúng trong sản phẩm chịu quản lý. Đây là kết quả của gói sửa đổi có tên "Digital Omnibus on AI".

Diễn tiến pháp lý (theo European Parliament Legislative Train và phân tích của Gibson Dunn): Ủy ban châu Âu công bố đề xuất ngày 19/11/2025; các bên đạt thỏa thuận trong đàm phán ba bên (trilogue) đầu tháng 5/2026 và được đại diện các nước thành viên xác nhận ngày 13/5/2026; Nghị viện châu Âu thông qua tại phiên toàn thể ngày 16/6/2026 (423 phiếu thuận, 57 chống, 174 phiếu trắng); và Hội đồng EU chốt lần cuối gói đơn giản hóa ngày 29/6/2026. Các mốc mới chỉ ràng buộc pháp lý sau khi Omnibus được đăng trên Công báo (Official Journal) — dự kiến trước 02/8/2026.

Tượng Nữ thần Công lý cầm cán cân — biểu tượng pháp luật
Việc hoãn Annex III không làm thay đổi khung xử phạt của Đạo luật AI. Ảnh: dpsinghbhullar / Pexels

Cái gì bị hoãn — và cái gì KHÔNG

Điểm dễ hiểu sai nhất: không phải cả đạo luật bị hoãn. Chỉ nhóm nghĩa vụ với hệ thống rủi ro cao thuộc Annex III được lùi lịch. Những phần đã có hiệu lực vẫn giữ nguyên:

  • Hành vi AI bị cấm (Điều 5) — áp dụng từ 02/2/2025, không đổi. Ví dụ: chấm điểm xã hội bởi cơ quan công quyền, khai thác điểm yếu nhóm dễ tổn thương, một số dạng nhận dạng sinh trắc học theo thời gian thực.
  • Nghĩa vụ với mô hình AI đa dụng (GPAI) — áp dụng từ 02/8/2025, không đổi.
  • Đồng thời, Omnibus bổ sung lệnh cấm ảnh khiêu dâm không đồng thuận do AI tạo ra và tài liệu lạm dụng tình dục trẻ em vào Điều 5, với thời gian chuyển tiếp tới 02/12/2026; yêu cầu gắn nhãn nội dung do AI tạo ra cũng được điều chỉnh mốc chuyển tiếp (tới 02/12/2026 cho hệ thống đưa ra thị trường trước 02/8/2026).

Nói cách khác: doanh nghiệp được thêm thời gian cho phần hồ sơ tuân thủ hệ thống rủi ro cao — nhưng "vùng cấm" và trách nhiệm minh bạch thì không hề nới.

Vi phạm bị phạt bao nhiêu?

Khung xử phạt tại Điều 99 Đạo luật AI không thay đổi theo Omnibus. Ba mức trần:

Loại vi phạmMức phạt tối đa
Vi phạm hành vi AI bị cấm (Điều 5)35 triệu EUR hoặc 7% doanh thu toàn cầu (lấy số cao hơn)
Không tuân thủ nghĩa vụ khác (nhà cung cấp/triển khai/nhập khẩu…)15 triệu EUR hoặc 3% doanh thu toàn cầu (số cao hơn)
Cung cấp thông tin sai/gây nhầm lẫn cho cơ quan/tổ chức đánh giá7,5 triệu EUR hoặc 1% doanh thu toàn cầu (số cao hơn)

Với doanh nghiệp nhỏ và vừa (SME) và startup, luật lấy số THẤP hơn giữa hai cách tính (không phải số cao hơn) — một điểm giảm nhẹ có chủ đích cho công ty nhỏ. Dù vậy, việc hoãn Annex III không làm mờ đi rủi ro: một hệ thống AI dùng sai vẫn có thể rơi vào nhóm "hành vi bị cấm" vốn đã và đang bị phạt.

Doanh nghiệp Việt liên quan gì?

Đạo luật AI của EU có tính "ngoài lãnh thổ": nó áp cả với tổ chức ngoài EU nếu đầu ra của hệ thống AI được sử dụng trong EU. Doanh nghiệp Việt bán phần mềm có AI, làm gia công AI cho khách EU, hay tích hợp AI vào sản phẩm xuất sang châu Âu đều có thể vào phạm vi điều chỉnh. Việc hoãn Annex III cho các doanh nghiệp này thêm ~16 tháng để chuẩn bị hồ sơ đánh giá sự phù hợp — nhưng lệnh cấm Điều 5 và nghĩa vụ minh bạch thì đã hiệu lực ngay hôm nay.

Đối chiếu trong nước: Việt Nam cũng đã có khung riêng — xem bài Nghị định 142/2026 về AI để thấy cách phân loại rủi ro và nghĩa vụ với hệ thống rủi ro cao ở Việt Nam. Doanh nghiệp làm ăn hai đầu (EU + VN) cần soi song song cả hai khung.

Góc AI nội bộ: vì sao chủ quyền dữ liệu vẫn là hướng an toàn

Điểm chung của mọi khung pháp lý AI — dù EU hay Việt Nam — là yêu cầu về kiểm soát dữ liệu, nhật ký vận hành, giám sát của con người và khả năng truy vết. Đây chính là chỗ mô hình AI nội bộ (on-premise) có lợi thế cấu trúc: khi mô hình chạy 100% trong hạ tầng của tổ chức, dữ liệu đầu vào không rời khỏi tổ chức, log lưu tại chỗ, phân quyền và giám sát do chính doanh nghiệp nắm — không phụ thuộc một nhà cung cấp đám mây có thể thay đổi điều khoản, đổi vùng lưu trữ, hoặc tắt dịch vụ từ xa.

Kỹ thuật viên thao tác trên bo mạch — hạ tầng AI nội bộ
AI nội bộ (on-premise): dữ liệu và nhật ký nằm trong tầm kiểm soát của tổ chức. Ảnh: Mikhail Nilov / Pexels

Việc EU hoãn Annex III không nên hiểu là "được thả lỏng". Ngược lại, khoảng thời gian tới 12/2027 là cửa sổ để chuẩn bị đúng cách: dựng hệ thống AI mà bản thân kiến trúc đã thỏa mãn yêu cầu kiểm soát — thay vì chắp vá tuân thủ vào phút chót. Với dữ liệu nhạy cảm (hồ sơ nhân sự, dữ liệu khách hàng, bí mật kinh doanh), giữ AI tại chỗ là cách trực tiếp nhất để giảm bề mặt rủi ro pháp lý ở mọi vùng tài phán cùng lúc.

Doanh nghiệp nên làm gì trong 3 tháng tới?

  • Lập danh mục AI đang dùng (kể cả "shadow AI" — nhân viên tự dùng chatbot ngoài): biết dữ liệu gì đang được đưa ra ngoài.
  • Phân loại rủi ro sơ bộ: hệ thống nào có thể rơi vào Annex III (tuyển dụng, chấm điểm tín dụng, hạ tầng thiết yếu…) — để chuẩn bị hồ sơ trước hạn 12/2027.
  • Rà "vùng cấm" Điều 5: đảm bảo không dính hành vi bị cấm (đã bị phạt từ 2025).
  • Cân nhắc dời khối lượng nhạy cảm về on-premise: nơi dữ liệu và nhật ký nằm trong tầm kiểm soát của tổ chức.

Câu hỏi thường gặp

EU hoãn quy định AI rủi ro cao tới khi nào?

Nghĩa vụ với hệ thống AI rủi ro cao thuộc Annex III được hoãn từ 02/8/2026 sang 02/12/2027 (hệ thống nhúng trong sản phẩm: tới 02/8/2028), theo gói Digital Omnibus. Mốc mới ràng buộc sau khi đăng Công báo EU (dự kiến trước 02/8/2026).

Cả Đạo luật AI của EU có bị hoãn không?

Không. Chỉ nghĩa vụ Annex III bị hoãn. Lệnh cấm hành vi AI bị cấm (Điều 5, từ 02/2/2025) và nghĩa vụ mô hình GPAI (từ 02/8/2025) vẫn giữ nguyên.

Mức phạt cao nhất theo Đạo luật AI của EU là bao nhiêu?

Vi phạm hành vi bị cấm (Điều 5) bị phạt tới 35 triệu EUR hoặc 7% doanh thu toàn cầu, lấy số cao hơn; với SME/startup lấy số thấp hơn.

Doanh nghiệp Việt có bị Đạo luật AI của EU điều chỉnh không?

Có thể, nếu đầu ra của hệ thống AI được sử dụng trong EU (tính ngoài lãnh thổ). Việc hoãn cho thêm thời gian chuẩn bị hồ sơ, nhưng Điều 5 và nghĩa vụ minh bạch đã hiệu lực.

AI nội bộ giúp gì cho việc tuân thủ?

Khi AI chạy tại chỗ (on-premise), dữ liệu không rời tổ chức, nhật ký lưu tại chỗ, giám sát và phân quyền do doanh nghiệp nắm — phù hợp yêu cầu kiểm soát/truy vết của cả khung EU lẫn Việt Nam.

Chuẩn bị đúng cách cho cửa sổ tới 12/2027

Namtech triển khai nền tảng AI riêng tư nội bộ giúp kiểm soát dữ liệu, lưu nhật ký và giám sát — thuận lợi cho việc tuân thủ cả EU AI Act lẫn Nghị định 142/2026.

Đặt lịch tư vấn miễn phí

Lưu ý: Bài viết tổng hợp từ nguồn công khai tại 08/07/2026; thông tin tham khảo, không thay thế việc đọc văn bản gốc và có thể thay đổi.

Bắt đầu

Bắt đầu với một buổi khảo sát miễn phí

Để xác định gói phù hợp và phạm vi chi tiết, Namtech đề xuất một buổi khảo sát ngắn không tính phí.

Chúng tôi phản hồi trong vòng 1 ngày làm việc. Không spam, không chia sẻ thông tin của bạn.