Năm 2026 đánh dấu sự hội tụ rõ rệt giữa an ninh mạng và tuân thủ pháp lý

Luật Trí tuệ nhân tạo của Việt Nam (Luật số 134/2025/QH15) là khung pháp lý toàn diện đầu tiên tại Việt Nam và khu vực Đông Nam Á dành riêng cho trí tuệ nhân tạo, được Quốc hội thông qua ngày 10/12/2025 và chính thức có hiệu lực từ ngày 01/03/2026.

Luật quy định phân loại các hệ thống AI theo mức độ rủi ro và đang thu hút sự quan tâm lớn từ cộng đồng doanh nghiệp. Trong đó, nhóm hệ thống AI có nguy cơ rủi ro cao – bao gồm các hệ thống phục vụ an toàn và an ninh thông tin – sẽ phải đáp ứng các yêu cầu tuân thủ nghiêm ngặt hơn.

CHI PHÍ TUÂN THỦ LÀ KHOẢN ĐẦU TƯ CẦN THIẾT CỦA DOANH NGHIỆP

Theo đại diện Công ty Cổ phần An ninh mạng Việt Nam (VSEC), nếu một mô hình AI bị đánh giá là không an toàn hoặc thuộc nhóm rủi ro cao theo quy định pháp luật, doanh nghiệp sẽ phải điều chỉnh để đáp ứng yêu cầu tuân thủ. Mục tiêu là vừa tận dụng được sức mạnh của AI trong hoạt động, vừa không gây ảnh hưởng tới hệ thống vận hành cũng như dữ liệu của khách hàng.

Ông Phan Hoàng Giáp, Phó Tổng Giám đốc VSEC, cho biết thực tế cho thấy, nhiều tổ chức hiện nay khi ứng dụng AI thường tập trung vào việc khai thác sức mạnh công nghệ, nhưng chưa đánh giá đầy đủ các rủi ro đi kèm.

Các rủi ro này có thể đến từ nhiều yếu tố như dữ liệu đầu vào của hệ thống, mức độ kết nối sâu với các hệ thống nội bộ, nguy cơ thiên vị trong mô hình hoặc hiện tượng “ảo giác” (hallucination) khiến AI tạo ra thông tin sai lệch.

“Vì vậy, trong quá trình xây dựng và triển khai AI, việc đánh giá rủi ro cần được thực hiện song song và nghiêm túc”, ông Phan Hoàng Giáp nói. “Luật AI đang đóng vai trò là khung chuẩn để các doanh nghiệp tuân thủ, giúp định hướng cách thức ứng dụng công nghệ một cách an toàn và có trách nhiệm”.

Theo quan điểm của VSEC, việc thường xuyên đánh giá, nhận diện và kiểm soát các rủi ro của AI sẽ giúp hạn chế nguy cơ hệ thống bị xếp vào nhóm rủi ro cao, đồng thời bảo đảm an toàn cho hoạt động của tổ chức cũng như dữ liệu của khách hàng.

Một số doanh nghiệp các quy định mới liên quan đến trí tuệ nhân tạo sẽ khiến “chi phí tuân thủ” gia tăng. Đơn cử, khi triển khai thêm các biện pháp kiểm soát, đầu tư vào hạ tầng, quy trình, nhân sự và cơ chế giám sát, chi phí vận hành sẽ cao hơn so với trước đây. Dù vậy, chuyên gia an ninh mạng của VSEC cho rằng doanh nghiệp cần xác định đây là những khoản đầu tư cần thiết.

2026 ĐÁNH DẤU SỰ HỘI TỤ RÕ RỆT GIỮA AN NINH MẠNG VÀ TUÂN THỦ PHÁP LÝ

Theo Báo cáo Tổng hợp tình hình An ninh mạng 2025 và Xu hướng 2026 của VSEC, giai đoạn 2023–2025 đánh dấu sự chuyển dịch mang tính cấu trúc của các mối đe dọa an ninh mạng. Nếu trong các năm trước tấn công mạng thường được nhìn nhận thông qua các sự cố đơn lẻ hoặc các loại mã độc cụ thể. Đến năm 2025, hoạt động tấn công đã phát triển thành các chiến dịch xâm nhập có tổ chức, vận hành theo mô hình công nghiệp hóa, với chuỗi tấn công hoàn chỉnh và mục tiêu rõ ràng.

Bên cạnh áp lực từ các xu hướng tấn công ngày càng tinh vi, năm 2026 cũng đánh dấu một giai đoạn tăng cường khung pháp lý đáng kể trong lĩnh vực an ninh mạng và bảo vệ dữ liệu. Các yêu cầu tuân thủ không còn dừng ở mức cam kết hay chính sách nội bộ, mà đã chuyển thành nghĩa vụ triển khai hạ tầng, quy trình và kiểm soát cụ thể.

Luật An ninh mạng mới, dự kiến có hiệu lực từ ngày 1/7/2026, đặt ra yêu cầu rõ ràng đối với doanh nghiệp trong việc xác thực tài khoản người dùng và quản lý, lưu trữ dữ liệu. Theo Báo cáo, điều này đồng nghĩa với việc các tổ chức cần rà soát lại toàn bộ hệ thống định danh, xác thực, phân quyền truy cập và kiến trúc lưu trữ dữ liệu, bảo đảm khả năng kiểm soát, truy vết và đáp ứng yêu cầu khi có thanh tra hoặc sự cố phát sinh.

Việc coi xác thực và lưu trữ chỉ là vấn đề kỹ thuật sẽ không còn phù hợp, khi đây đã trở thành một phần của trách nhiệm tuân thủ pháp lý.

Song song với đó, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tiếp tục đặt ra yêu cầu tuân thủ ở mức cao, đặc biệt đối với xử lý dữ liệu cá nhân nhạy cảm.

Trọng tâm không chỉ nằm ở việc có biện pháp bảo vệ, mà ở quy trình đánh giá tác động xử lý dữ liệu (DPIA). DPIA đòi hỏi doanh nghiệp phải hiểu rõ dữ liệu nào đang được thu thập, xử lý ra sao, rủi ro phát sinh ở đâu và biện pháp kiểm soát cụ thể tương ứng với từng rủi ro.

Trong thực tế, nhiều doanh nghiệp vẫn xem DPIA như một thủ tục hành chính, trong khi đây là công cụ quan trọng để kết nối bảo vệ dữ liệu cá nhân với quản trị rủi ro an ninh mạng. Khi DPIA được thực hiện đúng cách, nó trở thành nền tảng để thiết kế kiểm soát kỹ thuật, quy trình vận hành và trách nhiệm tổ chức một cách nhất quán.

Theo VSEC, giai đoạn 2026 đánh dấu sự hội tụ rõ rệt giữa an ninh mạng và tuân thủ pháp lý. Doanh nghiệp không thể tách rời phòng thủ kỹ thuật khỏi yêu cầu pháp luật. Những tổ chức chủ động chuẩn bị hạ tầng xác thực, lưu trữ dữ liệu và quy trình DPIA ngay từ sớm sẽ không chỉ giảm rủi ro pháp lý, mà còn nâng cao mức độ trưởng thành tổng thể của chương trình an ninh mạng và quản trị dữ liệu.