Nghị định 142/2026/NĐ-CP gồm 8 Chương và 46 Điều, quy định chi tiết một số điều của Luật Trí tuệ nhân tạo, quy định biện pháp thi hành Luật, về trách nhiệm minh bạch và trách nhiệm của các cơ quan, tổ chức. Trong đó, hoạt động trí tuệ nhân tạo liên quan đến bí mật nhà nước còn phải thực hiện theo quy định của pháp luật về bảo vệ bí mật nhà nước, pháp luật về an ninh mạng và pháp luật về cơ yếu.
Nghị định này áp dụng đối với nhà cung cấp, nhà phát triển, bên triển khai, người sử dụng hệ thống trí tuệ nhân tạo, người bị ảnh hưởng bởi hệ thống trí tuệ nhân tạo; cơ quan, tổ chức, cá nhân Việt Nam và tổ chức, cá nhân nước ngoài tham gia vào hoạt động trí tuệ nhân tạo tại Việt Nam.
Phân loại và đánh giá sự phù hợp hệ thống trí tuệ nhân tạo
Phân loại hệ thống trí tuệ nhân tạo trước khi đưa vào sử dụng
Một trong những điểm chú ý của Nghị định 142/2026/NĐ-CP là quy định bắt buộc về việc phân loại hệ thống trí tuệ nhân tạo trước khi đưa vào sử dụng. Theo đó, việc phân loại phải dựa trên mức độ rủi ro, đóng vai trò là cơ sở để áp dụng các biện pháp quản lý tương ứng.
Nhà cung cấp có trách nhiệm tự thực hiện việc phân loại hệ thống trí tuệ nhân tạo theo quy định tại khoản 1 Điều 10 của Luật Trí tuệ nhân tạo trước khi đưa hệ thống vào sử dụng và chịu trách nhiệm trước pháp luật về tính chính xác, trung thực của kết quả phân loại.
Đáng chú ý, việc phân loại quy định chỉ áp dụng đối với hệ thống trí tuệ nhân tạo; không áp dụng đối với mô hình trí tuệ nhân tạo, trừ trường hợp mô hình được sử dụng như một thành phần của hệ thống trí tuệ nhân tạo cụ thể.
Ba cấp độ rủi ro của hệ thống trí tuệ nhân tạo
Để tạo cơ sở cho việc áp dụng các biện pháp quản lý tương ứng, Nghị định đã phân định rạch ròi mức độ rủi ro của hệ thống trí tuệ nhân tạo thành ba cấp độ minh bạch: Cao, Trung bình và Thấp.
Mức độ được phân loại rủi ro cao bao gồm các hệ thống thuộc Danh mục hệ thống trí tuệ nhân tạo có rủi ro cao do Thủ tướng Chính phủ ban hành theo quy định tại khoản 4 Điều 13 của Luật Trí tuệ nhân tạo.
Trong khi đó, mức độ rủi ro trung bình dành cho các hệ thống không thuộc Danh mục hệ thống trí tuệ nhân tạo có rủi ro cao, đáp ứng các điều kiện và tiêu chí được quy định tại Điều 9 của Nghị định.
Cuối cùng, tất cả các hệ thống AI còn lại không nằm trong hai nhóm kể trên sẽ được xếp vào mức rủi ro thấp, tạo điều kiện cho các ứng dụng an toàn được triển khai rộng rãi mà không gặp phải các rào cản quản lý phức tạp.
Trong quá trình vận hành, trường hợp bên triển khai sửa đổi, tích hợp, thay đổi chức năng hoặc mục đích sử dụng của hệ thống so với công bố ban đầu của nhà cung cấp làm phát sinh rủi ro mới hoặc rủi ro cao hơn, bên triển khai có trách nhiệm phối hợp với nhà cung cấp để rà soát, phân loại lại mức độ rủi ro.
Tiêu chí và nguyên tắc xây dựng Danh mục hệ thống trí tuệ nhân tạo có rủi ro cao
Việc nhận diện một hệ thống AI có thuộc nhóm rủi ro cao hay không được thực hiện dựa trên một bộ tiêu chí đánh giá đa chiều, tập trung tối đa vào các tác động thực tế đối với xã hội và an ninh quốc gia.
Thứ nhất, mức độ tác động được xem xét kỹ lưỡng thông qua khả năng gây thiệt hại tiềm tàng đối với tính mạng, sức khỏe, tài sản, quyền con người, lợi ích quốc gia, lợi ích công cộng hoặc an ninh quốc gia; mức độ tự động của hệ thống; mức độ hỗ trợ ra quyết định cuối cùng; khả năng giám sát và can thiệp của con người trong thực thi hành động.
Thứ hai, về lĩnh vực sử dụng: Triển khai trong lĩnh vực thiết yếu quy định tại khoản 2 Điều 6 của Luật Trí tuệ nhân tạo hoặc liên quan trực tiếp đến lợi ích cộng đồng.
Thứ ba, phạm vi người sử dụng, quy mô đối tượng chịu tác động hoặc mức độ kết nối với hệ thống hạ tầng kỹ thuật quan trọng.
Minh bạch, giải trình và xử lý sự cố hệ thống trí tuệ nhân tạo
Nguyên tắc minh bạch và giải trình
Nhà cung cấp và bên triển khai hệ thống trí tuệ nhân tạo phải thực hiện trách nhiệm minh bạch, thông báo, đánh dấu kỹ thuật và gắn nhãn hiển thị đối với hệ thống trí tuệ nhân tạo và nội dung do hệ thống tạo ra theo quy định tại Điều 11 của Luật Trí tuệ nhân tạo. Việc thực hiện trách nhiệm minh bạch phải phù hợp với mục đích sử dụng, bối cảnh triển khai và mức độ rủi ro của hệ thống.
Báo cáo và xử lý sự cố nghiêm trọng
Sự cố nghiêm trọng của hệ thống trí tuệ nhân tạo theo quy định tại khoản 8 Điều 3 của Luật Trí tuệ nhân tạo là sự kiện xảy ra trong hoạt động của hệ thống trí tuệ nhân tạo gây ra một trong các hậu quả sau đây: Thiệt hại về tính mạng hoặc tổn hại nghiêm trọng đến sức khỏe của con người; thiệt hại đáng kể về tài sản hoặc ảnh hưởng nghiêm trọng đến hoạt động của tổ chức; xâm phạm nghiêm trọng quyền con người, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; gây gián đoạn nghiêm trọng việc cung cấp dịch vụ công, dịch vụ thiết yếu theo quy định của pháp luật hoặc ảnh hưởng đến an ninh quốc gia, trật tự, an toàn xã hội.
Khi xảy ra sự cố nghiêm trọng của hệ thống trí tuệ nhân tạo, bên triển khai và người sử dụng phải kịp thời ghi nhận sự cố, thực hiện các biện pháp cần thiết để hạn chế hậu quả và thông báo cho nhà cung cấp để phối hợp khắc phục. Trong khi đó, nhà cung cấp phải áp dụng các biện pháp kỹ thuật cần thiết để ngăn chặn, hạn chế và khắc phục hậu quả của sự cố. Ngoài ra, nhà cung cấp và bên triển khai có trách nhiệm phối hợp cung cấp thông tin và thực hiện các biện pháp cần thiết để xử lý sự cố theo quy định của pháp luật.
Nghị định nêu rõ, nhà cung cấp hoặc bên triển khai phải báo cáo sơ bộ sự cố nghiêm trọng cho cơ quan nhà nước có thẩm quyền theo Mẫu Al01a đối với tổ chức hoặc Mẫu Al01b đối với cá nhân tại Phụ lục ban hành kèm theo Nghị định này, thông qua cổng thông tin điện tử một cửa về trí tuệ nhân tạo trong thời hạn được quy định.
Nhà cung cấp và bên triển khai phải duy trì, lưu giữ nhật ký hệ thống, dữ liệu và thông tin liên quan đến sự cố để phục vụ việc xác minh, đánh giá và khắc phục sự cố; đồng thời gửi báo cáo chính thức về kết quả khắc phục sự cố cho cơ quan nhà nước có thẩm quyền trong thời hạn 15 ngày kể từ ngày nộp báo cáo sơ bộ.
Trường hợp sự cố nghiêm trọng đồng thời thuộc trường hợp phải báo cáo theo quy định của pháp luật về an ninh mạng, bảo vệ dữ liệu cá nhân hoặc pháp luật chuyên ngành khác, việc báo cáo được thực hiện theo quy định của pháp luật đó.
Cơ quan nhà nước có thẩm quyền có trách nhiệm phối hợp, chia sẻ thông tin và không yêu cầu cung cấp lại thông tin, tài liệu đã có trong hệ thống thông tin hoặc cơ sở dữ liệu được kết nối, chia sẻ theo quy định của pháp luật, các hệ thống trí tuệ nhân tạo, cơ sở dữ liệu quy định tại điểm d khoản 3 Điều 4 Nghị định này. Mặt khác, cơ quan nhà nước có thẩm quyền tiếp nhận báo cáo, tổ chức xác minh và hướng dẫn xử lý sự cố nghiêm trọng; khi cần thiết, có quyền yêu cầu tạm dừng hoạt động, thu hồi hoặc đánh giá lại hệ thống trí tuệ nhân tạo theo quy định tại khoản 2 Điều 12 của Luật Trí tuệ nhân tạo.
Trường hợp sự cố có dấu hiệu ảnh hưởng đến an ninh quốc gia, trật tự, an toàn xã hội hoặc có dấu hiệu vi phạm pháp luật hình sự, Bộ Khoa học và Công nghệ phối hợp với Bộ Công an và các cơ quan có liên quan để thực hiện việc xác minh và xử lý theo quy định của pháp luật. Việc báo cáo và tiếp nhận báo cáo sự cố nghiêm trọng được thực hiện thông qua Cổng thông tin điện tử một cửa về trí tuệ nhân tạo.
Hạ tầng, dữ liệu và bảo đảm năng lực tự chủ trong phát triển trí tuệ nhân tạo
Kết nối, chia sẻ và khai thác hạ tầng trí tuệ nhân tạo quốc gia
Cơ quan, tổ chức, cá nhân quản lý, vận hành hạ tầng trí tuệ nhân tạo trong mạng lưới hạ tầng trí tuệ nhân tạo quốc gia thực hiện việc kết nối, chia sẻ và khai thác hạ tầng nhằm sử dụng hiệu quả năng lực tính toán, dữ liệu và nền tảng trí tuệ nhân tạo, phục vụ hoạt động quản lý nhà nước, nghiên cứu, phát triển và đổi mới sáng tạo trong lĩnh vực trí tuệ nhân tạo, theo các nguyên tắc sau đây:
- Đối với hạ tầng trí tuệ nhân tạo do Nhà nước đầu tư, cơ quan quản lý, vận hành hạ tầng thực hiện kết nối, công bố thông tin về năng lực hạ tầng, phạm vi cung cấp, phương thức khai thác và yêu cầu kỹ thuật trong phạm vi chức năng, nhiệm vụ, quyền hạn và theo quy định của pháp luật có liên quan.
- Đối với hạ tầng trí tuệ nhân tạo do tổ chức, doanh nghiệp đầu tư, việc tham gia kết nối, chia sẻ và khai thác hạ tầng được thực hiện trên cơ sở tự nguyện, thông qua thỏa thuận hoặc hợp đồng theo quy định của pháp luật.
- Quyền quản lý và quyền khai thác hợp pháp đối với hạ tầng và tài nguyên có liên quan, trừ trường hợp pháp luật có quy định khác.
Cơ quan, tổ chức, cá nhân có nhu cầu sử dụng hạ tầng trí tuệ nhân tạo trong mạng lưới hạ tầng trí tuệ nhân tạo quốc gia thực hiện tiếp cận, sử dụng hạ tầng theo phương thức do cơ quan quản lý, vận hành hạ tầng công bố hoặc thông qua cổng thông tin điện tử một cửa về trí tuệ nhân tạo.
Việc cung cấp và sử dụng hạ tầng thực hiện theo quy định của pháp luật về cung cấp dịch vụ công; khoa học, công nghệ và đổi mới sáng tạo; ngân sách nhà nước; đầu tư công; đầu tư theo phương thức đối tác công tư và pháp luật có liên quan; không làm phát sinh thủ tục hành chính mới.
Tại khoản 3, Điều 30 của Nghị định cho thấy, cơ quan, tổ chức, doanh nghiệp quản lý, vận hành hạ tầng trí tuệ nhân tạo khi tham gia kết nối, chia sẻ và khai thác hạ tầng trong mạng lưới hạ tầng trí tuệ nhân tạo quốc gia cần phải có trách nhiệm tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật và đặc tả kỹ thuật tham chiếu do cơ quan nhà nước có thẩm quyền ban hành hoặc công bố. Bên cạnh đó, bảo đảm an ninh mạng, bảo vệ dữ liệu, bí mật nhà nước, bí mật kinh doanh và quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân theo quy định của pháp luật. Đồng thời, áp dụng biện pháp kỹ thuật và biện pháp quản lý phù hợp để bảo đảm an toàn hệ thống và kiểm soát việc truy cập, khai thác hạ tầng.
Cơ sở dữ liệu phục vụ trí tuệ nhân tạo
Cơ sở dữ liệu phục vụ trí tuệ nhân tạo được tổ chức theo nguyên tắc mở, an toàn, có kiểm soát nhằm phục vụ hoạt động nghiên cứu, huấn luyện, kiểm thử, đánh giá và phát triển ứng dụng trí tuệ nhân tạo; bao gồm các loại dữ liệu mở; dữ liệu mở có điều kiện và dữ liệu thương mại của tổ chức, doanh nghiệp theo quy định của pháp luật.
Bộ Công an là cơ quan chủ quản Cơ sở dữ liệu quốc gia về trí tuệ nhân tạo, chịu trách nhiệm xây dựng, quản lý, vận hành Cơ sở dữ liệu quốc gia về trí tuệ nhân tạo tại Trung tâm dữ liệu quốc gia; chủ trì xây dựng tiêu chuẩn kết nối, chia sẻ và các yêu cầu kỹ thuật bảo đảm an ninh, an toàn đối với Cơ sở dữ liệu quốc gia về trí tuệ nhân tạo; chủ trì, phối hợp với các bộ, cơ quan ngang bộ trình Thủ tướng Chính phủ ban hành, cập nhật Danh mục bộ dữ liệu phục vụ phát triển trí tuệ nhân tạo trong các lĩnh vực thiết yếu.
Các bộ, cơ quan ngang bộ tổ chức xây dựng, ban hành hoặc trình ban hành tiêu chuẩn, quy chuẩn kỹ thuật đối với dữ liệu phục vụ phát triển trí tuệ nhân tạo thuộc phạm vi quản lý ngành, lĩnh vực theo quy định của pháp luật.
Trung tâm dữ liệu quốc gia cung cấp hạ tầng kỹ thuật, năng lực lưu trữ và bảo đảm điều kiện kỹ thuật để vận hành Cơ sở dữ liệu quốc gia về trí tuệ nhân tạo theo quy định của pháp luật.
Bảo đảm an ninh, an toàn hạ tầng và dữ liệu phục vụ phát triển trí tuệ nhân tạo
Theo Nghị định, các cơ quan, tổ chức quản lý, vận hành hạ tầng trí tuệ nhân tạo hoặc cơ sở dữ liệu phục vụ phát triển trí tuệ nhân tạo có trách nhiệm áp dụng biện pháp kỹ thuật và biện pháp quản lý phù hợp với mục đích sử dụng, quy mô triển khai và mức độ rủi ro để bảo đảm an ninh, an toàn hạ tầng và dữ liệu theo quy định của pháp luật và phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật quốc gia có liên quan.
Trong khi đó, tổ chức, cá nhân khai thác, sử dụng hạ tầng trí tuệ nhân tạo hoặc dữ liệu phục vụ phát triển trí tuệ nhân tạo có trách nhiệm tuân thủ điều kiện truy cập, điều kiện khai thác đã được công bố hoặc thỏa thuận, trong phạm vi sử dụng hạ tầng, dữ liệu và theo quy định của pháp luật có liên quan.
Về biện pháp kỹ thuật và biện pháp quản lý với mục đích sử dụng, quy mô triển khai và mức độ rủi ro để đảm bảo an ninh, an toàn hạ tầng và dữ liệu và phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật quốc gia có liên quan bao gồm:
- Bảo đảm tính bảo mật, toàn vẹn và khả dụng của hạ tầng và dữ liệu theo quy định của pháp luật.
- Phòng ngừa, phát hiện và xử lý rủi ro, sự cố an ninh mạng và sự cố an toàn dữ liệu theo quy định của pháp luật.
- Phòng ngừa, kiểm soát rủi ro đặc thù của hệ thống trí tuệ nhân tạo, bao gồm nguy cơ tấn công, khai thác điểm yếu của mô hình trí tuệ nhân tạo và nguy cơ tái nhận dạng dữ liệu cá nhân đã được khử nhận dạng trong quá trình xử lý, khai thác dữ liệu.
- Việc thông báo, báo cáo và phối hợp xử lý sự cố liên quan đến dữ liệu cá nhân và an ninh mạng được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, pháp luật về an ninh mạng và pháp luật có liên quan.