EU cấm hoàn toàn các hệ thống AI thuộc nhóm “rủi ro không thể chấp nhận”

• Việc sử dụng các hệ thống AI được phân loại là “rủi ro không thể chấp nhận (unacceptable risk)” trong EU nay đã bị cấm hoàn toàn
• Ngày 2 tháng 2 là hạn chót tuân thủ đầu tiên của EU AI Act, và quy định này áp dụng cho mọi công nghệ AI được cung cấp hoặc sử dụng trong lãnh thổ EU
• Nếu vi phạm, doanh nghiệp có thể bị phạt mức lớn hơn giữa 7% doanh thu hằng năm hoặc 35 triệu euro (khoảng 36 triệu USD)

Tổng quan về EU AI Act

• Luật quản lý AI theo 4 mức độ rủi ro
  • Rủi ro tối thiểu: ví dụ bộ lọc thư rác
  • Rủi ro hạn chế: ví dụ chatbot tư vấn khách hàng
  • Rủi ro cao: ví dụ hệ thống hỗ trợ ra quyết định y khoa
  • Rủi ro không thể chấp nhận: AI có nguy cơ gây tổn hại thể chất, tinh thần hoặc dẫn đến phân biệt đối xử với con người
• AI bị xếp vào nhóm rủi ro không thể chấp nhận sẽ bị cấm sử dụng hoàn toàn
• Một số ví dụ tiêu biểu
  • Chấm điểm xã hội: AI tạo hồ sơ rủi ro dựa trên hành vi cá nhân
  • Thao túng vô thức: AI âm thầm hoặc mang tính lừa dối để thao túng quyết định của con người
  • Khai thác nhóm dễ tổn thương: AI lợi dụng tuổi tác, khuyết tật, tình trạng kinh tế xã hội...
  • Dự đoán tội phạm dựa trên ngoại hình: AI dự đoán khả năng phạm tội dựa trên diện mạo của một người
  • Phân tích đặc điểm dựa trên sinh trắc học: AI suy luận các đặc điểm cá nhân như xu hướng tính dục
  • Thu thập dữ liệu sinh trắc học theo thời gian thực ở nơi công cộng: AI thu thập dữ liệu sinh trắc học thời gian thực phục vụ mục đích thực thi pháp luật
  • AI suy luận cảm xúc: AI phân tích cảm xúc của con người tại nơi làm việc hoặc trường học
  • Xây dựng cơ sở dữ liệu nhận diện khuôn mặt: AI thu thập hình ảnh từ Internet hoặc camera an ninh để tạo hoặc mở rộng cơ sở dữ liệu nhận diện khuôn mặt

Cam kết trước đó

• Trước hạn chót ngày 2 tháng 2, vào khoảng tháng 9 năm 2024, khoảng 100 công ty đã ký ‘EU AI Pact’ và cam kết tự nguyện tuân thủ các chuẩn mực ngay cả trước khi AI Act chính thức có hiệu lực
• Amazon, Google, OpenAI tham gia, nhưng Meta, Apple, Mistral... không ký
• Về nguyên tắc, ngay cả các công ty không tham gia Pact cũng bị cấm sử dụng AI thuộc nhóm rủi ro không phù hợp

Các ngoại lệ tiềm năng

• Cơ quan thực thi pháp luật được phép có ngoại lệ giới hạn để sử dụng thông tin sinh trắc học trong một số tình huống nhất định (ví dụ: tìm kiếm nạn nhân bị bắt cóc, mối đe dọa khẩn cấp)
  • Ngay cả trong trường hợp đó, quy định vẫn nêu rõ không được đưa ra quyết định bất lợi cho cá nhân chỉ dựa trên kết quả từ một hệ thống AI duy nhất
• AI nhận diện cảm xúc trong trường học và nơi làm việc cũng có thể được cho phép trong phạm vi hạn chế nếu có lý do chính đáng như mục đích y tế hoặc đảm bảo an toàn
• Dự kiến đầu năm 2025 sẽ có thêm hướng dẫn, nhưng nội dung cụ thể vẫn chưa được công bố

Những việc cần làm tiếp theo

• Việc áp dụng chế tài thực tế và triển khai đầy đủ được dự kiến sẽ bắt đầu sau tháng 8
  • Khi đó, các “cơ quan có thẩm quyền (competent authorities)” của từng quốc gia sẽ được chỉ định, và các mức phạt cùng biện pháp thực thi sẽ chính thức có hiệu lực
• Do có khả năng chồng chéo với các quy định khác như GDPR, NIS2, DORA..., doanh nghiệp có thể gặp lúng túng
  • Cần lưu ý để nghĩa vụ báo cáo hoặc phương thức quản lý dữ liệu theo nhiều bộ quy định cùng lúc không xung đột với nhau
• Doanh nghiệp cần tham khảo các tiêu chuẩn, hướng dẫn và bộ quy tắc ứng xử sẽ được công bố trong thời gian tới để chuẩn bị một cách có hệ thống