Hạ tầng tuân thủ Đạo luật AI của EU: Xây dựng hệ thống đáp ứng các quy định AI của Châu Âu

Cập nhật ngày 8 tháng 12 năm 2025

Cập nhật tháng 12 năm 2025: Các nghĩa vụ GPAI có hiệu lực từ ngày 2 tháng 8 năm 2025. Văn phòng AI đang hoạt động và ban hành hướng dẫn. Bộ quy tắc thực hành được công bố tháng 7 năm 2025 cung cấp lộ trình tuân thủ. Các yêu cầu đối với hệ thống AI rủi ro cao có hiệu lực từ tháng 8 năm 2026. Mức phạt lên tới 35 triệu € hoặc 7% doanh thu toàn cầu cho các vi phạm. Hạ tầng tài liệu kỹ thuật, ghi nhật ký và theo dõi kiểm toán đang trở thành bắt buộc để tiếp cận thị trường EU. Ước tính 18% hệ thống AI doanh nghiệp được phân loại là rủi ro cao và cần đánh giá phù hợp.

Đạo luật AI của EU trở thành quy định AI toàn diện đầu tiên trên thế giới khi việc thực thi bắt đầu vào ngày 2 tháng 8 năm 2025, và các tổ chức nhận ra rằng việc tuân thủ đòi hỏi nhiều hơn là chỉ cập nhật chính sách bảo mật.¹ Các công ty phục vụ thị trường Châu Âu hiện phải đối mặt với các yêu cầu hạ tầng bao gồm tài liệu kỹ thuật, ghi nhật ký tự động, theo dõi nguồn gốc dữ liệu và đường dẫn kiểm toán mà các hệ thống AI hiện tại của họ không thể đáp ứng. Hạn chót tháng 8 năm 2026 cho việc tuân thủ hệ thống AI rủi ro cao đang đến gần trong khi hầu hết các tổ chức thiếu kiến trúc kỹ thuật để chứng minh sự phù hợp. Xây dựng hạ tầng AI tuân thủ đòi hỏi phải hiểu cả các yêu cầu quy định lẫn các hệ thống kỹ thuật cần thiết để đáp ứng chúng.

Khung quy định mà các tổ chức phải tuân thủ

Đạo luật AI của EU thiết lập hệ thống phân loại dựa trên rủi ro để xác định các nghĩa vụ tuân thủ. Các hoạt động bị cấm—bao gồm chấm điểm xã hội, nhận dạng sinh trắc học thời gian thực ở nơi công cộng và nhận dạng cảm xúc tại nơi làm việc—trở nên bất hợp pháp từ ngày 2 tháng 2 năm 2025.² Các nghĩa vụ đối với mô hình AI đa năng (GPAI) có hiệu lực từ ngày 2 tháng 8 năm 2025. Các yêu cầu đối với hệ thống AI rủi ro cao áp dụng từ ngày 2 tháng 8 năm 2026, với việc thực thi đầy đủ trên tất cả các danh mục rủi ro vào tháng 8 năm 2027.

Các hoạt động AI bị cấm phải đối mặt với việc thực thi ngay lập tức với mức phạt lên tới 35 triệu € hoặc 7% doanh thu hàng năm toàn cầu—tùy theo mức nào cao hơn.³ Các tổ chức phải kiểm toán các triển khai AI hiện có để xác định bất kỳ hệ thống nào thao túng hành vi con người, khai thác các lỗ hổng hoặc cho phép giám sát sinh trắc học thời gian thực bị cấm theo Đạo luật.

Các mô hình AI đa năng (những mô hình được huấn luyện sử dụng hơn 10²³ FLOPS có khả năng tạo văn bản, hình ảnh hoặc video) phải duy trì tài liệu kỹ thuật, công bố tóm tắt dữ liệu huấn luyện và tuân thủ luật bản quyền EU.⁴ Các mô hình vượt quá 10²⁵ FLOPS phải đối mặt với các yêu cầu rủi ro hệ thống bổ sung bao gồm đánh giá mô hình, báo cáo sự cố và các biện pháp an ninh mạng.

Hệ thống AI rủi ro cao bao gồm AI được sử dụng như các thành phần an toàn trong các sản phẩm được quản lý, cộng với các hệ thống được triển khai trong các lĩnh vực nhạy cảm bao gồm cơ sở hạ tầng quan trọng, việc làm, giáo dục, thực thi pháp luật và kiểm soát biên giới.⁵ Các hệ thống này yêu cầu quy trình quản lý rủi ro, khung quản trị dữ liệu, tài liệu kỹ thuật, khả năng lưu trữ hồ sơ, cơ chế giám sát của con người và đánh giá phù hợp của bên thứ ba.

Ủy ban Châu Âu ước tính 5-15% ứng dụng AI sẽ đủ điều kiện là rủi ro cao, nhưng nghiên cứu từ appliedAI phân tích 106 hệ thống AI doanh nghiệp cho thấy 18% rõ ràng là rủi ro cao, 42% rủi ro thấp và 40% cần phân loại theo từng trường hợp.⁶ Các tổ chức không thể cho rằng hệ thống của họ thoát khỏi các nghĩa vụ rủi ro cao mà không có đánh giá chính thức.

Tuân thủ GPAI trở thành bắt buộc vào tháng 8 năm 2025

Các nhà cung cấp mô hình AI đa năng đã đối mặt với hạn chót ràng buộc đầu tiên vào ngày 2 tháng 8 năm 2025, với hạ tầng thực thi hiện đang hoạt động. Văn phòng AI—cơ quan EU giám sát việc tuân thủ GPAI—đã bắt đầu yêu cầu tài liệu từ các nhà cung cấp mô hình và có thể đưa ra mức phạt bắt đầu từ tháng 8 năm 2026.⁷

Yêu cầu tài liệu kỹ thuật bắt buộc các nhà cung cấp GPAI duy trì hồ sơ chi tiết về kiến trúc mô hình, phương pháp huấn luyện, tài nguyên tính toán được sử dụng và kết quả đánh giá.⁸ Tài liệu phải chứng minh rằng các mô hình hoạt động như dự định và xác định các rủi ro có thể dự đoán được. Tiêu chuẩn tài liệu áp dụng cho tất cả các mô hình GPAI bất kể nhà cung cấp có phân loại chúng là mã nguồn mở hay không.

Nghĩa vụ minh bạch dữ liệu huấn luyện yêu cầu công bố "bản tóm tắt đủ chi tiết" về nội dung được sử dụng để huấn luyện.⁹ Yêu cầu này nhằm cho phép chủ sở hữu bản quyền xác định liệu tác phẩm của họ có được sử dụng mà không được phép hay không. Các nhà cung cấp phải triển khai các cơ chế để chủ sở hữu bản quyền thực hiện quyền từ chối khi áp dụng.

Tuân thủ bản quyền yêu cầu các nhà cung cấp tôn trọng luật bản quyền EU, bao gồm các ngoại lệ khai thác văn bản và dữ liệu. Các tổ chức thu thập nội dung có bản quyền để huấn luyện mà không được ủy quyền phù hợp phải đối mặt với trách nhiệm pháp lý theo cả Đạo luật AI và các khung bản quyền hiện hành.

Các mô hình rủi ro hệ thống (vượt quá 10²⁵ FLOPS) phải đối mặt với các nghĩa vụ bổ sung bao gồm kiểm tra đối kháng, đánh giá và giảm thiểu rủi ro, theo dõi và báo cáo sự cố, và bảo vệ an ninh mạng đầy đủ.¹⁰ Các nhà cung cấp phải thông báo cho Ủy ban trong vòng hai tuần khi đạt hoặc dự kiến đạt ngưỡng tính toán.

Bộ quy tắc thực hành GPAI được công bố tháng 7 năm 2025 cung cấp lộ trình tuân thủ tự nguyện. Việc tuân thủ "tăng sự tin tưởng từ Ủy ban" trong khi không tuân thủ kích hoạt "số lượng yêu cầu thông tin và yêu cầu truy cập lớn hơn."¹¹ Bộ quy tắc bao gồm các lĩnh vực minh bạch, bản quyền và an toàn/bảo mật. Các bên ký kết được hưởng lợi từ việc được coi là tuân thủ; các bên không ký kết phải độc lập chứng minh sự phù hợp thông qua tài liệu chi tiết hoặc phân tích khoảng cách.

Yêu cầu hạ tầng tài liệu kỹ thuật

Điều 11 của Đạo luật AI bắt buộc các hệ thống AI rủi ro cao phải duy trì tài liệu kỹ thuật được soạn thảo trước khi đưa ra thị trường và được cập nhật liên tục.¹² Tài liệu phải chứng minh sự tuân thủ quy định "một cách rõ ràng và toàn diện" cho các cơ quan quốc gia và các tổ chức được thông báo tiến hành đánh giá.

Các yếu tố tài liệu bắt buộc bao gồm:

• Mô tả chung về hệ thống AI bao gồm mục đích sử dụng và nhận dạng nhà cung cấp
• Mô tả chi tiết các yếu tố hệ thống và quy trình phát triển
• Thông tin về cơ chế giám sát, vận hành và kiểm soát
• Mô tả sự phù hợp của các chỉ số hiệu suất
• Tài liệu hệ thống quản lý rủi ro toàn diện
• Các thay đổi vòng đời liên quan và lịch sử sửa đổi
• Các tiêu chuẩn kỹ thuật được áp dụng trong quá trình phát triển
• Tuyên bố phù hợp EU
• Hệ thống đánh giá hiệu suất sau khi đưa ra thị trường

Các doanh nghiệp vừa và nhỏ và startup có thể cung cấp tài liệu đơn giản hóa, mặc dù các yêu cầu giảm bớt vẫn vượt quá những gì hầu hết các tổ chức hiện đang duy trì.¹³ Thách thức thực tế liên quan đến việc tạo và duy trì tài liệu này liên tục khi các hệ thống phát triển—không phải tạo các tài liệu tĩnh nhanh chóng trở nên lỗi thời.

Ý nghĩa về hạ tầng yêu cầu các hệ thống tự động nắm bắt các sản phẩm phát triển, theo dõi phiên bản mô hình, ghi lại cấu hình huấn luyện và bảo quản kết quả đánh giá. Các quy trình tài liệu thủ công không thể mở rộng để giám sát tuân thủ liên tục mà Đạo luật yêu cầu. Các tổ chức cần các nền tảng MLOps với tính năng tạo tài liệu tích hợp, hệ thống kiểm soát phiên bản bảo quản lý do quyết định và tích hợp giữa môi trường phát triển và hồ sơ tuân thủ.

Các nền tảng ML hiện đại như MLflow, Weights & Biases và Neptune.ai cung cấp các giải pháp một phần cho theo dõi thử nghiệm và quản lý phiên bản mô hình. Tuy nhiên, hầu hết các nền tảng thiếu các tính năng được thiết kế đặc biệt cho tài liệu quy định—tạo các hồ sơ có cấu trúc mà các cơ quan chức năng yêu cầu thay vì nhật ký thử nghiệm tập trung vào nhà phát triển. Các công cụ tuân thủ chuyên dụng đang xuất hiện để thu hẹp khoảng cách này.

Hạ tầng ghi nhật ký và đường dẫn kiểm toán

Điều 12 bắt buộc các hệ thống AI rủi ro cao "về mặt kỹ thuật cho phép ghi lại tự động các sự kiện (nhật ký) trong suốt vòng đời của hệ thống."¹⁴ Khả năng ghi nhật ký phải cho phép truy xuất nguồn gốc phù hợp với mục đích sử dụng của hệ thống—ngôn ngữ mơ hồ mà việc thực thi sẽ làm rõ theo thời gian.

Yêu cầu nội dung nhật ký bao gồm:

• Siêu dữ liệu nhật ký: Nhận dạng hệ thống, dấu thời gian, tài liệu thời gian lưu giữ (yêu cầu tối thiểu 6 tháng)
• Chi tiết hoạt động: Định danh người dùng và khách hàng được ẩn danh, tham số yêu cầu, ngữ cảnh gọi
• Chi tiết mô hình: Thông tin kỹ thuật về mô hình AI được sử dụng, chỉ số hiệu suất, điểm số tầm quan trọng của đặc trưng
• Chi tiết quyết định: Hồ sơ đầu ra, mức độ tin cậy, hành động giám sát của con người, tài liệu ghi đè¹⁵

Thách thức hạ tầng tăng lên ở quy mô sản xuất. Các hệ thống AI tạo ra khối lượng nhật ký khổng lồ đòi hỏi các giải pháp nén và lưu trữ hiệu quả. Nhật ký phải chứa siêu dữ liệu cụ thể đáp ứng các yêu cầu tuân thủ đồng thời vẫn có thể truy vấn để xác minh. Thời gian lưu giữ kéo dài nhiều năm cho các hệ thống có vòng đời hoạt động dài.¹⁶

Hạ tầng ghi nhật ký ứng dụng truyền thống không đủ. Các công cụ tổng hợp nhật ký tiêu chuẩn như Elasticsearch, Splunk hoặc Datadog nắm bắt dữ liệu đo từ xa hoạt động nhưng thiếu các trường có cấu trúc đặc thù AI mà Đạo luật yêu cầu. Các tổ chức cần ghi nhật ký AI chuyên dụng nắm bắt đầu vào, đầu ra mô hình, các yếu tố quyết định và hành động giám sát của con người ở các định dạng phù hợp cho kiểm toán quy định.

Yêu cầu truy xuất nguồn gốc dữ liệu đòi hỏi lịch sử rõ ràng, có thể kiểm toán cho thấy dữ liệu có nguồn gốc từ đâu, được chuyển đổi như thế nào, những hệ thống nào đã xử lý nó và dữ liệu nào đã huấn luyện, kiểm tra và vận hành các mô hình cụ thể.¹⁷ Đối với việc tuân thủ Đạo luật AI của EU, truy xuất nguồn gốc dữ liệu cung cấp bằng chứng kỹ thuật rằng dữ liệu huấn luyện đáp ứng các yêu cầu về chất lượng, tính liên quan và tính đại diện. Nếu không có hạ tầng truy xuất nguồn gốc, việc chứng minh tuân thủ quản trị dữ liệu trở nên gần như không thể.

Triển khai ghi nhật ký tuân thủ đòi hỏi các thay đổi kiến trúc mà hầu hết các tổ chức chưa lên kế hoạch. Các hệ thống phải nắm bắt các yêu cầu và phản hồi suy luận mà không ảnh hưởng đến độ trễ. Dữ liệu nhạy cảm phải được ẩn danh trong khi vẫn bảo tồn khả năng kiểm toán. Hệ thống lưu trữ phải duy trì khả năng truy cập trong nhiều năm đồng thời quản lý chi phí. Khả năng tìm kiếm phải cho phép kiểm toán viên xác minh các quyết định cụ thể mà không cần quét toàn bộ lịch sử nhật ký.

Yêu cầu hạ tầng giám sát của con người

Đạo luật AI đưa "con người trong vòng lặp" làm nguyên tắc cốt lõi cho các hệ thống rủi ro cao. Điều 14 yêu cầu các cơ chế giám sát của con người cho phép các cá nhân hiểu khả năng của hệ thống, diễn giải chính xác đầu ra, quyết định khi nào ghi đè hoặc bỏ qua đầu ra, và can thiệp hoặc dừng hoạt động của hệ thống khi cần thiết.¹⁸

Triển khai kỹ thuật yêu cầu các giao diện trình bày các quyết định AI với đủ ngữ cảnh cho phán đoán của con người. Người dùng phải hiểu không chỉ hệ thống quyết định gì mà còn tại sao, mức độ tin cậy áp dụng là gì và những yếu tố nào ảnh hưởng đến đầu ra. Các hệ thống hộp đen tạo ra các quyết định không thể giải thích không thể đáp ứng các yêu cầu giám sát bất kể độ chính xác.

Hạ tầng khả năng giải thích trở nên bắt buộc cho các ứng dụng rủi ro cao. Các tổ chức triển khai mô hình trong các bối cảnh việc làm, tín dụng, chăm sóc sức khỏe hoặc thực thi pháp luật cần đầu ra có thể diễn giải mà con người có thể xem xét một cách có ý nghĩa. Các giá trị SHAP, trực quan hóa attention, giải thích phản thực hoặc các kỹ thuật tương tự phải tích hợp với giao diện người dùng thay vì chỉ là công cụ dành cho nhà phát triển.

Khả năng ghi đè và can thiệp yêu cầu người vận hành con người có thể dừng các hệ thống AI, sửa chữa quyết định và ghi lại lý do can thiệp. Các hệ thống phải ghi nhật ký các hành động giám sát của con người như một phần của đường dẫn kiểm toán. Các tổ chức không thể chỉ đơn giản thêm "nút ghi đè" mà không nắm bắt lý do và kết quả của các quyết định ghi đè.

Yêu cầu năng lực mở rộng ra ngoài các hệ thống kỹ thuật. Các tổ chức phải đảm bảo rằng những người thực hiện giám sát có đủ hiểu biết về AI để thực hiện vai trò của họ một cách hiệu quả.¹⁹ Các nghĩa vụ hiểu biết về AI có hiệu lực từ tháng 2 năm 2025, yêu cầu các nhà cung cấp và triển khai đảm bảo nhân viên có đủ hiểu biết về các hệ thống AI mà họ vận hành.

Yêu cầu hệ thống quản lý rủi ro

Các hệ thống AI rủi ro cao yêu cầu tài liệu

[Nội dung bị cắt ngắn để dịch]