Luật Trí tuệ nhân tạo: Cấm lạm dụng AI để giả mạo, thao túng, trục lợi

Phù hợp hệ sinh thái AI xuyên biên giới

Trước tiên, đáng chú ý nhất của Luật Trí tuệ nhân tạo đó là phạm vi áp dụng của luật được thiết kế theo hướng bao quát và có hiệu lực thực tiễn cao. Theo Điều 2, Luật áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam và cả tổ chức, cá nhân nước ngoài khi tham gia vào hoạt động trí tuệ nhân tạo tại Việt Nam.

Quy định này thể hiện cách tiếp cận “theo lãnh thổ hoạt động”: bất kỳ chủ thể nào cung cấp, triển khai hoặc sử dụng AI tại Việt Nam đều phải tuân thủ khuôn khổ pháp lý chung. Đây là cơ sở quan trọng để thu hẹp “khoảng trống trách nhiệm”, nhất là trong bối cảnh hệ sinh thái AI mang tính xuyên biên giới, còn hành vi lạm dụng AI để lừa đảo, phát tán nội dung giả mạo, chiếm đoạt tài sản lại diễn ra trực tiếp với người dùng trong nước.

Trong thực tiễn đấu tranh phòng, chống tội phạm sử dụng công nghệ cao, các chuyên án gần đây cho thấy xu hướng đáng lo ngại: đối tượng không còn chỉ dựa vào tin nhắn rác, đường link độc hại hay kịch bản giả danh đơn tuyến, mà chuyển sang tấn công có chủ đích, kết hợp công nghệ giả mạo để rút ngắn thời gian nghi ngờ.

Khi AI tham gia, thủ đoạn được “nâng cấp” theo hướng tinh vi và sát thực hơn: giả giọng nói người thân, giả hình ảnh, giả video cuộc gọi, dựng “chứng cứ số” khiến nạn nhân lầm tưởng đang làm việc với người thật, việc thật. Nhiều vụ việc chỉ diễn ra trong vài chục phút, nhưng hậu quả có thể là toàn bộ tiền tích lũy của cả gia đình.

Cụ thể chặt chẽ

Luật Trí tuệ nhân tạo quy định 6 nhóm hành vi bị nghiêm cấm trong hoạt động AI.

Các hành vi bị nghiêm cấm trong lĩnh vực AI từ 01/03/2026

1. Lợi dụng, chiếm đoạt hệ thống trí tuệ nhân tạo để thực hiện hành vi vi phạm pháp luật, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân.

2. Phát triển, cung cấp, triển khai hoặc sử dụng các hệ thống trí tuệ nhân tạo nhằm mục đích sau đây:

- Thực hiện các hành vi bị nghiêm cấm theo quy định của luật;

- Sử dụng yếu tố giả mạo hoặc mô phỏng người, sự kiện thật để lừa dối hoặc thao túng nhận thức, hành vi của con người một cách có chủ đích và có hệ thống, gây tổn hại nghiêm trọng đến quyền, lợi ích hợp pháp của con người;

- Lợi dụng điểm yếu của nhóm người dễ bị tổn thương, bao gồm trẻ em, người cao tuổi, người khuyết tật, người dân tộc thiểu số hoặc người mất năng lực hành vi dân sự, người bị hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để gây tổn hại cho chính họ hoặc người khác;

- Tạo ra hoặc phổ biến nội dung giả mạo có khả năng gây nguy hại nghiêm trọng đến an ninh quốc gia, trật tự, an toàn xã hội.

3. Thu thập, xử lý hoặc sử dụng dữ liệu để phát triển, huấn luyện, kiểm thử hoặc vận hành hệ thống trí tuệ nhân tạo trái với quy định của pháp luật về dữ liệu, bảo vệ dữ liệu cá nhân, sở hữu trí tuệ và an ninh mạng.

4. Cản trở, vô hiệu hóa hoặc làm sai lệch cơ chế giám sát, can thiệp và kiểm soát của con người đối với hệ thống trí tuệ nhân tạo theo quy định của Luật Trí tuệ nhân tạo 2025.

5. Che giấu thông tin bắt buộc phải công khai, minh bạch hoặc giải trình; tẩy xóa, làm sai lệch các thông tin, nhãn, cảnh báo bắt buộc trong hoạt động trí tuệ nhân tạo.

6. Lợi dụng hoạt động nghiên cứu, thử nghiệm, đánh giá hoặc kiểm định hệ thống trí tuệ nhân tạo để thực hiện hành vi trái quy định của luật.

(Trích: Luật Trí tuệ nhân tạo)

Có thể thấy, luật đã “đặt tên” rõ ràng cho các rủi ro nổi lên trong không gian mạng, nhất là hành vi dùng AI để giả mạo và thao túng. Đây là điểm giao trực tiếp với thực tiễn tội phạm công nghệ cao hiện nay: đối tượng không chỉ tạo áp lực bằng “khẩn cấp giả tạo” hay “đe dọa tâm lý”, mà còn sử dụng công nghệ để làm cho sự giả mạo trở nên giống thật, từ đó buộc nạn nhân hành động theo chỉ dẫn như chuyển tiền, cung cấp mã xác thực (OTP), cài đặt ứng dụng hoặc mở quyền truy cập thiết bị.

Nếu nhìn theo logic của điều tra số, hành vi phạm tội thường được hình thành theo “chuỗi”: thu thập dữ liệu - dựng nhân thân - tạo kịch bản - triển khai tiếp cận - chiếm quyền tài khoản hoặc điều khiển hành vi chuyển tiền - che giấu dòng tiền.

Việc luật siết chặt các hành vi ở “thượng nguồn” như dữ liệu, mô hình, cơ chế giám sát và nghĩa vụ minh bạch cho thấy định hướng quản trị rủi ro không dừng ở xử lý hậu quả.

Củng cố nguyên tắc “con người kiểm soát AI”

Luật Trí tuệ nhân tạo mở thêm một “lớp phòng tuyến” cho công tác đấu tranh với tội phạm sử dụng công nghệ cao theo bốn hướng nổi bật.

Thứ nhất, tăng căn cứ pháp lý để xử lý deepfake và hành vi thao túng nhận thức. Trong nhiều vụ lừa đảo, đối tượng sử dụng công nghệ giả giọng, giả hình ảnh để tạo “độ tin cậy” và ép nạn nhân ra quyết định nhanh.

Khi luật quy định rõ việc dùng yếu tố giả mạo hoặc mô phỏng nhằm lừa dối hoặc thao túng có chủ đích, cơ quan chức năng có thêm cơ sở để nhận diện và xem xét bản chất nguy hiểm của hành vi ngay từ giai đoạn tổ chức thực hiện, không chỉ nhìn qua hậu quả chiếm đoạt tài sản.

Điều này đặc biệt quan trọng với các kịch bản giả danh cơ quan chức năng, giả mạo người thân, giả nhân viên ngân hàng hoặc giả đối tác để thúc ép chuyển tiền.

Thứ hai, đặt trọng tâm bảo vệ nhóm yếu thế, củng cố nền tảng nhân văn của chính sách phòng ngừa. Quy định nghiêm cấm lợi dụng điểm yếu của nhóm dễ bị tổn thương khẳng định trách nhiệm bảo hộ của pháp luật đối với người dân trong môi trường số.

Trên thực tế, nhiều thủ đoạn lừa đảo hướng vào người cao tuổi, học sinh - sinh viên, người hạn chế khả năng nhận thức hoặc dễ bị cô lập trong tình huống khẩn cấp. Khi luật xác lập ranh giới cấm rõ ràng, công tác tuyên truyền, giáo dục kỹ năng an toàn số cũng có thêm điểm tựa để “đến đúng người, đúng nguy cơ”.

Thứ ba, mở đường cho truy vết theo chuỗi: từ dữ liệu - mô hình - hệ thống - người vận hành. Luật nghiêm cấm việc thu thập, xử lý, sử dụng dữ liệu trái pháp luật để huấn luyện, kiểm thử, vận hành AI; đồng thời cấm che giấu, làm sai lệch thông tin bắt buộc công khai, minh bạch hoặc giải trình. Đây là nền tảng quan trọng để yêu cầu dấu vết kỹ thuật, nâng trách nhiệm giải trình trong quá trình kiểm tra, thanh tra, điều tra.

Nói cách khác, thay vì chỉ “bắt khúc cuối” là người trực tiếp nhắn tin lừa đảo, việc truy xét có cơ sở tiến sâu hơn vào các mắt xích đứng sau như người vận hành hệ thống, đối tượng phát tán nội dung giả mạo, hay kênh cung cấp công cụ - tất nhiên trên nguyên tắc thượng tôn pháp luật và dựa trên chứng cứ số.

Thứ tư, Luật củng cố nguyên tắc “con người kiểm soát AI” và yêu cầu minh bạch, qua đó tăng năng lực phòng ngừa. Khi cấm hành vi cản trở, vô hiệu hóa cơ chế giám sát, can thiệp của con người, luật khẳng định AI không thể đứng ngoài kiểm soát.

Đây là cơ sở để cơ quan quản lý yêu cầu tổ chức, doanh nghiệp thiết lập cơ chế quản trị rủi ro, cảnh báo, và phương án can thiệp khi hệ thống bị lạm dụng. Trong đấu tranh phòng, chống tội phạm công nghệ cao, yếu tố “kiểm soát” và “minh bạch” có ý nghĩa như một hàng rào kỹ thuật - pháp lý, giúp giảm khoảng trống bị lợi dụng.

Để Luật Trí tuệ nhân tạo đi vào cuộc sống, cần có các hướng dẫn chi tiết và tiêu chuẩn kỹ thuật để nhận diện hành vi giả mạo, mô phỏng, thao túng có chủ đích; quy trình ghi nhận, lưu trữ, bảo toàn chứng cứ số; cơ chế nhãn cảnh báo đối với nội dung do AI tạo ra. Khi chuẩn mực rõ, áp dụng thống nhất, hiệu quả phòng ngừa và xử lý sẽ tăng.

Tiếp đó, cần nâng năng lực giám định số và điều tra chuyên sâu. Cuộc chiến với tội phạm lạm dụng AI là cuộc chiến của dữ liệu, của dấu vết kỹ thuật, của thời gian phản ứng và phối hợp liên ngành. Khi công nghệ giả giọng, giả video và tự động hóa kịch bản phát triển nhanh, năng lực phát hiện và chứng minh dấu vết cũng cần được nâng lên tương xứng.

Đồng thời, hợp tác xuyên biên giới là yêu cầu không thể thiếu. Nhiều đường dây lừa đảo vận hành ngoài lãnh thổ, sử dụng hạ tầng kỹ thuật và tài khoản trung gian. Cách tiếp cận “theo lãnh thổ hoạt động” của Điều 2 tạo cơ sở pháp lý quan trọng, nhưng để xử lý hiệu quả vẫn cần cơ chế phối hợp, chia sẻ thông tin kịp thời giữa các cơ quan và đối tác quốc tế.