Những thách thức trong quản trị trí tuệ nhân tạo theo Đạo luật Trí tuệ Nhân tạo 2026 của EU

Khi các điều khoản thực thi của Đạo luật AI của EU bắt đầu có hiệu lực vào tháng 8 năm 2025 — với các nghĩa vụ tuân thủ đầy đủ kéo dài đến năm 2026 — một vấn đề mới và nan giải đang nổi lên đối với các nhà lãnh đạo công nghệ trên khắp châu Âu và hơn thế nữa. Các hệ thống AI tác nhân, tự động thực hiện các nhiệm vụ nhiều bước trong môi trường doanh nghiệp, đang bộc lộ những lỗ hổng quản trị sâu sắc mà các khuôn khổ tuân thủ hiện có chưa bao giờ được thiết kế để xử lý.

Mức độ rủi ro là vô cùng lớn. Các tổ chức triển khai các trợ lý ảo này có thể phải đối mặt với mức phạt lên tới 35 triệu euro hoặc 7% doanh thu toàn cầu hàng năm đối với những vi phạm nghiêm trọng nhất. Và thực tế khó chịu là hiện nay nhiều doanh nghiệp không có cách nào đáng tin cậy để giải thích những gì các trợ lý AI của họ đang làm, chứ chưa nói đến việc chứng minh những hành động đó là hợp pháp.

Nguyên nhân nào dẫn đến cuộc khủng hoảng quản trị?

Không giống như các mô hình AI truyền thống chỉ phản hồi một yêu cầu và tạo ra một kết quả duy nhất, các hệ thống AI dựa trên tác nhân hoạt động với mức độ độc lập cao, điều này làm thay đổi căn bản cách tính toán rủi ro. Các tác nhân này có thể di chuyển dữ liệu giữa các nền tảng, khởi tạo giao dịch, giao tiếp với các API bên ngoài và kết nối các chuỗi quyết định — thường với sự giám sát tối thiểu của con người ở mỗi bước.

Chính sự tự chủ đó là điều làm nên giá trị của chúng. Các công ty như Salesforce, Microsoft và Google đều đã đầu tư mạnh vào kiến trúc tác nhân trong mười tám tháng qua. Nền tảng Agentforce của Salesforce, các tác nhân Copilot của Microsoft và các tác nhân Vertex AI của Google đều hứa hẹn sẽ tự động hóa các quy trình kinh doanh phức tạp mà trước đây cần sự can thiệp của con người ở mọi bước.

Nhưng đây là thách thức về quản trị: khi một hệ thống tự động đưa ra một quyết định quan trọng — chẳng hạn như từ chối yêu cầu bảo hiểm, phân loại dữ liệu y tế của bệnh nhân hoặc đánh dấu một nhân viên để xem xét hiệu suất — tổ chức triển khai hệ thống đó cần có một nhật ký kiểm toán đầy đủ. Ai đã cho phép phạm vi hành động của hệ thống? Dữ liệu nào đã cung cấp thông tin cho quyết định đó? Có sự giám sát của con người một cách có ý nghĩa hay không? Theo các yêu cầu của Đạo luật Trí tuệ Nhân tạo của EU đối với các hệ thống rủi ro cao, những câu hỏi này không phải là tùy chọn. Chúng là những yêu cầu bắt buộc theo luật.

Vì sao Đạo luật Trí tuệ Nhân tạo của EU khiến vấn đề này trở nên cấp bách.

Đạo luật AI của EU phân loại các ứng dụng AI thành các cấp độ rủi ro, và các nghĩa vụ nghiêm ngặt nhất áp dụng cho các trường hợp sử dụng rủi ro cao — bao gồm các quyết định tuyển dụng, chấm điểm tín dụng, thực thi pháp luật, quản lý di cư và cơ sở hạ tầng trọng yếu. Để hiểu sâu hơn về các danh mục này, hãy xem tổng quan của chúng tôi về 5 kiến trúc điện toán AI mà mọi kỹ sư cần biết trong năm 2025 .

Đây là những điều mà các tổ chức triển khai hệ thống tác nhân trong các lĩnh vực này phải chứng minh:

• Khả năng truy vết: Ghi nhật ký đầy đủ các hành động, đầu vào và đầu ra của tác nhân trong suốt vòng đời hoạt động của nó.
• Giám sát của con người: Các cơ chế cho phép những người có đủ năng lực can thiệp, ghi đè hoặc tắt hệ thống bất cứ lúc nào.
• Quản lý rủi ro: Đánh giá liên tục về cách hành vi tự chủ của tác nhân có thể dẫn đến những hậu quả có hại hoặc phân biệt đối xử.
• Tính minh bạch: Tài liệu rõ ràng giúp các cơ quan quản lý và các cá nhân bị ảnh hưởng hiểu được cách thức đưa ra quyết định.

Vấn đề là nhiều hệ thống trí tuệ nhân tạo dựa trên tác nhân (agent-AI) làm mờ ranh giới trách nhiệm. Khi một tác nhân điều phối các hành động trên nhiều hệ thống — lấy dữ liệu từ một cơ sở dữ liệu, chạy suy luận thông qua một mô hình khác và đẩy kết quả vào một ứng dụng thứ ba — chuỗi quyết định trở nên khó hiểu. Ngay cả các kỹ sư xây dựng hệ thống cũng có thể gặp khó khăn trong việc tái tạo lại logic chính xác đằng sau một kết quả cụ thể.

Khoảng cách trách nhiệm mà các nhà lãnh đạo cần thu hẹp

Các nhà lãnh đạo doanh nghiệp phải chịu trách nhiệm cuối cùng đối với các hệ thống mà họ triển khai, bất kể các hệ thống đó trở nên tự chủ đến mức nào. Đây là nguyên tắc được Đạo luật AI của EU nhấn mạnh một cách rõ ràng. Những người triển khai các hệ thống AI có rủi ro cao — chứ không chỉ các nhà phát triển — đều phải tuân thủ các quy định nghiêm ngặt.

Tuy nhiên, một cuộc khảo sát của McKinsey vào đầu năm 2025 cho thấy rằng trong khi 72% các tổ chức đã áp dụng một số hình thức AI vào hoạt động của mình, thì chưa đến một nửa đã triển khai các cấu trúc quản trị chính thức cho các ứng dụng đó. Đối với các hệ thống tác nhân (agent-systems) nói riêng, khoảng cách này có thể còn lớn hơn, vì nhiều doanh nghiệp vẫn đang trong giai đoạn thử nghiệm và coi quản trị là một vấn đề cần giải quyết sau này.

Cách tiếp cận đó đang nhanh chóng trở nên không khả thi. Các nhà phân tích ngành cảnh báo rằng các tổ chức cần phải xử lý việc quản trị tác nhân AI với cùng sự nghiêm ngặt như đối với kiểm soát tài chính hoặc bảo vệ dữ liệu theo GDPR. Nếu bạn không thể kiểm toán, bạn không thể bảo vệ nó — và các cơ quan quản lý cuối cùng sẽ đến hỏi.

Các chuyên gia đang nói gì?

Một số nhân vật nổi bật trong lĩnh vực chính sách AI đã chỉ ra rằng các hệ thống tác nhân là một điểm mù trong quy định. Các nhà nghiên cứu tại Viện Ada Lovelace lập luận rằng các khuôn khổ quản trị AI hiện có giả định một mối quan hệ tương đối tĩnh giữa đầu vào và đầu ra — một giả định sẽ không còn đúng khi các tác nhân kết nối nhiều quyết định tự chủ với nhau theo thời gian.

Trong khi đó, Gartner dự đoán vào cuối năm 2024 rằng đến năm 2028, ít nhất 15% các quyết định kinh doanh hàng ngày sẽ được đưa ra một cách tự động bởi các tác nhân AI — tăng từ mức gần như bằng không vào năm 2023. Xu hướng này cho thấy vấn đề quản trị sẽ chỉ càng trở nên trầm trọng hơn khi việc triển khai được mở rộng.

Đối với các nhà lãnh đạo CNTT, thông điệp rất rõ ràng: chờ đợi hướng dẫn pháp lý trở nên cụ thể trước khi hành động là một chiến lược thất bại. Đạo luật AI của EU đặt ra các nghĩa vụ rộng lớn, và các tổ chức sẽ phải chứng minh rằng họ đã đáp ứng các nghĩa vụ đó thông qua các thực tiễn quản trị được ghi chép và có thể bảo vệ được. Những người quan tâm đến việc xây dựng các chương trình giám sát AI mạnh mẽ nên tham khảo hướng dẫn của chúng tôi về Bộ công cụ mã nguồn mở của Microsoft bảo mật các tác nhân AI trong thời gian thực .

Điều gì sẽ xảy ra tiếp theo?

Một số diễn biến đáng chú ý cần được theo dõi sát sao trong thời gian còn lại của năm 2025 và sang năm 2026:

1. Các tài liệu hướng dẫn về quy định: Văn phòng Trí tuệ Nhân tạo Châu Âu dự kiến sẽ ban hành hướng dẫn chi tiết về việc tuân thủ các quy định đối với các hệ thống có rủi ro cao, trong đó có thể đề cập cụ thể đến các hệ thống đa tác nhân và hệ thống tác nhân.
2. Các tính năng tăng cường trách nhiệm giải trình của nhà cung cấp: Các nhà cung cấp dịch vụ đám mây lớn có thể sẽ tích hợp thêm các tính năng ghi nhật ký, giải thích và kiểm soát nâng cao cho nền tảng đại lý của họ khi áp lực tuân thủ ngày càng gia tăng.
3. Những thay đổi về bảo hiểm và trách nhiệm pháp lý: Dự kiến sẽ xuất hiện các sản phẩm bảo hiểm trách nhiệm pháp lý chuyên biệt cho AI, khi các doanh nghiệp tìm cách chuyển giao một phần rủi ro pháp lý liên quan đến các hệ thống tự động.
4. Căng thẳng thực thi xuyên biên giới: Các công ty có trụ sở chính bên ngoài EU nhưng phục vụ khách hàng châu Âu sẽ phải đối mặt với những câu hỏi phức tạp về thẩm quyền pháp lý liên quan đến việc quản trị đại lý được áp dụng như thế nào đối với hoạt động của họ.

Tóm lại

Trí tuệ nhân tạo tác nhân (Agentic AI) đại diện cho một trong những sự thay đổi quan trọng nhất trong công nghệ doanh nghiệp kể từ khi điện toán đám mây ra đời. Nhưng chính sự tự chủ đó, thứ làm cho các hệ thống này trở nên mạnh mẽ, cũng khiến chúng khó quản lý — và thời hạn thực thi Đạo luật AI của EU không cho phép sự chủ quan.

Những nhà lãnh đạo coi quản trị là vấn đề thứ yếu không chỉ đối mặt với các hình phạt từ cơ quan quản lý, mà còn cả sự xói mòn lòng tin từ khách hàng, nhân viên và đối tác. Các tổ chức phát triển mạnh dưới những quy định mới này sẽ là những tổ chức xây dựng trách nhiệm giải trình vào hệ thống quản trị của mình ngay từ đầu, thay vì chỉ điều chỉnh lại sau khi khủng hoảng tuân thủ buộc họ phải làm vậy.