An ninh mạng trong kỷ nguyên AI: Thích ứng để bảo vệ niềm tin số

Tác giả thuyết trình các vấn đề an ninh mạng trong kỷ nguyên AI tại BSides Hanoi 2025 – sự kiện bảo mật cộng đồng đạt chuẩn quốc tế đầu tiên tại Việt Nam. (Ảnh: NVCC)

Những dòng lệnh vô hình giờ đây có thể khiến cả hệ thống ngân hàng chao đảo, những video nhân tạo có thể thổi bùng khủng hoảng niềm tin chỉ trong vài giờ, và các mô hình ngôn ngữ tự học có thể thao túng thông tin theo cách mà không quốc gia nào kịp phản ứng. Cuộc cách mạng trí tuệ nhân tạo (AI) đang định hình lại trật tự an ninh mạng toàn cầu, buộc các quốc gia, trong đó có Việt Nam, phải bước vào giai đoạn mới, nơi pháp luật không chỉ bảo vệ người thật, mà còn phải nhận diện được “đối tượng ảo”.

Khi luật pháp phải đuổi kịp tốc độ của dữ liệu

Nếu trước đây, các cuộc tấn công mạng chủ yếu xuất phát từ những nhóm tin tặc có tổ chức, thì nay, ranh giới giữa con người và máy móc đang dần biến mất. Một cuộc tấn công có thể bắt đầu chỉ bằng một dòng lệnh đơn giản, nhưng hậu quả lại là những vụ việc mang tính pháp lý nghiêm trọng: hệ thống bị chiếm quyền điều khiển, dữ liệu cá nhân bị rò rỉ, niềm tin của thị trường sụp đổ.

Trong bối cảnh đó, quản trị AI và an ninh mạng không còn là hai lĩnh vực tách biệt, mà đang hội tụ trong cùng một không gian pháp lý. Mỗi dòng mã lập trình, mỗi mô hình học máy, mỗi thuật toán gợi ý đều có thể kéo theo trách nhiệm pháp lý thực tế.

Trên thế giới, Liên minh châu Âu, Mỹ, Trung Quốc và gần đây là ASEAN đang khẩn trương xây dựng khung pháp lý cho trí tuệ nhân tạo. Việt Nam, với định hướng “bảo đảm chủ quyền quốc gia trên không gian mạng; bảo đảm an ninh mạng, an ninh dữ liệu, an toàn thông tin của tổ chức và cá nhân là yêu cầu xuyên suốt trong quá trình chuyển đổi số”, đã chọn cho mình hướng đi riêng: vừa mở cửa cho đổi mới, vừa siết chặt nền tảng pháp lý.

Luật An ninh mạng 2018, Nghị định 53/2022/NĐ-CP, Luật Bảo vệ dữ liệu cá nhân 2025, Chiến lược quốc gia về phát triển trí tuệ nhân tạo đến năm 2030 và Dự thảo Luật Trí tuệ nhân tạo – tất cả đang hình thành hành lang pháp lý đủ linh hoạt cho sáng tạo, nhưng đủ chặt chẽ để kiểm soát rủi ro. Đây là bước đi thể hiện tầm nhìn dài hạn: không chỉ quản lý công nghệ, mà là định hình cách công nghệ vận hành trong khuôn khổ của pháp luật.

Doanh nghiệp – tuyến đầu của trách nhiệm pháp lý mới

Một cuộc tấn công có thể bắt đầu chỉ bằng một dòng lệnh đơn giản, nhưng hậu quả lại là những vụ việc mang tính pháp lý nghiêm trọng. (Nguồn: Internet)

Trong nền kinh tế số, doanh nghiệp không chỉ là người hưởng lợi từ công nghệ, mà còn là chủ thể phải chịu trách nhiệm đầu tiên khi xảy ra sự cố về dữ liệu hay vi phạm liên quan đến AI.

Những vụ việc gần đây, từ lộ thông tin khách hàng, rò rỉ dữ liệu nội bộ đến việc sử dụng công cụ AI để tạo nội dung sai lệch, đã cảnh báo rõ ràng rằng quản trị công nghệ không thể tách rời pháp lý. Khi AI được ứng dụng trong mọi hoạt động, từ chăm sóc khách hàng, marketing, phân tích thị trường cho đến tuyển dụng, ranh giới giữa sáng tạo và vi phạm trở nên mong manh hơn bao giờ hết.

Vì thế, yêu cầu đặt ra là doanh nghiệp phải có cơ chế quản trị rủi ro AI nội bộ, tương tự như cơ chế kiểm toán tài chính. Thay vì chờ rủi ro xảy ra mới khắc phục, việc kiểm soát cần được thực hiện ngay từ khâu thiết kế. Mỗi công cụ AI trước khi được sử dụng với dữ liệu thật cần được đánh giá và phê duyệt về mức độ tuân thủ pháp lý.

Trong hợp đồng với đối tác hoặc nhà cung cấp dịch vụ, cần bổ sung các điều khoản rõ ràng về việc sử dụng hình ảnh, giọng nói và nội dung do máy tạo ra. Các hoạt động vận hành AI phải được ghi lại đầy đủ, từ yêu cầu đầu vào đến phản hồi đầu ra, nhằm phục vụ việc truy vết khi cần thiết. Quan trọng hơn, mỗi doanh nghiệp cần xây dựng kịch bản ứng phó khi xảy ra sự cố, bao gồm xác minh deepfake, lưu giữ chứng cứ và báo cáo kịp thời cho cơ quan chức năng.

Đây không chỉ là vấn đề kỹ thuật, mà phải được coi là chuẩn mực pháp lý mới. Khi mô hình AI có thể tự học và tạo ra kết quả ngoài dự đoán, việc “kiểm soát” trở thành một quá trình liên tục – phản ánh trách nhiệm của doanh nghiệp trong toàn bộ vòng đời của sản phẩm.

Từ quản trị kỹ thuật đến quản trị thể chế

Lễ mở ký Công ước Hà Nội có sự tham dự của Tổng thư ký Liên hợp quốc Antonio Guterres và lãnh đạo, đại diện cấp cao hơn 110 nước và nhiều tổ chức quốc tế. (Ảnh: Thành Long)

Thách thức lớn nhất của Việt Nam không nằm ở việc thiếu công nghệ, mà ở chỗ làm sao để chuyển hóa các nguyên tắc kỹ thuật thành quy tắc thể chế. Câu hỏi “AI có thể làm gì?” cần được thay bằng “AI được phép làm gì và ai chịu trách nhiệm khi vượt ranh giới đó?”.

Muốn vậy, khung quản trị cần được thiết kế theo hướng tích hợp: dữ liệu, trí tuệ nhân tạo và an ninh mạng phải được quản lý thống nhất. Doanh nghiệp phải có nghĩa vụ pháp lý rõ ràng trong việc thu thập, xử lý và sử dụng dữ liệu cho huấn luyện AI. Các cơ quan nhà nước cũng cần được trang bị năng lực “thanh tra công nghệ” – tức có thể đọc hiểu thuật toán, đánh giá hệ thống chứ không chỉ xem xét hồ sơ hành chính.

Một dấu mốc quan trọng trong nỗ lực này là Lễ mở ký và Hội nghị cấp cao Công ước Liên hợp quốc về chống tội phạm mạng (Công ước Hà Nội), dự kiến diễn ra tại Hà Nội ngày 25–26/10/2025.

Lần đầu tiên, tên thủ đô Hà Nội được gắn với một điều ước đa phương toàn cầu về an ninh mạng – một sự kiện mang ý nghĩa lịch sử, thể hiện quyết tâm của cộng đồng quốc tế trong việc chung tay kiến tạo khung pháp lý bảo vệ không gian số an toàn.

Không chỉ mang giá trị pháp lý, Công ước Hà Nội còn là biểu tượng chính trị của lòng tin số, khẳng định vai trò của Việt Nam như một “trung tâm kết nối niềm tin” trong chuỗi giá trị công nghệ toàn cầu.

Khi niềm tin trở thành tài sản trong nền kinh tế số

Ngân hàng Thế giới từng nhấn mạnh rằng trong kỷ nguyên trí tuệ nhân tạo, điều kiện tiên quyết để một quốc gia “nhảy vọt” không nằm ở công nghệ, mà ở năng lực quản trị dữ liệu. Dữ liệu chỉ thực sự có giá trị khi được chuẩn hóa, minh bạch và quản lý có trách nhiệm – khi quốc gia chuyển từ “dữ liệu mở” sang “dữ liệu sẵn sàng cho AI”.

Một hệ thống dữ liệu được quản trị tốt giúp chính phủ hoạch định chính sách dựa trên bằng chứng, đồng thời tạo dựng niềm tin cho doanh nghiệp và nhà đầu tư. Nói cách khác, AI chỉ thông minh khi dữ liệu đủ sạch và đủ tin cậy.

Bộ trưởng Bộ Công an Lương Tam Quang ký Công ước Hà Nội. (Ảnh: Thành Long)

Với Việt Nam, điều đó đồng nghĩa rằng một hệ thống pháp luật mạnh về an ninh mạng và trí tuệ nhân tạo không chỉ giúp bảo vệ, mà còn tạo ra động lực tăng trưởng mới. Các tập đoàn quốc tế đánh giá cao Việt Nam không chỉ bởi chi phí nhân công hay quy mô thị trường, mà còn bởi sự rõ ràng trong định hướng quản trị công nghệ và dữ liệu.

Từ quy định về bảo vệ dữ liệu cá nhân, chính sách nội địa hóa dữ liệu, đến yêu cầu đánh giá tác động an ninh mạng trước khi vận hành hệ thống thông tin quan trọng – tất cả đang góp phần hình thành “vùng an toàn đầu tư số” cho Việt Nam.

Song để tận dụng lợi thế này, cần chuyển từ tư duy “quản lý rủi ro” sang “quản trị giá trị”. Nghĩa là không chỉ kiểm soát để tránh vi phạm, mà còn biến tuân thủ thành lợi thế cạnh tranh. Khi doanh nghiệp thực hiện tốt các quy định về dữ liệu và bảo mật, họ có thể được ưu tiên trong đấu thầu, hợp tác quốc tế hoặc tiếp cận các chương trình hỗ trợ chính sách.

Cơ quan quản lý có thể công khai chỉ số “an toàn dữ liệu” như một tiêu chí tín nhiệm. Các startup hoặc trung tâm nghiên cứu AI đạt chuẩn kiểm toán thuật toán có thể được cấp chứng nhận “AI có trách nhiệm”. Đây chính là hướng đi giúp Việt Nam khẳng định vị thế bằng niềm tin số, thay vì chỉ bằng quy mô hay tốc độ phát triển.

Vai trò của Nhà nước: Từ quản lý sang kiến tạo

Pháp luật luôn đi sau công nghệ, nhưng nếu đi sau quá xa, luật pháp sẽ đánh mất vai trò định hướng. Việt Nam đang đứng trước cơ hội hiếm có: tự viết nên quy tắc cuộc chơi thay vì sao chép khuôn mẫu từ các cường quốc công nghệ.

Điều đó đòi hỏi Nhà nước phải thay đổi cách tiếp cận: từ quản lý sang kiến tạo, xây dựng khung chính sách linh hoạt cho đổi mới sáng tạo có kiểm soát. Từ kiểm tra sang hỗ trợ, giúp doanh nghiệp vừa tuân thủ, vừa phát triển bền vững. Và từ vận hành riêng lẻ sang hợp tác liên ngành – khi trí tuệ nhân tạo và an ninh mạng chạm đến pháp luật, quốc phòng, khoa học, giáo dục và cả ngoại giao.

Việc chủ trì Lễ ký và thực thi Công ước Hà Nội là minh chứng rõ nét: Việt Nam không chỉ ứng phó với rủi ro, mà đang chủ động định hình chuẩn mực pháp lý mới, đưa yếu tố đạo đức, an ninh và kinh tế vào cùng một trục chính sách.

Hướng tới nền kinh tế của niềm tin

Từ góc nhìn pháp lý, an ninh mạng và quản trị AI không đơn thuần là lĩnh vực kỹ thuật, mà là nền tảng cho năng lực cạnh tranh quốc gia. Một quốc gia chỉ thực sự mạnh trong kỷ nguyên số khi có thể bảo vệ được dữ liệu, đảm bảo tính minh bạch của thuật toán và giữ vững niềm tin của người dân vào thông tin trực tuyến.

Đại diện các nước ký Công ước Hà Nội. (Ảnh: Thành Long)

Nếu thế kỷ XX là cuộc đua về công nghiệp, thì thế kỷ XXI là cuộc đua về niềm tin. Những điều chỉnh mạnh mẽ trong khung pháp lý Việt Nam giai đoạn 2025–2030 đang chứng minh rằng phát triển kinh tế số không thể tách rời việc xây dựng trật tự pháp lý số. Việt Nam đang phản ứng bằng chính sách, bằng luật pháp và bằng sự chủ động dẫn dắt khu vực.

Công nghệ luôn đi trước, nhưng pháp luật có thể song hành nếu được xây dựng từ tầm nhìn chiến lược. Từ khung pháp lý quốc gia đến Công ước Hà Nội, Việt Nam đang gửi đi một thông điệp rõ ràng: an ninh mạng và quản trị AI không phải là rào cản của đổi mới, mà là điều kiện tiên quyết cho phát triển bền vững.

Trong kỷ nguyên dữ liệu, niềm tin chính là hạ tầng mới của kinh tế, và pháp luật khi biết nhận diện “kẻ tấn công ảo” sẽ trở thành lá chắn cho mọi giá trị thật.

Luật sư Phạm Quỳnh Nhi