1. Căn cứ pháp lý điều chỉnh trách nhiệm khi A.I gây thiệt hại

Hiện Việt Nam chưa có luật riêng về A.I, nhưng trách nhiệm pháp lý được xác định dựa trên các đạo luật sau:

• Bộ luật Dân sự 2015
  • Điều 584 – 592: Trách nhiệm bồi thường thiệt hại ngoài hợp đồng
  • Điều 600: Trách nhiệm do “nguồn nguy hiểm cao độ”
  • Điều 601: Trách nhiệm của chủ sở hữu đối với tài sản gây thiệt hại
• Luật An toàn thông tin mạng 2015
  • Trách nhiệm bảo đảm an toàn dữ liệu, kiểm soát rủi ro hệ thống.
• Luật Giao dịch điện tử 2023 (có hiệu lực 2024)
  • Quy định nghĩa vụ đối với hệ thống tự động, hệ thống xử lý thông tin.
• Luật Bảo vệ quyền lợi người tiêu dùng 2023
  • Điều 21, 38: Trách nhiệm khi cung cấp công nghệ gây thiệt hại cho người tiêu dùng.
• Bộ luật Hình sự 2015 (sửa đổi 2017) áp dụng khi A.I bị dùng làm công cụ phạm tội.
  • Điều 288: Đưa trái phép dữ liệu cá nhân
  • Điều 289 – 290: Xâm nhập, chiếm đoạt tài sản bằng công nghệ

Như vậy, có thể thấy theo quan điểm của nhà làm luật ở Việt Nam hiện nay thì A.I chỉ là công cụ, phương tiện, nếu nó có gây ra thiệt hại thì người tạo ra, sở hữu, vận hành nó phải chịu trách nhiệm.

2. Các tình huống điển hình A.I gây thiệt hại và chủ thể chịu trách nhiệm?

Sự bùng nổ của trí tuệ nhân tạo (A.I) kéo theo hàng loạt tranh chấp mới mà pháp luật Việt Nam phải “chạy đua” để điều chỉnh. Dù hiện chưa có Luật A.I riêng, các hành vi gây thiệt hại vẫn bị xử lý dựa vào Bộ luật Dân sự 2015, Bộ luật Hình sự 2015, Luật An toàn thông tin mạng, Luật Bảo vệ quyền lợi người tiêu dùng 2023, và các quy định về sản phẩm lỗi – trách nhiệm bồi thường thiệt hại ngoài hợp đồng.

Dưới đây là các trường hợp điển hình:

2.1. Deepfake gây lừa đảo, bôi nhọ danh dự – trách nhiệm dân sự và hình sự cùng lúc

Deepfake – video giả mạo bằng A.I – hiện là công cụ lừa đảo phổ biến nhất. Nếu kẻ gian sử dụng A.I để:

• tạo clip giả mạo nhằm xúc phạm danh dự, uy tín,
• bịa đặt hành vi sai trái của nạn nhân,
• lan truyền thông tin nhằm tống tiền hoặc hạ thấp uy tín,

Đây là hành vi xâm phạm danh dự, nhân phẩm, được pháp luật bảo vệ theo Điều 34 Bộ luật Dân sự 2015. Người bị hại có quyền yêu cầu:

• gỡ video, cải chính công khai,
• bồi thường thiệt hại vật chất + tinh thần (Điều 592 BLDS).

Nếu hành vi deepfake nhằm chiếm đoạt tài sản (ví dụ: giả giọng để tống tiền cha mẹ, deepfake để yêu cầu chuyển tiền), người thực hiện sẽ bị truy cứu hình sự:

• Tội lừa đảo chiếm đoạt tài sản – Điều 174 BLHS,
• hoặc Tội sử dụng thông tin máy tính, viễn thông chiếm đoạt tài sản – Điều 290 BLHS.

Trường hợp video deepfake làm ảnh hưởng uy tín doanh nghiệp hoặc cá nhân, người phát tán thông tin có thể bị xử lý về Điều 288 BLHS – Đưa hoặc sử dụng trái phép thông tin trên mạng.

2.2. A.I cung cấp thông tin sai, gây thiệt hại cho người sử dụng

Khi chatbot, ứng dụng A.I hoặc công cụ phân tích dữ liệu đưa thông tin sai lệch khiến người dùng:

• đưa ra quyết định đầu tư sai,
• gặp rủi ro sức khỏe (trường hợp A.I tư vấn y tế sai),
• thiệt hại tài sản do dựa vào khuyến nghị của A.I,

Trách nhiệm bồi thường được xác định theo Điều 584 Bộ luật Dân sự 2015: Người nào gây thiệt hại cho người khác phải bồi thường, kể cả trong trường hợp tài sản do mình quản lý gây thiệt hại. Do đó, nhà cung cấp A.I có trách nhiệm:

• cảnh báo rủi ro,
• thông báo công khai phạm vi sử dụng,
• đảm bảo sản phẩm vận hành an toàn, không gây hiểu lầm.

Theo Luật Bảo vệ quyền lợi người tiêu dùng 2023, nếu doanh nghiệp không cung cấp thông tin đầy đủ, rõ ràng về giới hạn của A.I sẽ bị xử phạt hành chính; nặng hơn có thể bị đình chỉ kinh doanh dịch vụ.

2.3. Xe tự hành, robot thông minh gây tai nạn – “nguồn nguy hiểm cao độ”

Với sự xuất hiện của xe tự lái, robot dịch vụ, drone giao hàng…, trách nhiệm pháp lý được xác lập theo Điều 601 Bộ luật Dân sự 2015: Máy móc, thiết bị công nghệ tự động được xem là nguồn nguy hiểm cao độ. Do đó, khi A.I điều khiển thiết bị gây tai nạn:

• Chủ sở hữu hoặc người đang vận hành hệ thống phải bồi thường.
• Nhà sản xuất cũng có thể chịu trách nhiệm nếu lỗi do:
  • lập trình sai,
  • lỗi thiết kế,
  • thiếu cảnh báo an toàn.

Cơ chế xử lý tương tự các vụ “sản phẩm lỗi” theo nguyên tắc trách nhiệm bồi thường khách quan: người gây thiệt hại phải bồi thường ngay cả khi không có lỗi chủ quan.

2.4. A.I bị hacker lợi dụng để tấn công dữ liệu – trách nhiệm của doanh nghiệp quản lý hệ thống

Doanh nghiệp triển khai A.I nhưng không bảo đảm an toàn hệ thống, dẫn đến:

• dữ liệu cá nhân người dùng bị rò rỉ,
• A.I bị hacker chiếm quyền điều khiển,
• gây thiệt hại tài sản hoặc lộ thông tin mật của khách hàng,

Khi đó, doanh nghiệp phải chịu trách nhiệm theo:

• Luật An toàn thông tin mạng 2015 (nghĩa vụ bảo vệ dữ liệu),
• Luật An ninh mạng 2018,
• Điều 289 BLHS – Xâm nhập trái phép vào mạng máy tính (đối với hacker).

Trong trường hợp A.I bị lợi dụng để chiếm đoạt tài sản hoặc xâm phạm dữ liệu, doanh nghiệp có thể bị:

• xử phạt hành chính,
• buộc bồi thường thiệt hại,
• bị đình chỉ hoạt động nếu vi phạm nghiêm trọng nghĩa vụ bảo vệ thông tin cá nhân.

3. Các dạng trách nhiệm pháp lý có thể phát sinh

Trong hệ sinh thái công nghệ trí tuệ nhân tạo, bản thân A.I không phải là chủ thể pháp lý và không thể “chịu trách nhiệm hình sự” hay “bồi thường thiệt hại”. Vì vậy, khi A.I gây ra hậu quả — dù là deepfake, tư vấn sai, tai nạn robot hay lộ dữ liệu — trách nhiệm luôn quay về con người và tổ chức đứng phía sau: người lập trình, nhà cung cấp dịch vụ, chủ sở hữu hệ thống hoặc người vận hành.

Khung pháp lý hiện hành cho phép áp dụng 3 nhóm trách nhiệm chính sau:

3.1. Trách nhiệm dân sự – bồi thường thiệt hại

Đây là loại trách nhiệm phổ biến nhất khi A.I gây ra thiệt hại về tài sản, sức khỏe, danh dự hoặc quyền nhân thân của cá nhân, tổ chức.

Căn cứ pháp lý:

• Điều 584 – 589 Bộ luật Dân sự 2015 (bồi thường thiệt hại ngoài hợp đồng).
• Điều 34, 38 BLDS (bảo vệ danh dự, nhân phẩm, hình ảnh).
• Điều 601 BLDS (trách nhiệm đối với nguồn nguy hiểm cao độ – áp dụng cho robot, xe tự hành, thiết bị tự động).

Theo đó, để phát sinh trách nhiệm dân sự, phải có đủ 3 yếu tố:

• Có thiệt hại thực tế (mất tiền, tổn hại sức khỏe, uy tín bị xâm phạm…).
• Có lỗi của chủ thể liên quan đến A.I: lập trình sai, vận hành thiếu an toàn, không cảnh báo rủi ro, bảo mật kém tạo điều kiện hacker tấn công…
• Có mối quan hệ nhân quả trực tiếp giữa hành vi và thiệt hại.

Những ví dụ điển hình:

• Nếu A.I deepfake tạo clip vu khống một cá nhân thì người tạo deepfake, người phát tán và nền tảng công nghệ thiếu kiểm duyệt có thể cùng liên đới bồi thường.
• Nếu robot giao hàng gây tai nạn vì lỗi cảm biến thì chủ sở hữu phải bồi thường theo Điều 601; nhà sản xuất có thể chịu trách nhiệm do “lỗi sản phẩm”.

3.2. Trách nhiệm hành chính – phạt vì vi phạm công nghệ, dữ liệu, an toàn mạng

Khi hành vi liên quan đến A.I xâm phạm quy tắc quản lý nhà nước, tổ chức và cá nhân có thể bị xử phạt hành chính ngay cả khi chưa gây thiệt hại.

Căn cứ pháp lý:

• Nghị định 15/2020/NĐ-CP (vi phạm trong lĩnh vực viễn thông, mạng máy tính).
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (xử phạt khi thu thập, xử lý, chia sẻ dữ liệu sai phép).
• Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018 (bảo vệ hệ thống thông tin).

Ví dụ:

• Doanh nghiệp triển khai A.I nhận diện khuôn mặt nhưng không xin phép xử lý dữ liệu cá nhân nhạy cảm, trường hợp này sẽ bị phạt theo NĐ 13/2023.
• Nền tảng A.I để lộ dữ liệu người dùng, thiếu biện pháp bảo mật thì sẽ bị phạt theo NĐ 15/2020.

Mức phạt hành chính có thể lên đến 100–200 triệu đồng, tùy hành vi và hậu quả.

3.3. Trách nhiệm hình sự – khi A.I bị sử dụng như công cụ phạm tội

A.I không phải là “người phạm tội”, nhưng nếu con người dùng A.I để thực hiện, hỗ trợ hoặc che giấu hành vi phạm tội, họ phải chịu trách nhiệm hình sự theo nhiều điều luật khác nhau.

Các căn cứ pháp lý thường áp dụng:

• Điều 174 BLHS – Lừa đảo chiếm đoạt tài sản (deepfake lừa chuyển tiền).
• Điều 290 BLHS – Sử dụng mạng máy tính, mạng viễn thông chiếm đoạt tài sản.
• Điều 289 BLHS – Xâm nhập trái phép vào dữ liệu số.
• Điều 288 BLHS – Đưa hoặc sử dụng trái phép thông tin cá nhân.
• Điều 155 – 156 BLHS – Làm nhục, vu khống (deepfake bôi nhọ, xúc phạm).
• Điều 117 BLHS – Tội tuyên truyền chống Nhà nước (nếu AI bị dùng để tạo nội dung độc hại).

Ví dụ:

• Một người tạo deepfake giọng nói để lừa gia đình nạn nhân chuyển tiền, trường hợp này sẽ cấu thành tội 174 hoặc 290 và áp dụng khung hình phạt của các tội này.
• Lập trình A.I tự động thu thập dữ liệu cá nhân trái phép từ hàng triệu tài khoản nên sẽ vi phạm Điều 288.
• Dùng chatbot A.I để phát tán thông tin sai lệch gây hoang mang xã hội thì có thể xử lý theo Điều 288 hoặc 156 tuỳ mục đích.

4. Nguyên tắc xác định trách nhiệm khi A.I gây thiệt hại

Việc xác định ai phải chịu trách nhiệm khi A.I gây ra thiệt hại là một trong những vấn đề pháp lý phức tạp nhất hiện nay. Theo Bộ luật Dân sự 2015, A.I không phải là chủ thể pháp luật, do đó mọi hậu quả do A.I gây ra đều quy về con người hoặc tổ chức đứng sau việc tạo ra – vận hành – cung cấp hệ thống. Dưới đây là ba nguyên tắc trọng tâm để xác định trách nhiệm:

4.1. A.I chỉ là “công cụ” nên Chủ sở hữu/đơn vị vận hành phải chịu trách nhiệm

Theo Điều 584 BLDS 2015, bất kỳ ai gây thiệt hại do lỗi của mình hoặc do công cụ, phương tiện mà mình quản lý đều phải bồi thường.
Vì vậy, pháp luật mặc nhiên coi A.I giống như:

• phần mềm,
• hệ thống tự động,
• công cụ kỹ thuật số

Nên người kiểm soát A.I là người chiuej trách nhiệm đầu tiên.

Ví dụ: Một doanh nghiệp sử dụng hệ thống A.I lọc thư rác (spam filter). A.I tự động chặn nhầm email của khách hàng dẫn đến khách hàng mất cơ hội giao dịch trị giá hàng trăm triệu.
Dù lỗi phát sinh từ thuật toán, theo BLDS, đây là lỗi trong việc quản lý công cụ, nên doanh nghiệp phải bồi thường toàn bộ thiệt hại thực tế theo Điều 585 – 589 BLDS.

4.2. A.I vận hành trong lĩnh vực nguy hiểm

Một số hệ thống A.I được xem là nguồn nguy hiểm cao độ theo Điều 601 BLDS, vì chúng vận hành tự động và có khả năng gây thiệt hại lớn, ví dụ:

• xe tự hành (autonomous vehicles),
• robot công nghiệp,
• dây chuyền tự động trong nhà máy,
• A.I kiểm soát thiết bị y tế, năng lượng, giao thông.

Chủ sở hữu, người chiếm hữu hoặc người được giao vận hành phải bồi thường ngay cả khi không có lỗi. Chủ sở hữu chỉ được miễn trừ trách nhiệm nếu chứng minh được thiệt hại xảy ra là do sự kiện bất khả kháng hoặc do hoàn toàn lỗi của cá nhân.

Ví dụ: Xe tự hành của công ty vận tải đột ngột đánh lái gây va chạm vì cảm biến hiểu sai vật thể trên đường. Dù công ty chứng minh đã bảo trì đầy đủ → vẫn phải bồi thường cho nạn nhân theo Điều 601 BLDS.

4.3. Lỗi thuộc thuật toán, thiết kế

Theo Điều 608 BLDS về bồi thường thiệt hại do sản phẩm không đảm bảo an toàn, nếu lỗi phát sinh từ bản chất sản phẩm A.I, nhà sản xuất – lập trình – nhà cung cấp phải chịu trách nhiệm. khi thiệt hại do các ngueyen nhân sau đây:

• Lỗi thiết kế thuật toán (ví dụ: A.I phân tích y tế cho kết quả sai do mô hình bị thiên lệch dữ liệu).
• Lỗi lập trình (A.I giao dịch tài chính tự động đặt lệnh sai gây mất tiền).
• Lỗi trong dữ liệu lập trình (dataset được thiết lập không có tình công bằng, minh bạch dẫn đến A.I đưa ra quyết định gây thiệt hại)

• Thiếu cảnh báo rủi ro theo nghĩa vụ cung cấp thông tin (Điều 11 Luật Bảo vệ quyền lợi người tiêu dùng 2023).

Ví dụ: Một hãng sản xuất robot hút bụi tích hợp A.I điều hướng. Do lỗi phần mềm dẫn đến robot chập mạch gây cháy nhà. Đây được xác định là sản phẩm lỗi và nhà sản xuất phải chịu trách nhiệm về sản phẩm của mình theo điều 608 BLDS và có thể bị xử phạt thêm theo Luật An taonf sản phẩm và Luật Bảo vệ quyền lợi người tiêu dùng 2023.

5. Khuyến nghị cho doanh nghiệp & người dùng

Trong bối cảnh A.I ngày càng can thiệp sâu vào hoạt động sản xuất – kinh doanh – tài chính – đời sống xã hội, việc “phòng ngừa rủi ro pháp lý” phải được coi là yêu cầu bắt buộc. Dưới đây là những giải pháp thực tế mà doanh nghiệp và người dùng cá nhân cần áp dụng để giảm thiểu thiệt hại và tránh bị quy trách nhiệm theo Bộ luật Dân sự 2015, Luật Công nghệ thông tin, Luật An toàn thông tin mạng và Luật Bảo vệ dữ liệu cá nhân 2023.

5.1. Kiểm toán thuật toán định kỳ để phát hiện sai lệch, thiên kiến

A.I có thể đưa ra quyết định sai lệch nếu dữ liệu hoặc thuật toán được lập trình một cách thiên vị. Khi sai sót xảy ra, doanh nghiệp có thể bị buộc bồi thường thiệt hại theo Điều 584 – 589 BLDS.

Ví dụ: A.I chấm điểm tín dụng tự động từ chối khoản vay của khách hàng dù họ đáp ứng điều kiện khi có tranh chấp xảy ra doanh nghiệp phải chứng minh hệ thống không “phân biệt đối xử”. Vì vậy, các hệ thống A.I cần được kiểm toán định kỳ (A.I audit) để phát hiện rủi ro trước khi gây hậu quả pháp lý.

5.2. Gắn cảnh báo rủi ro và giới hạn phạm vi sử dụng A.I

Theo Luật Bảo vệ quyền lợi người tiêu dùng 2023, doanh nghiệp phải cung cấp cảnh báo rủi ro, thông tin rõ ràng về phạm vi tính năng nếu sản phẩm/dịch vụ có thể gây nhầm lẫn.

Ví dụ: Chatbot pháp lý/đầu tư phải có cảnh báo “không phải tư vấn pháp lý – tài chính chính thức”. Nếu không gắn cảnh báo thì doanh nghiệp có thể bị xử phạt theo luật và bồi thường khi người dùng bị thiệt hại.

5.3. Cài đặt cơ chế giám sát con người

Pháp luật hiện hành coi A.I là công cụ, còn con người vận hành mới là chủ thể chịu trách nhiệm (Điều 584 BLDS).

Do đó, mọi hệ thống A.I có khả năng tự động đưa ra quyết định (credit scoring, chẩn đoán y tế, phân tích hợp đồng...) bắt buộc phải có bước kiểm tra của con người để tránh rủi ro.

Ví dụ: A.I duyệt hợp đồng bảo hiểm thì chuyên viên phải xác nhận lại, tránh duyệt nhầm hoặc từ chối sai.

5.4. Bảo vệ dữ liệu cá nhân, tránh để A.I “rò rỉ” thông tin

Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, việc thu thập – xử lý – chia sẻ dữ liệu phải được sự đồng ý của chủ thể dữ liệu.
Nếu A.I làm rò rỉ dữ liệu (giọng nói, hình ảnh, lịch sử giao dịch…), doanh nghiệp có thể:

• Bị xử phạt hành chính;
• Bị yêu cầu bồi thường dân sự
• Bị đình chỉ hệ thống A.I.

Ví dụ: A.I tổng hợp dữ liệu khách hàng rồi vô tình hiển thị ID cá nhân cho bên thứ ba thì doanh nghiệp sẽ là chủ thể  chịu trách nhiệm đầy đủ với những vấn đề pháp lý mà hệ thống A.I của mình gây ra.

5.5. Lưu log hệ thống để chứng minh “không có lỗi” khi xảy ra tranh chấp

Trong tranh chấp dân sự, người gây thiệt hại không phải chịu tách nhiệm bồi thường thiệt hại trong trường hợp thiệt hại phát sinh do sự kiện bất khả kháng hoặc hoàn toàn do lỗi của bên bị thiệt hại, trừ trường hợp có thỏa thuận khác hoặc luật có quy định khác. (Điều 584 BLDS 2015)

Do đó, doanh nghiệp cần lưu giữ:

• Log vận hành A.I;
• Lịch sử xử lý dữ liệu;
• Bài viết cùng chuyên mục
  TRANH CHẤP TÀI SẢN THỪA KẾ, BÀI HỌC ĐẮT GIÁ CHO TÌNH THÂN
  "Bóc phốt" trên mạng xã hội- Pháp luật có bỏ qua?
  “ CHẠY VIỆC ” KHÔNG THÀNH CÓ ĐÒI LẠI TIỀN ĐƯỢC KHÔNG?
  Án tích và xóa án tích theo quy định Bộ luật Hình sự
  An toàn vệ sinh thực phẩm và quy định xử phạt vi phạm
  Áp dụng biện pháp khẩn cấp tạm thời trong vụ án dân sự