Cấu Trúc của AI Act năm 2026

AI Act là quy định ngang toàn diện đầu tiên trên thế giới về trí tuệ nhân tạo. Kiến trúc phân tầng rủi ro của nó là chìa khóa để hiểu nghĩa vụ nào áp dụng cho hệ thống nào.

Các Tầng Rủi Ro

Đạo luật phân loại các hệ thống AI thành bốn tầng dựa trên rủi ro mà chúng gây ra:

• Hệ thống bị cấm — các thực tiễn bị cấm hoàn toàn, bao gồm các kỹ thuật tiềm thức thao túng, khai thác lỗ hổng, chấm điểm xã hội của cơ quan công quyền và các hình thức phân loại sinh trắc học và nhận dạng cảm xúc nhất định
• Hệ thống rủi ro cao — hệ thống được sử dụng trong các bối cảnh cụ thể có tác động lớn, tuân theo phần lớn nghĩa vụ thực chất của Đạo luật bao gồm quản lý rủi ro, quản trị dữ liệu, minh bạch, giám sát của con người và yêu cầu độ chính xác
• Hệ thống rủi ro hạn chế — hệ thống có nghĩa vụ minh bạch cụ thể, bao gồm hầu hết các hệ thống khuyến nghị nội dung do AI điều khiển và chatbot tương tác trực tiếp với người dùng
• Hệ thống rủi ro tối thiểu — tất cả những thứ còn lại, chỉ tuân theo các bộ quy tắc ứng xử tình nguyện chung

Quảng Cáo và Hệ Thống Khuyến Nghị Nằm Ở Đâu

Hầu hết AI hướng đến quảng cáo — tính điểm đối tượng, tối ưu hóa đặt giá thầu theo chương trình, hệ thống khuyến nghị nội dung, công cụ cá nhân hóa — nằm ở tầng rủi ro hạn chế hơn là tầng rủi ro cao. Nghe có vẻ nhẹ nhõm, nhưng tầng rủi ro hạn chế vẫn mang nghĩa vụ minh bạch có ý nghĩa, và một số trường hợp cạnh tranh đẩy các hệ thống cụ thể lên các tầng cao hơn. Quan trọng là, các quy tắc thực tiễn bị cấm có thể tiếp cận các hệ thống quảng cáo nếu chúng vượt vào lãnh thổ thao túng hoặc khai thác, và EDPB đã báo hiệu sẵn sàng diễn giải các điều khoản này một cách rộng rãi.

Giai Đoạn Hóa

Lịch năm 2026 rất quan trọng: nghĩa vụ rủi ro cao cho các hệ thống mới có hiệu lực vào tháng 8 năm 2026, nghĩa vụ rủi ro cao cho các hệ thống đã có trên thị trường có hiệu lực vào năm 2027, và nghĩa vụ của nhà cung cấp AI mục đích chung đã có hiệu lực. Các nhà xuất bản và nhà quảng cáo nên lập bản đồ kho AI của họ so với lịch này để biết nghĩa vụ nào áp dụng khi nào.

AI Act Xếp Chồng Lên GDPR Như Thế Nào

AI Act không thay thế GDPR. Nó xếp chồng lên nó. Một hệ thống xử lý dữ liệu cá nhân để tạo ra các đầu ra do AI điều khiển phải thỏa mãn cả hai chế độ, và các nghĩa vụ là cộng dồn hơn là thay thế nhau.

Lớp GDPR

GDPR tiếp tục quản lý tính hợp pháp của việc xử lý dữ liệu cá nhân. Sự đồng ý cho lập hồ sơ quảng cáo, cơ sở hợp pháp để đo lường, nhóm quyền của chủ thể dữ liệu, nghĩa vụ chuyển giao xuyên biên giới — tất cả những điều này tiếp tục áp dụng không thay đổi.

Lớp AI Act

Trên GDPR, AI Act thêm các nghĩa vụ cụ thể về chính hệ thống AI: nó được huấn luyện như thế nào, dữ liệu nào đã đi vào đào tạo, đầu ra của nó được ghi lại như thế nào, cơ chế giám sát nào tồn tại, người dùng nhận được tính minh bạch nào. Các nghĩa vụ này gắn liền với hệ thống AI bất kể xử lý dữ liệu cơ bản có dựa trên sự đồng ý, dựa trên hợp đồng hay cơ sở hợp pháp nào khác hay không.

Hàm Ý Thực Tiễn

Nhà xuất bản điều hành hệ thống khuyến nghị nội dung trên dữ liệu cá nhân cần cả cơ sở hợp pháp GDPR hợp lệ cho việc xử lý dữ liệu và công bố minh bạch tuân thủ theo AI Act. Chỉ một trong hai là không đủ. Bề mặt tuân thủ hiện thực sự là hai chiều, và chuỗi tài liệu phải bao quát cả hai trục.

Thực Tiễn Bị Cấm và Quảng Cáo

Danh sách thực tiễn bị cấm của Đạo luật ngắn nhưng có hậu quả, và một số mục có ý nghĩa đối với thiết kế quảng cáo.

Kỹ Thuật Thao Túng

Đạo luật cấm các hệ thống AI triển khai các kỹ thuật tiềm thức, thực tiễn thao túng hoặc khai thác các lỗ hổng của các nhóm cụ thể theo cách có khả năng gây ra tác hại đáng kể. Hầu hết thiết kế quảng cáo không tiếp cận ranh giới này — nhưng quảng cáo nhắm mục tiêu vào các lỗ hổng đã xác định (khó khăn tài chính, tình trạng sức khỏe tâm thần, mô hình nghiện ngập) bằng cách sử dụng lập hồ sơ do AI điều khiển có thể vượt qua nó. EDPB đã gắn cờ điều này trong hướng dẫn ban đầu.

Phân Loại Sinh Trắc Học

Đạo luật cấm phân loại sinh trắc học suy luận các thuộc tính nhạy cảm như chủng tộc, quan điểm chính trị, tư cách thành viên công đoàn, tín ngưỡng tôn giáo, đời sống tình dục hoặc khuynh hướng tình dục. Các phân đoạn đối tượng được xây dựng từ dữ liệu sinh trắc học suy luận các thuộc tính này hiện nằm trong lãnh thổ bị cấm.

Nhận Dạng Cảm Xúc trong Các Bối Cảnh Cụ Thể

Nhận dạng cảm xúc bị cấm trong bối cảnh nơi làm việc và giáo dục. Các trường hợp sử dụng phát hiện cảm xúc quảng cáo bên ngoài những bối cảnh đó vẫn có thể được cho phép nhưng phải đối mặt với sự giám sát chặt chẽ hơn.

Nghĩa Vụ Minh Bạch Rủi Ro Hạn Chế

Đây là nơi phần lớn công việc tuân thủ AI Act của nhà xuất bản và nhà quảng cáo nằm vào năm 2026.

Công Bố Hệ Thống Khuyến Nghị

Các hệ thống khuyến nghị nội dung cá nhân hóa những gì người dùng thấy — dù trên trang chủ của nhà xuất bản, trong luồng nội dung trong ứng dụng hoặc trong vị trí quảng cáo theo chương trình — nằm trong tầng rủi ro hạn chế. Người dùng phải được thông báo rằng họ đang tương tác với hệ thống AI, và hệ thống phải được thiết kế sao cho bản chất AI của tương tác là rõ ràng.

Công Bố Chatbot

Bất kỳ hệ thống AI nào tương tác trực tiếp với người dùng dưới dạng hội thoại đều phải công bố bản chất AI của mình. Các nhà xuất bản và nhà quảng cáo điều hành giao diện trò chuyện AI — để hỗ trợ khách hàng, khám phá nội dung hoặc bất kỳ mục đích nào khác — cần đáp ứng đường cơ sở này.

Công Bố Nội Dung Tổng Hợp

Hình ảnh, âm thanh, video và nội dung văn bản do AI tạo ra phải được đánh dấu là như vậy. Các nhà xuất bản sử dụng hình ảnh hoặc văn bản do AI tạo ra trong nội dung biên tập, nội dung quảng cáo sáng tạo hoặc hình ảnh sản phẩm cần áp dụng nghĩa vụ đánh dấu. Hướng dẫn triển khai năm 2026 đã làm rõ các thông số kỹ thuật cho việc đánh dấu, bao gồm các tiêu chuẩn watermark cho nội dung hình ảnh.

Bề Mặt Đồng Ý Kết Hợp năm 2026

CMP và thông báo quyền riêng tư hiện phải thực hiện công việc cho cả hai chế độ. CMP của nhà xuất bản năm 2026 trông phức tạp hơn đáng kể so với người tiền nhiệm năm 2024 của nó.

Mục Đích Đồng Ý Chi Tiết

CMP phơi bày các mục đích đồng ý phân biệt giữa quảng cáo chung, lập hồ sơ cho quảng cáo, ra quyết định tự động và cá nhân hóa khuyến nghị. Mỗi cái ánh xạ tới ranh giới AI Act và GDPR cụ thể, và mỗi cái yêu cầu sự đồng ý xác nhận riêng của nó.

Công Bố Hệ Thống AI

Thông báo quyền riêng tư hoặc tài liệu công bố AI đi kèm mô tả các hệ thống AI đang sử dụng, mục đích của chúng, các danh mục dữ liệu đầu vào, logic rộng của các đầu ra và các cơ chế giám sát của con người đang có. Đây là nhiều hơn công bố quyết định tự động theo Điều 22 GDPR — đó là một câu chuyện minh bạch AI đầy đủ hơn.

Quyền Phản Đối

Quyền phản đối lập hồ sơ của GDPR tiếp tục áp dụng, và AI Act thêm các quyền người dùng khác xung quanh cá nhân hóa khuyến nghị do AI điều khiển. Người dùng có thể từ chối cá nhân hóa khuyến nghị mà không mất quyền truy cập vào dịch vụ cơ bản, và việc từ chối phải ít nhất dễ dàng như việc đồng ý.

Các Mô Hình Vận Hành Hoạt Động năm 2026

Các nhà xuất bản và nhà quảng cáo điều hành các chương trình trưởng thành năm 2026 đang hội tụ vào một vài mô hình vận hành.

Kho AI

Duy trì kho hàng hóa sống của mọi hệ thống AI đang sử dụng trong toàn bộ ngăn xếp nhà xuất bản hoặc nhà quảng cáo: hệ thống, tầng rủi ro của nó theo Đạo luật, dữ liệu cá nhân mà nó xử lý, cơ sở hợp pháp của nó theo GDPR, các công bố minh bạch áp dụng cho nó và giám sát của con người đang có. Đây là tài liệu tuân thủ nền tảng và là những gì các cơ quan quản lý sẽ yêu cầu xem trước tiên.

Thông Báo Quyền Riêng Tư Kết Hợp

Một thông báo quyền riêng tư và minh bạch AI kết hợp duy nhất — tiếng Bồ Đào Nha, tiếng Đức, tiếng Pháp hoặc ngôn ngữ nào thích hợp cho đối tượng — giải quyết cả nghĩa vụ GDPR và AI Act trong một câu chuyện mạch lạc. Cố gắng duy trì hai công bố riêng biệt mời gọi mâu thuẫn và sự nhầm lẫn của người đọc.

Kiểm Toán AI Nhà Cung Cấp

Đối với mọi nhà cung cấp quảng cáo hoặc phân tích xử lý các đầu ra do AI điều khiển thay mặt cho nhà xuất bản, hợp đồng phải giải quyết việc phân bổ nghĩa vụ AI Act, quyền truy cập tài liệu kỹ thuật và thông báo sự cố. Các thỏa thuận xử lý dữ liệu tiêu chuẩn từ năm 2023 không giải quyết AI Act và cần được làm mới.

Hình Phạt và Thái Độ Thực Thi

AI Act giới thiệu chế độ hình phạt phân tầng với tiền phạt hành chính có thể vượt quá mức tối đa của GDPR.

Các Tầng Hình Phạt

• Lên đến EUR 35 triệu hoặc 7 phần trăm doanh thu toàn cầu hàng năm cho các vi phạm thực tiễn bị cấm
• Lên đến EUR 15 triệu hoặc 3 phần trăm cho hầu hết các vi phạm thực chất khác
• Lên đến EUR 7,5 triệu hoặc 1 phần trăm cho việc cung cấp thông tin không chính xác

Kiến Trúc Thực Thi

Mỗi Quốc gia Thành viên chỉ định các cơ quan có thẩm quyền quốc gia để thực thi AI Act, và Văn phòng AI Châu Âu điều phối việc giám sát các mô hình AI mục đích chung. Việc thực thi đối với các nhà xuất bản và nhà quảng cáo chủ yếu sẽ diễn ra thông qua các cơ quan quốc gia, thường phối hợp chặt chẽ với các cơ quan bảo vệ dữ liệu hiện có. Các hành động thực thi AI Act quan trọng đầu tiên dự kiến sẽ xảy ra trong suốt năm 2026 khi các nghĩa vụ rủi ro cao đầy đủ có hiệu lực.

Danh Sách Kiểm Tra Kiểm Toán cho Quảng Cáo Do AI Điều Khiển năm 2026

• Kho hàng hóa sống của mọi hệ thống AI trong ngăn xếp với phân loại tầng rủi ro
• Cơ sở hợp pháp GDPR được ghi lại cho mọi hệ thống AI xử lý dữ liệu cá nhân
• Các công bố minh bạch AI Act áp dụng cho mọi hệ thống rủi ro hạn chế, bao gồm cá nhân hóa khuyến nghị và chatbot
• Đánh dấu nội dung tổng hợp áp dụng cho nội dung sáng tạo, hình ảnh, âm thanh và video do AI tạo ra
• Thông báo quyền riêng tư và minh bạch AI kết hợp bằng ngôn ngữ địa phương có liên quan
• CMP phơi bày lập hồ sơ, ra quyết định tự động và cá nhân hóa khuyến nghị như các mục đích có thể đồng ý riêng biệt
• Các phân đoạn đối tượng được xem xét theo danh sách phân loại sinh trắc học bị cấm
• Hợp đồng nhà cung cấp được cập nhật để giải quyết việc phân bổ nghĩa vụ AI Act
• Các cơ chế giám sát của con người được ghi lại cho bất kỳ hệ thống nào tiếp cận ranh giới rủi ro cao
• Quy trình làm việc quyền của chủ thể dữ liệu và người dùng AI Act có thể phản hồi các yêu cầu từ chối, giải thích và xem xét của con người trong các cửa sổ phản hồi áp dụng

Triển Vọng năm 2026

AI Act không thay thế GDPR — nó xếp chồng lên nó, và bề mặt kết hợp phức tạp hơn đáng kể so với một trong hai chế độ đơn lẻ. Đối với các nhà xuất bản và nhà quảng cáo điều hành cá nhân hóa, lập hồ sơ, hệ thống khuyến nghị hoặc nội dung tạo ra do AI điều khiển, năm 2026 là năm kiến trúc tuân thủ phải trưởng thành vượt ra ngoài lập trường GDPR thuần túy. Những người coi AI Act là mối quan tâm tương lai sẽ thấy tương lai đến nhanh hơn dự kiến, với các cơ quan quốc gia ban hành các hành động thực thi đầu tiên của họ trong suốt năm 2026 và sang năm 2027. Những người xây dựng tuân thủ kết hợp ngay từ đầu sẽ thấy kiến trúc trả lại: các nghĩa vụ minh bạch của AI Act, được thực hiện tốt, cũng củng cố câu chuyện đồng ý và tin tưởng của GDPR, và kỷ luật vận hành duy trì kho AI sống hóa ra hữu ích rất nhiều so với tuân thủ quy định.