Vào ngày 22 tháng 1 năm 2026, đạo luật AI Basic Act của Hàn Quốc đã chính thức có hiệu lực, đưa quốc gia này trở thành quốc gia đầu tiên trên thế giới có một đạo luật AI toàn diện theo chiều ngang bên ngoài Liên minh Châu Âu. Ba tuần trước đó, bản sửa đổi Cybersecurity Law của Trung Quốc cũng đã nâng mức trần phạt liên quan đến AI lên 50 triệu nhân dân tệ hoặc 5% doanh thu của năm trước đó. Chỉ riêng trong tháng 2 năm 2026, các cơ quan quản lý của Trung Quốc đã xử phạt 13.421 tài khoản và gỡ bỏ hơn 543.000 nội dung do không dán nhãn tài liệu do AI tạo ra theo tiêu chuẩn quốc gia bắt buộc GB 45438-2025.

Không có nơi nào khác mà quy định về AI và dữ liệu lại thay đổi với tốc độ nhanh chóng và theo nhiều hướng cùng một lúc như vậy. Trung Quốc thực thi thông qua các đợt rà soát theo chiến dịch dựa trên các luật về không gian mạng và dữ liệu hiện hành thay vì các khoản tiền phạt dành riêng cho AI. Nhật Bản đã chọn một đạo luật mang tính thúc đẩy và hoàn toàn không có các hình phạt trực tiếp. Hàn Quốc ban hành luật đầu tiên nhưng lại trì hoãn việc thực thi trong một năm. Ấn Độ đã thông báo các quy tắc bảo vệ dữ liệu được chờ đợi từ lâu nhưng lại lùi các nghĩa vụ thực chất sang tháng 5 năm 2027. Singapore, Úc và Hồng Kông vẫn đang tiếp tục làm việc thông qua các khuôn khổ tự nguyện, các tài liệu tham vấn và các dự luật sửa đổi đang bị đình trệ.

Đối với một đội ngũ tuân thủ phụ trách khu vực này, câu hỏi thực tế không bao giờ là "quốc gia này có luật AI hay không". Câu hỏi đặt ra là văn bản pháp lý nào thực sự có thể thi hành ngay hôm nay, đối với hành vi nào và vào ngày nào thì điều đó thay đổi.

Những quốc gia Châu Á Thái Bình Dương nào hiện đang tích cực thực thi các quy tắc dành riêng cho AI?

Trung Quốc là quốc gia duy nhất vận hành một bộ máy thực thi phạt và đóng cửa được xây dựng đặc biệt xoay quanh nội dung và mô hình AI, trong khi Hàn Quốc có một luật dành riêng cho AI đang có hiệu lực nhưng bị tạm dừng. Interim Measures for the Administration of Generative AI Services của Trung Quốc, có hiệu lực từ ngày 15 tháng 8 năm 2023, yêu cầu mọi dịch vụ AI tạo sinh hướng tới công chúng phải hoàn thành đánh giá bảo mật và nộp hồ sơ thuật toán cho Cyberspace Administration of China trước khi ra mắt. Tính đến ngày 17 tháng 3 năm 2026, 796 dịch vụ đã nộp hồ sơ ở cấp quốc gia và 481 dịch vụ khác ở cấp địa phương. Các nhà cung cấp bỏ qua việc nộp hồ sơ sẽ bị buộc phải ngoại tuyến; mô hình chiến dịch "Qinglang", gần đây nhất là một hành động đặc biệt kéo dài bốn tháng được triển khai vào tháng 4 năm 2026 nhắm vào các mô hình lớn chưa đăng ký và nội dung tổng hợp chưa được dán nhãn, áp dụng CSL, Personal Information Protection Law và Data Security Law thay vì chính Generative AI Measures, vốn có mức trần hình phạt tối đa là 100.000 nhân dân tệ.

Đạo luật AI Basic Act của Hàn Quốc, có hiệu lực từ ngày 22 tháng 1 năm 2026, quy định mức phạt hành chính lên tới 30 triệu won đối với việc không thông báo cho người dùng về tương tác với AI, không chỉ định đại diện trong nước hoặc chống lại lệnh khắc phục. Ministry of Science and ICT đang áp dụng thời gian ân hạn chính thức kéo dài một năm đối với các cuộc điều tra tìm hiểu thực tế và tiền phạt, chỉ dành riêng cho các trường hợp liên quan đến tác hại xã hội nghiêm trọng hoặc vi phạm nhân quyền trong thời gian tạm thời, với việc thực thi bình thường dự kiến sẽ tiếp tục vào khoảng ngày 22 tháng 1 năm 2027.

Đạo luật AI Promotion Act của Nhật Bản thực sự yêu cầu các công ty phải làm gì?

Gần như không có gì có thể thực thi trực tiếp, và đó chính là điểm mấu chốt. Đạo luật Act on Promotion of Research and Development, and Utilization of AI-related Technology đã được ban hành vào ngày 28 tháng 5 năm 2025 và có hiệu lực hoàn toàn vào ngày 1 tháng 9 năm 2025, thành lập một AI Strategic Headquarters do Thủ tướng chủ trì và bắt buộc phải có một AI Basic Plan, được thông qua vào ngày 23 tháng 12 năm 2025. Đạo luật này không có tiền phạt và không có các lệnh cấm trực tiếp; các công cụ duy nhất của chính phủ là yêu cầu hợp tác, hướng dẫn và công khai các hành vi không tuân thủ.

Các nghĩa vụ ràng buộc đối với việc triển khai AI tại Nhật Bản vẫn đến từ luật chuyên ngành hiện hành, chủ yếu là Act on the Protection of Personal Information (APPI), cùng với AI Governance Guidelines for Business không ràng buộc của METI và MIC (phiên bản 1.1, tháng 3 năm 2025). Văn phòng Nội các đã hoàn thành một cuộc tham vấn cộng đồng về Principles and Code on Generative AI vào tháng 1 năm 2026, dự kiến sẽ ban hành như một hướng dẫn không ràng buộc bổ sung về sở hữu trí tuệ và tính minh bạch của dữ liệu. Một công ty vận hành AI tại Nhật Bản vào năm 2026 được đánh giá dựa trên sự tuân thủ APPI và sự liên kết với hướng dẫn tự nguyện, chứ không phải dựa trên chính đạo luật AI.

Điều gì thay đổi đối với việc tuân thủ dữ liệu cá nhân ở Ấn Độ từ nay đến năm 2027?

Các quy tắc Digital Personal Data Protection Rules, 2025, được thông báo vào ngày 13 tháng 11 năm 2025 theo DPDP Act 2023, bắt đầu theo ba giai đoạn riêng biệt thay vì tất cả cùng một lúc. Các Quy tắc 1, 2 và 17 đến 21, bao gồm việc thành lập Data Protection Board và kiến trúc lập quy, đã có hiệu lực ngay lập tức vào ngày 13 tháng 11 năm 2025. Quy tắc 4, khuôn khổ đăng ký Consent Manager và Section 6(9) tương ứng, bắt đầu vào ngày 13 tháng 11 năm 2026. Các nghĩa vụ cốt lõi mà hầu hết các đội ngũ tuân thủ thực sự đang chờ đợi, các yêu cầu về thông báo và sự đồng ý, thông báo vi phạm, bảo vệ dữ liệu của trẻ em, các nhiệm vụ của Significant Data Fiduciary, cùng với kiến trúc hình phạt và kháng cáo theo các Sections 3 đến 17 và 28 đến 34, sẽ không bắt đầu cho đến ngày 13 tháng 5 năm 2027.

Khoảng thời gian chuẩn bị mười tám tháng đó là có chủ ý, nhưng nó cũng là một cái bẫy đối với các đội ngũ coi DPDP Act là "chưa có thực". Board đã đi vào hoạt động và việc lập quy đang diễn ra ngay lúc này; các hệ thống được xây dựng để vượt qua sự giám sát sau tháng 5 năm 2027 cần phải được thiết kế trong năm 2026, chứ không phải được lắp ráp vào quý cuối cùng trước thời hạn.

Singapore đang quản lý AI như thế nào khi không có một đạo luật AI ràng buộc?

Hoàn toàn thông qua các khuôn khổ tự nguyện do Infocomm Media Development Authority ban hành, gần đây nhất được mở rộng để bao gồm các tác tử AI tự trị. Khuôn khổ Model AI Governance Framework for Agentic AI, ra mắt vào ngày 22 tháng 1 năm 2026, là khuôn khổ quản trị đầu tiên trên toàn thế giới giải quyết riêng cho các hệ thống tác tử, được xây dựng xoay quanh bốn khía cạnh: giới hạn rủi ro từ trước thông qua việc lựa chọn trường hợp sử dụng và quyền truy cập đặc quyền tối thiểu, chỉ định trách nhiệm giải trình rõ ràng của con người, nhúng các kiểm soát kỹ thuật trong suốt vòng đời của tác tử và cho phép trách nhiệm của người dùng cuối. Không có điều nào trong số này mang tính ràng buộc về mặt pháp lý, nhưng IMDA đã tuyên bố rằng sự liên kết với khuôn khổ này hỗ trợ việc quản lý rủi ro pháp lý, vì các tổ chức triển khai AI tác tử vẫn phải chịu trách nhiệm về các hành động của nó theo luật hiện hành bất kể trạng thái tự nguyện của khuôn khổ.

Singapore xếp lớp điều này lên trên Model AI Governance Framework for Generative AI năm 2024 và bộ công cụ thử nghiệm AI Verify được xây dựng chung với Personal Data Protection Commission. Vào tháng 2 năm 2026, Thủ tướng Lawrence Wong đã công bố một National AI Council mới và một loạt các Sứ mệnh AI Quốc gia nhắm vào sản xuất, kết nối, tài chính và chăm sóc sức khỏe, báo hiệu rằng sự đặt cược vào quy định trong thời gian tới của Singapore vẫn là luật mềm cộng với các sứ mệnh theo từng lĩnh vực cụ thể thay vì một đạo luật AI theo chiều ngang.

Điều gì thực sự có thể thực thi ở Úc và Hồng Kông ngay lúc này?

Tại Úc, một thời hạn cụ thể đã có trên lịch: từ ngày 10 tháng 12 năm 2026, đạo luật Privacy and Other Legislation Amendment Act 2024 yêu cầu các thực thể APP phải tiết lộ, trong chính sách bảo mật của họ, các loại thông tin cá nhân được sử dụng bởi bất kỳ chương trình máy tính nào đưa ra, hoặc hỗ trợ một cách đáng kể và trực tiếp, một quyết định có khả năng ảnh hưởng đáng kể đến các quyền hoặc lợi ích của một cá nhân. Nghĩa vụ này nắm bắt các hệ thống hỗ trợ AI và các công cụ dựa trên quy tắc như nhau, áp dụng ngay cả khi con người vẫn chính thức tham gia vào quy trình, và tiếp cận các quyết định được đưa ra vào hoặc sau ngày đó bất kể hệ thống cơ bản được triển khai khi nào. Office of the Australian Information Commissioner đã mở cuộc tham vấn cộng đồng về hướng dẫn thực hiện vào ngày 18 tháng 5 năm 2026, kết thúc vào ngày 15 tháng 6 năm 2026, với hướng dẫn cuối cùng dự kiến vào tháng 9 năm 2026, để lại cho các thực thể bắt đầu công việc tuân thủ mà không có nó.

Hồng Kông không có thời hạn tương đương. Các đề xuất sửa đổi đối với Personal Data (Privacy) Ordinance, bao gồm thông báo vi phạm bắt buộc, tiền phạt hành chính gắn liền với doanh thu và quy định trực tiếp đối với các bộ xử lý dữ liệu, đã được tranh luận tại Hội đồng Lập pháp vào năm 2025 nhưng, tính đến giữa năm 2026, vẫn chỉ là các đề xuất thay vì luật được ban hành, được cho là bị đình trệ do những lo ngại về gánh nặng đối với doanh nghiệp. Trong trường hợp không có các luật này, Privacy Commissioner for Personal Data quản lý AI thông qua Model Personal Data Protection Framework năm 2024 không ràng buộc và một danh sách kiểm tra vào tháng 3 năm 2025 cho việc sử dụng AI tạo sinh của nhân viên, trong khi đạo luật Protection of Critical Infrastructures (Computer Systems) Ordinance không liên quan đã có hiệu lực hoàn toàn vào ngày 1 tháng 1 năm 2026, bổ sung các nhiệm vụ an ninh mạng cho các nhà điều hành cơ sở hạ tầng quan trọng được chỉ định.

Khu vực tài phánVăn bản ràng buộc dành riêng cho AITình trạng thực thi giữa năm 2026Ngày sắp tới quan trọng
Trung QuốcGenerative AI Measures (2023) + dán nhãn GB 45438-2025Đang hoạt động, dựa trên chiến dịch, thông qua CSL/PIPL/DSLCác đợt rà soát Qinglang hàng quý đang diễn ra
Hàn QuốcAI Basic ActCó hiệu lực, tiền phạt dưới thời gian ân hạnThời gian ân hạn kết thúc vào khoảng ngày 22 tháng 1 năm 2027
Nhật BảnAI Promotion ActCó hiệu lực, không có hình phạt trực tiếpAI Basic Plan Giai đoạn II đang được phát triển
Ấn ĐộDPDP Act + DPDP Rules 2025Board đang hoạt động; các nhiệm vụ cốt lõi chưa có hiệu lựcCác nghĩa vụ cốt lõi bắt đầu vào ngày 13 tháng 5 năm 2027
SingaporeKhông có (các khuôn khổ MGF tự nguyện)Không ràng buộc, gắn liền với luật chuyên ngành hiện hànhTriển khai National AI Council trong suốt năm 2026
ÚcPrivacy Act 1988 (sửa đổi ADM)Chưa có hiệu lựcNhiệm vụ minh bạch ADM bắt đầu vào ngày 10 tháng 12 năm 2026
Hồng KôngPDPO (chưa sửa đổi)Các sửa đổi bị đình trệ từ năm 2025Không có thời gian biểu được xác nhận

Việc đọc song song bảy lộ trình quy định, bằng tiếng Quan Thoại, tiếng Hàn, tiếng Nhật và tiếng Anh, và kiểm tra lại từng lộ trình mỗi khi một bộ ban hành thông tư mới hoặc cơ quan lập pháp báo cáo một dự luật ra khỏi ủy ban, không phải là một nhiệm vụ mà bất kỳ nhân viên tuân thủ đơn lẻ nào cũng có thể duy trì thủ công trên toàn bộ phạm vi Châu Á Thái Bình Dương. Tính năng giám sát theo từng khu vực tài phán của Obsidian theo dõi từng nguồn chính thức, từ cơ quan đăng ký hồ sơ của CAC đến các thông báo Gazette của Ấn Độ, tại thời điểm xuất bản và gắn cờ biện pháp cụ thể chạm đến một khuôn khổ đã có trong danh sách theo dõi của một công ty.

Đối với các đội ngũ cần cùng một câu trả lời có nguồn gốc bên trong một quy trình làm việc thay vì một bảng điều khiển, MCP cho phép một trợ lý AI đang xử lý các tác vụ tuân thủ khác xác nhận xem thời gian ân hạn của MSIT đã thực sự kết thúc hay chưa, hoặc liệu OAIC đã công bố hướng dẫn ra quyết định tự động của mình hay chưa, mà không cần một người phải xác minh lại nguồn chính trước. AI của Obsidian hoạt động như một người bạn đồng hành về quy định trong cuộc trao đổi đó, không phải là người thay thế cho nhân viên tuân thủ, người ký duyệt câu trả lời, nó chỉ đơn giản là đưa ra sự thật có nguồn gốc ở đó trước thời hạn thay vì sau đó.

Một đội ngũ quản trị dữ liệu và AI ở Châu Á Thái Bình Dương nên làm gì tiếp theo

Sắp xếp trình tự công việc theo ngày có thể thực thi, không phải theo tiêu đề. Một đội ngũ tiếp xúc với Trung Quốc cần phải cập nhật hồ sơ AI tạo sinh và dán nhãn GB 45438 ngay bây giờ, vì các đợt rà soát thực thi diễn ra hàng quý. Một đội ngũ ở Hàn Quốc cần chuẩn bị sẵn sàng một cơ sở tuân thủ AI Basic Act trước khi thời gian ân hạn được dỡ bỏ vào khoảng tháng 1 năm 2027. Một đội ngũ ở Ấn Độ cần thiết kế kiến trúc thông báo vi phạm và sự đồng ý của mình trong năm 2026 để nó vượt qua sự giám sát của Board khi các nghĩa vụ DPDP cốt lõi có hiệu lực vào tháng 5 năm 2027. Một đội ngũ ở Úc cần chuẩn bị sẵn sàng ngôn ngữ chính sách bảo mật và danh mục quyết định của mình trước ngày 10 tháng 12 năm 2026, chứ không phải sau đó.

Các gói của Obsidian được xây dựng để theo dõi chính xác loại lịch quản trị dữ liệu và AI đa khu vực tài phán, không đồng bộ này, từng nguồn chính thức một, để thông báo tiếp theo của CAC, hướng dẫn của MSIT hoặc quyết định của OAIC đến được với đội ngũ tuân thủ trước khi nó trở thành một tiêu đề.