Đến ngày 2 tháng 8 năm 2026 còn khoảng một tháng - và chính vào ngày này, Luật AI Châu Âu sẽ không còn là một quy định "trên giấy" và sẽ có quyền lực thực sự về việc phạt. Đối với tất cả những ai thu thập dữ liệu trên mạng - từ việc đào tạo các mô hình lớn đến việc theo dõi giá cả đơn giản - đây là một cột mốc, sau đó các lệnh cấm thu thập dữ liệu có thể đọc được bằng máy sẽ lần đầu tiên có giá trị theo bản quyền, và các nhà cung cấp mô hình AI sẽ phải tiết lộ những gì họ đã được đào tạo. Chúng ta sẽ phân tích những gì cụ thể sẽ thay đổi và ai sẽ bị ảnh hưởng trong thực tế.
Những gì sẽ có hiệu lực vào ngày 2 tháng 8 năm 2026
Luật AI EU được triển khai theo từng giai đoạn. Các thực hành bị cấm đã không còn áp dụng từ tháng 2 năm 2025, và các nghĩa vụ đối với các nhà cung cấp mô hình đa năng (GPAI - general-purpose AI) chính thức có hiệu lực từ ngày 2 tháng 8 năm 2025. Nhưng chính vào ngày 2 tháng 8 năm 2026, quy định sẽ hoàn toàn có hiệu lực: các yêu cầu đối với các hệ thống có rủi ro cao sẽ được đưa vào, và quan trọng nhất, cơ quan quản lý sẽ có quyền phạt vì không tuân thủ các nghĩa vụ GPAI.
Mức phạt sẽ như sau:
- lên đến 35 triệu euro hoặc 7% doanh thu toàn cầu - đối với các thực hành bị cấm (cao hơn);
- lên đến 15 triệu euro hoặc 3% doanh thu toàn cầu - đối với các vi phạm liên quan đến các hệ thống có rủi ro cao và nghĩa vụ GPAI;
- lên đến 7,5 triệu euro hoặc 1% doanh thu - đối với việc cung cấp thông tin sai lệch cho cơ quan quản lý.
Quy định có hiệu lực ngoài lãnh thổ: các nghĩa vụ áp dụng cho nhà cung cấp bất kể vị trí của họ, nếu mô hình được đưa ra thị trường EU. Một công ty AI của Mỹ hoặc châu Á, sản phẩm của họ có sẵn cho người châu Âu, sẽ phải tuân theo các quy tắc tương tự.
Các nhà cung cấp GPAI phải làm gì
Có ba nghĩa vụ chính, và hai trong số đó liên quan trực tiếp đến việc thu thập dữ liệu:
- Tài liệu kỹ thuật - mô tả kiến trúc của mô hình, phương pháp và tài nguyên đào tạo, có sẵn cho các cơ quan giám sát và các nhà phát triển cấp dưới.
- Tóm tắt công khai về dữ liệu đào tạo - nhà cung cấp phải công bố một mô tả "đủ chi tiết" về nội dung mà mô hình đã được đào tạo, theo mẫu mà AI Office phát hành. Đây là nỗ lực đầu tiên trên thế giới để buộc các nhà phát triển mô hình phải báo cáo công khai về các nguồn dữ liệu.
- Chính sách tuân thủ bản quyền - nhà cung cấp phải tôn trọng các cơ chế từ chối text-and-data-mining (TDM) theo Điều 4 của Chỉ thị về bản quyền 2019/790, bao gồm các tín hiệu có thể đọc được bằng máy.
Đối với các mô hình có rủi ro hệ thống (ngưỡng đào tạo 10^25 FLOPs), sẽ có thêm kiểm tra đối kháng và báo cáo bắt buộc về các sự cố. Các mô hình hiện có trên thị trường sẽ được gia hạn - cần phải đưa chúng vào tuân thủ hoàn toàn trước ngày 2 tháng 8 năm 2027.
robots.txt nhận được "trọng lượng" bản quyền
Thay đổi chính cho ngành công nghiệp thu thập dữ liệu nằm trong yêu cầu về bản quyền. Trước đây, tệp robots.txt là một thỏa thuận giữa các bên: việc bỏ qua nó vi phạm quy tắc của trang web, nhưng bản thân nó không được coi là vi phạm pháp luật. Giờ đây, dưới sự bảo vệ của Điều 4 của Chỉ thị 2019/790, việc bảo lưu quyền có thể đọc được bằng máy - robots.txt, tiêu chuẩn mới ai.txt, và các nhãn TDM - sẽ có trọng lượng bản quyền. Chủ sở hữu quyền, người đã thể hiện sự từ chối khai thác dữ liệu theo hình thức có thể đọc được bằng máy, thực sự được bảo vệ bởi bản quyền khỏi việc sử dụng nội dung của họ cho việc đào tạo.
Để chuẩn hóa các tín hiệu này, Ủy ban Châu Âu đã khởi động một cuộc tham vấn về các giao thức bảo lưu quyền: nhiệm vụ là đạt được một định dạng có thể đọc được bằng máy, sẽ được công nhận là "trạng thái ngành" và được các chủ sở hữu quyền chấp nhận rộng rãi. Nói cách khác, EU đang xây dựng một ngôn ngữ pháp lý có ý nghĩa để từ chối việc thu thập dữ liệu cho việc đào tạo AI.
Bối cảnh: các nền tảng đã bắt đầu tấn công
Quy định này được áp dụng vào một thị trường đã trở nên khốc liệt. Vào tháng 7 năm 2025, Cloudflare, bảo vệ khoảng 20% web, đã trở thành nhà cung cấp hạ tầng đầu tiên mặc định chặn các trình thu thập AI cho tất cả các miền mới - giờ đây, chủ sở hữu trang web cần phải rõ ràng cho phép các bot cụ thể. Đến tháng 8 năm 2025, hơn 2,5 triệu trang web đã hoàn toàn cấm việc sử dụng nội dung của họ cho việc đào tạo AI; chỉ riêng GPTBot đã bị chặn bởi khoảng 19% trang web. Trong số các trình thu thập bị chặn nhiều nhất có GPTBot, ClaudeBot, CCBot, Google-Extended và Bytespider.
Tuy nhiên, khoảng cách là rất lớn: theo dữ liệu của Cloudflare, các bot AI truy cập khoảng 39% trong số 1 triệu2,98% trong số đó thực sự chặn hoặc thách thức các yêu cầu như vậy. Đồng thời, Cloudflare đã khởi động mô hình Pay Per Crawl - trang web trả lời các bot với thông điệp "402 Payment Required", và các công ty AI phải trả tiền để có quyền truy cập. Việc thu thập dữ liệu từ "tất cả đều được phép" miễn phí đã biến thành một thị trường có giá cả.
Mặt trận pháp lý cũng không đứng yên. Reddit đã đệ đơn kiện chống lại Perplexity AI và các nhà thu thập và nhà cung cấp proxy liên quan (SerpApi, Oxylabs, AWMProxy), và luật sư chính của họ đã nêu rõ bản chất của cuộc xung đột: "Các công ty AI đang bị kẹt trong một cuộc đua vũ trang để có được nội dung chất lượng từ con người, và áp lực này đã tạo ra một nền kinh tế quy mô công nghiệp về việc rửa dữ liệu". Đồng thời, Reddit đã ký các thỏa thuận cấp phép với OpenAI và Google - tức là dữ liệu được bán cho những ai trả tiền, và những ai lấy miễn phí sẽ bị truy cứu. LinkedIn trong một vụ kiện riêng đã buộc tội công ty ProAPIs đã tạo ra khoảng một triệu tài khoản giả để thu thập và bán lại hồ sơ với giá lên đến 15.000 đô la mỗi tháng.
Điều này có nghĩa là gì đối với những người thu thập dữ liệu
Điều đầu tiên và quan trọng nhất - không cần hoảng loạn. Luật AI EU không cấm thu thập dữ liệu từ web và không biến việc thu thập dữ liệu công khai thành một tội ác. Quy định này nhắm vào các nhà cung cấp mô hình AI và các hệ thống có rủi ro cao. Nếu bạn theo dõi giá cả của đối thủ, thu thập dữ liệu cho phân tích SEO, kiểm tra kết quả tìm kiếm hoặc tổng hợp các đánh giá công khai, bạn sẽ không trở thành "nhà cung cấp GPAI" và không phải chịu các nghĩa vụ mới một cách trực tiếp.
Ai thực sự bị ảnh hưởng bởi Luật này
Các đối tượng bị ảnh hưởng là những người đào tạo hoặc tái đào tạo các mô hình lớn trên dữ liệu đã thu thập và đưa chúng ra thị trường EU. Đối với họ, việc công bố tóm tắt dữ liệu đào tạo và tôn trọng các từ chối TDM trở thành yêu cầu pháp lý với các hình phạt thực sự. Nếu việc thu thập dữ liệu của bạn là một mắt xích trong quy trình đào tạo mô hình, các nguồn sẽ phải được tài liệu hóa, và các lệnh cấm có thể đọc được bằng máy sẽ phải được tuân thủ.
Cách thu thập dữ liệu một cách hợp lý
Hiệu ứng thứ hai - gián tiếp, nhưng sẽ ảnh hưởng đến tất cả. Càng nhiều trọng lượng pháp lý được trao cho các từ chối có thể đọc được bằng máy và càng quyết liệt các nền tảng chặn lưu lượng tự động, mức độ yêu cầu cho bất kỳ việc thu thập dữ liệu nào sẽ càng cao. Một số kết luận thực tiễn:
- Đọc robots.txt và các nhãn TDM và đưa ra quyết định có ý thức về chúng. Việc bỏ qua từ chối có thể đọc được bằng máy giờ đây không chỉ là rủi ro bị cấm, mà còn là một câu chuyện bản quyền tiềm năng, đặc biệt nếu dữ liệu được sử dụng để đào tạo mô hình.
- Phân chia các nhiệm vụ. Việc thu thập các sự kiện công khai (giá cả, tình trạng, xếp hạng) và sao chép nội dung được bảo vệ bản quyền cho việc đào tạo là hai vấn đề pháp lý khác nhau. Xây dựng quy trình sao cho không trộn lẫn chúng.
- Giảm thiểu tải trọng và không giả mạo thành người dùng thật ở những nơi gây hiểu lầm. Câu chuyện về một triệu tài khoản giả của LinkedIn là một ví dụ rõ ràng về cách các phương pháp "xám" biến thành kiện tụng.
- Sử dụng hạ tầng truy cập hợp pháp. Khi việc thu thập dữ liệu diễn ra phân tán và từ các IP người dùng thực, nó tạo ra ít tải hơn cho từng nút và không trông giống như một cú bắn từ một trung tâm dữ liệu. Proxy dân cư cung cấp lưu lượng không thể phân biệt với người dùng bình thường, và cho các nhiệm vụ có tải cao, nơi không cần "tính người" tối đa, các proxy trung tâm dữ liệu nhanh hơn sẽ phù hợp.
Cũng cần nhớ về bức tranh tổng thể của lưu lượng: chúng ta đã phân tích cách các bot lần đầu tiên vượt qua con người trên internet - chính sự chuyển dịch này đã khiến các nền tảng phải đóng cửa. Và để làm việc thực tế với các nền tảng cụ thể, phân tích của chúng tôi về việc thu thập an toàn X (Twitter) mà không bị cấm sẽ hữu ích: những nguyên tắc tương tự - tôn trọng các giới hạn, phân phối các yêu cầu, sử dụng IP đáng tin cậy - cũng hoạt động trong thực tế quy định mới này.
Kết luận
Ngày 2 tháng 8 năm 2026 không phải là "kết thúc của việc thu thập dữ liệu", mà là một điểm mà sau đó việc thu thập dữ liệu sẽ hoàn toàn chia thành hai con đường. Việc thu thập tài liệu, tôn trọng các từ chối có thể đọc được bằng máy và làm việc với dữ liệu công khai - sẽ trở thành chuẩn mực và bảo vệ. Việc thu thập ngầm, vượt qua các lệnh cấm rõ ràng và giả mạo thành người dùng để đào tạo mô hình - sẽ phải đối mặt với rủi ro bị phạt lên đến 15 triệu euro hoặc 3% doanh thu và các vụ kiện từ các nền tảng. Luật AI EU không đóng cửa - nó chuyển việc thu thập dữ liệu từ "cánh đồng hoang dã" sang chế độ mà các quy tắc cuối cùng cũng có giá trị. Và những ai tái cấu trúc quy trình trước sẽ thắng, chứ không phải một tuần trước thời hạn.
```