Khu vực Châu Á - Thái Bình Dương đang gấp rút ban hành các quy định về danh tính số và trí tuệ nhân tạo trong bối cảnh làn sóng deepfake gia tăng

Hãy cùng tập trung vào một trong những nền kinh tế số phát triển nhanh nhất trên thế giới: khu vực Châu Á - Thái Bình Dương .

Trong 18 tháng qua, ít nhất sáu khung pháp lý lớn về nhận dạng kỹ thuật số và trí tuệ nhân tạo (AI) đã được ban hành tại các quốc gia trong khu vực Châu Á-Thái Bình Dương, và nhiều khung pháp lý khác vẫn đang được soạn thảo tích cực. Tất cả những điều này đều hướng đến một mục tiêu duy nhất: thay đổi cách thức các tổ chức được phép xác minh danh tính.

Hiểu rõ những yếu tố thúc đẩy những thay đổi này – cũng như những gì chúng đòi hỏi – là bước đầu tiên để chủ động ứng phó với chúng.

Tình trạng lừa đảo bằng công nghệ deepfake đang thúc đẩy các biện pháp quản lý tại khu vực Châu Á - Thái Bình Dương

Các quy định này là phản ứng trực tiếp trước tình trạng gia tăng đột biến các vụ lừa đảo danh tính sử dụng trí tuệ nhân tạo.

A Khảo sát của Gartner năm 2025 cho thấy 62% tổ chức đã trải qua một cuộc tấn công deepfake trong năm trước. 37% tổ chức đã gặp phải deepfake trong các cuộc gọi video. Vì vậy, đây không phải là một rủi ro lý thuyết. Cũng không phải là một thử nghiệm trong phòng thí nghiệm. Đây là những cuộc tấn công thực sự, nhắm vào các tổ chức thực sự, với những khoản tiền thực sự đang bị đe dọa.

Các sự cố trong thực tế:

• Tại Hàn Quốc, thiệt hại do lừa đảo qua điện thoại đã vượt quá 1 nghìn tỷ won (~718 triệu USD) chỉ trong 10 tháng đầu năm 2025 – mức cao kỷ lục từ trước đến nay – với Chủ tịch Hiệp hội Bảo vệ Người tiêu dùng Hàn Quốc (KFCPA) Wook Kang cảnh báo rằng công nghệ trí tuệ nhân tạo tạo sinh (generative AI) và deepfake đang là nguyên nhân chính dẫn đến sự gia tăng này.
• Một cuộc gọi video sử dụng công nghệ deepfake đã lừa đảo công ty kỹ thuật Arup số tiền 25 triệu đô la.
• Bản báo cáo đã ghi nhận mức tăng vọt 720% số lượng các cuộc tấn công trên khắp Đông Nam Á trong quý 3 năm 2025, cùng với sự gia tăng 1.151% các cuộc tấn công tiêm nhiễm iOS trong nửa cuối năm 2025, một nền tảng từng được coi là khó bị tấn công.

Đây chính là quá trình công nghiệp hóa hành vi lừa đảo danh tính. Các mạng lưới tội phạm đang triển khai các công cụ deepfake đại trà trên quy mô lớn, và các cơ quan quản lý khu vực Châu Á - Thái Bình Dương đã nhận thấy điều này.

Tóm lại: Việc mở rộng hạ tầng sinh trắc học và siết chặt quy định trên toàn khu vực APAC đòi hỏi phải có quy trình xác minh danh tính có độ tin cậy cao. Các tổ chức lựa chọn các giải pháp chỉ phòng ngừa các cuộc tấn công trình bày cơ bản sẽ đối mặt với rủi ro vi phạm quy định khi các khung quy định ngày càng hoàn thiện để đối phó với các cuộc tấn công chèn dữ liệu và phương tiện tổng hợp.

Các quy định về sinh trắc học và AI tại khu vực APAC đang được đẩy mạnh: Ví dụ

Các khung quy định này bao quát ba lĩnh vực quản lý riêng biệt – quản trị trí tuệ nhân tạo (AI), bảo vệ dữ liệu và danh tính số – nhưng đều hướng tới cùng một yêu cầu: các tổ chức sử dụng AI sinh trắc học để xác minh danh tính hiện nay phải đáp ứng các tiêu chuẩn cao hơn về độ tin cậy, quyền riêng tư và trách nhiệm giải trình trong cả ba lĩnh vực này.

Các quy định pháp lý liên quan đến trí tuệ nhân tạo:

• Luật AI toàn diện của Việt Nam Luật AI toàn diện đã có hiệu lực vào ngày 1 tháng 3 năm 2026, đây là đạo luật độc lập đầu tiên về AI tại Đông Nam Á. Luật này quy định việc giám sát của con người đối với các hệ thống AI, yêu cầu gắn nhãn cho nội dung do AI tạo ra như deepfakes, và áp dụng cho các thực thể nước ngoài xử lý dữ liệu cá nhân của Việt Nam. Nếu công nghệ sinh trắc học của bạn xử lý dữ liệu cá nhân của Việt Nam, ngay cả thông qua tích hợp với đối tác, bạn đã có các nghĩa vụ pháp lý cần đánh giá. Mặc dù đã được ban hành, hướng dẫn thực thi vẫn đang được cụ thể hóa, điều này khiến việc xác định phạm vi áp dụng sớm ngay từ bây giờ trở nên quan trọng hơn bao giờ hết.
• Luật Cơ bản về Trí tuệ Nhân tạo của Hàn Quốc Luật Cơ bản về Trí tuệ Nhân tạo đã có hiệu lực vào tháng 1 năm 2026, với cơ chế giám sát dựa trên rủi ro đối với các hệ thống trí tuệ nhân tạo trong lĩnh vực tài chính, y tế và dịch vụ công.
  

Bảo vệ dữ liệu & sự đồng ý:

• Ấn Độ đang triển khai Luật Bảo vệ Dữ liệu Cá nhân Kỹ thuật số theo ba giai đoạn, đưa ra các yêu cầu mới về sự đồng ý và phân loại người quản lý dữ liệu, từ đó định hình lại cách thức thu thập và xử lý dữ liệu sinh trắc học.
• Indonesia và Malaysia đều đang thúc đẩy các luật bảo vệ dữ liệu được cập nhật để đưa vào thực thi, với các sửa đổi sửa đổi PDPA đưa ra quy định bắt buộc báo cáo vi phạm, yêu cầu về nhân viên bảo vệ dữ liệu, và – điều quan trọng đối với các nhà cung cấp dịch vụ sinh trắc học – phân loại lại dữ liệu sinh trắc học thành dữ liệu cá nhân nhạy cảm cần có sự đồng ý rõ ràng.
• Thái Lan đã hành động nhanh chóng và quyết liệt trong lĩnh vực giao thoa giữa trí tuệ nhân tạo (AI) và quyền riêng tư: vào tháng 2 năm 2026, Ủy ban Bảo vệ Dữ liệu Cá nhân đã công bố dự thảo Hướng dẫn về Bảo vệ Dữ liệu Cá nhân trong Phát triển và Sử dụng AI, yêu cầu đánh giá tác động đối với các hệ thống AI có rủi ro cao và các nghĩa vụ bảo mật. Một dự thảo Luật AI riêng biệt, phản ánh cấu trúc dựa trên rủi ro của Luật AI của Liên minh Châu Âu (EU), dự kiến sẽ được tiến hành để ban hành vào năm 2026.

Các khung công nghệ nhận dạng số:

• Úc đang siết chặt việc xác minh danh tính từ cả hai phía: Luật Danh tính Kỹ thuật số của nước này thiết lập một khung tin cậy liên kết với các cấp độ chứng nhận dành cho các nhà cung cấp dịch vụ danh tính. Luật Bảo vệ Dữ liệu Cá nhân của nước này cũng đang được cải cách, mở rộng định nghĩa về thông tin cá nhân để bao gồm rõ ràng dữ liệu sinh trắc học và dữ liệu kỹ thuật.

Các thị trường đã phát triển hơn đang cho thấy cách tiếp cận khác biệt của các cơ quan quản lý đối với cùng một vấn đề. Singapore tiếp tục vận hành một trong những hệ thống nhận dạng kỹ thuật số quốc gia tiên tiến nhất thế giới thông qua Singpass, hệ thống này tích hợp xác thực khuôn mặt như một phương thức xác thực cốt lõi và phương pháp xác thực danh tính (IDV) đã được hoàn thiện cho hơn 2.700 dịch vụ thuộc khu vực công và tư. Đạo luật Thúc đẩy AI năm 2025 của Nhật Bản áp dụng một cách tiếp cận nhẹ nhàng hơn: ưu tiên đổi mới và đáng chú ý là không áp dụng các hình phạt tiền – trái ngược với các cách tiếp cận mang tính quy định đang xuất hiện ở các nơi khác trong khu vực.

Đà phát triển này không chỉ giới hạn ở các nền kinh tế hàng đầu: Campuchia đã soạn thảo một luật bảo vệ dữ liệu toàn diện, Lào đã bắt đầu việc cấp thẻ căn cước số quốc gia, và Myanmar đã áp dụng MOSIP cho một dự án thí điểm về thẻ căn cước số.

Song song với những nỗ lực thúc đẩy về mặt pháp lý này, việc áp dụng công nghệ sinh trắc học trong khu vực đang diễn ra ngày càng nhanh chóng. Chuyên gia phân tích ngành Alan Goode đã nhận định rằng các thị trường khu vực Châu Á - Thái Bình Dương đang chuyển hướng sang sinh trắc học khuôn mặt làm phương thức xác thực truy cập chính trong các môi trường vật lý, với mô hình không cần thẻ thay thế hoàn toàn thẻ vật lý. Ông dự đoán khuôn mặt sẽ trở thành phương thức chủ đạo trong hệ thống kiểm soát truy cập vật lý bằng sinh trắc học trong vòng hai đến ba năm tới.

Mỗi quốc gia có mức độ phát triển khác nhau. Tuy nhiên, xu hướng chung là rất rõ ràng: các cơ quan quản lý trong khu vực Châu Á - Thái Bình Dương đang yêu cầu các tổ chức phải chứng minh khả năng xác minh danh tính với mức độ tin cậy cao, xử lý dữ liệu sinh trắc học một cách có trách nhiệm, đồng thời giải thích cách thức hệ thống trí tuệ nhân tạo (AI) của họ đưa ra quyết định.

Các quy định mới về sinh trắc học tại khu vực APAC đặt ra tiêu chuẩn tuân thủ cao hơn

Đối với các tổ chức vẫn đang dựa vào các biện pháp kiểm tra sự tồn tại cơ bản hoặc các phương thức xác minh danh tính cũ, hệ quả là rất rõ ràng: các khung quy định mới tại khu vực Châu Á - Thái Bình Dương không chỉ đơn thuần hỏi liệu bạn có xác minh danh tính hay không. Mà còn hỏi cách thức thực hiện.

• Phòng chống deepfake và các cuộc tấn công chèn nội dung. Luật pháp Việt Nam yêu cầu nội dung do AI tạo ra phải có thể nhận diện được. Khung pháp lý của Hàn Quốc yêu cầu đánh giá rủi ro đối với các hệ thống AI có tác động lớn. Bạn không thể đáp ứng các yêu cầu này bằng một giải pháp chỉ phòng thủ trước các bức ảnh in được đưa lên trước camera. Bạn cần khả năng phát hiện bao quát các cuộc tấn công trình chiếu, tấn công chèn dữ liệu kỹ thuật số và các phương tiện truyền thông tổng hợp hiện đã dễ dàng tiếp cận với bất kỳ ai sở hữu một chiếc laptop.
• Bảo vệ quyền riêng tư thông qua kiến trúc, chứ không phải thông qua chính sách. DPDP của Ấn Độ và Luật Bảo vệ Dữ liệu Cá nhân của Việt Nam áp dụng các yêu cầu nghiêm ngặt về sự đồng ý và xử lý. Các tổ chức cần các giải pháp chuyển đổi dữ liệu khuôn mặt thành các mẫu sinh trắc học, trong đó dữ liệu cá nhân và dữ liệu sinh trắc học được tách biệt về mặt cấu trúc – nơi không có thực thể nào có thể liên kết khuôn mặt với tên. Đó là một quyết định thiết kế, không phải là một văn bản chính sách.
• Giám sát mối đe dọa liên tục, chứ không phải chứng nhận tại một thời điểm cụ thể. Các cơ quan quản lý ngày càng muốn thấy rằng các hệ thống AI được quản lý tích cực. Một bài kiểm tra tính hoạt động đã được chứng nhận cách đây mười hai tháng và không có sự phát triển nào kể từ đó có thể trở thành gánh nặng thay vì là tài sản. Điều quan trọng là liệu giải pháp của bạn có đang thích ứng với các cuộc tấn công đang diễn ra ngay lúc này hay không – và đó chính xác là điều mà một Trung tâm Hoạt động An ninh mang lại.
• Tuân thủ các tiêu chuẩn toàn cầu mới nổi. Liên minh Liên minh FIDO sẽ tổ chức hội nghị Authenticate APAC lần đầu tiên tại Singapore vào tháng 6 năm 2026. NIST SP 800-63-4, Xác thực khuôn mặt FIDOvà CEN/TS 18099 đang trở thành các tiêu chuẩn tham chiếu của các cơ quan quản lý khu vực APAC. Nếu nhà cung cấp dịch vụ sinh trắc học của bạn không thể chứng minh được các chứng nhận độc lập, được công nhận theo các tiêu chuẩn này, đó là một vấn đề.

Lưu ý: nhiều khung quy định trong khu vực Châu Á - Thái Bình Dương (APAC) có thể chỉ tham chiếu đến các tiêu chuẩn như ISO 30107-3, mà không yêu cầu rõ ràng phát hiện tấn công chèn dữ liệu . DIA là hình thức tấn công nguy hiểm nhất, nhưng các tiêu chuẩn vẫn đang cố gắng bắt kịp. NIST SP 800-63-4 yêu cầu phải chứng minh khả năng chống lại các cuộc tấn công chèn mã, và CEN/TS 18099 cung cấp phương pháp thử nghiệm độc lập. Các cơ quan quản lý khu vực APAC có khả năng sẽ đi theo hướng này khi các quy định được đề cập phát triển và hoàn thiện.

Bước tiếp theo là gì? Làm thế nào để chuẩn bị cho việc tuân thủ các quy định về nhận dạng số tại khu vực APAC

Các quy định này áp dụng cho mọi tổ chức thực hiện xác minh danh tính tại khu vực Châu Á – Thái Bình Dương (APAC) – bất kể quý vị đang thực hiện quy trình tiếp nhận khách hàng, xác thực nhân viên hay hỗ trợ các giao dịch xuyên biên giới. Dưới đây là những bước đầu tiên quý vị nên thực hiện:

Đánh giá phạm vi tuân thủ quy định của bạn: Nếu bạn đang xử lý dữ liệu cá nhân tại Việt Nam, Ấn Độ, Indonesia hoặc các thị trường APAC khác – ngay cả thông qua các tích hợp của bên thứ ba – hãy xác định các khung pháp lý nào áp dụng cho hoạt động của bạn và mức độ đảm bảo danh tính mà các cơ quan chức năng yêu cầu.

Kiểm tra hệ thống xác minh danh tính của bạn: Giải pháp hiện tại của bạn có bảo vệ chống lại các cuộc tấn công chèn mã và deepfake hay chỉ chống lại các hình thức giả mạo cơ bản? Khoảng cách giữa hai mức độ này chính là nơi kẻ tấn công lợi dụng và cũng là nơi tiềm ẩn rủi ro tuân thủ quy định.

Hãy ưu tiên kiến trúc bảo mật hơn là những biện pháp bảo mật mang tính hình thức: Hãy tìm kiếm các giải pháp có tính năng tách biệt dữ liệu theo cấu trúc, ẩn danh hóa và xử lý dựa trên đám mây để ngăn chặn bất kỳ bên nào xác định lại danh tính của một cá nhân. Nếu nhà cung cấp của bạn không thể giải thích kiến trúc của họ theo những thuật ngữ này, hãy tiếp tục tìm kiếm.

Yêu cầu các chứng nhận độc lập: Hãy hỏi nhà cung cấp giải pháp sinh trắc học của bạn rằng họ được chứng nhận theo những tiêu chuẩn nào – NIST, FIDO, ISO, CEN – và bởi phòng thí nghiệm được công nhận nào. Những tuyên bố tự khẳng định không phải là bằng chứng.

• Khám phá cách các giải pháp sinh trắc học tuân thủ tiêu chuẩn APAC của iProov giúp các tổ chức đạt được các mức độ đảm bảo danh tính cao nhất→ Đặt lịch trình trình diễn
• Để có cái nhìn toàn diện về sự phát triển của các cuộc tấn công này → Báo cáo Tình báo Đe dọa năm 2026 của iProov.

iProov cung cấp giải pháp xác thực khuôn mặt sinh trắc học có độ tin cậy cao cho các tổ chức, bao gồm GovTech Singapore, Bộ An ninh Nội địa Hoa Kỳ, và Bộ Nội vụ Anh. iProov đã vượt qua mốc một triệu lượt xác minh sinh trắc học hàng ngày vào năm 2025 và là nhà cung cấp dịch vụ sinh trắc học đầu tiên được chứng nhận độc lập đáp ứng tiêu chuẩn NIST 800-63-4.