The EU AI Act entered into force on 1 August 2024 and begins phased application from 2 February 2025, establishing a clear legal baseline for AI activities connected to the EU market. Within that framework, AI literacy in Article 4 is the operational starting point, directing organisations to raise role-specific competence for people who operate or use AI on their behalf. This article consolidates three essential dimensions for leaders: what “adequate” literacy requires in practice, who falls inside or outside the law’s scope, and how to sequence compliance against the staged timeline and sanctions. The aim is to help teams plan a workable roadmap, prioritise material risks, and maintain evidence that stands up to regulatory scrutiny.

AI literacy under Article 4

Article 4 sets a dual obligation: both providers and deployers must ensure an “adequate” level of AI literacy for the people who operate or use AI systems on their behalf. Adequacy is not a slogan but a legal threshold that considers existing technical knowledge, professional experience, education and training, specific use context, and the population affected. Read plainly, the provision is outcome-oriented: organisations should be able to justify that the competence of relevant personnel matches the risks and tasks associated with each system, rather than relying on generic, one-off courses detached from real operations.

The practical consequence is a programmatic approach to competence, aligned with roles across product, engineering, data, compliance, and frontline operations. An adequate program clarifies who must know what, and why, before they configure, monitor, or use an AI system. It should connect training content to concrete workflows such as model approval, change control, incident handling, and human oversight in sensitive contexts. Because Article 4 does not prescribe a fixed curriculum, organisations retain flexibility to tailor content by industry and impact, provided they can explain the rationale and show that skills remain current.

Evidence matters as much as activity. Documentation should substantiate that relevant staff achieved intended learning outcomes, met role-based competency criteria, and received updates when systems or risks changed. That evidence can be integrated into onboarding, refresher cycles, and internal audit trails tied to model releases or major upgrades. Framing AI literacy as an ongoing capability, rather than a compliance checkbox, also improves day-to-day decision quality, reduces avoidable misuse, and supports credible explanations if authorities ask how “adequate” was ensured for particular roles and contexts.

Scope and exclusions

The Act uses a market-facing scope. If you place an AI product or model on the EU market, the rules apply regardless of where the organisation is established. Deployers established in the EU are also in scope, even when infrastructure or upstream development sits elsewhere. This extraterritorial reach reflects a consumer and market-integrity logic: where EU persons and markets are affected, the obligations follow the effect, not merely the corporate address. For cross-border operations, this means aligning contracts, product documentation, and distribution practices with the roles and responsibilities defined in the law.

At the same time, the Act draws boundaries to avoid overreach. Activities for military, defence, or national security purposes sit outside its scope, and natural persons using AI for purely personal, non-commercial purposes are excluded. These exclusions preserve legitimate state functions and everyday private use, while keeping commercial and public-impact deployments inside the regulatory perimeter. None of the exclusions, however, shield commercial activity that masquerades as personal use, or large-scale systems that materially affect EU users through indirect channels.

Governance starts with a precise internal applicability map. Identify products, models, or features that have presence in the EU, directly or via partners. For each item, clarify whether your organisation acts as a provider or deployer, because the obligations differ across roles and phases. Pair that mapping with a tiered risk view so resources concentrate where impact is higher. This reduces the chance of “over-complying” in low-risk corners while under-investing in areas where prohibitions or sensitive use contexts may trigger stricter scrutiny and higher documentation burdens.

Application timeline and sanctions

The Regulation entered into force on 1 August 2024, twenty days after its publication in the Official Journal on 12 July 2024. Application begins in stages. From 2 February 2025, Chapters I and II apply, including the prohibitions and the Article 4 literacy obligation. Practically, that is the moment to lock in baseline policies, role definitions, and training plans, and to ensure your operational controls recognise prohibited practices and route sensitive decisions to human oversight in line with internal standards.

From 2 August 2025, obligations for general-purpose AI models begin to apply. Organisations that build on or supply such models will need clearer transparency and governance arrangements in their product and procurement chains. Most remaining provisions apply from 2 August 2026, which makes the intervening period a crucial window for finishing risk assessments, refining monitoring, and consolidating evidence across product and compliance systems. Working backwards from those cut-off dates helps budget owners stage investments and test controls before they become mandatory across the board.

Enforcement will materialise through national regimes. Member States must lay down and notify penalty rules and enforcement measures, ensuring the Regulation can be effectively applied. Breaches of prohibitions can draw fines up to thirty-five million euros or seven percent of worldwide annual turnover, whichever is higher. Given those ceilings, credible readiness depends on a living evidentiary backbone: documented policies, role-based literacy records, testing logs, and human-in-the-loop procedures linked to real releases. That backbone should make it straightforward to show who was trained, on what, when, and with what effect.

The most reliable starting point for an AI Act roadmap is Article 4 literacy, because capability sits between legal intention and operational behaviour. When people who configure, monitor, or use AI understand system limits, failure modes, and intervention protocols, downstream controls work and prohibited practices are easier to avoid. Build a precise applicability map, confirm your role as provider or deployer for each offering, and check exclusions to prevent unnecessary scope creep. Then sequence delivery against the three anchors: literacy and prohibitions from 2 February 2025, general-purpose model obligations from 2 August 2025, and the broader application from 2 August 2026. Finally, treat documentation as a strategic asset, not an afterthought. If your files can already answer “who, what, when, and why” for literacy and oversight, your organisation will be positioned to reduce risk and engage regulators with confidence.

AI Act & AI Literacy

EU AI Act đã có hiệu lực từ ngày 01/08/2024 và bắt đầu áp dụng từng phần từ 02/02/2025, đặt nền tảng pháp lý cho mọi hoạt động AI có liên quan đến thị trường EU. Trong đó, AI literacy ở Điều 4 là đòn bẩy khởi đầu, hướng doanh nghiệp vào việc nâng chuẩn năng lực của đội ngũ theo vai trò và bối cảnh sử dụng. Bài viết này hệ thống hóa ba mảnh ghép quan trọng: nghĩa vụ nâng cao hiểu biết AI, phạm vi và ngoại lệ áp dụng, cùng lộ trình thời gian và chế tài thực thi. Mục tiêu là giúp nhà quản trị lập kế hoạch tuân thủ khả thi, ưu tiên đúng rủi ro và có thể chứng minh được bằng hồ sơ nội bộ.

AI literacy theo Điều 4

Điều 4 yêu cầu cả nhà cung cấp lẫn bên triển khai bảo đảm mức hiểu biết về AI “đủ” cho những người vận hành hoặc sử dụng hệ thống thay mặt tổ chức. Mức “đủ” phải xét đến kiến thức kỹ thuật sẵn có, kinh nghiệm nghề nghiệp, nền tảng giáo dục và đào tạo, bối cảnh sử dụng cụ thể, cũng như nhóm người bị tác động bởi hệ thống. Nghĩa vụ này đặt ra logic vận hành rõ ràng: không chỉ “có khóa học”, mà còn phải thiết kế chương trình theo vai trò, minh chứng bằng tài liệu, và duy trì năng lực qua thời gian.

Nghĩa vụ AI literacy có ý nghĩa kép khi đứng cạnh các yêu cầu khác của AI Act, bởi nó giúp giảm rủi ro sai lệch trong thiết kế, triển khai, và giám sát vận hành. Một chương trình đào tạo bài bản sẽ tạo điều kiện cho các nhóm vận hành hiểu đúng giới hạn công nghệ, phương pháp kiểm soát, và trách nhiệm pháp lý tương ứng. Từ đó, doanh nghiệp có thể chuẩn hóa quy trình phê duyệt mô hình, hồ sơ quản trị thay đổi, và cơ chế can thiệp của con người trong các tình huống nhạy cảm. Tính “đủ mức” vì thế phải được chứng minh bằng kết quả học tập, tiêu chí năng lực, và hồ sơ cập nhật định kỳ.

Triển khai thực tế đòi hỏi ánh xạ năng lực theo vai trò như sản phẩm, kỹ thuật, dữ liệu, tuân thủ và vận hành tuyến đầu. Mỗi nhóm cần chuẩn đầu ra khác nhau, ví dụ tiêu chí nhận biết rủi ro, quy tắc sử dụng mô hình tổng quát, hoặc quy trình xử lý phản hồi. Điều 4 không đưa giáo trình cứng, nhưng khung pháp lý cho phép bạn nội địa hóa nội dung theo ngành và mức độ tác động. Doanh nghiệp nên gắn đào tạo với quy trình phê duyệt release, kiểm thử định kỳ, và kiểm toán nội bộ, để chứng minh năng lực luôn tương thích với thay đổi của hệ thống.

Phạm vi áp dụng và ngoại lệ

AI Act áp dụng theo logic thị trường: nếu bạn đặt sản phẩm hoặc mô hình AI trên thị trường EU, quy định vẫn áp dụng dù tổ chức đặt ở đâu. Bên triển khai có cơ sở tại EU cũng thuộc phạm vi, bất kể hạ tầng kỹ thuật đặt ngoài khối. Cách tiếp cận này phản ánh mục tiêu bảo vệ người dùng và trật tự thị trường chung, đồng thời kéo trách nhiệm tuân thủ đến gần nơi phát sinh tác động. Vì vậy, doanh nghiệp có hoạt động xuyên biên giới cần rà soát chuỗi cung ứng, hợp đồng và tài liệu sản phẩm để bảo đảm điều khoản phù hợp.

Quy định cũng ghi nhận các ngoại lệ nhằm tránh “over-reach” vào khu vực phi dân sự hoặc đời sống cá nhân phi thương mại. Các hoạt động phục vụ mục đích quốc phòng, an ninh quốc gia và các bối cảnh quân sự nằm ngoài phạm vi áp dụng. Đồng thời, người dùng tự nhiên sử dụng cho mục đích cá nhân phi thương mại cũng không thuộc đối tượng điều chỉnh. Những ngoại lệ này giúp cân bằng giữa mục tiêu bảo vệ và tự do sử dụng hợp lý, nhưng không miễn trừ cho các hoạt động thương mại núp bóng cá nhân hay các mô hình có tác động quy mô lớn.

Từ góc độ quản trị, định nghĩa phạm vi và ngoại lệ là bước đầu trong ma trận áp dụng nội bộ. Bạn cần xác định dòng sản phẩm, mô hình, hoặc tính năng có hiện diện tại EU, trực tiếp hoặc qua đối tác phân phối. Với mỗi hạng mục, hãy đối chiếu vai trò pháp lý của tổ chức là nhà cung cấp hay bên triển khai, vì nghĩa vụ cụ thể có khác biệt. Song hành, đánh giá rủi ro phải phân tầng theo mức tác động, để không dàn trải tài nguyên và bỏ sót điểm nóng cần ưu tiên kiểm soát hoặc dừng triển khai.

Timeline áp dụng và chế tài

AI Act có hiệu lực kể từ ngày 01/08/2024, tức hai mươi ngày sau khi đăng trên Công báo Liên minh châu Âu. Tuy nhiên, quy định được áp dụng theo lộ trình, bắt đầu với các chương đầu tiên. Từ ngày 02/02/2025, Chương I và II được áp dụng, bao gồm nghĩa vụ AI literacy ở Điều 4 và các hành vi bị cấm. Mốc này là tín hiệu cho doanh nghiệp khởi động đào tạo nền tảng, cập nhật chính sách nội bộ, và chuẩn bị cơ chế kiểm soát sử dụng theo bối cảnh.

Tiếp theo, từ ngày 02/08/2025, các nghĩa vụ liên quan đến mô hình AI mục đích chung bắt đầu áp dụng. Đây là thời điểm quan trọng với những tổ chức sử dụng hoặc cung cấp mô hình tổng quát trong chuỗi sản phẩm, bởi yêu cầu minh bạch và quản trị sẽ chặt chẽ hơn. Phần lớn điều khoản còn lại sẽ áp dụng từ ngày 02/08/2026, đòi hỏi doanh nghiệp hoàn thiện nốt các quy trình, đánh giá rủi ro, và hồ sơ chứng minh. Việc phân pha như vậy cho phép lập kế hoạch nguồn lực, phân bổ ngân sách, và chạy thử các kiểm soát quan trọng trước khi ràng buộc đầy đủ.

Cùng với lộ trình áp dụng là cơ chế thực thi ở cấp quốc gia. Các quốc gia thành viên có trách nhiệm ban hành và thông báo cho Ủy ban về quy tắc xử phạt và biện pháp thực thi, bảo đảm khả năng cưỡng chế. Vi phạm hành vi bị cấm có thể bị phạt tối đa ba mươi lăm triệu euro hoặc bảy phần trăm doanh thu toàn cầu năm trước, tùy mức nào cao hơn. Điều này yêu cầu doanh nghiệp duy trì bộ hồ sơ tuân thủ có thể kiểm chứng, bao gồm chính sách, chương trình AI literacy theo vai trò, biên bản kiểm thử và quy trình can thiệp của con người.

Lộ trình tuân thủ hiệu quả nên bắt đầu bằng AI literacy như một điều kiện mở khóa, vì đây là chiếc cầu nối giữa pháp lý và vận hành hằng ngày. Khi đội ngũ hiểu đúng năng lực và giới hạn của mô hình, doanh nghiệp có thể thiết kế kiểm soát thực dụng, đồng thời giảm rủi ro vi phạm các hành vi bị cấm. Hãy dựng ma trận phạm vi theo sản phẩm và vai trò pháp lý, nhận diện rõ hiện diện tại EU, và kiểm tra ngoại lệ để tránh “quá tuân thủ”. Tiếp đó, bám sát ba mốc chính để dàn đều khối lượng công việc: nền tảng và lệnh cấm từ 02/02/2025, nghĩa vụ với mô hình mục đích chung từ 02/08/2025, và áp dụng phần lớn điều khoản từ 02/08/2026. Cuối cùng, chuẩn hóa hồ sơ và quy trình để có thể kiểm chứng, vì thực thi sẽ diễn ra ở cấp quốc gia với mức phạt đáng kể.

Nguồn tham khảo:

Official Journal - https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

European Commission, AI Act overview - https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

European Commission, AI Literacy Q&A - https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers