English
中文 (中国)
日本語
Trong thời đại công nghệ số, trí tuệ nhân tạo (AI) ngày càng đóng vai trò quan trọng trong đời sống và công việc, mang lại nhiều tiện ích vượt trội. Tuy nhiên, sự phổ biến của các ứng dụng AI nước ngoài như ChatGPT, DeepSeek cũng đặt ra những thách thức lớn về bảo mật thông tin và quyền riêng tư dữ liệu của người dùng Việt Nam.
Việc các ứng dụng này thu thập, lưu trữ và xử lý dữ liệu cá nhân ở các máy chủ đặt tại nước ngoài có thể tiềm ẩn nhiều nguy cơ, từ rò rỉ thông tin đến việc dữ liệu bị khai thác trái phép. Trước thực trạng đó, câu hỏi đặt ra là: Người dùng Việt Nam có đang thực sự kiểm soát được dữ liệu của mình khi sử dụng các công cụ AI này, hay họ đang đối mặt với những rủi ro chưa lường hết?
Cơ chế thu thập và xử lý dữ liệu của các ứng dụng AI nước ngoài
Các ứng dụng trí tuệ nhân tạo như ChatGPT, DeepSeek hoạt động dựa trên khả năng xử lý và học hỏi từ dữ liệu đầu vào của người dùng. Khi sử dụng các nền tảng này, người dùng thường cung cấp một lượng lớn thông tin thông qua các cuộc trò chuyện, truy vấn tìm kiếm hoặc nội dung trao đổi.
Những dữ liệu này có thể bao gồm thông tin cá nhân, sở thích, thói quen sử dụng internet, thậm chí cả các dữ liệu nhạy cảm liên quan đến công việc hoặc tài chính cũng được cấp cho AI mà không có sự cảnh giác thích đáng về khả năng rò rỉ thông tin.
Dữ liệu thu thập được không chỉ giúp cải thiện độ chính xác của các mô hình AI mà còn có thể được sử dụng vào các mục đích khác như phân tích hành vi người dùng, tối ưu hóa quảng cáo hoặc phục vụ cho nghiên cứu và phát triển, tạo điều kiện phát triển cho tổ chức đứng sau ứng dụng và vô số hoạt động khác khó thể được kiểm soát. Qua đó, có thể nhận định là họ thu được nguồn lợi lớn từ các dữ liệu này.
Tuy nhiên, vấn đề đáng lo ngại hơn cả là phần lớn các ứng dụng AI này đều lưu trữ và xử lý dữ liệu trên các máy chủ đặt tại nước ngoài, nằm ngoài phạm vi kiểm soát của chính phủ Việt Nam. Điều này có nghĩa là khi người dùng Việt Nam sử dụng các ứng dụng AI như ChatGPT hay DeepSeek, dữ liệu cá nhân của họ có thể được chuyển ra ngoài lãnh thổ Việt Nam mà không có sự giám sát chặt chẽ từ các cơ quan có thẩm quyền.
Hơn nữa, chính sách bảo mật dữ liệu của các công ty AI nước ngoài không phải lúc nào cũng minh bạch hoặc phù hợp với quy định pháp luật của Việt Nam. Một số công ty cam kết tuân thủ các tiêu chuẩn bảo vệ dữ liệu quốc tế, nhưng không có gì đảm bảo rằng dữ liệu của người dùng không bị khai thác cho các mục đích khác.
Điển hình, ngày 8 tháng 2 năm 2025, ứng dụng DeepSeek dành cho phiên bản iOS của Apple bị phát hiện lưu trữ và gửi dữ liệu người dùng không mã hóa đến dịch vụ lưu trữ tại Trung Quốc. Các nền tảng lưu trữ này hiển nhiên thuộc quyền kiểm soát hoàn toàn của Chính phủ Trung Quốc và qua đó, có thể bị thu thập và sử dụng sai mục đích, không được sự cho phép của người dùng iOS.
NowSecure, công ty bảo mật di động Hoa Kỳ, đánh giá ứng dụng iOS của DeepSeek tồn tại nhiều vấn đề bảo mật và quyền riêng tư. DeepSeek sử dụng mã hóa nhưng là 3DES. Đây là phương pháp mã hóa đã lỗi thời gần 1 thập kỉ, bị các công ty công nghệ hàng đầu thế giới loại bỏ năm 2016 sau khi có các nghiên cứu cho thấy nó có thể bị phá vỡ.
Công ty này cũng cho biết rằng phiên bản DeepSeek dành cho Android còn kém an toàn hơn cả phiên bản trên iOS, gây nên nhiều hoang mang trong dư luận và khiến nhiều người đưa ra kết luận rằng cơn sốt DeepSeek đầu tháng 2 năm 2025 thay thế vị trí độc tôn của ChatGPT là hoàn toàn vô lí.
Không chỉ NowSecure, Công ty an ninh mạng Wiz của Hoa Kỳ cuối tháng 1 năm 2025 cũng cho biết rằng họ đã phát hiện một kho dữ liệu nhạy cảm hơn 1 triệu dòng của DeepSeek đã vô tình bị lộ trên mạng Internet. Dù đã sớm được khắc phục nhưng đây là bằng chứng tuyệt đối về việc các nền tảng AI như DeepSeek không thể bảo mật tuyệt đối dữ liệu thu thập được.
Ngoài các mối nguy trực tiếp, các điều khoản sử dụng của những ứng dụng này thường dài, phức tạp và có thể chứa những điều khoản cho phép công ty AI thu thập, sử dụng hoặc chia sẻ dữ liệu mà người dùng không nhận thức đầy đủ.
Những yếu tố trên đặt ra nguy cơ lớn đối với quyền riêng tư và an ninh dữ liệu cá nhân của công dân Việt Nam khi sử dụng các ứng dụng AI nước ngoài. Nếu không có các biện pháp kiểm soát và bảo vệ thích hợp, người dùng có thể vô tình để lộ thông tin quan trọng mà họ không hề hay biết.
Góc nhìn quốc tế về siết chặt kiểm soát AI
Nhiều quốc gia đang ngày càng cảnh giác với sự xuất hiện của các ứng dụng trí tuệ nhân tạo mới, đặc biệt là những ứng dụng có khả năng thu thập dữ liệu cá nhân của công dân nước họ. Trường hợp của DeepSeek – công ty AI mới nổi của Trung Quốc – đang trở thành một ví dụ điển hình về cách các chính phủ thận trọng trong việc giám sát dữ liệu và bảo vệ quyền riêng tư.
Tại Italy, Cơ quan bảo vệ dữ liệu Garante đã chính thức yêu cầu DeepSeek cung cấp thông tin về việc thu thập, lưu trữ và xử lý dữ liệu của người dùng Italy. Mối quan ngại lớn nhất của họ là dữ liệu cá nhân của hàng triệu công dân có thể đã được chuyển về máy chủ đặt tại Trung Quốc mà không có sự minh bạch đầy đủ.
Trong bối cảnh đó, ứng dụng AI của DeepSeek đã bị gỡ bỏ khỏi các cửa hàng ứng dụng của Google và Apple tại Italy, cho thấy chính quyền nước này không ngần ngại thực hiện các biện pháp kiểm soát chặt chẽ đối với những công nghệ có nguy cơ ảnh hưởng đến an ninh dữ liệu quốc gia.
Không chỉ Italy, nhiều quốc gia khác cũng bắt đầu có động thái giám sát chặt chẽ hơn. Ủy ban Bảo vệ Dữ liệu Ireland đã yêu cầu DeepSeek làm rõ chính sách xử lý dữ liệu của công dân nước này, trong khi chính phủ Australia dù chưa có biện pháp cụ thể nhưng đã bày tỏ lo ngại về quyền riêng tư và bảo mật dữ liệu.
Tại Mỹ, Tổng thống Donald Trump không đưa ra tuyên bố trực tiếp về nguy cơ an ninh mà DeepSeek có thể gây ra, nhưng ông nhấn mạnh rằng sự xuất hiện của công ty này là một dấu hiệu cảnh tỉnh cho ngành công nghiệp AI của Mỹ.
Những động thái trên phản ánh xu hướng ngày càng phổ biến trên thế giới là các chính phủ đang trở nên thận trọng hơn trước sự phát triển nhanh chóng của AI và những rủi ro tiềm ẩn liên quan đến dữ liệu cá nhân mà các công nghệ này có thể gây ra nếu không có sự kiểm soát chặt chẽ.
Khi công nghệ AI tiếp tục mở rộng phạm vi ứng dụng, các quốc gia có thể sẽ thiết lập các quy định chặt chẽ hơn để kiểm soát hoạt động thu thập và sử dụng dữ liệu, đảm bảo an ninh thông tin và bảo vệ quyền riêng tư của công dân.
Thực trạng pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam
Trong bối cảnh công nghệ trí tuệ nhân tạo phát triển mạnh mẽ, dữ liệu cá nhân trở thành tài sản quý giá không chỉ đối với cá nhân mà còn đối với các tổ chức và quốc gia. Việc bảo vệ dữ liệu cá nhân đang ngày càng trở thành mối quan tâm lớn khi nhiều ứng dụng AI nước ngoài như ChatGPT, DeepSeek có khả năng thu thập, xử lý và lưu trữ dữ liệu người dùng Việt Nam mà không có sự kiểm soát chặt chẽ từ phía cơ quan chức năng.
Dù Việt Nam đã có Luật an ninh mạng 2018 số 24/2018/QH14 (“Luật an ninh mạng 2018”), Nghị định số 13/2023/NĐ-CP (“Nghị định số 13”) về hoạt động bảo vệ dữ liệu cá nhân và sắp tới có Luật Dữ liệu 2024 số 60/2024/QH15 (“Luật Dữ liệu 2024”) gồm 6 chương và 46 điều sẽ chính thức có hiệu lực từ ngày 1/7/2025, tuy nhiên, phần lớn nội dung hiện tại vẫn chỉ xoay quanh các quy định cơ bản về dữ liệu, không có quy định cụ thể trước các loại ứng dụng AI với cơ chế vận hành, hoạt động tiên tiến được triển khai, hoạt động trên lãnh thổ Việt Nam mà không chịu sự kiểm soát của Chính phủ Việt Nam.
Điển hình, Khoản 2 và Khoản 3 Điều 23 Luật Dữ liệu 2024 có quy định về việc tất cả các hình thức chuyển, xử lý dữ liệu ra ngoài lãnh thổ Việt Nam cho các mục đích như lưu trữ, xử lí dữ liệu đều cần phải bảo đảm quốc phòng, an ninh, bảo vệ lợi ích quốc gia, lợi ích công cộng, quyền và lợi ích hợp pháp của chủ thể dữ liệu, chủ sở hữu dữ liệu theo quy định của pháp luật Việt Nam và các điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.
Khoản 3 Điều 26 Luật An ninh mạng 2018 cũng có quy định doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.
Ngoài ra, doanh nghiệp ngoài nước theo quy định trên phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Việc yêu cầu cơ quan, tổ chức nước ngoài cung cấp dịch vụ trên không gian mạng và sở hữu hệ thống thông tin tại Việt Nam phải đặt văn phòng đại diện hoặc lưu trữ một số dữ liệu quan trọng tại Việt Nam là hợp lí để đảm bảo an ninh quốc gia về dữ liệu, đề phòng trường hợp rò rỉ dữ liệu nhạy cảm có quy mô lớn, có thể có tác động nghiêm trọng, sâu rộng thì có thể được xử lí kịp thời.
Dẫu vậy, trên thực tế, việc thực thi quy định này còn gặp nhiều khó khăn.
Thứ nhất là khó khăn trong giám sát và kiểm soát các công ty nước ngoài. Các ứng dụng như ChatGPT hay DeepSeek không đặt máy chủ tại Việt Nam, đồng nghĩa với việc dữ liệu của người dùng Việt Nam có thể bị chuyển ra nước ngoài mà không có sự giám sát chặt chẽ.
Thứ hai là thiếu cơ chế thực thi hiệu quả khiến quy định pháp luật chưa thực sự có tác dụng ràng buộc mạnh mẽ. Dù có yêu cầu lưu trữ dữ liệu trong nước, nhưng Việt Nam chưa có biện pháp chế tài mạnh để buộc các công ty công nghệ nước ngoài tuân thủ. Các nền tảng AI có thể tiếp tục thu thập dữ liệu người dùng mà không chịu sự kiểm soát nghiêm ngặt từ phía cơ quan chức năng.
Thứ ba là chưa có tiêu chuẩn cụ thể về bảo vệ dữ liệu AI. Luật An ninh mạng 2018 và các văn bản quy phạm pháp luật liên quan chủ yếu tập trung vào an ninh quốc gia và kiểm soát nội dung trên không gian mạng, trong khi đó, chưa có quy định rõ ràng về cách thức thu thập, lưu trữ và xử lý dữ liệu từ các hệ thống AI. Điều này dẫn đến một khoảng trống pháp lý lớn, khiến người dùng dễ bị tổn thương trước các nguy cơ rò rỉ thông tin cá nhân.
Khi so sánh với Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu (EU) – một trong những hệ thống bảo vệ dữ liệu cá nhân nghiêm ngặt nhất thế giới, có thể thấy rằng pháp luật Việt Nam vẫn còn nhiều điểm hạn chế.
GDPR đặt ra những tiêu chuẩn cao về quyền lợi của người dùng, cho phép họ kiểm soát dữ liệu cá nhân của mình, yêu cầu công ty công nghệ phải minh bạch trong việc thu thập và xử lý thông tin. Ngoài ra, GDPR còn có các điều khoản đặc biệt dành riêng cho AI, nhằm đảm bảo rằng việc thu thập dữ liệu phải được thực hiện một cách hợp pháp và có sự đồng ý rõ ràng của người dùng.
Một trong những quy định cấp tiến nhất của GDPR là quyền xóa dữ liệu, được biết đến phổ biến hơn như Quyền được lãng quên (Rights to be forgotten). Dù có khác biệt về thuật ngữ trong hệ thống pháp lý của từng quốc gia nhưng về tổng thể, quyền được lãng quên được xác định là quyền được làm câm lặng, xóa bỏ, biến mất thông tin liên quan đến các sự kiện quá khứ trong cuộc đời của chủ thể dữ liệu.
Tại Việt Nam, Khoản 5 Điều 9 Nghị định số 13 ghi nhận quyền xóa dữ liệu cá nhân của chủ thể dữ liệu và Khoản 1 Điều 16 Nghị định số 13 quy định các trường hợp chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình.
Tuy nhiên, tương tự như nhiều nội dung khác trong Nghị định số 13, nội dung về quyền xóa dữ liệu cá nhân tại Nghị định số 13 vẫn mang tính chung chung, chưa cụ thể, chi tiết về cách thực thi hay phạm vi dữ liệu cần được xóa bỏ theo yêu cầu của chủ thể dữ liệu, chưa thể tương đồng như quyền được lãng quên của các nước phát triển.
Xem chi tiết về Quyền xóa dữ liệu cá nhân tại đây.
Trước những thách thức này, Việt Nam cần có những biện pháp mạnh mẽ hơn để bảo vệ dữ liệu cá nhân của công dân trong thời đại AI.
Trong những năm gần đây, Việt Nam đã ban hành nhiều văn bản quy phạm pháp luật như Luật An ninh mạng 2018, Nghị định số 13 và Luật Dữ liệu 2024, xây dựng nên cơ sở pháp lý vững chắc về dữ liệu cá nhân. Tuy nhiên, Việt Nam cần ban hành thêm các Nghị định, Thông tư hướng dẫn triển khai, thực hiện các điều khoản luật, đồng thời tăng cường cơ chế giám sát và thực thi trong thực tiễn, yêu cầu các công ty AI nước ngoài phải minh bạch trong việc xử lý dữ liệu người dùng Việt Nam.
Thêm vào đó, Việt Nam cũng cần phát triển tiêu chuẩn bảo mật dữ liệu riêng cho AI, để đảm bảo rằng mọi hệ thống AI hoạt động tại Việt Nam đều tuân thủ các nguyên tắc bảo vệ thông tin cá nhân.
Nhìn chung, dù đã có những bước tiến trong việc xây dựng khung pháp lý bảo vệ dữ liệu cá nhân, nhưng Việt Nam vẫn cần tiếp tục hoàn thiện hệ thống này để theo kịp xu hướng quốc tế. Chỉ khi có những quy định rõ ràng và biện pháp thực thi mạnh mẽ, đồng thời có sự kiểm chứng của các tổ chức quốc tế về độ an toàn của một ứng dụng AI thì người dùng Việt Nam mới nên sử dụng các ứng dụng này mà không phải lo lắng về nguy cơ rò rỉ dữ liệu cá nhân.
ASL Law là công ty luật độc lập và cung cấp đầy đủ dịch vụ được tín nhiệm cao của Việt Nam gồm các luật sư giàu kinh nghiệm và tài năng. ASL Law được Legal500, Asia Law, WTR và Asia Business Law Journal xếp hạng là Công ty Luật hàng đầu tại Việt Nam. Có trụ sở tại Hà Nội và Thành phố Hồ Chí Minh, mục đích chính của ASL LAW là cung cấp lời tư vấn và giải pháp lý thiết thực, hiệu quả và hợp pháp nhất cho khách hàng trong nước và quốc tế. Nếu cần sự trợ giúp, Quý khách hàng có thể gửi email liên hệ tới [email protected].
Liên hệ với công ty Luật ASL LAW để được tư vấn pháp lý chuyên sâu tại Việt Nam và quốc tế.
BÀI VIẾT HỮU ÍCH LIÊN QUAN
