Nội dung chính
1. ChatGPT thực sự làm gì với dữ liệu của bạn?
Khi bạn gõ một câu hỏi vào ChatGPT, điều gì xảy ra với nội dung đó? Đây là sự thật mà ít người để ý khi đọc điều khoản dịch vụ:
Dữ liệu được lưu trên máy chủ của OpenAI:
Mọi cuộc hội thoại bạn có với ChatGPT - bao gồm cả những file bạn upload - đều được xử lý và lưu trữ trên máy chủ của OpenAI. Theo chính sách mặc định, OpenAI có thể dùng các cuộc hội thoại này để cải thiện và huấn luyện mô hình AI của họ.
Dữ liệu có thể dùng để huấn luyện AI:
Nếu bạn không chủ động tắt tính năng "Improve the model for everyone" trong phần cài đặt, OpenAI mặc định có quyền dùng nội dung cuộc trò chuyện của bạn vào việc huấn luyện AI. Điều này có nghĩa là câu hỏi bạn đặt hôm nay, thông tin bạn chia sẻ, có thể gián tiếp ảnh hưởng đến cách AI trả lời người khác trong tương lai.
Nhân viên OpenAI có thể xem:
Theo chính sách bảo mật của OpenAI, nhân viên và các nhà thầu bên thứ ba có thể xem lịch sử hội thoại của bạn - chủ yếu để kiểm tra nội dung vi phạm chính sách và cải thiện hệ thống. Đây không phải điều bất thường trong ngành công nghiệp, nhưng ít người biết.
Dữ liệu có thể trở thành công khai nếu có sự cố:
Tháng 7/2025, một sự cố kỹ thuật nghiêm trọng xảy ra: hàng nghìn cuộc hội thoại được chia sẻ qua link đã bị Google index và trở thành kết quả tìm kiếm công khai. Cùng năm đó, hơn 225.000 thông tin đăng nhập OpenAI/ChatGPT bị rao bán trên các chợ dark web, thu thập bởi mã độc LummaC2.
2. So sánh: các nền tảng AI nào minh bạch hơn về dữ liệu?
Không phải mọi AI đều như nhau. Nghiên cứu của Dataconomy năm 2025 xếp hạng các nền tảng AI theo độ minh bạch về quyền riêng tư:
Cho phép opt-out khỏi huấn luyện AI (bạn có thể tắt):
- ChatGPT (OpenAI): Có, vào Settings > Data Controls > tắt "Improve the model for everyone"
- Microsoft Copilot: Có, có thể tắt tùy chọn thu thập dữ liệu
- Mistral Le Chat: Có, chính sách minh bạch hơn mức trung bình
- Grok (xAI): Có, nhưng giao diện cài đặt ít trực quan
Không dùng dữ liệu người dùng để huấn luyện (theo mặc định):
- Claude (Anthropic): Theo chính sách công bố, Anthropic không dùng cuộc trò chuyện của người dùng thường để huấn luyện mô hình
- ChatGPT Teams/Enterprise: Phiên bản doanh nghiệp có cam kết không dùng dữ liệu để train AI
Điều quan trọng cần nhớ: Ngay cả khi bạn tắt tùy chọn huấn luyện AI, dữ liệu vẫn có thể được lưu trữ tạm thời để phục vụ dịch vụ và có thể bị xem vì lý do bảo mật/tuân thủ pháp luật.
3. Luật bảo vệ dữ liệu cá nhân Việt Nam 2026 - bạn được bảo vệ gì?
Đây là tin quan trọng cho người dùng Việt Nam: Luật Bảo vệ Dữ liệu Cá nhân (BVDLCN) số 91/2025/QH15 đã được Quốc hội thông qua và có hiệu lực từ ngày 1 tháng 1 năm 2026.
Bạn có những quyền mới nào?
- Quyền được biết: Tổ chức thu thập dữ liệu của bạn phải thông báo rõ ràng họ thu thập gì, dùng vào việc gì
- Quyền truy cập: Bạn có thể yêu cầu xem toàn bộ dữ liệu cá nhân mà tổ chức đang lưu về bạn
- Quyền chỉnh sửa: Nếu thông tin sai, bạn có quyền yêu cầu sửa
- Quyền xóa: Bạn có thể yêu cầu xóa dữ liệu của mình - và tổ chức phải thực hiện trong thời hạn quy định
- Quyền phản đối: Bạn có thể phản đối việc xử lý dữ liệu của mình trong một số trường hợp nhất định
Doanh nghiệp có nghĩa vụ gì?
Luật đặt ra 3 trụ cột bắt buộc cho tổ chức xử lý dữ liệu cá nhân:
- Thể chế: Phải có quy trình chính thức xử lý yêu cầu từ chủ thể dữ liệu
- Nhân sự: Phải có Cán bộ Bảo vệ Dữ liệu (Data Protection Officer - DPO) với thẩm quyền độc lập
- Kỹ thuật: Phải triển khai các công nghệ bảo mật, bao gồm công cụ tăng cường quyền riêng tư
Khi xảy ra sự cố lộ dữ liệu, tổ chức phải báo cáo cho cơ quan có thẩm quyền trong vòng 72 giờ.
Mức phạt:
Vi phạm nghiêm trọng có thể bị phạt đến 5% doanh thu hàng năm - tương tự cách GDPR của châu Âu xử phạt. Đây là mức phạt đủ lớn để tạo động lực cho doanh nghiệp nghiêm túc tuân thủ.
So sánh ngắn với GDPR của châu Âu:
GDPR (áp dụng ở EU từ 2018) và Luật BVDLCN Việt Nam 2026 có nhiều điểm tương đồng: cả hai đều yêu cầu đồng ý rõ ràng trước khi thu thập dữ liệu, đều trao quyền truy cập và xóa dữ liệu cho cá nhân, và đều có cơ chế phạt nặng. Điểm khác biệt là GDPR có phạm vi áp dụng rộng hơn và đã có hơn 7 năm kinh nghiệm thực thi, trong khi luật Việt Nam còn mới và cơ chế thực thi đang trong giai đoạn xây dựng.
4. Những thông tin nào tuyệt đối không nên nhập vào AI chatbot?
Dù dùng ChatGPT, Gemini, hay bất kỳ AI nào, đây là danh sách thông tin bạn nên tuyệt đối tránh nhập vào:
- Mật khẩu, mã PIN, thông tin đăng nhập của bất kỳ tài khoản nào
- Số căn cước công dân, hộ chiếu, số bảo hiểm xã hội
- Thông tin thẻ ngân hàng, tài khoản ngân hàng
- Thông tin y tế nhạy cảm (đặc biệt khi AI không phải công cụ y tế được mã hóa)
- Hợp đồng kinh doanh chưa ký kết, kế hoạch kinh doanh bí mật
- Thông tin cá nhân của khách hàng nếu bạn đang làm việc với dữ liệu doanh nghiệp
Nhiều trường hợp rò rỉ dữ liệu không phải vì AI bị hack, mà vì chính người dùng vô tình paste thông tin nhạy cảm vào chatbox khi "tiện thể hỏi".
Điều này ảnh hưởng gì đến bạn?
Nếu bạn là người dùng cá nhân:
Bắt đầu từ hôm nay, hãy vào phần cài đặt của ChatGPT và tắt "Improve the model for everyone" nếu bạn không muốn OpenAI dùng cuộc trò chuyện của mình để huấn luyện AI. Thao tác này mất chưa đến 2 phút nhưng cho bạn nhiều quyền kiểm soát hơn.
Nếu bạn đang dùng AI cho công việc:
Hãy hỏi HR hoặc IT ở công ty bạn: doanh nghiệp có chính sách AI không? Nhân viên có được phép nhập tài liệu nội bộ vào ChatGPT không? Nếu chưa có chính sách, đây là lúc nên đặt câu hỏi - vì từ năm 2026, nếu lộ dữ liệu khách hàng do nhân viên dùng AI không kiểm soát, công ty có thể bị phạt theo Luật BVDLCN.
Nếu bạn là chủ doanh nghiệp:
Bạn có nghĩa vụ pháp lý mới từ 1/1/2026. Cần xem lại: doanh nghiệp bạn đang thu thập dữ liệu khách hàng như thế nào, lưu ở đâu, ai có quyền truy cập, và khi khách hàng yêu cầu xem hoặc xóa dữ liệu thì có quy trình xử lý chưa?
Lời khuyên thực tế ngay hôm nay:
- Tắt lưu lịch sử trò chuyện (history) trên ChatGPT nếu bạn thường nhập thông tin công việc
- Không dùng tài khoản ChatGPT cá nhân cho công việc liên quan đến dữ liệu khách hàng - dùng phiên bản Teams/Enterprise nếu có
- Đặt câu hỏi cho AI theo cách ẩn danh hóa: thay vì "Khách hàng Nguyễn Văn A của tôi có vấn đề X...", hãy viết "Một khách hàng (ẩn tên) có vấn đề X..."
Ví dụ thực tế
Sự cố tại công ty kế toán TP.HCM: Năm 2025, một nhân viên kế toán đã copy toàn bộ bảng lương (bao gồm tên, số CCCD, tài khoản ngân hàng của 200 nhân viên) vào ChatGPT để nhờ AI format lại file Excel. Công ty phát hiện và may mắn không có hậu quả nghiêm trọng, nhưng sự việc dẫn đến ban hành ngay chính sách cấm nhập dữ liệu nhân sự vào AI chatbot bên ngoài.
Người dùng cá nhân dùng ChatGPT để tư vấn pháp lý: Một người hỏi ChatGPT về tranh chấp đất đai, kèm theo địa chỉ cụ thể, số thửa đất, tên các bên liên quan. Về mặt kỹ thuật, thông tin này đã được gửi đến và lưu trên máy chủ OpenAI ở Mỹ. Không có chuyện gì xảy ra, nhưng đây là loại thông tin nên được xử lý thận trọng hơn.
Số liệu & thống kê
| Chỉ số | Con số | Nguồn |
|---|---|---|
| Tài khoản OpenAI/ChatGPT bị bán trên dark web (2025) | 225.000+ | ESET / security researchers |
| Sự cố hội thoại bị Google index (T7/2025) | Hàng nghìn cuộc hội thoại | ESET |
| Mức phạt tối đa vi phạm Luật BVDLCN VN | 5% doanh thu hàng năm | Luật số 91/2025/QH15 |
| Thời hạn báo cáo sự cố lộ dữ liệu | 72 giờ | Luật số 91/2025/QH15 |
| Luật BVDLCN VN có hiệu lực | 1/1/2026 | Quốc hội VN |
| Luật AI Việt Nam thông qua | 12/2025, hiệu lực 3/2026 | Quốc hội VN |
Sources
| # | Title | URL | Ghi chú |
|---|---|---|---|
| 1 | Is ChatGPT private? A 2026 guide to your data privacy and security | https://nordvpn.com/blog/is-chatgpt-private/ | NordVPN, hướng dẫn đầy đủ |
| 2 | Is ChatGPT safe? The complete 2026 security & privacy guide | https://www.eset.com/blog/en/home-topics/cybersecurity-protection/is-chatgpt-safe-2026-guide/ | ESET, bảo mật ChatGPT |
| 3 | Study exposes privacy risks of AI chatbot conversations | https://news.stanford.edu/stories/2025/10/ai-chatbot-privacy-concerns-risks-research | Stanford University, nghiên cứu học thuật |
| 4 | Notes from the Asia-Pacific: Vietnam lifts off into global data sphere | https://iapp.org/news/a/notes-from-the-asia-pacific-region-vietnam-lifts-off-into-global-data-sphere | IAPP, phân tích Luật BVDLCN VN |
| 5 | AI chatbots are sliding toward a privacy crisis | https://www.helpnetsecurity.com/2025/10/31/ai-chatbots-privacy-and-security-risks/ | Help Net Security, rủi ro chatbot |
| 6 | How AI platforms rank on data privacy in 2025 | https://dataconomy.com/2025/07/09/how-ai-platforms-rank-on-data-privacy-in-2025/ | Dataconomy, so sánh các nền tảng AI |