Khi người dùng tự “nộp” dữ liệu cho AI: Rủi ro mới của thời đại số

Trong kỷ nguyên trí tuệ nhân tạo (AI) bùng nổ, dữ liệu cá nhân đang trở thành “nhiên liệu” quan trọng nhất. Tuy nhiên, một nghịch lý đang diễn ra: thay vì bị đánh cắp như trước đây, ngày càng nhiều dữ liệu lại được chính người dùng chủ động cung cấp cho các nền tảng AI. Điều này mở ra một dạng rủi ro mới – âm thầm nhưng sâu rộng – trong bối cảnh hành lang pháp lý và năng lực bảo vệ dữ liệu vẫn còn nhiều khoảng trống.

NGƯỜI DÙNG TỰ CHIA SẺ DỮ LIỆU: “LỖ HỔNG” ĐẾN TỪ THÓI QUEN SỐ

Những năm gần đây, sự phổ cập của các công cụ AI như ChatGPT hay Gemini đã làm thay đổi cách người dùng tiếp cận thông tin. Từ tra cứu kiến thức, hỗ trợ công việc cho đến tư vấn sức khỏe, tài chính, AI đang dần trở thành “trợ lý số” quen thuộc trong đời sống hàng ngày.

Tuy nhiên, đi kèm với sự tiện lợi đó là một thực tế đáng lo ngại, người dùng ngày càng có xu hướng chia sẻ nhiều thông tin cá nhân hơn với các hệ thống này, đôi khi vượt xa mức cần thiết.

Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), cho biết theo kết quả khảo sát thực tế vào tháng 9/2025 tại một số địa phương, có tới khoảng 80% người dân chưa nắm được các quy định pháp lý liên quan đến bảo vệ dữ liệu cá nhân, song phần lớn đều nhận thức rõ tầm quan trọng của vấn đề này.

“Điều đó cho thấy một khoảng cách lớn giữa nhận thức và hành vi”, ông Nguyễn Quang Đồng nói. “Người dân hiểu dữ liệu quan trọng, nhưng chưa biết cách bảo vệ”.

Và trong thực tế, không ít người sử dụng các công cụ chatbot AI để hỏi về tình trạng bệnh lý, chia sẻ chi tiết hồ sơ sức khỏe, hoặc cung cấp thông tin cá nhân để nhận tư vấn. Trong môi trường số, những dữ liệu này có thể bao gồm thông tin định danh, lịch sử y tế, thói quen sinh hoạt – vốn là những dữ liệu nhạy cảm cần được bảo vệ nghiêm ngặt.

Lãnh đạo Viện IPS cho biết không chỉ dừng lại ở AI, thói quen “dễ dãi” với dữ liệu cá nhân còn thể hiện qua việc người dùng cấp quyền truy cập quá mức cho các ứng dụng. Ví dụ, một ứng dụng gọi xe yêu cầu truy cập toàn bộ thư viện ảnh, hay một ứng dụng nhắn tin liên tục theo dõi vị trí người dùng. Những quyền này thường được cấp một cách mặc định, trong khi người dùng ít khi kiểm tra hoặc điều chỉnh.

Theo chuyên gia, ở cấp độ rộng hơn, hệ sinh thái dữ liệu tại Việt Nam đang phát triển nhanh chóng, đặc biệt trong khu vực công. Các hệ thống như VNeID đã tích hợp dữ liệu của hàng chục triệu công dân, tạo thành một trong những kho dữ liệu cá nhân lớn nhất hiện nay. Trong lĩnh vực y tế, với khoảng 80% số giường bệnh thuộc khu vực công, mỗi bệnh nhân tương ứng với một hồ sơ bệnh án – đồng nghĩa với việc một lượng dữ liệu cực kỳ nhạy cảm đang được lưu trữ tập trung.

“Trong bối cảnh đó, việc người dùng tiếp tục tự “nộp” thêm dữ liệu cho các nền tảng số, đặc biệt là AI, đang khiến rủi ro bị nhân lên theo cấp số nhân”, ông Nguyễn Quang Đồng nói.

THÁCH THỨC KHÔNG NẰM Ở THIẾU QUY ĐỊNH, MÀ NẰM Ở NĂNG LỰC THỰC THI

Một trong những vấn đề cốt lõi là năng lực thực thi các quy định về bảo vệ dữ liệu cá nhân vẫn còn hạn chế, ngay cả trong khu vực cơ quan nhà nước. Dù hơn một nửa số cơ quan được khảo sát cho biết đã xây dựng chính sách bảo vệ dữ liệu, phần lớn lại chưa công khai các chính sách này trên nền tảng số. Điều này đồng nghĩa với việc người dân không có đủ thông tin để biết dữ liệu của mình đang được thu thập, xử lý và bảo vệ ra sao.

Bên cạnh đó, các quy trình quan trọng như kiểm tra, giám sát an toàn dữ liệu định kỳ, hay ứng phó sự cố vẫn chưa được thiết lập đầy đủ. Việc tuân thủ quy định hiện vẫn mang tính hình thức, chưa đi vào vận hành thực tế.

Ông Nguyễn Quang Đồng nhận định rằng thách thức lớn nhất hiện nay không nằm ở việc thiếu quy định, mà nằm ở năng lực thực thi. “Ngay cả trong khu vực cơ quan nhà nước, năng lực xây dựng quy trình nội bộ, đảm bảo minh bạch và thực hiện trách nhiệm giải trình vẫn còn hạn chế. Với doanh nghiệp, đặc biệt là doanh nghiệp nhỏ và vừa – chiếm hơn 98% tổng số doanh nghiệp tại Việt Nam – thách thức này còn lớn hơn rất nhiều”, ông nói.

Đáng chú ý, sự phát triển của AI đang tạo ra một “vùng xám” mới trong quản lý dữ liệu. Khi người dùng nhập thông tin vào các hệ thống AI, câu hỏi đặt ra là: dữ liệu đó được lưu trữ ở đâu, được sử dụng như thế nào, và ai chịu trách nhiệm nếu xảy ra rủi ro?

Hiện nay, không phải tất cả các hành vi thu thập dữ liệu đều vi phạm pháp luật. Tuy nhiên, trong nhiều trường hợp, phạm vi thu thập có thể vượt quá mức cần thiết, trong khi người dùng không đủ thông tin để đánh giá.

Lộ khoảng trống giữa nhận thức và thực thi, tuân thủ bảo vệ dữ liệu cá nhân

Trước thực tế đó, các chuyên gia cho rằng cần một cách tiếp cận toàn diện hơn. Trước hết là đẩy mạnh truyền thông pháp luật theo hướng dễ hiểu, gắn với các tình huống cụ thể trong đời sống. Những ví dụ như việc đăng tải hình ảnh căn cước công dân lên mạng xã hội hay chia sẻ thông tin cá nhân với AI cần được cảnh báo rõ ràng để người dân nhận thức được rủi ro.

Song song với đó, việc nâng cao năng lực cho người dùng là yếu tố then chốt. Người dân cần được trang bị kỹ năng cơ bản để kiểm soát quyền truy cập, hiểu rõ dữ liệu nào nên và không nên chia sẻ.

Ở cấp độ tổ chức, ông Nguyễn Quang Đồng cho rằng cần thúc đẩy phát triển thị trường các giải pháp công nghệ bảo vệ dữ liệu với chi phí phù hợp, đặc biệt cho doanh nghiệp nhỏ và cơ quan nhà nước. Nếu không giải quyết được bài toán chi phí, việc tuân thủ sẽ khó có thể triển khai rộng rãi trong thực tế.