Google Gemini thu thập nhiều dữ liệu cá nhân của người dùng hơn cả DeepSeek và ChatGPT
3 trong số 10 chatbot trí tuệ nhân tạo (AI) phổ biến nhất có chia sẻ dữ liệu của người dùng với bên thứ ba.
Chatbot AI của công ty khởi nghiệp DeepSeek (Trung Quốc) đã gây ra nhiều lo ngại về quyền riêng tư và bảo mật kể từ khi ra mắt. Một số chính phủ không còn cung cấp chatbot này hoặc tiến hành điều tra về cách thức xử lý dữ liệu của nó. Song về quyền riêng tư, DeepSeek có thể không phải là chatbot AI gây ra vấn đề nghiêm trọng nhất trong việc thu thập hoặc xử lý dữ liệu cá nhân của người dùng.
Theo dữ liệu gần đây từ Surfshark - một trong những nhà cung cấp VPN (mạng riêng ảo) tốt nhất trên thị trường, Google Gemini là chatbot AI thu thập nhiều dữ liệu nhất. Trên thực tế, DeepSeek chỉ đứng thứ 5 trong số 10 chatbot AI phổ biến nhất về việc thu thập dữ liệu mạnh tay.
Google Gemini đứng đầu danh sách 10 chatbot AI thu thập nhiều dữ liệu người dùng nhất, theo Surfshark
Các nhà nghiên cứu của Surfshark phát hiện ra rằng 30% trong số 10 chatbot AI được phân tích có chia sẻ dữ liệu người dùng (chẳng hạn thông tin liên hệ, vị trí, lịch sử tìm kiếm và duyệt web) với bên thứ ba, gồm cả các nhà môi giới dữ liệu.
Tomas Stamulis, Giám đốc An ninh tại Surfshark, giải thích rằng các ứng dụng mà chúng ta sử dụng hằng ngày thường xuyên thu thập thông tin cá nhân. Trong khi một số dữ liệu này là cần thiết cho chức năng của ứng dụng, những thứ khác lại liên quan đến danh tính của người dùng. Ông nói: "Các chatbot AI thậm chí còn có thể tiến xa hơn bằng cách xử lý và lưu trữ các cuộc trò chuyện".
Những nhà nghiên cứu Surfshark đã xem xét chi tiết quyền riêng tư của 10 chatbot AI phổ biến nhất trên Apple App Store. Sau đó, họ so sánh xem mỗi chatbot AI thu thập bao nhiêu loại dữ liệu? Liệu các chatbot có thu thập bất kỳ dữ liệu nào liên quan đến người dùng hay không? Liệu chúng có chia sẻ dữ liệu người dùng với các bên thứ ba để họ sử dụng thông tin đó cho mục đích quảng cáo được nhắm mục tiêu hay không?
Phân tích cho thấy dù có đến 35 loại dữ liệu khác nhau mà các chatbot AI có thể thu thập, nhưng trung bình mỗi ứng dụng chỉ thu thập khoảng 11 loại dữ liệu trong số đó.
Như đã đề cập trước đó, Google Gemini là chatbot thu thập nhiều dữ liệu nhất, tổng cộng 22 loại, gồm cả dữ liệu nhạy cảm cao như vị trí chính xác, nội dung người dùng, danh bạ thiết bị, lịch sử duyệt web và hơn thế nữa.
Trong số các chatbot AI được phân tích, chỉ có Google Gemini, Copilot và Perplexity được phát hiện là thu thập dữ liệu vị trí chính xác. Chatbot DeepSeek gây tranh cãi đứng ngay ở giữa bảng, thu thập 11 loại dữ liệu riêng biệt, chẳng hạn dữ liệu đầu vào của người dùng như lịch sử trò chuyện.
Vấn đề chính ở đây với chatbot DeepSeek và điều thu hút các khiếu nại về quyền riêng tư theo quy định của GDPR là chính sách của công ty tuyên bố sẽ lưu giữ dữ liệu miễn là cần thiết trên các máy chủ đặt tại Trung Quốc.
GDPR là viết tắt của General Data Protection Regulation (Quy định Bảo vệ dữ liệu chung), một bộ luật về quyền riêng tư và bảo vệ dữ liệu được Liên minh châu Âu (EU) thông qua và có hiệu lực từ ngày 25.5.2018. GDPR được thiết kế để tăng cường quyền kiểm soát của cá nhân với dữ liệu của họ và thống nhất các quy định về bảo vệ dữ liệu trên toàn EU.
Một số điểm chính của GDPR
Phạm vi áp dụng rộng: GDPR áp dụng cho tất cả tổ chức, dù đặt trụ sở ở đâu, miễn là họ xử lý dữ liệu cá nhân của công dân EU.
Quyền của cá nhân
Quyền truy cập: Cá nhân có quyền yêu cầu truy cập dữ liệu cá nhân mà một tổ chức đang lưu trữ về họ.
Quyền được quên: Cá nhân có thể yêu cầu xóa dữ liệu cá nhân của mình trong một số trường hợp nhất định.
Quyền sửa đổi: Cá nhân có thể yêu cầu sửa đổi dữ liệu cá nhân không chính xác.
Quyền từ chối: Cá nhân có quyền từ chối việc xử lý dữ liệu cá nhân của họ cho mục đích tiếp thị.
Trách nhiệm của tổ chức
Bảo mật dữ liệu: Các tổ chức phải đảm bảo dữ liệu cá nhân được bảo vệ an toàn.
Báo cáo vi phạm: Trong trường hợp xảy ra vi phạm dữ liệu, tổ chức phải thông báo cho cơ quan quản lý và cá nhân bị ảnh hưởng trong vòng 72 giờ.
Đánh giá tác động bảo vệ dữ liệu (DPIA): Các tổ chức phải thực hiện đánh giá rủi ro khi xử lý dữ liệu nhạy cảm.
Hình phạt nghiêm khắc: Vi phạm GDPR có thể dẫn đến mức phạt lên đến 20 triệu euro hoặc 4% tổng doanh thu toàn cầu hàng năm của tổ chức, tùy theo mức độ nào cao hơn.
GDPR được coi là một trong những quy định bảo vệ dữ liệu nghiêm ngặt nhất trên thế giới và có ảnh hưởng lớn đến cách các tổ chức thu thập, lưu trữ và xử lý dữ liệu cá nhân.
ChatGPT thu thập 10 loại dữ liệu, gồm cả thông tin liên hệ, nội dung người dùng, định danh, dữ liệu sử dụng và chẩn đoán. Cần lưu ý rằng, dù ChatGPT thu thập lịch sử trò chuyện, bạn có thể chọn sử dụng các cuộc trò chuyện tạm thời để đảm bảo thông tin này sẽ bị xóa sau 30 ngày, hoặc yêu cầu xóa dữ liệu cá nhân khỏi các bộ đào tạo của nó.
Tuy nhiên, việc thu thập dữ liệu của ứng dụng chỉ là một mặt trong vấn đề quyền riêng tư.
Tomas Stamulis giải thích: "Dữ liệu này có thể được sử dụng trong công ty hoặc chia sẻ trên các mạng lưới bên thứ ba, có khả năng tiếp cận hàng trăm đối tác, và dẫn đến các quảng cáo được nhắm mục tiêu cao hoặc gia tăng các cuộc gọi spam".
Các nhà nghiên cứu cũng phát hiện ra rằng 30% số chatbot AI này cũng theo dõi dữ liệu người dùng. Điều này có nghĩa là dữ liệu người dùng hoặc thiết bị mà chatbot AI thu thập được liên kết với dữ liệu bên thứ ba cho mục đích quảng cáo được nhắm mục tiêu hoặc đo lường quảng cáo.
Copilot, Poe và Jasper là ba chatbot AI thu thập dữ liệu được sử dụng để theo dõi bạn. Về cơ bản, dữ liệu này "có thể được bán cho các nhà môi giới dữ liệu hoặc sử dụng để hiển thị quảng cáo được nhắm mục tiêu trong ứng dụng của bạn", các chuyên gia Surfshark lưu ý.
Copilot và Poe chỉ thu thập ID thiết bị cho mục đích này. Trong khi Jasper thu thập ID thiết bị, dữ liệu tương tác sản phẩm, dữ liệu quảng cáo và các dữ liệu khác, tức là "bất kỳ dữ liệu nào khác về hoạt động của người dùng trong ứng dụng".
"Theo quy tắc, càng chia sẻ nhiều thông tin, nguy cơ rò rỉ dữ liệu càng lớn", Tomas Stamulis cho biết, đồng thời nói thêm rằng tội phạm mạng thường lợi dụng các sự cố này để tạo ra các cuộc tấn công lừa đảo được cá nhân hóa có thể dẫn đến tổn thất tài chính lớn.
Tomas Stamulis khuyên người dùng nên lưu ý đến thông tin cung cấp cho chatbot AI, xem lại cài đặt chia sẻ của bạn và tắt lịch sử trò chuyện bất cứ khi nào có thể.
