Cách làm cho Chatbot của bạn tuân thủ GDPR

Nếu bạn đang cân nhắc triển khai một chatbot cho doanh nghiệp, bài viết này dành cho bạn.

Khi GDPR (Quy định Bảo vệ Dữ liệu Chung) ngày càng ảnh hưởng đến các công ty xử lý dữ liệu khách hàng, nhu cầu giải quyết các khía cạnh công nghệ trong kinh doanh ngày càng cấp thiết.

Một câu hỏi mà khách hàng của chúng tôi thường đặt ra là: làm thế nào để tôi đảm bảo chatbot Botpress của mình tuân thủ GDPR? Dù việc tuân thủ GDPR có thể phức tạp, chúng tôi sẵn sàng hỗ trợ bạn.

Nếu GDPR áp dụng cho doanh nghiệp của bạn, dưới đây là một số mẹo giúp đảm bảo chatbot của bạn luôn tuân thủ.

Khóa học nhanh về GDPR

GDPR là gì?

GDPR là một quy định của EU tập trung vào bảo vệ dữ liệu và quyền riêng tư. Nó ảnh hưởng đến cá nhân và doanh nghiệp tại EU và Khu vực Kinh tế Châu Âu (EEA), bao gồm cả việc chuyển dữ liệu ra ngoài EU và EEA.

Mục đích của nó là trao quyền kiểm soát dữ liệu cá nhân cho cá nhân và thiết lập quy định thống nhất trên toàn EU. Nếu doanh nghiệp của bạn hoạt động tại các khu vực này, bạn phải tuân thủ GDPR.

Không tuân thủ GDPR sẽ phải trả giá. Bạn có thể bị phạt nặng, lên đến 20 triệu euro hoặc 4% tổng doanh thu toàn cầu của năm tài chính trước đó – tùy theo mức nào cao hơn.

Mục tiêu là chứng minh với người dùng rằng bạn sẽ xử lý dữ liệu của họ đúng như cam kết. Điều này chắc chắn sẽ xây dựng niềm tin của khách hàng vào chatbot của bạn, từ đó góp phần nâng cao lợi nhuận và thành công cho doanh nghiệp.

Dữ liệu cá nhân là gì?

Theo GDPR, dữ liệu cá nhân được định nghĩa là “bất kỳ thông tin nào liên quan đến một cá nhân đã được nhận diện hoặc có thể nhận diện.” Bao gồm:

• Số điện thoại
• Số thẻ tín dụng
• Mã nhân viên
• Dữ liệu tài khoản
• Biển số xe
• Ngoại hình
• Mã khách hàng
• Địa chỉ

Tuy nhiên, định nghĩa trong GDPR rất rộng – nếu bạn không chắc thông tin nào đó có phải là dữ liệu cá nhân hay không, tốt nhất hãy xử lý nó như dữ liệu cá nhân.

1. Minh bạch

Nếu bạn thu thập dữ liệu khách hàng qua chatbot – và dữ liệu này được xem là dữ liệu cá nhân theo GDPR – bạn cần minh bạch với người dùng. Bạn phải giải thích rõ ai, cái gì, ở đâu, khi nào và tại sao thu thập dữ liệu của họ.

Điều này nghĩa là bạn phải thông báo cho người dùng về dữ liệu khách hàng bạn thu thập, cách sử dụng và ai sẽ được chia sẻ. Những thông tin này luôn phải được trình bày cho người dùng trước khi bạn thu thập bất kỳ dữ liệu nào.

Thông báo cho người dùng trước khi thu thập

Bạn nên cung cấp thông báo rõ ràng, dễ hiểu trước khi xử lý bất kỳ dữ liệu khách hàng nào qua chatbot.

Điều này thường là các cửa sổ bật lên giải thích cho người dùng về dữ liệu sẽ được thu thập, lý do thu thập và quyền của họ đối với dữ liệu cá nhân.

Đăng tuyên bố quyền riêng tư công khai

Bạn cũng nên trình bày chi tiết cách xử lý dữ liệu trong chính sách hoặc tuyên bố quyền riêng tư trực tuyến và cập nhật khi cần thiết. Bạn có thể tham khảo Tuyên bố Quyền riêng tư của Botpress làm ví dụ.

Tuyên bố quyền riêng tư của bạn nên bao gồm:

• Thông tin nào được thu thập từ người dùng
• Lý do bạn xử lý dữ liệu cá nhân của họ (tức là mục đích thu thập dữ liệu)
• Cách bạn lưu trữ và chuyển dữ liệu cá nhân
• Cách bạn bảo vệ và xử lý dữ liệu cá nhân của họ
• Quyền riêng tư của người dùng

Minh bạch về việc sử dụng và xử lý dữ liệu khách hàng giúp xây dựng niềm tin và thiện cảm – từ đó tạo ra mối quan hệ khách hàng bền vững và nâng cao uy tín doanh nghiệp.

2. Trung thực

Bạn chỉ nên xử lý dữ liệu cho các mục đích đã nêu. Điều này bao gồm việc đảm bảo công ty và nhân viên chỉ xử lý dữ liệu khách hàng cho các mục đích đã công bố.

Ví dụ, nếu bạn nói rằng sẽ sử dụng dữ liệu khách hàng để gửi thông tin thương mại, huấn luyện thuật toán, phân tích dữ liệu để cải thiện sản phẩm, hỗ trợ kỹ thuật, chăm sóc khách hàng hoặc cá nhân hóa dịch vụ, bạn chỉ được sử dụng dữ liệu cho các mục đích đó, không hơn.

3. Hành động hợp lý

Bạn chỉ nên xử lý dữ liệu khi có cơ sở pháp lý phù hợp.

Hãy xem xét lại và đánh giá nội bộ về cơ sở pháp lý khi xử lý dữ liệu khách hàng. Phân tích này là yêu cầu của GDPR.

Bạn chỉ được xử lý dữ liệu khách hàng nếu đáp ứng một hoặc nhiều điều kiện sau:

• Dựa trên sự đồng ý rõ ràng của người dùng chatbot
• Là một phần của hợp đồng với người dùng và việc xử lý là cần thiết
• Đáp ứng một nghĩa vụ pháp lý
• Bảo vệ lợi ích sống còn của người dùng (ví dụ: tình huống sống còn)
• Thực hiện nhiệm vụ vì lợi ích công cộng
• Là một phần của thẩm quyền chính thức
• Nhằm theo đuổi lợi ích hợp pháp (trừ khi lợi ích này bị quyền lợi hoặc tự do cơ bản của người dùng vượt trội)

Các lý do phổ biến nhất để xử lý dữ liệu khách hàng là sự đồng ý, thực hiện hợp đồng hoặc lợi ích hợp pháp.

4. Lấy khách hàng làm trung tâm

Bạn phải cho phép người dùng thực hiện các quyền về quyền riêng tư dữ liệu của họ.

Một mục trong danh sách kiểm tra GDPR cho chatbot trực tuyến là đảm bảo người dùng chatbot có thể thực hiện một hoặc nhiều quyền về dữ liệu được cấp theo GDPR.

Người dùng chatbot phải có quyền truy cập dữ liệu mà chatbot thu thập về họ, chỉnh sửa, hạn chế xử lý, phản đối việc xử lý, yêu cầu xóa dữ liệu của họ hoặc nhận dữ liệu ở định dạng có thể di chuyển.

Tốt nhất, người dùng có thể thực hiện các quyền này trực tiếp qua luồng hội thoại của chatbot, thông qua quá trình hỏi đáp tương tác. May mắn thay, Botpress hỗ trợ khả năng này.

5. Đảm bảo yếu tố con người

Hãy chứng minh rằng các quyết định tự động có sự tham gia của con người.

Chatbot sử dụng Botpress được hỗ trợ bởi công nghệ AI. Cụ thể, chúng là tác nhân AI sử dụng LLMs.

Trừ khi đáp ứng các điều kiện nhất định, bạn không được thiết lập chatbot để AI tự động đưa ra các quyết định quan trọng về người dùng: các quyết định này không được tạo ra hiệu lực pháp lý hoặc ảnh hưởng đáng kể đến người dùng.

Điều này nghĩa là cần có sự giám sát của con người ở bất kỳ giai đoạn nào khi triển khai chatbot sử dụng agentic AI để đảm bảo tuân thủ GDPR. Bạn cần chứng minh với người dùng rằng con người có tham gia vào các quyết định này.

6. Hạn chế lưu trữ nhật ký

Đánh giá loại nhật ký bạn đang lưu trữ qua chatbot. Bạn có nhật ký lỗi không? Nhật ký truy cập? Nhật ký kiểm tra bảo mật?

Nếu có, hãy xác định xem các nhật ký này có chứa dữ liệu khách hàng như địa chỉ IP, thông tin nhận diện hoặc họ tên đầy đủ không. Nếu câu trả lời là ‘có’, bạn có thể cần thiết lập quy trình xóa dữ liệu này. GDPR cấm lưu trữ dữ liệu này nếu không có lý do chính đáng.

Khi không có lý do lưu trữ, hãy xóa mọi dữ liệu cá nhân thu thập được qua nhật ký.

Tại Botpress, chúng tôi tự động xóa dữ liệu cá nhân thu thập qua nhật ký sau một khoảng thời gian được xác định rõ.

7. Đảm bảo an toàn

Bên cạnh các yếu tố khác, bạn cũng phải triển khai các biện pháp kỹ thuật, tổ chức, vật lý và hành chính để bảo vệ thông tin được xử lý qua chatbot của mình.

Điều này có thể bao gồm đảm bảo rằng bạn:

• Mã hóa dữ liệu khách hàng khi lưu trữ và khi truyền tải
• Ẩn danh hoặc sử dụng bí danh cho dữ liệu khách hàng
• Quản lý quyền truy cập dữ liệu khách hàng của nhân viên dựa trên nguyên tắc cần biết
• Có các bản sao lưu phù hợp, cùng với các biện pháp khác

Đây đều là những biện pháp phù hợp để bảo vệ dữ liệu được giao cho bạn – các biện pháp này sẽ thay đổi tùy theo mục đích chatbot của bạn và loại dữ liệu mà nó thu thập.

Để xem thêm ví dụ, bạn có thể tham khảo Phụ lục 2 trong Thỏa thuận Xử lý Dữ liệu của Botpress để biết danh sách các biện pháp bảo mật mà chúng tôi áp dụng khi bạn xây dựng chatbot với sự hỗ trợ của chúng tôi.

Xây dựng Chatbot Tuân thủ Quy định

Đảm bảo chatbot của bạn tuân thủ GDPR không chỉ quan trọng về mặt pháp lý hoặc tài chính. Việc xây dựng niềm tin và sự minh bạch với người dùng là yếu tố then chốt đối với hình ảnh công ty và mối quan hệ với từng khách hàng. Nếu còn băn khoăn, hãy đảm bảo sản phẩm và dịch vụ của bạn tuân theo Danh sách kiểm tra GDPR để đảm bảo tuân thủ.

Chúng tôi sẵn sàng hỗ trợ bạn đảm bảo chatbot AI của mình tuân thủ các quy định cần thiết. Nhiều tính năng tuân thủ GDPR đã được tích hợp sẵn trong Botpress để bạn có thể tập trung vào việc xây dựng bot.

Nếu có bất kỳ câu hỏi nào, bạn có thể liên hệ qua [email protected].

Câu hỏi thường gặp

1. Việc tuân thủ GDPR có bắt buộc đối với các công ty ngoài EU sử dụng chatbot không?

Có, việc tuân thủ GDPR là bắt buộc đối với các công ty ngoài EU nếu chatbot của họ xử lý dữ liệu cá nhân của cư dân EU hoặc nhắm đến người dùng EU dưới bất kỳ hình thức nào. Điều này áp dụng bất kể công ty đặt trụ sở ở đâu, theo phạm vi ngoài lãnh thổ của GDPR (Điều 3).

2. Làm thế nào để tôi thực hiện Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) cho chatbot của mình?

Để thực hiện DPIA cho chatbot, hãy xác định dữ liệu cá nhân nào được thu thập, đánh giá các rủi ro đối với quyền riêng tư của người dùng và ghi lại các biện pháp kỹ thuật, tổ chức đã áp dụng (như mã hóa hoặc kiểm soát truy cập). DPIA nên tuân theo một cấu trúc rõ ràng và được hoàn thành trước khi triển khai nếu việc xử lý có rủi ro cao.

3. Làm thế nào để đảm bảo chatbot của tôi không ghi lại dữ liệu nhạy cảm trong quá trình gỡ lỗi hoặc phân tích?

Để đảm bảo chatbot không ghi lại dữ liệu nhạy cảm, hãy cấu hình hệ thống ghi log để loại trừ nội dung tin nhắn, che hoặc ẩn các trường dữ liệu (ví dụ: tên, email, dữ liệu y tế) và giới hạn quyền truy cập log bằng RBAC (kiểm soát truy cập dựa trên vai trò). Các công cụ gỡ lỗi nên được kiểm tra trong môi trường ẩn danh và log cần được xóa định kỳ hoặc mã hóa.

4. Tôi có cần bản địa hóa chatbot cho các khu vực khác nhau với luật dữ liệu khác nhau không?

Có, bạn cần điều chỉnh cách xử lý dữ liệu của chatbot để tuân thủ các luật khu vực như GDPR (EU), CCPA (California) hoặc LGPD (Brazil). Điều này có thể bao gồm việc điều chỉnh chính sách lưu trữ dữ liệu, cơ chế xin phép và quản lý quyền của người dùng cho từng khu vực mà chatbot phục vụ.

5. Việc phân tích hồ sơ người dùng theo thời gian thực bằng LLM có được coi là tuân thủ GDPR không?

Phân tích hồ sơ người dùng theo thời gian thực bằng LLM chỉ được coi là tuân thủ GDPR nếu đáp ứng các điều kiện nghiêm ngặt: có sự đồng ý rõ ràng của người dùng, minh bạch và quyền từ chối bị quyết định tự động (Điều 22). Nếu việc phân tích ảnh hưởng đến quyền lợi hoặc quyền truy cập dịch vụ của người dùng, cần có sự xem xét của con người và thông báo chi tiết theo quy định pháp luật.