Đằng sau những bức ảnh lung linh là nguy cơ rò rỉ dữ liệu khuôn mặt - dạng dữ liệu sinh trắc học nhạy cảm nhất, có thể bị lợi dụng để deepfake, mạo danh và tấn công lừa đảo.

Người mẫu Ngọc Trinh nằm trong số những người nổi tiếng tham gia trào lưu tạo ảnh mưa tuyết bằng AI. Ảnh: Ngọc Trinh/FB.

Trào lưu tạo ảnh “mưa tuyết” bằng AI đang bùng nổ trên mạng xã hội, biến hàng nghìn bức ảnh selfie của người Việt thành những khung cảnh lãng mạn. Nhưng đằng sau những tấm ảnh lung linh ấy là nguy cơ rò rỉ dữ liệu sinh trắc học.

Cụ thể, ảnh chân dung rõ mặt - loại dữ liệu không thể đổi lại - đang được chuyển lên các nền tảng, ứng dụng và máy chủ có nguồn gốc, chính sách lưu trữ không minh bạch.

Nếu không có cảnh giác và quy định bảo vệ dữ liệu chặt chẽ, trào lưu vui vẻ này có thể mở đường cho deepfake, mạo danh, tống tiền và những hệ quả an ninh, xã hội khó lường.

Hình đẹp, dữ liệu nhạy cảm - người dùng đang trao “chìa khóa” cho bên thứ ba

Trend “mưa tuyết AI” hấp dẫn bởi sự tức thời và kết quả bắt mắt. Chỉ cần vài thao tác tải ảnh lên, chọn hiệu ứng, người dùng nhận ngay ảnh đã qua xử lý với nền tuyết, ánh sáng và lớp trang điểm số.

Nhưng điều ít người biết rằng để đạt được chất lượng đó, các dịch vụ AI thường yêu cầu ảnh gốc có chất lượng cao, góc mặt rõ, ánh sáng tốt - chính là những tiêu chí hoàn hảo để nhận diện khuôn mặt và phục vụ huấn luyện mô hình. Ảnh chân dung không đơn thuần là “một bức ảnh” mà là dữ liệu sinh trắc học - có thể nhận diện bạn, xác minh bạn, hoặc bị tái sử dụng để tạo ra các nội dung giả mạo.

BTV Đan Lê không chỉ tham gia trào lưu, mà còn đăng bài hướng dẫn cách tạo ảnh "mưa tuyết" bằng AI trên trang cá nhân. Ảnh: Nguyen Dan Le/FB.

Ở Việt Nam, phần lớn người dùng khi tiếp xúc với những ứng dụng này thường không đọc kỹ điều khoản sử dụng hay chính sách quyền riêng tư. Họ chia sẻ ảnh cá nhân bằng tâm lý “vui, thử nghiệm”, hoặc vì mong muốn "bắt trend" tăng lượt tương tác trên mạng xã hội.

Trong khi đó, những điều khoản mơ hồ như “nền tảng có thể sử dụng, lưu trữ, cải thiện dịch vụ bằng cách sử dụng dữ liệu người dùng” cho phép nền tảng thu thập và chuyển dữ liệu sang kho huấn luyện AI hoặc đối tác bên thứ ba - đôi khi là các tổ chức ở nước ngoài có quy định khác nhau về bảo mật.

Khi dữ liệu đã rời thiết bị và nằm trên server, người dùng gần như mất quyền kiểm soát: ảnh có thể bị sao chép, phân phối, bán trên thị trường ngầm, hoặc dùng làm dữ liệu huấn luyện để tạo hàng loạt deepfake nhắm vào cùng nhóm dân cư.

Nguy cơ hiện hữu và các hình thức đối tượng thường sử dụng: từ việc dùng ảnh để giả mạo video quay phát biểu, clip nhạy cảm nhằm tống tiền, tới việc vượt qua cơ chế xác thực ảnh trong một số hệ thống eKYC yếu kém để mở tài khoản phi pháp.

Dù các ngân hàng lớn đã triển khai nhiều lớp xác thực, không ít hệ thống và dịch vụ trực tuyến vẫn còn lỗ hổng khi đối mặt với ảnh giả mạo được sinh bởi AI. Với dữ liệu khuôn mặt chất lượng, kẻ xấu có thể kết hợp công nghệ giọng nói để tạo video “nói chuyện” nhân vật bị giả mạo - một kịch bản tổn hại danh dự, tài chính và cả an ninh cá nhân.

Những biện pháp cần làm ngay

Để giảm rủi ro từ các trend AI, hành động cần tới đồng thời: trách nhiệm của nền tảng, ý thức của người dùng và khung pháp lý rõ ràng.

Ở cấp độ cá nhân, người dùng nên thận trọng: không gửi ảnh mặt thật lên các ứng dụng, dịch vụ không rõ nguồn gốc hoặc chưa có danh tính pháp nhân minh bạch; ưu tiên thử nghiệm các hiệu ứng thông qua công cụ offline (chỉ xử lý trên thiết bị) hoặc dùng ảnh đã được chỉnh sửa che một phần (ví dụ cắt khung, che mắt) nếu vẫn muốn thử trend.

Nếu từng đăng tải ảnh lên nền tảng không đáng tin, người dùng cần kiểm tra và thu hồi quyền truy cập nếu dịch vụ hỗ trợ, xóa ảnh khỏi album hoặc liên hệ quản trị viên yêu cầu xóa dữ liệu.

Về phía doanh nghiệp cung cấp dịch vụ AI, cần minh bạch tối đa về cơ chế thu thập, lưu trữ và chia sẻ dữ liệu. Các nền tảng nên công khai chính sách lưu trữ: có lưu ảnh gốc không, lưu trên server ở quốc gia nào, dữ liệu có được dùng để huấn luyện mô hình hay bán cho bên thứ ba hay không, và thời hạn lưu.

Nếu có sử dụng dữ liệu để huấn luyện, doanh nghiệp phải cho người dùng lựa chọn “opt-in” rõ ràng thay vì mặc định đồng ý. Đồng thời, cần triển khai cơ chế kỹ thuật để xóa dữ liệu triệt để khi người dùng yêu cầu (“right to be forgotten”) và các biện pháp bảo mật như mã hóa, kiểm soát truy cập chặt chẽ.

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là văn bản pháp lý đầu tiên xác định rõ: dữ liệu sinh trắc học, trong đó có ảnh khuôn mặt, thuộc nhóm dữ liệu cá nhân nhạy cảm và phải được bảo vệ ở cấp độ cao nhất.

Theo quy định, tổ chức xử lý dữ liệu phải minh bạch mục đích thu thập, có sự đồng ý rõ ràng của chủ thể dữ liệu, không được chuyển giao dữ liệu ra nước ngoài nếu không đảm bảo tiêu chuẩn an toàn, và phải có cơ chế xóa dữ liệu theo yêu cầu của người dùng.

Tuy nhiên, phần lớn ứng dụng AI tạo trend hiện nay không đặt server tại Việt Nam, không minh bạch điều khoản, không cung cấp cơ chế rút lại dữ liệu. Điều này đặt ra yêu cầu cấp thiết cho cơ quan quản lý: phải tăng cường kiểm tra, giám sát và bổ sung hướng dẫn chi tiết hơn đối với các nền tảng AI xuyên biên giới, đặc biệt trong bối cảnh số lượng dữ liệu sinh trắc học của người Việt đang tăng tốc và lan rộng ra môi trường số với tốc độ chưa từng có.

Các trend được tạo bằng AI nó mang lại tiện ích và niềm vui tức thời nhưng có thể gây hậu quả lâu dài nếu người dùng không tự trang bị cho mình những kiến thức. Trong thời đại dữ liệu, mỗi tấm ảnh khuôn mặt là một tài sản số có giá trị và rủi ro - cần được bảo vệ như tài khoản ngân hàng hay giấy tờ tùy thân. Người dùng phải luôn tỉnh táo để tránh một làn sóng lộ lọt dữ liệu sinh trắc học có thể gây hậu quả rộng khắp.