Bảo mật và quyền riêng tư khi dùng Claude

Câu hỏi mà ai cũng nên hỏi trước khi dùng AI

Trước khi chia sẻ bất kỳ thông tin gì với Claude — dù là ý tưởng kinh doanh, dữ liệu khách hàng, hay thông tin cá nhân — bạn nên hiểu rõ: dữ liệu đó đi đâu, được lưu trữ như thế nào, và liệu nó có được dùng để train AI không.

Bài viết này tổng hợp các chính sách bảo mật chính thức của Anthropic, giải thích sự khác biệt giữa các gói, và đưa ra hướng dẫn thực hành để bảo vệ thông tin của bạn khi dùng Claude.

Chính sách dữ liệu theo từng gói

Claude Free và Pro

Với người dùng cá nhân qua claude.ai:

• Anthropic có thể sử dụng conversations để cải thiện sản phẩm, bao gồm training model, trừ khi bạn opt-out
• Conversations được lưu trữ và hiển thị trong lịch sử chat của bạn
• Bạn có thể xóa conversations riêng lẻ hoặc toàn bộ lịch sử
• Conversations không bao giờ được chia sẻ với bên thứ ba cho mục đích marketing

Claude API

Với developer và doanh nghiệp sử dụng API trực tiếp:

• Theo mặc định, API conversations KHÔNG được dùng để train model
• Anthropic có thể lưu trữ API requests tạm thời (thường 30 ngày) cho mục đích trust & safety và debugging
• Dữ liệu không được dùng để cải thiện model
• Đây là lý do nhiều doanh nghiệp ưu tiên dùng API thay vì Claude.ai

Claude Team

Gói dành cho nhóm từ 5 người trở lên:

• Conversations của team members không được dùng để train model
• Admin console cho phép quản lý quyền truy cập và cài đặt
• Conversations vẫn được lưu trữ và có thể truy cập bởi admin tùy cấu hình

Claude Enterprise

Gói dành cho tổ chức lớn với yêu cầu bảo mật cao:

• Conversations không được dùng để train model
• Thời gian lưu trữ có thể cấu hình theo nhu cầu
• SSO (Single Sign-On) integration
• Audit logs đầy đủ
• Tùy chọn về data residency (lưu trữ data ở khu vực địa lý cụ thể)
• BAA (Business Associate Agreement) cho các tổ chức y tế

Opt-out khỏi việc dùng data để train AI

Nếu bạn dùng gói Free hoặc Pro và không muốn conversations được dùng để train model, bạn có thể opt-out:

1. Đăng nhập vào claude.ai
2. Vào Settings (biểu tượng người dùng hoặc menu)
3. Tìm mục Privacy hoặc Data & Privacy
4. Tắt tùy chọn "Improve Claude for everyone" hoặc tương tự

Sau khi opt-out, các conversations mới sẽ không được sử dụng cho training. Các conversations cũ trước đó không bị xóa tự động nhưng sẽ không được dùng cho training mới.

Bạn cũng có thể submit yêu cầu xóa dữ liệu theo GDPR/CCPA qua trang privacy của Anthropic tại privacy.anthropic.com.

Compliance và chứng nhận bảo mật

SOC 2 Type II

Anthropic đã đạt chứng nhận SOC 2 Type II — tiêu chuẩn kiểm toán bảo mật quan trọng cho doanh nghiệp công nghệ. Chứng nhận này xác nhận các biện pháp kiểm soát về bảo mật, tính sẵn sàng, tính toàn vẹn xử lý, bảo mật thông tin, và quyền riêng tư.

GDPR (Liên minh châu Âu)

Anthropic tuân thủ GDPR — Quy định chung về Bảo vệ Dữ liệu của EU. Điều này có nghĩa:

• Người dùng EU có quyền truy cập, chỉnh sửa, xóa dữ liệu của mình
• Anthropic có DPA (Data Processing Agreement) sẵn có cho doanh nghiệp cần
• Quyền "được quên lãng" (right to erasure) được hỗ trợ

HIPAA (Y tế Mỹ)

Với gói Enterprise, Anthropic có thể ký BAA (Business Associate Agreement) — điều kiện bắt buộc để dùng AI trong môi trường có dữ liệu sức khỏe theo luật HIPAA. Không có BAA, không được dùng Claude để xử lý PHI (Protected Health Information).

Bảo mật hạ tầng

Anthropic sử dụng các biện pháp kỹ thuật tiêu chuẩn ngành:

• Mã hóa data in transit (TLS 1.2+)
• Mã hóa data at rest (AES-256)
• Hạ tầng cloud trên AWS với các biện pháp access control nghiêm ngặt
• Penetration testing định kỳ

Lưu trữ conversations — Bao lâu?

Chính sách lưu trữ khác nhau tùy gói:

• Claude.ai (Free/Pro): Conversations được lưu cho đến khi bạn xóa thủ công. Không có auto-delete.
• API: Anthropic có thể lưu request logs tạm thời (khoảng 30 ngày) cho mục đích safety. Sau đó bị xóa.
• Enterprise: Thời gian lưu trữ được cấu hình theo thỏa thuận với từng khách hàng.

Với Claude.ai, bạn có thể xóa toàn bộ lịch sử chat bất kỳ lúc nào qua Settings > Privacy > Delete all conversations.

Tính năng bảo mật Enterprise

Với gói Team và Enterprise, Anthropic cung cấp thêm các công cụ quản trị:

Admin Console

• Quản lý user accounts và quyền truy cập
• Xem usage statistics của từng thành viên
• Cấu hình policies (ví dụ: model nào được phép dùng)
• Thiết lập domain restrictions

SSO Integration

Tích hợp với các nhà cung cấp identity phổ biến: Okta, Google Workspace, Microsoft Azure AD. Điều này cho phép:

• Đăng nhập qua tài khoản công ty (không cần tạo tài khoản Anthropic riêng)
• Quản lý access tập trung
• Tự động offboard khi nhân viên rời công ty

So sánh với ChatGPT và Gemini về privacy

Tiêu chí	Claude	ChatGPT (OpenAI)	Gemini (Google)
Free tier dùng data để train?	Có (opt-out được)	Có (opt-out được)	Có (opt-out được)
API dùng data để train?	Không	Không	Không
SOC 2 Type II	Có	Có	Có
GDPR compliant	Có	Có	Có
HIPAA (Enterprise)	Có (BAA)	Có (BAA)	Có (BAA)
Tích hợp với hệ sinh thái lớn	Độc lập	Microsoft ecosystem	Google ecosystem

Điểm đáng chú ý: Gemini của Google tích hợp sâu với hệ sinh thái Google — nếu bạn lo ngại về Google đọc dữ liệu của mình (họ đã có Gmail, Drive, Search), đây là điểm cần cân nhắc thêm so với Anthropic — một công ty không có mô hình quảng cáo.

Những thông tin KHÔNG nên chia sẻ với AI

Dù chính sách bảo mật có tốt đến đâu, một số thông tin không bao giờ nên chia sẻ với bất kỳ AI service nào:

Tuyệt đối không chia sẻ

• Mật khẩu và credentials: Password, API keys, database credentials, private keys
• Thông tin tài chính nhạy cảm: Số thẻ tín dụng đầy đủ, số tài khoản ngân hàng, OTP
• Dữ liệu cá nhân nhạy cảm của người khác: CCCD, số hộ chiếu, thông tin y tế của bệnh nhân mà không có authorization
• Bí mật thương mại cực kỳ nhạy cảm: Nếu việc lộ ra có thể gây thiệt hại nghiêm trọng

Cần thận trọng

• Thông tin cá nhân nhận dạng được (PII) của người khác
• Source code proprietary chưa được publish
• Thông tin M&A, IPO chưa công bố
• Thông tin nội bộ nhạy cảm về nhân sự

Thực hành tốt

• Anonymize data trước khi chia sẻ: thay tên thật bằng "khách hàng A", thay số thật bằng số placeholder
• Với code, xóa credentials và thay bằng placeholder trước khi paste
• Với tài liệu nhạy cảm, chỉ paste phần cần thiết thay vì toàn bộ

Bảo mật tài khoản claude.ai của bạn

Ngoài privacy về data, hãy đảm bảo tài khoản của bạn được bảo mật:

• Dùng mật khẩu mạnh: Dài, ngẫu nhiên, và unique cho claude.ai
• Bật 2FA: Xác thực hai yếu tố thêm một lớp bảo vệ quan trọng
• Đăng xuất trên thiết bị công cộng: Đặc biệt ở máy tính công ty, quán internet
• Kiểm tra active sessions: Vào Settings để xem các thiết bị đang đăng nhập, thu hồi những thiết bị lạ
• Không dùng chung tài khoản: Mỗi người nên có tài khoản riêng

Privacy khi dùng Claude cho doanh nghiệp Việt Nam

Doanh nghiệp nhỏ và vừa (SME)

Với SME không có team IT chuyên sâu, khuyến nghị thực tế:

• Dùng gói Claude Pro cá nhân kết hợp opt-out training data cho công việc nhạy cảm vừa
• Với thông tin khách hàng, luôn anonymize trước khi đưa vào prompt (thay "Nguyễn Văn A, SĐT 090xxx" bằng "khách hàng X")
• Chưa cần thiết phải dùng Enterprise nếu không xử lý dữ liệu đặc biệt nhạy cảm

Công ty lớn và có yêu cầu compliance

Với doanh nghiệp cần tuân thủ quy định:

• Tài chính, ngân hàng: Cân nhắc Enterprise với DPA rõ ràng; tránh đưa thông tin khách hàng thực vào AI
• Y tế: Cần BAA với Anthropic trước khi xử lý bất kỳ PHI nào
• Luật pháp: Tham khảo chính sách attorney-client privilege trước khi dùng AI với tài liệu khách hàng
• Công ty có đối tác nước ngoài: Verify data residency requirements của đối tác

Luật bảo vệ dữ liệu cá nhân Việt Nam (PDPD)

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tại Việt Nam có hiệu lực từ tháng 7/2023. Khi dùng Claude xử lý dữ liệu cá nhân của người dùng Việt Nam:

• Cần có cơ sở pháp lý để xử lý (consent, hợp đồng, v.v.)
• Anthropic là bên xử lý dữ liệu (data processor), doanh nghiệp của bạn là bên kiểm soát (data controller)
• DPA (Data Processing Agreement) với Anthropic là cần thiết cho use cases liên quan đến dữ liệu cá nhân

Incident response — Nếu tài khoản bị xâm phạm

Trong trường hợp nghi ngờ tài khoản Claude bị compromise:

1. Ngay lập tức: Đổi mật khẩu từ thiết bị khác (không phải thiết bị bị nghi ngờ)
2. Thu hồi sessions: Settings > Security > Sign out all devices
3. Review conversations: Kiểm tra lịch sử chat xem có gì bất thường
4. Báo cáo: Nếu là tài khoản Team/Enterprise, thông báo ngay cho admin
5. Contact Anthropic: support@anthropic.com nếu cần hỗ trợ bảo mật khẩn cấp

Transparency và kiểm soát của người dùng

Anthropic cung cấp cho người dùng khả năng kiểm soát rõ ràng hơn so với nhiều AI service khác:

• Xem và xóa data: Có thể request bản sao data của bạn hoặc yêu cầu xóa qua privacy.anthropic.com
• Opt-out training: Có thể disable trong Settings bất kỳ lúc nào
• Delete conversations: Xóa từng conversation hoặc toàn bộ lịch sử
• Privacy policy rõ ràng: Anthropic publish privacy policy chi tiết, cập nhật khi có thay đổi

Điều này phản ánh cam kết của Anthropic về "responsible AI" — không chỉ là an toàn về nội dung mà còn về cách xử lý dữ liệu người dùng.

Bảo mật theo chiều sâu — Defense in depth

Bảo mật tốt nhất không dựa vào một biện pháp duy nhất mà là nhiều lớp bảo vệ kết hợp. Với Claude, chiến lược "defense in depth" của bạn nên bao gồm:

• Lớp 1 — Account security: Mật khẩu mạnh + 2FA trên tài khoản Anthropic và email đăng ký
• Lớp 2 — Data hygiene: Không chia sẻ thông tin nhạy cảm, anonymize khi cần
• Lớp 3 — Settings: Opt-out training data nếu muốn
• Lớp 4 — Gói phù hợp: Dùng API hoặc Enterprise nếu cần data protection mạnh hơn
• Lớp 5 — Awareness: Cập nhật về chính sách privacy khi Anthropic có thay đổi

Anthropic sẽ thông báo qua email khi có thay đổi đáng kể về privacy policy — hãy đọc những thông báo đó thay vì ignore.

Câu hỏi thường gặp về privacy Claude

Nhân viên Anthropic có đọc được conversations của tôi không?

Anthropic có một đội ngũ trust & safety có thể review conversations trong các trường hợp điều tra vi phạm policy. Điều này không có nghĩa là mọi conversation đều được đọc — nhưng đây là điều bạn nên biết. Đây là lý do không chia sẻ thông tin tuyệt đối bí mật qua Claude.ai.

Conversations của tôi có an toàn khỏi breach không?

Không có hệ thống nào có thể đảm bảo 100% không bao giờ bị breach. Anthropic có các biện pháp bảo mật mạnh, nhưng rủi ro zero là không tồn tại trong thế giới thực. Đây là lý do nguyên tắc "không chia sẻ thông tin cực kỳ nhạy cảm" luôn đúng bất kể nhà cung cấp nào.

Nếu tôi xóa conversation, data có thực sự bị xóa không?

Khi bạn xóa conversation trên claude.ai, nó không còn hiển thị với bạn nữa. Về mặt kỹ thuật, dữ liệu có thể tồn tại trong backups trong một thời gian ngắn trước khi bị xóa hoàn toàn — đây là thông lệ phổ biến của mọi service cloud. Nếu cần xóa hoàn toàn, submit data deletion request chính thức qua privacy.anthropic.com.

Kết luận

Anthropic có các chính sách bảo mật và privacy nghiêm túc, đặc biệt so sánh với nhiều AI service khác. Việc opt-out khỏi training data, compliance với các tiêu chuẩn như SOC 2 và GDPR, và chính sách API không dùng data để train là những điểm cộng đáng kể.

Tuy nhiên, bảo mật tốt nhất bắt đầu từ thói quen của người dùng. Hiểu rõ bạn đang dùng gói nào, thiết lập opt-out nếu cần, và tuân thủ nguyên tắc không chia sẻ thông tin cực kỳ nhạy cảm — những bước đơn giản này sẽ giúp bạn dùng Claude an toàn và hiệu quả cho cả công việc lẫn cá nhân.

---

Bài viết liên quan

• Bảng giá Claude 2026 — Free vs Pro vs Team vs Enterprise
• Claude.ai toàn tập — Mọi tính năng bạn cần biết
• Claude cho Data Analysis — Phân tích dữ liệu không cần code
• Claude Năng suất: Hướng dẫn Kết nối Công cụ
• Claude Skills — Tạo Excel, PowerPoint, PDF tự động